Opgesteld door J.H. Matto H. van der Wel J.H. Matto J.H. Matto / H. van der Wel J.H. Matto J.H. Matto J.H. Matto
Samenvatting van aanpassingen e 1 concept e Review en aanvullingen 2 concept e Review 2 concept e 3 concept Finale conceptversie Verwerking commentaar 16 juni 2014 Verwerking van commentaar nalv Reviewverslag PIA, 21 juli 2014
Afstemming en Goedkeuring Dit document is voor consultatie voorgelegd aan: Naam
Handtekening
Functie
Datum uitgave
Versie
Distributie Dit document is gedistribueerd naar: Naam
Betreft
Verzenddatum
Vaststelling en ondertekening van deze rapportage Deze rapportage is vastgesteld op woensdag 23 juli 2014.
Inhoudsopgave 1. Inleiding ................................................................................................................................. 6 1.1 Aanleiding en achtergrond PIA eID Stelsel ..................................................................... 6 1.2 Doelstellingen, scope en aanpak van de PIA ................................................................. 6 1.3 De verdere opbouw van de PIA en leeswijzer ................................................................ 8 2. Samenvatting bevindingen en aanbevelingen PIA ................................................................ 9 2.1 Inleiding ........................................................................................................................... 9 2.2 Positionering PIA bevindingen in ontwikkelproces eID Stelsel ....................................... 9 2.3 Algemeen: privacy waarborgen in het ontwerp eID Stelsel ............................................ 9 2.4 Noodzakelijkheid, proportionaliteit, subsidiariteit eID Stelsel ........................................ 10 2.5 Privacy principe Verantwoording ................................................................................... 11 2.5.1 Bevindingen ........................................................................................................... 11 2.5.2 Aanbevelingen ....................................................................................................... 12 2.6 Privacy Principe: Limiteren van het verzamelen van gegevens ................................... 13 2.6.1 Bevindingen ........................................................................................................... 13 2.6.2 Aanbevelingen ....................................................................................................... 14 2.7 Privacy principe Doelbinding / Limitering gebruik gegevens ........................................ 14 2.7.1 Bevindingen ........................................................................................................... 14 2.7.2 Aanbevelingen ....................................................................................................... 16 2.8 Privacy principe Gegevenskwaliteit............................................................................... 16 2.8.1 Bevindingen ........................................................................................................... 16 2.8.2 Aanbeveling ........................................................................................................... 17 2.9 Privacy principe Beveiliging van gegevens ................................................................... 17 2.9.1 Bevindingen ........................................................................................................... 17 2.9.2 Aanbevelingen ....................................................................................................... 18 2.10 Privacy principe Transparantie .................................................................................... 18 2.10.1 Bevindingen ......................................................................................................... 18 2.10.2 Aanbevelingen ..................................................................................................... 19 2.11 Privacy principe Rechten van betrokkenen ................................................................. 19 2.11.1 Bevindingen ......................................................................................................... 19 2.11.2 Aanbevelingen ..................................................................................................... 20 3. Beschrijving eID Stelsel. ...................................................................................................... 21 3.1 Inleiding ......................................................................................................................... 21 3.2 De aanleiding voor een nieuw eID Stelsel .................................................................... 22 3.3 Doelstellingen van eID Stelsel ...................................................................................... 23 3.4 Stakeholders bij het eID Stelsel .................................................................................... 24 3.5 Beoogde resultaten met het eID Stelsel ....................................................................... 24 3.6 Ontwerpeisen voor het eID Stelsel................................................................................ 25 3.6.1 Ontkoppelen en ontzorgen van de Dienstaanbieder ............................................. 25 3.6.2 Waarborgen privacy ............................................................................................... 26 3.6.3 Marktwerking mogelijk maken ............................................................................... 27 4
3.6.4 Gebruikersgemak bevorderen ............................................................................... 27 3.6.5 Opsporing en toezicht inrichten ............................................................................. 29 3.7 Schets van de werking van het eID Stelsel ................................................................... 29 3.7.1 Systeemdiagram eID Stelsel ................................................................................. 30 3.7.2 Stappen in het tot stand komen van een PseudoID .............................................. 31 3.7.3 Het gebruik van SectorID’s .................................................................................... 33 3.7.4 Gebruik van identiteiten in een identiteitsverklaring .............................................. 34 3.7.5. Omvormen van pseudoniemen ............................................................................. 36 3.7.6 Fraudebestrijding: van PseudoID terug naar Stamsleutel ..................................... 38 3.7.7 De SectorID-dienst BSN ........................................................................................ 38 4. Uitvoering PIA, bevindingen en aanbevelingen ................................................................... 40 Bijlage I: Privacy Principes ...................................................................................................... 83 Bijlage II: Algemene privacy risico’s ........................................................................................ 85
5
1. Inleiding 1.1 Aanleiding en achtergrond PIA eID Stelsel Het ontwerp voor het eID Stelsel voor Nederland bestaat uit een uniforme set van standaarden en afspraken voor geautoriseerde toegang tot digitale diensten. Het verlenen en afnemen van diensten binnen dit Stelsel gaat gepaard met het verzamelen en verder verwerken van persoonsgegevens door betrokken functionele partijen. De term ‘eID’ staat voor elektronische identiteit. Deze wordt gebruikt als een persoon online gegevens over zichzelf met een organisatie deelt. Gebruik van persoonsgegevens, waaronder door de overheid, vormt in veel gevallen een 1 inperking van het grondrecht van bescherming van de persoonlijke levenssfeer . Uit dit gebruik kunnen risico’s voor de persoonlijke levenssfeer (privacy) van de betrokkenen voortvloeien. Onzorgvuldigheid, onbetrouwbaarheid van gegevens, verlies van gegevens (data lekken), gegevens gebruiken voor een ander doel dan waarvoor ze zijn verkregen, kunnen een negatieve impact hebben op iemands sociaal en maatschappelijk welbevinden. Informatietechnologie en grootschalige digitale gegevensverwerkingen introduceren veelal additionele (privacy) risico’s die inherent zijn aan de inzet van deze technologie (de IT werkelijkheid) , maar niet direct zichtbaar zijn op het niveau van eindgebruik. Het is daarom van groot belang, dat tijdens de ontwerpfase van het eID Stelsel wordt geïnventariseerd welke privacy bedreigende risico’s in het geding zijn. Ook zal moeten worden vastgesteld of de met het eID Stelsel gepaard gaande verwerking van persoonsgegevens noodzakelijk is voor de te bereiken doelstellingen. Hierbij speelt zowel de vraag naar proportionaliteit (is de specifieke gegevensverwerking een bruikbaar middel om het doel te bereiken) als de subsidiariteit (zijn er geen minder privacy bedreigende alternatieven of waarborgen) van het eID Stelsel. Om deze vragen te kunnen beantwoorden heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) aan Mazars Management Consultants (MMC) verzocht om in een zo vroeg mogelijk stadium van het ontwerp van het eID Stelsel een high level Privacy Impact Assessment (PIA) uit te voeren.
1.2 Doelstellingen, scope en aanpak van de PIA Doelstellingen van de PIA Een Privacy Impact Assessment (PIA) is een hulpmiddel bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden. Hiermee kunnen privacy risico’s op een gestructureerde en heldere wijze in kaart worden gebracht. Een PIA is gedurende een ontwikkelproces iteratief en dynamisch van karakter. Het blijft per fase maatwerk. Door een PIA gedurende het ontwerpproces regelmatig uit te voeren, kunnen (nieuwe) risico’s vroegtijdig worden ontdekt en wordt de bewustwording van risico’s vergroot. Zo nodig kunnen richtinggevende aanbevelingen worden gedaan om privacy risico’s te elimineren of te mitigeren. 2
Deze PIA heeft betrekking op het ontwerp van het Nederlandse eID Stelsel versie 1.0 . De PIA is afgeleid van het PIA-toetsmodel dat specifiek op de Rijksdienst is gericht. Het toetsmodel is bedoeld voor toepassing op alle beleidsgebieden en binnen alle rechtsdomeinen. Het is de eerste PIA in een vroegtijdig ontwerpstadium van het eID Stelsel, dat inherent een functioneel veelzijdige en relatief complexe set aan standaarden en afspraken voor geautoriseerde toegang tot digitale diensten bevat. 1 2
Zie artikel 10, leden 2 en 3 Grondwet, artikel 8 EVRM, artikel 8 EU-Grondrechtenhandvest). Zoals nader gespecificeerd in de van het Ministerie van BZK verkregen ontwerp documentatie.
6
De op basis hiervan door de deelnemers aan het eID Stelsel in te richten en te beheren ICTinfrastructuur is evenzeer inherent zeer veelzijdig en complex. Te meer omdat het eID dient aan te sluiten bij de eID ontwikkelingen op Europees niveau. Het is de bedoeling dat de PIA gedurende het ontwikkel- en realisatieproces van het eID stelsel wordt herhaald, aangescherpt en nader gedetailleerd. Deze PIA is ook een communicatiemiddel om tussen de verschillende bij het eID Stelsel betrokkenen bij het ontwikkelproces opgedane inzichten te kunnen delen, te kunnen verifiëren en zo nodig te optimaliseren. Deze High Level PIA is in beginsel bedoeld voor het ontwikkelteam van het eID, de projectverantwoordelijken en de stuurgroep. De PIA zal in een later stadium ook gebruikt kunnen worden om transparantie en draagvlak voor het eID Stelsel bij de diverse stakeholders, zoals verantwoordelijke overheden, burgers, betrokken derden en belangenorganisaties te bevorderen. Uiteindelijk is het ook het voornemen van het Ministerie van BZK en EZ, om zowel het ontwerp eID stelsel als de aan dit Stelsel inherente verwerkingen van persoonsgegevens van de deelnemers op het voldoen aan privacywet- en regelgeving te laten certificeren. De PIA dient daarom ook bij te dragen aan het ontwikkelen van een normenkader voor een auditeerbaar eID stelsel. Scope van de PIA De uitvoering van de PIA is beperkt tot de verwerking van persoonsgegevens met de ondersteunende ICT-infrastructuur zoals geschetst in de ontwerpdocumentatie van het eID 3 Stelsel, versie 1.0 . Het betreft de verwerkingen van gegevens van personen binnen het kader van de doelstellingen van het eID Stelsel, zoals de eID, authenticatie-, machtiging- en vertegenwoordigingsgegevens en elektronische handtekeningen die tussen de eID Deelnemers over de gespecificeerde koppelvlakken worden uitgewisseld. Het vervolgens verwerken van persoonsgegevens in de back-office processen ten behoeve van te onderscheiden diensten door Dienstaanbieders valt buiten het bereik van de PIA. De Dienstaanbieders zijn zelfstandig verantwoordelijk voor de naleving van privacy wet- en regelgeving voor die te onderscheiden diensten. Dit neemt niet weg, dat daar waar het eID Stelsel privacy risico’s in de dienstverlenende omgevingen van Dienstaanbieders genereert, hier naar vermogen aandacht aan zal worden besteed. Aanpak van de PIA De PIA is in periode januari 2014 – mei 2014 door MMC conform de voorgestelde aanpak in het Model PIA Overheid uitgevoerd met ondersteuning van privacy en security experts. Tegelijkertijd zijn bij het toepassen van dit model de ervaringen met de PIA van de Nederlandse orde van IT-auditors (NOREA) in het bedrijfsleven als referentiekader meegenomen. Voorafgaand aan de uitvoering van de PIA is de relevantie van het verwerken van persoonsgegevens en de daarmee gepaard gaande privacysignificantie (privacygevoeligheid van de persoonsgegevens) binnen het eID Stelsel vastgesteld. In overleg met BZK en het Ministerie van Financiën (FIN) is de precieze scope voor de PIA bepaald. Daarbij is beslist over de in te zetten expertise, middelen en aanpak. De PIA is uitgevoerd op basis van de van BZK en FIN ontvangen ontwerpdocumentatie. Diverse malen is overleg gevoerd met projectverantwoordelijken, architecten en andere materiedeskundigen van BZK en FIN. 3
De onderhavige ontwerp documentatie van het eID Stelsel wordt nader gespecificeerd in par. 3.1 van dit rapport.
7
De eerste versie van het concept rapport is door BZK en FIN van commentaar voorzien. Hierna is de rapportage (versie 0.3 en 0.5) ook voorgelegd aan functionarissen van het Ministerie van Economische zaken en aan het architectenteam. Op- en aanmerken die hieruit naar voren zijn gekomen zijn hierna eveneens verwerkt. Het definitieve rapport is met inachtneming van het ontvangen commentaar vastgesteld.
1.3 De verdere opbouw van de PIA en leeswijzer Nadere toelichting opbouw van de PIA In onze aanpak van de PIA zijn twee kijkrichtingen gehanteerd voor het object van onderzoek. Allereerst is het object van onderzoek beschouwd vanuit de algemene privacy principes. Algemene privacy principes zijn ontleend aan de actuele literatuur over privacy en bescherming persoonsgegevens. Deze algemene privacy principes zijn relevant voor elke verwerking van persoonsgegegens en dus ook voor de verwerkingen binnen het eID Stelsel. In bijlage I is een nadere omschrijving van de algemene privacy principes opgenomen. Binnen de algemene privacy principes zijn de algemene privacy risico’s onderkend. Ook de algemene privacy risico’s zijn ontleend aan de relevante literatuur over privacy en gegevensbescherming. Het betreft risico’s die relevant zijn voor alle soorten verwerkingen van persoonsgegevens en dus ook voor de verwerkingen binnen het eID Stelsel. In bijlage II zijn de privacy risico’s nader omschreven. Privacy principes en risico’s staan onderling tot elkaar in relatie. Zij kunnen elkaar beïnvloeden, versterken, verzwakken en vertonen strijdigheden. Ter indicatie van deze afhankelijkheden hebben wij in de inleiding van hoofdstuk 4 een tabel opgenomen van deze onderlinge afhankelijkheden. De verdere detailuitwerking van onze bevindingen is in hoofdstuk 4 per privacy principe gegeven in een uitgebreid matrixoverzicht. Per principe is daarin vervolgens een analyse gegeven van de voor dat principe relevante privacy risico’s gegeven het huidige ontwerp van eID Stelsel. Hoofdstuk 4 geeft in detail een overzicht van bevindingen en aanbevelingen. Deze bevindingen en aanbevelingen zijn samengevat in hoofdstuk 2. Verdere opbouw van de PIA Deze PIA is verder als volgt opgebouwd.
Hoofdstuk 2: een high level overview van de uitkomst van de PIA in de vorm van per privacy principe gesignaleerde bevindingen, risico’s, de impact ervan voor betrokkenen en de verantwoordelijken voor het eID Stelsel en voor zover relevant met aanbevelingen. (Duidelijk is waar het goed gaat en op welke onderdelen het nog beter kan.)
Hoofdstuk 3: een beschrijving van het eID Stelsel op hoofdlijnen, waaronder de ontwerpeisen, de uitwisseling van berichten tussen de componenten/rollen in het eID Stelsel, het tot stand komen en het omvormen van pseudoniemen en de cryptografie van het Stelsel. Hierbij wordt de werking van het eID Stelsel geïllustreerd met behulp van uit de documentatie overgenomen diagrammen en figuren.
Hoofdstuk 4: een tabel met op het eID Stelsel aan privacy principes gerelateerde vragen vanuit het Model PIA Rijksoverheid met antwoorden. Waar relevant zijn privacy- of andere risico’s gedetecteerd en worden aanbevelingen gedaan om deze risico’s te elimineren of te mitigeren.
Bijlage I: een informatief overzicht van de algemene privacy principes.
Bijlage II: een informatief overzicht van relevante privacyrisico’s, waarnaar eerder in de bijlage I is verwezen. 8
2. Samenvatting bevindingen en aanbevelingen PIA 2.1 Inleiding De opbouw van dit hoofdstuk is als volgt. Allereerst wordt in dit hoofdstuk de positionering van de PIA in het ontwikkeldproces van het eID Stelsel besproken en voorzien van een overall conclusie (2.2) Vervolgens wordt ingegaan op de algemene privacy waarborgen die met het eID Stelsel worden beoogd. Aansluitend wordt kort ingegaan op de beginselen noodzakelijkheid, proportionaliteit en subsidiariteit in relatie met het eID Stelsel. (2.3) Tenslotte komen per privacy principe de belangrijkste bevindingen en aanbevelen uit hoofdstuk 4 van deze PIA aan de orde. Zo veel mogelijk is bij het uitvoeren van de PIA het Model Rijksoverheid gebruikt in volgorde van de op de vragen gegeven antwoorden. Een aandachtspunt bij dit model is, dat de privacy principes niet afgebakend en gestructureerd per principe kunnen worden beoordeeld. Het resultaat hiervan is, dat dit op onderdelen tot herhalingen van bevindingen en elkaar overlappende aanbevelingen leidt. Deze bevindingen en aanbevelingen zijn daarom in deze samenvatting ontdubbeld en zo veel mogelijk naar privacy principe geordend. Het hoofdstuk wordt afgesloten met een tabel die een overzicht bevat van mogelijke privacy risico’s per privacy principe.
2.2 Positionering PIA bevindingen in ontwikkelproces eID Stelsel Belangrijk voor de interpretatie van de bevindingen in deze rapportage is dat het object van onderzoek, het ontwerp 1.0 van het eID Stelsel, de afsluiting is van een eerste stap in een ontwerpproces dat uiteindelijk moet leiden tot een finale beschrijving van het eID afsprakenstelsel. Het huidige ontwerp (1.0) van het eID Stelsel betreft vooral de opzet en inrichting van meer technische aspecten van het totaal te ontwikkelen afsprakenstelsel voor eID, Procedurele en juridische afspraken zijn nog geen onderdeel van het huidige ontwerp. In deze rapportage staan bevindingen en soms ook nog openstaande punten die in vervolgontwerpen nader geadresseerd of anderszins ondervangen kunnen worden. Het kan ook voorkomen dat risico’s die in deze PIA zijn onderkend in het huidige Stelsel niet in de technische architectuur ondervangen (kunnen) worden, maar wel door aanvullende juridische of andere procedurele afspraken gemitigeerd kunnen worden, die nu nog niet in de stelselafspraken zijn voorzien, In deze rapportage, en eigenlijk inherent aan elk assessment, worden bevindingen gemaakt die wellicht kritisch kunnen overkomen. Deze bevindingen moeten geplaatst worden tegen het huidige stadium van het ontwerp. Onze overall conclusie is dat het eID Stelsel juist veel privacy bevorderende maatregelen in zich heeft die de doelstellingen van het eID Stelsel ondersteunen. Onze conclusie is dus positief over de aanpak en opzet van het eID Stelsel aangaande de privacyaspecten gezien het ontwerpstadium. Waarbij we de opmerking maken dat op kritische onderdelen nadere maatregelen overweging verdienen. Het doel van een PIA is juist om dat aan te duiden.
2.3 Algemeen: privacy waarborgen in het ontwerp eID Stelsel Inherent aan een eID Stelsel is, dat Dienstaanbieders onder omstandigheden waarin dit noodzakelijk is voor hun dienstverlening, de identiteit en authenticiteit van Gebruikers wensen vast te stellen. Onmiskenbaar staat in het ontwerp eID Stelsel voorop, dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Economische Zaken in het ontwerp van het eID Stelsel de persoonlijke levenssfeer (privacy) van Gebruikers met waarborgen wensen te omgeven. Dit blijkt uit de ontwerpeisen die bij de totstandkoming van het eID Stelsel leidend zijn: Ontkoppelen en ontzorgen van de Dienstaanbieder; Waarborgen privacy; Marktwerking mogelijk maken; Gebruikersgemak bevorderen; Toezicht en opsporing 9
inrichten. Dit blijkt ook, uit het in een zo vroeg mogelijk stadium van het ontwerp uitvoeren van deze PIA en de intentie om de PIA structureel in de volgende ontwerp fasen te continueren. Van begin af aan wordt in de ontwerpeisen aandacht besteed aan de privacybeginselen: dataminimalisatie en privacy by design. Er is ook aandacht voor het zelfbeschikkingsrecht van Gebruikers. Een Gebruiker wordt in staat gesteld om naar elke Dienstaanbieder een andere identiteit (pseudoniem) kenbaar te maken en kan daarmee zijn digitale privacy behouden. Een Dienstaanbieder kan alleen op basis van doelbinding autorisatie aanvragen om (sommige) gegevens te kunnen ontvangen. De gegevens worden pas verstrekt nadat de gebruiker hiervoor toestemming heeft verleend. Het uitgangspunt daarbij is dat iemand in de digitale wereld zelf moet kunnen bepalen wie welke informatie over hem krijgt en er moet voorkomen worden dat hij te maken krijgt met willekeurige of onwettige inmenging in zijn privéleven. In die zin wenst de overheid zorgvuldig om te gaan met persoonsgegevens, zoals dit ook verankerd is in de Wet bescherming persoonsgegevens (Wbp). Een PseudoID is een nummer dat de afnemer van een dienst identificeert en dat door een Authenticatiedienst aan een Dienstaanbieder wordt verstrekt. Binnen het domein van alle Authenticatiediensten is elke PseudoID uniek en is gekoppeld aan één bepaalde Dienstaanbieder. Elke Dienstaanbieder ontvangt een PseudoID dat speciaal aan hem is gericht. Hierdoor kunnen verschillende Dienstaanbieders de ontvangen PseudoID’s van eenzelfde persoon niet vergelijken. Deze PseudoID’s zijn persistent: iedere volgende authenticatie ten behoeve van dezelfde Dienstaanbieder levert dezelfde PseudoID op. De Dienstaanbieder zal echter in veel gevallen dat PseudoID willen koppelen aan het administratieve nummer waaronder de persoon bij de Dienstaanbieder bekend staat (het eigen interne klantnummer). De gebruiker moet daarvoor toestemming geven en zet met zijn Authenticatiemiddel een eenmalig koppelproces in gang. Een Gebruiker kan ook een non-persistente pseudo identiteit op een “secure device” gebruiken. Non-persistent betekent, dat een Gebruiker bij het afnemen van Diensten iedere keer een andere pseudo-identiteit aanneemt voor die gevallen waarin diens identiteit niet bij een Dienstaanbieder (meteen) bekend hoeft te worden gemaakt. Hieraan worden in het ontwerp nog bepaalde nadelen voorzien, zoals het niet bij kunnen houden van een audittrail om eventueel misbruik te kunnen aantonen. In de PIA wordt daarentegen aanbevolen om oplossingen in de richting van Life Management Platforms te verkennen. De Gebruiker zou mogelijk zelf in een eigen secure domein een audittrail kunnen bijhouden en kunnen bepalen aan wie hij de informatie in voorkomende gevallen van misbruik / identiteitsfraude verstrekt. Tenslotte kent Nederland een aantal sectoren waarin meerdere Dienstaanbieders onderling gebruik maken van hetzelfde identificerende nummer van een persoon. Binnen een dergelijke sector bestaat een register waarin het sectorale nummer van de persoon is opgenomen. In dit geval moet de authenticatie niet een Dienstaanbieder-specifieke PseudoID opleveren, maar een sector-specifieke PseudoID. Per sector wordt dan een koppelregister ingericht. Hierin wordt, na toestemming van de gebruiker, de koppeling door de sector zelf geregistreerd tussen het PseudoID en het sectorale nummer.
2.4 Noodzakelijkheid, proportionaliteit, subsidiariteit eID Stelsel Het ontwerp van het eID Stelsel kan de toets aan de eisen van de noodzakelijkheid/proportionaliteit en subsidiariteit doorstaan. De doelstellingen van het eID Stelsel in de ontwerpdocumentatie alsmede in de aan de Tweede Kamer gerichte brieven van de Ministerie van BZK onderbouwen de noodzakelijkheid. Bovendien dient Nederland als lidstaat van de EU naar verwachting binnen afzienbare tijd gevolg te geven aan de Verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt. Uit de ontwerp documentatie blijkt ook dat met de beginselen van proportionaliteit (is de specifieke gegevensverwerking een bruikbaar middel om het doel te bereiken) als de subsidiariteit (zijn er geen minder privacy bedreigende alternatieven of waarborgen) rekening wordt gehouden. De intentie van het ontwikkelteam is ook om die beginselen doorlopend in de volgende ontwerp fasen in het oog te houden. Ten slotte dient ook mee te worden gewogen dat in de huidige situatie zonder eID stelsel sprake is van een relatief onbeheersbare toestand met betrekking tot het gebruik van digitale 10
identiteiten voor Gebruikers. Het resultaat is dat er meer en meer feitenmateriaal en berichtgeving is over identiteitsfraude en privacyschendingen. Het eID Stelsel beoogd ook deze problemen te beperken.
2.5 Privacy principe Verantwoording 2.5.1 Bevindingen In het systeemdiagram van het eID Stelsel is op hoofdlijnen en op hoog abstractieniveau te 4 onderscheiden hoe de ICT-infrastructuur van het eID Stelsel op dit moment wordt voorzien. Hierin komt ook op hoofdlijnen en in algemene termen tot uiting, welke eID Deelnemers over welke in het eID Stelsel te onderscheiden koppelvlakken berichten met persoonsgegevens met elkaar delen. In dit ontwerpstadium is nog niet bepaald wie verantwoordelijke is voor het eID stelsel als totaal. In het Stelsel worden tot dusver de volgende componenten/rollen onderscheiden: Stelselautoriteit-identificatiedienst, Authenticatiedienst, Machtigingsdienst, SectorIDdienst, Attributendienst, eID makelaar, Dienstbemiddelaar en Dienstaanbieder. De begrenzing van het eID Stelsel met daarbij de verantwoordelijkheidsvraag voor verwerkingen van persoonsgegevens door de componenten/rollen is nog niet transparant uitgewerkt. Binnen het stelsel zijn die verschillende rollen namelijk nog niet consistent vertaald naar de status van “verantwoordelijke” en “bewerker”. Zo wordt voor bepaalde rollen de status van “bewerker” benoemd, terwijl er ook nog de mogelijkheid bestaat om voor diezelfde rol de status van “verantwoordelijke” aan te nemen. 5
Ook is het mogelijk om als eID Deelnemer / Dienstaanbieder meerdere rollen te vervullen . Dit kan in theorie tot combinaties van de status ”verantwoordelijke” en “bewerker” bij één eID Deelnemer of Dienstaanbieder (of wellicht ook bij combinaties van eID Deelnemer en Dienstaanbieder) leiden. Bij de Dienstaanbieder en de eID makelaar zijn bijvoorbeeld volgens de ontwerp documentatie zowel de status van bewerker als verantwoordelijke mogelijk. Dit kan weer tot gevolg hebben, dat er binnen een eID Deelnemer / Dienstaanbieder sprake kan zijn van cumulatie van normaliter per rol te onderscheiden persoonsgegevens. In theorie zou dus, als gevolg van eigenschap P01, een ongebreidelde samenloop van rollen (Dienstaanbieder, Dienstbemiddelaar, eID makelaar, Authenticatiedienst, Machtigingendienst, 6 Sector ID Dienst ) bij een eID Deelnemer (conglomeraat, samenwerkingsverband, economische eenheid) kunnen ontstaan. Deze ongebreidelde samenloop van rollen, genereert een ongebreidelde cumulatie van met die rollen samenhangende persoonsgegevens, die normaliter over de afzonderlijke koppelvlakken tussen afzonderlijke eID Deelnemers worden uitgewisseld en over die eID Deelnemers wordt verdeeld. Die gegevens komen dan samen onder één eID Deelnemer (concentratie leidt tot hotspot), die (on)afhankelijk van de rol, ook nog de keuze heeft om afhankelijk van de wensen van diens klant(en) als “verantwoordelijke en/of “bewerker” op te treden. (“Zoveel klanten, zoveel wensen, zo veel statussen”). Een bewerker is in theorie immers grotendeels afhankelijk van de eisen die een (of meerdere) verantwoordelijke(n) aan hem stel(t)(len)t. Immers, de verantwoordelijke “bepaalt het doel en de middelen en heeft de zeggenschap over de verwerking.” Hoe meer combinaties van rollen bij eID Deelnemers en Dienstaanbieders, hoe meer dit “een tombola” aan te regelen verantwoordelijkheden voor de diverse vooralsnog te onderscheiden 7 verwerkingen tot gevolg kan hebben. De begrippen eID Deelnemer en Dienstaanbieder in de Begrippenlijst eID Afsprakenstelsel worden in het document Werking van het eID Stelsel niet consistent toegepast. Dit bemoeilijkt weer het bepalen van de status van verantwoordelijke en van bewerker van de eID Deelnemers / Dienstaanbieders. In deze fase van het ontwerp eID Stelsel is in het Afspraken Stelsel is nog niet vastgelegd, welke status onder welke voorwaarden aan een component/eID Deelnemer/Dienstaanbieder 4
Zie paragraaf 3.7.1 van dit rapport , waar dit systeemdiagram met uitleg is opgenomen. Zie Werking van het eID Stelsel, ontwerpeis P01, p. 8. Een uitzondering vormt de rol van Stelselautoriteit. 7 Dit kan ook weer risico’s voor het privacy principe doen ontstaan. Zie verder onder dit principe. 5 6
11
in het eID Stelsel kan worden toegekend, wat de inhoud van de melding van een soort verwerking behoort te zijn en hoe vervolgens de melding van een verwerking aan de relevante FG of het CBP dient te gebeuren. Er kunnen hierdoor diversiteit in statussen, in meldingen binnen het eID Stelsel en spanningen inzake het Verantwoordelijkheidsprincipe en hierover later – in het Doelbindingsprincipe ontstaan. Het is tenslotte voorstelbaar dat in de onderliggende ICT-infrastructuur van het eID Stelsel veel ICT-serviceproviders weer een diversiteit aan diensten aan eID Deelnemers zullen verlenen. Afhankelijk van de status(sen) van een eID Deelnemer verkrijgt de serviceprovider in een voorkomend geval de status van “bewerker” of van “subbewerker”. Daarbij komt dat outsourcing naar serviceproviders naar landen buitende EU/EER privacyrisico’s kent ten gevolge waarvan die outsourcing aan specifieke regels of beperkingen is gebonden. Deze risico’s zijn inherent aan de huidige en toekomstige ontwikkelingen in de techniek en business. De vraag is ook of deze ontwikkelingen zich al niet voordoen binnen de bestaande digitale eID toepassingen. Uit de ontwerp documentatie blijkt niet dat er al een risicoanalyse is uitgevoerd op combinaties van rollen en de mogelijke negatieve gevolgen hiervan op de persoonlijke levenssfeer van Gebruikers. Nog niet in het Afspraken Stelsel is vastgelegd, welke status onder welke voorwaarden aan een component/eID Deelnemer/Dienstaanbieder in het eID Stelsel kan worden toegekend, wat de inhoud van de melding van een soort verwerking behoort te zijn en hoe vervolgens de melding van een verwerking aan de relevante FG of het CBP dient te gebeuren. Er kunnen hierdoor diversiteit in statussen, in meldingen binnen het eID Stelsel en spanningen inzake het Verantwoordelijkheids- en Doelbindings-principe ontstaan. Deze vraagstukken over verhoudingen tussen en samenloop van rollen van verantwoordelijke en/of bewerker zullen in een vervolg ontwerpfase in procedurele en juridische afspraken nadere aandacht vereisen. In dit document komt dit vraagstuk nog op verschillende plaatsen terug.
2.5.2 Aanbevelingen 1. Stem de gehanteerde begrippen in de Begrippenlijst Afsprakenstelsel en het document Werking van het eID Stelsel goed op elkaar af; 2. Laat een risicoanalyse uitvoeren op alle mogelijke combinaties van rollen voor eID Deelnemers / Dienstaanbieders; 3. Bepaal aan de hand van een privacyrisicoanalyse welke combinaties van rollen bij een partij tot onbeheersbare privacyrisico’s kunnen leiden; 4. Laat een risicoanalyse uitvoeren op de mogelijkheden van eID Deelnemers / Dienstaanbieders om zelf de status van “verantwoordelijke” of van “bewerker” of combinaties van deze statussen te kiezen; 5. Laat een risicoanalyse uitvoeren op de mogelijkheden van outsourcing van rollen en ICT-services naar partijen buiten de EU/EER; 6. Definieer per partij en per rol en per gegevensverwerking in het eID Stel de status van “verantwoordelijke” en van ‘bewerker”; 7. Reguleer mogelijke combinaties van rollen en hiermee gepaard gaande verantwoordelijkheden; 8. Neem aan de hand van de uitkomst van de risicoanalyses beheersmaatregelen in het Afsprakenstelsel aangaande combinaties van rollen, de status van verantwoordelijke en bewerker en combinaties hiervan, outsourcing van rollen en ICT-services, en het hier op te houden toezicht (zoals audits of toereikende certificeringen); 9. Besteed in het Afsprakenstelsel aandacht aan de status “verantwoordelijke” en “bewerker” van een component/eID Deelnemer/Dienstaanbieder en het vervolgens melden van de hiermee verband houdende verwerking van persoonsgegevens bij de relevante FG en/of het CBP;
12
10. Maak afspraken c.q. geef handreikingen over de inhoud van de melding teneinde hiermee te voorkomen, dat de genoemde partijen onbewust niet aan de meldingsplicht voldoen, doelstellingen van gelijksoortige verwerking van elkaar afwijken en rechtmatigheidsvragen ontstaan; 11. Bewerkstellig hiermee dat de meldingen van de in het eID Stelsel voorkomende verwerkingen goed op elkaar worden afgestemd (convergentie-effect), waardoor spanningen in de uitwisseling en het gebruik van data binnen de keten van het eID Stelsel kunnen worden voorkomen (alignment).
2.6 Privacy Principe: Limiteren van het verzamelen van gegevens 2.6.1 Bevindingen Een van de ontwerpeisen van het eID Stelsel, een eID-deelnemer krijgt niet meer gegevens dan strikt noodzakelijk is voor het uitvoeren van zijn taak is nauw verweven met het privacy principe doelbinding en limiteren van het gebruik van persoonsgegevens. Impliciet refereert het daarom ook aan de intentie van het eID Stelsel om te voldoen aan het privacy principe van het limiteren van het verzamelen van gegevens. In het ontwerp van het eiD-Stelsel wordt zo veel als maar mogelijk is bij het verwerken van (gevoelige) persoonsgegevens gebruik gemaakt van pseudo identiteiten voor Gebruikers en het versleutelen van indirect gevoelige gegevens. Welke persoonsgegevens precies tussen de componenten / rollen in het eID Stelsel worden uitgewisseld, wordt in het document Interface specifications uitgewerkt. Uit een eerste en voorlopige analyse van de gedefinieerde typen data in de berichten over de koppelvlakken tussen de te onderscheiden componenten van het eID Stelsel is vooralsnog niet komen vast te staan, dat er niet aan het beginsel van de gegevensminimalisatie wordt voldaan. De analyse kon nog niet volledig en in voldoende onderlinge samenhang worden uitgevoerd. Ten aanzien van de belangrijke koppelvlakken als K4 Dienstbemiddelaar – Dienstaanbieder en K7 Authenticatiedienst - Machtigingendienst - Stelselautoriteit moeten de datasets namelijk nog worden gespecificeerd. Tevens is nog niet volledig per ”Partij ” en per koppelvlak en per combinatie van rollen aangegeven welke (meta) data in welke loggingen/audittrails worden verzameld. De effecten van het ontstaan van metadata in de onderliggende systeemlagen van betrokken ICT-providers die een rol gaan spelen bij het gebruik van het Stelsel zijn evenmin in een risicoanalyse meegenomen in het huidige ontwerp. Voor bepaalde doeleinden, bijvoorbeeld het vaststellen van de leeftijd van een Gebruiker is het voor een Dienstaanbieder niet nodig om daarbij de identiteit van de Gebruiker te vernemen. Het eID Stelsel voorziet er in zo’n geval in dat kan worden volstaan met het leveren van een attribuut, dat een persoon ouder of jonger is dan een bepaalde leeftijd. Ingeval een Polymorfe PseudoID is opgeslagen op een “secure device” kan deze bij uitlezen door het middel zelf worden gerandomiseerd. Indien die device wordt gebruikt, is het voor de Authenticatiedienst niet meer mogelijk om de Polymorfe PseudoID te herkennen. De authenticatie kan dan worden uitgevoerd zonder dat een Dienstverlener weet over welke van zijn klanten het gaat. Dit biedt ook vanuit het principe van dataminimalisatie een extra niveau van privacybescherming. Maar er kleeft voor de Gebruiker echter wel een nadeel aan. Ingeval een “secure device” wordt gebruikt, is het niet meer mogelijk om precies vast te leggen welk gebruik er van een kaart (het device) wordt gemaakt. Dit verhoogt het risico voor de omkering van de bewijslast van de betrokkene ingeval van misbruik van de kaart, althans als er niet langs een andere weg een audittrail wordt bijgehouden. Uit de ontwerp documentatie blijkt niet of er voldoende is onderzocht welke reële mogelijkheden er zijn om dit nadeel te compenseren. Bijvoorbeeld door aansluitingen mogelijk te maken (via app toepassingen) op Management Life Cycle Platforms van Gebruikers. Op die Platforms hebben Gebruikers namelijk een eigen afgeschermde secure 13
domein, waarin zij hun persoonsgegevens kunnen opslaan en verder verwerken. Hierin kunnen zij mogelijk zelf loggegevens verzamelen en beheren. In geval van misbruik van hun gegevens of in het kader van bewijsvoering kunnen Gebruikers dan zelf bepalen in welke 8 gevallen zij aan welke instanties toegang tot de loggingen / audittrails geven. 2.6.2 Aanbevelingen 1. Ga door met het aanvullen van de specificaties van de typen data die nodig zijn voor het berichtenverkeer over de koppelvlakken K4 en K7 en waar nodig nog voor audittrails en loggingen. 2. Onderzoek de mogelijkheden voor het bijhouden van audittrails over het gebruik van een secure device, bijvoorbeeld om aan te sluiten op ecosystemen zoals Life Management Platforms. Onderzoek daarbij of een Gebruiker in een dergelijke omgeving de mogelijkheid heeft om (bijvoorbeeld met een app op een mobile device audittrails in een eigen secure omgeving op te slaan. De Gebruiker kan dan zelf bepalen aan wie hij deze gegevens ter beschikking wil stellen. 3. Laat op de noodzaak voor het verzamelen van het BSN bij de relevante SectorIDdiensten een aanvullende risicoanalyse uitvoeren en daarbij ook de eventuele noodzaak tot aanvullende BSN-regelgeving vaststellen. 4. Bepaal de impact van effecten van metadata die ontstaat op onderliggende systeemlagen als gevolg van het gebruik van IT middelen
2.7 Privacy principe Doelbinding / Limitering gebruik gegevens 2.7.1 Bevindingen Het doel van het eID Stelsel is: 1. het creëren van een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur die gebruikt kan worden door zowel publieke als private Dienstaanbieders en die publiek-privaat beheerd en doorontwikkeld wordt. 2. Mogelijk maken dat publieke Dienstaanbieders de toegang en afhandeling van online dienstverlening vanaf 2015 via het eID Stelsel kunnen inrichten waardoor zij de doelstelling ‘Digitaal 2017’ uit het regeerakkoord kunnen realiseren: Bedrijven en burgers kunnen in 2017 zaken met de overheid digitaal afhandelen. Het eID Stelsel moet de volgende diensten mogelijk maken: 9 1. Authenticatie met hoog betrouwbaarheidsniveau; 2. Verificatie van aanvullende gegevens (attributen) zoals leeftijd; 3. Ondersteuning (wettelijke) vertegenwoordiging; 4. Een betrouwbare, praktisch handzame en bruikbare elektronische handtekening. In het Stelsel worden hiertoe tot dusver de volgende componenten/rollen onderscheiden: Stelselautoriteit-identificatiedienst, Authenticatiedienst, Machtigingsdienst, SectorIDdienst, Attributendienst, eID makelaar, Dienstbemiddelaar en Dienstaanbieder. Ten aanzien van het privacy principe Verantwoordelijkheid zijn in het eID Stelsel risico’s ten aanzien van combinaties van componenten/rollen en de daarmee samenhangende status van “verantwoordelijke” en/of “bewerker” gesignaleerd. Die risico’s werken onherroepelijk door in 10 het privacy principe Doelbinding. Op hoofdlijnen zijn de doelstellingen van het eID Stelsel en van eID Deelnemers in de onderliggende ontwerpdocumentatie vermeld. Per eID Deelnemer zijn afhankelijk van hun status als verantwoordelijke en/of bewerker in abstracto doelstellingen geformuleerd. Maar dit
8
Vanzelfsprekend zal daarin betrokken moeten worden, wat de integriteitswaarde is van de data in die omgevingen met het oog op eventuele mogelijkheden voor manipulatie door Gebruikers. Ook de eventuele risico’s voor het ontstaan of bevorderen van identiteitsfraude via die Gebruikersomgevingen. 9 Het bewijzen en controleren van de geclaimde identiteit van een Handelende Persoon via een (set van) authenticatiemiddel(len) op een bepaald betrouwbaarheidsniveau. 10 In principe raakt dit ook het privacy principe limitering van verzamelen van gegevens.
14
zijn nog geen toereikende concrete doelstellingen in samenhang met de specifieke dienstverlening en daarmee verband houdende verwerkingen van persoonsgegevens. De typen datasets die evenwel in de berichten over de koppelvlakken tussen de eID Deelnemers worden uitgewisseld, zijn al wel gespecificeerd in het document Interface Specifications. Ten aanzien van die specificaties kan onder voorbehoud van de eerder gesignaleerde risico’s worden opgemerkt, dat de samenstelling van de datasets over de koppelvlakken tussen de te onderscheiden eID Deelnemers niet op voorhand aanleiding geeft tot de veronderstelling dat deze datasets niet in overeenstemming zijn met het privacy principe Doelbinding. Met andere woorden; niet op voorhand is kunnen blijken, dat de specificaties van de datasets voor de gegevensuitwisseling over de koppelvlaken niet nodig zijn voor de taken op hoofdlijnen van de te onderscheiden componenten/rollen. Hierop aansluitend wordt het voorbehoud geplaatst, dat nadere detaillering van het ontwerp op de koppelvlakken K4 Dienstbemiddelaar – Dienstaanbieder en K7 Authenticatiedienstmachtigingendienst en Stelselautoriteit nog nodig is om uiteindelijk in onderlinge samenhang vast te stellen welke persoonsgegevens precies tussen de in het eID Stelsel te onderscheiden eID Deelnemers (per rol) en Dienstaanbieders (per rol) worden uitgewisseld. Naar verwachting zullen ook door de eID Stelsel ICT-infrastructuur directe en indirecte persoonsgegevens ontstaan in koppelvlakken, de loggingen/audittrails op de koppelvlakken en de loggingen/audittrails op de Dienstaanbieders. Deze zijn in de ontwerp documentatie nog niet inzichtelijk. Dit impliceert dat er ook nog geen concrete doelstelling voor zijn. In de audittrails van eID Deelnemers kunnen uit de inloggegevens van publieke en private Dienstaanbieders, hoewel hier niet voor bedoeld, ook indirect gegevens over de financiële of economische situatie van betrokkenen, of andere gegevens die kunnen leiden tot stigmatisering of uitsluiting, worden gedistilleerd. Dit risico neemt toe naarmate eID Deelnemers / Dienstaanbieders meerdere rollen kunnen vervullen. De doelstelling van het eID Stelsel leidt bij grootschalig gebruik onvermijdelijk tot het ontstaan van enorme dataverzamelingen bij de te onderscheiden eID Deelnemers en Dienstaanbieders, die tot op de identiteit van Gebruikers en andere betrokkenen zijn te herleiden. Het verwerken van uniek identificerende gegevens is immers noodzakelijk in het kader van de doelstellingen van het eID Stelsel (behoudens die gevallen waarbij bijvoorbeeld met een attribuut aangaande de leeftijd bij een Dienstaanbieder kan worden volstaan). Hoewel het verwerken van uniek identificerende gegevens, zoals biometrische gegevens, en de hierbij te gebruiken middelen nog niet expliciet als mogelijkheid binnen het eID Stelsel worden genoemd, is dit op basis van de ontwerpeisen van het Stelsel al wel mogelijk. Of voor een of meer van de betrokken eID Deelnemers of Dienstaanbieders een beperking geldt van de mogelijkheid om persoonsgegevens te verwerken als gevolg van geheimhoudingsverplichtingen (in verband met functie/wet) komt niet expliciet aan de orde in de ontvangen ontwerp documentatie. Maar niet op voorhand uit te sluiten is, dat dit bijvoorbeeld binnen de sectorale toepassingen (bijvoorbeeld bij zorginstellingen) wel het geval zou kunnen zijn. De ontwerpeisen van het eID Stelsel bevatten (indicaties voor) (nadere) controles op het gebruik van (nieuwe) persoonsgegevens binnen de kaders van het eID Stelsel. De controles zijn nog niet op alle hiervoor in aanmerking komende verwerkingen van persoonsgegevens in beeld gebracht. In de ontwerpdocumentatie is nog geen aandacht besteed aan een eventuele overdracht van persoonsgegevens door de Stelselautoriteit en eID Deelnemers naar een (overheids)instantie buiten de EU/EER, en als dat zo mocht zijn, hoe dan dient te worden gehandeld ingeval dit een land betreft dat geen passend privacy beschermingsniveau heeft. Zie in dat verband ook de risico’s die ten aanzien van ICT-(sub)bewerkers in bij de handeling van het privacy principe Verantwoording aan de orde kwamen. 15
Uit de ontwerpdocumentatie blijkt ook, dat dat alle ontwikkelingen op het gebied van (elektronische) identiteit, authenticatie en machtigen van burgers mogelijke impact hebben op de privacy. Bij toegang tot persoonsgegevens (zoals BSN, adres en leeftijd), al dan niet via diensten, dient grote zorgvuldigheid in acht genomen te worden. Het eID-programma betrekt er daarom belangen- en maatschappelijke organisaties en toonaangevende media bij. Ideeën en denkbeelden, maar ook voorgestelde (deel)oplossingen, worden zo in een vroegtijdig stadium vanuit verschillende gezichtspunten gedeeld en besproken. Verder worden deze organisaties in het vervolg van het ontwikkelproject eID betrokken bij Privacy Impact Analyses en geconsulteerd in het kader van het wetgevingstraject. Waarmee in de ontwerpdocumentatie aangetoond wordt, dat de ontwerpers de privacy van de Gebruikers hoog in het vaandel hebben staan. 2.7.2 Aanbevelingen 1. Specificeer alle persoonsgegevens die tussen de in het eID Stelsel te onderscheiden eID Deelnemers (per rol) en Dienstaanbieders (per rol) over de koppelvlakken worden uitgewisseld. 2. Specificeer daarbij ook de directe en indirecte persoonsgegevens die in de eID Stelsel ICT-infrastructuur over de koppelvlakken in de loggingen/audittrails van de eID Deelnemers/Dienstaanbieders worden opgeslagen. 3. Specificeer per verwerking per component/rol in het eID Stelsel wat het specifieke doel van een verwerking is. 4. Beoordeel tenslotte per component/rol of combinaties van componenten/rollen de doeleinden voor die verwerkingen en of de hiervoor te verwerken persoonsgegevens binnen die doelstellingen passen. 5. Hou bij de mogelijkheden van meerdere rollen bij eID Deelnemers rekening met ongewenste cumulatie van data in de audittrails die de genoemde risico’s doen toenemen. 6. Denk tijdens de ontwerpfase tijdig na over de noodzaak/wenselijkheid van het verwerken van biometrische gegevens ten behoeve van de doelstellingen van het Stelsel. 7. Laat aanvullend onderzoek uitvoeren naar mogelijke verwerkingen van persoonsgegevens door eID Deelnemers en Dienstaanbieders binnen het eID Stelsel waaraan vanwege (sectorale of specifieke) geheimhoudingsverplichtingen in verband met functie/wet beperkingen voor het gebruik zijn verbonden. 8. Neem zonodig in de ontwerpeisen mee of er sprake kan zijn van overdracht van persoonsgegevens naar een (overheids)instantie buiten de EU/EER. 9. Stel nadere eisen / geef handreikingen in het Afsprakenstelsel op alle doelstellingen en uit te voeren controles op het gebruik van persoonsgegevens in de te onderscheiden ICT-omgevingen/ componenten van het eID Stelsel en laat hieraan voorafgaand een specifieke risicoanalyse uitvoeren. 10. Neem in het Afsprakenstelsel toereikende voorwaarden voor doelbinding en toezicht op om de gesignaleerde risico’s te elimineren. 11. Dwing dit zonodig met specifieke wetgeving af.
2.8 Privacy principe Gegevenskwaliteit 2.8.1 Bevindingen Uit de bevindingen aangaande het Doelbindingsprincipe, kan worden afgeleid, dat in de ontwerpeisen van het eID Stelsel aanzetten zijn gegeven voor controles om de juistheid, nauwkeurigheid en actualiteit (kwaliteit) van de in het eID Stelsel verwerkte persoonsgegevens na te gaan. In de periodiciteit en specifieke inrichting van deze controles moet nog worden voorzien. In het verlengde van ontwerpeisen in relatie tot toezicht en opsporing is naar onze mening hier sprake van een bijzondere situatie. Belangrijk onderdeel van de algemene privacy principes is het borgen van de datakwaliteit (zie bijlage 1). Ook binnen het eID Stelsel waarbij het gaat om digitale identiteiten dienen kwaliteit borgende maatregelen te worden getroffen. Maatregelen voor het controleren van de betrouwbaarheid van digitale identiteiten en het 16
detecteren van inconsistenties in identificerende gegevens dienen een normaal onderdeel te zijn van het systeem en de verwerkingsprocessen. Over het algemeen is een mix van preventieve en repressieve maatregelen nodig om de kwaliteit van gegevensverwerkende processen te borgen. Deze maatregelen, die deels ook het karakter zullen hebben van maatregelen voor het beperken en detecteren van identiteitsfraude, moeten niet verward worden met activiteiten van eventuele opsporingsinstanties. Het doel van het Stelsel is het verwerken van betrouwbare digitale identiteiten en daaraan gerelateerde data. Controle van de kwaliteit van data hoort daar onlosmakelijk bij. En uiteraard staat controle meestal op gespannen voet met het vertrouwelijkheidsaspect van privacy. 2.8.2 Aanbeveling 1. Definieer in de volgende ontwikkelingsfase in het Afsprakenstelsel op elkaar aansluitende incidentele en periodieke controles op de kwaliteit van de verwerkte persoonsgegevens door de te onderscheiden componenten in het eID Stelsel.
2.9 Privacy principe Beveiliging van gegevens
(Privacy by Design en Privacy Enhancing Technologies)
2.9.1 Bevindingen In de ontwerp-documentatie is nog niet voorzien in het opstellen, implementeren en handhaven van beleid met betrekking tot de gegevensbeveiliging bij de eID Deelnemers. Het risico hiervan is, dat het niveau van de beveiliging van persoonsgegevens door de eID Deelnemers binnen het eID Stelsel kan variëren en tot zwaktes in de eID-keten kan leiden. Voor het geval dat een eID Deelnemer voor diens rol in het eID Stelsel en de daarmee gegaard gaande verwerking van persoonsgegevens de status van bewerker zal aannemen, is in de ontwerp documentatie nog niet voorzien hoe verantwoordelijken in het eID Stelsel zorg dienen te dragen voor de gegevensbeveiliging en het toezicht hierop bij hun bewerkers. In de ontwerp documentatie is al wel, zij het op onderdelen wat gefragmenteerd, aandacht besteed aan technische en organisatorische beveiligingsmaatregelen die zijn getroffen ter voorkoming van niet-geautoriseerde of onrechtmatige verwerking/misbruik van persoonsgegevens in het eID Stelsel. Deze maatregelen liggen vooral nog op het niveau van het gebruik van (Polymorfe) PseudoID’s en de versleuteling van data gedurende de communicatie tussen de eID Deelnemers onderling en de Dienstaanbieders. Het gebruik van (Polymorfe) PseudoID’s is de kern van het eID Stelsel, waarmee invulling wordt gegeven aan belangrijke privacy principes als dataminimalisatie. Tevens kunnen deze maatregelen onder de noemer gebruik van privacy enhancing technologies en het toepassen van privacy by design worden gebracht. Ook is op belangrijke componenten/koppelvlakken het berichtenverkeer encrypted. Voor een tweetal componenten dient dit nog te worden ingevuld. In de technische en organisatorische beveiligingsmaatregelen, dan wel de hiervoor te hanteren beveiligingsstandaarden door eID Deelnemers en Dienstaanbieders in hun respectievelijke backoffice systemen is nog niet voorzien. Hierbij valt bijvoorbeeld ook te denken aan de beveiliging en het beheer van de geheime sleutels van eID Deelnemers en Dienstaanbieders. Dit geldt ook voor de Stelselautoriteit. In de ontwerp documentatie is tenslotte nog niet voorzien in procedures in geval van inbreuken op beveiligingsvoorschriften, en voor het detecteren ervan. Dit geldt ook voor calamiteitenplannen met het oog op de gevolgen van een onvoorziene gebeurtenis waarbij persoonsgegevens worden verloren of worden blootgesteld aan onrechtmatige verwerking. De ontwerp documentatie bevat nog geen concrete informatie over de bewaar en vernietigingstermijnen voor de te onderscheiden verwerkingen van persoonsgegevens door de Stelselautoriteit, de eID Deelnemers en de Dienstaanbieders. Dit geldt ook voor het eventueel onderhevig zijn aan wettelijke sectorale eisen met betrekking tot bewaring. 17
2.9.2 Aanbevelingen 1. Voorzie in het Afsprakenstelsel in normen / standaarden voor het beveiligen van persoonsgegevens voor de Stelselautoriteit, eID Deelnemers en Dienstaanbieders, waarmee convergentie in de beveiligingsaanpak wordt bewerkstelligd. 2. Neem daarin op, dat eID Deelnemers en Dienstaanbieders (en hun bewerkers) jaarlijks dienen te worden onderwerpen aan een beveiligingsaudit door hiertoe erkende gekwalificeerde onafhankelijke instellingen en dat iedere Partij jaarlijks het auditrapport (of Third Party Memorandum) aan de Stelselautoriteit dient te overleggen. 3. Neem in het Afsprakenstelsel een voorziening op voor het melden van beveiligingsincidenten en datalekken binnen de eID infrastructuur en de eID Deelnemers bij de Stelselautoriteit en andere relevante toezichthouders, zoals het CBP. 4. Zorg in het Afsprakenstelsel voor op elkaar afstemde richtlijnen over het bewaren van persoonsgegevens voor de Stelselautoriteit, de eID Deelnemers en de Dienstaanbieders. 5. Hou daarbij rekening met mogelijke gedifferentieerde bewaartermijnen per type verzamelde persoonsgegevens. 6. Betrek daar daarbij ook de relevante wettelijke/sectorale eisen met betrekking tot de bewaring van bepaalde typen van persoonsgegevens. 7. Zorg in ieder geval dat inzichtelijk wordt op basis van welke beleidsmatige en technische gronden bewaartermijnen voor bepaalde typen van persoonsgegevens binnen het eID Stelsel zijn vereist. 8. Zorg dat in het Afsprakenstelsel ook maatregelen zijn voorzien om de persoonsgegevens na afloop van de bewaartermijn te vernietigen. Hierbij dient ook aandacht te worden besteed aan gegevens in loggingen en audittrails. 9. Zorg er tenslotte voor dat de bewaartermijnen en de vernietiging van persoonsgegevens onderdeel uitmaken van de scope van certificeringsaudits.
2.10 Privacy principe Transparantie 2.10.1 Bevindingen Burgers die reeds gebruik maken van bestaande authenticatievoorzieningen als DigiD en eHerkenning kunnen in zekere zin bekend zijn met de identificatie en authenticatiedoeleinden voor dat deel van het toekomstige eID Stelsel. Zowel aan de kant van de overheid als van marktpartijen zijn er immers verschillende bestaande ICT-voorzieningen die, na migratie, zullen worden opgenomen in het eID Stelsel. Denk hierbij aan: DigiD, DigiD Machtigen, eHerkenning en PKIoverheid. Maar in de ontwerp documentatie is ook aangegeven dat de werking van het eID Stelsel complex is. Dit betekent dat niet op voorhand mag worden aangenomen, dat de werking van het nieuwe eID Stelsel voor de Gebruiker, alsmede het gebruik van diens gegevens door relevante eID Deelnemers en Dienstaanbieders transparant is. Nu het eID Stelsel als publieke-privaat stelsel voor electronische identificatie, authenticatie en autorisatie met bestaande, maar ook met nieuwe partijen samenwerkt, is het noodzakelijk dat de betrokkenen vooraf worden geïnformeerd over het bestendigen of aanvullen van het doel van het verwerken van hun persoonsgegevens binnen het eID Stelsel. Dus ook met welke specifieke wijzingen en aanvullingen het eID Stelsel gepaard gaat. Hierbij dient in aanmerking te worden genomen, dat zich binnen het eID Stelsel, afhankelijk van de rol/combinatie van rollen die een component / eID Deelnemer binnen dit Stelsel vervult, bij de betrokkene kenbaar moet zijn of aan de betrokkene kenbaar moet worden gemaakt, voor welk specifiek doel zijn gegevens bij welke component voorwelke rollen worden verzameld en verder verwerkt. Afhankelijk van het gebruik dat een betrokkene (Gebruiker/Belanghebbende) van het eID Stelsel maakt, zal de informatie hier op toegespitst moeten zijn. Hoewel er van mag worden uitgegaan, dat de Gebruiker over de diensten in het eID Stelsel zal worden geïnformeerd, zal hier volledigheidshalve in het Afsprakenstelsel aandacht aan moeten worden besteed. Dit nu is in die samenhang nog niet voorzien in de ontwerp documentatie van het eID Stelsel. In het voorgaande is reeds aan de orde gekomen, dat in ontwerpdocumentatie nog niet alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, volledig in kaart 18
zijn gebracht, althans niet zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. Aangezien het ontwerp nog verder wordt uitgewerkt, zullen aanvullende stappen in de verwerkingen en in gegevensuitwisseling in de volgende ontwerpversies worden toegevoegd. Er is in ieder geval geen aanleiding om te veronderstellen dat de beoogde gegevensuitwisselingen niet inzichtelijk in kaart kunnen worden gebracht en vervolgens ook transparant voor de Gebruikers kunnen worden gemaakt. 2.10.2 Aanbevelingen 1. Neem in de ontwerpeisen van het eID Stelsel op, dat in het Afsprakenstelsel geregeld wordt dat aan Gebruikers kenbaar wordt gemaakt welke eID Deelnemers op welke momenten voor welke doeleinden hun persoonsgegevens verwerken. 2. Bewerkstellig hiermee een convergente en met elkaar samenhangende toepassing van het transparantiebeginsel bij alle eID Deelnemers binnen het eID Stelsel. 3. Ga door met het in kaart brengen van alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. 4. Besteed daarbij ook aandacht aan “metadata” die binnen het eID Stelsel in systeemloggingen/audittrails wordt verwerkt. 5. Stem, in de veronderstelling, dat er mediacampagnes over de werking van het eID Stelsel zullen komen, de uitvoering van de voorgaande aanbevelingen hier op af.
2.11 Privacy principe Rechten van betrokkenen 2.11.1 Bevindingen Het is nog niet te overzien of er in de ontwerp-documentatie voldoende aandacht is besteed aan de principes van opt-in / opt-out voor Gebruikers van het eID Stelsel en welke attributen die nu precies betreft. In de ontwerp documentatie is nog niet met zoveel worden geregeld via welke procedure betrokkenen de mogelijkheid hebben zich tot de verantwoordelijken in het eID Stelsel te wenden met het verzoek hen mede te delen of hun persoonsgegevens worden verwerkt. Dit geldt ook ten aanzien van derden, die mogelijk bedenkingen hebben tegen een dergelijke mededeling, en in de gelegenheid moeten worden gesteld om hun zienswijze te geven. Evenzeer voor het regelen van de wijze waarop een verzoek van een betrokkene tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens in behandeling moet worden genomen. Wel zijn er op onderdelen impliciet aanzetten tot het inzagerecht van betrokkenen. In dit stadium van de ontwerpeisen van het eID Stelsel kan zodoende in de ontwerp documentatie ten aanzien van (andere) eID Deelnemers (zoals de SectorID Dienst die in feite Attributendienst is, de Attributendienst, de Machtigingendienst, de eID-makelaar) nog niet worden gesproken van op elkaar afgestemde concrete inzage procedures voor betrokkenen (Gebruikers). Althans niet met zoveel woorden waar de norm op doelt. Ook niet hoe eventuele derden, die mogelijk bedenkingen zou kunnen hebben tegen een dergelijke mededeling, in de gelegenheid gesteld kunnen worden om hun zienswijze te geven. Dit geldt evenzeer voor concrete en formele procedures voor het in behandeling nemen van verzoeken van een betrokkenen tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens. Een Dienstbemiddelaar kan optreden als bewerker namens een of meerdere Dienstaanbieders of op eigen titel als verantwoordelijke (P22) Naast Dienstaanbieder en Dienstbemiddelaar wordt in het stelsel ook het begrip Diensteigenaar gebruikt. De Diensteigenaar is de partij die beslist over de indeling en naamgeving van de diensten en over alle beleidsmatige aspecten die gelden voor de betreffende dienst, zoals het vereiste 11 Betrouwbaarheidsniveau (P23). Voor diensten waarvoor in het stelsel maar één Dienstaanbieder is, is de Dienstaanbieder tevens Diensteigenaar. Als de dienst door meerdere partijen wordt aangeboden fungeert een overkoepelend orgaan als Diensteigenaar. 11
Zie Werking van het eID Stelsel, de ontwerpeisen P22 en P23.
19
Deelnemers aan het eID Stelsel die tot op personen te herleiden gegevens verwerken zijn ieder voor zich, voor wat hun aandeel in de verwerking betreft, verantwoordelijk voor het naleven van privacy- wet en regelgeving. Gezien de data interactie tussen de Stelselautoriteit en de meerdere te onderscheiden eID Deelnemers in een identificatie/authenticatie/machtigings/vertegenwoordigingsproces, is het voorstelbaar dat een betrokkene, wil hij zijn rechten effectueren, “door de bomen het bos niet meer ziet” en mogelijk “van het kastje naar de muur wordt gestuurd”. Dit zou het inzagerecht voor wat betreft het eID Stelsel tot een fictie kunnen maken. 2.11.2 Aanbevelingen 1. Besteed in de volgende ontwerp fasen aandacht aan opt-in / op-out mogelijkheden voor Gebruikers bij de daarvoor in aanmerking komen diensten / attributen en neem dit indien relevant in het Afsprakenstelsel mee. 2. Besteed in het Afsprakenstelsel aandacht aan procedures voor de eID Deelnemers / Dienstaanbieders voor het effectueren van rechten van betrokkenen (Gebruikers). 3. Geef daarbij handreikingen om convergentie in de afhandeling ervan bij de Stelselautoriteit, eID Deelnemers en Dienstaanbieders te bewerkstelligen. 4. Geef ook handreikingen voor een efficiënte en effectieve routing van de afhandeling van deze verzoeken van Gebruikers ingeval de afhandeling ertoe moeten leiden dat meerdere eID Deelnemers zich hiermee moeten gaan bezig houden. Bedenk daarbij ook, dat er omstandigheden kunnen zijn, waarin derden, die mogelijk bedenkingen hebben tegen een dergelijke mededelingen, in de gelegenheid moeten worden gesteld om hun zienswijze te geven. 5. Zorg er ook voor dat het voor de Gebruiker transparant is tot wie welk verzoek inzake 12 welk recht (het beste) kan worden gericht . 6. Neem de voorzieningen voor de rechten van betrokkenen mee in de het Afsprakenstelsel over de verplichte en periodiek uit te voeren certificeringsaudit voor de eID Deelnemers.
12
Wellicht kan worden nagedacht over de instelling van een onafhankelijke partij als “de eID Ombudsman”.
20
3. Beschrijving eID Stelsel. 3.1 Inleiding Als object van onderzoek zijn door BZK de volgende ontwerpdocumenten, versie 1.0, d.d. 21 januari 2014, status concept; van het Programma eID aan MMC ter beschikking gesteld: 1. Voorwoord eID Afsprakenstelsel, waarin tot uiting komt dat deze ontwerpversie uit 5 aparte secties bestaat. Elke sectie heeft een apart document en kan uit meerdere hoofdstukken bestaan; 2. Introductie op het eID Stelsel. Hierin wordt de huidige situatie rondom authenticatie en autorisatie uitgelegd en de invloed van het eID Stelsel en de werking ervan aan de hand van de belangrijkste ontwerpeisen beschreven. Tot slot een eenvoudige uitleg van het inlogproces binnen het eID Stelsel; 3. Stakeholders, belangen en ontwerpeisen. Na de beschrijving van de stakeholders en de bijbehorende belangen volgen in detail de aan het eID Stelsel te stellen ontwerpeisen; 4. Werking van het eID Stelsel. Deze sectie bevat het volledige ontwerp van het stelsel met alle componenten en hun interacties; 5. Interface specifications. In het Engels zijn de technische specificaties voor de koppelvlakken in het stelsel beschreven. Ook hoe de verklaringen als SAML-bericht verzonden moeten worden; 6. Begrippenlijst eID Afsprakenstelsel. Het huidige ontwerp van het eID Stelsel is, zoals gezegd, nog in een ontwikkelingsfase. De hierboven genoemde ontwerp versie is het vervolg op het document eID Afsprakenstelsel 0.7 van oktober 2013 en heeft tot doel om de werking en het ontwerp technologisch en procesmatig te beproeven. Deze beproeving gebeurt in een publiek-private samenwerking. Het gaat hierbij uitdrukkelijk om proeven en nog niet om pilots. Dit traject van POT’s (Proofs of Technology) en POC’s (Proofs of Concept) is op het moment van publicatie van dit document in voorbereiding. Publieke en private organisaties die digitale diensten aanbieden kunnen (met BZK) aan de hand van deze versie de implementatiemogelijkheden toetsen. Daarnaast is deze versie input voor andere onderdelen van het eID Stelsel zoals wetgeving, toezicht, beheer, testomgevingen, privacy- en risicoanalyses, usability, etc. Het document is tevens input voor impactanalyses op bestaande diensten en voorzieningen zowel aan de kant van de dienstaanbieders als aan de kant van potentiele deelnemers aan het eID Stelsel. In dit kader vindt nu een toetsing en nadere uitwerking voor het M2M-kanaal plaats en zullen op korte termijn de bijzondere machtigingssituaties worden beschreven. Uitkomsten van deze acties zullen input zijn voor de volgende versies van het ontwerp van het eID Stelsel, waarvan de 2.0-versie is gepland voor oktober 2014. In dit hoofdstuk wordt ten behoeve van de uitvoering van de PIA op basis van de hierboven verantwoorde ontwerp documentatie achtereenvolgens inzicht verschaft in: De aanleiding voor het eID Stelsel; Doelstellingen van het eID Stelsel; De stakeholders bij het eID Stelsel Beoogde resultaten met het eID Stelsel; Ontwerpeisen voor het eID Stelsel; Schets van de werking van het eID Stelsel. Dit gebeurt aan de hand van uit de ontwerp documentatie overgenomen teksten, diagrammen, modellen, en figuren. Dit wordt zo getrouw mogelijk gedaan, maar er is hierbij geen volledigheid nagestreefd. Voor de precieze werking van het eID Stelsel wordt naar de inhoud van de aangehaalde documenten verwezen. Wij hebben per tekstdeel aangegeven uit welk document het tekstdeel is overgenomen.. Voor de toelichting van gehanteerde begrippen en definities is het oog op de toegankelijkheid van de teksten zo veel mogelijk gekozen voor verwijzingen naar de noten onderaan een pagina. 21
3.2 De aanleiding voor een nieuw eID Stelsel [Samengevat uit document: ”Introductie op het eID Stelsel”, 21.01.2014] De maatschappij wordt in hoog tempo gedigitaliseerd, zowel in de private als in de publieke sector. De overheid biedt steeds meer digitale diensten aan de burgers via internet. Naast slimme ICT toepassingen en goed georganiseerde processen vereist de elektronische dienstverlening vooral een hoge betrouwbaarheid en een betrouwbare authenticatie (wie ben je?) en autorisatie (wat mag je?). Anders gezegd, in de digitale wereld is het wenselijk dat identificering, autorisatie en ook het verstrekken van machtigingen (wat mag je, namens wie?) op een zelfde betrouwbaarheidsniveau en met een zelfde gemak kan plaatsvinden als in de reële wereld. De Nederlandse overheid, in casu het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), verschaft burgers een administratieve identiteit. Op basis daarvan geeft BZK fysieke identiteitsbewijzen uit, die burgers in het maatschappelijk verkeer kunnen gebruiken. De overheid voert het beheer over die voorziening. Nederland heeft behoefte aan een sterk elektronisch identiteitensysteem (eID). Het huidige systeem is voor verbetering vatbaar zoals blijkt uit de diverse soorten incidenten die met enige regelmaat in de media komen. Voorts zijn in 2013 een aantal onderzoeken door de rijksoverheid gepubliceerd over omvangrijke identiteitsfraude in Nederland en andere vormen van computercriminaliteit die eveneens aanleiding geven tot optimalisatie van het huidige digitale identiteitenstelsel. De sterk digitaliserende maatschappij vereist, nogmaals benadrukt, een elektronisch identiteitensysteem met een hoge betrouwbaarheid en dat vertrouwd kan worden. Daarbij wil de overheid naar een maximale serviceverlening aan de burger en aan bedrijven via digitale kanalen. Hierbij wil zij zowel het publieke als het private domein faciliteren. Overleg met private sectoren over het nieuwe identiteitenstelsel is onderhanden. In het bijzonder worden daarbij de volgende sectoren genoemd: financiële sector, banken, verzekeringsmaatschappijen, zorgsector, maar ook “geregistreerde beroepen”, zoals: notariaat, advocaten, accountants et cetera. Het doel is het ontwikkelen van één stelsel 13 waarbinnen middelen gebruikt worden voor zowel het publieke als het private domein. 14
Het beoogde eID stelsel bevat voor een aantal publieke en private deelnemers koppelvlakken waarover gegevens van identificeerbare personen worden uitgewisseld. Deze verwerkingen van persoonsgegevens zullen aan toereikende veiligheids- en privacynormen moeten voldoen. Het beoogde stelsel maakt gebruik van meerdere soorten ICT-middelen teneinde de afhankelijkheid van één middel te vermijden en om fallback scenario’s in geval van calamiteiten mogelijk te maken. Verder wordt geopteerd voor de mogelijkheid om, afhankelijk van de aard van de gevraagde dienstverlening en de gevoeligheid van het beoogde eID middel, gebruik te maken van verschillende betrouwbaarheidsniveaus (STORK levels 2 t/m 4).
13
BZK werkt hier aan het ontwikkelen van een eID Stelsel waaraan qua aanleiding en doelstellingen een zwaar wegend algemeen maatschappelijk belang ten grondslag ligt. De argumenten waarom BZK het eID Stelsel ontwikkeld zijn hiervoor toereikend. Dit is ook de grondslag voor het voldoen aan het noodzakelijkheidsbeginsel. Het ontwerp van het Stelsel, zoals dit in de ontwerp documentatie wordt geschetst voldoet overwegend aan de beginselen van de proportionaliteit en subsidiariteit. In dat verband wordt ook verwezen naar de relevante behandeling van deze onderwerpen in hoofdstuk 4 van dit rapport. 14 eID Deelnemer: Een eID-deelnemer is een organisatie die specifieke diensten binnen het eID Stelsel aanbiedt. Elke eID-deelnemer treedt officieel toe tot het eID Stelsel en is daarmee gebonden aan de standaarden en afspraken zoals beschreven in het eID Afsprakenstelsel. Tevens is elke eID-deelnemer onderhavig aan toezicht en handhaving. Voorbeelden van eID-deelnemers zijn een Authenticatiedienst, een Attribuutdienst en een eID-makelaar.
22
Het eID stelsel NL dient geschikt te zijn om bestaande voorzieningen te kunnen blijven 15 gebruiken, zoals: eHerkenning , PKI-overheid en DigiD. Dit geldt ook voor het gebruik van al bestaande authenticatiemiddelen. Eventueel zal migratie moeten kunnen plaatsvinden naar nieuwe afsprakenstelsels. Nieuwe voorzieningen moeten uiteraard direct aan de nieuwe afsprakenstelsels voldoen. Denk hierbij aan het eRijbewijs, de eNIK en private middelen. Het stelsel dient uiteindelijk ook internationale (op Europees niveau) ontwikkelingen aan te haken teneinde zich open te stellen voor de interne markt en hiermee grensoverschrijdende services te ondersteunen (internationale operabiliteit). De overheid wil dat het ontwerp van het nieuwe eID stelsel eind 2014 gereed is voor realisatie en volledig operationeel is in 2017.
3.3 Doelstellingen van eID Stelsel [Tekst uit document: ”Stakeholders, belangen en ontwerpeisen”, 21.01.2014] Het doel van het eID Stelsel NL is: 1. het creëren van een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur die gebruikt kan worden door zowel publieke als private 16 Dienstaanbieders en die publiek-privaat beheerd en doorontwikkeld wordt. 2. Mogelijk maken dat publieke Dienstaanbieders de toegang en afhandeling van online dienstverlening vanaf 2015 via het eID Stelsel kunnen inrichten waardoor zij de doelstelling ‘Digitaal 2017’ uit het regeerakkoord kunnen realiseren: Bedrijven en 17 burgers kunnen in 2017 zaken met de overheid digitaal afhandelen. 18
Het eID Stelsel moet de volgende diensten mogelijk maken: 19 1. Authenticatie met hoog betrouwbaarheidsniveau; 2. Verificatie van aanvullende gegevens (attributen) zoals leeftijd; 3. Ondersteuning (wettelijke) vertegenwoordiging; 4. Een betrouwbare, praktisch handzame en bruikbare elektronische handtekening. In de doelstellingen worden ook de belangen van de stakeholders van het eID Stelsel meegenomen. De belangen van de stakeholders die direct gevolgen hebben voor het 20 ontwerp zijn: 1. Verhogen beveiliging en betrouwbaarheidsniveau; 2. Verhogen vertrouwelijkheid en zorgvuldige omgang met privacygevoelige informatie; 3. Gebruikersgemak en toegankelijkheid; 4. Participatie private partijen (level playing field in stand houden). Invulling: privaat wat kan, publiek (alleen) wat moet; 5. Verbetering continuïteit digitale dienstverlening; 6. Toekomstvastheid (uitbreidbaar); 7. Beperken kosten.
15 eHerkenning is het publiek-private stelsel dat regelt dat bedrijven zich digitaal kunnen authentiseren en autoriseren wanneer ze online zaken regelen met de overheid en met private partijen. 16 Dienstaanbieder: Een Dienstaanbieder is een persoon (natuurlijk of niet-natuurlijk) die kenbaar heeft gemaakt dat het elektronisch bereikbaar is voor burgers en bedrijven, zodat zij als Handelende Persoon in staat worden gesteld om digitale transacties in het kader van een dienst te kunnen uitvoeren. 17 Bron: Stakeholders, belangen en ontwerpeisen, par. 1. 18 Bron: Stakeholders, belangen en ontwerpeisen, par. 2.7. 19 Het bewijzen en controleren van de geclaimde identiteit van een Handelende Persoon via een (set van) authenticatiemiddel(len) op een bepaald betrouwbaarheidsniveau. 20 Bron: Stakeholders, belangen en ontwerpeisen, par. 2.7.
23
3.4 Stakeholders bij het eID Stelsel [Tekst uit document: ”Stakeholders, belangen en ontwerpeisen”, 21.01.2014] Belangrijke stakeholders bij het eID Stelsel zijn:
21
Beleidsverantwoordelijke ministeries Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Min BZK) Ministerie van Economische Zaken (Min EZ DG Uitvoering) Belanghebbende organisaties Belangenorganisaties College Bescherming Persoonsgegevens (CBP), de Consumentenbond, Bits of Freedom, de Autoriteit Consument en Markt (ACM) en toonaangevende media. Wetenschappers en experts Manifestgroep Publieke eID –Deelnemers Logius Gemeenten Private eID-deelnemers Leveranciers eHerkenning (ICT) Leveranciers Publieke dienstaanbieders Ministerie van Veiligheid en Justitie Ministerie van Volksgezondheid, Welzijn en Sport Vereniging van Nederlandse Gemeenten (VNG) en Nederlandse Vereniging Voor Burgerzaken (NVVB) Belastingdienst Rijksdienst voor het Wegverkeer (RDW) Uitvoeringsinstituut Werknemersverzekeringen (UWV) Sociale Verzekeringsbank (SVB) Private Dienstaanbieders Financiële Dienstaanbieders Webwinkels
3.5 Beoogde resultaten met het eID Stelsel [Tekst uit document: ”Introductie op het eID Stelsel”, 21.01.2014] Met het ontwerp eID Stelsel worden de volgende resultaten beoogd:
22
1. Een gestandaardiseerde manier om de authenticatie en bevoegdheid voor het afnemen van alle digitale diensten vast te stellen. 2. Het gaat hierbij om persoonsgebonden digitale diensten. Dat hoeft niet altijd te betekenen dat de identiteit eenduidig vastgesteld moet worden. Het kan ook gaan om andere kenmerken van een persoon, bijvoorbeeld of de persoon ouder dan 18 jaar is, of juist kunnen aantonen dat de persoon jonger is dan 12 jaar. 3. Een technologie-onafhankelijk ontwerp. Hierdoor kunnen zowel bestaande als nieuwe manieren voor het vaststellen van de authenticatie en de bevoegdheid worden ingezet. 21 22
Bron: Stakeholders, belangen en ontwerpeisen, par. 2.6. Zie Introductie op het eID Stelsel, p.5.
24
4. Voor natuurlijke en niet-natuurlijke personen gelden dezelfde standaarden, met als resultaat dat het vaststellen van de authenticatie en de bevoegdheid in het burger- en het bedrijvendomein uitwisselbaar is. 5. De verantwoordelijkheden van de verschillende partijen die betrokken zijn bij de levering van een digitale dienst en het vaststellen van de authenticatie en bevoegdheid van de persoon die deze dienst afneemt, zijn duidelijk beschreven. Hierbij zijn maatregelen genomen die ervoor zorgen dat de privacy gewaarborgd wordt.
3.6 Ontwerpeisen voor het eID Stelsel [Tekst uit document: ”Introductie op het eID Stelsel”, 21.01.2014] In de sectie Werking van het stelsel is beschreven op welke wijze de ontwerpeisen zijn verwerkt in het ontwerp van het eID Stelsel. De ontwerpeisen voor het eID Stelsel zijn als volgt geclusterd: 1. Ontkoppelen en ontzorgen van de Dienstaanbieder 2. Waarborgen van de privacy 3. Marktwerking mogelijk maken 4. Gebruikersgemak bevorderen 5. Toezicht en opsporing inrichten.
23
3.6.1 Ontkoppelen en ontzorgen van de Dienstaanbieder Beoogde effect: • Dienstaanbieder is ontkoppeld van (technologisch) aanbod van leveranciers van 24 Authenticatiemiddelen. • Het inlogproces wordt door de Dienstaanbieder als dienst afgenomen van een eID25 makelaar (vergelijkbaar met een iDeal-betaling) . • Dezelfde standaarden voor zowel portaaldiensten als machine-to-machinediensten Nevenstaande figuur illustreert de ontkoppeling van het eID-middel van de Dienstaanbieder. De Dienstaanbieder kiest de eID-makelaar waarmee de gebruiker kan inloggen. Een eID-makelaar is een aparte dienst die onder andere inlogprocessen aanbiedt. Deze eID-makelaar laat de eID-middelen zien waarmee de gebruiker kan inloggen. De gebruiker kan vervolgens zelf het eID-middel selecteren waarmee hij wil inloggen. Op deze wijze kan hij met hetzelfde middel terecht bij meerdere Dienstaanbieders. Via gestandaardiseerde verklaringen weet de Dienstaanbieder met wie hij te maken heeft (via een Identiteitsverklaring) en wat deze gebruiker mag (via een Bevoegdheidsverklaring). Vervolgens bepaalt de Dienstaanbieder of de gebruiker de gewenste handeling mag uitvoeren. Dit is het autorisatiebesluit.
23
Stakeholders, belangen en ontwerpeisen, par. 4. Dit is een set van attributen op basis waarvan een Gebruiker zich kan laten authentiseren. Het Authenticatiemiddel kan verschillende verschijningsvormen hebben, bijvoorbeeld een combinatie van gebruikersnaam en wachtwoord zijn of een in software, op een smartcard of in andere specifieke hardware opgeslagen certificaat. Een Authenticatiemiddel wordt ook wel eID-middel genoemd. 25 De eID-makelaar is een eID-deelnemer die namens een Dienstaanbieder aan de Handelende Persoon de keuze voor de gewenste Authenticatiedienst en eventueel Machtigingsdienst voorlegt. Deze partij controleert ook of alle benodigde verklaringen voor het afnemen van de gevraagde dienst beschikbaar zijn (de bevoegdheidsketen) en levert via een gestandaardiseerd koppelvlak de resultaten terug aan de Dienstbemiddelaar. 24
Zolang de gebruiker hetzelfde Authenticatiemiddel gebruikt, wordt steeds dezelfde PseudoID gebruikt en blijft de koppeling met het ‘klantnummer’ van de Dienstaanbieder in het koppelregister in tact. In de praktijk zullen echter veel gebruikssituaties voorkomen waarbij de gebruiker een ander Authenticatiemiddel gaat gebruiken. Bijvoorbeeld: Mijn middel is verlopen, ik krijg een nieuwe. Dan wil ik met mijn nieuwe middel nog steeds bij mijn bestaande klantaccount kunnen inloggen. Ik wil met een tweede middel kunnen inloggen bij een bestaand klantaccount. Ik stap over naar een andere Authenticatiedienst en krijg daar een nieuw middel. Met dat nieuwe middel wil ik nog steeds kunnen inloggen bij een bestaand klantaccount. Bovenstaande is als beeld te vergelijken met het nummerbehoud bij abonnementen van mobiele telefoons. De houder kan ervoor kiezen om bij wijziging van provider het mobiele nummer te behouden. Dezelfde werkwijze wordt ook ondersteund in het eID Stelsel. De houder van een middel moet zelf de keuze kunnen maken om aan een Authenticatiedienst te verzoeken dat een nieuw middel dezelfde PseudoID’s genereert. De PseudoID’s zijn dan niet afhankelijk van het specifieke middel, maar zijn persistent gemaakt op persoonsniveau. Het voordeel hierbij is dat bij een nieuw middel de bestaande koppelingen bij diverse Dienstaanbieders intact blijven. Om persoonlijke redenen (bijvoorbeeld privacy) kan een gebruiker ervoor kiezen om bij een nieuw Authenticatiemiddel juist wel nieuwe PseudoID’s te genereren. Om zijn bestaande klantaccount bij een Dienstaanbieder dan te behouden, zal er wel een nieuwe koppeling tot stand moeten komen. De onderstaande figuur illustreert nogmaals de keuzevrijheid.
3.7.1 Systeemdiagram eID Stelsel [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 1, 21.01.2014] Onderstaand diagram toont de verschillende componenten van het stelsel en de belangrijkste koppelvlakken. De hier geschetste componenten zijn rollen. Er zijn eID-deelnemers die gecertificeerd zijn en hun diensten aanbieden aan andere partijen of aan Gebruikers. eID-deelnemers kunnen zich specialiseren en bijvoorbeeld alleen een makelaarsdienst aanbieden, maar ze kunnen ook kiezen om meerdere rollen in te vullen en daarmee een compleet scala aan eID-diensten aan te bieden. Deze keuzevrijheid geldt voor alle partijen. Zo kan een Dienstaanbieder ervoor kiezen om zelf op te treden als Dienstbemiddelaar; voor veel kleinschalige diensten zal dit zelfs een voor de hand liggende invulling zijn. Een ander voorbeeld is een bedrijf dat zelf Bevoegdheidsverklaringen afgeeft voor zijn eigen werknemers en dus optreedt als Machtigingsdienst.
Figuur 1: Systeemdiagram eID Stelsel 30
3.7.2 Stappen in het tot stand komen van een PseudoID [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 3, paragraaf 3.2, 21.01.2014] De eerste stap wordt gezet op het moment dat de Gebruiker zich meldt als (nieuwe) klant van een Authenticatiedienst. De Authenticatiedienst vraagt voor de nieuwe klant een zogenaamde 29 Polymorfe PseudoID aan bij de Stelsel Autoriteit. Deze Polymorfe PseudoID is de kern van de encryptie van het stelsel. De Polymorfe PseudoID is voor iedere Authenticatiedienst verschillend. Als een Authenticatiedienst voor dezelfde persoon de aanvraag opnieuw indient, zal het resultaat een andere Polymorfe PseudoID zijn. Toch leveren al deze verschijningsvormen na twee transformaties (de eerste bij de Authenticatiedienst, de tweede bij de Dienstaanbieder) steeds dezelfde PseudoID op. [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 3, paragraaf 3.3, 21.01.2014] Een Polymorfe PseudoID wordt berekend en uitgereikt door een vertrouwde centrale partij binnen het stelsel: de Stelselautoriteit/pseudoniemen. De Polymorfe PseudoID wordt aangevraagd door een Authenticatiedienst op het moment dat een Gebruiker zich daar registreert. De Stelselautoriteit controleert de Stamsleutel bij de beheervoorziening BSN en in een eigen administratie. Daarmee voorkomt de Stelselautoriteit dubbele inschrijvingen en signaleert hij niet-unieke Stamsleutels. Een Polymorf PseudoID is randomiseerbaar (aangegeven met een dubbele lijn in Figuur 2). Dat houdt in dat er extra gegevens aan de Polymorfe PseudoID kunnen worden toegevoegd zonder dat dit invloed heeft op de PseudoID’s die van het Polymorfe PseudoID worden afgeleid. Als twee Authenticatiediensten hun aanvraag voor een Polymorfe PseudoID baseren op dezelfde Stamsleutel, zullen ze bij één en dezelfde Dienstaanbieder dezelfde PseudoID opleveren. [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 3, paragraaf 3.4, 21.01.2014] De Authenticatiedienst slaat de ontvangen Polymorfe PseudoID op. Als de 30 Authenticatiedienst gebruik maakt van een “secure device” (bijvoorbeeld een geavanceerde smartcard) als Authenticatiemiddel, dan kan de Polymorfe PseudoID op het middel zelf worden opgeslagen. Authenticatiediensten die gebruik maken van middelen die dit niet ondersteunen (zoals gebruikersnaam/wachtwoord of een eenvoudigere vorm van smartcard ) slaan de Polymorfe PseudoID’s op in de eigen administratie. Hiermee wordt de oplossing bruikbaar voor een breed scala aan Authenticatiemiddelen. Een Polymorfe PseudoID die is opgeslagen op een “secure device” kan bij uitlezen door het middel zelf worden gerandomiseerd. Dat betekent dat de Authenticatiedienst de Polymorfe PseudoID niet meer zal herkennen en dus de authenticatie kan uitvoeren zonder te weten over welke van zijn klanten het gaat. Dit biedt een extra niveau van privacybescherming. Het gaat evenwel ten koste van de volledigheid van de informatie in de audit trail: het is niet meer mogelijk om precies vast te leggen welk gebruik er van een kaart wordt gemaakt. De keuze is 31 hier aan de Gebruiker. 29
Een identificerend kenmerk van de Gebruiker dat wordt berekend en uitgereikt door de Stelselautoriteit/pseudoniemen aan een Authenticatiedienst of Machtigingsdienst. Deze wordt aangevraagd door een Authenticatie- of Machtigingsdienst op het moment dat een Gebruiker zich daar registreert. Een Polymorfe PseudoID wordt afgeleid van de Stamsleutel van een Gebruiker. De gegevens waaruit de Stamsleutel wordt opgebouwd zijn: geslachtsnaam, eerste voornaam, overige voorletters, geboortedatum en geboorteplaats. Een Polymorfe PseudoID wordt berekend door: een hash te berekenen over de combinatie van Stamsleutel, Personage en volgnummer; deze hash te versleutelen met een geheime sleutel van de Stelselautoriteit. De sleutel van de Stelselautoriteit geldt voor het hele stelsel en dient zwaar beveiligd te worden. Opslag in een HSM (Hardware Security Module) is hierbij een vereiste. Het polymorfe karakter van de gegenereerde pseudoniemen (het feit dat ze zich in verschillende gedaanten kunnen manifesteren) maakt ze tot een gevoelig punt, te vergelijken met een encryptiesleutel. Authenticatiediensten dienen daarom Polymorfe PseudoID’s te bewaren in een HSM. 30
Het eID Stelsel zal nader definiëren aan welke voorwaarden een “secure device” moet voldoen. Niet onderzocht is of met een app toepassing die informatie naar een Life Management Platform van een Gebruiker kan worden getransporteerd. Die Gebruiker houdt dan zelf die gegevens bij. Niet uitgewerkt is hoe andere secure devices kunnen worden gebruikt in de vorm van apps op mobile devices. Zie in dat verband het rapport van Kuppingercole : Qiy Independent Trust Framework inzake Life Management Platforms. 31
31
Als de Gebruiker zich door tussenkomst van de Authenticatiedienst ergens wil authentiseren, berekent de Authenticatiedienst uit de Polymorfe PseudoID een Versleutelde PseudoID. Een Authenticatiedienst ontvangt van de Stelselautoriteit/sleutelbeheer een geheime sleutel ten behoeve van het berekenen van Versleutelde PseudoID’s. Deze sleutel (in Figuur 2 aangeduid als Metamorfosesleutel, omdat hij de verschijningsvorm van de Polymorfe PseudoID bepaalt) wordt op een zeer specifiek wijze (aangeduid als CT2) afgeleid van de identiteit van de Authenticatiedienst. De Versleutelde PseudoID wordt berekend op basis van de Polymorfe PseudoID van de Gebruiker, het Personage dat de 32 Gebruiker heeft gekozen , en de identiteit van de Ontvangende Partij. Deze omzetting is aangeduid als CT3. Een Versleutelde PseudoID heeft de volgende eigenschappen. 1. Een Versleutelde PseudoID is randomiseerbaar; 2. Een Versleutelde PseudoID is alleen leesbaar voor de Ontvangende Partij. [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 3, paragraaf 3.5, 21.01.2014] De laatste stap in het aanmaken van de PseudoID wordt uitgevoerd door de Ontvangende Partij. Deze heeft hiertoe van de Stelselautoriteit/sleutelbeheer een eigen geheime sleutel ontvangen. Door deze toe te passen op het ontvangen Versleuteld PseudoID berekent hij het feitelijk te gebruiken pseudoniem (PseudoID) dat het resultaat is van de authenticatie. Een PseudoID is persistent, uniek voor de Ontvangende Partij en alleen afhankelijk van de Stamsleutel van de Gebruiker en het gekozen Personage. Anders gezegd, het geheel van de transformaties CT1, CT2, CT3 en CT4 is zodanig dat het eindresultaat onafhankelijk is van de Authenticatiedienst die de authenticatie uitvoert en van het toevoegen van random informatie aan de Polymorfe PseudoID en de Versleutelde PseudoID. Deze eigenschap is cruciaal; hij zorgt ervoor dat de oplossing tegelijkertijd voldoet aan alle eisen van keuzevrijheid van de Gebruiker, privacybescherming en onafhankelijkheid van toegepaste middelen.
32
Er is nog niet vastgesteld hoe de Gebruiker deze keuze kenbaar maakt. Een mogelijke invulling is dat het Personage wordt gekoppeld aan het middel; dat zou inhouden dat de Gebruiker voor ieder Personage een apart middel moet aanschaffen. Implementaties die koppelen van meerdere Personages aan één middel mogelijk maken zijn ook denkbaar. Intern in het stelsel wordt een Personage gepresenteerd door een getal met een nader te bepalen bereik.
32
Figuur 2: Genereren van PseudoID's 3.7.3 Het gebruik van SectorID’s [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 3, paragraaf 3.6, 21.01.2014] Het bekendste voorbeeld van een SectorID is het BSN. Om dit gebruik mogelijk te maken is het noodzakelijk dat er een verband word gelegd tussen Personage en een SectorID. Dit is 33 de taak van een SectorID-dienst . Daarvoor wordt niet rechtstreeks gebruik gemaakt van de Polymorfe PseudoID; die is daarvoor door zijn steeds wisselende verschijningsvorm niet geschikt. In plaats daarvan wordt er gebruik gemaakt van een PseudoID. In feite gedraagt een SectorID-dienst zich op dit punt als een gewone Attributendienst. Deze oplossing zorgt ervoor dat een SectorID gebruikt kan worden in combinatie met een willekeurig Authenticatiemiddel van een willekeurige Authenticatiedienst.
33
De SectorID-Dienst zorgt ervoor dat op basis van een PseudoID de bijbehorende SectorID van een persoon wordt opgeleverd. Dit gebeurt in de vorm van een Attribuutverklaring en daarom is deSectorID-dienst ook een Attributendienst.
33
Het authenticatieproces verloopt in deze situatie als volgt (zie Figuur 3). 1. De Authenticatiedienst gebruikt in CT3 niet de identiteit van de Dienstaanbieder, maar de identiteit van de SectorID-dienst. 2. Het resultaat is een Versleutelde PseudoID, behorend bij het gebruikte Personage. Deze Versleutelde PseudoID kan alleen door de SectorID-dienst worden gelezen. 3. De SectorID-Dienst past op deze Versleutelde PseudoID zijn eigen geheime sleutel toe en verkrijgt zo de PseudoID waaronder de Gebruiker bij hem bekend is. 4. DeSectorID-Dienst zoekt de bijbehorende SectorID op. Deze SectorID wordt in een 34 Attribuutverklaring opgenomen. De oorspronkelijke Identiteitsverklaring wordt aan de 35 Attribuutverklaring gehecht in een identiteitsketen . Het geheel wordt vervolgens teruggegeven aan de aanvrager (de eID-makelaar). 3.7.4 Gebruik van identiteiten in een identiteitsverklaring [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 3, paragraaf 3.7, 21.01.2014] Iedere Identiteitsverklaring bevat tenminste één Versleutelde PseudoID. Als hij geadresseerd is aan meerdere Ontvangende Partijen, dan bevat hij even zoveel Versleutelde PseudoID’s. Afhankelijk van de context waarin de Identiteitsverklaring gebruikt moet worden kan hij als zelfstandige verklaring voorkomen, kan hij gehecht zijn aan een Attribuutverklaring of aan een Bevoegdheidsverklaring. Zowel attributen als identiteiten zijn kenmerken van een persoon. Een identiteit legt een eenduidig verband tussen een persoon en een verzameling gegevens over meerdere personen, zoals een klantenbestand of een registratie van beroepsbeoefenaren. Daarmee geeft de identiteit het door de Handelende Persoon beoogde gebruik van de keten van verklaringen aan. Neem als voorbeeld een advocaat die zowel een BSN als een advocatennummer (BAR-nummer) heeft. Hij zal zijn BSN gebruiken als hij als burger zaken doet met de overheid en zijn advocatennummer wanneer hij als advocaat handelt. Daarom geldt de volgende regel. Een identiteitsketen kan per Ontvangende Partij slechts één identiteit (PseudoID of SectorID) bevatten. Aan een Attribuutverklaring is altijd een Identiteitsverklaring gehecht. In de meeste gevallen zal dat een Identiteitsverklaring zijn met twee geadresseerden: de Attributendienst zelf en de Ontvangende Partij van de Attribuutverklaring. Er zijn echter ook situaties waarin de Attributendienst de enige geadresseerde is. Immers, PseudoID's zoals hier gebruikt zijn persistent (i.e. bij ieder gebruik hetzelfde). Een persistent gegeven, hoe betekenisloos ook, stelt de ontvanger in staat om een historie op te bouwen van het gebruik van de Handelende 36 Persoon van het stelsel. Dat is niet nodig in de situatie dat bijvoorbeeld alleen een specifiek eigenschap van de Handelende Persoon (bijvoorbeeld ‘ouder dan 18?’) vereist wordt. In dat geval bevat de Identiteitsverklaring alleen de Versleutelde PseudoID voor de Attributendienst. Dat is voor de Ontvangende Partij verder niet leesbaar. Hij kan uit de ontvangen keten afleiden dat de identiteit deugdelijk is vastgesteld, dat de persoon in kwestie inderdaad ouder dan 18, maar niet over wie het gaat. Daarmee bevat de keten precies voldoende informatie voor de Ontvangende Partij.
34 Iedere Identiteitsverklaring bevat tenminste één Versleutelde PseudoID. Als hij geadresseerd is aan meerdere Ontvangende Partijen, dan bevat hij even zoveel Versleutelde PseudoID’s. Afhankelijk van de context waarin de Identiteitsverklaring gebruikt moet worden kan hij als zelfstandige verklaring voorkomen, kan hij gehecht zijn aan een Attribuutverklaring of aan een Bevoegdheidsverklaring. 35 Een identiteitsketen kan per Ontvangende Partij slechts één identiteit (PseudoID of SectorID) bevatten. 36 Een belangrijke vraag is nu: welke ontvangers in het eID Stelsel, zowel eID Deelnemers als Dienstaanbieders, kunnen de identiteit van de Gebruiker herleiden, dan wel wat zijn de reële mogelijkheden om een databestand met dergelijke gegevens met welke partijen te herleiden en wat is daar dan voor nodig. Hier is nog geen risicoanalyse op uit gevoerd. Althans dit blijkt niet uit de ontwerp-documentatie.
34
Figuur 3: Pseudoniemen en sectorale nummers
35
3.7.5. Omvormen van pseudoniemen [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 4, paragraaf 4.1, 21.01.2014] Er is een aantal situaties waarin een specifiek pseudoniem moet worden omgevormd in een ander pseudoniem om bruikbaar te zijn. Gebruik van PseudoID bij Machtigingsdienst Een Gebruiker kan bij een Machtigingsdienst meerdere machtigingen voor verschillende Dienstaanbieders vastleggen. De eis van transparantie houdt dan het volgende in. Een Gebruiker moet kunnen inloggen bij een Machtigingsdienst en al zijn machtigingen zien 37 en beheren (zowel de machtigingen waarin hij als Vertegenwoordigde voorkomt als die waarin hij als Gemachtigde voorkomt). In deze situatie ligt het voor de hand om de Machtigingsdienst te beschouwen als een Dienstaanbieder die de dienst “Beheer Machtigingen” verleent aan de Gebruiker. De Gebruiker wordt geauthentiseerd aan de hand van een PseudoID die specifiek is voor de Machtigingsdienst. Op het moment dat op basis van de geregistreerde machtiging een Bevoegdheidsverklaring moet worden gemaakt, dient deze persoon echter te worden aangeduid op de manier waarop de Ontvangende Partij deze persoon kent, dus met de PseudoID voor de Ontvangende Partij. Het mag voor de Ontvangende Partij immers geen verschil maken of de Vertegenwoordigde zélf inlogt of dat iemand anders dat namens hem of haar doet op basis van een machtiging. Dat kan binnen de cryptografie van het stelsel alleen als de Bevoegdheidsverklaring de Versleutelde PseudoID van de Vertegenwoordigde en de Gemachtigde bevat. Een Bevoegdheidsverklaring bevat de Dienstaanbieder-specifieke Versleutelde PseudoID van de Gemachtigde en de Vertegenwoordigde. Voor de laatste Gemachtigde in een keten kan dat worden gerealiseerd door de Authenticatiedienst. Een Authenticatiedienst levert op verzoek zowel een Versleutelde PseudoID voor de Dienstaanbieder als voor de Machtigingsdienst. Voor de overige Gemachtigden in een keten en voor de Vertegenwoordigde dient de Machtigingsdienst te kunnen beschikken over Polymorfe PseudoID’s van de betrokken personen. Deze worden door de Machtigingsdienst aangevraagd bij de Stelselautoriteit/pseudoniemen als onderdeel van het registratieproces van een machtiging – zie figuur 4. Dit hoeft alleen de eerste keer dat de Gebruiker een machtiging registreert; de Machtigingsdienst zal de ontvangen Polymorfe PseudoID opslaan en bij een volgende gelegenheid hergebruiken. Er zijn meerdere varianten van het aanvraagproces mogelijk, maar als onderdeel van het proces dienen de hier beschreven stappen zowel voor de Vertegenwoordigde als voor de Gemachtigde te worden doorlopen. Het proces begint ermee dat bijvoorbeeld de Vertegenwoordigde inlogt bij de Machtigingsdienst om een aanvraag voor een machtiging in te dienen. In deze context is de Machtigingsdienst de Dienstaanbieder, dus de Authenticatiedienst genereert een Versleutelde PseudoID (CT3) die alleen gelezen kan worden door de Machtigingsdienst. Deze ontcijfert de Versleutelde PseudoID en verkrijgt op die manier de PseudoID van de Vertegenwoordigde voor zijn eigen administratie. Als onderdeel van de authenticatie vraagt de Machtigingsdienst om de attributen waaruit de Stamsleutel van de Gebruiker is opgebouwd. Deze worden als aanvullende attributen meegeleverd in de Identiteitsverklaring. Uit hoofde van zijn rol zal de Machtigingsdienst daarvoor bij toetreding tot het stelsel autorisatie voor hebben gekregen.
37
De vraag is wat hier “beheer” betekent. Machtigingen kunnen worden ingetrokken. Is hier al goed nagedacht over de hiermee gepaard gaande rechtsgevolgen? Kan hij machtigingen aanpassen, manipuleren, verwijderen? Wat zijn de consequenties van rechtswege als hij dat doet voor afgegeven machtigingen? Bestaat die mogelijkheid? Aanstaan en bewaartermijn van loggingen op mutaties? Wie kan daarbij?
36
De Machtigingsdienst gebruikt vervolgens deze gegevens om een eigen aanvraag voor een Polymorfe PseudoID in te dienen bij de Stelselautoriteit/pseudoniemen. Omdat deze gegevens al een keer eerder zijn gebruikt om een Polymorfe PseudoID aan te vragen, zijn daarbij geen complicaties zoals een niet-unieke Stamsleutel te verwachten. De Stelselautoriteit/pseudoniemen berekent een nieuwe Polymorfe PseudoID ten behoeve van 38 de Machtigingsdienst die als onderdeel van de machtigingstriple wordt opgeslagen. Een Machtigingsdienst vraagt voor het genereren van PseudoID’s een eigen Polymorfe PseudoID aan bij de Stelselautoriteit/pseudoniemen. Op het moment dat de Polymorfe PseudoID is ontvangen kan de Machtigingsdienst de voor het samenstellen van de Stamsleutel verkregen attributen verwijderen, voor zover ze niet als comfortinformatie deel uitmaken van de machtiging. In de praktijk zal dit betekenen dat de geboorteplaats en eventuele aanvullende gegevens geschrapt kunnen worden. De Machtigingsdienst beschikt net als een Authenticatiedienst over een Metamorfosesleutel. Als de machtiging wordt opgevraagd, gebruikt de Machtigingsdienst deze om uit de Polymorfe PseudoID een Versleutelde PseudoID ten behoeve van de Dienstaanbieder te genereren. De Dienstaanbieder haalt bij binnenkomst van de Bevoegdheidsverklaring zijn private sleutel over de Versleutelde PseudoID en verkrijgt zo de PseudoID van de Gebruiker. Op basis van de algemene eigenschappen van de cryptografie weten we dan dat dit dezelfde PseudoID is als de Authenticatiedienst voor de Vertegenwoordigde genereert wanneer de Vertegenwoordigde zelf zou inloggen bij de Dienstaanbieder. Wanneer de machtiging tot stand komt via een balieproces verloopt het feitelijk op dezelfde wijze, alleen wordt de Stamsleutel van de Vertegenwoordigde dan afgeleid van de gegevens op het WID. Deze vormt dan de basis voor de aanvraag van de Polymorfe PseudoID. De gegevens voor het aanvragen van een Polymorfe PseudoID verkrijgt de Machtigingsdienst uit een Identiteitsverklaring of uit een eigen registratieproces.
Figuur 4: Pseudoniemen bij een Machtigingsdienst 38
Met de machtigingstriple worden de Vertegenwoordigde, de Gemachtigde en de betrokken dienst bedoeld.
37
3.7.6 Fraudebestrijding: van PseudoID terug naar Stamsleutel [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 4, paragraaf 4.2, 21.01.2014] Er is een situatie waarin de bescherming die een PseudoID biedt moet kunnen worden onderbroken, namelijk wanneer ondersteuning moet worden geboden bij het opsporen van fraude. Dit kan identiteitsfraude zijn, maar ook op andere juridische gronden kan opsporing van een Gebruiker noodzakelijk zijn. Als de Ontvangende Partij een vermoeden heeft van identiteitsfraude, dan kan hij via een 39 daartoe bevoegde instantie een rechtshulpverzoek doen . Op basis dit verzoek daarvan kan de speciale afdeling Stelselautoriteit/opsporing een transformatie uitvoeren waarmee de PseudoID wordt herleid tot de achterliggende Stamsleutel. In Figuur 2 is dit aangeduid als CT5. Voor deze transformatie is uitvoering van een brute-force operatie op de administratie van de Stelselautoriteit/pseudoniemen nodig. De Stelselautoriteit ondersteunt ter bestrijding van fraude de mogelijkheid om een PseudoID terug te herleiden tot de Stamsleutel waarop de PseudoID was gebaseerd. 3.7.7 De SectorID-dienst BSN [Tekst uit document: ”Werking van het eID Stelsel”, hoofdstuk 6, 21.01.2014] Het BSN is een nummer dat alleen gebruikt mag worden door overheidsorganen en partijen die belast zijn met de uitvoering van een overheidstaak. De overheid is verantwoordelijk is voor het ontwikkelen van een SectorID-dienst BSN. Er is geen noodzaak is dat een Authenticatiedienst of een Machtigingsdienst het BSN gebruikt. Dat vereenvoudigt het toelaten van private partijen als Authenticatiedienst of Machtigingsdienst. Voor het vullen van de conversietabel bij het koppelen van een BSN op aanvraag, wordt wederom gebruikt van de beheervoorziening BSN. Dit werkt als volgt. 40 1. De Gebruiker geeft aan dat zijn of haar middel te willen gebruiken bij de overheid. Dit kan meteen bij de aanvraag van het middel, maar het proces kan ook naderhand worden doorlopen. 2. De Gebruiker wordt doorgeleid naar de SectorID-dienst BSN en doorloopt daar een normaal inlogproces. Als onderdeel van dit proces verkrijgt de SectorID-dienst de gegevens voor de Stamsleutel. Omdat het hier om een SectorID-dienst gaat is de dienst gerechtigd om deze gegevens te ontvangen. 3. De SectorID-dienst BSN vraagt bij de beheervoorziening BSN het BSN op. Deze vraag is identiek aan de vraag die de Stelselautoriteit/pseudoniemen heeft gebruikt om het uniek zijn van de Stamsleutel te verifiëren. Omdat de sleutel eerder is gebruikt zijn er verder geen complicaties te verwachten: het BSN wordt gevonden, of de Gebruiker beschikt niet over een BSN. In het laatste geval wordt de procedure afgebroken. Op dat moment beschikt de SectorID-dienst BSN over de combinatie PseudoID en BSN. Deze combinatie wordt vastgelegd in de conversietabel. De gegevens van de Stamsleutel kunnen worden verwijderd. De SectorID-dienst BSN wordt gevuld op aanvraag vanuit een Authenticatiedienst middels het raadplegen van de beheervoorziening BSN. De procedure vertoont dus grote overeenkomst met de procedure die de Machtigingsdienst 41 volgt om een Polymorfe PseudoID aan te vragen bij de Stelselautoriteit/pseudoniemen. 39
Nader onderzoek moet invulling geven aan de voorwaarden waaraan een dergelijk verzoek moet voldoen. Strikt genomen wordt een Personage gekoppeld, niet een Authenticatiemiddel. Impliciete veronderstelling is hier dus dat een middel gebruikt wordt om een Personage te selecteren.
40
38
De verwachting is dat de procedure voor andere SectorID-diensten op dezelfde wijze kan verlopen. Voorwaarde is dat in de sector een dienst aanwezig is die ook de gegevens voor de Stamsleutel bevat. Gezien het generieke karakter van deze gegevens is dat aannemelijk.
41
Vanuit de werkgroep cryptografie is voorgesteld om in plaats van de hier geschetste procedure gebruik te maken van een polymorf versleutelde vorm van het BSN. Deze suggestie wordt nader onderzocht.
39
4. Uitvoering PIA, bevindingen en aanbevelingen Toelichting In de linker kolom worden per privacy principe vragen gesteld. De privacy principes met de groene achtergrond zijn ontleend aan het Model PIA Rijksoverheid. De privacy principes met de blauwe achtergrond zijn ontleend aan de algemene OESO privacy principes. Deze principes worden ook in de PIA van NOREA aangehouden. Deze privacy principes worden in dit rapport gehanteerd. In de middelste kolom worden op de vragen de bevindingen vermeld en waar nodig aanbevelingen gedaan. Inherent aan het eID Stelsel kunnen op basis van de bevindingen de volgende privacy risico’s worden gesignaleerd:
ID: Identiteitsfraude DD: Data deluge'-effect o WA: Waardestijging van persoonsgegevens FC: ‘Function creep’ o OU: Onrechtmatig gebruik van uniek identificerende gegevens o PF: Profiling o VB: Verkeerde behandeling in sociaal en economisch maatschappelijk verkeer o SK: Stigmatisering door koppeling van gegevens IV: Inconsistente implementatie en naleving verantwoordingsbeginsel NT: Geheime (niet transparante) verwerking van persoonsgegevens NE: Niet toegestane verwerking van persoonsgegevens buiten de EU o CC: Nieuwe ontwikkelingen op het terrein van cloudcomputing waarbij gegevens over de gehele wereld kunnen worden verplaatst. DL: Data lekken OB: Omkering van de bewijslast voor de betrokkene GC: Consumenten worden gedwongen om in te stemmen met het gebruik van hun gegevens
De betekenis van deze privacy risico’s is in de bijlage II vermeld.
40
Per privacy principe worden bij benadering de volgende risico’s gesignaleerd: PRIVACY PRINCIPE 2.4 Verantwoording 2.5 Limiteren van het verzamelen van gegevens 2.5 Doelbinding / limiteren van het gebruik van gegevens 2.6 Gegevenskwaliteit 2.7 Beveiliging van gegevens ( Privacy by Design/Privacy Enhancing Technologies) 2.8 Transparantie 2.9 Rechten van betrokkenen
ID x x x x
DD x x x
FC x x x
x
x
Privacyrisico’s IV NT NE x x x x
x
DL x x x
x x
x x x
x x
OB
x x x x
GC x x
x
Aandachtspunt voor de uitvoering van de PIA In het model PIA Overheid zijn de grondslagen voor de rechtmatigheid van verwerkingen van persoonsgegevens niet in de vragen meegenomen. Binnen de overheid wordt verondersteld, dat verwerkingen van persoonsgegevens op basis van een wettelijk grondslag kunnen worden gelegitimeerd. Het eID Stelsel kenmerkt zich echter door samenwerking tussen publiek-private partijen. Binnen het private domein is deze veronderstelde grondslag voor de rechtmatigheid niet zondermeer van zelfsprekend en zijn de rechtmatigheidsvragen voor verwerkingen van persoonsgegevens relevant. Niettemin kan op voorhand worden opgemerkt, dat in het verlengde van die publiek-private samenwerking plaatsvindende verwerkingen van persoonsgegevens in beginsel op de grondslagen in artikel 8 kunnen worden gebaseerd. Met dien verstande dat van geval tot geval de relevante grondslag per verwerking moet worden gemotiveerd. Dit nu zal alsnog een in volgende fase van de PIA moeten gebeuren, indien voorzienbaar is, welke verwerkingen van persoonsgegevens met welke doel precies door welke eID Deelnemers en Dienstaanbieders plaats vinden. Alsdan zal ook duidelijk worden welke aspecten en verwerkingen van het eID Stelsel aanvullend bij wetgeving moeten worden geregeld.
41
Nr.
Vraag
I
Basisinformatie: type persoonsgegevens, type verwerking en noodzaak / gegevensminimalisering
J
N
Bevindingen / Risico’s / Aanbevelingen Vaststellen Privacy relevantie van de PIA
Privacy Principe Limiteren van het verzamelen van gegevens
Een PIA heeft betrekking op de bescherming van de privacy van burgers. Het recht op privacy is onder meer geregeld in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en artikel 10 van de Grondwet. In een PIA heeft privacy vooral betrekking op de bescherming van persoonsgegevens. Het gaat hier om de zogenaamde “informationele privacy”.
Alvorens de PIA op te starten zal eerst de privacy relevantie van het object van onderzoek moeten worden vastgesteld.
Voordat met de uitvoering van de onderhavige PIA wordt gestart, dient de vraag te worden beantwoord, of bij de invoering van het eID Stelsel persoonsgegevens van burgers worden verwerkt. Artikel 1 van de WBP geeft aan wat onder een persoonsgegeven moet worden verstaan: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Deze vraag wordt, op basis van de ontvangen ontwerpdocumentatie bevestigend beantwoord. Volgens de documentatie leidt het eID stelsel, direct of indirect via de te onderkennen functionele componenten voor identificatie, authenticatie, machtigingstoekenning, gekwalificeerde elektronische handtekening en de verstrekking van attributen, tot de verwerking van persoonsgegevens. Binnen het eID Stelsel worden handelingen (transacties) verwerkt met ‘kernidentiteitsgegevens of afgeleide identiteitsgegevens’ op basis waarvan de identiteit van de gebruiker van het eID Stelsel als natuurlijke persoon herleidbaar is. De kernidentiteitsgegevens bevatten een vastgestelde basisset van persoonsgegevens. Een onderdeel van het eID stelsel verloopt ook via het koppelvlak van DigiD, waarbij burgers aan de hand van hun BSN worden geïdentificeerd. Aanvullende gegevens worden verwerkt via de back-office koppelingen tussen overheidspartijen. Bij het gebruik van eID Stelsel zijn twee categorieën gegevens te onderscheiden: 1. de primaire data 2. de secundaire data. Primaire data zijn alle data die worden verwerkt (overeenkomstig de definitie in de Wbp) via het eID Stelsel en secundaire data zijn data die als bijproduct worden gegenereerd, zoals gebruiksdata, log files, statistische data, configuratie data, metadata, etc.. Deze laatste data kunnen ook direct of indirect de status hebben van identificerende persoonsgegevens van het individu die gebruik maakt van het eID Stelsel en/of van de persoon door wie de gebruiker van het eID Stelsel is gemachtigd. Binnen deze 2 categorieën kan kan niet worden uitgesloten dat er sprake is van bijzondere persoonsgegevens waarvoor een verzwaard privacy regime geldt. Dit kunnen bijvoorbeeld medische gegevens zijn die ontleend kunnen worden aan de identiteit van een hulpverlener, arts, zorginstelling of religieuze instelling. Voor het verwerken van het BSN voor bijvoorbeeld SectorID’s is specifieke wetgeving van toepassing. Conclusies Er is sprake van verwerking van persoonsgegevens, zowel in “direct identificerende” als “indirecte identificerende” betekenis. De relevantie van een PIA is hiermee aangetoond; Het eID Stelsel kent op onderdelen de verwerking van BSN-nummers waarop ook specifieke wet- en regelgeving van
42
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
1
Wilt u als verantwoordelijke persoonsgegevens gaan gebruiken voor de verwerking die u voorziet? Zo ja, van welk type?
x
toepassing is; Een verdere beschrijving van betrokken dataverwerkingen en dataflows is nodig, zowel op het niveau van de te onderkennen functionele componenten van het stelsel, als bij de te onderkennen verschillende rollen, verantwoordelijkheden en toepassingsgebieden; Persoonsgegevens dienen benoemd te worden en te worden geclassificeerd naar gevoeligheid. Denk hierbij aan normale persoonsgegevens en potentieel stigmatiserende persoonsgegevens. Indirecte, tot individuen te herleiden gegevens dienen eveneens te worden gespecifieerd en te worden geclassificeerd.
Binnen het eID Stelsel is sprake van verschillende componenten die elektronisch met elkaar communiceren via koppelvlakken. Componenten worden ook wel rollen of eID-deelnemers genoemd. Een eID-deelnemer is een organisatie die specifieke diensten binnen het eIDStelsel aanbiedt. Elke eID-deelnemer treedt officieel toe tot het eID Stelsel en is daarmee gebonden aan de standaarden en afspraken zoals beschreven in het eID Stelsel. Tevens is elke eID Deelnemer onderhavig aan toezicht en handhaving. Voorbeelden van eID-deelnemers zijn: De eID makelaar De SectorID Dienst De Attributendienst De Machtigingsdienst De Authenticatiedienst Het zijn zogezegd “voorbeelden”. Een Dienstbemiddelaar is volgens de definitie ook een eID Deelnemer. Een Dienstaanbieder is volgens de definitie een persoon (natuurlijk of niet-natuurlijk) die kenbaar heeft gemaakt dat het elektronisch bereikbaar is voor burgers en bedrijven, zodat zij als Handelende Persoon in staat worden gesteld om digitale transacties in het kader van een dienst te kunnen uitvoeren42. De eID Deelnemers bieden diensten aan op het eID Stelsel aangesloten partijen zoals de Dienstaanbieder, de Dienstbemiddelaar, de Diensteigenaar of aan Gebruikers. 43 Volgens het systeemdiagram in het document Werking van het eID Stelsel zijn Dienstaanbieders, Dienstbemiddelaars aangesloten partijen” en hebben zij niet de status van eID Deelnemers. Een dienst wordt gedefinieerd als een samenstel van elektronische transacties, gericht op: het tot stand komen van een rechtsbetrekking (het nemen van een besluit of een overeenkomst). het leveren van een product of besluit. het beantwoorden van een informatievraag. De dienst wordt gedefinieerd door een Diensteigenaar en aangeboden door een Dienstaanbieder. De Diensteigenaar bepaalt welke eisen worden gesteld om de transacties binnen de dienst te mogen afnemen. Een Gebruiker is een natuurlijke Handelende Persoon die ofwel voor zichzelf ofwel via een machtiging voor een derde partij een digitale dienst afneemt.
42 43
Tot zover de definities in de Begrippenlijst eID Afsprakenstelsel. Bron: Werking van het eID Stelsel, p. 7
43
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Het toezicht op het eID Stelsel wordt uitgeoefend door één of meer (bestaande) onafhankelijk toezichthouder(s) 44 . Binnen het eID Stelsel bestaat ook de Stelsel Autoriteit. Dit is een Vertrouwde centrale partij binnen het stelsel die beheerstaken uitvoert op drie onderdelen: pseudoniemen, sleutels en opsporing. Deze partij wordt publiek ingevuld. De rol van deze autoriteit komt naar voren bij het toetreden van partijen (eID-deelnemers en Gebruikers) tot het stelsel. Uit het bovenstaande is af te leiden dat er in het eID Stelsel sprake is van begripsverwarring. De vraag welke eID Deelnemers nu als verantwoordelijke optreden is nog niet eenduidig te beantwoorden. De verantwoordelijkheid van specifiek “Verantwoordelijken” in de zin van art. 1 WBP zijn nog niet in de genoemde documentatie ingevuld. Wel worden verantwoordelijkheden voor bepaalde rollen in het eID Stelsel onderscheiden op basis waarvan een status van “Verantwoordelijke” en/of van “Bewerker” gesuggereerd. Echter een eID Deelnemer kan ervoor kiezen één of juist meerdere rollen binnen het eID-Stelsel te vervullen en daarmee in theorie een compleet scala aan eID Diensten aanbieden. Deze keuzevrijheid geldt voor alle partijen, behalve de Stelselautoriteit. Een Dienstaanbieder kan bijvoorbeeld ook optreden als Dienstbemiddelaar. Het systeemdiagram eID Stelsel laat zien welke koppelvlakken/interfaces er tussen de Stelselautoriteit, de eID Deelnemers en de Aangesloten Partijen (Dienstaanbieders/Dienstbemiddelaars) zijn.45 In het document Interface specifications eID Scheme wordt aangegeven welke elementen/datasets deel uitmaken van de berichten die tussen de Stelselautoriteit, de eID Deelnemers en de Dienstaanbieders/Dienstbemiddelaars worden uitgewisseld. Voor de specifieke inhoud van die berichten wordt kortheidshalve naar genoemd document verwezen. 46 Een Middelenuitgever is verantwoordelijk voor de koppeling tussen het Authenticatiemiddel en de Authenticatiedienst. Deze koppeling blijft voor het stelsel verborgen en is daarmee onafhankelijk van de gekozen technologie van het Authenticatiemiddel. Elke Authenticatiedienst wordt via het uniforme koppelvlak K1 benaderd. De interactie tussen de verschillende rollen in het stelsel is complex. Daarom is in het stelsel een afzonderlijke rol gedefinieerd die als taak heeft om de interactie in goede banen te leiden en zo de Dienstaanbieders en Dienstbemiddelaars te “ontzorgen”. Deze rol is de eID-makelaar. De eID-makelaar vraagt aan de Gebruiker van welke Authenticatiedienst hij gebruik wil maken en (indien van toepassing) waar de machtigingen van de Gebruiker zijn geregistreerd. Op basis van de antwoorden routeert hij de Gebruiker door naar de juiste voorzieningen (P19). De eID-makelaar verricht zijn werkzaamheden op basis van een contract of bewerkersovereenkomst met de Dienstbemiddelaar of Dienstaanbieder. De keuze voor een bepaalde eID-makelaar berust bij de Dienstbemiddelaar of Dienstaanbieder (P20). Het is de verantwoordelijkheid van de Dienstbemiddelaar of Dienstaanbieder om te zorgen voor het invullen van de rol van een eID-makelaar voor het ontsluiten van zijn diensten. Ze kunnen ervoor kiezen om een contract af te sluiten met twee of meer eID-
44 45 46
Zie Begrippenlijst eID Afsprakenstelsel programma eID, p.12. Zie Werken van het eID Stelsel, p. 7. Zie de specificaties bij de koppelvakken K1, 2, 3,5,6,8 ( K4 en K7 zijn nog niet gedefinieerd).
44
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen makelaars omwille van de continuïteit van de dienstverlening. In beginsel heeft de eID-makelaar daarmee het recht om dezelfde gegevens te verwerken als de Dienstaanbieder in wiens opdracht hij werkt. Echter, een eID-makelaar kan werken in opdracht van meerdere Dienstaanbieders. Dat zou betekenen dat bij de eID-makelaar een ongewenste concentratie van gegevens ontstaat. Het gebruik van versleutelde pseudoniemen en het maskeren van persoonsgegevens zou dat moeten voorkomen. Echter in de ontwerp documentatie is aangegeven dat de Ontvangende partij de identiteit van een Gebruiker uit een pseudo identiteit kan herleiden. 47 Naast Dienstaanbieder en Dienstbemiddelaar wordt in het stelsel ook nog het begrip Diensteigenaar gebruikt. De Diensteigenaar is de partij die beslist over onder de indeling en naamgeving van de diensten en over alle beleidsmatige aspecten die gelden voor de betreffende dienst, zoals het vereiste Betrouwbaarheidsniveau. Voor diensten waarvoor in het stelsel maar één Dienstaanbieder is, is de Dienstaanbieder tevens Diensteigenaar. Als de dienst door meerdere partijen wordt aangeboden fungeert een overkoepelend orgaan als Diensteigenaar. Gezien het voorgaande bestaan er in het stelsel de volgende onduidelijkheden: in dit stadium is nog niet bepaald wie verantwoordelijke is voor het eID stelsel als totaal. binnen het stelsel worden verschillende rollen en verschillende verantwoordelijkheden onderscheiden, die nog niet allen expliciet vertaald zijn naar de status van “verantwoordelijke” en “bewerker”. Voor bepaalde rollen wordt de status van “bewerker” benoemd, terwijl er ook nog de mogelijkheid bestaat om voor diezelfde rol de status van “verantwoordelijke” aan te nemen. De mogelijkheid wordt opengelaten voor een e-ID Deelnemer of Dienstaanbieder om meerdere rollen aan te nemen, waarbij
47
Zie nu de definitie van Ontvangende Partij. In het model van het stelsel wordt onderscheid gemaakt tussen Dienstaanbieders en Dienstbemiddelaars. Meestal zal de Dienstaanbieder ook het “zichtbare” deel van de dienst tonen: het is de plaats waar de authenticatie en machtigingen van de Gebruiker en alle andere gegevens die nodig zijn voor het afnemen van een dienst worden opgevraagd. Het komt echter ook voor dat een andere partij de Gebruiker ondersteunt in het afnemen van een digitale dienst. Deze dienstverlenende partij wordt de Dienstbemiddelaar genoemd en hij biedt dan het “zichtbare” deel van de dienst aan. Een Dienstbemiddelaar bundelt de verkregen verklaringen en de bijbehorende gegevens en ondertekent het geheel. Daarmee verklaart de Dienstbemiddelaar dat alle verklaringen en gegevens bij elkaar horen (ook associëren genoemd)(P21). De gebundelde verklaringen worden via een webservice of soortgelijke techniek (koppelvlak K4) aangeboden aan de Dienstaanbieder, die na controle van de gegevens besluit of de gevraagde transactie doorgang kan vinden (autorisatiebesluit) en vervolgens de gevraagde dienst ook werkelijk uitvoert. Een Dienstbemiddelaar kan op de volgende twee manieren gepositioneerd worden binnen het stelsel: Als onderdeel van een Dienstaanbieder of als bewerker namens een Dienstaanbieder. De Dienstbemiddelaar heeft dezelfde rechten als de Dienstaanbieder en presenteert zich ook zo aan de Gebruiker. Dat werkt doordat de Dienstbemiddelaar de beschikking heeft over het Stelselcertificaat van de Dienstaanbieder. Als zelfstandige verschijning binnen het eID Stelsel. De Dienstbemiddelaar doorloopt een eigen toelatingstraject en krijgt op basis daarvan een eigen Stelselcertificaat en dus niet het Stelselcertificaat van de Dienstaanbieder Een Dienstbemiddelaar kan optreden als bewerker namens een Dienstaanbieder of op eigen titel worden geregistreerd als eID-deelnemer (P22). Partij in de Begrippenlijst eID Afsprakenstelsel: “Dit is de benaming voor een partij die informatie uit het stelsel ontvangt. Dit kunnen dus zowel partijen binnen het stelsel zijn (eID-makelaars, Machtigingsdiensten, etc.) als partijen die zijn aangesloten op het stelsel (Dienstaanbieders en Dienstbemiddelaars).”
45
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
vooralsnog in de documenten niet duidelijk is, tot welke status (sen)het in die gevallen leidt. Per rol en verantwoordelijkheid is sprake van verwerking van verschillende soorten persoonsgegevens (o.a. Stelselautoriteit-identificatiedienst, Authenticatiedienst, Machtigingsdienst, SectorIDdienst, Attributendienst, EID makelaar, Dienstbemiddelaar, Dienstaanbieder). Het blijkt, dat definities in de Begrippenlijst eID Afsprakenstelsel en het document Werking van het eID Stelsel niet goed op elkaar zijn afgestemd. Dit leidt niet alleen tot begripsverwarring maar ook tot onvoorziene complicaties bij het geven van keuze mogelijkheden in rollen en het aannemen van de status van “verantwoordelijke” en/of “bewerker”.
Welke persoonsgegevens tussen de rollen / component in het eID Stelsel worden uitgewisseld wordt in het document Interface specifications uitgewerkt. Uit een analyse van de gedefinieerde typen data in de berichten over de koppelvlakken tussen de te onderscheiden componenten van het eID Stelsel is tot dusver vooralsnog niet komen vast te staan, dat er niet aan het beginsel van de gegevensminimalisatie wordt voldaan. Ten aanzien van de belangrijke koppelvlakken als K4 Dienstbemiddelaar – Dienstaanbieder en K7 Authenticatiedienst-machtigingendienst en Stelselautoriteit zijn nog geen datasets gespecificeerd. Nog niet is per ”Partij ” en per koppelvlak en per combinatie van rollen aangegeven welke (meta) data in welke loggingen/audittrails worden verzameld. Vanwege het voorgaande is het nog niet verantwoord om hier stellige uitspraken over het beginsel van de verantwoording en de gegevensminimalisatie te doen. Een en ander zal in een volgende PIA fase nog eens nauwgezet moeten worden onderzocht. Conclusies 1. Definities in de te onderscheiden documenten en de beschrijving van de werking van het eID Stelsel zijn nog niet goed op elkaar afgestemd. 2. De begrenzing van het eID Stelsel met daarbij de verantwoordelijkheidsvraag voor verwerkingen van persoonsgegevens door de componenten/rollen en combinatiemogelijkheden is nog niet transparant uitgewerkt. 3. Welke persoonsgegevens een Partij binnen het eID Stelsel verwerkt is ook weer afhankelijk van diens (gecombineerde) rol(len). 4. Uit de documentatie blijkt niet dat er al een risicoanalyse is uitgevoerd op combinaties van rollen en de mogelijke negatieve gevolgen hiervan op de persoonlijke levenssfeer van Gebruikers. Aanbevelingen 1. Stem de gehanteerde begrippen in de Begrippenlijst Afsprakenstelsel en het document Werking van het eID Stelsel goed op elkaar af. 2. Bepaal ook aan de hand van een privacy risicoanalyse welke combinaties van rollen bij een partij tot onbeheersbare privacy risico’s kunnen leiden. 3. Reguleer aan de hand hiervan mogelijke combinaties van rollen en hiermee gepaard gaande verantwoordelijkheden. 4. Definieer daarbij per partij en per rol en per gegevensverwerking in het eID Stel de status van “verantwoordelijke” en van ‘bewerker”. 2
Andere specifieke persoonsgegevens?
2a
Is het de bedoeling om gegevens over de financiële of economische situatie van betrokkenen, of andere gegevens die
x
In de beschikbare documenten over het doel en de werking van het eID Stelsel is geen sprake van de bedoeling om gegevens te verwerken over de financiële of economische situatie van betrokkenen, of andere gegevens die kunnen leiden tot stigmatisering of uitsluiting.
46
Nr.
Vraag
J
N
kunnen leiden tot stigmatisering of uitsluiting te verwerken?
Bevindingen / Risico’s / Aanbevelingen Wel biedt het eID Stelsel faciliteiten om toegang tot systemen te verschaffen waar dergelijke gegevens wel worden verwerkt. Voor de toegang tot dergelijke systemen is dan een hoog authenticatieniveau beschikbaar. De systemen waarop wordt gedoeld, zijn bijvoorbeeld van publieke dienstaanbieders als de justitiële ketens van het Uitvoeringsinstituut Werknemersverzekeringen (UWV), Ministerie van Veiligheid en Justitie, Ministerie van Volksgezondheid, Welzijn en Sport, Belastingdienst, Sociale Verzekeringsbank (SVB), Financiële Dienstaanbieders, Zorgaanbieders. In de audittrails is bij eID Deelnemers is vervolgens herleidbaar, bij welke instellingen, waar dergelijke gegevens worden verwerkt, een Gebruiker aanlogt of diensten afneemt. Niet onvoorstelbaar op voorhand is, dat er Dienstaanbieders / eID Deelnemers rollen zouden kunnen gaan combineren, die in de backoffice wel tot het bedoelde effect kunnen gaan leiden. Althans zo lang er geen ongewenste combinaties van rollen of diensten in het Afsprakenstelsel zijn gedefinieerd. Conclusie 1. In de audittrails van eID Deelnemers kunnen uit de inloggegevens van publieke en private Dienstaanbieders, hoewel hier niet voor bedoeld, indirect gegevens over de financiële of economische situatie van betrokkenen, of andere gegevens die kunnen leiden tot stigmatisering of uitsluiting, worden gedistilleerd. Dit risico neemt toe naarmate eID Deelnemers meerdere rollen kunnen vervullen. Aanbevelingen 1. Hou bij de mogelijkheden van meerdere rollen bij eID Deelnemers rekening met ongewenste cumulatie van data in de audittrails die de genoemde risico’s doen toenemen. 2. Neem in het Afsprakenstelsel toereikende voorwaarden voor doelbinding en toezicht op om die risico’s te elimineren. 3. Dwing dit zonodig met specifieke wetgeving af.
2b
Is het de bedoeling om gegevens over kwetsbare groepen of personen te verwerken?
2c
Is het de bedoeling gebruikersnamen, wachtwoorden en andere inloggegevens te verwerken?
x
x
Uit de documentatie zijn geen bedoelingen te herleiden om gegevens over kwetsbare groepen of personen te verwerken. Zie evenwel de bevindingen, risico’s en aanbevelingen bij 2a. Het eID Stelsel heeft juist tot doel het verwerken van gebruikersnamen, wachtwoorden en andere inloggegevens. Hiermee is het ontstaan van “hotspots” in relatie tot het verschaffen van toegang tot onderliggende systemen onvermijdelijk. (Het registreren van het gebruik, loggen van toegang en het ontstaan van metadata op onderliggende (technische) systeemlagen en audittrails). Wel is het zo dat de architectuur juist is ontworpen om de privacy- en securityrisico’s zoveel als mogelijk te beperken. Met name met de opdeling in rollen en scheiding in verantwoordelijkheden is beoogd het ontstaan van zogenaamde “hotspots” zo veel mogelijk te beperken. Aanbevelingen 1. Neem in het Afsprakenstelsel toereikende voorwaarden voor doelbinding en toezicht op om die risico’s te elimineren. 2. Dwing dit zonodig met specifieke wetgeving af.
2d
Is het de bedoeling om uniek identificerende gegevens, zoals biometrische gegevens, te
x
Ten behoeve van de doeleinden van het eID Stelsel worden juist uniek identificerende gegevens van personen verwerkt.
47
Nr.
Vraag
J
verwerken?
N
Bevindingen / Risico’s / Aanbevelingen Hoewel het niet expliciet in huidig ontwerp beschreven ligt, maar ook niet uitgesloten wordt, is het voorstelbaar dat voor uniek identificerende gegevens, zoals biometrische gegevens, ruimte zal zijn als gevolg van onder andere de ontwerpeisen Multimiddelenstrategie, “Zorg ervoor dat alle partijen gelijke kansen hebben ”en “Keuzevrijheid in aanschaf en gebruik”. 48 Hieronder wordt hier nader op ingegaan. Door de multimiddelenstrategie zijn er binnen het eID Stelsel meerdere eID-middelen beschikbaar. Voordelen hiervan zijn dat de gehele populatie van mogelijke Gebruikers sneller afgedekt wordt en dat men indien nodig direct terug kan vallen op een ander middel. De middelen zijn daarnaast breed inzetbaar; bedrijven en consumenten kunnen dezelfde middelen voor de diensten van zowel de overheid als van bedrijven gebruiken. Bedrijven hoeven daardoor niet te investeren in het uitgeven van eigen middelen om diensten te kunnen aanbieden aan burgers. De ontwerpeis” Zorg ervoor dat alle partijen gelijke kansen hebben”, herbergt potentiele inherente beperkingen. De keuze van de overheid om ook of zelfs uitsluitend een of meer publieke Authenticatiediensten of Machtigingsdiensten aan te bieden in het eID Stelsel mag niet leiden tot oneerlijke concurrentie tussen publieke en private partijen die in het eID Stelsel diensten aanbieden of middelen uitgeven. Dat betekent dat de overheid goed moet kunnen definiëren en onderbouwen waar het belang van realisatie van publieke diensten in het eID Stelsel ligt. Daarnaast moet er ruimte zijn voor alle partijen om innovatie door te voeren binnen de geldende afspraken van het eID Stelsel. De ontwerpeis “Keuzevrijheid in aanschaf en gebruik”, geeft burgers en bedrijven keuzevrijheid ten aanzien van de eID-middelen die zij willen gebruiken. Men kan kiezen voor één publiek of privaat eID-middel. Men kan er ook voor kiezen om meerdere eIDmiddelen naast elkaar te gebruiken. Conclusie 1. Het verwerken van uniek identificerende gegevens is noodzakelijk in het kader van de doelstellingen van het eID Stelsel (behoudens die gevallen waarbij bijvoorbeeld met een attribuut aangaande de leeftijd bij een Dienstaanbieder kan worden volstaan). 2. Hoewel het verwerken van uniek identificerende gegevens, zoals biometrische gegevens, nog niet expliciet als mogelijkheid binnen het eID Stelsel wordt genoemd, is dit op basis van de ontwerpeisen van het Stelsel mogelijk. Het gebruik van biometrische gegevens in identity management informatiesystemen kent afhankelijk van de toepassingen specifieke risico’s, waarmee in het ontwerp rekening moet worden gehouden. Aanbevelingen 1. Denk tijdens de ontwerp fase tijdig na over de noodzaak/wenselijkheid van het verwerken van biometrische ten behoeve van de doelstellingen van het Stelsel. 2. Laat hier een privacy risico analyse uit uitvoeren. 3. Neem de uitkomst ervan tijdig mee in de ontwerpeisen van het Stelsel en in het Afsprakenstelsel.
2e
48
Is het de bedoeling om het BSN-nummer, of een ander persoonsgebonden nummer te
x
In het eID Stelsel wordt het verwerken van het BSN juist zo veel mogelijk beperkt door het identificatie en authenticatie proces op een andere manier dan via een persoonsgebonden nummer uit te voeren en wel op de volgende manier.
Zie Stakeholders, belangen en ontwerpeisen, par. 4.2, E11en E13.
48
Nr.
Vraag verwerken?
J
N
Bevindingen / Risico’s / Aanbevelingen Niet binnen alle rollen en componenten speelt het BSN nummer een rol. Als een Gebruiker in een bepaalde rol een dienst af wil nemen, genereert het eID Stelsel een PseudoID als representatie van het Personage van de Gebruiker bij de Dienstaanbieder. De PseudoID is onafhankelijk van het gebruikte Authenticatiemiddel en van de gebruikte Authenticatiedienst. De Authenticatiedienst vraagt voor de nieuwe klant een zogenaamde Polymorfe PseudoID aan bij de Stelselautoriteit. Deze Polymorfe PseudoID is de kern van de encryptie van het stelsel. De aanvraag is gebaseerd op een beperkte set persoonsgegevens, die opgenomen zijn in een WID (een document als bedoeld in lid 1 van de Wet op de Identificatieplicht of een daarmee gelijk te stellen buitenlands identiteitsdocument). De te gebruiken gegevens zijn geslachtsnaam, eerste voornaam, overige voorletters, geboortedatum en geboorteplaats; als één van de gegevens niet bekend is wordt een nader te bepalen standaardwaarde gebruikt. Samen vormen deze gegevens de Stamsleutel. Door hiervoor niet het BSN te gebruiken worden problemen vermeden met identiteitsdocumenten waar geen BSN opstaat en met de wettelijke restricties die gelden voor het gebruik van het BSN. Voor het afleiden van Polymorfe PseudoID wordt door de Stelselautoriteit dus niet het BSN gebruikt. Een Polymorfe PseudoID wordt immers afgeleid van persoonskenmerken, opgenomen in een identiteitsdocument (P35). Daarbij wordt zodoende geen gebruik gemaakt van persoonsnummers. Voordat de Stelselautoriteit een aanvraag voor een Polymorfe PseudoID honoreert wordt gecontroleerd op uniciteit door de aangeleverde gegevens te controleren tegen de beheervoorziening BSN. Dit is de voorziening die ook wordt geraadpleegd bij eerste inschrijving in de GBA om dubbele inschrijvingen te voorkomen. Ook wordt gecontroleerd of een persoon al eerder is opgenomen in de administratie van de Stelselautoriteit om te voorkomen dat eenzelfde persoon onder twee verschillende Stamsleutels wordt ingeschreven, bijvoorbeeld door een klein verschil in de fonetische schrijfwijze van een buitenlandse naam. Hiervoor wordt gebruik gemaakt van dezelfde zoekalgoritmes die voor de beheervoorziening BSN zijn ontwikkeld. De Stelselautoriteit controleert de Stamsleutel bij de beheervoorziening BSN en in een eigen administratie. Daarmee voorkomt de Stelselautoriteit dubbele inschrijvingen en signaleert hij niet-unieke Stamsleutels(P36)49 Als de controles een eenduidig resultaat opleveren registreert de Stelselautoriteit de persoonskenmerken. Het BSN wordt hierbij genegeerd. Als de controle signaleert dat de Stamsleutel niet uniek is, moeten aanvullende gegevens worden gebruikt. Een private Authenticatiedienst beschikt daartoe niet over de nodige controlemogelijkheden. De Stamsleutel wordt door de Stelselautoriteit gebruikt om de Polymorfe PseudoID af te leiden; dit is in figuur 2 aangegeven als CT1 (Cryptografische Transformatie 1). De Polymorfe PseudoID wordt vervolgens geleverd aan de Authenticatiedienst. Een Polymorf PseudoID is randomiseerbaar (aangegeven met een dubbele lijn in figuur 2). Dat houdt in dat er extra gegevens aan de Polymorfe PseudoID kunnen worden toegevoegd zonder dat dit invloed heeft op de PseudoID’s die van het Polymorfe PseudoID worden afgeleid (P38). Dit randomiseren kan op meerdere plaatsen worden toegepast, onder andere bij de Stelselautoriteit zelf. Dit betekent dat als er meerdere malen een Polymorfe PseudoID voor een Gebruiker wordt aangevraagd, het resultaat er steeds anders uit zal zien. Een Polymorfe PseudoID is specifiek voor de Authenticatiedienst die de Polymorfe PseudoID heeft aangevraagd, zonder dat dit invloed heeft op de PseudoID’s die van de Polymorfe PseudoID worden afgeleid (P39).
49
Zie Werking van het EID Stelsel, par.3.3, P35. Voor het samenstellen van de Stamsleutel wordt door De te gebruiken gegevens zijn geslachtsnaam, eerste voornaam, overige voorletters, geboortedatum en geboorteplaats; als één van de gegevens niet bekend is wordt een nader te bepalen standaardwaarde gebruikt. Samen vormen deze gegevens de Stamsleutel.
49
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Hier wordt gerealiseerd: als twee Authenticatiediensten hun aanvraag voor een Polymorfe PseudoID baseren op dezelfde Stamsleutel, zullen ze bij één en dezelfde Dienstaanbieder dezelfde PseudoID opleveren. De Authenticatiedienst slaat de ontvangen Polymorfe PseudoID op. Als de Authenticatiedienst gebruik maakt van een “secure device”50 (bijvoorbeeld een geavanceerde smartcard) als Authenticatiemiddel, dan kan de Polymorfe PseudoID op het middel zelf worden opgeslagen. Authenticatiediensten die gebruik maken van middelen die dit niet ondersteunen (zoals gebruikersnaam/wachtwoord of een eenvoudigere vorm van smartcard ) slaan de Polymorfe PseudoID’s op in de eigen administratie (P40).51 Hiermee wordt de oplossing bruikbaar voor een breed scala aan Authenticatiemiddelen. Een Polymorfe PseudoID die is opgeslagen op een “secure device” kan bij uitlezen door het middel zelf worden gerandomiseerd. Dat betekent dat de Authenticatiedienst de Polymorfe PseudoID niet meer zal herkennen en dus de authenticatie kan uitvoeren zonder te weten over welke van zijn klanten het gaat. Dit biedt een extra niveau van privacybescherming. Het gaat evenwel ten koste van de volledigheid van de informatie in de audit trail: het is niet meer mogelijk om precies vast te leggen welk gebruik er van een kaart wordt gemaakt.52 De keuze is hier aan de gebruiker. De informatie in een audit trail is zodoende voor een Authenticatiedienst afhankelijk van de gebruikte techniek (P41). Als de Gebruiker zich door tussenkomst van de Authenticatiedienst ergens wil authentiseren, berekent de Authenticatiedienst uit de Polymorfe PseudoID een Versleutelde PseudoID. Een Authenticatiedienst ontvangt van de Stelselautoriteit/sleutelbeheer een geheime sleutel ten behoeve van het berekenen van Versleutelde PseudoID’s. Deze sleutel (in figuur 2 aangeduid als Metamorfosesleutel, omdat hij de verschijningsvorm van de Polymorfe PseudoID bepaalt) wordt op een zeer specifiek wijze (aangeduid als CT2) afgeleid van de identiteit van de Authenticatiedienst. De Versleutelde PseudoID wordt berekend op basis van de Polymorfe PseudoID van de Gebruiker, het Personage dat de Gebruiker heeft gekozen 53, en de identiteit van de Ontvangende Partij. Deze omzetting is aangeduid als CT3. Een Versleutelde PseudoID is randomiseerbaar (P43). Een Versleutelde PseudoID is alleen leesbaar voor de Ontvangende Partij (P44). De laatste stap in het aanmaken van de PseudoID wordt uitgevoerd door de Ontvangende Partij54. Deze heeft hiertoe van de Stelselautoriteit/sleutelbeheer een eigen geheime sleutel ontvangen. Door deze toe te passen op het ontvangen Versleuteld PseudoID, berekent hij het feitelijk te gebruiken pseudoniem (PseudoID) dat het resultaat is van de authenticatie.
50
Zie Werking van het EID Stelsel, par. 3.4. Het eID Stelsel zal nog nader definiëren aan welke voorwaarden een “secure device” moet voldoen. Het gebruik van een secure device valt daarom buiten de scope van de PIA. 51 Idem. 52 Dit impliceerde nu juist een hotspot bij een authenticatiedienst over de Gebruiker v.w.b. alle bezochte Dienstenleveranciers) (Impliceert dat ook dat een hash van een template van een vingerafdruk/vingeraderpatroon aan en dergelijke randomiseerbare Polymorfe PseudoID gekoppeld kan worden?). 53 Er is nog niet vastgesteld hoe de Gebruiker deze keuze kenbaar maakt. Een mogelijke invulling is dat het Personage wordt gekoppeld aan het middel; dat zou inhouden dat de Gebruiker voor ieder Personage een apart middel moet aanschaffen. Implementaties die koppelen van meerdere Personages aan één middel mogelijk maken zijn ook denkbaar. Intern in het stelsel wordt een Personage gepresenteerd door een getal met een nader te bepalen bereik. 54 Aandachtspunt: welke partij wordt hier bedoeld? De Dienstaanbieder of alle componenten binnen het eID Stelsel? Denk ook aan combinaties van rollen.
50
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Een PseudoID is persistent, uniek voor de Ontvangende Partij en alleen afhankelijk van de Stamsleutel van de Gebruiker en het gekozen Personage (P45). Anders gezegd, het geheel van de transformaties CT1, CT2, CT3 en CT4 is zodanig dat het eindresultaat onafhankelijk is van de Authenticatiedienst die de authenticatie uitvoert en van het toevoegen van random informatie aan de Polymorfe PseudoID en de Versleutelde PseudoID. Deze eigenschap is cruciaal; hij zorgt ervoor dat de oplossing tegelijkertijd voldoet aan alle eisen van keuzevrijheid van de Gebruiker, privacybescherming en onafhankelijkheid van toegepaste middelen. Het BSN nummer heeft wel een rol binnen het eID stelsel op generiek niveau en op sectorniveau. Namelijk de sector van het publieke domein. Deze SectorID-dienst BSN is essentieel voor de bruikbaarheid van het stelsel voor de overheid.55 Het eID Stelsel is weliswaar ontworpen voor het gebruik van pseudoniemen, maar het biedt daarnaast de mogelijkheid om gebruik te maken van sectorale nummers, hier SectorID’s genoemd. Een sector wordt in dit verband gedefinieerd als een groep Dienstaanbieders die gegevens uitwisselen op basis van een gemeenschappelijk identificerend nummer (zoals bijvoorbeeld het BSN). Voor burgers is de hele overheid in deze betekenis dus één sector.56 Een machtiging wordt vastgelegd op basis van pseudoniemen. Als een Dienstaanbieder een Bevoegdheidsverklaring op basis van een BSN of een andere SectorID nodig heeft, dan zorgt de eID-makelaar ervoor dat de benodigde Attribuutverklaring worden opgehaald bij de SectorID-dienst en aan de Bevoegdheidsverklaring wordt gehecht. Een Machtigingsdienst doet dit nooit zelf.57 Voor het samenstellen van de Stamsleutel wordt door De te gebruiken gegevens zijn geslachtsnaam, eerste voornaam, overige voorletters, geboortedatum en geboorteplaats; als één van de gegevens niet bekend is wordt een nader te bepalen standaardwaarde gebruikt. Samen vormen deze gegevens de Stamsleutel. Iedere Identiteitsverklaring bevat tenminste één Versleutelde PseudoID. Als hij geadresseerd is aan meerdere Ontvangende Partijen, dan bevat hij even zoveel Versleutelde PseudoID’s. Afhankelijk van de context waarin de Identiteitsverklaring gebruikt moet worden kan hij als zelfstandige verklaring voorkomen, kan hij gehecht zijn aan een Attribuutverklaring of aan een Bevoegdheidsverklaring. Zowel attributen als identiteiten zijn kenmerken van een persoon. Een identiteit legt een eenduidig verband tussen een persoon en een verzameling gegevens over meerdere personen, zoals een klantenbestand of een registratie van beroepsbeoefenaren. Daarmee geeft de identiteit het door de Handelende Persoon beoogde gebruik van de keten van verklaringen aan. Neem als voorbeeld een advocaat die zowel een BSN als een advocatennummer (BAR-nummer) heeft. Hij zal zijn BSN gebruiken als hij als burger zaken doet met de overheid en zijn advocatennummer wanneer hij als advocaat handelt. Daarom geldt de volgende regel. Een identiteitsketen kan per Ontvangende Partij slechts één identiteit (PseudoID of SectorID) bevatten (P48). Aan een Attribuutverklaring is altijd een Identiteitsverklaring gehecht. In de meeste gevallen zal dat een Identiteitsverklaring zijn
55 56 57
Zie Werking van het eID Stelsel, p.6. Zie Werking van het eID Stelsel, par. 2.2. Zie Werking van het eID Stelsel, par. 2.3.
51
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen met twee geadresseerden: de Attributendienst zelf en de Ontvangende Partij van de Attribuutverklaring. Er zijn echter ook situaties waarin de Attributendienst de enige geadresseerde is. Immers, PseudoID's zoals hier gebruikt zijn persistent (i.e. bij ieder gebruik hetzelfde). Een persistent gegeven, hoe betekenisloos ook, stelt de ontvanger in staat om een historie op te bouwen van het gebruik van de Handelende Persoon van het stelsel. Dat is niet nodig in de situatie dat bijvoorbeeld alleen een specifiek eigenschap van de Handelende Persoon (bijvoorbeeld ‘ouder dan 18?’) vereist wordt. In dat geval bevat de Identiteitsverklaring alleen de Versleutelde PseudoID voor de Attributendienst. Dat is voor de Ontvangende Partij verder niet leesbaar. Hij kan uit de ontvangen keten afleiden dat de identiteit deugdelijk is vastgesteld, dat de persoon in kwestie inderdaad ouder dan 18, maar niet over wie het gaat. Daarmee bevat de keten precies voldoende informatie voor de Ontvangende Partij. Conclusie 1. Het Gebruik van het BSN wordt in het eID Stelsel zo veel mogelijk beperkt en alleen gebruikt voor de doeleinden waarvoor dit daadwerkelijk nodig is.
3
Kan van elk van de onder vraag I.1 en vraag I.2 opgevoerde typen persoonsgegevens worden gesteld dat zij beleidsmatig of technisch direct van belang en onontbeerlijk zijn voor het bereiken van de beleidsdoelstelling? Wat zou er precies niet inzichtelijk worden als ervoor wordt gekozen bepaalde gegevens niet te verwerken? Licht per te verwerken persoonsgegeven toe.
x
De vraag of van elk van de onder vraag I.1 en vraag I.2 opgevoerde typen persoonsgegevens kan worden gesteld dat zij beleidsmatig of technisch direct van belang en onontbeerlijk zijn voor het bereiken van de beleidsdoelstelling, is van bijzondere betekenis voor het eID Stelsel. Het eID Stelsel is vooral een concept om het gebruik van persoonsgegevens te minimaliseren bij het bereiken van het doel: het verschaffen van een betrouwbaar middel voor het identificeren, autoriseren en machtigen van personen in de digitale wereld, voor zowel het publieke als het private domein, voor burgers en bedrijven. Hiermee wordt geanticipeerd op de maatschappelijke ontwikkeling dat meer en meer van het maatschappelijke verkeer via digitale kanalen plaatsvindt. Het eID Stelsel kent daarvoor ook een vorm van “functiescheidingen” die per type verwerking tot doel heeft om de verwerking van persoonsgegevens in het Stelsel te minimaliseren én dit geldt ook voor het onthullen ervan per Ontvangende partij. Op onderdelen van het Stelsel zijn extra gegevensminimaliserende maatregelen genomen of te nemen, afhankelijk van de keuze van de Gebruiker. Onder vraag 2 is bijvoorbeeld al aangegeven, dat: Een PseudoID persistent, uniek voor de Ontvangende Partij en alleen afhankelijk is van de Stamsleutel van de Gebruiker en het gekozen Personage (P45). Dit de ontvanger in staat stelt om een historie op te bouwen van het gebruik van de Handelende Persoon van het stelsel. Dat dit niet is nodig in de situatie dat bijvoorbeeld alleen een specifiek eigenschap van de Handelende Persoon (bijvoorbeeld ‘ouder dan 18?’) vereist wordt. In dat geval bevat de Identiteitsverklaring alleen de Versleutelde PseudoID voor de Attributendienst. Dat is voor de Ontvangende Partij verder niet leesbaar. Hij kan uit de ontvangen keten afleiden dat de identiteit deugdelijk is vastgesteld, dat de persoon in kwestie inderdaad ouder dan 18, maar niet over wie het gaat. Daarmee bevat de keten precies voldoende informatie voor de Ontvangende Partij. Een Polymorfe PseudoID die is opgeslagen op een “secure device” kan bij uitlezen door het middel zelf worden gerandomiseerd. Dat betekent dat de Authenticatiedienst de Polymorfe PseudoID niet meer zal herkennen en dus de authenticatie kan uitvoeren zonder te weten over welke van zijn klanten het gaat. Dit biedt een extra niveau van
52
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
privacybescherming. Voor wat betreft ontwerp eis P2658 aangaande de toegang tot attributen aangegeven is, dat een Ontvangende Partij niet meer gegevens krijgt dan waar hij recht op heeft. Dat dit in lijn is met het principe van dataminimalisatie.
In het document Interface specifications zijn de berichten met de datasets opgenomen die tussen de eID Deelnemers kunnen worden uitgewisseld conform het Systeemdiagram eID Stelsel in het document Werking van het eID Stelsel. Het betreft de koppelvlakken: K1: eID makelaar – Authenticatiedienst K2: eID makelaar –Machtigingsdienst K8: eID makelaar – Attributendienst K5: eID makelaar – Sector ID provider K3: Dienstaanbieder – eID Makelaar Op het niveau van deze high level PIA komt de inhoud van de berichten ons voor als zijnde noodzakelijk voor het effectueren van de te onderscheiden doelstellingen van het eID Stelsel. Dit geldt ook voor de algemene specificaties voor de berichten. Voor de typen gegevens in de berichten tussen de eID Deelnemers wordt kortheidshalve verwezen naar de inhoud van de specificaties in het document Interface specifications. De volgende berichten over de koppelvlakken: K4: Dienstbemiddelaar - Dienstaanbieder K7: Authenticatiedienst – Machtigingendienst - Stelselautoriteit waren nog niet gespecificeerd en zullen in en volgende fase van het ontwerp moeten worden beoordeeld. Conclusies59 1. Van elk van de onder vraag I.1 en vraag I.2 opgevoerde typen persoonsgegevens (lees hier: de datasets zoals per koppelvlak gedefinieerd in Interface specifications eID Scheme) kan worden gesteld dat zij beleidsmatig of technisch direct van belang en onontbeerlijk zijn voor het bereiken van de eerder aangegeven beleidsdoelstellingen van het eID Stelsel. Dit gaat nog niet op voor de koppelvlakken K4 en K7 omdat deze nog niet in de ontwerp documentatie zijn gespecificeerd. 2. Voor bepaalde doeleinden, bijvoorbeeld het vaststellen van de leeftijd van een Gebruiker is het voor een dienstaanbieder niet nodig om daarbij de identiteit van de Gebruiker te vernemen. Volstaan kan worden met het leveren a neen attribuut, dat een persoon ouder of jonger is dan een bepaalde leeftijd. 3. Ingeval van een Polymorfe PseudoID die is opgeslagen op een “secure device” kan bij uitlezen door het middel zelf worden gerandomiseerd. Met behulp van een secure device is het voor de Authenticatiedienst niet meer mogelijk om de Polymorfe PseudoID te herkennen en dus de authenticatie kan uitvoeren zonder te weten over welke van zijn klanten het gaat. Dit biedt een extra niveau van privacybescherming. 4. De genoemde risico’s worden door dataminimalisatie zo veel als mogelijk is gemitigeerd. 5. Ingeval van het gebruik van een “secure device” is het niet meer mogelijk om precies vast te leggen welk gebruik er van een kaart wordt gemaakt. Maar dit verhoogt weer het risico voor de omkering van de bewijslast van de betrokkene ingeval van 58
Zie Werking eID Stelsel, p.12. De conclusie is beperkt tot de onderstaande voorbeelden die rechtstreeks aan De werking van het eID Stelsel zijn ontleend. Voor de precieze beantwoorden van de vraag zal een verdergaande analyse per gegeven(set) per Ontvanger moeten worden uitgevoerd aan de hand van de Interface specifications. Dit vergt veel tijd en dient schematisch te gebeuren, waarvoor we hier een voorbehoud maken. 59
53
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen misbruik van de kaart, althans als er niet langs een andere weg een audittrail wordt bijgehouden. Uit de ontwerp documentatie blijkt niet of er voldoende is onderzocht welke mogelijkheden er hiertoe zijn of kunnen worden ontwikkeld.
Aanbevelingen 1. Ga door met het aanvullen van de specificaties van de typen data die nodig zijn voor het berichtenverkeer over de koppelvlakken K4 en K7. 2. Onderzoek de mogelijkheden voor het bijhouden van audittrails over het gebruik van een secure device, bijvoorbeeld de mogelijkheden om aan te sluiten bij Life Management Platforms.60 3. Onderzoek of een Gebruiker in een dergelijke omgeving de mogelijkheid heeft om (bijvoorbeeld met een app op een mobile device audittrails in een eigen secure omgeving op te slaan. De Gebruiker kan dan zelf bepalen aan wie hij deze gegevens ter beschikking wil stellen. 4
Kan als het gaat om gevoelige persoonsgegevens hetzelfde beleidseffect of technisch resultaat worden bereikt op een van de volgende wijzen: (a) door (gecombineerd) gebruik van normale persoonsgegevens, (b) door gebruik van geanonimiseerde of gepseudonimiseerde gegevens?
x
Binnen de “kern van het eID Stelsel” worden indirect gevoelige gegevens verwerkt(zoals bijvoorbeeld de identiteit van zorginstellingen als Dienstaanbieder, zijnde aan een Gebruiker gekoppeld gegeven omtrent iemands gezondheid) gekoppeld aan identificerende en authenticatiegegevens van een Gebruiker, waaronder ook zogenaamde verklaringen en machtigingsinformatie. Binnen dit stelsel wordt gebruik gemaakt van pseudo identiteiten (die ook weer versleuteld worden) met daaraan gekoppelde versleutelde attributen, die uitsluitend weer door een specifieke ontvangende partij met behulp van een geheime sleutel kunnen worden ontsleuteld. In dat verband wordt verwezen naar de beantwoording van vraag de voorgaande vragen 2 en 3. In al de gevallen waarbij langs die weg in het eID Stelsel (of langs een andere weg daarbuiten) de identiteit van een Gebruiker kan worden vastgesteld, blijft er sprake van het verwerken van (gevoelige) persoonsgegevens. Conclusie 1. Binnen het eiD-Stelsel wordt voor het mitigeren van privacy risico’s zo veel als maar mogelijk is bij het verwerken van gevoelige persoonsgegevens gebruik gemaakt van pseudo identiteiten voor Gebruikers en het versleutelen van indirect gevoelige gegevens.
5
60
In welk breder wettelijk, beleidsmatig of technisch kader wordt het voorziene beleid/databestand/informatiesysteem ontwikkeld en wat voor soort(en) verwerking(en) van persoonsgegevens gaan hiervan deel uitmaken bij het voorziene traject? Wordt hierbij gebruikt gemaakt van (nieuwe) technologie of informatiesystemen?
x
De ontwikkeling van het eID Stelsel maakt onderdeel uit van het regeerakkoord. In het regeerakkoord is de doelstelling opgenomen dat burgers en bedrijven in 2017 digitaal met de overheid zaken moeten kunnen doen. Van belang is daarbij een veilige en betrouwbare toegang voor burgers en bedrijven tot deze elektronische dienstverlening. Hierbij moet de identiteit en de bevoegdheid van burgers en bedrijven met een voldoende mate van zekerheid vastgesteld kunnen worden. Er is een breed gedragen gevoel van urgentie: het toenemende gebruik en de noodzaak tot voorkoming van misbruik vraagt om een elektronische identiteitsvaststelling die meer betrouwbaar en toekomstbestendig is. Nieuwe technologische en economische ontwikkelingen bieden kansen en vragen tegelijk om continue alertheid op veiligheidsrisico’s. Nieuwe technologische en economische ontwikkelingen bieden kansen en vragen tegelijk om continue alertheid op veiligheidsrisico’s. Een toekomstbestendige betrouwbare identiteitsvaststelling is een essentiële voorwaarde.
Zie CuppingerCole Product Report, by Alexei Balaganski, April 2013.
54
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Tot nu toe hebben publieke en private organisaties hun eigen oplossingen bedacht voor online identificatie. Deze oplossingen zijn onderling niet of beperkt uitwisselbaar en in een aantal gevallen niet meer toereikend, zoals bij transacties waarbij privacygevoelige informatie wordt uitgewisseld. Het investeren in nieuwe voorzieningen met een hoger betrouwbaarheidsniveau is kostbaar voor deze organisaties. Daarom streven we naar een stelsel met publiek en private partijen om kosten te spreiden. Bovendien moeten kwetsbaarheden en afhankelijkheden van een enkele oplossing worden voorkomen (lees: Diginotar). De ministeries van BZK en EZ, enkele grote uitvoeringsorganisaties en medeoverheden hebben daarom in 2012 een strategische verkenning uitgevoerd naar de mogelijkheden voor een publiek-privaat stelsel voor elektronische identificatie (het eID Stelsel). Beoogd onderdeel van dat stelsel wordt de invoering van een publiek uitgegeven eID middel met een hoog betrouwbaarheidsniveau (DigiD-kaart). De uitgangspunten van de strategische verkenning zijn dit jaar getoetst bij een brede groep publieke en private organisaties zoals de gemeentelijke overheden, de grotere uitvoeringsorganisaties verenigd in de Manifestgroep, juridische dienstverleners (onder andere advocatuur, notariaat), leveranciers van authenticatiediensten, de thuiswinkelbranche en het bank- en verzekeringswezen. Er is draagvlak om publiek-privaat samen te werken aan de totstandkoming van het eID Stelsel met daarin de DigiD-kaart als één van de authenticatiemiddelen. Inmiddels heeft de stuurgroep besloten de DigiD-kaart niet verder te ontwikkelen. 61 Met het eID Stelsel wordt tevens een bijdrage geleverd aan de bestrijding van cybercrime en identiteitsfraude omdat bij gebruik van middelen met een hoger betrouwbaarheidsniveau met grotere zekerheid kan worden vastgesteld dat degene die handelt ook werkelijk degene is die hij zegt te zijn. Ook moet het stelsel bijdragen aan een betere naleving van leeftijdsverificatie alvorens bepaalde diensten of producten worden verleend of verstrekt. In Nederland worden via verschillende sporen elektronische identificatie-diensten aangeboden. Aan de overheidszijde is er onder andere voor natuurlijke personen DigiD, bedrijven kunnen gebruik maken van eHerkenning. In de private sectoren werken organisaties eveneens met diverse authenticatievoorzieningen: denk aan bankpassen en middelen om toegang te krijgen tot de dienstverlening van webwinkels. De huidige scheidslijnen tussen de privaat en publiek georganiseerde vertrouwensdienstverlening leveren een aantal onwenselijkheden en risico’s op. Zo zijn er onnodige administratieve lasten voor burgers en bedrijven. Voor het verkrijgen van toegang tot publieke elektronische diensten, moeten burgers en bedrijven andere authenticatiemiddelen gebruiken dan voor de toegang tot private elektronische diensten. Een risico is dat bij uitval van een voorziening niet overgeschakeld kan worden naar een back-up. Hierdoor kan de continuïteit van de dienstverlening niet in alle gevallen gegarandeerd worden. Publieke en private organisaties geven in het kader van fraudepreventie en privacy-bescherming aan bij bepaalde transacties pas verder te willen digitaliseren als mensen en organisaties op een hoger betrouwbaarheidsniveau digitaal kunnen aantonen dat ze daadwerkelijk zijn wie ze zeggen te zijn. Private organisaties lopen zo minder risico op niet-inbare facturen en oplopende betalingstermijnen die voor extra kosten zorgen. Overheidsorganisaties kunnen de effecten van identiteitsfraude bij het innen van heffingen of het uitkeren van subsidies en andere financiële tegemoetkomingen beperken. Ook is er behoefte aan voorzieningen voor betere naleving van wettelijke leeftijdseisen die aan (online) levering van bepaalde producten en diensten zijn verbonden.
61 Inmiddels heeft de stuurgroep besloten de DigiD-kaart niet verder te ontwikkelen. Dit besluit is tijdens de uitvoering van deze PIA gevallen. Wij hebben in deze rapportage op de pagina’s 55 t/m 57 de opmerkingen inzake de DigiD-kaart laten staan omwille van de opgedane inzichten. De verwijzingen in deze rapportage specifiek naar de DigiD-kaart dienen tegen deze achtergrond te worden bezien.
55
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Binnen het eID Stelsel worden diverse bestaande en nieuwe, publieke en private middelen met verschillende betrouwbaarheidsniveaus voor online identificatie ondergebracht. Dit wordt een multi-middelenstrategie genoemd. Het stelsel biedt de gebruiker de gelegenheid om de omvang van zijn of haar digitale sleutelbos (eID middelen) zelf te bepalen als mede keuzevrijheid bij het gebruik van het middel. Tegelijkertijd worden de elektronische dienstaanbieders door het stelsel ontzorgd omdat het stelsel zorgdraagt voor authenticatie van het middel, en vaststelt of de gebruiker bevoegd is namens een ander te handelen (op basis van een machtiging of wettelijke vertegenwoordiging). Ook wordt hiermee een terugvaloptie gecreëerd: bij uitval van één middel kan de gebruiker overstappen op gebruik van een ander middel. Het eID Stelsel bouwt voort op het Afsprakenstelsel eHerkenning. eHerkenning migreert in 2014 naar het eID Stelsel. Dienstverleners kunnen blijven aansluiten op eHerkenning. Aansluiten op eHerkenning blijft zodoende toekomst vast. Het kabinet is uitdrukkelijk van mening dat er voluit ruimte moet zijn voor inzet van private eID-voorzieningen, ook voor natuurlijke personen. Dat is zeer gewenst in het kader van de beschreven multi-middelenstrategie. In de lopende oriënterende besprekingen met private partijen wordt hierop dan ook ingezet. De huidige marktmiddelen bieden wel al oplossingen, maar zijn op dit moment nog niet breed uitgerold. Er kan niet gegarandeerd worden dat er tijdig (uiterlijk eind 2017) voldoende private middelen op een hoog beveiligingsniveau (in Europese termen: STORK4 4 niveau) voor burgers beschikbaar zullen zijn. Tevens acht het kabinet het gewenst – in lijn met het WRR-advies5 – dat burgers de mogelijkheid hebben om een publiek middel aan te schaffen – een DigiD-kaart – waarmee ze zaken kunnen doen met de overheid. Om deze redenen onderzoekt het kabinet de mogelijkheden voor een publiek middel, zijnde de DigiD-kaart. Europese aanbestedingsregels worden hierbij in acht genomen, evenals de regels die gelden voor zover de overheid met het aanbieden van de kaart een economische activiteit verricht. Ten tijde van de uitvoerign van deze PIA wordt de precieze vormgeving van deze kaart, inclusief de benodigde financiële middelen uitgewerkt. Inmiddels heeft de stuurgroep echter besloten deze kaart niet verder te ontwikkelen. Momenteel wordt een concept Verordening elektronische identiteiten en vertrouwensdiensten6 besproken tussen de lidstaten van de Europese Unie. Deze verordening gaat onder andere de wederzijdse erkenning van identificatiemiddelen tussen de lidstaten regelen. Hierdoor wordt grensoverschrijdende elektronische overheidsdienstverlening aan burgers en ondernemers vergemakkelijkt. De verordening betekent dat Nederland middelen uit andere lidstaten, die vergelijkbaar zijn met de DigiD-kaart, moet kunnen accepteren. Omgekeerd moeten andere lidstaten middelen uit het Nederlandse eID Stelsel accepteren als burgers of ondernemers digitale diensten in die lidstaten willen afnemen. Bij de ontwikkeling van het eID Stelsel wordt rekening gehouden met de verwachte eisen die gesteld worden op grond van de Europese Verordening. Voor de totstandkoming van het eID Stelsel en de uitwerking van de DigiD-kaart is het programma eID ingericht, onder aansturing vanuit een stuurgroep waarin diverse departementen zijn vertegenwoordigd. Het programma werkt nauw samen met de VNG en NVVB. Gedurende de looptijd van het programma is er een tijdelijke governance voor het eID Stelsel waarin publieke en private partijen deelnemen. Na afloop van het programma komt er een definitieve governance voor het eID Stelsel waarin de publiek-private samenwerking op langere termijn wordt geborgd. De definitieve besluitvorming over de inrichting van het eID Stelsel en de introductie van de DigiD-kaart kan pas plaatsvinden als de hiermee samenhangende uitgaven en ontvangsten volledig in kaart zijn gebracht en alle uitgaven zijn gedekt. De Tweede Kamer zal hier op een later tijdstip nader over geïnformeerd worden.
56
Nr.
Vraag
Relevante wet- en regelgeving voor de PIA
J
x
N
Bevindingen / Risico’s / Aanbevelingen De ministers van BZK en EZ dragen gezamenlijk de verantwoordelijkheid voor het eID Stelsel; de minister van BZK is specifiek verantwoordelijk voor de DigiD-kaart.62 In het kader van de verwerking van persoonsgegevens binnen de doelstellingen van het eID Stelsel NL is de volgende wet- en regelgeving relevant: De bepalingen van de Wbp; De Privacyrichtlijn 95/46/EG; Diverse Opinions van de Working Party Article 29; De Elektronische handtekeningenrichtlijn 1993/93/EG; De WGBA; de WGBO; Wet algemene bepalingen burgerservicenummer (Wabb). Op basis van het huidige ontwerp van het eID Stelsel en gegeven de technologische aard van dit systeem zijn ook relevant: Het ontwerp voorstel nieuwe Privacy Verordening van de EU On the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) 25.1.2012; Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market /* COM/2012/0238 final - 2012/0146 (COD); E-privacyrichtlijn 2002/58/EG, de Dataretentierichtlijn 2006/24/EG; Telecommunicatiewet (hoofdstuk 11). Relevante beleidskaders zijn onder meer te vinden in voornemen van de Nederlandse overheid om een geheel nieuw digitaal identiteitensysteem te ontwikkelen zoals vastgelegd in de volgende documenten: eID Stelsel Nederland, een strategische verkenning en voorstel voor vervolg, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, oktober 2012; Zie ook de verantwoording van de documenten bij de voorgaande antwoord. Aanbevelingen 1. Breng de relevante wet- en regelgeving in de ontwerp documentatie verder in kaart en laat dit valideren; 2. Hou hierbij ook rekening houden met het feit dat de relevante EU regelgeving nog in ontwikkeling is.
62
Zie Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, kenmerk 2013-0000730734, betreffende het eID Stelsel en DIgiD-kaart, met bijlage: Opzet eID Stelsel, aan de Voorzitter van de Tweede Kamer der Staten-Generaal, waaruit teksten voor de beantwoording van de vraag nagenoeg letterlijk zijn overgenomen. Zie verder ook: Agenda Tweede Kamer der Staten-Generaal, Vaste commissie voor Binnenlandse Zaken, Algemeen Overleg, 5 maart 2014, Agendapunten Invoering eID Stelsel en DigiD-kaart; Kabinetsvisie aanpak identiteitsfraude ‘Slim voorkomen, vlot herstellen’; Recente incidenten met fraude DigiD. Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, kenmerk 2013-0000776428, betreffende Kabinetsvisie aanpak identiteitsfraude ‘Slim voorkomen, vlot herstellen’, aan de Voorzitter van de Tweede Kamer der Staten-Generaal, met bijlage bij de kabinetsvisie op de aanpak van identiteitsfraude; Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, kenmerk 2013-0000723585, betreffende Nadere reactie op verzoek om aandacht vertrouwelijkheid DigiD inloggegevens, aan de Voorzitter van de Tweede Kamer der Staten-Generaal. Rapport Identiteit in cijfers, 12 december 2013, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties;
57
Nr.
Vraag
II
Doelbinding, koppeling, kwaliteit en profilering
J
N
Bevindingen / Risico’s / Aanbevelingen
x
x
De beantwoording van de vraag of het/de specifieke doel(en) waarvoor u de persoonsgegevens gaat verwerken in detail vastgesteld en geldt hiervoor één en hetzelfde specifieke doel, vereist een benadering op verschillende niveaus: Het niveau van het eID Stelsel in de meest brede zin; Het niveau van het eID stelsel voor de kernfunctionaliteiten; Verantwoordelijkheden van de binnen het stelsel te onderkennen “deelsystemen”; eID deelnemers, Dienstaanbieders en andere mogelijk aangesloten derde Partijen.
Privacy principe Doelbinding Privacy principe Limitering van gebruik van gegevens Doeleinden/doelbinding en koppeling 1
Hebt u het/de specifieke doel(en) waarvoor u de persoonsgegevens gaat verwerken in detail vastgesteld? Geldt hiervoor één en hetzelfde specifieke doel?
Het doel van het EID Stelsel is: het creëren van een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur die gebruikt kan worden door zowel publieke als private Dienstaanbieders en die publiek-privaat beheerd en doorontwikkeld wordt. Mogelijk maken dat publieke Dienstaanbieders de toegang en afhandeling van online dienstverlening vanaf 2015; via het eID Stelsel kunnen inrichten waardoor zij de doelstelling ‘Digitaal 2017’ uit het regeerakkoord kunnen realiseren: Bedrijven en burgers kunnen in 2017 zaken met de overheid digitaal afhandelen. 63 Het eID Stelsel moet de volgende diensten mogelijk maken:64 Authenticatie met hoog betrouwbaarheidsniveau; Verificatie van aanvullende gegevens (attributen) zoals leeftijd; Ondersteuning (wettelijke) vertegenwoordiging; Een betrouwbare, praktisch handzame en bruikbare elektronische handtekening.65 De specifieke doelen van het eID Stelsel zijn hiermee op hoofdlijnen beschreven, maar nog niet formeel conform meldingen bij het CBP vastgesteld. Bepaalde onderdelen/componenten/rollen vereisen mogelijk nog nadere uitwerking van de doelen. Aandachtspunt is ook, dat in het eID Stelsel diverse partijen diensten ten behoeve van die algemene doelstellingen verrichten, 63
Bron: Stakeholders, belangen en ontwerpeisen programma eID, par. 1. Bron: Stakeholders, belangen en ontwerpeisen programma eID, par. 2.7. 65 Zie verder ook de doelbeschrijvingen van het eID Stelsel in hoofdstuk 3 van dit rapport. 64
58
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen die weer met verwerkingen van persoonsgegevens worden ondersteund. Aangezien het hier bij de eID Deelnemers (en wellicht ook Dienstaanbieders) om afzonderlijk te onderscheiden verantwoordelijken en bewerkers gaat, zullen per verantwoordelijke specifieke doelstellingen moeten worden geformuleerd die binnen de hoofddoelstellingen van het eID Stelsel passen. Het gaat daarbij om de doelen zodanig te beschrijven, dat zij voldoen aan het doelbindingsprincipe en het principe van het limiteren van verzamelen en gebruiken. Daarbij dient ook aandacht te worden besteed aan de mogelijkheid van combinaties van rollen van eID Deelnemers. Conclusie 1. Op hoofdlijnen zijn de doelstellingen van het eID Stelsel en van eID Deelnemers in de onderliggende ontwerp documentatie vermeld. 2. Per eID Deelnemer zijn afhankelijk van hun status als verantwoordelijke en/of bewerker nog geen concrete doelstellingen in samenhang met de specifieke dienstverlening en daarmee verband houdende verwerkingen van persoonsgegevens gespecificeerd. 3. De typen datasets die evenwel in de berichten over de koppelvlakken tussen de eID Deelnemers worden uitgewisseld zijn gespecificeerd in het document Interface Specifications. Aanbevelingen 1. Onderken met het oog op het doelbindingsprincipe formeel alle (on)gewenste combinaties van e-ID Deelnemers en Dienstaanbieders en eventuele andere Derde Partijen in het eID Stelsel. 2. Leg in het Afsprakenstelsel vast aan welke doelstellingen componenten/rollen in het eID Stelsel zich zullen moeten houden. 3. Leg ook afspraken vast over het inrichten van (standaard) meldingen van verwerkingen bij het CBP.
2
Gaat het bij het project/systeem om gebruik van nieuwe persoonsgegevens voor een bestaand doel, of bestaande doelen binnen al bestaande systemen? (scenario toevoeging nieuwe persoonsgegevens).
x
x
In het eID Stelsel gaat het zowel om gebruik van nieuwe persoonsgegevens voor bestaande en nieuwe doelen, en bestaande doelen binnen al bestaande systemen. In die zin dat het gaat om het beter op elkaar laten aansluiten van bepaalde eID systemen die bij publieke en private partijen in gebruik zijn. Zoals DigiD, e-Herkenning en de diverse private eID systemen, die bijvoorbeeld bij de banken worden gebruikt.66 De implementatie van het eID Stelsel in Nederland raakt vele onderdelen van de overheid en de private sector. Voor een flink aantal overheidsorganisaties geldt dat zij nieuwe diensten digitaal kunnen ontsluiten omdat het eID Stelsel identificatie en gegevensuitwisseling op een hoger betrouwbaarheidsniveau mogelijk maakt. Zowel publieke als private partijen spelen in de huidige situatie een rol in het proces van realisatie en implementatie van eIDmiddelen. Bij de komst van het eID Stelsel maken zij ieder de balans op of en op welke manier zij deze voorzieningen willen continueren in een “gezamenlijk” eID Stelsel. Logius is de beheerder van diverse toegangsvoorzieningen die publiek en privaat gebruikt worden, zoals DigiD, eHerkenning, PKIoverheid en het portaal MijnOverheid. Een groot aantal private partijen heeft als aanbieder van digitale diensten belang bij het eID Stelsel. Zij hebben er belang bij dat er eID-middelen in de markt komen die breed door burgers/consumenten worden gebruikt en die ook gebruikt kunnen worden om digitale diensten van private partijen af te nemen.67 eHerkenning is een
66 67
Zie in dat verband ook de beantwoording van vraag I5 en de daarbij verantwoorde bronnen. Zie Stakeholders, belangen en ontwerpeisen, par. 2.6.
59
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen voorziening waarmee ondernemers zaken kunnen doen met de overheid. eHerkenning is georganiseerd als publiek-privaat stelsel waarin leveranciers (eHerkenningspartijen) transactiediensten leveren aan ondernemers. In verschillende componenten van het eID Stelsel zullen nieuwe persoonsgegevens worden geregistreerd in de vorm van verschillende soorten identiteiten (eID Dienstaanbieders, eID Deelnemers en de Gebruikers) en op Gebruikers betrekking hebbende attributen. In het document Werking van het eID Stelsel is op hoofdlijnen aangegeven om welke persoonsgegevens van Gebruikers het kan gaan. In het document Interface specifications eID Scheme zijn vervolgens de algemene specificaties voor de inhoud van berichten tussen de componenten in het eID Stelsel en eID Aanbieders uitgewerkt. Vervolgens is specifiek per koppelvlak tussen de componenten in het eID Stelsel welke specifieke gegevens een bericht tussen de componenten bevat. Echter op onderdelen van bepaalde berichten volgen nog aanvullende specificaties. Belangrijke koppelvlakken als K4 (interface Service Intermediairy – service provider) (Dienstbemiddelaar – Dienstaanbieder) en K 7 (interface identity Provider / Autorisation Information Provider – Scheme Autority) (Authenticatiedienst – Stelselautoriteit) zullen nog in de toekomst moeten worden ingevuld.68 Conclusies 1. Nadere detaillering van het ontwerp op de koppelvlakken K4 en K7 is nodig om uiteindelijk in onderlinge samenhang vast te stellen welke persoonsgegevens precies tussen de in het eID Stelsel te onderscheiden eID Deelnemers (per rol) en Dienstaanbieders (per rol) worden uitgewisseld. 2. Naar verwachting zullen ook door de eID Stelsel ICT-infrastructuur directe en indirecte persoonsgegevens ontstaan in koppelvlakken, de loggingen/audittrails op de koppelvlakken en de loggingen/audittrails op de Dienstaanbieders. Aanbevelingen 1. Specificeer alle persoonsgegevens die tussen de in het eID Stelsel te onderscheiden eID Deelnemers (per rol) en Dienstaanbieders (per rol) over de koppelvlakken worden uitgewisseld. 2. Specificeer daarbij ook de directe en indirecte persoonsgegevens die in de eID Stelsel ICT-infrastructuur over de koppelvlakken in de loggingen/audittrails van de eID Deelnemers/Dienstaanbieders worden opgeslagen.
3
68
Gaat het bij het project/systeem om het nastreven van nieuwe/aanvullende doeleinden door bestaande persoonsgegevens, of verzamelingen daarvan, te gebruiken, vergelijken, delen, koppelen of anderszins verder te verwerken? (scenario toevoeging doeleinden). Zo ja, hebben alle personen/instanties/systemen die betrokken zijn bij de verwerking dezelfde doelstelling met de verwerking van de desbetreffende persoonsgegevens of is
X
x
Het eID stelsel heeft op hoofdlijnen duidelijk omschreven doelen. Namelijk het verschaffen van een administratieve digitale identiteit, toekennen van autorisatie en het vaststellen van machtigingen. In dat verband wordt naar de beantwoording van de voorgaande vragen verwezen. Met inachtneming van de hierbij gegeven adviezen al deze vraag in de volgende ontwerpfase opnieuw aan de orde moeten komen. Een bijkomend aspect is, dat in het ontwerp ook is aangegeven dat afhankelijk van de toepassing er verschillende betrouwbaarheidsniveaus van authenticatie kunnen worden gebruikt. Deze authenticatieniveaus zijn aangeduid met STORK levels. Een probleem dat zich hierbij voor kan doen is dat de verschillende authenticatieniveaus worden ingezet voor verschillende taken en ook een verschillend belang kennen.
Zie Interface specifications, p. 17, 31/32.
60
Nr.
Vraag daarmee spanning mogelijk gelet op hun taak of hun belang? Gelden dezelfde doelen voor het hele proces?
4
Indien u positief hebt geantwoord op vragen II.2 of II.3, hoe wordt een dergelijk voorgenomen gebruik (d.w.z. gebruik van nieuwe persoonsgegevens in bestaande systemen of van bestaande persoonsgegevens voor nieuwe doeleinden) gemeld aan: (a) de functionaris voor de gegevensbescherming, of (b) het Cbp indien er geen FG is?
J
N
Bevindingen / Risico’s / Aanbevelingen Aanbeveling De impact van het hanteren van de verschillende STORK levels binnen één eID stelsel kan overigens mogelijk fricties op leveren als de gehanteerde STORK levels te veruit elkaar lopen binnen één toepassing of deelsysteem. Het verdient aanbeveling om de te gebruiken STORK levels niet te ver uit elkaar te laten lopen en deze te beperken tot de hoge STORK levels 3 en 4, althans de beveiligingsniveaus op deze STORK levels als baseline aan te houden. Dit ter vermijding van een te grote differentiatie van normen en baselines voor processen en ondersteunende systemen. De vraag hoe het voorgenomen gebruik (d.w.z. gebruik van nieuwe persoonsgegevens in bestaande systemen of van bestaande persoonsgegevens voor nieuwe doeleinden) gemeld aan: (a) de functionaris voor de gegevensbescherming, of (b) het Cbp indien er geen FG is, is in dit ontwerp stadium nog niet te beantwoorden. Voorstelbaar is wel, dat verwerkingen van persoonsgegevens in het eID Stelsel per component / rol /EID Deelnemer / Dienstaanbieder ingeval de status van verantwoordelijke relevant is, aan de hieraan verbonden FG’s of aan het CBP gemeld worden. Op voorhand is het zinvol om in het Afsprakenstelsel aandacht te besteden aan de status “verantwoordelijke” en “bewerker” van een van een component/eID Deelnemer/Dienstaanbieder en vervolgens aan het melden van de hiermee verband houdende verwerking van persoonsgegevens bij de relevante FG en/of het CBP. Het is ook nuttig om afspraken te maken c.q. handreikingen te doen over de inhoud van de melding van soorten van verwerkingen binnen het eID Stelsel. Hiermee wordt voorkomen, dat de genoemde partijen onbewust niet aan de meldingsplicht voldoen. Tevens kan hiermee worden bewerkstelligd, dat de meldingen van de in het eID Stelsel voorkomende verwerkingen goed op elkaar worden afgestemd (convergentie-effect). Hiermee kan worden voorkomen, dat er vanwege het niet op elkaar afgestemd zijn van de status van een component/EID Deelnemer/Dienstaanbieder en de doelstellingen van verwerkingen in het eID Stelsel, diversiteit in statussen, in meldingen binnen het eID Stelsel en spanningen inzake het Verantwoordelijkheids- en Doelbindings-principe zullen ontstaan. Conclusies Nog niet in het Afspraken Stelsel is vastgelegd, welke status onder welke voorwaarden aan een component/eID Deelnemer/Dienstaanbieder in het eID Stelsel kan worden toegekend, wat de inhoud van de melding van een soort verwerking behoort te zijn en hoe vervolgens de melding van een verwerking aan de relevante FG of het CBP dient te gebeuren. Er kunnen hierdoor diversiteit in statussen, in meldingen binnen het eID Stelsel en spanningen inzake het Verantwoordelijkheids- en Doelbindings-principe ontstaan. Aanbevelingen 1. Besteed in het Afsprakenstelsel aandacht aan de status “verantwoordelijke” en “bewerker” van een component/eID Deelnemer/Dienstaanbieder en het vervolgens melden van de hiermee verband houdende verwerking van persoonsgegevens bij de relevante FG en/of het CBP. 2. Maak afspraken c.q. geef handreikingen over de inhoud van de melding teneinde hiermee te voorkomen, dat de genoemde partijen onbewust niet aan de meldingsplicht voldoen, doelstellingen van gelijksoortige verwerking van elkaar afwijken en
61
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen 3.
5
Indien u positief geantwoord hebt op vragen II.2 of II.3, welke (nadere) controles op een dergelijk gebruik (d.w.z. gebruik van nieuwe persoonsgegevens in bestaande systemen of van bestaande persoonsgegevens voor nieuwe doeleinden) zijn voorzien?
rechtmatigheidsvragen ontstaan. Bewerkstellig hiermee dat de meldingen van de in het eID Stelsel voorkomende verwerkingen goed op elkaar worden afgestemd (convergentie-effect), waardoor spanningen in de uitwisseling en het gebruik van data binnen de keten van het eID Stelsel kunnen worden voorkomen (alignment).
Op onderdelen van het Document Werking van het eID Stelsel zijn ontwerpeisen geformuleerd, die voorzien in controlemogelijkheden op het gebruik van persoonsgegevens dan wel waaruit impliciet de intentie van controles kan worden afgeleid. Hieronder volgen een aantal voorbeelden: 1. P02: De Stelsel autoriteit speelt een sleutelrol in het beheer van de encryptie binnen het eID Stelsel. 2. P03: Een gecertificeerde eID-deelnemer kan verklaringen afgeven over derden (natuurlijke of niet-natuurlijke personen). 3. P09: Een Authenticatiedienst realiseert inzage voor de Gebruiker in het gebruik dat van zijn of haar Authenticatiemiddelen is gemaakt. Een Authenticatiedienst houdt een audit trail bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eID Stelsel: als een Authenticatiemiddel vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een Authenticatiemiddel is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een Gebruiker heeft afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend: 4. P010: Een audit trail mag door een Authenticatiedienst uitsluitend worden gebruikt voor het geven van inzicht aan de Gebruiker welk gebruik er van zijn middelen is gemaakt. Een Authenticatiedienst kan facultatief weer de mogelijkheid bieden aan een Gebruiker om af te zien van het bijhouden van een audit trail. 5. P013 Een SectorID-dienst wordt geraadpleegd door een eID-makelaar op het moment dat een Dienstaanbieder aangeeft dat voor het verlenen van een bepaalde dienst een SectorID nodig is. Vervolgens wordt aangegeven welke controle activiteiten de SectorID-dienst uitvoert. 6. P14-P18:Deze ontwerpeisen geven de werkzaamheden van de Machtigingsdienst weer, alsmede de wijze waarop de Machtigingsdienst de belangen van in het machtigingsproces te onderscheiden partijen behartigt, en welke controlewerkzaamheden van dit proces deel uitmaken. 7. P19-P20: In het proces van de eID makelaar komen niet zozeer indicaties voor die op een controle duiden. Wel wordt hier gesproken over het met de eID makelaar af te sluiten contract of bewerker overeenkomst. Een van de eisen die standaard daarin behoort te zijn opgenomen, zijn controle en toezicht op de verwerking van persoonsgegevens. 8. P21: In het interactieproces tussen de Dienstbemiddelaar en de Dienstaanbieder komen controles voor. De Dienstbemiddelaar bundelt de verkregen verklaringen en de bijbehorende gegevens en ondertekent het geheel. Daarmee verklaart de Dienstbemiddelaar dat alle verklaringen en gegevens bij elkaar horen (ook associëren genoemd). De gebundelde verklaringen worden via een webservice of soortgelijke techniek (koppelvlak K4) aangeboden aan de Dienstaanbieder, die na controle van de gegevens besluit of de gevraagde transactie doorgang kan vinden (autorisatiebesluit) en vervolgens de gevraagde dienst ook werkelijk uitvoert. Een Dienstbemiddelaar kan op de volgende twee manieren gepositioneerd worden binnen het stelsel. Als onderdeel van een Dienstaanbieder of als bewerker namens een Dienstaanbieder. De Dienstbemiddelaar heeft dezelfde rechten als de Dienstaanbieder en presenteert zich ook zo aan de Gebruiker. Dat werkt doordat de Dienstbemiddelaar de beschikking heeft over het Stelselcertificaat van de Dienstaanbieder. Als zelfstandige verschijning binnen het eID Stelse doorloopt de Dienstbemiddelaar een eigen toelatingstraject en krijgt op basis daarvan een eigen Stelselcertificaat. 9. P22: Een Dienstbemiddelaar kan optreden als bewerker namens een Dienstaanbieder of op eigen titel worden geregistreerd als eID-deelnemer. Naast Dienstaanbieder en Dienstbemiddelaar wordt in het stelsel ook nog het begrip Diensteigenaar gebruikt.
62
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen 10. P23: De Diensteigenaar is de partij die beslist over onder de indeling en naamgeving van de diensten en over alle beleidsmatige aspecten die gelden voor de betreffende dienst, zoals het vereiste Betrouwbaarheidsniveau. Voor diensten waarvoor in het stelsel maar één Dienstaanbieder is, is de Dienstaanbieder tevens Diensteigenaar. Als de dienst door meerdere partijen wordt aangeboden fungeert een overkoepelend orgaan als Diensteigenaar. (Aandachtspunt: Waar de Dienstbemiddelaar als bewerker of als verantwoordelijke optreedt en meerdere rollen kan vervullen, zullen hierop toegespitste beheersmaatregelen en controles moet worden voorzien. Dit geldt des te meer voor de ontwerpeis P23. De vraag t.a.v. P23 is of die controles afdoende waarborgen bevatten tegen de risico’s van datadeluge en function creep, etc. (te veel rollen overgenomen van te onderscheiden componenten in het eID Stelsel). 11. P26: Bij alle attributen wordt vastgelegd aan welke bron ze zijn ontleend en op welke datum dat is gebeurd. 12. Het stelsel kent geen classificatie voor de betrouwbaarheid van attributen. Het begrip “welomschreven” laat enige ruimte voor interpretatievrijheid. Basisregistraties van de overheid voldoen in ieder geval aan dit criterium. Voor andere bronnen geldt als minimale voorwaarde dat de bron zelf onderzoek doet naar de juistheid en actualiteit van de gegevens en de resultaten daarvan ter beschikking stelt aan de partijen die gebruik zouden willen maken van de gegevens. Aanvullende criteria kunnen deel uitmaken van de toetredingseisen voor het eID Stelsel. De gegevens over de ontlening worden mee verstrekt met de attributen zelf. Het is aan de Ontvangende Partij om op basis van de ter beschikking gestelde gegevens te bepalen of de attributen voldoende betrouwbaar en actueel zijn voor de gevraagde dienst. 13. P34-P39. In het proces van de aanvraag van een Polymorfe PseudoID door de Autenticatiedienst komen diverse controlemomenten door de Stelselautoriteit voor, onder meer de controle van aangeleverde identiteitsgegevens in de vorm van een stamsleutel door de Stelselautoriteit bij de beheervoorziening BSN en de eigen administratie, eventuele doorverwijzing van een Gebruiker naar de gemeenteloketten. 14. P40-P45 In het proces van de PseudoID naar Versleuteld PseudoID komt is in P41 sprake van informatie in een audittrail in samenhang met de werkzaamheden van de Authenticatiedienst. Impliciet is hier uit af te leiden, dat de Authenticatiedienst de audittrail (niet aangegeven is, waar die zich bevindt) kan gebruiken voor controle doeleinden. (Aandachtspunt: Waar nog geen aandacht aan is besteed is de controle op het beheer van de geheime sleutels van de Authenticatiediensten bij zowel de Stelselautoriteit, de authenticatiediensten en de Dienstaanbieders.) 15. P46 – P47: In het proces Gebruik van Sector ID’s zijn nog geen expliciet controles voorzien. 16. P50: Gebruik van PseudoID bij Machtigingsdienst. Volgens de toelichting van P50 ligt het in deze situatie voor de hand om de Machtigingsdienst te beschouwen als een Dienstaanbieder die de dienst “Beheer Machtigingen” verleent aan de Gebruiker. De Gebruiker wordt geauthentiseerd aan de hand van een PseudoID die specifiek is voor de Machtigingsdienst. Op het moment dat op basis van de geregistreerde machtiging een Bevoegdheidsverklaring moet worden gemaakt, dient deze persoon echter te worden aangeduid op de manier waarop de Ontvangende Partij deze persoon kent, dus met de PseudoID voor de Ontvangende Partij. Het mag voor de Ontvangende Partij immers geen verschil maken of de Vertegenwoordigde zélf inlogt of dat iemand anders dat namens hem of haar doet op basis van een machtiging. Dat kan binnen de cryptografie van het stelsel alleen als de Bevoegdheidsverklaring de Versleutelde PseudoID van de Vertegenwoordigde en de Gemachtigde bevat.(Aandachtspunt: Hier is niet expliciet aan een controle mechanisme gedacht. Er is ook nog geen aandacht besteed aan de mogelijke risico’s van het manipuleren van machtigingen en vertegenwoordigingen en de hieruit voortvloeiende rechtsgevolgen voor betrokkenen. Een en ander veronderstelt ook een logging/audittrail waarop controles dienen te worden uitgevoerd.) Het document Stakeholders, belangen en ontwerpeisen bevat ontwerp eisen voor het garanderen van de privacy van betrokkenen. Impliciet vloeit uit deze eisen voort, dat er controles op het gebruik van persoonsgegevens in het eID Stelsel zullen komen, maar die zijn nog niet op hoofdlijnen ingevuld. Volgens par. 4.4. en 4.6 Privacy Garanderen / Inrichten van toezicht en opsporing, betreft dit:
63
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
1.
2.
3.
4.
E31: Bescherming privacy betrokkenen Verbeterde vertrouwelijkheid, privacy en de privacywet- en regelgeving (o.a. WBP) zijn gerespecteerd. Gebruikers mogen volledig vertrouwen op de borging van hun privacy en het zorgvuldig handelen van de deelnemende partijen. Organisaties mogen volledig vertrouwen op het bewaken van gevoelige informatie (Dit impliceert beheersmaatregelen in de vorm van loggingen en controle om dit vertrouwen waar te maken). E32: Een eID-deelnemer krijgt niet meer gegevens dan strikt noodzakelijk is voor het uitvoeren van zijn taak. Deze ontwerpeis is van belang voor E31, maar ook voor verbeterde continuïteit. Indien een eID-deelnemer is gehackt, dan is slechts een beperkt aantal gegevens gecompromitteerd. Het is dan eenvoudiger om de deelnemer uit het eID Stelsel te verwijderen zonder dat dit grote gevolgen heeft voor het eID Stelsel. (Dit impliceert beheersmaatregelen in de vorm van loggingen en controle om dit vertrouwen waar te maken). E33: Dienstaanbieders (en andere deelnemende partijen) kunnen verantwoording afleggen. De verschillende partijen binnen het eID Stelsel moeten verantwoording kunnen afleggen over hun elektronische activiteiten. (Dit impliceert loggingen en controle). Een Dienstaanbieder moet kunnen aantonen dat hij vertrouwelijke informatie terecht heeft afgeven. Ook andere partijen (bijvoorbeeld Authenticatiediensten en Machtigingsdiensten) moeten achteraf kunnen aantonen dat ze terecht informatie hebben afgegeven (Dit impliceert loggingen en controle). E51: Misbruik kan eenvoudig ontdekt en opgespoord worden Het is van groot belang dat er vertrouwen is in het eID Stelsel. Om die reden moet misbruik eenvoudig ontdekt en opgespoord kunnen worden (Dit impliceert loggingen en controle).
Conclusies 1. De ontwerpeisen van het eID Stelsel bevatten (indicaties voor) (nadere) controles op het gebruik van (nieuwe) persoonsgegevens in het eID Stelsel. 2. De controles zijn nog niet op alle hiervoor in aanmerking komende verwerkingen van persoonsgegevens in beeld gebracht. Aanbeveling 1. Stel nadere eisen / geef handreikingen in het Afsprakenstelsel op alle uit te voeren controles op het gebruik van persoonsgegevens in de te onderscheiden IT-omgevingen/ componenten van het eID Stelsel. Kwaliteit Privacy principe Gegevenskwaliteit 6
Welke periodieke en incidentele controles zijn voorzien om de juistheid, nauwkeurigheid en actualiteit van de in het beleidsvoorstel, wetsvoorstel op overheidsICT-systeem verwerkte persoonsgegevens na te gaan?
In aansluiting op de bevindingen in de voorgaande vraag, kan worden geconcludeerd, dat in de ontwerpeisen van het eID Stelsel aanzetten zijn gegeven voor controles om de juistheid, nauwkeurigheid en actualiteit (kwaliteit) van de in het eID Stelsel verwerkte persoonsgegevens na te gaan. In de periodiciteit en specifieke inrichting van deze controles moet nog worden voorzien. Aanbeveling 1. Definieer in de volgende ontwikkelingsfase in het Afsprakenstelsel op elkaar aansluitende incidentele en periodieke
64
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen controles op de kwaliteit van de verwerkte persoonsgegevens door de te onderscheiden componenten in het eID Stelsel.
Profilering Privacy principe Doelbinding Privacy principe Limitering van gebruik van gegevens 7
Zullen de verzamelde/verwerkte persoonsgegevens gebruikt worden om het gedrag, de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen? Zijn de betrokkenen daarvan op de hoogte? Zijn de gegevens die hiervoor worden gebruikt, afkomstig uit verschillende (eventueel externe) bronnen en zijn zij oorspronkelijk voor andere doelen verzameld?
x
Uit de ontwerp eisen in de ontvangen documenten van het eID Stelsel blijkt niet dat het de bedoeling is om de verzamelde/verwerkte persoonsgegevens te gaan gebruiken om het gedrag, de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen. In de ontwerp-documentatie wordt ook niet gesproken over het verzamelen en gebruiken van persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden. Uit onderdelen in de documentatie is af te leiden, dat het eID Stelsel hier in beginsel niet voor is bedoeld en dat aan dergelijke onderwerpen in het vervolg traject aandacht zal worden besteed. In dat verband kan onder meer worden verwezen naar de volgende onderdelen: In beginsel heeft de eID-makelaar daarmee het recht om dezelfde gegevens te verwerken als de Dienstaanbieder in wiens opdracht hij werkt. Echter, een eID-makelaar kan werken in opdracht van meerdere Dienstaanbieders. Dat zou betekenen dat bij de eID-makelaar een ongewenste concentratie van gegevens ontstaat. Het gebruik van versleutelde pseudoniemen en het maskeren van persoonsgegevens voorkomt dat.69 In het document Stakeholder, belangen en ontwerpeisen wordt aangegeven, dat alle ontwikkelingen op het gebied van (elektronische) identiteit, authenticatie en machtigen van burgers mogelijke impact hebben op de privacy. Bij toegang tot persoonsgegevens (zoals BSN, adres en leeftijd), al dan niet via diensten, dient grote zorgvuldigheid in acht genomen te worden. Het programma betrekt er daarom belangen- en maatschappelijke organisaties bij, zoals het College Bescherming Persoonsgegevens (CBP), de Consumentenbond, Bits of Freedom, de Autoriteit Consument en Markt (ACM) en toonaangevende media. Ideeën en denkbeelden, maar ook voorgestelde (deel)oplossingen, worden zo in een vroegtijdig stadium vanuit verschillende gezichtspunten gedeeld en besproken. Verder worden deze organisaties betrokken bij Privacy Impact Analyses en geconsulteerd in het kader van het wetgevingstraject. Er mag van worden uitgegaan, dat de genoemde organisaties mogelijkheden om in het eID Stelsel verzamelde/verwerkte persoonsgegevens te gaan gebruiken om het gedrag, de aanwezigheid of de prestaties van Gebruikers van het eID Stelsel in kaart te brengen en/of te beoordelen en/of te voorspellen met de daaruit voortvloeiende risico’s nauwgezet zullen volgen. In het document Stakeholders, belangen en ontwerpeisen komt ook naar voren, dat Logius verder voorbereidingen treft voor de inrichting van de (tijdelijke) beheerorganisatie voor het eID Stelsel en het de stelselafspraken en de inrichting van de governance uit werkt. In de beantwoording van de voorgaande vragen, komt evenwel naar voren, dat zich binnen het eID Stelsel op diverse te onderscheiden koppelvlakken in de interactie tussen de componenten van het Stelsel in loggingen en audittrails ondanks het
69
Zie Werking van het eID Stelsel, par. 2.5, p. 11.
65
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen gebruik van pseudo identieiten enorme hoeveelheden mogelijke tot op personen te herleiden gegevens kunnen ontstaan. Dergelijke verzamelingen kennen als inherent risico dat hiermee het gedrag, de aanwezigheid of de prestaties van mensen in kaart kunnen worden gebracht en/of kunnen worden beoordeeld en/of kunnen worden voorspeld. Conclusies 1. Uit de ontwerp eisen in de ontvangen documenten van het eID Stelsel blijkt niet dat het de bedoeling is om de verzamelde/verwerkte persoonsgegevens te gaan gebruiken om het gedrag, de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen. In de ontwerp-documentatie wordt ook niet gesproken over het verzamelen en gebruiken van persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden. 2. Wel kunnen binnen het eID Stelsel op diverse te onderscheiden koppelvlakken in de interactie tussen de componenten van het Stelsel in loggingen en audittrails ondanks het gebruik van pseudo identiteiten enorme hoeveelheden mogelijke tot op personen te herleiden gegevens ontstaan die hiervoor gebruikt zouden kunnen worden. 3. Uit de ontwerpdocumentatie blijkt ook, dat dat alle ontwikkelingen op het gebied van (elektronische) identiteit, authenticatie en machtigen van burgers mogelijke impact hebben op de privacy. Bij toegang tot persoonsgegevens (zoals burgerservicenummer (BSN), adres en leeftijd), al dan niet via diensten, dient grote zorgvuldigheid in acht genomen te worden. 4. Het programma betrekt er daarom belangen- en maatschappelijke organisaties en toonaangevende media bij. Ideeën en denkbeelden, maar ook voorgestelde (deel)oplossingen, worden zo in een vroegtijdig stadium vanuit verschillende gezichtspunten gedeeld en besproken. Verder worden deze organisaties betrokken bij Privacy Impact Analyses en geconsulteerd in het kader van het wetgevingstraject. Aanbeveling 1. Specificeer de eisen over het gebruik van data op de nader te onderscheiden plaatsen in het eID Stelsel en neem beperkingen op voor het gebruik ervan in het nadere te ontwikkelen afsprakenstelsel.
8
III
Wordt bij deze analyse/beoordeling/voorspelling gebruik gemaakt van vergelijking van persoonsgegevens die technisch geautomatiseerd is (d.w.z. niet door mensen zelf wordt uitgevoerd)? Zo ja, hoe wordt geregeld dat, indien dit geautomatiseerde proces tot een beoordeling of voorspelling over een bepaalde persoon leidt, hierop pas concrete actie wordt ondernomen na tussenkomst en (tweede) controle van (menselijk) personeel?
x
Uit de ontvangen documentatie over het ontwerp eID Stelsel blijkt niet, dat er sprake is of zal zijn van analyse/beoordeling/voorspelling aan de hand van het gedrag, de aanwezigheid of de prestaties van mensen waarbij gebruik wordt gemaakt van vergelijking van persoonsgegevens die technisch geautomatiseerd is (d.w.z. niet door mensen zelf wordt uitgevoerd). Deze functionaliteit is niet voorzien in het huidige ontwerp van het eID Stelsel. Zoals hierboven al aan de orde kwam, zijn dergelijke analyses/beoordelingen/voorspelling op basis van het voorliggende ontwerp van het eID Stelsel niet op voorhand onmogelijk. Hierbij kunnen zich ook de voormelde privacy risico’s in de toekomst manifesteren. Aanbevelingen 1. Werk in het Afsprakenstel uit of / in hoeverre dergelijke analyse/beoordeling/voorspelling noodzakelijk zijn, en indien dit noodzakelijk mocht zijn, wat het doel hiervan is, en onder welke waarborgen en /beperkingen dit mag gebeuren. 2. Geef ingeval dergelijke analyse/beoordeling/voorspelling niet noodzakelijk zijn, uitdrukkelijk aan dat dergelijke verwerkingen niet zijn toegestaan voor de eID Deelnemers/Dienstaanbieder en andere partijen.
Betrokken instanties/systemen en verantwoordelijkheid
66
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
Privacy principe Verantwoording 1
Welke interne en externe instantie(s) en/of systemen is/zijn betrokken bij de voorziene verwerking in elk van de onder I.5 onderscheiden fasen? Welke verstrekkers zijn er en welke ontvangers? Welke bestanden of deelbestanden en welke infrastructuren?
2
Is (in ieder stadium) duidelijk wie verantwoordelijk is voor de verwerking van de persoonsgegevens? Zo ja, is deze persoon of organisatie daarop voldoende voorbereid en geëquipeerd wat betreft de nodige voorzieningen en maatregelen, waaronder middelen, beleid, taakverdeling, procedures en intern toezicht?
In paragraaf 3.7.1 van dit rapport is in het systeemdiagram van het eID Stelsel op hoofdlijnen op hoog niveau te onderscheiden hoe de ICT-infrastructuur van het eID Stelsel op dit moment wordt voorzien. Hierin komt ook op hoofdlijnen en in algemene termen tot uiting, welke eID Deelnemers bij welke in het eID Stelsel te onderscheiden verwerkingen van persoonsgegevens over koppelvlakken berichten met elkaar delen. In het document Interface specifications is aangegeven uit welke data typen die berichten zullen bestaan. Hieruit blijkt ook wie de categorieën van verstrekkers en ontvangers zijn. Hiermee is tot op zekere hoogte inzichtelijk welke (deel) bestanden zich op welke onderdelen van de ICT-infrastructuur bij welke ontvangers en verstrekkers van het eID Stelsel zullen bevinden. x
Voor het antwoord op de vraag of (in ieder stadium) van het eID Stelsel duidelijk wie verantwoordelijk is voor de verwerking van de persoonsgegevens en zo ja, of deze organisatie daarop voldoende voorbereid en geëquipeerd is wat betreft de nodige voorzieningen en maatregelen, waaronder middelen, beleid, taakverdeling, procedures en intern toezicht, wordt verwezen naar de bevindingen in antwoord I2. In die beantwoording komt tot uiting, dat er ten aanzien van stelsel sprake is van de volgende onduidelijkheden: in dit stadium is nog niet bepaald wie verantwoordelijke is voor het eID stelsel als totaal. binnen het stelsel worden verschillende rollen en verschillende verantwoordelijkheden onderscheiden, die nog niet allen expliciet vertaald zijn naar de status van “verantwoordelijke” en “bewerker”. Voor bepaalde rollen wordt de status van “bewerker” benoemd, terwijl er ook nog de mogelijkheid bestaat om voor diezelfde rol de status van “verantwoordelijke” aan te nemen. De mogelijkheid wordt opengelaten voor een e-ID Deelnemer of Dienstaanbieder om meerdere rollen aan te nemen, waarbij vooralsnog in de documenten niet duidelijk is, tot welke status (sen)het in die gevallen leidt. Per rol en verantwoordelijkheid is sprake van verwerking van verschillende soorten persoonsgegevens (o.a. Stelselautoriteit-identificatiedienst, Authenticatiedienst, Machtigingsdienst, SectorIDdienst, Attributendienst, EID makelaar, Dienstbemiddelaar, Dienstaanbieder). Het blijkt, dat definities in de Begrippenlijst eID Afsprakenstelsel en het document Werking van het eID Stelsel niet goed op elkaar zijn afgestemd. Dit leidt niet alleen tot begripsverwarring maar ook tot onvoorziene complicaties bij het geven van keuze mogelijkheden in rollen en het aannemen van de status van “verantwoordelijke” en/of “bewerker”. Vanwege het voorgaande is het nog niet verantwoord om hier stellige uitspraken over het beginsel van de verantwoording te doen. Een en ander zal in een volgende PIA fase nog eens nauwgezet moeten worden onderzocht. Een en ander leidde tot de volgende conclusies en aanbevelingen: Conclusies 1. Definities in de te onderscheiden documenten en de beschrijving van de werking van het eID Stelsel zijn nog niet goed op elkaar afgestemd. 2. De begrenzing van het eID Stelsel met daarbij de verantwoordelijkheidsvraag voor verwerkingen van persoonsgegevens door de componenten/rollen en combinatiemogelijkheden is nog niet transparant uitgewerkt. 3. Uit de documentatie blijkt niet dat er al een risicoanalyse is uitgevoerd op combinaties van rollen en de mogelijke negatieve gevolgen hiervan op de persoonlijke levenssfeer van Gebruikers.
67
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Aanbevelingen 1. Stem de gehanteerde begrippen in de Begrippenlijst Afsprakenstelsel en het document Werking van het eID Stelsel goed op elkaar af. 2. Bepaal ook aan de hand van een privacy risicoanalyse welke combinaties van rollen bij een partij tot onbeheersbare privacy risico’s kunnen leiden. 3. Reguleer aan de hand hiervan mogelijke combinaties van rollen en hiermee gepaard gaande verantwoordelijkheden. 4. Definieer daarbij per partij en per rol en per gegevensverwerking in het eID Stel de status van “verantwoordelijke” en van ‘bewerker”.
3
Wie binnen uw organisatie, en elk van de andere betrokken organisaties, krijgen precies toegang tot de persoonsgegevens? Bestaat de kans dat bij het gebruik ervan de gegevens ter beschikking komen van onbevoegden?
x
In het concept Werking van het eID Stelsel is aangegeven welke componenten/eID Deelnemers en Dienstaanbieders via koppelvlakken de beschikking krijgen over persoonsgegevens. In het document Interface specifications eID schema is op koppelvlak niveau gedefinieerd, welke datasets tussen de eID Deelnemers worden uitgewisseld. Echter op de koppelvlakken K4 de Dienstbemiddelaar – Dienstaanbieder en K7 de Authenticatieprovider en de Stelselautoriteit is dit nog niet het geval70. Voor wat betreft de invulling van de datasets per Dienstaanbieder in de service Catalogus kan worden opgemerkt, dat de een verdere detaillering van de gepresenteerde informatie nog nader zal worden uitgewerkt.71 Welke functionarissen van de eID Deelnemers nu toegang hebben tot persoonsgegevens in de koppelvlakken valt buiten het bestek van deze fase van ontwerp. Dit zal zonodig in het Afsprakenstelsel moeten worden geregeld. Of de kans bestaat dat bij het gebruik ervan de gegevens ter beschikking komen van onbevoegden, is daarom thans niet opportuun. Aanbeveling 1. Leg zonodig in het Afsprakenstelsel afspraken vast over welke functionarissen van welke eID Deelnemers toegang hebben tot welke dataverzamelingen op welke koppelvlakken.
4
5
70 71
Geldt voor een of meer van de betrokken instanties een beperking van de mogelijkheid om persoonsgegevens te verwerken als gevolg van geheimhoudingsverplichtingen (in verband met functie/wet)?
x
Zijn alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, in
x
Of voor een of meer van de betrokken instanties een beperking geldt van de mogelijkheid om persoonsgegevens te verwerken als gevolg van geheimhoudingsverplichtingen (in verband met functie/wet) komt niet expliciet als zodanig aan de orde in de ontvangen documentatie. Maar niet op voorhand uit te sluiten is, dat dit bijvoorbeeld binnen de sectorale toepassingen (zorginstellingen) wel het geval zou kunnen zijn. Aanbevelingen 1. Laat aanvullend onderzoek uitvoeren naar mogelijke verwerkingen van persoonsgegevens door eID Deelnemers en Dienstaanbieders binnen het eID Stelsel waaraan vanwege geheimhoudingsverplichtingen in verband met functie/wet beperkingen voor het gebruik zijn verbonden. 2. Neem hierover zonodig aanvullende afspraken op in het Afsprakenstelsel. x
In de ontwerp documentatie zijn nog niet alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, volledig in kaart gebracht, althans niet zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de
Zie Interface specifications, par. 9 en 10, p. 31-32. Zie Werking van het eID Stelsel, par. 2.5, p. 17.
68
Nr.
Vraag
J
N
kaart gebracht of te brengen, zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt?
Bevindingen / Risico’s / Aanbevelingen persoonsgegevens worden verwerkt. Wel zijn stappen hiertoe zowel op hoofdlijnen als meer in detail op het niveau van het huidige ontwerp van het eID Stelsel in de documenten Introductie op het eID Stelsel, Werking van het eID Stelsel en Interface specifications in kaart gebracht. In deze documenten is tot op zekere hoogte te zien welke persoonsgegevens tussen de Stelselautoriteiteit, de eID Deelnemers en de Dienstaanbieders worden uitgewisseld. Op de koppelvlakken K4 (Interface Dienstbemiddelaar en dienstaanbieder en K7 Authenticatiedienst en Stelselautoriteit is dit nog niet het geval. Aangezien het ontwerp nog verder wordt uitgewerkt, zullen aanvullende stappen in de verwerkingen en in gegevensuitwisseling in de volgende ontwerpversies worden toegevoegd. Er is in ieder geval geen aanleiding om te veronderstellen dat de beoogde gegevensuitwisselingen niet inzichtelijk in kaart kunnen worden gebracht. Aanbevelingen 1. Ga door met het in kaart brengen van alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. 2. Besteed daarbij ook aandacht aan “metadata” die binnen het eID Stelsel in loggingen/audittriails wordt verwerkt.
6
Zijn er beleid en procedures voorzien voor het creëren en bijhouden van een verzameling van de persoonsgegevens die u wilt gaan gebruiken? Zo ja, hoe vaak en door wie zal de verwerking worden gecontroleerd? Omvat de verzameling een verwerking die namens u wordt uitgevoerd (bijvoorbeeld door een onderaannemer)?
x
x
In deze fase van ontwerp van het eID Stelsel zijn nog geen richtlijnen voor beleid en procedures voorzien voor het creëren en bijhouden van een verzameling van de persoonsgegevens die voor het doel van het eID Stelsel zullen worden gebruikt door de hierin te onderscheiden Stelselautoriteit, eID Deelnemers en Dienstaanbieders. Dit geldt ook voor de controle op de bedoelde verwerkingen, zowel bij de eID Deelnemers die de status van “verantwoordelijke”, als die van “bewerker” (onderaannemer) zullen hebben. Specifiek beleid en procedures voor de verwerkingen door de eID Deelnemers zullen vervolgens zelf door die deelnemers moeten worden uitgewerkt. Op voorhand wordt door ons in het bijzonder aandacht gevraagd voor het volgende.
Volgens de toelichting op het systeemdiagram eID Stelsel, zijn de daarin geschetste componenten rollen. Er zijn eIDdeelnemers die gecertificeerd zijn en hun diensten aanbieden aan andere partijen of aan Gebruikers. eID-deelnemers kunnen zich specialiseren en bijvoorbeeld alleen een makelaarsdienst aanbieden, maar ze kunnen ook kiezen om meerdere rollen in te vullen en daarmee een compleet scala aan eID-diensten aan te bieden. Deze keuzevrijheid geldt voor alle partijen. Zo kan een Dienstaanbieder ervoor kiezen om zelf op te treden als Dienstbemiddelaar; voor veel kleinschalige diensten zal dit zelfs een voor de hand liggende invulling zijn. Een ander voorbeeld is een bedrijf dat zelf Bevoegdheidsverklaringen afgeeft voor zijn eigen werknemers en dus optreedt als Machtigingsdienst. Dit leidt tot de eigenschap P01: “Het eID Stelsel is neutraal ten aanzien van partijen die een rol invullen; het formuleert alleen eisen waaraan een partij voor een bepaalde rol moet voldoen.” De uitzondering is de Stelselautoriteit die een sleutelrol speelt in het beheer van de encryptie binnen op het stelsel. De rol komt vooral naar voren bij het toetreden van partijen (eID-deelnemers en Gebruikers) tot het stelsel, en niet bij bijvoorbeeld het uitvoeren van authenticaties en bij het verstrekken van verklaringen. Aansluitend biedt eigenschap P06 de mogelijkheid dat een Authenticatiedienst ook de Authenticatiemiddelen uit geeft. Eigenschap P07 biedt de mogelijkheid dat een Authenticatiedienst Authenticatiemiddelen van Dienstaanbieders ontkoppelt. Om de Authenticatiemiddelen te kunnen uitgeven registreert de Authenticatiedienst zijn Gebruikers. Bij dit registratieproces wordt een koppeling gelegd tussen de identiteit van de Gebruiker in de werkelijkheid en de identiteit(en) van de Gebruiker zoals deze wordt opgenomen in het eID Stelsel. In theorie zouden de rollen van Middelenuitgever en Authenticatiedienst kunnen worden gescheiden. De ervaring heeft geleerd dat in de praktijk deze rollen altijd gecombineerd worden.
69
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
Een Middelenuitgever is verantwoordelijk voor de koppeling tussen het Authenticatiemiddel en de Authenticatiedienst. Deze koppeling blijft voor het stelsel verborgen en is daarmee onafhankelijk van de gekozen technologie van het Authenticatiemiddel. Elke Authenticatiedienst wordt via het uniforme koppelvlak K1 benaderd. Dit betekent dat nieuwe middelen kunnen worden toegevoegd en andere middelen kunnen worden ingetrokken zonder dat dit impact heeft op de Dienstbemiddelaars en Dienstaanbieders. Het resultaat van een authenticatie is altijd een formele verklaring, ondertekend door de Authenticatiedienst. Een Authenticatiedienst levert een getekende Identiteitsverklaring. Een Identiteitsverklaring kan gericht zijn aan meerdere Ontvangende Partijen72 (P08). Een Identiteitsverklaring bevat een pseudoniem73; een pseudoniem is een unieke verwijzing naar de Gebruiker in het domein van de Ontvangende Partij. Dit voorkomt dat deze partijen gegevens over dezelfde Gebruiker uitwisselen en relateren op basis van informatie die door het eID Stelsel is geleverd. Een Authenticatiedienst realiseert inzage voor de Gebruiker in het gebruik dat van zijn of haar Authenticatiemiddelen is gemaakt (P09). Een Authenticatiedienst houdt een audit trail bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eID Stelsel: als een Authenticatiemiddel vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een Authenticatiemiddel is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een Gebruiker heeft afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend: een audit trail mag door een Authenticatiedienst uitsluitend worden gebruikt voor het geven van inzicht aan de Gebruiker welk gebruik er van zijn middelen is gemaakt.
Volgens ontwerpeis E03 moeten Derden namens een Dienstaanbieder digitale diensten kunnen aanbieden. Deze ontwerpeis hangt samen met de ontwerp eigenschappen: P21: Een Dienstbemiddelaar bundelt de verkregen verklaringen en de bijbehorende gegevens en ondertekent het geheel. Daarmee verklaart de Dienstbemiddelaar dat alle verklaringen en gegevens bij elkaar horen (ook associëren genoemd). P22: Een Dienstbemiddelaar kan optreden als bewerker namens een Dienstaanbieder of op eigen titel worden geregistreerd als eID-deelnemer. Ten aanzien van de rol van de eID-makelaar vermeldt par. 2,4 van het ontwerpdocument Werking van het eID Stelsel het volgende. De interactie tussen de verschillende rollen in het stelsel is met zoveel woorden als complex aangeduid 74. Daarom is in het stelsel een afzonderlijke rol gedefinieerd die als taak heeft om de interactie in goede banen te leiden en zo de Dienstaanbieders en Dienstbemiddelaars te “ontzorgen”. Deze rol is de eID-makelaar. De eID-makelaar vraagt aan de Gebruiker van welke Authenticatiedienst hij gebruik wil maken en (indien van toepassing) waar de machtigingen van de Gebruiker zijn geregistreerd. Op basis van de antwoorden routeert hij de Gebruiker door naar 72 Ontvangende Partij is de verzamelnaam voor iedere partij die informatie uit het stelsel ontvangt. Dit kunnen dus zowel partijen binnen het stelsel zijn (eID-makelaars, Machtigingsdienst, etc.) als partijen die zijn aangesloten op het stelsel (Dienstaanbieders en Dienstbemiddelaars). 73 In dit document wordt pseudoniem gebruikt als een algemene term. Een concrete implementatie met specifieke kenmerken wordt aangeduid als pseudo-identiteit of kortweg PseudoID. Zie Hoofdstuk 3 voor een beschrijving van de stappen waarin een PseudoID tot stand komt. 74 Zie Werking van het eID Stelsel, par. 2.4 eID-makelaar, p. 11.
70
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
de juiste voorzieningen. De eID-makelaar verricht zijn werkzaamheden op basis van een contract of bewerkersovereenkomst met de Dienstbemiddelaar of Dienstaanbieder. De keuze voor een bepaalde eID-makelaar berust bij de Dienstbemiddelaar of Dienstaanbieder. Het is de verantwoordelijkheid van de Dienstbemiddelaar of Dienstaanbieder om te zorgen voor het invullen van de rol van een eID-makelaar voor het ontsluiten van zijn diensten. Ze kunnen ervoor kiezen om een contract af te sluiten met twee of meer eID-makelaars omwille van de continuïteit van de dienstverlening. In beginsel heeft de eID-makelaar daarmee het recht om dezelfde gegevens te verwerken als de Dienstaanbieder in wiens opdracht hij werkt. Echter, een eID-makelaar kan werken in opdracht van meerdere Dienstaanbieders. Dat zou betekenen dat bij de eID-makelaar een ongewenste concentratie van gegevens ontstaat. Het gebruik van versleutelde pseudoniemen en het maskeren van persoonsgegevens voorkomt dat. (opmerking: echter ook ondanks deze maatregelen blijven het ons inziens gegevens die tot op personen te herleiden zijn, zeker indien er sprake is van cumulatie van rollen.)
Ten aanzien van het bovenstaande signaleren wij de volgende risico’s. Risico’s 1. In theorie zou, als gevolg van eigenschap P01, zou een ongebreidelde samenloop van rollen (Dienstaanbieder, Dienstbemiddelaar, eID makelaar, Authenticatiedienst, Machtigingendienst, Sector ID Dienst75) bij een eID Deelnemer (conglomeraat, samenwerkingsverband, economische eenheid) kunnen ontstaan. Deze ongebreidelde samenloop van rollen, genereert een ongebreidelde cumulatie van met die rollen samenhangende persoonsgegevens, die normaliter over de afzonderlijke koppelvlakken tussen afzonderlijke eID Deelnemers worden uitgewisseld en over die eID Deelnemers wordt verdeeld. 2. Die gegevens komen dan samen onder één eID Deelnemer (concentratie-enorme hotspot), die (on)afhankelijk van de rol, ook nog de keuze heeft om afhankelijk van de wensen van diens klant(en) als “verantwoordelijke en/of “bewerker” op te treden. (“Zoveel klanten, zoveel wensen, zo veel statussen”) Een bewerker is in theorie immers grotendeels afhankelijk van de eisen die een (of meerdere) verantwoordelijke(n) aan hem stel(t)(len)t. De verantwoordelijke “bepaalt het doel en de middelen.” 3. Daarbij krijgt een Authenticatiedienst ook de gelegenheid om facultatief de Gebruiker de mogelijkheid te bieden om af te zien van het bijhouden van een audittrail. Dit impliceert tegelijkertijd dat het voor een Gebruiker niet meer mogelijk is om na te gaan welk gebruik of misbruik er van zijn gegevens is gemaakt. Dit raakt overigens ook de functionaliteit van het eID Stelsel waar het gaat om het voorkomen en bestrijden van identiteitsfraude. De vraag is ook welke extra risico’s dit weer met zich mee brengt nu er bij samenloop van rollen een vitale auditrail tussenuit kan vallen, waardoor de interactie tussen de afzonderlijke rollen niet meer sluitend in beeld kan worden gebracht. 4. In diverse rollen, zoals de Dienstaanbieder en de eID makelaar zijn zowel de status van bewerker als verantwoordelijke mogelijk, hetgeen “een tombola” aan te regelen verantwoordelijkheden voor de diverse vooralsnog te onderscheiden verwerkingen tot gevolg kan hebben. Ook de wijze waarop betrokkenen (Gebruikers) hun rechten moeten kunnen effectueren kan tot een wirwar van regelingen binnen één eID Deelnemer leiden. 5. Het is voorstelbaar dat in de onderliggende ICT-infrastructuur van het eID Stelsel veel ict-serviceproviders weer een diversiteit aan diensten aan eID Deelnemers zullen verlenen. Afhankelijk van de status(sen) van een eID Deelnemer verkrijgt de serviceprovider in een voorkomende geval de status van “bewerker” of van “subbewerker”. 75
Een uitzondering vormt de rol van Stelselautoriteit.
71
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen 6.
Daarbij komt dat outsourcing naar serviceproviders naar landen buitende EU/EER privacy risico’s kent tengevolge waarvan die outsourcing aan specifieke regels of beperkingen is gebonden.
Aanbevelingen 1. Laat een risicoanalyse uitvoeren op alle mogelijke combinaties van rollen voor eID Deelnemers; 2. Laat een risicoanalyse uitvoeren op de mogelijkheden van eID Deelnemers om zelf de status van “verantwoordelijke” of van “bewerker” of combinaties van deze statussen te kiezen. 76 3. Laat een risicoanalyse uitvoeren op de mogelijkheden van outsourcing van rollen en ict services naar partijen buiten de EU/EER. 4. Neem aan de hand van de uitkomst van de risicoanalyse beheersmaatregelen in het Afsprakenstelsel aangaande combinaties van rollen, de status van verantwoordelijke en bewerker en combinaties hiervan, outsourcing van rollen en ictservices, de rechten van betrokkenen (Gebruikers) en het hier op te houden toezicht (zoals certificeringen). 7
IV
Is er sprake van overdracht van persoonsgegevens naar een (overheids)instantie buiten de EU/EER? Heeft dit land een niveau van gegevensbescherming dat als passend is beoordeeld door een besluit van de Europese Commissie of de Minister van Veiligheid en Justitie?
x
In het ontwerp documentatie is nog geen aandacht besteed aan een eventuele overdracht van persoonsgegevens door de Stelselautoriteit en eID Deelnemers naar een (overheids)instantie buiten de EU/EER, en als dat zo mocht zijn, hoe dan dient te worden gehandeld ingeval dit een land betreft dat geen passend privacy beschermingsniveau heeft. Zie in dat verband ook de risico’s die ten aanzien van ict-(sub)bewerkers in de voorgaande vraag aan de orde kwamen. Aanbevelingen 1. Neem in de ontwerpeisen mee of er sprake kan zijn van overdracht van persoonsgegevens naar een (overheids)instantie buiten de EU/EER. 2. Neem, voor het geval dat zo mocht zijn, in het Afsprakenstelsel de voorwaarden mee, waaraan eID Deelnemers in dergelijke gevallen moeten voldoen, zoals de vereisten die de Data Protection Act daaraan stelt.
Beveiliging en bewaring/vernietiging Privacy principe Beveiliging van gegevens (Privacy by Design) (Privacy Enhancing Technologies) Beveiliging
1
Is het beleid met betrekking tot
x
In de ontwerp-documentatie is nog niet voorzien in het opstellen, implementeren en handhaven van beleid met betrekking tot de
76
Let hierbij op het Advies van de EDPS in Opinion of the European Data Protection Supervisor on the Commission proposal for a regulation of the European Parliament and of the Council on trust and confidence in elektronic transactions in the internal market (Electronic Trust Services Regulation).
72
Nr.
2
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
gegevensbeveiliging binnen uw organisatie op orde? Zo ja, wie/welke afdeling(en) is/zijn binnen de organisatie verantwoordelijk voor het opstellen, implementeren en handhaven hiervan? Is dit beleid specifiek gericht op gegevensbescherming en gegevensbeveiliging ?
gegevensbeveiliging bij de eID Deelnemers. Het risico hiervan is, dat het niveau van de beveiliging van persoonsgegevens door de eID Deelnemers binnen het eID Stelsel kan variëren en tot zwaktes in de eID-keten kan leiden.
Indien (een deel van) de verwerking bij een bewerker plaatsvindt, hoe draagt u zorg voor de gegevensbeveiliging, en het toezicht daarop, bij die bewerker?
Voor het geval dat een eID Deelnemer voor diens rol in het eID Stelsel en de daarmee gegaard gaande verwerking van persoonsgegevens de status van bewerker zal aannemen, is in de ontwerp documentatie nog niet voorzien hoe verantwoordelijken in het eID Stelsel zorg dienen te dragen voor de gegevensbeveiliging en het toezicht hierop bij hun bewerkers.
Aanbevelingen 1. Neem in het Afsprakenstelsel voorwaarden op voor de beveiliging van persoonsgegevens bij de eID Deelnemers. 2. Neem daarin op, dat eID Deelnemers jaarlijks dienen te worden onderwerpen aan een beveiligingsaudit door een hiertoe erkende gekwalificeerde onafhankelijke instelling. 3. Neem daarin op, dat iedere eID Deelnemer jaarlijks het auditrapport aan de wettelijke toezichthouder dient te overleggen.77
Aanbevelingen 1. Regel in het Afsprakenstelsel door wie en onder welke voorwaarden het toezicht op bewerkers binnen het eID Stelsel dient plaats te vinden. 2. Denk hierbij ook aan de voorwaarden (normen en objecten) waaraan een Third Party Memorandum dient te voldoen. 3
77
Welke technische en organisatorische beveiligingsmaatregelen zijn getroffen ter voorkoming van niet-geautoriseerde of onrechtmatige verwerking/misbruik van (a) gegevens die in een geautomatiseerd format staan (bv. wachtwoord-bescherming, versleuteling, encryptie) en (b) gegevens die handmatig zijn opgetekend bv. sloten op kasten)? Is er een hoger beschermingsniveau om gevoelige persoonsgegevens te beveiligen?
In de ontwerp documentatie is op onderdelen gefragmenteerd aandacht besteed aan technische en organisatorische beveiligingsmaatregelen die zijn getroffen ter voorkoming van niet-geautoriseerde of onrechtmatige verwerking/misbruik van persoonsgegevens in het eID Stelsel. De maatregelen liggen vooral nog op het niveau van het gebruik van (Polymorfe) PseudoID’s en de versleuteling van data gedurende de communicatie tussen de eID Deelnemers onderling en de Dienstaanbieders. Voorbeelden hiervan zijn: P27 Het eID Stelsel dwingt af dat een Dienstaanbieder niet meer gegevens ontvangt dan waar hij recht op heeft. Dit recht wordt vastgesteld bij het aansluiten van de die Dienstaanbieder op het stelsel. P30: Persoonsgegevens die tussen partijen worden getransporteerd worden zodanig versleuteld dat alleen de Ontvangende Partij deze weer kan ontsleutelen. P32: Een PseudoID binnen het stelsel is betekenisloos. Hij is uniek voor een bepaald Personage en voor een bepaalde Dienstaanbieder. P38: Een Polymorf PseudoID is randomiseerbaar. Dat houdt in dat er extra gegevens aan de Polymorfe PseudoID kunnen worden toegevoegd zonder dat dit invloed heeft op de PseudoID’s die van het Polymorfe PseudoID worden afgeleid. P40: Een Polymorfe PseudoID kan worden opgeslagen op een extern “secure device”. P42: Een Authenticatiedienst ontvangt van de Stelselautoriteit/sleutelbeheer een geheime sleutel ten behoeve van het berekenen van Versleutelde PseudoID’s. P43: Een Versleutelde PseudoID is randomiseerbaar. P44: Een Versleutelde PseudoID is alleen leesbaar voor de Ontvangende Partij.
Deze aanbevelingen zijn in lijn met artikel 15 en 16 Voorstel verordening elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt COM(2012) 238 final.
P48: Een identiteitsketen kan per Ontvangende Partij slechts één identiteit (PseudoID of SectorID) bevatten. P51: Een Bevoegdheidsverklaring bevat de Dienstaanbieder-specifieke Versleutelde PseudoID van de Gemachtigde en de Vertegenwoordigde. P52: Een Authenticatiedienst levert op verzoek zowel een Versleutelde PseudoID voor de Dienstaanbieder als voor de Machtigingsdienst. P53: Een Machtigingsdienst vraagt voor het genereren van PseudoID’s een eigen Polymorfe PseudoID aan bij de Stelselautoriteit/pseudoniemen. P55: De Stelselautoriteit ondersteunt ter bestrijding van fraude de mogelijkheid om een PseudoID terug te herleiden tot de Stamsleutel waarop de PseudoID was gebaseerd. Zie ook: Werking van het eID Stelsel, par. 5.2, p. 25 Polymorfe PseudoID. Een Polymorfe PseudoID wordt berekend door: een hash te berekenen over de combinatie van Stamsleutel, Personage en volgnummer; deze hash te versleutelen met een geheime sleutel van de Stelselautoriteit. De sleutel van de Stelselautoriteit geldt voor het hele stelsel en dient zwaar beveiligd te worden. Opslag in een HSM is hierbij een vereiste. Het polymorfe karakter van de gegenereerde pseudoniemen (het feit dat ze zich in verschillende gedaanten kunnen manifesteren) maakt ze tot een gevoelig punt, te vergelijken met een encryptiesleutel. Authenticatiediensten dienen daarom Polymorfe PseudoID’s te bewaren in een HSM.
In het document Interface specifications zijn op onderdelen beveiligingsmaatregelen voor het berichtenverkeer over de koppelvlakken tussen de eID Deelnemers voorgeschreven. Dit betreft onder meer (in de Engelse taal): All SAML messages between eID Participants should be exchanged over an HTTP artifact binding. All connections must be secured with SSL 3.0 or higher or TLS. The WS-I basic security profile78 mentions cipher suites that are discouraged. The cipher suites shall not be used. All participants and public Service Providers must use PKIoverheid G2 SSL certificates for securing connections. Private Service Providers must use either PKIoverheid G2 SSL certificates, or Another SHA256 based Extended Validation SSL certificate, recognized by all common browsers for securing connections. All certificates must have a key length of minimal 2048 bits. The (extended) key usage field of a certificate must allow use for SSL/TLS. All messages (request and response, SAML and SOAP) must be signed by the sender of that message with an XML Signature. All elements must be signed by the of that with an enveloped XML Signature. All eID Participants and Service Providers must use their Scheme Certificate for signing purposes. All certificates must have a key length of minimal 2048 bits. The (extended) key usage field of a certificate must allow use for message signing. For all signing the RSA-SHA256 algorithm must be used. For all hashing of message data (e.g. creating message digests) the SHA256 algorithm must be used. For all canonicalization purposes, both in creating digests and creating the signature value, Exclusive XML Canonicalization must be used. The signature of every message and every should be verified, prior to further processing the message/Assertion. Unsigned information shall not be processed. All SAML attributes that contain sensitive subject information (regardless whether the subject is a natural or legal person) 78
are masked during transport, so that only intended recipients can unmask the information. The procedure of masking exists of the following steps.1. The value of the attribute is padded with the “#” symbol and a timestamp. This guarantees that not intended audience sees a different value for every message even if the actual value is the same, preventing pattern recognition. 2. The attribute is encrypted according SAML specifications. 3. The symmetric key for the SAML attribute is encrypted with the public key of the Scheme Certificate of every intended recipient. The SAML Attributes that are not encrypted are gathered in a generic attribute statement. Values belonging to the SAML core specifications are not encrypted. K1: Interface eID Broker – Identity Provider: Response: All attributes provided outside of the generic eID attribute statement must be encrypted. Attribute Statement for Declaration of Identity: This optional attribute statement contains the following encrypted attributes K2: Interface eID Broker – Authorisation Information Provider. Response: All attributes provided outside of the generic eID attribute statement must be encrypted. Attribute Statement for Declaration of Authorisation: The attribute statement contains the following encrypted attribute K8: Interface eID Broker – Attribute Provider. All attributes provided outside of the generic eID attribute statement must be encrypted. K5: Interface eID Broker – SectorID Provider. All attributes provided outside of the generic eID attribute statement must be encrypted. Attribute Statement for Declaration of Attribute. The attribute statement contains the following encrypted attrbutes. K3: Interface Service Provider – eID Broker. Vermeldt niets over encryptie. Verwijst naar SAML AuthnRequest. K4: Interface Service Intermediary – Service Provider. Moet nog worden ingevuld. K7: Interface Identity Provider / Authorisation Information Provider – Scheme Authority. Moet nog worden ingevuld.
Conclusies 1. Het gebruik van (Polymorfe) PseudoID’s is de kern van het eID Stelsel, waarmee invulling wordt gegeven aan belangrijke privacy principes als dataminimalisatie en privacy by design. 2. Op belangrijke componenten/koppelvlakken is het berichten verkeer encrypted. Voor een tweetal componenten dient dit nog te worden ingevuld. De technische en organisatorische beveiligingsmaatregelen, dan wel de hiervoor te hanteren beveiligingsstandaarden voorzieningen door eID Deelnemers en Dienstaanbieders in hun respectievelijk backoffice systemen zijn nog niet voorzien. Hierbij valt bijvoorbeeld ook te denken aan de beveiliging en het beheer van de geheime sleutels van eID Deelnemers en Dienstaanbieders. Dit geldt ook voor de Stelselautoriteit. Aanbeveling 1. Voorzie in het Afsprakenstelsel in normen / standaarden voor het beveiligen van persoonsgegevens voor de Stelselautoriteit, eID Deelnemers en Dienstaanbieders, waarmee convergentie in de beveiligingsaanpak wordt bewerkstelligd. 4
Welke procedures bestaan er in geval van inbreuken op beveiligingsvoorschriften, en voor het detecteren ervan? Is er een calamiteitenplan om het gevolg van een
x
In de ontwerp documentatie is nog niet voorzien in procedures in geval van inbreuken op beveiligingsvoorschriften, en voor het detecteren ervan, alsmede calamiteitenplannen om het gevolg van een onvoorziene gebeurtenis waarbij persoonsgegevens worden blootgesteld aan onrechtmatige verwerking of verlies van persoonsgegevens af te handelen.
75
Nr.
Vraag
J
N
onvoorziene gebeurtenis waarbij persoonsgegevens worden blootgesteld aan onrechtmatige verwerking of verlies van persoonsgegevens af te handelen?
Bevindingen / Risico’s / Aanbevelingen Aanbeveling 1. Neem in het Afsprakenstelsel een voorziening op voor het melden van beveiligingsincidenten en datalekken, ontstaan binnen de eID infrastructuur en bij eID Deelnemers, bij de betreffende toezichthouders, zoals het CBP. 79
Bewaring/vernietiging 5
6
Hoe lang worden de persoonsgegevens bewaard? Geldt dezelfde bewaartermijn voor elk van de typen van verzamelde persoonsgegevens? Is het project onderworpen aan enige wettelijke/sectorale eisen met betrekking tot bewaring?
De ontwerp documentatie bevat nog geen concrete informatie over de bewaar en vernietigingstermijnen voor de te onderscheiden verwerkingen van persoonsgegevens door de Stelselautoriteit, de eID Deelnemers en de Dienstaanbieders. Dit geldt ook voor het eventuele onderhevig zijn aan enige wettelijke sectorale eisen met betrekking tot bewaring.
Op welke beleidsmatige en technische gronden is deze termijn van bewaring vereist?
De ontwerp documentatie voorziet nog niet in de beleidsmatige en technische gronden waarop de noodzaak van het bewaren van bepaalde typen persoonsgegevens in het eID Stelsel kan worden gebaseerd.
7
Welke maatregelen zijn voorzien om de persoonsgegevens na afloop van de bewaartermijn te vernietigen? Worden alle persoonsgegevens, inclusief log-gegevens, vernietigd? Is er controle op de vernietiging, en door wie?
V
Transparantie en rechten van betrokkenen
Aanbevelingen 1. Zorg in het Afsprakenstelsel voor op elkaar afstemde richtlijnen over het bewaren van persoonsgegevens voor de Stelselautoriteit, de eID Deelnemers en de Dienstaanbieders. 2. Hou daarbij rekening met mogelijke gedifferentieerde bewaartermijnen per type verzamelde persoonsgegevens. 3. Betrek daar daarbij ook de relevante wettelijke/sectorale eisen met betrekking tot de bewaring van bepaalde typen van persoonsgegevens. 4. Zorg in ieder geval dat inzichtelijk wordt op basis van welke beleidsmatige en technische gronden bewaartermijnen voor bepaalde typen van persoonsgegevens binnen het eID Stelsel zijn vereist. 5. Zorg dat in het Afsprakenstelsel ook maatregelen zijn voorzien om de persoonsgegevens na afloop van de bewaartermijn te vernietigen. Hierbij dient ook aandacht te worden besteed aan gegevens in loggingen en audittrails. 6. Zorg er tenslotte voor dat de bewaartermijnen en de vernietiging van persoonsgegevens onderdeel uitmaken van de scope van certificeringsaudits.
Zie de voorgaande aanbevelingen. x
De ontwerp documentatie voorziet nog niet in maatregelen om de persoonsgegevens (inclusief loggegevens) na afloop van de bewaartermijn te vernietigen, zoals de norm beoogt. Zie de voorgaande aanbevelingen.
Privacy principe 79
Deze aanbeveling is in lijn met artikel 15, lid 2, Voorstel Verordening elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt COM(2012) 238 final.
76
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
x
x
Op de vragen: Is het doel van het verwerken van de gegevens bij Gebruikers van het eID Stelsel bekend of kan het bekend gemaakt worden? Wat is de procedure om Gebruikers indien nodig te informeren over het doel van de verwerking van hun persoonsgegevens? kan het volgende worden opgemerkt.
Transparantie Transparantie 1
Is het doel van het verwerken van de gegevens bij de betrokkenen bekend of kan het bekend gemaakt worden? Wat is de procedure om betrokkenen indien nodig te informeren over het doel van de verwerking van hun persoonsgegevens?
Burgers die reeds gebruik maken van bestaande authenticatievoorzieningen als DigiD en e-Herkenning kunnen in zekere zin bekend zijn met de identificatie en authenticatiedoeleinden voor dat deel van het toekomstige eID Stelsel. Zowel aan de kant van de overheid als van marktpartijen zijn er immers verschillende bestaande ICT-voorzieningen die, na migratie, zullen worden opgenomen worden in het eID Stelsel. Denk hierbij aan: DigiD, DigiD Machtigen, eHerkenning en PKIoverheid.80 Maar in de ontwerp documentatie is ook aangegeven dat de werking van het eID Stelsel complex is. Dit betekent niet op voorhand mag worden aangenomen, dat de werking van het eID Stelsel voor de Gebruiker, alsmede het gebruik van diens gegevens door relevante eID Deelnemers en Dienstaanbieders transparant is. Nu het eID Stelsel als publieke-privaat stelsel voor elektronische identificatie, authenticatie en autorisatie met bestaande, maar ook met nieuwe partijen samenwerkt, is het noodzakelijk dat de betrokkenen in ieder geval vooraf worden geïnformeerd over het bestendigen of aanvullen van het doel van het verwerken van hun persoonsgegevens binnen het eID Stelsel. Dus ook met welke specifieke wijzingen en aanvullingen het eID Stelsel gepaard gaat. Hierbij dient in aanmerking te worden genomen, dat zich binnen het eID Stelsel, afhankelijk van de rol/combinatie van rollen die een component / eID Deelnemer binnen dit Stelsel vervult, bij de betrokkene kenbaar moet zijn of aan de betrokkene kenbaar moet worden gemaakt, voor welk specifiek doel zijn gegevens bij welke component voorwelke rollen worden verzameld en verder verwerkt. Afhankelijk van het gebruik dat een betrokkene (Gebruiker/Belanghebbende) van het eID Stelsel maakt, zal de informatie hier op toegespitst moeten zijn. Hoewel er van mag worden uitgegaan, dat de Gebruiker over de diensten in het eID Stelsel zal worden geïnformeerd, zal hier volledigheidshalve in het Afsprakenstelsel aandacht aan moeten worden besteed. Dit nu is in die samenhang nog niet voorzien in de ontwerp documentatie van het eID Stelsel. Wel is op onderdelen in het document Stakeholders, belangen en ontwerpeisen aandacht besteed aan de “belangen” van Gebruikers (zijnde de betrokkenen). Belang B1 Verhogen beveiliging, betrouwbaarheid. De Gebruikers van het eID Stelsel moeten er op kunnen vertrouwen dat het stelsel veilig is. Alleen dan zal het stelsel breed worden toegepast. Belang B2: Verhogen vertrouwelijkheid. De Gebruikers van het eID Stelsel moeten er op kunnen vertrouwen dat het stelsel veilig is. Alleen dan zal het stelsel breed worden toegepast. Belang B3: Gebruiksgemak en toegankelijkheid. Deelnemers (met name burgers) begrijpen het toegangs- en vertegenwoordigingsproces en willen/durven het te gebruiken. E21 Laagdrempelig voor betrokkenen. Beveiliging is mede afhankelijk van de mate waarin de Gebruikers het toegangs- en machtigingsproces begrijpen. Gebruikers (met name burgers) moeten het toegangs- en vertegenwoordigingsproces willen en durven gebruiken. Gebruiksacceptatie is één van de belangrijkste voorwaarden voor het slagen van het eID Stelsel.
80
Zie Stakeholders, belangen en ontwerpeisen, E12, p. 15.
77
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
E22. Belanghebbende kan zelf machtigingen achteraf controleren. Een hogere betrouwbaarheid: de Belanghebbende (of zijn daartoe bevoegde vertegenwoordiger) kan beoordelen of een machtiging correct is of dat een activiteit door een bevoegde is uitgevoerd. De mogelijkheid van zelfcontrole zorgt voor betrouwbaardere machtigingen en snellere ontdekking van misbruik. E23. Gebruikers hebben controle over machtigingen en gegevens. Gebruikers blijven baas over eigen gegevens. E31. Bescherming privacy betrokkenen onderling. Verbeterde vertrouwelijkheid, privacy en de privacywet- en regelgeving (o.a. WBP) zijn gerespecteerd. Gebruikers mogen volledig vertrouwen op de borging van hun privacy en het zorgvuldig handelen van de deelnemende partijen. Organisaties mogen volledig vertrouwen op het bewaken van gevoelige informatie. E32. Niet meer gegevens leveren dan strikt noodzakelijk. Deze ontwerpeis is van belang voor E31, maar ook voor verbeterde continuïteit. Indien een eID-deelnemer is gehackt, dan is slechts een beperkt aantal gegevens gecompromitteerd. Het is dan eenvoudiger om de deelnemer uit het eID Stelsel te verwijderen zonder dat dit grote gevolgen heeft voor het eID Stelsel. E33. De verschillende partijen binnen het eID Stelsel moeten verantwoording kunnen afleggen over hun elektronische activiteiten. Een Dienstaanbieder moet kunnen aantonen dat hij vertrouwelijke informatie terecht heeft afgeven. Ook andere partijen (bijvoorbeeld Authenticatiediensten en Machtigingsdiensten) moeten achteraf kunnen aantonen dat ze terecht informatie hebben afgegeven.
Aanbevelingen 1. Voorzie in documentatie en mediamateriaal aan de hand waarvan het eID Stelsel voor wat betreft de werking en het gebruik van data voor de Gebruikers transparant kan worden gemaakt. 2. Zorg via het Afsprakenstelsel, dat eID Deelnemers en Dienstaanbieders hun Gebruikers, zowel over de algemene werking van het Stelsel als voor wat zijn aandeel hierin betreft, informeren. 2
Indien u de persoonsgegevens direct van de betrokkenen verkrijgt, hoe stelt u hen van uw identiteit en het doel van de verwerking op de hoogte vóór het moment van verwerking?
Ontwerp eis E 31: Bescherming van de privacy van betrokkenen 81 en de hiermee corresponderende eigenschappen P30, P32 en P33 zien impliciet voor een deel op bescherming van de privacy van betrokkenen. Hierin is nog niet met zoveel woorden opgenomen, dat ingeval een deelnemer van het eID Stelsel direct persoonsgegevens van de betrokkene verkrijgt, deze op de hoogte wordt gesteld van de identiteit van de eID Deelnemer en het doel van de verwerking. Het risico hiervan is, dat eID Deelnemers deze verplichting niet of niet op een convergente en samenhangende wijze gaan uitvoeren. Aanbevelingen 1. Zie de samenhang met de voorgaande aanbeveling. 2. Neem in de ontwerpeisen op, dat eID Deelnemers, indien zij de persoonsgegevens direct van de betrokkenen verkrijgen, hen van hun identiteit en het doel van de verwerking op de hoogte stellen vóór het moment van verwerking en de manier waarop dit dient te gebeuren. Een en ander met het oog op een convergente uitvoering van deze verplichting.
3
81 82
Indien u de persoonsgegevens via een andere (overheids)organisatie verkrijgt, hoe zullen de betrokkenen van uw identiteit en het doel van de verwerking op de hoogte
In Ontwerp eis E 3182 en de hiermee corresponderende eigenschappen P 30, P 32 en P 33 is, zoals in het voorgaande antwoord reeds aan de orde kwam, aandacht aan de bescherming van de privacy van betrokkenen besteed. Hierin is echter nog niet met zoveel woorden opgenomen, dat indien een eID Deelnemer de persoonsgegevens van een betrokkene (Gebruiker) via een andere (overheids)organisatie verkrijgt, de betrokkenen van hun identiteit en het doel van de verwerking op de hoogte worden
Zie Werking van het eID Stelsel, Bijlage B, p. 31. Zie Werking van het eID Stelsel, Bijlage B, p. 31.
78
Nr.
Vraag worden gesteld op het moment van verwerking?
J
N
Bevindingen / Risico’s / Aanbevelingen gesteld op het moment van verwerking. Het risico nu is, dat eID Deelnemers deze verplichting niet of niet op een convergente en samenhangende wijze gaan uitvoeren. Aanbevelingen 1. Zie de samenhang met de voorgaande aanbevelingen. 2. Neem in de ontwerpeisen op, dat eID Deelnemers, dat indien een eID Deelnemer de persoonsgegevens van een betrokkene (Gebruiker) via een andere (overheids)organisatie verkrijgt, de betrokkenen van hun identiteit en het doel van de verwerking op de hoogte worden gesteld op het moment van verwerking en de manier waarop dit dient te gebeuren. Een en ander met het oog op een convergente uitvoering van deze verplichting. Aanbevelingen overall 1. Neem in de ontwerpeisen van het eID Stelsel op, dat in het Afsprakenstelsel geregeld wordt dat aan Gebruikers kenbaar wordt gemaakt welke eID Deelnemers op welke momenten voor welke doeleinden hun persoonsgegevens verwerken. 2. Bewerkstellig hiermee een convergente en met elkaar samenhangende toepassing van het transparantiebeginsel bij alle eID Deelnemers binnen het eID Stelsel. 3. Stem, in de veronderstelling, dat er mediacampagnes over de werking van het eID Stelsel zullen komen, de uitvoering van de voorgaande aanbevelingen hier op af.
Rechten van betrokkenen Privacy principe Rechten van betrokkenen 4
Indien u toestemming tot verwerking van persoonsgegevens aan de betrokkene vraagt (opt-in), kan de betrokkene deze toestemming dan op een later tijdstip weer intrekken (opt-out)? Bij een weigering toestemming te geven, of bij een dergelijke intrekking, wat is dan de implicatie voor de betrokkene?
In hoeverre er op onderdelen van het verwerkingsproces in het eID Stelsel sprake is van het toestemming vragen aan de betrokkene tot het verwerken van diens persoonsgegevens (opt-in), en of de betrokkene deze toestemming dan op een later tijdstip weer kan intrekken (opt-out), is in deze ontwerp fase nog niet geheel te overzien. Om die reden kan ook niet volledig worden nagegaan wat bij een weigering om toestemming te geven, of bij een dergelijke intrekking, de implicatie voor de betrokkene is. Wat wel in dit kader in ontwerp eigenschap P 29 aan de orde komt is, dat Attributendiensten (waaronder ook de Sector ID Diensten) uitsluitend attributen verstrekken op basis van instemming van de Gebruiker. Hierbij wordt opgemerkt, dat het eID Stelsel in beperkte mate geschikt is voor het doorgeven van attributen (anders dan de eerder genoemde SectorID). ‘Beperkt’ houdt in dat het uitsluitend gaat over gegevens die met instemming van de Gebruiker worden verstrekt. Attributen kunnen worden onderscheiden in: comfortinformatie (informatie die kan worden toegevoegd aan een Identiteitsverklaring of een Bevoegdheidsverklaring ter wille van de herkenbaarheid); actuele attributen uit een welomschreven bron. De architectuur van het eID Stelsel legt geen beperkingen op aan de attributen die kunnen worden verwerkt.
79
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Volgens ontwerpeigenschap P2983 kan instemming expliciet of impliciet door een Gebruiker worden verleend. Impliciete toestemming wordt verondersteld voor bijvoorbeeld het verstrekken van een PseudoID of een SectorID; het heeft volgens de toelichting weinig zin om nog een keer om toestemming van de Gebruiker daarvoor te vragen. In alle andere gevallen moet de Gebruiker toestemming verlenen. Dat kan eenmalig, voorafgaande aan de eigenlijke verstrekking, of op het moment dat de gegevens feitelijk worden opgevraagd. Als gebruik wordt gemaakt van voorafgaande instemming, dan moet er ook een mogelijkheid zijn om de toestemming weer in te trekken. Daarmee wordt meteen duidelijk dat het mechanisme van een Attributendienst niet dient ter vervanging van bestaande vorm van gegevensuitwisseling binnen de overheid (die plaats vinden op wettelijke gronden en meestal zonder instemming van de Gebruiker), maar als aanvulling. Conclusie 1. Het is nog niet te overzien of er in de ontwerp-documentatie voldoende aandacht is besteed aan de principes van opt-in / opt-out voor Gebruikers van het eID Stelsel en welke attributen die nu precies betreft. Aanbevelingen 1. Besteed in de volgende ontwerp fasen aandacht aan opt-in / op-out mogelijkheden voor Gebruikers bij de daarvoor in aanmerking komen diensten / attributen. 2. Neem dit indien relevant in het Afsprakenstelsel mee.
5
Via welke procedure hebben betrokkenen de mogelijkheid zich tot de verantwoordelijke te wenden met het verzoek hen mede te delen of hun persoonsgegevens worden verwerkt? Hoe worden derden, die mogelijk bedenkingen hebben tegen een dergelijke mededeling, in de gelegenheid gesteld hun zienswijze te geven?
In de ontwerp documentatie is nog niet met zoveel worden geregeld via welke procedure betrokkenen de mogelijkheid hebben zich tot de verantwoordelijke te wenden met het verzoek hen mede te delen of hun persoonsgegevens worden verwerkt. Dit geldt ook ten aanzien van derden, die mogelijk bedenkingen hebben tegen een dergelijke mededeling, en in de gelegenheid moeten worden gesteld om hun zienswijze te geven. Nu zijn er op onderdelen aanzetten tot het inzagerecht van betrokkenen gegevens. Hieronder volgen een aantal voorbeelden. In het document Stakeholders, belangen en ontwerpeisen wordt aandacht besteed aan de “belangen” van Gebruikers (zijnde de betrokkenen): Belang B1 Verhogen beveiliging, betrouwbaarheid en Belang B2 Verhogen vertrouwelijkheid, op de ontwerp. Met de ontwerpeisen die hieraan een bijdrage leveren: E21. Laagdrempelig voor betrokkenen. E22. Belanghebbende kan zelf machtigingen achteraf controleren. E23. Gebruikers hebben controle over machtigingen en gegevens. In het document Werking van het eID Stelsel is vastgelegd, dat een Authenticatiedienst inzage realiseert voor de Gebruiker in het gebruik dat van zijn of haar Authenticatiemiddelen is gemaakt (P09). Een Authenticatiedienst houdt een audit trail bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eID Stelsel: als een Authenticatiemiddel vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een Authenticatiemiddel is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een Gebruiker heeft
83
Zie Werking van het eID Stelsel, p. 13.
80
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend, dat een audit trail door een Authenticatiedienst uitsluitend mag worden gebruikt voor het geven van inzicht aan de Gebruiker welk gebruik er van zijn middelen is gemaakt (P10). Een Authenticatiedienst kan facultatief de mogelijkheid bieden aan een Gebruiker om af te zien van het bijhouden van een audit trail (P011). In dit stadium van de ontwerpeisen van het eID Stelsel kan zodoende in de ontwerp documentatie ten aanzien van (andere) eID Deelnemers (zoals de SectorID Dienst die in feite Attributendienst is, de Attributendienst, de Machtigingendienst, de eIDmakelaar) nog niet worden gesproken van op elkaar afgestemde concrete inzage procedures voor betrokkenen (Gebruikers). Althans niet met zoveel woorden waar de norm op doelt. Ook niet hoe eventuele derden, die mogelijk bedenkingen zou kunnen hebben tegen een dergelijke mededeling, in de gelegenheid gesteld kunnen worden om hun zienswijze te geven. Dit geldt evenzeer voor concrete en formele procedures voor het in behandeling nemen van verzoeken van een betrokkenen tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens. Een Dienstbemiddelaar kan optreden als bewerker namens een of meerdere Dienstaanbieders of op eigen titel als verantwoordelijke (P22).84 Naast Dienstaanbieder en Dienstbemiddelaar wordt in het stelsel ook het begrip Diensteigenaar gebruikt. De Diensteigenaar is de partij die beslist over onder de indeling en naamgeving van de diensten en over alle beleidsmatige aspecten die gelden voor de betreffende dienst, zoals het vereiste Betrouwbaarheidsniveau (P23). Voor diensten waarvoor in het stelsel maar één Dienstaanbieder is, is de Dienstaanbieder tevens Diensteigenaar. Als de dienst door meerdere partijen wordt aangeboden fungeert een overkoepelend orgaan als Diensteigenaar. Deelnemers aan het eID Stelsel die tot op personen te herleiden gegevens verwerken zijn ieder voor zich, voor wat hun aandeel in de verwerking betreft, verantwoordelijk voor het naleven van privacy- wet en regelgeving. Gezien de data interactie tussen de Stelselautoriteit en de meerdere te onderscheiden eID Deelnemers in een identificatie/authenticatie/machtigings/vertegenwoordigings proces, is het voorstelbaar dat een betrokkene, wil hij zijn rechten effectueren, “door de bomen het bos niet meer ziet” en mogelijk “van het kastje naar de muur wordt gestuurd”. Dit zou het inzagerecht voor wat betreft het eID Stelsel tot een fictie kunnen maken. Aanbevelingen 1. Besteed in het Afsprakenstelsel aandacht aan procedures voor de eID Deelnemers / Dienstaanbieders voor het effectueren van rechten van betrokkenen (Gebruikers). 2. Geef daarbij handreikingen om convergentie in de afhandeling ervan bij de Stelselautoriteit, eID Deelnemers en Dienstaanbieders te bewerkstelligen. 3. Geef ook handreikingen voor een efficiënte en effectieve routing van de afhandeling van deze verzoeken van Gebruikers ingeval de afhandeling ertoe moeten leiden dat meerdere eID Deelnemers zich hiermee moeten gaan bezig houden. Bedenk daarbij ook, dat er omstandigheden kunnen zijn, waarin derden, die mogelijk bedenkingen hebben tegen een dergelijke mededelingen, in de gelegenheid moeten worden gesteld om hun zienswijze te geven. 4. Zorg er ook voor dat het voor de Gebruiker transparant is tot wie welk verzoek inzake welk recht (het beste) kan worden gericht. 5. Neem de voorzieningen voor de rechten van betrokkenen mee in de het Afsprakenstelsel over de verplichte en periodiek uit
84
Zie Werking van het eID Stelsel, par. 2.5, p.12.
81
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen te voeren certificeringsaudit voor de eID Deelnemers.
6
Hoe kan een verzoek van een betrokkene tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens in behandeling worden genomen?
Voor het regelen van de wijze waarop een verzoek van een betrokkene tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens in behandeling moet worden genomen, wordt verwezen naar de aanbevelingen bij antwoord 5.
82
Bijlage I: Privacy Principes De basis voor een PIA ligt in het identificeren van de zogenaamde privacy principes. Op basis van een literatuurstudie zijn uit verschillen documenten de volgende privacy principes geïnventariseerd, welke relevant zijn voor de toetsing van het ontwerp van het nieuwe eID stelsel. Er zijn algemene privacy principes gebaseerd op de OESO beginselen. Deze principes zijn van de achtergrondkleur blauw voorzien. Er zijn aanvullende privacy principes die in de WBP worden gehanteerd. Deze principes zijn zwart gekleurd. De groen gekleurde principes kent de WBP ook. Actuele privacy principes: Verantwoording (accountability). Verantwoordelijken nemen maatregelen om materiële beginselen in de WBP te vertalen naar differentieerbare programma’s (nalevingsprogramma’s). De nalevingsprogramma’s worden gebaseerd op PIA’s om privacy risico’s te elimineren of te mitigeren. Het geheel wordt vertaald naar concrete maatregelen en procedures op strategisch-, tactisch- en operationeel niveau. De borging kan aan externe belanghebbenden, met inbegrip van het College bescherming persoonsgegevens (CBP), worden bewezen door monitoring, interne of externe audits. Transparantie. Burgers worden geïnformeerd over het gebruik van hun persoonsgegevens in samenhang met de gebruikte technologie en kunnen daarover controle uitoefenen. De burger is hierdoor in staat om bepaalde vormen van verwerking of onrechtmatig gedrag in rechte aan te vechten. Doelbinding. Persoonsgegevens worden alleen voor vooraf welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en niet verder verwerkt als dit hiermee onverenigbaar is. Dit is een ontwerp principe voor een inzichtelijk functionerende informatie infrastructuur. Noodzakelijkheid en limitering van verzamelen en gebruik van gegevens (gegevensminimalisering). De inrichting van een informatiesysteem is op het ondersteunen van het specifieke doel toegespitst. Identificatie en traceerbaarheid van het individu duurt niet langer dan strikt noodzakelijk is. Minimalistisch gegevensgebruik is het uitgangspunt. Rechtmatige grondslag. Persoonsgegevens worden uitsluitend verwerkt op basis van de limitatieve grondslagen in de Wet bescherming persoonsgegevens (WBP), zoals toestemming, overeenkomst, wettelijke verplichting, publieke taak en gerechtvaardigd belang. Gebruik van persoon identificerende nummers, zoals het BSN, wordt bij wet geregeld. Hieraan voorafgaand wordt het College bescherming persoonsgegevens om advies gevraagd, ook ingeval van koppelingen met pseudo-identiteiten. Kwaliteit. Vooraf wordt in een procedure vastgelegd aan welke kwaliteitseisen een verwerking moet voldoen. Kwaliteitseisen worden zoveel mogelijk via de functionaliteit van een informatiesysteem afgedwongen. Bewaren. Persoon identificeerbare gegevens worden niet langer bewaard dan echt voor een specifiek doel noodzakelijk is. Beveiliging. Passende technische en organisatorische beveiligingsmaatregelen worden genomen tegen verlies of tegen enige vorm van onrechtmatige verwerking op basis van een risico-analyse. Daarbij wordt rekening gehouden met de stand van de techniek en de kosten van de implementatie. Onnodige verzameling en verdere verwerking van persoonsgegevens wordt voorkomen. PET en PbD zijn verplichte onderdelen van beveiliging.
83
Privacy Enhancing Technologies (PET). Een samenhangend systeem van ICT maatregelen, dat de privacy beschermt door het elimineren, verminderen of voorkomen van onnodige en/of ongewenste verwerking van persoonsgegevens, zonder dat hierbij de functionaliteit van een informatiesysteem wordt aangetast. De overheid neemt het voortouw bij de inzet van PET. Privacy by Design (PbD). Gegevensbescherming inclusief PET zijn van meet af een onderdeel van het ontwerp van de architectuur van het informatiesysteem. ECP/EPN beveelt PbD in de brede maatschappelijke context van het ontwikkelen van digitale diensten of producten aan als privacybeschermende maatregel. De beginselen van de noodzakelijkheid, proportionaliteit en subsidiariteit worden meegenomen. Deze verplichting geldt vanaf de design- tot en met de beheerfase van ICT. Met inachtneming van de afwegingen in het beveiligingsprincipe wordt de ondersteunende ICT periodiek op de toepassingsmogelijkheden van PbD en PET onderzocht en zonodig gereviseerd. Dit kan bijvoorbeeld betekenen, dat de infrastructuur van het van de eID stelsel NL op de bestaande mogelijkheden en inzichten van PbD en PET moet worden gereviseerd en in lijn moet worden gebracht met de architectuur van de nieuwe op die principes gebaseerde IDM-Infra in de private sector. Dit kan op basis van die afwegingen betekenen, dat het implementeren van PET eerst bij de noodzakelijke vervanging van (componenten in) een ICT-infrastructuur of bij een volgende generatie informatiesystemen in de vorm van PbD aan de orde komt. In de visie van het CBP is een infrastructurele aanpak onontbeerlijk om fundamentele waarden als privacy op lange termijn te garanderen. Er ontwikkelt zich een identiteitsinfrastructuur voor de overheid, die de basis zal vormen voor haar informatieinfrastructuur. Pseudo-identiteiten zijn volgens het CBP een onmisbaar gereedschap bij privacybescherming in informatiesystemen. Niet-kenbaarheid van het individu is daarom een essentieel ontwerpprincipe voor de identiteitsinfrastructuur van de overheid. Persoonsnummers spelen een belangrijke rol bij identiteitsmanagement. Nummerstelsels blijken moeilijk te beheren. Vanuit informatiekundig perspectief valt er daarom veel te zeggen voor een gedifferentieerde aanpak waarin verschillende keten- en sectornummers naast elkaar bestaan. Rechten van betrokkenen. Burgers hebben naast het recht van transparantie, het recht om inzage, correctie, aanvulling, afscherming of verwijdering van hun persoonsgegevens te vragen of zich tegen de verwerking ervan te verzetten. De burger mag periodiek vragen aan welke instanties zijn persoonsgegevens zijn verstrekt en hiervan een overzicht ontvangen. De functionaliteit van ICT-infrastructuur is op het effectueren van deze rechten toegerust. Doorgifte naar derde landen. Persoonsgegevens worden slechts naar een land buiten de Europese Unie (EU) en de Europese Economische Ruimte (EER) doorgegeven indien dat land een passend privacy beschermingsniveau waarborgt. Recente ontwikkelingen als gevolg van de onthullingen door Snowdon over PRISM en de Amerikaanse afluisterpraktijken hebben in de politiek geleid tot een mogelijk herziening van afspraken die zijn gemaakt met de Amerikaanse overheid inzake het “Safe Harbour Principe”. Wijzigende wet- en regelgeving op het gebied van verwerking persoonsgegevens, privacy, informatiebeveiliging, doorgifte en datalekken vormen eveneens een bijzonder risico voor de privacy impact op een eID Stelsel. 84
Bijlage II: Algemene privacy risico’s Inleiding Het verwerken van persoonsgegevens kan risico’s voor de privacy van de burger opleveren. Risico’s staan meestal niet op zich zelf, zijn soms in elkaar verweven, kunnen elkaar sterk beïnvloeden en laten zich daarom niet scherp afbakenen. De onderstaande risico’s die zich in de maatschappij kunnen voordoen, zijn ontleend aan literatuuronderzoek. 'data deluge'-effect Dit effect houdt in, dat de hoeveelheid persoonsgegevens die beschikbaar is, wordt verwerkt en wordt doorgegeven, blijft groeien. Dit fenomeen wordt versterkt door zowel technologische ontwikkelingen, d.w.z. de groei van informatie- en communicatiesystemen, als door het feit dat individuen steeds beter in staat zijn gebruik te maken van en te reageren op technologieën. Naarmate er meer gegevens beschikbaar zijn en mondiaal worden 85 uitgewisseld, neemt ook het risico voor de privacy toe. Het 'data deluge'-effect is een paraplu begrip voor de risico’s die hieronder aan de orde komen. Waardestijging van persoonsgegevens Almaar toenemende hoeveelheden persoonlijke informatie gaat gepaard met een waardestijging in sociaal, politiek en economisch opzicht. In bepaalde sectoren, met name in onlineomgevingen, zijn persoonsgegevens de facto een betaalmiddel geworden voor toegang tot onlinecontinent. Recent onderzoek wijst uit dat bedrijven de neiging hebben om omvangrijke verzamelingen persoonsgegevens aan te leggen zonder specifiek doel. Die ontwikkeling wordt mogelijk gemaakt door de snelle daling in de kosten voor digitale opslag en wordt gedreven door het besef dat persoonsgegevens een economische hulpbron zijn die moet worden geëxploiteerd. Adverteerders en fraudeurs zorgen voor een bloeiende markt 86 voor persoonsgegevens. ‘Function creep’ Function creep is het risico van het verschuiven van de doeleinden waarvoor de persoonsgegevens aanvankelijk mogen worden gebruikt. Dit risico kan ontstaan bij steeds groter groeiende database met persoonsgegevens: In de loop van de tijd kan het inzicht of de behoefte ontstaan om die gegevens voor heel andere doeleinden te gaan gebruiken, dan ooit 87 bij de aanleg van de database de bedoeling was. Onrechtmatig gebruik van uniek identificerende gegevens Het van overheidswege uitgegeven BSN als uniek identificerend gegeven voor een persoon, zorgt voor ongekende mogelijkheden om hiermee ingeval van een breed maatschappelijk gebruik personen te volgen en te profilen. Dit gevolg kan optreden als het BSN wordt gebruikt om de effectiviteit, efficiency en betrouwbaarheid van administratieve processen te bevorderen door hieraan allerlei andere soorten van persoonsgegevens te koppelen. Identificatie via het BSN opent voor de burger in 88 toenemende mate de poort naar dienstverlening door de overheid en het bedrijfsleven. 85
Zie Advies 3/2010 over het verantwoordingsbeginsel, WP 173, waarin zowel het ‘data deluge’-effect als de waardestijging als privacy risico’s worden genoemd. Bron: Study on the economic benefits of privacy-enhancing technologies (PETs), Final report to The European Commission DG Justice, Freedom and Security, prepared by London Economics, July 2010, p.65. 87 Zie de meningen over dit risico in Happy Landings, het Biometrisch Paspoort als Zwarte Doos, Vincent Böhre, verkennende studie voor het rapport i-Overheid, WRR, oktober 2010. 88 Het BSN mag alleen worden gebruikt als daarvoor een wettelijke basis aanwezig is. 86
85
89
Hierdoor neemt ook het risico van identiteitsfraude toe. In dat verband wordt ook verwezen naar het risico van geheime (niet transparante) verwerking van persoonsgegevens. Als gevolg van deze ontwikkelingen kunnen burgers langdurig en intensief onderhevig zijn 90 aan onterechte en ongewenste bejegening in het sociaal en maatschappelijk verkeer. Die gevolgen kunnen nauwelijks onomkeerbaar of herstelbaar zijn. Dit geldt ook voor uniek identificerende gegevens als biometrische gegevens en persistente pseudo-identiteiten die tot 91 op personen herleid kunnen worden. Naarmate dergelijke uniek identificeerbare gegevens meer in het maatschappelijk verkeer worden verspreid, neemt het risico van het gebruik ervan buiten de wettelijk gestelde grenzen toe. Het voorgaande kan zich ook voordoen ingeval betaalrekening nummers als uniek identificerende gegevens worden gebruikt. Inconsistente implementatie en naleving verantwoordingsbeginsel Vanwege de veelheid van partijen die bij de verwerking van persoonsgegevens (verantwoordelijken en bewerkers) zijn betrokken, varieert het niveau van privacy bescherming bij de betrokken verantwoordelijkheden en bewerkers. Hierdoor kan de bescherming van de persoonlijke levenssfeer op onderdelen worden aangetast. Hierdoor ontstaan zwakke schakels in de keten van de verwerkingen van persoonsgegevens. Zwakke schakels kunnen een cumulatief effect veroorzaken waardoor het niveau van de bescherming van persoonsgegevens in een neerwaartse spiraal terecht komt. Het kan ook zijn, dat door de inconsistentie of niet correcte toepassing van de privacy principes door een partij in de keten, de verwerking van persoonsgegevens wordt belemmerd. Dit leidt niet alleen tot privacy risico’s maar ook tot onnodige bureaucratie en additionele 92 kosten. Geheime (niet transparante) verwerking van persoonsgegevens Indien een verwerking niet transparant is voor de burger kan de verwerking onder omstandigheden zonder zijn toestemming, tegen zijn voorkeuren of anderszins onrechtmatig plaatsvinden. Doordat burgers niet op de hoogte zijn van het gebruik van hun persoonsgegevens, kunnen zij de impact ervan in het sociaal maatschappelijk verkeer niet overzien. Zij hebben hier niet of nauwelijks controle meer over. Dit kan betekenen dat zij, zonder zich hiervan bewust te zijn, worden gestigmatiseerd en/of uitgesloten van sociaal maatschappelijke voorzieningen. Ingeval dit bewustzijn ontstaat, is soms zonder buitengewone inspanningen niet te achterhalen wat de oorzaak van de nadelige effecten is. Hierdoor is de burger ook niet of nauwelijks meer in staat om zijn wettelijke privacy rechten te effectueren. Net als bij onrechtmatig gebruik van uniek identificerende gegevens, kunnen de gevolgen onomkeerbaar en onherstelbaar zijn. Niet toegestane verwerking van persoonsgegevens buiten de EU Doorgifte van persoonsgegevens naar landen buiten de EU en EER naar landen zonder adequaat privacybeschermingsniveau herbergt op voorhand een hoog risico van onrechtmatige verwerkingen van persoonsgegevens, alsmede het niet kunnen effectueren van rechten van betrokkenen.
89
De vrees voor dit risico wordt bevestigd door de verkennende studie van CenTERdata en ECP-EPN in opdracht van de Wetenschappelijk Raad voor het Regeringsbeleid ECP-over rolverdeling van de overheid en de burger bij het beschermen van de identiteit, november 2010. Zie als bron ook noot 37. 90 Dit risico geldt vanzelfsprekend ook voor het achterlaten van digitale sporen door de burgers zelf in de social networks. 91 Zie ook Elektronische overheid en privacy, Bescherming van persoonsgegevens in de informatie-infrastructuur van de overheid, College bescherming persoonsgegevens, A&V 25, p. 17. 92 Zie naar analogie Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the regions, A comprehensive approach on personal data protection in the European Union, Brussels 4.11.2010, COM(2010)609 final.
86
Data lekken Ten gevolge van datalekken of breuken in de informatiebeveiliging kunnen persoonsgegevens in handen komen van onbevoegden en onrechtmatige verwerkingen tot gevolg hebben. Grote databases van overheidsdiensten en private partijen zijn gevoelig voor datalekken en 93 onbevoegde uitwisseling van persoonsgegevens. Burgers hebben in de regel geen weet van dergelijke datalekken. Hierdoor zijn zij vatbaar voor de gevolgen van alle hiervoor genoemde risico’s, die afhankelijk van de aard en omvang van het datalek, progressief in omvang kunnen toenemen. Overige privacy risico’s Voorbeelden van overige privacy risico’s, die weer kunnen voortvloeien uit één of meer van de voorgaande risico’s, zijn: Profiling. Van personen worden profielen gemaakt op basis van bijvoorbeeld hun leefpatroon, bestedingspatroon, betaalgedrag, eetgewoonten op basis waarvan zij worden karakteriseerd, in maatschappelijke klassen worden ingedeeld of op een 94 bepaalde manier in het maatschappelijk verkeer worden bejegend; Verkeerde behandeling in het maatschappelijk verkeer als gevolg van fouten en niet transparant handelen; Stigmatisering door koppeling van gegevens; Omkering van de bewijslast voor de betrokkene omdat de betreffende gegevens nu eenmaal in een database voorkomen en door de verantwoordelijke als juist worden bestempeld; Consumenten worden gedwongen om in te stemmen met het gebruik van hun persoonsgegevens voor diverse doelen om met het oog op het bijvoorbeeld het 95 verkrijgen van diensten, gunsten of direct marketing doeleinden; Nieuwe ontwikkelingen als “cloud computing” sinds de digitale ruimte voor persoonsgegevens en applicaties wordt beheerd door veel verschillende (sub)bewerkers verspreid over diverse continenten. Data wordt regelmatig verplaatst, 96 waardoor de relevante jurisdictie veranderd. Activiteiten van inlichtingen- en afluisterdiensten. Al dan niet geoorloofde activiteiten van interne of externe inlichtingen- en afluisterdiensten ondermijnen de veiligheid van systemen en privacy principes. Ander aspect van dit fenomeen is dat veiligheid en transparantie wordt ondermijnd en ongewenste cumulatie en combinatie van data wordt gerealiseerd, waardoor verborgen hotspots ontstaan. Bovendien duiden recente berichten over activiteiten van inlichtingendiensten erop dat onder meer veiligheid ondermijnende malware wordt ingezet en diensten van providers worden gecompromitteerd.
93
Bron: Study on the economic benefits of privacy-enhancing technologies (PETs), Final report to The European Commission DG Justice, Freedom and Security, prepared by London Economics, July 2010, p.67. Zie ook Happy Landings, het Biometrisch Paspoort als Zwarte Doos, Vincent Böhre, verkennende studie voor het rapport iOverheid, WRR, oktober 2010. 94 Meer specifiek ten aanzien van het eID Stelsel kunnen deze risico’s het gevolg zijn van: Ongewenste combinatie van niet direct tot personen te herleiden gegevens. Door het combineren van gegevens uit verschillende verwerkingen, onder andere via onderliggende (technische) systeemlagen of via gegenereerde loggegevens en metadata, kunnen gegevens die niet direct tot personen zijn te herleiden, alsnog tot individuen herleid worden. Ongewenste cumulatie of samenbundeling van verschillende rollen en verantwoordelijkheden van te onderscheiden rollen in het eID Stelsel. Het samenbrengen of doorbreken van verschillende rollen en verantwoordelijkheden en de daaronder vallende gegevensverwerkingen en/of gegevenstransport leidt tot het ondermijnen van privacy principes. 95 Bron: Study on the economic benefits of privacy-enhancing technologies (PETs), Final report to The European Commission DG Justice, Freedom and Security, prepared by London Economics, July 2010, p.66-67. 96 Dit kan een negatieve impact tot gevolg hebben op het effectueren van rechten van betrokkenen. Inzet van “cloud computing” op verschillende systeemlagen en door (onder)aannemers in de eID-infrastructuur keten (verschillende subbewerkers, mogelijk verspreid over diverse jurisdicties en continenten) en misbruik van systemen en datalekken. Overnames van in EU gevestigde organisaties die diensten leveren binnen het eID Stelsel door organisaties die gevestigd zijn buiten de EU. Dit met als mogelijk risico dat ook databases worden verplaatst naar andere locaties en onder andere jurisdicties vallen.
87
Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie Tenslotte worden door de WP 193 ten aanzien van Biometrische systemen de volgende risico’s onderkend. 97
Het eerste risico is identiteitsfraude , vooral in het geval van identificatie en authenticatie. Het biometrische apparaat mag niet worden misleid door een spoofing-aanval en moet verzekeren dat de persoon die een poging doet om de matching uit te voeren, echt de persoon is die is geregistreerd in het systeem. Die dreiging lijkt minder zinvol te zijn voor biometrische gegevens die niet kunnen worden verzameld zonder de kennis van de betrokkene, zoals de ader patronen. Het is echter een groot probleem voor vingerafdruk of gezichtsherkenning apparaten. Vingerafdrukken worden overal achtergelaten door simpelweg het aanraken een object. Het gezicht kan ook worden afgevangen door het nemen van een foto, zonder dat degene zich daarvan bewust is. Het tweede risico is het doel afleiding, hetzij door de verantwoordelijke voor de verwerking zelf of door een derde partij waaronder de wetshandhavingsautoriteiten. Deze gemeenschappelijke dreiging met betrekking tot persoonsgegevens wordt van cruciaal belang bij het gebruik van biometrische gegevens. Fabrikanten moeten alle veiligheidsmaatregelen nemen om elk onrechtmatig gebruik van de gegevens te voorkomen en ervoor zorgen dat alle gegevens die niet meer nodig zijn met het oog op de verwerking onmiddellijk worden verwijderd. Zoals met ieder andere gegeven, rechtmatig verwerkte of opgeslagen biometrische gegevens of de bronnen van biometrische mogen niet door de controller worden verwerkt of ingeschreven voor een nieuw of ander doel tenzij hiervoor een nieuwe legitieme reden is. Het derde risico is inbreuk op de gegevensbeveiliging, die vereist in de biometrische gegevens context speciale acties afhankelijk van het soort gegevens die zijn gecompromitteerd. Indien een systeem is gebruikt die biometrische gegevens op een template via een algoritme omzet in een bepaalde code en ofwel de biometrische gegevens of het algoritme wordt gestolen of aangetast, moeten ze worden vervangen. Wanneer een inbreuk op de gegevensbeveiliging het verlies van direct geïdentificeerd biometrische gegevens betreft die zeer dicht bij de bron van biometrische gegevens liggen, zoals afbeeldingen van gezichten of vingerafdrukken, zal dit aan de betrokken persoon in detail moeten worden gemeld om zichzelf te kunnen verdedigen in een mogelijke toekomstige gebeurtenis waarbij deze compromitteerde biometrische gegevens tegen hem als bewijs gebruikt kunnen worden.
97
Dit risico is vanzelfsprekend ook relevant voor andersoortige identificatie en authenticatesystemen.
