Bij het kopen van een product of dienst op internet - zoals bijvoorbeeld het afsluiten van een verzekering - moet de aanbieder van de verzekering zeker weten met wie hij te maken heeft. Als een consument – laten we zeggen de heer Pieter Janssen – online zijn verzekeringen wil inzien of wijzigen, dan zal de verzekeraar er zeker van willen zijn dat de juiste Pieter Janssen toegang krijgt.
Om Pieter Janssen zich te laten identificeren heeft hij een middel nodig. Dit identificatiemiddel gebruikt hij tijdens het online-inlogproces bij de dienstverlener. Als ‘t goed is, dan leidt dit tot de bevestiging van de identiteit van Pieter Janssen.
Om een identificatiemiddel te kunnen gebruiken moet Pieter Jansen dat natuurlijk wel hebben. Identificatiemiddelen kunnen op verschillende manieren verstrekt worden. Om het middel te verkrijgen en te kunnen gebruiken moet Pieter Jansen een registratieproces doorlopen. Dit is het proces dat de middelenuitgever heeft ingericht om Pieter Janssen kenmerken van zichzelf vast te laten leggen. Pas na controle van de gegevens door de middelenuitgever wordt het middel verstrekt. Hierna staan een paar voorbeelden van registratieprocessen die Pieter Janssen kan doorlopen. Afhankelijk van de aard van het registratieproces is sprake van een bepaalde mate van binding tussen het middel en de unieke persoon Pieter Janssen. Hoe sterker de binding des te meer betrouwbaar is het middel.
Registratieproces A
Pieter Janssen geeft op wat zijn emailadres is. De dienstverlener stuurt naar dit emailadres een email met een code die Pieter Janssen bevestigt via de website van de dienstverlener. In het vervolg kan Pieter Janssen bij die dienstverlener inloggen met als gebruikersnaam het opgegeven emailadres en een wachtwoord dat Pieter Janssen zelf heeft gekozen en voldoet aan bepaalde eisen (lengte, hoofdletter, kleine letter, leesteken en dergelijke). Dit identificatiemiddel heeft alleen binding met het emailadres, het verband tussen Pieter Jansen en zo’n identificatiemiddel is daarom niet erg betrouwbaar. Dat verband kan verstrekt worden door Pieter Janssen ook zijn mobiele telefoonnummer te laten opgeven en een code naar deze telefoon te sturen. Als Pieter Janssen deze code invoert tijdens het registratieproces dan ontstaat binding met emailadres en het mobiele telefoonnummer. Maar alle andere gegevens die Pieter Janssen opgeeft zijn niet zeker voor de dienstverlener. Wel kan tijdens het inloggen iedere keer een code naar de telefoon van Pieter Janssen gestuurd worden. Dit heet inloggen met twee factoren: iets wat Pieter Janssen weet (emailadres en wachtwoord) en iets wat hij bezit (zijn mobiele telefoon). Het hele proces heet twee-factor-authenticatie.
Registratieproces B
Pieter Janssen legt bij de dienstverlener een aantal gegevens van zichzelf vast. Vervolgens leest hij met een App van de dienstverlener zijn identiteitskaart met chip uit. Dit kan onder meer met ReadID technologie. Hierbij wordt gebruik gemaakt van het gegeven dat in Nederland 100% van de paspoorten, identiteitskaarten, verblijfsvergunningen en ~75% van de rijbewijzen een chip bevat met persoonsgegevens. Via de Smartphone kan Pieter Janssen die met NFC-technologie uitlezen (NFC = Near Field Communication). Door gebruik te maken van ReadID vindt online identificatie plaats: de gegevens die Pieter Janssen heeft opgegeven worden gecontroleerd tegen de gegevens die worden uitgelezen van zijn identiteitskaart, onder meer: voor- en achternaam, geboortedatum, geslacht, nationaliteit en pasfoto. Ook hier kan de mobiele telefoon na controle als tweede factor ingezet worden, naast gebruikersnaam en wachtwoord. Het emailadres (niet noodzakelijkerwijs de gebruikersnaam) zal ook gecontroleerd worden door hier een code naar toe te sturen die bevestigd moet worden.
Registratieproces C
Pieter Janssen legt bij de dienstverlener een aantal gegevens van zichzelf vast. Vervolgens krijg hij thuis bezoek van een persoon die zijn identiteit komt controleren. Hierbij moet Pieter Janssen zich legitimeren met een geldig identiteitsbewijs, en wordt ook ter plekke een code naar de mobiele telefoon van Pieter Janssen gestuurd. Hij moet ook nog laten zien dat hij mail ontvangt op het opgegeven emailadres. De binding tussen de persoon Pieter Janssen en zijn middel (gebruikersnaam, wachtwoord, mobiele telefoon) is nu sterk. Dit registratieproces is (veel) duurder dan Registratieproces B. Daarom heeft registratieproces B in de praktijk veelal de voorkeur.
Als het middel dat Pieter Janssen gaat gebruiken overal gebruikt kan worden voor inloggen dan biedt dat voor Pieter Janssen veel gemak. Zeker als met het middel zowel bij de overheid als bij bedrijven ingelogd kan worden. Het kan ook zijn dat Pieter Janssen een andere persoon wil machtigen om namens hem te handelen. Dit kan bij onder meer DigiD. DigiD is een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren.
Het voorbeeld hiervoor gaat over Pieter Janssen een consument. Hierna maken kijken we ook naar het identificeren van personen in het zakelijke deel van de verzekeringsketen (werkgever, adviseur, verzekeraar, serviceprovider etc.)