IDwise blog

Sociale netwerksites belichamen de ‘menselijke’ kant van de Web 2.0-revolutie. Zij kunnen zich de laatste tijd verheugen in verhoogde aandacht voor de privacyaspecten van hun dienstverlening. In een bijdrage voor het tijdschrift Privacy en Informatie heb ik eind 2009 een met voorbeelden gelardeerd overzicht gegeven van die privacyaspecten. Daarbij heb ik twee hoofdtypen onderscheiden: gestolen en gefingeerde identiteiten, en verder gebruik van gegevens op sociale netwerksites. Kinderen en tieners vormen een bijzondere risicogroep.

• Gestolen en gefingeerde identiteiten kunnen gebruikt worden om het slachtoffer op te lichten, te pesten of in een kwaad daglicht te stellen.
• Verder gebruik kan plaatsvinden door de sociale netwerksite en zijn partners, of door personen met wie de gebruiker een relatie heeft of wil aangaan, zoals een werkgever. Ook afgeschermde gegevens blijken niet immuun voor verder gebruik.

In het artikel betoog ik dat de gebruikelijke maatregelen de privacyproblematiek slechts ten dele kunnen oplossen. De reden daarvoor is dat het delen van persoonlijke informatie de essentie vormt van sociale netwerken. Geavanceerd identiteitsbeheer vormt de sleutel tot werkelijk effectieve privacybescherming in de context van sociale netwerksites.

Wat in het artikel wat onderbelicht is gebleven, is dat geavanceerd identiteitsbeheer weliswaar onontbeerlijk is, maar daarmee nog geen panacee. Goede regels voor behoorlijke en zorgvuldige omgang met persoonsgegevens blijven daarnaast bittere noodzaak.

Lees hier het hele artikel.

Voor voldoende vertrouwen bij online transacties willen partijen het een en ander van elkaar weten. Essentiële vragen vanuit privacyperspectief zijn dan deze: Hoe kunnen beide partijen elkaar de minimale informatie verschaffen die nodig is voor dat vertrouwen, zonder daarbij aanvullende (mogelijk privacygevoelige) gegevens te moeten verstrekken om het vertrouwen in die minimaal benodigde informatie zelf te garanderen? En hoe kan voorkomen worden dat de derde partij die instaat voor de betrouwbaarheid van die informatie weet krijgt van (elementen van) de transactie? Een concreet voorbeeld: Hoe kan ik straks mijn digitale paspoort of identiteitskaart gebruiken om aan een website aan te tonen dat ik ouder ben dan 18 jaar, zonder daarbij mijn NAW-gegevens, BSN, geboortedatum, paspoortnummer en dergelijke te verstrekken? En hoe voorkom ik dat de overheid daarbij te weten komt wat voor transactie ik met wie aanga?

Eind jaren negentig bedacht onze landgenoot Stefan Brands, voortbouwend op het werk van zijn leermeester David Chaum, innovatieve antwoorden op deze klassieke en nog goeddeels onopgeloste vragen (zie ook mijn blogpost over elektronisch betalen en privacy). Zijn bedrijf Credentica ontwikkelde op basis daarvan de U-Prove technologie. Twee jaar geleden werden de U-Prove patenten gekocht door Microsoft.

Op de RSA 2010 Conferentie in San Francisco heeft Microsoft eerder dit jaar aangekondigd dat U-Prove nu eindelijk zal worden geïntegreerd in zijn nieuwe identiteitstechnologieën. Belangrijker nog is dat de technologie, met het bijbehorende ontwikkelgereedschap, wordt vrijgegeven onder Microsoft’s Open Specifications Promise. Dat komt er in essentie op neer dat iedereen er vrijelijk gebruik van kan maken.

Anonymous credentials, de naam waaronder (met name) de technieken van Brands bekend staan, dragen al jaren de belofte met zich mee van een doorbraak op het gebied van authenticatie en privacy. De aankondiging van Microsoft betekent dat de komende paar jaar zal blijken of dat terecht is geweest, met andere woorden: of de mogelijkheden die de techniek biedt in de praktijk voldoende te realiseren zijn en voldoende voordelen bieden om aan te slaan.

Een analyse van privacyrisico’s, voorafgaand aan het gebruik van informatiesystemen, is nu al wettelijk vereist. Dat betoogt John Borking vandaag bij de verdediging van zijn proefschrift Privacyrecht is Code, Over het gebruik van Privacy Enhancing Technologies aan de Universiteit Leiden.

John Borking is oud-collegelid van het College Bescherming Persoonsgegevens (CBP), en zowel de promotor als verschillende leden van de promotiecommissie zijn autoriteiten op het gebied van privacy- en informatierecht. De stelling komt dus uit gezaghebbende bron.

Vandaag heb ik het CBP verzocht om zijn zienswijze te geven op deze kwestie. Mijns inziens biedt de stelling van John Borking in combinatie met mijn verzoek het CBP een uitgelezen mogelijkheid om op dit vlak snel veel vooruitgang te boeken. Ik hoop dat ze die kans grijpen!

Verzoek aan het CBP (pdf)

Persbericht (pdf)

In een blogbericht over leeftijdsverificatie door internetforums gaat Arnoud Engelfriet op het eind kort in op publicatie van persoonsgegevens door minderjarigen:

Een ander punt is publicatie van persoonsgegevens. Die 14-jarige kan dingen over zichzelf publiceren die de ouders niet online willen hebben. De ouders kunnen te allen tijde eisen dat die informatie eraf gaat, en kunnen vaak zelfs de site aansprakelijk stellen omdat het erop stond. Dit volgt uit de Wet Bescherming Persoonsgegevens, die hier erg ongenuanceerd streng over is.

Het klopt dat de Wbp (in navolging van Richtlijn 95/45) ongenuanceerd is waar het toestemming door minderjarigen (kinderen onder de zestien) betreft. Overigens brengt de Artikel 29 Werkgroep in zijn opinie over de privacy van kinderen wel enige nuancering aan:

De vraag rijst echter of kinderen die in bepaalde gevallen rechtshandelingen kunnen stellen zonder de instemming van hun wettelijke vertegenwoordigers (in gevallen waarin zij over gedeeltelijke rechten beschikken), ook geldig instemming kunnen verlenen voor de verwerking van hun eigen gegevens.
Naargelang van de toepasselijke plaatselijke regelgeving kan dit gebeuren bij huwelijken, tewerkstelling, religieuze aangelegenheden, enzovoort. In andere gevallen kan de instemming van het kind geldig zijn op voorwaarde dat de wettelijke vertegenwoordiger geen bezwaar heeft. Het is ook duidelijk dat rekening moet worden gehouden met het niveau van fysische en psychische volwassenheid van kinderen en dat zij vanaf een bepaalde leeftijd in staat zijn zaken te beoordelen die op hen betrekking hebben. Dit kan belangrijk zijn in gevallen waarin de wettelijke vertegenwoordiger het niet eens is met het kind, maar het kind volwassen genoeg is om in zijn eigen belang te beslissen, bijvoorbeeld in medisch of seksueel verband. Gevallen waarin het beginsel van het belang van het kind het beginsel van vertegenwoordiging inperkt of er zelfs de bovenhand op haalt, mogen niet worden verwaarloosd en behoeven verdere overweging.

Maar ook binnen het kader van de Wbp is er meer ruimte dan wel gedacht wordt.

Denk bijvoorbeeld aan de situatie waarin een kind jonger dan zestien zonder betrokkenheid van zijn ouders een overeenkomst aangaat: een webhostingabonnement (het voorbeeld dat Engelfriet gebruikt) is misschien twijfelachtig, maar bijvoorbeeld het afnemen van bepaalde “gratis” webdiensten is heel normaal. Gegevens die noodzakelijk zijn voor het uitvoeren van zo’n overeenkomst kunnen worden verwerkt op grond van artikel 8 onder b Wbp. Toestemming is dan niet aan de orde, en de wettelijke vertegenwoordigers spelen dus in principe geen rol.

En wat te denken van het voorbeeld in kwestie? Kan een minderjarige zonder toestemming van zijn ouders optreden als verantwoordelijke voor een gegevensverwerking? In sommige gevallen wel, lijkt me. Bijvoorbeeld bij de meeste vormen van deelname aan online forums, waarvan hier sprake is. Het kind moet dan formeel (als verantwoordelijke) aan zichzelf (als betrokkene) toestemming vragen. Normaliter is die toestemming impliciet als je gegevens over jezelf verwerkt, maar hier moet die door de wettelijk vertegenwoordiger worden gegeven. Dus als de ouder tegen is, dan heeft het kind pech. Maar als de ouder niet expliciet tegen is, dan is wellicht sprake van impliciete toestemming. En in veel gevallen zullen de ouders het natuurlijk ook gewoon prima vinden. Hoe dan ook: dit verandert de positie van de forumbeheerder. Die is  medeverantwoordelijk, en kan zich daarom niet zomaar aan alle verantwoordelijkheid kan onttrekken. Het CBP zegt hierover in zijn Richtsnoeren Publicatie van Persoonsgegevens op Internet onder meer het volgende:

De verantwoordelijke kan de houder van een website zijn, de maker van een persoonlijk profiel, maar ook de eigenaar/beheerder van een discussieforum. In een discussieforum, of in een reactiemogelijk­heid onder artikelen, kunnen lezers bijdragen leveren waarin persoonsgegevens worden verwerkt. In beginsel is iedereen die een bijdrage levert zelf verantwoordelijk voor die verwerking van persoons­gegevens, maar de algemene verantwoordelijkheid voor een zorgvuldige gegevensverwerking ligt bij de houder van het forum, omdat die immers het doel en de middelen bepaalt. De houder van de web­ site of het forum, degene die formeel­juridisch de zeggenschap over de verwerking heeft, biedt de gele­genheid tot het publiceren van gegevens en heeft daarom de plicht om zorg te dragen voor een zorg­vuldige omgang met persoonsgegevens.

De forumbeheerder heeft dus, zoals gezegd, een zekere eigen verantwoordelijkheid. Maar dat is wat anders dan de verplichting om eerst leeftijdsverificatie te doen en vervolgens de toestemming van de wettelijke vertegenwoordiger vast te stellen. Over de vraag of het redelijk is om dat te eisen valt op zijn minst te discussiëren. En wie in die discussie daar wel voor pleit, moet dan maar eens uitleggen waarom dan niet ook van alle volwassen deelnemers eerst moet worden nagegaan of ze niet toevallig onder curatele staan of een mentorschap opgelegd hebben gekregen. Want ook in die gevallen eist artikel 5 Wbp dat de wettelijk vertegenwoordiger toestemming geeft in plaats van de betrokkene.

De meeste lezers zullen inmiddels wel gehoord hebben van het gigantische datalek bij RockYou en de beroerde manier waarop het bedrijf daarmee is omgegaan. Er zit een interessante kant aan dit verhaal die ik nog niet op andere plekken vermeld heb zien.

Zoals Bruce Schneier graag mag opmerken, volgt beveiliging (zoals zoveel zaken…) het geld. Dit blijkt maar al te duidelijk uit de volgende passage uit de verklaring die RockYou heeft uitgegeven in reactie op het incident:

[The breached] database had been kept on a legacy platform (…) The platform breach did not impact any advertiser or publisher information, which we maintain on a separate and secure system that is not a legacy platform.

Ja, wij van RockYou zijn zuinig op de gegevens van onze adverteerders en uitgevers, want dat is waar onze inkomsten vandaan komen. Die verdraaide gebruikers daarentegen, die alleen maar systeembronnen en bandbreedte opslokken…

Contant betalen is uit. Over een paar jaar zullen al onze betalingen elektronisch verlopen. Gemakkelijk, maar ook de zoveelste klap voor onze privacy. Dat is de strekking van een blogbericht van Pieter Stuurman. Maar klopt dat nou? Ja en nee…

Ja. Want ook al laten we in steeds meer winkels onze persoonlijke gegevens achter, en hangen er op plekken waar we afrekenen steeds meer beveiligingscamera’s, contant betalen is nog altijd min of meer anoniem. Als we straks overal met onze pinpas en credit card betalen, dan zijn we die anonimiteit kwijt. Dat hoeft echter niet per se dramatisch te zijn voor onze privacy.

In de eerste plaats is er nog altijd de chipknip. Okee, het opladen daarvan is te traceren voor de bank, maar betalen met de chipknip is anoniem. Je kunt zelfs een volledig anonieme prepaid chipknip krijgen.  Zeker voor kleinere betalingen waarbij privacy belangrijk is dat een prima oplossing. Voorwaarde daarvoor is natuurlijk wel dat banken niet – bijvoorbeeld onder druk van de overheid of internationale standaardisering – de anonimiteit uit het chipknip-protocol schrappen.

In de tweede plaats worden onze gegevens weliswaar vastgelegd, maar dat betekent nog niet dat ze automatisch overal en voor iedereen beschikbaar zijn. De bank krijgt dan misschien wel een overzicht van hoeveel geld we op welke plekken uitgeven, maar welke producten of diensten we daarmee aanschaffen weten in principe alleen de individuele winkeliers. Die mogen die gegevens niet zomaar aan anderen verstrekken.

Ten slotte is de aanname dat elektronisch betalen per definitie schadelijk is voor onze ook privacy onjuist. Ook zonder chipknip kan elektronisch betalen in theorie namelijk prima op anonieme basis. De technieken en protocollen daarvoor zijn al meer dan een kwart eeuw geleden ontwikkeld door de Amerikaanse wiskundige David Chaum. Helaas is hij er niet in geslaagd om deze technieken met succes op de markt te brengen. De infrastructuur voor elektronische betalingen zal natuurlijk niet spontaan op deze alternatieve leest geschoeid worden, maar wellicht zijn er banken die hierin een concurrentievoordeel zien nu bij consumenten de privacyzorgen weer toenemen. De belangrijkste vraag is wellicht of standaarden voor betalingsverkeer het gebruik van technieken voor anoniem betalen wel toelaten – wat natuurlijk wel zou moeten. Overigens zijn de door met name Stefan Brands verder ontwikkelde technieken van Chaum als anonieme credentials bezig aan een comeback.

Dus nee, het voorspelde einde van contante betalingen hoeft in theorie geen ernstige afbreuk te doen aan onze privacy. Maar het zou zomaar wel de praktijk kunnen worden. En welke kant het opgaat is niet zozeer een kwestie van technologische mogelijkheden en onvermijdelijkheden, maar veeleer van keuzes die de betrokken bedrijven, overheidsinstanties en andere organisaties maken. En dus ook van de invloed die u en ik daarop proberen uit te oefenen.

Bij het aanbreken van het tweede decennium van de eenentwintigste eeuw zijn online identiteit en privacy zich in rap tempo aan het ontwikkelen tot een belangwekkend issue. Dit bericht is een zeer korte inleiding tot enkele van de onderwerpen die ik in een veel grotere mate van detail zal behandelen in dit blog.

Identificatie en authenticatie op internet

Het internet is in de jaren zestig ontworpen zonder een fatsoenlijke identiteistlaag. Nu het zich een plaats aan het verwerven is als het populairste mondiale communicatieplatform wreekt dit gebrek zich als een belangrijke factor die identiteitsdiefstal en cybercrime mogelijk maakt. Bijgevolg wordt alom erkend dat de noodzaak om betrouwbare en gebruiksvriendelijke manieren te ontwikkelen om online mensen te identificeren en hun identiteiten te bevestigen een van de belangrijkste uitdagingen van het internet is. Tegelijkertijd verwijdert deze beweging richting degelijke identificatie en authenticatie het internet nog maar weer eens een stap verder van de vrijplaats voor cybernauten als welke het ooit werd gezien – zie John Perry Barlow’s Declaration of the Independence of Cyberspace voor een radicale verwoording van dit gezichtspunt. Dit roept allerlei vragen op met betrekking tot controle, privacy en de bescherming van persoonsgegevens. ‘Privacy’ moet daarbij niet worden opgevat in de enge zin van geheimhouding (zoals dat het in het bijzonder het geval is in de wet en jurisprudentie in de Verenigde Staten), maar als controle van mensen over hun persoonlijke gegevens en het gebruik ervan door anderen – ik zal dit punt in toekomstige berichten verder uitwerken. Geavanceerde technieken die behulpzaam kunnen zijn bij het aanpakken van deze punten bestaan al (bijv. anonieme credentials) en worden momenteel verder ontwikkeld. Dat biedt op zichzelf helaas echter nog geen garantie dat deze technieken dan ook onderdeel zullen worden van de nieuwe identiteitsinfrastructuur die nu wordt ontworpen en gebouwd.

Elektronische overheid

Intussen introduceren overheden wereldwijd allerlei soorten elektronische identificatiemiddelen. De elektronische overheid is een van de belangrijkste aanjagers van deze trend, maar nu door de overheid uitgegeven eID’s steeds volwassener worden hebben private partijen steeds meer interesse in het gebruik ervan voor hun eigen doeleinden. Dit leidt tot zorgen over ‘dataveillance’ in zowel de publieke als de private sector.

Sociale netwerken

Een andere ontwikkeling, van recentere datum maar zeker zo belangrijk is de opkomst van online sociale netwerken. In hun strooptocht naar leden (en uiteindelijke aandeelhouderswaarde) hebben sociale netwerksites voordeel – in ieder geval op korte termijn – van zoveel mogelijk openbaarheid voor de profielen van hun gebruikers, ook via zoekmachines. Als gevolg hiervan is de privacy van gebruikers constant in gevaar, zoals maar al te duidelijk bleek bij de recente poging van Facebook om onder het mom van verbeterde privacy zijn gebruikers zover te krijgen om hun profielen in feite openbaar te maken. Maar zelfs als sociale netwerksites in de toekomst wel de privacy van hun leden respecteren, dan zal er nog steeds een groot privacyprobleem bestaan. Dat vindt zijn oorzaak in de privacyparadoxen die inherent zijn aan sociale netwerken: veel sociale netwerkers zijn misschien best privacybewust, maar het bekend maken van persoonlijke gegevens is essentieel om vertrouwen te kweken in relaties, en het openbaar maken van persoonslijke gegevens is erg behulpzaam bij het elkaar laten ontmoeten van vreemden met vergelijkbare interesses. Hoe deze privacyparadoxen opgelost kunnen worden is een van de grote open vragen op het gebied van internetprivacy.

Dit blog

Op deze pagina’s zal ik me concentreren op onderwerpen op het gebied van online identiteit en privacy. Vaak zullen al deze aspecten gecombineerd worden in een bericht. In andere gevallen focus ik wellicht op een specifiek onderwerp op het gebied van ofwel identiteit, ofwel privacy, om een punt te illustreren. In alle gevallen zijn commentaren van lezers meer dan welkom, opdat dit een levende en interactieve blog wordt.