I. Smid-Woelders →
PrismID
Uitbreidingen op het ecosysteem

Voorbij de vier kernproducten

PrismAir, PrismChat en PrismRelay bouwen op hetzelfde protocol maar lossen specifiekere vraagstukken op. Ze staan buiten de hoofdnavigatie omdat ze nog in ontwikkeling zijn of een smallere scope hebben.

Visiedocument · Mei 2026
Bewaart. Zonder te weten van wie.

Cloudopslag weet altijd van wie de data is. PrismAir niet. De server bewaart versleutelde blobs zonder identiteit en kan dat ook structureel niet achterhalen.

Dropbox, Google Drive, iCloud bewaren data gekoppeld aan een account, een naam, een e-mailadres, een betaalmethode. Één datalek treft alle gebruikers. Één rechtelijk bevel ontsluit alles.

Huidige cloudopslag
✕ Server kent de eigenaar bij naam
✕ Data gekoppeld aan account en identiteit
✕ Toegangslog koppelbaar aan persoon
✕ Datalek onthult wie welke data heeft
PrismAir
✓ Server bewaart versleutelde blobs zonder eigenaar
✓ Identiteit nooit opgeslagen, niet achteraf te herleiden
✓ Toegang via ZKP-bewijs, niet via naam
✓ Datalek onthult alleen onleesbare ciphertext
WebAuthn Level 3 AES-256-GCM HKDF sleutelafleiding ZKP toegangscontrole PoC bewezen 9 mei 2026
Positionering in het ecosysteem
PrismAir is de opslaglaag

PrismPass bewijst wie je bent zonder identiteit te onthullen. PrismAir bewaart wat je hebt zonder eigenaarschap te registreren. Samen vormen ze een complete privacylaag: anoniem inloggen én anoniem opslaan.

PrismAir is een uitbreiding op het kernprotocol, geen vervanger. De authenticatielaag van PrismPass is de toegangspoort tot PrismAir-opslag.

PoC bewezen · 9 mei 2026
Bewijs van het Principe
Wat bewezen is: laptop en iPhone wisselen versleutelde notities uit via een server die de inhoud nooit ziet. Koppeling via QR-code. Tweerichtingsverkeer bevestigd. Sleutel bestaat nooit op de server.
Stap 1
Koppeling
QR-code, anker overgedragen, koppelcode eenmalig
Stap 2
Sleutelafleiding
Beide apparaten berekenen dezelfde blob-sleutel via HKDF
Stap 3
Versleuteling
Notitie versleuteld met AES-256-GCM, opgeslagen op server
Stap 4
Ontsleuteling
Ander apparaat haalt ciphertext op, ontsleutelt lokaal
Wat de server ziet
Opaque blobs — geen eigenaar, geen inhoud

De server ontvangt een versleutelde blob met een anonieme blob-ID. Er is geen koppeling naar een gebruiker, naam of account. Bij een rechtelijk bevel of datalek is er niets te onthullen: de server heeft de sleutel structureel nooit bezeten.

Dit volgt niet uit een privacybeleid maar uit de architectuur: de sleutel wordt afgeleid van een gedeeld geheim dat uitsluitend op de apparaten van de eigenaar bestaat.

PoC bewezen Twee apparaten bevestigd ZKP toegang volgende fase
Adoptieanalyse · Mei 2026
Wie heeft er baat bij?

PrismAir lost een probleem op dat elke gebruiker heeft maar dat niemand oplost: data bewaren zonder dat de bewaarder weet van wie het is.

Individuen Medische notities, juridische documenten, wachtwoorden — gesynchroniseerd tussen apparaten zonder centrale kluis die van eigenaarschap weet.
Zorg Patiëntdossier bewaard door patiënt. Zorgverlener krijgt toegang alleen via ZKP-bewijs. Datalek bij zorginstelling raakt geen patiëntdata.
EUDI Wallet PrismAir als opslaglaag voor de Europese digitale identiteitsportemonnee. Documenten bewaard zonder eigenaarskoppeling op de server.
Kleine hosters Kunnen opslag aanbieden zonder AVG-risico: ze bewaren letterlijk niets bruikbaars. Compliance by architecture.
Adoptiedrempel
Wat er nog moet gebeuren
Technisch ZKP-toegangscontrole koppelen aan blob-opslag. Meerdere apparaten via gedeeld geheim zonder centrale sleutelopslag.
Juridisch AVG-positie van een hoster die aantoonbaar niets bruikbaars bewaart is nog niet getoetst. Rechtelijk bevel bij nul-kennis opslag is onontgonnen terrein.
Coalitie Kleine hosters zijn de meest logische early adopters. Grote cloudpartijen verdedigen het huidige model.
PoC bewezen ZKP-koppeling in ontwerp Juridische toetsing gepland
Visiedocument · Mei 2026
Twee mensen. Geen namen. De server weet niets.

Signal en WhatsApp weten wie je bent maar niet wat je zegt. PrismChat weet niet wie je bent én niet wat je zegt. Alleen: twee geldige PrismPass-sessies wisselen berichten uit via anonieme relay-codes.

PrismChat is geen vervanging van Signal. Het is een proof-of-concept voor wat communicatie kan zijn als authenticatie volledig losgekoppeld is van identiteit.

Signal / WhatsApp
✓ Versleutelde berichten
✕ Telefoonnummer vereist
✕ Metadata zichtbaar voor provider
✕ Account koppelbaar aan identiteit
PrismChat
✓ Versleutelde berichten (PBKDF2 + device secret)
✓ Geen telefoonnummer, geen e-mail
✓ Server ziet alleen anonieme relay-codes
✓ Twee sessies — geen namen, geen profielen
PoC bewezen 3 mei 2026 PBKDF2 sleutelafleiding MySQL persistentie Relay-codes rotatie gepland
Hoe het werkt
Relay-codes als anoniem adres
01

Inloggen via PrismPass

Beide gebruikers loggen in via de bestaande driehoek: biometrie, apparaat, NFC-tag. De server valideert de sessie zonder naam of e-mail te kennen.

02

Relay-code ontvangen

Na inloggen genereert PrismChat een relay-code voor jouw sessie, bijvoorbeeld ZILVER-3158. Die code is jouw anonieme adres. De server koppelt hem aan jouw sessie, niet aan wie jij bent.

03

Code delen buiten de app

Jij stuurt jouw relay-code via sms, e-mail of mondeling. Zij voegen de code toe in hun app. De app ziet nooit jouw naam. De server ook niet.

04

Berichten — de server verwerkt, begrijpt niets

Berichten worden via de server gerouteerd naar de juiste relay-code. De server ziet: een anonieme code ontvangt een bericht van een andere anonieme code. Inhoud, namen en identiteiten zijn onzichtbaar.

PoC bewezen · 3 mei 2026
Eerste live bericht verzonden
Eerste bericht, 3 mei 2026: "Dat is een goed plan Ietje, voorzichtigheid en waarschuwingen zijn nu op zijn plaats." — Verzonden via PrismChat tijdens de eerste live test. De server wist niet wie dit zei.
Sleutels PBKDF2(sort(vanCode, naarCode) + deviceSecret). DeviceSecret is 32 willekeurige bytes in lokale opslag, verlaat de browser nooit. Databasekopie alleen is onvoldoende om te ontsleutelen.
Persistentie Berichten opgeslagen in MySQL als versleutelde ciphertext. Server kan de inhoud niet lezen.
Bekende beperking Sleutel is device-gebonden. Nieuw apparaat kan oude berichten niet lezen. Productiepad: sleuteluitwisseling via WebAuthn-sleutel.
Live PoC bewezen Tweerichtingsverkeer bevestigd Sleutelmigratie nieuw apparaat: ontwerp gereed
Adoptieanalyse
Niche maar betekenisvol

PrismChat is geen consumentenproduct voor de massa. Het is een anoniem communicatielaag voor situaties waar zowel de inhoud als de identiteit van de betrokkenen beschermd moeten zijn.

Klokkenluiders Communicatie met journalisten of toezichthouders waarbij zelfs het bestaan van het contact beschermd moet worden.
Juridisch Vertrouwelijke communicatie waarbij de identiteit van de gesprekspartner zelf gevoelig is.
Onderzoek Onderzoekers die anoniem moeten communiceren met bronnen zonder dat de communicatieserver weet wie er praat.
Adoptiedrempel Vereist dat beide partijen PrismPass gebruiken. Device-gebonden sleutel maakt apparaatwisseling omslachtig. Productiepad vereist WebAuthn-gebaseerde sleutelmigratie.
PoC bewezen Relay-code rotatie gepland (veiligheidsvereiste) Sleutelmigratie nieuw apparaat: ontwerp gereed Toevoeging Invention Disclosure v7 gepland
Bewezen in profiel.html
PrismRelay — Anoniem notificatiekanaal

PrismRelay is het idee van een notificatiekanaal dat berichten doorstuurt naar de juiste ontvanger zonder dat de server weet wie die ontvanger is. Waar PrismChat communicatie tussen twee bekende partijen anonimiseert, richt PrismRelay zich op eenrichtingsnotificaties: dienstverleners kunnen gebruikers bereiken via een relay-adres zonder dat het e-mailadres of identiteit van de gebruiker bekend is.

De relay-functie is werkend ingebouwd in profiel.html. Er is geen aparte PoC-pagina, maar de kern is bewezen: berichten worden gerouteerd via anonieme relay-codes zonder dat de server weet wie de ontvanger is.

Concept — bewezen Bouwt op PrismChat relay-codes Bouwt op PrismAdd token-laag
Relay-functie werkend in profiel.html
Bewijs volgt na kernvalidatie

e relay-functie is werkend ingebouwd in profiel.html. Berichten worden gerouteerd via anonieme relay-codes zonder dat de server weet wie de ontvanger is. Er is geen aparte PoC-pagina, maar de kern is bewezen en live.

Het PrismRelay-specifieke deel, de eenrichtingsstroom met unlinkable notificatietoken als zelfstandig product, is nog niet als aparte module uitgewerkt. Dat volgt na kernvalidatie./p>

PoC op profiel.html Relay-codes bewezen in PrismChat
Adoptieanalyse — voorlopig
Wie heeft er baat bij?

De meest logische early adopters zijn dienstverleners die gebruikers willen bereiken zonder hun e-mailadres te hoeven bewaren. Denk aan overheidsinstanties die notificaties sturen zonder een identiteitskoppeling in hun systemen, of aan zorginstellingen die patiënten informeren zonder hun contactgegevens centraal op te slaan.

PrismRelay lost daarmee een AVG-probleem op dat veel organisaties hebben maar waar nog geen privacy-by-design oplossing voor bestaat: hoe bereik je iemand opnieuw zonder zijn identiteit te bewaren?

Concept — adoptiepad nog niet uitgewerkt Overheid en zorg meest logische vroege gebruikers
Concept · Mei 2026 · Open vraagstuk
Verdwijnen zonder sporen achter te laten.

PrismPass maakt anoniem inloggen mogelijk. Maar wat als je niet alleen anoniem wilt zijn, maar helemaal weg wilt zijn? Wat als je digitale aanwezigheid moet verdwijnen, zonder dat het systeem weet wie er verdwijnt?

Iemand die overlijdt. Iemand die vanwege veiligheid spoorloos moet verdwijnen. Iemand die gewoon opnieuw wil beginnen. Allemaal hebben ze hetzelfde nodig: het recht om te verdwijnen, zonder toestemming te vragen aan een systeem dat niet eens weet wie je bent.

Het idee
De verdwijnpin

PrismPass heeft al een herstelpin: een code waarmee je een nieuw apparaat kunt toevoegen als je je telefoon kwijt bent. De verdwijnpin werkt op dezelfde manier, maar dan de andere kant op.

Bij het aanmaken van je account stel je een tweede pin in. Niet om toegang te krijgen, maar om alles te wissen. Wie die pin invoert, wist alle sporen: het cryptografische bewijs op de server, de lokale wallet, alle relay-relaties.

Herstelpin
→ Ik ben er nog
→ Geef mij toegang op een nieuw apparaat
→ Continuïteit
Verdwijnpin
→ Ik was er
→ Wis alles wat er nog van mij bestaat
→ Schone lei

Het elegante: de server hoeft niet te weten wie de pin invoert. Wie de pin heeft, mag hem gebruiken. Net zoals een fysieke huissleutel. De deur vraagt niet naar je paspoort.

De pin kan bij aanmaak worden doorgegeven aan een vertrouwd persoon, een notaris, of een erfgenaam. Zodat ook na overlijden het digitale bestaan netjes kan worden afgesloten, zonder dat platforms jarenlang een account van een overledene bewaren.

Scenario's
Wie heeft dit nodig?
01

Iemand overlijdt

Nabestaanden activeren de verdwijnpin. Alle digitale sporen verdwijnen. Geen juridisch gevecht met platforms. Geen eeuwig vindbare profieldata van mensen die er niet meer zijn.

02

Iemand moet veilig verdwijnen

Een journalist. Iemand in een safehouse. Een getuige. Vóór vertrek activeert de gebruiker zelf de verdwijnpin. Het systeem wist alles. Er is geen spoor meer dat naar deze persoon leidt, ook niet voor het systeem zelf.

03

Iemand wil opnieuw beginnen

Geen reden nodig. Geen verzoek aan een platform. De pin activeert een wachttijd van 30 dagen, daarna verdwijnt alles. De gebruiker begint opnieuw met een lege wallet en een nieuw cryptografisch profiel dat niet te koppelen is aan het vorige.

Eerlijkheid over de technische complexiteit
De puzzel die nog niet volledig is opgelost.

Normaal geldt: om iets van een server te mogen wissen, moet je bewijzen dat het van jou is. Maar zodra je dat bewijst, weet de server wie je bent op het moment van wissen. En dat is precies wat iemand in een noodsituatie niet kan gebruiken.

Dit is geen probleem dat PrismPass heeft gecreëerd. Het is een open vraagstuk in de hele cryptografische wereld, ook in de Europese EUDI Wallet-discussie. De Europese toezichthouder voor gegevensbescherming noemde het in december 2025 expliciet een "hard problem."

De verdwijnpin omzeilt dit probleem praktisch. Niet via een wiskundige perfecte oplossing, maar via een aanpak die bij aanmaak al is ingebouwd: de server voert uit wat is afgesproken, zonder te weten wie het activeert.

De eerlijke beperking: wie zijn verdwijnpin vergeet, of hem niet heeft ingesteld vóór een noodsituatie, heeft hem niet. Dat is een bewuste keuze. Het systeem bewaart de pin niet. Niemand anders bewaart hem. De gebruiker is en blijft de enige eigenaar.

Status van dit vraagstuk: De verdwijnpin is een architectuurconcept, nog geen geïmplementeerde functie. De technische details van hoe server-side wissen werkt zonder identiteitsblootstelling worden uitgewerkt in de volgende fase van de Invention Disclosure. Dit is een bewust geparkeerd open punt, geen vergeten probleem.
De keerzijde — eerlijk benoemen
Het recht om te verdwijnen botst met accountability.

Iemand die iets kwaadaardigs heeft gedaan online kan de verdwijnpin activeren, de volgende dag een nieuw account aanmaken, en opnieuw beginnen alsof er niets is gebeurd. Dat is een reëel risico dat eerlijk benoemd moet worden.

Dit is hetzelfde spanningsveld dat in elk privacysysteem bestaat: het recht om vergeten te worden versus de plicht om verantwoording af te leggen. Platforms hebben dit probleem ook. Zij lossen het op door aansprakelijkheid bij zichzelf te houden. PrismPass geeft die macht terug aan de gebruiker, en daarmee ook de verantwoordelijkheid.

De oplossingsrichting die dit in balans brengt: de verdwijnpin werkt niet onmiddellijk. Na activatie start een wachttijd van 30 dagen. In die periode kan een rechter via de vierde hoek het wissen tegenhouden als daar juridische grond voor is. Na die periode verdwijnt alles alsnog.

Zonder wachttijd
✕ Directe vluchtroute na misdrijf
✕ Geen mogelijkheid voor juridisch ingrijpen
✕ Accountability onmogelijk
Met wachttijd en vierde hoek
✓ Recht om te verdwijnen blijft intact
✓ Rechter kan ingrijpen binnen 30 dagen
✓ Accountability mogelijk waar nodig

De wachttijd geldt niet in noodsituaties waarbij iemand direct moet verdwijnen voor eigen veiligheid. Daarvoor is een spoedroute denkbaar via dezelfde vierde hoek, met rechterlijke toestemming. De exacte governance hiervan is bewust opengelaten tot de eerste externe validatie.

Eerlijke conclusie: de verdwijnpin is een sterk concept voor legitieme gevallen. Zonder wachttijd en koppeling aan de vierde hoek is hij gevaarlijk. Met die koppeling is hij verantwoord. Dat onderscheid is niet optioneel, het is de kern van het ontwerp.
Status · Mei 2026
Concept vastgelegd. Implementatie volgt.

Het principe van de verdwijnpin is uitgewerkt en vastgelegd in de Invention Disclosure. De technische implementatie, hoe het wissen precies werkt op serverniveau zonder identiteitsblootstelling, is een open vraagstuk dat in de volgende versie wordt uitgewerkt.

De verdwijnpin maakt deel uit van hetzelfde sleutelbeheer-model als de herstelpin. Beide worden ingesteld bij registratie. Beide werken zonder dat de server de identiteit van de gebruiker hoeft te kennen.

Concept Invention Disclosure v8+ Gerelateerd: PrismPinpass Gerelateerd: Vierde hoek