UN/CEFACTs «United Nations Transparency Protocol» (UNTP) er den nye globale standarden for hvordan digitale produktpass og verifiserbare bevis skal utformes, signeres og kontrolleres. Den er bevisst holdt enkel og produsentnøytral - et felles språk som regionale lovgivningsregimer, som EUs produktpass, kan bygge på, i stedet for at hver jurisdiksjon og hver leverandør finner opp sitt eget format.
UNTP har lagt versjon 0.7.0 ut til offentlig høring. Frem til versjon 1.0 blir godkjent, kan enhver person og enhver organisasjon gi tilbakemelding via et åpent register. Vi har sendt inn seks kommentarer. To av dem har allerede fått svar fra arbeidsgruppen - og én har ført til endringer i vår egen kode.
Dette må ikke forveksles med EU-høringen, som vi også deltok i: der handlet det om EU-kommisjonens bindende DPP-register. UNTP er laget under - den globale, tekniske infrastrukturen som EU-registeret og andre ordninger kan basere seg på.
Hvorfor vi er med på å utforme verdensstandarden
Et produktpass som bare programvaren til én enkelt leverandør kan lese og kontrollere, er ikke et pass - det er et silo med et finere navn. Hensikten med et DPP er at en innkjøper, en gjenvinningsaktør eller et markedstilsynsorgan skal kunne kontrollere opplysningene med et hvilket som helst verktøy som oppfyller kravene, ikke bare med vårt. Hvor nøyaktig denne samsvaret defineres, avgjøres i standarden. Vi foretrekker å være med på å utforme den, fremfor å arve den senere.
1. Bevis som overlever i flere tiår (#678)
Den gjeldende UNTP-profilen foreskriver innkapslede bevis i henhold til W3C VC-JOSE-COSE: Signaturen omslutter dokumentet som en JWT. For et pass som må arkiveres, speiles og gjenfinnes via innholdsadressen i ti år, har alternativet klare fordeler. Innebygde bevis i henhold til W3C Data Integrity forblir i selve dokumentet, overlever enhver videreformidling, og kanoniseringen via JSON Canonicalization Scheme (RFC 8785) gir en stabil innholdshash for versjonssporing. Vi har foreslått å godkjenne kryptosuiten eddsa-jcs-2022 som et likeverdig alternativ for samsvar. Hvorfor et pass i det hele tatt må overleve utstederen, og hvordan kryptografiske bevis oppnår dette, har vi gått nærmere inn på i artikkelen om signaturer og sertifikater.
Denne kommentaren har ikke bare fått et svar - den har endret vår egen verifikator. Med Transpareo Time Machine 2.0.0 (20. juni 2026) har vi gått over fra en redusert egenprofil til den standardkonforme W3C-kryptosuiten eddsa-jcs-2022. Dermed kan hvilken som helst verifikator for dataintegritet kontrollere et Transpareo-pass, ikke bare vårt eget verktøy. Vi har ikke bare krevd interoperabilitet, vi har også levert den.
I den samme kommentaren har vi foreslått to relaterte punkter: pålitelige retningslinjer for hvor lenge en statusliste må forbli tilgjengelig, med mulighet for å rekonstruere tilbakekallingsstatusen fra livssyklushendelser om nødvendig; og en idempotent fremstilling basert på en semantisk rik datamodell, slik at enhver kompatibel renderer viser det samme passet på samme måte, uten medfølgende visningsinstruksjoner.
2. Én enkelt algoritme for hele tillitskjeden (#683)
Hvordan en kontrollør kommer seg fra utstederens DID via Digital Identity Anchor til registeret og videre til produksjonsstedet, er i dag beskrevet i prosatekst fordelt over flere sider - men ikke som én enkelt algoritme. Vi har foreslått en trinnvis verifiseringsalgoritme for hele tillitskjeden: påvisning av integritet, tilordning av utstederens DID til anker og register, sammenligning av samsvarskriterier, identifisering av produksjonsstedet. Uten denne ene bindende beskrivelsen tolker uavhengige implementeringer de spredte avsnittene forskjellig og kommer til ulike konklusjoner om hvorvidt et pass er ekte. Også denne kommentaren har utløst et svar fra arbeidsgruppen.
3. Trinnvis offentliggjøring av et enkelt pass (#679)
Et regulert pass må betjene flere målgrupper: Allmennheten, berettigede interessenter som gjenvinningsbedrifter og myndigheter ser hver sine utdrag av det samme passet - EUs batteriforordning foreskriver nettopp dette. Vi har foreslått å behandle denne trinnvise offentliggjøringen som et standardtilfelle av første klasse, i stedet for å implementere den i etterkant som kryptering per mottaker.
4. Flerspråklig innhold direkte i datamodellen (#680)
I dag lagrer UNTP menneskelesbare opplysninger som enspråklige tegnstrenger. I regulerte, flerspråklige markeder er dette ikke tilstrekkelig - et pass som gjelder i hele EU, må ha tekster på flere språk samtidig. Vi har foreslått å bruke JSON-LD-språkkort, slik at en enkelt verdi inneholder alle språkversjonene. Transpareo leverer i dag pass på 39 språk - vi merker dette behovet hver dag. Hvordan vi i det hele tatt håndterer denne språklige mangfoldigheten, beskriver vi i artikkelen om AI-oversettelse.
5. Verifiserbarhet på lang sikt som et arkitektonisk spørsmål (#681)
Beslektet med det første punktet, men mer grunnleggende: Bevis, DID-dokumenter og statuslister må forbli tilgjengelige i over et tiår, ellers vil et gammelt pass på et tidspunkt ikke lenger kunne verifiseres, selv om det var gyldig. Vi har bedt om ikke-normative retningslinjer for hvordan nøkler, DID-dokumenter og statuslister skal holdes permanent tilgjengelige - et spørsmål som først vil melde seg om flere år, og nettopp derfor hører hjemme i standarden i dag.
6. En bro til EUs produktpass (#682)
UNTP er bevisst utformet som et slankt B2B-pass. EUs produktpass er et bindende regelverk med sin egen attributtliste. Implementører trenger en eksplisitt tilknytning mellom de to - en profil som viser hvordan et UNTP-pass fyller ut de obligatoriske feltene i et regulatorisk pass. Det er nettopp denne koblingen vi jobber med hver dag, og derfor har vi bedt om at denne broen skal bygges.
Hvorfor vi gjør dette
En standard blir bedre når de som faktisk signerer og kontrollerer passene, får si sin mening - ikke bare de som skriver om dem. To av våre seks kommentarer har allerede fått svar, og én har fått verifiseringsverktøyet vårt omstilt til den standardkonforme kryptosuiten. Dermed sitter vi ikke lenger på sidelinjen, men i ekspertgruppen til arbeidsgruppen for forsyningskjeden.
For våre kunder er dette ikke et mål i seg selv. Jo mer presis og produsentnøytral verdensstandarden er, desto tryggere forblir investeringen deres: Passdataene deres forblir eksporterbare og kan kontrolleres med ethvert verktøy som er i samsvar med standarden. Ingen innlåsing, ingen format som står og faller med én enkelt leverandør.
Hvem som vil være med
Den offentlige gjennomgangen fortsetter. Alle innmeldte punkter ligger åpent i UNTPs offentlige problemregister. Arbeidsgruppen for forsyningskjeden møtes jevnlig via videokonferanse; datoene finnes på UNTPs styringsside. De som i fremtiden skal utstede eller kontrollere produktpass - produsenter, tjenesteleverandører, gjenvinningsbedrifter, myndigheter - bør i det minste lese gjennom de åpne punktene én gang. Selv en kort, faglig presis tilbakemelding er nyttig.
Og de som allerede i dag ønsker å kontrollere et Transpareo-pass uavhengig, kan gjøre det med Transpareo Time Machine - siden versjon 2.0.0 med akkurat den kryptosuiten som vi har anbefalt i UNTP-profilen.