IAM en privacy
In deze eerste van een serie van drie blogposts over identiteit en privacy focus ik op de technische kant: identiteitsmanagement. Veelal wordt deze ook aangeduid als IAM, een afkorting voor ‘identity and access management’.
Identiteitsmanagement gaat over het registreren van identiteiten om die vervolgens te gebruiken voor het authenticeren van gebruikers. Offline zijn de problemen bekend en op te lossen (hoewel niet altijd even gemakkelijk), maar op internet is het nog een zooitje (al gebeurt er een heleboel interessants). Belangrijke ontwikkelingen online zijn de verschuiving van het gebruik van identiteiten naar op identiteiten gebaseerde beweringen (claims, credentials), de opkomst van identity providers en identity federation, en het centraal stellen van de gebruiker.
Privacyaspecten bij online identiteitsmanagement zijn onder meer het risico van oneigenlijk of bovenmatig gebruik van de daarvoor benodigde persoonsgegevens, en de centrale rol van de Identity Provider als spin in het web, die zo op (te?) veel zaken zicht heeft.
Vanuit het privacyrecht bezien is het van belang om je te realiseren dat identiteitsmanagement vooral een voorwaarde is om goed persoonsgegevens te kunnen verwerken. De relatie met de doelstellingen van de verwerking is bijgevolg indirect. Ook kunnen veel verschillende persoonsgegevens en -kenmerken gebruikt worden voor identiteitsmanagement. Hoe moet in het licht van dat alles het noodzakelijkheidscriterium uitgelegd worden? Andere relevante vragen zijn wanneer en hoe mensen recht hebben op anonimiteit en pseudonimiteit, en specifiek hoe het gebruik van claims en credentials effectief kan worden ingebed in privacywetgeving.
[Bovenstaande is onderdeel van mijn artikel in Privacy & Informatie 2011-1, waarin ik de bijdrage samenvat die ik heb geleverd aan het Privacydebat over identiteit van de Vereniging Privacy Recht.]
