Er zijn veel online toepassingen die zorgen dat je kunt aantonen dat jij ook echt bent die je zegt te zijn. Het probleem bij het gros van deze toepassingen is dat zij veel meer informatie doorgeven dan nodig en gewenst. IRMA verstrekt alleen relevante en gewenste informatie.
Wat doe je als ouder als je kind van bijna 13, op het moment dat jij aan het werk bent, online een spel aanschaft dat alleen geschikt is voor kinderen van 18 jaar of ouder? Een identificatiecheck zou in dat soort gevallen uitkomst kunnen bieden. Bij voorkeur een check waarbij alleen gevraagd wordt om relevante gegevens. In het genoemde voorbeeld is het alleen relevant of een persoon 18 jaar of ouder is. Het scannen van een paspoort of ID-kaart? Het zou kunnen, maar die mogelijkheid geeft veel meer informatie dan in dit geval relevant én gewenst is. Dat geldt ook voor DigiD. Een instrument dat wel alleen de gevraagde relevante informatie toont, is IRMA (‘I Reveal My Attributes’).
Privacyvriendelijker
Het initiatief van IRMA ligt bij de Radboud Universiteit (RU) in Nijmegen en gaat terug tot begin 2008. ‘Als universiteit waren wij toentertijd nauw betrokken bij het privacygedoe rond de ov-chipkaart’, zo schetst Bart Jacobs, RU-hoogleraar computerbeveiliging. ‘Naar aanleiding van de ervaringen met die kaart zijn we een onderzoeksproject gestart waarbij de vraag centraal stond hoe dit soort oplossingen privacyvriendelijker te maken. In de loop der jaren hebben we daar mooie slagen in gemaakt, specifiek op het gebied van op attribuut gebaseerde authenticatie. Een attribuut is bijvoorbeeld je banknummer, huisadres, e-mailadres of burgerservicenummer (BSN).’
Sociaal experiment
Een van de meest opvallende eigenschappen van IRMA is dat het werkt aan de hand van een decentraal model, daar waar veel services en diensten op internet gebruikmaken van een centraal model. De relatie tussen een webwinkel en Facebook is een voorbeeld van een centraal model. Op het moment jij een product aanschaft in een webwinkel word je doorgestuurd naar Facebook en die ‘vertelt’ de webwinkel wie je bent. iDIN, een online identificatiemiddel en geïnitieerd vanuit de banken, werkt op dezelfde manier en vraagt voor iedere transactie een vast bedrag van enkele tientallen eurocenten. Bij IRMA en andere decentrale systemen haalt een gebruiker eerst dingen (attributen) op. Vervolgens gaat die gebruiker naar een webwinkel, bijvoorbeeld een gamewinkel, en laat zelf relevante informatie zien.
Opvolger DigiD
IRMA is voor Jacobs ook een ‘sociaal experiment’. ‘DigiD heeft goed gewerkt, maar is at the end of life. Daar moet een opvolger voor komen. Het bedrijfsleven wil dat graag doen, maar streeft dan gelijk een monopolie na wat bijna niemand bedrijven gunt. Kun je zoiets als IRMA vanuit de non-profitsector opzetten?’ Jacobs vindt dat er, met name binnen de politiek, te veel de nadruk wordt gelegd op publiek-private samenwerkingen. Hij ergert zich aan die zienswijze en vindt dat de non-profitsector meer bij die samenwerkingen betrokken móet worden.
Onbegrip
Wat betreft IRMA ziet Bart Jacobs vanuit de rijksoverheid niet veel ‘toenadering’. ‘Wat ongetwijfeld een rol speelt is dat IRMA niet vanuit de overheid zelf komt. Not invented here. Daarnaast is er merkwaardig onbegrip over de techniek. Deze app, dit product is open source en toch geven ze bij de rijksoverheid liever miljoenen euro’s uit aan dure systemen dan dat zij een gratis systeem oppakken. Je kunt het morgen gebruiken en je hoeft ook nog eens niet aan te besteden.’
Nijmegen
Jacobs mag dan kritisch zijn op de rijksoverheid, meer gecharmeerd is hij van het gemeentelijk werkveld. Daar krijgt hij wel de erkenning waar hij naar zoekt en wordt de app wel opgepikt. Een van de gemeenten die IRMA gebruikt is Nijmegen. ‘Als gemeente maken wij ons hard dat mensen niet alleen veilig op de openbare weg kunnen bewegen, maar ook op de digitale weg’, aldus wethouder Renske Helmer (SP). ‘We zien dat mensen met name de spelregels van het internet niet altijd even goed weten en vaak meer gegevens afstaan dan strikt noodzakelijk is. Ook gebeurt het veelvuldig dat (commerciële) partijen gegevens in handen krijgen die niet relevant voor hen zijn.’
Bron: BinnenlandsBestuur digitaal