Wat is nu eigenlijk de business driver voor een bank om de login van het telebankieren ook beschikbaar te stellen om in te loggen bij mijn verzekeraar? Lukt het wel om tegenwoordig eenvoudig met Twitter, LinkedIn, Hyves of Google in te loggen op andere websites, waarom blijven banken of telco's achter om hier aan mee te werken?
Twee weken geleden organiseerde ik een OpenID meetup met David Recordon als gastspreker. Een leuke bijeenkomst met goede voorbeelden van online diensten waar je ook eenvoudig met je Facebook-, Twitter-, LinkedIn- of Hyves-account kunt inloggen. Een verslag van de meetup staat op openidentiteit.nl.
Onlangs was er een bijeenkomst vanuit het CidSafe-project, hoe een breed geaccepteerde, veilige oplossing voor een consumenten-id te introduceren? Goede bijeenkomst georganiseerd door Novay, met discussies over wat een veilig middel is, waarom de overheid dit niet doet, mogelijke business case en wat de rol van banken eventueel kan zijn.
Terugkijkend op beide bijeenkomsten ging ik op zoek naar een antwoord op de vraag waarom het hergebruik van consumentenidentiteiten van bijvoorbeeld Twitter succesvol is, maar voor hogere niveaus het niet lijkt te lukken om banken of telco's aan te laten sluiten.
Hergebruik lijkt het nieuwe toverwoord in het identity-landschap. Hergebruik staat bij veel initiatieven (eHerkenning, identityexchange, CidSafe, OpenID ) benoemd als belangrijk uitgangspunt voor het slagen van een oplossing van het identiteitsvraagstuk. In verschillende discussies is er nog een verschil van interpretatie van het woord 'hergebruik'. In veel gevallen is hergebruik het effect dat je één identiteit/login kunt hergebruiken bij meerdere toepassingen. Wat mij betreft is dit niet de essentie, het gaat erom dat je een bestaande identiteit kunt hergebruiken, omdat hij direct beschikbaar is. De consument heeft een Gmail-account en kan direct aan de slag bij 360inc.nl.
Wat zou het prettig zijn als ik mijn bank-login of mobiele telefoon ook direct kan hergebruiken bij mijn verzekeraar, maar waarom zou je dit aanbieden als bank of mobiele aanbieder? Wat is de business case? Er wordt dan gesproken over de voordelen van het delen van de kosten van een dure authenticatie-infrastructuur of eventuele extra inkomsten… Met meer dan 1 miljard kwartaalwinst met de primaire dienstverlening van een bank, zou dit dan echt belangrijk zijn? Ik dacht het niet. Aangevuld met het nadeel van het mogelijke imagoverlies als er iets misgaat met de login op een andere site, is dit een no-go.
Wanneer ik dan kijk naar de aanbieders van OpenID, dan gebeurt het toch. Wat is dan de business case voor bijvoorbeeld Hyves, Google en Twitter? Tenslotte heeft Google ook een goed imago dat ze kunnen verliezen, wellicht nog een groter risico doordat hun inlogmethode van gebruikersnaam/wachtwoord eenvoudiger te phishen is dan de randomreader van de bank. Google haalde een kwartaalwinst van 2 miljard, dus dat lijkt ook niet echt een logische rede voor het Google-bestuur om met OpenID te starten. Waarom gebeurt het dan toch en wat kunnen banken en telco's hier nu van leren?
De business driver is het sociale web, of zoals Chris Anderson van Wired laatst al publiseerde 'The web is dead, long live the Internet'. Het gaat erom dat steeds meer digitale diensten onderling op elkaar aansluiten, niet alleen via een webbrowser toegankelijk zijn en gegevens van elkaar kunnen hergebruiken op basis van toestemming door de consument. Ik ben er van overtuigd dat het deze socialisering van het web is, die ons gaat helpen het identiteitsprobleem op te lossen. Hierdoor kunnen we straks wel onze bank- of telefoon-login hergebruiken. Partijen als Google, Hyves, Twitter, Flickr en LinkedIn worstelen al jaren met het probleem dat andere toepassingen rechten willen op de gegevens zoals die bij hun beschikbaar zijn. Hoe krijgen we je Gmail-adresbook, MSN-gegevens gesynchroniseerd met de Soocial.com-applicatie zonder je Gmail-logingegevens bekend te maken? Dit is opgelost doordat Google, Hyves, Twitter en anderen gebruik zijn gaan maken van een nieuwe technische standaard, Oauth. Zo geef je eenvoudig toestemming aan een andere online dienst om je persoonlijke gegevens of data te gebruiken, zonder je wachtwoord te delen. Zijdelings effect is dat je hierdoor ook eenvoudig kunt inloggen met je bestaande account op andere diensten. Deze techniek is geschikt voor mobiel, web en desktop. Bij Twitter of andere ID-providers zie je dan netjes een lijstje met de toestemmingen die je hebt gegeven.
Met de opkomst van diensten als Yunoo, waar je inzicht in je financiën kunt krijgen, is er een behoefte om Yunoo direct toegang te geven tot je online banktransacties. Hoe vervelend is het als je deze elke keer moet exporteren en importeren, waarbij je ook het realtime effect volledig mist? Uiteraard wil ik niet dat Yunoo mijn banklogin krijgt. Wat zou het eenvoudig zijn om Yunoo via Oauth toestemming te geven tot mijn banktransacties en uiteraard niet om een transactie te doen. Bij mijn telebankierapplicatie zie ik dan netjes dat ik Yunoo toestemming heb gegeven en kan ik de toegang ook weer weigeren. Zo komen er de komende tijd legio nieuwe innovatieve financiele services, waarbij dit handig zou zijn. Ook voor andere dienstverleners zal dit gaan gelden, denk hierbij aan de toestemming om mijn realtime OV-reisgegevens te gebruiken in een slimme reiswijzer, realtime inzicht in mijn gespreksgegevens via een iPhone of nieuwe inkomende nummers direct te mergen met mijn Soocial.com-app. En in de nabije toekomst natuurlijk het geven van toestemming tot andere applicaties op mijn SIM-kaart. Wellicht zelfs een mogelijkheid om straks via Oauth/DigID burgers als burger toestemming geven tot je geboorteakte?
Kortom, de banken en telco's moeten mee in deze servicesbeweging en zullen dus ook hun authenticatiediensten toegankelijk moeten maken om dergelijke toestemming tot consumentengegevens mogelijk te maken. In veel van de discussies rondom digitale identiteit zitten meestal niet de verantwoordelijken voor de ontwikkelingen van dergelijke innovatieve retailservices aan tafel, anders was de discussie van de business case snel geslecht. Deze ontwikkeling is niet te stoppen, hij is gaande, en maak als traditionele bank niet de fout te denken dat je het kunt stoppen, door hier niet aan mee te werken. Tijdens het congres Identitynext wil ik hier verder op ingaan tijdens de track 'social consumer'. Ik nodig iedereen, die bezig is met het ontwikkelen van deze innovatieve services, uit om de traditionele identiteitdenkers te overtuigen van deze ontwikkeling.