Veilige digitale identiteit vereist publiek-private samenwerking

12 februari 2020 Consultancy.nl

Onze digitale identiteit wordt steeds belangrijker, maar we gaan er nogal slordig mee om. Overal laten we kruimels achter van onze digitale identiteit. We kiezen primair voor gemak en zijn ons onvoldoende bewust van de risico’s. Overheid en bedrijfsleven moeten samen snel een veilige digitale identiteit creëren, een betrouwbare ‘API of me’ voor dagelijks gebruik in de digitale wereld. En consumenten moeten beter worden voorgelicht over de risico’s van misbruik van digitale identiteiten.

De digitale wereld heeft ons leven zoveel makkelijker en sneller gemaakt. Met één zoekopdracht toegang tot heel veel informatie, met een paar klikken een mandje met artikelen geselecteerd, betaald en binnen 24 uur ontvangen. Daarvoor creëren we een digitaal identiteitsbewijs bij bedrijven, een persoonlijk account dat meestal beveiligd is met een wachtwoord. Dat persoonlijke account fungeert bij het volgende digitale bezoek aan dat bedrijf als sleutel om snel en gemakkelijk toegang te krijgen tot hun dienstverlening.

Een intensief digitaal leven laat een breed spoor achter aan digitale identiteitsbewijzen, bij verschillende bedrijven. Feitelijk creëren we een dikke bos digitale sleutels, één per bedrijf. Die veelheid aan digitale sleutels is onhandig en onveilig. Onderzoeken tonen aan dat de websites van veel bedrijven ondermaats beveiligd zijn en dat veel gebruikers wachtwoorden kiezen die makkelijk te hacken zijn. Gelukkig zijn er oplossingen ontwikkeld om via een soort mastersleutel toegang te krijgen tot de dienstverlening van bedrijven, zonder een specifiek identiteitsbewijs per bedrijf te maken. 

Bekende voorbeelden zijn DigiD (overheid), iDIN (banken) en het gebruik van een Facebook-account. Helaas werkt niet elke mastersleutel bij elke organisatie. Ook zijn er twijfels over het gebruik van zo’n mastersleutel. Bij het gebruik van een Facebook-account als mastersleutel komt Facebook nog meer te weten over iemands digitale leven. Overheid en banken hebben meer ons vertrouwen, maar ook die kunnen ongewenst nog meer zicht krijgen op ons digitale leven. Voorlopig hebben we dus nog te maken met meerdere digitale identiteitsbewijzen per bewoner van de digitale wereld. 

Onze digitale identiteit wordt steeds belangrijker

Nieuwe technologie vereenvoudigt digitale identiteitscontrole

Met nieuwe technologieën zijn ook nieuwe vormen van identiteitscontrole mogelijk geworden, die gemak en veiligheid vergroten. De vingerafdruk als identificatiemiddel voor smartphones of betalingen is inmiddels ingeburgerd. Gezichtsherkenning en irisscans zijn nieuwe biometrische manieren om mensen digitaal te identificeren. Identificatie op basis van bewegingen en gedrag is de volgende stap. 

Om van deze biometrische identiteitsbewijzen gebruik te kunnen maken, moet een initiële scan van bijvoorbeeld vingerafdruk of het gezicht worden gemaakt. Die scan fungeert daarna als de unieke biometrische sleutel/identiteit voor bijvoorbeeld toegang tot een smartphone, goedkeuring van een betaling of toegang tot een ruimte. Gemak is het grote voordeel van biometrische identiteitscontroles: je hoeft geen wachtwoorden te onthouden en je hoeft geen speciaal apparaatje (smartcard, losse scanner, USB-stick) mee te nemen. 

Gebruik nieuwe technologie is niet risicoloos

Biometrische identiteitscontrole biedt dus gemak, maar is het ook echt veilig? Elke vingerafdruk, elk gezicht en elke iris is uniek. Dat geeft een veilig gevoel. Maar niet alle gescande details worden opgeslagen en gebruikt bij de digitale identiteit. Te veel details gebruiken betekent namelijk dat de vingerafdrukherkenning niet meer werkt bij een sneetje in de vinger. De gebruikte grovere afstelling betekent echter dat er geen 100% garantie is dat jouw biometrische kenmerk uniek is en niet overeenkomt met de kenmerken van iemand anders.

Een ander risico is diefstal. We zijn alert op gestolen wachtwoorden, maar nog niet op gestolen biometrische kenmerken. Worden onze digitale vingerafdrukken en gezichtsscan wel veilig opgeslagen? Een wachtwoord dat gestolen is, kun je veranderen. Dan kan de dief het gestolen wachtwoord niet meer gebruiken om digitaal in te breken. Biometrische kenmerken kunnen echter niet veranderd worden. Een dief kan de digitale identiteit dus blijven misbruiken. Eens gestolen, voor altijd gestolen! 

Het namaken van digitale identiteiten is ook een risico. Een gezicht of een iris kunnen immers worden gefotografeerd, een vingerafdruk laat je achter op elk oppervlakte die je aanraakt. Creatieve kwaadwillenden kunnen daarmee een alternatieve digitale identiteit opbouwen. Toekomstig horrorscenario of vandaag al werkelijkheid? 

Het gebruik van de nieuwe technologie kent ook maatschappelijke en ethische risico’s. In India hebben al 1,2 miljard mensen een digitaal ‘Aadhaar’-identiteitsbewijs op basis van pasfoto, vingerafdruk en irisscan. Daarmee kun je snel en makkelijk een bankrekening openen, treinkaartjes reserveren, kinderen inschrijven voor een school, etc. Gemak dient de mens. Maar, zonder digitale identiteit zijn arme Indiërs afgesloten van bijvoorbeeld voedselhulp. Ook in Nederland dreigt sociale exclusie als je niet mee wilt of kunt doen met internetbankieren, WhatsApp, etc. Dat buitensluiten van bepaalde groepen is ongewenst. 

Digitale identiteiten worden gebruikt voor toegang tot apps of informatie. Mag die identiteit ook gebruikt worden om criminelen en terroristen te identificeren, door gebruik te maken van gezichtsherkenning? Geven wij inlichtingen- en veiligheidsdiensten als AIVD en NSA daarvoor toegang tot onze digitale identiteiten om effectiever onze veiligheid te kunnen bewaken? Wat vinden we van het gebruik van gezichtsherkenning als daarmee specifieke groepen burgers actief in de gaten worden gehouden, zoals sommige overheden al doen? Mogen digitale identiteiten worden gekoppeld aan andere persoonlijke gegevens? Waar ligt de grens tussen gemak, privacy en veiligheid? 

“Overheid en bedrijfsleven zullen intensief moeten samenwerken voor een veilige, betrouwbare en vertrouwde digitale infrastructuur.”

Digitale biometrische identiteiten vereisen dus grote zorgvuldigheid, zowel qua opslag, gebruik als ontwikkeling van de benodigde hardware en software. Misbruik ligt op de loer, elke digitale dag. 

Overheid en bedrijfsleven moeten samenwerken

De digitale identiteit wordt dus steeds belangrijker en vraagt betere oplossingen. Zoals deskundigen Katryna Dow en Chris Wood het duidelijk formuleerden: “We moeten naar een ‘API of me’. Ik ben eigenaar van mijn digitale identiteit en persoonlijke gegevens. Ik wil een veilig beheer van die informatie. Ik wil beslissen aan wie ik die gegevens laat zien en waar ik een kopie wil achterlaten.”

De Cyber Security Raad heeft recent een advies uitgebracht aan het kabinet: “Naar een veilig eID-stelsel”. In dat advies wordt de digitale identiteit als cruciale factor gedefinieerd voor een veilige, betrouwbare en vertrouwde digitale infrastructuur. Daarvoor is intensieve samenwerking nodig tussen de publieke en private sector, onder toezicht van de overheid:

  • definiëren van een formele digitale identiteit, die net als het fysieke paspoort overal toegang geeft en adequaat beveiligd is. Overheidsinitiatieven als DigiD en vergelijkbare initiatieven uit het bedrijfsleven als iDIN moeten dan worden samengevoegd
  • één of een beperkt aantal onafhankelijke uitvoeringsorganisaties die digitale identiteiten op veilige wijze beheren en het dagelijks gebruik van digitale identiteiten ondersteunen (vergelijkbaar met DigiD en iDIN)
  • samenwerking met fintechs en bigtechs om de benodigde technologie te integreren
  • aangepaste wet- en regelgeving rond digitale identiteiten, in het verlengde van de privacywetgeving
  • stimuleren van het geschikt maken van apps en websites van bedrijven om die formele identiteit te kunnen gebruiken
  • permanente intensieve voorlichting aan consumenten en bedrijven. 

In de pre-digitale wereld hebben we decennia nodig gehad voor het ontwikkelen van de noodzakelijke wet- en regelgeving, een adequaat wegen- en spoornetwerk, betrouwbare identificatiemiddelen als paspoorten, ‘genoeg blauw op straat’, voorlichting, etc. Zoveel tijd hebben we niet om de digitale wereld op orde te krijgen. Tools en apps om van het digitale leven te genieten zijn of komen er in overvloed. Digitale bescherming krijgt nog te weinig aandacht. Wel op het gebied van wet- en regelgeving (bijvoorbeeld de Algemene Verordening Gegevensbescherming), maar nog te weinig op het gebied van samenhangende tooling voor grootschalig dagelijkse gebruik.

Er is nog veel te doen voordat de benodigde digitale infrastructuur beschikbaar is. Veel elementen zijn er al, maar overheid en bedrijfsleven zullen intensief moeten samenwerken om snel forse stappen te maken. Want het gebruik van internet neemt nog steeds exponentieel toe, met steeds meer slecht beveiligde digitale identiteiten.

Een artikel van Douwe van der Meer, projectmanager en consultant bij Voogt Pijl & Partners.

Lees ook

More on: Voogt Pijl & Partners
Netherlands
Company profile
Voogt Pijl & Partners
Voogt Pijl & Partners is not a Netherlands partner of Consultancy.org
Partnership information »
Partnership information

Consultancy.org works with three partnership levels: Local, Regional and Global.

Voogt Pijl & Partners is a not a partner of Consultancy.org.

Upgrade or more information? Get in touch with our team for details.

Send
Delta Capita vergroot consultancytak met Voogt Pijl & Partners
Netherlands
Delta Capita vergroot consultancytak met Voogt Pijl & Partners Delta Capita en Voogt Pijl & Partners hebben de krachten gebundeld. Samen hebben de twee adviesbureaus nu een aanzienlijke aanwezigheid in de Nederlandse markt voor financiële dienstverleners.
13 oktober 2020
Katelijne Strikwerda sluit zich aan bij VP&P
Netherlands
Katelijne Strikwerda sluit zich aan bij VP&P Katelijne Strikwerda heeft zich per september als consultant aangesloten bij Voogt Pijl & Partners (VP&P). Strikwerda (1993) maakt de overstap vanuit ORMIT. Via de traineeshipspecialist werkte ze de afgelopen tweeënhalf jaar voor uiteenlopende
10 september 2020
Boutique VP&P bouwt 20 jaar aan professionaliteit en resultaat
Netherlands
Boutique VP&P bouwt 20 jaar aan professionaliteit en resultaat Vandaag is het precies twintig jaar geleden dat Voogt Pijl & Partners (VP&P) het levenslicht zag. Reden voor Consultancy.
01 juli 2020
Optimaliseren van waarde binnen stafafdelingen
Netherlands
Optimaliseren van waarde binnen stafafdelingen Financiële dienstverleners die de kosten binnen hun stafafdelingen willen terugbrengen, doen er goed aan te kiezen voor een gestructureerde en analytische aanpak.
04 juni 2020
Felix van Enst over werken bij financiële sector consultant VP&P
Netherlands
Felix van Enst over werken bij financiële sector consultant VP&P Na meer dan vier jaar werkzaam te zijn geweest als intern consultant in de financiële sector, maakte Felix van Enst een jaar geleden de overstap naar Voogt Pijl & Partners.
13 maart 2020
Implementatietips voor identity & access management
Netherlands
Implementatietips voor identity & access management Tegen de achtergrond van groeiende digitalisering is het belang van identity & access management (IAM) de laatste jaren almaar toegenomen.
19 februari 2020
Zes vragen aan Fien Meinema over werken bij VP&P
Netherlands
Zes vragen aan Fien Meinema over werken bij VP&P Een levensgenieter, techy en altijd speurend naar nieuwe uitdagingen – dat is hoe Fien Meinema door anderen wordt omschreven.
14 februari 2020
VP&P in top 3 van organisatieadviesbureaus van Nederland
Netherlands
VP&P in top 3 van organisatieadviesbureaus van Nederland Voogt Pijl & Partners (VP&P) is door managers in de top drie van Nederlands beste organisatieadviesbureaus gekozen.
12 december 2019

Cybersecurity nieuws

Cybersecurity adviesbureaus Cybersecurity consultancy diensten

Online nieuws

Online adviesbureaus Online consultancy diensten

Privacy nieuws

Meer Privacy