In de meetups, designsprints en gesprekken tijdens het Digitale Identiteitslab kwamen heel veel verschillende problemen naar voren. We tellen er acht, op verschillende onderdelen en niveaus. In dit blog zetten we ze op een rij.
1 Onveilig
Identiteitsfraude is een groeiend probleem: Volgens het ministerie van BZK zijn in Nederland zo’n 500 mensen per dag slachtoffer van een vorm van identiteitsfraude. Er zijn in 2017 liefst 10.000 datalekken gemeld, onder meer bij gemeenten. Wereldwijd werden miljarden gebruikersnamen en andere persoonlijke data gestolen. In de media struikel je bijkans over berichten over datalekken, hacks en misbruik van persoonlijke gegevens.
2 Onzeker
Het is dus niet zo vreemd dat zowel gebruikers als dienstverleners voortdurend onzeker zijn: Komt deze bestelling écht bij die winkel terecht? Is de klant echt wie zij lijkt te zijn? Controleurs hamsteren data en transactiegegevens waarmee profielen worden aangelegd die het mogelijk maken outliers (een teken van fraude) vast te stellen. Gebruikers overzien door de vele checks en balances het bos niet meer en hebben als uitgangspunt het vermoeden dat bijvoorbeeld “DigiD toch alles van je weet”. Dit is de kern van een panopticon: het vermoeden van controle is voldoende om mensen hun gedrag aan te laten passen, waarmee vrijheid van gedrag of beweging wordt ingeperkt.
3 Ontbrekende dienstverlening
Stel: je hebt moeite om rond te komen en wilt weten wanneer een bedrag wordt bijgeschreven of afgeboekt. Je belt met de helpdesk bij de gemeente: maar die mag je niks concreets zeggen, want ze kunnen aan de telefoon je identiteit niet vaststellen. Voor veel mensen is een persoonlijk kort telefoongesprek veel toegankelijker dan het raadplegen van een online website. Van gezondheidszorg tot buurtregisseur, van jeugdhulp tot woningbouw en schuldhulpverleners: al deze diensten zitten vol met ideeën en plannen waarmee zij hun taak beter, persoonlijker en efficiënter kunnen uitvoeren. Maar: zonder een digitale identiteit die voor hun specifieke doelgroep werkbaar, betrouwbaar en veilig is, blijft het bij plannen, kleinschalige pilots en frustraties. Vervolgens wordt de overheid vaak verweten verkokerd te opereren en elke poging tot een holistische aanpak in de kiem te smoren.
4 Black box: onwetendheid
In moderne ontwerpmethodes is het mantra “de gebruiker centraal”. Onbedoeld wordt het controleren van identiteit bij dit user centric design alleen als hobbel gezien en niet als moment om een gebruiker controle te geven en een bewuste afweging en keuze te laten maken. Identiteitscontrole wordt zoveel mogelijk verborgen of onzichtbaar gemaakt. Als voorbeeld: in de welwillende dienstverlening naar gemeenten maakt DigiD het aansluiten van diensten op haar systeem zo makkelijk mogelijk. Inzicht in of begrip van technologie is voor gemeenten maar heel beperkt nodig. Nu gemeenten worden uitgenodigd om over te stappen op beter beveiligde versies van DigiD is het lastig om hen van het belang daarvan te overtuigen.
Een betrokken, kritisch gebruik wordt daarmee onbedoeld ontmoedigd of onmogelijk gemaakt: er is geen verweer mogelijk tegen ’the system says no’, omdat er geen argumenten uitgewisseld kunnen worden. Een gedegen functioneel en technisch begrip van digitale identiteit en beveiliging is dus een voorwaarde om lokale overheden te bewegen veiliger technologie te gebruiken. Min of meer magisch, op de achtergrond werkende processen ontmoedigen begrip en reflectie en daarmee betrokkenheid. Dat maakt de samenleving kwetsbaar. Dat infrastructuur, code, beheersovereenkomsten en andere informatie alleen inzichtelijk zijn voor een klein groepje ingewijden maakt de black box groter en moedigt onverschilligheid aan.
Sinds de invoering van de nieuwe wetgeving AVG/GDPR geldt de wettelijke opdracht privacy vanaf het allereerste begin van een systeem expliciet te ontwerpen. Dit heet privacy-by-design en het is belangrijk omdat je sommige ontwerpkeuzes achteraf domweg niet meer veilig en transparant kúnt maken.
5 Centralisatie en surveillance
Leveranciers van digitale identiteit reageren op de onveiligheid en onoverzichtelijkheid door systemen te bouwen die ze zoveel mogelijk zélf controleren en beheersen. Daarin voeren ze een voortdurende surveillance uit door alle transacties en activiteit te traceren en vast te leggen. Maar het centraliseren van kwetsbare, cruciale infrastructuur introduceert een heel nieuw veiligheidsrisico: niet alleen is bij storingen, misbruik of hacks direct het hele systeem gecorrumpeerd, het maakt het systeem ook aantrekkelijker en waardevoller voor misbruik en inbraken. Dit is zichtbaar in de diverse hacks en manipulaties op het Facebookplatform, en de rapportages van de Autoriteit Persoonsgegevens (AP) (“In de eerste helft van 2018 zijn 8.898 datalekken gemeld“).
Door centralisatie en het aan gebruikers aanbieden van “black boxes” is het praktisch onmogelijk geworden systemen te leveren die qua governance en techniek voldoen aan deze regels. Uit oogpunt van controle en beheersing wordt zoveel vastgelegd en gevolgd dat er weer complexe systemen en bestuurlijk toezicht nodig is om aan wetgeving te voldoen. Het eenvoudigweg technisch of met versleuteling afdwingen van doelbinding of het beperken van bepaalde transacties is niet mogelijk.
6 Geen ruimte voor alternatieven
De marktmacht van grote “Log-in Providers” (Facebook, Yahoo, Google) is aanzienlijk en ontneemt zuurstof aan alternatieve businessmodellen en technologieën. Een kleine ondernemer die een webshop begint of een sportclub die een onderlinge competitie wil delen hebben de keuze tussen het zelf opzetten en beheren van een database met email/paswoordcombinaties (kwetsbaar) of het implementeren van een inlogmogelijkheid met Facebook. De kennis, ervaring en investeringen van de overheid op het gebied van online identitymanagement zijn op geen enkele manier maatschappelijk inzetbaar.
7 Businessmodel
Wie heel veel data over digitale identiteiten en hun gedrag heeft, kan geautomatiseerd profielen samenstellen. Toegang tot deze profielen is een businessmodel met hoge marges: voor advertenties, gedragsbeïnvloeding, profilering van verzekerden, kredietwaardigheid. De maatschappelijke impact van deze businessmodellen is internationaal onderwerp van verhit gesprek en onderzoek in politieke debatten, referenda en verkiezingen. Dat een enkele burger hier of daar met reclame om de tuin wordt geleid is hoogstens onbehoorlijk of ongewenst.
Maar hier zijn niet te negeren signalen dat er maatschappelijke-ontwrichting-as-a-service geleverd kan worden. Ook op nationale schaal is elke dataset op basis van digitale identiteit altijd kwetsbaar voor oneigenlijk of commercieel hergebruik (als jij iemand bent die iedere 2 jaar een nieuw paspoort aanvraagt kunnen we je beter ook geen krediet / woning / online rating geven).
8 Bestuurlijk en juridisch vacuüm (“empty chair”)
Een fundamenteel deel van de maatschappelijke infrastructuur is onder beheer van partijen die buiten de eigen democratisch gelegitimeerde jurisdictie of zelfs buiten elke betekenisvolle invloedssfeer vallen. De facto en zelfs de jure ontbreekt dan de mogelijkheid om verhaal te halen, in beroep te gaan of enige maatschappelijke regie te hebben. Opgeslagen data kan fout of achterhaald zijn of worden gedeeld met verkeerde partijen. Politieke afwegingen worden zo buiten een politieke sfeer gemaakt op basis van private randvoorwaarden en infrastructuur, terwijl deze standaarden wel ons dagelijks leven beïnvloeden.
Dus?
Supererg allemaal. En nu?
Dit is deel 1 van een driedelige blogserie over de bevindingen van het digitale identiteitslab. In dit eerste blog bespreken we de problemen met digitale identiteit zoals deze nu georganiseerd is.
In de volgende aflevering kijken we naar maatschappelijke waarden, ethiek en wat die betekenen voor technologie voor digitale identiteit.
Tot slot stellen we een wegingskader voor dat kan helpen bij het voeren van een gesprek over maatschappelijke waarden en technologische keuzes.