“Self Sovereign Identity: tussen hoop en hype”

Iedereen die in de IT werkt of IT trends volgt zal onderhand wel eens gehoord hebben van de term ‘Self Sovereign Identity’ of afgekort: SSI.

 

De kern van dit concept is dat een ‘subject’ (meestal een persoon) volledige (soevereine) zelfbeschikking heeft over alle gegevens die zijn of haar digitale identiteit vormen. Dit wordt vormgegeven door deze persoon de mogelijkheid te bieden om geverifieerde gegevens digitaal uit te wisselen op een manier waarbij de privacy van het individu maximaal gewaarborgd wordt. Meestal gebeurt dit door een zogenaamde identity wallet, een mobiele app, die de persoon kan gebruiken om door een bron geverifieerde gegevens (verifiable credentials / attributen) bij een bron op te halen, bijvoorbeeld bij de overheid.

Vervolgens kan deze persoon de gegevens onder eigen controle veilig kunnen opslaan en beheren, zonder dat er iemand, bijvoorbeeld een identity provider zoals Google of Facebook, over de schouder meekijkt. Ook kan deze persoon die geverifieerde gegevens delen om zaken te doen op het internet waarbij alleen die gegevens gedeeld worden die nodig zijn voor een specifiek proces.

Het werkt ongeveer zoals onderstaande afbeelding.

 

Hoop

Als gedachte klinkt het Self Sovereign Identity concept goed en biedt het hoop voor het ooit decentraal ingerichte internet dat onderhand veroverd is door intermediairs die ons leven beloven makkelijker te maken.

Gelukkig ziet ook de publieke sector de ontwikkeling van het SSI concept en de mogelijkheden die het biedt voor onze digitale identiteit en digitale gegevensuitwisseling. Het idee van SSI biedt hoop voor allerlei mensen en partijen die op zoek zijn naar een ander, mooier, internet. Het biedt hoop omdat het efficiëntie belooft voor de achterkant van allerlei complexe administratieve processen. Denk aan allerlei compliance processen en allerlei processen die draaien om het checken van de validiteit van gegevens.

De belangrijkste hoop zit er echter in dat onze grondrechten op het internet beter geborgd kunnen worden. SSI belooft privacy doordat jij en alleen jij over je data het beheer voert. Het beloofd autonomie omdat je echt regie over je gegevens hebt zonder een intermediair of overheid die je metadata logt. Het beloofd decentralisatie van kennis en macht omdat centrale partijen minder informatie over het handelen van personen verzamelen. Het belooft dataminimalisatie omdat je enkel hoeft te verstrekken wat nodig is en het belooft gegevensbescherming omdat je data niet op talloze plaatsen gekopieerd hoeft te worden wanneer het als verifiable credential verstrekt wordt.

Hype

Er zit echter ook een keerzijde aan deze hoop die SSI biedt. Dat is de hype die eromheen aan het ontstaan is. Deze hype zorgt ervoor dat soms onduidelijk is welk probleem we nou precies met SSI aan het oplossen zijn. Soms dreigt het een hamer te worden die op zoek is naar spijkers.

Het SSI gedachtengoed komt oorspronkelijk voort uit een Angelsaksisch denken over de overheid. Het gaat uit van een groot wantrouwen tegen alle vormen van centrale instituties. Dat alle bronregisters in principe geen publiek goed dienen en dat iedereen zoveel mogelijk voor zichzelf moet zorgen zonder collectieve publieke diensten. Uit dit denken komen veel internet innovaties voort. Het brengt echter ook veel ellende.

Dit zorgt ervoor dat we erg goed op moeten letten in welke mate we de argumenten die de hype vooruit dragen echt steunen.

Denk aan de discussie over de ‘puurheid’ van de SSI implementatie die partijen voorstaan. Als je decentralisatie en autonomie helemaal doorvoert mag er nooit meer een centrale server zijn en zijn ‘middle-men’ altijd uit den boze. Dat leidt uiteindelijk tot discussies die niet over technologie gaan, maar over je mensbeeld: hoe autonoom en zelfbeschikkend wil je iedereen laten zijn en hoe inclusief ben je als je een 75 jarige niet internet gebruiker digitale zelf soevereiniteit gaat opdwingen?

Een ander element aan de SSI hype noem ik graag ‘privacy washing’. Het gedachtengoed rond SSI kwam ooit voort uit het idee dat een individu volledig autonoom controle moet hebben over zijn of haar identiteit. Hierbij zouden de opties die het internet biedt voor prachtige diensten behouden worden, maar ieders individuele privacy wel maximaal geborgd worden.

Wat we in de hype nu zien is dat veel partijen gaan werken met SSI achtige identity infrastructuren of interactie modellen waarbij de focus vooral ligt op het argument van efficientie en administratieve lastenverlichting. De dataminimalisatie, privacy en autonomie worden een soort nice-to-haves die mooi meegenomen zijn, als we maar simpel geverivieerde gegevens kunnen laten uitwisselen door de gebruiker. We wassen de innovatie als het ware wit door een privacy sausje en we noemen het SSI.

Dan laat ik nog onverlet dat veel van de SSI ‘oplossingen’ die aangeboden lang nog niet volwassen en robuust genoeg zijn om cruciale processen in onze maatschappij op te baseren. Als een app 1000 gebruikers heeft en er wekelijks meermaals uit ligt gaan we geen cruciale infra in onze maatschappij erop baseren. Zeker niet als we de maatschappelijke discussie over de wenselijkheid van deze ‘oplossing’ nog niet goed genoeg gevoerd hebben.

Voorbij de hype naar hoop

Laat ik duidelijk zijn, ik geloof in de potentie. Laten we dan niet allemaal achter een hype aangaan, onszelf serieus nemen en een serieuze discussie voeren over hoe self-sovereign we onszelf en onze naasten willen laten zijn.