De privacy-first oplossing voor persoonsidentificatie in een digitale wereld

Je herkent het vast wel als je iets online gaat bestellen; je maakt een account aan bij een webshop en vinkt alle boxen aan: ja ik ga akkoord met de voorwaarden, ja ik ben ouder dan 18 jaar. Vervolgens klik je op akkoord en je kan bestellen. Maar wie garandeert de koopman dat alles klopt en dat er niet een account is aangemaakt met frauduleuze gegevens? Met de groei van identiteitsfraude en de komst van de AVG in 2018 wordt het steeds complexer om personen te identificeren in een “Business to Consumer” wereld. Waar je in het verleden met je paspoort of rijbewijs nog fysiek naar een loket ging, gebeurt dit nu voor 90% digitaal. Dit zorgt voor een complexe uitdaging. Een uitdaging die Stichting CIS (Centraal Informatie Systeem) in samenwerking met AMIS Conclusion is aangegaan.

CIS is een organisatie van en voor verzekeraars en hun gevolmachtigde agenten. Een belangrijke rol van CIS is het beheer van het collectieve geheugen van de verzekeringsmarkt met betrekking tot claim- en frauderegistratie.

De AVG stelt de eis om enkel relevante data van een persoon te verwerken. Voor de verzekeringswereld betekent dit dat het in Nederland unieke persoonsnummer (BSN) niet gebruikt mag worden en dus ook niet geregistreerd. Dit levert een uitdaging op. Vanaf het moment dat jij als consument gegevens wilt opvragen bij een gegevensverwerker mag deze alleen jouw data aan je verstrekken. Om er zeker van te zijn dat de gegevensverwerker de data met de juiste persoon deelt wordt de consument meestal gevraagd om een identificerend gegeven per post of e-mail toe te sturen. Denk hierbij aan een kopie van een identificatiebewijs waarbij uiteraard het BSN-nummer onherkenbaar moet worden gemaakt. Er komt veel bij kijken om deze identificerende gegevens handmatig te controleren en te waarborgen.

Wat nu als we dit proces automatiseren en de consument via een app of website de volledige opvraag inclusief identificatie laten uitvoeren, zonder dat het noodzakelijk is om de identificerende gegevens handmatig te beoordelen? Zoiets als DigiD, maar dan beschikbaar voor niet-overheidsinstellingen.

Om antwoord te geven op deze vraag is CIS aan de slag gegaan met het inzageproces en de manier hoe dit vorm moet krijgen. Er is gekozen voor Yivi (voorheen bekend als IRMA).

Stichting Privacy by Design heeft samen met SIDN het identity platform Yivi ontwikkeld. Yivi staat voor “Jouw digitale leven” en spreek je uit als Yivi. Yivi is de digitale portemonee voor uw identiteits gegevens waar enerzijds de consument op een betrouwbare wijze kan bepalen welke persoonlijke gegevens hij wil delen met de “digitale koopman” en waar anderzijds de koopman de gedeelde persoonsgegevens kan controleren op juistheid.

Voor Stichting CIS is het van belang dat de consument zich identificeert met zijn naam, adres, woonplaats en geboortedatum (NAWG-gegevens). Deze gegevens worden ook wel de attributen genoemd. Als de consument inzage wil aanvragen bij CIS kan hij inloggen via de Yivi-app en zichzelf bekend maken door het delen van de attributen die nodig zijn. De Yivi-server, die binnen het applicatielandschap staat van CIS, controleert en handelt vervolgens de identificatie af zonder hierbij data op te slaan. De identificatie is mogelijk zonder het gebruik van BSN en met dezelfde betrouwbaarheid als DigiD. Hiermee kan het inzage proces bij CIS automatisch afgehandeld worden en is het niet meer nodig om kopieën van rijbewijzen of paspoorten op te sturen. De verwerking van de inzage kan meteen doorgaan. De consument heeft sneller de informatie en het tijdrovende werk van controleren, opslaan van identificerende gegevens en handmatig verwerken van het verzoek tot inzage wordt versneld. Een win-win situatie voor alle betrokken partijen.

De Yivi-app is breed inzetbaar. Elke situatie waar digitale identificatie nodig is, kan Yivi worden ingezet binnen het applicatie landschap.