De laatste weken heb ik helaas niet kunnen schrijven omdat ik naar Azië ben gereisd en het te druk had om goed het cryptonieuws te kunnen volgen; laat staan om erover te kunnen schrijven. Reizen anno 2022 betekent het meeslepen van hele mappen met documentatie en bewijsmateriaal. Al deze vormen van identificatie en bewijs (van nationaliteit, vaccinatie, verzekering, hotelreservering ) zou zoveel efficienter, veiliger en goedkoper kunnen worden opgeslagen en gedeeld op basis van blockchain-technologie.
Dit is een lijst van documenten, elk met het doel om iets van mijn identiteit te bewijzen, die benodigd waren om Singapore binnen te komen:
- paspoort
- visum (niet nodig met een EU-paspoort)
- vaccinatiebewijzen
- een zogeheten ‘arrival card’, in te vullen voor vertrek
- verzekering voor eventuele behandeling tegen Covid boven SGD 30.000 (ongeveer 20.000 Euro)
- verblijfsvergunning/werkvisum
- negatieve PCR test
- bewijs van woonadres of verblijfsadres (hotel)
[Niet gevaccineerd reizen naar Azië is vrijwel onmogelijk, tenzij je medische verklaringen kunt overleggen van zware aandoeningen waardoor je niet kunt worden gevaccineerd en dan nog worden die meestal alleen geaccepteerd als je directe familie bent van een inwoner met de nationaliteit van het land waar je heen wilt.]
De vereisten om naar Indonesië te reizen waren vrijwel identiek. Als je de gevraagde gegevens analyseert, blijkt dat er feitelijk wordt gevraagd naar twee soorten gegevens:
- bewijs van identiteit (nationaliteit, een status die zelden wijzigt en dan in 1 andere variabele)
- bewijs van ‘reputatie’ (een status die snel wijzigt, zoals al of niet besmet, woon- of verblijfsadres, dekking van de zorgverzekering)
In de financiële wereld, waarin je niet jezelf stuurt maar wel je bezit (geld), gelden vergelijkbare strenge eisen. Je identiteit wordt geverifieerd middels KYC (Know Your Customer) wanneer je een bankrekening opent. De herkomst van geld wordt geverifieerd zodra je een grote som ontvangt in het kader van AML/CFT-regulering (Anti-Money Laundering/Combating the Financing of Terrorism).
Het kennen van de klant is een vereiste om te bankieren en ook om vertrouwen op te bouwen bij transacties in een gedistribueerd netwerk. Dit proces is echter omslachtig en duur. Vergelijkbaar met wat er gebeurde toen ik vanaf Singapore doorvloog naar Indonesië en landde op Bali:
- iemand van de immigratiedienst checkte mijn vaccinatiebewijzen, de negatieve PCR-test die ik in Singapore had gedaan, mijn verzekering en controleerde mijn hotelreservering
- een verpleegster voerde een PCR test op me uit
- iemand van de immigratiedienst checkte mijn paspoort
- iemand van de immigratiedienst verkocht me een visum
- iemand van de douane vroeg wat er in mijn koffer zat
Zowel internationaal reizen als financiële transacties zouden, met de mogelijkheden die blockchain biedt, heel anders kunnen worden opgelost. Er is behoefte aan een open source protocol dat mensen en bedrijven helpt transacties uit te voeren en diensten te gebruiken zonder tussenpersoon, terwijl ze hun betrouwbaarheid bewijzen zonder hun identiteit bloot te geven en hun onbewerkte gegevens veilig onder hun eigen controle opslaan. Een zero knowledge proof, een bewijs van identiteit en reputatie waarmee je zelf kunt reizen; maar waarmee ook je geld kan reizen van A naar B.
Denk, vanuit de gebruiker geredeneerd, aan een app waarin ik zelf mijn paspoortgegevens en ‘lang lopende data’ zoals verzekeringsgegevens en vaccinatiebewijzen op kan slaan, maar ook mijn ’tijdelijke eigenschappen’ zoals de uitslag van mijn PCR test en mijn hotelreservering.
Bij vertrek uit Nederland werden op Schiphol alle door Singapore vereiste gegevens al gecheckt door KLM; dat zou verificatieniveau 1 kunnen zijn. Maar een douanier, een overheidsvertegenwoordiger, checkte ook nog een keer mijn paspoort. Dat zou verificatieniveau 2 kunnen zijn. Bij aankomst in Singapore werd de hele lijst geverifieerd van vereisten die ik al opsomde; dat zou verificatieniveau 3 kunnen zijn. Dat niveau 3 is dan gedefinieerd als: deze data, zoals identiteit, vaccinatiestatus en verzekeringsstatus, is geverifieerd door twee overheden.
Bij aankomst in Indonesië had één douanier dan alleen mijn app hoeven scannen en verifiëren met mijn paspoort, zodat zeker was dat ik de juiste persoon was met de juiste app. Uit de app zouden de in de blockchain onveranderlijk (immutable) opgeslagen eigenschappen worden opgehaald, zoals mijn nationaliteit, vaccinatiestatus, verzekeringsstatus, negatieve PCR-test en hotelreservering . En het toeristenvisum had ik al voor vertrek online kunnen kopen, hetgeen dan ook in de app zou kunnen worden opgeslagen.
Voor het huren van een auto of scooter of een appartement via Airbnb of Booking, zouden de verhuurders vervolgens dezelfde app kunnen raadplegen. Want mijn rijbewijs plus de reviews van eerdere verhuurders, mijn reputatie in de ‘echte wereld’, zou kunnen worden omgezet naar een digitaal duimpje omhoog. Allemaal vanuit een ‘centrale datakluis’ waarvan ik de data zelf beheer; en waarvan ik bepaal met welke partij ik welke data deel. Zodat niet elke scooterverhuurder een kopie van mijn paspoort in zijn bureau heeft liggen, met alle mogelijke gevolgen.
In de financiële wereld zou zo’n zero knowledge proof toepassing ook alle toezichthouders tevreden stellen. Je zou dan, bij verzending van hoge bedragen, zelf toestemming kunnen geven dat je identiteit met het relevante overheidsorgaan wordt gedeeld. Maar niet met de eerste de beste stagiair, want iedereen weet nog hoe GGD-ers vervalste vaccinatiebewijzen verkochten en privé-adressen van bekende Nederlanders, inclusief Peter R. de Vries. Het gevolg van de verkeerde aanpak met een gecentraliseerd databestand, waar elke kneus toegang toe kon krijgen. Dat kan en moet anders.