Digitale identiteit is glibberig: het laat zich makkelijk vernauwen tot “ik wil veilig inloggen bij een webwinkel om een boek te bestellen”. Het hele thema lijkt dan overzichtelijk en oplosbaar: de online boekwinkel moet enigszins zorgvuldig met de gegevens van zijn klanten omgaan. Maar voor de goede, of fantasierijke, verstaander zijn de titel van het boek en het adres waar het naar toe gaat op zich al genoeg ingrediënten voor een nieuwe roman. Zo gaat dat in een fysieke boekwinkel immers ook: een man met ribbroek en gedateerd hoedje rekent een biografie van Stalin af. Iedereen die dat ziet, zal zich even een beeld vormen van de identiteit van deze man: wie hij is, waarom hij nu over Stalin moet lezen, in welke krant hij een recensie ontmoette. Na enige momenten bedenk je dat dit allemaal niet zo geweldig interessant is en zijn er weer andere gedachten.
Maar online wordt al deze warrigheid natuurlijk netjes opgeslagen. Een altijd beschikbare zee aan inspiratie voor marketeers, onderzoekers en hun geautomatiseerde varianten die daarmee allerlei romans kunnen schrijven. En zo is digitale identiteit terecht gekomen bij dramaturgie en interactionisme : sociologische begrippen die stellen dat identiteit niet iets is, maar dat het ontstaat in interacties. Waar je dus per definitie niet de volledige regie over kunt hebben, laat staan dat het vast te leggen is: ‘Identity is in the eye of the beholder’.
Spannend. Interessant. Maar hoe bestel ik nou een boek? Hoe vertrouw ik de webwinkelier? Of de afdeling parkeervergunningen? Een aantal auteurs slaagt erin orde in de begripsverwarring scheppen: hieronder een aantal voorbeelden. Enigszins willekeurig en ook vooral geselecteerd op leesbaarheid.
Zeven wetten
Al in 2005 beschreef Kim Cameron zeven wetten voor digitale identiteitssystemen, waarvan de eerste vier onlangs in Europese wetgeving zijn verankerd met de GDPR/AVG. Centraal staat het inzicht dat machines hier stap voor stap het vertrouwen van mensen moet winnen.
In een presentatie (20 minuten) van begin dit jaar zette Cameron nog eens op een rij wat gevolg is van het systematisch schenden van deze uitgangspunten en hoe dat leidde tot een hele reeks aan schandalen en waarschuwingen die de afgelopen twee jaar uitgebreid in het nieuws kwamen. Meer is te vinden op de website van Cameron die geheel gewijd is aan digitale identiteit.
Vooral vanuit de blockchain community is het begrip Sovereign Identity opgekomen. Christopher Allen beschreef in 2016 wat volgens hem soevereiniteit over identiteit betekent en benoemde 10 onderliggende principes.
Crisis en chaos
In The Identity Crisis (Alpár, Hoepman, Siljee 2011) staan veel verhelderende inzichten. Omdat de levensduur van een identiteit niet overeen hoeft te komen met de de levensduur van de persoon (of het ding) waar de identiteit iets over zegt, hoeft identiteit dus niet gelijk te zijn aan de werkelijkheid. Er wordt een mooie, beknopte definitie van vertrouwen gegeven: vertrouwen betekent dat partijen onopgemerkt elkaars regels kunnen overtreden. Wat ook betekent dat iedere keer dat er vertrouwen ontstaat, er ook een veiligheidsrisico bijkomt.
Een originele verklaring voor de chaotische diversiteit aan inlogsystemen, wachtwoordmanagers en e-readers komt van Steve Wilson. Deze diversiteit doet hem denken aan evolutionaire processen: organismen ontstaan, muteren en fuseren naar aanleiding van steeds veranderende grote lokaal verschillen.
10 Keuzes
Op basis van zijn ervaringen met Idensys formuleerde Jaap-Henk Hoepman onlangs 10 keuzes waarvoor we in Nederland staan. Waaronder of overheidssystemen open zouden moeten staan voor andere partijen en wat daarvan het risico is:
Ook hier geldt weer dat een groter stelsel tot een lager vertrouwen leidt, en de ontwikkeling van zo’n stelsel onbeheersbaar wordt vanwege de (te) grote groep stakeholders.
Auteur: Job Spierings, projectmanager bij Waag