De toekomst van self-sovereign identity
Self-sovereign identity: een nieuw principe in identity management
Een belangrijk principe van self-sovereign identity is dat gebruikers zelf bepalen welke gegevens ze delen en met wie. Identity wallets - digitale portefeuilles met persoonsgegevens – moeten mensen hierbij gaan helpen. Identity-experts hebben de laatste jaren aandacht voor de principes van SSI, onder andere vanuit privacy-oogpunt.
Europese wetgeving en HOSA-IAM sturen op SSI
Daarnaast zijn er ontwikkelingen als de Europese eIDAS 2.0-verordening, waarin EU-lidstaten straks worden verplicht om een wallet aan te bieden aan hun burgers. Ook de onlangs gepubliceerde Hoger Onderwijs Sector Architectuur op het gebied van identity- en accessmanagement (HOSA-IAM, pdf) laat zien dat SSI een van de architectuurprincipes van de toekomst wordt. SURF houdt deze ontwikkelingen voor onderwijs en onderzoek nauwlettend in de gaten en identificeert in afstemming met de sector de kansen die SSI biedt. Daarnaast voeren we ook zelf technische verkenningen uit (zie hieronder).
Wat zijn de gevolgen voor onderwijs en onderzoek van de opkomst van SSI?
Daarover is nog veel onduidelijk. Momenteel is federatieve authenticatie via SURFconext de meest gebruikte methode om op diensten in te loggen bij onze instellingen. Dit zal voorlopig wel zo blijven. Met name bij systemen van de instelling blijven gebruikers inloggen met hun instellingsaccount via SURFconext. We zien voor de middellange termijn wel mogelijkheden voor SSI bij het authenticeren van gebruikers die niet vast verbonden zijn aan een instelling, zoals gastdocenten, onderzoekers over landsgrenzen en citizen scientists (burgers die meewerken aan onderzoek van wetenschappers).
Naast authenticatie ligt het voor de hand om wallets ook in te zetten om gegevens uit te wisselen over de grenzen van de sectoren heen. Zo zou de onderwijssector kunnen besluiten om informatie (bijvoorbeeld microcredentials) op te slaan in de wallet. De gebruiker kan deze informatie vervolgens beschikbaar stellen aan anderen, bijvoorbeeld potentiële werkgevers. En omgekeerd wordt het mogelijk dat in onze sector gegevens gebruikt worden die door andere partijen aan de wallet van de gebruiker zijn toegevoegd.
De verwachting is dat SURFconext en de wallet(s) een periode naast elkaar zullen blijven bestaan. Hoe lang dat zal zijn is nu nog moeilijk te zeggen.
Welke concrete ontwikkelingen zie je op het vlak van self-sovereign identity?
Verschillende commerciële partijen ontwikkelen al wallets. Apple biedt er bijvoorbeeld al een aan. Maar er zijn ook publieke initiatieven. Zo is er Yivi (voorheen) IRMA, gestart vanuit de Radboud Universiteit. En ook de overheid is bezig een wallet te ontwikkelen. Dit gebeurt binnen de eIDAS 2.0-verordening. De Europese Unie verplicht straks een aantal publieke en private diensten om deze wallet te accepteren, mits deze voldoen aan de gestelde eisen. De EU wil ook platforms als Facebook verplichten om de wallet te accepteren, en daar is veel discussie over.
Wat doet SURF zelf op het gebied van SSI?
We volgen de nationale en internationale ontwikkelingen nauwgezet, en kijken ook welke rol we zelf kunnen spelen, met name vanuit technisch perspectief. Zodat wij als SURF, maar natuurlijk ook de aangesloten instellingen, klaar zijn voor SSI als het echt doorbreekt.
Een concreet project is de ontwikkeling van een proof of concept van een wallet. We verwachten dat er de komende jaren tientallen wallets op de markt komen die allemaal net op een andere manier werken. We willen met deze proof of concept onderzoeken welke eisen onderwijs en onderzoek precies aan een wallet stelt. Dat helpt bij het bepalen welke wallets we in de sector zouden kunnen gebruiken. Maar de conclusie kan ook zijn dat we als sector toch zelf een eigen wallet moeten ontwikkelen.
Update mei 2023: de resultaten van de verkenning van een SSI-wallet voor onderwijs en onderzoek zijn gepubliceerd en te downloaden via deze link: Technische verkenning SSI-wallet voor onderwijs en onderzoek.
We onderzoeken daarnaast hoe het gebruik van wallets zich verhoudt tot de AVG. Hierbij proberen we vragen te beantwoorden zoals: wat is de impact van gebruik van SSI op de belangrijkste principes van de AVG, zoals de rolverdeling, verwerkingsgrondslag en doelbinding. EN: vindt er op het moment dat data in de wallet van de gebruiker zit, nog wel verwerking van persoonsgegevens plaats?
Verder werken we op dit vlak veel samen met andere partijen, zoals OCW, DUO, Kennisnet en GÉANT, onder andere door kennis uit te wisselen en mee te werken aan technische pilots.
En hoe zit het met eduID? Hoe verhoudt dat zich tot SSI?
We hebben eduID in eerste instantie ontwikkeld als een digitale, instellingsonafhankelijke identiteit. Een van de belangrijkste use cases is het vereenvoudigen van de administratieve processen voor de studenten als ze een opleiding op meerdere instellingen volgen. Verder wordt eduID nu vooral gebruikt om instellingen de mogelijkheid te geven om gasten toegang te geven tot interne systemen. Maar in de toekomst zou eduID in een SSI-ecosysteem kunnen uitgroeien van een voorziening om in te loggen tot een wallet waarin gebruikers hun persoonlijke gegevens kunnen opslaan en onder eigen regie delen met andere partijen. In 2022 hebben we al onderzocht wat de mogelijkheden zijn, maar het is nog te vroeg om te zeggen welke rol eduID precies gaat spelen in een toekomstig SSI-ecosysteem.
Kunnen instellingen zelf meedenken over het toepassen van SSI?
Graag! We kunnen altijd goede ideeën gebruiken, bijvoorbeeld over mogelijke use cases. Mail mij op michiel.schok@surf.nl. We proberen instellingen ook bij elkaar te brengen om kennisuitwisseling en kennisvergaring over dit onderwerp te vergemakkelijken.
tekst: Jan Michielsen