Het is tijd voor een wereldwijde standaard voor digitale identiteit

Per uur vinden er miljoenen digitale transacties plaats waarvoor verificatie of authenticatie van iemands identiteit nodig is. Maar hoe doe je dat als je die persoon niet kent, niet kunt zien en hij of zij niet persoonlijk aanwezig is? Oftewel: hoe standaardiseer je wederzijds vertrouwen?

Er is een duidelijke behoefte aan een geverifieerde identiteit die mondiaal wordt geaccepteerd in verschillende digitale kanalen. Dat betekent niet dat er nog meer data moeten worden verzameld dan nu al gebeurt in mogelijk kwetsbare data warehouses. Je wilt juist een oplossing die het individu de controle geeft over de verschillende gegevens die samen zijn of haar identiteit vormen. Een identificatiemethode die de identiteit van een persoon en diens apparaten veilig, direct en met zekerheid verifieert, zonder dat er wachtwoorden nodig zijn en met de garantie dat gegevens alleen met toestemming van de eigenaar worden uitgewisseld.

Digitale identiteit is veel meer dan een gedigitaliseerd paspoort of rijbewijs of online profiel. Het is een combinatie van actuele digitale data die een individu definiëren. Het is dynamisch, voor meerdere doelen geschikt en herbruikbaar. Het is een methode waarmee kan worden vastgesteld of je recht hebt op een dienst of voordeel. En het is het gevolg van een dynamisch netwerk van gedistribueerde databronnen (zoals van financiële instellingen, mobiele netwerkproviders en overheden) die je identiteit indien nodig verifiëren.

Principes: de eigenaar heeft de controle

Hoe kom je nu tot een wereldwijde standaard die dit alles mogelijk maakt? Over die vraag hebben wij ons het afgelopen jaar samen met Microsoft gebogen. En daar zijn de volgende principes uit voortgekomen die samen het grondwerk vormen voor identiteitsoplossingen:

• Inclusiviteit– iedereen heeft recht op een digitale identiteit.
• Eigendom– individuen zijn eigenaar van hun identiteit en persoonlijke gegevens.
• Eenvoud– het gebruik van je digitale identiteit moet intuïtief zijn.
• Vertrouwelijkheid– een persoon heeft het recht om zijn digitale identiteitsinformatie privé te houden.
• Toestemming– de digitale identiteit van een persoon mag niet worden gebruikt of gedeeld zonder diens uitdrukkelijke toestemming, tenzij de wet anders stelt.
• Transparantie– individuen hebben het recht om te weten hoe hun digitale identiteitsgegevens worden gebruikt en gedeeld.
• Beveiliging & integriteit– identiteitsgegevens en transacties waarbij de digitale identiteit van een persoon wordt gebruikt, moeten veilig worden bewaard.
• Gegevensrechten– individuen hebben het recht om hun gegevens in te zien, te corrigeren en te verwijderen. Bovendien hebben ze recht op verhaal als deze rechten worden geschonden.
• Eerlijk gebruik– de gegevens mogen alleen worden gebruik voor legitieme, eerlijke en niet-discriminerende doeleinden.
• Keuze– individuen moeten kunnen kiezen welke aanbieder van digitale identiteit ze gebruiken en ze hebben het recht om zich af te melden voor die oplossing.

Deze principes zijn het hart van het ecosysteem waarop onze partners identiteitsoplossingen kunnen ontwikkelen. Om de digitale identiteit mogelijk te maken, zijn er drie nieuwe rollen die ingevuld moeten worden, die van vertrouwensverschaffer, data-verificatiepartij en het digitale-identiteitsnetwerk. De vertrouwensverschaffer heeft idealiter al een relatie met de gebruiker; het kan bijvoorbeeld diens bank zijn. Deze partij levert de oplossing waarmee de gebruiker indien gewenst zijn digitale identiteit kan beheren. De data-verificatiepartij controleert de verstrekte data met zijn eigen gegevens; dit kan bijvoorbeeld een overheidsinstantie zijn. Het digitale-identiteitsnetwerk maakt de technische interacties mogelijk. Daar ligt dus onze rol als Mastercard, waarbij wij nadrukkelijk geen data verzamelen maar enkel de connectie mogelijk maken. De gegevens zijn lokaal opgeslagen op de smartphone of een ander apparaat van de eigenaar. Zo verlaag je de kans op databreuken zoveel mogelijk.

Betere klantreis, nieuwe diensten

Vergelijk het met een besturingssysteem als iOS of Android. Voor de consument maakt het niet uit hoe dat technisch werkt, zolang hij zijn telefoon of laptop maar snel, gemakkelijk en veilig kan gebruiken. Maar achter de schermen komt er veel bij kijken. Dat geldt ook voor digitale identiteit.

Door digitale identiteit te standaardiseren, verloopt de customer journey soepeler en kun je nieuwe diensten ontwikkelen. Denk bijvoorbeeld aan een versneld aanvraagproces voor een lening of het openen van een nieuwe bankrekening. De koopknop bij webwinkels wordt meteen de betaalknop. Het delen van informatie over je gezondheid met verschillende instanties verloopt soepeler terwijl je zelf de controle houdt. En ga zo maar door.

De gemiddelde internetgebruiker heeft algauw 150 online accounts, allemaal met een eigen beleid ten aanzien van wachtwoorden en authenticatie. Het identiteitsmodel zoals wij dat voor ogen hebben, zorgt ervoor dat de consument hiervoor zijn digitale identiteit kan gebruiken.

Daarnaast is het veiliger dan de huidige identificatiemethoden. Het probleem van online fraude is nog steeds niet opgelost en wordt alleen maar groter met de opkomst van Internet of Things-apparaten. Over een paar jaar zijn er 50 miljard verbonden apparaten en sensoren, die de eigenaar kwetsbaar maken voor hacks en andere cybersecuritydreigingen.

Kortom, dit model zal digitale interacties mogelijk maken met minimale gegevensuitwisseling en alleen wanneer dat nodig is. Gegevens en het gebruik daarvan zijn effectief beveiligd, zodat de gebruikers de controle hebben en de identiteit van een persoon veilig is gekoppeld aan hun smartphone. Gevolg is een betere gebruikerservaring en een kleiner risico op fraude.