Hoe kunnen betrouwbare producten gratis zijn?
Identiteitenbeheer is een lastig te legitimeren bedrijfsmodel. Wil je een digitale identiteit als een betrouwbaar product leveren (alles is een product, nietwaar?), dan moet er heel veel aan kwaliteits borging worden ingericht. Zoals in een vorige blog aangegeven, moeten er heel veel maatregelen worden getroffen om een betrouwbaar product te kunnen leveren. People, Process & Technology moet allemaal op orde zijn, maar daarnaast zijn er heel wat juridische voetangels en klemmen, ook die kosten zijn niet gering. Dat betekent in een reguliere economie dat het product ook niet gratis kan zijn. En toch is dat wat we wel heel vaak ervaren. Tenminste, als we verschillende digitale identiteiten zoals die van Facebook en Twitter ook als zodanig beschouwen.
En ja, DigiD kost ons, burgers, eigenlijk ook geen geld. We betalen natuurlijk al belasting genoeg, maar de digitale identiteit kost ons niets extra. Dat is raar. Als we naar de gemeente gaan om een paspoort af te halen, dan moeten we daar wel voor betalen. Daarvoor krijgen we dan wel een ambtenaar die ons in de ogen kijkt. En daarvoor krijgen we ook een paspoort dat we over de hele wereld kunnen (her)gebruiken. Zo'n paspoort is ook waardevol. Een gestolen paspoort doet op de zwarte markt tot ongeveer €10000 (http://www.quora.com/How-much-does-a-fake-passport-cost-to-buy). Niet verkeerd...
Maar DigiD kost ons als burger niets, omdat er een andere business case voor het verstrekken van digitale identiteiten is. Niet de verkoop van de identiteit door de overheid is de business case. De mogelijkheid om burgers zelf werkzaamheden van de overheid te laten uitvoeren, waardoor de overheid zelf geen kosten hoeft te maken, levert voldoende op om een betrouwbare digitale identiteit te kunnen leveren. Er zijn wel grenzen aan het lage tarief: het uitreiken mag niet meer kosten dan een postzegel (vandaar dat we die brief met activeringscode voor DigiD gewoon in de bus krijgen) en alleen in specifieke gevallen (veel phishing in bepaalde wijken) wil de overheid een hoger niveau van beveiliging betalen, door het fysiek verstrekken van de identiteit. De kosten van de digitale identiteit worden per saldo opgebracht door verlaging van de operationele kosten van de overheid zelf, of door het verminderen van de fraudekans.
Andere betrouwbare identiteiten zijn allemaal veel duurder. Onze bankpasjes krijgen we alleen als we jaarlijks een abonnementsprijs betalen en we moeten onszelf wel eerst bij de bank gepresenteerd hebben. Dat is ook een duur proces, daar betalen we de banken dus voor. Maar die identiteit is niet te hergebruiken. Daar heb je dus eigenlijk verder niets aan.
Waar we niet voor betalen zijn de gratis identiteiten. Die krijg je zomaar, je kunt ze zelf aanmaken. Je Facebook, Twitter, Gmail, Outlook of LinkedIn identiteit. Voor mij is mijn Twitter identiteit best belangrijk. Ik gebruik Twitter de hele dag en soms gebruik ik die identiteit om in te loggen op een andere site (liever zo min mogelijk, maar het kan tenminste). Twitter heeft nooit mijn identiteit vastgesteld, maar technisch hebben ze het vermoedelijk prima voor elkaar. Als ik mijn wachtwoord niet kwijtraak, zal niemand mijn Twitter identiteit kunnen overnemen. Hetzelfde geldt voor die andere providers (al had LinkedIn een paar jaar geleden wel een fors probleem, doordat ze de technische beveiliging juist niet op orde hadden). Die beveiliging kost een slok geld. En die moet ergens mee worden opgebracht, zeker omdat ook de functionaliteit die je met die identiteit kunt gebruiken ook al gratis is. Gratis, dus hoe wordt dat betaald? In ieder geval doordat adverteerders in staat zijn onze digitale identiteit heel gericht te informeren over hun producten. Klantcontacten zijn geld waard, dus daarmee betalen de providers hun kosten. Je identiteitskenmerken worden verkocht voor wie er maar geld voor over heeft.
Maar die identiteiten zijn niet zo betrouwbaar dat je ze overal kunt hergebruiken. Aangifte doen, of bankgegevens bekijken lukt niet met mijn Twitter account. Daar ontbreken een paar waarborgen voor de betrouwbaarheid van de identiteit.
We hebben dus de gratis betrouwbare identiteit van de overheid, de betaalde betrouwbare identiteit van banken (die we niet kunnen hergebruiken, dus zinloos in de cloud) en we hebben onvertrouwde, maar herbruikbare gratis identiteiten.
Is er dan plaats voor iets ertussenin? Bijvoorbeeld een identity provider die betrouwbare herbruikbare identiteiten levert, maar waar we wel voor moeten betalen.
Tsja. Ik weet dat zonet nog niet, misschien gaat dat wel werken. Ik ben blij met mijn DigiD en met mijn Twitter identiteiten. En al mijn andere gratis identiteiten, die ik her en der gebruik. Zou ik een betrouwbare, betaalde, identiteit vaker gebruiken? Zo ja, waar en waarvoor dan? Ik kan me daar zelf niet veel bij voorstellen. De hergebruikwaarde zou dan mijn kosten moeten goedmaken.
En een vertrouwde gratis identiteit? Bestaat dat? Tja, NotarisID komt eraan en zo'n identiteit zou voor ons, consumenten, gratis zijn. Maar wie betaalt dat dan? Als ik, als gebruiker van zo'n identiteit, niet hoef te betalen, wie doet dat dan? Is er een filantroop die de rekening betaalt? Prima, maar dan moet het wel een betrouwbare filantroop zijn…
Volgende keer ga ik in meer detail in op de kosten en baten van die businessmodellen voor Identity Providers.
Door: André Koot, Principal consultant bij Strict Consultancy in samenwerking met het Cqure Kennisplatform
