Veilige digitale identiteit versus gebruiksgemak

01 juni 2022

De veranderingen op digitaal gebied gaan met de vaart van een sneltrein. Daarom moeten de tradities van veilig internetten en digitale identificatie op de schop worden genomen. Hoe dat moet en welke risico’s daaraan zijn verbonden, bespreken de deelnemers aan deze podcast van DataChecker. Dit keer zijn er twee gasten: Mark van der Horst en Stijn Vorstenbosch, beiden van PWC.

Van der Horst werkt als director consultant voor digitale toegang bij financiële diensten. Vorstenbosch is identity engineer, die software-oplossingen op dit gebied ontwerpt, bouwt en vervolgens implementeert. Voor hem geldt echt: wanneer is identiteit nou níet aan de orde? Als je aan zulke oplossingen mag meewerken, heb je echt veel impact op de hele digitale identiteit.

Waar zit de echte pijn?

Veel bedrijven komen met de vraag: we weten dat we (wettelijk) iets moeten doen om de digitale identiteit te beveiligen, kunnen jullie ons helpen? Dan moeten ze bij PWC uitzoeken waar de echte pijn zit en of de klant zelf al heeft geprobeerd iets in elkaar te flansen of dat ze helemaal bij nul moeten beginnen. 

“Dat antwoord is heel divers. Maar er moet méér boven tafel komen, zoals het hele landschap van de beveiliging van de digitale identiteit, hoe de toekomst van het bedrijf of instelling eruitziet, wat is jullie visie… Vaak moeten we eerst een stap terug, voordat we verder kunnen”, legt Vorstenbosch uit.

PWC krijgt ook klanten die naar de beurs willen en daarom eerst de rechten van de medewerkers in orde willen hebben. Vaak zit in een bedrijf een hele groep afdelingen om de tafel om over deze kwestie te praten. Maar iedereen praat een andere taal, iedereen heeft een eigen doel voor ogen. En pakt dan een klein stukje op en gaat daar zelf mee verder. Je kunt echt beter eerst een stap terug doen.

One size fits nobody – veel te gefragmenteerd

Van der Horst: “Als de mensen van PWC een klant iets voorstellen, mag dat er niet alleen mooi uitzien in een map of een Powerpoint-presentatie. Als PWC met een voorstel komt, dan kunnen onze mensen het ook helemaal uitvoeren. Allerlei bedrijven bieden op de markt een stukje van de beveiliging of authenticatie aan. Een ‘one size fits nobody’… Dat wordt veel te veel gefragmenteerd. Wij zijn vooral geïnteresseerd in een combinatie.” 

Er zijn veel bedrijven wereldwijd die dit soort zaken goed voor elkaar krijgen. Maar omdat we in een global world leven, komt het regelmatig voor dat het ene land niet met het andere wil samenwerken.

Het is nu vooral een kwestie van veiligheid tegenover gebruiksvriendelijkheid. Dat komt steeds dichter bij elkaar, zeker nu de technologie zich razendsnel ontwikkelt. Vroeger was het snel als je binnen 24 uur antwoord kreeg, of een download had, nu moet het binnen minuten, of seconden. 

Intussen speelt de wetgeving ook steeds een rol. “Jammer dat bedrijven pas in actie komen als het ook echt móet. Ze hadden ‘als een goede huisvader’ de boel al veel eerder in orde kunnen hebben. Als een bedrijf klanten zou kunnen winnen op basis van veiligheid in plaats van op basis van gemak, zou dat super gaaf zijn”, vindt Van der Horst.

Gevoel van veiligheid

De consument wil een gevoel van veiligheid hebben, zonder dat hij precies weet hoe dat allemaal in elkaar zit. Dat is overigens bij heel veel dingen het geval. De consument gebruikt een auto, een mooi koffieapparaat, de smartphone, een airco-apparaat, maar weet er weinig tot niets van. Het merendeel van de mensen kan geen lekkage in de gootsteen oplossen, maar gebruikt die wel elke dag…

Zo moet de bankconsument die tot nu toe met een e-identifier werkte, overstappen op een app. Dat is voor veel mensen een hele stap. Weer dat gehannes, weer iets leren. Consumenten zijn niet altijd met de veiligheid van hun identiteit bezig. Gemak en veiligheid botsen met elkaar: ik héb al een app, je hébt me al geverifieerd, moet dat nu weer? En dan is er nog de authenticatie, waarmee verschillende afdelingen bezig zijn. En tegen de tijd dat we klaar zijn met iets, moet het alweer anders…

Digitale identiteit geen IT-project

Als grote service- en dienstverlener moet Van der Horst op drie dingen letten:

  • Zorg er voor dat je met elkaar dezelfde taal én de juiste taal spreekt – dat vraagt om een brede oriëntatie. Digitale veiligheid is allang geen IT-ding meer.
  • Omdat het geen IT-project is, moet je iedereen van alle afdelingen die er maar enig belang bij kan hebben, bij elkaar halen.
  • De keuze van de technologie die je gaat gebruiken, moet lange tijd mee kunnen. En regel ook een goede implementatie van de software.

De vraag is ook, wat wil je precies oplossen of bereiken en wat is het je waard? Vaak moet je een stap terug doen om beter te kunnen overzien wat je wil. Elke stap die je kiest, heeft impact op het verloop van de procedure, en het succes ervan. Technologie is allang niet meer de remmende factor in het hele proces, maar de aanjager.