Inhoudsopgave
Aanleiding
In maart 2020 heeft Novum een onderzoek afgerond naar de toepassing van Blockchain technologie in de context van de SVB. Tijdens dit onderzoek werden we al op het spoor gezet van Self Sovereign Identity technologie (SSI) als mogelijk relevante technologie om verder te onderzoeken.
Ook in de IV-strategie van de SVB wordt in het hoofdstuk innovatie aandacht besteed aan SSI. Hierin zou SSI een kans kunnen bieden om de burger meer regie te geven op de eigen gegevens.
De opdracht
Samengevat was de opdracht om een verkennend onderzoek te doen naar SSI-technologie en de toepasbaarheid daarvan binnen de context van de SVB. Binnen dat onderzoek waren we specifiek op zoek naar het antwoord op de volgende vragen:
- Wat is Self Sovereign Identity (SSI)?
- Binnen welke processen van de SVB is SSI eventueel toepasbaar?
- Is SSI technisch gezien al bruikbaar en stabiel genoeg binnen de context van de SVB?
De Aanpak en resultaten
De opdracht voor het uitvoeren van het onderzoek is uitgezet bij 3 studenten van de opleiding ICT & Business van de Fontys Hogeschool. Zij hebben hun opdracht uitgevoerd door het doen van een literatuurstudie en interviews met experts op het gebied van SSI en digital identiteit.
Wat is Self Sovereign Identity (SSI)?
Self Sovereign Identity (hierna te noemen: SSI) is een verzamelnaam voor standaarden en voorzieningen die het mogelijk maken dat personen zelf kunnen bepalen wie welke (persoons)gegevens krijgt. De ontvanger van die gegevens kan wel zekerheid hebben over de juistheid van de gegevens. SSI is niet één op zichzelf staande technologie maar eerder een systeem opgebouwd uit 7 bouwstenen:
- Verifiable Credentials (VC): Het digitale equivalent van een fysiek gegeven (zoals je geboortedatum) in je paspoort.
- Digital Wallets: Het digitale equivalent van de fysieke portemonnee voor het bewaren van een VC op elk modern apparaat: smartphone, laptop, etc.
- Issuers, holders & verifiers: De drie rollen van de ‘vertrouwens driehoek’
- de issuer organisatie of persoon die de gegevens uitgeeft,
- de holder organisatie of persoon die gegevens bewaart in de digital wallet
- de verifier organisatie of persoon die gegevens verifieert wanneer de gegevens worden getoond door de holder.
- Digital Agents: Apps en software modules die de holder in staat stelt de digital wallet te gebruiken om VC’s te verkrijgen en presenteren, verbinding te beheren en veilig te communiceren en VC’s uit te wisselen met andere digital agents.
- Decentralized Identifiers (DID): Een nieuwe type digitale adres dat wordt gebruikt voor berichtenverkeer tussen digtal agents. Dit berichtenverkeer is gedecentraliseerd er is dus geen sprake van een centrale autoriteit.
- Blockchain: Blockchain is een gedistribueerde, cryptografisch beschermde database die kan dienen als een bron voor DID’s en openbare sleutels.
- Governance Framework: Zakelijke, juridische en technische regels voor het gebruik van SSI-infrastructuur.
Binnen welke processen van de SVB is SSI toepasbaar en van meerwaarde?
Wanneer de SVB SSI gaat inzetten moet er nagedacht worden over vanuit welke rol de SVB dat doet. Issuers, holders of verifier. Afhankelijk van welke rol de SVB aanneemt kan iets gezegd worden over de meerwaarde.
SVB als issuer
Als de SVB de rol van issuer aanneemt betekent dit dat zij verifiable credentials uitgeeft aan een burger (holder) zodat deze met de verifiable credential bij een andere partij (verifier) een bepaalde claim kan bewijzen. Voorbeelden van processen binnen de SVB waarbij dit van toepassing is, is de TPW-A1 verklaring. Hiermee kan een medewerker van een bedrijf in het buitenland bewijzen dat de werkgever in Nederland sociale lasten afdraagt. Nu gaat dit door middel van een verklaring op papier die door gebruik van SSI vervangen kan worden voor een digitaal bewijs.
Voordeel van SSI technologie ten opzichten van een papieren document is dat de SVB als issuer de verifiable credential, in dit geval de A1 verklaring, eenzijdig ongeldig/onbruikbaar kan maken nadat het is uitgegeven. Met papieren documenten is dit een stuk lastiger.
SSI maakt nieuwe vormen van dienstverlening mogelijk
Tijdens het onderzoek kwam naar voren dat SSI nieuwe vormen van dienstverlening voor de burger mogelijk kan maken die nu niet gezien worden als kerntaak van de SVB maar wel van meerwaarde zou kunnen zijn voor een burger. Een voorbeeld hiervan zou bijvoorbeeld kunnen zijn dat de SVB een verifiable credential uitgeeft waarmee een burger kan bewijzen dat deze AOW gerechtigd is. Deze claim zou gebruikt kunnen worden om binnen de gemeente waar iemand woont kortingen te krijgen op een museum of OV. Denk bijvoorbeeld aan de stadspas in Amsterdam. Het grote voordeel is dat de gemeente en de partij die de korting geeft hoge zekerheid heeft dat iemand echt recht heeft op AOW zonder dat we als SVB onze AOW administratie hoeven open te stellen of te delen met deze partijen.
SVB als holder
Er is in het onderzoek geen situatie gevonden waarin het logisch zou zijn dat de SVB de rol van holder aanneemt. Vrijwel in alle gevallen is de burger de holder van een verifiable credential.
SVB als verifier
In vrijwel alle regelingen die de SVB uitvoert kan zij de rol van verifier (controleur van een gegeven) aannemen. Dit betekent niet dat SSI dus ook bij alle regelingen van meerwaarde is. Neem bijvoorbeeld de AOW. Als je deze regeling zou baseren op SSI technologie dan betekent dit dat de burger zelf eerst bij de gemeente een verifiable credential zou moeten ophalen waarmee vervolgens aan de SVB bewezen kan worden dat de burger de AOW leeftijd bereikt heeft. Dit is vanuit gebruikersperspectief vele malen omslachtiger dan het huidige systeem waarbij de SVB zelf direct bij de bron (BRP) dit gegeven controleert.
Waar SSI en de rol van verifier voor de SVB wel van meerwaarde is, is in regelingen waarbij de burger iets moet aantonen/bewijzen aan de SVB zonder dat de SVB directe toegang heeft of zou willen hebben tot de oorspronkelijke bronsystemen. Denk bijvoorbeeld aan de CSE- en asbestregeling waarin een burger een bepaalde indicatie voor een ziekte moet kunnen aantonen aan de SVB. Dit zou mogelijk ook van meerwaarde kunnen zijn voor de PGB.
Is SSI al bruikbaar en stabiel genoeg binnen de context van de SVB?
Het korte antwoord op deze vraag is nee. De huidige staat van SSI technologie is nog niet ver genoeg ontwikkeld dat deze direct bruikbaar is in de context van de SVB. Zoals in de inleiding is aangegeven bestaat SSI uit 7 verschillende componenten. Sommige daarvan zijn al vrij ver ontwikkeld en gestandaardiseerd zoals decentralised identifiers die een W3c standaard hebben. Maar er zijn andere componenten die nog wel verder ontwikkeld dienen te worden voordat de SVB SSI op grote schaal zou kunnen adopteren. Met name zou gekeken moeten worden naar de volgende punten.
- Geen of nog niet ver genoeg ontwikkeld governance framework.
Wat kenmerkend is voor SSI, is de vertrouwensrelatie tussen drie partijen: issuer, holder en verifier. Deze drie partijen moeten allemaal een gelijke standaard op het gebied van SSI hanteren om samen te kunnen werken. Om dit voor elkaar te krijgen is een governance framework nodig waarin deze standaard ontwikkeld en beheerd wordt. M.a.w. als de SVB een verifiable credential gaat uitgeven dat bewijst dat de burger recht heeft op AOW, dan moet deze compatible zijn met de wallet van de burger om deze op te kunnen slaan. En de wallet moet weer compatible zijn met het controlesysteem van de verifier (museum, gemeente). En alle partijen moeten vertrouwen hebben in het geheel. - Geen breed geaccepteerde / veelgebruikte wallet
Een andere grote uitdaging is dat als de SVB in de rol van issuer credentials wil uitgeven of als verifier wil controleren, de burger een SSI wallet moet hebben waar deze verifiable credentials in staan. Op het ogenblik is het nog niet zo dat veel burgers beschikken over zo’n wallet. Het is wel zo dat de Europese Commissie heeft aangegeven dat deze er wel zou moeten komen voor iedere Europeaan. - Eigenaarschap
Een oplossing om al eerder met SSI aan de slag te gaan, voordat de bovenstaande uitdagingen zijn opgelost, is door eigenaarschap te nemen over de hele keten. Wat hiermee bedoeld wordt is dat bijvoorbeeld de SVB zowel het systeem voor de het uitgeven van de verifiable credential (issuer), de wallet (holder) en het systeem om de credential te controleren (verifier) ontwikkeld.
Het probleem hiermee is dat dit op een meer principieel niveau indruist tegen het concept van ‘eigen regie’, omdat er op deze manier toch weer een systeem ontwikkeld zou worden waarbij één partij alles kan bepalen. De uitdaging is dus om met verschillende partijen eigenaarschap te creëren over een dienst voor de burger die op basis van SSI uitgevoerd kan worden, waarbij sommige van deze partijen alleen de lasten zullen hebben en niet de baten.
Vervolg
Het onderzoek wijst uit dat de SVB nog niet op korte termijn zou moeten starten met het grootschalig inzetten en ondersteunen van SSI technologie. Wel is aangetoond dat SSI technologie voor de SVB en de klanten van de de SVB in theorie op sommige plekken van meerwaarde kan zijn.
Het advies is dan ook om in de komende tijd door middel van proof of concepts en pilots deze technologie verder te onderzoeken. Daarbij zou de focus moeten liggen op het daadwerkelijk valideren van de meerwaarde voor de klant, governance frameworks, adoptie van wallets en het organiseren van eigenaarschap over het geheel, samen met andere partijen.