Kimlik, belki de işleyen bir toplumun ve ekonominin en önemli unsurlarından biri. Dijitalleşmeyle birlikte, kimlik kavramı da dijitale taşındı. Kişiler dijital ortamlarda işlemler yapabilmek, sosyal medyanın parçası olabilmek, kayıt ve başvurularda bulunabilmek- yani dijital dünyaya dahil olabilmek için kendilerini dijital ortamlarda da tanımlamak zorunda kaldılar.
Bu çerçevede, dijital kimlik, bir kişiye, kuruma veya gruba ilişkin dijital ortamda toplanan, saklanan, doğrulanan ve temsil edilen bilgiler olarak düşünülebilir. Dijital kimlik, tekil bir ifade olmakla birlikte, tek bir şey değildir. Bir kişi veya kurumla ilgili dijital ortamda yer alan ve almaya devam edecek olan, sürekli artan ve gelişen niteliklerin toplamıdır.
Aslında internet deneyimimiz çerçevesinde günlük hayatımızda kullandığımız, paylaştığımız birçok şey dijital kimliğimizi oluşturuyor: Resimler, alışveriş tercihleri, banka bilgileri, aşı belgeleri, çalışma yeri bilgileri… Dijital kimliğimiz eğilimlerimizi, yeteneklerimizi, ilgi alanlarımızı, ekonomik durumumuzu ortaya koyuyor.
Bu gibi kimlik bilgileri, dijital olduğunda, bunlarla işlem yapılmasının kolaylaştığı bir gerçek. Bununla birlikte, bu denli “kişisel” bilgilerin, gizli ve güvenli bir şekilde tutulması çok önemlidir. Zira, dijital kimlik sistemleri sayesinde büyük miktarda verinin depolanması, işlenmesi ve paylaşılması mümkün olmuştur. Tüm dünyada kişisel verilerin korunmasının, son yılların en ön plana çıkan konularından biri olmasına şaşırmamak gerekir.
Kurum ve kuruluşlar, kullanıcılarla ilgili hassas veriler elde edip bunları sakladıklarından dijital kimlik yönetimi konusunda sıkıntılar yaşıyor. Konuya bireyler açısından yaklaşıldığında, kullanıcılar, dijital ortamda paylaştıkları kimlik bilgilerinin akıbetini bilemiyor. Bazen paylaştıkları bilgiler aslında gerektiğinden fazla olabiliyor. Aynı bilgiler, yararlanmak istenilen her dijital platform için tekrar tekrar girilmek zorunda kalınıyor: Web sayfaları için farklı kullanıcı adları ve farklı şifreler oluşturulması gerekiyor.
Kimlik yönetimi aşamasında bilgilerin yazılı veya sözlü bir şekilde paylaşılmasının getirdiği güvenlik problemleri hem kurum ve kuruluşları hem de kullanıcıları etkiliyor. Kurum ve kuruluşlar, bir taraftan bu verileri korumaya çalışırken diğer taraftan çevrimiçi olarak iş yaptıkları kişilerin kimliklerini doğrulamaya çalışıyor. Bu da birçok hukuki riskin yanı sıra, karmaşık ve maliyetli bir süreç haline geliyor. Dahası var: Nesnelerin internetindeki gelişmelerle birlikte, dijital kimlik yönetimi konusunun daha da önemli hale gelmesi kaçınılmaz.
Dijital kimliğe ilişkin süregelen geleneksel yaklaşımlar çoğunlukla kullanıcı odaklı olamamıştı. Bu nedenle, kullanıcılar kendi kimlikleri üzerinde gerçek anlamda bir kontrole sahip değil. Oysa, kullanıcı, dijital kimlik söz konusu olduğunda merkezi bir aktör haline gelebilir.
Bu doğrultuda kullanıcı, kullanıcı egemen kimlik (“self-sovereign identity”) sistemleri sayesinde, zaten kendisine ait olan kimlik bilgilerini doğrulanabilir bir şekilde kendisi kontrol edebilir. Tamamen kullanıcılar tarafından yönetilen bir kimlik söz konusu olduğundan, kullanıcı egemen kimliğe bir kişi veya kurum tarafından el konulması mümkün olamayacaktır.
Blokzinciri devreye girdiğinde, merkezi bir otorite veya hataya açık tek bir nokta bulunmuyor. Blokzinciri dağıtık ve elektronik bir veritabanı olarak, birden çok bilgisayarda saklanıyor ve bu bilgisayarlarda işlem geçmişi bulunuyor. Böylece blokzinciri dijital kimliğin güvenli olduğunu ve kolayca takip edilebilir olmasını garanti altına alıyor. Blokzincirine bir blok eklenmesi için, bu bloğun mutabakat mekanizması çerçevesinde doğrulanması gerekiyor. Bu yapı sayesinde kimlik işlemlerinde sahtekarlıklar engellenebiliyor. Kullanıcı egemen kimlik şifreleme ve dağıtıklık avantajlarına sahip olduğu için, kimlik çalınması gibi ihtimaller önemli ölçüde azalıyor.
Kullanıcılar, kullanıcı egemen kimlik ile kendi eşsiz/benzersiz tanımlayıcılarını oluşturur. Daha sonra, oluşturmuş oldukları bu tanımlayıcıya kimlik bilgilerini ekler ve kendi kimliklerini yaratırlar. Yani sadece kimliği değil, kimlikle ilişkilendirilen verileri de kontrol edebilirler. Kullanıcılar, örneğin devlet makamlarından alınan doğrulanabilir kimlik bilgilerini bu tanımlayıcılarla ilişkilendirerek, fiziksel dünyadaki kimlik bilgilerinin dijital eşdeğerlerini oluşturabilirler. Bir aşı karnesini düşünelim: buna ilişkin verileri kimin oluşturduğu (Sağlık Bakanlığı), bu aşı kartının kimin adına düzenlendiği (kullanıcı), oluşturulduktan sonra üzerinde bir değişiklik yapılıp yapılmadığı ve bilgilerin geçerliliği blokzinciri üzerinden görüntülenebilir. Burada yer alan veriler dijital olarak imzalanmış ve kriptografik olarak doğrulanmış olduğundan güvenilir bir nitelik taşır.
Kulağa harikulade gelen ve sorunsuz işleyecek gibi görünen bu yapının oluşturulması göründüğü kadar kolay olmayabilir. Mesela, kullanıcıların kendi kimliklerini oluşturabilmeleri için merkeziyetsiz tanımlayıcılar (Decentralised Identifiers (DIDs)) gerekiyor. Bunun yanı sıra, kişisel verilerin saklanacağı araçlara ve kimlik işlemlerinin yönetiminin sağlanacağı cüzdanlara ihtiyaç vardır. Bu gelişmeler, özellikle kişisel verilerin korunması mevzuatlarını hem de Avrupa Birliği’ndeki Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi (eIDAS) gibi düzenlemeleri yakından ilgilendirmektedir. Görünen o ki hem teknik altyapının oluşması hem hukuki dayanakların bu gelişmelere ayak uydurması için biraz zamana ihtiyacımız var…
