Afgelopen maart heb ik op de IIR Conferentie “Identity in the Cloud” een presentatie gegeven over de privacy-aspecten van het conferentiethema. Ik heb daarvoor dezelfde invalshoeken gekozen (IAM, profilering en ‘internet of things’, sociale media) als in mijn eerdere bijdrage aan het VPR Privacydebat, uiteraard toegespitst op de context van cloud computing. Meer is te vinden in de slides van mijn presentatie.
In deze derde en laatste van een serie van drie blogposts over identiteit en privacy focus ik op sociale netwerken.
Sociale netwerken spelen een steeds prominentere rol bij identiteitsontwikkeling. Het delen van persoonlijke informatie is een essentieel onderdeel van het aangaan van sociale relaties. Met de vermaning “let op met wat je allemaal op sociale netwerksites zet” komen we er dus niet. Complicerende factor, maar tegelijkertijd een mogelijke oplossingsrichting, is het feit dat mensen in verschillende contexten verschillende aspecten van hun identiteit (hieronder voor het gemak: ‘verschillende identiteiten’) laten zien.
Een belangrijk privacyaspect van sociale netwerken is deze (nu nog beperkte) mogelijkheid tot het gebruik van verschillende identiteiten in verschillende contexten. Dit vraagt om geavanceerd identiteitsmanagement, gebruik van pseudoniemen en controle door de gebruiker. Een belangrijk privacyrisico is dan uiteraard de koppeling van identiteiten die bij verschillende contexten horen. Een ander privacyrisico bij sociale media is het verdere gebruik van in het kader van ‘sociaal gedrag’ prijsgegeven informatie.
Vanuit het privacyrecht kan de vraag gesteld worden of er een apart grondrecht op identiteit nodig is. Verder kan geavanceerd identiteitsmanagement door de gebruiker niet alles oplossen, wat de vraag doet rijzen wat voor bescherming er nodig is voor identiteitsaspecten. Ten slotte komt het toch al problematische onderscheid tussen wel en niet openbare gegevens door sociale media nog veel sterker onder druk te staan. Wat moet er bijgevolg wel en niet mogen (bijv. kennisnemen, verder verspreiden, koppelen…) met gegevens behorend bij een bepaalde identiteit in een bepaalde context? Met name de rol van zoekmachines verdient hier kritisch onder de loep te worden genomen.
[Bovenstaande is onderdeel van mijn artikel in Privacy & Informatie 2011-1, waarin ik de bijdrage samenvat die ik heb geleverd aan het Privacydebat over identiteit van de Vereniging Privacy Recht.]
In deze tweede van een serie van drie blogposts over identiteit en privacy focus ik op profilering en het ‘internet of things’.
Profilering en het ‘internet of things’ hebben te maken met digitale sporen zoals verkeersgegevens, lokatiegegevens en klikgedrag. Met de komst van het internet van dingen (talloze voorwerpen toegerust met internetconnectiviteit) worden de digitale sporen die we achterlaten verveelvoudigd. Profilering is het uit al deze persoonsgegevens samenstellen van een gedetailleerde ‘identiteit’ van een persoon en vervolgens, en dat is eigenlijk de crux, het platslaan van al die rijk geschakeerde identiteiten tot een behapbaar (lees: beperkt) aantal persoonstypen. Zo’n etiket zal nooit helemaal kloppen, en kan soms helemaal niet kloppen.
Naarmate het netwerk van dingen omvangrijker en dichter wordt, zal het gemakkelijker worden om de bij die dingen behorende personen te identificeren. Het netwerk van dingen wordt daarmee een netwerk van persoonsgegevens. En het gaat dan niet alleen om gadgets die je zelf bij je draagt, maar ook om allerlei sensoren die overal geplaatst worden. Hoe weet je wat er door de dingen in je omgeving allemaal over je wordt vastgelegd, gemeten en doorgegeven? En hoe weet je of die gegevens gebruikt worden om je met behulp van profilering een etiket op te plakken? En wat voor etiket is dat dan? En kun je daar bezwaar tegen maken en vragen om een ander (of geen) etiket?
Privacyrechtelijk rijst de vraag of de huidige definitie van persoonsgegevens nog wel te handhaven is, en zelfs of het begrip ‘persoonsgegeven’ überhaupt nog wel te handhaven valt. En dezelfde vragen kunnen gesteld worden over bijvoorbeeld de informatieplicht (met name bij het internet van dingen) en over de rechten van de betrokkene.
[Bovenstaande is onderdeel van mijn artikel in Privacy & Informatie 2011-1, waarin ik de bijdrage samenvat die ik heb geleverd aan het Privacydebat over identiteit van de Vereniging Privacy Recht.]
In deze eerste van een serie van drie blogposts over identiteit en privacy focus ik op de technische kant: identiteitsmanagement. Veelal wordt deze ook aangeduid als IAM, een afkorting voor ‘identity and access management’.
Identiteitsmanagement gaat over het registreren van identiteiten om die vervolgens te gebruiken voor het authenticeren van gebruikers. Offline zijn de problemen bekend en op te lossen (hoewel niet altijd even gemakkelijk), maar op internet is het nog een zooitje (al gebeurt er een heleboel interessants). Belangrijke ontwikkelingen online zijn de verschuiving van het gebruik van identiteiten naar op identiteiten gebaseerde beweringen (claims, credentials), de opkomst van identity providers en identity federation, en het centraal stellen van de gebruiker.
Privacyaspecten bij online identiteitsmanagement zijn onder meer het risico van oneigenlijk of bovenmatig gebruik van de daarvoor benodigde persoonsgegevens, en de centrale rol van de Identity Provider als spin in het web, die zo op (te?) veel zaken zicht heeft.
Vanuit het privacyrecht bezien is het van belang om je te realiseren dat identiteitsmanagement vooral een voorwaarde is om goed persoonsgegevens te kunnen verwerken. De relatie met de doelstellingen van de verwerking is bijgevolg indirect. Ook kunnen veel verschillende persoonsgegevens en -kenmerken gebruikt worden voor identiteitsmanagement. Hoe moet in het licht van dat alles het noodzakelijkheidscriterium uitgelegd worden? Andere relevante vragen zijn wanneer en hoe mensen recht hebben op anonimiteit en pseudonimiteit, en specifiek hoe het gebruik van claims en credentials effectief kan worden ingebed in privacywetgeving.
[Bovenstaande is onderdeel van mijn artikel in Privacy & Informatie 2011-1, waarin ik de bijdrage samenvat die ik heb geleverd aan het Privacydebat over identiteit van de Vereniging Privacy Recht.]
De Vereniging Privacyrecht organiseert bij tijd en wijle Privacydebatten: adhoc georganiseerde bijeenkomsten over actuele thema’s op het gebied van het privacyrecht. Op 30 september 2010 was het thema: Identiteit en Privacy. Sprekers waren Rachel Marbus en ondergetekende.
Privacy en identiteit zijn lastig af te bakenen begrippen. De relatie tussen beide, hoe evident ook, is daardoor bijzonder lastig te preciseren. Dat was mijn uitganspunt voor mijn bijdrage aan het VPR Privacydebat. Ik heb daarom geen uitputtende beschrijving proberen te geven, maar ervoor gekozen om het onderwerp vanuit drie concrete invalshoeken te benaderen:
De komende weken zal ik deze drie onderdelen van mijn presentatie in drie blogberichten samenvatten.
Sociale netwerksites belichamen de ‘menselijke’ kant van de Web 2.0-revolutie. Zij kunnen zich de laatste tijd verheugen in verhoogde aandacht voor de privacyaspecten van hun dienstverlening. In een bijdrage voor het tijdschrift Privacy en Informatie heb ik eind 2009 een met voorbeelden gelardeerd overzicht gegeven van die privacyaspecten. Daarbij heb ik twee hoofdtypen onderscheiden: gestolen en gefingeerde identiteiten, en verder gebruik van gegevens op sociale netwerksites. Kinderen en tieners vormen een bijzondere risicogroep.
In het artikel betoog ik dat de gebruikelijke maatregelen de privacyproblematiek slechts ten dele kunnen oplossen. De reden daarvoor is dat het delen van persoonlijke informatie de essentie vormt van sociale netwerken. Geavanceerd identiteitsbeheer vormt de sleutel tot werkelijk effectieve privacybescherming in de context van sociale netwerksites.
Wat in het artikel wat onderbelicht is gebleven, is dat geavanceerd identiteitsbeheer weliswaar onontbeerlijk is, maar daarmee nog geen panacee. Goede regels voor behoorlijke en zorgvuldige omgang met persoonsgegevens blijven daarnaast bittere noodzaak.
Lees hier het hele artikel.
Voor voldoende vertrouwen bij online transacties willen partijen het een en ander van elkaar weten. Essentiële vragen vanuit privacyperspectief zijn dan deze: Hoe kunnen beide partijen elkaar de minimale informatie verschaffen die nodig is voor dat vertrouwen, zonder daarbij aanvullende (mogelijk privacygevoelige) gegevens te moeten verstrekken om het vertrouwen in die minimaal benodigde informatie zelf te garanderen? En hoe kan voorkomen worden dat de derde partij die instaat voor de betrouwbaarheid van die informatie weet krijgt van (elementen van) de transactie? Een concreet voorbeeld: Hoe kan ik straks mijn digitale paspoort of identiteitskaart gebruiken om aan een website aan te tonen dat ik ouder ben dan 18 jaar, zonder daarbij mijn NAW-gegevens, BSN, geboortedatum, paspoortnummer en dergelijke te verstrekken? En hoe voorkom ik dat de overheid daarbij te weten komt wat voor transactie ik met wie aanga?
Eind jaren negentig bedacht onze landgenoot Stefan Brands, voortbouwend op het werk van zijn leermeester David Chaum, innovatieve antwoorden op deze klassieke en nog goeddeels onopgeloste vragen (zie ook mijn blogpost over elektronisch betalen en privacy). Zijn bedrijf Credentica ontwikkelde op basis daarvan de U-Prove technologie. Twee jaar geleden werden de U-Prove patenten gekocht door Microsoft.
Op de RSA 2010 Conferentie in San Francisco heeft Microsoft eerder dit jaar aangekondigd dat U-Prove nu eindelijk zal worden geïntegreerd in zijn nieuwe identiteitstechnologieën. Belangrijker nog is dat de technologie, met het bijbehorende ontwikkelgereedschap, wordt vrijgegeven onder Microsoft’s Open Specifications Promise. Dat komt er in essentie op neer dat iedereen er vrijelijk gebruik van kan maken.
Anonymous credentials, de naam waaronder (met name) de technieken van Brands bekend staan, dragen al jaren de belofte met zich mee van een doorbraak op het gebied van authenticatie en privacy. De aankondiging van Microsoft betekent dat de komende paar jaar zal blijken of dat terecht is geweest, met andere woorden: of de mogelijkheden die de techniek biedt in de praktijk voldoende te realiseren zijn en voldoende voordelen bieden om aan te slaan.
Een analyse van privacyrisico’s, voorafgaand aan het gebruik van informatiesystemen, is nu al wettelijk vereist. Dat betoogt John Borking vandaag bij de verdediging van zijn proefschrift Privacyrecht is Code, Over het gebruik van Privacy Enhancing Technologies aan de Universiteit Leiden.
John Borking is oud-collegelid van het College Bescherming Persoonsgegevens (CBP), en zowel de promotor als verschillende leden van de promotiecommissie zijn autoriteiten op het gebied van privacy- en informatierecht. De stelling komt dus uit gezaghebbende bron.
Vandaag heb ik het CBP verzocht om zijn zienswijze te geven op deze kwestie. Mijns inziens biedt de stelling van John Borking in combinatie met mijn verzoek het CBP een uitgelezen mogelijkheid om op dit vlak snel veel vooruitgang te boeken. Ik hoop dat ze die kans grijpen!
Verzoek aan het CBP (pdf)
Persbericht (pdf)
In een blogbericht over leeftijdsverificatie door internetforums gaat Arnoud Engelfriet op het eind kort in op publicatie van persoonsgegevens door minderjarigen:
Een ander punt is publicatie van persoonsgegevens. Die 14-jarige kan dingen over zichzelf publiceren die de ouders niet online willen hebben. De ouders kunnen te allen tijde eisen dat die informatie eraf gaat, en kunnen vaak zelfs de site aansprakelijk stellen omdat het erop stond. Dit volgt uit de Wet Bescherming Persoonsgegevens, die hier erg ongenuanceerd streng over is.
Het klopt dat de Wbp (in navolging van Richtlijn 95/45) ongenuanceerd is waar het toestemming door minderjarigen (kinderen onder de zestien) betreft. Overigens brengt de Artikel 29 Werkgroep in zijn opinie over de privacy van kinderen wel enige nuancering aan:
De vraag rijst echter of kinderen die in bepaalde gevallen rechtshandelingen kunnen stellen zonder de instemming van hun wettelijke vertegenwoordigers (in gevallen waarin zij over gedeeltelijke rechten beschikken), ook geldig instemming kunnen verlenen voor de verwerking van hun eigen gegevens.
Naargelang van de toepasselijke plaatselijke regelgeving kan dit gebeuren bij huwelijken, tewerkstelling, religieuze aangelegenheden, enzovoort. In andere gevallen kan de instemming van het kind geldig zijn op voorwaarde dat de wettelijke vertegenwoordiger geen bezwaar heeft. Het is ook duidelijk dat rekening moet worden gehouden met het niveau van fysische en psychische volwassenheid van kinderen en dat zij vanaf een bepaalde leeftijd in staat zijn zaken te beoordelen die op hen betrekking hebben. Dit kan belangrijk zijn in gevallen waarin de wettelijke vertegenwoordiger het niet eens is met het kind, maar het kind volwassen genoeg is om in zijn eigen belang te beslissen, bijvoorbeeld in medisch of seksueel verband. Gevallen waarin het beginsel van het belang van het kind het beginsel van vertegenwoordiging inperkt of er zelfs de bovenhand op haalt, mogen niet worden verwaarloosd en behoeven verdere overweging.
Maar ook binnen het kader van de Wbp is er meer ruimte dan wel gedacht wordt.
Denk bijvoorbeeld aan de situatie waarin een kind jonger dan zestien zonder betrokkenheid van zijn ouders een overeenkomst aangaat: een webhostingabonnement (het voorbeeld dat Engelfriet gebruikt) is misschien twijfelachtig, maar bijvoorbeeld het afnemen van bepaalde “gratis” webdiensten is heel normaal. Gegevens die noodzakelijk zijn voor het uitvoeren van zo’n overeenkomst kunnen worden verwerkt op grond van artikel 8 onder b Wbp. Toestemming is dan niet aan de orde, en de wettelijke vertegenwoordigers spelen dus in principe geen rol.
En wat te denken van het voorbeeld in kwestie? Kan een minderjarige zonder toestemming van zijn ouders optreden als verantwoordelijke voor een gegevensverwerking? In sommige gevallen wel, lijkt me. Bijvoorbeeld bij de meeste vormen van deelname aan online forums, waarvan hier sprake is. Het kind moet dan formeel (als verantwoordelijke) aan zichzelf (als betrokkene) toestemming vragen. Normaliter is die toestemming impliciet als je gegevens over jezelf verwerkt, maar hier moet die door de wettelijk vertegenwoordiger worden gegeven. Dus als de ouder tegen is, dan heeft het kind pech. Maar als de ouder niet expliciet tegen is, dan is wellicht sprake van impliciete toestemming. En in veel gevallen zullen de ouders het natuurlijk ook gewoon prima vinden. Hoe dan ook: dit verandert de positie van de forumbeheerder. Die is medeverantwoordelijk, en kan zich daarom niet zomaar aan alle verantwoordelijkheid kan onttrekken. Het CBP zegt hierover in zijn Richtsnoeren Publicatie van Persoonsgegevens op Internet onder meer het volgende:
De verantwoordelijke kan de houder van een website zijn, de maker van een persoonlijk profiel, maar ook de eigenaar/beheerder van een discussieforum. In een discussieforum, of in een reactiemogelijkheid onder artikelen, kunnen lezers bijdragen leveren waarin persoonsgegevens worden verwerkt. In beginsel is iedereen die een bijdrage levert zelf verantwoordelijk voor die verwerking van persoonsgegevens, maar de algemene verantwoordelijkheid voor een zorgvuldige gegevensverwerking ligt bij de houder van het forum, omdat die immers het doel en de middelen bepaalt. De houder van de web site of het forum, degene die formeeljuridisch de zeggenschap over de verwerking heeft, biedt de gelegenheid tot het publiceren van gegevens en heeft daarom de plicht om zorg te dragen voor een zorgvuldige omgang met persoonsgegevens.
De forumbeheerder heeft dus, zoals gezegd, een zekere eigen verantwoordelijkheid. Maar dat is wat anders dan de verplichting om eerst leeftijdsverificatie te doen en vervolgens de toestemming van de wettelijke vertegenwoordiger vast te stellen. Over de vraag of het redelijk is om dat te eisen valt op zijn minst te discussiëren. En wie in die discussie daar wel voor pleit, moet dan maar eens uitleggen waarom dan niet ook van alle volwassen deelnemers eerst moet worden nagegaan of ze niet toevallig onder curatele staan of een mentorschap opgelegd hebben gekregen. Want ook in die gevallen eist artikel 5 Wbp dat de wettelijk vertegenwoordiger toestemming geeft in plaats van de betrokkene.
De meeste lezers zullen inmiddels wel gehoord hebben van het gigantische datalek bij RockYou en de beroerde manier waarop het bedrijf daarmee is omgegaan. Er zit een interessante kant aan dit verhaal die ik nog niet op andere plekken vermeld heb zien.
Zoals Bruce Schneier graag mag opmerken, volgt beveiliging (zoals zoveel zaken…) het geld. Dit blijkt maar al te duidelijk uit de volgende passage uit de verklaring die RockYou heeft uitgegeven in reactie op het incident:
[The breached] database had been kept on a legacy platform (…) The platform breach did not impact any advertiser or publisher information, which we maintain on a separate and secure system that is not a legacy platform.
Ja, wij van RockYou zijn zuinig op de gegevens van onze adverteerders en uitgevers, want dat is waar onze inkomsten vandaan komen. Die verdraaide gebruikers daarentegen, die alleen maar systeembronnen en bandbreedte opslokken…
|
Koen Versmissen Over IDwise Contact Privacywaarborg |
"Bij de Registratiekamer en het College bescherming persoonsgegevens (CBP) hield Koen zich intensief bezig met vraagstukken van e-Identity en e-Privacy. Daarbij gaf hij blijk van scherp analytisch inzicht, een flinke dosis creativiteit, een goed gevoel voor praktische uitvoerbaarheid en het vermogen tot constructieve samenwerking."
Peter Hustinx, oud-voorzitter Registratiekamer en CBP (1991-2004)