Home Research Education Publications Activities Resources About Me

Hoe voorkomen we een identiteitscrisis

In de uitzending van Zembla van zondag 9 november liet Charles den Tex zien dat bedrijven en de overheid steeds meer informatie over hun klanten en haar burgers verzamelen. Daarnaast liet het programma zien dat voor 5 dollar geldige creditcard gegevens gekocht kunnen worden. Hiermee kan vervolgens naar hartelust op andermans kosten op Internet geshopt worden. Additionele beveiligingsmaatregelen bleken eenvoudig te omzeilen. Dat is ernstig.

Helaas had deze laatste verhaallijn de overhand, waardoor de oorspronkelijke boodschap van Charles den Tex ondergesneeuwd raakte. Dat is jammer, want zijn boodschap is belangrijk en het probleem dat hij aansnijdt veel schadelijker dan de getoonde creditcard fraude. De essentie is dat door steeds verder afnemende privacy, de burger een steeds groter gevoel van onmacht krijgt. De privacy neemt af doordat steeds vaker persoonlijke gegevens wordt gevraagd om iemands identiteit vast te stellen. Dit gebeurt bijvoorbeeld uit veiligheidsoverwegingen, of om de dienstverlening aan de klant te verbeteren. Deze persoonlijke dossiers worden vervolgens voor allerlei zaken gebruikt waar de burger geen weet van heeft en geen controle over heeft. Vandaar het gevoel van onmacht.

Deze groeiende afhankelijkheid van identiteit en persoonlijke gegevens heeft echter ook gevolgen voor de persoonlijke veiligheid. Als iedereen om persoonlijke informatie verzamelt, en die informatie bovendien niet voldoende beveiligt, wordt identiteitsdiefstal eenvoudiger. De getoonde creditcard fraude is daar een relatief onschuldig voorbeeld van. Over het algemeen zijn creditcard maatschappijen goed ingericht voor het afhandelen van fraude en zal een oplettende creditcard houder een onterechte transactie kunnen terugdraaien. En zijn geld terugkrijgen. Bij andere vormen van identiteitsdiefstal ligt dat wel even anders. Als we niet uitkijken, ligt er een ware 'identiteitscrisis' op de loer.

Een voorbeeld van identiteitsdiefstal

Om de ontwrichtende gevolgen van identiteitsdiefstal invoelbaar te maken, is het volgende recente voorbeeld illustratief.

In oktober dit jaar meldden Een Vandaag en het NRC dat een Nederlandse zakenman van Surinaamse afkomst de dupe was geworden van het "falende registratiesysteem" van de overheid, waardoor identiteitsfraude niet werd aangepakt. Hij stond dertien jaar lang geregistreerd als harddrugscrimineel en als ongewenst vreemdeling, doordat een ander zich voor hem uitgaf. De overheid slaagde er vervolgens niet in, de registraties en het strafblad met 43 criminele vergrijpen van zijn naam te halen. De man heeft daardoor grote schade geleden, aldus het rapport van de Nationale Ombudsman. "Zijn persoonlijke levenssfeer is op een ernstige manier geschonden waardoor hij geen normaal leven kon leiden." Zo deed de politie een grootschalige inval zijn huis, in het bijzijn van zijn kinderen. Hij werd vervolgens door de buurt met de nek aangekeken waardoor hij zich genoodzaakt voelde te verhuizen. Ook kreeg hij regelmatig onterechte boetes voor zwartrijden opgelegd.

Privacy: een andere metafoor

De gevolgen van identiteitsdiefstal zoals hierboven geschetst, zijn ook aanleiding om nog eens de belangrijkste argumenten op een rij te zetten waarom privacybescherming nou eigenlijk belangrijk is. De huidige metafoor van Big Brother voldoet in deze zin niet: het is te clich?ématig, en te veel mensen hebben een te groot vertrouwen in de overheid. Ze beschouwen een big-brother scenario niet als realistisch, of niet op hen van toepassing. Anders gezegd: de gemiddelde burger (en zeker de autochtone middenklasse) wordt niet bang van Big Brother. Wat is dan w?él het probleem? En hoe maken we dat voor iedereen inzichtelijk?

De invloed van ICT

Technologische ontwikkelingen hebben altijd een invloed gehad op de privacy in de samenleving. Er zijn een tweetal ontwikkelingen aan te wijzen die een niet te onderschatten invloed hebben gehad op de privacy van alle burgers in de huidige ICT maatschappij.

De eerste is de opkomst van de computer, vanaf de jaren zestig van de vorige eeuw. Hierdoor kan informatie voor het eerst op grote schaal digitaal opgeslagen en verwerkt worden. Dat heeft twee grote voordelen. Ten eerste kan informatie nu makkelijk gedupliceerd worden. Hierdoor raken dossiers minder vaak zoek. Ten tweede kan informatie veel sneller doorzocht worden, en is er ook een grotere garantie dat ?áls er informatie over een persoon te vinden is, die ook inderdaad gevonden wordt.

De tweede grote verandering is de opkomst van computernetwerken, zoals het Internet, vanaf de jaren negentig. Informatie kan hierdoor over de hele wereld gedeeld en geraadpleegd worden. Dit maakt het eenvoudig om gegevens uit verschillende databases aan elkaar te koppelen. Bovendien is deze data in principe voor iedereen, technisch gezien, toegankelijk. Dit heeft weer tot gevolg dat als een stuk gevoelige informatie openbaar wordt, het binnen de kortste keren op allerlei servers op het Internet terug te vinden is. Dit zogenaamde "network effect" maakt het ook een stuk lastiger om systemen (en de daarop opgeslagen informatie) goed te beschermen.

Kafka's proces

Een metafoor die de mogelijke privacy gevolgen van deze technologische ontwikkelingen beter beschrijft is gebaseerd op het boek "Het Proces" van Franz Kafka. In dit verhaal wordt de hoofdpersoon op een dag "gearresteerd". Dat wil zeggen dat hij op de hoogte wordt gebracht van het feit dat hij een overtreding heeft begaan. Verder verandert er niets. Hij weet niet eens welke overtreding hij heeft begaan. De rest van het boek is een eindeloze en vruchteloze zoektocht naar het hoe en waarom ervan.

De kern van de metafoor is het gebrek aan controle en inzicht in wat er in de wereld om ons heen gebeurt, over de informatie die over ons verzameld wordt, en op basis waarvan beslissingen over ons genomen worden. We weten misschien nog net d?át er een beslissing is genomen, maar welke is onduidelijk. En we kunnen de beslissing zeker niet be?ïnvloeden.

Dit is ook precies het belang van privacy. Zonder adequate privacybescherming wordt allerlei persoonlijke informatie gebruikt om een profiel over ons op te bouwen. Dit profiel wordt vervolgens gebruikt om beslissingen voor of over ons te nemen: "u mag tot maximaal x euro geld lenen", "u bent ge?ïnteresseerd in erotiek en wilt hierover wekelijks reclame ontvangen", "u mag geen lid worden van y", "we hebben een kandidaat voor de functie gevonden die toch geschikter is", "nee, het spijt ons, maar uw naam komt voor op een lijst met potenti?ële terroristen dus u mag niet meer vliegen". Het leidt tot uitsluiting, willekeur en dergelijke. En aangezien de profielen niet openbaar zijn, kan niemand controleren of ze wel kloppen. Vaak is dit niet het geval (veel databases bevatten verouderde of simpelweg foute gegevens), wat betekent dat er beslissingen genomen worden op basis van onjuistheden! Dit laatste levert de schrijnende gevolgen van identiteitsdiefstal op zoals eerder beschreven.

De metafoor van het proces van Kafka geeft veel beter weer waar het probleem van een gebrek aan privacy ligt. En het laat ook goed zien dat dit iedereen raakt. Niet alleen de celebrities (maar die worden tenminste nog redelijk gecompenseerd voor hun gebrek aan privacy), de allochtonen, of de onderkant van de samenleving. In tegendeel: iedereen heeft of krijgt hiermee te maken.

Maar: "ik heb toch niets te verbergen?"

Maar, zult u zeggen, "ik heb toch niets te verbergen"? Als voor betere dienstverlening en grotere veiligheid in de samenleving mijn persoonlijke gegevens gevraagd worden, dan is het toch geen probleem om die te af te geven? Wat is er mis met dat argument?

Ten eerste gaat het argument uit van de premisse dat iemand alleen maar "foute" dingen te verbergen heeft. Dat is niet het geval, zoals hierboven al uitvoerig is geschetst.

Ten tweede wordt, suggestief, een individueel belang (het priv?é houden van bepaalde informatie) afgewogen tegen een belang van de samenleving (bijvoorbeeld een veiliger samenleving). Meestal, en dat is ook de kracht van dit argument, zal het belang van de samenleving zwaarder worden gewogen dan het individuele belang. Echter, privacy is niet alleen een individueel belang. Privacy is ?ó?ók een gezamenlijk belang. Het is sterk verbonden met het recht op vrijheid van meningsuiting. Privacy voorkomt "chilling effects", voorkomt dat mensen, uit angst voor de consequenties, niet meer voor hun mening uitkomen. Voorkomt dat mensen experimenteren met wie ze willen zijn en wat ze willen doen, omdat ze dit later nog eens nagedragen zou kunnen worden. Gebrek aan privacy kan leiden tot een minder vrije ontwikkeling van nieuwe idee?ën, en dus een minder flexibel opererende samenleving. Privacy is dus ook een algemeen belang: de samenleving heeft baat bij individuen die zich vrij kunnen bewegen en ontwikkelen, maar natuurlijk wel binnen de grenzen die de samenleving daaraan stelt.

De identiteitscrisis

Ongemerkt is er een proces ingang gezet waardoor maatregelen ter verhoging van de veiligheid en ter bescherming tegen identiteitsfraude juist m?é?ér identiteitsfraude tot gevolg hebben.

Zo is vaak een rijbewijs alleen niet meer voldoende bewijs van identificatie. We zagen in de Zembla uitzending het voorbeeld van een autoverhuurbedrijf dat daarnaast ook nog het paspoort wilde zien. Van beide documenten wordt vervolgens een kopie gemaakt. Wat er vervolgens met die kopie?ën gebeurt is onduidelijk. Steeds meer bedrijven vragen aanvullende persoonlijke vragen, bijvoorbeeld als onderdeel van de aanmeldprocedure voor een bepaalde dienst. Heel gebruikelijk is de mogelijkheid om een controle vraag op te geven die vervolgens gebruikt wordt als een gebruiker een wachtwoord is vergeten. Zoals de vraag wat de meisjesnaam van je moeder is. Het moge duidelijk zijn dat als dezelfde vraag (en het bijbehorende antwoord!) bij verschillende dienstverleners is ingesteld, de beveiliging slechts marginaal is toegenomen. Of eigenlijk zouden we kunnen stellen dat de veiligheid juist is afgenomen: te veel bedrijven en instellingen beschikken over persoonlijke gegevens die voldoende zijn om mijn identiteit over te nemen en zich als mij voor te doen.

Voor een deel wordt dit probleem veroorzaakt door het feit dat identificatie wordt verward met authenticatie. Identificatie betekent slechts dat een persoon om zijn of haar identiteit wordt gevraagd. Authenticatie betekent dat die vooronderstelde identiteit ook nog eens op echtheid wordt gecontroleerd. Dat een gebruiker een creditcard nummer met bijbehorende CVC code intypt, betekent nog niet dat het inderdaad de eigenaar van die kaart is die dat doet. Het overleggen van de creditcard zelf is al een beetje overtuigender, maar namaak is niet uit te sluiten, en bovendien kan de kaart verloren of gestolen zijn. Het zelfde geldt voor het Burger Service Nummer (BSN). Het BSN identificeert een uniek persoon. Maar het feit dat iemand een BSN noemt betekent nog niet dat deze persoon dezelfde is als door het BSN wordt ge?ïdentificeerd. Sluitende authenticatie is lastig, vooral omdat het moeilijk is om aan te tonen dat het echt de gebruiker zelf is die bij de transactie is betrokken.

De oplossing

Meer fundamenteel is echter de conclusie dat juist om identiteitsfraude te voorkomen, minder naar de identiteit van een gebruiker gevraagd zou moeten worden! Voor een groot aantal transacties zijn mijn persoonlijke gegevens helemaal niet relevant. Als ik toegang wil hebben tot de internetversie van het NRC, zou het niet nodig moeten zijn om in te loggen als een persoon met een bepaalde naam of met een bepaald email adres. Het zou voldoende moeten zijn dat ik aantoon een abonnement te hebben op het NRC. Datzelfde geldt voor een NS jaarkaart.

Terecht zult u opmerken dat dergelijke abonnementen persoonsgebonden zijn. Het is immers niet de bedoeling dat jan en alleman op mijn NS jaarkaart gratis van het openbaar vervoer gebruik maakt. Het is technisch gezien mogelijk om dit soort abonnementen persoonsgebonden te laten zijn, zonder de identiteit van de houder door te geven aan de dienstverlener. Sterker nog, het is voor de dienstverlener zelfs onmogelijk om te bepalen of dezelfde persoon verschillende keren gebruik maakt van dezelfde dienst.

Het gebruik van dit soort attribuut certificaten of credentials is heel gebruikelijk in onze samenleving. Contant geld is een mooi voorbeeld: het is niet persoonsgebonden, maar staat wel garant voor een financi?ële waarde. Een treinkaartje of een bioscoopkaartje is anoniem, maar geeft wel recht op vervoer met de trein of toegang tot de bioscoop. U opent uw auto met een sleutel. De garagehouder gebruikt dezelfde sleutel als u de auto voor onderhoud achterlaat. Ook daar zijn geen persoonlijke gegevens bij betrokken. Door niet te vragen naar persoonlijke gegevens, hoeven die niet opgeslagen worden, en kunnen ze ook niet in verkeerde handen vallen. Bovendien: gegevens die niet opgeslagen worden hoeven ook niet beveiligd te worden. Dat scheelt weer in de kosten van het implementeren en beheren van een dienst.

Diezelfde principes zouden ook toegepast moeten worden in de informatisering van onze maatschappij. Ter voorkoming van identiteitsfraude, en ter verhoging van de privacy bescherming in het algemeen, is een paradigma shift noodzakelijk. We moeten ons, iedere keer als we denken een bepaald (persoons)gegeven nodig te hebben, nadrukkelijker afvragen of dit ook echt zo is. Vaak zal het antwoord ontkennend zijn. Bij het inrichten van informatiesystemen moeten die afwegingen al in de architectuur vastgelegd worden. Zodat niet later alsnog veel privacy gevoelige gegevens alsnog beschikbaar zijn en eventueel misbruikt kunnen worden. In die zin is architectuur dus een politiek issue: welke balans tussen privacy en security willen we garanderen?

Daarnaast moeten we, voor elk gegeven dat we w?él nodig hebben, de authenticiteit afdoende controleren. En dat bij voorkeur op een manier doen die niet juist tot een verlies van controle over identiteitsgegevens leidt. Kopie?ën van paspoorten zijn dus uit den boze.


Jaap-Henk Hoepman is werkzaam als senior scientist security bij TNO en tevens Universitair Hoofddocent security en toegepaste cryptografie aan de Radboud Universiteit Nijmegen.  



Last Version - e1e3326.
(Note: changeover from CVS to dotless svn version numbers on Jan 19, 2008, and changeover to GIT versioning on May 30, 2013.)
Maintained by Jaap-Henk Hoepman
Email: jhh@cs.ru.nl