SURF wil dat onderwijssector invloed uitoefent op digitaal identiteitsbeheer EU
Identiteitsbeheer hoger-onderwijsinstellingen
Sinds een kwart eeuw is de Europese Commissie (EC) bezig met het ontwikkelen van infrastructuur voor digitale identificatie en identiteitsbeheer. In 1999 kwam de EC met regulering voor elektronische handtekeningen, hetgeen in 2014 uitmondde in het elektronische identificatie- en authenticatiesysteem eIDAS. Nu is er een raamwerk opgezet voor een alomvattende opvolger, de EU Digital Identity (EUDI). Hiertoe is het uitgangspunt dat burgers zelf kunnen besluiten welke aspecten van hun brede identiteit ze willen delen.
Ook hoger-onderwijsinstellingen hebben te maken met identiteitsbeheer van studenten en stafleden. Ten dele gebruiken zij dan ook dezelfde technologie, terminologie, standaarden en toepassingen als voorzien in EUDI. Zo zijn beide identificatiesystemen gebaseerd op het door Bart Jacobs bedachte Yivi/IRMA, hoewel de schrijvers van SURF hiervan geen melding maken. Toch zijn er voor de onderwijssector ook specifieke perspectieven, zoals een economisch belang en nut voor leven lang leren of flexibel onderwijs.
(Micro)credentials
Volgens SURF heeft het hoger onderwijs dan ook eigenaarschap, interoperabiliteit en invloed nodig ten opzichte van EUDI. De verificatie van kwalificaties en overige credentials is een lastig en fraudegevoelig proces, waar adequate cryptografie onontbeerlijk is. Het hoger onderwijs heeft te maken met diploma’s, badges en andere microcredentials, die alle in de ICT-administraties beheerd moeten worden. Deze situatie vereist een specifieke implementatie van digitale identiteit in de organisatie.
De wekelijkse nieuwsbrief is nog korte tijd gratis te ontvangen. De voorwaarden vindt u hier.
Sinds begin dit jaar is er een raamwerk voor EUDI beschikbaar, waarin onderscheid wordt gemaakt tussen de persoonlijke identiteit (PID), identiteitsdocumenten en overige identiteitsverificaties. Aan dit raamwerk kleeft de nodige kritiek qua cryptografische beveiliging, traceerbaarheid van mensen, eigenaarschap van gegevens en het risico van overidentificatie. Daaraantoe voegen de auteurs dat de vereisten van het onderwijsbedrijf in het domein van digitale credentials anders dan doorsnee zijn.
Diffuse rollen identiteitsbeheer
Een deel van het dilemma ligt in de diverse rollen die rondom het identiteitsbeheer worden belegd. EUDI onderscheidt de eigenaar van een digitale identiteit, de uitgever van een identiteitsdocument, de verificator van gegevens en de registrator, die de betrouwbaarheid van partijen in het oog houdt. In het hoger onderwijs lopen deze rollen door elkaar: de universiteit is zowel uitgever van diploma’s als verificator van vooropleidingen, waarnaast het als de werkgever zelf een digitale identiteit heeft. De auteurs spreken in dit verband van de ‘gescheiden doch verbonden ecosystemen’ aan identiteiten.
Wegens de specifieke vereisten van de onderwijssector suggereren de schrijvers van SURF om niet blind te varen op EUDI, maar om zelf verantwoordelijkheid te nemen voor digitaal identiteitsbeheer. Van belang voor onderwijsinstellingen is een uniforme uitgifte en ontvangst van (micro)credentials, alsook de mogelijkheid om zelf een register of een trust list van betrouwbare partners bij te houden. Binnen de sector zijn er nu al gerelateerde initiatieven zoals Digital Credentials for Learners en het European Learning Model, die daarentegen niet eenduidig aansluiten bij de beginselen van EUDI.
EUDI is dan ook niet zaligmakend, zoals de auteurs zeggen: “Ik vertrouw het identiteitsecosysteem niet met het uitgeven van mijn diploma.” Zij zetten dan ook niet in op een overname door, maar een overeenkomst met EUDI. Daarvoor zien de schrijvers nog wel een aantal interne aandachtspunten. Voor de onderhandelingspositie zou de sector moeten komen tot één standaard in onderwijscredentials, één platform voor informatiedeling en één routekaart voor het ontwerp van diverse identiteitsrollen. Middels dit memorandum doen de schrijvers van SURF een bijdrage aan het bredere digitale debat.
