websights Self-sovereign identity: alles wat je moet weten | Cybersecurity

Op zoek naar inwebo.com? Dan ben je hier op de juiste plek! Lees er alles over in onze blogpost

Kom en bezoek ons persoonlijk op de komende branchebeurzen en conferenties

Inhoud

De opkomst van de soevereine identiteit

Consumenten en burgers hebben een groeiend wantrouwen tegen de manier waarop organisaties hun persoonlijke gegevens gebruiken. Als digitale identiteit de hoeksteen is geworden van de digitalisering van onze samenleving, dan is Self-sovereign identity (SSI) de manier waarop mensen controle willen houden over hun gegevens en de manier waarop ze die delen. De voordelen van self-sovereign identity worden al een paar jaar aangeprezen en de use cases zijn duidelijk. Hoewel Self-sovereign identity, vaak ook Decentralized Identity genoemd, nog steeds een bewegend doel is en betere definities en standaardisatie vereist, brengt TrustBuilder al veel van zijn beloften in de praktijk.
In zijn meest recente hype cycle voor Identity and Access Management (IAM) technologieën, plaatst Gartner Decentrialized Identity stevig als een van de technologieën op de 'piek van opgeblazen verwachtingen'. En inderdaad, soms lijkt het alsof SSI een technologische oplossing is op zoek naar een probleem. In termen van Gartner moet de 'trough of disillusionment' nog komen en is het 'plateau of productivity' nog ver weg. Toch betekent dat niet dat organisaties het zich kunnen veroorloven om één van de concepten te negeren die een transformatie belooft teweeg te brengen in de manier waarop bedrijven omgaan met identiteit.

Wat is Zelf-soevereine identiteit?

Self-sovereign identity (SSI) is een digitaal identiteitsconcept waarbij individuen of organisaties hun eigen identiteitsgerelateerde gegevens onderhouden en beheren. Het is ontstaan uit een behoefte aan privacy en autonomie in een steeds digitaler tijdperk, waarbij identiteitsinformatie niet alleen wordt beheerd door gecentraliseerde entiteiten zoals overheden of bedrijven. In plaats daarvan maakt SSI een betrouwbare, verifieerbare en gebruikersgerichte benadering van het beheren van digitale identiteiten mogelijk. 

Hoewel de meeste mensen het eens zijn over deze definitie, verschilt de manier waarop deze wordt geïmplementeerd of geïnterpreteerd van bron tot bron. Voor sommigen is gedecentraliseerde identiteit onlosmakelijk verbonden met blockchain. Zoals een artikel in het World Economic Forum beschrijft, houden de gebruiker en de derde partij waarmee de gebruiker identiteitsinformatie uitwisselt, allebei een publieke sleutel die wordt opgeslagen in een gedistribueerd grootboek. Anderen zien self-sovereign identity als een ander woord voor het kunnen authenticeren met je social media logins zoals LinkedIn of Facebook, in plaats van door het gebruik van credentials in de vorm van gebruikersnaam en wachtwoord. En SSI wordt vaak geassocieerd met digitale portemonnees, gegevenskluizen zoals Izimi van Fednot of persoonlijke gegevensopslag zoals de Solid Pod die werd voorgesteld door internetpionier Tim Berners-Lee. 

Wat zijn digitale identiteiten?

Digitale identiteit verwijst naar de gegevens die een individu, organisatie of apparaat uniek vertegenwoordigen in digitale contexten. Het omvat identificeerbare en gedragsinformatie, waaronder gebruikersnamen en wachtwoorden, geboortedata, sofinummers, nationaliteit, universitaire graad, medische informatie, biometrische gegevens, transactiegeschiedenis en online gedrag. De laatste tijd is digitale identiteit steeds belangrijker geworden door de snelle groei van online transacties, digitale diensten en werk op afstand, waardoor een nauwkeurige identificatie van digitale entiteiten nodig is om veiligheid en vertrouwen te garanderen. Net zoals je je fysieke identiteitskaart of rijbewijs op een veilige plek bewaart (de portemonnee in je zak), bewaar je je digitale identiteitsgegevens op een veilige plek, bijvoorbeeld een digitale portemonnee.

Digitale identiteit is nauw verweven met Identity & Access Management (IAM), een raamwerk voor bedrijfsprocessen dat elektronisch of digitaal identiteitsbeheer mogelijk maakt. IAM zorgt ervoor dat de juiste personen op het juiste moment en om de juiste redenen toegang krijgen tot de juiste bronnen. Het biedt een manier om digitale identiteiten te verifiëren (authenticatie) en te bepalen welke acties deze identiteiten mogen uitvoeren (autorisatie). Nu digitale identiteiten steeds vaker voorkomen, zijn robuuste IAM-systemen cruciaal om ongeautoriseerde toegang te voorkomen, verantwoording te garanderen en gevoelige gegevens te beschermen in onze steeds digitalere wereld. In die zin gaat digitale identiteit niet alleen over identificatie, maar is het een sleutelelement in het beveiligen van digitale ruimtes en het beschermen van privacy.

Wat zijn de use cases voor self-sovereign identity?

Er zijn veel use cases voor self-sovereign identity, welke definitie van die term je ook gebruikt. In de toekomst zal SSI een sleutelrol spelen in de manier waarop consumenten en burgers persoonlijke informatie uitwisselen met overheidsinstellingen, bedrijven en met elkaar. Hier zijn enkele voor de hand liggende use cases:

Autonome identiteit in het bankwezen

Bij het afsluiten van een hypotheek zal een bank je vaak vragen om je drie meest recente loonstroken te overleggen. Op die manier kunnen ze vaststellen dat je een vaste baan en een vast inkomen hebt en niet in de problemen komt om je maandelijkse betalingen te doen. Mensen sturen deze loonstrookjes vaak per post, wat een onveilige manier is om gegevens uit te wisselen, omdat mails onderschept of gehackt kunnen worden. Nog belangrijker is dat consumenten informatie sturen die de bank eigenlijk niet hoeft te weten. Ze hebben er niets aan om precies te weten hoeveel je verdient. De enige informatie die nodig is, is of je inkomen boven een bepaalde drempel ligt. In een Self-sovereign identity scenario kan de consument toestaan dat alleen de verplichte informatie wordt uitgewisseld, bijvoorbeeld tussen de bank en de HR-dienstverlener die deze salarisstroken produceert.

Autonome identiteit in human resources

Wanneer je solliciteert naar een baan, wordt je vaak gevraagd om een kopie van je diploma naar de potentiële werkgever te sturen. Meestal betekent dit dat de sollicitant een papieren diploma moet inscannen en per post moet opsturen. Ook hier stuur je meer informatie dan de werkgever nodig heeft. Ze hoeven alleen maar te weten dat je een diploma in een bepaald vakgebied hebt, niet of je cum laude of met de hoogste onderscheiding bent afgestudeerd. In een Self-sovereign identity scenario sturen sollicitanten gewoon een bewijs dat ze zijn afgestudeerd. TrustBuilder maakt deel uit van een consortium waar ook Randstad, Docbyte, Enhansa, karamel en de Vlaamse overheidsorganisatie athumi deel van uitmaken en dat werkt aan de veilige uitwisseling van gegevens in een human resources context. Dit project is gebaseerd op de eerder genoemde Solid Pod technologie.

Autonome identiteit in verzekeringen

Bij het afsluiten van een verzekering moet je de waarde aantonen van de goederen die je verzekert, bijvoorbeeld een huis, een duur horloge of een kostbaar juweel. In het geval van een hypothecaire verzekering sturen de meeste mensen het hypotheekcontract naar de verzekeringsmaatschappij, opnieuw met informatie die de verzekeraar niet nodig heeft, zoals hoeveel je hebt geleend, welk kapitaal je zelf hebt verschaft..... Het enige wat de verzekeringsmaatschappij hoeft te weten is hoeveel je huis getaxeerd is. In een Self-sovereign scenario kun je alleen die verplichte informatie verstrekken en niets meer. 

Wat zijn de voordelen van een autonome identiteit?

Het concept van Self-sovereign identity lost een aantal problemen op die gepaard gaan met de digitalisering van onze samenleving. Zowel consumenten, burgers als bedrijven zullen op verschillende manieren profiteren van SSI.

  • Privacy en controle: Self-sovereign identity stelt individuen in staat om hun persoonlijke gegevens te controleren, waardoor het risico van gecentraliseerde datalekken en ongeautoriseerde toegang afneemt en hun privacy en autonomie behouden blijven.
  • Veiligheid: Door gebruik te maken van gedecentraliseerde cryptografische methoden, beperkt SSI het risico van single points of failure, waardoor het moeilijker wordt voor kwaadwillenden om identiteiten te compromitteren of te vervalsen, wat zorgt voor een veiliger identiteitsecosysteem.
  • Minder identiteitsfraude: De cryptografische aard van SSI vermindert de afhankelijkheid van traditionele identificatiemiddelen zoals gebruikersnamen en wachtwoorden of andere referenties, waardoor het moeilijker wordt voor identiteitsdieven om zich voor te doen als personen en fraude te plegen.
  • Naleving: Voor bedrijven lost SSI het probleem van GDPR op. Ze hoeven niet langer bergen persoonlijke gegevens op te slaan en te beschermen, omdat ze minder gegevens van consumenten en derden ontvangen.

Waarom is TrustBuilder's IAM een goede keuze als je self-sovereign identity overweegt?

TrustBuilder is een van de leiders als het gaat om innovatie in de Identity en Access Management markt. We beschermden al persoonlijke gegevens en digitale identiteiten nog voor het concept van Self-sovereign identity een hype werd.
  • Digitale ecosystemen: TrustBuilder is een pionier in het helpen van organisaties bij het bouwen en beveiligen van digitale ecosystemen waarin bedrijven veilig gegevens en informatie kunnen uitwisselen.
  • Nul-kennis bewijs: TrustBuilder introduceert zijn Policy Information Broker waarmee je verbinding kunt maken met elke applicatie of database om conclusies te trekken op basis van externe gegevens. De Policy Information Broker kan informatie verzamelen die je niet in je eigen databases mag opslaan, bijvoorbeeld vanwege privacyregels. De systemen kunnen bijvoorbeeld controleren of een persoon volwassen of minderjarig is, zonder de exacte geboortedatum op te slaan. Dit wordt zero-knowledge proof genoemd en is een belangrijk element in de bescherming van persoonlijke gegevens.
  • Concrete implementaties: TrustBuilder is betrokken bij concrete implementaties van digitale kluizen en digitale portemonnees. Onze IAM is een hoeksteen van het Izimi project in België, waar de Koninklijke Federatie van Belgische Notarissen, Fednot, Belgische burgers een veilige manier biedt om hun eigen documenten op te slaan en uit te wisselen met derden. Dit project won een felbegeerde KuppingerCole award op hun 2023 European Identity and Cloud conferentie. En TrustBuilder maakt deel uit van een consortium met de Vlaamse overheid om digitale kluizen op basis van Solid Pods te implementeren.
  • Connectiviteit: TrustBuilder is een kampioen in het bieden van connectiviteit met een groot aantal Europese en wereldwijde Identity Providers (IdP's). Deze IdPs spelen een cruciale rol in het verbinden van applicaties met digitale wallets en Pods. TrustBuilder verifieert de integraties en biedt veiligheid aan organisaties.
  • Beleidsgebaseerde toegangscontrole (PBAC): Dankzij toegangscontrole op basis van beleid kan TrustBuilder de kwaliteit van verbindingen tussen digitale kluizen, organisaties, consumenten en burgers garanderen.
Nu onze samenleving en alle actoren daarin steeds verder digitaliseren, worden digitale identiteit, gedecentraliseerde identiteit en de bescherming van persoonlijke gegevens alleen maar belangrijker. Self-sovereign identity, of het nu gebaseerd is op blockchain of op het gebruik van digitale portemonnees, is een concept dat zal helpen bij het beveiligen van de uitwisseling van gegevens en informatie tussen burgers, consumenten, bedrijven en de overheid. Als u wilt weten hoe TrustBuilder u kan helpen om op deze nieuwe golf in te haken, contact met ons opnemen.