Het probleem — klassieke identiteit is alles of niets
Elke keer dat je je identificeert met een paspoort, DigiD of rijbewijs geef je de volledige stapel: naam, geboortedatum, BSN, adres, nationaliteit. Diensten die alleen "is meerderjarig?" hoeven te weten, krijgen alles. Het systeem kent geen tussenposities.
Dit levert twee problemen op die structureel botsen:
Probleem A — te veel prijs: Dagelijks gebruik onthult meer dan nodig. Elk loket, elke leeftijdscheck, elke grensovergang bouwt een spoor op. De som van die sporen is een volledig profiel dat nooit expliciet werd gegeven.
Probleem B — rechtsstatelijke verplichting: Er bestaan situaties waarin een overheid wettelijk bevoegd is te weten wie iemand is — strafrechtelijk onderzoek, bewijslast in een civiele procedure, terrorismebestrijding. Een systeem dat dit structureel onmogelijk maakt is niet rechtsstatelijk, maar anarchistisch.
De vraag is niet óf herleidbaarheid moet kunnen, maar onder welke voorwaarden — en hoe je voorkomt dat die voorwaarden dagelijks worden omzeild.
Het anker-model — sleutel bestaat, maar niemand heeft hem
PrismID werkt met twee parallelle lagen. De dagelijkse laag is volledig anoniem: Zero-Knowledge Proofs bewijzen attributen zonder identiteit te onthullen. De juridische laag bestaat als reserve — een versleuteld anker dat alleen ontsleuteld kan worden via een meervoudige sleutelprocedure met rechterlijk bevel.
De sleutelhouders zijn bewust gescheiden over rechterlijke macht, uitvoerende macht en een onafhankelijke toezichthouder. Dit weerspiegelt de trias politica: geen enkele macht kan het anker eenzijdig openen.
Vergelijking — drie systemen in vier situaties
| Situatie | Huidig paspoort / ID | EUDI Wallet | PrismID |
|---|---|---|---|
| Dagelijks gebruik | Volledige identiteitsdata zichtbaar bij elke verificatie | Selectieve attributen mogelijk, maar wallet gekoppeld aan persoon | ZKP-bewijs: alleen het attribuut, geen identiteit, geen koppeling |
| Bij datalek | Naam, BSN, adres, foto direct bruikbaar voor identiteitsfraude | Wallet-identifiers herleidbaar; lek van provider = lek van gebruikers | Versleuteld anker is waardeloos zonder sleuteldelen; ZKP-bewijzen zijn unlinkable |
| Bij rechterlijk bevel | Volledige identiteit direct beschikbaar via paspoortregister | Afhankelijk van walletprovider en jurisdictie; procedure onduidelijk | Meervoudige sleutelprocedure ontsleutelt het anker; volledig traceerbaar, gelogd en auditeerbaar |
| Bij dwang zonder bevel | Identiteit opvraagbaar door elke partij met toegang tot het register | Walletprovider kan onder druk worden gezet; centrale kwetsbaarheid | Threshold-encryptie blokkeert unilaterale toegang — ook door PrismID zelf |
De sleutel bestaat. Maar niemand heeft hem zonder procedure.
Dit is geen privacy-belofte van een bedrijf. Het is een architectuurkeuze: de sleutels bestaan, maar zijn zo gesplitst en gedistribueerd dat ontsleuteling structureel onmogelijk is zonder medewerking van onafhankelijke partijen via een formele juridische procedure.
Een bedrijf dat zegt "wij slaan niets op" doet een belofte die morgen kan worden gebroken. PrismID doet een andere keuze: de anonimiteit is wiskundig geforceerd, niet contractueel. De uitzondering — het rechterlijk bevel — is eveneens wiskundig afgedwongen, niet discretionair.
Het systeem vertrouwt geen enkele partij volledig. Niet PrismID, niet de overheid, niet de gebruiker. Het vertrouwt de procedure.
Verdieping — PrismID
Zero-Knowledge Proofs, digitaal paspoort en selectieve onthulling
PrismID — BewijsZKP-leeftijdscheck, identiteitsanker en demo-configuraties
PrismID — AdoptieRoadmap naar DigiD-integratie en Europese wallets
ArchitectuurThreshold-encryptie, Shamir Secret Sharing en het anker-model in context