Privacy Impact Assessment Introductieplateau eID Stelsel NL (versie 0.8)
Status: Definitief Versie: 1.0 31 juli 2015
1
Versiegeschiedenis Versie 0.1
Versiedatum 10 juni 2015
Opgesteld door J.H. Matto
0.2
26 juli 2015
J.H. Matto
0.5
27 juli 2015
J.H. Matto
0.9
28 juli 2015
J.H. Matto
1.0
30 juli 2015
J.H. Matto
Samenvatting van aanpassingen e 1 Concept / werkdocument aan PIA begeleidingscommissie Verwerking van diversie commentaren uit verschillende disciplines op versie 0.1 Samenstellen nadere rapportage en samenvatting Laatste opmerkingen naar aanleiding van bespreking PIA begeleidingscommissie Verwerking laatste correcties en aanvullingen
Afstemming en Goedkeuring Dit document is voor consultatie voorgelegd aan: Naam
Handtekening
Functie
Datum uitgave
Versie
Distributie Dit document is gedistribueerd naar: Naam
Betreft
Verzenddatum
Vaststelling en ondertekening van deze rapportage Deze rapportage is vastgesteld op vrijdag 31 juli 2015.
Hoogachtend, MAZARS PAARDEKOOPER HOFFMAN N.V. Management Consultants
J.H. Matto RE RI Partner-aandeelhouder
2
Versie
Inhoudsopgave 1. Inleiding ...................................................................................................................................... 5 1.1 Aanleiding en achtergrond PIA Introductieplateau eID Stelsel ........................................... 5 1.2 Doelstellingen, scope en aanpak van de PIA ...................................................................... 5 1.3 De verdere opbouw van de PIA en leeswijzer..................................................................... 9 2. Samenvatting bevindingen en aanbevelingen PIA .................................................................. 10 2.1 Inleiding ............................................................................................................................. 10 2.2 Positionering PIA bevindingen in ontwikkelproces Introductieplateau eID Stelsel............ 10 2.3 Management samenvatting PIA Introductieplateau eID Stelsel ........................................ 11 2.4 Doelstellingen van het Introductieplateau eID Stelsel ....................................................... 13 2.5 Algemeen: privacy waarborgen in het ontwerp Introductieplateau eID Stelsel ................. 14 2.6 Samenvattende bevindingen PIA Introductieplateau eID Stelsel ...................................... 15 2.7 Noodzakelijkheid, proportionaliteit, subsidiariteit eID Stelsel ............................................ 20 2.8 Privacy principe: Verantwoording ...................................................................................... 20 2.8.1 Bevindingen ................................................................................................................ 20 2.8.2 Conclusies .................................................................................................................. 21 2.8.3 Aanbevelingen............................................................................................................ 22 2.9 Privacy Principe: Limiteren van het verzamelen van gegevens ........................................ 23 2.9.1 Bevindingen ................................................................................................................ 23 2.9.2 Conclusies .................................................................................................................. 24 2.9.3 Aanbevelingen............................................................................................................ 25 2.10 Privacy principe: Doelbinding / Limitering gebruik gegevens .......................................... 25 2.10.1 Bevindingen.............................................................................................................. 25 2.10.2 Conclusies ................................................................................................................ 26 2.10.3 Aanbevelingen.......................................................................................................... 26 2.11 Privacy principe: Gegevenskwaliteit ................................................................................ 27 2.11.1 Bevindingen.............................................................................................................. 27 2.11.2 Conclusies ................................................................................................................ 28 2.11.3 Aanbevelingen.......................................................................................................... 28 2.12 Privacy principe Beveiliging van gegevens ..................................................................... 29 2.12.1 Bevindingen.............................................................................................................. 29 2.12.2 Conclusies ................................................................................................................ 30 2.12.3 Aanbevelingen.......................................................................................................... 30 2.13 Privacy principe Transparantie ........................................................................................ 31 2.13.1 Bevindingen.............................................................................................................. 31 2.13.2 Aanbevelingen.......................................................................................................... 31 2.14 Privacy principe: Rechten van betrokkenen .................................................................... 33 2.14.1 Bevindingen.............................................................................................................. 33 2.14.2 Conclusies ................................................................................................................ 33 2.14.3 Aanbevelingen.......................................................................................................... 34 3. Beschrijving Introductieplateau eID Stelsel / Idensys .............................................................. 35
3
3.1 Inleiding ............................................................................................................................. 35 3.2 Doelstellingen van eID Stelsel ........................................................................................... 36 3.3 Stakeholders bij het eID Stelsel......................................................................................... 39 3.4 Randvoorwaarden en ontwerpcriteria Introductieplateau .................................................. 40 3.5 Beschrijving werking van het Introductieplateau / Idensys ................................................ 44 4. Uitvoering PIA, bevindingen en aanbevelingen ....................................................................... 52 Bijlage I: Privacy Principes ........................................................................................................... 95 Bijlage II: Algemene privacy risico’s ............................................................................................ 97 Bijlage III: Mitigerende maatregelen uit Stelselrisicoanalyse ..................................................... 101
4
1. Inleiding
1.1 Aanleiding en achtergrond PIA Introductieplateau eID Stelsel 1
Het ontwerp voor het Introductieplateau eID voor Nederland bestaat uit een uniforme set van standaarden en afspraken voor geautoriseerde toegang tot digitale diensten. Dit kunnen diensten zijn van de publieke én de private sector. Het verlenen en afnemen van diensten binnen dit Stelsel gaat gepaard met het verzamelen en verder verwerken van persoonsgegevens door betrokken functionele partijen, teneinde personen te kunnen authenticeren. De term ‘eID’ staat voor elektronische identiteit. Deze wordt gebruikt als een persoon online gegevens over zichzelf met een organisatie deelt. Gebruik van persoonsgegevens, waaronder door de overheid, vormt in veel gevallen een 2 inperking van het grondrecht van bescherming van de persoonlijke levenssfeer . Uit dit gebruik kunnen risico’s voor de persoonlijke levenssfeer (privacy) van de betrokkenen voortvloeien. Onzorgvuldigheid, onbetrouwbaarheid van gegevens, verlies van gegevens (data lekken), gegevens gebruiken voor een ander doel dan waarvoor ze zijn verkregen, kunnen een negatieve impact hebben op iemands sociaal en maatschappelijk welbevinden. Informatietechnologie en grootschalige digitale gegevensverwerkingen kunnen additionele (privacy) risico’s introduceren die inherent zijn aan de inzet van deze technologie (de IT werkelijkheid), maar niet direct zichtbaar zijn op het niveau van het eindgebruik. Het is daarom van groot belang, dat tijdens de ontwerpfase van het eID Stelsel wordt geïnventariseerd welke privacy bedreigende risico’s in het geding zijn. Ook zal moeten worden vastgesteld of de met het eID Stelsel gepaard gaande verwerking van persoonsgegevens werkelijk noodzakelijk is voor de te bereiken doelstellingen. Hierbij speelt zowel de vraag naar proportionaliteit (is de specifieke gegevensverwerking een bruikbaar middel om het doel te bereiken) als de subsidiariteit (zijn er geen minder privacy bedreigende alternatieven of waarborgen) van het eID Stelsel. Om deze vragen te kunnen beantwoorden heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) op verzoek van het Programmabureau eID aan Mazars verzocht om in een zo vroeg mogelijk stadium van het ontwerp van het Introductieplateau eID Stelsel een Privacy Impact Assessment (PIA) uit te voeren. 1.2 Doelstellingen, scope en aanpak van de PIA Doelstellingen van de PIA Een Privacy Impact Assessment (PIA) is een hulpmiddel bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden. Hiermee kunnen privacy risico’s op een gestructureerde en heldere wijze in kaart worden gebracht. Een PIA is gedurende een ontwikkelproces iteratief en dynamisch van karakter. Het blijft per fase maatwerk. Door een PIA gedurende het ontwerpproces regelmatig uit te voeren, kunnen (nieuwe) risico’s vroegtijdig worden ontdekt en wordt de bewustwording van risico’s vergroot. Zo nodig kunnen richtinggevende aanbevelingen worden gedaan om privacy risico’s te elimineren of te mitigeren. Deze PIA heeft betrekking op het Introductieplateau van het Nederlandse eID Stelsel versie 0.8 3 . De PIA is afgeleid van het PIA-toetsingsmodel dat specifiek op de Rijksdienst is gericht. Daarbij is ook gebruik gemaakt van de richtlijn van NOREA aangaande uitvoering van een PIA. Het toetsingsmodel is bedoeld voor toepassing op alle beleidsgebieden en binnen alle rechtsdomeinen. 1
Het eID Stelsel heet per juli 2015: Idensys Zie artikel 10, leden 2 en 3 Grondwet, artikel 8 EVRM, artikel 8 EU-Grondrechtenhandvest). 3 Zoals nader gespecificeerd in de van het Ministerie van BZK verkregen ontwerpdocumentatie: Beschrijving van Idensys in het Introductieplateau versie 0.8, d.d .28 april 2015, Ontvangen aanvullingen op dit ontwerp mei 2015, Afsprakenstelsel eHerkenning 1.9, 1 mei 2015 2
5
Deze PIA is de derde PIA in het ontwerptraject van het eID Stelsel, dat inherent een functioneel veelzijdige en relatief complexe set aan standaarden en afspraken voor geautoriseerde toegang tot digitale diensten bevat. De op basis hiervan door de Deelnemers aan het eID Stelsel in te richten en te beheren ICTinfrastructuur is veelzijdig en complex. Te meer omdat het eID Stelsel dient aan te sluiten bij de 4 eID ontwikkelingen op Europees niveau . Daarbij is besloten het Introductieplateau eID te baseren op de al bestaande architectuur en afsprakenstelsel van eHerkenning aangevuld met Requests for Change, zodat ook de eigenschappen van al bestaande architectuur en RfC’s meegenomen moeten worden in deze PIA. Het is de bedoeling dat de PIA gedurende het ontwikkel- en realisatieproces van het Introductieplateau en richting een uiteindelijk “doel eID Stelsel” wordt herhaald, aangescherpt en nader gedetailleerd. Ook na de verwachte realisatie van het Introductieplateau eID bestaat het voornemen om PIA’s uit te voeren ter ondersteuning van veranderingen en optimalisaties. Deze PIA is ook een communicatiemiddel om tussen de verschillende bij het eID Stelsel betrokkenen bij het ontwikkelproces opgedane inzichten te kunnen delen, te kunnen verifiëren en zo nodig te optimaliseren. Deze PIA is uitgevoerd op een niveau dat past bij het huidige ontwikkelstadium van het Introductieplateau en is in beginsel bedoeld voor het ontwikkelteam van het eID, de projectverantwoordelijken en de stuurgroep. In dit stadium is het ontwerp Introductieplateau eID nog in beweging en naar verwachting zal ook na het lanceren van het Introductieplateau nog aanpassingen en optimalisaties worden gerealiseerd naar aanleiding van opgedane ervaringen en nieuwe doelstellingen. De PIA zal in een later stadium ook kunnen worden gebruikt om transparantie en draagvlak voor het Introductieplateau eID Stelsel bij de diverse stakeholders, zoals verantwoordelijke overheden, burgers, betrokken derden en belangenorganisaties te bevorderen. Uiteindelijk is het ook het voornemen van het Ministerie van BZK en EZ, om zowel het finale ontwerp eID stelsel als de aan dit Stelsel inherente verwerkingen van persoonsgegevens van de deelnemers op het voldoen aan privacywet- en regelgeving te laten certificeren. De PIA dient daarom ook bij te dragen aan het verder ontwikkelen van een normenkader voor een auditeerbaar eID afsprakenstelsel.
4
Zie hiervoor de voortgang en EU-initiatieven aangaande eIDAS, electronic identification and trustservice.
6
Scope van het Introductieplateau en deze PIA De uitvoering van de PIA is beperkt tot de verwerking van persoonsgegevens met de ondersteunende ICT-infrastructuur zoals geschetst in de ontwerpdocumentatie van het 5 Introductieplateau eID Stelsel, versie 0.8 . Het betreft de verwerkingen van gegevens van personen binnen het kader van de doelstellingen van het Introductieplateau eID Stelsel. Deze verwerkingen betreffen specifiek in het Introductieplateau de functionele onderdelen: Het BSN Koppelregister; De Authenticatiedienst; eID makelaar. Persoonsgegevens die bij de functionele onderdelen van het eID stelsel worden verwerkt en/of 6 uitgewisseld volgens de beschrijving Introductieplateau zijn : Geslachtsnaam; Voornaam; Initialen, Geboortedatum; Geboorteplaats; Leeftijdsverificatie attributen; Andere vrij in te vullen attributen met een nog nader te bepalen doelstelling door Authenticatiediensten. . Maar ook persoonsgegevens welke inherent gebonden zijn aan de opzet en werking van het Introductieplateau worden verwerkt. Deze gegevens betreffen persoonsgegevens welke direct gekoppeld zijn aan de primaire functionaliteit van het Introductieplateau, namelijk het identificeren van individuen binnen zowel het publieke als het private domein. Dit betreft de volgende gegevens: Burger Service Nummer; Gegevens van Wettelijke Identificatie Documenten (onder meer WID-nummer, WID geldigheidsdata, NAW gegevens, overige persoonsgegevens van WID); Pseudo-identiteiten; Functionele attributen aangaande parameters voor user consent voor specifieke doeleinden; Identiteitsverklaringen, identiteitsbevestigingen (OK, NOK).
Overige eID functionaliteit, zoals Attributendiensten, Machtigingsdiensten, Sector identiteitsdiensten, welke wel voorzien zijn in de nog nader uit te werken doelarchitectuur voor het eID Stelsel en ook al beschikbaar zijn binnen eHerkenning, zijn uitdrukkelijk geen onderdeel van het Introductieplateau eID en maken derhalve ook geen onderdeel uit van deze PIA. Toch is in deze PIA hier op onderdelen wel aandacht aanbesteed omdat deze aanpak een duidelijke scheiding verondersteld tussen bestaande eHerkenningsdiensten en de beperkingen die zijn opgelegd aan het Introductieplateau. Het vervolgens verwerken van persoonsgegevens in de back-office processen ten behoeve van te onderscheiden diensten door Dienstaanbieders valt buiten het bereik van het Introductieplateau eID en dus strikt genomen ook buiten de scope van deze PIA. De Dienstaanbieders zullen echter inherent aan het Introductieplateau eID, administratieve en verantwoordingsgegevens moeten verwerken welke eveneens persoonsgegevens bevatten. De Dienstaanbieders zijn zelfstandig verantwoordelijk voor de naleving van privacywet- en regelgeving voor de te onderscheiden diensten. Hoewel strikt genomen deze verwerkingen buiten de beschrijvingen en reikwijdte van het Introductieplateau eID vallen, wordt in deze PIA naar vermogen hier wel aandacht aan besteed. Binnen deze processen ontstaan reële privacyrisico’s die het gehele eID Stelsel kunnen schaden.
5
De onderhavige ontwerp documentatie van het Introductieplateau eID Stelsel wordt nader gespecificeerd in par. 3.1 van dit rapport. 6 Beschrijving van Idensys in het Introductieplateau Versie 0.8, 28 april 2015
7
De basis voor het Introductieplateau eID is de bestaande al operationele voorziening van eHerkenning. eHerkenning is echter tot nu toe uitsluitend gebruikt binnen het bedrijfsdomein. Het inzetten van eHerkenning in het publieke en private domein én voor burgers en consumenten introduceert nieuwe en andere privacyrisicio’s. Er is eerder geen PIA uitgevoerd op eHerkenning. Deze PIA is evenmin een PIA op eHerkenning. Deze PIA ziet toe op het voorliggende ontwerp van het Introductieplateau waaronder een basis ligt afkomstig uit eHerkenning. Ook hier geldt dat binnen deze PIA naar vermogen eventuele privacy risico’s die voortvloeien uit het gebruik van eHerkenningsfaciliteiten aan de orde worden gesteld. Het Introductieplateau eID maakt gebruik van internettechnologie, internetproviders, ITsubcontractors en ook nog andere onderliggende technische systeemlagen. Op deze niveaus worden eveneens tot personen herleidbare gegevens gegenereerd. Denk hierbij aan IPadressen, locatiegegevens, gegevens als gevolg van tracking en profiling. Het betreft inmiddels bekende verschijnselen en dienen vanuit het perspectief van privacybescherming te worden onderkend. Deze onderwerpen vallen strikt genomen buiten de scope van het Introductieplateau eID en daarmee ook buiten de scope van deze PIA. De beschrijvingen hiervan zijn niet aanwezig in de documentatie van het Introductieplateau. Dit neemt niet weg, dat daar waar het gebruik van het Introductieplateau privacy risico’s in onderliggende systeemlagen bij eID Dienstverleners en/of van Dienstaanbieders genereert en/of in onderliggende systeemlagen, dit kunnen zogenaamde third parties zijn (onderaannemers van deze betrokkenen), hier toch naar vermogen aandacht aan is besteed. Maar in deze zin is deze PIA op dit aspect nog steeds een “high level” PIA.
Aanpak van de PIA De PIA is in periode mei - juli 2015 door Mazars conform de voorgestelde aanpak in het Model PIA Overheid uitgevoerd met ondersteuning van privacy en security experts. Tegelijkertijd zijn bij het toepassen van dit model de ervaringen met de PIA van de Nederlandse orde van IT-auditors (NOREA) in het bedrijfsleven als referentiekader meegenomen. Deze PIA op het Introductieplateau eID ontwerpversie 0.8 van 28 april 2015 borduurt voort op de eerder uitgevoerde PIA’s op voorafgaande ontwerpen van het eID Stelsel, te weten: 1) Het ontwerp op hoofdlijnen eID Stelsel 1.0 van juli 2014 2) Introductieplateau eID Stelsel versie 0.9, van december 2014 De inzichten en bevindingen vanuit deze eerdere PIA’s zijn voor zover van toepassing en relevant voor het huidige ontwerp van het Introductieplateau verwerkt in deze rapportage. Hiermee is tevens bereikt dat deze rapportage als zelfstandig document is te gebruiken. Voorafgaand aan de uitvoering van de PIA is de relevantie van het verwerken van persoonsgegevens en de daarmee gepaard gaande privacysignificantie (privacygevoeligheid van de persoonsgegevens) binnen het Introductieplateau eID Stelsel vastgesteld. In overleg met BZK en het Ministerie van Financiën (FIN) is de precieze scope voor de PIA bepaald. Daarbij is beslist over de in te zetten expertise, middelen en aanpak. De PIA is uitgevoerd op basis van de van BZK en FIN ontvangen ontwerpdocumentatie. Diverse malen is overleg gevoerd met functionarissen van de PIA begeleidingscommissie van de ministeries BZK en FIN, als ook andere deskundigen betrokken bij het ontwerp van het eID Stelsel. De bevindingen van het PIA onderzoek zijn voorgelegd aan functionarissen uit de begeleidingscommissie eID/PIA, juridische medewerkers, beveiligingsdeskundigen en leden van het architectenteam eID. Op- en aanmerken die hieruit naar voren zijn gekomen zijn in deze finale rapportage verwerkt.
8
1.3 De verdere opbouw van de PIA en leeswijzer Nadere toelichting opbouw van de PIA In onze aanpak van de PIA zijn twee kijkrichtingen gehanteerd voor het object van onderzoek. Allereerst is het object van onderzoek beschouwd vanuit de algemene privacy principes. Algemene privacy principes zijn ontleend aan de actuele literatuur over privacy en bescherming persoonsgegevens. Deze algemene privacy principes zijn relevant voor elke verwerking van persoonsgegevens en dus ook voor de verwerkingen binnen het Introductieplateau eID Stelsel. In bijlage I is een nadere omschrijving van de algemene privacy principes opgenomen. Binnen de algemene privacy principes zijn de algemene privacy risico’s onderkend. Ook de algemene privacy risico’s zijn ontleend aan de relevante literatuur over privacy en gegevensbescherming. Het betreft risico’s die relevant zijn voor alle soorten verwerkingen van persoonsgegevens en dus ook voor de verwerkingen binnen het Introductieplateau eID Stelsel. In bijlage II zijn de privacy risico’s nader omschreven. De algemene privacy risico’s zijn gespiegeld aan de eigenschappen van het Introductieplateau. Privacy principes en risico’s staan onderling tot elkaar in relatie. Zij kunnen elkaar beïnvloeden, versterken, verzwakken en vertonen strijdigheden. Ter indicatie van deze afhankelijkheden hebben wij in de inleiding van hoofdstuk 4 een tabel opgenomen van deze onderlinge afhankelijkheden. De verdere detailuitwerking van onze bevindingen is in hoofdstuk 4 per privacy principe gegeven in een uitgebreid matrixoverzicht. Per principe is daarin vervolgens een analyse gegeven van de voor dat principe relevante privacy risico’s op basis van het huidige ontwerp van Introductieplateau eID Stelsel. Hoofdstuk 4 geeft in detail een overzicht van bevindingen en aanbevelingen. Deze bevindingen en aanbevelingen zijn samengevat in hoofdstuk 2.
Verdere opbouw van de PIA Deze PIA is verder als volgt opgebouwd.
Hoofdstuk 2: management samenvatting gevolgd door een nader gespecifieerd overzicht van de uitkomsten van de PIA met per privacy principe gesignaleerde bevindingen, risico’s, de impact ervan voor betrokkenen en de verantwoordelijken voor het Introductieplateau eID Stelsel en voor zover relevant met aanbevelingen. (Duidelijk is waar het goed gaat en op welke onderdelen het nog beter kan). Hoofdstuk 3: een beschrijving van het Introductieplateau eID Stelsel versie 0.8 met ontvangen aanvullingen, op hoofdlijnen, waaronder de ontwerpeisen, de uitwisseling van berichten tussen de componenten/rollen in het Introductieplateau eID Stelsel, het tot stand komen en het beschermen van pseudoniemen en de cryptografie van het Stelsel en overige privacybevorderende maatregelen. Hierbij wordt de werking van het Introductieplateau eID Stelsel geïllustreerd met behulp vanuit de documentatie overgenomen diagrammen en figuren. Hoofdstuk 4: een tabel met op het eID Stelsel aan privacy principes gerelateerde vragen vanuit het Model PIA Rijksoverheid met antwoorden op meer detailniveau. Waar relevant zijn privacy- of andere risico’s gedetecteerd en worden aanbevelingen gedaan om deze risico’s te elimineren of te mitigeren. Bijlage I: een informatief overzicht van de algemene privacy principes. Bijlage II: een informatief overzicht van relevante privacy risico’s, waarnaar eerder in de bijlage I is verwezen. Bijlag III: een tabel met aanvullend voorziene mitigerende maatregelen naar aanleiding van een in juli 2015 uitgevoerde Stelselrisicoanalyse.
9
2. Samenvatting bevindingen en aanbevelingen PIA
2.1 Inleiding De opbouw van dit hoofdstuk is als volgt: Allereerst wordt in dit hoofdstuk de positionering van de PIA in het ontwikkelproces van het Introductieplateau eID Stelsel besproken en voorzien van een overall conclusie (paragraaf 2.2). Paragraaf 2.3 bevat de management samenvatting. Vervolgens wordt ingegaan op de algemene privacy waarborgen die met het Introductieplateau eID Stelsel worden beoogd. Aansluitend wordt kort ingegaan op de beginselen: noodzakelijkheid, proportionaliteit en subsidiariteit in relatie met het Introductieplateau eID Stelsel (paragraaf 2.3) Tenslotte komen per privacy principe de belangrijkste bevindingen en aanbevelen uit hoofdstuk 4 van deze PIA aan de orde. Zo veel mogelijk is bij het uitvoeren van de PIA het Model Rijksoverheid gebruikt in volgorde van de op de vragen gegeven antwoorden. Een aandachtspunt bij dit model is, dat de privacy principes niet afgebakend en gestructureerd per principe kunnen worden beoordeeld. Het resultaat hiervan is, dat dit op onderdelen tot herhalingen van bevindingen en elkaar overlappende aanbevelingen leidt. Deze bevindingen en aanbevelingen zijn daarom in deze samenvatting ontdubbeld en zo veel mogelijk naar privacy principe geordend. Aan het begin van hoofdstuk 4 is tevens een tabel opgenomen met een overzicht van mogelijke privacy risico’s per privacy principe.
2.2 Positionering PIA bevindingen in ontwikkelproces Introductieplateau eID Stelsel Belangrijk voor de interpretatie van de bevindingen in deze rapportage is dat het object van onderzoek, het ontwerp Introductieplateau 0.8 van het eID Stelsel, onderdeel uitmaakt van een ontwerpproces. Het betreft een abstracte beschrijving van een nader te ontwikkelen en in te voeren systeem. Dit ontwerpproces moet op korte termijn leiden tot een finale beschrijving van het eID afsprakenstelsel voor het Introductieplateau. Een integrale beschrijving van het Introductieplateau eID was ten tijde van de uitvoering van de ze PIA nog niet beschikbaar. De eerste operationele pilots met het Introductieplateau staan gepland voor eind 2015. Ook tijdens de uitvoering van de PIA zijn, mede op basis ook van de tijdens de uitvoering van de PIA gerapporteerde bevindingen, door de stuurgroep nog aanvullende en compenserende maatregelen ontwikkeld. Deze zijn in deze rapportage verwerkt. Ondertussen wordt onderzocht hoe het eID Stelsel na de pilots verder kan worden ontwikkeld. Hiervoor is het project Doorontwikkeling in gesprek met partijen in het veld en met partijen die een beeld hebben bij het gewenste stelsel. Voorst zal bij de verder ontwikkeling gebruik worden gemakt van de pilots. Het Introductieplateau is bedoeld om de pilots van de grond te krijgen, de werking ervan aan te tonen en ervaringen op te doen. De hiermee opgedane inzichten worden vervolgens gebruikt om het eID Stelsel te optimaliseren ten behoeve van komende versies 2.0 en hoger. Bij deze ontwikkeling wordt tevens gebruik gemaakt van de inzichten, zoals die zijn beschreven in het eID Stelsel 2.0 van november 2014. Het introductieplateau kent niet alleen begrenzingen in functionaliteit, maar ook in gebruiksschaal en toepassingskring. De privacy risico’s en de mogelijke gevolgen daarvan worden hiermee enigszins beperkt. In deze PIA is een aantal risico’s onderkend welke ook bij een relatief kleinschalig gebruik relevant zijn en waarvoor aanvullende mitigerende maatregelen overwogen dienen te worden dan wel op onderdelen noodzakelijk zijn. De bevindingen in deze PIA dienen uitdrukkelijk bezien te worden binnen de begrensde functionaliteit voorzien in het voorliggende ontwerp Introductieplateau versie 0.8 Bij een verdergaand gebruik van het eID Stelsel dan bedoelt binnen de begrenzingen van het Introductieplateau en de doelstellingen van de pilots, dienen andere risicoafwegingen te worden
10
gemaakt en zullen de daarbij behorende maatregelen moeten worden aangescherpt of nader worden bepaald. In deze rapportage staan bevindingen en aanbevelingen die in vervolgontwerpen nader geadresseerd of anderszins ondervangen kunnen worden. Het komt voor dat risico’s die in deze PIA zijn onderkend in het huidige ontwerp Introductieplateau nog niet in de technische architectuur ondervangen (kunnen) worden, maar wel door aanvullende juridische of andere procedurele afspraken gemitigeerd kunnen worden, die nu nog niet in de stelselafspraken zijn voorzien. Bij vervolgontwerpen kunnen deze procedurele maatregelen mogelijk vervangen worden door sterkere technische privacy bevorderende maatregelen. In deze rapportage, en eigenlijk inherent aan elk assessment, worden bevindingen gemaakt die wellicht kritisch kunnen overkomen. Deze bevindingen moeten geplaatst worden tegen het huidige stadium van het ontwerp en zijn bedoeld om zo mogelijk richting te geven aan verdere optimalisaties en doorontwikkeling.
2.3 Management samenvatting PIA Introductieplateau eID Stelsel De conclusie van deze PIA is dat in de beschrijvingen van het Introductieplateau eID en het Afspraken Stelsel uitdrukkelijk aandacht is besteed aan technische en procedurele maatregelen waarmee de privacybescherming van burgers en consumenten zijn bevorderd. Het programma heeft, ook op dit punt, het maximale gedaan om de privacy van gebruikers te beschermen. Hierbij is binnen de gestelde tijdsgrenzen een haalbaar systeemconcept neergezet. De PIA onderkent tegelijkertijd en onvermijdelijk een aantal resterende risico’s aangaande de privacybescherming binnen het Introductieplateau eID. Het verdient aanbeveling om op deze risico’s een aantal aanvullende procedurele maatregelen te treffen voor het Introductieplateau eID. Het zijn voor het Introductieplateau eID uitdrukkelijk procedurele maatregelen en geen aanvullende technische maatregelen. Het verdient ook aanbeveling om de lancering van het Introductieplateau eID te gebruiken om op basis van concrete ervaringen en systeemgebruik de onderkende resterende privacy risico’s verder te valideren en in de vervolgfase na het Introductieplateau eID nadere (zo mogelijk ook technische) maatregelen te ontwikkelen ten behoeve van de verdere realisatie van een volwaardig en breder ingezet eID Stelsel in vervolg op het Introductieplateau. De belangrijkste binnen deze PIA onderkende privacy risico en eventueel bijbehorende aanbevelingen zijn: 1) Het gebruik van BSN binnen het Private domein vereist aanpassingen in wet- en regelgeving. Deze aanpassingen zijn voorzien per 1 oktober 2015, maar bij het schrijven van deze PIA formeel nog niet afgerond en door het parlement bekrachtigd; 2) Risico’s van het verwerken van metadata (loggings, audittrails etc), inzet van third party services en inherente risico’s die kleven aan het gebruik van internettechnologie, vereisen nadere aandacht zodat deze risico’s ook vanuit privacy en security oogpunt worden beheerst. Het verdient aanbeveling om in de regulering, toezicht en audit hier aandacht voor te vragen en normatieve eisen te stellen. De eID deelnemers zouden op deze onderwerpen betrekking hebbende beheersdoelstellingen periodiek geauditeerd moeten worden. Het verdient aanbeveling dat het programma dit samen met de toezichthouder in 2016 verder operationaliseert. 3) Bij de Authenticatie Diensten ontstaan onvermijdelijk cumulaties van gevoelige verzamelingen van persoonsgegevens, zogenaamde “hotspots”. Er is hier uitdrukkelijk binnen het programma aandacht aan besteed en er zijn maatregelen getroffen. Maar: het verschijnsel is wel inherent aan elk eID Stelsel en er is geen maatregel denkbaar die dit voor 100% mitigeert. Het is daarom op korte termijn naar het oordeel van de onderzoeker nu niet verder te mitigeren in technologie als het (technologisch) al volledig te mitigeren is. Er zijn echter in regulering, toezicht en handhaving extra maatregelen denkbaar, welke in het introductieplateau kunnen worden meegenomen. De risico’s zijn gezien de schaal en toepassing van het Introductieplateau initieel nog relatief beperkt, maar bij een verdergaand gebruik worden deze risico’s groter. Het advies is om dit in de evaluatie mee te nemen en in het traject na het Introductieplateau eID op basis hiervan nadere maatregelen te nemen. 11
4) Er is een aantal specifieke privacy vraagstukken aangaande het bewaren van gegevens en het privacy principe van dataminimalisatie. Bijvoorbeeld als er zeer gevoelige stigmatiserende persoonsgegevens ontstaan als gevolg van het gebruik van het systeem. Het verdient aanbeveling om dit vraagstuk in de evaluatie mee te nemen en na evaluatie eventueel de governance hierop aan te passen. Dit vervolgens ook meenemen in normen voor uitvoering van audits bij de deelnemers. Het verdient aanbeveling om in het Introductieplateau eID, toepassingen waarmee mogelijk zeer gevoelige persoonsgegevens worden verwerkt, niet zonder meer toe te laten of aanvullende eisen te formuleren. Daarom zou dit punt in de evaluatie moeten worden meegenomen ten einde in het vervolg op het Introductieplateau eID nadere maatregelen te kunnen gaan ontwikkelen. 5) De bewaarplicht van 7 jaar vanuit eHerkenning lijkt een overerving vanuit een financieel administratieve toepassing. Suggestie is om dit na het Introductieplateau eID verder te differentiëren naar toepassingsgebied en de bewaartermijnen zover mogelijk te minimaliseren, zeker voor meer gevoelige persoonsgegevens. Hierbij moet rekening worden gehouden met specifieke kwetsbare groepen (kinderen, ex-gedetineerden, zieken, etc.). Samenloop van rollen van eID Deelnemers en mogelijk zelfs ook samenloop van rollen van eID deelnemers en eID Dienstaanbieders vergroot het risico’s op verwerking van ongewenste combinaties van persoonsgegevens, ontstaan van ongelimiteerde verzamelingen van persoonsgegevens, zogenaamde “hotspots”. Ook vergroot deze ongewenste samenloop van rollen meer specifiek de risico’s van: profiling en function creep. Het verdient aanbeveling om in de governance ongewenste samenloop van rollen (functiescheidingen) van eID deelnemers te gaan reguleren. In het bijzonder is daarbij aandacht nodig voor de risico’s van profiling en function creep: aanwending van persoonsgegevens voor een ander doel dan is vastgesteld voor het specifieke doel, en behorend bij de specifieke rol, van een eID Deelnemer. Dit kan mede bereikt worden door standaard strak begrensde doelbindingsafspraken op te stellen. Een andere noodzakelijke aanvullende maatregel is vervolgens om periodieke “privacy audits” uit te voeren bij eID Deelnemers waarbij naleving van deze privacy principes en beheersing van privacy risico’s worden getoetst. Het hanteren van een generiek normenkader is daarbij essentieel en dient nog opgesteld te worden. Dit zal in overleg met de Toezichthouder verder moeten worden uitgewerkt in 2016. 6) Voortvloeiend uit het bovenstaande is het dan ook nodig om het toetreden van Dienstaanbieders te reguleren ten einde ongewenste cumulaties van verzamelingen van persoonsgegevens te beperken en/of verwerkingen van zeer gevoelige gegevens in het Introductieplateau eID tegen te gaan. In het huidige afsprakenstelsel zijn nog geen aansluiteisen geformuleerd voor Dienstaanbieders. Het verdient aanbeveling om dit wel te reguleren en normatieve eisen te stellen aan de Dienstaanbieders. Deze mitigerende maatregel is overgenomen binnen het Programma eID en wordt verder uitgewerkt. De voorstellen die het Programmabureau op dit opstelt worden in het Introductieplateau eID meegenomen. 7) In aanvulling op bovenstaande risico’s en als gevolg van ongewenste samenloop van rollen en het doorbreken van functiescheidingen, is een ander maar vergelijkbaar risico dat het Introductieplateau eID is gebaseerd op een beperkte functionaliteit met bij behorende beperkingen in privacy risico’s. Functies als machtigingsdiensten en attributendiensten zijn geen onderdeel van het Introductieplateau eID. De basis voor het Introductieplateau eID is echter eHerkenning en de eHerkenningsdienstverleners treden toe tot het Introductieplateau. eHerkenning kent wel de functionaliteit van machtigings- en attributendiensten. Dit vereist dat er bij de eHerkenningsdienstverleners dus scheidingen of segmenteringen moeten zijn aangebracht tussen deze twee vormen van dienstverlening en de onderliggende gegevensverwerkingen en technische systemen. Deze omstandigheden vereisen nadere regulering en toetsing van de scheiding (Chinese muren) van deze twee vormen van dienstverlening binnen één organisatie en systeem. Deze mitigerende maatregel is inmiddels opgepakt en wordt verder uitgewerkt. De voorstellen die het Programmabureau op dit punt ontwikkelt, worden in het Introductieplateau eID meegenomen. 8) Het Introductieplateau voorziet in de functionaliteit dat Authenticatiediensten vrij attributen kunnen toevoegen aan de verwerking van eID gerelateerde persoonsgegevens en deze attributen kunnen meeleveren aan Dienstverleners. Dit verschijnsel speelt overigens buiten het BSN-domein. Ook voor de verwerking van vrije attributen, zijnde persoonsgegevens, geldt dat de impact op de privacy telkens afgewogen moet worden. Dit is niet voorzien binnen het Introductieplateau. Bijkomend gevaar is dat de vrije attributen de risico’s van 12
9)
10)
11)
12)
herleidbaarheid van gegevens, profiling en function creep nadelig kunnen beïnvloeden. De toepassing van vrije attributen vereist nadere regulering en toetsing, en met de middelenleveranciers moet worden afgesproken dat dit niet gebeurt. Deze mitigerende maatregel wordt in het Introductieplateau eID meegenomen. In het publieke deel, of beter gezegd in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisatie. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn. Vanuit privacyoptiek is het BSN-Koppelregister een gevoelige verwerking van persoonsgegevens (hotspot). Dit verschijnsel is door het programma onderkend en er wordt voor het begin van 2016 een actie geformuleerd in overleg met de Toezichthouder. Het operationaliseren van een Introductieplateau eID met beperkte functionaliteit en een beperking in het toepassingsgebied brengt het risico met zich mee dat dit Introductieplateau eID sluipenderwijs gebruikt gaat worden voor een breder doel en dienstenpakket dan nu beoogd is. Deze vorm van function creep vereist scherpe bewaking en toetsing bij betrokken overheidsdiensten én marktpartijen. Doorontwikkeling en optimalisatie van het eID Stelsel na het Introductieplateau eID is voorzien maar is ook essentieel om een breed en robuust eID Stelsel te kunnen realiseren en handhaven. Dit moet met de Toezichthouder worden besproken. Maatregelen aangaande fraudedetectie, interne controle maatregelen gericht op het verhogen van de datakwaliteit bij eID deelnemers en BSN-koppelregister zijn nog niet gedefinieerd. Deze maatregelen zullen er ongetwijfeld wel zijn of komen. Aangezien deze maatregelen per definitie privacy onvriendelijk zijn, verdient het aanbeveling om deze normatief te benoemen en te reguleren. Het risico is dat er niet-transparante verwerkingen van persoonsgegevens plaatsvinden hetgeen niet is toegestaan. Toetsing middels privacyaudits van de naleving hiervan is eveneens essentieel. Het advies is om dit voorstel tot maatregelen in de evaluatie mee te nemen en in het traject na het Introductieplateau eID verder vorm te geven. Opsporing door Openbaar Ministerie en politiediensten zijn niet gereguleerd binnen het Afsprakenstelsel en er zijn ook geen specifieke voorzieningen voor getroffen in de ontwerpdocumentatie. Op zich is vanuit de bestaande wet- en regelgeving de toegang voor deze doeleinden al voorzien. Het verdient echter aanbeveling om deze toegang tot Persoonsgegevens in de toekomst wel te gaan onderkennen en normatieve procedurele afspraken te maken over de omgang, afwikkeling en communicatie hierover. Het verdient ook aanbeveling om in het vervolg op het Introductieplateau eID uniforme afspraken vast te leggen over de communicatie over aantallen in dit kader gedane verzoeken tot gegevensverstrekking. Vanuit privacy optiek is transparantie daarbij een leidend principe.
Ten slotte willen wij erop wijzen dat communicatie over de privacymaatregelen en –risico’s en de regulering daaromtrent cruciaal is voor de acceptatie van het gehele Introductieplateau eID bij de brede groep van stakeholders en mede bepalend is voor het succes van het gehele Introductieplateau eID. Dit is een belangrijk aandachtpunt voor het eID Programmabureau. Voor de verdere uitwerking van bevindingen en aanbevelingen verwijzen wij naar de volgende paragrafen in dit hoofdstuk. In de matrix, opgenomen in hoofdstuk 4, zijn alle bevindingen en aanbevelingen van deze PIA in detail beschreven en toegelicht. 2.4 Doelstellingen van het Introductieplateau eID Stelsel De doelstellingen van het Introductieplateau eID Stelsel zijn: het van de grond krijgen van beperkte pilots als een eerste stap in de realisatie van een uiteindelijk volwassen, volledig en vanuit het perspectief van privacybescherming van individuen (users) robuust eID Stelsel binnen Nederland; het realiseren dat natuurlijke personen op een betrouwbare manier voorzien kunnen worden van een digitale identiteit en Authenticatiemiddelen waarmee veilig kan worden ingelogd; bruikbaar voor individuen in het publieke en private domein (in de rol van burger en/of consument); realisatie via een publiek/private samenwerking (overheid en IT sector); daarbij gebruikmakend van technisch bewezen en bestaande middelen (i.c. eHerkenning); 13
de uitkomsten van de pilots in het kader van het Introductieplateau gebruikt kunnen worden om het afsprakenstelsel eID te vervolmaken en in het bijzonder daarmee ook de privacybescherming verder te bevorderen.
2.5 Algemeen: privacy waarborgen in het ontwerp Introductieplateau eID Stelsel Inherent aan een eID Stelsel is, dat Dienstaanbieders onder omstandigheden waarin dit noodzakelijk is voor hun dienstverlening, de identiteit en authenticiteit van Gebruikers wensen vast te stellen. Onmiskenbaar staat in de doelstellingen van het eID Stelsel en het ontwerp eID Stelsel voorop, dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Economische Zaken in het ontwerp van het eID Stelsel de persoonlijke levenssfeer (privacy) van Gebruikers met waarborgen wensen te omgeven. Dit blijkt uit de ontwerpeisen die bij de totstandkoming van het eID Stelsel leidend zijn: Ontkoppelen en ontzorgen van de Dienstaanbieder; Waarborgen privacy; Marktwerking mogelijk maken; Gebruikersgemak bevorderen; Identiteitsfraude tegengaan. Dit blijkt ook, uit de wens tot het uitvoeren van deze PIA en de intentie om de PIA structureel in de volgende ontwerp fasen te continueren. In het ontwerp Introductieplateau is bij de ontwerpeisen aandacht besteed aan de privacybeginselen: dataminimalisatie en in zekere mate ook privacy by design. Er is ook aandacht voor het zelfbeschikkingsrecht van Gebruikers. Een Gebruiker wordt in staat gesteld om naar elke Dienstaanbieder een andere identiteit (pseudoniem) kenbaar te maken en kan daarmee zijn digitale privacy behouden. Een Dienstaanbieder kan alleen op basis van doelbinding autorisatie aanvragen om (sommige) gegevens te kunnen ontvangen. De gegevens worden pas verstrekt nadat de gebruiker hiervoor toestemming heeft verleend. Het uitgangspunt daarbij is dat iemand in de digitale wereld zelf moet kunnen bepalen wie welke informatie over hem krijgt en er moet voorkomen worden dat hij te maken krijgt met willekeurige of onwettige inmenging in zijn privéleven. In die zin wenst de overheid zorgvuldig om te gaan met persoonsgegevens, zoals dit ook verankerd is in de Wet bescherming persoonsgegevens (Wbp). Een PseudoID is een nummer dat de afnemer van een dienst identificeert en dat door een Authenticatiedienst aan een Dienstaanbieder wordt verstrekt. Binnen het domein van alle Authenticatiediensten is elke PseudoID uniek en is gekoppeld aan één bepaalde Dienstaanbieder. Elke Dienstaanbieder ontvangt een PseudoID dat speciaal aan hem is gericht. Hierdoor kunnen verschillende Dienstaanbieders de ontvangen PseudoID’s van eenzelfde persoon niet vergelijken of koppelen. Deze PseudoID’s zijn persistent: iedere volgende authenticatie ten behoeve van dezelfde Dienstaanbieder levert dezelfde PseudoID op. De Dienstaanbieder zal echter in veel gevallen dat PseudoID willen koppelen aan het administratieve nummer waaronder de persoon bij de Dienstaanbieder bekend staat (het eigen interne klantnummer). De Gebruiker moet daarvoor toestemming geven en zet met zijn Authenticatiemiddel een eenmalig koppelproces in gang. Voor het kunnen inloggen in het BSN-domein door een Gebruiker (=Burger) is een voorziening nodig om via de publiek-private samenwerking het gebruik van BSN in het private domein mogelijk te maken. Er moet een betrouwbare koppeling gelegd worden tussen privaatmiddel en het BSN van een persoon. Hiermee moet de uniciteit en de betrouwbaarheid van digitale identiteiten (PseudoIDs) geborgd worden. De voorziening hiertoe binnen het Introductieplateau heet het BSN Koppelregister. Naast het leggen van de koppeling tussen Authenticatiemiddel en BSN bij de eerste registratie van een Gebruiker wordt het BSN-koppelregister ook als validatie instrument gebruikt bij iedere transactie. Dit is een belangrijke kwaliteit verhogende maatregel voor bescherming van misbruik van identiteiten en daarmee ook een privacy bevorderende maatregel. Deze maatregel bestaat niet voor het inloggen in het private domein. In de ontwerpdocumentatie is dan ook als belangrijk risico aangegeven dat de kwaliteit van de “bootstrapping procedure”, waarbij een Gebruiker bij een Authenticatiedienst een eerste maal wordt geregistreerd een kritisch moment is in het uitreiken van een Authenticatiemiddel en Pseudo-identiteit en ook bij de “bootstrapping procedure” bij private Dienstaanbieders waar een eerste maal een koppeling dient te worden gemaakt tussen een PseudoID van de Gebruiker en de klantgegevens aanwezig bij de private Dienstaanbieder.
14
2.6 Samenvattende bevindingen PIA Introductieplateau eID Stelsel In deze paragraaf en de hierop volgende paragrafen in dit hoofdstuk geven wij een overzicht van de belangrijkste bevindingen en conclusies uit deze PIA. Voor de detail bevindingen verwijzen wij naar Hoofdstuk 4 van deze rapportage. Het ontwerp van het introductieplateau voor het eID Stelsel versie 0.8 is een vervolg op en verdere concretisering van de eerder door de Stuurgroep eID ontwikkelde ontwerpen voor het Introductieplateau eID Stelsel. Veel van de inzichten, onderkende risico’s en bevindingen van de eerder uitgevoerde PIAs op deze ontwerpen zijn echter nog steeds relevant. Het is de beperking in de scope en schaal van het Introductieniveau versie 0.8 en het gebruik van het eHerkenning Afsprakenstelsel als onderlegger dat het ontwerp een stuk concreter maakt dan de vorige Stelselontwerpen. De wijze waarop het ontwerp van het Introductieplateau echter nu is opgesteld en de verschillende abstractieniveaus van de diverse ontwerpdocumenten maakt één en ander wat echter minder goed toegankelijk dan bijvoorbeeld bij het eID Stelselontwerp versie 1.0. het geval was. Ten einde de voortgang en afwegingen die gemaakt zijn bij het opzetten van het nu voorliggende ontwerp Introductieplateau eID vanuit privacy perspectief zichtbaar te maken hebben wij, in deze samenvatting de actuele bevindingen ook gespiegeld aan dit eerdere ontwerp.
Lager risicoprofiel door reductie in functionaliteit Onze overall conclusie is dat het Introductieplateau eID Stelsel versie 0.8, gebaseerd op de bestaande eHerkenningsarchitectuur, ten opzichte van het initiële ontwerp eID Stelsel 1.0 (april 2014) en het latere eerste ontwerp van het Introductieplateau eID van december 2014, door het aanzienlijk reduceren van de beoogde functionaliteit en het beperken van de initiële gebruiksschaal gedurende de pilots, vanuit privacy perspectief een lager en meer overzichtelijk risicoprofiel heeft. Er worden binnen het Introductieplateau minder persoonsgegevens verwerkt dan bij de eerder voorgenomen ontwerpen. Bovendien zijn veel van de onduidelijkheden welke bij de eerder uitgevoerde PIAs op de eID ontwerpen aangaande toezicht nog bestonden nu weggenomen. De eerder beschreven risico’s van function creep kunnen dit echter weer ondermijnen, waarvoor dus de nodige aanbevelingen zijn gedaan. Resterende privacy risico’s waarvoor nadere maatregelen worden geadviseerd Wel resteren er nog een aantal specifieke privacyrisico’s en zijn er ook nieuwe privacyrisico’s binnen het Introductieplateau die aandacht vereisen en waartoe wij ook dringend adviseren om ten behoeve van de pilotperiode specifieke en aanvullende governance en procedurele maatregelen te treffen, in het bijzonder aangaande toetsing en de handhaving. De eerder genoemde nog bestaande en nieuwe privacy risico’s komen vooral voort uit de inzet van eHerkenningsdiensten, die initieel uitsluitend voor bedrijven waren bedoeld, nu ook ingezet worden in het consumenten- en burgerdomein. De hieraan gerelateerde privacy risico’s worden verderop in deze rapportage uitgewerkt en toegelicht.
Gebruik pilotperiode om technische en preventief en detectief gerichte maatregelen nader te ontwerpen Inherent aan de karakteristieken van digitale identiteitensystemen zijn er veelal beperkingen in de mogelijkheden om de gevolgen van gecompromitteerde digitale identiteiten terug te draaien. In het huidige ontwerp zijn weliswaar al preventieve technische maatregelen voorzien op Stelselniveau. Echter op het niveau van eID Deelnemers is het wenselijk om naarmate het gebruik toeneemt deze preventieve, zo mogelijk technisch ondersteunde voorzieningen nader uit te werken en normatief voor te schrijven. Wij adviseren om de pilotperiode te gebruiken om maatregelen te ontwerpen om compromittering van identiteiten (waaronder fraude) zo vroeg mogelijk te detecteren en om zogenaamde post-issue scenario’s uit te werken ter bestrijding van de gevolgen van compromittering van digitale identiteiten en eventuele andere tot personen te herleiden attributen. Voorts bevelen wij aan de inzichten die met de pilots zullen worden opgedaan, te gebruiken om aanvullende technische en preventief gerichte maatregelen te onderzoeken en te ontwerpen 15
voor latere toevoeging aan het Introductieplateau. Het ontwerp Introductieplateau is vanuit privacyoptiek onvoldoende geschikt om te dienen als “eindplaatje” voor het uiteindelijk te realiseren volwassen eID Stelsel. Een reëel gevaar dat wij zien is dat indien het Introductieplateau als pilot in gebruik wordt genomen de impulsen ontbreken om verder te innoveren en door te ontwikkelen naar een volwassen en robuust eID Stelsel.
Informatiebeveiliging verwerking van persoonsgegevens Vanuit privacy perspectief is de informatiebeveiliging van gegevensverwerking van vitaal belang. Binnen het huidige afsprakenstelsel is voorzien dat de eID Deelnemers zich conformeren aan de ISO27001 informatiebeveiligingsnormen en dat zij hierop periodiek worden gecontroleerd. In de huidige ontwerpfase is het proces voor het ontwikkelen van de specifieke privacy gerelateerde normen nog gaande. Belangrijk is te onderkennen dat de ISO27001 normen, zoals zoveel IT governance normen, een sterke focus hebben op het management proces aangaande informatiebeveiliging. Deze normen geven weinig of geen aanwijzingen voor specifiek te treffen technische beveiligingsmaatregelen. Het gevaar bestaat en de ervaring leert dat een IT audit in het kader van ISO27001 meer een oordeel geeft over het management proces en procedures aangaande informatiebeveiliging dan over de veiligheid van de IT systemen waarbinnen de informatieverwerkingen plaatsvinden, de “IT werkelijkheid”. Belangrijk is te onderkennen dat vanuit privacyoptiek en gegeven de aard van digitale identiteitssystemen het vooral gaat om de gerealiseerde veiligheid in de IT werkelijkheid en de transparantie daarover. Het gaat om de veiligheid van de persoonsgegevens vanuit het belang van de geregistreerden. Het gaat hier niet (alleen) om het afleggen van verantwoording over management processen en over de compliance van deze processen door de verantwoordelijke organisaties (ic aansprakelijkheid). Het verdient aanbeveling om bij de verdere normontwikkeling aangaande privacy gerelateerde informatiebeveiliging nadere normen te definiëren voor de te realiseren veiligheid in de IT werkelijkheid en de wijze waarop deze geauditeerd moeten worden. Hierbij dient ook aandacht te worden besteed of voldoende maatregelen zijn geïmplementeerd bij de eID Deelnemers aangaande Privacy by Design en de toepassing van Privacy Enhancing Technologies.
Privacymaatregelen binnen het Introductieplateau eID De basis voor het Introductieplateau eID Stelsel is het bestaande afsprakenstelsel eHerkenning. eHerkenning is het digitale identiteitensysteem voor toepassing door bedrijven. eHerkenning is initieel niet ontworpen voor het gebruik binnen het burger- en consumentendomein. Door het gebruik binnen het burger- en consumentendomein ontstaan er specifieke privacyrisico’s. Het introductieplateau voorziet in een aantal privacy bevorderende maatregelen ten opzichte van de bestaande eHerkenningsarchitectuur die deze risico’s beperken. Deze maatregelen omvatten: gebruik van Pseudo-identiteiten toekenning van Pseudo-identiteit per dienstaanbieder ter bestrijding van data deluge effecten (dienstaanbieders kunnen niet eenvoudig op basis van Pseudo-identiteiten gegevens aan elkaar linken) beperkingen in het gebruik en vastlegging van BSN binnen het private domein, i.c. bij de Authenticatiedienst end-to-end encryptie in de identiteitsketen, waarbij de encryptietechnologie borgt dat per identiteitsverificatiesessie Pseudo-identiteiten telkens een andere versleuteling kennen. Tracking- en profilingrisico’s in onderliggende netwerklagen op basis van Pseudoidentiteiten zijn hiermee geminimaliseerd functionaliteiten voor (optioneel) toepassen van user consent bij dienstaanbieders functionaliteit voor reductie uitwisselen van persoons- en identiteitsgegevens bij bijvoorbeeld leeftijdsverificaeundtie, mits de dienstaanbieder dit functioneel ondersteund keuzevrijheid in eID Makelaar en/of Authenticatiedienst en mogelijkheid om te veranderen van eID Makelaar en/of Authenticatiedienst (ook marktwerking) functionaliteit om identiteitsverklaringen niet langs internetbrowsers te sturen.
16
Risico’s van zogenaamde “Hotspots” van persoonsgegevens Inherent aan het ontwerp, hergebruik van de genoemde bestaande middelen, i.c bestaande eHerkenning architectuur, is er sprake van het ontstaan van een cumulatie van gevoelige tot zeer gevoelige en hoewel in de documentatie niet duidelijk onderkent, naar verwachting ook stigmatiserende persoonsgegevens op het niveau van Authenticatiediensten en BSN Koppelregister. In privacy jargon worden dit “hotspots” genoemd. In het publieke deel, of betergezegd in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisatie. De Pseudo-identiteiten zijn persistent. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn. Vanuit privacyoptiek is dit een uiterst gevoelige verwerking van persoonsgegevens. Immers het websitebezoek kan dusdanig gevoelige persoonsgegevens genereren dat sprake kan zijn van stigmatiserende persoonsgegevens. Het eID Stelsel zal bijvoorbeeld ook gebruikt gaan worden door burgers voor het bezoek van sites aangaande medische gegevens, strafrechtelijke zaken, werk- en inkomen, et cetera. Het eID Stelsel kent hierin geen beperkingen. De gevoeligheid zal groter worden naarmate het gebruik van het eID Stelsel in de tijd toeneemt en het ook intensiever wordt gebruikt. De waarde van deze gegevensverzameling zal in de tijd groeien. Het is daarom essentieel dat de beveiliging van deze gegevensverzamelingen zeer sterk is. Inmiddels is een risicoanalyse vanuit informatiebeveiligingsperspectief uitgevoerd in opdracht van de eID Stuurgroep (rapport van PWC) en is ook vanuit dat perspectief een hoog risico geïdentificeerd voor deze gegevensverwerking. Het verdient aanbeveling bij het ontwerp van beveiligingsmaatregelen aangaande het BSN Koppelregister gedurende de pilots van het Introductieplateau te gebruiken om zeer sterke informatiebeveiligingsmaatregelen te ontwerpen. Het toepassen van Privacy Enhancing Technologies en Privacy by Design horen thuis als maatregelen rond dergelijke “hotspots”, zeker naarmate het gebruik van het eID Stelsel een groter succes wordt. Deze maatregelen moeten gebruik buiten de doelstelling van de verwerking tegengaan of beter, voorkomen. Denk hierbij aan misbruik voor profiling, tracking of ander ongewenst gebruik van deze gegevens. Compromittering van het BSN-koppelregister zal vanuit privacyperspectief het vertrouwen in het gehele eID Stelsel ernstig ondermijnen. Dergelijke maatregelen zijn maar beperkt beschreven in het ontwerp Introductieplateau.
Een vergelijkbaar risico van een cumulatie van persoonsgegevens gaat plaatsvinden bij de Authenticatiediensten. Bij de Authenticatiediensten geldt dat van elke inlogactie de Pseudoidentiteiten van burgers en consumenten worden vastgelegd te samen met de digitale identiteiten van de websites van bezochte dienstverleners. Ook hier gelden dezelfde risico’s van een “hotspot” aan persoonsgegevens. Een Authenticatiedienst kan dus “zien” welke consument bij welke private dienstaanbieder heeft ingelogd en ook welke burger bij welke overheidsdienstaanbieder. Deze cumulatie van persoonsgegevens kan tot uiterst gevoelige gegevensverwerkingen leiden. De gevoeligheid zal verder toenemen naarmate ook het gebruik van de zogenaamde vrije attributen toeneemt. Het is nu nog niet gereguleerd welke persoonsgegevens met deze vrije attributen mogen worden verwerkt in combinatie met de bestaande verwerkingen van persoonsgegevens bij de Athenticatiediensten. Het is overigens niet zo dat er een centrale inzage is over alle inlogacties van consumenten over de Authenticatiediensten heen, zoals bij het BSN-koppelregister dus wel het geval is voor het inloggen van burgers in het BSN-domein. Niet te min beschikken de Authenticatiediensten over groeiende “hotspots”. Het nader ontwerpen van zeer strikte beveiliging, toezicht en handhaving van deze maatregelen is hiervoor essentieel. Waarbij ook hier geldt dat het toepassen van Privacy Enhancing Technologies en Privacy by Design verdere verkenning en toepassing verdient. Evaluatie en optimalisatie van deze maatregelen dient als een permanent proces te worden ingeregeld.
Combinaties van functies van eID deelnemers In het huidige Introductieplateau afsprakenstelsel eID is niet uitgesloten dat een eID Deelnemer meerdere functies in het eID Stelsel kan vervullen. Een Authenticatiedienst kan bijvoorbeeld ook eID Makelaar zijn. Maar een Authenticatiedienst en/of eID Makelaar kan eventueel ook Dienstaanbieder zijn. Het is ook niet uitgesloten dat een IT provider (ASP, SAAS-aanbieder etc.) 17
met één of meer van deze rollen gecombineerd gaat opereren in het eID Stelsel. Hoewel de afbakening tussen deze rollen via het privacy verantwoordingsbeginsel op “papier” kan worden geregeld, bestaat hier toch het risico’s van een ongewenste cumulatie van persoonsgegevens. Voor zover uit de nu beschikbare stukken blijkt zijn deze risico’s nog niet nader onderzocht. Het verdient aanbeveling om de consequenties van deze combinatie van functies en rollen nader te evalueren en te onderzoeken of hier nadere maatregelen in zowel techniek, toetsing en toezicht, nodig zijn. Denk hierbij aan het realiseren van toetsbare segmenteringen (Chinese muren). Een overweging kan ook zijn om bepaalde risicovolle combinaties voorlopig in het Introductieplateau uit te sluiten.
Clouddiensten, Third Party Services, Metadata Het is niet uitgesloten en de ervaring leert dat het zelfs waarschijnlijk is, dat door eID Deelnemers IT middelen en IT diensten van derde partijen worden ingezet. Het gevolg hiervan is dat het kan voorkomen dat er in de gehele digitale identiteitsketen onderliggende systeemlagen persoonsgegevens verwerken dan wel genereren. Denk hierbij aan het gebruik van analysetools voor websitegebruik, gebruik van Apps, inzet van third party software en clouddiensten van derde partijen (IAAS, PAAS, SAAS). Sommige van deze diensten generen zogenaamde metadata welke de herleidbaarheid van gegevens naar individuen mogelijk maakt. Bijvoorbeeld door de inzet van “Big Data” toepassingen. Dergelijke toepassingen kunnen risico’s introduceren aangaande onder meer het transparantiebeginsel, verwerkingen van persoonsgegevens buiten de EU/EER en het verantwoordelijkheidsbeginsel. Op zich is het standpunt verdedigbaar dat de risico’s van de inzet van deze aan internet verbonden technologieën buiten het Afsprakenstelsel Introductieplateau eID vallen. Echter deze “bijwerkingen” als gevolg van de inzet van deze middelen en diensten ten behoeve van het eID Stelsel introduceren reële risico’s aangaande de bescherming van persoonsgegevens. Het verdient aanbeveling om zowel op het niveau van technologie, toetsing en governance hier nader aandacht aan te besteden. Een suggestie is om bij de voorgenomen IT audits (Stelsel Audits) de kennis aangaande privacyrisico’s en de risico’s van cloud en third party middelen te borgen. Tevens verdient het aanbeveling om normatieve maatregelen te ontwikkelen voor eID Deelnemers hoe deze risico’s te mitigeren.
Kwaliteit van data Een sterk punt in het Introductieplateau vanuit het perspectief van kwaliteit van de digitale identiteitsgegevens is de toetsing die plaatsvindt bij het eerste keer authenticeren van een gebruiker bij een Authenticatiedienst die een Middel wil om in te kunnen loggen in het BSNdomein. De toetsing houdt in dat op basis van het BSN voorzien van aanvullende identificerende 7 8 gegevens gecontroleerd wordt of het BSN bestaat in het BRP (of GBA-V) en afhankelijk van de aangeleverde WID-gegevens worden deze gegevens op geldigheid gevalideerd bij de registraties van de RDW en/of het Negatief Basisregister Reisdocument. Pas na een positieve uitkomst van deze validaties wordt een Pseudo-identiteit toegekend aan het BSN behorend bij de betreffende persoon en geregistreerd in het BSN-Koppelregister. Op basis van de positieve validatie en de melding daarvan aan de Authenticatie dienst wordt een geschikt Middel uitgegeven, met daaraan gekoppeld een middel Pseudo-identiteit aan de Gebruiker. Deze functionaliteit zorgt voor een hoge mate van betrouwbaarheid van de PseudoIDs en borgt ook de uniciteit van digitale identiteiten op het niveau van het GBA-V. Deze procedure is dus zeker kwaliteit bevorderend, maar werkt alleen binnen het BSN-domein. Binnen het private domein bestaat deze controle maatregel niet. Overigens kleven er ook nadelen aan deze procedure. Deze worden in de volgende paragraaf beschreven. Hier bestaat zoals ook in de documentatie is beschreven een risico als het proces rond een eerste registratie van een Gebruiker in het private domein onbetrouwbaar is. Het zogenaamde “boot trapping proces” in het private domein is een kritische schakel aan het begin van de identiteitsketen. Binnen de geldende privacyrichtlijnen is aangeven dat Verantwoordelijken maatregelen moeten treffen aangaande de kwaliteit van de persoonsgegevens. In het geval van een identiteitsmanagementsysteem is dit extra relevant omdat non-kwaliteit van digitale identiteitsgegevens al gauw kan leiden tot misbruik van iemands digitale identiteit met alle 7 8
BRP = Basis Registratie Personen GBA-V = Gemeentelijke Basisadministratie Verstrekkingsvoorziening
18
vervelende gevolgen voor een daardoor geraakt individu. Identiteitsfraude betekent een ernstige inbreuk op de privacy van een persoon. Bovendien als de integriteit van persoonsgegevens geregistreerd binnen het eID Stelsel gecompromitteerd, is dan kan dit tot problemen in bewijslast leiden en wordt het vertrouwen in het gehele Stelsel ondermijnd. In het huidige afsprakenstelsel Introductieplateau eID blijkt uit de nu beschikbare informatie dat er nog weinig aandacht is geschonken aan normatieve maatregelen ter bevordering van de betrouwbaarheid van de verwerkingen van identiteitsgegevens. Het verdient aanbeveling om bij de verdere ontwikkeling van het eID Stelsel normatieve controlemaatregelen te definiëren waarmee de integriteit van de gegevensverwerkingen wordt bevorderd en ook dat de integriteit van de gegevensverwerkingen controleerbaar is. Deze normatieve controlemaatregelen dienen periodiek getoetst te worden in opzet, bestaan en werking. Het detecteren van gecompromitteerde digitale identiteiten, waaronder mogelijke identiteitsfraude op het niveau van de individuele eID deelnemer, liggen in de voorgestelde inrichting van het Introductieplateau vooral bij het BSN-Koppelregister en de Authenticatiediensten. De detectie van integriteitsissues aangaande persoonsgegevens waaronder ook misbruik van digitale identiteiten vereisen specifieke controle maatregelen. Het verdient aanbeveling om de noodzakelijke maatregelen hiertoe nader te definiëren en in de loop der tijd te optimaliseren. Hierbij zal tekens de afweging moeten worden gemaakt in hoeverre een controlemaatregel ten behoeve van de kwaliteit van digitale identiteiten en daaraan gerelateerde attributen prioriteit moet krijgen boven de privacybescherming van een individu. In deze alinea wordt specifiek gedoeld op controle maatregelen ter bevordering van de kwaliteit van digitale identiteitsgegevens binnen het stelsel. In de huidige ontwerpdocumenten is dit een onderbelicht onderwerp. Deze controlemaatregelen zijn ook niet benoemd als normatief te onderzoeken objecten voor de Stelsel Audits. Deze maatregelen betreffen dus geen maatregelen ten behoeve van opsporing in het kader van bij voorbeeld fraude of misdrijven buiten het Stelsel en die in opdracht van het Openbaar Ministerie of andere opsporingsdiensten worden uitgevoerd. Het verdient aanbeveling om in geval van een geconstateerde afwijking in de betrouwbaarheid van de verwerkte persoonsgegevens een protocol op te stellen hoe hiermee kan worden omgegaan. Zie ook onze opmerkingen over de aanpak “post-issue problematiek” binnen digitale identiteiten systemen. Een andere aanbeveling is om te onderzoeken of het mogelijk is om functionaliteit aan het huidige eID ontwerp toe te voegen waarmee de Gebruiker kan zien wanneer, waar en met welke middelen er met zijn identiteitsgegevens is ingelogd, en mogelijk ook dat zijn of haar identiteitsgegevens zijn gebruikt. In feite impliceert dit het ter beschikking stellen van een audittrail op gebruikersniveau.
Opsporing buiten het Stelsel / gegevensverstrekkingen aan derde partijen Uit de beschikbaar gestelde ontwerpdocumentatie blijkt dat het Introductieplateau eID geen specifieke functionaliteiten heeft ter ondersteuning van opsporingsverzoeken. Uiteraard kunnen door bevoegde opsporingsinstanties verzoeken worden gedaan om specifieke gegevens aan te leveren vanuit het Stelsel. Dit uitsluitend na de benodigde toestemming van de hiertoe bevoegde instanties. Hierin voorziet de bestaande wetgeving. De huidige afspraken binnen het Stelsel voorzien overigens in een bewaartermijn van logbestanden en audittrails van 7 jaar. Het verdient overweging vanuit het perspectief van het transparantieprincipe om jaarlijks vanuit de eID Deelnemers te laten rapporteren hoe vaak opsporingsverzoeken zijn ontvangen en zijn gehonoreerd.
BSN gebruik in de Publiek / Private samenwerking Het Introductieplateau eID is gebaseerd op functionaliteit waarbij BSN bij Authenticatiediensten buiten het BSN domein worden verwerkt. Bij het opstellen van de PIA is er nog geen wettelijke basis om dit BSN gebruik toe te staan.
19
Wellicht wordt deze wettelijke basis in de loop van dit jaar geregeld via de Wetsvoorstel 9 Elektronische Berichtenverkeer Belastingdienst . Hoewel dit nog niet geheel zeker is. Deze wettelijke basis zal eerst gerealiseerd moeten worden alvorens de huidige opzet van het Introductieplateau met het BSN gebruik in het private domein in gebruik kan worden genomen. Los van wet- en regelgeving blijft het BSN een uiterst gevoelig gegeven dat met sterke waarborgen beschermt moet worden tegen misbruik. Een BSN is een belangrijke identificatiecode binnen het gehele BSN domein. Dit betreft alle overheidsdiensten, gezondheidszorg, zorgverzekeraars et cetera. De beveiliging van het verwerken van BSN dient van een zeer hoog niveau te zijn. Dit is weliswaar onderkend in de uitgevoerde risicoanalyse door de Stuurgroep eID. Maar de maatregelen hiertoe zijn nog niet specifiek gedefinieerd. Een bijzonder gevaar van BSN is overigens ook dat indien een BSN is gecompromitteerd corrigerende maatregelen achteraf (post-issue) moeilijk zijn te realiseren. Het kunnen in trekken van een BSN en het opnieuw uitgeven van een BSN aan een burger is niet een standaard voorziening. Dit is ook zeer moeilijk realiseerbaar, zeker ingeval een correctie met enige mate van terugwerkende kracht nodig is. Dit is een inherent risico dat nu eenmaal aan een dergelijk breed gebruikt identificerend nummer kleeft. Het BSN kent weinig “post-issue mogelijkheden”. De invoering van het BSN dateert van ver voor het internettijdperk en is voor nu een gegeven.
2.7 Noodzakelijkheid, proportionaliteit, subsidiariteit eID Stelsel Het ontwerp van het eID Stelsel kan de toets aan de eisen van de noodzakelijkheid/proportionaliteit en subsidiariteit doorstaan. De doelstellingen van het eID Stelsel in de ontwerpdocumentatie alsmede in de aan de Tweede Kamer gerichte brieven van de Ministerie van BZK onderbouwen de noodzakelijkheid. Bovendien dient Nederland als lidstaat van de EU naar verwachting binnen afzienbare tijd gevolg te geven aan de Verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt. Uit de ontwerp documentatie blijkt ook dat met de beginselen van proportionaliteit (is de specifieke gegevensverwerking een bruikbaar middel om het doel te bereiken) als de subsidiariteit (zijn er geen minder privacy bedreigende alternatieven of waarborgen) rekening wordt gehouden. De intentie van het ontwikkelteam is ook om die beginselen doorlopend in de volgende ontwerp en realisatiefasen na de lancering van het Introductieplateau in het oog te houden. Ten slotte dient ook mee te worden gewogen dat in de huidige situatie zonder eID stelsel sprake is van een relatief onbeheersbare toestand met betrekking tot het gebruik van digitale identiteiten voor Gebruikers. Het resultaat is dat er meer en meer feitenmateriaal en berichtgeving is over identiteitsfraude en privacyschendingen. Het eID Stelsel beoogt ook deze problemen te beperken. Het Introductieplateau eID is bedoeld als initiële en realistisch haalbare stap waarmee ervaringen kunnen worden opgedaan. Er is voorzien om het eID Introductieplateau te evalueren en door te ontwikkelen naar een volwaardig en volledig eID Stelsel. 2.8 Privacy principe: Verantwoording 2.8.1 Bevindingen In het systeemdiagram van Introductieplateau eID Stelsel is op hoofdlijnen en op hoog abstractieniveau te onderscheiden hoe de ICT-infrastructuur van het eID Stelsel op dit moment wordt voorzien. Hierin komt ook op hoofdlijnen en in algemene termen tot uiting, welke eID Deelnemers over welke in het eID Stelsel te onderscheiden koppelvlakken berichten met persoonsgegevens met elkaar delen.
9
Zie onder meer kamerbrief Elektronisch Berichtenverkeer Belastingdienst 29 april 2015.
20
Ook is het mogelijk om als eID Deelnemer / Dienstaanbieder meerdere rollen te vervullen 10 binnen het Introductieplateau . Dit kan in theorie tot combinaties van de status ”verantwoordelijke” en “bewerker” bij één eID Deelnemer of Dienstaanbieder (of wellicht ook bij combinaties van eID Deelnemer en Dienstaanbieder) leiden. Bij de Dienstaanbieder en de eID makelaar zijn bijvoorbeeld volgens de ontwerp documentatie zowel de status van bewerker als verantwoordelijke mogelijk. Dit kan weer tot gevolg hebben, dat er binnen een eID Deelnemer / Dienstaanbieder sprake kan zijn van cumulatie van normaliter per rol te onderscheiden persoonsgegevens.
Duidelijkheid aangaande de verantwoordelijkheid op Stelselniveau Bestond binnen het eID Stelsel 1.0 en het Introductieplateau eID van december 2014 nog onduidelijkheid over de overall verantwoordelijkheid aangaande het gehele eID Stelsel. In het introductieplateau 0.8 is deze duidelijkheid er inmiddels wel. De Minister van Economische Zaken is eigenaar en eindverantwoordelijke voor het gehele eID Stelsel. Uitsluitend voor het verwerken van BSN binnen het Introductieplateau is vastgelegd dat de Authenticatiediensten hiertoe een contract afsluiten met de Minister van BZK en optreden in de rol van Bewerker ten opzichte van het BSN Koppelregister. Het BSN Koppelregister blijft aangaande alle verwerkingen van het BSN, binnen het gehele Stelsel altijd Verantwoordelijke.
Duidelijkheid aangaande het verantwoordelijkheidsprincipe voor eID Deelnemers Bovendien zijn de bij eerdere ontwerpen nog bestaande onduidelijkheden over de verantwoordelijkheden van eID Deelnemers en onduidelijkheid over de rol van verantwoordelijke en/of bewerker, of weggenomen doordat deze functionele eID Deelnemers nog niet bestaan in het Introductieplateau en de voorgnomen pilots, of dat deze rollen en verantwoordelijkheden nu duidelijk zijn vastgelegd zijn binnen het afsprakenstelsel behorend bij het Introductieplateau. Vermenging van rollen kan het verantwoordingsprincipe ondermijnen.
Governance van het eID Stelsel Voor de ontwikkeling en het beheer van het eID Stelsel is een governance structuur opgezet. Hiermee is onder meer geborgd dat het Introductieplateau wordt getoetst, geëvalueerd en verder wordt ontwikkeld. In deze structuur zijn diverse stakeholdergoepen vertegenwoordigd vanuit de overheid en de IT sector, waaronder ook belanghebbenden vanuit de eID deelnemerscommunity. Het verdient aanbeveling om ook stakeholders te betrekken vanuit Dienstaanbieders en het burger-/consumentendomein. Deze partijen zijn nu niet betrokken binnen het governance proces. Hetzelfde geldt voor de betrokkenheid vanuit de IT audit professie. Deze is nu conform de beschrijvingen niet betrokken terwijl het uitvoeren van onafhankelijke IT audits een vitaal onderdeel uitmaakt van het Stelsel om de benodigde maatschappelijke transparantie te geven over de werking van het Stelsel en ook om de robuustheid van het Stelsel te handhaven en innovatie te bevorderen. Het verdient bijvoorbeeld overweging om de Nederlandse Orde van register EDP Auditors (NOREA) bij het formuleren van normen en standaarden voor de uit te voeren IT audits te betrekken.
2.8.2 Conclusies 1. Definities in de te onderscheiden documenten en de beschrijving van de werking van het Introductieplateau Stelsel zijn op onderdelen nog niet goed op elkaar afgestemd. 2. De begrenzing van het introductieplateau met daarbij de verantwoordelijkheidsvraag voor verwerkingen van persoonsgegevens door de componenten/rollen en combinatiemogelijkheden is transparant uitgewerkt. 3. Het ontstaan van secundaire persoonsgegevens als gevolg van het ontstaan van herleidbare metadata op onderliggende systeemlagen is in de beschrijving
10
Zie Werking van het eID Stelsel, ontwerpeis P01, p. 8.
21
Introductieplateau nog niet meegenomen. Herleidbaarheid van deze gegevens is op het niveau van eID Makelaar niet uit te sluiten. 4. Aandachtspunten bestaan bij Partijen die binnen het Introductieplateau verschillende rollen gecombineerd uitvoeren. Zowel vanuit het verantwoordelijkheid-s en doelbindingsprincipe als vanuit het perspectief van privacy risico’s als gevolg van mogelijk ongewenste cumulatie van persoonsgegevens (hotspots en cumulatie van hotspots). Ook combinaties tussen eID deelnemers en Dienstaanbieders is niet uit te sluiten. 5. Uit de documentatie blijkt niet dat er al een risicoanalyse is uitgevoerd op combinaties van rollen en de mogelijke negatieve gevolgen hiervan op de persoonlijke levenssfeer van Gebruikers.(Dit is wat anders dan de wel uitgevoerde risicoanalyse vanuit het perspectief van informatiebeveiliging). 2.8.3 Aanbevelingen 1. Stem de gehanteerde begrippen in de Begrippenlijst Afsprakenstelsel eHerkenning 1.9 en in het document Beschrijving van Idensys in het Introductieplateau goed op elkaar af. 2. Bepaal ook aan de hand van een privacy risicoanalyse welke combinaties van rollen bij een partij tot onbeheersbare privacy risico’s kunnen leiden. 3. Reguleer aan de hand hiervan mogelijke combinaties van rollen en hiermee gepaard gaande verantwoordelijkheden. 4. Overweeg om ook stakeholders te betrekken vanuit het burger-/consumentendomein. Deze partijen zijn nu niet betrokken binnen het governance proces. 5. Hetzelfde geldt voor de betrokkenheid vanuit de IT audit professie. Deze is, blijkt uit de documentatie nu niet betrokken terwijl het uitvoeren van onafhankelijke IT audits een vitaal onderdeel uitmaakt van het Stelsel om de benodigde maatschappelijke transparantie te geven over de werking van het Stelsel en ook om de robuustheid van het Stelsel te handhaven. Het verdient bijvoorbeeld overweging om de Nederlandse Orde van register EDP Auditors (NOREA) bij het formuleren van normen en standaarden voor de uit te voeren IT audits te betrekken. 6. Ga na in hoeverre invulling kan worden gegeven aan de privacybescherming van kwetsbare groepen waarvoor hogere privacy waarborgen dienen worden gerealiseerd; 7. Het verdient ook aanbeveling om aan de nu beschreven Stelsel audit binnen eHerkenning 1.9 welke als basis heeft informatiebeveiliging en ISO27001 uit te breiden met een aantal privacy gerelateerde toetsingsnormen, waaronder gericht op de handhaving van doelbinding en verantwoordelijkheden vanuit het perspectief van gegevensminimalisatie. 8. Maak afspraken c.q. geef handreikingen over de inhoud van de melding teneinde hiermee te voorkomen, dat de genoemde partijen onbewust niet aan de meldingsplicht voldoen, doelstellingen van gelijksoortige verwerking van elkaar afwijken en rechtmatigheidsvragen ontstaan; 9. Bewerkstellig hiermee dat de meldingen van de in het eID Stelsel voorkomende verwerkingen goed op elkaar worden afgestemd (convergentie-effect), waardoor spanningen in de uitwisseling en het gebruik van data binnen de keten van het eID Stelsel kunnen worden voorkomen (alignment).
22
2.9 Privacy Principe: Limiteren van het verzamelen van gegevens 2.9.1 Bevindingen Een van de ontwerpeisen van het eID Stelsel / Introductieplateau is dat een eID-deelnemer niet meer gegevens krijgt dan strikt noodzakelijk is voor het uitvoeren van zijn taak. Deze eis is nauw verweven met het privacy principe doelbinding en limiteren van het gebruik van persoonsgegevens. Impliciet refereert het daarom ook aan de intentie van het eID Stelsel om te voldoen aan het privacy principe van het limiteren van het verzamelen van gegevens. In het ontwerp van Introductie Plateau eID-Stelsel wordt zo veel als maar mogelijk is bij het verwerken van (gevoelige) persoonsgegevens gebruik gemaakt van pseudo-identiteiten voor Gebruikers en het versleutelen van indirect gevoelige gegevens.
Binnen het Introductieplateau eID Stelsel worden handelingen (transacties) verwerkt met ‘kernidentiteitsgegevens of afgeleide identiteitsgegevens’ op basis waarvan de identiteit van de gebruiker van het eID Stelsel als natuurlijke persoon herleidbaar is. De kernidentiteitsgegevens bevatten een vastgestelde basisset van persoonsgegevens. In het document “Beschrijving van het Idensys/eID Stelsel in het Introductieplateau zijn de volgende kernidentiteitsgegevens 11 beschreven : Geslachtsnaam, voornaam, initialen, geboortedatum- / plaats; Attributen voor leeftijdsverificatie; BSN; WID type en WID nummer; Persistente pseudo-identiteiten gekoppeld aan: Gebruiker, Middel, BSN-dienst, of Dienstverlener in private domein en Dienstverlener in BSN domein; Overige vrije attributen. Een zeer belangrijk onderdeel van het Introductieplateau is het BSN-koppelregister, waarbij burgers mede aan de hand aan de hand van hun BSN worden geïdentificeerd. Aanvullende gegevens worden daarbij eveneens verwerkt via de back-office koppelingen tussen Authenticatiediensten, BSN-Koppelregister en overheidsdienstaanbieders. Overigens kan de overheid nog steeds beslissen om het BSN-Koppelregister af te sluiten. Het Introductieniveau eID Stelsel is dan niet bruikbaar binnen het overheidsdomein, of beter gesteld, binnen het ruimere BSN domein. Bij het gebruik van eID Stelsel zijn twee categorieën gegevens te onderscheiden: 1. de primaire data 2. de secundaire data. Primaire data zijn alle data die worden verwerkt (overeenkomstig de definitie in de Wbp) via het eID Stelsel en secundaire data zijn data die als bijproduct worden gegenereerd, zoals gebruiksdata, validatie data (identificatie OK of NOK), log files, statistische data, configuratie data, metadata, etc.. Deze laatste data kunnen ook direct of indirect de status hebben van identificerende persoonsgegevens van het individu die gebruik maakt van het eID Stelsel en/of van de persoon door wie de gebruiker van het eID Stelsel is gemachtigd. Voorts zal inherent aan het gebruik van internet technologie in zekere mate ook metadata ontstaan op andere systeemlagen, dan wel door zogenaamde third parties. Dit zijn “bijwerkingen” van het eID Stelsel die overigens niet verder zijn onderkend in de ontvangen ontwerpdocumentatie. Binnen deze 2 categorieën kan niet worden uitgesloten dat er sprake is van bijzondere persoonsgegevens waarvoor een verzwaard privacy regime geldt. Dit kunnen bijvoorbeeld gegevens zijn die te relateren zijn aan medische gegevens zijn die ontleend kunnen worden aan de identiteit van dienstverleners, zoals een hulpverlener, arts, zorginstelling of religieuze instelling. Maar dit kan ook voorkomen doordat een burger/consument inlogt bij specifieke
11
Beschrijving van het Idensys/eID Stelsel in het Introductieplateau, versie 0.8, 28 april 2015 en in de daarop ontvangen aanvulling gedateerd 7 mei 2015, alsmede de RFC’s op eHerkenning
23
webservices aangaande werk- en inkomen, schuldsanering, jeugdhulpverlening et cetera. Het Introductieplateau eID voorziet niet in beperkingen hierin. Voor het verwerken van het BSN is specifieke wetgeving van toepassing. Het introductieplateau eID is mede gebaseerd op het verwerken van BSN in het private domein bij de Authenticatiediensten. Er is nog geen wettelijk kader beschikbaar voor het verwerken van BSN buiten het BSN domein. Ook kunnen persoonsgegevens verwerkt worden van bijvoorbeeld kinderen waarvoor eveneens hogere privacywaarborgen worden verlangd. Er is geen leeftijdsondergrens voor het kunnen verkrijgen van een eID Authenticatiemiddel. Dit zijn overigens vraagstukken die binnen eHerkenning, dat uitsluitend binnen het bedrijfsdomein wordt gebruikt en nu als basis wordt gehanteerd voor het introductieplateau, niet voorkwamen. Binnen het Introductieplateau eID zijn de bewaartermijn voor gegevens overgenomen vanuit eHerkenning. De afspraken binnen eHerkenning zijn ontworpen op het gebruik voor bedrijven. De vastgestelde bewaartermijn is nu 7 jaar en is afgestemd op de wettelijke bewaartermijnen welke gelden voor financiële transacties en fiscale vereisten. De vraag is gerechtvaardigd of deze bewaartermijnen noodzakelijk zijn binnen het introductieplateau eID Stelsel dat gebruikt wordt in het consumenten- en burgerdomein en of deze bewaartermijnen gelden voor alle typen activiteiten die worden uitgevoerd om in te loggen in systemen van Dienstaanbieders. In het huidige afsprakenstelsel wordt voorbijgegaan aan het feit dat kinderen bijvoorbeeld meer rechten hebben dan volwassenen als het gaat om de bescherming tegen inbreuken van de persoonlijke levenssfeer. Wij adviseren om de noodzakelijkheid van de bewaartermijn van 7 jaar welke voortkomt uit de specifieke toepassing van eHerkenning binnen het bedrijfsdomein aan te tonen, dan wel te heroverwegen en zo ver als mogelijk te verlagen. Wij verwijzen hierbij ook naar de risico’s van de gesignaleerde hotspots die het belang van de reductie bewaartermijnen onderstrepen. Deze hotspots komen in het huidige eHerkenning niet voor in de mate waarin deze in het Introductieplateau zullen gaan ontstaan. Het zelfs denkbaar dat een gedifferentieerde bewaartermijn nodig is afhankelijk van specifieke toepassingen, sectoren en doelgroepen. Ten aanzien van de rechten van betrokkenen is binnen het huidige afsprakenstelsel nog niet volledig uitgewerkt hoe omgegaan gaat worden met onderwerpen als inzagerecht en correctierecht en het recht om gegevens te laten verwijderen (recht om vergeten te worden) binnen het eID Stelsel. Hoe het verwijderen van gegevens moet worden aangetoond door de eID Deelnemers is eveneens nog een aandachtspunt.
2.9.2 Conclusies 1. Er is in het Introductieplateau eID sprake van verwerking van persoonsgegevens, zowel in “direct identificerende” als “indirecte identificerende” betekenis. De relevantie van een PIA is hiermee aangetoond; 2. Het Introductieplateau eID kent op onderdelen de verwerking van BSN-nummers waarop ook specifieke wet- en regelgeving van toepassing is; 3. De beschrijvingen van de betrokken dataverwerkingen en dataflows op primair niveau zijn beschreven, zowel op het niveau van de te onderkennen functionele componenten van het stelsel, als bij de te onderkennen verschillende rollen, verantwoordelijkheden en toepassingsgebieden; 4. Een nadere verkenning van het ontstaan van secundaire persoonsgegevens en de gevolgen daarvan (risico’s) voor de bescherming van de privacy van Gebruikers is nog onderbelicht in de ontwerpdocumentatie; 5. Een aandachtspunt is dat Persoonsgegevens dienen benoemd te worden en te worden geclassificeerd naar gevoeligheid. Denk hierbij aan normale persoonsgegevens en potentieel stigmatiserende persoonsgegevens. Door het gebruik van het Introductieplateau kunnen deze gevoelige gegevens ontstaan op het genoemde secundaire data niveau. De effecten hiervan zijn nog niet in het Introductieplateau geadresseerd; 6. Indirecte (secundair), tot individuen te herleiden gegevens dienen eveneens te worden gespecifieerd en te worden geclassificeerd.
24
7. De effecten van het ontstaan van metadata in de onderliggende systeemlagen van betrokken ICT-providers die een rol gaan spelen bij het gebruik van het Stelsel zijn evenmin in een risicoanalyse meegenomen in het huidige ontwerp. 8. Voor bepaalde doeleinden, bijvoorbeeld het vaststellen van de leeftijd van een Gebruiker is het voor een Dienstaanbieder niet nodig om daarbij de identiteit van de Gebruiker te vernemen. Het eID Stelsel voorziet er in zo’n geval in dat kan worden volstaan met het leveren van een attribuut, dat een persoon ouder of jonger is dan een bepaalde leeftijd. 2.9.3 Aanbevelingen 1. Ga door met het aanvullen van de specificaties van de typen data die nodig zijn voor het berichtenverkeer over de verschillende koppelvlakken, definieer de eisen aangaande audittrails en loggingen. 2. Onderzoek de mogelijkheden voor het bijhouden van audittrails over het gebruik van een secure device, bijvoorbeeld om aan te sluiten op ecosystemen zoals Life Management Platforms. Onderzoek daarbij of een Gebruiker in een dergelijke omgeving de mogelijkheid heeft om (bijvoorbeeld met een app op een mobile device audittrails in een eigen secure omgeving op te slaan. De Gebruiker kan dan zelf bepalen aan wie hij deze gegevens ter beschikking wil stellen. 3. Bepaal de impact van effecten van metadata die ontstaat op onderliggende systeemlagen als gevolg van het gebruik van IT middelen
2.10 Privacy principe: Doelbinding / Limitering gebruik gegevens 2.10.1 Bevindingen Het doel van het Introductieplateau eID Stelsel is: Het creëren van een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur die gebruikt kan worden door zowel publieke als private Dienstaanbieders en die publiek-privaat beheerd en doorontwikkeld wordt. Realiseer dit op basis van bestaande en bewezen technologie, ic eHerkenning. Mogelijk maken dat publieke Dienstaanbieders de toegang en afhandeling van online dienstverlening vanaf 2015; via het eID Stelsel kunnen inrichten waardoor zij de doelstelling ‘Digitaal 2017’ uit het regeerakkoord kunnen realiseren: Bedrijven en burgers kunnen in 12 2017 zaken met de overheid digitaal afhandelen. De algemene doelstelling van het Introductieplateau is om het eenvoudig mogelijk te maken voor burgers, bedrijven en overheden om veilig online in te loggen en transacties te kunnen doen bij bedrijven en overheden. Dienstaanbieders te ontzorgen. Zij hoeven alleen op een makelaar aan te sluiten om standaard berichten te kunnen ontvangen in zowel het burger- als bedrijvendomein (zie figuur 2). Dienstaanbieders hoeven zelf geen middelen uit te geven of inlogvoorzieningen te beheren. Burgers keuzevrijheid te geven met welke van de beschikbare inlogmiddelen zij willen inloggen bij overheden en bedrijven die zijn aangesloten op Idensys. Bovendien kan de burger met een inlogmiddel bij meerdere diensten inloggen en wordt zijn digitale sleutelbos gereduceerd. Het single point of failure van authenticatiemiddelen op te heffen voor burgerauthenticatie in het BSN-domein. Doordat de dienstverlening binnen Idensys door meerdere partijen wordt uitgevoerd, kan ook bij uitval van een partij de rest van de voorzieningen blijven functioneren.
Het Introductieplateau eID Stelsel moet in het najaar 2015 de volgende functionaliteit bieden: 12 13
Bron: Stakeholders, belangen en ontwerpeisen programma eID, par. 1. Bron: Stakeholders, belangen en ontwerpeisen programma eID, par. 2.7.
25
13
Inloggen (Identificeren en authenticeren) op een hoog betrouwbaarheidsniveau (betrouwbaarheidsniveaus 3 en 4) bij de private sector en de overheid. Verstrekken van aanvullende (gevalideerde) persoonsgegevens op basis van user 14 consent : o Geslachtsnaam, voornaam, initialen, geboortedatum-/plaats o Leeftijdsverificatie o Vrije attributen
Deze informatie wordt door de authenticatiedienst verstrekt en is gevalideerd op basis van een WID. Dit geldt overigens niet voor de vrije attributen. De betrouwbaarheidseisen daarvan zijn niet in de stelselafspraken Introductieplateau voorzien.
Andere functionaliteiten zoals machtigingen en ontsluiten van andere attribuutregisters zijn nog geen onderdeel van Idensys. De specifieke doelen van het Introductieplateau eID Stelsel zijn hiermee op hoofdlijnen beschreven, maar nog niet formeel conform meldingen bij het CBP vastgesteld. Bepaalde onderdelen/componenten/rollen vereisen mogelijk nog nadere uitwerking van de doelen. Aandachtspunt is ook, dat in het Introductieplateau eID Stelsel diverse partijen diensten ten behoeve van die algemene doelstellingen verrichten, die weer met verwerkingen van persoonsgegevens worden ondersteund. Aangezien het hier bij de eID Deelnemers (en wellicht ook Dienstaanbieders) om afzonderlijk te onderscheiden Verantwoordelijken en Bewerkers gaat, zullen per Verantwoordelijke specifieke doelstellingen moeten worden geformuleerd die binnen de hoofddoelstellingen van het eID Stelsel passen. Het gaat daarbij om de doelen zodanig te beschrijven, dat zij voldoen aan het doelbindingsprincipe en het principe van het limiteren van verzamelen en gebruiken. Daarbij dient ook aandacht te worden besteed aan de mogelijkheid van combinaties van rollen van eID Deelnemers, waarbij eID Deelnemers ook Dienstaanbieders kunnen zijn. 2.10.2 Conclusies 1. Op hoofdlijnen zijn de doelstellingen van het Introductieplateau eID Stelsel en van de eID Deelnemers in de onderliggende ontwerp documentatie vermeld. 2. Per eID Deelnemer zijn afhankelijk van hun status als verantwoordelijke en/of bewerker nog geen concrete doelstellingen in samenhang met de specifieke dienstverlening en daarmee verband houdende verwerkingen van persoonsgegevens gespecificeerd. 3. De typen datasets die evenwel in de berichten over de koppelvlakken tussen de eID Deelnemers worden uitgewisseld zijn gespecificeerd in het document beschrijving van Idensys in het Introductieplateau, de bijlage 3 met RFC’s en de Interface Specifications in het Afsprakenstelsel eHerkenning 1.9. Voor de vrije attributen is niet bekend welke persoonsgegevens daarmee gaan worden verwerkt en uitgewisseld. Dit dient per situatie te worden vastgesteld. 2.10.3 Aanbevelingen 1. Onderken met het oog op het doelbindingsprincipe formeel alle (on)gewenste combinaties van e-ID Deelnemers en Dienstaanbieders en eventuele andere Derde Partijen in het eID Stelsel, dan wel afdoende mitigerende maatregelen; 2. Leg in het Afsprakenstelsel vast aan welke doelstellingen componenten/rollen in het eID Stelsel zich zullen moeten houden. 3. Leg ook afspraken vast over het inrichten van (standaard) meldingen van verwerkingen bij het CBP en voor standaard voorschriften voor te hanteren bewerkerovereenkomsten. 4. Reguleer het gebruik van vrije attributen bij de Authenticatiediensten 5. Overweeg toetredingsregels voor het aansluiten van Dienstverleners ten einde het Doelbindingsprincipe te kunnen handhaven in geval van ongewenste combinatie van rollen. Specificeer alle persoonsgegevens die tussen de in het eID Stelsel te onderscheiden eID
14
User consent: de gebruiker moet expliciet akkoord gaan met het verstrekken van persoonsinformatie voordat een
authenticatiedienst dit mag verstrekken.
26
6.
7. 8.
9. 10. 11.
12. 13.
14. 15.
Deelnemers (per rol) en Dienstaanbieders (per rol) over de koppelvlakken worden uitgewisseld inclusief de metadata en vrije attributen; Specificeer daarbij ook de directe en indirecte persoonsgegevens die in de eID Stelsel ICTinfrastructuur over de koppelvlakken in de loggingen/audittrails van de eID Deelnemers/Dienstaanbieders worden opgeslagen. Specificeer per verwerking per component/rol in het eID Stelsel wat het specifieke doel van een verwerking is. Beoordeel tenslotte per component/rol of combinaties van componenten/rollen de doeleinden voor die verwerkingen en of de hiervoor te verwerken persoonsgegevens binnen die doelstellingen passen. Hou bij de mogelijkheden van meerdere rollen bij eID Deelnemers rekening met ongewenste cumulatie van data in de audittrails die de genoemde risico’s doen toenemen. Denk tijdens de ontwerpfase tijdig na over de noodzaak/wenselijkheid van het verwerken van biometrische gegevens ten behoeve van de doelstellingen van het Stelsel. Laat aanvullend onderzoek uitvoeren naar mogelijke verwerkingen van persoonsgegevens door eID Deelnemers en Dienstaanbieders binnen het eID Stelsel waaraan vanwege (sectorale of specifieke) geheimhoudingsverplichtingen in verband met functie/wet beperkingen voor het gebruik zijn verbonden. Neem zo nodig in de ontwerpeisen mee of er sprake kan zijn van overdracht van persoonsgegevens naar een (overheids)instantie buiten de EU/EER. Stel nadere eisen / geef handreikingen in het Afsprakenstelsel op alle doelstellingen en uit te voeren controles op het gebruik van persoonsgegevens in de te onderscheiden ICTomgevingen/ componenten van het eID Stelsel en laat hieraan voorafgaand een specifieke risicoanalyse uitvoeren. Neem in het Afsprakenstelsel toereikende voorwaarden voor doelbinding en toezicht op om de gesignaleerde risico’s te elimineren. Dwing dit zo nodig met specifieke wetgeving af.
2.11 Privacy principe: Gegevenskwaliteit 2.11.1 Bevindingen Uit de bevindingen aangaande het Doelbindingsprincipe, kan worden afgeleid, dat in de ontwerpeisen van het eID Stelsel maatregelen zijn voorzien voor interne controles om de juistheid, nauwkeurigheid en actualiteit (kwaliteit) van de in het eID Stelsel verwerkte persoonsgegevens na te gaan. Als doel is onder meer gesteld dat misbruik eenvoudig kan worden ontdekt en opgespoord. In de periodiciteit en specifieke inrichting van deze controles moet nog worden voorzien. En uiteraard staat controle meestal op gespannen voet met het vertrouwelijkheidsaspect van privacy. Bij het registreren van een gebruiker binnen het BSN Domein worden sterke validatieprocessen uitgevoerd van via Authenticatiediensten aangeleverde identiteits- en persoonsgegevens (controle op bestaan BSN, Controle WID gegevens bij externe bronnen, waaronder bij BRP, Basis register reisdocumenten, Centraal Rijbewijs Register). Het is van groot belang dat er vertrouwen is in het eID Stelsel. Om die reden moet misbruik eenvoudig ontdekt en opgespoord kunnen worden (Dit impliceert loggingen en controle). Het gaat hier niet om functionaliteiten die voor opsporingsinstanties bedoeld zijn maar om interne controle stelsels die behoren bij de kernprocessen van een identiteitsmanagementsysteem.
27
Belangrijke toevoegingen die uit de Stelselrisicoanalyse van juli 2015 naar voren zijn gekomen en als mitigerende maatregelen zijn voorgesteld dragen bij aan de bevordering van de 15 gegevenskwaliteit. Deze maatregelen betreffen : 1. Voorstellen tot verhoging van de beschikbaarheid van het BSN-Koppelregister (beperking single risico’s point of failure); 2. Verschaffen van inzicht aan de Gebruiker bij welke Authenticatiedienst hij geregistreerd is; 3. Notificatie van de Gebruiker wanneer registratie op zijn naam plaatsvindt; 4. Notificatie van de Gebruiker van gebruik van zijn middel op hogere of hoogste niveau 5. Duidelijkheid verschaffen aan de Gebruiker omtrent geldigheidsduur van middel 6. Faciliteren van de gebruiker bij fraude afhandeling 7. Aanscherping gebruiksvoorwaarden en controle zodanig dat onvolledige controle van berichten door de Dienstverlener geconstateerd kan worden en er maatregelen genomen kunnen worden.
2.11.2 Conclusies 1. De ontwerpeisen van het eID Stelsel bevatten (indicaties voor) (nadere) controles op het gebruik van (nieuwe) persoonsgegevens in het eID Stelsel. 2. De controles zijn nog niet op alle hiervoor in aanmerking komende verwerkingen van persoonsgegevens in beeld gebracht.
2.11.3 Aanbevelingen 1. Stel nadere eisen / geef handreikingen in het Afsprakenstelsel op alle normatief uit te voeren controles op het gebruik van persoonsgegevens in de te onderscheiden IT-omgevingen/ componenten van het eID Stelsel. 2. Besteedt aandacht aan controles gericht op de kwaliteit van de persoonsgegevens en detectie van compromittering van digitale identiteiten, waaronder identiteitsfraude. Deze controles hebben dus niets te maken met opsporing van fraude gerelateerd aan andere criminaliteit buiten het eID Stelsel en vallen binnen de verantwoordelijkheden en plichten van de individuele eID Deelnemers 3. Implementeer voorzieningen om integriteitsconflicten in identiteitsgegevens en overige persoonsgegevens te ontdekken. Denk aan patroonherkenning, verbandscontroles, waarschijnlijkheidscontroles, et cetera. 4. Definieer in de volgende ontwikkelingsfase in het Afsprakenstelsel op elkaar aansluitende incidentele en periodieke controles op de kwaliteit van de verwerkte persoonsgegevens voor de te onderscheiden eID deelnemers. Dit lijkt nu een onderbelicht gebied in het Introductieplateau 5. Stel normatieve controles op bij eID Deelnemers en maak deze normen onderdeel van de Stelsel Audit 6. Overweeg het definiëren van een transparantierapportage door eID Deelnemers waarbij ook gerapporteerd wordt inzake de kwaliteit van identiteitsgegevens, identiteitsfraude, gegevens uitvragen door derde partijen, inbreuken op systemen, et cetera. 7. Voeg aan de Stelsel Audit toe dat een Register EDP Auditor naleving van de controle doelstellingen toetst en eventueel de betrouwbaarheid van dit transparantieverslag controleert.
15
Memo Stelselrisicoanalyse, 15 juli 2015, paragraaf 4, blad 4 en 5
28
2.12 Privacy principe Beveiliging van gegevens (Privacy by Design en Privacy Enhancing Technologies) 2.12.1 Bevindingen In het Afsprakenstelsel eHerkenning 1.9 is voorzien in het toepassen van ISO27001 als normenkader voor informatiebeveiliging. De uit te voeren Stelsel Audit is hier op gebaseerd. Er is sprake van verplichte certificering dan wel het verplicht laten opstellen van een Third Party Memorandum door een Register EDP Auditor. Het gaat dan om het toetsen van zowel de opzet, het bestaan als de werking van informatiebeveiligingsmaatregelen. Inmiddels is door de eID Stuurgroep een gedetailleerde risico-analyse informatiebeveiliging uitgevoerd. Hiervoor zijn inmiddels ook mitigerende maatregelen gedefinieerd en voorgesteld 161718 om te realiseren.
In de ontwerp documentatie is specifiek aandacht besteed aan technische en organisatorische beveiligingsmaatregelen die zijn getroffen ter voorkoming van niet-geautoriseerde of onrechtmatige verwerking/misbruik van persoonsgegevens in het eID Stelsel. De maatregelen liggen vooral nog op het niveau van het gebruik van PseudoID’s en de versleuteling van data gedurende de communicatie tussen de eID Deelnemers onderling en de Dienstaanbieders. In het document Beschrijving Idensys in het Introductieplateau eID zijn de volgende waarborgen ter bevordering van de privacy gedefinieerd ten opzichte van eHerkenning: a. Identificerende persoonsgegevens zijn alleen te lezen door de Dienstverlener: Binnen eHerkenning werd al gewerkt met pseudoniemen, welke verschillend zijn per dienstverlener. Hiermee wordt voorkomen dat dienstverleners onderling informatie over dezelfde gebruiker uitwisselen. In het Introductieplateau eID zijn aanvullende maatregelen genomen, waarbij identificerende persoonsgegevens door de authenticatiedienst zodanig worden versleuteld zodat deze alleen door de ontvangende dienstverlener zijn te lezen. Deze maatregel wordt veelal aangeduid met de term end-to-end encryptie. b. De dienstverlener baseert zich alleen op informatie van de authenticatiedienst: De makelaar is een belangrijke logistieke schakel tussen de dienstverlener en de authenticatiedienst. Vanwege beperkingen in de gehanteerde technische standaarden heeft de makelaar nog wel een rol om een deel van de ontvangen informatie van de authenticatiedienst verwerkbaar voor de dienstverlener te maken. Als maatregel is in het afsprakenstelsel de procedurele afspraak opgenomen dat de dienstverlener in zijn autorisatie afweging zich ook moet baseren op de originele informatie afkomstig van de authenticatiedienst. c. De verklaring omtrent de identiteit wordt niet via de browser geleid: Een andere aanscherping binnen het Introductieplateau is de keuze om communicatie waarin zich verklaringen bevinden alleen nog maar toe te staan via zogenaamde backchannels. Een van de gevolgen hiervan is dat hierdoor deze informatie niet aanwezig is bij de gebruiker/klant in zijn browser. Hiermee wordt het lastiger gemaakt om sessie hijacking en replayattacks uit te voeren. In de bijlage 3 van de beschrijving zijn de volledige lijsten met RFC’s (de wijzigingen van eHerkenning richting Idensys) opgenomen met toelichtingen.
16
Rapportage netto risicoanalyse informatiebeveiliging eID Introductieplateau, Logius, 6 juli 2015 Oplegger bij Stelselrisicoanalyse, 15 juli 2015 18 Memo Stelselrisicoanalyse, paragraaf 4: Voorstel mitigerende maatregelen 17
29
In het hoofdstuk Interface specifications van het Afsprakenstelsel eHerkenning 1.9, de pagina’s 163 e.v. geven in detail de voorschriften van de technische beveiligingsmaatregelen voor het berichtenverkeer over de koppelvlakken tussen de eID Deelnemers. Dit betreft onder meer (in de Engelse taal): General requirements Information security requirements Digital Signature SAML Encryption End-to-End encryption PKIoverheid Secure connection Synchronize system clocks Voor de onderliggende details verwijzen wij hier naar het betreffende document.
2.12.2 Conclusies 1. Het gebruik van verschillende soorten PseudoID’s en de end-to-end encryptie vormen de kern van het eID Stelsel, waarmee invulling wordt gegeven aan belangrijke privacy principes als beveiliging, dataminimalisatie en privacy by design. 2. Op alle belangrijke componenten/koppelvlakken in het Introductieplateau is het berichtenverkeer end-to-end encrypted. 3. De afbakening tussen het Burger-/ BSN-Domein en het consumentendomein zorgt eveneens voor een afbakening van deze twee typen authenticaties waardoor veiligheid wordt bevorderd. De technische hiervoor te hanteren beveiligingsstandaarden voorzieningen door eID Deelnemers en Dienstaanbieders in hun respectievelijk backoffice systemen zijn nog niet voorzien. Hierbij valt bijvoorbeeld ook te denken aan de beveiliging en het beheer van de geheime sleutels bij eID Deelnemers en Dienstaanbieders.
2.12.3 Aanbevelingen 1. Neem in het Afsprakenstelsel specifiek voorwaarden op voor de beveiliging van persoonsgegevens bij de eID Deelnemers. Het is van belang dat de maatregelen specifiek en in voldoende mate ook in de technische omgeving van IT werkelijkheid worden genomen. 2. Neem in de richtlijnen voor de Stelsel Audit op dat voldoende bewijslast door de auditors wordt verzameld uit de IT werkelijkheid en niet uitsluitend bewijslast wordt verzameld uit procedures en managent processen informatiebeveiliging. Het risico bestaat anders dat de IT auditor een oordeel geeft over informatiebeleid en informatiebeveiligingsprocessen en niet over de werkelijk gerealiseerde beveiligingsmaatregelen (in de IT werkelijkheid) 3. Overweeg het hanteren van een verplicht transparantierapport van de eID Deelnemer waarin periodiek verslag wordt gedaan over beveiligingsincidenten, afwikkeling van incidenten, gerealiseerde beveiligingsniveau en andere hygiëne factoren aangaande gerealiseerde informatiebeveiliging in de IT werkelijkheid. Een IT auditor kan de betrouwbaarheid van deze rapportages toetsen 4. Definieer in het afsprakenstelsel concrete normen voor de te toetsen IT objecten. Zie ook de vorige aanbevelingen hierover. 5. Neem in het Afsprakenstelsel een voorziening en regeling op voor het melden van beveiligingsincidenten en datalekken binnen de eID infrastructuur en de eID Deelnemers bij de relevante stakeholders en toezichthouders, waaronder het CBP. 6. Zorg in het Afsprakenstelsel voor op elkaar afstemde richtlijnen over het bewaren van persoonsgegevens voor de toezichthouder, uitvoeringsorganisatie, de eID Deelnemers en de Dienstaanbieders. 7. Hou daarbij rekening met mogelijke gedifferentieerde bewaartermijnen per type verzamelde persoonsgegevens waardoor beveiligingsrisico’s voor de betreffende persoonsgegevens worden gereduceerd.
30
8. Betrek daarbij ook de relevante wettelijke/sectorale eisen met betrekking tot de bewaring van bepaalde typen van persoonsgegevens. 9. Zorg in ieder geval dat inzichtelijk wordt op basis van welke beleidsmatige en technische gronden bewaartermijnen voor bepaalde typen van persoonsgegevens binnen het eID Stelsel zijn vereist. 10. Zorg dat in het Afsprakenstelsel ook maatregelen zijn voorzien om de persoonsgegevens na afloop van de bewaartermijn te vernietigen. Hierbij dient ook aandacht te worden besteed aan gegevens in loggingen en audittrails. 11. Zorg er tenslotte voor dat de bewaartermijnen en de vernietiging van persoonsgegevens onderdeel uitmaken van de scope van privacy- en/of certificeringsaudits. 12. Voorzie in het Afsprakenstelsel in normen / standaarden voor het beveiligen van persoonsgegevens in backoffice systemen en aangaande de verwerking van audittrails en metadata, waarmee convergentie in de beveiligingsaanpak wordt bewerkstelligd.
2.13 Privacy principe Transparantie 2.13.1 Bevindingen Burgers die reeds gebruik maken van bestaande authenticatievoorzieningen als DigiD en eHerkenning kunnen in zekere zin bekend zijn met de identificatie en authenticatiedoeleinden voor dat deel van het toekomstige eID Stelsel. Zowel aan de kant van de overheid als van marktpartijen zijn er immers verschillende bestaande ICT-voorzieningen die, na migratie, zullen worden opgenomen in het eID Stelsel. Denk hierbij aan: DigiD, DigiD Machtigen, eHerkenning en PKIoverheid. Maar in de ontwerpdocumentatie is ook aangegeven dat de werking van het Introductieplateau / eID Stelsel complex is. Dit betekent dat niet op voorhand mag worden aangenomen, dat de werking van het nieuwe eID Stelsel / Introductieplateau voor de Gebruiker, alsmede het gebruik van diens gegevens door relevante eID Deelnemers en Dienstaanbieders transparant is. Nu het eID Stelsel als publieke-privaat stelsel voor elektronische identificatie, authenticatie en autorisatie met bestaande, maar ook met nieuwe partijen samenwerkt, is het noodzakelijk dat de betrokkenen vooraf worden geïnformeerd over het bestendigen of aanvullen van het doel van het verwerken van hun persoonsgegevens binnen het eID Stelsel / Introductieplateau. Dus ook met welke specifieke wijzingen en aanvullingen het eID Stelsel gepaard gaat. Hierbij dient in aanmerking te worden genomen, dat zich binnen het eID Stelsel, afhankelijk van de rol/combinatie van rollen die een component / eID Deelnemer binnen dit Stelsel vervult, bij de betrokkene kenbaar moet zijn of aan de betrokkene kenbaar moet worden gemaakt, voor welk specifiek doel zijn gegevens bij welke component voorwelke rollen worden verzameld en verder verwerkt. Afhankelijk van het gebruik dat een betrokkene (Gebruiker/Belanghebbende) van het eID Stelsel maakt, zal de informatie hier op toegespitst moeten zijn. Hoewel er van mag worden uitgegaan, dat de Gebruiker over de diensten in het eID Stelsel zal worden geïnformeerd, zal hier volledigheidshalve in het Afsprakenstelsel aandacht aan moeten worden besteed. Dit nu is in die samenhang nog niet voorzien in de ontwerpdocumentatie van het eID Stelsel. In het voorgaande is reeds aan de orde gekomen, dat in ontwerpdocumentatie nog niet alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, volledig in kaart zijn gebracht, althans niet zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. Aangezien het ontwerp nog verder wordt uitgewerkt, zullen aanvullende stappen in de verwerkingen en in gegevensuitwisseling in de volgende ontwerpversies worden toegevoegd. Er is in ieder geval geen aanleiding om te veronderstellen dat de beoogde gegevensuitwisselingen niet inzichtelijk in kaart kunnen worden gebracht en vervolgens ook transparant voor de Gebruikers kunnen worden gemaakt. 2.13.2 Aanbevelingen 1. Neem in de ontwerpeisen van het eID Stelsel / Introductieplateau op, dat in het Afsprakenstelsel geregeld wordt dat aan Gebruikers kenbaar wordt gemaakt welke eID Deelnemers op welke momenten voor welke doeleinden hun persoonsgegevens verwerken. 2. Bewerkstellig hiermee een convergente en met elkaar samenhangende toepassing van het transparantiebeginsel bij alle eID Deelnemers binnen het eID Stelsel. 31
3. Ga door met het in kaart brengen van alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. 4. Besteed daarbij ook aandacht aan “metadata” die binnen het eID Stelsel in systeemloggingen/audittrails wordt verwerkt. 5. Stem, in de veronderstelling, dat er mediacampagnes over de werking van het eID Stelsel zullen komen, de uitvoering van de voorgaande aanbevelingen hier op af.
32
2.14 Privacy principe: Rechten van betrokkenen 2.14.1 Bevindingen In hoeverre er op onderdelen van het verwerkingsproces in het Introductieplateau eID Stelsel sprake is van het toestemming vragen aan de betrokkene tot het verwerken van diens persoonsgegevens (opt-in), en of de betrokkene deze toestemming dan op een later tijdstip weer kan intrekken (opt-out), is in deze ontwerp fase nog niet geheel te overzien. Om die reden kan ook niet volledig worden nagegaan wat bij een weigering om toestemming te geven, of bij een dergelijke intrekking, de implicatie voor de betrokkene is. In de ontwerp documentatie is nog niet met zoveel worden geregeld via welke procedure betrokkenen de mogelijkheid hebben zich tot de verantwoordelijke te wenden met het verzoek hen mede te delen of hun persoonsgegevens worden verwerkt. Dit geldt ook ten aanzien van derden, die mogelijk bedenkingen hebben tegen een dergelijke mededeling, en in de gelegenheid moeten worden gesteld om hun zienswijze te geven. Nu zijn er op onderdelen aanzetten tot het inzagerecht van betrokkenen gegevens. Hieronder volgen een aantal voorbeelden. Een Authenticatiedienst houdt een audit trail bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eID Stelsel: als een Authenticatiemiddel vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een Authenticatiemiddel is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een Gebruiker heeft afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend, dat een audit trail door een Authenticatiedienst uitsluitend mag worden gebruikt voor het geven van inzicht aan de Gebruiker welk gebruik er van zijn middelen is gemaakt. 2.14.2 Conclusies 1. In dit stadium van de ontwerpdocumentatie van het Introductieplateau eID Stelsel kan de conclusie worden getrokken dat in potentie de gegevens aanwezig zijn om inzage te geven in de verwerkte persoonsgegevens. Maar procedures en functionaliteit daartoe is niet beschreven. Er kan dus nog niet worden gesproken van op elkaar afgestemde concrete inzage procedures voor betrokkenen (Gebruikers). Althans niet met zoveel woorden waar de norm op doelt. Ook niet hoe eventuele derden, die mogelijk bedenkingen zou kunnen hebben tegen een dergelijke mededeling, in de gelegenheid gesteld kunnen worden om hun zienswijze te geven. Dit geldt evenzeer voor concrete en formele procedures voor het in behandeling nemen van verzoeken van een betrokkenen tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens. 2. Deelnemers aan het eID Stelsel die tot op personen te herleiden gegevens verwerken zijn ieder voor zich, voor wat hun aandeel in de verwerking betreft, verantwoordelijk voor het naleven van privacy- wet en regelgeving. Gezien de data interactie tussen de BSN Koppelregister en de meerdere te onderscheiden overige eID Deelnemers in een identificatie/authenticatie/machtigings/vertegenwoordigings proces, is het voorstelbaar dat een betrokkene, wil hij zijn rechten effectueren, “door de bomen het bos niet meer ziet” en mogelijk “van het kastje naar de muur wordt gestuurd”. Dit zou het inzagerecht voor wat betreft het eID Stelsel tot een fictie kunnen maken. 3. Het is nog niet te overzien of er in de ontwerp-documentatie voldoende aandacht is besteed aan de principes van opt-in / opt-out voor Gebruikers van het eID Stelsel en welke attributen dit nu precies betreft. Het lijkt erop dat dit ook afhankelijk is van de functionaliteiten en mogelijkheden die Dienstaanbieders en Authenticatiediensten hiertoe gaan bieden. Er is wel sprake van opt-in omdat een Gebruiker zelf bepaalt of hij of zij van een Authenticatiemiddel gebruik wil maken. In welke mate opt-out realistisch is, is nu niet goed vast te stellen.
33
2.14.3 Aanbevelingen 1. Besteed in de volgende ontwerp fasen aandacht aan opt-in / op-out mogelijkheden voor Gebruikers bij de daarvoor in aanmerking komen diensten / attributen. 2. Neem dit indien relevant in het Afsprakenstelsel mee. 3. Besteed in het Afsprakenstelsel aandacht aan procedures voor de eID Deelnemers / Dienstaanbieders voor het effectueren van rechten van betrokkenen (Gebruikers). 4. Overweeg het instellen van een “loket” waar Gebruikers terecht kunnen ingeval van onduidelijkheden, hulp en geschillen aangaande hun rechten. 5. Geef daarbij handreikingen om convergentie in de afhandeling ervan bij de eID Deelnemers en Dienstaanbieders te bewerkstelligen. 6. Geef ook handreikingen voor een efficiënte en effectieve routing van de afhandeling van deze verzoeken van Gebruikers ingeval de afhandeling ertoe moeten leiden dat meerdere eID Deelnemers zich hiermee moeten gaan bezig houden. Bedenk daarbij ook, dat er omstandigheden kunnen zijn, waarin derden, die mogelijk bedenkingen hebben tegen een dergelijke mededelingen, in de gelegenheid moeten worden gesteld om hun zienswijze te geven. 7. Zorg er ook voor dat het voor de Gebruiker transparant is tot wie welk verzoek inzake welk recht (het beste) kan worden gericht. 8. Neem de voorzieningen voor de rechten van betrokkenen mee in de het Afsprakenstelsel over de verplichte en periodiek uit te voeren certificeringsaudit voor de eID Deelnemers. 9. Overweeg de realisatie van functionaliteit dat een Gebruiker sowieso kan inzien wanneer zijn digitale identiteit gebruikt is en deze transactie dus gelogd is. Dit maakt ook de detectie van misbruik voor de Gebruiker eenvoudiger hetgeen ook kwaliteit verhogend is
34
3. Beschrijving Introductieplateau eID Stelsel / Idensys
3.1 Inleiding Als object van onderzoek zijn door BZK aan Mazars de volgende documenten ter beschikking gesteld: 1. “Beschrijving Idensys, versie 0.8, d.d. 28 april 2015, status concept”. Dit document bevat het volledige ontwerp van het stelsel met alle componenten en hun interacties; 2. Beschrijving Afspraken Stelsel eHerkenning 1.9, 10 april 2015; 3. Begrippenlijst eID Afsprakenstelsel; 4. Interface specifications. In het Engels zijn de technische specificaties voor de koppelvlakken in het stelsel beschreven. Ook hoe de verklaringen als SAML-bericht verzonden moeten worden; 5. Request for changes: 1908a, 1928, 1929 en 1932; 6. Logius, Rapportage netto risicoanalyse informatiebeveiliging eID Introductieplateau 6 juli 2015 (PWC) 7. Oplegger bij Stelselrisicoanayse, 15 juli 2015
Voorts zijn door ons eerdere ontwerpdocumenten gebruikt aangaande eID ontwerp, waaronder: 8. Voorwoord eID Afsprakenstelsel 1.0, 2014, waarin tot uiting komt dat deze ontwerpversie uit 5 aparte secties bestaat. Elke sectie heeft een apart document en kan uit meerdere hoofdstukken bestaan; 9. Introductie op het eID Stelsel 1.0, 2014 Hierin wordt de huidige situatie rondom authenticatie en autorisatie uitgelegd en de invloed van het eID Stelsel en de werking ervan aan de hand van de belangrijkste ontwerpeisen beschreven. Tot slot een eenvoudige uitleg van het inlogproces binnen het eID Stelsel; 10. Stakeholders, belangen en ontwerpeisen. Na de beschrijving van de stakeholders en de bijbehorende belangen volgen in detail de aan het eID Stelsel te stellen ontwerpeisen, 2014; Het huidige ontwerp van het Introductieplateau eID Stelsel is, zoals gezegd, nog in een ontwikkelingsfase ten behoeve van de realisatie van pilots. Publieke en private organisaties die digitale diensten aanbieden kunnen (met BZK) aan de hand van deze versie de implementatiemogelijkheden toetsen. Daarnaast is deze versie input voor andere onderdelen van het eID Stelsel zoals wetgeving, toezicht, beheer, testomgevingen, privacy- en risicoanalyses, usability, etc. Het document is tevens input voor impactanalyses op bestaande diensten en voorzieningen zowel aan de kant van de dienstaanbieders als aan de kant van potentiele deelnemers aan het eID Stelsel. Uitkomsten van deze acties zullen input zijn voor de volgende versies van het ontwerp van het eID Stelsel, waarvan de 2.0-versie is gepland en de activiteiten nu onderhanden zijn. In dit hoofdstuk wordt ten behoeve van de uitvoering van de PIA op basis van de hierboven verantwoorde ontwerpdocumentatie achtereenvolgens inzicht verschaft in: Doelstellingen van het eID Stelsel; De stakeholders bij het eID Stelsel Beoogde resultaten met het eID Stelsel; Ontwerpeisen voor het eID Stelsel; Schets van de werking van het eID Stelsel. Dit gebeurt aan de hand van uit de ontwerp documentatie overgenomen teksten, diagrammen, modellen, en figuren. Dit wordt zo getrouw mogelijk gedaan, maar er is hierbij geen volledigheid nagestreefd. Voor de precieze werking van het eID Stelsel wordt naar de inhoud van de aangehaalde documenten verwezen. Wij hebben per tekstdeel aangegeven uit welk document het tekstdeel is overgenomen.
35
3.2 Doelstellingen van eID Stelsel [Tekst afkomstig uit document: “Beschrijving Idensys, versie 0.8, d.d. 28 april 2015, status concept”].
Beschrijving Introductieplateau Idensys Vanaf najaar 2015 is Idensys operationeel. Natuurlijke personen kunnen dan inloggen in twee rollen (burger en consument) via Idensys met een passend inlogmiddel bij overheid en bedrijfsleven. In deze paragraaf wordt ingegaan op de doelstelling van Idensys, de functionaliteit, de doorontwikkeling in de vorm van de toevoeging van nieuwe functionaliteit en de werking van het afsprakenstelsel dat eraan ten grondslag ligt.
Doelstelling Idensys De algemene doelstelling van Idensys is m het eenvoudig mogelijk te maken voor burgers, bedrijven en overheden om veilig online in te loggen en transacties te kunnen doen bij bedrijven en overheden. Om transacties te kunnen verrichten is informatie nodig voor de dienstaanbieders:
Figuur 1: het proces van online identificatie, authenticatie en autorisatie
Om dit mogelijk te maken is besloten om te werken met een stelsel waarin diverse ‘identity providers’ op basis van standaard afspraken (opgenomen in het Afsprakenstelsel) diensten kunnen leveren. Dit wordt verderop nader uitgewerkt. Door met zo’n stelsel te werken is het mogelijk om: Dienstaanbieders te ontzorgen. Zij hoeven alleen op een makelaar aan te sluiten om standaard berichten te kunnen ontvangen in zowel het burger- als bedrijvendomein (zie figuur 2). Dienstaanbieders hoeven zelf geen middelen uit te geven of inlogvoorzieningen te beheren. Burgers keuzevrijheid te geven met welke van de beschikbare inlogmiddelen zij willen inloggen bij overheden en bedrijven die zijn aangesloten op Idensys. Bovendien kan de burger met een inlogmiddel bij meerdere diensten inloggen en wordt zijn digitale sleutelbos gereduceerd. Het single point of failure van authenticatiemiddelen op te heffen voor burgerauthenticatie in het BSN-domein. Doordat de dienstverlening binnen Idensys door meerdere partijen wordt uitgevoerd, kan ook bij uitval van een partij de rest van de voorzieningen blijven functioneren.
36
Figuur 2: Toelichting op de rol van makelaar en authenticatiedienst
Functionaliteit Introductieplateau Idensys Het Introductieplateau bouwt voort op eHerkenning. In het Introductieplateau zal het burger/consumentendomein onder het merk Idensys worden aangeboden. Idensys ondersteunt vanaf dit najaar voor dit domein de volgende functionaliteit: Inloggen (Identificeren en authenticeren) op een hoog betrouwbaarheidsniveau (betrouwbaarheidsniveaus 3 en 4) bij de private sector en de overheid. Verstrekken van aanvullende (gevalideerde) persoonsgegevens op basis van user 19 consent : o Geslachtsnaam, voornaam, initialen, geboortedatum-/plaats o Leeftijdsverificatie o
Deze informatie wordt door de authenticatiedienst verstrekt en is gevalideerd op basis van een WID.
Andere functionaliteiten zoals machtigingen en ontsluiten van andere attribuutregisters zijn nog geen onderdeel van Idensys.
Pilots Dit najaar is Idensys operationeel en zullen er aanbieders c.q. identity providers (deelnemers binnen Idensys) toetreden om de inlogdiensten aan te bieden. Overheid en bedrijfsleven (dienstaanbieders binnen Idensys) kunnen aansluiten op Idensys via een makelaar. Zodra burgers over een Idensys middel beschikken, kunnen ze inloggen bij alle organisaties die het Idensys-logo op de site hebben. Alle hoog betrouwbare middelen van deelnemers die zijn toegetreden tot Idensys zijn hiervoor geschikt. Naar verwachting zullen dat in 2015 in ieder geval de huidige leveranciers binnen eHerkenning zijn. Mogelijk komen er ook andere leveranciers, zoals notarissen (met Notaris ID) en de overheid (met een publiek middel). Zodra zij zijn toegetreden kunnen hun middelen ook gebruikt worden om via Idensys in te loggen. Voor inloggen in de BSN-sector zal ook het BSN-koppelregister operationeel moeten zijn. De overheid zal omwille van gebruik BSN, betrouwbaarheid en veiligheid willen starten met een
19
User consent: de gebruiker moet expliciet akkoord gaan met het verstrekken van persoonsinformatie voordat een authenticatiedienst dit mag verstrekken.
37
beheerste omgeving en beperkte aantallen dienstaanbieders en gebruikers. Vandaar de term pilots. Governance Idensys is gebaseerd op een afsprakenstelsel. Hier wordt in het volgende hoofdstuk nader op ingegaan. Voor het beheer van een afsprakenstelsel is een governance nodig. De governance met betrekking tot het afsprakenstelsel ligt bij een publiek-private governance. Dit is vastgelegd in een Instellingsbesluit van de Minister van EZ. Binnen de gremia van deze governance vindt besluitvorming over de (ontwikkeling) van het afsprakenstelsel plaats. In deze governance wordt op een evenwichtige manier de verschillende belangen afgewogen. Daarvoor is de governance ingericht op basis van een gelijkwaardige positie voor zowel de dienstaanbieders, de deelnemers als de gebruikers. De dienstaanbieders zijn verder onderverdeeld in publieke en private dienstaanbieders. De deelnemers zijn verder onderverdeeld in publieke en private deelnemers en de gebruikers zijn onderverdeeld in burgers/consumenten en bedrijven. De publiek-private governance kent drie gremia: het Strategisch Beraad, het Tactisch Beraad en het Operationeel Beraad. Binnen deze gremia vindt besluitvorming over de (ontwikkeling) van het afsprakenstelsel plaats. Besluiten van het Strategisch Beraad worden voor goedkeuring voorgelegd aan de Minister van Economische Zaken. Hij neemt het advies over tenzij het algemeen belang of het recht zich daartegen verzet. De publiek-private governance wordt ondersteund door een beheerorganisatie. Deze taak is belegd bij Logius.
De invloed van de overheid in het afsprakenstelsel kent diverse invalshoeken: De Minister van EZ is eigenaar van het merk Idensys en de stelselverantwoordelijke minister. Hij moet adviezen van het Strategisch Beraad toetsen, is de financier van de beheerorganisatie Afsprakenstelsel Elektronische Toegangsdiensten (en dus van de merken van Idensys en eHerkenning) en is de toezichthouder. De overheid is dienstaanbieder en namens de overheid zitten in alle gremia overheidsvertegenwoordigers namens de publieke dienstaanbieders aan tafel. De overheid wordt mogelijk een deelnemer in het stelsel, vanwege het BSN koppelregister, een publiek middel of registers die via Idensys worden ontsloten. Namens de overheid zitten in alle gremia overheidsvertegenwoordigers namens de publieke deelnemers (leveranciers) aan tafel. Naast de publiek-private governance is er nog de publieke governance. Binnen deze publieke governance kan de inbreng van de diverse overheidsvertegenwoordigers in de publiek-private governance worden afgestemd. Aan de kant van de private governance is er ook afstemming, bijvoorbeeld via Nederland ICT voor wat betreft de inbreng van de private deelnemers in de diverse gremia.
38
3.3 Stakeholders bij het eID Stelsel [Tekst uit document: ”Stakeholders, belangen en ontwerpeisen”, 21.01.2014] Belangrijke stakeholders bij het eID Stelsel zijn:
20
Beleidsverantwoordelijke ministeries Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Min BZK) Ministerie van Economische Zaken (Min EZ DG Uitvoering) Belanghebbende organisaties Belangenorganisaties College Bescherming Persoonsgegevens (CBP), de Consumentenbond, Bits of Freedom, de Autoriteit Consument en Markt (ACM) en toonaangevende media. Wetenschappers en experts Manifestgroep Publieke eID –Deelnemers Logius Gemeenten Private eID-deelnemers Leveranciers eHerkenning (ICT) Leveranciers Publieke dienstaanbieders Ministerie van Veiligheid en Justitie Ministerie van Volksgezondheid, Welzijn en Sport Vereniging van Nederlandse Gemeenten (VNG) en Nederlandse Vereniging Voor Burgerzaken (NVVB) Belastingdienst Rijksdienst voor het Wegverkeer (RDW) Uitvoeringsinstituut Werknemersverzekeringen (UWV) Sociale Verzekeringsbank (SVB) Private Dienstaanbieders Financiële Dienstaanbieders Webwinkels
20
Bron: Stakeholders, belangen en ontwerpeisen, par. 2.6.
39
3.4 Randvoorwaarden en ontwerpcriteria Introductieplateau [Tekst ontleent aan document: “Beschrijving Idensys, versie 0.8, d.d. 28 april 2015, status concept”].
In aanvulling op de technische afspraken en standaard voor het realiseren van de werking van het afsprakenstelsel, zijn er andere zaken noodzakelijk voor een goede werking. Die komen hieronder aan de orde. Juridica Het afsprakenstelsel bevat niet alleen technische afspraken maar ook juridische afspraken. Dit is noodzakelijk, omdat partijen die gebruik willen maken van Idensys volledig moeten vertrouwen op de juistheid van de berichten die ze ontvangen. Bij juridische zaken van het Introductieplateau moet gedacht worden aan zaken als: het juridisch kader de deelnemersovereenkomst de gebruiksvoorwaarden. Deze documenten bevatten informatie over de besturing van het Introductieplateau, de naleving van het afsprakenstelsel, de overeenkomst tussen de beheerorganisatie en de aanbieders en de minimale gebruiksvoorwaarden waaronder de dienstaanbieders en gebruikers Idensys mogen gebruiken. Toezicht en naleving Deelnemers binnen het Introductieplateau sluiten een contract met de minister van EZ waarin ze verklaren zich te houden aan de afspraken uit het afsprakenstelsel. Aanvullend vindt er toezicht plaats op de naleving van de afspraken. De verantwoordelijkheid voor dit toezicht ligt bij de Minister van EZ. Gedurende het Introductieplateau belegt de Minister van EZ de toezichthoudende taak bij de ADR (Auditdienst Rijk). Nadat er een wettelijk kader voor het toezicht is, zal de toezichthoudende taak naar verwachting bij het Agentschap Telecom komen te liggen. Communicatie en huisstijl Idensys Belangrijk voor het merk is de huisstijl van Idensys. Deze bestaat onder meer uit het logo (beeld- en woordmerk) dat gebruikt wordt in alle communicatie uitingen van Idensys-deelnemers en dienstaanbieders. In het Introductieplateau worden aan het gebruik van de huisstijl eisen gesteld, omdat het Idensys-logo geassocieerd moet worden met betrouwbaarheid en vertrouwen. De communicatie zal in nauwe samenwerking met alle betrokken partijen in de pilots, met name de deelnemers en dienstaanbieders, worden uitgevoerd. De verantwoordelijkheid voor communicatie met klanten/gebruikers blijft de verantwoordelijkheid van de Idensys-deelnemers en de dienstaanbieders. BSN-Koppelregister Tijdens het Introductieplateau is er een BSN-koppelregister. Dit is randvoorwaardelijk voor het realiseren van de doelstelling van Idensys om met private inlogmiddelen te kunnen inloggen in de BSN-sector. Er moet een betrouwbare koppeling tussen een privaat middel en het BSN gelegd kunnen worden. Dit geldt zowel bij de eenmalige uitgifte en registratie als bij iedere transactie. De huidige wetgeving staat niet toe dat iedere (private) authenticatiedienst als bewerker van het BSN wordt aangemerkt. Hiervoor is een BSN-koppelregister binnen het domein van de overheid nodig. In dit BSN-koppelregister wordt het pseudoniem van een persoon, uitgegeven door een authenticatiedienst, gekoppeld aan het BSN. Dit register is eigendom en onder verantwoordelijkheid van het Ministerie van BZK.
40
Doorontwikkeling Introductieplateau Het Introductieplateau zal in de loop van de tijd verder ontwikkeld worden. Daarbij moet gedacht worden aan nieuwe functionaliteiten, zoals: machine-naar-machine communicatie, ondertekenen, ondersteuning mobiele apparaten, de koppeling met andere Europese Identiteitssystemen (Pan European Proxy Server, PEPS). Maar mogelijk ook minder zichtbare doorontwikkelingen, zoals verdergaande privacy- en securitymaatregelen, aanpassing van het toezicht, het businessmodel, ontwikkeling van een wettelijk kader voor Idensys. De verantwoordelijkheid voor deze doorontwikkeling ligt bij de publiek-private governance die over Idensys beslist. En daarnaast ook bij de overheid vanwege diens verantwoordelijkheid ten aanzien van betrouwbaarheid, privacy, opsporing en toezicht. Vanuit het eID-programma wordt in 2015 een maatschappelijke discussie gevoerd voor de gewenste afweging tussen privacy, security en fraude-bestrijding. Dit zal input opleveren voor de doorontwikkeling van Idensys. Koppeling Idensys en eHerkenning Idensys en eHerkenning zijn gebaseerd op hetzelfde afsprakenstelsel, maar voor Idensys zijn er aanvullende voorwaarden en eisen opgesteld. Schematisch ziet het er als volgt uit:
Figuur 4: Schematische weergave Idensys en eHerkenning
41
Aanpassing eHerkenning 1.8 richting Introductieplateau Idensys eHerkenning is/wordt aangepast om de generieke basis te kunnen vormen voor zowel eHerkenning als Idensys. De aanpassingen van eHerkenning hebben met name betrekking op: Governance (bijvoorbeeld een burger/consumenten vertegenwoordiger) Techniek (uniforme standaarden voor burger-, consumenten-en bedrijvendomein; meer privacy maatregelen; toevoeging van BSN-koppelregister) Toezicht (extern toezicht op security en privacy) Juridica (o.a. in verband met gebruik van BSN) Merk Aanpassingen op eHerkenning vinden plaats door middel van wijzigingsvoorstellen (Requests For Change, RFC’s). De RFC’s voor de aanpassing richting Idensys worden in twee releases doorgevoerd: Een technische release, inclusief een RFC voor de migratie van de governance. Dit laatste is noodzakelijk om het besluitvormingsproces voor de verdere doorontwikkeling van Idensys te stroomlijnen. Deze RFC’s zijn in maart 2015 vastgesteld. Een administratieve release op o.a. het gebied van toezicht, communicatie, beheer en juridica. De RFCs die tot deze release behoren, worden naar verwachting in juni 2015 vastgesteld. In verband met het waarborgen van de privacy zijn er ten opzichte van eHerkenning de volgende privacy bevorderende maatregelen meegenomen in het Introductieplateau:
Identificerende persoonsgegevens zijn alleen te lezen door de dienstverlener: Binnen eHerkenning werd al gewerkt met pseudoniemen, welke verschillend zijn per dienstverlener. Hiermee wordt voorkomen dat dienstverleners onderling informatie over dezelfde gebruiker uitwisselen. In het Introductieplateau eID zijn aanvullende maatregelen genomen, waarbij identificerende persoonsgegevens door de authenticatiedienst zodanig worden versleuteld zodat deze alleen door de ontvangende dienstverlener zijn te lezen. Deze maatregel wordt veelal aangeduid met de term end-to-end encryptie.
De dienstverlener baseert zich alleen op informatie van de authenticatiedienst: De makelaar is een belangrijke logistieke schakel tussen de dienstverlener en de authenticatiedienst. Vanwege beperkingen in de gehanteerde technische standaarden heeft de makelaar nog wel een rol om een deel van de ontvangen informatie van de authenticatiedienst verwerkbaar voor de dienstverlener te maken. Als maatregel is in het afsprakenstelsel de procedurele afspraak opgenomen dat de dienstverlener in zijn autorisatie afweging zich ook moet baseren op de originele informatie afkomstig van de authenticatiedienst.
De verklaring omtrent de identiteit wordt niet via de browser geleid: Een andere aanscherping binnen het Introductieplateau is de keuze om communicatie waarin zich verklaringen bevinden alleen nog maar toe te staan via zogenaamde backchannels. Een van de gevolgen hiervan is dat hierdoor deze informatie niet aanwezig is bij de gebruiker/klant in zijn browser. Hiermee wordt het lastiger gemaakt om sessie hijacking en replayattacks uit te voeren.
42
Verschil eHerkenning en Idensys binnen het Introductieplateau Belangrijkste verschil tussen eHerkenning en Idensys heeft betrekking op de doelgroep. eHerkenning is voornamelijk gericht op bedrijven als gebruikers. eHerkenning biedt naast authenticatie ook autorisatie, zodat vastgesteld kan worden dat de gebruiker namens het bedrijf handelt (machtigingenregisters). Idensys richt zich op het burger/consumentendomein. De middelen uitgegeven op basis van Idensys zijn bruikbaar in de BSN-sector. Dat geldt niet voor eHerkenningsmiddelen. Binnen het Introductieplateau Idensys zijn machtigingenregisters niet beschikbaar.
43
3.5 Beschrijving werking van het Introductieplateau / Idensys [Samengevat uit document: “Beschrijving Idensys, versie 0.8, d.d. 28 april 2015, status concept”]. In dit hoofdstuk wordt een nadere beschrijvign gegeven van de werking van het Introductieplateau en de ontwerpeisen die daarbij van belang zijn. Achtereenvolgens worden de volgende processen beschreven: 1) Registreren nieuwe Gebruiker 2) Authenticeren gebruiker voor overheids Dienstaanbieder (binnen BSN domein) 3) Registreren Gebruiker voor Private Dienstaanbieder 4) Authenticeren Gebruiker voor Private Dienstaanbieder
Registreren nieuwe Gebruiker
1. Registreren nieuwe Gebruiker
PseudoID BSN
BRP
4. Persoons geg + BSNk docnrs +Status► (Koppelregister) ◄ 3. BSN
7. OK/NOK► ◄ 2. BSN+ Pers geg + WID docnr + PseudoID
Basisregister
Pers geg. PseudoID Middel
reisdocumenten
Makelaar Centraal Rijbewijs Register
Authenticatie Dienst [Balie] 1. BSN + Pers geg. ▼ 8. eID + WID Doc nr ▲ Middel
eID Middel
Dienst aanbieder Publiek
Gebruiker
Privaat
Registratieproces 1. Het registratieproces begint bij de Authenticatiedienst die een Gebruiker met WID op bezoek krijgt. De Authenticatiedienst registreert de Gebruiker volgens de eisen die het betreffende betrouwbaarheidsniveau vereist. Daarbij neemt hij persoonsgegevens, Documentnummer 21 en het BSN van het WID over . 2. Vervolgens genereert de Authenticatiedienst een unieke reeks met tekens (genaamd: pseudoID). En hij stuurt deze PseudoID met het BSN en geboortedatum, (eerste) voorletter en geslachtsnaam naar Het BSN Koppelregister. 22 3. Het BSNk bevraagt de BRP met het aangeleverde BSN .
21 22
Deze stap mag ook in het verleden gedaan zijn, zolang het proces destijds aan de eisen heeft voldaan. Het BSNk zal gebruik maken van bestaande koppelvlakken van BRP (en CRR)
44
4. Indien de BRP op basis van het BSN een unieke persoon vindt, stuurt hij diens 23 Persoonsgegevens, Status terug. Het BSNk valideert de naam en geboortedatum . 5. Het BSNk zal vervolgens de combinatie van BSN en PseudoID in zijn koppelregister registreren. En vervolgens een OK terug rapporteren aan de Authenticatiedienst. 6. De Authenticatiedienst kan bij een positieve reactie de naam en geboortedatum en het (zelf gemaakte) PseudoID opslaan en koppelen aan het middel van de Gebruiker. De overige gegevens mogen alleen voor verantwoordingsdoeleinden gearchiveerd worden. Verantwoordelijkheid Authenticatiedienst in eID pilot De rol Authenticatiedienst in bovenstaand plaatje is vanuit het perspectief van eHerkenning een combinatie van Authenticatiedienst en Middeluitgever. Voor het introductie plateau v1.9 eHerkenning zal naar alle waarschijnlijkheid aan deze rollen vastgehouden worden zoals ze nu in eHerkenning gedefinieerd zijn. De aanpassing t.o.v. eHerkenning v1.7 betreft de verantwoordelijkheid om het BSN (als bewerker van Het BSN Koppelregister) te registreren ten behoeve van de registratie bij het BSNk. BSN sector vereist minimaal betrouwbaarheidsniveau 3 Voor authenticatie in het BSN-domein is minimaal een betrouwbaarheidsniveau 3 vereist gedurende de pilots. Ten opzichte van eHerkenning 1.8 komen er een paar kleine extra eisen tijdens het registratieproces, zoals gegarandeerde face-to-face controle in het uitgifte proces. Voor het BSN domein komt daar de registratie bij de BSNk bij.
23
Inclusief verlopen reisdocumenten tot een aantal jaren geleden
45
Authenticeren bij Dienstaanbieder
2. Authenticeren gebruiker voor overheids Dienstaanbieder PseudoID BSN
GBA-V
BSN Koppeldienst 5. BSN aanvraag ▲ 6. AttribuutVerklaring incl ID-Verklaring ▼ met BSN (voor DA) met PseudoID (voor BK) 2. Auth aanvraag ► ◄ 4. ID-Verklaring met PseudoID (voor BK)
Makelaar
1. Authenticatie ▼ 7. Samenvatting met BSN Aanvraag ▲ (voor DA) (incl ID- en AttribuutVerklaring)
Pers geg. PseudoID Middel
Authenticatie Dienst 3. Middel uitvraag
eID Middel
Dienst aanbieder Publiek
Gebruiker
Privaat
Rood = versleuteld (alleen leesbaar door geadresseerde)
Authenticatieproces Het authenticatieproces bestaat uit zeven stappen. 1. De Dienstaanbieder stuurt een Gebruiker die ‘in wil loggen’ naar zijn Makelaar, waar hij een contract mee heeft. En Dienstaanbieder mag een contract met meerdere Makelaars hebben, bijvoorbeeld voor een hogere beschikbaarheid. 2. De Makelaar laat de Gebruiker zijn Authenticatiedienst kiezen en stuurt de Gebruiker door naar deze Authenticatiedienst. Deze stap kan efficiënt ingericht worden door voorkeuren van de Gebruiker te bewaren. In de aanvraag maakt de Makelaar duidelijk dat de Gebruiker zich voor Dienstaanbieder moet authenticeren, maar dat Het BSN Koppelregister daarbij voor het BSN moet zorgen. 3. De Authenticatiedienst authentiseert de Gebruiker mbv zijn Middel voor de Dienstaanbieder. Daarbij geeft de Gebruiker een ‘weloverwogen instemming’ voor de authenticatie bij de betreffende Dienstaanbieder. Echter in feite authentiseert de Authenticatiedienst de Gebruiker voor zijn BSN (dwz. het BSNk). Er is gekozen om die nuance op dit moment niet uit te leggen aan de Gebruiker. Eventuele risico’s zijn 24 minimaal . 4. De Authenticatiedienst stuurt de Gebruiker weer terug naar de Makelaar met een ID-verklaring waarin Het BSN-Koppelregister specifieke PseudoID van de Gebruiker staat. Dit PseudoID is daarbij zodanig versleuteld dat alleen Het BSN 25 Koppelregister deze kan lezen. 5. De Makelaar op zijn beurt stuurt deze ID-Verklaring in een aanvraag door naar Het BSN Koppelregister. Hij doet dit ‘onder water’. De Gebruiker wordt dus niet naar Het
24
25
In het ergste geval suggereert de Makelaar richting Authenticatiedienst (en dus Gebruiker) overheidsdienstverlener A en vraag aan de BSN Koppeldienst (zonder gebruikersinteractie) een BSN tbv overheidsdienstverlener B. De Authenticatiedienst mag (na gebruikersinstemming) ook WID attributen verstrekken die hij tijdens het registratieproces heeft geregistreerd, indien de betreffende Dienst daarvoor geautoriseerd is in de Dienstcatalogus. Ook zo’n attribuut wordt versleuteld, maar dan zodanig dat alleen de ontvangende Dienstaanbieder deze kan lezen.
46
BSN Koppelregister gestuurd. In de aanvraag staat ook welke Dienstaanbieder het betreft. 6. Het BSN Koppelregister vertrekt een AttribuutVerklaring waarin het BSN van de Gebruiker staat, zodanig versleuteld dat alleen de Dienstaanbieder hem kan lezen. Maar hij doet dit alleen voor Diensten die geautoriseerd zijn voor het BSN en voor Dienstaanbieders die hij tot het BSN Domein rekent. 7. De Makelaar maakt vervolgens een Samenvatting op basis van de ID- en AttribuutVerklaring en stuurt de Gebruiker met alle verklaringen terug naar de Dienstaanbieder. Dat Samenstellen doet hij door de versleutelde identiteiten en attributen ‘blind’ te kopiëren. Blind omdat hij ze niet kan lezen. De Dienstaanbieder 26 27 controleert en archiveert deze aangeleverde verklaringen
26 27
Inclusief controle van de samenvatting tov de meegeleverde originele verklaringen. De Dienstaanbieder mag de archivering uitbesteden aan zijn makelaar, zolang hij ze maar (leesbaar) op kan leveren als de Stelselbeheerder daar naar vraagt.
47
3. Registreren Gebruiker voor private Dienstaanbieder In het private domein is er vanuit het afsprakenstelsel in principe geen apart registratie proces voor een Gebruiker bij een Dienstaanbieder. Feitelijk is de eerste keer wanneer een Gebruiker zich authentiseert bij een Dienstaanbieder een soort van registratie van hun Pseudo-identiteit. De Dienstaanbieder kan voor bestaande Gebruikers daarbij een proces (buiten het afsprakenstelsel om) inrichten om betrouwbaar vast te stellen welke klant het betreft. Bijvoorbeeld door een bestaande inlog procedure er achteraan te plakken, een papieren proces er aan te knopen of door persoonsgegevens (op verzoek mee geleverd door de Authentiecatiedienst) te vergelijken met interne persoonsgegevens. Een Dienstaanbieder kan ook een combinatie hiervan gebruiken. De betrouwbaarheid van dit ‘bootstrapping’ proces is immers direct van invloed op de betrouwbaarheid van de koppeling tussen klant en de Idensys Gebruiker. In andere woorden, een hele betrouwbare Idensys authenticatie levert in combinatie met een weinig betrouwbaar ‘bootstrappings-proces weinig garanties op dat de Dienstaanbieder daadwerkelijk door zijn klant benaderd wordt. Bijkomend probleem is dat Gebruikers met authenticatiemiddelen van verschillende authenticatiediensten met verschillende Pseudo-identiteiten aankomt bij een private Dienstverlener. In het overheidsdomein kan de BSN Koppeldienst er voor zorgen dat verschillende PseudoID’s van verschillende Authenticatiediensten van de zelfde persoon toch leiden naar het zelfde BSN. Voor private partijen is dan niet of nauwelijks te doen. De Dienstaanbieder zou dat zelf kunnen doen, maar dat zorgt volgens de risicoanalyse (zie …) voor beveiligingsrisico’s. Vandaar dat het Dienstaanbieders niet is toegestaan om verschillende PseudoID’s aan één interne persoon te koppelen.
4. Authenticeren Gebruiker voor private Dienstaanbieder
Authenticeren bij Dienstaanbieder PseudoID BSN
GBA-V
BSN Koppeldienst
Pers geg. PseudoID Middel
Makelaar
2. Auth aanvraag ► ◄ 4. ID-Verklaring met PseudoID (voor DA)
1. Authenticatie ▼ 5. Samenvatting met Aanvraag ▲ PseudoID (voor DA) (incl ID- Verklaring)
Publiek
Authenticatie Dienst 3. Middel uitvraag
eID Middel
Dienst aanbieder
Gebruiker
Privaat Rood = versleuteld (alleen leesbaar door geadresseerde)
Authenticatieproces Het authenticatieproces voor een private Dienstaanbieder is vrijwel identiek aan die van een overheids Dienstaanbieder. Slechts de uitstap naar BSN Koppeldienst hoeft niet. En de Authenticatiedienst levert een PseudoID aan tbv de Dienstaanbieder en niet tbv de BSNKoppeldienst:
48
1. De Dienstaanbieder stuurt een Gebruiker die ‘in wil loggen’ naar zijn Makelaar, waar hij een contract mee heeft. En Dienstaanbieder mag een contract met meerdere Makelaars hebben, bijv voor een hogere beschikbaarheid. 2. De Makelaar laat de Gebruiker zijn Authenticatiedienst kiezen en stuurt de Gebruiker door naar deze Authenticatiedienst. Deze stap kan efficiënt ingericht worden door voorkeuren van de Gebruiker te bewaren. In de aanvraag maakt de Makelaar duidelijk dat de Gebruiker zich voor Dienstaanbieder moet authenticeren. 3. De Authenticatiedienst authentiseert de Gebruiker mbv zijn Middel voor de Dienstaanbieder. Daarbij geeft de Gebruiker een ‘weloverwogen instemming’ voor de authenticatie bij de betreffende Dienstaanbieder. 4. De Authenticatiedienst stuurt de Gebruiker weer terug naar de Makelaar met een ID-verklaring waarin Dienstaanbieder specifieke PseudoID van de Gebruiker staat. Dit PseudoID is daarbij zodanig versleuteld dat alleen de 28 betreffende Dienstaanbieder deze kan lezen. 5. De Makelaar maakt vervolgens een Samenvatting op basis van de ID-Verklaring en stuurt de Gebruiker met alle verklaringen terug naar de Dienstaanbieder. Dat Samenstellen doet hij door de versleutelde identiteiten en attributen ‘blind’ te 29 kopieren. Blind omdat hij ze niet kan lezen. De Dienstaanbieder controleert en 30 archiveert deze aangeleverde verklaringen
28
29 30
De Authenticatiedienst mag (na gebruikersinstemming) ook WID attributen verstrekken die hij tijdens het registratieproces heeft geregistreerd, indien de betreffende Dienst daarvoor geautoriseerd is in de Dienstcatalogus. Ook zo’n attribuut wordt versleuteld, maar dan zodanig dat alleen de ontvangende Dienstaanbieder deze kan lezen. Inclusief controle van de samenvatting tov de meegeleverde originele verklaringen. De Dienstaanbieder mag de archivering uitbesteden aan zijn makelaar, zolang hij ze maar (leesbaar) op kan leveren als de Stelselbeheerder daar naar vraagt.
49
Authenticeren bij Dienstaanbieder
5. Authenticeren gebruiker voor private Dienstaanbieder PseudoID BSN
GBA-V
BSN Koppeldienst
Pers geg. PseudoID Middel
Makelaar
2. Auth aanvraag ► ◄ 4. ID-Verklaring met DA specifieke PseudoID en optioneel attributen (voor DA)
1. Authenticatie ▼ 5. Samenvatting met DA Aanvraag ▲ specifieke PseudoID en optioneel attributen (voor DA) (incl ID- Verklaring)
Authenticatie Dienst 3. Middel uitvraag
eID Middel
Dienst aanbieder Publiek
Gebruiker
Privaat
Rood = versleuteld (alleen leesbaar door geadresseerde)
Authenticatieproces Het authenticatieproces bestaat uit zeven stappen. 1. De Dienstaanbieder stuurt een Gebruiker die ‘in wil loggen’ naar zijn Makelaar, waar hij een contract mee heeft. En Dienstaanbieder mag een contract met meerdere Makelaars hebben, bijv voor een hogere beschikbaarheid. 2. De Makelaar laat de Gebruiker zijn Authenticatiedienst kiezen en stuurt de Gebruiker door naar deze Authenticatiedienst. Deze stap kan efficiënt ingericht worden door voorkeuren van de Gebruiker te bewaren. In de aanvraag maakt de Makelaar duidelijk dat de Gebruiker zich voor Dienstaanbieder moet authenticeren. 3. De Authenticatiedienst authentiseert de Gebruiker mbv zijn Middel voor de Dienstaanbieder. Daarbij geeft de Gebruiker een ‘weloverwogen instemming’ voor de authenticatie bij de betreffende Dienstaanbieder. 4. De Authenticatiedienst stuurt de Gebruiker weer terug naar de Makelaar met een ID-verklaring waarin het Dienstaanbieder specifieke PseudoID van de Gebruiker staat. Dit PseudoID is daarbij zodanig versleuteld dat alleen die betreffende 31 Dienstaanbieder deze kan lezen . De eerste keer dat een Gebruiker zich bij een Authenticatiedienst authenticeert voor een specifieke Dienstaanbieder, dan zal zijn Authenticatiedienst ter plekke eerst nog de Dienstaanbieder specifieke PseudoID genereren. Voor toekomstige authenticatie verzoeken zal de Authenticatiedienst deze PseudoID bewaren. 5. De Makelaar maakt vervolgens een Samenvatting op basis van de ID-Verklaring en stuurt de Gebruiker met alle (in dit geval alleen een ID-) verklaringen terug naar de Dienstaanbieder. Dat Samenstellen doet hij door de versleutelde identiteiten en
31
De Authenticatiedienst mag (na gebruikersinstemming) ook WID attributen verstrekken die hij tijdens het registratieproces heeft geregistreerd, indien de betreffende Dienst daarvoor geautoriseerd is in de Dienstcatalogus. Ook zo’n attribuut wordt versleuteld, maar dan zodanig dat alleen de ontvangende Dienstaanbieder deze kan lezen.
50
attributen ‘blind’ te kopieren. Blind omdat hij ze niet kan lezen. De Dienstaanbieder 32 33 controleert en archiveert deze aangeleverde verklaringen
32 33
Inclusief controle van de samenvatting tov de meegeleverde originele verklaringen. De Dienstaanbieder mag de archivering uitbesteden aan zijn makelaar, zolang hij ze maar (leesbaar) op kan leveren als de Stelselbeheerder daar naar vraagt.
51
4. Uitvoering PIA, bevindingen en aanbevelingen Toelichting In de linker kolom worden per privacy principe vragen gesteld. De privacy principes met de groene achtergrond zijn ontleend aan het Model PIA Rijksoverheid. De privacy principes met de blauwe achtergrond zijn ontleend aan de algemene OESO privacy principes. Deze principes worden ook in de PIA van NOREA aangehouden. Deze privacy principes worden in dit rapport gehanteerd. In de middelste kolom worden op de vragen de bevindingen vermeld en waar nodig aanbevelingen gedaan. Inherent aan het eID Stelsel kunnen op basis van de bevindingen de volgende privacy risico’s worden gesignaleerd:
ID: Identiteitsfraude DD: Data deluge'-effect o WA: Waardestijging van persoonsgegevens FC: ‘Function creep’ o OU: Onrechtmatig gebruik van uniek identificerende gegevens o PF: Profiling o VB: Verkeerde behandeling in sociaal en economisch maatschappelijk verkeer o SK: Stigmatisering door koppeling van gegevens IV: Inconsistente implementatie en naleving verantwoordingsbeginsel NT: Geheime (niet transparante) verwerking van persoonsgegevens NE: Niet toegestane verwerking van persoonsgegevens buiten de EU o CC: Nieuwe ontwikkelingen op het terrein van cloud computing waarbij gegevens over de gehele wereld kunnen worden verplaatst. DL: Data lekken OB: Omkering van de bewijslast voor de betrokkene GC: Consumenten worden gedwongen om in te stemmen met het gebruik van hun gegevens
De betekenis van deze privacy risico’s is in de bijlage II vermeld.
52
Per privacy principe worden bij benadering de volgende risico’s gesignaleerd: PRIVACY PRINCIPE
ID
2.4 Verantwoording 2.5 Limiteren van het verzamelen van gegevens 2.5 Doelbinding / limiteren van het gebruik van gegevens 2.6 Gegevenskwaliteit 2.7 Beveiliging van gegevens ( Privacy by Design/Privacy Enhancing Technologies) 2.8 Transparantie 2.9 Rechten van betrokkenen
x x x x
DD x x x
FC x x x
x
x
Privacyrisico’s IV NT NE x x x x
x
x x
x x x
DL x x x
x x
OB
GC x x
x x x x
x
Aandachtspunt voor de uitvoering van de PIA In het model PIA Overheid zijn de grondslagen voor de rechtmatigheid van verwerkingen van persoonsgegevens niet in de vragen meegenomen. Hoewel er binnen de Wet Bescherming Persoonsgegevens geen onderscheid wordt gemaakt tussen het publieke en private domein kan binnen de overheid worden verondersteld, dat verwerkingen van persoonsgegevens, al dan niet via wetswijzigingen, op basis van een wettelijk grondslag kunnen worden gelegitimeerd. Het eID Stelsel kenmerkt zich echter door samenwerking tussen publiek-private partijen. Binnen het private domein is deze veronderstelde grondslag voor de rechtmatigheid niet zondermeer van zelfsprekend en zijn de rechtmatigheidsvragen voor verwerkingen van persoonsgegevens relevant. Niettemin kan op voorhand worden opgemerkt, dat in het verlengde van die publiek-private samenwerking plaatsvindende verwerkingen van persoonsgegevens in beginsel op 34 de grondslagen in artikel 8 van de Wet Bescherming Persoonsgegevens kunnen worden gebaseerd. Met dien verstande dat van geval tot geval de relevante grondslag per verwerking moet worden gemotiveerd. Dit nu zal alsnog een in volgende fase van de PIA moeten gebeuren, indien voorzienbaar is, welke verwerkingen van persoonsgegevens met welke doel precies door welke eID Deelnemers en Dienstaanbieders plaats vinden. Alsdan zal ook duidelijk worden welke aspecten en verwerkingen van het eID Stelsel aanvullend bij wetgeving moeten worden geregeld.
34
Artikel 8, WBP: Persoonsgegevens mogen slechts worden verwerkt indien ...
53
J
N
Bevindingen / Risico’s / Aanbevelingen
Nr.
Vraag
I
Basisinformatie: type persoonsgegevens, type verwerking en noodzaak / gegevensminimalisering
Vaststellen Privacy relevantie van de PIA
Privacy Principe Limiteren van het verzamelen van gegevens
Een PIA heeft betrekking op de bescherming van de privacy van burgers. Het recht op privacy is onder meer geregeld in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en artikel 10 van de Grondwet. In een PIA heeft privacy vooral betrekking op de bescherming van persoonsgegevens. Het gaat hier om de zogenaamde “informationele privacy”.
Alvorens de PIA op te starten zal eerst de privacy relevantie van het object van onderzoek moeten worden vastgesteld.
Voordat met de uitvoering van de onderhavige PIA wordt gestart, dient de vraag te worden beantwoord, of bij de invoering van het Introductieplateau eID Stelsel persoonsgegevens van burgers worden verwerkt. Artikel 1 van de WBP geeft aan wat onder een persoonsgegeven moet worden verstaan: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Deze vraag wordt, op basis van de ontvangen ontwerpdocumentatie bevestigend beantwoord. Volgens de documentatie leidt het Introductieplateau eID stelsel, direct of indirect via de te onderkennen functionele componenten voor identificatie, authenticatie, gekwalificeerde elektronische handtekening en de verstrekking van attributen, tot de verwerking van persoonsgegevens. Binnen het Introductieplateau eID Stelsel worden handelingen (transacties) verwerkt met ‘kernidentiteitsgegevens of afgeleide identiteitsgegevens’ op basis waarvan de identiteit van de gebruiker van het eID Stelsel als natuurlijke persoon herleidbaar is. De kernidentiteitsgegevens bevatten een vastgestelde basisset van persoonsgegevens. In het document “Beschrijving van het Idensys/eID Stelsel in het Introductieplateau” zijn de volgende kernidentiteitsgegevens beschreven35: Geslachtsnaam, voornaam, initialen, geboortedatum- / plaats; Attributen voor leeftijdsverificatie; BSN; WID type en WID nummer; Persistente pseudo identiteiten gekoppeld aan: Gebruiker, Middel, BSN-dienst, of Dienstverlener in private domein en Dienstverlener in BSN domein. Een zeer belangrijk onderdeel van het Introductieplateau is het BSN-koppelregister, waarbij burgers mede aan de hand van hun BSN worden geïdentificeerd. Aanvullende gegevens worden daarbij eveneens verwerkt via de back-office koppelingen tussen Authenticatiediensten, BSN-Koppelregister en overheidsdienstaanbieders. Overigens kan de overheid nog steeds beslissen om het BSN-Koppelregister af te sluiten. Het Introductieniveau eID Stelsel is dan niet bruikbaar binnen het overheidsdomein, of beter gesteld, binnen het ruimere BSN domein. Bij het gebruik van eID Stelsel zijn twee categorieën gegevens te onderscheiden: 3. de primaire data 4. de secundaire data. Primaire data zijn alle data die worden verwerkt (overeenkomstig de definitie in de Wbp) via het eID Stelsel en secundaire data 35
Beschrijving van het Idensys/eID Stelsel in het Introductieplateau, versie 0.8, 28 april 2015 en in de daarop ontvangen aanvulling gedateerd 7 mei 2015, alsmede de RFC’s op eHerkenning
54
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen zijn data die als bijproduct worden gegenereerd, zoals gebruiksdata, validatie data (identificatie OK of NOK), log files, statistische data, configuratie data, metadata36, etc.. Deze laatste data kunnen ook direct of indirect de status hebben van identificerende persoonsgegevens van het individu die gebruik maakt van het eID Stelsel en/of van de persoon door wie de gebruiker van het eID Stelsel is gemachtigd. Voorts zal inherent aan het gebruik van internet technologie in zekere mate ook metadata ontstaan op andere systeemlagen, dan wel door gebruik van zogenaamde third parties. Dit zijn “bijwerkingen” van het eID Stelsel die overigens niet verder zijn onderkend in de ontvangen ontwerpdocumentatie. Binnen deze 2 categorieën kan niet worden uitgesloten dat er sprake is van bijzondere persoonsgegevens waarvoor een verzwaard privacy regime geldt. Dit kunnen bijvoorbeeld gegevens zijn die te relateren zijn aan medische gegevens zijn die ontleend kunnen worden aan de identiteit van dienstverleners, zoals een hulpverlener, arts, zorginstelling of religieuze instelling. Maar dit kan ook voorkomen doordat een burger/consument inlogt bij specifieke webservices aangaande werk- en inkomen, schuldsanering, jeugdhulpverlening et cetera. Het Introductieplateau eID voorziet in beperkingen in het toepassingsgebied hiertoe. Voor het verwerken van het BSN is specifieke wetgeving van toepassing. Het introductieplateau eID is mede gebaseerd op het verwerken van BSN in het private domein bij de Authenticatiediensten. Er is nog geen wettelijk kader beschikbaar voor het verwerken van BSN buiten het BSN domein. Ook kunnen persoonsgegevens verwerkt worden van bijvoorbeeld kinderen waarvoor eveneens hogere privacywaarborgen worden verlangd. Er is geen leeftijdsondergrens voor het kunnen verkrijgen van een eID Authenticatiemiddel. Dit zijn overigens vraagstukken die binnen eHerkenning, dat uitsluitend binnen het bedrijfsdomein wordt gebruikt en nu als basis wordt gehanteerd voor het introductieplateau, niet voorkwamen.
Conclusies Er is in het Introductieplateau eID sprake van verwerking van persoonsgegevens, zowel in “direct identificerende” als “indirecte identificerende” betekenis. De relevantie van een PIA is hiermee aangetoond; Het Introductieplateau eID kent op onderdelen de verwerking van BSN-nummers waarop ook specifieke wet- en regelgeving van toepassing is; De beschrijvingen van de betrokken dataverwerkingen en dataflows op primair niveau zijn beschreven, zowel op het niveau van de te onderkennen functionele componenten van het stelsel, als bij de te onderkennen verschillende rollen, verantwoordelijkheden en toepassingsgebieden; Een nadere verkenning van het ontstaan van secundaire persoonsgegevens en de gevolgen daarvan (risico’s) voor de bescherming van de privacy van Gebruikers is nog onderbelicht in de ontwerpdocumentatie; Een aandachtspunt is dat Persoonsgegevens dienen benoemd te worden en te worden geclassificeerd naar gevoeligheid. Denk hierbij aan normale persoonsgegevens en potentieel stigmatiserende persoonsgegevens. Door het gebruik van het Introductieplateau kunnen deze gevoelige gegevens ontstaan op het genoemde secundaire data niveau. De effecten hiervan zijn nog niet in het Introductieplateau geadresseerd; Indirecte (secundair), tot individuen te herleiden gegevens dienen eveneens te worden gespecifieerd en te worden geclassificeerd. 1 36
Wilt u als verantwoordelijke
x
Binnen het Introductieplateau eID Stelsel is sprake van verschillende componenten die elektronisch met elkaar communiceren
Denk ook aan gebruiksgegevens netwerken, IP adressen, locatiegegevens, tijden, et cetera
55
Nr.
Vraag persoonsgegevens gaan gebruiken voor de verwerking die u voorziet? Zo ja, van welk type?
J
N
Bevindingen / Risico’s / Aanbevelingen via koppelvlakken. Componenten worden ook wel rollen of eID-deelnemers genoemd. Hiermee zijn binnen het Introductieplateau eID dus meerdere functies met een mogelijk rol als verantwoordelijke te onderkennen. Ook zijn combinaties denkbaar en mogelijk. Een eID-deelnemer is een organisatie die specifieke diensten binnen het eID Stelsel aanbiedt. Elke eID-deelnemer treedt officieel toe tot het Introductieplateau eID Stelsel en is daarmee gebonden aan de standaarden en afspraken zoals beschreven in het Introductieplateau eID Stelsel. Een eID Deelnemer loopt een toetredingsproces door. En tekent een deelnemersovereenkomst met EZ. Tevens is elke eID Deelnemer onderhavig aan toezicht en handhaving. Binnen het Introductieplateau zijn de volgende eID-deelnemers gedefinieerd: De Authenticatiedienst De eID Makelaar Het BSN-Koppelregister neemt een wat bijzondere plaats in. Het BSN-Koppelregister heeft wel de karakteristieken van een eID Deelnemer maar is het juridisch niet. Het BSN Koppelregister treedt niet toe tot het Stelsel, tekent geen deelnemersovereenkomst en valt ook niet onder de verantwoordelijkheid van EZ, maar onder de verantwoordelijkheid van BZK. Het BSN-Koppelregister valt onder dezelfde controle en handhaving van de toezichthouder / beheerorganisatie als de eID deelnemers. In tegenstelling tot de situatie bij de eID Deelnemers in het private domein waarbij een Gebruiker kan kiezen uit Authenticatiediensten en eventueel voor meerdere Authenticatiediensten tegelijkertijd ten einde enigszins de cumulatie van data bij één partij te beperken, is het BSN Koppelregister een enkelvoudig schakelpunt. Een Dienstaanbieder is volgens de definitie een persoon (natuurlijk of niet-natuurlijk) die kenbaar heeft gemaakt dat het elektronisch bereikbaar is voor burgers en bedrijven, zodat zij als Handelende Persoon in staat worden gesteld om digitale transacties in het kader van een dienst te kunnen uitvoeren. Een dienstaanbieder komt voor in de variant van een dienstaanbieder in het BSN-Domein of in de variant als Dienstaanbieder in het private domein 37. De eID Deelnemers bieden diensten aan binnen het eID Stelsel aan aangesloten partijen. Dit kunnen zijn andere eID Deelnemers, Dienstaanbieders of Gebruikers. 38 Volgens het systeemdiagram in het document Beschrijving van Idensys 0.8, in het Introductieplateau zijn Dienstaanbieders “aangesloten partijen” en hebben zij niet de status van eID Deelnemers. Een dienst wordt gedefinieerd als een samenstel van elektronische transacties, gericht op: Inloggen, identificeren en authentiseren Verstrekken van aanvullende identificerende (persoons)gegevens op basis van user consent Leeftijdsverificatie Met deze dienst waarmee een samenstel van elektronische transacties kan worden gerealiseerd, kunnen door de Dienstaanbieders en Gebruikers onder meer de volgende doelstellingen worden bereikt: het tot stand komen van een rechtsbetrekking (het nemen van een besluit of realiseren van een overeenkomst). het bestellen / leveren van een product of besluit. het beantwoorden van een informatievraag.
37 38
Zie de definities in de Begrippenlijst eHerkenning versie 1.9, datum, 1 mei 2015, pagina 30 e.v. Bron: Beschrijving van het Idensys / eID Stelsel in het Introductieplateau, p. 5, 0.6, 16 april 2015
56
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen De dienst wordt gedefinieerd door een Diensteigenaar en aangeboden door een Dienstaanbieder. De Diensteigenaar bepaalt welke eisen worden gesteld om de transacties binnen de dienst te mogen afnemen. Deze afspraken vallen dus (terecht) buiten de scope van het Introductieplateau eID Stelsel en worden vanuit privacy perspectief reguleert via onder meer bestaande weten regelgeving waaronder de Wbp. Een Gebruiker is een natuurlijke Handelende Persoon die ofwel voor zichzelf ofwel via een machtiging voor een derde partij een digitale dienst afneemt. Naast het begrip Gebruiker kent het eID / Introductieplateau eHerkenning 1.9 ook de term: “Uitvoerend natuurlijk persoon (UNP)“.39 Hoewel in de documentatie de machtigingsregisters nog wel in een schema worden aangegeven worden deze niet in het Introductieplateau gerealiseerd. Bij bovenstaande definities hebben wij ons mede gebaseerd op eerdere documenten met betrekking tot het ontwerp eid Stelsel 1.0 van juni 2014. Deze definities zijn in het Introductieplateau eID 0.8 nog niet volledig uitgewerkt. Bovendien is geconstateerd dat de definities in het Introductieplateau 0.8 in benamingen soms afwijken van de definities in de beschrijving van eHerkenning 1.9. Dit is uiteraard verwarrend.40 Het toezicht op het eID Stelsel is georganiseerd in een governance structuur en één of meer toezichthouders.41 De governance structuur heeft als uitgangspunt een publiek-private samenwerking. En kent een opbouw naar: Strategisch beraad Tactisch beraad Operationeel beraad Een benoemingsprocedure is voor de bemanning van de verschillende beraad niveaus gedefinieerd. De beheerorganisatie van het Introductieplateau wordt gefaciliteerd door Logius. Binnen het Introductieplateau bestaat geen Stelsel Autoriteit meer. Met andere woorden, het Introductieplateau kent geen Vertrouwde centrale partij binnen het stelsel die volledig overzicht heeft over pseudoniemen en sleutels. Het meest dicht bij deze rol komt nog het BSN-Koppelregister waarin alle Gebruikers Pseudo-identiteiten gekoppeld zijn aan een BSN. Althans voor zover deze Gebruikers pseudo-identiteiten gebruikt worden voor het inloggen bij overheidsdienstaanbieders. Deze rol van BSNKoppelregister wordt publiek ingevuld. De rol van het BSN-Koppelregister komt naar voren bij het voor het eerst authentiseren van een Gebruiker bij een Authenticatiedienst, én bij alle inlogverzoeken van een Gebruiker bij een Dienstaanbieder in het BSN domein. Het is in dit stadium nog niet duidelijk hoe het toetreden van partijen (eID-deelnemers en Gebruikers) tot het Stelsel binnen het Introductieplateau gaat plaatsvinden. Aangegeven is dat naar verwachting de eHerkenningsdiensten toetreden tot het
39
In het technische deel van de beschrijving van eHerkenning 1.9 wordt voor de term “Gebruiker” de term “User” gebruikt. Hiermee wordt dan bedoeld: “UNP”. Zo spreekt de beschrijving Introductieplateau 0.8 van een Dienstaanbieder. In de beschrijving van eHerkenning 1.9 komt dit begrip niet voor en lijkt het begrip Dienstverlener dit te vervangen. Een Gebruiker in de beschrijving Introductieplateau 0.8 is duidelijk een burger of een consument afhankelijk van welk type Dienstaanbieder wordt bezocht. Een Gebruiker in de begrippenlijst van eHerkenning 1.9 is een Dienstaanbieder of Dienstafnemer (pag 44). Dit maakt de beschrijvingen minder goed toegankelijk en is verwarrend. 41 Bron: Staatscourant Nr 10829, 16 april 2015, Begrippenlijst eID Afsprakenstelsel programma eID, p.12. 40
57
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Introductieplateau. Het beschrijven van toetredingsvoorwaarden en de wijze waarop kan worden toegetreden tot het Introductieplateau verdient nog verdere uitwerking. Het zelfde geldt voor het eventueel buiten het eID Stelsel plaatsen van een eID Deelnemer. Een exit procedure is nog niet voorzien. Vooralsnog worden de toetredingsvoorwaarden voor eHerkenning als uitgangspunt genomen. De vraag welke eID Deelnemers in welke rol als verantwoordelijke optreden is inmiddels goed te beantwoorden. Hiermee is invulling gegeven aan het begrip “Verantwoordelijken” in de zin van art. 1 WBP. De Minister van EZ is eigenaar en eindverantwoordelijke voor het gehele stelsel. Uitsluitend voor het verwerken van BSN binnen het Introductieplateau is vastgelegd dat de Authenticatiediensten hiertoe een contract afsluiten met de Minister van BZK en optreden in de rol van Bewerker ten opzichte van het BSN Koppelregister. Het BSN Koppelregister blijft aangaande alle verwerkingen van het BSN binnen het gehele Stelsel altijd Verantwoordelijke. BSN Koppelregister kent dus binnen het Stelsel nergens de rol van Bewerker. De Authenticatiedienst is voor de levering van de elektronische toegangsdiensten verantwoordelijke in het kader van de WBP. Dit betreft dus alle primaire en secundaire verwerkingen van persoonsgegevens, waaronder ook vastleggingen van gebruiksgegevens ten behoeve van doorbelastingen en financieel administratieve gegevens. Het gebruik van het BSN bij de Authenticatiedienst is sterk afgebakend. Na doorgifte van het BSN aan het BSN Koppelregister bij de eerste aanmelding van een gebruiker dient de Authenticatiedienst het BSN niet te gebruiken voor andere doeleinden. De eis dat een BSN bij de Authenticatiedienst direct moet worden verwijderd na gebruik, is niet opgenomen in het Afsprakenstelsel. Voor de eenmalige doorlevering van BSN sluit de Authenticatiedienst een bewerkerovereenkomst met Minister van Binnenlandse zaken. De eID Makelaar en Authenticatiedienst zijn altijd als Verantwoordelijke aangemerkt in het kader van de WBP voor de verwerking van persoonsgegevens aangaande: de aanmelding van Dienstverleners en Gebruikers en de daarbij behorende registraties voortvloeiend uit het gebruik van eIDs de verwerkingen van persoonsgegevens als gevolg van het regulier inloggen door Gebruikers bij Dienstaanbieders. De scheiding van verantwoordelijke en bewerkersrol binnen de Authenticatiedienst moet bijzonder goed gehandhaafd worden binnen de interne beheerssystemen van deze organisaties. Voor het gebruik van het BSN in het private domein bij de Authenticatiedienst moet nog een wettelijke basis worden gecreëerd. Deze wettelijke basis kan worden gevonden in de Wet Elektronisch Berichtenverkeer Belastingdienst (EBV) die een basis biedt voor een generieke publieke voorziening. Naar verwachting treedt de EBV in werking per 1 oktober 2015. De behandeling hiervan staat gepland voor eind 2015. De EBV biedt naar verwachting de grondslag voor het BSN-Koppelregister. Nadere uitwerking van de EBV geschiedt in de Algemene Maatregel van Bestuur en de ministeriële regeling veiligheids- en betrouwbaarheidseisen die aan deze wet vast hangen. Een concept ministeriële regeling is beschikbaar voor het BSN gebruik door het BSN-Koppelregister.
58
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Duidelijkheid aangaande het verantwoordelijkheidsprincipe voor eID Deelnemers De eerder bestaande onduidelijkheden in voorgaande ontwerpen van eID Stelsel over de verantwoordelijkheden van de functionele eID Deelnemers en onduidelijkheden over wisselende of gecombineerde rollen van verantwoordelijke en/of bewerker, zijn of weggenomen doordat deze functionele eID Deelnemers nog niet bestaan in het Introductieplateau en binnen de voorgenomen pilots, of dat deze rollen en verantwoordelijkheden nu duidelijk zijn vastgelegd zijn binnen het afsprakenstelsel behorend bij het Introductieplateau. Governance van het eID Stelsel Voor de ontwikkeling en het beheer van het eID Stelsel is een governance structuur opgezet. Hiermee is onder meer geborgd dat het Introductieplateau wordt getoetst, geëvalueerd en verder wordt ontwikkeld. In deze structuur zijn diverse stakeholdergoepen vertegenwoordigd vanuit de overheid en de IT sector, waaronder ook belanghebbenden vanuit de eID deelnemerscommunity. Wel worden verantwoordelijkheden voor bepaalde rollen in het eID Stelsel onderscheiden op basis waarvan een status van “Verantwoordelijke” en/of van “Bewerker” is gesuggereerd. Echter een eID Deelnemer kan ervoor kiezen één of juist meerdere rollen binnen het eID-Stelsel te vervullen en daarmee in theorie een compleet scala aan eID Diensten aanbieden. Deze keuzevrijheid geldt voor alle partijen, behalve het BSN-Koppelregister. Een Dienstaanbieder kan bijvoorbeeld ook optreden als Authenticatiedienst of Makelaar. Overigens kan een Dienstaanbieder ook nog een rol spelen als IT provider ten behoeve van het Stelsel. Alle combinaties zijn denkbaar en ook mogelijk. Het gevolg kan zijn dat er zonder maatregelen omvangrijke en mogelijk ongewenste cumulatie van persoonsgegevens ontstaan, zogenaamde hotspots. Dit wordt zonder aanvullende (technische en toezicht) maatregelen dan alleen geborgd door doelbinding en het verantwoordelijkheidsprincipe. De systeemdiagrammen van de beschrijving van het Introductieplateau 0.8 laten zien welke koppelvlakken/interfaces er tussen de BSN-Koppelregister, de Makelaars, Authenticatiediensten en Dienstaanbieders er bestaan. Ook de gegevensuitwisseling met de GBA-V / BRP, zijn (high level) beschreven. Deze laatste partijen vallen overigens buiten het eID Stelsel.42 In het document Afspraken Stelsel eHerkenning 1.9 zijn in het hoofdstuk 1.4.2 Interface Specifications” in detail aangegeven welke elementen/datasets deel uitmaken van de berichten binnen het eHerkenning Afsprakenstelsel Voor de specifieke inhoud van die berichten wordt kortheidshalve naar genoemd document verwezen.43 Echter voor het Introductieplateau zullen niet al deze interfaces gebruikt worden. Machtigingen zullen geen onderdeel uitmaken van het Introductieplateau. Een Middelenuitgever komt niet voor als afzonderlijke component in het Introductieplateau (wel binnen eHerkenning). Het leggen van de koppeling tussen het Authenticatiemiddel en de Authenticatiedienst ligt eenvoudig bij de Authenticatiedienst. Deze koppeling blijft voor het stelsel verborgen (Middel-PseudoID gekoppeld aan Authenticatiemiddel) en is daarmee onafhankelijk van de gekozen technologie van het Authenticatiemiddel. De interactie tussen de verschillende rollen in het stelsel is complex. Daarom is in het stelsel een afzonderlijke rol gedefinieerd die als taak heeft om de interactie in goede banen te leiden en zo de Dienstaanbieders en Dienstbemiddelaars te “ontzorgen”. Deze rol is de eID-makelaar. De eID-makelaar vraagt aan de Gebruiker van welke Authenticatiedienst hij gebruik wil maken. Op
42
Zie: Beschrijving van het Idensys / eID Stelsel in het Introductieplateau, onder meer p. 13 en de bijlage 3 met de relevante RFC’s op eHerkenning.
59
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen basis van de antwoorden routeert hij de Gebruiker door naar de juiste voorzieningen. De eID-makelaar verricht zijn werkzaamheden op basis van een contract of overeenkomst van dienstverlening met de dienstaanbieder in het publieke of private domein. De keuze voor een bepaalde eID-makelaar berust bij de Dienstaanbieder . Er is geen bewerkersrelatie voor de verwerking van persoonsgegevens met de Dienstaanbieder. Het is de verantwoordelijkheid van de Dienstaanbieder om te zorgen voor het invullen van de rol van een eID-makelaar voor het ontsluiten van zijn diensten. De dienstaanbieder kan ervoor kiezen om een contract af te sluiten met twee of meer eID-makelaars omwille van de continuïteit van de dienstverlening (backup Makelaar). In beginsel heeft de eID-makelaar daarmee het recht om dezelfde gegevens te verwerken als de Dienstaanbieder in wiens opdracht hij werkt. Echter, een eID-makelaar kan werken in opdracht van meerdere Dienstaanbieders. Dat zou betekenen dat bij de eID-makelaar een ongewenste concentratie van gegevens ontstaat. Het gebruik van versleutelde pseudoniemen en het maskeren van persoonsgegevens zou dat moeten voorkomen. In de ontwerp documentatie is aangegeven dat de Dienstaanbieder de identiteit van een Gebruiker uit een pseudo identiteit kan herleiden, maar dat de eID-Makelaar “blind” is voor deze gegevens omdat deze per sessie end-to-end encrypted zijn. De sleutels om deze gegevens leesbaar te maken liggen bij de Dienstaanbieder.44 Het risico van ongewenste concentratie van persoonsgegevens bij de Makelaar is hiermee gemitigeerd op het niveau van de primaire data en persoonsgegevens. Echter op het niveau van secundaire data (zoals internet metadata, data die ontstaat inherent aan het gebruik van internet) valt niet uit te sluiten dat er nog steeds een concentratie van gevoelige gegevens ontstaan bij de eID Makelaar. Gezien het voorgaande bestaan er in het stelsel de volgende onduidelijkheden: De mogelijkheid wordt opengelaten voor een eID Deelnemer of Dienstaanbieder om meerdere rollen aan te nemen, waarbij vooralsnog in de documenten niet duidelijk is, tot welke status (sen) en ongewenste concentraties van persoonsgegevens het in die gevallen leidt. Het blijkt, dat definities in de Begrippenlijst Afsprakenstelsel eHerkenning 1.9 en het document: “Beschrijving van het Idensys in het Introductieplateau” en de daarbij ontvangen aanvullingen niet volledig op elkaar zijn afgestemd. Dit leidt niet alleen tot begripsverwarring maar ook tot onvoorziene complicaties bij de uitvoering van deze PIA. Welke persoonsgegevens tussen de rollen / component in het eHerkenning 1.9 Afspraken Stelsel worden uitgewisseld wordt in het hoofdstuk Interface specifications uitgewerkt. Deze specificaties betreffen ook functionaliteiten die niet in het Introductieplateau zullen worden gebruikt. Uitgaande van de beschrijvingen die zich wel beperken tot het Introductieplateau in het document Beschrijving van het Idensys en een analyse van de gedefinieerde typen data in de berichten over de koppelvlakken tussen de te onderscheiden componenten van het Introductieplateau is tot dusver vooralsnog niet komen vast te staan, dat er niet aan het beginsel van de gegevensminimalisatie wordt voldaan. Op het niveau van de aan het Introductieniveau gerelateerde primaire gegevensstroom en de beperkingen in de toepassing van het Introductieniveau is het principe van gegevensminimalisatie duidelijk toegepast. Nog niet is per ”Partij ” en per koppelvlak en per combinatie van rollen aangegeven welke (meta) data in welke loggingen/audittrails worden verzameld binnen de functionele scope van het Introductieniveau. Hierbij
44
Zie: Beschrijving van het Idensys / eID Stelsel in het Introductieplateau, onder meer p. 15 en de bijlage 3 met de relevante RFC’s op eHerkenning.
60
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen zou ook rekening gehouden moeten worden van cumulaties van verwerkingen die wel al binnen eHerkenning zijn toegestaan en gecombineerd aan worden met het Introductieplateau. Ook het limiteren van de opslag en bewaring van gevoelige privacy gegevens, zoals gegevens die gegenereerd worden door het gebruik van het eID Stelsel door bijvoorbeeld kwetsbare groepen zoals kinderen is niet beschreven in het Introductieplateau of in de eHerkenningsdocumenten. Vanwege het voorgaande is het aan te bevelen om deze detail analyse op korte termijn uit te voeren al vorens verdere harde uitspraken spraken te kunnen doen over het beginsel van de verantwoording en de gegevensminimalisatie. Een en ander zal in een volgende PIA fase nog eens separaat en nauwgezet moeten worden onderzocht. Conclusies 6. Definities in de te onderscheiden documenten en de beschrijving van de werking van het Introductieplateau Stelsel zijn op onderdelen nog niet goed op elkaar afgestemd. 7. De begrenzing van het introductieplateau met daarbij de verantwoordelijkheidsvraag voor verwerkingen van persoonsgegevens door de componenten/rollen en combinatiemogelijkheden is transparant uitgewerkt. 8. Het ontstaan van secundaire persoonsgegevens als gevolg van het ontstaan van herleidbare metadata op onderliggende systeemlagen is in de beschrijving nog niet meegenomen. Herleidbaarheid van data tot personen via deze gegevens op het niveau van de eID makelaar is niet uitgesloten; 9. Aandachtspunten bestaan bij Partijen die binnen het Introductieplateau verschillende rollen gecombineerd uitvoeren. Zowel vanuit het verantwoordelijkheid-s en doelbindingsprincipe als vanuit het perspectief van privacy risico’s als gevolg van mogelijk ongewenste cumulatie van persoonsgegevens (hotspots en cumulatie van hotspots); 10. Uit de documentatie blijkt niet dat er al een risicoanalyse is uitgevoerd op combinaties van rollen en de mogelijke negatieve gevolgen hiervan op de persoonlijke levenssfeer van Gebruikers.(Dit is wat anders dan de wel uitgevoerde risicoanalyse vanuit het perspectief van informatiebeveiliging). Aanbevelingen 10. Stem de gehanteerde begrippen in de Begrippenlijst Afsprakenstelsel eHerkenning 1.9 en in het document Beschrijving van Idensys in het Introductieplateau goed op elkaar af. 11. Bepaal ook aan de hand van een privacy risicoanalyse welke combinaties van rollen bij een partij tot onbeheersbare privacy risico’s kunnen leiden. 12. Reguleer aan de hand hiervan mogelijke combinaties van rollen en hiermee gepaard gaande verantwoordelijkheden. 13. Bepaal de risico’s van het ontstaan van secundaire data of meta data op het niveau van onderliggende systeemlagen en maak dit transparant. Reguleer het gebruik van deze gegeven in de stelselafspraken. 14. Overweeg om ook stakeholders te betrekken vanuit het burger-/consumentendomein. Deze partijen zijn nu niet betrokken binnen het governance proces. 15. Hetzelfde geldt voor de betrokkenheid vanuit de IT audit professie. Deze is blijkt uit de documentatie nu niet betrokken terwijl het uitvoeren van onafhankelijke IT audits een vitaal onderdeel uitmaakt van het Stelsel om de benodigde maatschappelijke transparantie te geven over de werking van het Stelsel en ook om de robuustheid van het Stelsel te handhaven. Het verdient bijvoorbeeld overweging om de Nederlandse Orde van register EDP Auditors (NOREA) bij het formuleren van normen en standaarden voor de uit te voeren IT audits te betrekken. 16. Ga na in hoeverre invulling kan worden gegeven aan de privacybescherming van kwetsbare groepen waarvoor hogere privacy waarborgen dienen worden gerealiseerd; 17. Het verdient ook aanbeveling om aan de nu beschreven Stelsel audit binnen eHerkenning 1.9 welke als basis heeft informatiebeveiliging en ISO27001 uit te breiden met een aantal privacy gerelateerde toetsingsnormen, waaronder gericht
61
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen op de handhaving van doelbinding en verantwoordelijkheden vanuit het perspectief van gegevensminimalisatie.
2
Andere specifieke persoonsgegevens?
2a
Is het de bedoeling om gegevens over de financiële of economische situatie van betrokkenen, of andere gegevens die kunnen leiden tot stigmatisering of uitsluiting te verwerken?
x
In de beschikbare documenten over het doel en de werking van het Introductieplateau eID Stelsel is geen sprake van de bedoeling om gegevens te verwerken over de financiële of economische situatie van betrokkenen, of andere gegevens die kunnen leiden tot stigmatisering of uitsluiting. Wel biedt het Introductieplateau faciliteiten om toegang tot systemen te verschaffen waar dergelijke gegevens wel worden verwerkt. Voor de toegang tot dergelijke systemen is dan een hoog authenticatieniveau beschikbaar (STORK 3 en 4). De systemen waarop wordt gedoeld, zijn bijvoorbeeld van publieke dienstaanbieders als de justitiële ketens van het Uitvoeringsinstituut Werknemersverzekeringen (UWV), Ministerie van Veiligheid en Justitie, Ministerie van Volksgezondheid, Welzijn en Sport, Belastingdienst, Sociale Verzekeringsbank (SVB), Financiële Dienstaanbieders, Zorgaanbieders, Jeugdwerkers en een ongelimiteerd variatie aan Dienstaanbieders in de private sector. In de audittrails is bij specifiek de Authenticatiedienst en het BSN-Koppelregister vervolgens herleidbaar, bij welke instellingen, waar dergelijke gevoelige gegevens worden verwerkt, een Gebruiker aanlogt of diensten afneemt. Niet onvoorstelbaar op voorhand is, dat er Dienstaanbieders / eID Deelnemers rollen zouden kunnen gaan combineren, die in de backoffice wel tot het bedoelde effect kunnen gaan leiden. Althans zo lang er geen ongewenste combinaties van rollen of diensten in het Afsprakenstelsel zijn gedefinieerd. Zie ook de eerder al gemaakte opmerkingen hierover. Conclusie 1. In de audittrails van BSN-Koppelregister en Authenticatiedienst kunnen uit de inloggegevens van publieke en private Dienstaanbieders, hoewel hier niet voor bedoeld, indirect gegevens over de financiële of economische situatie van betrokkenen, of andere gegevens die kunnen leiden tot stigmatisering of uitsluiting, worden gedistilleerd. Dit risico neemt toe naarmate eID Deelnemers meerdere rollen kunnen vervullen, dan wel ook andere activiteiten ontplooien buiten het eID Stelsel. Aanbevelingen 1. Hou bij de mogelijkheden van meerdere rollen bij eID Deelnemers rekening met ongewenste cumulatie van data in de audittrails die de genoemde risico’s doen toenemen. 2. Neem in het Afsprakenstelsel toereikende voorwaarden voor doelbinding en toezicht op om die risico’s te elimineren. 3. Dwing dit zo nodig met specifieke wetgeving af. 4. Neem toetsbare normen op in de Stelsel audit aangaande doelbinding en dataminimalisatie
2b
Is het de bedoeling om gegevens over kwetsbare groepen of personen te verwerken?
x
Uit de documentatie zijn geen bedoelingen te herleiden om gegevens over kwetsbare groepen of personen te verwerken. Zie evenwel de bevindingen, risico’s en aanbevelingen bij 2a.
62
Nr.
Vraag
J
2c
Is het de bedoeling gebruikersnamen, wachtwoorden en andere inloggegevens te verwerken?
x
N
Bevindingen / Risico’s / Aanbevelingen Het eID Stelsel heeft juist tot doel het verwerken van gebruikersnamen, wachtwoorden en andere inloggegevens. Daarbij worden persistente pseudo-identiteiten gebruikt Hiermee is het ontstaan van “hotspots” in relatie tot het verschaffen van toegang tot onderliggende systemen onvermijdelijk. (Het registreren van het gebruik, loggen van toegang en het ontstaan van metadata op onderliggende (technische) systeemlagen en audittrails). Wel is het zo dat de architectuur juist is ontworpen om de privacy- en securityrisico’s zoveel als mogelijk te beperken. Met name met de opdeling in rollen en scheiding in verantwoordelijkheden is beoogd het ontstaan van zogenaamde “hotspots” zo veel mogelijk te beperken. Bovendien zijn voor het Introductieplateau specifieke privacybeschermende te identificeren en zijn ook maatregelen toegevoegd middels Requests for Change aan het Afsprakenstelsel eHerkenning 1.9. Laat onverlet dat er gevoelige gegevensverzamelingen ontstaan zowel binnen het domein van het Introductieplateau als in de back office processen van eID Deelnemers en in het bijzonder dan bij de Authenticatiediensten. Bij de Authenticatiediensten worden WID-gegevens en BSN nummers verwerkt. Aanbevelingen 1. Neem in het Afsprakenstelsel toereikende voorwaarden voor doelbinding en toezicht op om die risico’s te elimineren. 2. Dwing dit zo nodig met specifieke wetgeving af. 3. Neem normen op in de Stelsel Audit voor het toetsen van doelbinding, gegevensminimalisatie en gegevensvernietiging 4. Let hierbij in het bijzonder op het BSN gebruik in de private sector
2d
Is het de bedoeling om uniek identificerende gegevens, zoals biometrische gegevens, te verwerken?
x
Ten behoeve van de doeleinden van het eID Stelsel worden juist uniek identificerende gegevens van personen verwerkt. Hoewel het niet expliciet in huidig ontwerp beschreven ligt, maar ook niet uitgesloten wordt, is het voorstelbaar dat voor uniek identificerende gegevens, zoals biometrische gegevens, ruimte zal zijn als gevolg van onder andere de ontwerpeisen Multimiddelenstrategie, “Zorg ervoor dat alle partijen gelijke kansen hebben ”en “Keuzevrijheid in aanschaf en gebruik”. 45 Hieronder wordt hier nader op ingegaan. Deze gedachten gang is ook bij het Introductieplateau niet losgelaten. Door de multimiddelenstrategie zijn er binnen het Introductieplateau ook meerdere eID-middelen beschikbaar. Voordelen hiervan zijn dat de gehele populatie van mogelijke Gebruikers sneller afgedekt wordt en dat men indien nodig direct terug kan vallen op een ander middel. De middelen zijn daarnaast breed inzetbaar; bedrijven en consumenten kunnen dezelfde middelen voor de diensten van zowel de overheid als van bedrijven gebruiken. Bedrijven hoeven daardoor niet te investeren in het uitgeven van eigen middelen om diensten te kunnen aanbieden aan burgers. De ontwerpeis” Zorg ervoor dat alle partijen gelijke kansen hebben”, herbergt potentiële inherente beperkingen. De keuze van de overheid om ook of zelfs uitsluitend een of meer publieke Authenticatiediensten of Machtigingsdiensten aan te bieden in het eID Stelsel mag niet leiden tot oneerlijke concurrentie tussen publieke en private partijen die in het eID Stelsel diensten aanbieden of middelen uitgeven. Dat betekent dat de overheid goed moet kunnen definiëren en onderbouwen waar het belang van realisatie van publieke diensten in het eID Stelsel ligt. Daarnaast moet er ruimte zijn voor alle partijen om innovatie door te voeren binnen de geldende afspraken van het eID Stelsel.
45
Zie Stakeholders, belangen en ontwerpeisen, par. 4.2, E11en E13.
63
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen De ontwerpeis “Keuzevrijheid in aanschaf en gebruik”, geeft burgers en bedrijven keuzevrijheid ten aanzien van de eID-middelen die zij willen gebruiken. Men kan kiezen voor één publiek of privaat eID-middel. Men kan er ook voor kiezen om meerdere eIDmiddelen naast elkaar te gebruiken. Binnen het Introductieplateau werkt het gebruik van meerdere eID-middelen naast elkaar binnen het BSN-/Burgerdomein wat anders uit dan binnen het Consumentendomein”: - Binnen het BSN/Burgerdomein leidt het gebruik van meerdere eID middelen telkens tot dezelfde authenticatie en identificerende gegevens: het zelfde pseudoniem. - Binnen het Consumentendomein leidt het gebruik van meerdere eID middelen door een Gebruiker voor authenticatie bij een Dienstverlener tot verschillende identificerende gegevens / pseudoniemen bij deze Dienstverlener. Bij gebruik van meerdere eID-middelen is er dus binnen het consumentendomein sprake van een verdere beperking van de uniekheid van identificerende gegevens. Dit geeft mogelijkheden tot een privacybevorderend effect. Overigens is er sowieso al sprake binnen het consumentendomein dat de pseudo-identiteiten van één gebruiker verschillend zijn per Dienstverlener. Conclusie 1. Het verwerken van uniek identificerende gegevens is noodzakelijk in het kader van de doelstellingen van het Introductieplateau en ook het toekomstige eID Stelsel (behoudens die gevallen waarbij bijvoorbeeld met een attribuut aangaande de leeftijd bij een Dienstaanbieder kan worden volstaan); 2. Er zijn maatregelen voorzien waarbij de verwerking van uniek identificerende gegevens van Gebruikers over de dienstverleners heen beperkt worden; 3. Hoewel het verwerken van uniek identificerende gegevens, zoals biometrische gegevens, nog niet expliciet als mogelijkheid binnen het eID Stelsel wordt genoemd, is dit op basis van de ontwerpeisen van het Stelsel mogelijk; 4. Op basis van de nu beschikbare ontwerpdocumentatie komen wij tot de conclusie dat de verwerking van de primaire biometrische identificerende gegeven binnen het domein van de Authenticatiedienst geschiedt. Deze gegevens worden omgezet in geencrypte pseudo-identiteiten binnen het Stelsel, onafhankelijk van het ingezette Biometrische Middel. Er gaan dus geen biometrische gegevens “door het Stelsel netwerk”. Het gebruik van biometrische gegevens in identity management informatiesystemen kent afhankelijk van de toepassingen specifieke risico’s, waarmee in het ontwerp rekening moet worden gehouden. Dit slaat dan vooral neer bij voorwaarden die bij de Authenticatiedienst moeten worden nagekomen aangaande de hieraan gerelateerde gegevensverwerkingen. Aanbevelingen 1. Overweeg om bij het Introductieplateau af te zien van Biometrische Authenticatie Middelen 2. Denk tijdens de verdere ontwerpfase tijdig na over de noodzaak/wenselijkheid van het verwerken van biometrische gegevens bij de Authenticatiediensten ten behoeve van de doelstellingen van het Stelsel. 3. Laat hier een gefocuste privacy risico analyse uit uitvoeren. 4. Neem de uitkomst ervan tijdig mee in de toekomstige ontwerpeisen van het Stelsel en in het Afsprakenstelsel. Deze specifieke voorwaarden die hieruit voortvloeien zouden dan ook in de vorm van normen kunnen worden opgenomen in de Stelsel Audit.
64
Nr.
Vraag
J
2e
Is het de bedoeling om het BSN-nummer, of een ander persoonsgebonden nummer te verwerken?
x
N
Bevindingen / Risico’s / Aanbevelingen Het BSN gebruik is een wezenlijk onderdeel van het Introductieplateau eID. Met het BSN wordt in het introductieplateau geborgd dat er een koppeling kan worden gelegd tussen een privaat authenticatiemiddel en het BSN van de houder daarvan. Hiermee kan de houder van het BSN vervolgens inloggen in het publieke domein. (Nauwkeuriger geformuleerd: inloggen in het BSN Domein). Voorts worden persoonsgebondennummers verwerkt uit WID documenten. Verder dienen ook de persistente Pseudo-identiteiten als persoonsgebondennummers te worden beschouwd. Door het gebruik van het BSN in combinatie met persoonsgegevens van het WID wordt de betrouwbaarheid van het toekennen van authenticatiemiddelen en daaraan gekoppeld een betrouwbare digitale identiteit (Pseudo-identiteit) geborgd waarbij de uniciteit van de digitale identiteiten eveneens een hoge mate van betrouwbaarheid kennen. In het Introductieplateau eID wordt het verwerken van het BSN zoveel mogelijk beperkt. De verwerking van het BSN geschiedt bij het BSN Koppelregister in het Publieke Domein. In het Private Domein wordt het BSN eenmalig gebruikt bij het toetreden (Registratieproces) van een Gebruiker tot het Stelsel waarbij een Authenticatiemiddel wordt aangevraagd en een Pseudoidentiteit als representatie aan de Gebruiker wordt toegekend. Al vorens toekenning van de Pseudo-identiteit vindt validatie plaats van het bestaan van het BSN via het BSN Koppelregister bij het BRP46 plaats. De Authenticatiedienst mag het BSN na bovengenoemde actie het BSN niet voor andere doeleinden gebruiken. Dit is een procedurele afspraak. Bij het herhaalde reguliere authenticatie proces voor een Gebruiker die wil inloggen bij een overheidsdienstaanbieder wordt het BSN op een andere manier verwerkt. Het BSN loopt dan niet meer via de Authenticatiedienst en is bij de Makelaar het BSN niet leesbaar vanwege de toegepaste encryptie. Communicatie verloopt dan alleen nog van het BSN Koppelregister naar de Overheidsdienstaanbieder of private BSN Dienstverlener die alleen de voor haar bestemde geëncrypte BSN kan ontcijferen. Kortom, niet binnen alle rollen en componenten speelt het BSN nummer een rol. Het Introductieplateau kan ook zonder BSN functioneren voor alleen het Private Domein. Het BSN speelt dus alleen een rol indien een Gebruiker in het BSN domein wil inloggen bij regulier gebruik én bij de eerste uitreiking van een authenticatiemiddel Het BSN gebruik is met deze opzet van de architectuur geminimaliseerd waarbij toch een privaat/publiek gebruik van een eID is bereikt. Als een Gebruiker in een bepaalde rol een dienst af wil nemen, genereert het eID Stelsel een PseudoID als representatie van de Gebruiker bij de Dienstaanbieder. De PseudoID is specifiek en persistent voor De Authenticatiedienst, Gebruiker en Dienstaanbieder. Een Gebruiker kan dus meerdere PseudoIDs aanvragen als de Gebruiker gebruik maakt van meerdere middelen en/of meerdere authenticatiediensten. Tijdens het transport van deze persoonsgegevens waaronder de PseudoIDs wordt gebruik gemaakt van end-to-end encryptie waarbij per sessie een nieuwe encryptieset wordt gegenereerd. Risico’s van tracking en replay op sessieniveau zijn hiermee
46
In sommige documenten wordt in plaats van het BRP ook het GBA-V genoemd
65
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen gereduceerd. De aanvraag is gebaseerd op een beperkte set persoonsgegevens, die opgenomen zijn in een WID (een document als bedoeld in lid 1 van de Wet op de Identificatieplicht of een daarmee gelijk te stellen buitenlands identiteitsdocument). De te gebruiken gegevens zijn geslachtsnaam, eerste voornaam, overige voorletters, geboortedatum en geboorteplaats; als één van de gegevens niet bekend is wordt een nader te bepalen standaardwaarde gebruikt. Een PseudoID is persistent, uniek voor de Ontvangende Partij i.c. de Dienstaanbieder en wordt vastgesteld en toegewezen per Ontvangende Partij door de Authenticatiedienst. De Ontvangende Partijen van het PseudoID zijn: de Dienstaanbieder in het consumentendomein (een per Dienstaanbieder specifiek PseudoID) het BSN-Koppelregister in het burgerdomein (een specifiek PseudoID) het Machtigingenregister in het zakelijke domein ( een intern PseudoID, maar nu buiten scope van het Introductieplateau) Was in eerdere ontwerpen nog sprake van een Polymorf, randomizeerbaar PseudoID, in het Introductieplateau is deze eigenschap losgelaten. In de beperkte functionaliteit van het Introductieplateau zijn de gevolgen van een hierdoor hogere herleidbaarheid beperkt. Immers, bij de makelaar zijn de betreffende gegevens niet zichtbaar. Herleidbaarheid blijft beperkt bij BSN Koppelregister en de Authenticatiedienst. Indien het Introductieplateau wordt uitgebreid met nieuwe rollen, zoals Machtigingsregister, SectorID functie, attributendiensten, is een nieuwe risicoanalyse wenselijk op de vormgeving van de PseudoIDs.
Conclusie 1. Het Gebruik van het BSN wordt in het eID Stelsel zo veel mogelijk beperkt en alleen gebruikt voor de doeleinden waarvoor dit daadwerkelijk nodig is, waaronder betrouwbare identificatie van de Gebruiker 2. Controle op naleving van het niet voor andere doeleinden gebruiken van BSN bij Authenticatiediensten is een aandachtspunt. Het verdient overweging om aandacht hier voor te vragen in de Stelsel audit. 3
Kan van elk van de onder vraag I.1 en vraag I.2 opgevoerde typen persoonsgegevens worden gesteld dat zij beleidsmatig of technisch direct van belang en onontbeerlijk zijn voor het bereiken van de beleidsdoelstelling? Wat zou er precies niet inzichtelijk worden als ervoor wordt gekozen bepaalde gegevens niet te verwerken? Licht per te verwerken persoonsgegeven toe.
x
De vraag of van elk van de onder vraag I.1 en vraag I.2 opgevoerde typen persoonsgegevens kan worden gesteld dat zij beleidsmatig of technisch direct van belang en onontbeerlijk zijn voor het bereiken van de beleidsdoelstelling, is van bijzondere betekenis voor het eID Stelsel. Het eID Stelsel is vooral een concept om het gebruik van persoonsgegevens te minimaliseren bij het bereiken van het doel: het verschaffen van een betrouwbaar middel voor het identificeren, autoriseren en tzt. ook machtigen van personen in de digitale wereld, voor zowel het publieke als het private domein, voor burgers en bedrijven. Hiermee wordt geanticipeerd op de maatschappelijke ontwikkeling dat meer en meer van het maatschappelijke verkeer via digitale kanalen plaatsvindt. Dit is binnen het Introductieniveau niet veranderd. Het eID Stelsel kent daarvoor ook een vorm van “functiescheidingen” die per type verwerking tot doel heeft om de verwerking van persoonsgegevens in het Stelsel te minimaliseren én dit geldt ook voor het onthullen ervan per Ontvangende partij/Dienstaanbieder. Op onderdelen van het Stelsel zijn extra gegevensminimaliserende maatregelen genomen of te nemen, afhankelijk van de keuze van de Gebruiker. Onder vraag 2 is bijvoorbeeld al aangegeven, dat: Er een functiescheiding bestaat binnen de architectuur van het Introductieplateau waarmee een afscherming is bereikt
66
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
tussen het publieke en het private domein aangaande het gebruik van het BSN. Het BSN gebruik is geminimaliseerd hiermee; Een PseudoID is persistent, uniek voor de Ontvangende Partij en uniek voor de Gebruiker en het gekozen Middel. Dat wil zeggen dat Dienstaanbieders gegevens van Gebruikers onderling niet via de PseudoIDs kunnen vergelijken / matchen; End-to-end encryptie borgt dat de eID Makelaars de betrokken identificerende persoonsgegevens niet kunnen inzien; Het de ontvanger wel in staat stelt om een historie op te bouwen van het gebruik van de Handelende Persoon / Gebruiker / Uitvoerend natuurlijk persoon van het stelsel. Dat dit niet mogelijk of nodig is in de situatie dat bijvoorbeeld alleen een specifieke eigenschap van de Handelende Persoon /Gebruiker (bijvoorbeeld ‘ouder dan 18?’) vereist wordt. In dat geval bevat de Identiteitsverklaring alleen de Versleutelde PseudoID. Dat is voor de Ontvangende Partij voldoende. Hij kan uit de ontvangen gegevens uit deze identiteitsverklaring afleiden / vertrouwen dat de identiteit deugdelijk is vastgesteld, dat de persoon in kwestie inderdaad ouder is dan 18, maar behoeft verder geen persoonsgegevens te weten . Daarmee bevat de keten precies voldoende informatie voor de Ontvangende Partij. Dit borgt ook dat de Ontvangende Partij/Dienstaanbieder ook niet meer gegevens krijgt dan waar hij recht op heeft. Dit in lijn met het principe van dataminimalisatie. Deze functionaliteit is wel afhankelijk van de keuzes die de Ontvangende partij / Dienstaanbieder hiertoe maakt. Een “volledige anonieme” levering van bijvoorbeeld een leeftijdsattribuut, dus ook zonder PseudoID en dat de Dienstverlener de Gebruiker toch kan relateren aan een eerder bezoek is in de specificaties eHerkenning 1.9 niet opgenomen.
In het document Beschrijving van Idensys in het Introductieplateau versie 0.8 met toevoegingen in de requests for change in de bijlage 3 zijn de berichten met de datasets opgenomen die tussen de eID Deelnemers in het Introductieplateau kunnen worden uitgewisseld. Deze beschrijvingen zijn ook conform de Systeemdiagrammen opgenomen in deze beschrijvingen. Het betreft de koppelvlakken: BSN Koppelregister – BRP BSN Koppelregister – Makelaar BSN Koppelregister – Authenticatiedienst Authenticatiedienst – Makelaar Authenticatiedienst – Gebruiker Makelaar - Dienstaanbieder Hierbij moet opgemerkt worden dat er verschillen in de koppelvlakken bestaan en de daarlangs uitgewisselde gegevens afhankelijk van het gebruik van het Introductieplateau in het Private en in het BSN-domein. Dit is duidelijk beschreven in de ontwerpdocumentatie. In het document Afsprakenstelsel eHerkenning 1.9, in het hoofdstuk Interface Specifications zijn ook nog nadere specificaties opgenomen welke buiten het het Introductieplateauvallen. Wij gaan ervan uit dat de Beschrijving van Idensys in het Introductieplateau versie 0.8 met toevoegingen in de requests for change in de bijlage 3 leidend zijn boven de interface beschrijvingen in het document Afsprakenstelsel eHerkenning 1.9, in het hoofdstuk Interface Specifications. Hierin wordt bijvoorbeeld op pagina 163 het Machtigingsregister genoemd. Inmiddels is duidelijk dat het machtigingsregister wel gebruikt wordt binnen eHerkenning voor zakelijk gebruik, maar niet gebruikt zal worden in het Introductieplateau. Op het niveau van deze PIA komt de inhoud van de berichten ons voor als zijnde noodzakelijk voor het effectueren van de te onderscheiden doelstellingen van het eID Stelsel. Dit geldt ook voor de algemene specificaties voor de berichten. Voor de typen gegevens in de berichten tussen de eID Deelnemers wordt kortheidshalve verwezen naar de inhoud van de specificaties in het
67
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen document Beschrijving van Idensys in het Introductieplateau versie 0.8 met toevoegingen in de requests for change in de bijlage 3. Conclusies 1. Van elk van de onder vraag I.1 en vraag I.2 opgevoerde typen persoonsgegevens (lees hier: de datasets zoals per koppelvlak gedefinieerd in document Beschrijving van Idensys in het Introductieplateau versie 0.8 en de interface definities uit het Afsprakenstelsel eHerkenning 1.9 kan worden gesteld dat zij beleidsmatig of technisch direct van belang en onontbeerlijk zijn voor het bereiken van de eerder aangegeven beleidsdoelstellingen van het Introductieplateau eID Stelsel. 2. Voor bepaalde doeleinden, bijvoorbeeld het vaststellen van de leeftijd van een Gebruiker is het voor een dienstaanbieder niet nodig om daarbij de identiteit van de Gebruiker te vernemen. Volstaan kan worden met het leveren van een attribuut, dat een persoon ouder of jonger is dan een bepaalde leeftijd, mits de Dienstaanbieder dit functioneel ondersteunt 3. Het gebruik van BSN is geminimaliseerd in het Introductieniveau door afbakeningen tussen het gebruik ten behoeve van het BSN Domein en het private domein of wel tussen het burger- en het consumentendomein; 4. De Makelaar als belangrijke ketenpartner heeft geen toegang tot de via hem verwerkte gegevens vanwege de toegepaste end-to-end encryptie; 5. De genoemde risico’s aangaande het BSN worden in de opzet van de architectuur en zijn door dataminimalisatie zo veel als mogelijk gemitigeerd; 6. Het ontstaan van (gevoelige)persoonsgegevens als gevolg van een steeds verdergaand gebruik van het introductieplateau is een punt van zorg. Het is nog steeds zo inherent aan de eigenschappen van elk Identity Management System, dat er hotspots ontstaan bij in dit geval het BSN Koppelregister en de Authenticatiedienst. 47 7. Ingeval van een PseudoID die is opgeslagen op een “secure device” kan bij uitlezen door het middel zelf worden gerandomiseerd. Met behulp van een secure device is het voor de Authenticatiedienst niet meer mogelijk om de PseudoID te herkennen en dus de authenticatie kan uitvoeren zonder te weten over welke van zijn klanten het gaat. Dit biedt een extra niveau van privacybescherming.. Ingeval van het gebruik van een “secure device” is het niet meer mogelijk om precies vast te leggen welk gebruik er van een kaart wordt gemaakt. Maar dit verhoogt weer het risico voor de omkering van de bewijslast (reductie in functionaliteit) van de betrokkene ingeval van misbruik van de kaart, althans als er niet langs een andere weg een audittrail wordt bijgehouden. Uit de ontwerpdocumentatie blijkt niet of er voldoende is onderzocht welke mogelijkheden er hiertoe zijn of kunnen worden ontwikkeld. Vanuit het architectenteam aangegeven dat met het wegvallen van de polymorfe Pseudo-identiteiten het binnen het Introductieplateau EH1.9 het gebruik van secure devices lastiger is te realiseren en ook minder zekerheid biedt. Het secure device dient dan de public key van de Dienstverlener te ontvangen waarmee het pseudonieum geencrypt kan worden. Bovendien dient de Authenticatiedienst eveneens de juiste public keys aan te leveren aan het secure device. Het concept van polymorfe Pseudo-identiteiten biedt inherent meer technische waarborgen die het gebruik van secure devices mogelijk maakt. Dit biedt wellicht nog mogelijkheden voor de toekomst voor aanvullende privacymaatregelen. In de ontwerpdocumentatie eID Stelsel 1.0 is de mogelijkheid van een secure device wel onderzocht en beschreven.
47
De conclusie is beperkt tot de informatie en casusposities die in de “Beschrijving van Idensys in het Introductieplateau versie 0.8 zijn gegeven. Voor de precieze beantwoording van de vraag zal een verdergaande analyse per gegeven(set) per eID Deelnemer en Dienstverlener / Ontvangende Partij moeten worden uitgevoerd en mede aan de hand van de Interface specifications. Dit vergt veel tijd en dient schematisch te gebeuren, waarvoor we hier een voorbehoud maken.
68
Nr.
4
Vraag
Kan als het gaat om gevoelige persoonsgegevens hetzelfde beleidseffect of technisch resultaat worden bereikt op een van de volgende wijzen: (a) door (gecombineerd) gebruik van normale persoonsgegevens, (b) door gebruik van geanonimiseerde of gepseudonimiseerde gegevens?
J
x
N
Bevindingen / Risico’s / Aanbevelingen Aanbevelingen 1. Synchroniseer de beschrijvingen in het documenten “Beschrijving van Idensys in het Introductieplateau versie 0.8 met toevoegingen in de requests for change in de bijlage 3 “en de interface beschrijvingen in het document “Afsprakenstelsel eHerkenning 1.9, het hoofdstuk Interface Specifications”. Dit voorkomt eventuele misverstanden. 2. Overweeg na evaluatie van het Introductieplateau de mogelijkheden te verkennen van het gebruik van secure devices ic. functionaliteit zoals van de IRMA-kaart en neem hiermee in beschouwing dat er verschillende toepassingsgebieden kunnen bestaan met verschillende eisen aan functionaliteit als het gaat om auditrails en bewijslast. 3. Verder geen aanbevelingen. Binnen de “kern van het eID Stelsel” en in dit geval binnen het Introductieplateau worden indirect gevoelige gegevens verwerkt (zoals bijvoorbeeld de identiteit van zorginstellingen, als Dienstaanbieders i.c, zijnde aan een Gebruiker gekoppeld gegeven omtrent iemands gezondheid) gekoppeld aan identificerende en authenticatiegegevens van een Gebruiker, waaronder ook zogenaamde verklaringen). Binnen dit Introductieplateau wordt gebruik gemaakt van Pseudo-identiteiten (die ook weer versleuteld worden) met daaraan gekoppelde versleutelde attributen, die uitsluitend weer door een specifieke ontvangende partij met behulp van een geheime sleutel kunnen worden ontsleuteld. In dat verband wordt verwezen naar de beantwoording van vraag de voorgaande vragen 2 en 3. In al de gevallen waarbij langs die weg in het Introductieplateau (of langs een andere weg daarbuiten) de identiteit van een Gebruiker kan worden vastgesteld, blijft er sprake van het verwerken van (gevoelige) persoonsgegevens. Conclusie 1. Binnen het Introductieplateau eID-Stelsel wordt voor het mitigeren van privacy risico’s zo veel als maar mogelijk is bij het verwerken van gevoelige persoonsgegevens gebruik gemaakt van Pseudo-identiteiten voor Gebruikers en het versleutelen van indirect gevoelige gegevens.
5
In welk breder wettelijk, beleidsmatig of technisch kader wordt het voorziene beleid/databestand/informatiesysteem ontwikkeld en wat voor soort(en) verwerking(en) van persoonsgegevens gaan hiervan deel uitmaken bij het voorziene traject? Wordt hierbij gebruikt gemaakt van (nieuwe) technologie of informatiesystemen?
x
De ontwikkeling van het eID Stelsel/ Idensys maakt onderdeel uit van het regeerakkoord. In het regeerakkoord is de doelstelling opgenomen dat burgers en bedrijven in 2017 digitaal met de overheid zaken moeten kunnen doen. Van belang is daarbij een veilige en betrouwbare toegang voor burgers en bedrijven tot deze elektronische dienstverlening. Hierbij moet de identiteit en de bevoegdheid van burgers en bedrijven met een voldoende mate van zekerheid vastgesteld kunnen worden. Er is een breed gedragen gevoel van urgentie: het toenemende gebruik en de noodzaak tot voorkoming van misbruik vraagt om een elektronische identiteitsvaststeblling die meer betrouwbaar en toekomstbestendig is. Nieuwe technologische en economische ontwikkelingen bieden kansen en vragen tegelijk om continue alertheid op veiligheidsrisico’s. Nieuwe technologische en economische ontwikkelingen bieden kansen en vragen tegelijk om continue alertheid op veiligheidsrisico’s. Een toekomstbestendige betrouwbare identiteitsvaststelling is een essentiële voorwaarde. Tot nu toe hebben publieke en private organisaties hun eigen oplossingen bedacht voor online identificatie. Deze oplossingen zijn onderling niet of beperkt uitwisselbaar en in een aantal gevallen niet meer toereikend, zoals bij transacties waarbij privacygevoelige informatie wordt uitgewisseld. Het investeren in nieuwe voorzieningen met een hoger betrouwbaarheidsniveau is kostbaar voor deze organisaties. Daarom streven we naar een stelsel met publiek en private partijen om kosten te spreiden. Bovendien moeten kwetsbaarheden en afhankelijkheden van een enkele oplossing worden voorkomen (lees: Diginotar). De ministeries van BZK en EZ, enkele grote uitvoeringsorganisaties en medeoverheden hebben daarom in 2012 een strategische verkenning uitgevoerd naar de mogelijkheden voor een publiek-privaat stelsel voor elektronische identificatie (het
69
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen eID Stelsel). De uitgangspunten van de strategische verkenning zijn in 2014 getoetst bij een brede groep publieke en private organisaties zoals de gemeentelijke overheden, de grotere uitvoeringsorganisaties verenigd in de Manifestgroep, juridische dienstverleners (onder andere advocatuur, notariaat), leveranciers van authenticatiediensten, de thuiswinkelbranche en het bank- en verzekeringswezen. Er is draagvlak om publiek-privaat samen te werken aan de totstandkoming van het eID Stelsel met Met het eID Stelsel wordt tevens een bijdrage geleverd aan de bestrijding van cybercrime en identiteitsfraude omdat bij gebruik van middelen met een hoger betrouwbaarheidsniveau met grotere zekerheid kan worden vastgesteld dat degene die handelt ook werkelijk degene is die hij zegt te zijn. Ook moet het stelsel bijdragen aan een betere naleving van leeftijdsverificatie alvorens bepaalde diensten of producten worden verleend of verstrekt. In Nederland worden via verschillende sporen elektronische identificatie-diensten aangeboden. Aan de overheidszijde is er onder andere voor natuurlijke personen DigiD, bedrijven kunnen gebruik maken van eHerkenning. In de private sectoren werken organisaties eveneens met diverse authenticatievoorzieningen: denk aan bankpassen en middelen om toegang te krijgen tot de dienstverlening van webwinkels. De huidige scheidslijnen tussen de privaat en publiek georganiseerde vertrouwensdienstverlening leveren een aantal onwenselijkheden en risico’s op. Zo zijn er onnodige administratieve lasten voor burgers en bedrijven. Voor het verkrijgen van toegang tot publieke elektronische diensten, moeten burgers en bedrijven andere authenticatiemiddelen gebruiken dan voor de toegang tot private elektronische diensten. Een risico is dat bij uitval van een voorziening niet overgeschakeld kan worden naar een back-up. Hierdoor kan de continuïteit van de dienstverlening niet in alle gevallen gegarandeerd worden. Publieke en private organisaties geven in het kader van fraudepreventie en privacy-bescherming aan bij bepaalde transacties pas verder te willen digitaliseren als mensen en organisaties op een hoger betrouwbaarheidsniveau digitaal kunnen aantonen dat ze daadwerkelijk zijn wie ze zeggen te zijn. Private organisaties lopen zo minder risico op niet-inbare facturen en oplopende betalingstermijnen die voor extra kosten zorgen. Overheidsorganisaties kunnen de effecten van identiteitsfraude bij het innen van heffingen of het uitkeren van subsidies en andere financiële tegemoetkomingen beperken. Ook is er behoefte aan voorzieningen voor betere naleving van wettelijke leeftijdseisen die aan (online) levering van bepaalde producten en diensten zijn verbonden. Binnen het eID Stelsel worden diverse bestaande en nieuwe, publieke en private middelen met verschillende betrouwbaarheidsniveaus voor online identificatie ondergebracht. Dit wordt een multi-middelenstrategie genoemd. Het stelsel biedt de gebruiker de gelegenheid om de omvang van zijn of haar digitale sleutelbos (eID middelen) zelf te bepalen als mede keuzevrijheid bij het gebruik van het middel. Tegelijkertijd worden de elektronische dienstaanbieders door het stelsel ontzorgd omdat het stelsel zorgdraagt voor authenticatie van het middel. In het Introductieplateau nog niet, maar in een vervolg kan via het Stelsel ook worden vastgesteld of de gebruiker bevoegd is namens een ander te handelen (op basis van een machtiging of wettelijke vertegenwoordiging). Ook wordt met het eID Stelsel al in het Introductieplateau een terugvaloptie gecreëerd: bij uitval van één middel kan de gebruiker overstappen op gebruik van een ander middel. Tot zover zijn de uitgangspunten voor het ontwerp van het Idensys Introductieplateau eID niet anders dan de voorafgaande ontwerpen waaronder het eID Stelsel ontwerp versie 1.0. De invulling van het Introductieplateau is echter nu gebaseerd op het al bestaande Afsprakenstelsel eHerkenning. Het Afsprakenstelsel eHerkenning is in de onderhavige ontwerpdocumentatie aangepast om de publiek-private samenwerking mogelijk te maken. Hierbij wordt dus maximaal gebruik gemaakt van al
70
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen bestaande ontwerpen en technologiën. Dienstverleners kunnen hierbij gebruik blijven maken en blijven aansluiten op eHerkenning. Aansluiten op eHerkenning blijft zodoende toekomstvast ongeacht de uitkomsten van de Pilots rond het Introductieplateau. Het kabinet is uitdrukkelijk van mening dat er voluit ruimte moet zijn voor inzet van private eID-voorzieningen, ook voor natuurlijke personen. Dat is zeer gewenst in het kader van de beschreven multi-middelenstrategie. In de lopende oriënterende besprekingen met private partijen wordt hierop dan ook ingezet. De huidige marktmiddelen bieden wel al oplossingen, maar zijn op dit moment nog niet breed uitgerold. Er kan niet gegarandeerd worden dat er zonder inzet van een Introductieplateau tijdig (uiterlijk eind 2017) voldoende private middelen op een hoog beveiligingsniveau (in Europese termen: STORK 4 niveau) voor burgers beschikbaar zullen zijn.
Momenteel wordt een concept Verordening elektronische identiteiten en vertrouwensdiensten besproken tussen de lidstaten van de Europese Unie. Deze verordening gaat onder andere de wederzijdse erkenning van identificatiemiddelen tussen de lidstaten regelen. Hierdoor wordt grensoverschrijdende elektronische overheidsdienstverlening aan burgers en ondernemers vergemakkelijkt (eIDAS). De verordening betekent dat Nederland Authenticatiemiddelen uit andere lidstaten, moet kunnen accepteren. Omgekeerd moeten andere lidstaten Middelen uit het Nederlandse eID Stelsel accepteren als burgers of ondernemers digitale diensten in die lidstaten willen afnemen. Bij de ontwikkeling van het eID Stelsel wordt rekening gehouden met de verwachte eisen die gesteld worden op grond van de Europese Verordening. Voor de totstandkoming van het eID Stelsel is het programma eID ingericht en is het realiseren en uitvoeren van pilots in het kader van het Introductieplateau een eerste concrete stap, onder aansturing vanuit een stuurgroep waarin diverse stakeholders zijn vertegenwoordigd. Gedurende de looptijd van het programma is er een tijdelijke governance voor het Introductieplateau eID Stelsel/ Idensys waarin publieke en private partijen deelnemen. Na afloop van het programma komt er een definitieve governance voor het eID Stelsel / Idensys waarin de publiek-private samenwerking op langere termijn wordt geborgd. De definitieve besluitvorming over de inrichting van het eID Stelsel kan pas plaatsvinden als de hiermee samenhangende uitgaven en ontvangsten volledig in kaart zijn gebracht en alle uitgaven zijn gedekt. De Tweede Kamer zal hier op een later tijdstip nader over geïnformeerd worden. De minister van EZ draagt de verantwoordelijkheid voor het eID Stelsel; de minister van BZK is specifiek verantwoordelijk voor het verwerken van de BSN binnen het Stelsel ten behoeve van het BSN domein.48
48
Zie Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, kenmerk 2013-0000730734, betreffende het eID Stelsel en DIgiD-kaart, met bijlage: Opzet eID Stelsel, aan de Voorzitter van de Tweede Kamer der Staten-Generaal, waaruit teksten voor de beantwoording van de vraag nagenoeg letterlijk zijn overgenomen. Zie verder ook: Agenda Tweede Kamer der Staten-Generaal, Vaste commissie voor Binnenlandse Zaken, Algemeen Overleg, 5 maart 2014, Agendapunten Invoering eID Stelsel en DigiD-kaart; Kabinetsvisie aanpak identiteitsfraude ‘Slim voorkomen, vlot herstellen’; Recente incidenten met fraude DigiD. Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, kenmerk 2013-0000776428, betreffende Kabinetsvisie aanpak identiteitsfraude ‘Slim voorkomen, vlot herstellen’, aan de Voorzitter van de Tweede Kamer der Staten-Generaal, met bijlage bij de kabinetsvisie op de aanpak van identiteitsfraude;
71
Nr.
Vraag
J
Relevante wet- en regelgeving voor de PIA
x
N
Bevindingen / Risico’s / Aanbevelingen In het kader van de verwerking van persoonsgegevens binnen de doelstellingen van het eID Stelsel NL is de volgende wet- en regelgeving relevant: De bepalingen van de Wbp; De Privacyrichtlijn 95/46/EG; Diverse Opinions van de Working Party Article 29; De Elektronische handtekeningenrichtlijn 1993/93/EG; De WGBA; de WGBO; Wet algemene bepalingen burgerservicenummer (Wabb). Op basis van het huidige ontwerp van het eID Stelsel en gegeven de technologische aard van dit systeem zijn ook relevant: Het ontwerp voorstel nieuwe Privacy Verordening van de EU On the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) 25.1.2012; Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market /* COM/2012/0238 final - 2012/0146 (COD); E-privacyrichtlijn 2002/58/EG, de Dataretentierichtlijn 2006/24/EG; Telecommunicatiewet (hoofdstuk 11); Besluit meldplicht datalekken met ingang van 1 januari 2016. Relevante beleidskaders zijn onder meer te vinden in voornemen van de Nederlandse overheid om een geheel nieuw digitaal identiteitensysteem te ontwikkelen zoals vastgelegd in de volgende documenten: eID Stelsel Nederland, een strategische verkenning en voorstel voor vervolg, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, oktober 2012; Zie ook de verantwoording van de documenten bij de voorgaande antwoord. Specifiek voor het Introductieniveau zijn aanvullend relevant: Besluit van de Minister van Economische Zaken van 15 april 2015, nr WJZ/15023462, houdende instelling van de besturing van een afsprakenstelsel elektronische toegangsdiensten, (Instellingbesluit besturing elektronische toegangsdiensten), Staatscourant nr 10829, 16 april 2015 Concept van …. houdende de regels over een voorziening voor het leggen van een koppeling tussen een privaat authenticatiemiddel en het BSN van de houder daarvan voor gebruik in het publieke domein (Besluit BSN Koppelregister) Wet Elektronisch Berichtenverkeer Belastingdienst waarover eind 2015 een besluit wordt genomen. Aanbevelingen 1. Breng de relevante wet- en regelgeving in de ontwerp documentatie verder in kaart en laat dit valideren;
Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, kenmerk 2013-0000723585, betreffende Nadere reactie op verzoek om aandacht vertrouwelijkheid DigiD inloggegevens, aan de Voorzitter van de Tweede Kamer der Staten-Generaal. Rapport Identiteit in cijfers, 12 december 2013, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties;
72
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen 2. 3.
II
Hou hierbij ook rekening houden met het feit dat de relevante EU regelgeving nog in ontwikkeling is. Monitor de voortgang rond definitieve besluitvorming aangaande het gebruik van BSN in het publiek - private domein, ic bij de authenticatiedienst.
Doelbinding, koppeling, kwaliteit en profilering Privacy principe Doelbinding Privacy principe Limitering van gebruik van gegevens Doeleinden/doelbinding en koppeling
1
Hebt u het/de specifieke doel(en) waarvoor u de persoonsgegevens gaat verwerken in detail vastgesteld? Geldt hiervoor één en hetzelfde specifieke doel?
x
x
De beantwoording van de vraag of het/de specifieke doel(en) waarvoor u de persoonsgegevens gaat verwerken in detail vastgesteld en geldt hiervoor één en hetzelfde specifieke doel, vereist een benadering op verschillende niveaus: Het niveau van het Introductieplateau eID Stelsel in de meest brede zin; Het niveau van het Introductieplateau eID Stelsel voor de kernfunctionaliteiten; Verantwoordelijkheden van de binnen het Introductieplateau eID Stelsel te onderkennen “deelsystemen”; eID deelnemers, Dienstaanbieders en andere mogelijk aangesloten derde Partijen. Het doel van het Introductieplateau eID Stelsel is: Het creëren van een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur die gebruikt kan worden door zowel publieke als private Dienstaanbieders en die publiek-privaat beheerd en doorontwikkeld wordt. Mogelijk maken dat publieke Dienstaanbieders de toegang en afhandeling van online dienstverlening vanaf 2015; via het eID Stelsel kunnen inrichten waardoor zij de doelstelling ‘Digitaal 2017’ uit het regeerakkoord kunnen realiseren: Bedrijven en burgers kunnen in 2017 zaken met de overheid digitaal afhandelen.49 De algemene doelstelling van het Introductieplateau is om het eenvoudig mogelijk te maken voor burgers, bedrijven en overheden om veilig online in te loggen en transacties te kunnen doen bij bedrijven en overheden. Dienstaanbieders te ontzorgen. Zij hoeven alleen op een makelaar aan te sluiten om standaard berichten te kunnen ontvangen in zowel het burger- als bedrijvendomein (zie figuur 2). Dienstaanbieders hoeven zelf geen middelen uit te geven of inlogvoorzieningen te beheren. Burgers keuzevrijheid te geven met welke van de beschikbare inlogmiddelen zij willen inloggen bij overheden en bedrijven die zijn aangesloten op Idensys. Bovendien kan de burger met een inlogmiddel bij meerdere diensten inloggen en wordt zijn digitale sleutelbos gereduceerd.
49
Het single point of failure van authenticatiemiddelen op te heffen voor burgerauthenticatie in het BSN-domein. Doordat de dienstverlening binnen Idensys door meerdere partijen wordt uitgevoerd, kan ook bij uitval van een partij de rest van de
Bron: Stakeholders, belangen en ontwerpeisen programma eID, par. 1.
73
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen voorzieningen blijven functioneren.
Het Introductieplateau eID Stelsel moet in het najaar 2015 de volgende functionaliteit bieden:50 Inloggen (Identificeren en authenticeren) op een hoog betrouwbaarheidsniveau (betrouwbaarheidsniveaus 3 en 4) bij de private sector en de overheid.
Verstrekken van aanvullende (gevalideerde) persoonsgegevens op basis van user consent51: o
Geslachtsnaam, voornaam, initialen, geboortedatum-/plaats
o
Leeftijdsverificatie
Deze informatie wordt door de authenticatiedienst verstrekt en is gevalideerd op basis van een WID. Andere functionaliteiten zoals machtigingen en ontsluiten van andere attribuutregisters zijn nog geen onderdeel van Idensys maar volgen mogelijk later
De specifieke doelen van het Introductieplateau eID Stelsel zijn hiermee op hoofdlijnen beschreven, maar nog niet formeel conform meldingen bij het CBP vastgesteld. Bepaalde onderdelen/componenten/rollen vereisen mogelijk nog nadere uitwerking van de doelen. Aandachtspunt is ook, dat ook in het Introductieplateau eID Stelsel diverse partijen diensten ten behoeve van die algemene doelstellingen verrichten, die weer met verwerkingen van persoonsgegevens worden ondersteund. Aangezien het hier bij de eID Deelnemers (en wellicht ook Dienstaanbieders) om afzonderlijk te onderscheiden verantwoordelijken en bewerkers gaat, zullen per verantwoordelijke specifieke doelstellingen moeten worden geformuleerd die binnen de hoofddoelstellingen van het eID Stelsel passen. Het gaat daarbij om de doelen zodanig te beschrijven, dat zij voldoen aan het doelbindingsprincipe en het principe van het limiteren van verzamelen en gebruiken. Daarbij dient ook aandacht te worden besteed aan de mogelijkheid van combinaties van rollen van eID Deelnemers. Waarbij eID Deelnemers ook Dienstaanbieders kunnen zijn.
Conclusie Op hoofdlijnen zijn de doelstellingen van het Introductieplateau eID Stelsel en van eID Deelnemers in de onderliggende ontwerp documentatie vermeld. Per eID Deelnemer zijn afhankelijk van hun status als verantwoordelijke en/of bewerker nog geen concrete doelstellingen in samenhang met de specifieke dienstverlening en daarmee verband houdende verwerkingen van persoonsgegevens gespecificeerd. De typen datasets die evenwel in de berichten over de koppelvlakken tussen de eID Deelnemers worden uitgewisseld zijn gespecificeerd in het document beschrijving van Idensys in het Introductieplateau, de bijlage 3 met RFC’s en de Interface 50
Bron: Stakeholders, belangen en ontwerpeisen programma eID, par. 2.7.
User consent: de gebruiker moet expliciet akkoord gaan met het verstrekken van persoonsinformatie voordat een authenticatiedienst dit mag verstrekken.
51
74
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Specifications in het Afsprakenstelsel eHerkenning 1.9 Aanbevelingen Onderken met het oog op het doelbindingsprincipe formeel alle (on)gewenste combinaties van eID Deelnemers en Dienstaanbieders en eventuele andere Derde Partijen in het eID Stelsel, dan wel afdoende mitigerende maatregelen; Leg in het Afsprakenstelsel vast aan welke doelstellingen componenten/rollen in het eID Stelsel zich zullen moeten houden. Leg ook afspraken vast over het inrichten van (standaard) meldingen van verwerkingen bij het CBP. Ondersteun de totstandkoming van kwalitatief deugdelijke en transparante bewerkerovereenkomsten door handreikingen en richtlijnen hiervoor op te stellen voor de eID deelnemers.
2
Gaat het bij het project/systeem om gebruik van nieuwe persoonsgegevens voor een bestaand doel, of bestaande doelen binnen al bestaande systemen? (scenario toevoeging nieuwe persoonsgegevens).
x
x
In het Introductieplateau eID Stelsel gaat het zowel om gebruik van nieuwe persoonsgegevens voor bestaande en nieuwe doelen, en bestaande doelen binnen al bestaande systemen. In die zin dat het gaat om het beter op elkaar laten aansluiten van bepaalde eID systemen die bij publieke en private partijen in gebruik zijn. Zoals DigiD, e-Herkenning en de diverse private eID systemen, die bijvoorbeeld bij de banken worden gebruikt.52 De implementatie van het eID Stelsel in Nederland raakt vele onderdelen van de overheid en de private sector. Voor een flink aantal overheidsorganisaties geldt dat zij nieuwe diensten digitaal kunnen ontsluiten omdat het eID Stelsel identificatie en gegevensuitwisseling op een hoger betrouwbaarheidsniveau mogelijk maakt. Zowel publieke als private partijen spelen in de huidige situatie een rol in het proces van realisatie en implementatie van eIDmiddelen. Bij de komst van het Introductieplateau eID Stelsel maken zij ieder de balans op of en op welke manier zij deze voorzieningen willen continueren in een “gezamenlijk” eID Stelsel. Logius is de beheerder van diverse toegangsvoorzieningen die publiek en privaat gebruikt worden, zoals DigiD, eHerkenning, PKIoverheid en het portaal MijnOverheid. Een groot aantal private partijen heeft als aanbieder van digitale diensten belang bij het eID Stelsel. Zij hebben er belang bij dat er eID-middelen in de markt komen die breed door burgers/consumenten worden gebruikt en die ook gebruikt kunnen worden om digitale diensten van private partijen af te nemen.53 eHerkenning is een voorziening waarmee ondernemers zaken kunnen doen met de overheid. eHerkenning is georganiseerd als publiek-privaat stelsel waarin leveranciers (eHerkenningspartijen) transactiediensten leveren aan ondernemers.
In verschillende componenten van het Introductieplateau eID Stelsel zullen nieuwe persoonsgegevens worden geregistreerd in de vorm van verschillende soorten identiteiten (eID Dienstaanbieders, eID Deelnemers en de Gebruikers) en op Gebruikers betrekking hebbende attributen. In het document Beschrijving van Idensys in het Introductieplateau versie 0.8 is de werking op hoofdlijnen aangegeven en om welke persoonsgegevens van Gebruikers het kan gaan. In de bijgesloten RFc’s en het hoofdstuk Interface specifications van het document Afsprakenstelsel eHerkenning 1.9 zijn vervolgens de algemene specificaties voor de inhoud van berichten tussen de componenten in het eID Stelsel en eID Aanbieders uitgewerkt. Vervolgens is specifiek per koppelvlak tussen de componenten in
52
Zie in dat verband ook de beantwoording van vraag I5 en de daarbij verantwoorde bronnen.
75
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen het eID Stelsel welke specifieke gegevens een bericht tussen de componenten bevat. Conclusies 1. Op het niveau van de primaire persoonsgegevens welke verwerkt worden binnen het Introductieniveau is de beschrijving van de persoonsgegevens vastgelegd 2. Naar verwachting zullen ook door de eID Stelsel ICT-infrastructuur directe en indirecte persoonsgegevens ontstaan in koppelvlakken, de loggingen/audittrails op de koppelvlakken en de loggingen/audittrails op de Dienstaanbieders. Aanbevelingen 1. Specificeer aanvullend ook de directe en indirecte persoonsgegevens die in de eID Stelsel ICT-infrastructuur over de koppelvlakken in de loggingen/audittrails van de eID Deelnemers/Dienstaanbieders worden opgeslagen.
3
Gaat het bij het project/systeem om het nastreven van nieuwe/aanvullende doeleinden door bestaande persoonsgegevens, of verzamelingen daarvan, te gebruiken, vergelijken, delen, koppelen of anderszins verder te verwerken? (scenario toevoeging doeleinden). Zo ja, hebben alle personen/instanties/systemen die betrokken zijn bij de verwerking dezelfde doelstelling met de verwerking van de desbetreffende persoonsgegevens of is daarmee spanning mogelijk gelet op hun taak of hun belang? Gelden dezelfde doelen voor het hele proces?
X
x
Het eID stelsel heeft op hoofdlijnen duidelijk omschreven doelen. Namelijk het verschaffen van een administratieve digitale identiteit, toekennen van autorisatie, verstrekken van attributen en tzt. het vaststellen van machtigingen. In dat verband wordt naar de beantwoording van de voorgaande vragen verwezen. Met inachtneming van de hierbij gegeven adviezen al deze vraag in de volgende ontwerpfase opnieuw aan de orde moeten komen. Een bijkomend aspect is, dat in het ontwerp ook is aangegeven dat afhankelijk van de toepassing er verschillende betrouwbaarheidsniveaus van authenticatie kunnen worden gebruikt. Deze authenticatieniveaus zijn aangeduid met STORK levels. Een probleem dat zich hierbij voor kan doen is dat de verschillende authenticatieniveaus worden ingezet voor verschillende taken en ook een verschillend belang kennen. Conclusie De impact van het hanteren van de verschillende STORK levels binnen één eID stelsel kan mogelijk fricties op leveren als de gehanteerde STORK levels te veruit elkaar lopen binnen één toepassing of deelsysteem. Binnen het Introductieplateau eID Stelsel is besloten om de STORK levels niet te ver uit elkaar te laten lopen en deze te beperken tot de hoge STORK levels 3 en 4, en de beveiligingsniveaus op deze STORK levels als baseline aan te houden. Dit ter vermijding van een te grote differentiatie van normen en baselines voor processen en ondersteunende systemen. Aanbevelingen Geen
4
Indien u positief hebt geantwoord op vragen II.2 of II.3, hoe wordt een dergelijk voorgenomen gebruik (d.w.z. gebruik van nieuwe persoonsgegevens in bestaande systemen of van bestaande persoonsgegevens voor nieuwe doeleinden) gemeld aan: (a) de functionaris voor de gegevensbescherming, of (b) het CBP indien er geen FG is?
De vraag hoe het voorgenomen gebruik (d.w.z. gebruik van nieuwe persoonsgegevens in bestaande systemen of van bestaande persoonsgegevens voor nieuwe doeleinden) gemeld aan: (a) de functionaris voor de gegevensbescherming, of (b) het CBP indien er geen FG is, is in dit ontwerp stadium nog niet te beantwoorden. Voorstelbaar is wel, dat verwerkingen van persoonsgegevens in het eID Stelsel per component / rol /EID Deelnemer / Dienstaanbieder ingeval de status van verantwoordelijke relevant is, aan de hieraan verbonden FG’s of aan het CBP gemeld worden. Binnen het Afsprakenstelsel en aanvullende juridische documenten is aandacht te besteed aan de status “verantwoordelijke” en “bewerker” van een van een component/eID Deelnemer/Dienstaanbieder. De rollen van Verantwoordelijke en Bewerker zijn binnen het Introductieninveau duidelijk gedefinieerd. Het melden van de hiermee verband houdende verwerking van
76
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen persoonsgegevens kan bij de relevante FG van de eID deelnemer en/of het CBP. Het is ook nuttig om afspraken te maken c.q. handreikingen te doen over de inhoud van de melding van soorten van verwerkingen binnen het eID Stelsel. Hiermee wordt voorkomen, dat de genoemde partijen onbewust niet aan de meldingsplicht voldoen. Tevens kan hiermee worden bewerkstelligd, dat de meldingen van de in het eID Stelsel voorkomende verwerkingen goed op elkaar worden afgestemd (convergentie-effect). Hiermee kan worden voorkomen, dat er vanwege het niet op elkaar afgestemd zijn van de status van een component/eID Deelnemer/Dienstaanbieder en de doelstellingen van verwerkingen in het eID Stelsel, diversiteit in statussen, in meldingen binnen het eID Stelsel en spanningen inzake het Verantwoordelijkheids- en Doelbindings-principe zullen ontstaan. Conclusies In het Afspraken Stelsel is vastgelegd, welke status onder welke voorwaarden aan een component/eID Deelnemer/Dienstaanbieder in het eID Stelsel kan worden toegekend Nog niet beschreven is de inhoud van de melding van een soort verwerking behoort te zijn en hoe vervolgens de melding van een verwerking aan de relevante FG of het CBP dient te gebeuren. Er kunnen hierdoor diversiteit in statussen, in meldingen binnen het eID Stelsel en spanningen inzake het Verantwoordelijkheids- en Doelbindings-principe ontstaan. Aanbevelingen. 1. Maak afspraken c.q. geef handreikingen over de inhoud van de melding teneinde hiermee te voorkomen, dat de genoemde partijen onbewust niet aan de meldingsplicht voldoen, doelstellingen van gelijksoortige verwerking van elkaar afwijken en rechtmatigheidsvragen ontstaan. En geen handreikingen aangaande de procedure van de afwikkeling van de meldingen. 2. Bewerkstellig hiermee dat de meldingen van de in het eID Stelsel voorkomende verwerkingen goed op elkaar worden afgestemd (convergentie-effect), waardoor spanningen in de uitwisseling en het gebruik van data binnen de keten van het eID Stelsel kunnen worden voorkomen (alignment). 3. Overweeg het toetsen van de Meldingen onderdeel te maken van de Stelsel Audit.
5
Indien u positief geantwoord hebt op vragen II.2 of II.3, welke (nadere) controles op een dergelijk gebruik (d.w.z. gebruik van nieuwe persoonsgegevens in bestaande systemen of van bestaande persoonsgegevens voor nieuwe doeleinden) zijn voorzien?
In het document Beschrijving van Idensys in het Introductieplateau versie 0.8 is de werking van Introductieplateau eID Stelsel beschreven en zijn ontwerpeisen geformuleerd. De beschrijvingen voorzien in controlemogelijkheden op het gebruik van persoonsgegevens dan wel waaruit impliciet de intentie van controles kan worden afgeleid. Hieronder volgen een aantal voorbeelden: 1.
2. 3.
4.
Een governance structuur is opgezet. Onderdeel van de governance betreft toezicht op de naleving van hetgeen is vastgelegd in het Afsprakenstelsel. Toezicht vals onder de verantwoordelijkheid van de minister van EZ waarbij de toezichthoudende taak gedurende het Introductieplateau is belegd bij de ADR (Auditdienst Rijk). Zodra er een wettelijk kader is gecreëerd voor het toezicht wordt de toezichthoudende taak belegd bij het Agentschap Telecom De privacyverhogende maatregelen in het Introductieplateau hebben het karakter van sterke preventieve controle maatregelen (Afscherming en beperking BSN gebruik, end-toe-end encryptie reduceert misbruik in de identiteitsketen, gebruik Pseudo-identiteiten op diverse vlakken, Dienstverlener specifieke Pseudo-identiteiten voor Gebruikers, inzet van user consent op specifieke attributen, maatregelen tegen misbruik van browser sessies); In het afsprakenstelsel eHerkenning 1.9 zijn zogenaamde Stelselaudits voorzien. Op basis van de beschikbare informatie blijkt dat deze Stelsel audit sterk gericht zijn op informatiebeveiliging met als “onderlegger” ISO27001. De
77
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen 5.
hiertoe gehanteerde normen dekken niet de privacy maatregelen en normen af. In het ontwerp Introductieplateau is sprake van het aanleggen van loggings en audittrails bij de betrokken eID Deelnemers. Deze loggings en audittrails bieden mogelijkheden voor aanvullende controles op misbruik, processing fouten en kwaliteit van de persoonsgegevens. Specifieke controles zijn echter niet nader gespecificeerd. Hier is nog niet expliciet aan een controle mechanisme gedacht. Er is ook nog geen aandacht besteed aan de mogelijke risico’s van het manipuleren van identiteitsgegevens en de daaruit voortvloeiende rechtsgevolgen voor betrokkenen. Ook dit veronderstelt een logging/audittrail waarop controles dienen te worden uitgevoerd.
Het bovenstaande geeft invulling aan de volgende privacydoelstellingen: 1.
2.
3.
4.
Bescherming privacy betrokkenen Verbeterde vertrouwelijkheid, privacy en de privacywet- en regelgeving (o.a. WBP) zijn gerespecteerd. Gebruikers mogen volledig vertrouwen op de borging van hun privacy en het zorgvuldig handelen van de deelnemende partijen. Organisaties mogen volledig vertrouwen op het bewaken van gevoelige informatie (Dit impliceert beheersmaatregelen in de vorm van loggingen en controle om dit vertrouwen waar te maken). Een eID-deelnemer krijgt niet meer gegevens dan strikt noodzakelijk is voor het uitvoeren van zijn taak. Deze ontwerpeis is van belang voor de privacy van de betrokkenen, maar ook voor verbeterde continuïteit. Indien een eIDdeelnemer is gehackt, dan is slechts een beperkt aantal gegevens gecompromitteerd. Het is dan eenvoudiger om de deelnemer uit het eID Stelsel te verwijderen zonder dat dit grote gevolgen heeft voor het eID Stelsel. (Dit impliceert beheersmaatregelen in de vorm van loggingen en controle om dit vertrouwen waar te maken. Het vereist ook uitgewerkte scenario’s om dit uit te voeren. Voor het BSN Koppelregister is deze maatregel overigens moeilijk denkbaar. Dienstaanbieders (en andere deelnemende partijen) kunnen verantwoording afleggen. De verschillende partijen binnen het eID Stelsel moeten verantwoording kunnen afleggen over hun elektronische activiteiten. (Dit impliceert loggingen en controle). Een Dienstaanbieder moet kunnen aantonen dat hij vertrouwelijke informatie terecht heeft afgeven. Ook andere partijen (bijvoorbeeld Authenticatiediensten, BSN Koppelregister en Makelaar) moeten achteraf kunnen aantonen dat ze terecht informatie hebben afgegeven (Dit impliceert loggingen en controle). Misbruik kan eenvoudig ontdekt en opgespoord worden Het is van groot belang dat er vertrouwen is in het eID Stelsel. Om die reden moet misbruik eenvoudig ontdekt en opgespoord kunnen worden (Dit impliceert loggingen en controle). Het gaat hier niet om functionaliteiten die voor opsporingsinstanties bedoeld zijn maar om controle stelsels die behoren bij de kernprocessen van een identiteitsmanagementsysteem.
Conclusies 2 De ontwerpeisen van het eID Stelsel bevatten (indicaties voor) (nadere) controles op het gebruik van (nieuwe) persoonsgegevens in het eID Stelsel. 3 De controles zijn nog niet op alle hiervoor in aanmerking komende verwerkingen van persoonsgegevens in beeld gebracht. Aanbeveling 1. Stel nadere eisen / geef handreikingen in het Afsprakenstelsel op alle normatief uit te voeren controles op het gebruik van persoonsgegevens in de te onderscheiden IT-omgevingen/ componenten van het eID Stelsel. 2. Besteedt aandacht aan controles gericht op de kwaliteit van de persoonsgegevens en detectie van compromittering van digitale identiteiten, waaronder identiteitsfraude. Deze controles hebben dus niets te maken met opsporing van fraude of
78
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
3.
andere criminaliteit buiten het eID Stelsel en vallen binnen de verantwoordelijkheden en plichten van de individuele eID Deelnemers Implementeer voorzieningen om integriteitsconflicten in identiteitsgegevens en overige persoonsgegevens te ontdekken. Denk aan patroonherkenning, verbandscontroles, waarschijnlijkheidscontroles, et cetera.
Kwaliteit Privacy principe Gegevenskwaliteit 6
Welke periodieke en incidentele controles zijn voorzien om de juistheid, nauwkeurigheid en actualiteit van de in het beleidsvoorstel, wetsvoorstel op overheid ICT-systeem verwerkte persoonsgegevens na te gaan?
In aansluiting op de bevindingen in de voorgaande vraag, kan worden geconcludeerd, dat in de ontwerpeisen van het eID Stelsel aanzetten zijn gegeven voor controles om de juistheid, nauwkeurigheid en actualiteit (kwaliteit) van de in het eID Stelsel verwerkte persoonsgegevens na te gaan. In de periodiciteit en specifieke inrichting van deze controles moet nog worden voorzien. Voorbeelden uit de ontwerpdocumentatie zijn: Bij het registreren van een gebruiker binnen het BSN Domein worden sterke validatieprocessen uitgevoerd van via Authenticatiediensten aangeleverde identiteits- en persoonsgegevens (controle bestaan BSN, Controle WID gegevens bij externe bronnen, waaronder bij BRP, Basis register reisdocumenten, Centraal Rijbewijs Register) Aanbevelingen 1. Definieer in de volgende ontwikkelingsfase in het Afsprakenstelsel op elkaar aansluitende incidentele en periodieke controles op de kwaliteit van de verwerkte persoonsgegevens door de te onderscheiden componenten in het eID Stelsel. Dit lijkt een onderbelicht gebied in het Introductieplateau 2. Stel normatieve controles op bij eID Deelnemers en maak deze normen onderdeel van de Stelsel Audit 3. Overweeg het definiëren van een transparantierapportage door eID Deelnemers waarbij ook gerapporteerd wordt inzake de kwaliteit van identiteitsgegevens, identiteitsfraude, gegevens uitvragen door derde partijen, inbreuken op systemen, naleving privacy principes en beperken privacy risico’s voor Gebruikers, et cetera. 4. Voeg aan de Stelsel Audit toe dat een Register EDP Auditor de betrouwbaarheid van dit transparantieverslag controleert.
Profilering Privacy principe Doelbinding Privacy principe Limitering van gebruik van gegevens 7
Zullen de verzamelde/verwerkte persoonsgegevens gebruikt worden om het gedrag, de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen? Zijn de
x
Uit de ontwerpdocumentatie van het Introductieplateau eID Stelsel blijkt niet dat het de bedoeling is om de verzamelde/verwerkte persoonsgegevens te gaan gebruiken om het gedrag, de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen. In de ontwerp-documentatie wordt ook niet gesproken over het verzamelen en gebruiken van persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden.
79
Nr.
Vraag betrokkenen daarvan op de hoogte? Zijn de gegevens die hiervoor worden gebruikt, afkomstig uit verschillende (eventueel externe) bronnen en zijn zij oorspronkelijk voor andere doelen verzameld?
J
N
Bevindingen / Risico’s / Aanbevelingen Uit onderdelen in de documentatie is af te leiden, dat het Introductieplateau eID Stelsel hier in beginsel niet voor is bedoeld. Het is echter niet uitgesloten dat het Introductieplateau toch misbruikt gaat worden voor deze doeleinden. Een maatregel ter bestrijding van dit risico is bijvoorbeeld : In beginsel heeft de eID-makelaar het recht om dezelfde gegevens te verwerken als de Dienstaanbieder in wiens opdracht hij werkt. Echter, een eID-makelaar kan werken in opdracht van meerdere Dienstaanbieders. Dat zou betekenen dat bij de eID-makelaar een ongewenste concentratie van gegevens ontstaat. Het gebruik van versleutelde pseudoniemen, verstrekken van pseudoniemen van gebruikers per dienstaanbieder en het maskeren van persoonsgegevens voorkomt dat.54 In het document Stakeholder, belangen en ontwerpeisen wordt aangegeven, dat alle ontwikkelingen op het gebied van (elektronische) identiteit, authenticatie en machtigen van burgers mogelijke impact hebben op de privacy. Bij toegang tot persoonsgegevens (zoals BSN, adres en leeftijd), al dan niet via diensten, dient grote zorgvuldigheid in acht genomen te worden. Het programma betrekt er daarom belangen- en maatschappelijke organisaties bij, zoals het College Bescherming Persoonsgegevens (CBP), de Consumentenbond, Bits of Freedom, de Autoriteit Consument en Markt (ACM) en toonaangevende media. Ideeën en denkbeelden, maar ook voorgestelde (deel)oplossingen, worden zo in een vroegtijdig stadium vanuit verschillende gezichtspunten gedeeld en besproken. Verder worden deze organisaties betrokken bij Privacy Impact Analyses en geconsulteerd in het kader van het wetgevingstraject. Het s van belang om deze stakeholder betrokkenheid ook naar de toekomst voort te zetten. Er mag van worden uitgegaan, dat de genoemde organisaties mogelijkheden om in het eID Stelsel verzamelde/verwerkte persoonsgegevens te gaan gebruiken om het gedrag, de aanwezigheid of de prestaties van Gebruikers van het eID Stelsel in kaart te brengen en/of te beoordelen en/of te voorspellen met de daaruit voortvloeiende risico’s nauwgezet zullen volgen. In het document Stakeholders, belangen en ontwerpeisen komt ook naar voren, dat Logius verder voorbereidingen treft voor de inrichting van de (tijdelijke) beheerorganisatie voor het Introductieplateau en het de stelselafspraken en de inrichting van de governance uitwerkt en faciliteert. In de beantwoording van de voorgaande vragen, komt evenwel naar voren, dat zich binnen het Introductieplateau op diverse te onderscheiden koppelvlakken in de interactie tussen de componenten van het Stelsel in loggingen en audittrails ondanks het gebruik van pseudo identiteiten enorme hoeveelheden mogelijke tot op personen te herleiden gegevens kunnen ontstaan. In het bijzonder speelt dit bij de Authenticatiediensten en het BSN-Koppelregister. Dergelijke verzamelingen kennen als inherent risico dat hiermee het gedrag, de aanwezigheid of de prestaties van mensen in kaart kunnen worden gebracht en/of kunnen worden beoordeeld en/of kunnen worden voorspeld.
Conclusies 1. Uit de ontwerpeisen in de ontvangen documenten van het Introductieplateau blijkt niet dat het de bedoeling is om de verzamelde/verwerkte persoonsgegevens te gaan gebruiken om het gedrag, de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen. In de ontwerp-documentatie wordt ook niet gesproken over het verzamelen en gebruiken van persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden. 2. Wel kunnen binnen het Introductieniveau op diverse te onderscheiden koppelvlakken in de interactie tussen de
80
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
3.
4.
componenten van het Stelsel in loggingen en audittrails ondanks het gebruik van pseudo identiteiten enorme hoeveelheden mogelijke tot op personen te herleiden gegevens ontstaan die hiervoor gebruikt zouden kunnen worden. Uit de ontwerpdocumentatie blijkt ook, dat dat alle ontwikkelingen op het gebied van (elektronische) identiteit, authenticatie en machtigen van burgers mogelijke impact hebben op de privacy. Bij toegang tot persoonsgegevens (zoals burgerservicenummer (BSN), adres en leeftijd), al dan niet via diensten, dient grote zorgvuldigheid in acht genomen te worden. Het programma betrekt er daarom belangen- en maatschappelijke organisaties en toonaangevende media bij. Ideeën en denkbeelden, maar ook voorgestelde (deel)oplossingen, worden zo in een vroegtijdig stadium vanuit verschillende gezichtspunten gedeeld en besproken. Verder worden deze organisaties betrokken bij de evaluatie van de Pilots en vervolg Privacy Impact Analyses bij voorgenomen wijzigingen en uitbouw aan het Introductieniveau en zal geconsultatie van deze partijen plaats vinden in het kader van het wetgevingstraject.
Aanbeveling 1. Specificeer de eisen over het gebruik van data in het bijzonder bij het BSN-Koppelregister en de Authenticatiediensten en neem beperkingen op voor het gebruik ervan in het nader te ontwikkelen Afsprakenstelsel 2. Stel hiertoe normatieve maatregelen op en maak deze onderdeel van de Stelsel Audit; 3. Besteed in het bijzonder aandacht aan processen die gericht zijn op detectie van identiteitsfraude en processen gericht op het verhogen van de kwaliteit van de data Deze processen kunnen uiteraard in potentie niet-transparant en privacy onvriendelijk zijn. 8
III
Wordt bij deze analyse/beoordeling/voorspelling gebruik gemaakt van vergelijking van persoonsgegevens die technisch geautomatiseerd is (d.w.z. niet door mensen zelf wordt uitgevoerd)? Zo ja, hoe wordt geregeld dat, indien dit geautomatiseerde proces tot een beoordeling of voorspelling over een bepaalde persoon leidt, hierop pas concrete actie wordt ondernomen na tussenkomst en (tweede) controle van (menselijk) personeel?
x
Uit de ontvangen documentatie over het ontwerp eID Stelsel blijkt niet, dat er sprake is of zal zijn van analyse/beoordeling/voorspelling aan de hand van het gedrag, de aanwezigheid of de prestaties van mensen waarbij gebruik wordt gemaakt van vergelijking van persoonsgegevens die technisch geautomatiseerd is (d.w.z. niet door mensen zelf wordt uitgevoerd). Deze functionaliteit is niet voorzien in het huidige ontwerp van het eID Stelsel. Zoals hierboven al aan de orde kwam, zijn dergelijke analyses/beoordelingen/voorspelling op basis van het voorliggende ontwerp van het eID Stelsel niet op voorhand onmogelijk. Hierbij kunnen zich ook de voormelde privacy risico’s in de toekomst manifesteren. Denk hierbij ook aan processen en verwerkingen gericht op fraudedetectie, profiling, en controle processen gericht op verbetering data kwaliteit. Aanbevelingen 1. Werk in het Afsprakenstel uit of / in hoeverre dergelijke analyse/beoordeling/voorspelling noodzakelijk zijn, en indien dit noodzakelijk mocht zijn, wat het doel hiervan is, en onder welke waarborgen en / beperkingen dit mag gebeuren. 2. Geef ingeval dergelijke analyse/beoordeling/voorspelling niet noodzakelijk zijn, uitdrukkelijk aan dat dergelijke verwerkingen niet zijn toegestaan voor de eID Deelnemers/Dienstaanbieder en andere partijen. 3. Maak controle hierop onderdeel van de Stelsel Audit.
Betrokken instanties/systemen en verantwoordelijkheid Privacy principe Verantwoording
81
Nr.
Vraag
1
Welke interne en externe instantie(s) en/of systemen is/zijn betrokken bij de voorziene verwerking in elk van de onder I.5 onderscheiden fasen? Welke verstrekkers zijn er en welke ontvangers? Welke bestanden of deelbestanden en welke infrastructuren?
J
N
Bevindingen / Risico’s / Aanbevelingen In paragraaf 3.7.1 van dit rapport is in het systeemdiagram van het Introductieplatform eID Stelsel op hoofdlijnen op hoog niveau te onderscheiden hoe de ICT-infrastructuur van het eID Stelsel op dit moment wordt voorzien. Hierin komt ook op hoofdlijnen en in algemene termen tot uiting, welke eID Deelnemers bij welke in het eID Stelsel te onderscheiden verwerkingen van persoonsgegevens over koppelvlakken berichten met elkaar delen. In de RFC’s en in het hoofdstuk Interface specifications van het document Afsprakenstelsel eHerkenning 1.9 is aangegeven uit welke data typen die berichten zullen bestaan. Hieruit blijkt ook wie de categorieën van verstrekkers en ontvangers zijn. Hiermee is tot op zekere hoogte inzichtelijk welke (deel) bestanden zich op welke onderdelen van de ICT-infrastructuur bij welke ontvangers en verstrekkers van het eID Stelsel zullen bevinden. Het ontstaan van secundaire data, metadata als gevolg van het gebruik van het Introductieplateau is daarbij niet geïnventariseerd.
2
Is (in ieder stadium) duidelijk wie verantwoordelijk is voor de verwerking van de persoonsgegevens? Zo ja, is deze persoon of organisatie daarop voldoende voorbereid en geëquipeerd wat betreft de nodige voorzieningen en maatregelen, waaronder middelen, beleid, taakverdeling, procedures en intern toezicht?
x
Aanbeveling Inventariseer het ontstaan van secundaire en metadata en voer een risicoanalyse uit vanuit het perspectief van privacybescherming en tref zo nodig mitigerende maatregelen. Voor het antwoord op de vraag of (in ieder stadium) van het Introductieplateau eID Stelsel duidelijk wie verantwoordelijk is voor de verwerking van de persoonsgegevens en zo ja, of deze organisatie daarop voldoende voorbereid en geëquipeerd is wat betreft de nodige voorzieningen en maatregelen, waaronder middelen, beleid, taakverdeling, procedures en intern toezicht, wordt verwezen naar de bevindingen in antwoord I2. In die beantwoording komt tot uiting, dat bij het Introductieplateau de verantwoordelijkheden duidelijk zijn ingeregeld. Wel bestaat er nog enige discrepantie tussen de rollen en functies welke benoemd zijn in de beschrijving van Idensys binnen het Introductieplateau versie 0.8 en het Afsprakenstelsel eHerkenning 1.9 waar meer rollen en functies voorkomen dan in het Introductieplateau staan beschreven. De Begrippenlijst uit het Afsprakenstelsel eHerkenning 1.9 en het document Idensys binnen het Introductieplateau versie 0.8 zijn niet goed op elkaar zijn afgestemd. Dit leidt niet alleen tot begripsverwarring maar ook tot mogelijk tot onvoorziene complicaties in rollen en het aannemen van de status van “verantwoordelijke” en/of “bewerker” in de ruimere beschrijving van eHerkenning 1.9. Denk hierbij ook aan samenloop van al bestaande rollen en diensten van eHerkenning leveranciers die tot nu alleen in het bedrijvendomein opereren en bij het Introductieplateau ook in het burger- en consumenten domein gaan opereren waarbij sprake zal zijn van de verwerking van aanzienlijk meer en ook aanzienlijk meer privacy gevoelige persoonsgegevens. Vanwege het voorgaande is het nog niet verantwoord om hier stellige uitspraken over het beginsel van de verantwoording te doen. Een en ander leidde tot de volgende conclusies en aanbevelingen: Conclusies 1. Definities in de te onderscheiden documenten en de beschrijving van de werking van het eID Stelsel zijn nog niet goed op elkaar afgestemd. 2. De begrenzing van het Introductieplateau met daarbij de verantwoordelijkheidsvraag voor verwerkingen van persoonsgegevens door de componenten/rollen en combinatiemogelijkheden is nog niet geheel transparant uitgewerkt. 3. Uit de documentatie blijkt niet dat er al een risicoanalyse is uitgevoerd op combinaties van rollen en de mogelijke negatieve gevolgen hiervan op de persoonlijke levenssfeer van Gebruikers.
82
Nr.
3
Vraag
Wie binnen uw organisatie, en elk van de andere betrokken organisaties, krijgen precies toegang tot de persoonsgegevens? Bestaat de kans dat bij het gebruik ervan de gegevens ter beschikking komen van onbevoegden?
J
N
Bevindingen / Risico’s / Aanbevelingen Aanbevelingen 1. Stem de gehanteerde begrippen in de Begrippenlijst Afsprakenstelsel en het document Werking van het eID Stelsel goed op elkaar af. 2. Bepaal ook aan de hand van een privacy risicoanalyse welke combinaties van rollen bij een partij tot onbeheersbare privacy risico’s kunnen leiden. 3. Reguleer aan de hand hiervan mogelijke combinaties van rollen en hiermee gepaard gaande verantwoordelijkheden. 4. Voeg normen en toetsingskader toe aan de Stelsel Audit om te borgen dat betrokken eID Deelnemers voldoende zijn en blijven uitgerust om met privacygevoelige verwerkingen van persoonsgegevens om te kunnen gaan. In de beschrijving van Idensys binnen het Introductieplateau versie 0.8 en het Afsprakenstelsel eHerkenning 1.9 is de werking van het eID Stelsel beschreven en is aangegeven welke componenten/eID Deelnemers en Dienstaanbieders via koppelvlakken de beschikking krijgen over persoonsgegevens. In het hoofdstuk Interface specifications Afsprakenstelsel eHerkenning 1.9 is op koppelvlakniveau gedefinieerd, welke datasets tussen de eID Deelnemers worden uitgewisseld. Aanpassingen op eHerkenning zijn vastgelegd in RFCs.
x
Welke functionarissen van de eID Deelnemers nu toegang hebben tot persoonsgegevens in de koppelvlakken valt buiten het bestek van deze fase van ontwerp. Dit zal zo nodig in het Afsprakenstelsel moeten worden geregeld. Een uitspraak of de kans bestaat dat bij het gebruik ervan de gegevens ter beschikking komen van onbevoegden, is daarom thans niet opportuun.
4
Geldt voor een of meer van de betrokken instanties een beperking van de mogelijkheid om persoonsgegevens te verwerken als gevolg van geheimhoudingsverplichtingen (in verband met functie/wet)?
Aanbeveling 1. Leg zo nodig in het Afsprakenstelsel afspraken vast over welke functionarissen van welke eID Deelnemers toegang hebben tot welke dataverzamelingen op welke koppelvlakken; 2. Besteedt voldoende aandacht aan maatregelen in de IT werkelijkheid als en volsta niet met procedurele maatregelen en managementstelsels als het gaat om het beperken en monitoren van de toegang tot systemen; 3. Maak de toetsing van maatregelen in de IT werkelijkheid onderdeel van de Stelsel Audit wil zeggen dat auditors bewijslast uit de IT systemen zelf moeten trekken en niet allen volstaan met procedurele toetsing van beheerskaders. Of voor een of meer van de betrokken instanties een beperking geldt van de mogelijkheid om persoonsgegevens te verwerken als gevolg van geheimhoudingsverplichtingen (in verband met functie/wet) komt niet expliciet als zodanig aan de orde in de ontvangen documentatie. Maar niet op voorhand uit te sluiten is, dat dit bijvoorbeeld binnen de sectorale toepassingen (bijvoorbeeld aan gezondheidszorg gerelateerde instellingen) wel het geval zou kunnen zijn.
x
Aanbevelingen 1. Laat aanvullend onderzoek uitvoeren naar mogelijke verwerkingen van persoonsgegevens door eID Deelnemers en Dienstaanbieders binnen het eID Stelsel waaraan vanwege geheimhoudingsverplichtingen in verband met functie/wet beperkingen voor het gebruik zijn verbonden. 2. Neem hierover zo nodig aanvullende afspraken op in het Afsprakenstelsel. 5
Zijn alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, in kaart gebracht of te brengen, zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt?
x
x
In de ontwerp documentatie Introductieplateau is voor de beschreven beperkte functionaliteit van het Introductieplateau omschreven welke soorten gegevens door welke partijen worden verwerkt binnen het eID Stelsel. Nog niet alle verwerkingen en verwerkingsstappen zijn in detail uitgewerkt. Bijvoorbeeld informatie omtrent logging en audittrails zijn nog beperkt. Het ontstaan van metadata en gebruiksdata verdient verdere uitwerking Met name dat gevoelige informatie kan ontstaan en bewaard wordt bij het BSN-Koppelregister en de Authenticatiedientsen mag duidelijker beschreven worden. Uiteindelijk zal de gevraagde inzichtelijkheid door niet ingewijden, Gebruikers, begrepen moeten
83
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen kunnen worden.
Aanbevelingen 1. Ga door met het in kaart brengen van alle stappen van de verwerking in de zin van soorten gegevens en uitwisselingen, zodanig dat daardoor voor de betrokkenen inzichtelijk is bij wie, waarom en hoe de persoonsgegevens worden verwerkt. 2. Besteed daarbij ook vooral ook aandacht aan “metadata” en “gebruiksdata” die binnen het eID Stelsel in loggingen/audit trails wordt verwerkt. 6
Zijn er beleid en procedures voorzien voor het creëren en bijhouden van een verzameling van de persoonsgegevens die u wilt gaan gebruiken? Zo ja, hoe vaak en door wie zal de verwerking worden gecontroleerd? Omvat de verzameling een verwerking die namens u wordt uitgevoerd (bijvoorbeeld door een onderaannemer)?
x
x
In deze fase van ontwerp van het eID Stelsel zijn nog geen richtlijnen voor beleid en procedures voorzien voor het creëren en bijhouden van een verzameling van de persoonsgegevens die voor het doel van het eID Stelsel zullen worden gebruikt door de hierin te onderscheiden eID Deelnemers en Dienstaanbieders. Wel is er als baseline voor informatiebeveiliging gekozen voor compliance aan ISO27001. Voorts zijn er afspraken vastgelegd aangaande verplichte certificering van eID Deelnemers en verplichte periodieke Stelsel Audits. Aanscherping van normen en controles voor het verzamelen en verwerken van persoonsgegevens is nog nodig. Dit geldt ook voor de controle op de bedoelde verwerkingen, zowel bij de eID Deelnemers die de status van “verantwoordelijke”, als die van “bewerker” (onderaannemer, third parties) zullen hebben. Specifiek beleid en procedures voor de verwerkingen door de eID Deelnemers zullen vervolgens zelf door die deelnemers nog moeten worden uitgewerkt. Op voorhand wordt door ons in het bijzonder aandacht gevraagd voor het volgende.
De inzet van toegestane of niet toegestane third party middelen bij de eID Deelnemers is niet gedefinieerd. De praktijk leert dat IT dienstverleners bijvoorbeeld gebruik maken van clouddiensten van derden waarbij mogelijk ongewenste verzameling van persoonsgegevens kan plaatsvinden of sprake kan zijn van niet-transparante verwerkingen en inbreuk wordt gemaakt op rechten van geregistreerden. Denk aan de inzet van IAAS, PAAS, SAAS toepassingen, webapplicatie analyse tools zoals Website Analytics, of Apps voor mobile devices etc. Het gaat hierbij om normen aangaande de inrichting van de IT werkelijkheid / architectuur en IT middelen. Het BSN Koppelregister en de Authenticatiediensten houden loggings en audit trails bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eID Stelsel: als een Authenticatiemiddel vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een Authenticatiemiddel is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een Gebruiker heeft afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend: een audit trail mag door een Authenticatiedienst en het BSNKoppelregister uitsluitend worden gebruikt voor het geven van inzicht aan de Gebruiker welk gebruik er van zijn middelen is gemaakt. Aanscherpingen in het Afsprakenstelsel voor deze beperkingen in het gebruik van deze persoonsgegevens moeten nog nader beschreven worden.
Ten aanzien van de rol van de eID-makelaar valt nog het volgende op te merken. De interactie tussen de verschillende rollen in het stelsel is met zoveel woorden als complex aangeduid55. Daarom is in het stelsel een afzonderlijke rol gedefinieerd die als
84
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen taak heeft om de interactie in goede banen te leiden en zo de Dienstaanbieders en Dienstbemiddelaars te “ontzorgen”. Deze rol is de eID-makelaar. De eID-makelaar vraagt aan de Gebruiker van welke Authenticatiedienst hij gebruik wil maken en (indien van toepassing) waar de machtigingen van de Gebruiker zijn geregistreerd. Op basis van de antwoorden routeert hij de Gebruiker altijd eerst door naar de Authentcatiedienst en daarna afhankelijk van het gebruik (consument of burger) naar de juiste aanvullende voorzieningen. De eID-makelaar verricht zijn werkzaamheden op basis van een contract of bewerkersovereenkomst met de Dienstbemiddelaar of Dienstaanbieder. De keuze voor een bepaalde eID-makelaar berust bij de Dienstaanbieder. Het is de verantwoordelijkheid van de Dienstaanbieder om te zorgen voor het invullen van de rol van een eID-makelaar voor het ontsluiten van zijn diensten. Ze kunnen ervoor kiezen om een contract af te sluiten met twee of meer eID-makelaars omwille van de continuïteit van de dienstverlening. In beginsel heeft de eID-makelaar daarmee het recht om dezelfde gegevens te verwerken als de Dienstaanbieder in wiens opdracht hij werkt. Echter, een eID-makelaar kan werken in opdracht van meerdere Dienstaanbieders. Dat zou betekenen dat bij de eID-makelaar een ongewenste concentratie van gegevens ontstaat. Het gebruik van versleutelde pseudoniemen , unieke pseudoniemen van Geberuikers per Dienstaanbieder en het maskeren van persoonsgegevens voorkomt dat. (opmerking: echter ook ondanks deze maatregelen blijven het ons inziens gegevens die tot op personen te herleiden zijn, zeker indien er sprake is van cumulatie van rollen.) Ten aanzien van het bovenstaande signaleren wij de volgende risico’s. Risico’s 1. In theorie zou, als gevolg van eigenschappen van met name de Authenticatiediensten, een ongebreidelde samenloop van rollen kunnen ontstaan. Het gaat om functievermengingen of samenloop van rollen als: Dienstaanbieder, eID makelaar, Authenticatiedienst, en mogelijk zelfs de rol van een IT provider die diensten levert aan partijen in het eID Stelsel. Dit laatste is zeker niet hypothetisch.. De risico’s hiervan kunnen worden versterkt als bij een eID Deelnemer situaties voordoen met de eigenschappen van een conglomeraat, samenwerkingsverband, economische eenheid et cetera. Deze ongebreidelde samenloop van rollen, genereert een ongebreidelde cumulatie van met die rollen samenhangende persoonsgegevens, die normaliter over de afzonderlijke koppelvlakken tussen afzonderlijke eID Deelnemers worden uitgewisseld en over die eID Deelnemers wordt verdeeld. 2. Die gegevens komen dan samen onder één eID Deelnemer (concentratie tot enormeb hotspot), die (on)afhankelijk van de rol, ook nog de keuze heeft om afhankelijk van de wensen van diens klant(en) als “verantwoordelijke en/of “bewerker” op te treden voor andere diensten. (“Zoveel klanten, zoveel wensen, zo veel statussen”) Een bewerker is in theorie immers grotendeels afhankelijk van de eisen die een (of meerdere) verantwoordelijke(n) aan hem stel(t)(len)t. De verantwoordelijke “bepaalt het doel en de middelen.” 3. In diverse rollen, zoals de Dienstaanbieder en de eID makelaar, Authenticatiedienst , zijn zowel de status van bewerker als verantwoordelijke mogelijk, hetgeen “een tombola” aan te regelen verantwoordelijkheden voor de diverse vooralsnog te onderscheiden verwerkingen tot gevolg kan hebben. Ook de wijze waarop betrokkenen (Gebruikers) hun rechten moeten kunnen effectueren kan dan tot een wirwar van regelingen binnen één eID Deelnemer leiden. 4. Het is voorstelbaar dat in de onderliggende ICT-infrastructuur van het eID Stelsel veel ICT-serviceproviders weer een diversiteit aan diensten aan eID Deelnemers zullen verlenen. Afhankelijk van de status(sen) van een eID Deelnemer verkrijgt de serviceprovider in een voorkomende geval de status van “bewerker” of van “subbewerker”. 5. Daarbij komt dat outsourcing naar serviceproviders naar landen buitende EU/EER privacy risico’s kent ten gevolge waarvan die outsourcing aan specifieke regels of beperkingen is gebonden. Ook hier leert de praktijk dat bijvoorbeeld door
85
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen overnames, verkoop van aandelen initieel Nederlandse bedrijven bijvoorbeeld Amerikaanse aandeelhouders kunnen rijgen.
Aanbevelingen 1. Laat een risicoanalyse uitvoeren op alle mogelijke combinaties van rollen voor eID Deelnemers; 2. Laat een risicoanalyse uitvoeren op de mogelijkheden van eID Deelnemers om zelf de status van “verantwoordelijke” of van “bewerker” of combinaties van deze statussen te kiezen. 56 3. Laat een risicoanalyse uitvoeren op de mogelijkheden van outsourcing van rollen en ICT services naar partijen buiten de EU/EER. 4. Neem aan de hand van de uitkomst van de risicoanalyse beheersmaatregelen in het Afsprakenstelsel aangaande combinaties van rollen, de status van verantwoordelijke en bewerker en combinaties hiervan, outsourcing van rollen en ICTservices, de rechten van betrokkenen (Gebruikers) en het hier op te houden toezicht (zoals certificeringen). 5. Voeg aan de Stelsel Audit toe dat eID deelnemers binnen de gestelde grenzen opereren die verschillende rollen met zich meebrengen en/of dat maatregelen binnen eID Deelnemers afdoende zijn genomen om de scheidingen in rollen te handhaven. 7
IV
Is er sprake van overdracht van persoonsgegevens naar een (overheids)instantie buiten de EU/EER? Heeft dit land een niveau van gegevensbescherming dat als passend is beoordeeld door een besluit van de Europese Commissie of de Minister van Veiligheid en Justitie?
x
In de ontwerp documentatie is nog geen aandacht besteed aan een eventuele overdracht van persoonsgegevens door een eID Deelnemer naar een (overheids)instantie buiten de EU/EER, en als dat zo mocht zijn, hoe dan dient te worden gehandeld ingeval dit een land betreft dat geen passend privacy beschermingsniveau heeft. Zie in dat verband ook de risico’s die ten aanzien van ICT-(sub)bewerkers in de voorgaande vraag aan de orde kwamen. Aanbevelingen 1. Neem in de ontwerpeisen mee of er sprake kan zijn van overdracht van persoonsgegevens naar een (overheids)instantie buiten de EU/EER. 2. Neem, voor het geval dat zo mocht zijn, in het Afsprakenstelsel de voorwaarden mee, waaraan eID Deelnemers in dergelijke gevallen moeten voldoen, zoals de vereisten die de Data Protection Act daaraan stelt.
Beveiliging en bewaring/vernietiging Privacy principe Beveiliging van gegevens (Privacy by Design) (Privacy Enhancing Technologies)
Beveiliging 1
Is het beleid met betrekking tot
x
In het Afsprakenstelsel eHerkenning 1.9 is voorzien in het toepassen van ISO27001 als normenkader voor informatiebeveiliging.
56
Let hierbij op het Advies van de EDPS in Opinion of the European Data Protection Supervisor on the Commission proposal for a regulation of the European Parliament and of the Council on trust and confidence in electronic transactions in the internal market (Electronic Trust Services Regulation).
86
Nr.
Vraag gegevensbeveiliging binnen uw organisatie op orde? Zo ja, wie/welke afdeling(en) is/zijn binnen de organisatie verantwoordelijk voor het opstellen, implementeren en handhaven hiervan? Is dit beleid specifiek gericht op gegevensbescherming en gegevensbeveiliging ?
J
N
Bevindingen / Risico’s / Aanbevelingen De uit te voeren Stelsel Audit is hier op gebaseerd. Er is sprake van verplichte certificering dan wel het verplicht laten opstellen van een Third Party Memorandum door een Register EDP Auditor. Het gaat dan om het toetsen van zwel de opzet, het bestaan als de werking van informatiebeveiligingsmaatregelen. Inmiddels is door de eID Stuurgroep een gedetailleerde risico-analyse informatiebeveiliging uitgevoerd. In het huidige ontwerpstadium van het Introductieplateau moeten nog de hierop mitigerende maatregelen worden ontworpen.
Aanbevelingen 1. Neem in het Afsprakenstelsel specifiek voorwaarden op voor de beveiliging van persoonsgegevens bij de eID Deelnemers. Het is van belang dat de maatregelen specifiek en in voldoende mate ook in de IT werkelijkheid worden genomen. 2. Neem in de richtlijnen voor de Stelsel Audit op dat voldoende bewijslast door de auditors wordt verzameld uit de IT werkelijkheid en niet uitsluitend bewijslast wordt verzameld uit procedures en managent processen informatiebeveiliging. Het risico bestaat anders dat de It auditor een oordeel geeft over informatiebeleid en informatiebeveiligingsprocessen en niet over de werkelijk gerealiseerde beveiligingsmaatregelen (in de IT werkelijkheid) 3. Overweeg het hanteren van een verplicht transparantierapport van de eID Deelnemer waarin periodiek verslag wordt gedaan over beveiligingsincidenten, afwikkeling van incidenten, gerealiseerde beveiligingsniveau en andere hygiëne factoren aangaande gerealiseerde informatiebeveiliging in de IT werkelijkheid. Een IT auditor kan de betrouwbaarheid van deze rapportages toetsen. 2
3
Indien (een deel van) de verwerking bij een bewerker plaatsvindt, hoe draagt u zorg voor de gegevensbeveiliging, en het toezicht daarop, bij die bewerker?
Welke technische en organisatorische beveiligingsmaatregelen zijn getroffen ter voorkoming van niet-geautoriseerde of onrechtmatige verwerking/misbruik van (a) gegevens die in een geautomatiseerd format staan (bv. wachtwoord-bescherming, versleuteling, encryptie) en (b) gegevens die handmatig zijn opgetekend bv. sloten op kasten)? Is er een hoger beschermingsniveau om gevoelige persoonsgegevens te beveiligen?
In het Afsprakenstelsel eHerkenning 1.9 is geregeld dat de informatiebeveiliging periodiek door gekwalificeerde It auditors wordt getoetst. In het geval van verwerkingen bij bewerkers en subbewerkers zijn Third Party Memoranda vereist. Aanbevelingen Definieer in het afsprakenstelsel concrete normen voor de te toetsen IT objecten. Zie ook de vorige aanbevelingen hierover. In de ontwerp documentatie is specifiek aandacht besteed aan technische en organisatorische beveiligingsmaatregelen die zijn getroffen ter voorkoming van niet-geautoriseerde of onrechtmatige verwerking/misbruik van persoonsgegevens in het eID Stelsel. De maatregelen liggen vooral nog op het niveau van het gebruik van PseudoID’s en de versleuteling van data gedurende de communicatie tussen de eID Deelnemers onderling en de Dienstaanbieders. In het document Beschrijving Idensys in het Introductieplateau eID zijn de volgende waarborgen ter bevordering van de privacy gedefinieerd ten opzichte van eHerkenning: d. Identificerende persoonsgegevens zijn alleen te lezen door de Dienstverlener: Binnen eHerkenning werd al gewerkt met pseudoniemen, welke verschillend zijn per dienstverlener. Hiermee wordt voorkomen dat dienstverleners onderling informatie over dezelfde gebruiker uitwisselen. In het Introductieplateau eID zijn aanvullende maatregelen genomen, waarbij identificerende persoonsgegevens door de authenticatiedienst zodanig worden versleuteld zodat deze alleen door de ontvangende dienstverlener zijn te lezen. Deze maatregel wordt veelal aangeduid met de term end-to-end encryptie. e. De dienstverlener baseert zich alleen op informatie van de authenticatiedienst en eventueel van het BSN-Koppelregister in
87
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen
f.
geval van toepassing binnen het BSN-/burgerdomein: De makelaar is een belangrijke logistieke schakel tussen de dienstverlener en de authenticatiedienst. Vanwege beperkingen in de gehanteerde technische standaarden heeft de makelaar nog wel een rol om een deel van de ontvangen informatie van de authenticatiedienst verwerkbaar voor de dienstverlener te maken. Als maatregel is in het afsprakenstelsel de procedurele afspraak opgenomen dat de dienstverlener in zijn autorisatie afweging zich ook zou moeten baseren op de originele informatie afkomstig van de authenticatiedienst57. De verklaring omtrent de identiteit wordt niet via de browser geleid: Een andere aanscherping binnen het Introductieplateau is de keuze om communicatie waarin zich verklaringen bevinden alleen nog maar toe te staan via zogenaamde backchannels. Een van de gevolgen hiervan is dat hierdoor deze informatie niet aanwezig is bij de gebruiker/klant in zijn browser. Hiermee wordt het lastiger gemaakt om sessie hijacking en replayattacks uit te voeren.
In de bijlage 3 van de beschrijving zijn de volledige lijsten met RFC’s (de wijzigingen van eHerkenning richting Idensys) opgenomen met toelichtingen. In het hoofdstuk Interface specifications van het Afsprakenstelsel eHerkenning 1.9, de pagina’s 163 e.v. geven in detail de voorschriften van de technische beveiligingsmaatregelen voor het berichtenverkeer over de koppelvlakken tussen de eID Deelnemers. Dit betreft onder meer (in de Engelse taal): General requirements Information security requirements Digital Signature SAML Encryption End-to-End encryption PKIoverheid Secure connection Synchronize system clocks Voor de onderliggende details verwijzen wij hier naar het betreffende document. Conclusies 4. Het gebruik van verschillende soorten PseudoID’s en de end-to-end encryptie vormen de kern van het eID Stelsel, waarmee invulling wordt gegeven aan belangrijke privacy principes als beveiliging, dataminimalisatie en privacy by design. 5. Op alle belangrijke componenten/koppelvlakken in het Introductieplateau is het berichten verkeer encrypted. 6. De afbakening tussen het Burger-/ BSN-Domein en het consumentendomein zorgt eveneens voor een afbakening van deze twee typen authenticaties waardoor veiligheid wordt bevorderd.
57
Request for Change 2119: “A receiving DV: … SHOULD validate the signature and linking of the Evidence assertions”.
88
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen De technische hiervoor te hanteren beveiligingsstandaarden voorzieningen door eID Deelnemers en Dienstaanbieders in hun respectievelijk backoffice systemen zijn nog niet voorzien. Hierbij valt bijvoorbeeld ook te denken aan de beveiliging en het beheer van de geheime sleutels van eID Deelnemers en Dienstaanbieders. Aanbeveling 1. Voorzie in het Afsprakenstelsel in normen / standaarden voor het beveiligen van persoonsgegevens in hun backoffice systemen en aangaande de verweking van audittrails en metadata, waarmee convergentie in de beveiligingsaanpak wordt bewerkstelligd.
4
Welke procedures bestaan er in geval van inbreuken op beveiligingsvoorschriften, en voor het detecteren ervan? Is er een calamiteitenplan om het gevolg van een onvoorziene gebeurtenis waarbij persoonsgegevens worden blootgesteld aan onrechtmatige verwerking of verlies van persoonsgegevens af te handelen?
x
In het Afsprakenstelsel eHerkennign 1.9 zijn scenario’s beschreven voor hoe te handelen ingeval van calamiteiten. Een escalatietrap is beschreven. Deze instructie is als handvat bedoeld voor de beheerorganisatie. In dit geval Logius die optreedt als beheerorganisatie voor het Introductieplateau. Het Afsprakenstelsel voorziet in handreikingen en procedures in hetgeval van calamiteiten en datalekken bij de individuele eID Deelnemers. Evenmin is een voorziening of een procedure beschreven waar Gebruikers terecht kunnen ingeval zij getroffen worden doormisbruik van hun Authenticatiemiddel of hun digitale identiteit.
Aanbeveling 1. Neem in het Afsprakenstelsel een voorziening op voor het melden van beveiligingsincidenten en datalekken, ontstaan binnen de eID infrastructuur en bij eID Deelnemers, bij de betreffende toezichthouders, zoals het CBP. 58 2. Realiseer eveneens voorzieningen en handreikingen voor Burgers en Consumenten in geval zij getroffen worden door calamiteiten aangaande hun digitale identiteit. Bewaring/vernietiging 5
Hoe lang worden de persoonsgegevens bewaard? Geldt dezelfde bewaartermijn voor elk van de typen van verzamelde persoonsgegevens? Is het project onderworpen aan enige wettelijke/sectorale eisen met betrekking tot bewaring?
De ontwerp documentatie bevat concrete informatie over de bewaar en vernietigingstermijnen voor de te onderscheiden verwerkingen van persoonsgegevens voorde eID Deelnemers. De gestelde bewaartermijn is 7 jaar. Deze termijn komt voort uit de eisen welke binnen eHerkenning waren gesteld voor de toepassing binnen het bedrijfsdomein. De vraag is of deze termijn redelijk en noodzakelijk is binnen het Burger en Consumenten domein
Aanbevelingen 1. Evalueer de bewaartermijn van 7 jaar tegen het gebruik van het Introductieplateau binnen de consumenten en burgerdomein 2. Hou daarbij rekening met mogelijke gedifferentieerde bewaartermijnen per type verzamelde persoonsgegevens en toepassingsgebied. Eventueel ook rekening houdend met kwetsbare groepen Gebruikers. 3. Betrek daar daarbij ook de relevante wettelijke/sectorale eisen met betrekking tot de bewaring van bepaalde typen van persoonsgegevens. 4. Zorg in ieder geval dat inzichtelijk wordt op basis van welke beleidsmatige en technische gronden bewaartermijnen voor
58
Deze aanbeveling is in lijn met artikel 15, lid 2, Voorstel Verordening elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt COM(2012) 238 final.
89
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen 5. 6.
6
Op welke beleidsmatige en technische gronden is deze termijn van bewaring vereist?
bepaalde typen van persoonsgegevens binnen het eID Stelsel zijn vereist. Zorg dat in het Afsprakenstelsel ook maatregelen zijn voorzien om de persoonsgegevens na afloop van de bewaartermijn te vernietigen. Hierbij dient ook aandacht te worden besteed aan gegevens in loggingen en audittrails. Zorg er tenslotte voor dat de bewaartermijnen en de vernietiging van persoonsgegevens onderdeel uitmaken van de scope van Stelsel en Certificeringsaudits.
De ontwerp documentatie voorziet nog niet in de beleidsmatige en technische gronden waarop de noodzaak van het bewaren van bepaalde typen persoonsgegevens in het eID Stelsel kan worden gebaseerd. De 7 jaartermijn is ontleend aan het gebruik in het bedrijfsdomein. Zie de voorgaande aanbevelingen.
7
Welke maatregelen zijn voorzien om de persoonsgegevens na afloop van de bewaartermijn te vernietigen? Worden alle persoonsgegevens, inclusief log-gegevens, vernietigd? Is er controle op de vernietiging, en door wie?
V
Transparantie en rechten van betrokkenen
x
De ontwerp documentatie voorziet nog niet in maatregelen om de persoonsgegevens (inclusief loggegevens) na afloop van de bewaartermijn te vernietigen, zoals de norm beoogt. Zie de voorgaande aanbevelingen.
x
Op de vragen: Is het doel van het verwerken van de gegevens bij Gebruikers van het eID Stelsel bekend of kan het bekend gemaakt worden? Wat is de procedure om Gebruikers indien nodig te informeren over het doel van de verwerking van hun persoonsgegevens? kan het volgende worden opgemerkt.
Privacy principe Transparantie Transparantie 1
Is het doel van het verwerken van de gegevens bij de betrokkenen bekend of kan het bekend gemaakt worden? Wat is de procedure om betrokkenen indien nodig te informeren over het doel van de verwerking van hun persoonsgegevens?
x
Burgers die reeds gebruik maken van bestaande authenticatievoorzieningen als DigiD en e-Herkenning kunnen in zekere zin bekend zijn met de identificatie en authenticatiedoeleinden voor dat deel van het toekomstige eID Stelsel. Zowel aan de kant van de overheid als van marktpartijen zijn er immers verschillende bestaande ICT-voorzieningen die, na migratie, zullen worden opgenomen worden in het eID Stelsel. Denk hierbij aan: DigiD, DigiD Machtigen, eHerkenning en PKIoverheid.59 Maar uit de ontwerp documentatie blijkt ook dat de werking van het eID Stelsel complex is en niet eenvoudig is te begrijpen voor niet ingewijden. Dit betekent dat niet op voorhand mag worden aangenomen, dat de werking van het eID Stelsel voor de Gebruiker, alsmede het gebruik van diens gegevens door relevante eID Deelnemers en Dienstaanbieders transparant is. Nu het eID Stelsel als publiek-privaat stelsel voor elektronische identificatie, authenticatie en autorisatie met bestaande, maar
59
Zie Stakeholders, belangen en ontwerpeisen, E12, p. 15.
90
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen ook met nieuwe partijen samenwerkt, is het noodzakelijk dat de betrokkenen in ieder geval vooraf worden geïnformeerd over het bestendigen of aanvullen van het doel van het verwerken van hun persoonsgegevens binnen het eID Stelsel. Dus ook met welke specifieke wijzingen en aanvullingen het eID Stelsel gepaard gaat. Hierbij dient in aanmerking te worden genomen, dat zich binnen het Introductieplateau eID Stelsel, afhankelijk van de rol/combinatie van rollen die een component / eID Deelnemer binnen dit Stelsel vervult, bij de betrokkene kenbaar moet zijn of aan de betrokkene kenbaar moet worden gemaakt, voor welk specifiek doel zijn gegevens bij welke component voorwelke rollen worden verzameld en verder verwerkt. Afhankelijk van het gebruik dat een betrokkene (Gebruiker/Belanghebbende) van het eID Stelsel maakt, zal de informatie hier op toegespitst moeten zijn. Hoewel er van mag worden uitgegaan, dat de Gebruiker over de diensten in het eID Stelsel zal worden geïnformeerd, zal hier volledigheidshalve in het Afsprakenstelsel aandacht aan moeten worden besteed. Dit nu is in die samenhang nog niet voorzien in de ontwerp documentatie van het eID Stelsel. Wel is op onderdelen in het document Stakeholders eerder al bij het eID Stelselontwerp 1.0, belangen en ontwerpeisen aandacht besteed aan de “belangen” van Gebruikers (zijnde de betrokkenen). Verhogen beveiliging, betrouwbaarheid. De Gebruikers van het eID Stelsel moeten er op kunnen vertrouwen dat het stelsel veilig is. Alleen dan zal het stelsel breed worden toegepast. Verhogen vertrouwelijkheid. De Gebruikers van het eID Stelsel moeten er op kunnen vertrouwen dat het stelsel veilig is. Alleen dan zal het stelsel breed worden toegepast. Gebruiksgemak en toegankelijkheid. Deelnemers (met name burgers) begrijpen het toegangs- en vertegenwoordigingsproces en willen/durven het te gebruiken. Laagdrempelig voor betrokkenen. Beveiliging is mede afhankelijk van de mate waarin de Gebruikers het toegangs- en machtigingsproces begrijpen. Gebruikers (met name burgers) moeten het toegangs- en vertegenwoordigingsproces willen en durven gebruiken. Gebruiksacceptatie is één van de belangrijkste voorwaarden voor het slagen van het eID Stelsel. Belanghebbende kan zelf machtigingen achteraf controleren. Een hogere betrouwbaarheid: de Belanghebbende (of zijn daartoe bevoegde vertegenwoordiger) kan beoordelen of een machtiging correct is of dat een activiteit door een bevoegde is uitgevoerd. De mogelijkheid van zelfcontrole zorgt voor betrouwbaardere machtigingen en snellere ontdekking van misbruik. Gebruikers hebben controle over machtigingen en gegevens. Gebruikers blijven baas over eigen gegevens. Bescherming privacy betrokkenen onderling. Verbeterde vertrouwelijkheid, privacy en de privacywet- en regelgeving (o.a. WBP) zijn gerespecteerd. Gebruikers mogen volledig vertrouwen op de borging van hun privacy en het zorgvuldig handelen van de deelnemende partijen. Organisaties mogen volledig vertrouwen op het bewaken van gevoelige informatie. Niet meer gegevens leveren dan strikt noodzakelijk. Deze ontwerpeis is van belang voor E31, maar ook voor verbeterde continuïteit. Indien een eID-deelnemer is gehackt, dan is slechts een beperkt aantal gegevens gecompromitteerd. Het is dan eenvoudiger om de deelnemer uit het eID Stelsel te verwijderen zonder dat dit grote gevolgen heeft voor het eID Stelsel. De verschillende partijen binnen het eID Stelsel moeten verantwoording kunnen afleggen over hun elektronische activiteiten. Een Dienstaanbieder moet kunnen aantonen dat hij vertrouwelijke informatie terecht heeft afgeven. Ook andere partijen (bijvoorbeeld Authenticatiediensten en Machtigingsdiensten) moeten achteraf kunnen aantonen dat ze terecht informatie hebben afgegeven. Afgezien dat de Machtigingsdiensten nog niet voorzien zijn in het Introductieplateau zijn bovenstaand uitgangspunten nog steeds valide.
91
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen Aanbevelingen 1. Voorzie in documentatie en mediamateriaal aan de hand waarvan het eID Stelsel voor wat betreft de werking en het gebruik van data voor de Gebruikers transparant kan worden gemaakt. 2. Zorg via het Afsprakenstelsel, dat eID Deelnemers en Dienstaanbieders hun Gebruikers, zowel over de algemene werking van het Stelsel als voor wat zijn aandeel hierin betreft, informeren.
2
Indien u de persoonsgegevens direct van de betrokkenen verkrijgt, hoe stelt u hen van uw identiteit en het doel van de verwerking op de hoogte vóór het moment van verwerking?
In het Introductieplateau is nog niet met zoveel woorden opgenomen, dat ingeval een Deelnemer in het eID Stelsel direct persoonsgegevens van een Gebruiker verkrijgt, deze op de hoogte wordt gesteld van de identiteit van de eID Deelnemer en het doel van de verwerking. Het risico hiervan is, dat eID Deelnemers deze verplichting niet of niet op een convergente en samenhangende wijze gaan uitvoeren. Aanbevelingen 1. Zie de samenhang met de voorgaande aanbeveling. 2. Neem in de ontwerpeisen op, dat eID Deelnemers, indien zij de persoonsgegevens direct van Gebruikers verkrijgen, hen van hun identiteit en het doel van de verwerking op de hoogte stellen vóór het moment van verwerking en de manier waarop dit dient te gebeuren. Een en ander met het oog op een convergente uitvoering van deze verplichting.
3
Indien u de persoonsgegevens via een andere (overheids)organisatie verkrijgt, hoe zullen de betrokkenen van uw identiteit en het doel van de verwerking op de hoogte worden gesteld op het moment van verwerking?
In het Introductieplateau is nog niet met zoveel woorden opgenomen, dat indien een eID Deelnemer de persoonsgegevens van een betrokkene (Gebruiker) via een andere (overheids)organisatie verkrijgt, de betrokkenen van hun identiteit en het doel van de verwerking op de hoogte worden gesteld op het moment van verwerking. Het risico nu is, dat eID Deelnemers deze verplichting niet of niet op een convergente en samenhangende wijze gaan uitvoeren. Aanbevelingen 1. Zie de samenhang met de voorgaande aanbevelingen. 2. Neem in de ontwerpeisen op, dat eID Deelnemers, dat indien een eID Deelnemer de persoonsgegevens van een betrokkene (Gebruiker) via een andere (overheids)organisatie verkrijgt, de betrokkenen van hun identiteit en het doel van de verwerking op de hoogte worden gesteld op het moment van verwerking en de manier waarop dit dient te gebeuren. Een en ander met het oog op een convergente uitvoering van deze verplichting. Aanbevelingen overall 1. Neem in de ontwerpeisen van het eID Stelsel op, dat in het Afsprakenstelsel geregeld wordt dat aan Gebruikers kenbaar wordt gemaakt welke eID Deelnemers op welke momenten voor welke doeleinden hun persoonsgegevens verwerken. 2. Bewerkstellig hiermee een convergente en met elkaar samenhangende toepassing van het transparantiebeginsel bij alle eID Deelnemers binnen het eID Stelsel. 3. Stem, in de veronderstelling, dat er mediacampagnes over de werking van het eID Stelsel zullen komen, de uitvoering van de voorgaande aanbevelingen hier op af.
Rechten van betrokkenen Privacy principe Rechten van betrokkenen
92
Nr.
Vraag
4
Indien u toestemming tot verwerking van persoonsgegevens aan de betrokkene vraagt (opt-in), kan de betrokkene deze toestemming dan op een later tijdstip weer intrekken (opt-out)? Bij een weigering toestemming te geven, of bij een dergelijke intrekking, wat is dan de implicatie voor de betrokkene?
J
N
Bevindingen / Risico’s / Aanbevelingen In hoeverre er op onderdelen van het verwerkingsproces in het Introductieplateau eID Stelsel sprake is van het toestemming vragen aan de betrokkene tot het verwerken van diens persoonsgegevens (opt-in), en of de betrokkene deze toestemming dan op een later tijdstip weer kan intrekken (opt-out), is in deze ontwerp fase nog niet geheel te overzien. Om die reden kan ook niet volledig worden nagegaan wat bij een weigering om toestemming te geven, of bij een dergelijke intrekking, de implicatie voor de betrokkene is. Conclusie 1. Het is nog niet te overzien of er in de ontwerp-documentatie voldoende aandacht is besteed aan de principes van opt-in / opt-out voor Gebruikers van het eID Stelsel en welke attributen die nu precies betreft. Het lijkt erop dat dit ook afhankelijk is van de functionaliteiten en mogelijkheden die Dienstaanbieder hiertoe gaan bieden. Er is wel sprake van opt-in omdat een Gebruiker zelf bepaald of hij of zij van een Authenticatiemiddel gebruik wil maken. In welke mate opt-out realistisch is nu niet goed vast te stellen. Aanbevelingen 1. Besteed in de volgende ontwerp fasen aandacht aan opt-in / op-out mogelijkheden voor Gebruikers bij de daarvoor in aanmerking komen diensten / attributen. 2. Neem dit indien relevant in het Afsprakenstelsel mee.
5
Via welke procedure hebben betrokkenen de mogelijkheid zich tot de verantwoordelijke te wenden met het verzoek hen mede te delen of hun persoonsgegevens worden verwerkt? Hoe worden derden, die mogelijk bedenkingen hebben tegen een dergelijke mededeling, in de gelegenheid gesteld hun zienswijze te geven?
In de ontwerp documentatie is nog niet met zoveel worden geregeld via welke procedure betrokkenen de mogelijkheid hebben zich tot de verantwoordelijke te wenden met het verzoek hen mede te delen of hun persoonsgegevens worden verwerkt. Dit geldt ook ten aanzien van derden, die mogelijk bedenkingen hebben tegen een dergelijke mededeling, en in de gelegenheid moeten worden gesteld om hun zienswijze te geven. Nu zijn er op onderdelen aanzetten tot het inzagerecht van betrokkenen gegevens. Hieronder volgen een aantal voorbeelden. Een Authenticatiedienst houdt een audit trail bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eID Stelsel: als een Authenticatiemiddel vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een Authenticatiemiddel is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een Gebruiker heeft afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend, dat een audit trail door een Authenticatiedienst uitsluitend mag worden gebruikt voor het geven van inzicht aan de Gebruiker welk gebruik er van zijn middelen is gemaakt In dit stadium van de ontwerpdocumentatie van het Introductieplateau eID Stelsel kan de conclusie worden getrokken dat in potentie de gegevens aanwezig zijn om inzage te geven in de verwerkte persoonsgegevens. Maar procedures en functionaliteit daartoe is niet beschreven. Er kan dus nog niet worden gesproken van op elkaar afgestemde concrete inzage procedures voor betrokkenen (Gebruikers). Althans niet met zoveel woorden waar de norm op doelt. Ook niet hoe eventuele derden, die mogelijk bedenkingen zou kunnen hebben tegen een dergelijke mededeling, in de gelegenheid gesteld kunnen worden om hun zienswijze te geven. Dit geldt evenzeer voor concrete en formele procedures voor het in behandeling nemen van verzoeken van een betrokkenen tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens. Deelnemers aan het eID Stelsel die tot op personen te herleiden gegevens verwerken zijn ieder voor zich, voor wat hun aandeel in de verwerking betreft, verantwoordelijk voor het naleven van privacy- wet en regelgeving. Gezien de data interactie tussen de
93
Nr.
Vraag
J
N
Bevindingen / Risico’s / Aanbevelingen BSN Koppelregister en de meerdere te onderscheiden overige eID Deelnemers in een identificatie/authenticatie/machtigings/vertegenwoordigings proces, is het voorstelbaar dat een betrokkene, wil hij zijn rechten effectueren, “door de bomen het bos niet meer ziet” en mogelijk “van het kastje naar de muur wordt gestuurd”. Dit zou het inzagerecht voor wat betreft het eID Stelsel tot een fictie kunnen maken. Aanbevelingen 1. Besteed in het Afsprakenstelsel aandacht aan procedures voor de eID Deelnemers / Dienstaanbieders voor het effectueren van rechten van betrokkenen (Gebruikers). 2. Geef daarbij handreikingen om convergentie in de afhandeling ervan bij de eID Deelnemers en Dienstaanbieders te bewerkstelligen. 3. Geef ook handreikingen voor een efficiënte en effectieve routing van de afhandeling van deze verzoeken van Gebruikers ingeval de afhandeling ertoe moeten leiden dat meerdere eID Deelnemers zich hiermee moeten gaan bezig houden. Bedenk daarbij ook, dat er omstandigheden kunnen zijn, waarin derden, die mogelijk bedenkingen hebben tegen een dergelijke mededelingen, in de gelegenheid moeten worden gesteld om hun zienswijze te geven. 4. Zorg er ook voor dat het voor de Gebruiker transparant is tot wie welk verzoek inzake welk recht (het beste) kan worden gericht. 5. Neem de voorzieningen voor de rechten van betrokkenen mee in de het Afsprakenstelsel over de verplichte en periodiek uit te voeren certificeringsaudit voor de eID Deelnemers. 6. Overweeg de realisatie van functionaliteit dat een Gebruiker sowieso kan inzien wanneer zijn digitale identiteit gebruikt is en deze transactie dus gelogd is. Dit maakt ook de detectie van misbruik voor de Gebruiker eenvoudiger hetgeen ook kwaliteit verhogend is. Zie hiervoor ook de opmerkingen inzake audittrails bij Vraag I.2a
6
Hoe kan een verzoek van een betrokkene tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens in behandeling worden genomen?
Voor het regelen van de wijze waarop een verzoek van een betrokkene tot verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens in behandeling moet worden genomen, wordt verwezen naar de aanbevelingen bij antwoord 5.
94
Bijlage I: Privacy Principes De basis voor een PIA ligt in het identificeren van de zogenaamde privacy principes. Op basis van een literatuurstudie zijn uit verschillen documenten de volgende privacy principes geïnventariseerd, welke relevant zijn voor de toetsing van het ontwerp van het nieuwe eID stelsel. Er zijn algemene privacy principes gebaseerd op de OESO beginselen. Deze principes zijn van de achtergrondkleur blauw voorzien. Er zijn aanvullende privacy principes die in de WBP worden gehanteerd. Deze principes zijn zwart gekleurd. De groen gekleurde principes kent de WBP ook. Actuele privacy principes: Verantwoording (accountability). Verantwoordelijken nemen maatregelen om materiële beginselen in de WBP te vertalen naar differentieerbare programma’s (nalevingsprogramma’s). De nalevingsprogramma’s worden gebaseerd op PIA’s om privacy risico’s te elimineren of te mitigeren. Het geheel wordt vertaald naar concrete maatregelen en procedures op strategisch-, tactisch- en operationeel niveau. De borging kan aan externe belanghebbenden, met inbegrip van het College bescherming persoonsgegevens (CBP), worden bewezen door monitoring, interne of externe audits. Transparantie. Burgers worden geïnformeerd over het gebruik van hun persoonsgegevens in samenhang met de gebruikte technologie en kunnen daarover controle uitoefenen. De burger is hierdoor in staat om bepaalde vormen van verwerking of onrechtmatig gedrag in rechte aan te vechten. Doelbinding. Persoonsgegevens worden alleen voor vooraf welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en niet verder verwerkt als dit hiermee onverenigbaar is. Dit is een ontwerp principe voor een inzichtelijk functionerende informatie infrastructuur. Noodzakelijkheid en limitering van verzamelen en gebruik van gegevens (gegevensminimalisering). De inrichting van een informatiesysteem is op het ondersteunen van het specifieke doel toegespitst. Identificatie en traceerbaarheid van het individu duurt niet langer dan strikt noodzakelijk is. Minimalistisch gegevensgebruik is het uitgangspunt. Rechtmatige grondslag. Persoonsgegevens worden uitsluitend verwerkt op basis van de limitatieve grondslagen in de Wet bescherming persoonsgegevens (WBP), zoals toestemming, overeenkomst, wettelijke verplichting, publieke taak en gerechtvaardigd belang. Gebruik van persoon identificerende nummers, zoals het BSN, wordt bij wet geregeld. Hieraan voorafgaand wordt het College bescherming persoonsgegevens om advies gevraagd, ook ingeval van koppelingen met pseudo-identiteiten. Kwaliteit. Vooraf wordt in een procedure vastgelegd aan welke kwaliteitseisen een verwerking moet voldoen. Kwaliteitseisen worden zoveel mogelijk via de functionaliteit van een informatiesysteem afgedwongen. Bewaren. Persoon identificeerbare gegevens worden niet langer bewaard dan echt voor een specifiek doel noodzakelijk is. Beveiliging. Passende technische en organisatorische beveiligingsmaatregelen worden genomen tegen verlies of tegen enige vorm van onrechtmatige verwerking op basis van een risico-analyse. Daarbij wordt rekening gehouden met de stand van de techniek en de kosten van de implementatie. Onnodige verzameling en verdere verwerking van persoonsgegevens wordt voorkomen. PET en PbD zijn verplichte onderdelen van beveiliging.
95
Privacy Enhancing Technologies (PET). Een samenhangend systeem van ICT maatregelen, dat de privacy beschermt door het elimineren, verminderen of voorkomen van onnodige en/of ongewenste verwerking van persoonsgegevens, zonder dat hierbij de functionaliteit van een informatiesysteem wordt aangetast. De overheid neemt het voortouw bij de inzet van PET. Privacy by Design (PbD). Gegevensbescherming inclusief PET zijn van meet af een onderdeel van het ontwerp van de architectuur van het informatiesysteem. ECP/EPN beveelt PbD in de brede maatschappelijke context van het ontwikkelen van digitale diensten of producten aan als privacybeschermende maatregel. De beginselen van de noodzakelijkheid, proportionaliteit en subsidiariteit worden meegenomen. Deze verplichting geldt vanaf de design- tot en met de beheerfase van ICT. Met inachtneming van de afwegingen in het beveiligingsprincipe wordt de ondersteunende ICT periodiek op de toepassingsmogelijkheden van PbD en PET onderzocht en zonodig gereviseerd. Dit kan bijvoorbeeld betekenen, dat de infrastructuur van het van de eID stelsel NL op de bestaande mogelijkheden en inzichten van PbD en PET moet worden gereviseerd en in lijn moet worden gebracht met de architectuur van de nieuwe op die principes gebaseerde IDM-Infra in de private sector. Dit kan op basis van die afwegingen betekenen, dat het implementeren van PET eerst bij de noodzakelijke vervanging van (componenten in) een ICT-infrastructuur of bij een volgende generatie informatiesystemen in de vorm van PbD aan de orde komt. In de visie van het CBP is een infrastructurele aanpak onontbeerlijk om fundamentele waarden als privacy op lange termijn te garanderen. Er ontwikkelt zich een identiteitsinfrastructuur voor de overheid, die de basis zal vormen voor haar informatieinfrastructuur. Pseudo-identiteiten zijn volgens het CBP een onmisbaar gereedschap bij privacybescherming in informatiesystemen. Niet-kenbaarheid van het individu is daarom een essentieel ontwerpprincipe voor de identiteitsinfrastructuur van de overheid. Persoonsnummers spelen een belangrijke rol bij identiteitsmanagement. Nummerstelsels blijken moeilijk te beheren. Vanuit informatiekundig perspectief valt er daarom veel te zeggen voor een gedifferentieerde aanpak waarin verschillende keten- en sectornummers naast elkaar bestaan. Rechten van betrokkenen. Burgers hebben naast het recht van transparantie, het recht om inzage, correctie, aanvulling, afscherming of verwijdering van hun persoonsgegevens te vragen of zich tegen de verwerking ervan te verzetten. De burger mag periodiek vragen aan welke instanties zijn persoonsgegevens zijn verstrekt en hiervan een overzicht ontvangen. De functionaliteit van ICT-infrastructuur is op het effectueren van deze rechten toegerust. Doorgifte naar derde landen. Persoonsgegevens worden slechts naar een land buiten de Europese Unie (EU) en de Europese Economische Ruimte (EER) doorgegeven indien dat land een passend privacy beschermingsniveau waarborgt. Recente ontwikkelingen als gevolg van de onthullingen door Snowdon over PRISM en de Amerikaanse afluisterpraktijken hebben in de politiek geleid tot een mogelijk herziening van afspraken die zijn gemaakt met de Amerikaanse overheid inzake het “Safe Harbour Principe”. Wijzigende wet- en regelgeving op het gebied van verwerking persoonsgegevens, privacy, informatiebeveiliging, doorgifte en datalekken vormen eveneens een bijzonder risico voor de privacy impact op een eID Stelsel. 96
Bijlage II: Algemene privacy risico’s Inleiding Het verwerken van persoonsgegevens kan risico’s voor de privacy van de burger opleveren. Risico’s staan meestal niet op zich zelf, zijn soms in elkaar verweven, kunnen elkaar sterk beïnvloeden en laten zich daarom niet scherp afbakenen. De onderstaande risico’s die zich in de maatschappij kunnen voordoen, zijn ontleend aan literatuuronderzoek.
'data deluge'-effect Dit effect houdt in, dat de hoeveelheid persoonsgegevens die beschikbaar is, wordt verwerkt en wordt doorgegeven, blijft groeien. Dit fenomeen wordt versterkt door zowel technologische ontwikkelingen, d.w.z. de groei van informatie- en communicatiesystemen, als door het feit dat individuen steeds beter in staat zijn gebruik te maken van en te reageren op technologieën. Naarmate er meer gegevens beschikbaar zijn en mondiaal worden 60 uitgewisseld, neemt ook het risico voor de privacy toe. Het 'data deluge'-effect is een paraplu begrip voor de risico’s die hieronder aan de orde komen. Waardestijging van persoonsgegevens Almaar toenemende hoeveelheden persoonlijke informatie gaat gepaard met een waardestijging in sociaal, politiek en economisch opzicht. In bepaalde sectoren, met name in onlineomgevingen, zijn persoonsgegevens de facto een betaalmiddel geworden voor toegang tot onlinecontinent. Recent onderzoek wijst uit dat bedrijven de neiging hebben om omvangrijke verzamelingen persoonsgegevens aan te leggen zonder specifiek doel. Die ontwikkeling wordt mogelijk gemaakt door de snelle daling in de kosten voor digitale opslag en wordt gedreven door het besef dat persoonsgegevens een economische hulpbron zijn die moet worden geëxploiteerd. Adverteerders en fraudeurs zorgen voor een bloeiende markt 61 voor persoonsgegevens. ‘Function creep’ Function creep is het risico van het verschuiven van de doeleinden waarvoor de persoonsgegevens aanvankelijk mogen worden gebruikt. Dit risico kan ontstaan bij steeds groter groeiende database met persoonsgegevens: In de loop van de tijd kan het inzicht of de behoefte ontstaan om die gegevens voor heel andere doeleinden te gaan gebruiken, dan ooit 62 bij de aanleg van de database de bedoeling was. Onrechtmatig gebruik van uniek identificerende gegevens Het van overheidswege uitgegeven BSN als uniek identificerend gegeven voor een persoon, zorgt voor ongekende mogelijkheden om hiermee ingeval van een breed maatschappelijk gebruik personen te volgen en te profilen. Dit gevolg kan optreden als het BSN wordt gebruikt om de effectiviteit, efficiency en betrouwbaarheid van administratieve processen te bevorderen door hieraan allerlei andere soorten van persoonsgegevens te koppelen. Identificatie via het BSN opent voor de burger in 63 toenemende mate de poort naar dienstverlening door de overheid en het bedrijfsleven. 60
Zie Advies 3/2010 over het verantwoordingsbeginsel, WP 173, waarin zowel het ‘data deluge’-effect als de waardestijging als privacy risico’s worden genoemd. 61 Bron: Study on the economic benefits of privacy-enhancing technologies (PETs), Final report to The European Commission DG Justice, Freedom and Security, prepared by London Economics, July 2010, p.65. 62 Zie de meningen over dit risico in Happy Landings, het Biometrisch Paspoort als Zwarte Doos, Vincent Böhre, verkennende studie voor het rapport i-Overheid, WRR, oktober 2010. 63 Het BSN mag alleen worden gebruikt als daarvoor een wettelijke basis aanwezig is.
97
64
Hierdoor neemt ook het risico van identiteitsfraude toe. In dat verband wordt ook verwezen naar het risico van geheime (niet transparante) verwerking van persoonsgegevens. Als gevolg van deze ontwikkelingen kunnen burgers langdurig en intensief onderhevig zijn 65 aan onterechte en ongewenste bejegening in het sociaal en maatschappelijk verkeer. Die gevolgen kunnen nauwelijks onomkeerbaar of herstelbaar zijn. Dit geldt ook voor uniek identificerende gegevens als biometrische gegevens en persistente pseudo-identiteiten die tot 66 op personen herleid kunnen worden. Naarmate dergelijke uniek identificeerbare gegevens meer in het maatschappelijk verkeer worden verspreid, neemt het risico van het gebruik ervan buiten de wettelijk gestelde grenzen toe. Het voorgaande kan zich ook voordoen ingeval betaalrekening nummers als uniek identificerende gegevens worden gebruikt. Inconsistente implementatie en naleving verantwoordingsbeginsel Vanwege de veelheid van partijen die bij de verwerking van persoonsgegevens (verantwoordelijken en bewerkers) zijn betrokken, varieert het niveau van privacy bescherming bij de betrokken verantwoordelijkheden en bewerkers. Hierdoor kan de bescherming van de persoonlijke levenssfeer op onderdelen worden aangetast. Hierdoor ontstaan zwakke schakels in de keten van de verwerkingen van persoonsgegevens. Zwakke schakels kunnen een cumulatief effect veroorzaken waardoor het niveau van de bescherming van persoonsgegevens in een neerwaartse spiraal terecht komt. Het kan ook zijn, dat door de inconsistentie of niet correcte toepassing van de privacy principes door een partij in de keten, de verwerking van persoonsgegevens wordt belemmerd. Dit leidt niet alleen tot privacy risico’s maar ook tot onnodige bureaucratie en additionele 67 kosten. Geheime (niet transparante) verwerking van persoonsgegevens Indien een verwerking niet transparant is voor de burger kan de verwerking onder omstandigheden zonder zijn toestemming, tegen zijn voorkeuren of anderszins onrechtmatig plaatsvinden. Doordat burgers niet op de hoogte zijn van het gebruik van hun persoonsgegevens, kunnen zij de impact ervan in het sociaal maatschappelijk verkeer niet overzien. Zij hebben hier niet of nauwelijks controle meer over. Dit kan betekenen dat zij, zonder zich hiervan bewust te zijn, worden gestigmatiseerd en/of uitgesloten van sociaal maatschappelijke voorzieningen. Ingeval dit bewustzijn ontstaat, is soms zonder buitengewone inspanningen niet te achterhalen wat de oorzaak van de nadelige effecten is. Hierdoor is de burger ook niet of nauwelijks meer in staat om zijn wettelijke privacy rechten te effectueren. Net als bij onrechtmatig gebruik van uniek identificerende gegevens, kunnen de gevolgen onomkeerbaar en onherstelbaar zijn. Niet toegestane verwerking van persoonsgegevens buiten de EU Doorgifte van persoonsgegevens naar landen buiten de EU en EER naar landen zonder adequaat privacybeschermingsniveau herbergt op voorhand een hoog risico van onrechtmatige verwerkingen van persoonsgegevens, alsmede het niet kunnen effectueren van rechten van betrokkenen.
64
De vrees voor dit risico wordt bevestigd door de verkennende studie van CenTERdata en ECP-EPN in opdracht van de Wetenschappelijk Raad voor het Regeringsbeleid ECP-over rolverdeling van de overheid en de burger bij het beschermen van de identiteit, november 2010. Zie als bron ook noot 37. 65 Dit risico geldt vanzelfsprekend ook voor het achterlaten van digitale sporen door de burgers zelf in de social networks. 66 Zie ook Elektronische overheid en privacy, Bescherming van persoonsgegevens in de informatie-infrastructuur van de overheid, College bescherming persoonsgegevens, A&V 25, p. 17. 67 Zie naar analogie Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the regions, A comprehensive approach on personal data protection in the European Union, Brussels 4.11.2010, COM(2010)609 final.
98
Data lekken Ten gevolge van datalekken of breuken in de informatiebeveiliging kunnen persoonsgegevens in handen komen van onbevoegden en onrechtmatige verwerkingen tot gevolg hebben. Grote databases van overheidsdiensten en private partijen zijn gevoelig voor datalekken en 68 onbevoegde uitwisseling van persoonsgegevens. Burgers hebben in de regel geen weet van dergelijke datalekken. Hierdoor zijn zij vatbaar voor de gevolgen van alle hiervoor genoemde risico’s, die afhankelijk van de aard en omvang van het datalek, progressief in omvang kunnen toenemen. Overige privacy risico’s Voorbeelden van overige privacy risico’s, die weer kunnen voortvloeien uit één of meer van de voorgaande risico’s, zijn: Profiling. Van personen worden profielen gemaakt op basis van bijvoorbeeld hun leefpatroon, bestedingspatroon, betaalgedrag, eetgewoonten op basis waarvan zij worden karakteriseerd, in maatschappelijke klassen worden ingedeeld of op een 69 bepaalde manier in het maatschappelijk verkeer worden bejegend; Verkeerde behandeling in het maatschappelijk verkeer als gevolg van fouten en niet transparant handelen; Stigmatisering door koppeling van gegevens; Omkering van de bewijslast voor de betrokkene omdat de betreffende gegevens nu eenmaal in een database voorkomen en door de verantwoordelijke als juist worden bestempeld; Consumenten worden gedwongen om in te stemmen met het gebruik van hun persoonsgegevens voor diverse doelen om met het oog op het bijvoorbeeld het 70 verkrijgen van diensten, gunsten of direct marketing doeleinden; Nieuwe ontwikkelingen als “cloud computing” sinds de digitale ruimte voor persoonsgegevens en applicaties wordt beheerd door veel verschillende (sub)bewerkers verspreid over diverse continenten. Data wordt regelmatig verplaatst, 71 waardoor de relevante jurisdictie veranderd. Activiteiten van inlichtingen- en afluisterdiensten. Al dan niet geoorloofde activiteiten van interne of externe inlichtingen- en afluisterdiensten ondermijnen de veiligheid van systemen en privacy principes. Ander aspect van dit fenomeen is dat veiligheid en transparantie wordt ondermijnd en ongewenste cumulatie en combinatie van data wordt gerealiseerd, waardoor verborgen hotspots ontstaan. Bovendien duiden recente berichten over activiteiten van inlichtingendiensten erop dat onder meer veiligheid ondermijnende malware wordt ingezet en diensten van providers worden gecompromitteerd.
68
Bron: Study on the economic benefits of privacy-enhancing technologies (PETs), Final report to The European Commission DG Justice, Freedom and Security, prepared by London Economics, July 2010, p.67. Zie ook Happy Landings, het Biometrisch Paspoort als Zwarte Doos, Vincent Böhre, verkennende studie voor het rapport iOverheid, WRR, oktober 2010. 69 Meer specifiek ten aanzien van het eID Stelsel kunnen deze risico’s het gevolg zijn van: Ongewenste combinatie van niet direct tot personen te herleiden gegevens. Door het combineren van gegevens uit verschillende verwerkingen, onder andere via onderliggende (technische) systeemlagen of via gegenereerde loggegevens en metadata, kunnen gegevens die niet direct tot personen zijn te herleiden, alsnog tot individuen herleid worden. Ongewenste cumulatie of samenbundeling van verschillende rollen en verantwoordelijkheden van te onderscheiden rollen in het eID Stelsel. Het samenbrengen of doorbreken van verschillende rollen en verantwoordelijkheden en de daaronder vallende gegevensverwerkingen en/of gegevenstransport leidt tot het ondermijnen van privacy principes. 70 Bron: Study on the economic benefits of privacy-enhancing technologies (PETs), Final report to The European Commission DG Justice, Freedom and Security, prepared by London Economics, July 2010, p.66-67. 71 Dit kan een negatieve impact tot gevolg hebben op het effectueren van rechten van betrokkenen. Inzet van “cloud computing” op verschillende systeemlagen en door (onder)aannemers in de eID-infrastructuur keten (verschillende subbewerkers, mogelijk verspreid over diverse jurisdicties en continenten) en misbruik van systemen en datalekken. Overnames van in EU gevestigde organisaties die diensten leveren binnen het eID Stelsel door organisaties die gevestigd zijn buiten de EU. Dit met als mogelijk risico dat ook databases worden verplaatst naar andere locaties en onder andere jurisdicties vallen.
99
Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie Tenslotte worden door de WP 193 ten aanzien van Biometrische systemen de volgende risico’s onderkend. 72
Het eerste risico is identiteitsfraude , vooral in het geval van identificatie en authenticatie. Het biometrische apparaat mag niet worden misleid door een spoofing-aanval en moet verzekeren dat de persoon die een poging doet om de matching uit te voeren, echt de persoon is die is geregistreerd in het systeem. Die dreiging lijkt minder zinvol te zijn voor biometrische gegevens die niet kunnen worden verzameld zonder de kennis van de betrokkene, zoals de ader patronen. Het is echter een groot probleem voor vingerafdruk of gezichtsherkenning apparaten. Vingerafdrukken worden overal achtergelaten door simpelweg het aanraken een object. Het gezicht kan ook worden afgevangen door het nemen van een foto, zonder dat degene zich daarvan bewust is. Het tweede risico is het doel afleiding, hetzij door de verantwoordelijke voor de verwerking zelf of door een derde partij waaronder de wetshandhavingsautoriteiten. Deze gemeenschappelijke dreiging met betrekking tot persoonsgegevens wordt van cruciaal belang bij het gebruik van biometrische gegevens. Fabrikanten moeten alle veiligheidsmaatregelen nemen om elk onrechtmatig gebruik van de gegevens te voorkomen en ervoor zorgen dat alle gegevens die niet meer nodig zijn met het oog op de verwerking onmiddellijk worden verwijderd. Zoals met ieder andere gegeven, rechtmatig verwerkte of opgeslagen biometrische gegevens of de bronnen van biometrische mogen niet door de controller worden verwerkt of ingeschreven voor een nieuw of ander doel tenzij hiervoor een nieuwe legitieme reden is. Het derde risico is inbreuk op de gegevensbeveiliging, die vereist in de biometrische gegevens context speciale acties afhankelijk van het soort gegevens die zijn gecompromitteerd. Indien een systeem is gebruikt die biometrische gegevens op een template via een algoritme omzet in een bepaalde code en ofwel de biometrische gegevens of het algoritme wordt gestolen of aangetast, moeten ze worden vervangen. Wanneer een inbreuk op de gegevensbeveiliging het verlies van direct geïdentificeerd biometrische gegevens betreft die zeer dicht bij de bron van biometrische gegevens liggen, zoals afbeeldingen van gezichten of vingerafdrukken, zal dit aan de betrokken persoon in detail moeten worden gemeld om zichzelf te kunnen verdedigen in een mogelijke toekomstige gebeurtenis waarbij deze compromitteerde biometrische gegevens tegen hem als bewijs gebruikt kunnen worden. Effecten van voorgestelde mitigerende maatregelen uit document Stelselrisicoanalyse van 15 juli 2015, paragraaf 4. In onderstaande tabel is aangeven welke privacy principes hiermee ondersteund worden en welke privacy risico’s worden beperkt.
72
Dit risico is vanzelfsprekend ook relevant voor andersoortige identificatie en authenticatiesystemen.
100
Bijlage III: Mitigerende maatregelen uit Stelselrisicoanalyse In onderstaande tabel zijn de belangrijkste effecten per privacy principe en privacy risico opgenomen van de voorgestelde mitigerende maatregelen uit het document Stelselrisicoanalyse van 15 juli 2015, paragraaf 4.
Nr 1
Mitigerende maatregel Communicatie protocollen bij uitval BSN Koppelregister
Privacy principe Data kwaliteit
Privacy risico Gegevens of service niet beschikbaar
Treffen van redundante voorzieningen bij BSN Koppelregister Realiseren van gelijke beschikbaarheidseisen tov eID Deelnemers 2
Gebruiker inzicht geven in bij welke Authenticatiedienst hij geregistreerd is
Data Kwaliteit Transparantie
Identiteitsfraude
3
Gebruiker notificeren wanneer registratie op zijn naam plaatsvindt
Data Kwaliteit Transparantie
Identiteitsfraude
4
Notificatie van het gebruik van het middel op hogere of het hoogste niveau Gebruiker meer garanties geven omtrent intrekken van middel (revocatie) Gebruiker meer duidelijkheid verschaffen omtrent geldigheidsduur van het middel Gebruiker faciliteren bij fraude afhandeling Aanscherping gebruiksvoorwaarden Dienstverleners en controle op vereiste controles bij Dienstverleners.
Data Kwaliteit Transparantie
Identiteitsfraude
Data Kwaliteit Transparantie Rechten van betrokkenen Data Kwaliteit Transparantie
-
Rechten van betrokkenen
Identiteitsfraude
Data Kwaliteit Verantwoordingsprincipe
Identiteitsverwisseling en/of -fraude.
5
6
7 8
Daarbij verantwoordelijkheid voor het koppelen ondubbelzinnig bij de Dienstverlener leggen.
-
Foutieve koppeling van middel aan account van gebruiker.
Aanvullende controle maarregelen
Foutieve koppeling van account van de gebruiker bij de de Dienstverlener
101