‘Self-sovereign identity’ is het zoveelste buzzword aan het blockchain-firmament. Het betekent zoveel als ‘baas over je eigen identiteit zijn’. En velen noemen dit de meest veelbelovende toepassing van blockchaintechnologie. Ook de Dutch Blockchain Coalition heeft digitale identiteiten met stip als eerste actielijn gebombardeerd. Toch ben ik uitermate kritisch.

Niet op het idee achter self-sovereign identity overigens: wie kan er nou tegen zijn dat burgers baas over hun eigen identiteit zijn? Sterker nog: dat is iets waar ik zelf al jaren voor pleit. Echter: het concept gaat veel verder dan de simpele mogelijkheid om zelf, met eigen middelen, aan te kunnen tonen wie je bent. En de blockchain heeft er geen spat mee te maken.

Identity management, het beheren van je (online) identiteit, heeft als doel de toegang tot online diensten op een veilige en gebruikersvriendelijke manier te regelen. De meest gebruikersvriendelijke manier zou zijn om één site te laten controleren of je inderdaad bent wie je zegt dat je bent, en dat die je vervolgens toegang geeft tot al je online diensten. Deze vorm is erg populair. Facebook Connect maakt het mogelijk om met je Facebook-account op allerlei diensten (zoals Spotify) in te loggen. En via DigiD kunnen alle Nederlanders inloggen op MijnOverheid, hun zorgverzekeraar, etc. Maar met deze vormen van identity management geef je als gebruiker alle controle uit handen. (Ik schreef hier al eens eerder over op deze plek.)

Het is echter niet alleen belangrijk om te controleren of iemand inderdaad is wie hij zegt dat hij is. Mijn identiteit is veel meer dan alleen mijn Facebook-accountnaam of mijn burgerservicenummer. Mijn identiteit is een grote verzameling van persoonlijke gegevens, die afhangt van de context waarin ik mij bevindt, en die niet alleen door mijzelf bepaald wordt, maar ook door anderen. Ik kan mijzelf een Nederlander vinden, of zeggen dat ik afgestudeerd ben. Maar anderen zullen mij niet zomaar op mijn blauwe ogen geloven. En het feit dat ik, bijvoorbeeld, net aan een tumor ben geopereerd, is niet iets wat ik noodzakelijkerwijs deel met mijn collega’s.

Een privacyvriendelijke manier om deze veel complexere, rijkere, identiteit te beheren is gebaseerd op attribute based credentials. Je kunt die credentials zien als de digitale variant van je personeelspas, bibliotheekkaart, rijbewijs of bonuskaart die je zelf bewaart (beheert!) in je portemonnee. Afhankelijk van de context laat je een bepaald pasje zien, bijvoorbeeld om aan te tonen dat je lid van de bibliotheek bent, of dat je ouder bent dan 18.

Omdat de credentials uitgegeven zijn door een betrouwbare partij, en voorzien zijn van echtheidskenmerken, worden ze geloofd. De eerste ideeën voor een digitale variant bestaan al ruim dertig jaar, en kant-en-klare implementaties hiervan zijn er al. Die zijn bovendien zo privacyvriendelijk dat niemand kan zien wanneer welke credential waar gebruikt wordt.

Hier komt geen blockchain bij kijken. Sterker nog, de blockchain als publiek register van alle identiteiten en credentials, en het gebruik daarvan, zou uitermate schadelijk zijn voor de privacy, omdat het publiek is ziet iedereen wat er gebeurt. Vandaar dat alle toepassingen van blockchain voor identity management grote moeite doen om al die gevoelige informatie alsnog te verbergen. Alsof de blockchain eigenlijk een blok aan hun been is…. Je zou haast gaan denken dat ze de blockchain alleen maar als buzzword gebruiken om op de hype mee te liften.

Of zijn het de magische krachten die mensen, als ze over de blockchain praten, er aan toe dichten? Zoals bijvoorbeeld Rutger Zuidam, bekend blockchain evangelist, onlangs in de NRC: “Blockchain raakt elke sector, omdat er overal gegevens gebruikt worden waarvan je zeker wilt zijn dat ze kloppen. Dat is precies waar deze technologie voor zorgt.” Komen mensen daarom misschien op het lumineuze idee om bijvoorbeeld diploma’s en certificaten op de blockchain op te slaan?

Helaas: de blockchain is geen waarheidsmachine. Als je er onzin in stopt komt er onzin uit. Vandaar dat de blockchain het echte probleem met onderlinge erkenning van diploma’s en certificaten niet oplost. Dat is namelijk een heel andere vraag. Namelijk: kloppen die certificaten wel? Of: hoe goed is die opleiding aan de Technisch Universiteit Delft, of de Sharif University of Technology nu eigenlijk? Dat tweede probleem lossen attribute based credentials ook niet op, overigens. Maar het eerste wel!

Self-sovereign identity? Ja! Maar laat de blockchain er buiten alsjeblieft.

Deze column verscheen (in kortere versie) op 24 februari 2018 in het Morgen katern van het FD