De media besteedden veel aandacht aan de voorgenomen invoering van een elektronische identiteitskaart, kortweg eID. Dit digitale paspoort kan bijvoorbeeld online alcoholverkoop aan minderjarigen voorkomen. Maar wordt er voldoende over de privacy nagedacht?
Met een paar slimme maatregelen kan de overheid sterk voor de dag komen en tegelijkertijd de privacy van de burgers beschermen.
Tekst: Niels Aafjes
Een opvallend bericht in de media: het kabinet denkt na over de invoering van de elektronische identiteitskaart (eID). Hiermee kunnen mensen zich online identificeren, ook bij private webshops. De aanleiding hiervoor is dat minderjarigen blijkbaar massaal via internet aan alcohol (en sigaretten, bepaalde films en games, etc.) komen omdat bij webshops nauwelijks leeftijdscontrole plaatsvindt. Nu gelden voor webshops die alcohol en dergelijke verkopen dezelfde regels als bij 'offline winkels'. Daarvoor bepaalt artikel 20 van de Drank & Horecawet dat leeftijdsgrenzen van 16 en 18 jaar aangehouden moeten worden voor de verkoop van respectievelijk lichte en zwaardere alcoholhoudende drank.
Digitaal paspoort
Voor een webshop valt hier echter nauwelijks op te controleren: de informatie die de winkel krijgt wordt niet geverifieerd en ook bij aflevering van de bestelling blijkt controle een lastige opgave. Volgens staatssecretaris van Rijn (VWS) is een eID hiervoor dé oplossing. Het eID werkt als een soort DigiD, maar dan met de toevoeging van een eID-pas en een kaartlezer waarmee je bij elke inlogpoging een code genereert. Het eID systeem voert de authenticatie uit en kan daarna informatie doorspelen aan de betreffende webshop. Eigenlijk gaat net zoals in fysieke winkels, waar klanten hun paspoort (wat ze eerder al van de overheid hebben ontvangen) aan de caissière laten zien om te bewijzen dat ze meerderjarig zijn. Het eID is dus eigenlijk een soort digitaal paspoort.
Privacyrisico's
Het eID klinkt als een goede oplossing voor het genoemde probleem, maar er zitten privacyrisico's aan verbonden. Die worden duidelijk als de vergelijking wordt gemaakt met de situatie in de huidige offline winkels. Als u nu in de winkel aan de caissière uw paspoort laat zien om te bewijzen dat u meerderjarig bent, dan controleert zij twee dingen: of de foto in het paspoort lijkt op de persoon die voor haar staat en of de geboortedatum in het paspoort meer dan 18 jaar in het verleden ligt. De caissière controleert op dit moment verder niets en neemt ook geen gegevens over.
Als de koper bij webaankopen wordt gevraagd zich te identificeren, dan krijgt de winkel veel meer informatie over die koper. Naam en adres, maar wellicht ook uw burgerservicenummer en een foto. Juist daarin schuilt het privacyrisico: doordat om identificatie gevraagd wordt (‘Wie bent u?’, ‘Wanneer bent u geboren?’, etc) zullen veel meer persoonsgegevens verwerkt worden dan noodzakelijk voor het te behalen doel (‘Bent u ouder dan 18?’). Een belangrijk vereiste aan het eID zal dus zijn dat het de verwerking en overdracht van persoonsgegevens beperkt tot het strikt noodzakelijke, en dat bij het gebruik van het eID niet telkens alle gegevens die beschikbaar zijn worden gebruikt, als kan worden volstaan met een subset.
Een ander risico zit hem in de (ongeoorloofde) toegang tot deze informatie. Doordat de organisaties die gebruik maken van identificatie via het nieuwe eID toegang kunnen krijgen tot een hoop persoonsgegevens van burgers, wordt de vraag hoe deze ontvanger zijn beveiliging heeft ingericht opeens heel relevant. De overheid kan eID nog zo goed beveiligen, als een webshop slachtoffer wordt van een datalek is deze beveiliging door de overheid weinig meer waard. Het is dus ook vanuit veiligheidsperspectief van groot belang om te zorgen dat de toegang tot de persoonsgegevens in het eID zoveel mogelijk wordt beperkt. In de ideale situatie kan de burger zelf bepalen welke persoonsgegevens hij deelt, en met welke organisaties hij dit doet. Dit bevordert de transparantie en zorgt ervoor dat de burger de controle over zijn gegevens behoudt: als hij graag zijn eID aan zijn bonuskaart, Air Miles en OV-chipkaart koppelt omdat dat voor hem handig is, dan zou hij zelf die keuze weloverwogen moeten kunnen maken.
Oplossingen voor elk risico
Voor de geschetste risico's zijn uiteraard oplossingen te bedenken. Data minimalisatie en een gedegen security- en toegangsbeheersing zijn altijd goede uitgangspunten. Maar is het niet mogelijk om met de deelnemende organisaties (de webshops)? Te denken valt aan een systeem waarbij de webshop alleen maar aan eID de gesloten vraag stelt of de klant al dan niet boven de 18 jaar oud is. eID voert de controle uit en stuurt simpelweg een ‘ja’ of een ‘nee’ terug naar de webshop. Dit is een betrouwbare vaststelling van de leeftijd van de klant, waarbij tegelijkertijd alleen het absolute minimum aan persoonsgegevens wordt overgedragen (namelijk alleen het feit dat de klant meerderjarig is). De risico's zijn vervolgens een stuk kleiner dan wanneer de daadwerkelijke gegevens worden overgedragen aan de webshop. Deze vorm van een zogenoemde zero knowledge proof (Wikipedia) kan een oplossing zijn om de risico's van het voorgestelde eID tot een minimum te beperken: de authenticatie vindt plaats bij eID, en alleen de resultaten ervan worden gedeeld met de derde partij.
Privacy by design
Omdat eID zich nog in de eerste ontwikkelstadia bevindt, is dit een uitgelezen kans om - op basis van een gedegen Privacy Impact Assessment (PIA) - vanaf het vroegst mogelijke moment privacy by design toe te passen. Door dit goed te doen kan de overheid laten zien dat zij in staat is om gebruik te maken van nieuwe technologische mogelijkheden, terwijl ze ook goed heeft nagedacht over zowel de privacy als de security van een dergelijke nieuwe oplossing.
Niels Aafjes is consultant Security & Privacy bij Deloitte. Dit artikel verscheen eerder op de site van het bureau.
Gelukkig wordt bij de ontwikkeling van de eID over al deze zaken grondig nagedacht en zijn de oplossingen die je noemt voor dataminimalisatie allemaal al in beeld!