Op 18 februari van dit jaar nam de Tweede Kamer de Wet digitale overheid aan. In tegenstelling tot wat de naam van de wet suggereert, is dit niet de juridische weerslag van een brede visie op wat een digitale overheid in zijn totaliteit zou moeten zijn. In plaats daarvan legt het slechts vast waar de opvolger van DigiD aan moet voldoen. Nou zou je kunnen zeggen dat je toch ergens moet beginnen, zeker met een dossier waarop de overheid tot nu toe weinig daadkracht heeft getoond. Echter nu neemt de overheid stappen zonder een duidelijke visie op de toekomst. Zo wordt een belangrijke afslag gemist.
Identiteit is een complex begrip, met verschillende facetten, die ook in de discussie rond digitale identiteit van belang zijn. Zo is er de verbindende, sociale, culturele, politieke identiteit, die uitdrukt met welke sociale groepen, politieke overtuigingen of wereldbeelden een individu zich in essentie verbonden voelt. Daarnaast is er de door anderen waargenomen identiteit, die uitdrukking geeft aan het (voor)oordeel van anderen, en waar zaken als discriminatie en profilering een rol spelen. Ten derde is er de interactieve identiteit, waarin identiteit wordt gezien als een rollenspel binnen een specifieke context, en waarmee wordt onderkend dat iemands identiteit in de ene context fundamenteel kan verschillen van zijn of haar identiteit in een andere context. Mijn identiteit als schrijver van dit artikel is bijvoorbeeld fundamenteel anders dan mijn identiteit als vader van mijn kinderen. Daarmee is meteen ook de sterke relatie tussen identiteit en privacy bloot gelegd. Niet alleen via Helen Nissenbaum's definitie van privacy als contextuele integriteit maar ook via Phil Agre's definitie van privacy als "de vrijheid van onredelijke beperkingen op de constructie van iemands identiteit". Die beperkingen zijn levensgroot in een digitale wereld waarin Google bepaalt wat je over mij vindt, Twitter de volgorde bepaalt waarin mijn volgers mijn berichten te zien krijgen, en Facebook bepaalt wat mijn vrienden over mij te zien krijgen.
Vreemd genoeg laten we, als we het over digitale identiteit hebben, al deze facetten buiten beschouwing en ligt de focus enkel op de onderscheidende, numerieke of juridische identiteit. Digitale identiteit gaat dan over de vraag hoe we de ene persoon van de andere kunnen onderscheiden, middels een naam, burgerservicenummer (BSN) of anderszins, en hoe we in het digitale domein iemands identiteit kunnen controleren, zoals we dat in de 'gewone' wereld met een paspoort of rijbewijs doen. Dit proces van authenticatie is overigens voornamelijk van belang voor de daarop volgende stap van autorisatie: het bepalen of deze persoon toegang krijgt tot een bepaalde website of anderszins online dienst.
De overheid gebruikt al jaren vrij succesvol DigiD als zogenaamd authenticatiemiddel om burgers bij hun bezoek aan overheidssites te authenticeren. Burgers loggen in bij DigiD, die vervolgens het BSN van de burger doorgeeft aan de overheidswebsite, welke dan beslist over de toegang. De veiligheid en betrouwbaarheid van DigiD laat echter te wensen over: authenticatie met alleen gebruikersnaam en wachtwoord voldoet niet meer, zelfs niet met een extra authenticatiestap via een SMS bericht met een verificatiecode. Om aan Europese eisen rond authenticatiemiddelen met een zogenaamd substantieel betrouwbaarheidsniveau te voldoen is meer nodig.
Meer fundamenteel van aard is echter het bezwaar dat systemen als DigiD, net als zogenaamde 'social logins' die het mogelijk maken om met je Google of Facebook account in te loggen bij allerlei apps en websites, gecentraliseerd zijn. DigiD is als de conciërge in het appartementencomplex waar jij zelf niet de sleutel van je appartement bezit: iedere keer als je je appartement in wilt, moet je de conciërge vragen om je voordeur te openen. De conciërge weet dus wanneer je thuis komt, en wie je mee neemt. Erger nog: als je niet thuis bent, kan de conciërge stiekem een kijkje nemen (en iets achterover drukken), eventueel omdat hij daar door anderen (denk aan de politie of de veiligheidsdiensten) toe wordt gedwongen. Iedere keer dat jij in moet loggen bij een website, weet DigiD (of Google, of Facebook) bij welke website je inlogt, en krijgt zo de mogelijkheid je surfgedrag te profileren. Dat is een privacy issue. Daarnaast heeft DigiD (of Google, of Facebook) toegang tot jouw accounts. Dat is misschien niet zo'n probleem als het om Spotify of Netflix gaat, maar wel als het je online bankrekening is. En helemaal als het om buitenlandse aanbieders gaat via welke buitenlandse politie en veiligheidsdiensten zichzelf toegang kunnen verschaffen tot Nederlandse accounts zonder Nederlands toezicht of rechtsbescherming.
Dit is precies waar de overheid met de wet de verkeerde afslag neemt: de wet staat duidelijk een centraal model voor, met authenticatiemiddelen die door private partijen worden uitgegeven. Zoals hierboven geschetst leidt dit tot fundamentele privacy- en veiligheidsproblemen, die niet simpelweg met een toefje open source zijn op te lossen.
Beter is een gedecentraliseerd (of liever nog volledig gedistribueerd) systeem voor authenticatie waar de burger zelf centraal staat, en waar geen enkele partij inzage heeft in de sites die je bezoekt, laat staan dat die zich toegang tot jou accounts kan verschaffen.
Bovendien zijn er vormen van gedecentraliseerde authenticatie die digitale identiteit verbreden en ook meer interactieve, context-afhankelijke vormen van identiteit faciliteren, op basis van attribuut gebaseerde credentials. Burgers kunnen dergelijke credentials op een zelf gekozen moment verkrijgen bij daarvoor vertrouwde uitgevers: bijvoorbeeld een credential met daarin je naam, geboortedatum en BSN bij de gemeente (vergelijkbaar met een paspoort), of een credential met daarin informatie over je zwemabonnement (vergelijkbaar met een lidmaatschapskaart). Het beslissen of iemand toegang heeft tot een bepaalde dienst is dan niet (alleen) afhankelijk van iemands unieke onderscheidende identiteit, maar kan dan ook puur bepaald worden op basis van meer generieke attributen, zoals iemands leeftijd (als het gaat om de online verkoop van leeftijdsgebonden producten of diensten bijvoorbeeld) of de vraag of iemand lid is of een abonnement heeft. Een dergelijk platform is bovendien niet alleen bruikbaar in het publieke domein, maar juist ook in het private domein, waar het allerlei innovaties rondom privacy-vriendelijker (want niet puur identiteits-gebaseerde) authenticatie kan faciliteren. Zo zou bijvoorbeeld ook een bioscoopkaartje of een concertticket als een door de ticketshop uitgegeven anonieme credential kunnen worden gezien.
Een veilige, betrouwbare en privacyvriendelijke digitale identiteit (eID) is een basisvoorziening in de digitale samenleving, net zoals een goed onderhouden wegennetwerk dat is in de fysieke wereld. De overheid moet daarom eindelijk haar verantwoordelijkheid in dezen nemen en zelf een eID voor al haar burgers uit gaan geven, net zoals ze dat al jaren doet met paspoorten en rijbewijzen. Dit is niet iets wat je aan de markt kunt overlaten.
Ik zou zeggen, ontwikkel eerst een decentrale variant van DigiD met een substantieel betrouwbaarheidsniveau, voor authenticatie van burgers binnen het publieke domein (waar het BSN gebruikt wordt). Houdt hierbij rekening met burgers die (om welke reden dan ook) geen smartphone bezitten. En denk vervolgens na over een decentrale, attribuut gebaseerde, digitale identiteitssnelweg. Als eerste uitwerking van een visie op een digitale overheid waarin de burger centraal staat, in plaats van de overheid zelf.
Deze column verscheen op 28 februari 2020 bij iBestuur, en is een gebaseerd op de Staat van het Internet lezing die ik op 27 februari 2020 heb gehouden in Amsterdam.