Als analist bij SIDN krijg ik regelmatig de vraag of ik even ‘iets’ kan uitleggen. Hoe DNS werkt bijvoorbeeld, of wat een domeinnaam precies is, hoe ICANN in elkaar zit en of dat ook allemaal op de blockchain kan. Sinds een paar jaar houd ik me, onder andere in het kader van SIDN’s participatie in Trusttester, Simplerinvoicing en Connectis, bezig met digitale identiteiten. Hierdoor komen er ook vragen bij als: wat is het verschil tussen identificatie, authenticatie en autorisatie, hoe zit het met Idensys en is eIDAS belangrijk? Een ogenschijnlijk simpele vraag in dit rijtje was: “Wat is een afsprakenstelsel eigenlijk?”
Term ‘afsprakenstelsel’ steeds vaker gebruikt
Als je de wereld van online of digitale identiteiten volgt, zie je dat men steeds vaker spreekt over een afsprakenstelsel, platformen en publiek-private stelsels. Men bedoelt dan samenwerkingen van verschillende partijen om diensten te leveren rondom onderwerpen als identificatie, authenticatie en betrouwbaarheid. Een paar voorbeelden:
Het afsprakenstelsel Medmij - voor uitwisseling van gezondheidsgegevens;
Het platform Belgian Mobile ID – een open platform dat een smartphone-app voor online identificatie levert;
Het publiek-private stelsel elektronische toegangsdiensten – het stelsel dat Idensys en eHerkenning reguleert.
De term afsprakenstelsel wordt breed gangbaar gebruikt, maar wat bedoelen we er precies mee? Wat is het verschil met een (identiteits-)federatie? Wanneer is iets een afsprakenstelsel en is dat anders dan ‘gewone dienstverlening’ met standaard gebruikersovereenkomsten? Heeft dat te maken met dat er verschillende partijen samenwerken of verschillende middelen beheren? Idensys is een afsprakenstelsel, waaronder verschillende identiteitsmiddelen worden uitgegeven door verschillende partijen. Maar is DigiD dan ook een afsprakenstelsel? Dat is een door 1 partij uitgegeven middel, maar er komen op termijn meer DigiD’s. En hoe zit het met iDIN? Daar gaat het om 1 middel, maar er kunnen verschillende partijen meedoen bij het leveren van diensten. Dus wat is een afsprakenstelsel precies?
Ook wel trust frameworks genoemd
Gelukkig hebben we het internet en het internet weet bijna alles, dus ook wat een afsprakenstelsel is. Maar het internet vertegenwoordigt wel heel veel kennisbronnen en daar komt zelden één waarheid uitrollen. Afhankelijk van de context is een afsprakenstelsel (‘trust framework’ in het Engels) beschreven als een set van requirements, een verzameling contracten, een beschreven samenwerking, normenkaders, handhavingsmechanismen, een certificeringsprogramma, gereguleerde toezeggingen, een set standaarden of een mix hiervan, of toch net iets anders.
In mijn inmiddels wat meer persoonlijke zoektocht naar een specifiek antwoord, kwam ik de auteurs tegen van een whitepaper uit 2010. Hierin is een trust framework-model beschreven. De vragen die ik hen stelde, werden enthousiast begroet met tegenvragen en nog meer vragen. Zij publiceerden dat whitepaper als een 1e poging om een indertijd nieuw fenomeen te beschrijven, maar zagen dat er een dringend behoefte aan een verbeterde versie was (en niet alleen bij mij). Of ik dat niet wilde doen.
Whitepaper legt het uit
Met zeer gewaardeerde hulp, tijd en ontzettend veel discussies is er nu een nieuw whitepaper. Dit beschrijft vrij precies én erg eenvoudig wat een afsprakenstelsel is: Trust Frameworks for Identity Systems. Het geeft een definitie: “Een afsprakenstelsel is een wettelijk afdwingbare set van specificaties, regels en afspraken dat een identiteitssysteem reguleert.” En het beschrijft de samenhang tussen het afsprakenstelsel en het onderliggende, gereguleerde identity-systeem en de context waarin zo’n afsprakenstelsel zich bevindt. Dit paper is het begin van wat hopelijk een hele serie papers wordt, want er zijn nog veel meer vragen te beantwoorden rondom dit onderwerp: waaruit bestaat zo’n identity-systeem, hoe richt je governance in en welke afsprakenstelsels zijn er eigenlijk?
De vraag wat een afsprakenstelsel precies is, is nu wel beantwoord – door met de volgende vragen op mijn lijstje…
Over OIX
De Open Identity Exchange (OIX) is een technologie-neutrale non-profitorganisatie, die zich inzet voor het versnellen van de invoering van digitale identiteitsdiensten op basis van open standaarden. OIX-leden zijn leiders uit concurrerende bedrijfstakken, die samenwerken in pilotprojecten en gezamenlijk onderzoek doen. De resultaten van deze inspanningen worden gepubliceerd via OIX-whitepapers en publiek gedeeld via OIX workshops.
