Smart-cards, het digitale paspoort, de nationale identiteitskaart. Al deze termen hebben betrekking op het electronisch kunnen identificeren van personen. En dan op zo'n manier dat vergissen nagenoeg uitgesloten is. Het belang dat in de politieke campagnes wordt gehecht aan veiligheid is een aanjager voor de discussie rondom deze technieken.
Stelling: Smartcards komen eraan. In verschillende landen (Singapore, Hongkong) is ervoor gekozen zo’n nationale identiteitskaart te voorzien van ingebouwde encryptiesleutels (naast biometrische beveiliging). Zo’n kaart zou een belangrijk instrument kunnen zijn bij het vergroten van privacy van individuen en bedrijven, waarbij crimineel misbruik is te voorkomen door de gereguleerde afgifte van de kaart.
Wat hebben de voor- en tegenstanders van nationale identiteitskaarten te melden? Wat voor functionaliteit moet een identiteitskaart bieden? Wie kan de gegevens gegenereerd door zo'n kaart inzien? Waarom moeten biometrische eigenschappen worden opgeslagen op een identiteitskaart? Een onderzoek naar de voor- en nadelen van een nationale identiteitskaart. Oftewel: geautomatiseerde (inter-)nationale identificatie: goed of slecht?.
Voorzichtigheid geboden
Bij biometrische eigenschappen moet men denken aan zaken als gezichts-, stem- en schriftherkenning, unieke lichaamseigen kenmerken als vingerafdruk en iris en zelfs kenmerken als lichaamsgeur en DNA profiel. Biometrische identificatie is het toverwoord voor een oud probleem: hoe kan men zeker zijn van de identiteit van een bepaald persoon? Door informatie die voor elk persoon uniek is op electronische wijze op te slaan in een chip hoopt men het verificatieproces van personen ("Bent u wel wie u zegt dat u bent?") te vereenvoudigen.
Tegenstanders van biometrie en andere smartcard technologiën hebben bedenkingen op een aantal gebieden. Deze laten zich onderverdelen in een drietal punten: 1) problemen met de informationele privacy (de controle die je hebt over gegevens die over je worden gepubliceerd); 2) problemen met de fysieke privacy (de controle over inbreuk op de lichaamsintegriteit) en 3) religieuze bezwaren.
Dat heb ik niet gedaan, daar ben ik niet geweest
Ieder mens ontwikkelt een electronisch schaduwleven, zonder dat hij of zij dat weet. In dit leven is de mens een getal geworden (zie figuur 1) en is het mogelijk dit getal te koppelen aan gedrag. Door de voortschrijdende technieken wordt het zelfs mogelijk mensen in 'real-time' te volgen. Het blad Der Spiegel liet in 1999 zien hoe men een belangrijke duitse politicus gedurende een dag kon volgen door het signaal van zijn mobiele telefoon in de gaten te houden. Tot op een nauwkeurigheid van 50 meter kon men vaststellen waar deze persoon zich bevond. Dit is een duidelijke inbreuk op de informationele privacy.
Nieuwe Location Based Information Services, die mogelijk zijn dankzij de derde generatie mobiele telefoontechnieken, maken het mogelijk reclame te versturen naar een mobiele telefoon als deze in de buurt is van bijvoorbeeld een winkel. NTT Docomo past deze technieken al succesvol toe met hun i-mode-dienst. Deze technieken bevinden zich in het grijze schemergebied tussen gemak en misbruik. Want hoewel het informeren over bepaalde diensten en producten een voorwaarde is voor een kapitalistische, op commercie gestoelde, maatschappij, lijkt de vrijheid van het individu hier in het gedrang te komen.
figuur 1: de opslagcapaciteit die nodig is om een mens via biometrische technieken te kunnen identificeren
Stel jezelf een winkelcentrum voor, waarin alle middenstanders gebruik kunnen maken van de locatie gebaseerde informatie van jouw als klant. Doordat bekend is welke winkels je binnenloopt en wat je er koopt kan er een tijdelijk profiel van jou worden samengesteld. Hieraan is bijvoorbeeld te zien dat je wel een zwarte broek en zwarte blouse hebt gekocht, maar nog geen bijpassende stropdas. La Cravate Blanche, de enige-echte-stropdassen-winkel-aan-het-eind-van-het-winkelcentrum attendeert je vervolgens op dit feit en biedt je een korting aan van 15% als je vandaag nog besluit om bij hen een stropdas aan te schaffen. Realiteit? Toekomstmuziek? Goed? Slecht?
Men kan voldoende mogelijke problemen op het gebied van informationele privacy aandragen. In hoeverre deze uiteindelijk valide blijken te zijn valt te bezien.
De vinger leggen waar het pijn doet
Wil men gebruik maken van biometrische kenmerken ten behoeve van identificatie, dan wordt er gevraagd om het laten zien van een lichaamsspecifiek kenmerk. Hoewel het afgeven van een vingerafdruk door weinig mensen als inbreuk op de privacy wordt gezien, is het laten scannen van de IRIS al anders, voornamelijk vanwege de (terechte of onterechte) angst dat dit een negatief effect heeft op gezondheid van het oog. Het afgeven van levend weefsel, zoals wangslijmvlies, roept bij nog meer mensen weerstand op. "Mijn lichaam, mijn geest"; fysieke privacy heeft betrekking op de integriteit van het eigen lichaam en de controle die men daarover uit kan oefenen.
Het menselijk DNA is volledig bekend. Onderzoekers zijn wereldwijd bezig met het leren van de taal van DNA. Er zijn voorbeelden bekend van onderzoeken waarin het tonen van bijvoorbeeld crimineel gedrag, homosexualiteit of vandalisme wordt gekoppeld aan een bepaalde DNA structuur (misleidend wel eens 'afwijking' genoemd). Net zoals het hebben van een bepaalde ziekte. Het koppelen van deze informatie aan de unieke code die elk mens identificeert is dankzij biometrie slechts een kleine stap. Het volgen van deze personen in hun levensloop is vervolgens een voor de hand liggende mogelijkheid. Het hoeft geen betoog dat deze gegevens een schat aan informatie over iemands leven en acties kunnen geven, maar hen ook in de vrijheid die ze nastreven kunnen beperken.
Een argument dat met regelmaat uit de kast wordt gehaald als men spreekt over privacy is "als je niets fout doet heb je ook niets te verbergen". In Popshot Magazine | Punk Rock Capitalism valt daar het volgende commentaar over te lezen:
The only guaranteed result of a national ID card system would be that the government would require you to produce the card at its will; thus, infringing on your privacy and your personal freedoms in myriad ways.
...
An extremely dangerous defense of the ID card system is the old (and constantly misappropriated) saying "if you’re obeying the law, then you have nothing to worry about." Right. The government never makes mistakes. The IRS has never mistakenly seized an innocent citizen’s possessions, cleaned out his bank accounts, and imprisoned him.
In NRC Handelsblad schrijft hoogleraar strafrecht, T.M. Schalken, over de Puttense moordzaak dat"het probleem niet is dat rechters zich kunnen vergissen. Er doet zich pas echt een probleem voor als het rechtssysteem in zijn geheel niet in staat blijkt om een rechterlijke dwaling uiteindelijk ongedaan te maken."
Een Kafkaiaans aandoend probleem ligt in het verschiet. Als we met zekerheid kunnen vaststellen of je op een bepaalde plaats bent geweest op een bepaalde tijd behoren onzekerheden als in de Puttense moordzaak tot de verleden tijd. Maar zijn we daar beter mee af? Geen enkel systeem is 100% onfeilbaar. We introduceren het risico dat op foutieve informatie definitieve standpunten worden ingenomen. De zekerheid waarmee men personen kan identificeren dankzij biometrische gegevens is immers geen 100%. Hoe aanvaardbaar het risico mag zijn is voer voor discussie.
Geloof, geloof ik
In Openbaring 13: 16-18 wordt verwezen naar het nummer van het beest: "(16) En het maakt, dat aan allen, de kleinen en de groten, de rijken en de armen, de vrijen en de slaven, een merkteken gegeven wordt op hun rechterhand of op hun voorhoofd (17) dat niemand kan kopen of verkopen, dan wie het merkteken, de naam van het beest, of het getal van zijn naam heeft. (18) Hier is de wijsheid: wie verstand heeft, berekene het getal van het beest , want het is een getal van een mens, en zijn getal is zeshonderd zes en zestig".
Even losstaand van het getal of de validiteit ervan: de religieuze bezwaren tegen een uniek identificatiesysteem zijn gebaseerd op basale privacy principes, namelijk dat de individualiteit van een persoon het grootste goed is. De drie monotheïstische godsdiensten -de islam, christendom en jodendom- geloven allen in de uniekheid van één God en de toewijding die de persoon aan hem moet geven.
Of religieuze bezwaren worden meegenomen in de overwegingen voor een nationale identiteitskaart valt nog te bezien. Een op christelijke leest gestoelde partij als het CDA heeft zich al uitgesproken voor een nationale DNA bank, terwijl de PvdA privacy als een godsdienst betiteld.
Anonimiteit
Is anonimiteit voltooid verleden tijd als iedereen een identiteitskaart heeft waarmee hij of zij uniek (electronisch) is te identificeren? Of, om het in een perspectief te plaatsen:"Hoe groot is de kans dat van deze gegevens misbruik gemaakt zal worden?", "Hoe eenvoudig is het gegevens van een ander te achterhalen?" en "Hoe controleren we wie er op welke wijze van deze gegevens gebruik maakt?"
De langstspelende nederlandse soap "Goede Tijden, Slechte Tijden" heeft in het twaalfjarig bestaan tientallen malen gebruik gemaakt van de mogelijkheid tot anonimiteit. Bijvoorbeeld: "Stefano is een zoon van Ludo en heeft een kind van Janine genaamd Lucas". Of "Laura denkt Philip te hebben vermoord nadat hij haar chanteerde, maar als blijkt dat dat niet zo is, wist ze zijn identiteit uit het gegevensbestand van de gemeente". Het leven van de GTST'ers en hun relaties is bekend. Maar het is dan ook een soap.
figuur 2: GTST getekend (door Dennis Aarts en Ralf Veugen)
Is het mogelijk dat bovenstaand type relatie diagrammen van het echte leven worden getekend? Kunnen dit soort gegevens worden gedistilleerd uit informatie die beschikbaar komt dankzij de verregaande informationalisering van onze maatschappij? Een nationale identiteitskaart met biometrische eigenschappen lijkt in ieder geval een stap in die (goede?) richting.
"Big Brother" is ook zo'n voorbeeld. Het verschil tussen soap en real-life wordt steeds kleiner. Er zijn plannen voor een show die uitgezonden wordt via internet en die alleen toegankelijk is voor mensen die er zelf actief aan deelnemen. Het idee is dat iedereen dag en nacht een aantal webcams aan heeft staan in zijn of haar huis. Bij voorkeur in de woonkamer, slaapkamer en op het toilet. Al deze videobeelden worden vervolgens opgestuurd naar de redactie, alwaar ze met behulp van filter technieken worden geselecteerd op huidskleur, bewegingsritme en stemverheffingen. Een gegarandeerd succes!
Voor een mens is anonimiteit dus een bruikbare, en af en toe zelfs noodzakelijke, manier van communiceren. Dit geld echter niet alleen voor mensen maar ook voor organisaties. Organisaties kunnen de behoefte hebben om in anonimiteit hun werk te doen. Op de conferentie "Anonymity and copyright on the global internet, 1999" gaf Mike Reiter een aantal voorbeelden:
[Organisations use anonymity for] avoiding their accesses to a patents database being detected; avoidance of traffic analysis making an organisation’s intentions apparent; enablement of whistleblowing within an organisation; Microsoft’s email being subject to sub poena; headhunters who communicate with employees of other organisations; and overseas employees who need protection against local incursions into privacy.
Een nationale identiteitskaart, gekoppeld aan toegangscontroles op beschikbare informatiebronnen, zal dus in ieder geval de vraag naar geanonimiseerde diensten met behulp van Privacy Enhanced Technologies vergroten.
Voorwaarts!
Waarom is een nationale identiteitskaart met electronische functionaliteiten gewenst? Waarom wordt het uniek kunnen identificeren van personen door zovelen gezien als een voorwaarde voor het succes van de informationele maatschappij? Uit het document "Mijn chipkaart, dat ben ik", gepubliceerd door het Economic Commerce Platform Nederland, een opsomming:
Er zijn vele voorbeelden te verzinnen waarbij persoonsverificatie gewenst is. Sommige daarvan zijn nu al beschikbaar op het internet, andere zijn nog toekomst muziek. Hieronder wordt een rijtje diensten opgenoemd waarbij persoonsverificatie mogelijk gewenst dan wel verplicht is (deze lijst is niet uitputtend):
- Bestellen van producten
- Aanvragen van een bankrekening
- Toegang tot bedrijfgegevens
- Opladen van een elektronische beurs
- Verlenen van een vergunning
- Aangifte doen bij de politie
Voor het afnemen van diensten die via het internet worden aangeboden is zo'n kaart dus verschrikkelijk gemakkelijk. Door de kaart te combineren met versluieringsfunctionaliteiten wordt direct de mogelijkheid geschapen om op een vertrouwelijke manier deze diensten via het internet af te nemen. Is die vertrouwelijkheid echter wel zo belangrijk? Het feit wil dat nu al voor bepaalde diensten gebruik wordt gemaakt van het internet, zonder deze vertrouwelijkheid in ogenschouw te nemen. Aangifte doen van diefstal van je mobiele telefoon: via e-mail. Aangifte doen van een verhuizing binnen de gemeente: via e-mail. Zo'n beetje alle communicatie met de (semi-)overheid wordt uitgevoerd middels open communicatie en een bevestiging via snail mail.
De vraag is gerechtvaardigd of voor de overheid een kaart met biometrische gegevens wel een noodzaak is voor het succesvol kunnen uitvoeren van het e-government ideaal. Het lijkt erop alsof primair wordt gekeken naar de identificatie van de burger en niet zozeer naar de zorgvuldigheid waarmee met de gegevens van diezelfde burger wordt omgegaan.
David Brin, de auteur van "The Transparant Society", heeft een pragmatische benaderingswijze. In een interview wijst hij voornamelijk op het feit dat de nationale identiteitskaart er hoe dan ook komt: "Squint, look ahead 50 years and honestly tell me you can envision a world where such things are not simply assumed." Zijn idee is dat iedereen meerdere identiteitskaarten kan gebruiken, zodat er niet één, maar meerdere databases zijn met persoonsgegevens. Hiermee wordt voorkomen dat er teveel persoonsgegevens in één database zijn opgeslagen en is misbruik van deze gegevens een stuk onwaarschijnlijker, danwel onmogelijk.
Het standpunt van David Brin met betrekking tot een grotere hoeveelheid kaarten die elk voor een bepaald doel bestemd zijn wordt ten dele onderschreven door Bert-Jaap Koops. Uit een interview in argusonline: "Het elektronisch paspoort is iets heel anders dan de bonuskaart van Albert Hein, ook al maken beide gebruik van dezelfde technieken. Als de overheid een identificatiekaart invoert met biometrie als uniek identificatiemiddel, is het eigenlijk voor de markt niet interessant meer om een eigen kaart uit te geven. Albert Hein zal er dan mogelijk voor kiezen om aan te haken bij de kaart van de overheid. Zo ontstaat een koppeling tussen de overheidskaart en allerlei andere kaarten. Alle gegevens die opgeslagen zijn in een gigantische database, kunnen dan gekoppeld worden."
"Een negatief bijeffect", vindt Koops. "Natuurlijk is het een groot voordeel dat je nog maar één kaart hoeft te hebben, met maar één pincode. Het lijkt heel handig. Alleen: je hebt niets meer te kiezen als die koppelingen inderdaad gemaakt worden. In een extreem geval kun je in 2004 de Albert Hein niet meer in zonder een kaart."
Conclusie
figuur 3: de ironie van het "Big Brother" argument
Voorstanders van een multi-functionele identiteitskaart wijzen op de voordelen die men dankzij zo'n kaart kan bereiken: de eenvoud waarmee men gebruik kan maken van overheidsdiensten, de eenvoud waarmee men diensten van commerciële partijen af kan namen, de snelheid waarmee iemands identiteit kan worden vastgesteld (als dat noodzakelijk is) en de zekerheid waarmee dat gebeurt. De overheid geeft met het voornemen om diverse functionaliteiten in het nederlandse paspoort te verenigen een eerste stap tot zo'n kaart.
Tegenstanders wijzen op het gevaar dat schuilt in het opslaan van lichaamseigen kenmerken op kaarten en persoonsgebonden nummers in diverse databases. Risicospreiding door meerdere kaarten te gebruiken voor diverse doeleinden kan een oplossing voor dit probleem zijn. Vraag is of daarmee de risico's die er zijn voldoende worden afgevangen.
De waarheid ligt in het midden.
Laten we onszelf allereerst geen rad voor de ogen draaien. Er staan keiharde commerciële belangen op het spel in de smart-card business. Deze markt heeft het potentieel om met meer dan 1000% te groeien van nu tot 2005 en de smart-card fabrikanten willen allemaal het grootste deel van de koek. Samenwerkingsorganen tussen overheid en ditzelfde bedrijfsleven zullen dan ook per definitie worden gestuurd vanuit dit commerciële belang. De overheid is door het ontbreken van voldoende expertise de zwakke schakel in al deze overlegstructuren.
Ten tweede is het onvermijdelijk dat de nationale identiteitskaart er komt. Het paspoort heeft zich ontwikkeld van een document (zeg maar gerust vod) met alleen een naam en handtekening, tot een document (zeg maar gerust boekje) met pasfoto, echtheidshologrammen en handtekening. Dat het paspoort een volgende stap neemt die representatief is voor de ontwikkelingen in de maatschappij en de technologische vernieuwingen die voor handen zijn, ligt dan ook voor de hand. Het vertrouwen van de burger in de overheid zal enorm moeten toenemen voordat een dergelijke kaart algemeen geaccepteerd wordt. Het gaat uiteindelijk om de zorgvuldigheid waarmee men deze technieken inzet.
Het gemak dient de mens. In tegenstelling tot wat alle onderzoeken die de relatie tussen veiligheid en privacy hebben onderzocht beweren: de mens wil zijn privacy niet opgeven voor meer veiligheid. De mens geeft privacy alleen maar op indien er rechtstreeks voordeel uit te behalen is. En daarin ligt de sleutel tot het succes van de nationale identiteitskaart.
De overheid zou een ferm standpunt in moeten nemen zodat de voordelen die een dergelijke kaart met zich meebrengt ook daadwerkelijk aan de burger ten goede komen. Men kan organisaties verplichten persoonsgegevens en aan de persoon gerelateerde verkeersgegevens direct en zonder terughouding inzichtelijk te maken. Men kan controleren wie wel of niet toegang heeft of heeft gekregen tot persoonsgegevens, waarom deze toegang is verleend en wat met die gegevens wordt gedaan.
Pas als aannemelijk kan worden gemaakt dat controle en macht bij het individu ligt kan men beginnen met het etiketteren van elk individu afzonderlijk.
Maart 2002
Leon Kuunders