Wat je moet weten over... je identiteit in eigen hand houden
DigiD is een vorm van Identity Access Management, oftewel IAM. Bij onderwijs en onderzoek in Nederland hebben we daarmee te maken. Wat gebeurt er als we niet meer bij de identiteitsgegevens kunnen van studenten, medewerkers of onderzoekers? Arnout Terpstra, teamlead Identity and Access Management bij SURF, beantwoordt deze vragen binnen de geopolitieke ontwikkelingen.
Waar gaat deze aflevering over?
In deze aflevering hoor je onder andere:
- Waarom digitale identiteit niet standaard is ingebouwd in het internet.
- Wat de recente ontwikkelingen rond DigiD laten zien over afhankelijkheid.
- Waarom identiteit en toegang de kroonjuwelen van een instelling zijn.
- Hoe SURF met SURFconext en andere IAM-diensten autonomie organiseert.
- Waarom risico’s anders worden gewogen door geopolitieke ontwikkelingen.
- Wat instellingen concreet kunnen doen, zonder direct een grote migratie te starten.
Wat is Identity & Access Management?
Identity & Access Management (IAM) draait om één kernvraag: Hoe weet je zeker wie er aan de andere kant van de digitale lijn zit, en wat diegene mag doen? Voor onderwijs- en onderzoeksinstellingen betekent dat bijvoorbeeld:
- Alleen studenten toegang geven tot hun eigen cijfers.
- Alleen medewerkers toegang geven tot eigen HR-gegevens.
- Onderzoekers toegang geven tot specifieke datasets.
- Veilige toegang tot financiële systemen en onderwijsomgevingen.
IAM is daarmee geen ondersteunende IT-dienst, maar een fundamentele infrastructuurlaag onder vrijwel alle digitale processen.
Waarom is dit nu zo actueel?
Recent was er discussie rond de mogelijke overname van een partij (Solvinity) binnen de DigiD-infrastructuur. Dit maakte zichtbaar wat er kan gebeuren als cruciale onderdelen van digitale infrastructuur afhankelijk zijn van buitenlandse technologiebedrijven.
Volgens Arnout Terpstra is het risico niet alleen technisch, maar ook geopolitiek. Waar risico’s voorheen als theoretisch werden beschouwd, worden ze nu concreter gewogen. En bij identiteit geldt: als je geen toegang meer hebt tot je identiteiten, ligt je onderwijs en onderzoek stil. Risico is altijd een combinatie van kans × impact. En bij IAM is de impact maximaal.
Hoe organiseert SURF dit voor onderwijs en onderzoek?
Al jaren bouwt SURF samen met de sector aan een eigen federatieve identiteitsinfrastructuur. Bekende diensten zijn onder andere:
- SURFconext
- eduID
- SURFsecureID
- Access Management-diensten
Kenmerkend is dat:
- Er gewerkt wordt met open standaarden.
- De infrastructuur in eigen beheer draait.
- Instellingen keuzevrijheid houden in hun eigen IAM-software.
Dit creëert een gezamenlijke infrastructuur, terwijl instellingen zelf regie houden over hun inrichting.
Zijn we daarmee volledig onafhankelijk?
Nee, en dat is volgens Arnout Terpstra ook een belangrijke nuance. Volledige onafhankelijkheid bestaat niet. Digitale infrastructuur is altijd onderdeel van een keten van afhankelijkheden. Het doel is dan ook niet totale onafhankelijkheid, maar:
- Minder kwetsbaar zijn voor één dominante leverancier.
- Alternatieven ontwikkelen.
- Een sterkere onderhandelingspositie creëren.
- Regie houden over cruciale onderdelen.
Juist bij identiteit is dat essentieel.
Wat betekent dit voor instellingen?
IAM zit diep in de infrastructuur van een organisatie. Het raakt vrijwel elke digitale transactie. Daarom is verandering complex en kan het niet even worden gepauzeerd. Autonomie bouw je stap voor stap.
Het advies in de aflevering:
- Begin klein: kijk naar software die binnenkort opnieuw wordt aanbesteed
- Start met nieuwe use cases.
- Experimenteer aan de randen van het landschap.
- Leer van andere instellingen
Wat kun je nu al doen?
Instellingen die aan de slag willen, kunnen onder andere:
- Deelnemen aan de jaarlijkse IAM Unconference (meestal in oktober).
- Aansluiten bij werkmiddagen over specifieke IAM-thema’s.
- Meedoen aan het open tweewekelijkse overleg over open source IAM-alternatieven (Midpoint).
- Actief worden op het communityplatform: iam.surf.nl