De digitale economie is op stoom. De afgelopen jaren zagen veel nieuwe digitale diensten het licht, variërend van online betalen en paspoort aanvragen tot e-learning en e-commerce. Bij vrijwel elke dienst moet je gegevens overhandigen, zoals geboortedatum, adres, BSN en bankrekeningnummer. Met een e-wallet is het mogelijk om zulke vertrouwelijke gegevens digitaal te beheren en beschikbaar te stellen. Aan de overheid de taak om een betrouwbare digitale portefeuille te ontwikkelen. Wat kan zij leren van de e-wallets die elders werden ontwikkeld?
In de publieke sector is digitale identiteit een actueel thema. De Europese Commissie zet vaart achter regelgeving die lidstaten verplicht om stappen te nemen bij de ontwikkeling van e-wallets. Dit zijn een soort digitale kluizen waarin je je digitale documenten en gegevens veilig bewaart en zelf bepaalt welke gegevens je met welke gegevensverwerker deelt. Bijvoorbeeld om in een slijterij aan te tonen dat je 18+ bent, bij een hypotheekaanvraag aan te tonen dat je kredietwaardig bent of bij een aanstaande werkgever aan te tonen welk opleidingsniveau je hebt. Het is de bedoeling dat de e-wallets over de landsgrenzen heen functioneren, zodat je deze ook bij gegevensverwerkers uit andere EU-lidstaten kunt gebruiken.
Laagdrempelig en betrouwbaar
Voor de ontwikkeling van de digitale economie is het belangrijk dat er laagdrempelige en betrouwbare oplossingen voor het beheer van iemands digitale identiteit bestaan. Een e-wallet kan deze functie vervullen. Wallets bestaan grofweg uit drie kerndiensten: het bewijzen van je identiteit, het geven van toestemming voor het gebruik van identiteitsgegevens (consent) en het inloggen bij dienstverleners (autorisatie).
Een wallet creëert waarde voor de burger als deze er relevantie aan ontleent. Als hij er zijn persoonlijke voorkeuren kan aangeven, bewijsdocumenten zoals diploma’s kan toevoegen en de app beschouwt als betrouwbare kluis. Zo houdt hij de regie over zijn persoonsgegevens en documenten en hoe hij deze deelt of juist niet. Een goede app werkt op basis van het concept Zero-knowledge proof, waarbij de persoon nooit méér informatie deelt dan strikt noodzakelijk.
Een betrouwbare wallet kenmerkt zich bovendien door goede governance voor wat betreft data en technologie (aanpak bij incidenten), duidelijk privacybeleid (aanpak om te voldoen aan AVG) en interoperabiliteit (beschikbaarheid voor andere systemen). Deze onderdelen vormen het fundament van elke oplossing voor het beheer van digitale identiteit.
E-wallets en de overheid
De Nederlandse overheid wil in 2023 een eerste versie van een e-wallet gereed hebben. Dit heeft flinke impact voor organisaties in de publieke sector. Zij zijn immers zowel bronhouder, gegevensverstrekker als gegevensontvanger. Ze moeten hun processen aanpassen, zodat zaken als privacy, beveiliging, governance, databeschikbaarheid, standaardisering en interoperabiliteit zijn gewaarborgd. Om dit alles in goede banen te leiden, startte de overheid in 2022 het programma EDI Stelsel. Dat moet een hoogwaardige toekomstvaste infrastructuur voor inlogmiddelen en e-wallets opleveren.
E-wallets zijn niet nieuw. In het bedrijfsleven en in het buitenland bestaan verschillende toepassingen voor digitaal beheer en uitwisseling van identiteitsgegevens van particulieren. De toepassingen hebben de laatste jaren een vlucht genomen. Belangrijke aanjagers zijn het risico op identiteitsfraude, het toenemend aantal onlinetransacties tijdens de coronapandemie, de behoefte aan slimme onboarding door het groeiende aantal jobhoppers en de opkomst van de gig- en platformeconomie. Dit zijn situaties waarin mensen eenvoudig en veilig relevante persoonsgegevens digitaal willen delen.
Use cases
De reeds bestaande e-wallets variëren van single sign-on applicaties van grote techbedrijven (zoals Apple, Google en Facebook), tot digitale kluizen van bankconsortia (zoals iDIN, BankID en Verified.Me) en andere bedrijven (zoals Itsme, eHerkenning en Credly). In Nederland is onder meer ABN AMRO actief met een soort e-wallet. De bank introduceerde kortgeleden ID & pay, een app die omslachtige onboarding- en betaalprocessen vervangt door één online identificatie- en betaalfunctionaliteit binnen de eigen beveiligde omgeving van de bank.
Ook Aadhaar, de e-wallet van de Indiase overheid, is een vermelding waard. De cijfers achter dit Indiase voorbeeld zijn indrukwekkend. Door aan te sluiten op de overheidswallet lukte het de grote telecomaanbieder Reliance Jio om in zes maanden tijd maar liefst honderd miljoen nieuwe klanten te verwerken. Dit komt neer op gemiddeld 600.000 onboardings per dag. De activatie gebeurde telkens binnen vijf minuten.
Strategische kansen
De markt van e-wallets balanceert tussen reikwijdte en vertrouwen. Bestaande wallets van grote techbedrijven als Amazon en Meta hebben een enorm bereik, maar worden door veel gebruikers gewantrouwd. Andere e-wallets, zoals die van banken, genieten een groot vertrouwen, maar hebben een beperkt bereik.
Een overheidswallet heeft de potentie van groot bereik én groot vertrouwen. Dit schept strategische kansen, mits de toepassing en de achterliggende processen goed zijn ontwikkeld. Om deze kansen te benutten, moeten overheden de digitale identiteit van burgers goed regelen en kaders stellen aan de oplossingen die derde partijen daarvoor ontwikkelen.
De juiste mix van zaken als gebruikerstoestemming en -voorkeuren, authenticatie en credentials draagt bij aan het vertrouwen in e-wallets. Is dit niet het geval, dan kan dit de verdere ontwikkeling van de digitale economie belemmeren.
TCS heeft de afgelopen jaren wereldwijd diverse bedrijven en overheden ondersteund met oplossingen voor digitaal beheer van identiteitsgegevens.
