-

Hoe ziet een standaard authenticatieproces er in de praktijk uit?

Consolidatie van authenticatie bij een paar belangrijke partijen kan ons online leven een stuk makkelijker en veiliger maken: Consumenten volgen een bekend authenticatiepatroon, en komen daardoor minder onaangename verrassingen tegen. Overigens bestaan er al een aantal digitale identiteiten. Een voorbeeld hiervan is DigiD. Het introduceren van een breder toepasbare digitale identiteit is een uitgelezen kans voor banken.

PSD2 geeft wie toegang tot wat?

We lezen in deze periode vlak voor de deadline, erg veel over PSD2. Er klinken veel geluiden, om niet te zeggen waarschuwingen. Door de betalingsrichtlijn zijn banken verplicht de klantaccount-data beschikbaar te stellen voor derde partijen als consumenten dat willen. Zulke derde partijen kunnen fintech start-ups zijn, maar ook grootmachten zoals Apple, Amazon of Facebook.

Bijzonder aan het verhaal over PSD2 is het authenticatieproces. De nieuwe wet maakt het namelijk mogelijk om authenticatie voor social media en shopping accounts te consolideren naar een digitale identiteit. Een voorbeeld: stel, een consument logt in bij een webshop. Nu moet daarvoor nog een gebruikersaccount worden aangemaakt, met bijbehorend wachtwoord. Het is met PSD2 mogelijk om webshops te linken aan de bankrekening van de consument. Zo kan de consument met een klik op de knop inloggen met dezelfde systematiek die hij gebruikt om zich te identificeren bij zijn bank. Dit dringt het aantal gebruikersnamen en wachtwoorden enorm terug. Kortom, gebruikersvriendelijkheid en veiligheid kunnen prima samen.

Nu roept dit voorbeeld voor velen de vraag op of het dan niet erg is dat webshops toegang krijgen tot bankgegevens. Dit is een misvatting; de informatieflow loopt precies andersom. De webshop krijgt je authenticatiegegevens en eventuele bankgegevens helemaal niet te zien. Bij het inloggen word je gewoon even naar de website van de bank geleid om daar in te loggen volgens een bekend systeem, net zoals nu bij iDeal betalingen ook al gebeurt. De bank geeft slechts een seintje aan de webshop na authenticatie dat de persoon die inlogt inderdaad de persoon is die hij beweert te zijn.

Digitale identiteit beschermen en beheren

Laten we de hypothetische authenticatiemethode uit het voorbeeld voor het gemak BankID noemen. Wanneer een consument inlogt op een webshop, krijgt hij of zij de optie om via BankID in te loggen. In de vorm van een pop-up verschijnen vervolgens de bankgegevens, vergelijkbaar met wanneer we een aankoop doen via iDeal. Hier kunnen consumenten dan aangeven of ze BankID willen gebruiken om in te loggen op de webshop en tot welke gegevens deze dan toegang mag hebben. Om dit proces te voltooien is dus expliciete goedkeuring nodig, precies zoals de PSD2 voorschrijft.

Een dergelijke vorm van centrale authenticatie maakt ook het centraal beheren van wie je gegevens heeft veel makkelijker. Binnen dit systeem kunnen consumenten alle webshops en social mediasites terugvinden waarop ze met BankID in kunnen loggen en welke gegevens ze toegankelijk hebben gemaakt voor die derde partijen. Ze kunnen daar dan kiezen of ze het delen van hun gegevens willen intrekken met een aan/uit schakelaar.

Gehoor geven aan consumentvertrouwen

Langzaam maar zeker zal de vraag naar een overkoepelende digitale identiteit steeds toenemen onder consumenten. Het is een kwestie van tijd voordat spelers oplossingen gaan lanceren om dit gat in de authenticatiemarkt te vullen. Sterker nog, er zijn al een aantal overkoepelende oplossingen beschikbaar, zoals DigiD van de Nederlandse overheid. Toegegeven, deze oplossing kan nog wat gebruiksvriendelijker gemaakt worden en is beperkt bruikbaar, namelijk alleen voor het inloggen op overheidswebsites.

Om een overkoepelende digitale identiteit te maken die bruikbaar is voor alle social media en webshops, is het belangrijk dat consumenten de partij door en door vertrouwen. Als consumenten mochten kiezen, zouden ze dan liever een tech-gigant zoals Apple, een kleine fintech start-up of een bank vertrouwen met hun digitale identiteit? We weten dat banken in Nederland op het gebied van vertrouwen nog een kleine voorsprong hebben als het gaat om consumentvertrouwen. Het is belangrijk om daar gehoor aan te geven en op te zinspelen. Bovendien behouden banken op deze manier een competitief voordeel. Met de verschuivingen in de betaalmarkt en de intrede van nieuwe innovatieve spelers op de betaalmarkt, is de rol van banken als geldbewaarder niet meer onverwoestbaar. Door te blijven innoveren op het gebied van authenticatie, versterken banken hun vertrouwenspositie in de markt.

Deel dit bericht

1 Reactie

Allard Keuter

Ik geloof dat de schrijver van dit artikel even niet helemaal bij is et de meest actuele ontwikkelingen. De “BankID” op de iDEAL-achtige manier bestaat allang: iDIN. Zie http://www.idin.nl. iDIN is ontwikkelt vanuit de banken en iDEAL, om precies zoals de schrijver vraagt, de consument te voorzien van een digitale identiteit, waarmee hij of zij zich online kan identificeren bij webshops, verzekeringen, overheid, noem maar op. Dus: helemaal eens met het pleidooi, maar het is er al.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond