N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
Luister naar
08:08
Moet je je paspoort uploaden naar LinkedIn om te bewijzen dat je bent wie je bent? Het netwerk wil zijn 1 miljard gebruikers gaan verifiëren, om oplichters de pas af te snijden. Maar wacht even.
Nieuw! Nu nog krachtiger! Met 60 procent meer indruk! Het lijkt wel een wasmiddelreclame, de manier waarop LinkedIn gebruikers probeert over te halen zich te verifiëren. Sinds een paar maanden biedt het sociale netwerk voor professionals (wereldwijd 1 miljard leden) in Nederland de mogelijkheid om je identiteit te bevestigen door je paspoort te uploaden. Je krijgt een vinkje achter je profielnaam – een ‘badge’ – en dat levert volgens LinkedIn gemiddeld 60 procent meer profielbezoekers op.
Zodra je je met iemand verbindt, tipt LinkedIn dat zo’n verificatievinkje ‘een krachtigere indruk’ op je nieuwe kennis maakt. Zoals een solide handdruk je ook langer bijblijft. Die 60 procent is waarschijnlijk te danken aan LinkedIns algoritmes die geverifieerde profielen een duwtje in de rug geven, om zo meer gebruikers over de streep te trekken ook hun paspoort te uploaden.
Het slaat aan: in de VS, waar LinkedIn al eerder met de vinkjes begon, stond de teller in oktober 2023 op 18 miljoen geverifieerde gebruikers. LinkedIn streeft wereldwijd naar 100 miljoen vinkjes in 2025, 10 procent van het totaal. Wie afhankelijk is van professioneel contact via LinkedIn, eigendom van Microsoft, kan baat hebben bij wat extra zichtbaarheid met zo’n geverifieerd profiel.
Maar wacht even.
Verificatie is er in soorten en maten. Ook op X en op Facebook en Instagram kun je een stempel van goedkeuring krijgen. Dat zijn betaalde diensten, LinkedIn biedt het gratis aan, onder meer om een veiliger netwerk te bieden. LinkedIn, vol serieuze professionals, is immers een goudmijn voor professionele oplichters. Dankzij generatieve AI verandert internet in een deepfakefabriek.
Uit LinkedIns transparantierapport: in het eerste halfjaar van 2023 hield LinkedIn 42,5 miljoen nepaccounts tegen vóór registratie en viste er daarna nog 15 miljoen handmatig uit. Hoeveel neppers nog rondzweven, verklapt LinkedIn niet, maar ze zijn er wel: in zes maanden werden 200.000 profielen na klachten van gebruikers verwijderd.
Know your customer
Lukraak je paspoort uploaden naar een webdienst is niet verstandig (tip: als het moet, gebruik dan de KopieID-app). LinkedIn heeft zelf geen onbesmet blazoen als het gaat om databeveiliging. Volgens tellingen van haveibeenpowned.com zijn er in het verleden zo’n 370 miljoen inlognamen en wachtwoorden gestolen. Toegegeven, het gaat om oudere datalekken, die blijven opduiken omdat de gegevens telkens weer bij elkaar geharkt worden en doorverkocht aan verse oplichters.
De paspoortverificatie buiten de VS heeft LinkedIn uitbesteed aan het Amerikaanse bedrijf Persona, dat gespecialiseerd is in het controleren van identiteiten. In vaktermen: KYC,know your customer. Ze doen er ook aan know your business, KYB, om bedrijven door te lichten. Maar wat weten we eigenlijk van Persona?
Volgens LinkedIn is Persona ‘expert in identiteitsverificatie’ met een ‘commitment aan databeveiliging’. De dienst uit San Francisco bewaart, zo blijkt uit de privacyvoorwaarden, bijna alle gegevens van het paspoort, inclusief biometrische data als vingerafdrukken. Daarnaast behoudt Persona zich het recht voor om je persoonlijke gegevens te delen met externe partijen, zoals bedrijven en overheden in landen die er heel andere privacyregels op nahouden dan de EU. Persona, opgericht in 2018 en zo’n 100 miljoen dollar jaaromzet, werkt ook samen met kredietbeoordelaars als Equifax en Experian.
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2024/01/11214206/data110075695-c9e7b1.png)
Massale netwerkborrel
Miranda Molenaar dook in de voorwaarden en deinst er voor terug om haar paspoort te uploaden. Ze is socialmedia-expert en geeft LinkedIn-trainingen, maar voor Molenaar is Persona’s gretigheid reden om zich voorlopig niet te laten verifiëren. Er zijn betere manieren om te controleren of iemand ‘echt’ is, zegt ze aan de telefoon. Bijvoorbeeld door te bellen. Of door te kijken of mensen daadwerkelijk actief zijn op een netwerk. Molenaar vergelijkt LinkedIn met een massale netwerkborrel, waar je alleen door interactie kunt bepalen wat voor vlees je in de kuip hebt.
Een andere tegenvaller: Persona accepteert alleen paspoorten met een ingebouwde NFC-chip. Die zit in het Nederlandse paspoort, maar niet in sommige documenten die aan Nederlanders in het buitenland uitgereikt worden. Dat merkte netwerktrainer Corine van Dijk-Den Ouden. Zij verbaast zich over de culturele ongevoeligheid van LinkedIn. Voorbeeld: als getrouwde vrouw met dubbele naam kun je niet alleen je eigen achternaam op LinkedIn tonen, zodra je je verifieert. En ook met het verschil in roepnaam en doopnaam weet het systeem geen raad. Staat er Willem-Alexander Claus George Ferdinand in je paspoort, dan wordt dat dus ook je LinkedIn-naam.
Zelfs Persona-baas Rick Song begrijpt dat deze ‘one size fits all’-aanpak niet werkt voor paspoortidentificatie van wereldwijde diensten. In een persbericht dat het bedrijf vorige week naar buiten bracht, kondigt Persona aan om flexibeler te worden en om aan nieuwe wetgeving in de EU te voldoen. Dat was, niet geheel toevallig, precies de dag waarop het Europarlement het plan voor een Europese digitale portemonnee goedkeurde. Rond 2026 kunnen alle 450 miljoen Europese burgers hun digitale identiteit zelf bewaren en beheren. Het duurde even om de wet zo aan te passen dat-ie het web niet ongewild onveiliger maakte door digitale certificaten te ondermijnen, maar de tekst is rond. De Piratenpartij vindt bijvoorbeeld dat het nóg privacyvriendelijker had gekund.
Oud genoeg
Taaie kost, misschien zelfs saaie kost, dat gedoe met identiteiten. Maar zo’n ‘wallet’ is onmisbaar. Bijvoorbeeld om veilig gegevens te delen, transacties te doen of te bewijzen hoe oud je bent. Onlinediensten zijn verplicht de digitale portemonnee met het Europese identiteitsbewijs te accepteren om leeftijdchecks uit te voeren. Zodat bedrijven zeker weten dat iemand online mag gokken, porno kijken, (18+) of een eigen account op TikTok af mag sluiten (13+).
Voorlopig kun je op LinkedIn nog niet om Persona heen. Volgens de Deense Europarlementariër Karen Melchior zijn grote onlineplatforms uit de VS, zoals LinkedIn, namelijk nog niet verplicht om de Europese digitale portemonnee te gebruiken als alternatief voor hun bestaande verificatiesystemen. Dat is jammer, reageert ze vanuit Brussel, „Ik zou graag zien dat ze de Europese wallets omarmen, want die bieden goede privacybescherming. Dat weten we van de commerciële techniek niet zeker.”
De verificatiemarkt groeit snel, en dat weet LinkedIn ook; straks kan het bedrijf 1 miljard vinkjes gaan verkopen als een dienst aan anderen. Het levert LinkedIn uiteindelijk dus geld op als je je paspoort uploadt naar Persona. Vandaar die wasmiddelreclame.
