#36 - Self-Sovereign Identity voor een betere beveiliging

De afgelopen weken zien we regelmatig berichten over datalekken bij organisaties die veel persoonsgegevens in beheer hebben. Hoogste tijd voor een betoog over het belang van wallets.

We schrijven regelmatig over de potentie van tokens voor het verhogen van loyaliteit en engagement van fans. Het leukste en meest opvallende onderdeel van web3 waar we creatief gezien op los kunnen gaan. Eén van de fundamentele verbeteringen ten opzichte van web2 is dat tokens op meerdere platformen te gebruiken zijn ter verificatie van ownership. Simpel gezegd; je hebt toegang tot bijvoorbeeld een app, een metaverse omgeving of een fysiek evenement op vertoon van een specifieke token. Maar kan het ook met persoonlijke data?

Ja dus.. say hello to Self-Sovereign Identity.

You check what you need

Het concept van Self-Sovereign Identity (SSI) wil in grote lijnen zeggen dat de persoonlijke data van een individu volledig (en alleen maar) in beheer zijn bij de individu zelf. Dit is opgeslagen in een persoonlijke wallet en specifieke onderdelen worden alleen gecheckt (en dus niet gedeeld of opgeslagen) indien dat nodig is. De flow van hoe dit werkt vindt plaats vanuit een zogenaamde “Trust Triangle” waarbij 3 partijen betrokken zijn.

1. Holder: Dit is het individu met een wallet waarin de data opgeslagen kan worden.

2. Issuer: De partij die de data naar de Holder stuurt.

3. Verifier: De partij die data nodig heeft om iets te verifiëren.

We spreken van een driehoek omdat de Verifier ook de Issuer moet vertrouwen om de data überhaupt te accepteren. Als voorbeeld nemen we fan van een Eredivisie club die een seizoenkaart wil kopen. De holder (in dit geval de fan) heeft zijn ID van de issuer (de overheid) nodig om bij de verifier (de club) een seizoenkaart aan te vragen.

De club vertrouwt de overheid als betrouwbare bron en de fan levert dit bewijs vanuit zijn wallet aan tijdens het registreren. De club hoeft deze informatie niet op te slaan, omdat het eenmalig geverifieerd is. Zodra het registratieproces afgerond is, ontstaat er een nieuwe trust triangle, want de club heeft als issuer de seizoenkaart in de wallet van de fan geplaatst. De eerstvolgende keer dat de fan het stadion probeert in te komen, zal de fan bij de ingang zijn wallet laten scannen. De leverancier van de toegangspoorten checkt hiermee of de fan een geldig seizoenkaart heeft en mag naar binnen.

Zodra de fan in een biertje wil bestellen, wordt de wallet weer gescand en de horeca partij checkt alleen of de fan ouder is dan 18 jaar via de ID in de wallet. De horeca partij hoeft namelijk helemaal niet te weten hoe oud je precies bent, hoe je heet en wat je BSN nummer is.

Als het seizoen voorbij is en de fan wil verlengen, hoeft de club alleen maar de wallet te checken op een seizoenkaart van afgelopen jaar omdat de fan hier voorrang heeft om dezelfde plaats te behouden.

Slechts een klein en simpel voorbeeld van hoe het veilig, snel en minder foutgevoelig kan werken als we de gebruiker eigenaar maken van de data. Omdat geen enkele andere partij deze hoeft op te slaan zullen er er dus ook geen datalekken meer ontstaan. Mocht je het interessant vinden, hierbij een aantal verdiepende stukken:

• The Path to Self-Sovereign Identity

• Introduction to Self-Sovereign Identity and Its 10 Guiding Principles

• Three decades after inventing the web

Dit stuk kan niet gedeeld worden zonder een digitaal standbeeld voor deze man op te zetten:

Tim Berners-Lee

Hij is de uitvinder van het World Wide Web zoals we dat vandaag de dag gebruiken. Tim deed in 1999 namelijk al een oproep om het internet vorm te geven als het semantische web, wat later ook web3.0 werd genoemd. De afgelopen jaren maakt hij zich ook hard voor een open-source project Solid waarbij je zelf eigenaar bent over je data en deze alleen deelt wanneer dat nodig is. En als je dit concept van iemand moet aannemen is het wel van Sir Tim natuurlijk 😉