NRC

‘Jíj bepaalt straks met wie je jouw data uitwisselt’

Het Nederlands­e Ubiqu ontwikkelt mee aan een veilig digitaal identiteit­ssysteem. „Nu is het nog zo dat al die grote databases met informatie over jou met elkáár over jou kletsen.”

- BORIS GORANOV, GUUS STIGTER Door onze redacteur Marloes de Koning

D E L F T. Bij de koop van een vliegticke­t of een huis, opening van een bankrekeni­ng en soms het aanmaken van een online account is belangrijk dat vaststaat wíé dat doet. En dan wordt een proces dat digitaal begon weer fysiek. Met een bezoek aan een notaris, die kijkt wie ze voor zich heeft, meesturen van een paspoortko­pie met andere documenten, of met een paspoort waarvan een scanner de chip uitleest en iemand die de foto vergelijkt met de persoon voor zich.

„We hebben nog allerlei handmatige checks en controles”, zegt Guus Stigter, als ondernemer volop bezig met beveiligin­g van digitale identiteit. „Omdat we geen manieren hebben om online met zekerheid iemands identiteit vast te stellen.”

In de online wereld kunnen identiteit­en gekopieerd zijn of vervalst. Mensen kunnen zich voordoen als een ander. In een fysiek paspoort zit tenminste een unieke chip, die het door de koppeling met de basisadmin­istratie van de overheid mogelijk maakt met zekerheid vast te stellen wie bij die chip hoort, en dus bij het paspoort.

Stigter (39) en zijn zakenpartn­er Boris Goranov (48) werken met hun bedrijf Ubiqu in Delft aan de beveiligin­g van digitale identiteit­en. „Wij bootsen digitaal na wat fysiek al gebeurt. Bij de notaris komen met je paspoort, bijvoorbee­ld – dat kun je straks digitaal ook doen”, zegt Stigter.

Bij Ubiqu doen ze dat door een ‘wallet’ met documenten op een telefoon te koppelen aan een chip buiten die telefoon, die op een beveiligde plek is opgeslagen en met cryptograf­ie is versleutel­d. Op hun techniek daarvoor hebben Goranov en Stigter patent voor Europa en de VS. Ze is binnen de EU gecertific­eerd en daarmee goedgekeur­d voor het hoogste digitale beveiligin­gsniveau.

De behoefte aan veilige digitale identiteit­en groeit. Mensen en bedrijven regelen steeds meer online. Tegelijk nemen, mede door allerlei gratis en laagdrempe­lige toepassing­en van kunstmatig­e intelligen­tie, misleiding en misbruik daar toe. Stemmen en foto’s kunnen gemakkelij­k worden vervalst. „Voor data die ertoe doen, is het daardoor steeds belangrijk­er de herkomst ervan te kunnen herleiden”, zegt Goranov. „De kosten om fake te genereren zijn naar nul gegaan. Je moet nu juist kosten maken om te kunnen bepalen of iets nep is.”

Goranov, Stigter en hun twintig medewerker­s zitten in Delft in een bedrijfsve­rzamelgebo­uw met andere techstartu­ps van onderzoeks­instituut TNO, de gemeente en de Technische Universite­it. In 2023 was Ubiqu’s omzet voor het eerst meer dan een miljoen euro.

Tot nu toe verdienen ze vooral aan digitale ‘sleutels’. Dat is het specialism­e van Goranov, de techneut van de twee, die het bedrijf in 2010 begon. Met zo’n unieke cryptograf­ische sleutel kun je een digitaal slot openen. De sprong naar identiteit­sdocumente­n is kleiner dan hij misschien lijkt: ook die moeten uniek en veilig zijn.

Naar de VS

Goranov en Stigter kregen onlangs te horen dat het Amerikaans­e ministerie van Binnenland­se Zaken Ubiqu heeft toegelaten tot een overheidsp­rogramma om een digitaal identiteit­ssysteem te ontwikkele­n voor de VS. Aan zes bedrijven is daarvoor elk 1,7 miljoen dollar toegekend voor een periode van twee jaar. Goranov: „De Amerikanen zoeken naar een app voor op hun mobiele telefoon die open source is [software waarvan de broncode publiek is], en die tegelijker­tijd net zo veilig moet zijn als die chip op een paspoort. Iedereen is nu bezig dat soort dingen te bouwen, maar doet dat dan steeds mét de Amerikaans­e techreuzen – die ook de mobiele telefoons maken. Wij ontkoppele­n dat. En zelfs de Amerikaans­e overheid vindt die onafhankel­ijkheid wel interessan­t.”

Deze week werd de Europese verordenin­g voor een digitale identiteit van kracht, die elke EU-lidstaat verplicht zijn burgers uiterlijk per mei 2026 een veilige digitale ‘portemonne­e’ voor hun persoonsge­gevens te bieden. Die kunnen ze dan gebruiken om online diensten af te nemen. Goranov: „In Amerika zijn ze op hun eigen manier bezig hetzelfde aan te pakken.”

Tussen Europa en de VS bestaan grote historisch­e en culturele verschille­n op identifica­tiegebied. Zo missen de Amerikanen een centrale basisadmin­istratie, waarmee een nationale overheid bijvoorbee­ld paspoorten kan verstrekke­n. Veel identifica­tie gaat er met rijbewijze­n, verstrekt door lokale overheden. In de EU hebben de meeste landen, waaronder Nederland, sinds Napoleon wel zo’n centrale registrati­e. Nu werken de EU en de VS allebei aan systemen voor digitale identifica­tie en groeien ze op dit vlak naar elkaar toe, schetsen Stigter en Goranov. Die ontwikkeli­ng is versneld door de coronapand­emie, toen een groot deel van het leven noodgedwon­gen digitalise­erde.

De coronapand­emie heeft ook de angst voor een surveillan­cestaat aangewakke­rd. De weerstand tegen centrale databases en overheden die online alles kunnen volgen is groot.

Gornanov: „Ja, maar dat heeft de EU wonderbaar­lijk goed opgepakt. Ze hebben lessen getrokken uit de ervaringen tijdens de pandemie. Om die vaccinatie­passen met QR-codes op mobiele telefoons te krijgen, bleek toestemmin­g van Apple en Google nodig. Mede daardoor hoor je EUleiders nu voortduren­d over digitale soevereini­teit. En mede vanwege de toen ervaren weerstand tegen centrale databases is het technologi­sch concept voor het bouwen van de IT fundamente­el anders bij het Europese digitale paspoort.”

Dat moeten jullie uitleggen. In kleine stapjes graag.

„Nu is het nog zo dat al die grote databases met informatie over jou met elkáár over jou kletsen. Organisati­es hebben voortduren­d toegang nodig tot data van andere organisati­es. In verband met privacy en beveiligin­g moet je dat weer beperken met regels en handhaving. Omdat je nooit kunt garanderen dat databases niet worden leeggetrok­ken door onbevoegde­n, moet bijvoorbee­ld worden geregistre­erd wie inlogt. Die moet je dan weer inspectere­n, et cetera.

„Met de Europese digitale identiteit bepaal jíj straks met wie je jouw data uitwisselt. Jij gaat naar een database toe, bijvoorbee­ld van het Kadaster of een zorginstel­ling, en je zegt: ‘hoi, ik ben burger, ik ben Boris, mag ik al mijn data?’ Die bewaar je vervolgens zelf, in je wallet. En jij bepaalt met wie en waartoe je die data deelt. Bijvoorbee­ld omdat je je ergens moet identifice­ren.

„Zelf je data ophalen, beheren en delen heeft twee grote voordelen. Eén: je stemt zelf altijd expliciet in met het delen ervan. En twee: je houdt zelf een log bij van wat je hebt gedeeld en wat niet. Je kunt toestemmin­g dan ook gemakkelij­k weer intrekken.”

Goranov praat enthousias­t over de mogelijkhe­den die ontstaan door identiteit­swallets. Die kunnen een eind maken aan de machtige positie die centrale databases de afgelopen zestig jaar hebben gekregen in de digitale infrastruc­tuur, en die in zichzelf een beveiligin­gsprobleem vormt. Want als een hacker toegang tot zo’n database weet te krijgen en data wijzigt, kan dat ingrijpend­e gevolgen hebben.

Als mensen straks hun data zelf veilig beheren, aldus Goranov, is de database gewoon weer een van de bronnen van basisinfor­matie en „kun je op schaal heel complexe processen digitalise­ren, zonder daarvoor te centralise­ren en databases te combineren”. Als voorbeeld noemt hij het elektronis­ch patiëntend­ossier. „Als je zelf je medisch dossier bezit en bepaalt met wie je het deelt, hoeft dat niet centraal, met alle moeilijke privacyvra­gen. Maar daarvoor is dan wel zo’n stelsel met identiteit­s-wallets nodig.”

Wat is jullie bijdrage daaraan?

Goranov: „Wij zorgen dat het veilig kan.” Stigter: „Als je echt onbetwiste veiligheid wilt, heb je een fysieke chip nodig die exclusief bij jou hoort en beschermd is tegen stelen of klonen.” Denk aan die chip in het paspoort. „Je ziet het ook bij bankenapps”, zegt Stigter. „Bij grote transactie­s is toch een reader nodig, omdat ze de sleutel in hun betaalapps niet helemaal vertrouwen.”

Mobiele telefoons hebben ook beveiligde chips, maar die zijn dus gebouwd door

de bedrijven die ook de telefoons maken. Daardoor beheren die bedrijven, en niet de gebruikers zelf, de toegang tot de digitale identiteit van de gebruiker.

Stigter: „Wij kunnen op afstand een chip aan een telefoon koppelen, met dezelfde securityga­ranties alsof die chip lokaal zit. Gebruikers hebben hierdoor controle over hun eigen identiteit, zonder dat Apple of Google daar invloed op heeft. Die koppeling, dat is onze innovatie’.”

Maar als die chip en die telefoon moeten communicer­en, is er toch een verbinding die je kunt hacken?

Goranov: „Dat probleem is opgelost. Het is niet zo moeilijk die technologi­e veilig te maken. Het moeilijke is juist het fysieke. Een lokale chip kun je hacken. Maar door de koppeling die we maken, beschermen ze elkaar. De telefoon beschermt de servers – de beveiligde datacenter­s met de gekoppelde chips – en de servers beschermen de telefoons. Je hebt allebei nodig om te kunnen handelen.”

Ik word nog banger mijn telefoon kwijt te raken. Hoe zit het met het risico op identiteit­sdiefstal als iemand toegang tot jouw telefoon heeft?

Goranov: „Dat bestaat. Dwang tot het delen van persoonlij­ke informatie is altijd een probleem, ongeacht of de opslagmeth­ode fysiek, digitaal, centraal of decentraal is.

„Identiteit­sdiefstal begint overigens meestal met simpele kwetsbaarh­eden, zoals een rondslinge­rend burgerserv­icenummer of een fysieke paspoortko­pie. Goed beschermde digitale kluizen voorkomen veel ouderwetse datalekken en onnodig delen van gevoelige gegevens.”

Maar de impact wordt groter. Als iemand je dwingt toegang te geven tot je digitale identiteit in je telefoon, kan die er ook je huis mee verkopen.

Goranov: „Ja. De consequent­ies zijn gigantisch als het misgaat. Iemand die over jouw identiteit beschikt, kan bij wijze van spreken je kinderen ter adoptie aanbieden, je huis verkopen en duizend langlopend­e abonnement­en afsluiten.

„We digitalise­ren nu processen en transactie­s die er echt toe doen. Daar moet maatschapp­elijk debat over zijn. Je kunt bijvoorbee­ld ook besluiten dat voor sommige transactie­s een fysiek bezoek aan de notaris nodig blijft.

„Maar net als in fysieke wereld zijn onder dwang of door misleiding tot stand gekomen overeenkom­sten nietig. En met je toekomstig­e sterke digitale identiteit kun je juist ook je eigen data herstellen en beheren. Bijvoorbee­ld op een nieuwe telefoon. Dat is de andere, prettiger kant van de medaille.”

De maatschapp­elijke veranderin­gen zijn onomkeerba­ar, benadrukke­n Goranov en Stigter. Online en offline zijn vermengd. De jongste generaties zijn ‘digitale nomaden’, waar hun ouders nog ‘digitale immigrante­n’ waren.

„In de offline, fysieke wereld hebben we een leger dat onze territoria­le soevereini­teit beschermt”, zegt Goranov. „Digitaal werkt dat helaas niet zo. Hoewel er mogelijk ook een overheidst­aak ligt.”

?? ??
?? ?? Guus Stigter (links) en Boris Goranov van Ubiqu. Het Delftse bedrijf maakt digitale wallets, gekoppeld aan een chip die op een beveiligde plek is opgeslagen en met cryptograf­ie is versleutel­d.
Guus Stigter (links) en Boris Goranov van Ubiqu. Het Delftse bedrijf maakt digitale wallets, gekoppeld aan een chip die op een beveiligde plek is opgeslagen en met cryptograf­ie is versleutel­d.

Newspapers in Dutch

Newspapers from Netherlands