En af de ting der vil være afgørende for BedreID projektet er om vi kan skabe bro mellem identitets- og rettighedsstyring til “government”, “commercial”, “social” og “enterprise” formål.
ISO/IEC 24760 og ITU-T X.1254 definerer overordnet identitet som et “Set of attributes related to an entity”. Alligevel er de nuværende praktiske løsninger på disse tre områder ret forskelligartede. I første omgang vil jeg her på firkantet vis forsøge at sætte fokus på forskellene mellem “government” og “commercial” ID.
Government ID
Ved et government ID forstås normalt et ID udstedt og benyttet af en nationalstat til sine borgere.
I en stat er der mange forskellige myndigheder, der registrerer en lang række oplysninger om borgerne. For at kunne samkøre disse registre er det praktisk at vælge en fælles identifier eller “master-attribut” (hvilket dog er ulovligt i flere lande). I Danmark er det CPR-nummeret. De fleste myndigheder har sørget for lovhjemmel til at tilgå alle relevante oplysninger om borgerne, så rettighedsstyring er der kun begrænset behov for.
Borgerne i en stat har ofte brug for at søge om tilladelse til forskellige formål. Selvom myndighederne i en stat principielt har adgang til alle relevante oplysninger om borgerne, har det været traditionel praksis at lade brugeren selv udfylde en formular med “self-asserted claims” under ansvar for at oplysningerne er i korrekte. Det er derfor man ofte benytter betegnelsen “Digital signatur” som pendant til den traditionelle håndskrevne signatur på formularen. Også selvom brugen af certifikatet i løsningen (f.eks. NemID) primært benyttes til autentifikation af brugeren og yderst sjældent til en egentlig signering af et digitalt dokument.
Modellen med “self-asserted claims” bygger på antagelsen om at hvis nogen snyder med sine oplysninger, kan staten altid efterfølgende finde frem til vedkommende og sanktionere med bøder eller straf.
Forsøg på anvendelse af offentligt ID i kommercielle eller sociale sammenhænge giver ikke nødvendigvis den ønskede effekt:
- E-handlende opdager for eksempel hurtigt at professionelle skyldnere så godt som aldrig har bopæl på deres folkeregisteradresse, hvor politiet forventer at finde dem. Og selv om man alligevel skulle finde en skyldner, kan man ikke klippe håret af en skaldet.
- Og i sammenhænge, hvor medarbejderne – som f.eks. i sundhedssektoren – trænes i at socialisere kunderelationen, får den uopfordrede brug af første fornavn som kaldenavn den stik modsatte virkning, hvis dette ikke er ens normale kaldenavn.
- Selv i rent offentlige sammenhænge kan adgang til for mange oplysninger udgøre et problem, f.eks. når en sagsbehandler bevidst eller ubevidst inddrager irrelevante faktorer i afgørelser vedrørende borgere.
Commercial ID
Hvor nationalstaterne udøver en streng kontrol med deres population af borgere, ønsker kommercielle virksomheder som udgangspunkt at tiltrække ny kunder fra hele verden uden nødvendigvis først at have identificeret disse entydigt. Virksomhedernes primære fokus er på sikkerheden for modtagelse af betaling for deres varer og tjenesteydelser.
Til det formål er der etableret “trust-frameworks” (e.g. VISA og Mastercard) hvori forskellige typer virksomheder i den finansielle verden – herunder kundens bank/kortudsteder samarbejder om på forhånd at kunne dokumentere kundens betalingsevne ved den efterfølgende handel. Istedetfor at få et “self-asserted claim” fra kunden om at han vil være istand til at betale, får butikken et “validated third party claim”, der blot identificerer kunden, som “en person, der (med rimelig sikkerhed) vil kunne betale” for virksomhedens vare eller ydelse. For virksomheden kan sådan “rettidig omhu” altså mindske behovet for senere brug af retsvæsenet samtidigt med at kunden får bedre muligheder for at beskytte sit privatliv.
Udover denne mulighed for “minimum information disclosure” skaber frameworket som “multi party” system også mulighed for “interoperabilitet” d.v.s. at virksomhed og kunde hver især frit kan vælge en passende udbyder (bank) overalt i verden uden at dette påvirker muligheden for at overføre “claims”.
Er det OK at disse løsninger fortsætter med deres nuværende særpræg?
Eller skal man tage ved lære af hinanden eller etablere fælles løsninger?
Eller skal man gøre noget helt tredje?
Hvad mener du f.eks. om perspektiverne ved at inddrage brug af social- eller enterprise ID i government og commercial sammenhænge?
Leave a Reply