Privacy-vriendelijk ontwerpen als antwoord op de informatiemaatschappij
Met de invoering van de zorgpas, de plannen voor een digitaal paspoort en onlangs het advies voor het aanbieden van een digitale kluis aan iedere Nederlander is de privacybescherming weer een belangrijk maatschappelijk thema geworden. Sommige sceptici beschouwen, door de steeds verdergaande digitalisering van onze maatschappij, privacybescherming al als een gevecht tegen de bierkaai. Dit is echter onterecht. Het is wel degelijk mogelijk om bij de implementatie van nieuwe diensten en systemen ook de privacy intrinsiek te beschermen.
Privacy is het recht om zelf te beslissen hoe en wanneer informatie over jezelf verzameld en gebruikt wordt. Je bepaalt zelf wanneer je persoonsgegevens aan anderen geeft. Als je dit doet, weet je ook waarvoor deze informatie gebruikt wordt. De ontvanger mag deze informatie niet later voor andere doeleinden gebruiken. Kort gezegd: privacy is het recht op informationele zelfbeschikking.
Persoonsgegevens worden op grote schaal verzameld. Een schatting is dat van iedere Nederlander de persoonlijke gegevens in een honderdtal databases voorkomen. Overheid en bedrijfsleven verzamelen deze gegevens voor verschillende doelen. De overheid doet dat voor het uitvoeren van haar bestuurstaak, het handhaven van de openbare orde, het controleren van misbruik van de publieke infrastructuur en het opsporen van criminele activiteiten. Het bedrijfsleven gebruikt deze gegevens onder andere voor het verbeteren van de dienstverlening aan de klant, het optimaliseren van interne bedrijfsprocessen (zoals voorraadbeheer) en het voorspellen van de vraag.
Hoe belangrijk is privacy?
De vraag is hoe belangrijk de individuele burger de bescherming van zijn privacy vindt. Als je hem ernaar vraagt, zal hij steevast zeggen dat hij het belangrijk vindt. Ernaar handelen doet hij echter niet. Bonuskaarten, spaarkaarten en dergelijke worden bijvoorbeeld alom gebruikt.
Bijzonder in dit verband is een enquête van het NIPO gehouden in opdracht van de Volkskrant. Hieruit blijkt dat 81 procent van de Nederlanders (zonder meer of meestal) bereid is een DNA-test te ondergaan om de politie te assisteren bij het oplossen van een misdrijf in de eigen buurt. Bovendien heeft 70 procent van de burgers geen of nauwelijks bezwaar tegen het opslaan van DNA-profielen door justitie in een databank voor criminaliteitsbestrijding.
In de Verenigde Staten is het beeld niet anders. Uit een onderzoek van Pew Internet & American Life Project blijkt dat 54 procent van de Amerikanen wil dat de FBI e-mail van verdachten onderschept. Tegelijkertijd blijkt dat een grote meerderheid er weinig vertrouwen in heeft dat de overheid eerlijk met de privacy op Internet omgaat.
Hoe zijn deze tegenstellingen te verklaren? Een aantal factoren spelen een rol. Ten eerste lijken burgers onderscheid te maken tussen schending van de privacy door de overheid en door andere partijen. In het eerste geval blijkt het algemeen belang al gauw zwaarder te wegen dan het eigen belang. Bovendien: als je onschuldig bent, heb je toch niets te verbergen. Iets anders, dwingender, geformuleerd: als je iets te verbergen hebt, dan ben je misschien wel schuldig. Richting het bedrijfsleven is men in eerste instantie minder welwillend. Door een kleine beloning is men echter alsnog eenvoudig over de streep te trekken. Men lijkt zich de waarde van de eigen persoonsgegevens nauwelijks te realiseren.
Is privacybescherming dan überhaupt wel van belang? Ja. Gelukkig leven we in de omstandigheid dat schending van onze privacy meestal geen nare gevolgen heeft, hoewel dit eenvoudig kan veranderen. In de Tweede Wereldoorlog maakte de Duitse bezetter bijvoorbeeld dankbaar gebruik van de Nederlandse overheidsadministratie.
Ook in het heden kan het verlies van privacy ongewenste effecten hebben. Identity theft, het aannemen van de identiteit van een argelooos slachtoffer en het vervolgens leegplunderen van zijn bankrekening, wordt in de Verenigde Staten een steeds groter probleem. Het verzamelen van profielen, en het vervolgens uitsluiten van personen met ongewenste profielen, bijvoorbeeld door verzekeringen, wordt op kleine schaal al toegepast. Als deze ontwikkeling zich doorzet ontstaat binnen de samenleving een groep personae non grata. Hoe meer we persoonlijke en intieme gegevens aan de systemen om ons heen toevertrouwen, hoe belangrijker het wordt dat we deze systemen daar ook werkelijk mee kunnen vertrouwen.
Wat is er veranderd
Onze privacy is de afgelopen 20 jaar steeds verder onder druk komen te staan. Daar zijn vier oorzaken voor aan te wijzen. Ten eerste worden via netwerken als het Internet steeds meer gegevens uitgewisseld. Deze gegevens zijn bovendien gekoppeld aan een aantal unieke persoonsgegevens, zoals bijvoorbeeld ons SoFi nummer. Dit maakt het eenvoudig mogelijk om uit verschillende informatiestromen een profiel voor één individu te destilleren. Ten tweede komt, door de verregaande digitalisering, steeds meer informatie voor automatische verwerking beschikbaar. Dit geldt voor archieven als de gemeentelijke basisadministratie, maar ook voor communicatiediensten als telefoon en fax. Gebruikers van mobiele telefoons laten een digitaal spoor achter. Datzelfde geldt ook voor surfers op het Internet. Ten derde kunnen moderne, snelle, computersystemen deze informatie efficiënt en vaak in real-time verwerken. Tenslotte zijn veel van deze bronnen (deels) publiek toegankelijk, en wordt informatie vaak onbeschermd over het Internet uitgewisseld.
Internet versus privacy
Vooral de explosieve ontwikkeling van het Internet, en de groeiende belangstelling voor E-commerce en E-government, hebben een sterke privacy-erosie tot gevolg. Internet portals en webwinkels gebruiken klantprofielen voor het optimaliseren van de dienstverlening aan de klant, bijvoorbeeld voor het doen van klantspecifieke aanbiedingen of het aanpassen van de nieuwsvoorziening aan de klant. Deze klantprofielen worden opgebouwd met zogenaamde 'cookies'. Gespecialiseerde bedrijven als DoubleClick stellen dergelijke klantprofielen samen voor verschillende grote E-commerce sites. Bezoeken aan verschillende sites worden zo alsnog achter de schermen gecombineerd, zonder dat de gebruiker dit weet. Bovendien zijn de klantprofielen die ermee worden opgesteld veel geld waard. Zij worden bij faillissement van een E-commerce bedrijf niet voor niets aan andere bedrijven verkocht. Ook dit heeft tot gevolg dat individuele klantprofielen van verschillende bedrijven alsnog samengevoegd worden.
Voor de beveiliging van transacties op het Internet wordt het gebruik van een 'public key infrastructure' (PKI) aangeraden. De belangrijkste functie hiervan is het garanderen van de identiteit van de verkoper aan de koper, en vice versa. Dezelfde infrastructuur wordt ook gebruikt voor het implementeren van toegangscontrole tot Intranetten (voor zogenaamde 'virtual private networks', VPN's) en databases. Ook de overheid laat zich niet onbetuigd. Er zijn voorstellen gedaan voor het invoeren van een digitaal paspoort dat, in combinatie met de bovengenoemde PKI, gebruikt zou kunnen worden voor het beveiligen van E-commerce transacties. Een irisscan zou fraude met identiteiten verder moeten voorkomen.
Recentelijk lanceerde de commissie Snellen een voorstel voor het aanbieden van een centraal beheerde digitale kluis aan iedere Nederlander. Deze zou dan niet alleen alle van overheidswege geadministreerde gegevens (zoals uit de Gemeentelijke Basis Administratie, uitkeringsinstanties, het kadaster en dergelijke) moeten bevatten. Ook zou de burger zelf medische dossiers, financiële informatie of een curriculum vitae kunnen toevoegen. Het is de vraag of het samenbrengen van dergelijke gegevens op één plek noodzakelijk is. Duidelijk is dat het vanuit het oogpunt van privacybescherming ongewenst is. Dit geldt niet zozeer de administratie van gegevens per se, maar wel het voorstel tot het centraal, bij elkaar opslaan van deze gegevens.
Privacy Enhancing Technologies
Privacy bescherming is in eerste instantie een zaak van de individuele burger. Iedereen is in eerste instantie verantwoordelijk voor zijn eigen privacy. Iemand die zeer op zijn privacy gesteld is zal niet meedoen aan spaaracties, air miles en dergelijke. Ook het gebruik van cookies bij het web browsen kan uitgezet of ten minste gecontroleerd worden. Het is zelfs mogelijk om met geavanceerde systemen (zoals Freedom van ZeroKnowledge) volstrekt anoniem op het Internet te surfen.
Dergelijke privacy enhancing technolgies hebben als voornaamste taak de privacy van de gebruiker te beschermen bij het gebruik van applicaties die ongecontroleerd persoonlijke informatie verzamelen. Vaak lukt het maar ten dele om de privacy echt te waarborgen. Beter is het natuurlijk om bij het ontwerp van een systeem direct rekening met de privacy te houden.
Privacy-vriendelijke systemen
Hoe ziet een systeem dat de privacy beschermt er dan wél uit. Een voorbeeld uit de praktijk: het ontwerp voor een systeem van kilometerheffing. Vooraf werden door onder andere de Registratiekamer grote vraagtekens geplaatst bij de privacy bescherming van een dergelijk systeem. Een centrale database met van alle Nederlanders informatie over wie waar wanneer gereden heeft, is natuurlijk een goudmijn voor iedere rechercheur.
Het onlangs door Roel Pieper gepubliceerde ontwerp 'mobimiles' als systeem voor kilometerheffing is een mooi voorbeeld van hoe het wel zou moeten. Ten eerste houdt het systeem nergens bij waar gereden wordt. In plaats daarvan worden delen van wegen ingedeeld in een vijf- tot tiental tariefklassen en wordt tijdens het rijden alleen bijgehouden hoe lang men op een wegstrook van een bepaalde tariefklasse rijdt. Deze indeling is voldoende grofmazig om het onmogelijk te maken om uit deze gegevens de daadwerkelijk gereden route te achterhalen (alhoewel dit, in combinatie met andere gegevens zoals bijvoorbeeld een mobiele telefoon, wellicht makkelijker wordt). Ten tweede wordt alleen het totaal te factureren bedrag aan een centrale server doorgegeven voor verdere verwerking. De integriteit van het systeem kan gecontroleerd worden met mobiele controle posten om fraude met het systeem onaantrekkelijk te maken.
Dit voorbeeld illustreert aan welke punten een privacy-vriendelijk systeemontwerp moet voldoen.
- Verzamel of verwerk alleen informatie die echt relevant is voor de toepassing. In het voorbeeld van de kilometerheffing dus niet de werkelijk gereden route, maar enkel de tariefcodes van de gereden route.
- Sla zo weinig mogelijk informatie centraal op. In het voorbeeld van de kilometerheffing dus niet de tariefcodes van de gereden route, maar slechts het totaal te factureren bedrag.
- Gebruik niet voor iedere database dezelfde unieke persoonlijke codes voor de identificatie van personen, zoals bijvoorbeeld het SoFi nummer. Gebruik in plaats daarvan systeemafhankelijke pseudoniemen die niet onderling koppelbaar zijn.
- Bescherm opgeslagen en verstuurde informatie tegen misbruik door onbevoegden. De wettelijke kaders hiervoor zijn al vastgelegd in de Wet Persoonsregistratie (WPR) en de Wet Bescherming Persoonsgegevens (WBP).
Het voorstel van de digitale kluis voldoet bijvoorbeeld op twee punten niet aan deze criteria. Persoonlijke informatie wordt centraal opgeslagen. Bovendien wordt informatie uit verschillende databases (bijvoorbeeld medische en financiële informatie) gelinkt in één kluis opgeslagen.
Voor tal van toepassingen is volledige identificatie op basis van één virtuele (en dus koppelbare) identiteit helemaal niet nodig. Klantprofielen worden op dit moment op het Internet bijgehouden met behulp van 'cookies'. Deze cookies zijn niets anders dan willekeurige getallen, die niet tot een persoon te herleiden zijn. Bedrijven zijn niet zozeer geïnteresseerd in de werkelijke identiteit van een klant, zolang ze maar het juiste profiel voor de juiste klant gebruiken. Zolang verschillende cookies gebruikt worden voor het contact met verschillende bedrijven, zijn de profielen van een klant bij verschillende bedrijven niet te koppelen. Dit is echter lang niet altijd het geval, zie bijvoorbeeld het gebruik van cookies door bedrijven als DoubleClick die bezoeken aan verschillende sites met elkaar combineren. Dit is dus privacy-onvriendelijk.
Ook voor het autoriseren van personen, instellingen of systemen voor het uitvoeren van bepaalde handelingen of het geven van toegang tot informatie is volledige identificatie overkill. Het gebruik van zogenaamde attribuutcertificaten of digitale pseudoniemen (beiden te vergelijken met geavanceerde cookies), waarin niet de identiteit maar enkel de toegangsrechten van de eigenaar zijn uitgedrukt, is ruimschoots voldoende. Voor het openen van een kluis heb je ook alleen maar de juiste sleutel nodig en is het niet van belang te weten of de bankmanager meneer Jansen of mevrouw Pieterse heet. De huidige stand der techniek maakt dergelijke, meer anonieme, oplossingen zeker mogelijk.
Conclusie
Het recht op privacy komt door de verregaande digitalisering van onze samenleving en het toenemende gebruik van netwerken steeds verder onder druk te staan. Algemene technieken voor het beschermen van de privacy werken lang niet in alle gevallen, of bieden maar gedeeltelijk bescherming. Beter is het om bij het ontwerp van nieuwe diensten of applicaties specifiek rekening te houden met het beschermen van de privacy. Gebaseerd op een aantal eenvoudige ontwerpregels kunnen al privacy-vriendelijke applicaties gebouwd worden. En als het kan, zouden we het ook moeten doen. Privacy is een groot goed en helaas geldt voor persoonsgegevens: `eens gegeven, blijft gegeven'.
Dr. Jaap-Henk Hoepman is universitair docent informatiebeveiliging en cryptografie aan de Universiteit Twente. Dit artikel is geschreven op persoonlijke titel. Email: j.h.hoepman@cs.utwente.nl.
Last Version - e1e3326.
(Note: changeover from CVS to dotless svn version numbers on Jan 19, 2008, and changeover to GIT versioning on May 30, 2013.)
Maintained by Jaap-Henk Hoepman
Email: jhh@cs.ru.nl