Afgelopen maart heb ik op de IIR Conferentie “Identity in the Cloud” een presentatie gegeven over de privacy-aspecten van het conferentiethema. Ik heb daarvoor dezelfde invalshoeken gekozen (IAM, profilering en ‘internet of things’, sociale media) als in mijn eerdere bijdrage aan het VPR Privacydebat, uiteraard toegespitst op de context van cloud computing. Meer is te vinden in de slides van mijn presentatie.
In deze derde en laatste van een serie van drie blogposts over identiteit en privacy focus ik op sociale netwerken.
Sociale netwerken spelen een steeds prominentere rol bij identiteitsontwikkeling. Het delen van persoonlijke informatie is een essentieel onderdeel van het aangaan van sociale relaties. Met de vermaning “let op met wat je allemaal op sociale netwerksites zet” komen we er dus niet. Complicerende factor, maar tegelijkertijd een mogelijke oplossingsrichting, is het feit dat mensen in verschillende contexten verschillende aspecten van hun identiteit (hieronder voor het gemak: ‘verschillende identiteiten’) laten zien.
Een belangrijk privacyaspect van sociale netwerken is deze (nu nog beperkte) mogelijkheid tot het gebruik van verschillende identiteiten in verschillende contexten. Dit vraagt om geavanceerd identiteitsmanagement, gebruik van pseudoniemen en controle door de gebruiker. Een belangrijk privacyrisico is dan uiteraard de koppeling van identiteiten die bij verschillende contexten horen. Een ander privacyrisico bij sociale media is het verdere gebruik van in het kader van ‘sociaal gedrag’ prijsgegeven informatie.
Vanuit het privacyrecht kan de vraag gesteld worden of er een apart grondrecht op identiteit nodig is. Verder kan geavanceerd identiteitsmanagement door de gebruiker niet alles oplossen, wat de vraag doet rijzen wat voor bescherming er nodig is voor identiteitsaspecten. Ten slotte komt het toch al problematische onderscheid tussen wel en niet openbare gegevens door sociale media nog veel sterker onder druk te staan. Wat moet er bijgevolg wel en niet mogen (bijv. kennisnemen, verder verspreiden, koppelen…) met gegevens behorend bij een bepaalde identiteit in een bepaalde context? Met name de rol van zoekmachines verdient hier kritisch onder de loep te worden genomen.
[Bovenstaande is onderdeel van mijn artikel in Privacy & Informatie 2011-1, waarin ik de bijdrage samenvat die ik heb geleverd aan het Privacydebat over identiteit van de Vereniging Privacy Recht.]
In deze tweede van een serie van drie blogposts over identiteit en privacy focus ik op profilering en het ‘internet of things’.
Profilering en het ‘internet of things’ hebben te maken met digitale sporen zoals verkeersgegevens, lokatiegegevens en klikgedrag. Met de komst van het internet van dingen (talloze voorwerpen toegerust met internetconnectiviteit) worden de digitale sporen die we achterlaten verveelvoudigd. Profilering is het uit al deze persoonsgegevens samenstellen van een gedetailleerde ‘identiteit’ van een persoon en vervolgens, en dat is eigenlijk de crux, het platslaan van al die rijk geschakeerde identiteiten tot een behapbaar (lees: beperkt) aantal persoonstypen. Zo’n etiket zal nooit helemaal kloppen, en kan soms helemaal niet kloppen.
Naarmate het netwerk van dingen omvangrijker en dichter wordt, zal het gemakkelijker worden om de bij die dingen behorende personen te identificeren. Het netwerk van dingen wordt daarmee een netwerk van persoonsgegevens. En het gaat dan niet alleen om gadgets die je zelf bij je draagt, maar ook om allerlei sensoren die overal geplaatst worden. Hoe weet je wat er door de dingen in je omgeving allemaal over je wordt vastgelegd, gemeten en doorgegeven? En hoe weet je of die gegevens gebruikt worden om je met behulp van profilering een etiket op te plakken? En wat voor etiket is dat dan? En kun je daar bezwaar tegen maken en vragen om een ander (of geen) etiket?
Privacyrechtelijk rijst de vraag of de huidige definitie van persoonsgegevens nog wel te handhaven is, en zelfs of het begrip ‘persoonsgegeven’ überhaupt nog wel te handhaven valt. En dezelfde vragen kunnen gesteld worden over bijvoorbeeld de informatieplicht (met name bij het internet van dingen) en over de rechten van de betrokkene.
[Bovenstaande is onderdeel van mijn artikel in Privacy & Informatie 2011-1, waarin ik de bijdrage samenvat die ik heb geleverd aan het Privacydebat over identiteit van de Vereniging Privacy Recht.]
In deze eerste van een serie van drie blogposts over identiteit en privacy focus ik op de technische kant: identiteitsmanagement. Veelal wordt deze ook aangeduid als IAM, een afkorting voor ‘identity and access management’.
Identiteitsmanagement gaat over het registreren van identiteiten om die vervolgens te gebruiken voor het authenticeren van gebruikers. Offline zijn de problemen bekend en op te lossen (hoewel niet altijd even gemakkelijk), maar op internet is het nog een zooitje (al gebeurt er een heleboel interessants). Belangrijke ontwikkelingen online zijn de verschuiving van het gebruik van identiteiten naar op identiteiten gebaseerde beweringen (claims, credentials), de opkomst van identity providers en identity federation, en het centraal stellen van de gebruiker.
Privacyaspecten bij online identiteitsmanagement zijn onder meer het risico van oneigenlijk of bovenmatig gebruik van de daarvoor benodigde persoonsgegevens, en de centrale rol van de Identity Provider als spin in het web, die zo op (te?) veel zaken zicht heeft.
Vanuit het privacyrecht bezien is het van belang om je te realiseren dat identiteitsmanagement vooral een voorwaarde is om goed persoonsgegevens te kunnen verwerken. De relatie met de doelstellingen van de verwerking is bijgevolg indirect. Ook kunnen veel verschillende persoonsgegevens en -kenmerken gebruikt worden voor identiteitsmanagement. Hoe moet in het licht van dat alles het noodzakelijkheidscriterium uitgelegd worden? Andere relevante vragen zijn wanneer en hoe mensen recht hebben op anonimiteit en pseudonimiteit, en specifiek hoe het gebruik van claims en credentials effectief kan worden ingebed in privacywetgeving.
[Bovenstaande is onderdeel van mijn artikel in Privacy & Informatie 2011-1, waarin ik de bijdrage samenvat die ik heb geleverd aan het Privacydebat over identiteit van de Vereniging Privacy Recht.]
De Vereniging Privacyrecht organiseert bij tijd en wijle Privacydebatten: adhoc georganiseerde bijeenkomsten over actuele thema’s op het gebied van het privacyrecht. Op 30 september 2010 was het thema: Identiteit en Privacy. Sprekers waren Rachel Marbus en ondergetekende.
Privacy en identiteit zijn lastig af te bakenen begrippen. De relatie tussen beide, hoe evident ook, is daardoor bijzonder lastig te preciseren. Dat was mijn uitganspunt voor mijn bijdrage aan het VPR Privacydebat. Ik heb daarom geen uitputtende beschrijving proberen te geven, maar ervoor gekozen om het onderwerp vanuit drie concrete invalshoeken te benaderen:
De komende weken zal ik deze drie onderdelen van mijn presentatie in drie blogberichten samenvatten.
|
Koen Versmissen Over IDwise Contact Privacywaarborg |
"Bij de Registratiekamer en het College bescherming persoonsgegevens (CBP) hield Koen zich intensief bezig met vraagstukken van e-Identity en e-Privacy. Daarbij gaf hij blijk van scherp analytisch inzicht, een flinke dosis creativiteit, een goed gevoel voor praktische uitvoerbaarheid en het vermogen tot constructieve samenwerking."
Peter Hustinx, oud-voorzitter Registratiekamer en CBP (1991-2004)