OpinieHoe beheer je identiteiten veilig?

0

Er wordt steeds meer data opgeslagen over waar we zijn en wat we doen. Dat biedt kansen voor dienstverlening, maar ook bedreigingen op het gebied van privacy en beveiliging. Bij overheidssystemen wordt steeds meer gebruik gemaakt van identiteitsmanagement om privacy en veiligheid te garanderen.

– INTERVIEW – Davied van Berlo

Dinsdag had ik mijn tweede interview in de serie over de toekomst van de overheid met Christian van 't Hof, onderzoeker naar de informatiesamenleving bij het Rathenau Instituut en schrijver van o.a. Check In / Check Uit en Voorgeprogrammeerd. Het gesprek is opgenomen op video en uitgetypt. Hieronder vind je mijn samenvatting.



Op internet wordt die rol opgepakt door bedrijven als Facebook en Google. Daar ligt een rol voor de overheid om consumenten te beschermen en ontwikkelingen te kanaliseren. 

Kansen en mogelijkheden
Het internet der dingen gaat over apparaten, die allemaal zeggen ‘ik ben hier’: je mobiele telefoon, gps-apparaten, RFID-chips, etc. Veel van die data wordt vervolgens verzameld en opgeslagen. Dit biedt kansen, empowerment: je kunt toegang krijgen, dingen beveiligen, overzichtelijk maken. Maar het biedt ook bedreigingen, namelijk dat mensen gevolgd kunnen worden of juist gestuurd door anderen.

Veel van die data is gewoon openbaar beschikbaar, want geaggregeerd en geanonimiseerd. Zo gebruikt de Rijksdienst voor het Wegverkeer zelf allerlei locatiegegevens om verkeersmanagement te doen. Maar de RDW is ook een soort clearinghouse geworden en biedt die gegevens als open data aan, zodat anderen er diensten op kunnen ontwikkelen. 

Risico's en bedreigingen
Een tegenvoorbeeld is echter het nieuwe paspoort, waarop een chip staat met jouw biometrische gegevens. Het plan was vervolgens om die gegevens centraal te gaan opslaan: één database met alle identificeerbare gegevens van alle Nederlanders. Het is een voorbeeld van function creep, het verzinnen van nieuwe toepassingen bij bestaande mogelijkheden.

De uiteindelijke conclusie was echter dat zo’n systeem juist minder veiligheid zou gaan opleveren. Ten eerste: alle databases zijn te hacken. Als al die gegevens van alle Nederlanders op straat liggen, dan kan vervolgens helemaal niemand zich meer identificeren. Dat is een te groot risico.

En ten tweede: het systeem werkt heel goed bij één-op-éénidentificatie (is dit jouw paspoort?), maar bij het matchen van een gelaatsscan op 14 miljoen Nederlanders gaat te vaak wat mis (vals-positieven). Daarom is het uiteindelijk toch afgeblazen. 

De sleutel is identiteitsbeheer
Het techno-optimisme is wel een beetje weggegaan bij de overheid. Eén van de manieren om het echter wel goed in te richten is identiteitsbeheer. Daartoe stel je een soort gelaagd toegangsbeleid in zodat ook een politieman of ambtenaar niet zomaar overal in kan. Daarbij krijg jij een nummer en ben je anoniem te volgen. De volger krijgt ook een nummer en een derde partij heeft de sleutel daartussen.

Wie wat mag zien is vaak al in het systeem voorgeprogrammeerd. Het idee dat iedereen door iedereen wordt gevolgd kan met dergelijke systemen dus worden tegengegaan. Met een goed identiteitsmanagementsysteem heb je binnen de systemen van de overheid dus zowel de veiligheid als de privacy geregeld.

Wie beheert jouw online identiteit?
Bij identiteitsbeheer op internet wordt de belangrijke vraag voor de komende vijf jaar: wie gaat jouw online identiteit beheren? Je hebt nu bijvoorbeeld partijen als Facebook, Apple en Google die steeds meer diensten onder één inlognaam gaan verbinden. Dat is heel gemakkelijk in het gebruik, maar het zorgt ook voor een lock-ineffect. Kun je nog van die aanbieder af als consument? 

Een tweede scenario is dat je als burger steeds meer met deelidentiteiten gaat werken. Maar dan vraag je nogal wat van die burger. En een derde scenario is dat er een bemiddelaar tussen komt, een identiteitsmanager die verder geen andere dienst verleent dan identiteitsbeheer. Dat wordt dan waarschijnlijk wel een betaalde dienst. Scenario 1 is echter waar we nu naar onderweg zijn. 

Heeft de overheid een rol hierin?
Het zou natuurlijk erg mooi zijn als we op een democratische manier kunnen zeggen: zo ga je om met persoonsgegevens, zo doen we dat op een Nederlandse of desnoods op een Europese manier. De vraag is echter of de overheid in staat is om zo'n identiteitsvoorziening te bieden, gezien haar reputatie met ict-systemen. Daar komt bij: bij Google zijn ze reteslim! De overheid kan de ontwikkelingen wel in de gaten houden en kanaliseren.

Zo is er momenteel een interessante ontwikkeling: nu geldt bij de Wet Bescherming Persoonsgegevens dat het regime wordt gehandhaafd van het land waar de data staan. In de regel is dat in de VS. Vanaf 2012 bepaalt de EU waarschijnlijk dat niet waar de data staat, maar waar de data verzameld wordt bepalend is. Als Nederlandse gebruiker van een Amerikaanse dienst val je toch dan onder Europese regelgeving!

Video: 

Interview Christian van ’t Hof over de online identiteit en privacy from Davied on Vimeo.

Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Over Auteur

Reageer