Hoe geef je mensen zeggenschap over wie er wat met hun gegevens mogen doen? Deze vraag is de aanleiding geweest voor de ontwikkeling van Solid. Solid is een specificatie voor een persoonlijke online datakluis; een ‘Pod’. Vanuit zo’n Pod kunnen mensen en bedrijven heel gericht data uitwisselen.
Waar de grote internetplatforms nu, in ruil voor hun gratis dienstverlening, ruim gebruik kunnen maken van jouw data, willen de ontwikkelaars van Solid die regie op datagebruik bij de eigenaars van die data houden. Bij jou en mij als consument dus. Het idee van Solid is dat je een persoonlijke online datakluis (Pod) aanmaakt. Hierin kan je zowel handmatig gegevens toevoegen of gevalideerde gegeven - zoals persoonsgegevens uit de basisregistratie personen - ophalen en bewaren. Vanuit jouw persoonlijke Pod kan jij zelf bepalen met welke organisatie en voor welke specifieke dienst jij welke gegevens deelt. Zou dit een bouwsteen kunnen zijn voor data-uitwisseling tussen burgers, bedrijven en overheid in een nationale infrastructuur? Om te verkennen hoe Solid werkt, hebben we het iAMLAB van CGI gevraagd om een demonstrator te ontwikkelen.
Case: huren van een scooter
Voor de demonstrator is een persoonlijke datakluis aangemaakt. Deze kluis gaan we gebruiken om gegevens uit te wisselen die nodig zijn om een scooter te huren. Voor de demo maken we gebruik van een testdataset en API voor scooterverhuur in Almere. Op een kaart zie je waar in de buurt zich een te huren elektrische scooter bevindt. Zodra je de scooter aanklikt om hem te huren, vraagt het verhuurbedrijf gegevens van je om de transactie in gang te zetten. Dit is het moment waarop de gegevensuitwisseling begint.
Zonder Pod
We beschrijven eerst hoe het huren van een scooter via de verhuurapp er uitziet zonder Solid. Wanneer je nu een scooter wilt huren, moet je jouw rijbewijs uploaden naar de app van het verhuurbedrijf. Op de server van de verhuurder wordt vervolgens gevalideerd of je gerechtigd bent om een scooter te huren. Alle gegevens van je rijbewijs en de overige gegevens die nodig zijn van jou als klant -zoals betaalgegevens- zijn dan opgeslagen bij de verhuurder
Met Pod
Via Solid zullen de stappen er vrijwel hetzelfde uitzien voor de gebruiker. Alleen zal je in het geval van een Pod de gegevens van je rijbewijs in jouw persoonlijke online datakluis uploaden. Het bewaren van een kopie van jouw rijbewijs op de server van de verhuurder is dan niet meer nodig. Ook de een check op de geldigheid van jouw rijbewijs kan plaatsvinden in de Pod. Data die je binnenhaalt vanuit een formele registratie en deelt met een bedrijf kan namelijk worden voorzien van een ‘verified credential’. Dit geeft zekerheid aan de verhuurder èn scheelt hem werk.
Morgen invoeren dan maar?
Om het gebruik van Pods aantrekkelijk te maken, is er nog wel wat nodig. Allereerst is er meer aandacht nodig voor “data minimalisatie”. Data minimalisatie houdt in dat je goed kijkt of je echt persoonsgegevens nodig hebt om iets te kunnen leveren, of dat iets ook kan worden bereikt met anonieme gegevens. Denk aan het voorbeeld van geen alcohol bestellen onder de 18. Je kunt dan iemands geboortedatum vragen, maar je kunt ook organiseren dat er alleen een ja of nee verschijnt op de vraag Ben je minimaal 18 jaar?
Afspraken maken
Dat principe van data minimalisatie is verankerd in de algemene verordening gegevensbescherming (AVG). Maar in de praktijk is het nog best lastig om toe te passen. Want als ondernemer deel je een ecosysteem met je klanten, maar ook met je verzekeraars, je bank en de overheid. Zou je in het voorbeeld van de scooterverhuur kunnen volstaan met de registratie van contactgegevens van de verhuurder, een check op ‘heeft persoon een geldig rijbewijs’ en betaalgegevens? Wordt dat in de hele keten geaccepteerd als voldoende zekerheid? Daar zijn vast nog verdere afspraken over nodig.
Ben jij een bewuste beheerder?
Dat Solid data minimalisatie in combinatie met privacy first ondersteunt, is een grote kracht. De grote uitdaging is om uit te vinden in welke situaties werken met een Pod voordelen biedt en in welke niet. Want voor consumenten is het best een opgave om een bewuste beheerder te zijn van de eigen gegevens. Het vraagt tijd èn digitale wijsheid. Ook daar is nog een wereld te winnen.
Kansen
Toch zou data delen via Pods nieuwe kansen kunnen bieden. Want werken met Pods kan bedrijven en instellingen – met instemming van de consument – toegang geven tot data die anders onbereikbaar blijven. Denk bijvoorbeeld aan het delen van persoonlijke energieverbruiksgegevens. Een aanbieder van lokale smart grids zou je via jouw Pod toegang kunnen verlenen tot die gegevens zodat hij de energie vanuit de buurtbatterij slim kan distribueren. Of stel dat je mensen in een buurt via een digital twin mogelijkheden wilt bieden om een speelterrein in te richten. Dan kan je met behulp van Solid technologie gericht informatie uitwisselen over bijvoorbeeld gezinssamenstelling. En zo zijn er meer voorbeelden te bedenken.
Solidcommunity
Op verschillende plekken experimenteren partijen met Solid. Voor het maken van onze Solid-demonstrator hebben wij zelf dankbaar gebruik gemaakt van praktijkervaring bij het Kadaster en het Vlaamse Athumi. Athumi is het overheidsbedrijf dat de wettelijke opdracht heeft om persoonsgegevens en gevoelige bedrijfsdata slim en veilig te verwerken. Vlaanderen heeft de ambitie om koploper te worden in Solid-kluistechnologie en Athumi zit daar bovenop. Het is dus zeker interessant om hun ontwikkelingen te blijven volgen. In Nederland is de solidcommunity actief waarbinnen deze demonstrator ook wordt gedeeld. In de solidcommunity staat het delen van kennis centraal. Eén van de dingen waaraan zij nu werken is het opstellen van een vertrouwenskader.
Meer weten?