vrijdag - 15 juni 2001
Mag ik jouw identiteit even lenen?

Inleiding
De wet
Ontwikkelingen
Mijn visie?
Probleem en oplossing?
Conclusie

Inleiding

Het Internet en de identiteiten die men daar kan aannemen is een steeds belangrijker onderwerp. De Overheid, maar ook commerciële partijen als web-winkels, hebben een sterke behoefte aan het uniek en zeker kunnen identificeren van personen. Voordat er op een veilige wijze gebruik kan worden gemaakt van een online dienst moet er een wederzijdse verificatie plaats kunnen vinden. De uitbater van de web-site wil graag zeker weten met wie hij te doen heeft, zodat bijvoorbeeld betalingen op een juiste manier kunnen worden afgehandeld. De gebruiker wil juist weten of de web-site die wordt bezocht daadwerkelijk de producten en diensten kan en zal leveren indien hij overgaat tot het aanschaffen of gebruiken ervan.

Aangezien fysiek contact (oftwel biometrische identificatie) op het internet niet voorhanden is, zal op een andere wijze deze wederzijdse zekerheid moeten worden verkregen. Bijna alle oplossingen op dit gebied begeven zich op het vlak van het electronisch overdragen van een bepaald kenmerk van een persoon.

De bescherming van deze persoonsgegevens is een bron van zorg. Eenmaal overgedragen gegevens kunnen namelijk eenvoudig worden vastgelegd in een database en op die manier gekoppeld aan eventuele vervolgbezoeken van de persoon aan betreffende web-site. Ter bescherming van uw privacy is de Wet Bescherming Persoonsgegevens ingesteld.

De wet

Het juridische kader voor de bescherming van persoonsgegevens is in artikel 10 van de Grondwet vastgelegd:

  1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
  2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
  3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

In de Wet Bescherming Persoonsgegevens (WBP) staat dat persoonsgegevens alleen mogen worden verwerkt indien:

  • de betrokkene voor de verwerking ondubbelzinnig toestemming heeft verleend;
  • de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
  • de verwerking van persoonsgegevens noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
  • de verwerking van persoonsgegevens noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
  • de verwerking van persoonsgegevens noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan;
  • de verwerking van persoonsgegevens noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Ontwikkelingen

Er worden steeds meer initiatieven gestart die, gebruik makend van het internet, te maken krijgen met het identificeren van gebruikers. Voorbeelden ervan zijn:

  • Elektronisch kiezen op afstand (EKOA) is onderzocht door de Universiteit Twente in opdracht van het Ministerie van Binnenlandse Zaken en heeft heel wat reakties opgeroepen.
  • De digitale kluis die in een rapport over de nieuwe Gemeentelijke Basis Administratie wordt aanbevolen door de commissie-Snellen.
  • De Internetportemonnee van ABN-AMRO (wederom blinkt deze bank weer eens uit in het verzinnen van oubollig klinkende namen; bij hun marketing afdeling werken waarschijnlijk dezelfde mensen die ook aan de ontwikkeling van Homenet hebben meegewerkt).
  • Een intiatief van PTT Post voor het vervangen van onze dagelijkse fysieke post met dagelijkse online post; de digitale brievenbus (de commercie druipt er vanaf).

Al deze producten en diensten hebben direct danwel indirect te maken met de electronische verwerking van persoonsgegevens en zijn als zodanig onderwerp van de WBP. Commerciële belangen en privacy laten zich echter moeilijk verenigen.

Mijn visie?

Maar wat zou ik nu willen? Hieronder een opsomming van het leven aangenaam makende maatregelen en voorstellen:

  • Een overheid die als ultieme vertrouwenspartij de identiteit van haar burgers digitale handen en voeten geeft en dit niet overlaat aan commerciële partijen (dit allemaal om het "Et tu, Brute?" gevoel te voorkomen).
  • Organisaties die diensten leveren aan het publiek zijn verplicht op een uniforme wijze online inzage te geven in de gedetailleerde specificaties van hetgeen geleverd is. Bijvoorbeeld de energiebedrijven die hun back-office ontsluiten en klanten via een web-site een overzicht geven van de rekeningen. Deze informatie moet gratis ter beschikking worden gesteld en niet via een betaalde service (het is voor mij van de zotte dat je geld moet betalen om de factuur van een organisatie waarvan diensten zijn afgenomen te kunnen controleren). Ook hiervoor moet de gebruiker geidentificeerd kunnen worden.
  • Geen wildgroei van allerlei apparaten die de veiligheid zogenaamd moeten verhogen. Op dit moment heb ik voor mijn persoon de beschikking over maar liefst 13 verschillende apparaten en passen waarmee ik kan aantonen bij winkels (online of inlife) wie ik ben en wat ik mag. Dit aantal is veel te veel. Het levert een potentieel risico op met betrekking tot de beveiliging ervan. Ik ben namelijk niet in staat om alle verschillende pin codes te onthouden die er bij horen, dus moet ik ze wel opschrijven. Daarnaast geeft het geen extra bescherming voor mijn privacy (zoals de Registratiekamer dat graag ziet met hun voorstel voor Privacy Enhanced Technologies).
  • De mogelijkheid om electronisch anoniem te betalen. Ik maak bijvoorbeeld geen gebruik van de klantenkaarten van de diverse supermarkten. Waarom niet? Omdat ik geen direct mail slachtoffer wil worden van deze bedrijven (hoewel het merendeel van de burgers dit geen probleem vindt blijft als een paal boven water staan dat dit een keuze moet zijn). Echter als een supermarkt in staat is om mijn rekeningnummer af te drukken op de kassabon, dan zijn ze ook in staat om deze op te slaan. De klantenkaart vermomd als bankpas. Big-brother heeft een zusje gekregen.
  • Geen ongevraagde, geadresseerde, post meer in mijn brievenbus van organisaties zoals banken en verzekeringsmaatschappijen die niet direct te onderscheiden is van daadwerkelijk belangrijke en informatiserende post. Voorbeeld de reclame e-mail die men van de eigen bank ontvangt over alweer een nieuwe dienst (als stelregel bepaal ik nu a.d.h.v. van het formaat van de envelop of ik post openmaak of niet. Alles wat wordt verstuurd in een A4 envelop is per definitie reclame en wordt door mij rechtstreeks in de papierversnipperaar geduwt. Wat wel eens aardige telefoontjes oplevert).
  • De belastingdienst die ons leven echt makkelijker maakt door het belastingformulier vooraf voor ons in te vullen en online beschikbaar te stellen. Als ze achteraf kunnen controleren kunnen ze ook vooraf sturend optreden.

Probleem en oplossing?

Het lijkt erop alsof de technologische ontwikkelingen op dit gebied niet verenigbaar zijn met het beoogde doel. Met zekerheid een persoon identificeren en gelijktijdig er voor zorgen dat deze gegevens niet worden gebruikt voor andere dan daarvoor aangegeven doeleinden vraagt om ideologisch ingestelde commerciële organisaties en die lijken mij niet zo 1-2-3 voorhanden in deze maatschappij.

De vraag is hoe we er voor kunnen zorgen dat we personen uniek identificeren, maar het bewijs van die identificatie alleen geanonimiseerd wordt overgedragen. Een combinatie van technieken waarbij niet de marktpartijen, maar de gebruiker zorg draagt voor de identificatie lijkt de enige oplossing. De gebruiker bewijst wel dat hij is, maar niet wie hij is.

Cryptografische technieken kunnen ons hierin helpen. Het is mogelijk om een bewijs van identiteit af te geven dat gekoppeld is aan een uniek, tijdelijk kenmerk. De bewijs ontvangende partij weet dat de gebruiker daadwerkelijk bestaat en is wie hij zegt te zijn. De hiertoe overgedragen gegevens maken het echter onmogelijk om deze gegevens rechtstreeks aan 1 persoon te koppelen. Hiermee wordt het ongewenst verwerken van deze gegevens onmogelijk gemaakt en dus de privacy gewaarborgd.

Conclusie

De noodzaak voor privacy is duidelijk. Maar laten we het wel in het juiste perspectief plaatsen. De realiteit laat zien dat het merendeel van de mensen niet zo geïnteresseerd is in hun eigen privacy. Pas als de beïnvloeding van de persoonlijke levensfeer dichterbij komt (dan gaat het in de regel over onderwerpen als geld, familie, relaties en sex) wordt het belang ervan ingezien. Tekenend voor de reactie is dat dan volledige privacy moet kunnen worden gegarandeerd. De basis daarvoor moet echter al wel in een eerder stadium worden gelegd.

Juni 2001
Leon Kuunders