Van een zorgverzekering aanvragen tot online winkelen: met IRMA kun je alle kanten op

27-05-2019

Stel, je wilt een fles wodka kopen. Dan moet je kunnen bewijzen dat je minimaal 18 jaar bent. Anders mag je geen alcohol kopen, zo schrijft de wet voor. Dus laat je je paspoort of identiteitskaart zien in de winkel. Maar daarmee geef je meer over jezelf prijs dan nodig. Op het paspoort staat immers je naam, geboortedatum, BSN, geboorteplaats, enzovoort. Terwijl enkel en alleen het gegeven ‘ouder dan 18’ voldoende is om die fles te kunnen kopen.

Zonde eigenlijk. Je deelt noodgedwongen persoonlijke gegevens terwijl dit niet nodig is. Met IRMA gaat dat anders. IRMA is een privacyvriendelijke app waarmee je persoonsgegevens kunt ophalen en delen. Sietse Ringers, software-ontwikkelaar, legt uit: “Met IRMA deel je alleen de absoluut noodzakelijke gegevens, en niets meer. Dus in het voorbeeld van de fles alcohol deel je niet je geboortedatum, maar alleen het gegeven dat je minimaal 18 jaar bent.”

Attributen: kleine stukjes persoonsgegevens

Sietse vervolgt: “IRMA werkt als volgt. Het begint met het downloaden van de app op je telefoon. Zodra je dat hebt gedaan, ga je de app vullen met zogenaamde attributen. Dat zijn persoonsgegevens of eigenschappen. Denk aan naam, BSN, adres en geboortedatum. Maar bijvoorbeeld ook: een abonnement op een krant of een lidmaatschap bij een voetbalvereniging. Zo’n attribuut kan eigenlijk van alles zijn. Dat hangt af van de organisaties die meedoen met IRMA.”

De gebruiker beslist

“Als gebruiker beslis je zelf welke attributen je wilt laden in je IRMA-app. Op dit moment doet de gemeente Nijmegen al mee met IRMA. Alle Nederlanders, dus niet alleen Nijmegenaren, kunnen hun persoonsgegevens laden in de IRMA-app, via de website van de gemeente Nijmegen. Dat werkt als volgt: je logt eenmalig in met DigiD. Er verschijnt dan een QR-code op de website. Die scan je met je telefoon, en vervolgens komen jouw persoonsgegevens in je IRMA-app te staan. Denk aan naam, adres, geboortedatum, enzovoort.”

Authenticeren: bewijzen wie je bent

“Nu je deze persoonsgegevens, attributen dus, in de app tot je beschikking hebt, kun je ze delen met andere organisaties. Alleen als je dat zelf wilt.. Maar het mooie is: de gemeente Nijmegen heeft deze attributen voorzien van een digitale handtekening. Waarmee ze zeggen: de gegevens kloppen, wij staan er voor in. Daarmee kun je dus bewijzen aan een organisatie dat je echt bent wie je zegt dat je bent. Of in het voorbeeld van de fles drank: als je aan de winkelmedewerker op je telefoonscherm de attributen minimaal 18 jaar oud en pasfoto toont, dan weet deze medewerker zeker dat jouw informatie echt klopt.”

Zelf de controle, veel privacy én gebruiksvriendelijk

“Met IRMA kun je dus zowel attributen ontvangen als vrijgeven. En het idee is dat je altijd de kleinst mogelijke set van attributen vrijgeeft. Daarmee bedoel ik dat een organisatie alleen die gegevens van jou ontvangt die strikt noodzakelijk zijn om jou hun dienst of product te kunnen leveren. Met IRMA heb je dus niet alleen zelf de controle over je gegevens, je beschermt ook je privacy. Daarnaast is het een gebruiksvriendelijke app. En uiteraard gebruik je een persoonlijke pincode als je IRMA start.”

Wetenschappelijk onderzoek

IRMA is voortgekomen uit wetenschappelijk onderzoek aan de Radboud Universiteit en loopt nu een jaar of 10. Sietse: “Het grootste deel van de tijd is het een onderzoeksobject geweest. Zelf doe ik mee sinds 2015 en inmiddels ben ik lead developer. In 2016 was de app volwassen genoeg om ‘m verder in de maatschappij te brengen en om contacten te leggen met organisaties. Daarom is de stichting Privacy by Design opgericht.”

In gesprek met partijen

“Op dit moment kan IRMA al gebruikt worden. En dat gebeurt ook. Behalve de gemeente Nijmegen zijn ook andere gemeenten betrokken. Verder doen SURFnet mee, stichting NUTS en zijn we met vele organisaties in gesprek. Zowel overheden als private partijen. Ze zijn enthousiast! Maar we moeten nog wel vaak het principe van IRMA uitleggen. Zeker in het begin, toen we nog onbekend waren. Zo moesten we vaak uitleggen dat alle attributen enkel en alleen via de telefoon van de gebruiker van A naar B reizen. Dat is namelijk bij geen enkele gangbare app of inlogmethode het geval.”

IRMA is decentraal: de gebruiker is in de lead

"Wat we ook belangrijk vinden om uit te leggen, is dat IRMA decentraal werkt. En daarmee veiliger en minder kwetsbaar is dan andere apps of inlogmethoden. Kijk naar DigiD: daar zit de overheid overal tussen. Dus op het moment dat jij DigiD gebruikt om in te loggen bij je zorgverzekeraar, dan ziet de overheid dat. Maar bij IRMA is er niet één plek waar alles wordt vastgelegd. Om terug te komen op het voorbeeld van de gemeente Nijmegen: nadat een gebruiker zijn attributen digitaal heeft opgehaald bij de gemeente, dan ziet de gemeente vervolgens niet wanneer, hoe vaak en met wie de gebruiker de attributen deelt. Dit is op een hele letterlijke manier regie hebben op je eigen gegevens. De gebruiker is in control."

“Alle software is overigens open source. Dus iedereen kan zien hoe de software achter IRMA werkt, en kan controleren of het inderdaad zo werkt zoals wij beweren. Bovendien kunnen geïnteresseerde partijen gemakkelijker aanhaken, omdat ze kunnen zien hoe IRMA gebouwd is en op dezelfde manier aan de slag kunnen. We hopen en verwachten dat steeds meer burgers en organisaties mee gaan doen.”


Dit artikel is ook te vinden in het dossier Digitale transformatie

Bron: Digitale Overheid

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer