Digitale identiteit in een kluisje

Digidentity bedacht een systeem voor online identificatie. Een digitaal kluisje waarmee gebruikers zelf kunnen bepalen wie toegang krijgt tot welke persoonsgegevens.

'Wij zijn een postkantoor met virtuele postbussen waar mensen hun digitale identiteit in op kunnen slaan; een digitale versie van je paspoort als het ware', antwoordt Carel Mackenbach op de vraag wat zijn bedrijf Digidentity doet. 'En de sleutel tot die kluis is versleuteld met een wachtwoord, een gebruikersnaam, een code die je krijgt toegestuurd via sms en een losse pincode', vult zijn zakelijk partner en directeur Marcel Wendt ter geruststelling aan. Voor het hardcore technische werk dat Digidentity doet, zijn het behoorlijk begrijpelijke teksten die de twee gebruiken om uit te leggen waarmee ze de kost verdienen.


Het pand waar het in 2008 opgerichte bedrijf kantoor houdt, kijkt uit op station Hollands Spoor in Den Haag. Treinen rijden er af en aan. In de kamer op de zevende etage van het gebouw vertellen de twee geanimeerd hoe ze elkaar in 2008 ontmoetten. Ze kwamen te spreken over internet en privacy en het feit dat burgers online niet over een digitale identiteit beschikken, terwijl ze in de 'echte' wereld een paspoort hebben om zich mee te identificeren. Een gemis dat moest worden opgelost, aldus de twee.


Al sleutelend en nadenkend kwamen ze uit op het idee van digitale kluisjes. 'Daarin worden alle gegevens opgeslagen die ook op je paspoort staan. En er kunnen virtuele zaken in worden bewaard zoals een digitale vingerafdruk of een digitale handtekening', aldus Mackenbach. Die laatste maakt Digidentity overigens al. Met e-signing kunnen klanten een door de overheid erkende, rechtsgeldige handtekening zetten onder elk online document. Op zijn iPad laat Wendt zien hoe eenvoudig dat gaat. Met een paar tikken op het scherm van zijn tablet en na het invoeren van een aantal codes zet hij zijn digitale handtekening onder een contract.


De kluizenoplossing heeft volgens de ondernemers een aantal voordelen. Een is dat de kluishouder de eigenaar is en blijft van zijn persoonsgegevens en daarmee controle kan uitoefenen over wie er bij die informatie mag en wie niet, of wie alleen toegang krijgt tot een deel van die informatie. 'Je kunt je voorstellen dat je meer persoonsgegevens wilt delen met een ziekenhuis dan met bijvoorbeeld de Wehkamp.' Die verschillende niveaus van toegang worden verkregen via visa die Digidentity per toepassing aan zijn klanten verkoopt. Om bij de voorbeelden van het ziekenhuis en de webwinkel te blijven: in het eerste geval koopt de klant een ziekenhuisvisum waarmee hij ziekenhuizen bijvoorbeeld toegang kan geven tot alle gegevens in de kluis; voor de webwinkel koopt hij een specifiek visum waarmee bijvoorbeeld alleen zijn geboortedatum en naam worden geopenbaard.


Een tweede voordeel van de kluizen is volgens de ondernemers dat kans op misbruik wordt verkleind. Bedrijven slaan nu vaak alle wachtwoorden en e-mailadressen van klanten op een server op. Wendt: 'Wordt die gekraakt, dan liggen in een keer al die gegevens op straat. Daar hebben we de laatste tijd een paar voorbeelden van gezien.' Mocht een kluis van Digidentity worden gekraakt, dan heeft de inbreker slechts de gegevens van één persoon.


Volgens Mackenbach en Wendt is de kraak van een van hun kluizen slechts een theoretische mogelijkheid. 'Ik durf te stellen dat onze digitale kluizen van buitenaf niet te kraken zijn', zegt de laatste. 'Een inbraak is alleen mogelijk als mensen van binnen het bedrijf hun medewerking verlenen. Door een combinatie van maatregelen is de kans daarop nihil.' Ter illustratie: op het moment dat iemand een van de vele servers waar de inhoud van de kluizen versleuteld op wordt bewaard openschroeft, wordt alle informatie erop gewist. Voor het geval zijn bezoek nog niet is overtuigd, wijst Mackenbach op een lage kast tegen de korte muur van de kamer. Daarop staan de veiligheidscertificaten die het bedrijf heeft behaald voor zijn diensten. 'Allemaal van het hoogste niveau. Om te voldoen aan alle eisen betaal je per certificaat 3 à 4 ton, maar dan heb je ook wat.'


Tot op heden is het voornamelijk het midden- en kleinbedrijf (mkb) dat gebruikmaakt van de digitale kluizen van het Haagse bedrijf. Zo'n 50 duizend. Voor een waaier van zaken die mkb'ers met de overheid moeten regelen, maken zij gebruik van e-Herkenning, de zakelijke variant van DigiD. Digidentity is een van de drie partijen in Nederland die toestemming heeft van de overheid om e-Herkenning van het hoogste veiligheidsniveau aan te bieden. Via die weg raakte het bedrijf tevens betrokken bij DigiD zelf. Afgelopen weekeinde zette het concern samen met ict-bedrijf Atos 9,5 miljoen DigiD-accounts over op een nieuw, nog zwaarder beveiligd systeem.


Via de kluizenbusiness rolden Wendt en Mackenbach eigenlijk ongepland in de wereld van de zogenoemde SSL-certificaten, de certificaten die een bezoeker van een website moeten garanderen dat hij echt op de site is waar hij denkt te zijn. Digidentity is een van de vier partijen die deze digitale veiligheidspapieren mag uitgeven van de overheid.


Tot 2011 had de doorsnee Nederlander nooit van die certificaten gehoord. Dat veranderde toen bleek dat DigiNotar, een andere door de overheid geautoriseerde uitgever van SSL-certificaten, was gehackt. Mackenbach wil niet te veel over zijn voormalige concurrent en de affaire zeggen, maar hij wil wel kwijt dat hij er dubbele gevoelens aan heeft overgehouden. 'Aan de ene kant is het goed dat de zaak het bewustzijn op dit gebied heeft vergroot. Aan de andere kant is het vervelend als jouw branche zo negatief in het nieuws komt.'


Aangezien de veiligheidscertificaten noodzakelijk zijn voor sommige websites heeft het faillisement van DigiNotar voor Digidentity geen negatieve gevolgen gehad. Het bedrijf - dat naast Mackenbach en Wendt het Amerikaanse beursgenoteerde concern Solera als aandeelhouder heeft - zit in de lift, stellen de twee. De omzet komt dit jaar uit rond de 3 miljoen euro en als de glazen bol van Mackenbach en Wendt goed werkt, zal dat de komende tijd elk jaar verdubbelen. Het werknemersbestand van 25, groeit elke maand met twee nieuwe collega's.


Met het werk aan DigiD hebben de twee ondernemers er een mooie vaste inkomstenstroom bij, naast het geld dat ze verdienen met hun digitale kluizenhandel. Ook een groot contract in het kader van Digipoort, het elektronische postkantoor van de overheid om zaken te doen met onder meer de Belastingdienst, garandeert inkomsten voor Digidentity. Onder de noemer van Digipoort zal het bedrijf dit jaar alle accountantskantoren in Nederland voorzien van de veiligheidscertificaten die zij per 1 januari 2013 moeten hebben.


'Achteraf kan je zeggen dat we in 2008 te vroeg waren met wat we doen', kijkt Wendt terug op de soms moeizame beginjaren. 'Maar ik heb het idee dat we dit jaar, na jaren van bouwen in de luwte, eindelijk echt uit de kast zijn gekomen.'


Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden