Zou ik identity provider willen zijn? Tuurlijk. Ik zou ervoor zorgen dat mijn identiteiten heel betrouwbaar en daarmee herbruikbaar zijn. Herbruikbaar, zodat mijn identiteiten door andere service providers vertrouwd worden, zodat de overheid het gebruik toelaat, evenals de banken en zoveel mogelijk andere websites. Dat betekent wel dat er gebruik moet worden gemaakt van open standaarden en dat er een betrouwbaar toetsbaar governance framework bestaat. En dan moet daar wel een passende business model bijkomen. Het identiteitenbeheer moet uiteindelijk toch betaald worden.
Er zijn kortweg verschillende modellen
- De burger betaalt voor digitale identiteit
- De burger ontvangt de digitale identiteit( de eerste keer) zonder kosten
- We licenseren het trust framework
Het eerste model is het meest eenvoudige
Iedereen die een digitale identiteit van een betrouwbare Identity Provider wil hebben, moet daarvoor betalen. Wat zou dat kosten? Dat is moeilijk te becijferen. Er zijn heel veel vaste kosten gemoeid zijn met het inrichten van een betrouwbaar identiteitenbeheer systeem. Dus hoe meer identiteiten worden verkocht, hoe lager de beheer- en beveiligingskosten per identiteit en daarmee hoe lager de prijs van een identiteit. Zullen we voor de aardigheid eens €20 per identiteit zeggen? En periodiek, 2-jaarlijks, verversen? Want identiteiten slijten. De vraag is of ik, als consument, bereid ben om daarvoor te betalen. Als ik een identiteit niet gebruik, dan wil ik er ook niet voor betalen. 'What's in it for me?'. Dus dit vergt een wel erg overtuigend verhaal, waarbij ik als gebruiker de zekerheid van hergebruik heb.
Het tweede model kent op zich weer verschillende varianten
Zoals de vorige keer gezegd, valt DigiD onder dit model. De identiteit is gratis, maar de kosten worden goedgemaakt doordat andere kosten bij de identity provider wegvallen. Nadeel is dat het hergebruikpotentieel laag is, het is alleen bruikbaar bij service providers die binnen het trust framework acteren, denk bij DigiD aan de Overheid en enkele partijen die wettig het BSN mogen gebruiken.
Een andere vorm van dit model is dat een bedrijf of organisatie de kosten van de identiteit voor zijn eigen klanten voor z'n rekening neemt. Dat is net zoiets als bij DigiD. Maar het doel is wel dat de identiteit kan worden hergebruikt. Er moeten dus meer transparante, en door derden toetsbare, kwaliteitskenmerken zijn. Misschien is er zelfs een toetsingskader en een keurmerk denkbaar. Dit komt sterk overeen met het OpenID+ model dat ik in mijn tweede blogje beschreef. De kosten worden gemaakt door de partij die het belangrijk vindt dat zijn identiteiten heel vaak hergebruikt worden, het levert voor die identity provider een hoge reputatie op. Maar de waarde van die identiteit staat of valt met het hergebruikpotentieel. Kosten? Ik schat ze iets hoger in, zeg €50 per identiteit en regelmatig aanhalen van de klantcontacten bij verversing. De kosten worden ook deels goedgemaakt doordat de identiteithouders klanten zijn van het bedrijf. Elke keer als een klant een identiteit moet verversen, dan is sprake van een klantcontact en dat is een waardevol moment.
Ook de commerciële providers van gratis identiteiten zoals Facebook, Twitter en LinkedIn hanteren min of meer dit model. Zij het dat het hergebruikpotentieel beperkt is door het ontbreken van een Trust Framework. Alleen SP's binnen het trust framework (denk aan Blogspot, waarmee je met je Gmail account kunt inloggen) maken hergebruik mogelijk. Al zouden ook SP's die eigenlijk geen trust nodig hebben, maar alleen een identificatie nodig hebben, het gebruik van een gratis account toestaan. En wat is voor die providers de business case? Een gratis ID, maar wie betaalt dat dan, als ze via open protocollen als Oauth gratis inloggen mogelijk maken? Interessante materie, want blijkbaar verdienen die IdP's op een andere manier aan het beheer van jouw identiteit. Ik wil proberen dit in een volgende blog uit te werken. Maar kortweg: jouw profile is voor die IdP's waardevol genoeg, je gedrag is blijkbaar geld waard. Wil je dat in alle omstandigheden, waardoor je zo'n identiteit overal zou kunnen hergebruiken?
Nee, niet geschikt voor algemeen gebruik. Tenzij je een onvertrouwde identiteit zou kunnen upgraden. Bijvoorbeeld door je Twitter identiteit te laten verifiëren voor gebruik binnen een ander Trust Framework. Maar ja, dan koppel je eigenlijk een inlogfaciliteit aan een identiteit. En dat impliceert weer toepassing van de andere modellen… Kom ik in een volgende blog op terug…
De laatste vorm van dit model is volgens mij dat een partij de digitale herbruikbare identiteit gratis weggeeft, maar dat de serviceproviders, waar de identiteit kan worden gebruikt, voor elke inlog een bepaald bedrag betalen aan de identity provider. De reden is dat een service provider geen kosten hoeft te maken voor het beheer van identiteiten (hetgeen immers heel kostbaar is), maar wel behoefte heeft aan betrouwbare klanten. Als een identity provider daarvoor garant kan staan, dan is dat wel iets waard. Kosten? Per transactie? Dat zou kunnen als een IdP dat tenminste aandurft. Hoeveel? Moeilijk te zeggen, maar enkele centen per authenticatie lijkt wel reëel, zeg €0,10 per (betrouwbare) inlog. Voor de identity provider impliceert dit de noodzaak om zoveel mogelijk hergebruik te laten realiseren. Als een identiteit 100 keer per jaar wordt gebruikt (en dat lijk me een conservatieve schatting), dan levert dat alweer zo'n €10 op. Dat kan wel eens leuk worden. Maar als zo'n betrouwbare identiteit niet vaak gebruikt wordt, dan is dat een kostbare zaak. Misschien moeten serviceproviders gewoon een vaste contributie betalen, waarmee gebruikers met deze identiteiten onbeperkt kunnen inloggen. Een soort abonnement per SP. Wat zou gaan kosten? Geen idee. Een paar honderd Euro per jaar, lijkt me. Ik heb zo'n beetje het vermoeden dat een identiteit als NotarisID dit model zou kunnen hanteren. En dat kon wel eens heel lucratief zijn voor zowel de IdP, als voor de SP's en de consumenten. Misschien is dit inderdaad een economisch haalbaar model. Maar het staat of valt bij de acceptatie van de identiteit en prijs per authenticatie of per abonnement. Het grootste voordeel voor de service providers is dat ze zelf geen persoonsgegevens en wachtwoorden hoeven te beheren, ze kunnen die ook niet kwijtraken. Met de nieuwe wetgeving rond datalekken is de business case dan vrij snel rond…
Het derde financieringsmodel is een heel andere vorm
We definiëren een trust framework en iedereen die het wil, kan dat gebruiken. Identity Providers en service providers betalen een licentiebedrag en mogen ermee aan de slag. Het trust framework garandeert hergebruik en elke partij bepaalt zelf op welke wijze er geld mee verdiend kan worden. Het trust framework moet wel ontwikkeld en beheerd worden volgens open standaarden en het zou uitgebaat moeten worden door een juridische entiteit die ook weer toeziet op het hanteren van de gedefinieerde kaders.
Toch zijn er wel wat problemen. Uit deze business cases blijkt dat er eigenlijk alleen op grond van het hergebruikprincipe geld is te verdienen. Als een identiteit niet hergebruikt kan worden, dan is een betrouwbare identiteit misschien wel te kostbaar. Ik zou, als consument of burger, zo'n identiteit niet op prijs stellen en er al helemaal niet voor willen betalen.
Maar hoe beter het hergebruikpotentieel van een digitale identiteit is, hoe minder behoefte ik, als consument, heb om er meerdere identiteiten van andere providers op na te houden, die ene volstaat. Dat betekent feitelijk dat er geen ruimte is voor een onbeperkt aantal identity providers. En dat betekent weer een kip-ei probleem: Zonder Trust framework geen hergebruik. Zonder herbruikbaarheid geen gebruik van digitale identiteiten. Zonder digitale identiteit geen business case. Zonder business case geen trust framework.
Dus geen hergebruik, geen business case.