Identiteitsbeheer op de blockchain: een revolutie op privacygebied

De toekomst van identiteit is digitaal. Het internet heeft de manier waarop informatie wordt verzonden fundamenteel veranderd. De huidige oplossing voor online identiteit is echter onbetrouwbaar en achterhaald. In een snel digitaliserende wereld kan behoud van de status quo tot rampen leiden. De conclusie is helder. Een veilige online identiteitslaag is een essentiële, maar ontbrekende infrastructuur voor de moderne samenleving.
article-5042-identity-management-blockchain-header-v2.jpg

Het internet was nooit bedoeld voor digitaal identiteitsbeheer

De architecten van het internet ontwierpen het als een open platform voor informatieuitwisseling en samenwerking, niet voor authenticatie van identiteiten. Als gevolg daarvan hebben organisaties creatieve manieren moeten bedenken om gebruikers te volgen en authenticeren.

Momenteel is elke organisatie gedwongen om haar eigen gebruikersgegevens te verzamelen en beveiligen, een knelpunt voor zowel de organisaties als de gebruikers. Bedenk maar eens hoe vaak je al een scan van je paspoort hebt geüpload om je voor een dienst te registreren, of met hetzelfde e-mailadres een account hebt aangemaakt op de zoveelste website. Als gevolg daarvan zijn je gegevens opgeslagen in tientallen databases over de hele wereld. Zulke opslagplaatsen worden ook wel “silo's” genoemd, en hoewel ze allemaal gebruikersgegevens bevatten zijn ze onafhankelijk van elkaar.

To watch this video you need to accept marketing cookies

Deze silobenadering is overduidelijk inefficiënt, maar het grootste probleem is dat elke organisatie een ander beveiligingsniveau hanteert. Dit biedt kwaadwillenden keus uit talloze doelwitten bij hun jacht op gebruikersgegevens, wat verklaart waarom dergelijke aanvallen in de afgelopen jaren zo sterk zijn toegenomen. Als je een LinkedIn- of Yahoo-account hebt, behoor je helaas bij de slachtoffers. Als je de veiligheid van je account nog niet hebt gecontroleerd, kun je dat hier doen. Nu identiteitsgerelateerde digitale fraude en inefficiënties epidemische vormen aannemen, is de situatie eigenlijk onhoudbaar.

De regelgeving weerspiegelt de huidige situatie

Het is begrijpelijk dat regelgevers proberen om orde te scheppen in het in silo's opgedeelde landschap. Hervormingen zoals de Europese cookiewet of de AVG zijn prijzenswaardige pogingen om persoonlijke en identiteitsgegevens te beschermen. Maar hoewel dit stappen in de goede richting zijn, biedt regelgeving geen oplossing voor het kernprobleem: het internet is niet ontworpen voor identiteitsbeheer. Hoewel er op dit gebied veel innovatie heeft plaatsgevonden - denk bijvoorbeeld aan biometrie - lijkt alleen de opkomst van gedistribueerde grootboektechnologieën (DLT), oftewel blockchain, een einde te kunnen maken aan de huidige silobenadering. Onlangs hebben wij onze visie van een digitale identiteitslaag, of Self-Managed Identity (SMI) uiteengezet.

Identity management on blockchain - Data silos - by Accenture

SMI is de toekomst van digitaal identiteitsbeheer

Kort gezegd geeft SMI je de controle over je gegevens terug, zonder dat je op derden hoeft te vertrouwen. Gegevens die op jou betrekking hebben, uiteenlopend van diploma's tot je geboortedatum, worden geverifieerd en bewaard in een veilige container die alleen voor jou toegankelijk is. De controles kunnen worden uitgevoerd door betrouwbare instellingen, bijvoorbeeld de gemeente die je woonadres bevestigt. Derden kunnen verzoeken om toegang tot informatie (een bank moet bijvoorbeeld je geboortedatum kennen), en jij kunt dergelijke informatie delen omdat je beschikt over geverifieerde gegevens. De kwetsbare silo's kunnen worden afgebroken, zodat kwaadwillenden geen duidelijke doelwitten meer hebben.

Met SMI zal identiteitsbeheer eindelijk aansluiting vinden bij de moderne digitale wereld.

Recente ontwikkelingen op het gebied van versleuteling en DLT verzekeren bovendien dat je gegevens nagenoeg fraudebestendig en ontoegankelijk voor anderen zijn. Externe partijen kunnen alleen met jouw uitdrukkelijke toestemming geverifieerde gegevens bekijken. Een ander groot voordeel van SMI is dat alleen gegevens worden gedeeld die absoluut noodzakelijk zijn voor een bepaalde dienst. Als een slijterij bijvoorbeeld je leeftijd wil controleren, kun je simpelweg de geboortedatum in je container bevestigen, terwijl andere persoonlijke gegevens (zoals je geboorteplaats, naam, BSN etc.) onzichtbaar blijven. Dit maakt fraude of identiteitsdiefstal aanzienlijk moeilijker, zo niet onmogelijk.

SMI zal de manier waarop bedrijven, overheden en particulieren met elkaar omgaan drastisch verbeteren. Het ID2020-initiatief, dat is opgezet om 1,1 miljard mensen zonder geldig identificatiemiddel een digitale identiteit te geven via blockchain, is hiervan een goed voorbeeld. Als SMI het groene licht krijgt, ontstaat een unieke nutsvoorziening en zal identiteitsbeheer eindelijk aansluiting vinden bij de moderne digitale wereld. Het evenaart of overtreft de beschermingsmogelijkheden van de huidige regelgeving, zoals gegevensminimalisatie en -portabiliteit, waardoor twee vliegen in één klap worden geslagen. Maar voordat deze transformatie tot stand kan komen, moet het pad ervoor worden geëffend door overheden.

Identity management on blockchain - Paved road - by Accenture

Hoe verhoudt identiteitsbeheer zich tot de huidige regelgeving?

Het is niet duidelijk hoe het bewaren van persoonlijke gegevens op de blockchain (SMI) precies past in de huidige gegevensbeschermingsregels. Vooral artikel 17 van de AVG, waarin het recht op gegevenswissing oftewel “recht op vergetelheid” is opgenomen, is bijzonder vaag. Het grootste probleem is dat de betekenis van “wissen” niet is gedefinieerd. Bij het opstellen van de tekst hadden de regelgevers waarschijnlijk traditionele databases voor ogen, met harde schijven waarvan gegevens kunnen worden verwijderd. De manipulatiebestendige aard van blockchain maakt het verwijderen van gegevens moeilijk of zelfs onmogelijk. In plaats daarvan kunnen gegevens ontoegankelijk worden gemaakt, maar mogelijk hebben gegevensbeschermingsfunctionarissen hier bezwaar tegen omdat het niet strookt met hun interpretatie.

Het is niet duidelijk hoe het bewaren van persoonlijke gegevens op de blockchain precies past in de huidige gegevensbeschermingsregels.

De regelgevers proberen technologieonafhankelijk te blijven door te stipuleren dat gegevensverantwoordelijken wisacties “rekening houdend met de beschikbare technologie” moeten uitvoeren. De technologie wordt bewust vaag gehouden, omdat het waarschijnlijk is dat deze vaak zal veranderen. Dit gebrek aan duidelijkheid zou ruimte kunnen bieden voor de onveranderbare aard van blockchain. Onzeker blijft echter of de technologie daarmee vrij is van de interpretatie van “wissen” met betrekking tot het recht op vergetelheid. Wij hebben gepleit voor de opslag van gegevens buiten de keten, met de hash en referentie in de keten. Ons technische voorstel kan echter vergelijkbare bezwaren oproepen, omdat het kan worden gezien als een onveranderbare verwijzing naar persoonlijke gegevens. Artikel 17 van de AVG is maar één voorbeeld, er zijn meer onduidelijkheden.

Zo zorgen de strenge regels rondom de screening van klanten (Customer Due Diligence, CDD) door bedrijven voor nog meer onzekerheid.  De Europese antiwitwasregels verplichten bedrijven bijvoorbeeld om de identiteit van klanten te verifiëren op basis van “documenten, gegevens of inlichtingen uit betrouwbare en onafhankelijke bron”.  De acceptatie van SMI-verificaties, zoals hierboven omschreven, als betrouwbare gegevens of inlichtingen zou al kunnen volstaan voor naleving van dit voorschrift. Hoewel de oorspronkelijke antiwitwasrichtlijn (die in januari 2020 in lokale wetgeving moet zijn opgenomen) al vijf keer is geamendeerd en/of aangevuld, is het nog steeds onduidelijk wanneer gegevens als betrouwbaar en onafhankelijk mogen worden beschouwd. Regelgevers zullen dit moeten verhelderen voordat financiële instellingen SMI-gegevens kunnen accepteren voor hun CDD-controles.

Oproep aan regelgevers

Er is een zekere ironie aanwezig in de huidige Europese regelgeving. Hoewel ambitieuze reglementen zoals de AVG of antiwitwasrichtlijn voortkomen uit goede bedoelingen en verder gaan dan alle eerdere pogingen om persoonlijke gegevens te beschermen, zijn ze niet waterdicht. Zolang de identiteitsinfrastructuur gebaseerd blijft op het huidige chaotische landschap, zullen fraude en inbreuken aan de orde van de dag blijven. Als de huidige regelgeving geen ruimte biedt om een veilige digitale identiteitslaag te creëren, ondergraaft ze in feite haar eigen intenties.  

Identity management on blockchain - Chaotic landscape - by Accenture

Gelukkig zijn er positieve ontwikkelingen. Het Europese parlement heeft bijvoorbeeld erkend dat blockchain een prominente rol zal gaan spelen door middel van de onlangs aangenomen DLT-resolutie. Nationale wetgevers zouden echter meer actie kunnen ondernemen. Zo zou CDD-naleving kunnen worden vereenvoudigd door een ministerieel besluit waarin SMI-verificaties worden aangemerkt als acceptabele manier om geverifieerde gegevens te verstrekken.

EU-lidstaten moeten bovendien verduidelijken hoe er rekening kan worden gehouden met “beschikbare technologie” bij het wissen van gegevens. Duitsland, waar onlangs de aangepaste Federale Wet Bescherming Persoonsgegevens is aangenomen, heeft een andere interpretatie van het AVG-artikel gekozen en ontslaat verwerkerkingsverantwoordelijken van de verplichting om gegevens te wissen wanneer “dat onmogelijk is ... vanwege de specifieke opslagmethode”. Hiermee schept Duitsland duidelijk een precedent voor het toestaan van blockchaintechnologieën en SMI.

Identity management on blockchain - Harnessing revolution - by Accenture

Tijd voor een revolutie in de regelgeving?

Het “wissen” van onduidelijke regelgeving rondom zelfbeheer moet prioriteit krijgen bij nationale en Europese overheden. Wij dragen hieraan bij door actieve betrokkenheid bij wereldwijde overlegorganen, normeringsorganisaties en allianties voor bevordering van het blockchain-ecosysteem. Deze groepen zetten zich dag en nacht in om deze technologie te promoten en aanpassing van regelgeving te stimuleren. Als er rechtszekerheid wordt geboden, kan de digitale identiteit misschien eindelijk de moderne tijd worden binnengeloodst. Ben jij klaar voor de revolutie in digitaal identiteitsbeheer?