SSI: dé digitale kluis om snel en veilig data te delen

Met één druk op de knop je persoonlijke brondata veilig versturen naar een hypotheekverstrekker, woningcorporatie of autoverhuurbedrijf, terwijl je zelf de controle houdt. Als het aan Rabobank ligt, is dit binnenkort geen toekomstmuziek meer. Gebruikers bepalen zelf met wie ze informatie delen over hun identiteit, inkomen en adres. En bedrijven die deze data ontvangen, weten zeker dat die kloppen en actueel zijn.

In een steeds verder digitaliserende wereld is veilig identiteitsgegevens opslaan en delen een absolute noodzaak. De methode Self-Sovereign Identity (SSI) maakt dit mogelijk, met hulp van blockchaintechnologie. Gebruikers verzamelen hierbij hun persoonlijke data – paspoort, rijbewijs, inkomensverklaring, etc. – in een eigen digitale kluis. De bron van deze data – bijvoorbeeld een bank of overheidsinstelling – ondertekent de data digitaal. Daarna is administratieve rompslomp voor beide partijen verleden tijd. De data staat opgeslagen op de telefoon van de gebruiker, waar niemand erbij kan. David Lamers, blockchainspecialist bij Rabobank, vertelt waarom de bank deze technologie ontwikkelt en hoe zij deze gaat aanbieden.

Gemak en veiligheid

‘SSI is de volgende stap in digitaal identiteitsbeheer’, stelt Lamers. ‘Via diensten als iDIN of DigiD kunnen mensen zich al veilig identificeren. Met SSI doen we daar nog een schepje bovenop: aan de identificatie voegen we data-uitwisseling toe. Heb je als organisatie gegevens van een klant nodig, dan stuur je een digitaal dataverzoek. De klant bepaalt met een druk op de knop of hij daar toestemming voor geeft. Door de digitale ondertekening weet je als bedrijf dat de gegevens kloppen, dat ze van de juiste bron komen én dat ze volledig up-to-date zijn. Een win-winsituatie.’

De gebruiker beheert zijn gegevens en toestemmingen via een mobiele app. Dankzij de biometrische beveiliging – vingerafdruk, gezichtsherkenning – kan alleen de gebruiker zelf de app openen. Lamers: ‘Die beveiliging in combinatie met de digitale ondertekening maakt dit een heel veilige oplossing. En blockchaintechnologie zorgt ervoor dat niet één centrale partij de gegevens beheert, dat maakt deze methode extra veilig.’

Meer zekerheid, minder sporen

De voordelen van SSI voor bedrijven zijn legio. ‘Veel minder administratieve lasten, die staat met stip op één. Je hoeft aangeleverde data nooit meer handmatig te valideren, het systeem checkt en verwerkt alles automatisch. Bovendien ben je er zeker van dat de data klopt, manipulatie is onmogelijk. Voor bijvoorbeeld woningcorporaties is dat een uitkomst, omdat fraude met inkomensverklaringen bij toekenning van een sociale huurwoning dan uitgesloten is.’

Betekent deze technologie het einde van datalekken waarbij persoonsgegevens buit worden gemaakt? ‘Dat is lastig te zeggen’, vindt Lamers. ‘Andere vormen van persoonlijke data liggen nog steeds voor het oprapen, zoals surfgedrag op internet. Maar zowel bedrijven als consumenten krijgen met SSI meer grip op de persoonsdata. Gebruikers hebben de regie over hun gegevens en kunnen een eerder gegeven toestemming ook eenvoudig intrekken. Zonder een dataspoor achter te laten. Dat is grote winst.’

Is de mens de zwakste schakel?

De technologie ontwikkelen is één ding – zorgen dat mensen en bedrijven die verstandig gebruiken is weer een andere uitdaging. Consumenten moeten begrijpen wat het betekent als zij een bedrijf toegang geven tot hun data. En welke organisaties mogen eigenlijk zo’n dataverzoek sturen? ‘Hier ligt zeker een risico’, zegt Lamers. ‘En voor ons als bank een verantwoordelijkheid. We moeten onze klanten goed informeren, zodat zij een weloverwogen besluit kunnen nemen om een product of dienst af te nemen. Stel dat een bedrijf klanten geld biedt om alle data uit zijn kluis op te kopen. Moeten we hen daartegen beschermen? Of moeten we zorgen dat de verifiers – bedrijven die zulke gevoelige data mogen ontvangen – streng gescreend worden? Die puzzel zijn we nu aan het leggen. Bedrijven moeten minstens een goede invulling hebben gegeven aan de Algemene Verordening Gegevensbescherming (AVG).’

Op zoek naar slimme samenwerking

Om klanten SSI-diensten aan te bieden, moet Rabobank hiervoor een eigen infrastructuur ontwikkelen. Een stevige basis ligt er al, en de volgende stap is om de technologie op grotere schaal en breder inzetbaar te maken. Hiervoor zijn de juiste partners essentieel’, zegt Lamers. ‘Dit is niet iets dat we alleen willen doen. We werken al samen met partners om deze techniek toe te passen waarin ieder zijn eigen expertise levert. Ook helpt het ons om het draagvlak te vergroten. We hopen op korte termijn klaar te zijn voor de markt.’

De klant in controle

Waarom houdt Rabobank zich eigenlijk bezig met de ontwikkeling van de SSI-technologie? ‘Hoe wij omgaan met data is essentieel voor het vertrouwen van klanten in onze bank. Een belangrijk uitgangspunt voor Rabobank is dat de klant in controle is over het gebruik van zijn of haar data’, aldus Lamers. ‘In ons Tech Lab onderzoeken we de nieuwste technologieën en trends die kunnen bijdragen aan deze ambitie. SSI is hier een voorbeeld van en maakt het veilig en gecontroleerd delen van data mogelijk. Bovendien past het in ons straatje: we faciliteren al financiële transacties, straks maken we ook datatransacties mogelijk.’