GROEP GEGEVENSBESCHERMING ARTIKEL 29
10054/03/NL WP 68
Werkdocument over on-lineauthenticatiediensten
Goedgekeurd op 29 januari 2003
De Groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Zij is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer. De taken van de Groep zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 14 van Richtlijn 97/66/EG. Het secretariaat wordt verzorgd door directoraat E (Diensten, intellectuele en industriële eigendom, media en gegevensbescherming) van directoraat-generaal Interne markt van de Europese Commissie, B-1049 Brussel, België, kamer C 100-6/136. Website: www.europa.eu.int/comm/privacy
DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 19951, Gelet op artikel 29 en artikel 30, lid 1, onder a), en lid 3, van deze richtlijn, Gelet op haar reglement en met name op de artikelen 12 en 14 daarvan, heeft het volgende werkdocument goedgekeurd:
1. INLEIDING: DE GROEI VAN ON- LINEAUTHENTICATIEDIENSTEN Het toenemend gebruik van on-lineauthenticatiediensten heeft het internetlandschap gewijzigd 2. Steeds meer websites willen dat bezoekers zich laten registreren, omdat ze vertrouwelijke informatie geven, de mogelijkheid bieden om de voorkeuren van de gebruiker te registreren, een dienst tegen een vergoeding aanbieden of omdat zij goederen leveren. Als deze sites eisen van de bezoeker een vorm van identificatie, vaak met een e-mailadres, en een vorm van controle, vaak met een wachtwoord. Het gebruik van een "gebruikers-id/wachtwoord” dienstenaanbieders problemen opleveren:
combinatie
kan
voor
de
- gebruikers hebben de neiging hun wachtwoord te vergeten. Steeds meer mensen bellen of sturend mails aan de helpdesk omdat ze hun wachtwoord zijn vergeten. De kosten om wachtwoorden te herstellen vormen voor de websites een steeds grotere belasting; - steeds meer gebruikers hanteren verschillende methoden om op internet te gaan en vragen van de dienstenaanbieders dezelfde service. De toegangsmethoden kunnen uit technisch oogpunt verschillen, van toegang vanaf een pc tot WAP, maar nog vaker gebeurt het dat men op internet surft vanaf verschillende computers, in internetcafés of bibliotheken. Gebruikers moeten zich dan meer wachtwoorden herinneren. - en tot slot vinden sommige gebruikers het niet leuk om steeds maar hun gebruikers-ID en een wachtwoord in te voeren omdat zij het gevoel hebben dat dit storend werkt. Gebruikers willen zich zo weinig mogelijk inspanningen getroosten, waardoor ze korte wachtwoorden gebruiken die niet veilig zijn en vaak voor meerdere websites gelden. Elke oplossing voor de drie bovengenoemde problemen vereist van de gebruiker dat hij een deel van de authenticatie afstaat. Momenteel zijn er vier mogelijkheden:
1
PB L 281 van 23.11.1995, blz. 31, beschikbaar op: http://europa.eu.int/comm/internal_market/en/dataprot/index.htm. 2
De Groep heeft er in vorige documenten al op gewezen dat de beginselen van de richtlijn ook moeten gelden voor on-lineactiviteiten. Zie bv. : werkdocument “Privacy op internet - Een geïntegreerde EUaanpak van on-linegegevensbescherming”, WP 37, goedgekeurd op 21 november 2000 --
2
• • • •
het wachtwoordbeheer wordt door de browser van de pc van de gebruiker overgenomen, zoals momenteel gedaan wordt door de wachtwoordbeheerder Mozilla; het wachtwoordbeheer wordt toevertrouwd aan een proxy-server op internet die eventueel door een internetdienstenaanbieder (ISP) ter beschikking wordt gesteld; authenticatie gebeurt door een derde partij die gebruikmaakt van een specifiek authenticatieprotocol. Dit doet bijvoorbeeld Microsoft met .NET Passport; authenticatie wordt uitgevoerd door een contractuele partner in een "circle of trust". Een specifiek protocol wordt gebruikt, bijvoorbeeld dat van het Liberty Alliance project.
Op deze mogelijkheden wordt hieronder verder ingegaan: 1. Een wachtwoordbeheerder op de pc Een wachtwoordbeheerder in de internetbrowser lost maar voor een deel het probleem op. De gebruiker hoeft geen wachtwoord meer in te voeren, waardoor het risico het wachtwoord kwijt te raken vrijwel niet meer bestaat. Het biedt echter geen oplossing voor gebruikers die vanop verschillende pc's op internet gaan. Vanuit het oogpunt van de gegevensbescherming is de situatie vrij eenvoudig. Alle software draait op de pc van de gebruiker en wordt door deze gebruiker beheerd. Er is geen enkel extern bedrijf dat de gegevens controleert. Indien de informatie in de gegevensbank van de wachtwoordbeheerder moet worden opgenomen, wordt dit aan de gebruiker gevraagd. De wachtwoordbeheerder vult het wachtwoord in, maar verstuurt het nog niet. Op die manier wordt gegarandeerd dat dit niet zonder de toestemming van de gebruiker gebeurt. Uit het oogpunt van de beveiliging moeten wel passende maatregelen worden genomen om de opgeslagen gegevens tegen aanvallen te beschermen. 2.Gebruik van een proxy-server In plaats van een wachtwoordbeheerder in de gebruikersagent (de browser) te gebruiken, kan dezelfde functionaliteit worden ingebouwd in een proxy-server op internet. Deze functionaliteit is vergelijkbaar met de proxies waarmee je anoniem kunt surfen (“anonymising proxies”). Een proxy -server kan verschillende gebruikers bedienen; daarvoor moet hij wachtwoorden registreren, per gebruiker en per site die de gebruiker wil bezoeken. De registratie moet voor de gebruikers betrouwbaar zijn; dit gebeurt heel expliciet, omdat de gebruiker, voordat hij toegang wil tot een bepaalde proxy-server, bewust een beslissing neemt (er is geen standaardservice). Een gebruiker moet in de proxy-server inloggen indien hij de wachtwoorden wil gebruiken. Zodra hij is ingelogd heeft de gebruiker dezelfde voordelen als met de ingebouwde wachtwoordbeheerder. Het voordeel van de proxy-server is dat hij vanaf verschillende pc's en/of andere apparatuur toegankelijk is. Deze proxy-servers mogen nooit informatie over een gebruiker aan een derde partij doorgeven zonder de toestemming van de gebruiker. Indien zij dit toch doen, verliezen zij het vertrouwen van hun cliënten en derhalve hun bestaansrecht. Normaal is er een contract tussen de proxy-aanbieder en de cliënt. Voor de dienstverlening zal waarschijnlijk betaald worden uit andere bronnen dan reclame, mogelijk in combinatie met de dienst die door een internetdienstenaanbieder wordt geleverd. --
3
3. On-lineauthenticatiediensten met speciale protocols Voor geen enkele van bovengenoemde oplossingen moeten de websites van de dienstenaanbieders worden gewijzigd. Een andere mogelijkheid bestaat erin dat de authenticatie wordt uitgevoerd met een speciaal authenticatieprotocol. De basisarchitectuur voor deze protocols is dezelfde: er zijn drie partijen: een eindgebruiker, een dienstenaanbieder en een authenticatieaanbieder. De eindgebruiker wordt pas door de dienstenaanbieder bediend als zijn identiteit door de authenticatieaanbieder is gecontroleerd. De dienstenaanbieder vertrouwt de authenticatieaanbieder en accepteert de komst van een gebruiker. In de .NET Passportarchitectuur wordt één authenticatieserver gebruikt die door Microsoft wordt beheerd. Het Passport bevat identificatie- en authenticatieinformatie alsmede informatie om een profiel op te stellen. Verwacht wordt dat deze twee pakketten informatie in de toekomst steeds meer van elkaar worden gescheiden. Een gebruiker die inlogt op het Passport heeft een unieke identifier, een PUID. Indien de gebruiker wil inloggen op een dienstenaanbieder, geeft hij aan de Passportserver de instructie om de identificatie te leveren in een vorm die door de dienstenaanbieder kan worden gelezen, momenteel in een symmetrisch geëncrypteerde vorm. Liberty Alliance gebruikt een “federatie”-model (gedistribueerd model). Een gebruiker kan met zijn account over twee dienstenaanbieders distribueren. Zodra dit gebeurd is zal de ene dienstenaanbieder de doorgifte van de gegevens van de andere dienstenaanbieder, die de authenticatie van de gebruiker op zich neemt, accepteren. De Groep is zich bewust van de groei van on-lineauthenticatiediensten en heeft daarom enkele maanden geleden besloten de gevolgen van het gebruik van deze systemen voor de gegevensbescherming te bestuderen 3. De Groep is zich bewust van het belang van veilige authenticatiemechanismen om de veiligheid en met name de integriteit van elektronische transacties, met name wanneer er on line betalingen mee gemoeid zijn, te garanderen en pleit daarom voor een ontwikkeling van deze diensten die rekening houdt met de gegevensbeschermingbeginselen die zijn vastgelegd in de gegevensbeschermingsrichtlijn4 en de nationale wetgevingen die deze richtlijn uitvoeren. 2.
CASE- STUDY 1: MICROSOFT .NET PASSPORT
.NET Passport is momenteel een heel belangrijk initiatief op dit gebied. Daarom heeft de Groep in de eerste plaats dit systeem aan een onderzoek onderworpen, namelijk in het voorjaar van 20025. Na een eerste analyse is de Groep tot de conclusie gekomen dat Microsoft weliswaar enkele maatregelen inzake gegevensbescherming heeft genomen, maar dat een aantal elementen van het .NET Passportsysteem juridische problemen doen rijzen en daarom nader moeten worden bestudeerd.
3
Zie WP 60, Werkdocument - Eerste oriëntaties van de Groep van artikel 29 betreffende on-lineauthenticatiediensten, goedgekeurd op 2 juli 2002. 4 Publicatieblad L 281 van 23/11/1995, blz. 31, beschikbaar op: http://europa.eu.int/comm/internal_market/en/dataprot/index.htm 5
Zie WP 60, Werkdocument - Eerste oriëntaties van de Groep van artikel 29 betreffende on-lineauthenticatiediensten, goedgekeurd op 2 juli 2002. --
4
In de maanden die daarop volgden is de Groep met Microsoft gaan praten om meer inzicht te krijgen in de werking van het systeem, om de verschillende vraagstukken die aan de orde zijn te bespreken en met name na te gaan of de Europese beginselen inzake gegevensbescherming correct werden nageleefd en, zo nodig, om die elementen van het systeem aan te wijzen die moeten worden aangepast. Deze open en vruchtbare dialoog heeft ertoe geleid dat Microsoft zich ertoe heeft verbonden wijzigingen in het systeem aan te brengen die het vanuit het oogpunt van de gegevensbescherming verbeteren. Deze verbintenis van Microsoft, alle maatregelen die met de Groep zijn besproken te realiseren, zijn beschreven in diverse brieven aan de voorzitter van de werkgroep, de heer Rodota6 waarbij voor elke stap een tijdschema werd vastgesteld. Elke stap is anders en heeft dan ook een andere realisatieperiode. Sommige maatregelen, zoals een herziening van de tekst van de privacyverklaring van het .NET Passport en het verstrekken van extra informatie op registratiebladzijden zijn eenvoudig en kunnen snel worden uitgevoerd. Voor andere maatregelen, zoals de nieuwe informatiestroom die hieronder is beschreven, moet de .NET Passportdienst opnieuw wordt gecodeerd; een dergelijke stap heeft uiteraard meer tijd nodig. De Groep heeft kennis genomen van het tijdschema dat door Microsoft aan haar heeft voorgelegd. Dit tijdschema bevat drie categorieën: eerste categorie (0-4 maanden), tweede categorie (4-8 maanden) en derde categorie (8-18 maanden). Naast elke maatregel staat het tijdschema tussen haakjes. Sommige maatregelen zijn ondertussen al uitgevoerd en worden in deze tekst dan ook als zodanig aangegeven. 2.1.
Korte beschrijving van het Microsoft .NET Passportsysteem
NET Passport is een authenticatiedienst op internet met eenmalige aanmelding voor alle aan de .NET Passportservice deelnemende websites. Gebruikers hoeven op die manier niet steeds opnieuw gegevens in te voeren als ze op internet surfen en besparen zo veel tijd. .Net Passport is geen autorisatie- of identificatiedienst, maar een authenticatiedienst die de opgegeven identiteit van een gebruiker valideert en bevestigd door de personalia (credentials) ervan te verifiëren7. De dienst is opgericht in 1999 en werd in de zomer van 2000 .NET Passport genoemd. Momenteel zijn er wereldwijd meer dan 250 miljoen accounts (een gebruiker kan meerdere accounts hebben, vooral indien hij over meerdere Hotmail accounts beschikt). Meer dan 40 miljoen accounts zijn van EU-burgers. Er zijn verschillende manieren om een Passport te verkrijgen: - op www.passport.net - op een deelnemende site - via een Hotmail account Ruim 87% van de gebruikers meldt zich aan via een deelnemende site of via Hotmail, niet direct via de site van Microsoft. Ongeveer 120 miljoen accounts behoren tot houders van een Hotmail account en een ander groot deel meldt zich aan via Window Messenger. Hotmail is een e-mailservice die wereldwijd wordt gebruikt en beheerd wordt door Microsoft Corporation of door andere bedrijven die door Microsoft worden gecontroleerd.
6
Brieven van 19 september en 25 november 2002 Naast de gegevensbeschermingsrichtlijn zijn misschien nog andere richtlijnen op deze diensten van toepassing zoals de richtlijnen betreffende elektronische handel en elektronische handtekeningen. -7
5
Momenteel worden drie persoonlijke-informatieblokken verzameld: 1. minimale informatie: gebruikersnaam (e-mailadres) en wachtwoord; 2. personalia: geheime vraag en antwoord, telefoonnummer en pincode, beveiligingssleutel en drie extra vragen en antwoorden. Deze gegevens zijn noodzakelijk voor het geval de gebruiker zijn wachtwoord is vergeten. De informatie maakt geen deel uit van het profiel en wordt niet aan andere sites doorgegeven; 3. maximale profielinformatie: de bovenvermelde informatie plus voornaam, familienaam, tijdzone, geslacht, geboortedatum, beroep en bereikbaarheid. Deelnemende sites kunnen de informatie direct bij de gebruiker ophalen en extra informatie verwerken. Momenteel nemen 69 externe websites (die niet tot Microsoft behoren) deel aan .NET Passport, waarvan 22 in de EER.
2.2.
Juridische problemen en resultaten van de dialoog met Microsoft
In haar document van juli 2002 heeft de Groep een aantal problemen genoemd die meer aandacht verdienen. Hieronder zullen wij op deze problemen nader ingaan en op het resultaat van de dialoog die wij met Microsoft over deze problemen hebben gevoerd. Als algemeen punt moet erop worden gewezen dat naast de specifieke maatregelen die hieronder worden beschreven, Microsoft besloten heeft de informatiestroom van .NET Passport te wijzigen. De dienst zal zodanig worden gewijzigd dat het aanmaken van een .NET Passport account duidelijk gescheiden wordt van het opslaan van persoonsgegevens in het paspoortprofiel. Deze nieuwe informatiestroom moet normaal een positief effect hebben op de correctheid van het verzamelen en verwerken van persoonsgegevens, hetgeen uitvoeriger zal worden uiteengezet als de evenredigheidsvraagstukken aan de orde zijn. De Groep heeft deze stap toejuicht.
2.2.1.
De informatie die aan de betrokkenen wordt verstrekt bij de verzameling, verdere verwerking van de gegevens of de doorgifte ervan aan een derde partij, eventueel in een derde land.
Toen de Groep .NET Passportsysteem onder de loep nam, werd zij meteen geconfronteerd met het tekort aan duidelijke en transparante informatie. De bestaande informatie was vaag en bevatte niets over de belangrijkste zaken in verband met gegevensbescherming (identiteit van de voor de verwerking verantwoordelijke, het doel van de verwerking, rechten van de betrokkenen, ontvangers van de gegevens, elementen die noodzakelijk zijn voor een correecte verwerking van de gegevens) en soms zelfs tegenstrijdige verklaringen. De twee punten waar de Groep zich het meest zorgen over maakte, was het gebrek aan passende informatie over de doorgifte van persoonsgegevens aan een derde land en over de link tussen Hotmail en Passport. Ondertussen heeft Microsoft beloofd de volgende maatregelen te nemen om aan de wensen van de Groep tegemoet te komen:
--
6
- Microsoft zal gevolg geven aan het verzoek dat de Groep artikel 29 in haar aanbeveling 2/20018 heeft gedaan en voor een “prompt box” zorgen waarin de in artikel 10 van de richtlijn vereiste informatie op een zeer toegankelijke en gebruikersvriendelijke manier wordt opgenomen. Voor gebruikers die aangeven dat zij in de Europese Unie wonen komt op de registratiebladzijde meteen naast het veld waar het land wordt ingevuld een link naar de prompt box. Gebruikers die op deze link klikken krijgen dan de prompt box in een apart venster. Deze functie zal uiterlijk één april 2003 beschikbaar zijn; - gebruikers zullen worden geïnformeerd wanneer zij zich aanmelden op een deelnemende site van het land waarin de site is gevestigd (8-18 maanden), en zullen via de prompt box toegang hebben tot een link naar de bladzijde van de Europese Commissie waarop die landen staan vermeld waarvan de gegevensbeschermingswetgeving aan de normen van de EU voldoet (4-8 maanden); - Microsoft zal de gebruikers in de EU via de prompt box mededelen hoe lang loggegevens worden bewaard (momenteel niet langer dan 90 dagen) (0-4 maanden); - gebruikers zullen meteen aan het begin van dit proces precies op de hoogte worden gebracht van de manier waarop zij een .NET Passport account kunnen openen zonder hun echt e-mailadres te gebruiken, een functie die door de Groep reeds herhaaldelijk is aanbevolen. Tegelijkertijd zullen gebruikers worden geadviseerd over de beperkingen van onder pseudoniemen geopende accounts, zodat zij goed geïnformeerd een beslissing kunnen nemen (8-18 maanden); - Microsoft heeft zich ertoe verbonden om alle taalversies van de privacyverklaring van .NET Passport tegelijkertijd aan te passen, behalve indien om lokale overwegingen een onmiddellijke wijziging van een bepaalde taalversie noodzakelijk is. In dergelijke gevallen, die waarschijnlijk zeer zelden voorkomen, zal Microsoft in de andere taalversies van de privacyverklaring een bericht opnemen waarin staat dat zij binnenkort zullen worden aangepast (0-4 maanden); - Microsoft heeft zich ertoe verbonden een aantal maatregelen te nemen betreffende de informatie die aan gebruikers van Hotmail wordt gegeven, om ervoor te zorgen dat gebruikers die zich aanmelden voor Hotmail wordt medegedeeld dat zij tegelijkertijd een Passport account krijgen (huidige praktijk), dat gebruikers die zich aanmelden voor Hotmail ook wordt medegedeeld dat zij een Passport account nodig hebben om toegang te krijgen tot Hotmail, en dat zij hun Passport account niet kunnen sluiten zonder eveneens hun Hotmail account te sluiten (0-4 maanden). 2.2.2.
Waarde en kwaliteit van de toestemming die betrokkenen aan deze operaties geven.
Na een eerste analyse van het systeem had de Groep bedenkingen bij de geldigheid en de kwaliteit van de toestemming als bedoeld in artikel 2 van de richtlijn9. Met andere woorden de Groep was er niet van overtuigd dat de gebruikers een op informatie berustende vrije en specifieke toestemming konden geven, met name voor gebruikers die zich via Hotmail aanmelden, voor de doorgifte van persoonsgegevens aan deelnemende sites. Zoals zojuist is uiteengezet heeft Microsoft zich ertoe verbonden een aantal maatregelen te nemen op het gebied van informatieverstrekking om ervoor te zorgen dat gebruikers voldoende worden geïnformeerd. En, wat de mogelijkheden betreft om een beslissing te 8
Aanbeveling 2/2001 inzake bepaalde minimumeisen voor het on line verzamelen van persoonsgegevens in de Europese Unie, goedgekeurd op 17 mei 2001, WP 43 9 Onder toestemming van de betrokkene wordt verstaan elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt. 7 --
nemen over het al dan niet verstrekken van persoonlijke informatie aan Passport, zal de nieuwe informatiestroom de gebruikers in staat stellen om persoonlijke informatie aan een deelnemende site mede te delen zonder deze in hun Passportprofiel op te slaan en een Passport account onder een andere naam te openen waarbij geen extra persoonlijke informatie wordt verzameld (8-18 maanden). Voor de gebruikers van Hotmail zijn er, naast de verbetering van de informatieverstrekking, maatregelen genomen om duidelijk te maken dat, wanneer zij zich aanmelden voor een Hotmail account, hun persoonsgegevens gebruikt zullen worden om reclame naar hen te sturen (0-4 maanden). Dit gebeurt door op de registratiebladzijde van Hotmail duidelijk te vermelden dat gebruikers Hotmail reclame aanvaarden wanneer zij instemmen met de voorwaarden van Hotmail. Zoals voor elke deelnemende site kunnen gebruikers die zich aanmelden voor een .NET Passport op de Hotmail site, ervoor kiezen dat persoonlijke informatie alleen aan Hotmail wordt medegedeeld en niet in een .NET Passportprofiel wordt opgeslagen (8-18 maanden). De Groep heeft met Microsoft ook de mogelijkheden voor Hotmail gebruikers besproken om uit het systeem van gerichte reclame te stappen (opt-out). Microsoft heeft erop gewezen dat gebruikers die over een Hotmail account beschikken, zonder kosten voor de opt-out kunnen kiezen, maar dit betekent dat de Hotmail account wordt gesloten. Gebruikers kunnen geen gratis Hotmail account hebben zonder gerichte reclame te ontvangen, omdat deze vorm van de reclame voor de inkomsten zorgt die een gratis Hotmail account mogelijk maken. De Groep vraagt zich nog steeds af of deze praktijk niet in strijd is met Europese wetgeving en zal hierover verder nadenken. Zij vindt echter dat dit probleem te maken heeft met een specifiek vraagstuk, namelijk de praktijk van talrijke bedrijven die aan een dienstverlening de verplichting verbinden dat de gebruiker aanvaardt dat zijn gegevens voor marketingdoeleinden worden gebruikt zonder opt-outmogelijkheid. Dit vraagstuk onderscheidt zich duidelijk van het probleem van on-lineauthenticatiediensten dat in dit werkdocument aan de orde is en zal daarom later in een ruimer kader worden behandeld. Wat de toestemming betreft die gebruikers aan de deelnemende sites geven, zal de nieuwe registratiesstroom gebruikers een Passport geven dat alleen gebruikersnaam en wachtwoord bevat, door het aanmaken van Passport account te scheiden van de beslissing persoonsgegevens aan de deelnemende site door te geven of in het profiel op te slaan (8-18 maanden). Gebruikers wordt medegedeeld dat zij kunnen inschrijven voor een Passport op de Passportsite door alleen gebruikersnaam en wachtwoord op te geven, en dat, indien zij zich via een deelnemende site aanmelden, andere informatie verplicht kan zijn met het oog op de activiteiten van die site (informatie die in 4-8 maanden in de prompt box moet worden opgenomen). Er wordt ook een nieuwe functie opgenomen om gebruikers de mogelijkheid te geven per site te beslissen of zij al dan niet profielgegevens willen mededelen. Het gebruikersprofiel zal opnieuw worden geconfigureerd om gebruikers in staat stellen de door hen gekozen velden in te vullen en andere blanco te laten (8-18 maanden). De nieuwe informatiestroom zal gebruikers de mogelijkheid bieden om, telkens als zij zich bij een deelnemende site registreren, de profielinformatie te herzien en te wijzigen, te beslissen of zij deze wijzigingen al dan niet in hun Passportprofiel willen laten opnemen alsmede te bepalen welke informatie zijn naar de site willen sturen (8-18 maanden). --
8
2.2.3.
De evenredigheid en kwaliteit van de door het .NET Passport verzamelde en opgeslagen gegevens die aan deelnemende sites worden doorgegeven.
De Groep maakte zich zorgen over de hoeveelheid gegevens die via het Passport wordt verzameld, met name de profielgegevens, en over het feit dat zodra de betrokkene een .NET Passport aanmaakt, de opgenomen persoonsgegevens - indien de betrokkene in de gemeenschappelijke velden heeft geklikt - aan alle deelnemende sites die hij bezoekt en waar hij zich aanmeldt, worden doorgegeven, ongeacht het feit of dit voor de desbetreffende site noodzakelijk is. Op het moment waarop wij voor de eerste keer dit systeem bestudeerden, was het voor de gebruiker niet mogelijk slechts een deel van de gegevens door te sturen omdat alle profielinformatie als één geheel werd gezien. De nieuwe informatiestroom die door Microsoft wordt geïnstalleerd, zal een duidelijk onderscheid maken tussen het aanmaken van een .NET Passport account en de beslissing van de gebruiker om persoonlijke informatie aan de deelnemende site en eventueel aan .NET Passport mede te delen. Gebruikers zullen op een opt-inbasis kunnen beslissen of zij al dan niet de informatie die zij aan de registrerende site mededelen, in hun .NET Passportprofiel willen opslaan. Wanneer een gebruiker die informatie in zijn .NET Passportprofiel heeft opgeslagen, andere deelnemende sites bezoekt, zal hij deze informatie per veld kunnen wijzigen of wissen voordat zij aan de deelnemende site worden medegedeeld. De gebruiker kan op een opt-inbasis beslissen of hij deze wijzigingen en schrappingen in zijn .NET Passportprofiel wil opslaan (8-18 maanden). Deze wijzigingen en het feit dat de gebruiker kan beslissen om in sommige gevallen zijn echte e-mailadres niet te gebruiken, zullen, zodra ze zijn uitgevoerd, aan de wensen van de Groep tegemoetkomen. Toch wil de Groep dit vraagstuk verder volgen, vooral omdat Microsoft verantwoordelijk is voor de verwerking van persoonsgegevens en andere waardevolle informatie die door de gebruikers wordt medegedeeld. 2.2.4.
De gegevensbeschermingsregels toegepast op de websites die bij .NET Passport zijn aangesloten.
Een andere zorg van de Groep had te maken met het gebrek aan duidelijkheid over het beschermingsniveau dat door de deelnemende sites wordt geboden. In de besprekingen met de Groep heeft Microsoft erop gewezen dat het de gegevensbeschermingsmaatregelen van deelnemende sites niet controleert, maar dat het bedrijf, via zijn contracten met deze sites, een aantal garanties oplegt, bijvoorbeeld de verplichting om een duidelijk en direct toegankelijk privacybeleid te hebben dat beantwoordt aan de praktijken in het bedrijfsleven, passende beveiligingsmaatregelen te nemen, de toepasselijke wetgevingen na te komen en geen gegevens te gebruiken voor speciale diensten zonder de toestemming van de gebruiker. Voorts heeft Microsoft zich ertoe verbonden extra maatregelen te nemen: - een herziening van de privacyverklaring om duidelijk te maken dat Microsoft het gegevensbeschermingsbeleid van de deelnemende sites niet uitstippelt (0-4 maanden); - Microsoft zal de deelnemende sites ertoe aanmoedigen zich aan te sluiten bij TRUSTe, BBBOnLine of soortgelijke diensten (0-4 maanden); --
9
- deelnemende sites zullen de mogelijkheid krijgen om zowel op de pagina waarop persoonlijke informatie wordt verzameld en, in een meer gedetailleerde vorm, via een link vanop die pagina, gebruikers mede te delen voor welke doeleinden de site de gegevens gebruikt, wie de ontvangers zijn en hoelang de gegevens zullen worden bewaard (8-18 maanden). De Groep dringt er voorts bij Microsoft op aan om de deelnemende sites zo snel mogelijk in kennis te stellen van haar aanbeveling inzake bepaalde minimumeisen voor het on line verzamelen van persoonsgegevens in de Europese Unie10. In ieder geval moet het duidelijk zijn dat naast de rol die Microsoft in het .NET Passportsysteem heeft, alle deelnemende sites verantwoordelijk zijn voor van hun eigen verwerkingsactiviteiten. Zij hebben daarom hun eigen verantwoordelijkheid om de privacywetgeving na te komen. 2.2.5.
De noodzaak van en de voorwaarden voor het gebruik van een unieke identifier
De Groep was van meet af aan bezorgd om het gebruik in het .NET Passportsysteem van één identifier - de PUID - voor elke gebruiker. De Passport unique identifier (PUID) wordt gegenereerd en blijft gedurende de gehele levensduur van de account bestaan. Hij is 16 bits lang en bestaat uit twee delen: 16 bits om de gegevensbron te identificeren vanwaar hij is gegenereerd en 48 bits om een bepaalde account te identificeren. De eerste vereiste om de PUID te genereren is dat hij uniek moet zijn. De PUID is niet gebaseerd op informatie die door de accounthouder wordt verstrekt en er kan ook geen informatie over de accounthouder via de PUID worden opgehaald. De PUID wordt in eerste instantie gebruikt als index voor site-specifieke gegevensopslag. Een PUID alleen is niet voldoende voor logintoegang of toegang tot profielgegevens over een gebruiker. Alleen een correct gemaakt authenticatieticket (dat de PUID omvat) , versleuteld met de aan de deelnemende site toegewezen sleutel, kan als token voor de sessie worden gebruikt. Een gebruiker kan een of meer PUID’s hebben aangezien er voor elke .NET Passport accountant een PUID is en gebruikers meer dan een account kunnen hebben. De Groep vroeg zich met name af of het gebruik van de PUID de deelnemende sites de mogelijkheid zou bieden elkaar informatie door te geven over gebruikers van het .NET Passport en op die manier gebruikersprofielen op te bouwen. De contracten tussen Microsoft en de aangesloten sites verbieden de verkoop van PUID registers aan derde partijen of onderlinge verbindingen van sites zonder de toestemming van de gebruiker en voorzien in de strenge beperkingen op het gebruik van de PUID. Desalniettemin bestaat er altijd een risico wanneer technisch gezien de mogelijkheid er is. Een ander vraagstuk dat de aandacht van de Groep had, was de mogelijkheid voor gebruikers om toegang te hebben tot hun eigen PUID. Wat dit laatste punt betreft heeft Microsoft zich ertoe verbonden gebruikers de mogelijkheid te geven op eigen verzoek toegang hebben tot hun PUID (8-18 maanden). De Groep vindt deze periode - voordat van de mogelijkheid gebruik kan worden gemaakt - zeer lang. Zelfs indien de toegang niet on line wordt verleend, zouden er andere 10
Aanbeveling 2/2001 inzake bepaalde minimumeisen voor het on line verzamelen van persoonsgegevens in de Europese Unie, goedgekeurd op 17 mei 2001, WP 43 10 --
middelen moeten zijn om gebruikers in staat te stellen vanaf nu van dit recht gebruik te maken. Tussen Microsoft en de leden van de Internet Task Force is uitvoerend beraadslaagd over het gebruik van één identifier. Microsoft heeft begrip voor de zorgen van de Groep en heeft ermee ingestemd naar alternatieve identificatiearchitecturen voor .NET Passport te zoeken. Met Microsoft is overeengekomen dat dit vraagstuk op de agenda blijft om na te gaan of een geschikt alternatief kan worden gevonden. 2.2.6.
Uitoefening van de rechten van de betrokkenen.
De Groep maakte zich zorgen over de problemen in verband met de rechten van de betrokkenen en met name de problemen die betrokkenen ondervinden wanneer zij zich bij het Passport willen afmelden. Tijdens de contacten met de Groep heeft Microsoft toegegeven dat er in het verleden problemen waren en heeft daarom beloofd verschillende maatregelen te nemen om het de gebruikers gemakkelijker te maken bij het uitoefenen van hun rechten: -in de prompt box zal op een duidelijke, leesbare manier een samenvatting worden opgenomen van de informatie die op grond van artikel 10 van de richtlijn vereist is, alsmede informatie over de rechten van de betrokkenen (niet laten dan april 2003); -in de privacyverklaring en in de inleidende mail zullen gebruikers erop worden gewezen dat zij hun vragen kunnen richten aan
[email protected] (huidige praktijk en 0-4 maanden); - op vragen van Passportgebruikers zal in de taal van de klant worden geantwoord, op voorwaarde dat dit een van de talen is die in het Passport beschikbaar zijn (0-4 maanden). Sinds september 2002 kunnen gebruikers hun .NET Passport account gemakkelijk sluiten door naar passport.net te gaan en op de link “Member Services” te klikken. De gebruiker krijgt daar via verschillende stappen te zien hoe hij zijn Passport account moet sluiten. Voor de accounts die op passport.net zijn gecreëerd is dit proces volledig geautomatiseerd. De gebruiker krijgt een pagina te zien waarop uiteengezet wordt wat de gevolgen zijn van het sluiten van zijn account en krijgt een knop waarop hij moet klikken om zijn account te sluiten. Voor accounts die op Hotmail zijn gecreëerd gebeurt dit vrijwel op dezelfde manier: de gebruiker wordt naar de Hotmail site geleid die dezelfde sluitpagina laat zien. 2.2.7.
Veiligheidsrisico’s die aan deze operaties verbonden zijn
De Groep heeft zich ook gebogen over de mogelijke veiligheidsrisico’s is die het systeem met zich kan meebrengen, en met name de risico's in verband met de concentratie van gegevens in twee grote databases. Deze bezorgdheid heeft ook te maken met het feit dat Microsoft hoog op het menu staat van hackers. De Groep heeft er kennis van genomen dat Microsoft het Information Security Program heeft geïnstalleerd in het kader van de Consent Order die door de Federal Trade Commission in 2002 is afgegeven. De voornaamste eisen zijn:
--
11
- het opnemen van passende administratieve, technische en fysieke waarborgen, zoals een aangepast beveiligingsbeleid gebaseerd op ISO 17799. Voor elke grote groep zullen de standaard procedures worden gewijzigd om te voldoen aan het Information Security Program. Deze procedures zullen indien nodig worden bijgewerkt volgens de technologische en commerciële ontwikkelingen; - aanwijzing van een werknemer of werknemers die de coördinatie van en de verantwoordelijkheid voor het beveiligingsprogramma op zich nemen. De belangrijkste belanghebbenden in alle betrokken groepen zullen meewerken aan het de opstelling en tenuitvoerlegging van standaard procedures die het Information Security Program uitvoeren. Tegelijkertijd met de uitvoering van het Information Security Program worden nog andere programma's opgesteld. Tot deze programma's behoren: - veiligheidstraining voor het personeel dat met de exploitatie en de ontwikkeling van toepassingen belast is, - reactieprocedures bij voorvallen en escalatie, - oprichting van een controleteam per afdeling. 2.3.
Conclusie
De Groep juicht het toe dat Microsoft belangrijke maatregelen heeft genomen en de komende maanden nog zal nemen om ervoor te zorgen dat het .NET Passportsysteem in overeenstemming is met de Europese richtlijn betreffende gegevensbescherming. Het spreekt vanzelf dat de Groep de komende maanden van dichtbij het systeem zal volgen om te kijken hoe de maatregelen van Microsoft worden uitgevoerd. De Groep neemt ook kennis van de zorgen die de NGO’s zich maken over het opzetten van een gecentraliseerd systeem voor de opslag van persoonsgegevens. De Groep zal ook aan dit punt blijvend aandacht besteden, ook m.b.t. de veiligheidsaspecten. Aangezien de .NET Passportdienst voortdurend aan veranderingen onderhevig is en gezien de mogelijke ontwikkelingen in de toekomstige architectuur ervan en de behoefte om constant aandacht besteden aan de bovenvermelde vraagstukken, en met name aan de PUID, zal de Groep de ontwikkeling van het systeem blijven volgen en zo nodig hierover contact met Microsoft opnemen. Microsoft heeft toegezegd de Groep voortdurend op de hoogte te brengen van de maatregelen die het bedrijf m.b.t. het .NET Passportsysteem neemt. 3.
CASE- STUDY 2: HET LIBERTY ALLIANCE PROJECT 3.1.
Korte beschrijving van het systeem
Het Liberty Alliance Project dat begin december 2001 is ontstaan, is een contractueel samengesteld samenwerkingsverband waaraan meer dan 100 bedrijven, non-profit organisaties en regeringen wereldwijd meedoen. Het is geen wettelijke entiteit, maar een ad hoc project waaraan verschillende organisaties meedoen volgens de bepalingen van een overeenkomst. Het project wil open standaards voor gedistribueerde netwerkidentiteit via open technische specificaties tot stand brengen. Eenmalige aanmelding en gedistribueerde netwerkidentiteit (een systeem om meerdere accounts voor een bepaalde gebruiker te bundelen) vormen de sleutelelementen van het systeem. Door de eenmalige aanmelding --
12
kan de consument zich een keer in een sessie bij een “identiteitaanbieder” (Identity Provider) authenticeren en later naar verschillenden dienstenaanbieders in een vertouwensdomein (Trust domain) surfen zonder zich opnieuw te authenticeren. Het systeem functioneert binnen vertrouwensdomeinen of zogenaamde “circles of trust”. Dit betekent een verbond van diensten- en identiteitaanbieders die zakelijke relaties hebben gebaseerd op de Liberty Alliance architectuur en overeenkomsten en die in een veilige en schijnbaar naadloze omgeving zaken kunnen doen. De specificaties van het Liberty Alliance Project staan nog in hun kinderschoenen en zijn tot dusverre nauwelijks geïmplementeerd11. Verwacht wordt dat zij in de toekomst door technologiebedrijven zullen worden geïmplementeerd om technologieën te ontwikkelen die de Liberty-specificaties ondersteunen. 3.2.
Analyse van de huidige situatie
- Het protocol zoals het er nu uitziet maakt overeenstemming met de eisen van de richtlijn mogelijk. De Groep wil er op wijzen dat Liberty Alliance verantwoordelijk is voor de technische ontwikkeling van het systeem. Zij moeten ervoor zorgen dat de specificaties en het protocol dat zij ontwerpen de gebruikers ervan de mogelijkheid bieden de richtlijn na te komen. Alle deelnemende bedrijven zijn voor gegevensverwerking verantwoordelijk als zij op een Liberty-ondersteunende site actief zijn en moeten derhalve de bestaande gegevensbeschermingswetgeving in dit verband naleven. - Het Liberty Alliance protocol is wat gegevensbescherming betreft neutraal. Het maakt overeenstemming met de richtlijn mogelijk, maar vereist dit niet en voorziet evenmin in handhavingsmaatregelen. De Groep doet een beroep op Liberty Alliance om aanbevelingen en richtsnoeren te ontwikkelen die bedrijven ertoe aanzetten de specificaties te gebruiken in de zin van de gegevenbeschermingswetgeving of zelfs ter verbetering daarvan. In het systeem kunnen ook speciale functies worden opgenomen die naar de specifieke Europese wetgeving op dit gebied verwijzen. Dit kan met name van belang zijn voor de identiteitaanbieders die in het bezit zullen komen van grote hoeveelheden informatie over de gebruikers. - De Groep heeft vastgesteld dat talrijke bedrijven uit de Liberty Alliance in Amerika zijn gevestigd en verwacht dat het gebruik van de specificaties in de praktijk zal betekenen dat heel wat persoonsgegevens vanuit Europa naar de VS zullen worden doorgegeven. De Groep doet een beroep op de bedrijven in de VS die aan de Liberty Alliance deelnemen, om een passend beschermingsniveau voor de aan hen doorgegeven persoonsgegevens te garanderen. - Aangezien het systeem nog niet volop ontwikkeld is en in de praktijk nog niet echt wordt gebruikt, is het moeilijk om nu al precies vast te stellen wat de gevolgen zijn van het gebruiken van paarsgewijse identiteiten. De Groep wil er niettemin op wijzen dat het systeem van paarsgewijse ID’s weliswaar het voordeel heeft dat het geen unieke identifier creëert voor de gebruiker, maar dat het toch noodzakelijk is die vraagstukken vanuit het oogpunt van de gegevensbescherming te bekijken, met name m.b.t. de technische mogelijkheid die sites hebben om persoonsgegevens van de gebruiker zonder diens toestemming met elkaar te delen. 11
Sun One is Liberty-ondersteunend. --
13
Zelfs indien paarsgewijse identiteiten een lossere identifier blijken te zijn dan een algemene identifier, blijft de technische mogelijkheid om deze identiteiten onder deelnemende sites te distribueren een vraagstuk dat onze aandacht verdient. 3.3.
Overwegingen over mogelijke belangrijke vraagstukken in de toekomst
Op dit ogenblik zijn de Liberty Alliance specificaties slechts een prototype; zij worden amper gebruikt en zullen nog talrijke wijzigingen ondergaan. De Groep zal deze ontwikkelingen dan ook blijven volgen om te garanderen dat met de vereisten van de richtlijn rekening wordt gehouden. Wat dit betreft moet bv. aandacht worden besteed aan het gebruik van cookies, de mogelijkheid voor de gebruikers om actief de handle aan te passen12, geautomatiseerde distributie 13, de rol van de identiteitaanbieders14, het begrip en de werking van "“circles of trust"” en de overeenkomsten die tussen bedrijven worden gesloten die gebruik maken van gedistribueerde identiteit. De Groep doet een beroep op Liberty Alliance om rekening gehouden met de punten die in case-study 1 naar voren zijn gebracht en met de conclusies van de gesprekken met Microsoft wanneer zij soortgelijke vraagstukken met betrekking tot haar specificaties behandelt. Als de “ondoorzichtige handles” en de paarsgewijze identiteiten aan de orde zijn moet aandacht besteed worden aan alle opmerkingen die in verband met PUID zijn gemaakt. 4.
VERGELIJKING VAN DE HUIDIGE ON-LINEAUTHENTICATIESYSTEMEN
Mozilla wachtwoordbeheerder geen externe identiteitaanbieder
Authenticatie door Proxy
Microsoft Passport
Liberty Alliance
externe identiteitaanbieder gekozen door de eindgebruiker
Microsoft zelf als identiteitaanbieder
toegang alleen via eigen PC
toegang via de door de authenticatieaanbieder aangeboden kanalen beperkte
toegang mogelijk via verschillende apparaten, momenteel hoofdzakelijk PC-like momenteel
externe identiteitaanbieder gekozen door de dienstenaanbieder (wederzijdse contracten) toegang mogelijk via verschillende apparaten, waaronder mobiele telefoons. eerste uitvoeringsfasen
momenteel 12
De “ondoorzichtige handle” (opaque handle) is het middel om meerdere lokale accounts in een vertrouwensdomein met elkaar te verbinden. Het wordt door de twee aanbieders in een vertrouwensdomein erkend. Een “handle” is willekeurige tekensequentie die elke aanbieder met zijn eigen gebruikersregistratie associeert. 13
Het Liberty Alliance project gebruikt gedistribueerde accounts om gebruikers in staat te stellen accounts te koppelen of te beëindigen. Geautomatiseerde distributie kan specifieke problemen opleveren. 14 Een Liberty ondersteunende entiteit die identiteitsinformatie voor hoofdgebruikers creëert, onderhoudt en beheert en de hoofdgebruikersauthenticatie verzorgt voor andere dienstenaanbieders in een “circle of trust”. 14 --
beschikbaar en op beschikbaarheid ruime schaal gebruikt gebruikers-ID en wachtwoord per site gebruiker wordt geïdentificeerd met gebruikers-ID en wachtwoord geen contract noodzakelijk
gebruikers-ID en wachtwoord per site gebruiker wordt geïdentificeerd met gebruikers-ID en wachtwoord contract tussen eindgebruiker en aanbieder authenticatieprotocol vereist dat proxyprovider weet welke sites met authenticatie worden bezocht (UID/wachtwoord combinatie per site bewaren) Gebruik van Gebruik van verschillende verschillende gebruikers-ID’s; gebruikers-ID’s, eindgebruiker kan eindgebruiker kan verhinderen dat verhinderen dat dienstenaanbieders de dienstenaanbieders de gegevens onder hen gegevens onder hen zelf combineren zelf combineren Dienstenaanbieder is Dienstenaanbieder en de enige voor de proxyaanbieder zijn gegevensverwerking allebei de voor de verantwoordelijke gegevensverwerking verantwoordelijke
beschikbaar en gebruikt door alle Microsoft diensten één gebruikers-ID en wachtwoord één unieke identifier voor een gebruiker (PUID)
wachtwoord en gebruikers-ID per site verschillende handles per paar sites
contract tussen Microsoft en dienstenaanbieder Microsoft gebruikt een unieke PUID per gebruiker
contract tussen elke site in een “circle of trust” Unieke handle per gebruiker per gedistribueerd sitepaar. Authenticatieaanbieder hoeft alleen de sites te kennen waar de identiteit is gedistribueerd.
Unieke PUID identificeert de gebruiker. Contractuele overeenkomsten verhinderen dat dienstenaanbieders hun gegevens combineren
Gegevens over gebruikers kunnen alleen door siteparen worden gecombineerd. Sites maken hun eigen wederzijdse contracten.
Dienstenaanbieder die de authenticatieverzoeken verwerkt en Microsoft zijn de voor de gegevensverwerking verantwoordelijke. Geen AuthenticatieAuthenticatie- en soms gegevensdoorgifte informatie wordt profielinformatie tussen de voor de tussen de worden tussen de gegevensverwerking verantwoordelijken verantwoordelijken verantwoordelijken doorgegeven doorgegeven Gebruiker beheert alle Toestemming van de Toestemming van de communicatie gebruiker nodig gebruiker nodig (noodzakelijk door MS’s implementatie en contracten) Authenticatieprotocol Authenticatieprotocol Huidige implementatie vereist geen cookies vereist geen cookies gebruikt cookies
Dienstenaanbieders in een “circle of trust” worden de voor de gegevensverwerking verantwoordelijke wanneer bezoekers op hun site komen Authenticatieinformatie wordt tussen de verantwoordelijken doorgegeven Normaal is de toestemming twee keer per verband nodig, maar een automatische distributie is mogelijk Huidige implementatie gebruikt cookies
--
15
5.
CONCLUSIE
De Groep wil er de nadruk opleggen dat de conclusies die uit de twee case-studies naar voren zijn gekomen voor alle on-lineauthenticatiesystemen gelden als het om gegevensbescherming gaat. Bij de keuze van de twee case-studies is rekening gehouden met de huidige ontwikkeling van de on-lineauthenticatiemarkt maar dezelfde gegevensbeschermingsoverwegingen gelden ook voor soortgelijke diensten. Dit kan als volgt worden samengevat: - zowel degenen die on-lineauthenticatiesystemen ontwerpen en degenen die de systemen implementeren (authenticatieaanbieders) zijn verantwoordelijk voor de gegevensbeschermingsaspecten, zij het op verschillende niveaus. Websites die gebruikmaken van deze regelingen (dienstenaanbieders) hebben in dit proces hun eigen taak. Voor de verschillende spelers is het raadzaam duidelijke contractuele overeenkomsten te sluiten waarin de verplichtingen van elke partij expliciet zijn uiteengezet; - alle mogelijke inspanningen moeten worden geleverd om het gebruik van authenticatiesystemen anoniem of onder een pseudoniem mogelijk te maken. Mocht dit ten koste gaan van de volledige functionaliteit, moet het systeem zodanig worden ontworpen dat slechts minimale informatie nodig is voor de authenticatie van de gebruiker en dat deze beslissingen over eventuele extra informatie (zoals profielgegevens) zelf volledig in de hand heeft. Deze keuze moet zowel voorhanden zijn op het niveau van de authenticatieaanbieder als op dat van de dienstenaanbieders (de sites die van het systeem gebruikmaken); - het is van kapitaal belang dat aan gebruikers passende informatie wordt verstrekt over de gevolgen van het systeem voor de gegevensbescherming (identiteit van de voor de verwerking verantwoordelijke, doeleinden, verzamelde gegevens, ontvangers, enz.). Deze informatie moet op een gemakkelijk toegankelijke en gebruikersvriendelijke manier worden verstrekt, bij voorkeur aan de hand van een formulier of via een prompt box die automatisch op het scherm van de gebruiker wordt geopend, en in alle talen waarin de dienst wordt aangeboden; - als persoonsgegevens moeten worden doorgegeven aan derden moeten authenticatieaanbieders samenwerken met dienstenaanbieders die alle noodzakelijke maatregelen nemen om een passende bescherming15 van de persoonsgegevens van de gebruikers van het systeem te garanderen, door gebruik te maken van contracten of bindende bedrijfsvoorschriften. Dit zou de algemene regel moeten zijn. Indien in sommige gevallen toestemming nodig is, moet aan de gebruikers voldoende informatie worden verstrekt zijn en hen de keuze worden gegeven. Zij moeten per geval met de doorgifte kunnen instemmen of haar afwijzen; - het gebruik van identifiers, in welke vorm dan ook, houdt gegevensbeschermingsrisico's in. Over mogelijke alternatieven moet worden nagedacht. Indien identifiers noodzakelijk zijn, moet aan de gebruiker de mogelijkheid worden gegeven deze aan te passen; - het gebruik van een softwarearchitectuur die het centraal opslaan van persoonsgegevens van internetgebruikers tot een minimum beperkt, moet worden aangemoedigd als middel om de foutentolerantie-eigenschappen van het authenticatiesysteem te verhogen, en om te voorkomen dat gegevensbanken met hoge toegevoegde waarde worden ontwikkeld die door één bedrijf of door een klein aantal bedrijven en organisaties worden beheerd;
15
Bedrijven in de VS die voor de veilige haven in aanmerking komen kunnen bv. worden aangemoedigd om aan deze regeling mee te doen. Dit geldt alleen in de gevallen waarin het bedrijf in het derde land niet onder het toepassingsgebied van de richtlijn valt. 16 --
- gebruikers moeten op een gemakkelijke manier hun rechten kunnen uitoefenen (waaronder hun opt-outrecht) en al hun gegevens kunnen doen wissen wanneer zij een on-lineauthenticatiesysteem niet meer gebruiken. Zij moeten ook in kennis worden gesteld van de procedure die zij moeten volgen indien zij klachten of vragen hebben; - veiligheid speelt op dit gebied een belangrijke rol. Er moeten organisatorische en technische maatregelen worden genomen die in verhouding staan tot de risico's op dit gebied. Door het evoluerende karakter van de .NET Passportdienst, het Liberty Alliance project en andere soortgelijke authenticatiediensten zal de Groep de ontwikkelingen op dit gebied blijven volgen, met name om ervoor te zorgen dat de verbintenissen die door Microsoft zijn aangegaan binnen het vastgestelde tijdschema worden nagekomen, zoals in hoofdstuk twee van dit document is aangeven.
Gedaan te Brussel, 29 januari 2003 Voor de Groep De Voorzitter Stefano RODOTA
--
17