De Nederlandse overheid werkt al een aantal jaren aan een nieuw eID stelsel (een elektronische vorm van identificatie online) ter vervanginging van DigiD. Dat is ook wel nodig, want DigiD is kwetsbaar, wat tot grote schade kan leiden. Onder deze druk, en vanwege het feit dat marktpartijen de oorspronkelijke plannen voor het eID stelsel niet zagen zitten, heeft de overheid er onlangs voor gekozen een andere koers te varen. Het eID stelsel wordt een uitbreiding van eHerkenning (een systeem voor online identificatie voor bedrijven), en gaat Idensys heten. Dat is wat mij betreft niet alleen een stap terug (eHerkenning is gebaseerd op verouderde en relatief onveilige concepten), maar zelfs een stap in de verkeerde richting.
Toen de overheid een aantal jaren geleden startte met het nadenken over een eID stelsel waren de ambities hoog. Er werd nagedacht over een flexibel, veilig en privacy vriendelijk systeem op basis van attributen. Het idee was dat de chip op de nationale identiteitskaart (en ook het paspoort en het rijbewijs) een extra module zou krijgen waar burgers niet alleen hun identiteit online zouden kunnen aantonen, maar ook bepaalde attributen (zoals hun leeftijd, of nationaliteit). Om die reden is er een tijd veel contact geweest tussen de overheid en het IRMA project (waar ik lid van ben). Ook zou het systeem veel veiliger moeten worden dan het huidige op username/wachtwoord gebaseerde DigiD systeem. (Soms werd omwille van de veiligheid nagedacht over een aparte chip, i.p.v. van een naderhand te installeren eID module op de bestaande chip.) Zo'n attribuut gebaseerd systeem zou ideaal zijn geweest vanuit zowel privacy als security perspectief.
Gaandweg veranderden de plannen. DigiD bleek toch snel aan vervanging toe, dus werd gekeken naar oplossingen die in de buurt kwamen van het oorspronkelijke ideaal, maar makkelijker te realiseren waren. Zo is bijvoorbeeld het Duitse eID systeem nadrukkelijk in beeld geweest voor het Nederlandse eID stelsel. Het Duitse eID stelsel ondersteunt weliswaar maar een kleine en vaste set aan attributen, maar wordt al wel daadwerkelijk gebruikt in Duitsland (alhoewel slechts op beperkte schaal).
Daarnaast werd het steeds belangrijker om verschillende authenticatiemiddelen te ondersteunen: niet alleen door de overheid uitgegeven identiteitskaarten, maar ook door private partijen uitgegeven passen en kaarten. In een dergelijke benadering ligt het niet voor de hand om de attributen direct op de kaart te plaatsen (zoals IRMA en het Duitse eID systeem dat doen): dat zou private partijen dwingen hun infrastructuur en hun chipkaarten massaal aan te passen aan een standaard die dergelijke attributen ondersteund. In plaats daarvan worden in een dergelijk systeem de attributen door derde partijen online als een service geleverd op het moment dat de gebruiker ze nodig heeft.
De nieuwe plannen voor het eID stelsel worden toegelicht in de vergaderstukken van het eID platform van december 2014. Onder druk van marktpartijen (die eerder al een behoorlijke investering in eHerkenning hebben gedaan) wordt het eID stelsel een uitbreiding bovenop eHerkenning. Hiervoor wordt een update van de eHerkenning specificatie geschreven. De volledige specificaties van deze eHerkenning 1.9 komen (volgens mijn informatie) in februari beschikbaar. Idensys wordt de 'merknaam' van dit eID stelsel nieuwe stijl.
In essentie wordt eHerkenning uitgebreid met een extra register, het zogenaamde BSN koppelregister, dat voor geauthenticeerde gebruikers het bijbehorende BSN kan leveren. Hieronder volgt een beschrijving van hoe eHerkenning werkt, en hoe het BSN koppelregister daarin wordt ingepast. Ik zal daarbij ingaan op de risico's die daar mee gepaard gaan.
eHerkenning is een systeem voor authenticatie en identiteitsbeheer voor bedrijven en overheidsdiensten. Het geeft medewerkers van bedrijven de mogelijkheid om zich met verschillende authenticatie middelen te authenticeren, en uit naam van het bedrijf waar ze voor werken bepaalde online diensten te gebruiken. Zo kan de eigenaar van een bedrijf iemand uit de financiële administratie machtigen om een belasting aangifte te doen. eHerkenning is een netwerk-gebaseerd systeem voor identiteits beheer en werkt (grosso modo) als volgt.
Als een medewerker in wil loggen op een online dienst, wordt hij doorverwezen naar een makelaar. Daar kiest hij via welke authenticatiedienst (waar hij een authenticatie middel, bijvoorbeeld een smart card, of een username-wachtwoord, van heeft) hij zich wil authenticeren. Bij een succesvolle authenticatie ontvangt de makelaar het pseudoniem van de medewerker. Vervolgens vraagt de makelaar aan het machtigingenregister of de eigenaar van dit pseudoniem gemachtigd is voor de geselecteerde dienst. Als dat het geval is ontvangt de makelaar een dienst-specifiek pseudoniem voor de medewerker terug. Dit dienst-specifieke pseudoniem wordt vervolgens doorgegeven aan de dienst, die dit pseudoniem gebruikt voor het selecteren van het juiste account bij de dienst.
Opgemerkt moet worden dat de machtigingenregister een uitgebreide machtigingenadministratie bijhoudt. Hierin staat per bedrijf, voor iedere bekende medewerker de naam en diens (globale) pseudoniem, en voor iedere dienst waarvoor deze medewerker gemachtigd is het dienst-specifieke pseudoniem. Via het machtigingenregister is dus voor ieder pseudoniem altijd de bijbehorende volledige identiteit te achterhalen. Daarnaast is het zo dat de makelaar, als spin in het web die alle transacties [toevoeging 30-01-2105: daarmee bedoel ik alle <em>inlog-transacaties</em> die door eHerekking zelf worden gefaciliteerd, en niet de transacties die gebruikers na inloggen op de site van de dienst uitvoeren] ziet en berichten aan de verschillende partijen doorgeeft, precies weet welke diensten de houder van een (globale) pseudoniem allemaal benadert. De privacy is dus maar zeer beperkt beschermd door het gebruik van (eenvoudig koppelbare) pseudoniemen. Dit is een bekende tekortkoming van alle vormen van netwerk-gebaseerd identiteits beheer.
Ook op de veiligheid van dergelijke systemen is overigens wel een en ander af te dingen. De kern van het probleem is dat een groot aantal partijen vertrouwd moet worden voor het maken van de juiste veiligheids-kritische beslissingen. Helemaal zorgelijk is dat de dienstaanbieder uiteindelijk de makelaar volledig vertrouwt als het gaat om het verlenen van toegang tot een dienst. Normaal gesproken krijgt de dienstaanbieder via de makelaar een ondertekend bericht van de authenticatiedienst, met daarin de identiteit van de persoon die toegang wenst. De dienstaanbieder controleert de handtekening onder dit bericht. Dit betekent dat de makelaar niet zelf valse berichten kan creëren om zo zichzelf onder valse voorwendselen toegang tot accounts van anderen te geven. In eHerkenning werkt dit anders: daar controleert de makelaar de handtekening van de authenticatiedienst, en maakt de makelaar zelf een nieuw bericht (met zijn handtekening) voor de dienstaanbieder! (Dit is makkelijker voor de dienstaanbieder omdat deze dan slechts de sleutels van de makelaar hoeft te kennen om de handtekening te controleren, en niet hoeft te weten welke authenticatiediensten op dit moment actief zijn.)
Voor het introductieplatform eID wordt een BSN koppelregister (onder beheer van een instantie in het publieke domein) ingericht. Het BSN koppelregister is nodig omdat een private authenticatiedienst geen BSN mag opslaan en verwerken. (Dit vormt nog wel een probleem bij de registratie van een authenticatiemiddel, zie onder.) Dit koppelregister is qua functionaliteit vergelijkbaar met het hierboven beschreven machtigingenregister. Het BSN koppelregister houdt bij welk BSN nummer bij een bepaald pseudoniem hoort. Dit pseudoniem komt van de authenticatiedienst waar de burger een account heeft en een authenticatiemiddel aan heeft gekoppeld. Dat kan een door de overheid uitgegeven eID kaart zijn, maar in de toekomst ook een bankpas, of (bij wijze van spreken) een elektronische AH Bonus kaart. Het eID stelsel is nadrukkelijk bedoeld om verschillende publieke en private authenticatiemiddelen naast elkaar te laten bestaan.
Een burger die via Idensys (i.e. eID via eHerkenning) wil inloggen op een overheidsdienst (zoals hij daar nu DigiD voor gebruikt), wordt via de eHerkenning makelaar naar zijn authenticatiedienst doorverwezen. Daar authenticeert hij zich met zijn authenticatiemiddel. Het pseudoniem dat de gebruiker bij de authenticatiedienst heeft wordt vervolgens doorgegeven aan het BSN koppelregister. Die zoekt het bijbehorende BSN er bij, dat vervolgens weer via de makelaar aan de dienstaanbieder wordt doorgegeven.
Een burger die gebruik wil maken van Idensys zal eenmalig zijn authenticatiemiddel aan zijn BSN moeten koppelen. Dat verloopt (grofweg, want de op dit moment beschikbare informatie is nog niet volledig) als volgt. De burger geeft bij zijn authenticatiedienst aan dat hij zijn authenticatiemiddel wil koppelen aan zijn BSN. De authenticatiedienst controleert het wettelijke identiteitsdocument (WID, e.g. paspoort) en neemt het documentnummer en BSN daarvan over. (Voor een sterke vorm van authenticatie is fysieke inspectie van het document door de authenticatiedienst vereist.) De authenticatiedienst geeft deze twee nummers, plus het pseudoniem van de burger (en kennelijk ook de NAW gegevens) door aan het BSN koppelregister. Het koppelregister controleert in de basisadministratie de gegevens, en met name of het documentnummer correspondeert met een geldig identiteitsdocument voor het opgegeven BSN. Als dit het geval is koppelt het BSN koppelregister het BSN aan het door de authenticatiedienst opgegeven pseudoniem. De authenticatiedienst gooit vervolgens het BSN weg.
Merk op dat tijdens deze registratieprocedure de authenticatiedienst het BSN van de burger weliswaar niet (permanent) opslaat maar wel degelijk verwerkt. Dat mag juridisch gesproken niet, dus hiervoor is een aanpassing van de wet nodig. Dat had ook wel anders gekund, door de fysieke inspectie van het identiteitsdocument niet door de authenticatiedienst maar door het BSN koppelregister zelf uit te laten voeren. Bijvoorbeeld door hiervoor een loket bij de gemeente in te richten. De procedure zou dan grofweg als volgt verlopen. De burger gaat met zijn authenticatiemiddel en zijn paspoort naar zijn gemeente. Bij het loket logt hij met zijn authenticatiemiddel in bij zijn authenticatiedienst. Het loket krijgt van de authenticatiedienst het bijbehorende pseudoniem, controleert het paspoort fysiek en tegen de gegevens in de basisadministratie, en zet vervolgens de koppeling van het pseudoniem met het BSN in het BSN koppelregister.
Fysieke inspectie van identiteitsdocumenten is lastig (voor zowel burger als controlerende partij), tijdrovend en daarom kostbaar. De overheid dacht misschien slim te zijn door deze kosten af te schuiven op de authenticatiediensten. De vraag is of die daarop zitten te wachten, en of ze de infrastructuur hebben om in heel Nederland dat soort controles met voldoende waarborgen omkleed uit te voeren. Die waarborgen zijn wel essentieel om een voldoende veilig en betrouwbaar elektronische authenticatiedienst te realiseren.
Met Idensys is in mijn ogen het eID stelsel een heilloze weg ingeslagen. Ten eerste wordt het idee van een innovatie-stimulerende overheid die als katalysator van vooruitstrevende ecosystemen van identiteitsbeheer losgelaten. In plaats daarvan wordt teruggevallen op het oude, en verouderde, eHerkenning systeem. Het concept van attributen is nagenoeg volledig losgelaten, in ieder geval in het zogenaamde Introductieplateau. (Volgens mij gaat het stelsel er te gemakkelijk van uit dat de ingeslagen weg het alsnog mogelijk maakt om later alsnog op een zinvolle en veilige wijze attributen aan het stelsel toe te voegen.) Dit is een doodlopende weg die gegarandeerd betekent dat over een paar jaar alsnog gezocht moet worden naar een nieuw eID stelsel dat wel toekomstvast is.
Daarnaast spelen er (zoals hierboven geschetst) een aantal ernstige veiligheid en privacy problemen. eHerkenning is sowieso niet voldoende veilig, met name niet vanwege de centrale rol die de makelaar speelt. Diezelfde makelaar is een hotspot die alle transacties van gebruikers kan zien. Hierdoor is de privacy van de gebruikers niet voldoende gegarandeerd. Het machtigingenregister is ook een groot privacy risico omdat deze voor alle dienst specifieke pseudoniemen waarmee gebruikers inloggen bij online diensten de bijbehorende persoonsgegevens bewaart.
[…] Jaap-Henk Hoepman On security, privacy and (occasionally) other stuff « eID stelsel wijzigt koers – en raakt daarmee van de wal in de sloot. […]
[…] aan een debatover het nieuwe Nederlandse eID stelsel (oftewel Idensys zoals het nu heet. Eerder schreef ik over de rampzalige gevolgen van de destijds nieuwe koers van het stelsel. Is er in de tussentijd […]
[…] van Idensys in 2015.Maar ondertussen maakte de stuurgroep buiten de Tweede Kamer om een ingrijpende beslissing. Lees er bijvoorbeeld deze kritische (technische) blog over.In het nieuwe systeem zijn […]
[…] In het kader van de toegang tot een (centraal) systeem voor de gespecificeerde toegang EN het regelen van het inzagerecht van patiënten in hun zorgdossier kwam de beveiliging van die toegang meerdere malen ter sprake. Gesproken werd over het hoogst mogelijke beveiligingsniveau. Inzage door de patiënt in zorgdossiers vindt nu al plaats tussen zorgaanbieders(ziekenhuizen, huisartsen) enerzijds en patiënten anderzijds. Uiteraard is het de bedoeling van de minister om inzage in dossiers ook via het LSP te gaan regelen. Op dit moment vindt daartoe al een proef in Friesland op kleine schaal plaats. Daarbij vindt het regelen van de toegang plaats met behulp van Remote Document Authentication(RDA) met behulp van moderne smartphones en de NFC-chip in de moderne paspoorten en rijbewijzen. Deze RDA is één van de nieuwe manieren die de overheid wil introduceren in het kader van de nieuwe eID-mogelijkheden die de DigiD moet gaan vervangen. De vooraanstaande beveiligingsexpert van de Radboud Universiteit Nijmegen Jaap-Henk Hoepman heeft … […]
Dit is een erg ongenuanceerd stuk dat er primair op gericht lijkt om de “eigen” oplossing (IRMA) te pitchen t.o.v. operationele en bewezen alternatieven.
Marktpartijen hebben bezwaar gemaakt tegen de oorspronkelijke opzet van eID omdat hierbij de overheid “by design” in staat werd gesteld om opsporing te verrichten op transacties binnen het private domein.
Zie ook: http://blog.connectis.nl/2014/09/eid-stelsel-een-naieve-overheid.html
Ook hebben marktpartijen aangegeven dat een Single Point of Failure moet worden voorkomen. Een stelsel op basis van één hardwarematige technologie houdt op lange termijn nooit stand. Het wordt gehackt en/of raakt verouderd, waarna de volledige infrastructuur vervangen moet worden. Of het risico wordt - zoals bij de OV Chipkaart - geaccepteerd. Door technologie-onafhankelijk te zijn is eHerkenning in staat om een herhaling van het Diginotar debacle te voorkomen.
http://blog.connectis.nl/2014/01/diginotar-2.0.html
IMRA is geen alternatief op dit domein.
IMRA maakt anoniem inloggen mogelijk zonder dat dit getraceerd kan worden. Een mooie technologie, maar volkomen ongeschikt binnen het domein van eHerkenning/eID. De ontraceerbaarheid van logintranscties ondermijnt hier juist de privacy!
Enkele voorbeelden: - De patient wil inzien wie er op haar dossier heeft ingelogd. - Het afdelingshoofd en/of de auditor moet kunnen inzien hoe en wanneer de aan medewerkers de verstrekte bevoegdheden zijn gebruikt. - Als particulier wil ik kunnen inzien welke fiscale intermediairs er namens mij inloggen. - Als gebruiker met meerdere inlogmiddelen wil ik kunnen inzien wanneer en vanaf welke locatie die zijn gebruikt.
IMRA stelt mij daarom niet in staat om de privacy van mijn dossiers te beschermen. eHerkenning doet dit wel en voorkomt bovendien Single Points of Failure.
Nogmaals, IRMA is een geschikte technologie binnen het juiste domein. eHerkenning/eID bedient een andere markt. Binnen deze markt weegt de privacy-gevoeligheid van het dossier hoger dan de privacy-gevoeligheid van de inlogtransactie.
Beste Martijn,
Dank je wel voor je reactie. Mijn stuk is duidelijk niet bedoeld om onze “eigen” IRMA technologie te pitchen, maar om grote tekortkomingen op het gebied van de beveiliging en de privacy binnen het eHerkenning systeem onder de aandacht te brengen. eHerkenning mag dan wel operationeel (en daarmee bewezen) zijn, dat betekent nog niet het daarmee veilig en privacy vriendelijk is. Verre van dat, zoals mijn stuk duidelijk laat zien. Zo heeft ook eHerkenning meerdere single-point-of-failures: de makelaar (in termen van security) en het machtigingenregister (voor wat betreft de privacy).
Maar gezien je opmerkingen en kanttekeningen ten aanzien van IRMA laat je me geen andere keuze om toch dieper op IRMA in te gaan en het (in zekere zin) te pitchen als mogelijk alternatief. Ik heb overigens nog even n.a.v. dit commentaar expliciet toegevoegd dat ik zelf ook betrokken ben bij het IRMA project.
Het is wijd verbreid misverstand dat attribuut gebaseerde systemen zoals IRMA altijd anoniem zijn. Dat is namelijk niet het geval. Sommige attributen (zoals leeftijd, of nationaliteit) zijn anoniem. Maar andere, zoals een BSN, of een naam, of een bankrekeningnummer, zijn identificerend. Een dienstaanbieder kan kiezen welke set aan attributen nodig is om toegang te verlenen tot een dienst. Zo zullen overheidsdiensten die nu via DigiD te benaderen zijn, via een (identificerend!) BSN attribuut ontsloten moeten worden. De voorbeelden die je noemt (patientendossiers, machtigingen, etc.) zijn dus prima met attribuut gebaseerde systemen te realiseren. Het mooie is echter dat, met dezelde technologie op een extreem privacy vriendelijke manier toegang verleend kan worden aan diensten waar de identiteit van de gebruiker er niet toe doet.
Dit is precies de reden waarom ik de keuze van de overheid om een toekomstig eID stelsel te baseren op de verouderde technologie van eHerkenning een stap achteruit vind. Hier laat de overheid een mooie kans liggen om als launching customer een veel flexibeler, veiliger en privacy vriendelijkere benadering voor identiteitsbeheer te (laten) realiseren. En het maakt mij dan werkelijk niet uit of dat op ons IRMA concept zou worden gebaseerd, of een andere, attribuut gebaseerde, benadering.
Beste Jaap-Henk,
Dank je wel voor je reactie.
Je lijkt echter aan mijn inhoudelijke bezwaar voorbij te gaan. Ik heb één en ander op mijn blog wat duidelijker uiteen gezet.
http://blog.connectis.nl/2015/01/eherkenning-beschermt-privacy-beter-dan.html
Het is wijd verbreid misverstand bezwaren tegen attribuut gebaseerde systemen zoals IRMA altijd gebaseerd zijn op misverstanden ;-)
Ik realiseer mij terdege dat je ook idenitificerende kenmerken als attribuut kan gebruiken. Het probleem is echter dat deze transactie niet traceerbaar zijn. Dat is prettig bij het benaderen van 18+ diensten en het openbaar vervoer, maar is zeer onaangenaam als het een transactie van een arts betreft die dossiers aan het surfen is. Of een partner die gebruik maakt van de bankmachtiging die alleen bedoeld was voor noodgevallen.
Als je met zeer gevoelige dossiers alle overwegingen op het gebied van privacy op een rij zet, dan kom uit op een oplossing waarbij traceerbaarheid van transacties juist kern is van het systeem. 18+ diensten zou ik op dit systeem dan ook niet aansluiten; dat is niet het toepassingsgebied. Zorg, overheid, bankieren, webwinkels en veel andere toepassingen daarentegen wél.
Martijn Kaag
NB Bas Eenhoorn waarschuwt voor falen DigiD in termen van beschikbaarheid. Een dergelijk Single Point of Failure bestaat niet in eHerkenning.
Beste Martijn,
Volgens mij is er nog steeds sprake van een misverstand ;-)
Als ik voor het toegang krijgen tot een dienst, laten we jou voorbeeld nemen van een patiëntendossier, als attribuut mijn naam moet doorgeven (preciser: me moet authenticeren met mijn naam-attribuut), dan is dit toch perfect traceerbaar? In de logfiles van het patiëntendossier kan dan gewoon worden opgenomen dat op datum X persoon Y gegeven Z heeft ingezien.
Merk op dat het naam attribuut authentiek is: het is afgegeven door een derde partij die gecontroleerd heeft dat dit inderdaad mijn naam is.
Ik ben het helemaal met je eens dat voor bepaalde toepassingen, zoals een patiëntendossier, traceerbaarheid van transacties een belangrijke manier is om juist de privacy van de patiënt te beschermen. Dat kan alleen ook prima, zoals ik in mijn reacties heb uitgelegd, met een attribuut gebaseerd identity management systeem.
Beste Jaap-Henk,
Het per applicatie registreren van de transacties geeft de gebruiker binnen een federatieve context met duizenden aangesloten applicaties geen inzicht.
Het vertrekken van (overkoepende) inzage in het gebruik staat haaks op de uitgangspunten van IRMA. De oplossingen dienen daarmee een ander domein.
Ik ben duidelijk over de beperkingen van eHerkenning (niet bedoeld voor 18+ diensten); het zou goed zijn als jij dat van jouw kant ook bent van de beperkingen van IRMA. Zo kunnen we samen tot een betere oplossing komen.
Overigens is de huidige opzet van eHerkenning geheel in lijn met attribute based access control. Inloggen op basis van een transient id met één of meer attributen wordt gewoon ondersteund.
Martijn
De essentie van IRMA is inderdaad juist dat er geen overkoepelende registraties van transacties gemaakt kunnen worden. Jij ziet dat kennelijk als een beperking, ik juist als een feature. Voor het beschermen van de privacy van de gebruikers van het identity management systeem (zoals eHerkenning) (en dat is inderdaad wat anders dan het beschermen van de persoonsgegevens in databases die via het IDM systeem worden ontsloten) is het essentieel dat per applictaie wordt beslist of transacties al dan niet geregistreerd kunnen worden. Niet alle applicaties zullen van het soort zijn zoals een patientendossier (waar een dergelijke registratie gewenst is).
> De essentie van IRMA is inderdaad juist dat er geen > overkoepelende registraties van transacties gemaakt > kunnen worden. Jij ziet dat kennelijk als een beperking
De overkoepelde registratie is “by design” geen onderdeel van IRMA en ik ben het eens met die keuze voor het domein waar IRMA haar waarde creëert.
> Niet alle applicaties zullen van het soort zijn zoals een > patientendossier (waar een dergelijke registratie gewenst is).
Dat klopt. Maar voor alle applicaties die op eHerkenning/eID worden aangesloten is deze registratie wel gewenst. En dat is de kern van mijn betoog.
> is het essentieel dat per applicatie wordt beslist of transacties > al dan niet geregistreerd kunnen worden.
Zeker. Applicaties m.b.t. bijvoorbeeld 18+ diensten zullen dus niet op het huidige eID aangesloten worden. Maar patiëntdossiers en toegang tot financiële producten juist weer wel. En ook andere toepassingen waarbij gedelegeerde toegang belangrijk is behoren tot de doelgroep.
> Niet alle applicaties zullen van het soort zijn zoals een patiëntendossier > (waar een dergelijke registratie gewenst is).
En daar kunnen we elkaar vinden. Ik kan mij heel goed voorstellen dat we het mogelijk maken om binnen het huidige eID in te loggen op basis van een authenticatiemiddel dat óók IRMA ondersteund. Deze applicaties worden dan via IRMA technologie (en daarmee buiten het netwerk) ontsloten. Connectis is zeker geïnteresseerd om hierop te investeren.
Ook andere marktpartijen kunnen en willen innoveren op dit gebied. Van de overheid moeten we niet teveel verwachten, want innovatie en “polderen” gaan niet goed samen.
De kracht van eID/eHerkenning is dat dit soort technologie binnen dit een netwerk ontsloten kan worden zonder dat hier op voorhand consensus op hoeft te zijn. Juist op die manier wordt innovatie binnen dit stelsel mogelijk gemaakt!