PDF hosted at the Radboud Repository of the Radboud University Nijmegen
The following full text is an author's version which may differ from the publisher's version.
For additional information about this publication click this link. http://hdl.handle.net/2066/34928
Please be advised that this information was generated on 2015-11-06 and may be subject to change.
Samenvatting D it bo ek verschaft een kijkje achter de scherm en van m oderne ICT. H e t onthult hoe het g ebruik van com puters ons leven niet alleen gem akkelijker en v eiliger m aakt, m aar ook nieuw e risico 's introduceert, vooral voor onze privacy m aar ook voor onze per soonlijke veiligheid. H et toenem end gebruik van IC T voor identiteitscontrole, gegevenscontrole, centrale opslag van persoonsgegevens en profilering m ag bedoeld zijn ter vergroting van de publieke veiligheid, m aar heeft ook negatieve gevolgen zoals afgedw ongen transparantie, vervreem ding en identiteitsfraude, en op den duur m oge lijk zelfs ook conform ism e en volgzaam heid u it angst voor een b a d p ro file, w aardoor verdere uitsluiting en isolem ent volgt. T egenover dit som bere beeld w ordt onderzocht hoe een m enselijke m aat in IC T gerealiseerd zou kunnen w orden v ia m oderne technieken, m et aandacht voor diffe rentiatie (in plaats van uniform isering) en kleinschaligheid. W ezenlijk daarbij is dat persoonlijke inform atie zoveel m ogelijk onder directe controle staat van de individu en die het betreft, bijvoorbeeld via decentrale opgeslag bij m ensen zelf. Inform atie is m acht, en verdeling van inform atie en m acht is noodzakelijk om op de langere term ijn individuele autonom ie te kunnen w aarborgen. D aarbij is het nodig dat individuen beter bekend zijn, en om kunnen en w illen gaan, m et m oderne technieken. Bij dit alles die nen w e ons scherp bew ust te zijn van de consequenties van de keuzes die w e nu m aken om w el o f niet zulke privacyvriendelijke technieken te ontw ikkelen en in te zetten. B e langrijke aanbevelingen daarbij zijn: (1) pas registratie en m onitoring van het gedrag van burgers alleen selectief (en niet breed en ongericht) toe, en (2) g e e f m ensen in dividuele zeggenschap en eigen controlem ogelijkheden in identiteitsvaststellingen en gegevensopslag.
De Menselijke Maat in ICT
Bart Jacobs
B .Jaco b s@ cs.r u .n l
h t t p : / / www. c s . r u . n l / B . J a c o b s
Versie 1.0,
Januari 2007
© C opyright B art Jacobs, 2007.
@ 0©©j h t t p : / / c re a tiv e c o m m o n s . o r g / l i c e n s e s / b y - n c - n d / 2 . 5 / d e e d .n l IS B N 978-90-9021619-5
Voorwoord D e m enselijke m aat in ICT?! D it klinkt vreem d en tegenstrijdig. IC T heeft de naam ju is t geen oog te hebben v oor de m enselijke m aat. IC T w erkt uniform iserend, en m ogelijk zelfs dehum aniserend. IC T leidt tot grote databanken w aar w e als num m ers in zitten, w aardoor w e allem aal op dezelfde m anier b ehandeld w orden, en w el op een zodanige beperkte w ijze die alleen door de com puter b egrepen w ordt. H et antw oord “het kan alleen zo volgens de com puter” op een enigszins afw ijkend verzoek kennen de m eesten van ons helaas m aar al te goed. Toch hoeft dit niet noodzakelijk zo te zijn. D e eerste generaties com puters w aren inderdaad sterk centralistisch georganiseerd. M aar tegenw oordig zijn com puters (en geheugens en verbindingen) zo goedkoop dat velen van ons inm iddels allerlei ‘per soonlijke’ com puters m et ons m eedragen in de vorm van G SM s, organisers, m p3spelers, spelcom puters, G PS-ontvangers o f laptops. D eze ‘d em ocratisering’ van appa raten heeft geen gelijke tred gehouden m et h et beh eer van gegevens en identiteiten dat nog steeds veel ‘centralistische’ en ‘autoritaire’ trek jes kent. D it boekje w il een aanzet geven to t een verdieping van de discussie over de huidige en toekom stige inrichting van onze IC T-infrastructuur, m et oog voor de m aatschappelijke aspecten. D e nadruk ligt daarbij op de positie van het individu en op de w ens om IC T v o o r het individu te laten w erken in plaats van ertegen. O nderw erpen als v eilig h eid en privacy— en het spanningsveld daartussen— spelen noodzakelijkerw ijs een belangrijke rol.
W a a ro m d it b o e k , en v o o r w ie? A an de universiteit doe ik vooral technisch w erk op h et g eb ied van com puterbeveiliging. D aarbij gaat het om het reguleren van toegang to t gevoelige digitale gegevens, zoals bijvoorbeeld tot com m erciele o f m ilitaire geheim en m aar ook to t persoonlijke m edische o f financiele gegevens. B elangrijke vragen zijn: w ie heb je tegenover je, hoe w eet je dat zeker, w at m ag die persoon o f com puter doen, h o e controleer je dat, en w at doe je als het fout gaat? E en w ezenlijk onderdeel van h et vak com puterbeveiliging is een skeptische, onderm ijnende houding: het gaat niet prim air om de leuke dingen die je m et com puters k unt doen (de functionaliteit), m aar m eer om de nare, on bedoelde dingen en om w at er dus allem aal fout kan gaan (de risico ’s). D aarbij w ordt m et de b lik van een hacker naar com putersystem en gekeken. D eze kw ajongensachtige houding kom t in het vervolg m eerm aals naar voren.
ii D it onderdeel ‘b ev eiliging’ binnen de inform atica heeft nadrukkelijk m aatschap pelijke relevantie: ik schat dat het in m eer dan de helft van de keren dat com putergerelateerde onderw erpen in de pers aan bod kom en gaat over beveiligingsissues, zoals virussen, inbraken, spyw are, biom etrische paspoorten, elektronisch stem m en, verlies van gegevens via m em ory sticks o f com plete com puters, opslag verkeersgegevens, pri vacy, enzovoort. In m ijn contacten buiten de universiteit, bijvoorbeeld m et jo u rn alisten en beleid s m akers, ervaar ik steeds dat het haast ondoenlijk is om tech n isch e en daarm ee sam en hangende m aatschappelijke ontw ikkelingen in een paar zinnen te plaatsen1. M et dit bo ek w il ik daar m et m eer dan een paar zinnen een u itgebreidere poging toe w agen. M eer inzicht in deze ontw ikkelingen is b elangrijk om dat de keuzes die g em aakt w or den m et betrekking tot de organisatie van IC T -infrastructuur direct invloed hebben op onze onderlinge om gang. Inform atie is m acht, en dus zijn de keuzes m et betrekking to t opslag en toegang to t inform atie nadrukkelijk ook politiek van aard. Inform atici zijn niet langer alleen de architecten van de digitale w ereld, m aar ook van de sociale w ereld. D e doelgroep voor dit bo ek is dus breed, en om vat iedereen die op een o f andere m anier betrokken is bij, o f geïnteresseerd is in, het gebruik en de organisatie van IC T in onze sam enleving. E r w ordt geen specifieke technische kennis verondersteld. D e uiteenzettingen en discussies zijn over het algem een gericht op de b ig p ic tu r e en zijn m eestal niet technisch van aard. W el is het op enig m om ent nodig een aantal elem en taire zaken over digitale versleuteling en ondertekening op een rijtje te zetten. E en zekere affiniteit m et IC T in algem ene zin is dus prettig. D it bo ek is nadrukkelijk geen w etenschappelijke studie voor vakgenoten. E en af standelijke w etenschappelijke stijl m et veel verw ijzingen naar het w erk van co llega’s w ordt dan ook niet gehanteerd. Integendeel, de stijl en voorbeelden zijn a f en toe persoonlijk o f luchtig, w aarbij de eigen betrokkenheid en voorkeuren som s expliciet aanw ezig zijn. E r staan ook geen echt nieuw e, w etenschappelijk originele, theorieen in. Veel van de ideeen kom en in een o f andere vorm al v oor in de vakliteratuur over dit onderw erp2. M aar die gedachten zijn m isschien onvoldoende u it de w iskundige w e reld losgekom en en doorgedrongen to t bijvoorbeeld systeem ontw erpers, journalisten, bestuurskundigen, politici, beleidsm akers, en het algem ene publiek. O ndanks dit ont breken van verw ijzingen staat aan het eind w el een kort lijstje boeken als handreiking aan de lezer die zich verder in een o f m eer onderw erpen w il verdiepen. M e t het schrijven van dit bo ek b e g e e f ik m e dus nadrukkelijk buiten de enge paden van m ijn strikt w etenschappelijke w erk en zo ek ik de breedte en schuw ik de verge zichten niet. D at m aakt m e vanzelfsprekend kw etsbaar voor detailkritiek op terreinen die niet de m ijne zijn en v oor verw ijten dat ik m e m aar b eter bij m ijn leest kan hou den. D it is inderdaad een risico, zeker om dat N ederland helaas geen grote traditie 'Daarbij speelt een rol dat in deze kringen weinig technisch onderlegde mensen werken. Het zoge naamde beta tekort heeft ook hier invloed. 2Veel is bijvoorbeeld al te vinden in het werk van cryptografen als David Chaum uit het eind van de jaren tachtig.
iii kent van (exacte) w etenschappers die de brede kw ast in plaats van het fijne penseel hanteren, zoals bijvoorbeeld w el gebeurt in A ngelsaksische overzichtsw erken als B ill B ry so n ’s A S h o r t H is to r y o f N e a r ly E v e r y th in g en Jared D ia m o n d ’s G uns, G e rm s a n d S te e l — waarbij ik overigens dit bescheiden boekje op geen enkele m an ier zou w illen vergelijken m et deze tw ee grootse boekw erken.
W a a ro m m e n s e lijk e m a a t n o d ig ? D e laatste ja re n w orden wij allen steeds nadrukkelijker om ringd door com puters die van alles van ons doen en laten registreren en vastleggen. D e adm inistraties van scho len, ziekenhuizen, bibliotheken, overheden en bedrijven w orden (o f zijn al) ged ig i taliseerd en som s onderling gekoppeld, w aardoor allerlei m ee r o f m inder gevoelige gegevens m akkelijker en langer toegankelijk zijn. D a t heeft voor en nadelen. Tegelij kertijd is openbare veiligheid een belangrijk onderw erp gew orden, niet alleen door de zorgen over gew one m isdaad, m aar vooral ook over zw are crim in aliteit en terrorism e. D e roep om veiligheid vertaalt zich snel in sterkere controle w aardoor nog m eer over ons geregistreerd en vastgelegd wordt. Privacy w ordt daarbij snel als hinderlijk gezien. In het licht van deze ontw ikkelingen kan m en zich zorgen gaan m aken om B ig B ro th er3 , om afglijden tot een politiestaat, om totalitaire m achtsuitoefening, of, m eer in het algem een, om verlies van persoonlijke vrijheid en autonom ie. Ik ga er voorals nog optim istisch van u it dat individuele vrijheid voorlopig niet in het geding is, m aar dan w el ingeperkt binnen een steeds enger kader w aarin vaker en indringender geco n troleerd w ordt o f w e ons w el aan de regels houden. Steeds m ee v an onze daden zijn zichtbaar en controleerbaar, w aardoor steeds vaker om veran tw o o rd in g gevraagd kan w orden— hier en nu reeds, in het onderm aanse, en niet pas g in d er in het hiernam aals. C om puters spelen daarbij een cruciale rol. E r kom t zo steeds m in d er ruim te om “lek ker stout” (naar A nnie M .G . Schm idt) te zijn. O ok w orden w e sterker afhankelijk van autoriteiten en bedrijven die de regels stellen en controleren. Voor een deel kiezen w e er natuurlijk ook z e lf voor ons om m eer te laten leiden en controleren door com puters en m inder z e lf na te denken, bijvoorbeeld in het gebruik van navigatiesoftw are en van spellingscheckers. Privacy staat inderdaad niet alleen onder druk van ‘v eilig h eid ’ m aar ook van ‘g e m a k ’. S am enhangend hierm ee w ordt de volledige terloorgang van privacy voorzien. H e dendaagse discussies over privacy vervallen inderdaad v a a k in verzuchtingen dat het allem aal al lang verloren is— een treffend voorbeeld is de u itsp raak van Scott M cN ealy, grote baas van het A m erikaanse co m puterbedrijf SU N in 1999: You h a v e ze ro p r iv a c y a n y w a y - g e t o v e r i t !— o f dat de huidige focus op terrorism ebestrijding geen ruim te laat v oor een redelijke discussie. E en positieve b oodschap over privacy g e baseerd op technische m ogelijkheden w ordt niet veel gehoord. Toch zullen w e het ju is t van bew ust gekozen technische m aatregelen m oeten hebben als w e op de lan g e re term ijn enige vorm van privacy overeind w illen houden. D it inzicht, dat overigens 3Ook wel bekend als: Broer Koekeloer.
iv volstrekt niet nieuw is, ligt ten grondslag aan dit boekje. N u w orden er allerlei keuzes gem aakt m et betrekking to t de organisatie van de IC T -infrastructuur (rekening rijden, O V -chipkaart, biom etrisch paspoort, B urger Service N um m er, opslag verkeersgege vens) die om een zorgvuldige afw eging vragen, om te voorkom en dat w e over een ja a r o f tien, tw intig hoofdschuddend tegen elkaar zeggen: hoe hebben w e het ooit zover kunnen laten kom en? E en belangrijk onderdeel van die afw egingen is hoe w e om gaan m et identiteiten en persoonsgegevens. H ie r kom t de ‘m enselijke m a a t’ naar boven. H e t grote probleem is dat w e in toenem ende m ate om ringd w orden door allerlei com putersystem en die onze identiteit w illen o f m oeten kennen zonder dat wij er enige controle over hebben w at er vervolgens m et onze persoonsgegevens gedaan w ordt. G evolgen daarvan zijn (1) een gevoel van vervreem ding, door onzekerheid over de eig en privacy en het som s vernederende karakter van co ntroles4, (2) een afnam e van het vertrouw en in deze ICTinfrastructuur, en (3) niet-efficient gebruik van deze m iddelen (denk aan betalingen v ia internet). D e ‘m enselijke m aa t’ oplossing w aar hier op aangestuurd w ordt om vat een radicale decentralisatie van velerlei structuren en pro cessen zodat de m ens (als g e bruiker) z e lf centraal kom t te staan in de autom atisering, e n niet de IC T -processen o f proceseigenaren. U iteindelijk leidt dit, in het laatste h oofdstuk (21), to t een voorstel v oor een tr u s te d p e r s o n a l d ig ita l a s s is ta n t (TPD A ) : een persoonlij ke handcom puter die de sluis vorm t tussen jo u en de IC T -system en die jo u om ringen en de kluis w aarm ee je allerlei persoonsgegevens z e lf kunt beheren. D it apparaatje is aan jo u persoonlijk gekoppeld v ia biom etrie (m et onboard verificatie) en m oet n iet te vervalsen zijn. H et vorm t jo u w beheersm iddel v oor jo u w persoonlijke gegevens, identiteiten en gebruiksbeslissingen (p o licies). O m vertrouw en in zulke TPD A s te hebben is een zo open m ogelijk ontw erp en realisatie vereist, m et open standaarden en open source softw are, zodat iedereen in principe kan (laten) controleren hoe deze ‘kluis en slu is’ w erkt en w at hij doet. Pas nu com puterhardw are zo klein en goedkoop gew orden is beh o o rt het to t de m o gelijkheden om de ideeen te gaan realiseren die in feite al langere tijd rondzw even in onderzoeksgem eenschappen. D it boekje beo o g t deze ideeen v oor een breder publiek uiteen te zetten, m et het uiteindelijke doel tot realisatie ervan te kom en. N ederland heeft een lange en gew aardeerde traditie op het gebied van individualism e w aarin zeg genschap over anderen eigenlijk alleen in functionele zin g eaccepteerd w ordt. D aarom zou het niet vreem d zijn w anneer ju is t wij bij de uitvoering van de hier beschreven ideeen een vooraanstaande rol zouden spelen. D e politieke w ind van de laatste j a ren is erg gericht op individuele verantw oordelijkheid en keuzevrijheid v oor de bur ger/consum ent. In de sfeer van het b eh eer van gegevens is deze w ind echter nog niet doorgedrongen. D e ‘k la n t’ m ag w el kiezen m aar niks beheren en w ordt ondertussen als dom num m er door het ene na het andere controlepoortje gejaagd. O p de achtergrond speelt bij deze ontw ikkelingen een politieke m achtsvraag. K rijgen grote organisaties 4De gedwongen afgifte van vingerafdrukken bij binnenkomst in de Verenigde Staten geeft bijvoor beeld snel het onwelkome gevoel als crimineel behandeld te worden.
v zoals overheden en grote bedrijven nog m eer m acht over individuen, o f kiezen w e er v oor (nu veel infrastructuur nog in opbouw is) om inform atie en m acht te decentrali seren om een redelijk m achtsevenw icht te behouden?
Id e n tite its fr a u d e Sam en m et de hierboven genoem de voortschrijdende vastlegging van (persoons)gegevens zien w e een nieuw e vorm van fraude ontstaan, nam elijk zogenaam de identiteitsfraude. D aarbij w orden de negatieve gevolgen van de ontw ikkelingen een concrete zorg voor individuen. E en onbenullig voorbeeld van zulke fraude is om bij een con gres m et het naam kaartje van iem and anders rond te gaan lopen. Z oiets kan ernstiger gevolgen hebben in een kerncentrale. H et kom t steeds vaker v o o r dat een kw aadw il lende bew ust de identiteit van iem and anders aanneem t om bijvoorbeeld betalingen via het w eb te doen, w aardoor de ander m et de problem en zit. Vaak is die ander trouw ens niet de enige m et problem en, zoals bijvoorbeeld bij de kerncentrale. Identiteitsfraude in elektronische vorm is een onderdeel van allerlei v o rm en van cyb ercrim e, w aarin inm iddels m eer geld schijnt om te gaan dan in de drugshandel. In de context van identiteitsfraude zijn w ezenlijke vragen: hoe w eten w e eigenlijk zeker m et w ie w e te doen hebben? En: hoe zeker m oeten w e dat überhaupt w eten? E en dilem m a is o f het voor het bestrijden van identiteitsfraude nodig is om identiteiten b eter bij te houden, o f ju is t niet: w anneer transacties ‘id en titeitsarm ’ zijn kunnen er ook geen identiteiten bij gecom prom iteerd raken v oor m isbruik. D e standaardreflex ‘vergroot de identificeerbaarheid’ w ordt hier genuanceerd en besproken in het licht van bijbehorende risico ’s. A ls altern atief w ordt ‘verk lein de identificeerbaarheid’ g e presenteerd, bijvoorbeeld v ia attributen en pseudoniem en. H e t is vervelend m aar w e zullen m oeten leren ons b eter bew ust te zijn van identitei ten, bijvoorbeeld w anneer w e iem and anders op het w eb (in cyberspace) tegenkom en, en ons vaker a f te vragen: in w elke m ate w eet ik eigenlijk zek er m et w ie ik hier te doen heb, en in w elke m ate is dat echt nodig? M aar ook andersom is h et verstandig je bij elk (elektronisch) contact a f te vragen: w at w eet de andere partij eigenlijk van m ij, en in hoeverre zou van die kennis m isbruik g em aakt kunnen w orden? Vaak b lijkt dat aller lei transactie m ogelijk zijn op basis van attributen (eigenschappen) o f pseudoniem en zonder dat daar een persoonlijke identiteit aan te pas h oeft te kom en. C o n tro le en p ro file rin g In sam enhang m et de genoem de afnam e van privacy en toenam e van identiteitsfraude is er nog een andere ontw ikkeling die een them a vorm t in dit boek, nam elijk pro filering. H et is een feit dat van ons allen steeds m eer digitale sporen geregistreerd en opgeslagen w orden. B ew ustw ording van alle m oderne m onitoring van individueel gedrag kan leiden tot zelfcensuur o f tot schaam teloosheid. M isschien is deze laatste houding w el het beste v oor de eigen geestelijke rust en w elbevinden, m aar ik verw acht niet dat veel m ensen die staat van onthechting daadw erkelijk bereiken. Z elfcensuur
vi heeft positieve en negatieve kanten. E r is niks m is m ee w anneer zelfcensuur een inidividu ertoe b rengt zich aan de w et te houden. M aar zelfcensuur die de eigen individuele ontplooing (binnen de w et) in de w eg staat zien w e m eestal toch als negatief. Z ulke censuur kan individuen hinderen in de eigen ontw ikkeling en creativiteit, w aar w e u it eindelijke c o llectief nadelen van kunnen ondervinden: er w orden bijvoorbeeld m inder m ooie boeken geschreven o f m inder innovatieve technieken ontw ikkeld, leidend tot econom ische achterstand o f zelfs schade. E en recente trend is om de opgeslagen gegevens te gebruiken om profielen van m ensen te m aken, bijvoorbeeld als ‘m ogelijke terrorist, op een schaal van 1 to t 100’. Z ulke profielen vorm en dan de basis voor zw arte lijsten, ( b la c k lis ts ) zoals in de lucht vaart al gebruikelijk is. Profilering in de com m erciele w ereld is natuurlijk al w ijd verbreid. Z o is het gebruikelijk bij b ezo ek van de site van een online b o ekenw in kel zoals A m a z o n een aanbieding te krijgen op basis van eerder aankoop (o f klik) ged rag — en natuurlijk ook op basis van de (stagnerende) voorraden van de b o ek w in kel. D it soort pogingen to t gerichte aanbiedingen op basis van profielen zijn relatief onschuldig. M aar steeds vaker g aat het ook om uitsluiting, w aarbij iem and de toegang gew eigerd kan w orden— to t een gebouw , een vlucht, o f dienst, zoals een hypotheek o f verzekering— op basis van een “virtuele identiteit” die construeerd is u it gegevens in databanken. D eze ontw ikkelingen kunnen problem atisch zijn bijvoorbeeld w anneer de gegevens onjuist zijn o f w anneer de gehanteerde criteria dubieus (en niet expliciet) zijn. D eze nadruk op gebruik van IC T v oor controle en profilering leidt sluipender w ijs tot een sam enleving die w e w aarschijnlijk niet w illen, w aarin voor individuele afw ijking van m eer o f m inder expliciete norm en geen plaats m ee r is. W illen w e m et criteria als conform ism e en volgzaam heid de strijd aangaan m et India en C hina? O ok hier geldt dat de kracht (ook econom isch) van onze sam enleving ju is t ligt in het open karakter ervan, m et ruim te v oor individuele autonom ie, ontplooing, creativiteit en af w ijking. D e huidige trend van om gaan m et veiligheids- en identiteits-issues leidt, enigszins gecharcheerd, to t een ‘v eiligheid s-com m unism e’ waarbij de verm eende v eiligheidsbe langen van het co llectief de individuele veiligheidsbelangen en daarvoor noodzakelijke privacy overstem m en. Individuen zijn num m ers, m et een chip in hun pas o f nek, en w orden uniform behandeld en continue gecontroleeerd. D it is vergelijkbaar m et eco nom isch com m unism e dat ook de (econom ische) belangen van het c o llectief boven die van het individue stelt, en daardoor op de langere term ijn g een levensvatbare strategie b leek te bieden. Bij deze ontw ikkelingen is het goed steeds vragen te stellen als: is het effectief, w at zijn de gevolgen, w illen w e dit, en w at zijn de risico ’s voor individuen? In dit boekje zal de nadruk op het laatste punt liggen. W e krijgen te m aken m et nieuw e persoonlijke risico ’s die sam enhangen m et de steeds alom vattender IC T-infrastructuur, zoals bew ust o f onbew ust lekken van gevoelige persoonsgegevens u it grote databanken, identiteitsfraude, en u itsluiting op basis van profilering. D eze risic o ’s kunnen in gecom bineerde en daarm ee versterkte vorm optreden: w anneer slordig m et m ijn gegevens om gegaan w ordt kan iem and anders zich daarm ee als mij voordoen en zich m isdragen w aardoor
vii ik een b a d p ro file krijg en vervolgens z e lf overal buitengesloten word. D eze ris ic o ’s zijn niet slechts een persoonlijk m aar ook een m aatschappelijk probleem , vanw ege de resulterende ontsporing van het m aatschappelijke verkeer. D e noodzaak onze m aatschappij te b escherm en tegen interne en externe dreigingen m aakt een zekere m ate van m onitoring en controle noodzakelijk. H ier w ordt er echter v oor gepleit deze m onitoring en controle vooral selectief te gebruiken, voor de b a d g u y s en niet v oor de g o o d g u y s . D it selectieve gebruik kan op tw ee m anieren: v o o raf op basis van een redelijk verm oeden, en a ch teraf als straf. O o k hier is een expliciete politieke keuze gew enst: m oet de overheid w erkelijk al haar onderdanen w antrouw end benaderen en to t transparantie dw ingen ‘voor het geval d a t’, o f m oet de overheid haar burgers in principe m et vertrouw en tegem oet treden. In het tw eed e geval m oeten de burgers ook de organisatorische en technische ruim te k rijg en om hun eigen identiteiten en gegevens te beheren, ‘tenzij ’. D eze laatste keuze getuigt van m eer respect voor de individuele autonom ie. T raditioneel w ordt vrijheid door filosofen niet gezien in passieve term en (zappen op de bank, consum eren zoals aangestuurd door reclam es) m aa r als iets dat m ensen a c tief vorm m oeten geven in h et z e lf overstijgen van dierlijke verlangens en reflexen. M e t de toenem ende autom atisering w ordt ook autonom ie iets dat steeds actiever vorm gegeven dient te w orden, om dat zoveel handige en veilige gadgets en system en de za ken van ons overnem en. D e grote vraag w ordt dan o f w e hierdoor w erkelijk geholpen w orden en ons op de w ezenlijke zaken in ons leven kunnen richten o f dat w e erdoor in een passieve roes terecht kom en en ju is t w einig m enselijks (o f w aardevols) m eer overhouden. U iteindelijk is dit een persoonlijke vraag: hoeveel extra m oeite w illen w e doen, bijvoorbeeld om het b eh eer van eigen gegevens z e lf in de hand te hebben, om op de langere term ijn niet op te gaan in een elektronisch sym biotisch panopticum . V e ra n tw o o rd in g en d a n k D e gedachtengang die in dit boekje uitgew erkt w ordt heeft zich de afgelopen ja re n gevorm d op basis van de literatuur en van discussies m et co lleg a’s, vrienden en to e hoorders (bij voordrachten) en andere geïnteresseerden. D it boekje is niet zodanig opgezet dat bij iedere gedachte de directe bron verm eld w o rd t— zo ik die al ken. M aar h et m oge duidelijk zijn dat ik schatplichtig ben aan velen, die ik bij deze wil danken. E x pliciet w il ik echter M arcel Becker, Jaap-H enk H oepm an, R o nald L eenes en Joke M ol noem en v oor w aardevolle com m entaar op een eerdere versie. D e verantw oorde lijkheid v oor deze presentatie, en voor de fouten daarin, lig t natuurlijk geheel bij de auteur. Tenslotte wil ik nog enige w oorden w eiden aan het open, gratis karakter van deze publicatie. A anvankelijk, bij het schrijven van deze tekst, zat ik nog v ast aan de trad iti onele gedachtengang dat een com m ercieel boekw erkje de beste uitingsvorm zou zijn. D aar is langzaam aan verandering in gekom en, enigszins geholpen door een afw ijzing van een uitgever. In het huidige internettijdperk kom t m in d sh a re voor m a rke tsh a re . D e doelgroep w ordt het beste bereikt v ia een (aanvankelijk) g ratis product, waarbij even
viii tuele inkom sten pas later bij brede verspreiding via additionele diensten verkregen w orden. E en goed voorbeeld is internettelefonie via het g ratis program m a skype. N u heb ik niet de intentie o f de illusie dat dit geschrift m ijn m ateriele rijkdom w ezenlijk zal vergroten5. H e t onderw erp leent zich nu eenm aal uitstekend v oor m oderne, gratis verspreiding v ia internet, waarbij optim aal gebruik gem aak t w ordt van de b estaan de individuele autonom ie: iedereen is zijn eigen uitgever. O ok heeft de verspreiging in elektronische vorm praktische voordelen: er kan m ak k elijk in het docum ent g e zocht w orden (daarom ontbreekt een index) en de erin opgenom en w eblinks (U R L s) zijn klikbaar. M et deze vrije beschikbaarstelling hoop ik zo veel m ogelijk lezers te bereiken en discussie in gang te zetten (en verbeteringen snel te kunnen opnem en). T egelijkertijd neem ik v oor lie f dat deze vooralsnog experim entele verspreidingsw ijze w aarschijnlijk enige afbreuk zal doen aan de status van het w erk. H et gaat m e echter vooral om de inhoud. G eheel regelloos is deze publicatie echter niet. G ebruiksrechten zijn vastgelegd v ia de C rea tive C o m m o n s6, w aarbij het iedereen v rijstaat dit w erk (in z ’n geheel) te kopieeren en te verspreiden (o f te h o ste n ) voor niet-com m erciele doeleinden, m aar waarbij verandering o f bew erking (bijvoorbeeld v ertaling) niet is toegestaan. O ok is dit geschrift geregistreerd v ia een IS B N num m er en g edeponeerd bij de K oninklijke B ib liotheek in D en H aag. H e t is dan ook bedoeld als m eer dan een spontane blog. Voor eventuele verw ijzingen suggereer ik (een variatie op) het form aat: B. Jacobs, D e M e n s e lijk e M a a t in IC T , versie ??, ja a r ??. B eschikbaar via www. c s . r u . n l / B . J a c o b s /M M /. waarbij de vraagtekens ‘? ? ’ nader ingevuld m oeten w orden. H e t eerste publieke versienum m er is 1.0, van jan u ari 2007. Serieuze reacties zijn w elk o m op het em ailadres B . Jaco b s@ cs. r u . n l .
N ijm egen, Januari 2007
5Enige indirecte extra materiele opbrengst is ook hier mogelijk, bijvoorbeeld in de vorm van boekenbonnen, flessen drank of etentjes bij hieruit voortvloeiende lezingen. Algemener zou mijn marketshare in het maatschappelijke debat (of in het onderwijs) erdoor toe kunnen nemen, mogelijk meer dan via een beperkte commerciele oplage. 6De licentie is Naamsvermelding-NietCommercieel-GeenAfgeleideWerken, zie h t t p : / / c re a tiv e c o m m o n s . o r g / l i c e n s e s / b y - n c - n d / 2 . 5 /d e e d .n l .
Inhoudsopgave V o o rw o o rd
i
I
Introductie
1
1
D e ta a l
3
2
D e v e ra n d e r in g
9
3
D e k eu zes
II
Identiteit
13
17
4
Id e n tific a tie en a u th e n tic a tie
19
5
W ie b e n ik ?
25
6
R o llen en p riv a c y
29
III
Beheer van Identiteiten
33
7
V e rsle u telin g
35
8
D ig ita le h a n d te k e n in g e n
39
9
I d e n tite its fr a u d e en a ttr ib u u tf r a u d e
47
10 B o n n e tje s, z e g eltje s en b o n u s p u n te n
51
11 Id e n tite ite n en a ttr ib u te n
55
12 G egevens en policies
57
13 Biometrie en identiteitsdocumenten
63
14 R F ID s
67
IV
71
De overheid
15 B ig B r o th e r en S o ft S is te r
73
16 D a ta b a n k e n en p ro file rin g
81
17 D ra a g v la k
87
18 I n fo rm a tie en m a c h t
91
V
95
Hoe verder?
19 H oeveel m o e ite w ille n w e d o e n ?
97
20 R ic h tlijn e n
101
21 E ig e n k lu is & sluis
107
L i te r a t u u r
115
Deel I Introductie
Hoofdstuk 1 De taal D e w ereld is veranderd sinds ‘9 /1 1 ’, de korte aanduiding v o o r de aanslagen in A m erika van 11 septem ber 2001. E r is internationaal veel m eer aan d ach t gekom en voor v eilig heid en terrorism e. V anzelfsprekendheden zijn verdw enen en het onderlinge w antrou w en is toegenom en. N ieuw e w etten zijn aangenom en om de opsporingsdiensten m eer arm slag te geven en om onze w esterse m aatschappijen b eter te bescherm en. D aarbij is het kennen en controleren van individuen (m et nam e reizigers) belangrijker gew orden, m et het gerechtvaardigde doel om m ogelijk kw aadw illenden in een vroeg stadium te herkennen, en om uitvoering van hun plannen te verhinderen. H e t politieke taalgebruik (d isc o u rs) is ook veranderd, m et ferm heid als populaire houding. H ieronder zullen een aantal van de cliches uit dit nieuw e taalgebruik besp ro ken w orden. Z e zijn niet allem aal volstrekt nieuw , m aar h ebben sinds 9/11 w el een nieuw e lading gekregen. E r zullen daarbij een aantal vragen opgew orpen w orden die sturend zullen zijn v oor de rest van dit boek.
W ie n iets te v e rb e rg e n h e e ft, h e e ft o o k n iets te v re z e n D eze uitspraak is p opulair in politiekringen. D e m eest voor de handliggende lezing van de u itspraak is nam elijk: w ie niets te verbergen heeft v o o r d e p o litie , heeft ook niets te vrezen van d e p o litie . E raan ten grondslag ligt een n a ïe f vertrouw en in de voordelen van transparantie. W anneer alles over m ensen b ek en d is hoeven ze ook niets te vrezen— van de politie. O ok is hier sprake van groot vertro u w en in deugdelijkheid van beheer, nam elijk dat de politie al de beschikbare inform atie over individuen ‘ streng m aar rechtvaardig’ zal behandelen. B ew ust lekken, slordigheid, om koping, m isbruik van gegevens o f verandering van regim e w orden buiten besch o u w in g gelaten. G ekoppeld aan deze u itspraak kom t vaak de claim : “Ik heb niks te verbergen!” . M ijn favoriete reactie daarop is een rechtstreekse vraag: “ O K , vertel dan m aar eens w anneer je v oor het laatst echt te veel gedronken hebt. O f w anneer je voor het laatst gem asturbeerd hebt?” Som s kom t er dan een schaam teloos antw oord, m aar m eestal is de reactie dat het daar niet over gaat. M aar w aar gaat het dan w el over? W elke zaken zouden w e w el, en w elke zouden w e niet hoeven te verbergen om niks te vrezen te
4
Deel I
hebben? D it is een fundam entele vraag die nog vaak zal terugkom en. In dit stadium kunnen w e opm erken dat de m eesten van ons— de volstrekt schaam teloze enkeling daargelaten— terecht zaken voor z ic h z e lf w illen houden.
P riv a c y is d e s c h u ilp la a ts v a n h e t k w a a d D eze u itspraak sluit nauw aan bij de vorige. D e onderliggende gedachte lijkt ook hier te zijn dat datgene w at— onder het m om van privacy— verborgen gehouden w ordt de basis vorm t voor allerlei ongew enste activiteiten. D it is een opm erkelijk negatieve interpretatie van privacy. M en zou m isschien w el net zo goed de tegenovergestelde uitspraak kunnen verdedigen: privacy is de bron van al het goede. W aarom hebben w e daar geen oog m eer voor? W at is eigenlijk de rol van privacy? H e t m inste dat nu gezegd kan w orden is dat de negatieve interpretatie bo tst m et de huidige w etgeving, waarbij het belang van privacy niet alleen in de grondw et staat (artikel 10: “Ieder heeft, behoudens bij o f krachtens de w et te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer”), m aar natuurlijk ten grondslag ligt aan de uitgebreide W et B escherm ing P ersoonsgegevens (W bp).
W e m o e te n p riv a c y o p o ffe re n v o o r veilig h eid O ok deze uitspraak past in de bovenstaande lijn: indien privacy afgeschaft w ordt k u n nen er onder dat m om geen kw aadaardigheden m eer stiekem u itgedokterd w orden zo dat de politie m eer inform atie bezit en effectiever op kan treden, w aardoor de v eilig heid toeneem t. E en goede vraag is echter: veiligheid voor w ie? H et lijkt te gaan om publieke veiligheid, v oor ons allem aal. Je kunt je echter terech t afvragen o f individu ele veiligheid w el gebaat is bij het opheffen van privacy. Te denken valt aan vrouw en in een blijf-van-m ijn-lijf-huis. H un persoonlijke veiligheid is vaak ju is t afhankelijk van het verborgen houden van hun precieze verblijfplaats. H e t is niet m oeilijk m eer van zulke voorbeelden te geven w aaruit b lijkt dat privacy ju is t essentieel is voor per soonlijke veiligheid. Te denken valt aan politici, die het risico lopen door burgers al te a ssertief benaderd te w orden, bijvoorbeeld m et ko g elb riev en 1.
M e n se n h e c h te n n ie t (m e e r) a a n p riv a c y D eze uitspraak lijkt gegrond: de beste m anier om aan persoonlijke gegevens (over in kom en, aard van h et w erk, gezinssam enstelling, bestedingspatronen, voorkeuren etc.) te kom en is om een prijsvraag u it te schrijven waarbij d eelnam e vereist dat een lijst persoonlijke vragen beantw oord w ordt. Z elfs voor de g eringste kans op de onbenulligste prijs zijn veel m ensen bereid allerlei intiem e details te openbaren. D aarnaast levert 1In november 2006 verschenen luchtfoto’s uit Google Earth van de huizen van verschillende Neder landse politici kortstondig op de website www. c a s a b o b o . n l —die inmiddels een geheel andere rol heeft. Die foto’s zijn echter zeer snel weer weggehaald, ter bescherming van de privacy en/of persoon lijke veiligheid van betrokkenen.
1. De taal
5
de invoering van privacybeperkende m aatregelen in het k ad er van terrorism ebestrij ding over het algem een w einig protest op. O ok zien w e een generatie van jo n g ere n die enthousiast persoonlijke profielen op het w eb publiceert, bijvoorbeeld op v riendensi tes zoals h iv e s o f m y sp a c e. Inm iddels w ordt daar niet alleen door de politie dankbaar g ebruik van g em aakt bij het opsporingsw erk, m aar ook door w erkgevers bij de selectie van sollicitanten. Stoer doen over het eigen innam everm ogen (o f andere capaciteiten) kan dan vergaande gevolgen hebben. Is het inderdaad zo sim pel dat m en niet m eer om privacy geeft? E en feit is dat bew ust om gaan m et je persoonlijke gegevens en nagaan w at anderen er allem aal m ee doen een dagtaak gew orden is. Vaak w orden details ook niet b ekend gem aakt. W ie w eet w at A lbert H eijn precies doet m et de gegevens over het koopgedrag van klanten die via de bonuskaart verzam eld w orden? E n aan w ie zulke gegevens beschikbaar g esteld w orden?2 D e W et B escherm ing P ersoonsgegevens (W bp) stelt eisen aan de om gang m et zulke gegevens, en geeft recht op inzage en correctie. M aar dat recht h eeft m eer te m aken m et principes dan m et de praktijk. B ew aking van de eigen privacy is lastig, en w ordt ons ook niet m akkelijk gem aakt. W anneer telefoons gew oon tw ee belknoppen hadden— een v oor b ellen m et privacy en de andere voor bellen zonder privacy— lijkt mij dat de m eeste m ensen eenvoudigw eg v oor privacy zouden k iezen3. W aarom is onze infrastructuur niet op een zodanige w ijze ingericht? M oeten w e over die inrichting niet beter nadenken, en de keuzes die nu gem aakt w orden niet openlijker bespreken? D eze tek st w il daartoe bijdragen. O ndanks dat het steeds lastiger w ordt om prive gegevens te beheren m een ik dat m ensen vanzelfsprekende (en gerechtvaardigde) verw achtingen hebben m et betrek king to t privacy— net zoals m en er vanuit gaat dat b riefverkeer geheim is. E r is nog steeds grote terughoudendheid in het zom aar verstrekken v a n eigen m edische gege vens. E n van de gezondheidszorg w ordt verw acht dat m en zorgvuldig m et zulke gege vens om gaat. O ok lijken veel m ensen hun financiele gegevens als zeer persoonlijk te beschouw en. E n beleving van g e lo o f o f sexualiteit b ehoort v oor de m eesten van ons to t de intiem e persoonlijke levenssfeer w aar w einig anderen iets m ee te m aken hebben. N aast een zekere slordigheid zien w e bij de jo n g ere generatie ook een grotere b e w ustheid van (elektronische) identiteiten, en een soepelere om gang daarm ee. E xcessen daargelaten w eten de m eeste jo n g ere n zeer goed dat enkel een naam geen enkele b e te kenis heeft op M SN , en dat com m unicatie m et onbekenden risico ’s m et zich m eebrengt (bijvoorbeeld op chantage). E en ander voorbeeld: ik neem m ijn m obiele telefoon nog steeds op m et de traditionele begroeting “hallo, m et B art Jaco b s” . Ik zie jo n g ere n om 2Op de website www. a l b e r t . n l kun je op basis van een bonuskaartnummer de bijbehorende aankopen van de maand daarvoor bekijken. Wanneer je dat van huis uit doet met je eigen bonuskaartnummer schenk je Albert Heijn ook nog je IP-adres—tenminste, wanneer je de herkomst van je webverzoek niet afschermt via een anonymizer zoals Tor. Wanneer Albert Heijn dan met je internet provider om de tafel zou gaan zitten kunnen ze gezamelijk een nog uitgebreider profiel van je maken: niet alleen van je eetgedrag maar ook van je surfgedrag. 3Het zou ook interessant zijn om te weten hoe vaak mensen op de “privacy” belknop zouden drukken als de kosten zeg een cent per minuut hoger zouden zijn.
6
Deel I
mij heen die honderden num m ers in hun telefoonlijst hebben en alleen opnem en w an neer de beller op die eigen lijst voorkom t, en dan m et een m oderne begroeting als “hoi Sophie, hoe is het?” . D it geeft een zorgvuldige afscherm ing en effectieve bescher m ing tegen ‘spam telefoontjes’ o f andere vorm en van last. D e aanstorm ende generatie is gew end z ic h z e lf centraal te plaatsen en verw acht dat IC T hen daarbij ondersteunt. D aarbij gaan ze soepel en ongrijpbaar om m et identiteiten: “ hier heb je een SIM m et nog 20 E uro beltegoed; dan staan w e kiet!” .
Ie d e re e n m o e t in de c e n tra le d a ta b a n k O m m ensen beter in de gaten te kunnen houden m oet je in staat zijn ze te herkennen, bijvoorbeeld op een film pje van een surveillancecam era, in een afgeluisterd telefo o n gesprek, o f aan de hand van nagelaten sporen. Terroristen z ijn enge onbekenden. H et klinkt dan aantrekkelijk om een grote databank op te zetten w aar iedereen in zit— in clu sie f de terroristen. V ervolgens lijkt het probleem een stuk m akkelijker, om dat w e de terroristen alleen nog m aar hoeven te herkennen in die databank. D aarvoor m oet dan zogenaam de slim m e softw are zorgen. H elaas w erkt het niet zo. Terroristen doen ju is t hun b e st om n ie t herkenbaar te zijn en niet op te vallen. G roots opgezette m iljardenverslindende projecten zoals het A m e rikaanse U S Visit program m a, waarbij van alle buitenlanders die de V S binnenkom en een foto en vingerafdrukken w orden afgenom en, hebben (zover publiekelijk bekend) er slechts toe geleid dat enkele dom m e crim inelen als kleine visjes gevangen w erden. H et zou w ellicht effectiever zijn om al dat geld in traditionele m isdaadbestrijding te investeren. N ie m a n d h e e ft iets te v re z e n v a n c o rre c te id e n tific a tie Ten grondslag aan de roep om centrale databanken ligt een gevoel dat burgers onvol doende bekend zijn bij de overheid, en in het bijzo n d er bij de instanties die zich m et opsporing en verstoring bezig houden. D it gevoel krijgt som s de m eer radicale uiting in de roep om iedereen een chip in de nek te schieten. D aarbij w o rd t w aarschijnlijk gedacht aan een zogenaam de R F ID -chip die op afstand uitleesbaar is en bij ieder in dividu een uniek n um m er w eergeeft, zoals bijvoorbeeld het B u rg er Service N u m m er (BSN ). D at kan nog handig zijn ook: als je bij een loket kom t zien ze m eteen w ie je bent, en verschijnt je dossier op het scherm . In iets gem atig d er vorm zijn er vergelijk bare plannen om allerlei objecten van R F ID -chips te voorzien, van kleding en pakjes scheerm esje in de w inkel tot fietsen en num m erplaten van a u to ’s. Z elden w ordt er daarbij stilgestaan bij de risico ’s die z o ’n eenvoudige identificeerbaarheid v oor individuen m et zich m eebrengt. E en heethoofd die het op een locale w ethouder, een kam erlid, een ondernem er, o f een m inister g em u n t heeft kan eerst een keer onopvallend langs deze persoon lopen om zijn o f haar unieke num m er te scan nen. V ervolgens kunnen een aantal autom atische bom m en g eplaatst w orden op locaties w aar het beoogde slachtoffer w el eens voorbij kom t. D ie bo m m en zijn zodanig selec-
1. De taal
7
tie f afgesteld dat ze alleen exploderen w anneer ze het nu m m er van de gescande chip voorbij zien kom en. E r is ac h te ra f geen spoor van de dader. W e kunnen er gerust van uitgaan dat afrekeningen in het crim inele circuit (o f daarbuiten) een groter high-tech gehalte krijgen en dat ook kw aadw illenden dankbaar gebruik zullen m aken van de ze identificatiem ogelijkheden: de R F ID -chip in een num m erplaat van de auto van het slachtoffer activeert de bom . M o g elijk pas w anneer dat soort aanslagen echt p laats vinden zien w e de risico ’s van de ondoordachte roep om universele herkenbaarheid. M isschien m oeten w e nu alvast w at b eter nadenken. H et bureaucratische ideaal van volledige controle bedoeld om risico ’s u it te bannen draagt eigen risico ’s in zich. E en zekere m ate van ongrijpbaarheid is niet alleen w enselijk m aa r ook nodig.
B e te r tie n m e n se n o n sc h u ld ig in d e cel, d a n een te r r o r i s t d ie v rij ro n d lo o p t D e achterliggende idee bij deze u itspraak lijkt te zijn dat m en het bij terrorism ebestrij ding niet zo nauw m oet nem en. M en m oet breed inzetten, niet al te zorgvuldig zijn, en c o lla te ra l d a m a g e als noodzakelijk accepteren. D e focus enkel op de bad guys lukt niet, w aar de good guys m aar onder m oeten lijden. D it w ordt gepresenteerd als een prijs die m aar geaccepteerd m oet w orden. A ls jij toevallig een van die onschuldigen in de cel b en t heb je vette pech. D eze uitspraak appelleert op een gevaarlijke m anier aan onderbuikgevoelens en gaat ju is t tegen onze rechtstaat in die op het om gekeerde idee van b e y o n d re a so n a b le d o u b t gebaseerd is: niem and is schuldig tenzij expliciet bew ezen voor een rechter, waarbij m en v riju it gaat in geval van tw ijfel. D e uitspraak suggereert dat w e de norm en v oor bew ijsvoering m oeten aanpassen, en bij terrorism ebestrijding ook tot opsluiting m oeten overgaan bij tw ijfelachtig bew ijs. Op de achtergrond speelt een geleidelijke m aar fundam entele verschuiving. Tradi tioneel is het zo d a tje eerst als verdachte aangem erkt dient te w orden (op basis van een redelijk verm oeden) voordat jo u w fundam entele rechten geschonden m ogen w orden in een opsporingsonderzoek, bijvoorbeeld v ia huiszoeking o f tappen van telefo o n g e sprekken. H ierbij gaat het dus om eerst selecteren (van de verdachte) en dan pas ver zam elen. M et m oderne technieken w ordt het steeds eenvoudiger— en gew oner— om deze volgorde om te draaien: eerst over iedereen m et een sleep n et inform atie v erza m elen, en vervolgens pas selecteren van w ie de inform atie g ebruikt w ordt. D it ziet m en duidelijk bij het E uropese voornem en to t opslag verkeersgegevens, waarbij het inter netgebru ik en belgedrag van alle 500 m iljoen E uropeanen v o o r langere tijd opgeslagen dient te w orden. W e zijn allem aal bad guys gew orden.
W il jij d a n v e ra n tw o o r d e lijk z ijn v o o r d e v o lg en d e te r r o ris tis c h e a a n sla g ? D eze u itspraak is natuurlijk de m eest effectieve m anier om iedere rationele discussie om zeep te helpen. D it bo ek beo o g t echter om z o ’n teloorgang nog even u it te stel len. H et w il de (vooral) technische m ogelijkheden verkennen om de fundam enten van onze rechtstaat te verdedigen en m ogelijk zelfs te versterken, waarbij zorgvuldigheid
8
Deel I
en aandacht voor individuen centraal staan. D e achterliggende gedachte is dat de u it daging van terroristen om onze eigen op individuele autonom ie gerichte norm en en w aarden te onderm ijnen beter bestreden kan w orden via verd ed ig in g en versterking dan v ia afbraak van de rechtstaat. W e laten ons toch niet door terroristen voor hun karretje spannen, zodat ze kunnen zeggen: zie je w el hoe verdorven w esterse m aat schappijen m et hun eigen burgers om gaan? Terroristen dagen ons im m ers u it ju is t die w aarden te onderm ijnen w aarvan w e het hardst roepen dat w e ze verdedigen. L aten w e ze dan ook verdedigen!
Hoofdstuk 2 De verandering M ijn studietijd viel in het begin van de ja re n tachtig. D e sfeer w as grauw en grim m ig. L ubbers w as begonnen aan zijn zakelijke saneringsbeleid en kernw apens en kruisra ketten dom ineerden de nationale en internationale politiek. Ik had het idee in een lege periode te leven: de roerige ja re n zestig w aren echt v o o rb ij, de g e n eratiek lo o f w as niet diep m eer, en schokkende o f inspirerende technologische ontw ikkelingen w aren er ook niet. D e studiedruk w as in die periode niet zo hoog, en ook de studiefinanciering w as rela tie f com fortabel. Ik heb in die periode b ra a f g estudeerd (w iskunde en filosofie), m aar ook gereisd: goedkoop, vaak liftend, onbevangen en open v oor nieuw e indrukken en perspectieven. H iero n d er volgen tw ee korte verslagen v an zulke reizen, bedoeld als illustratie van w at v oor mij w ezenlijke indrukken zijn gew eest, en tegelijkertijd als achtergrond om aan te geven w at er gaandew eg veranderd is. M ijn vader kw am uit een goed katholiek gezin, vanw aaruit een van de zoons het klooster inging. D eze heeroom is in de m issie terechtgekom en, en w el in Pakistan. Toen ik hem in N ederland een keer ontm oette nodigde hij m e u it v oor een bezoek. Ik heb hem inderdaad bezocht, sam en m et een goede studievriend. W e zijn drie m aanden w eg gew eest, w aarvan u iteindelijk slechts drie w eken in Pakistan, en de rest van de tijd in India. W e kw am en er snel achter dat in Pakistan z o ’n b eetje al het leuke en aan genam e verboden w as. Ik herinner m e dat er in die tijd o p h e f in de P akistaanse pers w as om dat een o f andere E ngelse cricketer over het land had gezegd: y o u w o u ld n ’t s e n d y o u r m o th e r in la w there. India w as aangenam er en letterlijk veel kleurrijker. H et land w as nog econom isch gesloten, en vol m et am bassadors en rik sja ’s. W e hebben een klassieke to u r afgelegd langs B om bay, Goa, M angalore, Varanasi, A gra, D elhi en Jaipur. W e reisden m et rugzak, in ram m elende bussen (bij drukte door het raam naar binnen) en vooral veel treinen (derde klas, eindeloos traag, m aar steeds vol verrassin gen). W e w aren in die tijd echt weg: onbereikbaar en ontraceerbaar. W e hebben niet gebeld m et fam ilie o f vrienden, m aar stuurden w el een paar kaarten en brieven. Verzendtijd (o f aankom st überhaupt) w as onvoorspelbaar. A ndersom hebben w e een aan
10
Deel I
tal brieven gekregen v ia p o s te restante. H et is nu b ijn a niet m eer uit te leggen w at dat inhield: in N ederland w erd de b rie f verzonden m et als b estem m in g bijvoorbeeld: “B art Jacobs, C entral P o st Office, N ew D elhi, P oste R estan te” . D e b rie f w erd dan bij aankom st een tijdje bew aard op het postkantoor in D elhi to td at ik hem op kw am halen. W e hebben op z o ’n m anier inderdaad een aantal keer post gehad, m aar naar later bleek, ook enkele brieven gem ist. M isschien liggen ze nog ergens te w achten. D e N R C -colum nist F rits A braham s b e sch re e f in novem ber 2003 d at zijn dochter na haar eindexam en een grote reis door Z uid-O ost A zie m aakte. O ngeveer iedere dag sch reef ze een em ail vanuit een internetcafe over haar ervaringen. A braham s vergeleek dit regelm atige contact m et de onbereikbaarheid van vroegere reizen. Hij b e sch re e f de huidige situatie als een gem engd genoegen, om dat de achterblijvende ouders m achte loos m eekeken bij alles w at niet goed ging o f niet goed dreigde te gaan. H e t is m e er niet om te doen om het een o f het ander b eter o f slechter te noem en. M aar w el om het benoem en van de ervaring van volledig los zijn van bestaande ver banden, en de daarbij horende vorm en van controle, m onitoring, steun en raad. H e t is zo volledig anders dan de huidige situatie w aarin de m eesten van ons altijd bereikbaar w illen o f m oeten zijn, en w aarin bijna al onze handelingen elektronisch traceerbaar zijn— betalingen, telefoontjes, em ail, w ebsurfing, (digitaal) TV -kijken, reizen (via OVchip o f surveillance cam era’s)— en w aarin w e u it veiligheidsoverw egingen ook steeds nadrukkelijker in de gaten gehouden w orden. D e privacy en anonim iteit die hoorde bij de toenm alige reis naar het subcontinent is eigenlijk niet m eer realiseerbaar. D estijds w as ik m e er absoluut niet van bew ust dat die ervaring van vrijh eid en ongebondenheid zo bijzo n d er zou blijken te zijn. V erbondenheid m et eigen cultuur en m et naasten is belangrijk. D aarbij is het m een ik ook w aardevol om a f en toe ‘lo s ’ te kunnen zijn. N u en in de to ekom st b etekent dat om a f en toe alle sensors los te kunnen trekken, om even rustig na te k unnen denken, net teveel te drinken, te m asturberen, o f gew oon een potje te kunnen janken. M aar, zeggen de w antrouw ende hardliners dan, hoe w eten w e als de sensors lo s zijn o f u w el echt een potje zit te jan k e n en niet stiekem een terroristische aanslag aan het voorbereiden bent. M isschien m oeten w e u w activiteiten toch m aar blijven registreren! H oe ver w illen w e het hierin laten kom en? A ndere reizen, m aar m et dezelfde studievriend, leidden n a a r W est en O ost B er lijn. D at w as ruim voor 1989 en de a n tifa s c h is tis c h e r S c h u tzw a ll stond nog stevig overeind. W e hebben steeds gelift, w aarbij vooral het laatste stuk van de reis avontuur lijk was: de ongeveer 200 kilom eter over de T ra n sitstra ß e door het com m unistische O ost-D uitsland van nabij H annover naar W est-B erlijn. Je m o est dan een lift zien te krijgen, w ant onderw eg uitstappen w as verboden. Je m oest die afstand sow ieso in een paar uur afleggen, w ant anders kw am je in de problem en. D at w e rd allem aal b ijg e houden. In feite w as het nooit m oeilijk om op die snelw eg een lift te krijgen w ant m ensen reisden daar niet graag alleen— vooral vrouw en niet. D e doorgangen door de m uur (bij H elm stedt-M arienborn en bij D reilinden) w aren indrukw ekkend. D e sfeer w as m ilitairistisch en dreigend, en de controles w aren a g g re ssie f en intim iderend.
2. De verandering
11
E enm aal in W est B erlijn w as het leven w eer herkenbaar, ook al w as de b ek lem m ende sfeer van de m uur nooit ver weg. M ijn reisgenoot, hongerig na een avondje stappen, heeft B erlijnse vrienden ooit versteld doen staan m et de onvergetelijke vraag o b m a n n h ie r a u c h irg e n d w o a u s d e r M a u e r e sse n kann.
Van een van die reizen herinner ik m e een dagbezoek v anuit W est B erlijn aan O ost B erlijn nog zeer goed. W e hadden ons onderdak in W est B erlijn niet goed geregeld, en sliepen in een rom m elig en chaotisch kraakpand in de w ijk K reuzberg. W e lieten daar overdag onze spullen liever niet achter. In al onze n aïv iteit verschenen w e dus m et volle bepakking aan de O ost-D uitse grens. D aar vielen w e direct op als verdacht. W e zijn uitgebreid ondervraagd over w aarom w e toch een ru g za k m et slaapzak no dig hadden voor een b ezoek van enkel een dag. O p een o f andere m an ier hebben w e ons daar toen uitgekletst— oprechte naïviteit geeft een zekere onkw etsbaarheid— en na verplichte om w isseling van 25 W est-M arken tegen 25 O st-M arken (ten bate van de oosterse deviezenvoorraad) m ochten w e doorlopen. H e t zat m e echter toch niet lekker, en ik heb bij de grensovergang goed rondgekeken. Al snel b lee k dat w e gevolgd w er den. N a een paar honderd m eter w erden w e aangesproken m et de v raa g o f w e w ilden w isselen, tegen een gunstiger koers. W e w isten dat dat illegaal w as, m aar hadden het ooit w el eerder gedaan. Ik voelde nu echter nattigheid, verm oedde uitlokking, en heb in m ijn beste D uits aangeven dat w e zoiets g ru n d sä tz lic h niet deden. D e ‘w isselaar’ droop af, m aar het schaduw en ging door, de hele dag lang. H et w as iets dat w e nog nooit m eegem aakt hadden, en ook in de verste verten niet kenden u it een N ederlandse context: een staat die individuen zo nadrukkelijk en intim iderend in de gaten hield. H et w as verontrustend en beklem m end. M aar w e w aren studenten, en in een balorige bui zw aaiden w e een paar keer naar onze achtervolger. D aarna le e k iem and anders het over te nem en. W e hebben echter verder niks bijzonders gedaan — D a s K a p ita l spotgoed koop gekocht, m aar n ooit gelezen— en zijn ’s avonds zonder problem en teruggekeerd in W est Berlijn. Op zich ging het hier natuurlijk om een onbenullig voorval, m aar de ervaring w as er, en het gevoel van beklem m ing en onvrijheid had postgevat. H et g a f m e een beter oog voor de betekenis van individuele vrijheid, niet alleen om te doen en laten w at je wil, m aar ook om je niet gecontroleerd en geïntim ideerd te voelen. Ik realiseerde m e dat het geen vanzelfsprekende luxe is om je niet bij al je gedragingen te hoeven afvra gen o f dit m ogelijk afw ijkend is en additionele (staats)controle over je afroept— m et alle m ogelijke negatieve consequenties vandien. H e t w erd m e nadrukkelijk duidelijk dat de N ederlandse sam enleving (natuurlijk niet als enige) gebaseerd is op een zekere m ate van w ederzijds vertrouw en: burgers w eten w aar ze aan to e zijn m et de overheid, en de overheid vertrouw t de burgers binnen redelijke g ren zen en laat ze daarin vrij. Inm iddels ben ik in m ijn leven het gevoel kw ijt geraakt in een saaie tijd te leven zonder grote historische gebeurtenissen. Ik denk aan 11/9 en 9/11 (val van de M u u r op 9 novem ber 1989 en de aanslagen in N ew York en W ashington op 11 septem ber 2001), m aar ook aan de opkom st van internet en m obiele telefonie, en het algehele ‘p la t’ w orden van de w ereld. W at ik trouw ens als een zeer opw indende historische
12
Deel I
gebeurtenis b esch o u w — en graag m ee zou m aken— is contact m et ander, buitenaards leven. M aar dat terzijde. H e t beklem m ende gevoel veroorzaakt door de B erlijnse ervaring is jaren lan g ver w eg gew eest. M aar de laatste paar ja re n kom t het som s ineens w e e r terug, in m ijn ei gen om geving. D e sensors w orden steeds dichter op de huid geplaatst. Som s spreek ik m ensen over de telefoon— een onderzoeksjournalist, advocaat, activist, o f iem and uit de b eveiligingsw ereld— waarbij ik bijna zeker w eet dat h et g esprek afgeluisterd wordt. Ik spreek daarom ook a f en toe bew ust persoonlijk m et m ensen af, om open com m u nicatie v ia telefoon, em ail o f chat te verm ijden. Ik ben m e ervan bew ust w anneer m ijn m obiele telefoon aanstaat, en w anneer m ijn locatie dus b epaald kan w orden. Som s zet ik het m obieltje m et opzet uit, niet alleen om dat ik niet gebeld wil w orden, m aar ook om dat ik niet w il dat er in grote databanken opgeslagen w ordt w aar ik m e op dat m om ent bevind. Ik ben m e nadrukkelijk bew ust van de zoekterm en die ik bijvoorbeeld bij G oogle intyp— alles w ordt opgeslagen, m et mij geassocieerd en kom t m ogelijk ooit w eer boven w ater— en van de w ebsites die ik bezoek, m et al hun invulform ulieren. Ik gebruik m et enige regelm aat b escherm ende p ro g ram m a’s (zo als een zogenaam de a n o n y m iz e r als Tor) w aardoor de herkom st van m ijn w ebverzoeken gem askeerd wordt. Voor een deel kom t deze beklem m ing (o f paranoia, zo u w il) door het soort w erk dat ik doe op het gebied van com puterbeveiliging, m aar v oor een n iet onaanzienlijk deel is er ook echt iets w ezenlijks veranderd in onze eigen sam enleving. D at kom t niet alleen door 9/11, m aar ook door het voortgaande gebruik van IC T en d o o r de m anier w aarop w e deze IC T -infrastructuur z e lf inrichten.
Hoofdstuk 3 De keuzes N ederland lig t regelm atig lam door de files op de snelw egen. E r w ordt al ja re n gepraat over rekeningrijden als oplossing: vervang de huidige fla t r a te w egenbelasting door een flexibeler stelsel w aarin de autom obilist b etaalt n aar gebruik. D it klinkt recht vaardig en geeft een financiele stim ulans om m inder te rijden. D eze stim ulans kan heel gericht ingezet w orden om typische filetrajecten o f drukke dagdelen extra duur te m aken en zo de verkeersstrom en beter te kunnen verdelen. B egin 2001 heeft de toenm alige m inister van verkeer N etelen b o s de nationale ICTgoeroe van destij ds, R oel Pieper, gevraagd dit idee nader u it te w erken. Hij kw am toen, m et hulp van anderen, m et zijn M o b iM ile s plan dat als volgt in elkaar stak. M onteer in iedere auto een speciaal kastje m et daarin een G PS ontvanger (voor locatiebepaling) en een G SM v oor com m unicatie. D e auto ‘w e e t’ dan z e lf w aar hij is, en kan die inform atie doorgeven aan de betreffende overheidsdienst om een passende heffing te berekenen. D it is een eerste, naïeve aanpak, die overigens niet in deze vorm bij M o b iM ile s voorkom t. M en realiseerde zich nam elijk direct dat hierbij fundam entele aspecten van privacy in het geding zijn: m oet de overheid w el w eten w aar w elke auto zich op w elk m om ent bevindt? D it k linkt w el erg sterk als B ig Brother. A fgezien van deze terechte zorg w as m en zich er ook van bew ust dat privacy argum enten als bezw aar aangegrepen zouden kunnen w orden door allerlei groepen in de sam enleving die zich norm aal helem aal n iet zo druk m aken om privacy m aar die het hele plan van rekening rijden absoluut n iet zien zitten. In zulk soort situaties dient m en zich de fundam entele vraag te stellen: w at is eigenlijk het doel, en w at is daarvoor de m inim aal noodzakelijke hoeveelheid inform a tie? H e t doel is in dit geval om het gebruik van de snelw egen op een o f andere m anier te kw antificeren, aan de hand van (m ogelijk flexibele) tarieftabellen. D aarvoor heb je niet nodig w aar de auto zich bevindt, m aar enkel hoeveel hij in w elke tariefklasse h eeft gereden. D e oplossing is om de hele zaak te d e c e n tra lis e re n : zet die tabellen in de kastjes (in de a u to ’s), en m aak het desgew enst m ogelijk om die tabellen via G SM (beveiligd) te verversen. W aar dit op neerkom t is dat N ed erlan d verdeeld w ordt in, zeg, rode, groene, gele en blauw e w egen (ieder m et een eigen tarief), en dat de kastjes
14
Deel I
iedere m aand doorgeven hoeveel kilom eter op w elke kleur gered en is. D at geeft pre cies voldoende inform atie om de heffing te berekenen. E en heldere, begrijpelijke en privacy-vriendelijke oplossing, waarbij m ensen niet onnodig getraceerd w orden. Voor de volledigheid m oet ik zeggen dat er nog een ander asp ect aan dit M o b iM ile s plan zit dat ik hier echter m inder benadruk, nam elijk de controle op de naleving. M ensen zouden hun kastjes m ogelijk uit kunnen zetten, bijvoorbeeld door de stroom voorziening te onderbreken. D ie controle w as door P ieper steekproefsgew ijs voorzien, v ia v erplaatsbare poortjes langs de snelw egen waarbij aan de kastjes in voorbijkom en de a u to ’s draadloos bepaalde kritische vragen gesteld konden w orden. Bij een onjuiste reactie kon de auto dan verderop aangehouden w orden. D it oorspronkelijke plan v oor rekeningrijden sneuvelde al in 2002 bij de form atie van het eerste kabinet B alkenende. D e zaak heeft een tijd stil gelegen, m aar recentelijk is het th em a w eer op de politieke agenda gekom en. D e kom ende ja re n zal een nieuw systeem u itgedacht en ingevoerd w orden. H oe dat er precies u it gaat zien is vooralsnog n iet duidelijk. Ik houd m ijn hart vast dat dit alsnog een ce n tra listisc h systeem w ordt, waarbij de locatie van iedere auto in een centrale databank perm anent w ordt b ijg eh o u den en de basis vorm t voor de heffingen. Ik d u rf te voorspellen dat de noodzaak van een centrale databank beargum enteerd zal w orden vanuit b estrijd in g van terrorism e en zw are crim inaliteit. W anneer zulke zw are argum enten op tafel kom en w orden een redelijke discussie en afw eging m oeizaam . O m te beginnen is de centrale databank niet nodig voor het heffen van de belasting, zie het oorspronkelijke plan van Pieper. V erder zullen terroristen en zw are crim inelen er heus w el op letten dat ze op z o ’n m anier n ie t getraceerd w orden, bijvoorbeeld door regelm atig van auto te w isselen en bij een delict een gestolen auto te gebruiken (zoals nu ook al vaak voorkom t). E r zullen hoo g u it een aantal dom m e crim inelen m ee tegen de lam p lopen. M aar de gew one goedw illende burgers w orden zo w eer m et een nieuw systeem — naast bijvoorbeeld de O V -chipkaart— opgescheept w aarm ee hun gedrag nauw lettend gevolgd kan w orden. N o g m eer sensoren op je lijf! D aarbij kom en nog de risico ’s van centrale opslag. Stel de databank w ordt gehackt, en er b lijk t dat bepaalde politici vaak in hoerenbuurten kom en. D an is het land te klein. O ngetw ijfeld zullen er ook fouten in het systeem sluipen. W at m o e tje als je op basis van (m ogelijk vervalste) gegevens in z o ’n databank onterecht beschuldigd w ordt? K afka-achtig! H e t is m e hier niet zozeer te doen om rekeningrijden, m aar om de achterliggende inform atiearchitectuur. Z onder al te veel m oeite zijn er tien tallen situaties te vinden w aar sprake is van vergelijkbare issues rond (de)centralisatie, identificatie en regule ring van toegang. H e t is van belang dat w e ons bew ust zijn van deze issues en van de consequenties van deze o f gene architectuur, zodat w e n iet direct de m eest voor de handliggende inrichting kiezen m aar to t een w eldoordachte afw eging kunnen ko m en. W e zouden kunnen proberen iets creatiever m et de tech n o lo g ie om te gaan en de controle die erm ee m ogelijk is alleen gericht en se le c tie f in te zetten. U itgangspunt bij rekeningrijden zou kunnen zijn: decentrale opslag in de kastjes in de auto voor de good guys, en tijdelijke centrale opslag voor de bad guys als gevolg van een g e
3. De keuzes
15
rechtelijk vonnis o f een onderbouw de verdenking. M ensen die zich m isdragen hebben w eten dan dat ze gedurende enige tijd (o f m isschien w el v oor altijd) beter in de gaten gehouden zullen w orden. D aar kan een preventieve w erking van u it gaan. D e gew one burger kan zich blijven koesteren in het vertrouw en dat de overheid hem o f haar als onschuldig blijft behandelen totdat het tegendeel bew ezen is. N atuurlijk blijft er het argum ent dat er m et een centrale datab an k m eer te reconstru eren is, m et nam e van een g o o d g u y die plotseling b a d gew orden is. M aar m isschien is dat een redelijke prijs om te betalen als het altern atief is om iedereen als b a d g u y te behandelen en zo een volgend elem ent van vertrouw en uit onze sam enleving te slopen. D eze discussie kom t terug in H o ofdstuk 15. W e bevinden ons nu in een fase w aarin grote IC T -infrastructuren w orden u itg e dacht en uitgerold die vergaande consequenties hebben voor onze ervaring van au tonom ie, vrijheid, privacy en controle. W e hebben het over paspoorten m et chips, rekening rijden, O V -chipkaarten, R F ID s, grootschalig g ebruik van biom etrie, etcetera. Bij de besluitvorm ing over zulke projecten spelen veiligheidsargum enten (terecht) een grote rol. M aar er lijkt w einig visie te zijn op w aar w e op de lan g ere term ijn m ee bezig zijn, en w elke w aarden w e als essentieel overeind w illen houden. Techniek is duidelijk niet w aardenvrij. W e m aken nu essentiele keuzes— bijvoorbeeld over al o f niet centraliseren— m et vaak eenzijdige argum enten. O ver zeg 10 o f 20 ja a r kijken w e terug en vragen w e ons af: hoe heeft het zover kunnen kom en? W here d id w e g o w ro n g ?
N ederland heeft de kennis en technologie in huis om kernw apens te produceren. E r is echter consensus dat w e dat m aar b eter niet kunnen doen. K lo n en van m ensen is ook z o ’n onderw erp waarbij w e u iterst terughoudend zijn. O ok op IC T-gebied zien w e tekenen van beperking van inzet van technologie, bijvoorbeeld bij stem m achines1. M isschien zouden w e ons in de inzet van IC T m et betrekking to t personen en per soonsgegevens ook iets m inder m oeten laten leiden door w at tech n isch m ogelijk is, en w at m eer door een gedeelde visie op hoe w e m et elkaar om w illen gaan, die past bij onze cultuur. D it bo ek w il bijdragen aan z o ’n visie, m et daarbij nadrukkelijk oog v oor de m enselijke m aat, differentiatie en kleinschaligheid in ICT. In de w oorden van R ichard T hiem e2: The battle fo r freedom is not being fought in w ars far from h o m e but in the policies en decisions w e m ake personally and professionally about how w e w ill live in a w ired w orld. I f those decisions are conscious, deliberate, and grounded in our real values and com m itm ents, w e w ill build com m unities on-line and o ff th at are open, evolving, and free. I f w e are m anipulated in to fearing fear m ore than the loss o f our ow n pow er and possibilities, then our com m unities w ill be constricted, rigidly controlled, over-determ ined. 'Zie de opgelaaide discussie in de tweede helft van 2006, resulterend in de gedeeltelijke herintro ductie van potlood en papier. 2Uit zijn column Computers, Freedom, and Privacy van 21/2/1998, zie bijv. de verzamelbundel Islands in the Clickstream: Reflections on Life in a Virtual World (Syngress Publishing, 2004).
16
D eel I
Deel II Identiteit
Hoofdstuk 4 Identificatie en authenticatie T raditioneel w oonden m ensen in kleine gem eenschappen w aarin iedereen elkaar per soonlijk kende, het b estu u r beperkt en sterk locaal georganiseerd w as, en m en w einig reisde. G aandew eg is dat gaan veranderen. M oderne sam enlevingen hebben veel ver schillende deelnem ers, die bovendien zeer m obiel zijn, en hebben com plexe vorm en van bestuur. Identificatie van individuen is daarbij tegelijkertijd belangrijker en ook m oeilijker gew orden. E r kan sprake zijn van transacties tu sse n m ensen onderling, tu s sen burgers en overheden, o f tussen klanten en bedrijven die producten o f diensten bieden. Vaak vinden zulke transactie plaats zonder direct co ntact (niet m eer f 2 f o f fa c e -to -fa c e ), m aar v ia telefoon, em ail, o f een w ebform ulier. H oe w e e tje dan nog w ie je aan de andere kant hebt? E n hoe zeker m oet je dat eigenlijk w eten, in een bepaalde situatie? W elke garanties zijn nodig voor het geval dat de transactie niet loopt zoals (door een van de partijen) bedoeld? D it hoofdstuk beoogt in vogelvlucht een overzicht te geven van een aantal b a sisbegrippen en ontw ikkelingen op het gebied van identificatie en authenticatie van personen. H e t is daarbij niet de bedoeling om in te gaan op de technische details. W el is een zeker kad er noodzakelijk v oor de latere beschouw ingen. Veel ontw ikke lingen hebben te m aken m et het toenem end gebruik van com puters in ons dagelijkse leven. C om puters begrijpen alleen heldere instructies: in die situatie, doe dat; zolang zus, doe zo. D eze instructies w orden vervat in p rogram m atuur (o f softw are) die door com puters uitgevoerd w ordt. W anneer taken dus door com puters overgenom en dienen te w orden (ofw el, geautom atiseerd w orden) is allereerst een heldere beschrijving o f form alisatie van de betreffende taak nodig. D it dw ingt ons ertoe om im pliciete gebrui ken, begrippen en regels expliciet te m aken. Vaak kom en daarbij onduidelijkheden en am biguïteiten aan het licht, die vragen om een expliciete keuze o f interpretatie. B egripsverheldering is daarom belangrijk in discussies over de inrichting van onze IC T-infrastructuur. H et is een grote uitdaging om op een zodanige m anier to t form alisatie te kom en dat inform ele gebruiken en gew oontes er d irect in herkend w orden. Pas dan kunnen gebruikers goed om gaan m et de technologie, is de acceptatie groter en de vervreem ding kleiner. D e nadruk in dit boek lig t op de om gang m et identiteiten. P rim air gaat het daarbij
20
Deel II
om identiteiten van m ensen. M aar w at algem ener kan het ook gaan om identiteiten van apparaten, bijvoorbeeld w anneer tw ee com puters m et elkaar com m uniceren. M eestal kunnen in dat geval m enselijke m etaforen gebruikt w orden. Id e n tific a tie en a u th e n tic a tie D e begrippen identificatie en authenticatie w orden niet altijd helder onderscheiden. H ier zullen w e ze als volgt gebruiken: identificatie is ze g g e n w ie je bent, en authenti catie is b e w ijze n w ie je bent. E en agent die w il w eten w ie je ben t kan je eerst vragen om je te identificeren (je zegt je naam ), en vervolgens vragen om je te authenticeren (je toont je paspoort). Bij het inloggen op een com puter dient je loginnaam als identificatie, en je w achtw oord als authenticatie. O p eenzelfde m anier dient je b a n k rekeningnum m er ter identificatie, en je P IN ter authenticatie. D at deze begrippen niet altijd helder gescheiden w orden b lijkt bijvoorbeeld u it de afkorting P IN voor P e rso n a l Id e n tific a tio n N u m b er. PA N zou b eter zijn. B innen deze begripsopvatting stelt identificatie niet zo veel voor. Iedereen kan zic h z e lf im m ers zo noem en als hij o f zij w il. Inderdaad, een naam op M S N heeft geen enkele betekenis o f bew ijskracht. A uthenticatie daarentegen heeft veel m eer gew icht. E en fundam entele vraag bij iedere transactie is altijd: w ie authenticeert zich eerst? D iegene die dat doet geeft im m ers inform atie over z ic h z e lf w eg, en m aakt zich daar m ee m ogelijk kw etsbaar. E en risico is bijvoorbeeld diefstal van identiteit, w anneer ie m and anders zich als jo u voordoet, en op jo u w rekening m o g elijk allerlei bestellingen doet. In het algem een is w ederzijdse authenticatie als een soort onderhandelingspro ces, waarbij de tw ee partijen stukje bij beetje iets van z ic h z e lf b loot geven. E en gouden regel is dat de sterkere partij het eerste stapje m oet doen o m d at die partij het m inste te verliezen heeft. N atuurlijk kan het een p unt van discussie w ie de sterkere partij is, m aar een redelijk criterium is dat het degene is die het m in ste risico loopt bij een af gebroken authenticatieproces. In een interactie tussen een individu en de “ om geving” vorm t de om geving m eestal die sterkere partij. Indien er g e e n duidelijk sterkste partij is m aakt het niet zoveel u it w ie er begint. Stel een agent op straat ziet reden om uw identiteit te controleren. D ie agent is de sterkere partij. U k unt dan ook eerst de agent vragen zich te authenticeren. D it is volkom en redelijk. H e t kan net carnaval gew eest zijn, w aard o o r er veel nepagenten rondlopen. U w il natuurlijk w el zeker w eten m et een echte ag en t van doen te h eb ben voordat u details over u z e lf blootgeeft. Sterker nog, v olgens geldende regels is de agent verplicht om zich eerst te authenticeren indien u d at w enst. N a succesvol le authenticatie van de agent b en t u vervolgens w el v erplicht u ook te authenticeren. D aarbij dient de agent trouw ens w el een goede reden te hebben om u w identiteit te controleren. Volgens de om schrijving in de w e t op de identificatieplicht m ag de con trole niet w illekeurig zijn, m aar m oet die noodzakelijk zijn voor de uitoefening van de taken van de agent. Vaak vindt authenticatie im pliciet plaats. Veel m ensen zullen aannem en dat ie m and die een politie-uniform draagt— en zich passend g edraagt— een agent is. E en
4. Identificatie en authenticatie
21
dokter hoeft zich zelden te authenticeren: de om geving en de w itte ja s zijn m eestal voldoende overtuigend. E chter w anneer u m et een m edische k lach t bij een onbekende arts kom t kan authenticatie als een onderhandelingsproces plaatsvinden. D e arts kan u vragen u eerst te authenticeren, als individu die voldoende verzekerd is: u w naam plus verzekeringsnum m er vorm t de identificatie, en u w paspoort plu s verzekeringskaartje de authenticatie. V ervolgens is het redelijk w anneer u de arts vraagt zich te authenti ceren, in ieder geval om u z e lf ervan te overtuigen dat u te m ak en heeft m et iem and die m edisch onderlegd en bevoegd is. H et zou echter ook andersom kunnen, om dat er hier geen duidelijk sterkste partij is. A uthenticatie h o eft n iet noodzakelijk alleen tussen m ensen onderling plaats te v in den, m aar kan ook tussen m ens en m achine, o f tussen m achines onderling. Te denken valt bijvoorbeeld aan het ‘co n tact’ tussen mij en een geldautom aat. Ik m oet mij au thenticeren m et m ijn bankpas en PIN . W at echter zeer vreem d is dat er geen eerdere expliciete authenticatie van de autom aat (als om geving) plaatsvindt: ik m oet er op een o f andere m anier m aar op vertrouw en dat de autom aat echt is, terw ijl ik er toch voor mij cruciale inform atie aan toevertrouw (m ijn pas en PIN , en daarm ee toegang tot m ijn bankrekening). D it is geen p uur theoretisch probleem : m eerm aals zijn er nepautom aten opgedoken w aar m ensen in goed vertrouw en hun kaart en P IN aan toevertrouw d hebben, m et alle negatieve gevolgen vandien voor hun banksaldo. B anken nem en dit probleem in ieder geval naar buiten toe niet heel serieus. Z e zeggen slechts: u m oet goed kijken. M aar w aarnaar? Voor betalingen online is z o ’n houding zeker inadekw aat. A an het eind, in H o ofdstuk 21, zal hier nader op ingegaan w orden. O nlangs w as ik betrokken bij een transactie v ia een notaris. Ik m oest mij daar authenticeren m et m ijn paspoort. D aarop vroeg ik de notaris o f hij kon laten zien dat hij w el echt de notaris w as die hij bew eerde te zijn. Hij kon dat niet. Hij w ilde w el zijn paspoort laten zien, en vertelde dat hij zijn b en oem ingsbesluit to t notaris ergens thuis had liggen. Hij w as zo professioneel m ijn vraag volstrekt legitiem te vinden. Hij sprak zelfs van een om issie in de regelgeving dat hij zich niet hoefde te authenticeren. U iteindelijk heb ik de transactie w el ondertekend. Ik vertrouw de op de om geving (het notariskantoor), zijn naam op het bordje op de deur, en de aanw ezigheid van een mij bekende collega van de notaris. W anneer zulke transacties online gaan plaatsvin den is het echter b elangrijk ook in voldoende m ate zeker te zijn van de identiteit e n /o f kw alificaties van de betrokken partijen. D e gebruikelijke m echanism en w aarin uiter lijk, onm iddelijke nabijheid en gedrag z o ’n belangrijke rol spelen zijn dan niet m eer toereikend. O ok de integriteit van de authenticatiem iddelen en kw alificaties (zoals b e noem ingsbesluiten o f artsdiplom a’s) dient elektronisch geverifieerd te kunnen w orden. Veel van ons handelen b lijkt gebaseerd te zijn op vertrouw en. W e vertrouw en niet alleen veel verschillende personen, m aar ook de kw alificaties die aan die personen toegekend w orden (attributen). W aarop is zulk vertrouw en eig en lijk gebaseerd, en hoe zou vertrouw ensopbouw in een online w ereld plaats kunnen vinden? D it zijn m o ei lijke m aar uitdagende vragen die het hart van onze (toekom stige) m aatschappelijke organisatie raken.
22
Deel II
V o rm en v a n a u th e n tic a tie E en fundam entele vraag is hoe je authenticeert. D a t w il zeggen, hoe bew ijs je dat een bepaalde identiteit de jo u w e is. D it is een eeuw enoud probleem , w aar verschillende oplossingen voor b edacht zijn. Vaak w orden authenticatiem iddelen opgedeeld in: iets w a tje h eb t, iets w a tje weet, iets w a tje bent. D eze drie m iddelen zullen achtereenvol gens kort besproken w orden. E en typische vorm van een authenticatiem iddel dat is gebaseerd op bezit is een gew one sleutel. D e achterliggende gedachte is dat iedereen die in het bezit is van een passende sleutel ook legitiem toegang heeft. Indien er bij een inbraak geen braakschade geconstateerd w ordt zal een verzekeringsm aatschappij concluderen dat de d ie f een sleutel had en dus gerechtigd w as om naar binnen te gaan. D e m aatschappij zal de schade dan niet vergoeden. A uthenticatie op basis van iets w a tje bezit is natuurlijk n iet zo sterk. D it bezit kan gestolen w orden, o f gekopieerd. H e t is slechts op een zw akke m anier aan een persoon gebonden. E en sterkere vorm van authenticatie v in d t plaats op basis v an iets w at je weet. E en voorbeeld is een w achtw oord, o f een PIN . O ok hier is de gedachte dat iedereen die h et ju iste ‘g e h e im ’ kent legitiem toegang heeft. W anneer ik bij m ijn b an k klaag over een spookafschrijving, m aar de ban k kan aantonen dat de ju is te P IN gebruikt is, sta ik heel erg zw ak. D e vertrouw elijkheid van m ijn P IN is m ijn eigen verantw oordelijk heid. Indien iem and anders m ijn P IN w eet zal de b an k ervan uitgaan dat ik die persoon toestem m ing gegeven heb aan m ijn rekening te kom en. B anken zullen bij z o ’n spookafschrijving m et ju iste P IN de schade niet vergoeden, tenzij er sprake b lijk t te zijn van een patroon: w anneer er m eerdere klachten zijn en alle klagers op een bepaalde plaats gew eest zijn is het aannem elijk dat aldaar de P IN s afgekeken zijn, bijvoorbeeld via een s k im m e r om de m agneetstrip op de pas te lezen en v ia een kleine cam era op een betaalautom aat v oor de PIN. H ierm ee kom en w e bij het zw akke punt van authenticatie op basis van iets w at je w eet: afkijken, o f populair ook w el s h o u ld e r s u r fin g genoem d. D it is een bekend probleem . H e t b ehoort inm iddels to t de e-etiquette om n adrukkelijk w eg te kijken w anneer iem and anders zijn o f haar w achtw oord intypt. E en andere zw akte is dat iem and het geheim kan proberen te raden. Vooral com pu ters zijn goed in het snel en system atisch raden van toegangscodes. M eestal gebruiken ze daarbij een w oordenboek, zodat bekende w oorden eerst geprobeerd w orden. In dat geval spreekt m en van een d ic tio n a r y a ttack. M en kan natuurlijk het systeem b e scherm en door slechts drie pogingen toe te staan. M aar dat introduceert w e e r nieuw e nadelen: ik kan daarm ee van iem and anders de toegang blokkeren door v oor die per soon een aantal pogingen te w agen. H e t w erkt b eter een steeds grotere vertraging te introduceren bij herhaalde pogingen. E en ander nadeel is dat m ensen hun geheim nogal eens vergeten. E n als er veel verschillende geheim en (zoals w achtw oorden) ont houden m oeten w orden schrijven m ensen ze vaak op. D aarm ee w o rd t iets w a tje w eet to t iets w at je hebt.
4. Identificatie en authenticatie
23
A uthenticatie op basis van iets d a tje b en t verw ijst naar biom etrie. D aarbij w orden bepaalde lichaam seigen kenm erken gebruikt als bew ijs van identiteit. Te denken valt aan een vingerafdruk, een iriscan, een D N A -profiel, o f ook gew oon een foto. B io m e trie kan ook gebaseerd zijn op gedrag, zoals de m anier w aarop je jo u w handtekening zet (hoeveel druk op de pen op w elk m om ent) o f de m anier w aarop je een bepaald m elodietje roffelt. Z ulke gedragsm atige vorm en van b iom etrie kunnen m oeilijker af gedw ongen w orden bij personen die niet m ee w illen w erken. B iom etrie w ordt steeds m eer toegepast. E r bestaan grote verw achtingen. M is schien w el teveel. D e nadelen van biom etrie w orden vaak over het hoofd gezien. W an neer je je P IN kw ijtraakt kun je naar de ban k gaan en om een nieuw e vragen. W anneer e c h te rje irisscan gecom prom itteerd raakt heb je een groot probleem , sim pelw eg om dat vervanging niet echt een optie is. W anneer iedereen van jo u biom etrische inform atie a f wil nem en om je te authenticeren raakt die inform atie w ijd verspreid, w aardoor het risico to en eem t dat iem and er oneigenlijk gebruik van m aakt door zich als jo u v oor te doen, bijvoorbeeld v ia een vervalste vingerafdruk. E en dun vliesje m et jo u w patroon is snel gem aakt, en m oeilijk te detecteren. D iefstal van biom etrie kan ook in fysieke vorm , en neem t dan snel dram atische vorm en aan. D e uitgestoken oogbal u it D an B ro w n ’s B e r n in i M y s te r ie is een voor beeld. E en ander voorbeeld is de afgesneden v in g er van een M aleisisch e zakenm an die dacht dat hij zijn dure M ercedes S-klasse m et een vingerafdruklezer goed beveiligd had. D o o r biom etrie als authenticatiem iddel te kiezen vergroot je ook het persoonlijke licham elijke risico voor betrokkenen. E en ander nadeel van biom etrie is de foutm arge. D ie versch ilt erg per vorm van biom etrie. Bij iriscans w orden w einig fouten gem aakt, bij vingerafdrukken iets meer, en bij g elaatsfo to ’s al veel m eer, alleen al om dat gezichten in de tijd veranderen, door veroudering o f verandering van bijvoorbeeld haar o f bril. D aarn aast kunnen b io m e trische system en gefopt w orden, zeker w anneer er geen co n tro leu r in de buurt is. D e vlies over een v in g er is al genoem d, m aar een gezichtsfoto k an voor een cam era gehou den w orden, o f een speciale contactlens m et een aangepast patroon kan bij de scanner gedragen w orden. H et kost m oeite, m aar het kan. G een enkel systeem is w aterdicht. M eestal w orden de bovengenoem de authenticatiem iddelen in een bepaalde com bi natie gebruikt. Toegang to t je bankrekening vereist authenticatie m et iets w a tje hebt (je bankpas) en iets w a t je w eet (je PIN ). E en paspoort zit in de categorieen ‘iets w at je h e b t’ en ‘iets w a t je b e n t’ (door de foto, en binnenkort ook de vingerafdrukken in een chip).
24
D eel I I
Hoofdstuk 5 Wie ben ik? Tot nu toe is op een nogal luchtige w ijze gesproken over identiteiten van personen. M aar w aar hebben w e het dan eigenlijk over? H et gaat m e er niet om hier een diepgra vende filosofische analyse u it te voeren m et m edenem ing van psychologische randge vallen als m eervoudige persoonlijkheden, m aar m eer om een in tu itie f w erkbaar identiteitsbegrip te form uleren w aarm ee w e in de digitale w ereld vooruit kunnen. D e m eesten van ons ervaren gedurende ons leven een notie van ‘z e lf ’ als centrum van alle activiteiten w aarin w e betrokken zijn. D it zelfbegrip kent een redelijke m ate van continuiteit, ook al zijn onze ervaringen en reacties daarop heel verschillend ged u rende de loop van ons leven. H et feit dat w e voortbouw en op onze eerdere ervaringen versterkt dit gevoel van ‘ik ’. M aar tegelijkertijd zijn er g ro te verschillen tussen een persoon aan het begin en aan het eind van het leven. A an anderen zijn w e geneigd eenzelfde zelfbegrip toe te kennen. M aar van buiten a f bezien, puur gedragsm atig, w eten w e daar niet veel van. W e kennen en herkennen anderen via bepaalde attributen (eigenschappen), waarbij uiterlijke kenm erken een b e langrijke rol spelen. O ok kunnen w e o n sz elf v ia lichaam seigen o f gedragsm atige at tributen om schrijven: roodharig, im pulsief, dram m erig, w isp eltu rig o f charm ant. Als benadering zouden w e persoonlijke identiteit kunnen om schrijven als geheel van attri buten w aaraan w e op dit m om ent voldoen. Identiteit is daarm ee geen statisch gegeven: ik ervaar m e z e lf ook zeker niet als dezelfde persoon als d ertig ja a r geleden. H et is m oeilijk aan te geven w at er w erkelijk constant blijft gedurende een m ensenleven. Je D N A ? D at lijkt te voldoen, m aar het is (op dit m om ent in de geschiedenis) zeer tw ij felachtig o f m ensen zich identificeren m et hun DN A . Z ijn er dan andere, w erkbare, goed herkenbare, identificerende attributen? Je kan je naam ook goed als attribuut zien. Je naam w ordt m o g elijk in een huw elijk aangepast, m aar blijft verder constant— uitzonderingen daargelaten. K an m ijn naam dan niet als identificerend attribuut gezien w orden? D a t kan in redelijke m ate, m aar er zijn tw ee fundam entele problem en. H oe onderscheidend zijn nam en eigenlijk? O ns huidige (w esterse) nam enstelsel is ingevoerd onder N apoleon, en w erkt redelijk op locale schaal. M aar niet op w ereld schaal. Ik heb een collega aan de U niversiteit van L euven in B elgie die ook B art Jacobs
26
Deel II
heet, en zelfs op een verw ant vakgebied w erkzaam is. W e w orden som s verw isseld. Je zou dus extra attributen m oeten toevoegen, zoals geboortedatum , o f adres (huis, em ail, w eb). A dressen zijn daarbij m inder geschikt, om dat ze het nadeel hebben dat ze nogal eens kunnen veranderen. Je m oet dan de historie bijhouden: B art Jacobs, die nu w oont op . . . , daarvoor op . . . , enzovoort. D at is niet praktisch. D e geboortedatum is stabieler, en w ordt daarom veel gebruikt. E en ander nadeel van deze extra attribu ten is dat niet iedereen ze altijd prijs w il geven. Som m igen houden hun leeftijd het liefst verborgen— al w as het alleen m aar u it ijdelheid— en anderen houden hun adres geheim — u it veiligheidsoverw egingen o f gew oon om niet lastig gevallen te w orden. N aam , geboortedatum en adres zijn privacygevoelige gegevens, die van belang zijn v oor de persoonlijke veiligheid. E en kw aadw illende kan er id en tite itsro o f m ee plegen en veel schade m ee berokkenen. Iets praktischer dan een naam is een num m er. O p nationale schaal hebben w e in m iddels z o ’n systeem , waarbij iedereen een B urger Service N u m m er (B SN ) heeft. D at w erkt inderdaad als uniek identificerend— op nationale schaal. Ik identificeer m ijzelf echter niet o f nauw elijks m et m ijn B SN . Ik ken het niet eens u it m ijn hoofd en w anneer iem and m ijn B S N roept reageer ik niet. H et heeft vooral een adm inistratieve functie v oor de overheid. H e t andere probleem m et nam en is dat ze op zich niks zeggen: w hat is in a n a m e ? A an iem and die ik niet ken kan ik m e bekend m aken als P iet Jacobs. In kleine om geving kom t zulk bedrog snel aan het licht, w anneer blijkt dat anderen mij bijvoor beeld K laas noem en. M aar op het internet kan het aannem en van een andere naam veel langer goed gaan. H oe kom je er nu achter dat B art Jacobs m ijn ‘e ch te’ naam is. M isschien is het w el een pseudoniem ! Ik heb een eigen w eb p ag in a1, die een koppeling legt tussen m ijn naam en een foto. D at geeft m isschien enig vertrouw en. M aar de w ebpagina heb ik z e lf gem aakt, en zou dus enkel kunnen dienen om een pseudoniem geloofw aardigheid te geven. A ls u w erkelijk m ijn naam zeker w il w eten kunt u mij vragen m ijn paspoort te tonen. Ervan uitgaande dat ik dat doe, b en t u inderdaad een stapje verder. H et paspoort geeft een koppeling tussen een naam (plus geboortedatum , B S N enzovoort) en een foto. V ervolgens dient u z ic h z e lf ervan te overtuigen dat ik inderdaad degene ben die op de foto staat, en dat het paspoort echt is. A ls het goed is vorm t het paspoort (o f rijbew ijs o f nationale identiteitskaart) een authentiek (door bevoegde autoriteiten uitgegeven) en integer (echt, niet vervalst) identiteitsdocum ent. M aar hoe betrouw baar is z o ’n identiteitsdocum ent? F raude m e t de docum enten z e lf (zoals vervalsing) zal later uitgebreider aan bod k o m en (in H oo fd stu k 13). H ierbij gaat het m e erom hoe het docum ent tot stand kom t. H e t is gebaseerd op inform atie in de gem eentelijke basisadm inistratie (G B A ) van m ijn w oonplaats. E en goede vraag is hoe m en daarin kom t, en w anneer de koppeling m et een foto plaatsvindt. O pnam e in de G B A v in d t plaats v lak na de geboorte. E r w ordt dan enkel een nieuw e naam m et 1Namelijk www. c s . r u . n l / B . J a c o b s
5. Wie ben ik?
27
een geboortedatum , tezam en m et de nam en van de ouders opgenom en. D e gem eente h eeft in dat stadium nog geen m anier om te w eten om w ie het w erk elijk gaat2. Vorig ja a r heb ik m ijn kinderen in m ijn paspoort bij laten schrijven. Toen vond feitelijk voor hen de eerste koppeling tussen naam en foto plaats. D e daarbij gebruikte controle aan de balie van de burgelijke stand stelde echter helem aal niks voor, sim pelw eg om dat de gem eente niks in handen heeft om een deugdelijke controle u it te voeren. M ijn kinderen w erd enkel gevraagd hoe ze heten en hoe oud ze w aren. Ver volgens w erden de p a sfo to ’s die ik van ze m eegenom en had vergeleken. Ik had net zo goed de kinderen van de buren m ee kunnen nem en m et passende fo to ’s— plus de instructie om de nam en en leeftijden te noem en die sinds de geboorteaangiften in de G B A staan. Ik heb de betreffende am btenaar gevraagd o f ze eigenlijk w el zeker w ist dat dit m ijn kinderen w aren en niet die van een ander. Z e vertelde dat ze het inderdaad niet zeker kon w eten, en g a f ook aan dat ze som s het gevoel had dat de zaken niet klop ten. H e t w ordt algem een erkend dat gem eentelijke basisadm inistraties behoorlijk w at onjuistheden bevatten. D aarm ee zijn de op de G B A gebaseerde identiteitsdocum enten ook niet altijd betrouw baar. W e stellen vast dat ons systeem van naam geving historisch gegroeid is, een bep erk te reikw ijdte heeft en geen absoluut betrouw bare basis heeft. H e t geheel functioneert desondanks redelijk vanw ege de benodigde consistentie in verschillende contexten. H et systeem is in huidige vorm echter niet geschikt om online (op het w eb) de iden titeit van de partij aan de andere kant van de lijn vast te stellen. E en paspoort voor een w ebcam houden geeft niet zo heel veel vertrouw en. O ok is h et goed te beseffen dat alle beveiligings- en controle-m echanism en die gebaseerd w orden op de huidige infrastructuur niet w aterdicht zullen zijn. A bsolute zekerheid kan alleen via zeer vergaande m aatregelen, zoals het direct koppelen van een B S N aan D N A bij geboorte. D a t vereist dat in de rest van de k e ten ofw el alle controles plaatsvinden op basis van D N A , ofw el dat D N A op enig later m om ent aan een andere vorm van biom etrie gekoppeld w ordt. G rootschalige D N A controle is op dit m om ent echter geen optie, om dat het veel te veel tijd en geld kost. D aarnaast is D N A -analyse erg privacygevoelig om dat op b asis van m ijn D N A erfe lijke ziektes vastgesteld kunnen w orden. V erzekeringsm aatschappijen o f hypotheek verstrekkers kunnen m ogelijk oneigenlijk gebruik m aken v an zulke inform atie. K o p peling aan een andere vorm van biom etrie is w el een optie, m aa r kan pas na enkele jaren. V ingerafdrukken bijvoorbeeld zijn bij jo n g eren (en ouderen) niet erg betro u w baar. Sow ieso zal het een hele generatie duren voordat z o ’n systeem m et koppeling tussen B S N en D N A bij geboorte volledig doorgevoerd is. 2Er is in principe wel iets meer informatie voorhanden: na de geboorte wordt in Nederland bij bij na alle kinderen (toestemming van ouders is nodig) via een hielprik een druppeltje bloed afgenomen voor screening op aangeboren stofwisselingsziekten. Op dat moment komt natuurlijk DNA-materiaal beschikbaar, maar het is onduidelijk in hoeverre dit bloedmonster gekoppeld wordt aan een offici eel geboortebewijs (met de naam). De bloedmonsters worden trouwens niet vernietigd, maar blijven bewaard bij het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) te Bilthoven voor medischwetenschappelijk onderzoek.
28
Deel II
Z o ’n koppeling van B S N en D N A is alleen betrouw baar op nationale (o f m ogelijk E uropese) schaal. D e identiteit van vreem delingen uit verre landen kan er nog steeds niet m ee vastgesteld w orden. U iteindelijk hebben w e dus niet zoveel zekerheid over identiteiten.
Hoofdstuk 6 Rollen en privacy Privacy is een gecom pliceerd begrip, w aar geen eenduidige om schrijving van te geven is. E r zijn om vangrijke en diepgaande ju rid isch e en filosofische studies die zich m et het begrip bezighouden. E r is het klassieke w erk van de A m erikaanse ju riste n W arren en B randeis uit 1890 w aarin gesproken w ordt over the rig h t to be le t alone en privacy in het licht staat van ongew enste openbaarm aking en bem oeienis. D e context w erd destijds gegeven door de opkom st van de populaire pers m et een v oor die tijd n ieu w e vorm van opdringerige journalistiek. E en andere lijn p laa tst privacy in de context van individuele m enselijke w aardigheid, w aarbij het g ezien w ordt als w ezenlijke voor w aarde voor persoonlijke vrijheid en autonom ie en voor de m og elijk h eid om eigen, door anderen gerespecteerde keuzes te m aken, w aardoor de ru im te bestaat om a f te w ijken van de norm en eigen fouten te m aken. H iero n d er zullen w e m eer de nadruk leggen op de sociale aspecten van privacy als noodzakelijke voorw aarde om v erschil lende rollen en contacten te onderhouden. D it volgt het w erk van denkers als Jam es R achels en R uth G avinson. W e hebben allem aal denk ik een redelijk in tu itie f begrip van privacy. E r schiet vast w el een situatie te binnen waarbij u zich ooit in u w privacy aangetast voelde, en waarbij u het g epast vond w anneer een ander het hoofd afgew end had, o f helem aal n iet aanw ezig gew eest w as. H et gaat m e om situaties w aarvan een E ngelsm an droogjes opm erkt: we don ’t talk a b o u t it. E vengoed zijn er situaties voorstelbaar w aarin u het ongepast o f onheus o f zelfs bedreigend v in d t w anneer de staat o f een b e d rijf m eekijkt. W anneer het gaat om u w persoonlijke levenssfeer garandeert de grondw et (in artikel 10) dat die ongepastheid de vorm heeft van een recht op eerbiediging, om verschoond te blijven van zulk m eekijken. In ons leven spelen w e veel verschillende rollen: bijvoorbeeld m oeder, dochter, lid van de tennisclub, kerkganger, onderw ijzer, v rijw illig er in de vluchtelingenhulp, suikerpatient en initiatiefnem er van een praatgroep voor m isbruikte vrouw en. Bij ie der van die rollen hoort een bepaald verband, m eestal kleinschalig, dat zin verschaft, en ook een bepaalde deel-identiteit m et een eigen sfeer van vertrouw elijkheid. D oor breking van die sfeer is in m eer o f m indere m ate ongepast. M en sen hechten er in h et algem een aan zulke verschillende rollen gescheiden te houden. Som s expliciet,
30
Deel II
m aar ook heel vaak im pliciet. Z e gedragen zich som s ook heel anders in verschillende rollen: de saaie kantoorklerk kan de grootste lolbroek zijn van de visclub. Z ulke ver schillen w orden in het dagelijkse leven breed geaccepteerd. Ik heb er in principe niks m ee te m aken w at voor hobbies m ijn baas heeft. Ik kan er b elangstellend naar vragen, m aar w anneer hij er w einig over wil vertellen accepteer ik dat. A ls ik toch doorvraag is dat ongepast. Voor de (zakelijke) om gang die ik m et m ijn baas heb is kennis van zijn hobbies voor mij niet noodzakelijk. Privacy is belangrijk ju is t om dat het z o ’n scheiding van verschillende rollen m o g elijk m aakt. Privacy beschrijft het ‘rec h t’ om inform atie to t een bepaalde rol te b e perken. Privacy m aakt het m ogelijk dat verschillende m ensen respectvol m et elkaar sam enleven en is dus essentieel in een pluriform e sam enleving. A ls ik zou w eten dat m ijn baas zijn vrouw slaat o f bij de B hagw an is zou ik m isschien helem aal niet goed m et hem sam en kunnen w erken. Privacy is aldus een w ezenlijk onderdeel van sociale interactie. O ns leven is gecom partim entaliseerd in verschillende rollen, en daar h o o rt een com partim entalisatie van inform atie essentieel b ij. D e grondw et b escherm t privacy in de form ulering van eerbiediging van de persoonlijke levenssfeer. T raditioneel w ordt er in discussies over privacy een onderscheid tussen publiek en prive gem aakt. E en passender en m eer gedifferentieerde form ulering, die hier gevolgd w ordt, z o u iedere levenssfeer o f rol m oeten bescherm en, zoals in het onderstaande plaatje gesuggereerd wordt. publiek
-------privaat
Ik persoonlijke levenssfeer
Traditionele tegenstelling
Differentiatie naar rollen
In het vervolg w ordt uitgegaan van een intuïtief, niet nader om schreven, begrip van persoonlijke rol. W e zullen daarbij de term en ‘ro l’ en ‘lev en ssfeer’ als synom iem gebruiken, in algem ene zin, en dus niet beperkt to t p erso o n lijke levenssfeer. E en rol/levenssfeer kan de om gang betreffen m et je baas, m et de vertrouw enspersoon van de afdeling personeelszaken, m et je echtgenoot, m et je m aîtresse, m et de pastoor, m et de huisarts enzovoort. H e t is een uitdaging om ook in de online w ereld een form alisatie (als onderdeel van autom atisering, zoals beschreven aan het begin van H oofdstuk 4) van deze opvatting van rol als (gedeeltelijk) afgescheiden levenssfeer te vinden. D oor z o ’n gedifferentieerde form alisatie sluit IC T aan bij dagelijkse sociale praktijken, door ju is t niet de nadruk te leggen op afgedw ongen uniform iteit. Op w at daar v oor nodig is zal het volgende hoofdstuk nader ingaan. V oor het gescheiden houden van de diverse rollen die w e spelen is het w ezenlijk dat w e z e lf een redelijke m ate van controle hebben over w ie toeg an g heeft to t (w elke
6. Rollen en privacy
31
inform atie over) ons. Privacy betreft aldus ‘inform ationele zelb esch ik k in g ’, niet alleen m et betrekking to t de vraag w anneer je aan w ie inform atie over je z e lf w eggeeft, m aar ook w at er vervolgens m ee gedaan w ordt. D it tw eede aspect w ordt nader besproken in H oo fd stu k 12 in term en van p o lic ie s als gebruiksbeslissingen. In het interm enselijke verkeer is privacy nodig bij de opbouw van onderling ver trouw en, typisch in kleinschalige verbanden, v ia selective self-disclosure w aarbij ver trouw elijke inform atie die bij een rol/levenssfeer hoort onderling gedeeld w ordt. D e partijen w orden geacht deze vertrouw elijkheid te handhaven. Z o niet, dan is er spra ke van een vertrouw ensbreuk. A fgedw ongen openheid en doorbreking van rollen via m onitoring, data surveillance en profilering is onnatuurlijk— en bruuskerend, o f zelfs vernederend— w an t v indt plaats buiten een kader van onderlinge vertrouw ensopbouw en gelijkw aardigheid. H e t u it elkaar houden van onze verschillende rollen kost enige m oeite, m aar is op zodanige m anier ingesleten in onze sociale patronen dat w e ons er vaak nauw elijks expliciet bew ust van zijn. M aar som s is het ook goed zichtbaar, bijvoorbeeld w anneer iem and verschillende m obiele telefoons gebruikt, ieder v o o r een eigen rol. E rvaring van vrijheid en autonom ie is, m een ik, sterk gekoppeld aan de m ogelijkheid om z e lf nieuw e rollen te kiezen en z e lf de bij die rollen horende inform atie te beheren en al o f niet gescheiden te houden. P riv a c y b e s c h e rm in g E r w ordt som s lukraak bew eerd dat m ensen niet m eer aan privacy hechten. Indien pri vacy in bovenstaande zin verstaan w ordt kan ik m e dat nauw elijks voorstellen. E r zijn onderlinge verschillen tussen m ensen in de m ate w aarin ze hun rollen door elkaar laten lopen, m aar volstrekte transparantie tussen al hun rollen is volgens mij erg ongebrui kelijk. Privacy is als z u u rsto f nodig voor het draaiend houden van het interm enselijke verkeer en het vorm t de grondslag v oor onderlinge banden g eb aseerd op vertrouw en. Indien w e onze IC T -infrastructuur op w elke m anier dan ook een m enselijk gezicht w illen geven zal privacybescherm ing daar een w ezenlijk onderdeel van m oeten zijn. D e structuur zal m ensen op een soepele, intuitieve m anier de m ogelijkheid m oeten bieden om ook online verschillende rollen te spelen— en u it elkaar te houden! Idealiter zou dit com partim entaliseren van rollen online net zo m oeiteloos m oeten verlopen als w e offline gew end zijn. H e t koppelen van inform atie uit verschillende dom einen m oet daarbij m et de grootst m ogelijk terughoudendheid gebeuren om dat er m ogelijk (gegevens uit) rollen gekoppeld w orden die betrokkenen gesch eid en w ensen te houden. H oe w e die rollen online praktisch het beste uit elkaar kunnen en w illen houden vorm t een grote uitdaging. Individuele p o lic ie s kunnen daarbij een rol spelen. M aar een eerste stap is erkenning van de individuele pluriform iteit. Iedereen altijd uniform op dezelfde w ijze benaderen, zoals v ia het B urger Service N u m m er (B SN ), gaat in volstrekt tegengestelde richting. O ok tegenover de overheid (en al de andere instanties die het B S N gebruiken) spelen m ensen verschillende rollen. B edrijven en overheden die grootschalige gegevens van individuen opslaan eisen
32
Deel II
een bepaalde vertrouw ensband op die m isschien volkom en o ngepast en m isplaatst is. V ertrouw en w ordt je geschonken en hoor je te verdienen, en k a n zeker niet eenzijdig afgedw ongen w orden. O m dat het delen van gevoelige inform atie zo w ezenlijk is voor h et sociale proces van vertrouw ensopbouw in een relatie zou hier om zichtiger m ee om gegaan dienen te w orden. D e m enselijke m aat is erm ee gediend indien er beter n agedacht zou w orden over het eigen gedecentraliseerde b e h e er van gegevens die bij een specifieke rol h o re n 1. M e e r d e re id e n tite ite n N u w e op dit p unt aangekom en zijn is duidelijk dat de vraag “w ie ben ik” uit H o o fd stuk 5 geen eenduidig m aar een g edifferentieerd antw oord heeft. H et hangt helem aal a f van m ijn rol. Bij ieder van m ijn rollen hoort een eigen d eel-identiteit o f rol-identiteit, bepaald door de attributen die in die rol op mij van to epassing zijn. Bij som m ige van die rollen speelt m ijn naam een rol— bijvoorbeeld als patien t bij de huisarts— m aar som m ige rollen zijn anoniem — bijvoorbeeld als koper van een rol W C -papier (als ik kontant betaal, tenm inste). Som m ige rollen zijn tijdelijk, m et een bijbehorende tijd elij ke identiteit, zoals houder van een geldig garantiebew ijs op een strijkijzer, o f bezoeker van een pornofilm . D aarvoor is m ijn naam niet nodig. O ok online zouden w e de zaken zo w illen organiseren dat m ensen over verschil lende (m ogelijk tijdelijke) identiteiten kunnen beschikken. G edeeltelijk w erkt het n a tuurlijk al zo. Ik heb bijvoorbeeld aanstellingen aan tw ee universiteiten, nam elijk in N ijm egen en Eindhoven. Ik heb daar verschillende em ailadressen die ik strikt gesch ei den probeer te houden: een voor N ijm eegse en een voor E indhovense zaken. O p z o ’n m anier is altijd duidelijk vanuit w elke rol (m et w elke pet) ik een em ail schrijf. O ok beperk ik bepaalde inform atie to t slechts een van die tw ee aanstellingen. Voor iedere tijdelijke rol zou ik een nieuw (hotm ail o f gm ail o f ander) adres kunnen gebruiken. D at is een beetje om slachtig en kan ook anders.
1Ook vanuit andere perspectieven is er groeiend verzet tegen onpersoonlijke en uniforme grootscha ligheid, zie bijvoorbeeld Ad Verbrugge’s Tijd van Onbehagen (SUN, Nijmegen, 2004).
Deel III Beheer van Identiteiten
Hoofdstuk 7 Versleuteling Som s w illen m ensen elkaar berichten o f brieven sturen z o n d er dat iem and anders de inhoud lezen kan. T raditioneel w illen diplom aten, m ilitairen en spionnen dat, m aar bijvoorbeeld ook veel geliefden. O ok bedrijven w illen som s bepaalde boodschappen o f gegevens verhullen, bijvoorbeeld w anneer sprake is van concurrentie- o f beursgevoelige inhoud. E n binnen de overheid o f gezondheidszorg zou je verw achten dat staatsgeheim en en privacygevoelige gegevens van burgers n iet zom aar toegankelijk zijn. H et w illen kunnen verbergen van bepaalde inhoud is een volkom en norm ale en gerechtvaardigde w ens. Je zou m ischien denken: als je een geheim bericht te versturen hebt dan sch rijf je het niet op een briefkaart, m aar stop je het toch in een enveloppe. E r bestaat w elisw aar een w ettelijk vastgelegd briefgeheim , m aar erg veel bescherm ing b ied t dat niet, w ant iedere kw aadw illende kan de enveloppe openscheuren. E en iets betere beveiliging w ordt geboden door m et een sleutel afsluitbare kistjes. W anneer beide partijen een sleutel hebben kunnen ze onderling afgesloten kistjes heen en w eer sturen. H elem aal w aterdicht is dit nog niet, w ant ook de kistjes zouden opengebroken kunnen w orden— m et gew eld o f via een loper. M aar fysieke afscherm ing is in veel situaties een goed beveiligingsm echanism e. E r zijn echter slim m ere m anieren om zoiets te doen, zonder d a t er fysieke kistjes en sloten aan te pas hoeven te kom en. D e R om einse veldheer Julius C aesar had al z o ’n truuk. W anneer hij een geheim bericht naar een van zijn g eneraals w ilde sturen sch reef hij het bericht eerst op papier, en verplaatste d aarn a alle individuele letters in het b ericht drie posities naar achter in het alfabet. H e t berich t obelix is w eer a c tief w ordt dan rehola lv zhhu dfw lhi H et resultaat w erd door een koerier bezorgd. W anneer dit g eco d eerd e bericht onder w eg onderschept w erd gingen er geen geheim en verloren, w ant C aesar ging er van
36
Deel III
u it dat zijn tegenstanders— degenen die konden lezen— niet slim genoeg w aren om de versleuteling te doorbreken. Terzij de: deze vorm van versleuteling door verw isseling v a n letters is naar m oderne m aatstaven zeer zw ak. D e verw isselm ethode kan snel herkend w orden aan de hand van de frequentie van letters. D a a r zijn lijsten van. D e ‘e ’ is bijvoorbeeld de m eest voorkom ende letter in het N ederlands. In de bovenstaande versleutelde tek st ‘rehola lv zhhu d fw lh i’ kom t de ‘h ’ het m eeste voor, nam elijk v ier keer. M en kan er— in dit geval terecht— van uitgaan dat die letter overeenkom t m et de ‘e ’. M e t een beetje puzzelen kom je er dan snel uit. Z u lk gepuzzel spreekt veel m ensen aan, net als sudoku’s o f cryptogram m en. C ryptografie is de w iskundige discipline die zich bezighoudt m et het versleutelen van boodschappen. E r zijn tegenw oordige slim m e versleutelingstechnieken die door com puters razendsnel uitgevoerd kunnen w orden. Z e zijn prak tisch niet te kraken, niet door m ensen en ook niet door com puters, ook al kunnen die bijvoorbeeld heel snel heel veel m ogelijkheden uitproberen. Bij z o ’n w iskundige versleuteling is m eestal sprake van een m ethode— zoals: ver sch u if letters in h et alfabet naar achter— en een sleutel— zoals: drie posities. Z o ’n sleutel is in de m oderne praktijk m eestal een heel groot getal. D e m ethode m ag best bekend zijn, m aar de sleutel m oet geheim b lijv en 1. W anneer nu tw ee partijen van te voren een m ethode en een geheim e sleutel afgesproken hebben, dan kunnen ze daar m ee onderling geheim e boodschappen uitw isselen— net als C aesar deed, en net a lso f ze de berichten verpakt hadden in afgesloten kistjes. Z ulke versleuteling vorm t de klassieke basis voor beveiligde com m unicatie. M aar je kunt de tech n iek ook gebruiken v oor beveiligde opslag. W anneer je m ilitaire g eh ei m en eerst versleutelt voor je ze op een m em ory stick zet is het niet zo erg w anneer je die stick verliest. D e v in d er kan de versleutelde gegevens to ch niet lezen, zolang jij je sleutel m aar geheim houdt, en zeker niet ook op de m em ory stick z e lf zet. D at laatste is dom , en is vergelijkbaar m et het hangen van een huissleutel aan de deurbel. Je hoeft bij versleutelde opslag de sleutel ook helem aal niet m et iem and anders te delen: het is voldoende dat jij w eet w at die sleutel is, zodat je daarm ee w eer kunt ontsleutelen op het m om ent dat je de gegevens van je eigen stick nodig hebt. W anneer je de m em ory stick voor overdracht (com m unicatie) gebruikt m oet je de sleutel natuurlijk w el delen zodat de andere partij kan ontsleutelen. In het digitale tijdperk zullen w e m oeten leren om gaan m et zulke digitale sleutels. D ie sleutels zijn getallen, die in feite zo groot zijn (wel tientallen tot honderden cijfers) dat w e ze onm ogelijk kunnen onthouden. H oe m oeten w e ze dan beheren? E r zijn ruw w eg tw ee m ethoden. In h et eerste geval staat de geheim e sleutel op je com puter, m aar is alleen to e gankelijk via een w achtw oord. E en speciaal program m a zorgt er dan voor d a tj e bij versleuteling o f ontsleuteling van docum enten alleen dat w achtw oord in h o eft te typen. M e t de sleutel z e lf heb je in feite niet direct te m aken. 'Dit staat bekend als het principe van Kerckhoffs, reeds geformuleerd in 1883.
7. Versleuteling
37
In h et tw eede geval staat de geheim e sleutel op een aparte chipkaart, die je in (een kaartlezer bij) je com puter m oet steken om te v ersleutelen o f te ontsleutelen. D ie chipkaart kan vervolgens beveiligd w orden m et een PIN . H e t voordeel hiervan is dat je jo u w sleutel(s) m akkelijk m et je m ee kan nem en. E en SIM -kaartje in een m obiele telefoon is hiervan een voorbeeld. D e SIM is een als chipkaart, m aar dan alleen de chip zonder plastic kaartje erom heen. D e SIM w ordt geactiveerd door een PIN , en bevat de cryptografische sleutels w aarm ee jo u w telefoongesprekken vercijferd w orden. D e gesprekssignalen van een m obiele telefoon kunnen w elisw aar m et een speciale ontvanger u it de lucht geplukt w orden, m aar zijn n iet zom aar a f te spelen. Z ulke handige beveiligde m obieltjes had C aesar graag gehad.
38
D eel I I I
Hoofdstuk 8 Digitale handtekeningen Bij de ‘k lassiek e’ m anier van versleutelen u it h et vorige h oofdstuk hebben partijen een gedeelde geheim e sleutel voor de onderlinge com m unicatie. Sinds e in d ja re n zeventig van de vorige eeuw bestaat er een opm erkelijke tech n iek die veel krachtiger is: zo genaam de publieke cryptografie. D aarbij heeft iedere partij een tw eetal (gekoppelde) sleutels, eentje geheim , en eentje publiek. D e publieke sleutel is inderdaad bedoeld om openbaar te m aken, bijvoorbeeld in een speciaal telefoonboek. O p m ijn persoonlijke w ebpagina staat bijvoorbeeld m ijn publieke sleu tel1. W at kun je zoal doen m et z o ’n sleutelpaar? D at zijn verschillende dingen, voor verschillende doeleinden. D aar zit dan ook de kracht. Voor h e t gem ak zal ik m ijn sleutelpaar een naam geven, nam elijk p u b j priv^-, w aarbij de naam al suggereert dat p u b b j m ijn publieke en priv^- m ijn geheim e sleutel is. D eze tw ee sleutels horen bij elkaar, om dat er tw ee kanten op m ee versleuteld en ontsleuteld kan w orden, w aardoor er sam en de volgende handige zaken m ee te doen zijn. 1. V e rtro u w e lijk e b e ric h te n s tu re n . Indien u mij een boodschap w il sturen die niem and anders m ag zien, dan haalt u eerst m ijn publieke sleutel p u b ¿ j van m ijn w ebpagina en versleutelt u vervolgens die boodschap m et p u b j D aarna k unt u het versleutelde resultaat op w elke onbeveiligde m an ier dan ook naar mij toesturen: gew oon per em ail, op de achterkant van een postkaart, o f via een nieuw sgierige koerier. Voor de ontsleuteling is nam elijk de bijbehorende geheim e sleutel p riv¿j nodig— die ik alleen heb en die ik natuurlijk angstvallig geheim houd. A ls ik u ook w eer vertrouw elijk w il antw oorden dan versleutel ik m ijn reactie m et u w publieke sleutel. A lleen u k unt dan de vereiste geheim e sleutel gebruiken om m ijn bericht leesbaar te m aken. D eze versleuteling m et publieke cryptografie kan ook beg rep en w orden in ter m en van afsluitbare kistjes. M ijn publieke sleutel is dan een k istje m et een hang slot dat gew oon dichtgeklikt kan w orden, waarbij ik degene b en die als enige de 1Voor de cognoscienti: mijn publieke PGP sleutel is ook te vinden via de KeyId 576B9C3F. Nuttig voor zeer vertrouwelijke feedback.
40
Deel III geheim e ‘p riv e’ sleutel bezit w aarm ee het hangslot geopend kan w orden. W an neer ik gratis kistjes m et openhangende sloten ter beschikking stel en verspreid kan iedereen mij geheim e berichten versturen, die ik alleen w eer toegankelijk kan m aken. M en hoeft alleen een z o ’n ‘p u b liek ’ kistje van mij te bem achtigen, te vullen, dicht te klikken, en naar mij op te sturen. Z elfs de verzender kan na ‘versleu telin g ’ niet m eer bij het eigen bericht. Bij een gedeelde sleutel, zoals in het vorige h oofdstuk besproken, is dat nog w el m ogelijk.
2. H a n d te k e n in g z e tte n . Bij transacties zijn handtekeningen essentieel om aan te geven dat de ondertekenaar instaat v oor het ondertekende docum ent. D o o r een handtekening te zetten com m iteer je je ergens aan en kan de andere partij je daar aan houden. H et m oet daarbij duidelijk zijn dat het com m itm ent echt van jo u afkom stig is, w aardoor er iets van jo u alleen v oor nodig is. In digitale vorm w ordt daarvoor de geheim e sleutel priv^- gebruikt. Stel ik w il m ijn ban k een digitale opdracht geven om aandelen M icrosoft te ko pen. D e ban k accepteert alleen ondertekende opdrachten van klanten, en daarom onderteken ik de opdracht m et m ijn geheim e sleutel p riv ¿ j D ie ondertekening is in feite ook w eer een apart soort versleuteling. D e b an k w eet m ijn publieke sleutel pub bj en kan daarm ee het bericht ontsleutelen en de handtekening co n troleren. H et cruciale pun t is dat de b an k nu w eet dat het b erich t echt van mij afkom stig is om dat alleen degene die de sleutel p riv¿j heeft iets kan versturen dat m et p u b ¿ j herkend kan w orden. D e volgende dag w int eindelijk iem and een rechtszaak w aarin M icrosoft veran t w oordelijk w ordt gehouden v oor de vele fouten in zijn softw are. D e beurskoers van het b e d rijf keldert als gevolg. Ik probeer tegenover m ijn b an k te ontkennen dat ik aandelen besteld heb. O ok daar kom t een rechtszaak over. M ijn bank toont de rechter de m et priv^- ondertekende opdracht, die de rechter z e lf m et m ijn publieke sleutel kan controleren. Volgens E uropese (en inm iddels ook N e derlandse) w etgeving hebben digitale handtekeningen dezelfde ju rid isch e status als gew one handtekeningen2. Ik sta in m ijn hem d, verlies h et proces en zit alsnog m et de aandelen opgescheept (en w aarschijnlijk ook m et een rekening voor de proceskosten). D eze g eheim e sleutel priv j functioneert dus als een P IN en zorgt voor de zogenaam de onloochenbaarheid die essentieel hoort bij handtekeningen. D e elektronische handtekening is als een “ om gekeerd slot” op een doosje: alleen ik kan het slot erop doen (m et m ijn geheim e sleutel), m aar iedereen kan het vervolgens openenen (m et m ijn publieke sleutel). D e digitale handtekening kan goed gecom bineerd w orden m et vertrouw elijke com m unicatie u it het vorige punt. Stel u w il mij een vertrouw elijk contract sturen. U versleutelt het contract dan eerst m et u w eigen geheim e sleutel, en vervolgens m et m ijn publieke sleutel. Ik kan— en niem and anders— de boel dan 2Daarbij moet wel aan een aantal kwaliteitseisen voldaan zijn.
8. Digitale handtekeningen
41
ontsleutelen m et m ijn eigen geheim e sleutel, en u w handtekening controleren m et uw publieke sleutel. U heeft zich tegenover mij gecom m iteerd, m aar n ie m and w eet ervan. P rachtig toch! 3. A u th e n tic a tie : b e w ijz e n w ie j e b e n t. Stel u heeft een eigen b e d rijf m et in de kelder een zeer geheim e ruim te w aartoe m aar een beperkt aantal m ensen toegang hebben. Van al die m ensen kent u de identiteit en de publieke sleutel. U zet nu bij de keldertrap een speciaal elektronisch poortje m et klapdeuren dat de identiteit van m ensen die de kelder in w illen m oet controleren. Stel ik sta op de lijst van m ensen die toegang hebben to t de kelder. W anneer ik de trap a f kom is het poortje dicht, en vraagt het aan mij w ie ik ben. Ik identificeer mij door m ijn naam te zeggen, waarbij het poortje denkt: “ja , ja , zo w illen w e allem aal wel heten” . V ervolgens geeft het poortje mij een zogenaam de challenge. D at is een w illekeurig bericht d at ik m oet ondertekenen door het b e ric h t te versleutelen m et m ijn geheim e sleutel priv^-. D it is m ijn response. V ervolgens controleert het poortje de handtekening m et m ijn (bekende) publieke sleutel p u b j W anneer daarbij de oorspronkelijke challenge w eer te voorschijn kom t w eet het systeem dat ik het ben en gaat h et poortje open zodat ik door kan lopen. Ik ben im m ers de enige die priv^- bezit en daarm ee de challenge digitaal kan ondertekenen. In zulke challenge-response system en is het van w ezenlijk belang dat de challen g e een w illekeurig bericht is dat iedere keer anders is. Z ou het nam elijk iedere keer dezelfde vraag zijn dan kan een kw aadw illende m ijn (ondertekende) ant w oord een keer opvangen en de volgende keer afspelen zodat hij zich als mij kan voordoen. E en ander technisch p unt is dat de functies 2 (handtekening) en 3 (authenticatie) zich niet laten com bineren bij hetzelfde sleutelpaar. Bij de handtekening ben ik im m ers degene die h et bericht kiest dat ondertekend w ordt. Bij authentica tie kiest de om geving de challenge en m oet ik die ondertekenen, w at het ook is. W anneer je 2 en 3 com bineert kun je als om geving een v oor mij ongunstig contract als challenge opsturen. Ik onderteken het als response en ben daarm ee gebonden aan iets w at ik niet w il. D e oplossing is om v oor handtekening en authenticatie verschillende sleutelparen te gebruiken. P ublieke cryptografie is dus een krachtig m echanism e, m et vele m ogelijkheden in de digitale w ereld. D a a r zullen w e verder in het hoofdstuk n ad er op ingaan. H e t is hier echter w el enigszins rooskleurig beschreven. E r zijn een aantal belangrijke issues bij betrokken die het grootschalige gebruik enigszins bem oeilijken. H oe w eet iem and anders eigenlijk zeker w at m ijn publieke sleutel is? Van die zekerheid hangt nam elijk het hele systeem af. Ik heb het zo beschreven dat m ijn p u blieke sleutel op m ijn persoonlijke w ebpagina staat. M aar die w ebpagina heb ik z e lf gem aakt, en geeft dus geen enkele garantie. Ik had er net zo goed de publieke sleutel van de koningin neer kunnen zetten (also f het de m ijne w as), zo d at het lijkt a lso f dat w at zij ondertekent van mij afkom stig is (o f andersom ).
42
Deel III
H e t m oge duidelijk zijn dat er een bevoegde autoriteit (bijvoorbeeld m ijn g em een te) nodig is die m oet verklaren: “ de publieke sleutel van B a rt Jacobs is p u b ^ ” . In de m oderne w ereld w ordt die u itspraak natuurlijk z e lf ook w eer digitaal ondertekend m et de geheim e sleutel van de autoriteit (m ijn gem eente). H e t resultaat w ordt een ‘certi ficaat’ genoem d. H et is iets preciezer om van ‘id entiteitscertificaat’ te spreken om dat een identiteit aan een publieke sleutel gekoppeld w ordt. L ater zullen w e nog andere soorten certificaten tegenkom en, nam elijk m et attributen in plaats van identiteiten. H ierm ee hebben w e het probleem verplaatst, m aar w el gereduceerd: om van alle bij N ederlandse gem eentes ingeschreven personen zekerheid te hebben over hun p u blieke sleutels h o e f je alleen m aar zekerheid te hebben over de publieke sleutels van alle g em eentes— ervan uitgaande dat je de gem eentes en hun procedures vertrouw t. N u gaan w e gew oon nog een stap hoger. W e hebben ondertekende verklaringen (certifica ten) nodig van de vorm “gem eente X heeft publieke sleutel p u b x ” , w ant daarm ee is de ondertekende verklaring over m ijn publieke sleutel te controleren. Z ulke verklaringen over de publieke sleutels van gem eentes w orden dan w eer ondertekend door het rijk, m et geheim e sleutel privr j^ . O m die verklaring van h et rijk te controleren h o e f ik dus alleen nog m aar te w eten w at de bijbehorende publieke sleutel p u b j is. D e zaak is is v ia een getrapte vertrouw ensketen gereduceerd to t k ennis van een sleutel, nam elijk p u b rjk . D ie ene p ublieke sleutel zou breed gepubliceerd kunnen w orden, bijvoorbeeld in de Staatscourant en op allerlei w eb p ag in a’s van de overheid. H e t tw eede probleem is dat m ensen (en organisaties) som s slordig om gaan m et hun geheim e sleutel, o f dat sleutels som s ingetrokken m oeten w orden, bijvoorbeeld bij beeindiging van een dienstverband. W anneer m ijn geheim e sleutel bekend raakt kan iedereen in m ijn naam handtekeningen gaan zetten. Op z o ’n m om ent w il ik een n ieuw sleutelpaar hebben en w il ik ook kunnen aangeven dat m ijn oude sleutelpaar niet m eer geldig is. D a t kan v ia zogenaam de revocation lists die eigenlijk altijd eerst g e checkt zouden m oeten w orden w anneer je een handtekening van een ander controleert. Z ulke lijsten m oeten beheerd w orden door dezelfde bevoegde instanties die certifica ten uitgeven. H e t kan ook door certificaten slechts een korte geldigheid te geven. H oe dat allem aal precies w erkt v oert hier iets te ver. G e b r u ik v a n d ig ita le h a n d te k e n in g e n M isschien b eziet u vooralsnog al die digitale handtekeningen als een ver-van-m ijnbed-show . M aar ze zijn dichterbij dan u denkt. D e m eesten van ons m aken er zelfs al dagelijks gebruik van, niet direct in de vorm van het z e lf zetten van een digitale handtekening, m aar w el in de vorm van het controleren ervan. W anneer u op het internet surft verschijnen som m ige p ag in a’s als ‘b ev eilig d ’, zoals te zien is aan een gesloten slotje â ergens onder in een b alk van u w w ebbrow ser. Z ulke beveiligde p a g in a ’s w orden typisch gebruikt v oor m eer gevoelige zaken, zoals het in vullen van w achtw oorden en form ulieren, o f internetbankieren. Stel u bankiert online bij de P ostbank, v ia de w ebpagina h t t p : / / m i j n . p o s t b a n k . n l . H e t gesloten slotje g eeft dan aan dat er een certificaat gecontroleerd is dat iets zegt als: “het w ebadres
8. Digitale handtekeningen
43
h t t p : / / m i j n . p o s t b a n k . n l is eigendom van de P o s tb a n k N .V ” D it is goed om te w eten zodat u u w bankgegevens niet invult bij een site van iem and anders. U zou daar toe verleid kunnen w orden door een kw aadaardige zogenaam de p h ish in g em ail die u naar een vrijw el identieke w ebpagina lokt op een ander adres. Indien u daar nietsver m oedend u w toegangscodes in tikt kan vervolgens u w rekening geplunderd w orden. U ku nt zulke certificaten ook z e lf bekijken, typisch door op h et gesloten slotje te klikken. A ls u de gebruikte cryptografische operaties kent k u n t u de gebruikte h an d te kening in principe ook z e lf controleren. M aar gelukkig controleert ook u w w ebbrow ser de handtekening op de uitspraak “het w ebadres h t t p : / / m i j n . p o s t b a n k . n l is ei gendom van de P o stbank” . M aar w elke partij heeft die handtekening dan gezet, en hoe w eet ik dat die partij betrouw baar is? D at zijn zeer terech te vragen. Voor de w e b stek van de P o stbank is de handtekening g ezet door het b e d rijf Thaw te. M aar bijna niem and kent Thaw te. W aarom zouden w e Thaw te eigenlijk vertrouw en? T haw te is een zogenaam de tru st p ro v id e r die geld verdient aan het ondertekenen van docum enten, zie w w w .th a w te .c o m . H e t is een soort elektronische notaris, die er op de lange term ijn alle belang bij heeft om betrouw baar te handelen. M ensen van de P o stbank zijn daarnaartoe gegaan en hebben T haw te er op een o f andere m anier van overtuigd dat ze echt van de P o stbank zijn en dat de w ebsite h t t p : / / m i j n . p o s t b a n k . n l echt van hun is. T haw te heeft die uitspraak vervolgens ondertekend (m et een geldigheid van ongeveer een jaar). D it levert een certificaat. D a t certificaat w ordt door de w ebpagina h t t p : / / m i j n . p o s t b a n k . n l aan u w brow ser gegeven, die de handtekening controleert. M aar hoe w eet u w brow ser nu w at de bijbehorende publieke sleutel p u b thawte van Thaw te is? D ie is im m ers nodig om de handtekening, gezet m et de bijbehorende g e heim e sleutel p riv (hawte, te kunnen controleren, net zoals de eerdergenoem de publieke sleutel p u b rj k nodig is om gem eente-certificaten te controleren. D e publieke sleutel p u b thawte b lijkt al ingebakken te zitten in u w browser! D e producent van u w brow ser heeft kennelijk al besloten dat T haw te te vertrouw en is, en dat alles w at T haw te ondertekent ook klopt. D at gaat behoorlijk ver, m aar zo is h e t nu eenm aal opgezet. U heeft hier z e lf nog w el enige controle over als u w il. Iedere gebruiker kan de publieke sleutels die ingebakken zitten in de eigen brow ser bekijken, en eventueel aanpassen. U k unt bijvoorbeeld een aantal publieke sleutels van organisaties die u z e lf n iet vertrouw t verw ijderen, en andere toevoegen die u w el vertrouw t. H et is w el aardig daar eens naar te kijken in u w brow ser (zoek ergens onder ‘o p tio n s’ o f ‘p references’ naar ‘certificates’). Z o is in de brow ser F irefox ook een publieke sleutel opgenom en van de Staat der N ederlanden. D aar heeft m en bij F irefox kennelijk alle vertrouw en in. H e t getrapte controlem echanism e v oor elektronische handtekeningen is de essentie van zogenaam de P u b lic K e y Infrastructures (PK Is). D e term P K I kom je veel tegen in deze context. In N ederland w orden digitale handtekeningen bijvoorbeeld gebruikt door n otaris sen. D e organisatie D igiN otar, zie w w w . d i g i n o t a r . n l , verzorgt daarvoor de in frastructuur. H ierm ee kan een aangesloten notaris ondertekende elektronische docu m enten bijvoorbeeld naar het kadaster sturen. H e t kadaster controleert de digitale
44
Deel III
handtekening m et de publieke sleutel van de notaris. D eze digitalisering vergroot de efficientie— en w aarschijnlijk ook de betrouw baarheid en de veiligheid. D e N ederlandse overheid heeft een eigen initiatief, P K Ioverheid genaam d, om het gebruik van digitale handtekeningen te stim uleren. E r w o rd t gew erkt aan een elek tronische identiteitskaart m et chip v oor burgers m et daarop een certificaat om digitale handtekeningen te zetten. H et certificaat zegt iets als “burger X m et B S N Y heeft pu blieke sleutel Z ” . D eze bew ering is dan voorzien van een elektronische handtekening door de N ederlandse Staat. G oed opgeborgen in de chip zit de geheim e sleutel horend bij publieke sleutel Z . D aarm ee kan burger X (m et B S N Y ) digitale handtekeningen zetten, bijvoorbeeld op persoonlijke aanvragen die X bij de gem eente o f bij het rijk indient. Internationaal zijn er ook ‘o p e n ’ initiatieven om certificaten u it te geven v ia per soonlijke netw erken van onderling bekenden, in plaats van v ia bedrijven zoals Thaw te, zie bijvoorbeeld www. c a c e r t . n l . A ls je daar aan m ee w il doen m o e tje eerst op zoek naar iem and die al m eedoet en voor jo u in w il staan. O p z o ’n m an ier w ordt een w eb o f tru st gecreeerd. E e n s le u te lp a a r, en h a n d te k e n in g , p e r ro l Veel m ensen hebben verschillende em ail adressen, bijvoorbeeld een van het w erk voor zakelijk gebruik en een voor prive gebruik. D aarm ee kan op een snelle m anier dui delijk g em aakt w orden m et w elke p et op het hoofd een em ail geschreven w ordt. Ik ken echter niem and die ook tw ee verschillende (gew one, handgeschreven) handteke ningen heeft. Toch zou het niet onlogisch zijn om onder een w erkopdracht een andere handtekening te zetten dan onder een aanvraag v oor zeg een n ieu w paspoort o f een vergunning voor uitb o u w van h et eigen huis. D an zou ook in dat geval duidelijker zijn m et w elke pet op je je com m iteert. H et lijkt mij overigens dat iedereen zich er bij het ondertekenen op een o f ander niveau w el van bew ust is o f de eigen handtekening ‘zak elijk ’ gebruikt w ordt, o f puur ‘p riv e ’, o f als secretaris van de locale paddenclub, o f in w elke rol dan ook. E en van de aardige aspecten van digitale handtekening is dat je dat onderscheid heel goed kunt m aken. Je hebt er sim pelw eg verschillende sleutelparen v oor nodig: een voor op het w erk, en een als ouder, en m ogelijk nog een zeg als bezorgde (m oge lijk anoniem e) inw oner van je eigen stad voor het ondertekenen van petities. In feite kun je zo veel sleutelparen verzam elen als je wil: een v oor iedere rol die je v oor j e z e lf bedenkt. Je k unt voor ieder sleutelpaar/rol/levenssfeer dan een aparte chipkaart gebruiken. A ls dit gebruik van m eerdere handtekeningen b red e r ingeburgerd raakt verschijnen er ongetw ijfeld handige apparaatjes o f program m aatjes (bijvoorbeeld voor handcom puters o f m ultifunctionele G S M s) w aarm ee je eenvoudig kunt selecteren w e l ke handtekening in een bepaalde situatie gezet m oet w orden. Is dit gebruik van m eerdere handtekeningen lastig, o f ju is t niet? H e t lijkt mij w el handig en verhelderend, m aar ook iets w aar w e even aan m oeten w ennen, net zo als w e even m oeten w ennen aan het gebruik van m eerdere em ail adressen o f m eerde-
8. Digitale handtekeningen
45
re G S M s— v oor w erk o f prive, o f voor bellen m et ouders o f m et vrienden. Vooral dat laatste onderscheid kan heel verschillende rollen en gedragingen betreffen. Z ulke afba keningen scheppen duidelijkheid en s te lle n je in staat om verschillende rollen m et tec h nische m iddelen te scheiden. D o o r de bijbehorende versleutelingsm ogelijkheden kun je de verschillende gegevens die bij je verschillende levenssferen/rollen/sleutelparen horen ieder op een eigen m anier versleutelen. D it kom t de privacy— in de vorm van het scheiden van rollen en gegevens— ten goede. D o o r deze nauw e koppeling tussen rollen en sleutelparen bestaat zelfs de neiging de tw ee te identificeren. H ier zien w e een voorbeeld w aar m oderne IC T kan bijdragen aan pluriform iteit, en ook standaard sociale patronen (m eerdere gescheiden rollen per persoon, zie H o o fd stuk 6) kan ondersteunen. Techniek hoeft niet alleen uniform iserend en controlerend te w erken. M aar dan m oeten w e die m ogelijkheden w el herkennen, w illen realiseren en ons enigszins w illen inspannen om ze ons eigen te m aken. W e zijn er allem aal redelijk van overtuigd dat er technisch veel m ogelijk is om m ensen in de gaten te houden. M aar er zijn ook veel technische (cryptografische) m ogelijkheden om identiteiten te bescherm en. Z o zijn er allerlei variaties van digitale handtekeningen, zoals: • ‘B linde han d tek en in g en ’, waarbij een autoriteit een digitale handtekening zet zonder te w eten w aaronder. D a t is vergelijkbaar m et iets bij een notaris in ver zekerde bew aring afgeven zonder dat de notaris w eet w at het is. Z ulke hand tekening w orden bijvoorbeeld gebruikt voor anoniem digitaal geld, waarbij een ban k een digitaal genum m erd b iljet ondertekent zonder het nu m m er te kennen— en dus zonder h et gebruik ervan te kunnen volgen. • ‘G roepshandtekeningen’, waarbij er een publieke sleutel kan dienen voor een groep van m ensen, ieder m et een bijbehorende eigen geheim e sleutel. Z o kunnen bijvoorbeeld een aantal w erknem ers van een b e d rijf ieder afzonderlijk nam ens hun b e d rijf tekenen zonder hun eigen identiteit bekend te hoeven m aken. D er gelijke m echanism en kunnen gebruikt w orden om aan te tonen dat je bepaalde groepsrechten hebt, op basis van authenticatie als groepslid, en niet als individu. D at kan privacy en persoonlijke veiligheid ten goede kom en. E r zijn nad er onderzoek en nadere experim enten nodig om dergelijke innovatieve tec h nieken praktisch nuttig en com m ercieel aantrekkelijk te m aken. M aar bovenal is er een politieke en m aatschappelijke wil voor nodig.
46
D eel I I I
Hoofdstuk 9 Identiteitsfraude en attribuutfraude E en tijd geleden zaten een m iddag lang een aantal onbekende hangjongeren op h et hek v oor ons huis luidruchtig te praten en te roken. O p een gegeven m om ent w as m ijn vrouw het zat en stuurde ze w eg. P rom pt w erden er een aantal g ro te p izz a ’s aan de deur bezorgd. Z e heeft gew eigerd die p izz a ’s aan te nem en, ondanks aandringen van de bezorger die als argum ent gebruikte dat het adres klopte. H et onderliggende issue is dat de pizza service slechts gebruik m aakt van identificatie (het adres), m aar niet van authenticatie (bew ijs van identiteit). D aardoor w orden bepaalde bed rijfsrisico ’s gelopen. K ennelijk zijn die acceptabel w ant dit m odel w ordt al ja re n gehanteerd. D e hangjongeren m aakten zich schuldig aan identiteitsfraude: ze deden zich voor als een ander, nam elijk als iem and die w oonde op ons adres, en plaatsten vanuit die aangenom en identiteit een bestelling. D e negatieve gevolgen daarvan zijn m eestal voor degene m et de w are identiteit. In dit pizza-verhaal lag de last en de financiele schade niet echt bij ons, m aar vooral bij de pizzabakker. Identiteitsfraude is van alle tijden. Ik herinner m e van v ro eg er dat een onpopu laire persoon in de buurt ooit een com plete encyclopedie thuisbezorgd kreeg. R ijden m et valse kentekenplaten is ook een voorbeeld, o f het tonen van een vervalst paspoort. Z elfs in de gevangenissen kom t het opvallend vaak voor— to t m eer dan 5% w ordt w el g en o em d 1— dat iem and anders dan de veroordeelde de stra f uitzit. In ons digitale tijdperk is identiteitsfraude echter een veel ernstiger probleem gew orden. Bij com m u nicatie via digitale netw erken w e e tje nu eenm aal in principe niet w ie er aan de andere kant van de lijn zit, w aardoor de m ogelijkheden to t m isbruik groter zijn. Ik ken geen N ederlandse cijfers, m aar in de V erenigde Staten is identiteitsfraude de snelst stijgen de vorm van m isdaad. H et gaat dan bijvoorbeeld om online fraude v ia credit card o f so c ia l se c u rity num m ers2. B reed gebruik van ons B S N n odigt er ook toe uit. Bij identiteitsfraude slaagt een ander erin zich als jo u v o o r te doen, m et alle verve 1Zie: Jan Grijpink, Identiteitsfraude en Overheid. Justiele Verkenningen 7, 2006 (ihb. p. 45), be schikbaar via www. w odc . n l . 2Zie bijvoorbeeld de Amerikaanse en Engelse websites www. c o n s u m e r . g o v / i d t h e f t en www. i d e n t i t y - t h e f t . o r g . uk. Maar ook in Nederland krijgt het onderwerp langzaamaan meer aandacht.
48
Deel III
lende consequenties vandien. Identificatie als jo u is vaak niet zo m oeilijk in situaties w aarin alleen een naam o f een naam plus adres o f geboortedatum o f B S N vereist is. A uthenticatie is w at identiteitsfraude m oet voorkom en, bijvoorbeeld v ia een h an d te kening, P IN o f paspoort. N ie t al die m iddelen zijn echter geschikt v oor gebruik via netw erken. D aarbij w orden bij authenticatie m eestal gegevens gevraagd die bij jo u specifiek horen, zoals een w achtw oord, o f een gegeven dat b ijn a niem and anders w eet, zoals de m eisjesnaam van je m oeder. A uthenticatie op basis van z o ’n ‘g eh eim ’ is niet zo sterk, zeker niet op de lange term ijn: w anneer u overal de m eisjesnaam van uw m oeder m oet noem en raakt die naam steeds breder bekend w aard o o r het risico to e neem t dat iem and anders die achternaam een keer m isbruikt om zich onterecht als u v oor te doen. H ierbij hanteer ik overigens de traditionele aannam e dat u de achternaam van u w vader draagt. E r w orden echter steeds m eer gegevens die eigen aan ons zijn opgeslagen in cen trale databanken. Al die gegevens zouden m isbruikt kunnen w orden voor identiteits fraude. Veel van die databanken hangen aan het internet, w aardoor ze k w etsbaar zijn v oor elektronische inbraken. W e kennen allem aal de verhalen van hackers die b in nengedrongen zijn in databanken m et credit card num m ers o f inloggegevens. O ok door slordigheid w orden zulke databanken som s verkeerd aan het internet gekoppeld w aardoor veel te veel gegevens toegankelijk zijn. M isbruik door insiders w ordt vaak onderschat, m aar kom t in de praktijk vaker v oor dan m isbruik door outsiders. H e t internet heeft identiteitsfraude dus verergerd, niet alleen om dat authenticatie lastiger is, m aar ook om dat m eer persoonlijke gegevens (bedoeld o f onbedoeld) to e gankelijk zijn v ia identiteiten. D aarnaast kan een eenm aal gestolen identiteit vaak v oor m eerdere doeleinden m isbruikt w orden, w aarbij de d a d e r anoniem en veilig op afstand zit. D o o r system atisch te googlen kun je veel over iem and te w eten kom en, en je daarm ee m akkelijker als die persoon voordoen. O ok door gew iekst, charm ant, o f aandringend v ia telefoon o f em ail, m ogelijk reeds onder een andere naam , door te vragen kun je vaak veel inform atie oneigenlijk bem achtigen. D e term die daarvoor in de beveiligingsw ereld gebruikt w ordt is so c ia l engineering. D e bekende (voorm ali ge) hacker K evin M itn ick bew eert m eer gevoelige inform atie te hebben verkregen via so c ia l en g in eerin g dan v ia inbraken. W e staan dus bloot aan steeds grotere gevaren m et betrekking tot onze identiteit. W at kunnen w e daar z e lf aan doen? D e eerste regel is en blijft: nooit m eer gegevens over je z e lf w eggeven dan strikt noodzakelijk is. W at anderen niet w eten kunnen ze ook niet m isbruiken. E en tw eede regel is: achterdochtig zijn. W eet ik w el zeker dat degene die ik aan de lijn heb is w ie hij zegt te zijn? En: als je al persoonsgegevens w eggeeft, controleer dan eerst goed o f je w el m et de ju iste partij te m ak en hebt, bijvoorbeeld via het eerdergenoem de slotje in je w ebbrow ser. O p de langere term ijn kunnen w e ook ijveren voor het invoeren van een veiliger, m eer gedecentraliseerd b eh eer van identi teiten, in de politiek, v ia de pers en publieke opinie en ook in het bedrijfsleven: vote with y o u r dollars, zoals de A m erikanen zeggen; niet kopen en niet gebruiken w a t je niet vertrouw t. E n w at kunnen de organisaties doen die dit soort system en v o o r het b eh eer van
9. Identiteitsfraude en attribuutfraude
49
identiteiten (voor id e n tity m anagem ent, in het engels) inrichten en beheren? H ier zie je tw ee tegengestelde strategieen: identiteiten m eer o f ju is t m inder gebruiken. D e eerste lijn is gericht op intensiever en m eer gecontroleerd gebruik van identi teiten: sterkere authenticatie, m eer m onitoring en controle, en vaak ook m eer centrali satie. D e achterliggende idee is om frontaal de strijd aan te gaan en de fraude echt te bestrijden. D it is een natuurlijke reflex (“w e pakken alle boeven op!” ), m aar het is een historisch gegeven dat zoiets nooit volledig lukt. O ok is h et zo dat w anneer je m eer (econom ische o f veiligheids-) w aarde gaat hechten aan authenticatie, identiteitsfraude zich ju is t m eer gaat lonen: w anneer m ensen veel vertrouw en h ebben in identiteitsdo cum enten is er m et een gefraudeerd docum ent dus ook m eer te bereiken. D e tw eede lijn is m eer gericht op preventie, en op het ‘id en titeitsarm ’ m aken van processen. W anneer identiteiten beperkt gebruikt w orden, loont fraude ook minder. Bij deze strategie w orden de risico ’s v oor individuen centraal gesteld. Voor veel or ganisaties is dit op een o f andere m anier niet de m eest v oor de handliggende w eg, w aarschijnlijk om dat het ze m inder additionele controle en m acht geeft over de b e trokken individuen (burgers, klanten). Toch is het deze aanpak m et gefragm enteerde deel-identiteiten die toegesneden zijn op een bepaalde rol o f taak die het beste lijkt aan te sluiten op de m anier w aarop m ensen in het dagelijkse leven m et elkaar om gaan, en die de basis vorm t voor onze op individuele autonom ie en verantw oordelijkheid gebaseerde sam enleving. Identiteitsfraude overstijgt het persoonlijke belang. V oorheen w as het zo dat het vooral je eigen verantw oordelijkheid w as om zorgvuldig m et je persoonsgegevens om te gaan. A ls jij er z e lf slordig m ee om gaat en daardoor z e lf b en ad eeld o f in verle genheid gebracht w ordt ben je z e lf een sukkel en heb je vooral z e lf een probleem . Identiteitsfraude is echter een groot m aatschappelijk probleem aan het w orden, niet alleen door de sterk gegroeide om vang m aar ook door de ernst v a n de m isdaden (cri m inaliteit, terrorism e) die erm ee sam enhangen. D aarm ee h e e ft de overheid er alle belang bij dat m ensen over adekw ate m iddelen en rechten (en h et bijbehorende besef) beschikken om hun persoonsgegevens te bescherm en. O nderdeel daarvan is dat m en sen z e lf effectief kunnen vaststellen m et w ie o f w at ze te m aken hebben voordat ze gegevens overdragen: bij gevoelige transacties hoort de om geving zich dan ook eerst te authenticeren. D eze ‘g ouden reg el’ zagen w e al eerder, in H oo fd stu k 4.
A ttr ib u u tf r a u d e A ls individu w ordt je dagelijks geconfronteerd m et form ulieren w aarin om persoon lijke inform atie gevraagd w ordt, m eestal om een o f andere d ien st o f product te ver krijgen. D aarbij is het vaak niet eenvoudig om z e lf u it te m aken w elke inform atie strikt noodzakelijk is v oor de gew enste dienst. Bij het aanvragen van een kortings kaart voor de N ederlandse Spoorw egen (N S) w ordt b ijvoorbeeld de geboortedatum en het geslacht gevraagd. W aarom eigenlijk? Vaak w ordt er o o k geen onderscheid gem aakt tussen inform atie die noodzakelijk is voor de gevraagde dienst en inform atie die slechts g ebruikt w ordt om een profiel van de klant op te kunnen stellen (en daarm ee
50
Deel III
v oor m arketing doeleinden). Z odra ik het gevoel krijg dat h e t om profileringsvragen gaat vul ik onsam enhangende onzin in3. D e enige effectieve m ogelijkheid van verdediging tegen dit soort praktijken is w at ik ‘attribuutfraude’ w il noem en: het bew ust verstrekken v an gedeeltelijk onjuiste g e gevens, m aar op zodanige w ijze dat de gew enste dienst w el toegekend w ordt. O p de universiteit heb ik bij een college eens aan de aanw ezige studenten (een zestigtal) g e vraagd w ie er een hotm ail account had: bijna iedereen. E n ook w ie er bij h et aanvragen daarvan alle gevraagde inform atie correct had opgegeven: b ijn a niem and! G rote databanken m et klantgegevens zitten dus vol m et fouten, zeker w anneer klan ten z e lf een deel van de gegevens kunnen opgeven. H ierdoor w ordt de bruikbaarheid van zulke databanken ernstig aangetast: de conclusies die erop gebaseerd w orden zijn dus niet volledig betrouw baar. H et centralistische m odel heeft zijn beperkingen, sim pelw eg om dat de m enselijke m aat ontbreekt en de individuen om w ie het gaat er vaak geen vertrouw en in hebben. C entralisatie leidt to t vervreem ding. In een m eer g ed e centraliseerde opzet waarbij m ensen hun eigen gegevens m akkelijk kunnen beheren en controleren is individuele betrokkenheid— m et b ijbehorende bereidheid to t het g e bruiken van ju iste gegevens— een stuk groter en is de m ate van vervreem ding teg en over ‘h et systeem ’ navenant geringer. W anneer individuen d o o r organisaties— o f door zichzelf, in toenem ende zelfgerichtheid— w erkelijk serieus genom en w orden vorm t personalisatie v ia decentraal gegevensbeheer de natuurlijke weg.
3Mijn favoriete geboortedatum is iets als 29 feb. 1950, maar helaas zijn de meeste hedendaagse systemen zo slim om na te gaan dat dit geen bestaande datum is. Ik probeer het toch vaak. Bij de NS verwacht ik binnenkort een aanbieding voor een seniorenkaart. Dit is bij mij een melige sport geworden.
Hoofdstuk 10 Bonnetjes, zegeltjes en bonuspunten Stel ik ga naar de bioscoop o f naar het th eater en g e e f bij de garderobe m ijn ja s af. M eestal w erkt het dan zo dat ik een eenvoudig genum m erd bonnetje krijg w aarm ee ik aan het einde van de avond m ijn ja s w eer terug kan krijgen. D it systeem is anoniem , w ant aan de garderobe w eet m en niet w ie ik ben. M isschien onthoudt de gardero b edam e w el iets persoonlijks van m ij— die m an m et die versleten ja s en charm ante glim lach— m aar daar krijg ik m ijn eigendom w aarschijnlijk n iet m ee terug. Voor de w erking van het systeem is het ook helem aal niet nodig dat ik mij m et naam en to e naam identificeer. H e t genum m erde bonnetje is in principe genoeg. H et b epaalt m ijn ‘tijdelijke garderobe-identiteit’. D it bonnetjessysteem is natuurlijk niet erg veilig. M eestal w ordt er een boekje m et standaard gekleurde bonnetjes gebruikt van het soort dat overal verkrijgbaar is. Ik zou bijvoorbeeld z e lf z o ’n boekje kunnen kopen, en dan aan het eind van een bijzondere balletvoorstelling snel m et een paar eigen bonnetjes naar de garderobe kunnen rennen in de hoop er m et een paar dure bontjassen vandoor te kunnen gaan, voordat de recht m atige eigenaren verschijnen. H et onderliggende probleem is dat de echtheid (ofw el integriteit en authenticiteit) van de bonnetjes niet o f nauw elijks gegarandeerd is. Toch w erkt het systeem in de praktijk redelijk. E r is kennelijk voldoende onderling vertrou w en om een dergelijk rela tie f zw ak systeem naar behoren te laten functioneren. H eeft u ooit over zulke risico ’s nagedacht bij het afgeven van u w ja s? N atuurlijk zijn er v eiliger versies te bedenken. M en zou speciaal gedrukte b o n n e tjes kunnen gebruiken die niet overal verkrijgbaar zijn en o o k m oeilijker nagem aakt kunnen w orden. O ok zou m en bonnetjes m et grotere getallen (in w illekeurige volgor de) kunnen gebruiken, bijvoorbeeld m et v ijf cijfers. D e kans dat het num m er op m ijn nepbonnetje ook daadw erkelijk gebruikt w ordt op de avond w aarop ik to esla is dan een stuk kleiner. O ok kan gevraagd w orden o f de brenger van een ja s een handtekening zet op het bonnetje dat op de ja s achterblijft in de garderobe. Bij het ophalen dient dan ook een handtekening g ezet te w orden ter controle. M en kan h e t ook in de techniek zoeken en bijvoorbeeld bij het afgeven van de ja s een v in g er op een vingerafdruklezer laten leggen. E en com puter kan dan aan de vingerafdruk een plaats op de kapstok koppelen, w aar de ja s door het garderobepersoneel o pgehangen w ordt. E r zijn dan
52
Deel III
geen bonnetjes nodig, w aardoor het risico van het kw ijtraken van het bonnetje vervalt. Bij het ophalen h oeft slechts de v in g er opnieuw op de lezer geplaatst te w orden, zodat de com puter na herkenning de bijbehorende plek aan het personeel kan tonen. Som m ige m ensen zouden zoiets prachtig vinden, terw ijl anderen gruw en bij een dergelijk gebruik van biom etrie (alw eer m ijn vingerafdruk afgeven; w a t gebeurt erm ee?). En natuurlijk introduceren zulke technieken w e e r nieuw e ris ic o ’s, bijvoorbeeld op chaos bij uitval. H oe dan ook, w e hebben het hier over oplossingen v o o r een niet bestaand probleem . E en tijdelijke deel-identiteit is voldoende voor een systeem w aar iedereen al ja re n m ee bekend is en naar tevredenheid gebruik van m aakt. Voor veel situaties zijn zw akke identiteiten inderdaad voldoende. W anneer ik een nieuw strijkijzer koop w il ik graag een garantiebew ijs. D aarv o o r h oeft de w inkelier mij niet persoonlijk te kennen. H e t is voldoende dat hij mij een volgende keer herkent als iem and die eerder (binnen de garantieterm ijn) een strij kijzer gekocht heeft. M eestal w ordt zoiets geregeld v ia een fysiek garantiebew ijs m et een datum stem pel. W anneer de w inkelier toch vraagt om bijvoorbeeld naam en adres op te geven heeft dat in p rin cipe niets te m aken m et garantie, m aar alles m et m arketing: m en w il de klant kennen om een profiel op te bouw en zodat reclam e b eter gericht kan w orden. N u kunt u zich er m isschien niet zo heel erg druk over m aken o f u nu w el o f niet als strijkijzerkoper te bo ek kom t te staan. M aar m isschien m aak t dat w el w at u it als het gaat om prozac, viagra o f aam beienzalf. W anneer m ijn aankoop via het w eb plaatsvindt zou een garantiebew ijs kunnen b e staan u it een garantieverklaring m et een datum , w aaronder d e w ebw inkelier een digi tale handtekening gezet heeft. O ok daarvoor is m ijn iden titeit niet nodig. N atuurlijk heeft de leverancier w el m ijn adres nodig. In som m ige gevallen is een garantiebew ijs persoonsgebonden en niet overdraagbaar. In dat geval zou h e t bew ijs aan een tijdelijke identiteit van mij gebonden kunnen w orden, net als een garderobebonnetje m et han d tekening. Ik m oet die tijdelijke identiteit natuurlijk w el bew aren, v oor eventueel later gebruik w anneer ik de garantie nodig heb. Z e g e ltje s N ederlanders krijgen som s het verw ijt een k ru ideniersm entaliteit te hebben. Z eker is dat kruideniers in N ederland de m entaliteit van hun klanten goed kennen, en w eten dat ze nergens zo enthousiast v oor te krijgen zijn als v oor zegeltjesacties. Voor onbenullige voordeeltjes verspillen m ensen hun eigen kostbare tijd en m oeite om boekjes vol te plakken en laten ze zich gedw ee binden aan een bepaalde grutter. Toch is het de m oeite w aard om zegeltjes vanuit iden titeitsp ersp ectief nader te b e schouw en. Z egeltjes zijn anoniem , en daarm ee m akkelijk overdraagbaar, zoals bekend u it schaam teloze verzoeken aan de kassa: “ Oh, m ag ik dan u w zegeltjes?” . O ok b e schrijven zegeltjes het gedrag van de klant m aar in beperkte m ate: ze w orden typisch toegekend op basis van de hoogte van h et aankoopbedrag, en n iet op basis van de aard van de aankoop. W el vertegenw oordigen zegeltjes een b epaalde w aarde, zij het m in i m aal. D ie w aarde is in feite zo gering dat w aarschijnlijk niem and het in zijn hoofd zal
10. B o n n e tje s, z e g eltje s en b o n u s p u n te n
53
halen om nepzegeltjes te gaan m aken. Z egeltjes zijn dus w el w aardepapieren w aarvan de echtheid in principe van belang is. O ok interessant is dat zegeltjes aan de klanten z e lf in b eh eer gegeven w orden. E r is sprake van een gedecentraliseerd systeem . D e kruidenier zou ook tegen de klant kunnen zeggen: ik beh eer uw zegels w el centraal, en laat w el w eten w anneer u w kaart vol is. M aar z o ’n k ruidenier is natuurlijk wijzer, en laat het dom m e plakw erk aan anderen over. H e t dum pen van w e rk (en risico ’s) op klanten is een beproefde com m erciele strategie, die bijvoorbeeld ook aan de basis ligt van internetbankieren o f elektronische aangifte. B o n u s p u n te n V ia zegeltjes probeert de w inkelier de klant te binden, m aar leert de w inkelier de klant n iet kennen. W aarom zou een w inkelier mij als klant eigenlijk w illen kennen? D e basis van onze com m erciele om gang is dat zij levert en ik betaal. Z olang ik dat doe h eeft een w inkelier toch v erder niks m et mij te m aken? W esterse tolerantie is v oor een groot deel hierop gebaseerd. M aar een w inkelier w il w el dat ik terugkom en dan w e e r w at koop. Zij w il mij naar de w inkel lokken en zodra ik binnen ben zodanig b enaderen dat ik enthousiast m ijn geld uitgeef. A llerlei ‘direct m ark etin g ’ technieken w orden toegepast om ervoor te zorgen dat ik bij de kassa m ijn portem onnaie helem aal om keer. W at lijkt te w er ken is het persoonlijk benaderen van klanten, bijvoorbeeld m et popie begroetingen als: “H oi Bart, leuk je w eer te zien; wij hebben vandaag speciaal v o o r jo u iets in de aan bieding. G ezien je eerdere aankopen heb j e daar vast en zeker behoefte aan.” Bij z o ’n w elkom stboodschap sta ik z e lf direct w eer buiten, m aar in h e t algem een schijnt het te w erken. D e online boekw inkel A m azon m aakt ook uitgebreid gebruik van zulke technieken. W aar het hierbij op neerkom t is om profielen van klanten op te stellen, zodat ze g erichter en persoonlijker benaderd kunnen w orden: w an n eer b lijk t dat u de pil niet m eer koopt w ordt u b estookt m et advertenties voor luiers. Som s gaat dat m is, b ij voorbeeld bij aanvang van de overgang, m aar com m erciele profielen hoeven ook niet honderd procent te kloppen. D e klanten w orden in een aantal categorieen ingedeeld, zoals bijvoorbeeld w el o f niet m et kinderen, vleesetend, koopjesjager, enzovoort. M aar hoe herkent een w inkelier u eigenlijk? D aarvoor laat zij u geheel vrijw illig rondlopen m et een identiteitskaart, de zogenaam de bonuskaart. D e m otivatie om z o ’n kaart m ee te nem en en bij iedere aankoop te tonen is een financiele: ofw el u krijgt enige korting bij de kassa, en dan vaak alleen op zaken w aar de w inkelier sow ieso van w il, ofw el u kunt bonuspunten sparen voor korting elders, bijvoorbeeld bij een attrac tiepark. Bij het scannen van de bonuskaart aan de k assa w orden de aankopen centraal opgeslagen onder het num m er van u w bonuskaart. Op basis van die geschiedenis van aankopen w ordt er een profiel van u opgesteld. E en w in-w in situatie: de w inkelier kan gerichter adverteren— ongericht adverteren is duurder en m inder effectief— en kan het assortim ent g erich ter kw ijtraken; de klant w ordt persoonlijk en service-gericht benaderd— en krijgt o o k nog eens korting. D at
54
Deel III
laatste is trouw ens tw ijfelachtig, w ant de w inkeliers zo uden ook zonder bonuskaarten kunnen w erken en alle prijzen iets verlagen. M aar daar gaat h e t nu niet om. M aar ondertussen zijn er w el enorm e centrale databanken m et klantprofielen. H et gaat daarbij om privacygevoelige gegevens, w aardoor w inkeliers volgens de W et B e scherm ing P ersoonsgegevens aan strenge eisen m oeten voldoen m et betrekking tot b eh eer en beveiliging. D at brengt extra kosten en risico ’s m et zich m ee. O nder de klanten bestaat ook een zekere ongem akkelijkheid over deze grootschalige opslag en profilering. N ie t iedereen is ervan gecharm eerd dat alle aankopen (in clu sief bijvoor beeld gevoelige m edische zaken) geregistreerd en bew aard w orden, en m ogelijk ooit ergens naar boven kom en en to t een ongem akkelijke confrontatie kunnen leiden. Ver der zijn er m ensen (zoals schrijver dezes) die w el de bonuskorting w illen, m aar niet de registratie van gegevens, en daarom zoveel m ogelijk saboteren, bijvoorbeeld door regelm atig m et anderen van bonuskaart te w isselen. D e betrouw baarheid (en dus ook de bruikbaarheid) van de gegevens in de databanken is dus tw ijfelachtig. Z e g e ltje sp ro fie le n Op basis van het voorafgaande zou je m ogelijk het beste van zegeltjes en bonuspunten w illen com bineren: laat de klant z e lf het eigen profiel bijhouden, a lso f het om zegel tjes ging. L aat de klant z e lf gepersonaliseerde zegeltjes plakken die recht geven op korting w anneer de w inkelier het zegeltjesboekje in de w inkel in m ag zien— en op b a sis daarvan persoonsgerichte aanbiedingen kan doen. H ierm ee kunnen w inkeliers pas echt m oeite en risico ’s dum pen. Z o ’n decentrale benadering lijkt veel voordelen te hebben, m aar vereist w el m eer infrastructuur. K lan ten m oeten een uitgebreidere k lantenkaart (m et geheugen) hebben, o f ruim te ter beschikking stellen op G S M o f handcom puter om de eigen profielen op te slaan. T echnisch hoeft het geen probleem te zijn. D e integriteit en authenticiteit van de bij de klant opgeslagen profielen kan m et een digitale handtekening van de w in kelier gegarandeerd w orden. K lan ten zullen zich m eer op hun gem ak voelen om dat ze m eer controle hebben over hun eigen gegevens. D it b eh eer v ereist een intuitieve interface, m et begrijpelijke standaardinstellingen. Je k u n t je er allerlei extra m ogelijk heden bij voorstellen, bijvoorbeeld hoe verder het profiel teru g g aat in de geschiedenis, hoe groter de korting. D a t m otiveert m ensen om lang m ee te doen. Je zou m ensen ook de m ogelijkheid kunnen bieden om bepaalde aankopen u it hun eigen profiel te verw ijderen— bijvoorbeeld de com binatie van P la y b o y en doos tissues. D at is pas per soonsgerichte service, uitgaande van vertrouw en in en resp ect v oor de klant. E en dergelijke benadering verschilt hem elsbreed van w at ik ‘S tasi’ autom atisering zou w illen noem en: schiet iedere klant een chip in de nek, volg alle bew egingen en handelingen door de hele w inkel en sla die tezam en m et de aankopen op in de centrale databank. W aar kiezen w e voor?
Hoofdstuk 11 Identiteiten en attributen W e hebben in het vorige hoofdstuk gezien dat identiteiten lang niet altijd nodig zijn om een transactie u it te kunnen voeren. Vaak is het genoeg om een aantal eigen schappen (attributen) van betrokkenen te kennen. Volgens de N ederlandse w et m ag bijvoorbeeld geen alcoholhoudende drank verkocht w orden aan jo n g ere n onder de 16 ja a r en geen sterke drank aan jo n g ere n onder de 18. W ie dat to c h verkoopt is strafbaar. W inkeliers kunnen daarom om een persoonsbew ijs, zoals identiteitskaart, paspoort o f rijbew ijs vragen. Z o ’n bew ijs geeft echter veel te veel inform atie. W anneer je het nieuw e biom etrische paspoort aan een w inkelier geeft kan hij het volledig uitlezen, en daarm ee niet alleen je geboortedatum , m aar ook je naam , B S N etcetera in zijn com puter opnem en, com pleet m et digitale foto. D at is natuurlijk handig v oor een goed elektronisch klantenbestand, m aar buiten proportie voor de (w ettigheid van de) tran s actie w aar het eigenlijk om gaat. D a a r is slechts ‘lee ftijd s’ authenticatie v oor nodig, v ia een soort onderhandelingsproces waarbij de betrokkene controle houdt over w at er allem aal overgedragen wordt. W at je in z o ’n situatie, zeker in de online w ereld, zou w illen hebben is een geautori seerde m inim ale verklaring van de vorm “ de persoon die v oor u staat is ouder dan 18” . W ie die persoon verder is doet er niet toe. Z o ’n verklaring z o u digitaal ondertekend kunnen w orden door de gem eente, en toegezonden op het m om ent dat een in gezete ne de 18-jarige leeftijd bereikt. Z o ’n verklaring heet een attribuutcertificaat, o f ook w el credential. E en attribuutcertificaat is anders dan een identiteitscertificaat (zoals besproken in H o ofdstuk 8) om dat er geen koppeling w ordt gelegd tussen een identiteit en een publieke sleutel, m aar tussen een o f m eerdere eigenschappen (attributen) en z o ’n sleutel. E en ander voorbeeld. D e v uilnisstort in m ijn gem eente is alleen toegankelijk voor de eigen inw oners. Iedereen begrijpt dat. W anneer ik afval w egbreng w ap p er ik even m et m ijn rijbewij s. E r w ordt dan vluchtig gecontroleerd, m a a r niets bijgehouden. E c h ter, ‘digitaal w ap p eren ’ bestaat niet. W anneer je niet alle gegevens van je digitale identiteitsdocum ent a f w il geven heb je een attribuutcertificaat nodig, zoals bijvoor beeld ‘inw oner van N ijm e g e n ’. D a t is precies genoeg voor de vuilnisstort, m aar m o gelijk ook voor bepaalde andere diensten op de w ebstek van de gem eente. Je kunt je
56
Deel III
voorstellen dat gem eenten hun inw oners een setje digitale attribuutcertificaten geven, bijvoorbeeld w anneer ze de achtienjarige leeftijd bereiken. D aarm ee kunnen de inw o ners adequaat van allerlei diensten gebruik m aken, zonder d at ze direct het risico lopen b lo o t gesteld te w orden aan identiteitsfraude: w anneer ik alleen een paar relevante at tributen toon zonder m ijn identiteit prijs te geven kan een kw aadw illende zich daarm ee ook niet als mij voordoen. H e t onderliggende issue is dat autorisatie goed geregeld k an w orden zonder iden tificatie. U it de voorbeelden b lijkt dat autorisaties gegeven kunnen w orden op basis van attributen o f rollen. D e kapitein van een schip is bijvoorbeeld gem achtigd een aantal handelingen te verrichten (o f te bevelen), los van w ie toevallig die kapitein is. N atuurlijk m oet die “toevallige” persoon die bew eert kap itein te zijn dat w el kunnen bew ijzen. E r is inm iddels een eigen naam , nam elijk ro le-b a sed a ccess control, voor deze ziens- en w erk-w ijze. E r is hierbij nog w el een subtiel technisch p unt dat enige aandacht verdient: w an neer ik overal hetzelfde attribuutcertificaat laat zien kan ik toch v ia de bijbehorende publieke sleutel getraceerd w orden. E r kan echter m et tech n isch e m iddelen voor g e zorgd w orden dat die attribuutcertificaten er iedere keer ie ts anders uitzien, ook al tonen ze hetzelfde attribuut. O ok kan m et zogenaam de blindering en zero know ledge technieken gew erkt w orden, waarbij geen identificerende inform atie m et het attribuut w eggegeven wordt. N u identiteitsfraude steeds ontw richtender vorm en aan b e g in t te nem en en grote op identiteiten gebaseerde databanken steeds m eer O rw elliaanse scenario’s m ogelijk m aken is de tijd m isschien rijp om op attribuutcertificaten gebaseerde interactie en dienstverlening serieus te nem en en te realiseren.
Hoofdstuk 12 Gegevens en policies In de digitale w ereld w aarin w e leven produceren wij als individuen steeds m eer digi tale sporen: betalingen, telefoontjes, reizen, bellen, m ailen, surfen enzovoort. Steeds m eer van onze gedragingen laten een stroom aan gegevens na. Veel handelingen en diensten die vroeger anoniem plaatsvonden zijn nu zodanig gereorganiseerd dat ze zonder identiteit van de klant niet m eer m ogelijk zijn, ook w anneer dat strikt genom en helem aal niet n odig is. K ontant betalen w ordt steeds m eer vervangen door betalen m et pinpas o f credit card. Treinkaartjes w orden vervangen door een O V -chipkaart. N ie u w ere vorm en van T V vorm en een soortgelijke voorbeelden (zie hieronder). Typisch w orden dergelijke digitale sporen opgeslagen in grote centrale databanken. T raditioneel w orden door T V -m asten alle kanalen uitgezonden, w aarvan jij als k ij k er er dan een m et een antenne u it de lucht oppikt. A an de versturende kan t hebben ze er in dit b roadcast m odel geen idee van w aar jij naar zit te kijken. M eer recente abbonnem enten v oor digitale televisie zijn typisch gebaseerd op een heel ander m odel, dat client-server genoem d wordt. Jij v raag t als kijker (client) aan de aanbieder (server) om een bepaald program m a te bekijken. D at program m a w ordt vervolgens aan jo u gericht verstuurd. P lotseling w eet de versturende kant precies w aarn aar jij zit te kijken. E en m ogelijk gevolg is dat w anneer jij bijvoorbeeld tw ee pornofilm s gekeken hebt er een paar dagen later een uitnoding in je brievenbus valt v oor een locaal SM -festival. Is dat erg? Je kunt het zien als een vorm van service verlening. M aar het geeft veel m ensen denk ik toch een ongem akkelijk gevoel. N o g m eer sensors op je lijf! E n nog m eer per soonlijke risico ’s w anneer gegevens uitlekken (bew ust o f d oor nalatigheid) o f gebruikt w orden v oor chantage. Ik kan m e voorstellen dat het toch enige rim pelingen— o f op z ’n m inst ongem akkelijkheid— veroorzaakt w anneer b lijkt d at de plaatselijke dom inee o f k leu terju f ’s avonds laat ooit w el eens naar een opw indende film kijkt— m isschien w el m et hom o-erotische scenes! E r zijn vast ook periodieken die er heel w at voor over hebben (aan geld o f m oeite) om het kijkgedrag van de koningin in handen te krijgen. O ok dat zal ergens besch ik b aar zijn. M o et de koningin— o f een w illekeurig andere publieke figuur— dan m aar geen digitale T V nem en? O f m oet zij m aar zo goed le ren oppassen dat zij m et haar kijkgedrag n ooit gecom prom itteerd kan w orden? O f m oeten w e iets b eter gaan nadenken over hoe w e dit soort zaken w illen structureren?
58
Deel III
W aarschijnlijk kan de koningin w el v ia een o f ander pseudoniem een abonnem ent op digitale T V nem en. M aar w aarom zouden u en ik dat dan niet ook kunnen? W illen wij dit gedrag eigenlijk allem aal w el vastleggen? Z o ja , w ie heeft er dan controle over? W e lopen daarbij altijd ook nog het risico dat een o f andere politicus ferm en stoer over w il kom en en gaat verkondigen dat het voor terrorism ebestrijding absoluut noodzakelijk is dat er een centrale databank kom t van T V -kijkgedrag o f van O V -verplaatsingen, w aar de overheid naar believen in m oet ku n n en rondsnuffelen. W ebsurfen is altijd al gebaseerd gew eest op het clien t-server m odel. Jo u w brow ser vraagt een w ebpagina op, die door de server naar jo u w c o m p u ter teruggestuurd w ordt. Jouw com puter is op het internet door de server terug te v in d en v ia een zogenaam de IP-adres. D e m eeste m ensen (o f gezinnen) hebben tegenw oordig een vast IP-adres, zo dat via dit adres al het surfgedrag v astgelegd kan w orden. D it kan op tw ee plaatsen. Je internet provider ziet al je internetverkeer (in clu sief em ail, chat, etc.) voorbijkom en, en w eet daarm ee in principe alles w at je doet. M aar ook alle verschillende servers op het internet die w eb p ag in a’s aanbieden kunnen de IP-adressen opslaan van iedereen die een w ebpagina opvraagt. O p z o ’n m anier kunnen bijvoorbeeld w e b ra d io ’s bestanden aanleggen van w ie w anneer w aar n aar luistert. O ok zijn er organisaties zoals double click die to t doel hebben om individueel surfgedrag via cookies in kaart te brengen om de resulterende profielen te verkopen. Sporen op het w eb w o rd en echter niet alleen v oor com m erciele doeleinden vastgelegd, m aar ook om veiligheidredenen. E r is al E uropese regelgeving om internetverkeersgegevens van alle 500 m iljoen E uropeanen v oor langere tijd vast te leggen, inderdaad, om w ille van de terrorism ebestrijding. E en centrale vraag is: van w ie zijn eigenlijk de digitale sporen die jij nalaat? H ier is geen eenvoudig antw oord op te geven, m aar ik m een dat veel m ensen gevoelsm a tig toch het idee hebben dat zulke gegevens vooral h e n z elf toebehoren en niet zozeer iem and anders. O pslag van zulke digitale sporen is vaak vereist om bepaalde diensten te kunnen bieden o f om a f te kunnen rekenen. M aar vaak ook w ordt er veel m ee r dan functio neel noodzakelijk is opgeslagen om w ille van profilering. H e t is altijd zinvol kritisch na te gaan o f die opslag gekoppeld m oet zijn aan expliciete identiteiten, o f dat ook een identiteitsarm e benadering m ogelijk is, bijvoorbeeld op basis van pseudoniem en o f attributen. W e kom en dan op het gebied van de zogenaam de P riv a c y E n h a n cin g Technologies (PETs). M aar m isschien is een m eer radicale om schakeling w el m oge lijk, waarbij de relevante gegevens ju is t niet centraal, m aa r decentraal en onder directe controle van betrokken individuen, opgeslagen wordt. M e d isc h e gegevens O ok in de m edische w ereld neem t digitalisering toe. D eze ontw ikkeling leidt bijvoor beeld to t snellere en preciezere diagnoses en to t betere controle bij de behandeling. O ok b ehoort m onitoring en behandeling op afstand steeds m eer to t de m ogelijkheden, w aardoor ouderen bijvoorbeeld langer en com fortabeler th u is kunnen blijven w onen. E r w ordt op dit m om ent al geexperim enteerd m et w oonom gevingen vol m edische sen-
12. Gegevens en policies
59
sors, w aardoor continue bew aking m ogelijk is. D it leidt tot een grote stroom privacy gevoelige m edische gegevens over je geestelijke en licham elijke toestand en gedragin gen, to t en m et de frequentie, om vang en sam enhangendheid van je ontlasting. D a t is dan niet m eer iets w a tje vertrouw elijk m et je huisarts bespreekt, m aar iets w at in digi tale vorm door netw erken flitst en rechtstreeks in je persoonlijke dossier in een grote databank kom t. Van w ie zijn al die m edische gegevens over jo u eigenlijk, en w ie zou er het beste de controle over kunnen hebben? O ok dit zijn fundam entele vragen, w aar niet zo snel een eenduidig antw oord op te geven is. D e N ederlandse w et kent b ew ust geen eigendom toe, noch aan de verantw oordelijke m edicus, noch aan de patient. In veel w esterse landen w ordt de laatste ja re n gew erkt aan elektronische p atienten dossiers (EPD s). D e bedoeling is om de efficientie te vergroten, zow el van het behandelproces als van de behandeling. D a t laatste kan doordat een arts via z o ’n dossier b eter m et collega’s com m uniceert en daardoor een b eter (historisch) overzicht heeft, w aardoor er (hopelijk) m inder fouten gem aakt w orden, b ijvoorbeeld m et betrekking to t m edicijnen die niet gecom bineerd kunnen w orden. O ok zou speciaal toegesneden softw are de dossiers periodiek kunnen controleren op zulke inconsistenties. D e invoering van z o ’n E P D is een gigantische organisatorische operatie, m ede om dat de m edische zorgverlening gefragm enteerd is in vaak klein e autonom e eilandjes die ieder hun eigen autom atiseringsbeleid voeren. O ok v ergt z o ’n E P D een redelijke m ate van overeenstem m ing over de form aten w aarin de gegevens verw erkt w orden. D eze issues zijn echter niet w aar het m e hier om te doen is. H oe zouden zulke E P D s georganiseerd en beheerd m oeten w orden? E en eerste naïeve gedachte is om alle E P D s in een centrale databank op te slaan. D it is niet verstandig, niet alleen om dat deze databank een onvoorstelbare hoeveelheid gegevens m oet kunnen bevatten en erg veel transacties m oet kunnen afhandelen, m aar ook om dat er een onaanvaardbaar bedrijfsrisico ontstaat: deze d atabank vorm t een sin g le p o in t o f failure. W anneer deze databank plat gaat kan er niem and in N ederland m eer m edisch behandeld w orden. D aarnaast vorm t deze ene databank een g ro o t privacy risico. E r zou m oedw illig geprobeerd kunnen w orden om de m edische gegevens van bijvoorbeeld bekende N ederlanders u it te lezen, o f zelfs te veranderen. E n aan de consequenties van eventueel ‘om vallen’ van z o ’n databank waarbij de inhoud op straat kom t te liggen w il je al helem aal niet denken. E en tw eede gedachte is om geen centrale databank, m aar w el een centrale ver w ijzingsindex op te zetten. D it is in feite w aar in N ederland voor gekozen is, onder de naam L andelijk Schakel Punt. D e m edische gegevens van mij blijven g efragm en teerd bestaan bij de verschillende behandelaars die ik b ezo ch t heb, m aar de centrale index bevat verw ijzingen naar al die losse brokjes die tezam en m ijn E PD vorm en. Via dit schakelpunt zijn alle losse onderdelen van m ijn dossier snel te vinden, waarbij de kw etsbaarheid van centrale opslag verm eden w ordt. Toch is er nog een derde m ogelijkheid: g e e f het E PD aan de betreffende persoon zelf. H et zijn tenslotte gegevens van die persoon zelf. In eerste instantie roept dit m isschien bevreem ding op, m aar de onderliggende gedachte is zeer redelijk: het E PD
60
Deel III
bevat zeer gevoelige en persoonlijke inform atie die m ak k elijk m isbruikt kan w orden en daarom m aar het b este aan m ensen z e lf in eigen b eh eer gegeven kan w orden. W anneer ik dan een arts b ezo ek g e e f ik de arts op dat m om ent (o f enige tijd tevoren) tijdelijk toegang tot m ijn dossier. D e arts voegt gedurende de b eh andeling nieuw e gegevens toe aan het dossier, uiteraard voorzien van de ju iste digitale handtekening om integriteit en authenticiteit te garanderen. Sinds enige ja re n gebruik ik een handcom puter (ofw el P ersonal D ig ita l A ssistant, o f PD A). In de adreslijst bij m ijn huisarts houd ik een apart b estan d je bij m et daarin m ijn eigen inform ele m edische dossier. N a ieder b ezoek n o teer ik de datum , m ijn klacht, en het advies van de huisarts. Bij een volgend b ezoek kan ik dan snel nazien w at (en w anneer) eerder besproken is. D it m ini-dossier h e e ft natuurlijk geen enkele officiele status. Ik vind het w el aangenaam en handig om z e lf een b eter overzicht te hebben. Is nu de suggestie dat het gehele m edische dossier m aar v erplaatst m oet w orden naar de eigen handcom puter (PD A ), laptop o f PC ? Ja en nee. W at w aarschijnlijk niet gew enst is dat individuele m edische dossiers bij m ensen thuis enkel op hun eigen PC s staan die m eestal voorzien zijn van onbetrouw bare co m puterprogram m a’s en besm et zijn m et allerlei soorten kw aadaardige softw are zoals v iru ssen en w orm en. M aar w e zouden w el n ad er kunnen nadenken over een soort persoonlijke digitale kluis w aartoe de toegang geregeld is v ia cryptografische sleutels die bij individuen z e lf in beheer gegeven w orden. Iedereen is dan vrij om delen van het eigen E P D te dow nloaden naar de eigen PC o f PD A . E en uittreksel m et essentiele gegevens op je P D A kan inder daad handig zijn. D an h o e f ik het z e lf niet m eer allem aal bij te houden in m ijn eigen m edische schaduw boekhouding. H e t idee van z o ’n digitale kluis is eerder g esu g g ereerd 1 m aar is nog nooit syste m atisch uitgew erkt. Je wil er w aarschijnlijk w el een digitale noodknop aan toe voegen zodat een m edische hulpverlener in noodsituaties, bijvoorbeeld w anneer je bew uste loos ligt na een ongeluk, toegang heeft to t jo u w EPD . Z o ’n noodknop vereist dan w el authenticatie als hulpverlener, m et een verantw oording achteraf. D e precieze locatie van z o ’n digitale kluis in een gridnetw erk van com puters is feitelijk niet zo b elangrijk zolang de toegang m aar gereguleerd is v ia cryptografische sleutels van de eigenaar. W el b elangrijk is de vereiste v erandering van paradigm a: dif ferentiatie en decentralisatie in plaats van u niform iteit en centralisatie, waarbij m acht en controle in handen van individuen ligt, en niet in handen van steeds abstractere en onpersoonlijkere partijen. O ok hier is decentralisatie essentieel voor een m enselijke m aat.
Policies Stel w e hebben een zodanige staat van verlichtheid in onze sam enleving b ereikt dat in dividuen inderdaad z e lf het b eh eer hebben over hun EPD . E n stel dat ik in z o ’n situatie 1In 2001 door een adviescommissie voor de modernisering van de GBA onder leiding van Snellen.
12. Gegevens en policies
61
een verpleger (m aar geen arts) b ezoek voor een routine controle van m ijn bloed. Ik zou die verpleger (na authenticatie, natuurlijk) toegang kun n en geven to t m ijn m edische dossier onder de volgende condities: u m ag enkel vandaag alleen m ijn bloedgegevens zien, u m ag er w at aan toevoegen indien u er u w digitale handtekening onder zet, m aar u m ag er niets aan veranderen (w ant dat is voorbehouden aan artsen). Z ulke condities vorm en een voorbeeld van een p o lic y . D e hier beschreven p o lic y is erg strikt, om dat ik een achterdochtig pietje precies ben. A nderen zijn m isschien w at soepeler (o f luier) en geven de genoem de bloedprikker direct toegang tot het hele eigen dossier. M isschien is d at w el hun zelfgekozen standaardpolicy. W eer anderen scham en zich m isschien v oor bepaalde onderdelen van hun m edische dossier en hanteren daarom ook zeer restrictieve policies. H oe dan ook, z o ’n p o lic y geeft een eigen persoonlijke keuze w eer over hoe anderen m et de persoon lijke gegevens om m oeten gaan. In het algem een beschrijven p o lic ie s gebruiksbeslissingen: regels die het gebruik van gegevens door anderen zouden m oeten bepalen. Som s gaat h et dan over persoonlij ke gegevens, m aar vaak ook helem aal niet. D igitale m uziek die op het internet (legaal) aangeboden w ordt is vaak voorzien van een bepaalde policy. Bij A p p le’s iTunes is bijvoorbeeld toegestaan om gekochte digitale m uziek op m axim aal v ijf verschillende com puters a f te spelen, en op een ongelim iteerd aantal iPods. O ok in het privacy on derzoek w ordt nagedacht over stic k y policies, die aan gegevens gehecht w orden en het gebruik ervan m oeten reguleren. H e t m echanism e voor de handhaving van zulke policies (voor m uziek o f film s) heet D ig ita l R ig h ts M a n a g em en t (D R M ). H et w oord ‘rig h ts’ is opportunistisch, net als ‘service’ in B urger Service N u m m er (BSN ). D e ‘R ’ kan b e te r v oor ‘restrictions'’ gebruikt w orden (en de ‘S’ v oor ‘spionage’). Z ulke D R M m echanism en zijn zeer om streden om dat ze kopers aan gebruiksbeperkingen onderw erpen en vaak oneigenlijk ingezet w orden om de concurrentie dw ars te zitten. D R M technieken zijn daarom een populair doelw it onder hackers die er steeds in slagen ze te doorbreken. D en k m aar aan D V D s w aarvan het bescherm ingsm echanism e CSS snel om zeild was. E r is hier echter sprake van een overeenkom stig belang tu sse n platenbazen die het gebruik van hun m uziek onder controle w illen houden en voorzichtige burgers die hetzelfde w illen doen m et hun persoonlijke gegevens. In beide gevallen kunnen D R M technieken een bijdragen leveren, m aar vooral in situaties w aarin de gebruikers goedw illend zijn. D o o r D R M softw are zouden ze dan gew aarschuw d kunnen w orden op het m om ent dat ze m ogelijk de fout in gaan: h a n g on, y o u p ro b a b ly don ’t w ant to do this! F atsoenlijke organisaties zullen zich w aarschijnlijk w el aan de regels w illen houden, al w as het alleen m aar om aansprakelijkheid en im agoschade te voorkom en. B e h e e r v a n gegevens Bij het b eh eer van gevoelige digitale (persoons)gegevens spelen drie aspecten een rol. 1. W ie heeft de ‘o rginele’ gegevens in bezit? H et w oord originele staat hier tussen haakjes om dat bij digitale er geen onderscheid g em aakt kan w orden tussen een
62
Deel III origineel en een kopie. W aar het hier vaak om gaat is vooral w ie kan authentieke (vers ondertekende) kopieen verstrekken?
2. W ie b epaalt de policies / gebruiksregels voor die gegevens? 3. H oe w eet m en zeker dat anderen zich houden aan die policies? Indien ik controle w il houden over m ijn persoonsgegevens kan dat in principe op drie m anieren. a. Ik ben degene die alle originele gegevens in handen heeft; ik verstrek die gegevens2 alleen aan partijen die ik vertrouw (in de zin dat ze zich houden aan de policies die ik eraan m eegeef). M et nam e deze aspecten w orden later verder uitgew erkt in H o ofdstuk 21. b. Ik heb niet de originelen in handen, m aar ben w el degene die de bijb eh o ren de stic k y policies bepaalt. D it laatste w erkt alleen in een om geving w aar alle anderen zich aan die bijbehorende policies houden. c. Ik heb noch over de originele gegevens noch over de bijbehorende policies con trole, m aar ik bepaal w el w anneer de gegevens aan een (deel-)identiteit van mij gekoppeld w orden. Al deze posities zijn in zekere zin n a ïe f en op dit m om ent niet realistisch. D e bank o f belastingdienst zal niet alle gegevens over mij in m ijn handen w illen geven, en zal mij ook niet de policies over m ijn gegevens laten bepalen. Voor een aantal van hun bedrijfsprocessen is het cruciaal dat ze z e lf controle over (een deel van) de gegevens over mij hebben. Toch hanteren ze w el degelijk m eer o f m inder expliciete policies in de behandeling van gegevens. H et is voor hen b elangrijk h et vertrouw en van de klanten niet te schaden. H et is m e echter niet zo duidelijk hoe sterk het b e s e f bij zulke organisaties aanw ezig is dat klanten m ogelijk invloed zouden w illen (en kunnen) hebben op die policies. D e gegevens zouden binnen organisaties w el in hoge m ate geanonim iseerd b eh an deld kunnen w orden, waarbij alleen op een beperkt aantal m om enten een koppeling tussen een interne en externe identiteit plaatsvindt: w aarom m oet altijd m ijn naam gekoppeld w orden aan m ijn banknum m er, bijvoorbeeld op een bankpas? E n w aarom krijg ik van m ijn b an k v oor een elektronische betaling niet iedere keer een tijdelijk rekeningnum m er dat alleen voor die transactie gebruikt w ordt? Op term ijn is het van belang een w erkbare com binatie van bovenstaande drie opties te ontw ikkelen.
2Een mogelijkheid is ook dat ik niet de gegevens zelf vertrek, maar een gepersonaliseerde link of pointer ernaartoe, zodat de ontvanger altijd de meest actuele versie kan opvragen en ik de verstrekking weer ongedaan kan maken. Dit werkt alleen in een omgeving met zeer betrouwbare netwerken en met partijen die zich aan de regels willen houden.
Hoofdstuk 13 Biometrie en identiteitsdocumenten In H oo fd stu k 4 is al kort over biom etrie gesproken. H e t p aspoort en de nationale id en titeitskaart bevatten in N ederland sinds kort een chip m et daarop biom etrische gege vens van de houder. V ooralsnog gaat het om een digitale gelaatsfoto, m aar halverw ege 2009 zullen ook een digitale versie van de afdrukken van de tw ee w ijsvingers opgeno m en w orden. P raktisch iedereen zal dus m et biom etrie te m aken krijgen. D aarom is het de m oeite w aard iets dieper op het onderw erp in te gaan, m e t nam e in relatie tot identiteitsdocum enten. Bij het gebruik van biom etrie w orden lichaam seigen kenm erken opgem eten en g e bru ik t als bew ijs van identiteit (authenticatie). Bij het opm eten leidt z o ’n kenm erk, bijvoorbeeld een vingerafdruk, to t een digitale representatie, die ook w el tem plate ge noem d w ordt. B iom etrie kan op tw ee fundam enteel verschillende m anieren gebruikt w orden. • B io m e tris c h e v e rific a tie . H ierbij heeft de controleur een bekende tem plate voorhanden en w ordt van een onbekende persoon nagegaan o f h e t toevallig zijn o f haar tem plate is. E erst w ordt die persoon (biom etrisch) gem eten, en ver volgens w ordt de resulterende ‘v e rse ’ tem plate vergeleken m et de voorhanden tem plate. Z ijn die tw ee hetzelfde (binnen bepaalde m arges), dan is er sprake van een m atch en is de identiteit van de persoon geverifieerd. Z o niet, dan is m en nog niet veel wijzer. D eze verificatie-vorm van biom etrie w ordt gebruikt bij het n ieuw e paspoort. In de chip van het paspoort staat een ‘o u d e ’ tem plate die voorzien is van een digitale handtekening door de N ederlandse sta a t1. Bij een grenspassage w ordt deze geauthoriseerde tem plate u it de paspoortchip gelezen en vergeleken m et een verse tem plate van de passerende persoon. Op z o ’n m anier kan gecontroleerd w orden o f het paspoort w el echt bij die persoon hoort, en w ordt zogenaam de lo o k alike fraude tegengegaan. 'Dit gebeurt in feite indirect: op de template staat een handtekening van de producent van het pas poort (SDU), maar voor die producent is er weer een certificaat dat getekend is door de staat.
64
Deel III
• B io m e tris c h e id en tifica tie . H ierbij b eschikt de controleur over een databank van bekende tem plates, en is het de bedoeling de identiteit van een onbekende persoon vast te stellen door een verse tem plate van die persoon te vergelijken m et alle beschikbare tem plates in de databank. In het geval dat er een m atch optreedt is de identiteit vastgesteld. D eze m ethode w ordt bijvoorbeeld toegepast w anneer er bij een m isd rijf op de plaats van het delict sporen van D N A o f vingerafdrukken w orden aangetroffen. D e politie kan daarm ee op zoek gaan in haar databanken van bekende, eerder veroordeelde personen. O ok kan z o ’n lijst van tem plates g ebruikt w orden om bijvoorbeeld m ensen m et een stadion- o f zw em bad-verbod te identificeren, en bij identificatie de toegang te w eigeren. D e databank fungeert dan als een black list. Bij verificatie is dus sprake van een enkele vergelijking (van tem plates), terw ijl het bij identificatie typisch om veel m eer vergelijkingen gaat. V oor identificatie is dus m eer rekenkracht en tijd nodig. H e t kan real-tim e alleen m et betrekkelijk kleine databanken. Tem plates vorm en identiteitsbew ijzen en dienen daarom goed bescherm d te w or den. M isbruik kan ernstige gevolgen hebben, bijvoorbeeld w anneer iem and onterecht verantw oordelijk gehouden, o f zelfs veroordeeld, w ordt. T em plates kunnen h et in m eer o f m indere m ate m ogelijk m aken het origineel te reconstrueren. D e vingerafdruk tem plates in het paspoort zijn bijvoorbeeld gew oon jp e g plaatjes. H ierm ee is m akkelijk een nepvinger te m aken. Voor D N A -tem plates is zoiets m inder v oor de hand liggend, m aar niet onm ogelijk. H e t grote probleem bij biom etrie is dat de gebruikte lichaam skenm erken onver vangbaar zijn: een nieuw e (andere) vingerafdruk kun je niet zom aar bestellen. W acht w oorden zijn een andere vorm van identiteitsbew ijzen, w aarbij er tw ee gouden regels zijn: verander je w achtw oord regelm atig, en gebruik hetzelfd e w achtw oord nooit op tw ee verschillende plaatsen— de beheerder op de ene plaats k an je w achtw oord afvan gen en m isbruiken op de andere plaats om zich als jo u v oor te doen. Bij biom etrie breek je deze beide regels op overduidelijke w ijze—je gebruikt im m ers altijd en overal de zelfde vinger— en m aak je je z e lf daardoor kw etsbaar. E en an d er groot probleem is dat m en bij iedere applicatie lijkt te denken de enige te zijn die gebruikt m aakt van de g e kozen vorm van biom etrie. M aar iedereen w il plotseling b iom etrie introduceren— voor fun en v oor security— w aardoor onvoorziene en ongew enste interferentie kan ontstaan. In N ijm egen is er bijvoorbeeld een coffeeshop die vingerafdrukken gebruikt om gere gistreerde klanten (van boven de 18) te herkennen. A ls vervolgens diezelfde vin g eraf druk w ordt gebruikt voor toegang tot je bankrekening kan er een probleem ontstaan: de coffeeshophouder kan nepvingers gaan m aken en daarm ee bankrekeningen plunderen. N a a st problem en m et de onvervangbaarheid van biom etrie zijn er ook problem en m et de inherente foutm arges. D ie m arges verschillen per vorm van biom etrie, m aar ze zijn n ooit nul. E r w orden ook daadw erkelijk fouten m ee gem aakt, m et som s erg onaangenam e consequenties. D e A m erikaanse ju rist B randon M ayfield w erd verdacht van betrokkenheid bij de grote bom aanslagen in M adrid van m aart 2004 op basis van
13. Biometrie en identiteitsdocumenten
65
een vingerafdrukvergelijking. In m ei 2004 zat hij daarom b ijn a tw ee en halve w eek vast. A c h te ra f b leek er sprake van grote fouten bij de vergelijking en is z o ’n 2 m iljoen dollar aan com pensatie uitbetaald. H o e b io m e trie o rg a n is e re n ? D e inzet van biom etrie kan m isschien bedoeld zijn om identiteiten m et zekerheid vast te stellen, m aar een ondoordacht b eh eer ervan kan ju is t het risico op identiteitsfraude vergroten. H oe m oeten w e dat gebruik van biom etrie dan organiseren? E r zijn ruw w eg drie m ethoden. In het eerste geval w orden biom etrische gegevens in een centrale databank opgesla gen en vin d t iedere vergelijking plaats op basis van de tem plates in die databank. D it is de slechtst m ogelijke opzet. Insiders kunnen op ieder m om ent m akkelijk een tem plate selecteren en m isbruiken voor identiteitsfraude. E n w an n eer kw aadw illende hackers zich op de databank richten kan de gehele inhoud op straat kom en te liggen. Op dat m om ent kan van iedereen de identiteit nagem aakt w orden en leid t een infrastructuur die oorspronkelijk bedoeld w as om identiteiten b eter v ast te stellen to t grootscheepse onderm ijning van die doelstelling— zonder de m ogelijkheid van herstel; lichaam sken m erken zijn im m ers onvervangbaar. In het tw eede geval w orden (geautoriseerde) tem plates aan de dragers ervan m ee gegeven, zoals bij het biom etrische paspoort. D an is er geen centrale databank m eer nodig, w aardoor ook de m ogelijkheid van identificatie vervalt. H et gaat in dit geval om verificatie. D it is al een stuk veiliger, m aar het grote risico dat overblijft is dat bij m etingen de biom etrische gegevens aan een onbekend leesapparaat afgegeven m oeten w orden. H e t risico zit hier in de apparatuur. Bij iedere vingerafdruklezer, o f ied e re andere biom etrische opnem er, is het onduidelijk w at er m e t de opgenom en verse tem plates gebeurt. H et m ag dan de bedoeling zijn dat de opgenom en tem plate enkel vergeleken w ordt m et de m eegebrachte tem plate, m aar o f die tem p late dan niet stie kem ook alsnog in een grote databank opgeslagen w ordt is onduidelijk. H e t is zeer w aarschijnlijk dat allerlei landen de vingerafdruklezers v oor paspoortcontrole aan hun buitengrenzen direct koppelen aan een grote databank om alle opgenom en tem plates van binnenkom ende reizigers op te slaan. Iedere b iom etrisch uitlezing introduceert aldus een risico op identiteitsfraude. Indien j e veel reist, en dus ook vaak je vinger afdrukken in allerlei landen achterlaat kun je er m aar het b e ste van u it gaan dat je vingerafdrukken op straat liggen: voor h ig h -level se c u rity zijn ze niet m eer bruikbaar. In het derde geval heeft het individu niet alleen de geautoriseerde tem plate bij zich, m aar ook een geautoriseerde lezer en vergelijker van tem plates. Indien verificatie van de identiteit van een persoon gew enst is geeft die persoon zijn biom etrische gegevens a f aan de eigen lezer, w aarna de eigen vergelijker vaststelt o f er sprake is van een m atch m et de m eegebrachte geautoriseerde tem plate. D e controlerende partij kan bij een positieve uitkom st tevreden zijn om dat het om geautoriseerde apparatuur gaat. D it laatste scenario— zie ook H o ofdstuk 21— m ag in eerste instantie vreem d k lin ken, m aar is in feite niet zo onredelijk vanw ege het kleinste risico op m isbruik van bio-
66
Deel III
m etrische tem plates. D eze gedecentraliseerde aanpak b estaat al w el in andere contex ten, zoals bij m em ory sticks m et geïntegreerde vingerafdruklezer v oor authenticatie. O ok kan m en zich voorstellen dat een vingerafdruklezer, o f een andere biom etrische lezer, opgenom en w ordt op een chipkaart, in een G SM , in een handcom puter, o f in an dere persoonsgebonden apparaatjes m et beveiligde afgescherm de hardw are. O ok hier w ordt al aan gew erkt, bijvoorbeeld bij een G S M die geactiveerd w ordt na biom etrische verificatie op basis van de m aten van de oorschelp van de eigenaar. B iom etrie kan een nuttig m echanism e zijn, m aar de m ogelijkheden w orden snel overschat. B iom etrie m oet m et zorg gebruikt w orden, in het v o lle bew ustzijn van de bijbehorende beperkingen en risico ’s. T erughoudendheid in het gebruik is vereist, waarbij een zo groot m ogelijke decentralisatie— van tem plates en van apparatuur voor uitlezen en vergelijken daarvan— het risico op identiteitsfraude door m isbruik van tem plates m inim aliseert. E n reductie van identiteitsfraude is w aar het uiteindelijk allem aal om draait.
Hoofdstuk 14 RFIDs D e afkorting R F ID staat voor R a d io F requency Identification. H et gaat hierbij om k lei ne com puterchips die op verzoek identificerende inform atie uitstralen. Som s zitten de chips in een plastic kaartje van credit card form aat, m aar som s ook in een nauw elijks zichtbaar plakkertje o f korreltje. D e m eeste eenvoudige, zogenaam de passieve, R F ID s hebben geen batterij als voeding m aar een kleine antenne die een geschikt elektro m agnetisch signaal om zet in een stroom pje w aarm ee de chip eventjes gaat w erken en direct een eigen num m er terugstuurt, m ogelijk m et nog w at extra inform atie. Z ulke R F ID -chips kunnen bijvoorbeeld in bibliotheekboeken geplakt w orden. Bij de u itleen balie is het dan genoeg de boeken over een scanner te halen zo d at het n um m er van de R F ID -chip (en daarm ee het boek) gekoppeld kan w orden aan de uitlener. N iet alleen objecten m aar ook dieren en som s zelfs m ensen w orden voorzien van R F ID -chips. H et is de m oeite w aard in de context van identificatie daar nader bij stil te staan. Voor grote organisaties, zoals superm arkten, is het geen klein ig h eid om zicht te houden op alle spullen die ze in huis hebben. H et gaat dan niet alleen om w at er in de w inkel ligt, m aar ook in de voorraadschappen, om w at er snel o f traag verkocht w ordt, en om w at er bij een k assa voorbijkom t. T raditioneel w orden steepjescodes (ofw el barcodes) gebruikt om artikelen te herkennen. M eestal gaat het dan echter alleen om het soort artikel (zoals scheerm esjes), en niet om individuele artikelen: verschillende losse pakjes van dezelfde soort scheerm esjes hebben dezelfde code. E en ander nadeel is dat streepjescodes handm atig m et een scanapparaatje u itgelezen m oeten w orden: aan de k assa m oet in principe ieder item afzonderlijk langs de b arcodelezer gehaald w orden, resulterend in het w elbekende piepje. Je k unt die om slachtige uitlezing echter ook als een voordeel zien. Indien individuele artikelen van een eigen R F ID -chip voorzien w orden is er m eer m ogelijk. D e chips zijn van afstand uitleesbaar, vaak v a n a f enkele m eters, m et m eer dere item s tegelijkertijd. Z o kun je m et een vol boodschappenw agentje in een keer langs de kassa rijden zonder dat de losse artikelen een voor een op de band gelegd en gescand hoeven te w orden. D aarvoor is het nodig om artikelen individueel te tag g e n (van een R F ID -chip voorzien) om te kunnen herkennen o f u nu een o f tien pakjes condoom s m eeneem t. O ok kan het b eh eer van de su p p ly chain verbeteren doordat er
68
Deel III
gedetailleerd zicht op alle individuele artikelen m o g elijk is. D a t vereist echter ook een erg goed doordacht inform atiebeheer om dat de inform atiestroom dram atisch toeneem t en om een overzichtelijke presentatie vraagt. D e A m erikaanse superm arkt W al-M art is ver gevordered m et het gebruik van R F ID , en legt het gebruik v an zulke chips op aan alle toeleveranciers. Z o ’n grootschalige inzet van deze n ieuw e technologie is m ogelijk om dat de prijs van individuele chips erg laag gew orden is, to t onder de v ijf cent. D ie prijs kan nog verder dalen door de introductie van ‘p lastic ’ chips. B ehalve artikelen kunnen ook levende w ezens voorzien w orden van R F ID -chips, bijvoorbeeld v ia im plantatie. Bij vee kan op z o ’n m anier b e te r zicht gehouden w or den op vervoersbew egingen, zeker op het m om ent dat er een u itb raak plaatsvindt van een besm ettelijke ziekte. M et bij m ensen geïm planteerde R F ID -chips zijn ook allerlei leuke en m inder leuke toepassingen m ogelijk. B ekend is de B aja B each Club in R o t terdam die toegang en afrekening op basis van identificatie m et geïm planteerde chips m ogelijk m aakt. D e chip die bij vrijw illigers in de arm geschoten w ordt zendt een specifiek getal als identificatie uit, w aardoor in een com putersysteem de bijbehorende naam en het resterende krediet opgezocht kunnen w orden. E en iets m inder ingrijpend gebruik kom t voor in ziekenhuizen w aar pati enten bij binnenkom st een polsbandje m et R F ID chip krijgen zodat ze m akkelijker herkend en getraceerd kunnen w orden. Im plantatie van R F ID -chips is v oor veel m ensen een eng idee. A f en toe roept een overspannen bestrijder van terrorism e o f crim inaliteit d a t w e iedereen een chip in de nek m oeten schieten. V ooralsnog b ied t artikel 11 van de gro n d w et daar bescherm ing tegen: ieder heeft, behoudens bij o f krachtens de w et te stellen beperkingen, recht op onaantastbaarheid van zijn lichaam . E en iets m inder ingrijpende oplossing is om m en sen chipkaarten te geven m et daarin een R FID -chip. D it v in d t bijvoorbeeld plaats bij het biom etrische paspoort en bij de O V -chipkaart. Bij het p aspoort w ordt de koppeling tussen persoon en chip gelegd v ia biom etrie, en niet v ia im plantatie. D e OV -kaart is w el overdraagbaar, m aar vertegenw oordigt w aarde, zoals de chipknip, w aardoor over dracht gerem d w ordt. M aar natuurlijk kan er onderling m ee a f gerekend w orden: “ik kan je nu niet betalen, m aar neem m ijn OV-chip m aar; daar staat nog 50 E uro op; de rest krijg je nog w el.” Profielboeren houden daar echter niet van. M is b r u ik H et m oge duidelijk zijn dat je m et R F ID technologie leuke en nuttige dingen kunt doen. M aar ook m inder leuke. D e m eeste R F ID -chips zijn van de goedkoopste ‘dom m e ’ soort die direct hun identiteit prij sgeven aan w ie het o o k m aar vraagt. Iedereen kan ze ongem erkt uitlezen (skim m en). N o u lijkt dat m isschien veel m inder erg bij dingen (objecten) dan bij m ensen (subjecten), m aar als m ijn horloge, portem onnaie o f OVchipkaart— o f iets anders dat ik b ijn a altijd bij m e heb— z o ’n chip bevat ben ik toch vrij m akkelijk overal te herkennen aan de bijbehorende num m ers— en dus traceerbaar. E r bestaat een haast onbedw ingbare neiging— vaak m et de beste b ed oelingen— om van alles en nog w at van R F ID -chips te voorzien, zoals fietsen (tegen diefstal) en autonum m erplaten (tegen fraude o f v oor efficiente verkeerscontrole). M aar door al dat
14. RFIDs
69
soort m aatregelen kunnen w e elkaar onderling steeds intensiever g aan traceren. L aagdrem pelige traceerbaarheid is een probleem . Velen van ons zijn ook traceer b aar v ia de locatiegegevens van onze m obiele telefoons. D ie gegevens w orden gere gistreerd door G S M m asten en (steeds m in d e r1) tijdelijk opgeslagen in de databanken van de telecom m unicatie m aatschappijen. Z e zijn niet algem een toegankelijk. B e halve de m aatschappijen z e lf kunnen hooguit inlichtingen- en opsporings-diensten er onder (steeds m inder) speciale om standigheden inzicht in krijgen. Traceerbaarheid via G S M s is dus voorbehouden aan een beperkt aantal ‘officiele’ partijen. D aartegenover kan iedereen een R F ID lezer kopen, aan zijn o f haar laptop koppelen en daarm ee de R F ID -chips in de direct om geving registreren en volgen. D eze dem ocratisering van de traceerbaarheid kan ingrijpende gevolgen hebben v oor de persoonlijke veiligheid. Stalking w ordt er een stuk eenvoudiger m ee. E r zal een inform ele m arkt ontstaan van R F ID gegevens. E en inbreker zou er gebruik van kunnen m aken door van b u ite n a f een huis v o o raf te scannen op aanw ezigheid van w aardevolle artikelen. H et zou ook niet b est zijn w anneer het num m er van de R F ID -chip in het horloge van de m inister president op het internet verscheen. K w aadw illenden kunnen dan een bom m aken die alleen afgaat w anneer dat num m er in de om geving verschijnt. M aar hetzelfde geldt natuurlijk v oor de R F ID in de num m er plaat (o f in de fiets, etcetera) van de m inister president. In feite gelden zulke risico ’s v oor ons allem aal. H e t is zaak hier b eter bij stil te staan v oordat er grote ongelukken gebeuren. N a a st het skim m en van een R F ID -chip kan m en ook clonen: de verkregen gegevens in een andere chip zetten. N atuurlijk kan m en ook de gegevens iets w ijzigen voordat ze in een andere chip geplaatst w orden. D aarm ee kan identiteitsfraude gepleegd w or den, o f kunnen organisatorische zaken behoorlijk in de w ar g esch o p t w orden, zodat bijvoorbeeld artikelen m et aangepaste prijzen m eegenom en w orden. E r w ordt inm iddels ook gew erkt aan bescherm ingsapparaatjes tegen R F ID 2. Z u l ke apparaatjes verstoren de com m unicatie tussen R F ID -lezer en chip, w aardoor chips zeer selectief (o f geheel) onzichtbaar g em aakt kunnen w orden. M isschien m oeten w e allem aal m et z o ’n g uardian rond gaan lopen. M aar h et is natuurlijk ook verleidelijk z o ’n ding in je volle kar m et boodschappen te stoppen, zodat bij het passeren van de k assa een deel van de lading helem aal niet zichtbaar is en dus ook niet betaald hoeft te w orden. W e zullen ons goed bew ust m oeten zijn van de risico ’s van R F ID -chips in het alge m een, en van de dom m e varianten die enkel hun identiteit uitstralen in het bijzonder. W aarschijnlijk zijn deze dom m e chips alleen inzetbaar in onschuldige situaties waarbij er geen financiele w aarde o f persoonlijke identiteiten in het geding zijn. M en kan er te eenvoudig m ee frauderen. E en zekere m ate van cryptografische afscherm ing is nodig v oor serieuze toepassingen. W anneer identiteiten in het g ed in g zijn is het bijvoorbeeld redelijk om de zaak zo in te richten dat de om geving zich eerst m oet authenticeren en 1Door verandering van wettelijke eisen. 2Bijvoorbeeld aan de Vrije Universiteit van Amsterdam, zie www. r f i d g u a r d i a n . o r g .
70
Deel III
dat de chip alleen reageert op geauthenticeerde lezers. D it vergt echter ingew ikkeldere en dus ook duurdere chips. O m de m arkt ertoe te bew egen zulke chips te gebruiken zal enige aanm oediging o f zelfs w ettelijke dw ang nodig zijn. R eg elg ev in g E en fundam enteel probleem bij R F ID -chips is dat ze zo klein zijn d a tj e ze m oeilijk opm erkt. D aar kom t dan nog bij dat de com m unicatie draadloos verloopt zodat m ensen ongem erkt uitgelezen en gevolgd kunnen w orden v ia de chips die ze bij zich dragen. D at is inderdaad zorgw ekkend. Inm iddels is er dan ook een bew eging op gang g e kom en die pleit voor (zelf)regulering waarbij u itg an g sp u n t is dat bekend m oet zijn o f een product een R F ID -chip bevat, en zo j a waar, w anneer en w aarom w elke inform a tie uitgelezen w ordt. V erder zou de chip op verzoek (na aankoop) vernietigd m oeten w orden. N atuurlijk kun je dat ook z e lf doen door je aankoop m et de chip thuis in de m agnetron te leggen. Echter, bij som m ige artikelen, zoals horloges, is dat m isschien niet verstandig. E en deel van de genoem de uitgangspunten w ordt al geregeld door de W et B escherm ing P ersoonsgegevens (W bp). A anpassing o f aanvulling van de bestaande w etgeving lijkt toch noodzakelijk, b ij voorbeeld om notificatie en vernietiging duidelijk te regelen, o f om het strafbaar te stellen dat iem and heim elijk gevolgd w ordt v ia R FID . D eze situatie kan vergeleken w orden m et de recente strafbaarstelling van heim elijk cam eratoezicht, als gevolg van het op de m arkt verschijnen van goedkope w ebcam s en m obieltjes m et cam eras. Interessant is de zorg in christelijke kringen over het g eb ru ik van R F ID -chips voor persoonlijke identificatie. H iertegen bestaan principiele bezw aren op basis van een b ijbeltekst w aarin gesproken w ordt van de kom st van een kw ade m acht (het beest) die iedereen van een m erkteken voorziet3. R F ID -gebruik zou een voorbode van deze kom st zijn. B innen de N ederlandse politiek heeft de C hristen U nie to t nu toe zich het m eest serieus m et het onderw erp R F ID bezig gehouden, v ia een eigen nota4 van de parlem entaire fractie in m ei 2005. O ok daarin w ordt aangedrongen op aanvullende w etgeving. M eer in het algem een valt op dat zorg om privacy leeft in de protestan te gem eenschap die natuurlijk traditioneel sterk gericht is op (“gedecentraliseerde”) individuele geloofsbelevenis en persoonlijke autonom ie.
3Openbaring 13:16: Verder liet het bij alle mensen, jong en oud, rijk en arm, slaaf en vrije, een merkteken zetten op hun rechterhand of op hun voorhoofd. 4Beschikbaar via www. c h r i s t e n u n i e . n l .
Deel IV De overheid
Hoofdstuk 15 Big Brother en Soft Sister D e overheid heeft in onze sam enleving een aantal m onopolies, w aaronder bijvoorbeeld het gew eldsm onopolie. M aar ook op het gebied van identiteiten is er een overheidsm onopolie, nam elijk op het scheppen en uitgeven van zogenaam de bronidentiteiten. N atuurlijk kan ik ook een identiteitsdocum ent hebben van andere organisaties, zoals een lidm aatschapskaart van de tennisclub. M aar z o ’n docum ent is van een andere orde dan m ijn paspoort. D e overheid vorm t de bron en creeert de m iddelen w aarop teru g gevallen kan w orden. Z e zijn z e lf niet w eer op andere docum enten gebaseerd. N a a st deze creatietaak heeft de overheid ook nog een taak m et betrekking to t het b eh eer van identiteiten en attributen— bijvoorbeeld in de G em eentelijke B asis A d m i nistratie (G B A )— en to t de controle— bijvoorbeeld bij grensovergangen. Voor dit alles gebruikt de overheid een eigen infrastructuur voor identiteiten. D e overheid kent een grote verscheidenheid aan organen. A lleen op een abstract niveau is er sprake van een eenheid. H ier onderscheiden w e tw ee belangrijke rollen, nam elijk ‘B ig B ro th er’ waarbij de overheid het m inder vriendelijke, controlerende g e zicht aan de burgers laat zien, en ‘Soft Sister’ waarbij de n ad ru k ligt op vriendelijke dienstverlening. D eze tw ee rollen w orden later in dit h o o fd stu k nader uitgew erkt. Z e lijken op gespannen voet te staan, m aar blijken toch verrassend goed, en m isschien w el steeds beter, sam en te kunnen gaan. N atuurlijk is dat w el enigszins afhankelijk van de invulling van het begrip ‘d ien st’. B innen deze tw ee rollen z e lf zijn er ook spanningsvelden. B innen de B ig B rother context zijn er enerzijds klachten over de onveiligheid. M a ar w anneer de overheid daar echt w at aan gaat doen piept de burger snel dat hij o f zij zo vaak gecontroleerd w ordt. B innen de Soft Sister context zijn er aan de ene kant klachten w anneer er alw eer een uitvoerig form ulier ingevuld m oet w orden, m aar w o rd t er aan de andere kant geprotesteerd w anneer b lijkt dat de overheid zoveel al w eet over haar burgers. D e grote vraag hierbij is altijd: w at w il de burger zelf, in h e t algem een o f indiv id u ee l1? Op die vraag kom t zeld en een duidelijk antw oord. H et is v erleidelijk te gaan roepen “ de burger w il dit” o f “ de burger w il dat” , m aar d eu g d elijk onderzoek 1Bij een overzichtelijke individuele varieteit kunnen gepaste keuzemogelijkheden geschapen wor den.
74
Deel IV
ontbreekt m eestal. W at w el opvalt is dat burgers in N ed erlan d ondanks alles een groot vertrouw en in de overheid lijken te hebben. D at valt zeker op w anneer je de situatie hier vergelijkt m et die in A m erika. D aar treft m en een w an trouw en jeg e n s overheids bem oeienis aan dat dieper gew orteld en w ijd er verspreid is d an wij gew oon zijn. D it ondanks de eigen historische ervaringen m et kw aadw illende overheden, zoals ged u rende 1940-1945 toen effectief en dankbaar gebruik g em aakt w erd van de uitstekende identiteitsinfrastructuur, m et nam e voor de vervolging v a n Joden. M isschien w el onze belangrijkste sociale verw orvenheid is de rechtsstaat w aarin w e leven. E en w ezenlijk kenm erk daarvan is dat de overheid n ie t alles m ag, en z e lf ook aan regels gebonden is. H e t is een groot goed dat de politie niet zom aar je huis m ag binnenvallen en dat rechters onafhankelijk zijn en voor de overheid onaangenam e beslissingen kunnen nem en, bijvoorbeeld in door individuele burgers aangespannen processen. Z o ’n proces aanspannen zou je in een dictatuur w el u i tj e hoofd laten. O n danks al het bestaande, al o f niet terechte, vertrouw en in de overheid is terughoudend heid gepast in het toekennen van m acht aan de overheid. Sterker nog, een zekere m ate van w antrouw en is zeer gezond. H e t is w ezenlijk dat er sprake is van een redelijke m achtsbalans tussen burgers en overheid. O nder druk van terrorism e is duidelijk dat de overheid de laatste ja re n de eigen burgers, en vooral ook de bezoekers van buiten, m inder vertrouw t. Z e w orden aan strengere controlem echanism en m et betrekking to t hun id en titeit en attributen onder w orpen. In z o ’n context is het volstrekt redelijk om ook andersom de burgers m eer rechten en m iddelen in handen te geven om organisaties m et w ie ze te m aken hebben om authenticatie te vragen voordat er to t overdracht van allerlei gevoelige gegevens overgegaan w ordt. In het bijzonder betekent dit dat de IC T -system en die ons steeds indringender om ringen zich nadrukkelijk eerst m oeten k u n n en authenticeren. O m de resulterende authenticaties, typisch m et certificaten, te kunnen controleren m oeten bur gers z e lf ook controlem iddelen in handen hebben. D aar kom en w e in H o ofdstuk 21 op terug.
S oft S iste r: g e m a k o f p riv a c y ? D e overheid heeft zich de laatste ja re n het nobele doel gesteld de dienstverlening aan de eigen burgers te verb eteren 2. ICT, en m et nam e het internet, m oet daarbij een b elan g rijke rol spelen. D e eerste stappen van de overheid op dat g eb ied kunnen gekenschetst w orden als de fase van de om gevallen boekenkast. Z o ongeveer alle inform atie voor burgers is op w ebsites van de overheid gedum pt. D at m aakt veel van die inform atie m akkelijker toegankelijk, en sneller te vinden, bijvoorbeeld v ia zoekm achines. D a t is allem aal positief. In die om gevallen kasten zitten ook veel form ulieren. D ie kan de burger z e lf thuis afdrukken en invullen, om daarna het traditionele interactieproces m ee te doorlopen: 2Zie bijvoorbeeld het actieprogramma ‘Andere Overheid’ uit 2003, beschikbaar via www. a n d e r e o v e r h e i d . n l.
15. Big Brother en Soft Sister
75
persoonlijk afgeven aan het loket waarbij traditionele authenticatie plaatsvindt. Om ook zulke interacties elektronisch te laten verlopen m oet de overheid de burger aan de andere kant van de lijn m et zekerheid kunnen herkennen, bijvoorbeeld bij de aanvraag van verlenging van het rijbew ijs. D it is een belangrijke m otivatie om de infrastructuur v oor h et b eh eer van identiteiten u it te breiden, b ijvoorbeeld m et D igiD . E en van de punten w aar m en zich in vastgebeten heeft is het p rincipe van eenm ali ge gegevensverstrekking. D at betekent dat aan burgers geen gegevens m eer gevraagd (m ogen) w orden die al binnen de overheid besch ik b aar zijn. D it klinkt redelijk m aar betekent in feite dat com partim entalisatie van gegevens binnen de overheid onder druk kom t te staan, terw ijl dat toch een van de basisprincipes van privacyvriendelijk gege vensbeheer is: scheiding van rollen en van bijbehorende gegevens. A lle inform atie over mij binnen de overheid m oet overal w aar ze nodig zou ku n n en zijn ook daad w erkelijk beschikbaar zijn. D e im plem entatie daarvan is n iet triviaal. D e m eest voor de hand liggende (en m eest kw etsbare) oplossing is om een centrale databank op te richten m et daarin alle gegevens die de overheid over mij heeft. E en altern atief is om m eerdere databanken op te zetten m et allem aal deelgegevens over mij. D eze laatste aanpak klinkt b eter m aar is ook gecom pliceerd. E en zeer zorgvuldige om gang m et autorisaties is vereist: m ag afdeling A die gegeven X over mij heeft deze X ook door geven aan afdeling B? M ag afdeling B een locale copie van X bew aren? Z ijn dit soort zaken allem aal goed doordacht en vastgelegd in heldere regels? K an ik ervan uitgaan dat de overheid onder dit z e lf opgelegde regim e van eenm alige gegevensverstrekking de resulterende com plexiteit aankan en zorgvuldig m et m ijn gegevens om zal gaan? O f betekent dit dat alle gegevens over mij binnen de overheid zeer gem akkelijk gekoppeld w orden. D e gedachtengang achter het B S N en deze eenm alige gegevensverstrekking lijkt te zijn dat de overheid nog m aar een rol van mij accepteert, en geen onderscheid m eer wil m aken tussen mij zeg als belastingbetaler en als snelheidsovertreder. H e t belangrijkste m echanism e v oor de realisatie van deze eenm alige gegevensver strekking is het B urger Service N u m m er (BSN ). D oor alle gegevens over mij binnen de overheid (en gedeeltelijk ook daarbuiten) aan m ijn B S N te koppelen zijn ze m akke lijker te herkennen en te delen. Op basis van m ijn B S N kan de hele lijst m et gegevens die mij betreffen te voorschijn kom en. H et B S N m aakt mij transparant. H et rijgt al lerlei rollen aaneen die ik z e lf m isschien w el gescheiden w il houden. Toch w ordt dit B S N eufem istisch gepresenteerd als een ‘service’. M aar vo o r w ie? D e R aad van State heeft nadrukkelijk opgem erkt dat het vooral gaat om service v oor de overheid zelf, en niet voor de burger3. In A m erika w orden persoonlijke num m ers als van credit card o f so c ia l se cu rity 3In het advies van 1 juli 2005, zie §§2: “Het zijn echter vooral de overheid en de bedrijven die betrokken zijn bij de uitvoering van overheidsregelingen die profijt zullen hebben van dit gebruik. De positie van de burger komt in het wetsvoorstel, anders dan als object, niet aan de orde. ... Van rechten van de burger is ook weinig sprake. Daarom verbaast het de Raad dat gekozen is voor de benaming ‘burgerservicenummer’; een meer neutrale aanduiding als ‘algemeen registratienummer’ of iets derge lijks ligt naar zijn oordeel meer voor de hand. De Raad adviseert een neutrale, niet-suggestieve term te gebruiken voor dit persoonsnummer.”
76
Deel IV
grootschalig gebruikt voor identiteitsfraude. B rede invoering van het B S N m aakt z o ’n num m er ook bij ons aantrekkelijk voor fraudeurs, om dat er zoveel m ee kan. O ndanks alle goede (naïeve) bedoelingen zal ons dat ook te w achten staan. H e t als ‘service’ gepresenteerde num m er confronteert de burger m et nieuw e ris ic o ’s. Op basis van alw etendheid door koppelingen v ia het B S N kan de overheid zich zelfs in de positie van de burger verplaatsen en p ro -a c tie f v o o r die burger gaan denken en handelen. M e t enige ironie zou m en hierin een vorm van identiteitsfraude kunnen zien. D e overheid w eet m eer dan voldoende om te zien o f ik recht heb op huursubsidie, en kan het in dat geval dan ook m aar beter v oor mij aanvragen. O o k b elastingform u lieren kunnen grotendeels al door de overheid ingevuld w orden. U h oeft alleen nog m aar te tekenen. E n m isschien hoeft die ondertekening b innenkort ook niet meer. Z itten w e hier w erkelijk op te w achten? H et is een vorm van goedbedoelde over heidsbem oeienis en inm enging w aar ik je u k van krijg. D e overheid gaat er van u it dat wij om w ille van enig gem ak voor ons— en heel veel gem ak voor zich zelf— w el een deel van onze privacy op w illen offeren. M aar is er w el goed over nagedacht o f dit een o f-o f kw estie is? Ik w il en gem ak en privacy! D eze com binatie lijkt uitgesloten in de centralistische gedachtenw ereld w aarin de overheid v astgeroest zit. H e t m et de hand invullen van lange form ulieren is inderdaad vervelend. M aar als w e onze IC T infrastructuur decentraal inrichten op een m an ier waarbij m ensen z e lf over hun eigen (elektronische) gegevens beschikken kan dit invullen gebeuren m et een paar drukken op de knop. In z o ’n scenario zou ik v oor het elektronisch invul len van een form ulier een aantal relevante gegevens op m ijn eigen handcom puter (zie H oo fd stu k 21) kunnen selecteren en koppelen aan door mij gekozen gebruiksregels (de p olicy) om ze vervolgens— na geslaagde w ederzijdse authenticatie— aan de b etref fende overheidsdienst te geven. D it garandeert zow el privacy als gem ak. D a t laatste is m isschien niet direct duidelijk voor de huidige generatie, m aar w aarschijnlijk wel v oor de volgende. Bij deze overdracht geldt natuurlijk, zoals opgem erkt in H o o fd stu k 11, dat veel interacties kunnen plaatsvinden op basis van attributen en niet noodzakelijk op basis van identiteiten. H oe zuiniger de overdracht hoe k leiner h e t risico op identiteitsfraude. B ig B ro th e r : v e ilig h e id o f p riv a c y ? E en van de centrale taken van de overheid is te zorgen voor de veilig h eid van burgers, bijvoorbeeld door het bouw en van dijken, opstellen van bouw voorschriften, vervolgen van crim inelen, enzovoort. B elangrijke onderdelen daarbij zijn risicoanalyse, norm stelling en handhaving. Voor die handhaving is de overheid enerzijds afhankelijk van tips en aangiften van anderen, en anderzijds van eigen m onitoring en controle van w at daadw erkelijk plaatsvindt. D it laatste aspect heeft de laatste ja re n nadrukkelijk m eer aandacht gekregen, onder druk van terrorism e. Bij risicoanalyses w orden koele berekeningen gem aakt die vertellen dat eens in de zoveel ja a r dijken breken en tunnels o f bruggen instorten, m et een inschatting van het bijbehorende verlies aan m ensenlevens. A nalyse en ervaring van risico ’s zijn echter
15. Big Brother en Soft Sister
77
heel verschillende zaken. V liegen is als m iddel van vervoer veel veiliger dan autorij den m aar velen ervaren dat anders. Op een vergelijkbare m an ie r is terrorism e to t op dit m om ent niet z o ’n heel grote bedreiging. Technisch gezien kunnen w e het to t nu toe goed aan, en is het aantal slachtoffers rela tie f gering— in vergelijking m et bijvoorbeeld kinderm ishandeling, w aardoor jaarlijk s in N ederland z o ’n vijftig kinderen overlijden. D at is vaak hartverscheurend m aar krijgt veel m inder aandacht. E n op de een o f andere m anier zijn w e ook niet bereid er veel m eer m iddelen voor in te zetten o f ingrijpende m aatregelen tegen te nem en die de privacy en autonom ie van ouders aantasten. Z o ’n bereidheid in te grijpen tegen terrorism e b etaat w el, m aar d e m iddelen en m aatrege len die w e ertegen inzetten zijn feitelijk niet geheel rationeel. H et is een em otioneel ‘onderbuik’ onderw erp w aar door som m ige politici gebruik v a n g em aakt w ordt. Ter roristen richten zich vooral op het psychologische effect en op zaaien van angst m et onvoorspelbaar gruw elijk gedrag. M isschien laten w e ons er teveel in m eeslepen en vragen w e onvoldoende kritisch n aar de effectiviteit van allerlei m aatregelen. E en b e langrijk deel van de verdediging is om ons niet gek te laten m aken en ons zo veel m ogelijk te concentreren op de feitelijke risico ’s— zover w e die redelijkerw ijs kunnen inschatten. D it deel van de verdediging hebben w e z e lf in de hand. Sam enlevingen hebben allerlei ongeschreven regels over h o e m et elkaar om te gaan en over w at n o t done is. Terroristen houden zich daar w eloverw ogen niet aan, en raken daarm ee een open zenuw. H et b lijk t erg m oeilijk te zijn daar m ee om te gaan, zeker om dat w e er c o llectief sterk op gericht zijn ieder risico u it te bannen en v oor alles een schuldige aan te w ijzen. M eer controle is dan een begrijpelijke reflex. M aar terroristen blijven, haast per definitie, op zoek naar dat w at zich niet laat controleren4. H e t is een feit dat w esterse overheden hun burgers en bezoekers m et m eer w an trouw en bejegenen en b eter in de gaten zijn gaan houden. D aarbij is het probleem accuut gew orden dat er allerlei hiaten zitten in de identiteitsvaststelling, niet alleen bij bezoekers m aar ook bij de eigen burgers. In 2005 zijn er in N ed erlan d bijna 200.000 paspoorten als gestolen o f verm ist opgegeven. M en kan er van uitgaan dat een flink aantal daarvan voor identiteitsfraude gebruikt w ordt. T egen deze achtergrond is b ij voorbeeld het b iom etrische paspoort ontw ikkeld. T egelijkertijd zijn de bevoegdheden van opsporingsdiensten vergroot om identifi catie te eisen en om inform atie op te vragen bij allerlei instanties, zoals bibliotheken o f vervoerders. O ok zijn er op E uropees niveau inm iddels p lan n en om de internetprovi ders en telecom m unicatiem aatschappijen te verplichten om de zogenaam de verkeers gegevens van 500 m iljoen E uropeanen v oor a n d erh alf ja a r v ast te houden. H et gaat daarbij om gegevens als m et w ie je w anneer b elt (en ook waar, bij m obiele telefoons) o f m ailt, en w aarschijnlijk ook w elke w eb p ag in a’s je bezoekt. O m dat zoekterm en voorkom en in de adresbalk b etekent dit dat ook alle vragen (en im pliciet ook de ant w oorden) opgeslagen w orden. D e opslagterm ijn varieert van ergens tussen een h a lf en 4Hierbij is ook sprake van een interessante controle-paradox: een zekere overdaad aan regels schept ook vrijheid, namelijk omdat niemand zich meer aan de regels houdt. Het standaard voorbeeld hiervan is Italie: nergens zijn zoveel regels, maar ook zoveel overtreders ervan.
78
Deel IV
tw ee jaar. H et m oge duidelijk zijn dat hier veel privacygevoelige inform atie tussen zit, zoals o f ik nu w el o f niet regelm atig kijk op de w ebstek www. e r e c t i e p r o l e m e n . n l . D at w ordt allem aal v oor langere tijd vastgelegd, zonder dat ik er controle over heb w ie ernaar kijkt, w at erm ee gedaan w ordt, en w aar en w anneer het o o it w e e r opduikt. D e conclusie is gerechtvaardigd dat de overheid haar B ig B ro th er rol nadrukkelijk ver sterkt en iedereen b eter dan voorheen in de gaten houdt. W at opvalt is dat dit steeds m inder selectief gebeurt, m aar in de breedte, m et sleepnetten (zie het volgend h oofd stuk). N e t als Soft Sister gaat ook de m oderne B ig B rother p ro -a c tie f te w erk op basis van de eigen sterke inform atiepositie. U itgaande van de beschikbare gegevens kan de overheid profielen van individuen gaan vorm en en daar naar handelen. Je k unt dan (naïef) denken aan een schaal van 1 to t 100 w aarop van iedereen aangegeven w ordt in hoeverre hij o f zij een terrorististisch gevaar oplevert. Op basis van zulke profielen kunnen bijvoorbeeld black lists gevorm d w orden van “v ijanden” : m ensen die buiten gesloten m oeten w orden, bijvoorbeeld u it vliegtuigen o f treinen, zie H oo fd stu k 16. P ro -a c tie f handelen is natuurlijk van w ezenlijk belang bij terrorism ebestrijding om dat alleen rea c tie f opereren geen aanslagen voorkom t. D aarm ee is het vooral een zaak van inlichtingendiensten. Is de individuele privacy hierbij in het geding? W e hebben privacy om schreven in term en van het u it elkaar houden van verschillende gegevens die horen bij verschillen de rollen van een individu en van de m ate w aarin een individu ook controle heeft om de bij die rollen behorende inform atie gescheiden te houden. D e vraag is dus o f er bij da ta vergaring en surveillance door opsporings- en inlichtingen-diensten de controle van individuen afneem t om verschillende rollen u it elkaar te houden. D ie controle neem t inderdaad a f bijvoorbeeld w anneer aan het licht kom t dat een ogenschijnlijk brave apo theker een heim elijke rol speelt als drugshandelaar. Z o ’n onthulling zal door niem and aangevochten w orden als een onterechte aantasting van de privacy van de apotheker. M aar zelfs w anneer er niets onthuld w ordt kan inform atie u it verschillende rollen van een persoon in databanken o f registers gekoppeld w orden bu iten de controle van die persoon. Z o d ra die inform atie in zulke databanken zit kan er van alles m ee gebeuren— bijvoorbeeld door m isbruik o f onachtzaam heid, zie H o o fd stu k 16— w aar de betrokken individuen geen enkele controle over hebben. D it kan een zeer verontrustend gevoel van ongepastheid (o f zelfs van vernedering) opleveren ze k er in de m eeste gebruikelij ke situaties w aarin er geen sprake is van enige vorm van strafbaar gedrag. H ierbij is er dus nadrukkelijk sprake van schending van privacy. D e aantasting van privacy die plaatsvindt bij grootschalige surveillance w ordt voor al verdedigd m et veiligheidsargum enten. M aar het is b elan g rijk te beseffen dat het hierbij gaat om ‘p u b liek e’ veiligheid, in het belang van de sam enleving als geheel. H ier liggen gerechtvaardigde belangen, w an t m ogelijk kunnen de verzam elde persoon lijke gegevens gebruikt w orden om de schuldigen van een m isd rijf veroordeeld te krij gen, o f m ogelijk zelfs om een terroristische aanslag te voorkom en. D e ‘p ersoonlijke’ veiligheid w ordt echter m eestal niet direct vergroot door uitg eb reid e identificering en m onitoring, bijvoorbeeld door het toegenom en risico op identiteitsfraude, m isbruik o f
15. Big Brother en Soft Sister
79
gerichte vijandige actie. H ie r staat bew ust ‘m eestal n ie t’. M en zou zich ook kunnen voorstellen dat een gedetailleerd verslag van iem ands doen en laten verkregen u it sur veillance gebruikt kan w orden als verdediging in het geval e r sprake is van een valse beschuldiging. M aar ik verm oed dat er toch w einig m ensen zijn die zeggen: “ sla alles over mij m aar op zodat ik zonodig een alibi heb.” O pvallend is dat grootschalige surveillance en opslag, m et alle risico ’s vandien, zich steeds m eer richten op de gehele bevolking en niet slechts op de bad guys. H ier m oeten de goeden duidelijk lijden onder de slechten. A fgezien van de ethische issues beh o eft de resulterende grootschalige privacy aantasting een zeer sterke m otivatie op basis van effectiviteit en afw eging van risico ’s. W ant nem en w e w erkelijk zo veel gro tere risico ’s w anneer de overheid zich terughoudend o p stelt en surveillance alleen richt op de bad guys en de good guys m et rust laat? M isschien vinden w e hierm ee een rede lijke balans tussen publieke en persoonlijke veiligheid. Surveillance, in verschillende gradaties, zou m ogelijk ook ingezet kunnen w orden als sanctiem iddel. D it staat ook w el bekend als revocable privacy. Tot op zekere hoogte zien w e dit al bij het gebruik van elektronische enkelbandjes voor huisarrest. D e m ogelijkheden zijn echter nog lang niet uitgeput. N a een veroordeling voor fraude zou een s¡tra f kunnen zijn dat er grotere identificatieverplichtingen opgelegd w orden en dat bijvoorbeeld alle financiele han d e lingen voor zekere tijd centraal opgeslagen en gecontroleerd w orden. D egenen zonder veroordeling (o f verdenking) kunnen daar dan van v erschoond blijven en er hopelijk vertrouw en in hebben dat zow el veiligheid als privacy bij de overheid in goede handen zijn. C oncluderend kunnen w e stellen dat bij de gekozen invulling van de Soft Sister en B ig B ro th er rollen deze bro er en zus goede m aatjes zijn als h e t aankom t op p ro -actief handelen en het aantasten van de privacy van de burger. Z e doen dat beiden op basis van niet-noodzakelijke tegenstellingen, tussen gem ak en privacy enerzijds en tussen veiligheid en privacy anderzijds.
80
D eel IV
Hoofdstuk 16 Databanken en profilering D e traditionele drager van (gevoelige) inform atie is papier, dat rela tie f gem akkelijk af gescherm d bew aard kan w orden in een arc h ief o f kluis. O pzoeken en kopieren van spe cifieke gegevens kost m oeite, en bew aring op de heel lange term ijn vraagt om speciale m aatregelen om te voorkom en dat de drager gew oonw eg vergaat. M oderne info rm a tie is digitaal, nauw elijks gebonden aan een drager, niet zo eenvoudig a f te scherm en tenzij tezam en m et de fysieke drager zoals C D /D V D o f m em ory stick in een kluis. Ver der zijn specifieke gegevens eenvoudig te vinden en zonder enige m oeite kopieerbaar. V ergankelijkheid van digitale inform atie is som s een probleem , m aar dan m eestal in relatie to t een specifieke inform atiedrager— w ie heeft nog toeg an g to t alle bestanden die ooit op eigen floppies zaten— o f to t een bepaald form aat voor dataopslag. In dat laatste geval bieden om zettingen tussen form aten echter een uitw eg. G egevens die een m aal in databanken zitten lijken inderdaad nauw elijks verloren te gaan, zeker w anneer het om w aardevolle o f gevoelige inform atie gaat. D igitale inform atie degenereert niet spontaan en w ordt alleen verw ijderd door, al o f niet opzettelijk, w issen o f door tech n i sche storingen. D igitaal geheugenverlies is daarom zeldzaam in goed georganiseerde om gevingen en persoonlijke controle over eenm aal overgedragen digitale inform atie is er niet echt, zie ook H oo fd stu k 12. D e m uziek- en film -industrie heeft m oeite de ju iste, voor hen m eest w instgevende, w erkw ijze te vinden in het tijdperk van digitale inform atie. O ok vanuit het p ersp ectief van identiteit en privacy zijn er de nodige uitdagingen. O nw elgevallige fo to ’s o f film pjes zijn niet zom aar van het w eb te krijgen. O ok is reeds een aantal keer aan de orde gekom en dat steeds m eer gegevens over ons en over ons doen en laten in grote data banken terechtkom en. In dit hoofdstuk w ordt nader ingegaan op de risico ’s daarvan v oor individuen, m et nam e m et betrekking tot profilering. D e W et B escherm ing P ersoonsgegevens (W bp) b ied t enige individuele controle over bij anderen opgeslagen gegevens. M en heeft recht op inzage en op aanpassing, o f zelfs verw ijdering, in geval van fouten. M aar w ie m aakt h ier w el eens gebruik van? H et is m eer een principe kw estie dan een praktisch nuttig m iddel vooral om dat ieder van ons voorkom t in honderden databanken die op ondoorzichtige m anier gekoppeld zijn. Je hebt er een dagtaak aan om dat bij te houden en te controleren, zeker w an
82
Deel IV
neer die databanken zich ook nog eens in het buitenland bevinden. D at laatste gebeurt natuurlijk steeds vaker door toenem ende outsourcing. Als m ensen al bij deze groot schalige opslag stilstaan hoor je snel de verzuchting dat het iets onvermijdelijks is dat kennelijk bij het moderne leven hoort. Individuele lijdzaam heid lijkt inderdaad de best passende houding bij deze centralistische m anier van inform atie organiseren. W illen we dat; is die lijdzaam heid terecht? Zijn al die grote, centrale databanken wel zo nodig? K an het niet w at minder, o f w at m eer decentraal? En voor w ie zijn die databanken zo nodig? H eeft u er zelf baat bij? Zo nee, w ie dan wel? In A m erika zijn deze zaken volledig uit de hand gelopen. W an neer u daar in een hotel verblijft is de kans groot dat bijvoorbeeld uw TV-kijkgedrag geregistreerd w ordt en tezam en m et uw credit card num m er doorverkocht w ordt aan een o f andere profielboer. Zulke gegevens worden dan grootschalig verzameld, ook over allerlei andere gedragingen, en verwerkt tot profielen die u als persoon zo goed m ogelijk zouden m oeten beschrijven. D e resulterende virtuele identiteiten worden weer verkocht aan bijvoorbeeld hypotheekverschaffers, verzekeringsm aatschappijen o f werkgevers zodat ze ‘betere’ beslissingen kunnen nemen. Grote bedrijven zoals ChoicePoint en LexisNexis (eigendom van Elsevier) houden zich m et dit soort profileringspraktijken bezig. Sinds 9/11 w erken deze bedrijven nauw samen m et de overheid: com merciele profielen worden daarbij omgevormd tot security profielen. Voor individuen is er w einig te doen tegen zulk gebruik van bijvoorbeeld TVkijkgedrag in hotels. D e m eest effectieve m anier om dit soort praktijken tegen te gaan is om helemaal geen identificerende inform atie a f te staan. Concreet gaat het dan om inchecken in een hotel onder een pseudoniem, o f helemaal zonder naam. Een hotel hoeft in principe de naam van de gasten niet te kennen, alleen de kredietwaardigheid. In sommige landen w orden wel kopieen van persoonsbewijzen gem aakt die aan de politie overhandigd worden. Elektronisch zou dat kunnen door de hoteleigenaar een versleuteld persoonsbewijs te geven, waarbij voor de versleuteling de publieke sleutel van de politie gebruikt wordt. D e hoteleigenaar kan het docum ent dan niet lezen1. Voor we nader op deze profilering ingaan is het goed stil te staan bij de risico’s van grootschalige gegevensopslag. D e beveiliging van databanken tegen inbraak o f hacken is verre van eenvoudig en vraagt constante aandacht, zeker w anneer er sprake is van ex terne toegang, bijvoorbeeld via het internet. Goede beveiling kost alleen m aar geld en levert w anneer alles goed geregeld is niks positiefs op. D e w aarde ervan w ordt vooral duidelijk wanneer de dingen niet goed gaan. D e gegevens liggen dan echter al op straat en slachtoffers zijn gemaakt. Eenmaal uitgelekte gegevens w eer opnieuw bescherm en w erkt meestal niet. Er zit dan bijvoorbeeld niks anders op dan een nieuw credit card num m er te gaan gebruiken en te accepteren dat de uitgelekte betaalgegevens van het oude num m er openbaar zijn geworden— met allerlei m ogelijk resulterende koppelin gen tussen rollen. In de Am erikaanse staat Californie bestaat sinds 2003 wetgeving 1De hoteleigenaar moet op een of andere manier wel kunnen controleren dat het versleutelde do cument mijn persoonsbewijs bevat, en bijvoorbeeld niet dat van iemand anders. Daar kunnen slimme cryptografische technieken voor gebruikt worden met zogenaamde zero knowledge proofs.
16. Databanken en profilering
83
waarbij bedrijven die persoonsgegevens kw ijt zijn geraakt, bijvoorbeeld door verlies o f diefstal, verplicht zijn de betreffende personen hiervan op de hoogte te brengen. Deze wetgeving is niet alleen gericht op de slachtoffers m aar ook op de bedrijven zelf, in de hoop dat alle m ogelijke negatieve publiciteit en schadeclaims ze er toe aan zal zetten hun beveiliging te verbeteren. W anneer anderen dan betrouwbare bevoegde partijen toegang hebben w eten te krij gen kunnen de opgeslagen gegevens misbruikt worden voor identiteitsfraude, o f ge woonweg voor reputatieschade. W anneer hackers de in Europa geplande databanken m et verkeersgegevens binnendringen kunnen ze bijvoorbeeld publiceren w elke beken de nederlanders bijvoorbeeld wel eens bij een afgelegen relax huis komen— op basis van de locatiegegevens van hun GSM. Soms hoeven er helemaal geen hackers aan te pas te komen en worden door fouten en onbenulligheden van beheerders delen van zulke databanken per ongeluk gelekt, bijvoorbeeld doordat ze op internet verschijnen2. Ook kunnen echt kw aadwillenden m et toegang gegevens wijzigen, bijvoorbeeld om valse beschuldigingen te kunnen onderbouwen o f om levens in gevaar te brengen via m edische databanken. D e beheerders van de databanken m et gegevens die waardevol zijn voor misbruik zijn kw etsbaar voor geweld o f chantage vanuit het criminele o f terroristische circuit. H et is een feit dat veel beveiligingsincidenten veroorzaakt worden door insiders , net zoals steeds blijkt dat winkelpersoneel voor een flink deel van de winkeldiefstal ver antwoordelijk is, en dat politiem ensen de politiele inform atiesystem en bevragen voor prive-gebruik. Databanken m et gevoelige gegevens kunnen opgezet worden m et de beste intenties en m et de beste beveiligingsm echanism en omringd. M aar die intenties kunnen natuur lijk veranderen, bijvoorbeeld w anneer een bedrijf in andere handen raakt. H etzelf de kan gebeuren m et overheidsdatabanken w anneer radicaal andere m achthebbers het roer overnemen. De Tweede W ereldoorlog vorm t daarvoor een voorbeeld. M aar ook w anneer bijvoorbeeld in N ederland tw ee o f drie zware terroristische aanslagen plaats vinden kiezen we misschien zelf wel een regering die niet alle bevolkingsgroepen even w elgezind is. Inform atie afstaan aan de overheid betekent im pliciet vertrouwen afge ven in alle toekom stige regeringen. In de begindagen van de automatisering was het voorbehouden aan grote organisa ties om er databanken op na te houden m et gevoelige persoonsgegevens. Tegenwoor dig draait op iedere PC database software die enorme hoeveelheden gegevens aankan, bijvoorbeeld van zelf opgestelde RFID lezers. D eze dem ocratisering van de gegevensopname en verwerking leidt ertoe dat handhaving van regels (zoals uit de W bp) alleen nog voor de grotere, offici ele partijen realiseerbaar is. D e bad guys kunnen doen wat ze willen. D aardoor is het des te belangrijker geworden bescherm ing te richten op het individu— en niet zozeer op centrale databanken— bijvoorbeeld door het gebruik van 2In augustus 2006 kwamen per ongeluk 20 miljoen zoektermen van meer dan een half miljoen klan ten van de Amerikaanse internet provider AOL op het web te staan, zie bijvoorbeeld www . a o l l e a k . com, hetgeen veel onrust veroorzaakte.
84
Deel IV
domme RFIDs te beperken, zodat kwaadaardige gegevensverzameling m inder m akke lijk is. N aast de gevaren van bad guys zijn er m isschien wel net zo grote gevaren van de goedbedoelende m aar naïeve good guys die zelf een databank in elkaar knutselen zonder fatsoenlijk over de risico’s o f beveiliging na te denken3. Van deze lijst risico’s dient iedereen zich bew ust te zijn die opslag in databanken bepleit— van TV-kijkgedrag en OV- o f auto-bewegingen tot en m et biom etrische data o f verkeersgegevens van communicatie. Al die risico’s van grootschalige opslag zou den adekwaat afgedekt m oeten zijn. K an dat? O f m oeten we beter naar alternatieven kijken? Opmerkelijk ten slotte is het naïeve vertrouw en dat veel mensen hebben in de ge gevens die uit databanken te voorschijn komen: “ de com puter zegt het dus m oet het wel kloppen” . Zoals we al in H oofdstuk 9 gezien hebben leidt attribuutfraude tot veel onbetrouwbare gegevens in databanken. M aar onjuiste invoer, (persoons)verwisseling, beheersfouten o f kwaadaardige w ijziging zijn ook bekende oorzaken van fouten. De consequenties kunnen zeer onaangenaam zijn. Bekend is het geval van de A m erikaan se senator Ted Kennedy die in 2004 meerdere m alen niet aan boord mocht van een binnenlandse vlucht op basis van een persoonsverwisseling m et iem and die op de n o fly lijst van terroristen stond. Kennedy heeft verschillende keren contact op moeten nem en met toenm alig m inister Tom Ridge van H o m e la n d S e c u rity om de fout hersteld te krijgen. M aar w at moeten u en ik in zo ’n situatie? Onlangs bleek bij het inchecken dat er zelfs een 4-jarige kleuter op de n o -fly lijst stond. Overigens mocht de m oeder wel aan boord. P rofilerin g In hoofdstuk 5 hebben w e gezien dat de verschillende deel-identiteiten die horen bij de onderscheiden rollen in mijn leven door een verzam eling attributen gekarakteriseerd kunnen worden. Bij profilering probeert men uit gegevens in databanken zulke attri buten te reconstrueren en samen te voegen tot een profiel o f virtuele identiteit waarin zo groot m ogelijk aantal van m ijn rollen com bineerd wordt. D e im pliciete aanname hierbij is dat u en ik, in al onze rollen, dezelfde persoon zijn en blijven. Vanzelfspre kend wordt er geen rekening gehouden m et individuele wensen om rollen gescheiden te houden. D it is een van de onaangename aspecten van profilering. Z o ’n profiel wordt vervolgens gebruikt om inschattingen te maken o f beslissingen te nemen, zoals hoe een groot risico u vorm t bij een hypotheek o f verzekering die u a f zou willen sluiten, o f hoe groot het veiligheidsrisico is bij uw verschijning in de openbare ruimte. Tot op zekere hoogte is zo ’n strategie nog wel begrijpelijk. M aar er zijn ook duidelijk risico’s en nadelen aan verbonden. Een kwalijke aspect van profilering is bijvoorbeeld dat de criteria die gehanteerd worden zelden expliciet zijn. M isschien zijn ze wel van beden kelijke aard o f kwaliteit. In dat geval kunnen m akkelijk onjuiste conclusies getrokken worden. Aanvechting van op profilering gebaseerde beslissingen is moelijk, zeker bij 3Bij de Nederlandse Big Brother Awards voor privacyschendingen vallen steevast een aantal van dit soort voorbeelden, bij scholen of ziekenhuizen, inde prijzen, zie www. b i g b r o t h e r a w a r d s . n l.
16. Databanken en profilering
85
onduidelijke criteria om dat niet herleidbaar hoeft te zijn op welke gronden beslissin gen genom en worden. De algemene druk die van profilering uitgaat is om vooral niet op te vallen en je hoofd niet boven het maaiveld uit te steken: je kunt je m aar beter conformeren zodat je vooral m aar geen b a d profile krijgt w aardoor je op allerlei black lists kom t te staan en deuren voor je sluiten: You better be careful, o r y o u w ill e n d up on the list! Profilering w ordt in de com m erciele sector graag gebruikt voor gerichte marketing. D it scheelt kosten en kan potentiele klanten soms verleiden tot onnodige aankopen om dat ze zich persoonlijk aangesproken voelen. Eventuele fouten zijn niet ram pza lig. Ik kan er niet van w akker liggen o f men mij m eent te kunnen karakteriseren als een Amstel o f als een Heineken drinker. Toch kan het ook gevoeliger liggen, b ij voorbeeld w anneer de karakterisering w el/niet incontinentie omvat. M aar bij profielen in de beveiligingssector kunnen foute besluiten een veel grotere invloed hebben, zo wel bij fa lse p o sitiv e s (terrorist mag wel aan boord) als bij fa lse negatives (kleuter m ag niet aan boord). Ook hier is het een serieus probleem dat de beoordelingscrite ria meestal verborgen en m isschien wel dubieus zijn. D urft u nog een halal-m aaltijd te vragen bij het kopen van een vliegticket naar de Verenigde Staten? M aak je je zelf daarmee verdacht? W aarschijnlijk krijg je een paar bonuspuntjes extra op je persoon lijke terrorisme-spaarkaart. En m et w elk gedrag krijg je nog m eer bonuspunten? Wie beslist dat eigenlijk, en op grond van welke criteria? En hoe raak je zulke bonuspunten ooit w eer kwijt, o f kan dat uberhaupt niet? En w at als iem and zich als jo u voordoet en in die hoedanigheid veel punten krijgt? Al deze ongem akkelijke vragen dienen zich aan bij profilering. E ffectiviteit De prijs van hard disks en geheugenchips daalt al jaren en hun capaciteit neem t nog steeds toe. We kunnen tegen steeds m inder kosten steeds m eer opslaan. M aar hoe m eer er opgeslagen is hoe m oeilijker het w ordt om iets terug te vinden, o f om alle gegevens te transformeren. H oe groter hoe logger geldt ook voor databanken. N aar verluid heeft A lbert H eijn zoveel klantgegevens dat ze zelf niet m eer w eten hoe ze er effectief gebruik van kunnen maken. Bij de discussies over de Europese regelgeving over opslag van verkeersgegevens (voornamelijk van bellen, em ailen en surfen) speel de de gigantische omvang van wat opgeslagen m oet gaan worden een voornam e rol; providers hebben begrijpelijkerwijs geen zin om voor die opslag (plus beveiliging) op te draaien. Je kunt het vergelijken m et de hoeveelheid gegevens die beschikbaar komen w anneer iedere straat in Europa voorzien w ordt van cam era’s. H ebben we er dan nog wel w at aan? Londen hangt al vol m et surveillancecam era’s, w aardoor er ongelooflijk veel beeldmateriaal beschikbaar is. Ik heb me laten vertellen dat de terroristen achter de aanslagen in de zom er van 2005 op beeld gevonden zijn alleen om dat ze toevallig voorkwamen in de eerste partij banden die onderzocht werd. A nders werd er mogelijk nu nog naar ze gezocht. Ook profilering heeft z ’n beperkingen. Stel we hebben een extreem goed veilig-
86
Deel IV
heidsprofiel m et een heel kleine foutmarge van, zeg, een procent. Z o ’n foutmarge is volstrekt onrealistisch omdat we helemaal niet weten hoe we terroristen kunnen her kennen. Hoeveel terroristen zijn er eigenlijk? Ook dat w eten we natuurlijk niet precies, m aar laten het er eens een op de m iljoen zijn. D an m o e tje dus tienduizend mensen uit een rij van een m iljoen halen om die ene (mede) te selecteren. Vervolgens moet je hopen dat je de gezochte terrorist m et andere middelen kunt herkennen in de overge bleven groep van tienduizend. Zulke uniform e controlem echanism en zijn voor grote groepen (zoals de gehele bevolking) niet werkbaar. Binnen een reeds geselecteerde kleinere groep zou profilering echter wel nuttig kunnen zijn. In de com merciele wereld w ordt profilering wel vrolijk toegepast op heel grote groepen mensen om dat foute indelingen van individuen daar geen dramatische gevol gen hebben— vooral voor de betrokken bedrijven zelf, natuurlijk. G evolgen v an surveillance en p rofilering In de klassieke natuurkunde hebben observaties geen effect: het m aakt voor de loop van een planeet niet uit o f je er nu wel o f niet naar kijkt. Op het sub-moleculaire niveau worden quantum m echanische beschrijvingen gebruikt waarbinnen observaties wel degelijk effect hebben. Voor ons mensen werkt het net zo: voor u en uw partner m aakt het w aarschijnlijk heel w at uit o f u wel o f niet geobserveerd wordt w anneer u de liefde w ilt bedrijven. N et zo heeft de aanwezigheid van een flitspaal invloed op rijgedrag bij het op oranje springen van een stoplicht. Surveillance heeft dus een sturende werking, zelfs w anneer je niks te vrezen hebt (zoals bij het vrijen). Op zich is er niks mis m et surveillance wanneer de doelen hel der bekendgem aakt zijn en breed gedragen worden, zoals bij verkeerscontroles. Voor handhaving van wetten volstaat vaak een vluchtige controle, waarbij er bij goed ge drag geen spoor achtergelaten w ordt4. De invloed van aan surveillance gekoppelde profilering op gedrag is vaak echter groter: je w eet dan vaak helem aal niet waarop geprofileerd wordt en o f je wel o f niet iets te vrezen hebt. Ook is surveillance voor profilering per definitie niet vluchtig, omdat het er ju ist om te doen is een spoor vast te leggen en te koppelen aan reeds bestaande inform atie voor een profiel. H et grootschalig gebruik van dit soort profileringsm echanism en voor beveiligingsdoeleinden leidt tot een bange en onzekere bevolking van makke schapen. Aan de angst voor terrorism e wordt de angst voor een b a d profile toegevoegd. Gaan wij het in de westerse wereld w innen van landen als China en India op het vlak van con formism e en volgzaamheid? Waar liggen onze oorspronkelijke waarden en kracht? Laten we ons zodanig meesleuren en uitdagen door terroristen dat wij over onszelf een veiligheids-com m unism e afroepen waarbij de belangen van individuen ondergeschikt gem aakt worden aan de vermeende veiligheidsbelangen van het collectief?
4Of er ook inderdaad helemaal geen spoor achterblijft is niet altijd duidelijk, bijvoorbeeld bij trajectcontrole.
Hoofdstuk 17 Draagvlak De overheid draait de laatste jaren m et dubbele pet (Big B rother en Soft Sister) de duimschroeven aan: er kom en nieuwe identiteiten (BSN) en authenticatiem iddelen (biometrie) w aarm ee m eer identiteitsgebonden inform atie vastgelegd w ordt en waar mee uitgebreider en strenger gecontroleerd wordt. Vooralsnog lijkt de burger zich van de noodzaak te laten overtuigen door de gehanteerde argum enten veiligheid en gemak. M aar blijft dat zo, zeker op de lange termijn? W anneer voelen mensen zich teveel als gelabeld vee behandeld en kom t er een omslag in het denken en handelen? D e overheid neem t nu al zekere risico’s die meestal niet zo expliciet besproken worden. De introductie van het nieuwe paspoort kan gezien w orden als een groot soci aal experiment. Zoals bekend bevat het biom etrische paspoort een chip die draadloos bevraagd kan w orden naar de inform atie die erin opgeslagen ligt. Ieder afgegeven pas poort w ordt tegenwoordig voorzien van zo ’n chip. M aar iem and die zo ’n chip echt niet wil kan het paspoort thuis in de m agnetron leggen w aardoor de chip onklaar gem aakt wordt. Wat overblijft is een traditioneel, nog steeds geldig, paspoort waaruit gegevens alleen op niet-elektronische w ijze uitgelezen kunnen worden. D e chip is slechts een aanvulling. Indien een o f andere actiegroep zich richt tegen het grootschalig gebruik van biom etrie en veel mensen ertoe w eet aan te zetten om hun eigen paspoortchip onklaar te maken tast dit de effectiviteit van het hele project aan1. Er kan immers niet aangetoond worden dat iem and moedwillig de chip in het eigen paspoort opge blazen heeft. W anneer tientallen procenten van de N ederlanders m et kappotte chips (en onnozele gezichten) aan grensovergangen verschijnen heeft het weinig zin m eer de biom etrie te controleren. Een radicalere actiegroep zou een stap verder kunnen gaan en mensen niet alleen vragen om hun eigen paspoortchip onklaar te maken m aar zelf ongevraagd chips in paspoorten van anderen gaan vernietigen. D at zou m ogelijk kunnen door a f en toe op straat een gedoseerde elektromagnetische puls uit te stralen w aardoor chips in paspoor ten in de directe omgeving het begeven. Hierbij loopt men wel het risico dat veel m eer apparatuur vernield wordt, zoals bankpassen, organisers, GSMs, o f zelfs pacemakers. 1Denk bijvoorbeeld aan de impact van www. w i j v e r t r o u w e n s t e m c o m p u t e r s n i e t . n l.
88
Deel IV
In het eerste geval van zelfgekozen vernietiging kan de overheid nog enige invloed uitoefenen door het mensen die m et een kappotte paspoortchip de grens passeren zo danig onaangenaam te maken (ophouden o f visiteren) dat men zou willen dat de chip werkte. M aar het is de vraag o f men individuen verantw oordelijk kan houden voor het correct functioneren van hun paspoortchip. In het tw eede geval van ongevraagde vernietiging kan niet veel anders gedaan worden dan de bronnen van de elektrom ag netische pulsen proberen op te sporen. Ook kan de overheid bij dit soort ondermijning besluiten een tandje hoger te scha kelen en de biom etrische gegevens van burgers niet m eer op de paspoorten op te slaan m aar enkel nog in een centrale databank— m et alle risico’s vandien voor de burgers, zie H oofdstuk 13. Bij verificatie w ordt de afgegeven vingerafdruk dan vergeleken met de versie in de databank. Bij identificatie wordt een afgegeven vingerafdruk opgezocht in de databank om de bijbehorende identiteit te vinden. M aar ook bij zo ’n centrale databank kunnen onwillige en dwarse burgers roet in het eten gooien. Stel dat veel mensen uit protest zelf hun vingerafdrukken op het web plaatsen. D it geeft anderen de m ogelijkheid zom aar een vingerafdruk te kiezen, te downloaden, op een vliesje na te maken, en te misbruiken. M ocht mijn vingerafdruk dan ergens op een plaats van een delict aangetroffen worden kan ik altijd roepen: “he, mijn vingers staan op het web; dit kan iedereen geweest zijn” . D eze vorm van onder mijning heeft natuurlijk alleen zin w anneer niet alleen m ijn vingerafdrukken m aar ook die van veel anderen op het web staan. Z o ’n vlucht vooruit onderm ijnt de identifica tiem ogelijkheden van centraal opgeslagen biometrie. H et onderliggende punt is: d o n 't p u sh things too fa r . D e overheid is uiteindelijk afhankelijk van draagvlak onder de bevolking. M aar niet alleen dat. D oor een toe nem end leunen op technische m aatregelen m aakt de overheid zich ook kw etsbaarder voor de w aarschijnlijk kleine groep van technisch onderlegde individuen die het sys teem kunnen m isbruiken o f zelfs saboteren. Techniek m aakt kwetsbaar, zeker w anneer de inzet een centralistisch karakter heeft. M aar onwillige burgers vormen niet alleen een gevaar in destructieve zin. Ze kun nen ook op eigen w ijze creatief gebruik m aken van de technische m ogelijkheden w aar bij de overheid het nakijken heeft. Een voorbeeld is de ‘cryptophone’, een com mer cieel verkrijgbare niet-afluisterbare mobiele telefoon. O ok blijkt dat het aftappen van telefoongesprekken steeds m inder effectief wordt om dat crim inelen (o f andere bur gers) op alternatieve wijze gaan communiceren, zoals bijvoorbeeld via chatkanalen in m ulti-player online games. M oet dat ook allemaal opgeslagen en afgeluisterd worden? Soms zijn naïeve oproepen hoorbaar die stellen dat heel het internet (o f alle PCs) onder strakke controle geplaatst zouden m oeten worden en dat alle online activiteiten strenge authenticatie zouden moeten vereisen zodat tenm inste duidelijk is wie w at uit vreet. Afgezien van de technische en organisatorische com plexiteit van zo ’n om scha keling is het belangrijk te beseffen dat dergelijke vergaande maatregelen online niet m ogelijk zijn zonder vergelijkbare draconische en dictatoriale maatregelen offline, in het dagelijkse leven. Vrijgevochten burgers die geen behoefte hebben aan dergelijke betutteling en controle zouden im mers hun eigen parallelle internet kunnen gaan opzet
17. Draagvlak
89
ten, bijvoorbeeld via aan elkaar geknoopte locale draadloze netwerken2. D e techniek en de vertrouwdheid m et het gebruik ervan zijn inm iddels zodanig verspreid in on ze samenleving dat alleen N oord-Koreaanse omgangsvorm en tussen staat en burgers dergelijke iniatieven zouden kunnen onderdrukken. D o n ’t p u sh things too far. Technische kennis is tegenwoordige wijd verspreid in de samenleving. D it vormt de basis voor innovatie en econom ische kracht. Tegelijkertijd betekent deze versprei ding dat de overheid geen technische monopolies heeft en kan gebruiken voor de eigen Big Brother en Soft Sister rollen. Afgezien van de morele argum enten zijn er dus vol doende pragm atische redenen waarom de nodige terughoudendheid in overheidsm aat regelen gepast is: technisch onderlegde enkelingen kunnen het systeem ondermijnen. In dit stadium is de m achtsbalans tussen burgers en overheid gelukkig nog niet volledig omgeslagen in de richting van de overheid. Indien hardware (apparatuur) en software (program m a’s) goedkoop en breed ver krijgbaar zijn kunnen we die mate van verspreiding m isschien m aar beter accepteren en benutten in een m eer gedecentraliseerde identiteitsinfrastructuur.
2Zie bijvoorbeeld het initatief www. f o n . com.
90
Deel IV
Hoofdstuk 18 Informatie en macht Een oude uitdrukking zegt: kennis is macht. W anneer u veel over mij w eet kunt u mij bijvoorbeeld chanteren; iets onschuldiger kunt u ook anticiperen op mijn handelingen en daar ten eigen bate op inspelen. Eigenaren o f beheerders van grote databanken m et persoonsgegevens hebben een sterke inform atiepositie en daarmee m acht over de betrokkenen. Een m edewerker van een credit card m aatschappij kan u o f mij mogelijk chanteren op basis van uitgaven in bepaalde etablissem enten van plezier. M acht heeft de neiging zichzelf te versterken. Een eenmaal opgebouwde positie w ordt zelden spontaan opgegeven. Regulering is vaak de enige m anier om degenen aan de zwakke kant van de machtsverhouding te beschermen. K enm erkend voor een rechtstaat is een redelijke verdeling van macht. D igitale technieken kunnen door verschillende partijen in het m achtsspectrum ge bruikt worden. In de huidige ‘platte’ wereld kunnen individuen er hun invloed mee vergroten, bijvoorbeeld door via blogs zelf hun ‘boodschap’ te verspreiden, hun ta lenten o f diensten w ereldwijd aan te bieden, o f verkopers te dwingen tot een gunstig prijsniveau via uitgebreide online prijsvergelijking. O ok kunnen dissidenten bijvoor beeld via versleuteling vertrouw elijk en anoniem com m uniceren en zich daarmee on afhankelijk organiseren. M aar het lijkt erop dat vooral de traditionele machthebbers van de nieuwe technieken profiteren en er hun m achtpositie m ee versterken. Vaak zijn zij het immers die beslissen over de organisatie o f architectuur van de beschikbare techniek, zoals over het wel o f niet centraal opslaan van vervoersbewegingen bij re keningrijden (zie H oofdstuk 3). Op eenzelfde m anier willen de grote partijen achter de OV-chipkaart zoveel m ogelijk inform atie over de reizigers identificeerbaar opslaan om dat zulke inform atie m acht en geld oplevert. Alleen regulering, opgelegd door de overheid o f het College Bescherm ing Persoonsgegevens (CBP), dw ingt deze partijen tot enige matiging. Binnen discussies over structurele keuzes bij inform atisering speelt altijd een machtsvraag, nam elijk wie er zeggenschap krijgt over welke inform atie— en dus over de bijbehorende macht. D e overheid heeft hierbij een speciale positie. H et naïeve beeld is dat weinig regu lering goed is voor de vrijheid van de burger: hoe m inder de overheid zich met zaken bem oeit hoe vrijer de burger is om zelf te handelen. In een m eer genaunceerd beeld
92
Deel IV
garandeert overheidsregulering ju ist de individuele vrijheid. D e huidige samenleving is zo complex dat regels ju ist nodig zijn om zodanige om gangsvorm en m ogelijk te maken dat individuen vrij kunnen handelen. D ie regels m oeten met nam e de machtige partijen— inclusief de overheid zelf—beperken in de invloed die ze over zwakkere par tijen kunnen uitoefenen. D e paradoxaal klinkende situatie dat vrijheid geregeld moet worden vraagt om politiek waarin betuttelende socialisten en vrijzinnige liberalen tot een overstijgende synthese komen. Vanuit dit perspectief is een actief overheidsbeleid noodzakelijker dan ooit bij de grote m aatschappelijke inform atiseringsprojecten die nu in gang gezet zijn o f worden, zoals het biom etrische paspoort, de OV-chipkaart, en digitale inform atievoorziening en transacties. Indien w e op dit gebied enige bescherm ing van het individu wensen, bij voorbeeld in het systematisch gebruik van pseudoniem en en andere Privacy Enhancing Technologies (PETs), zal dit afgedwongen m oeten worden via integere overheidsregulering. D e betrokken ‘m achtige’ partijen die de keuzes m aken zijn uit zichzelf niet geneigd kleinschaligheid en belangen van individuen voorop te stellen. H et is hierbij de moeite waard het pleidooi te herhalen dat opgeschreven is in het Actieprogram m a ‘Andere O verheid’ (2003): “M eer zeggenschap, m eer m ogelijkheid voor eigen initiatieven, m eer betrokkenheid bij politiek en bestuur en m eer gelijk waardige verhoudingen tussen burgers en overheid.” M et nam e deze gewenste ge lijkwaardige verhoudingen vereisen een actieve stim ulering van decentrale opslag van gegevens en van individueel zeggenschap en beheer over de eigen persoonsgegevens. De fundam entele vraag is o f de overheid deze fraaie intenties w erkelijk m eent en ook w aar wil m aken door distributie van gegevens en daarbijhorende macht. Zal onze door terrorism e geobsedeerde overheid in staat zijn om haar burgers die m acht in handen te geven? H et gaat dan niet om zoiets onbenulligs als een Persoonlijke Internet Pagina1 bij de overheid waarop verschillende gegevens en procedures bekeken en gevolgd kun nen worden, m aar om een zodanig individueel zeggenschap dat de overheid zelf ook niet m eer bij de gegevens kan— tenzij de burger daar zelf toestem m ing voor geeft, o f de overheid speciale gerechtelijke volm achten heeft. Ik m een w erkelijk dat zo ’n ver deling van m acht via technische m iddelen noodzakelijk is om op de langere term ijn de fundam entele waarden van individuele autonomie die ten grondslag liggen aan onze samenleving overeind te kunnen houden.
G ood guys en b a d guys De toegenomen technische mogelijkheden geven de overheid natuurlijk verleidelijk veel mogelijkheden. Vroeger waren de surveillancecapaciteiten beperkt en w erden al leen diegenen in de gaten gehouden die eerst als verdachten gekenm erkt werden. D at laatste gebeurde, in juridische termen, op basis van een redelijk vermoeden. Tegen woordig kan iedereen in de gaten gehouden worden en hoeft surveillance niet m eer om praktische redenen beperkt te worden tot verdachten. D ie m ogelijkheden worden dan 1Ofwel PIP, zie www. e - o v e r h e i d . n l / s i t e s / p i p / .
18. Informatie en macht
93
ook graag benut, bijvoorbeeld in de afgedwongen opslag van verkeersgegevens van alle Europeanen. In d e r B e sch rä n ku n g z e ig t sich d e r M eister. Ondanks deze verleidelijke m ogelijk heden is het m isschien toch gepast deze surveillance welbewust te beperken tot de bad guys en de overgrote meerderheid van good guys weloverwogen m et rust te laten, on der het m otto s e le c t before y o u collect. Sterker nog, surveillance kan als sanctiemiddel selectief ingezet worden— onder de noem er revocable p r iv a c y —waarbij bijvoorbeeld van veroordeelde pedofielen o f bezitters van kinderporno het internetverkeer voor lan gere tijd wel opgeslagen wordt. D eze strategie sluit aan bij fundam entele principes: net zoals niem and schuldig is tenzij dat bewezen is getuigt het van beschaving om nie m and aan surveillance te onderwerpen tenzij daar gegronde redenen voor zijn. Is men eenmaal een bad guy dan kan surveillance in m eer o f m inder m ate ingezet worden als straf. Wat doe je liever: een ja ar zitten o f tien ja ar rondlopen waarbij je locatie continu geregistreerd wordt? D eze strategie gaat uit van een tw eedeling in good guys— die niet geobserveerd hoeven te worden— en bad guys— die daaraan wel in bepaalde m ate onderworpen w or den. Een fundamenteel punt van zorg bij deze strategie is hoe w e deze opdeling in good en bad guys dan m oeten bepalen. Juist daarvoor lijkt grootschalige surveillance im mers nodig. Vaak w eten we vooraf niet w ie de bad guys zijn, en kunnen we dus m aar beter iedereen in de gaten houden zodat we uit de resulterende gegevens inform atie kunnen halen over degenen die achteraf ‘b ad ’ bleken te zijn. D it is een valide redenering, waarop ik tw ee tegenargum enten heb. Om te beginnen blijkt dit selectie-issue in de praktijk niet zo ’n probleem te zijn, zelfs niet in de terroris mebestrijding. Van alle publiekelijk bekende gevallen van terrorism e waren de daders vooraf reeds in beeld bij de inlichtingendiensten. Ze waren al bekend als potentieel ‘bad’, w at voldoende reden zou m oeten zijn om uitgebreidere surveillancemechanism en in te schakelen. De inlichtendiensten hebben in deze gevallen vaak ook adekwaat gehandeld, m aar niet altijd (zoals bij de moord op van Gogh). M eestal is het probleem in die kringen dat er ju ist teveel inform atie voorhanden is en dat de uitdaging erin zit om de ruis eruit te filteren om de echte dreigingen over te houden2. D e bad guys zijn dus meestal wel bekend. M aar toch zijn er situaties denkbaar waarbij een good guy die niet onder surveillance staat plotseling bad wordt waardoor er geen o f weinig achtergrondgegevens beschikbaar zijn voor vervolging en veroor deling. D it is inderdaad een risico. Voor een goede afweging van dit risico, en voor een goede verdere discussie over de afweging ‘alleen gerichte’ o f ‘ju ist ongerichte’ data surveillance, is het noodzakelijk dat er een beter inzicht kom t in de grootte ervan. D it vergt nader onderzoek, liefst door een onafhankelijke com m issie m et toegang tot vertrouwelijke gegevens. H et gaat hier immers om fundam entele vragen. Ik ben voor alsnog sterk geneigd te denken dat we het hier hebben over een risico dat we moeten 2Meer onafhankelijke studie naar de effectiviteit van verschillende methoden van terrorismebestrij ding is dus dringend gewenst. Elementen daarvan zijn te vinden in: Rob de Wijk en Carla van Relk, Doelwit Europa: Complotten en aanslagen van moslimextremisten (Mets & Schilt, Amsterdam, 2006), ook al zijn detectiemethoden daar niet zelf onderwerp van studie.
94
Deel IV
nem en w anneer we niet in een politiestaat terecht willen komen. D it is m ijn tweede punt. D eze bereidheid dit risico omwille van de beschaafdheid van onze samenleving te accepteren zal echter vooral onder druk komen te staan bij plotselinge ernstige m is drijven o f aanslagen w anneer de bevolking geschokt is en er incident-politiek bedreven wordt. Echter ook in dat soort om standigheden is het belangrijk de rug recht te houden en uit te stralen: wij houden vast aan onze waarden en kunnen dit aan. Bedreigende en gewelddadige politieke bewegingen komen op en verdwijnen ook weer. Repressieve infrastructuur verdw ijnt m inder snel.
Deel V Hoe verder?
Hoofdstuk 19 Hoeveel moeite willen we doen? De beschouw ingen in de voorafgaande hoofdstukken bevatten een rode draad waarin persoonlijke autonomie verdedigd wordt in tijden waarin individuen onder druk staan van overheid en bedrijfsleven om vooral transparant, voorspelbaar en conformistisch te leven omwille van organisatorische en com m erciele belangen. Privacy speelt daarbij een belangrijke rol in de vorm van zeggenschap over de eigen rollen en over de daarbij horende deel-identiteiten en gegevens. Onderdeel van die rode lijn is wantrouwen tegenover een centralistische ICT-organisatie waarbij individuen steeds indringender door computers omringd worden en aan alle kanten bevraagd en besnuffeld worden door apparaten die zij gedwongen worden te vertrouw en zonder dat ze daar adekwate middelen voor in handen hebben. D aartegenover w ordt hier gepleit voor ICT met een m enselijke m aat waarbij een aanzienlijke mate van individuele autonomie over de eigen rollen en de daarbij behorende gegevens zou kunnen (blijven) bestaan. In dit laatste deel van het boek zal de blik m eer op de toekom st gericht worden. In dit eerste hoofdstuk zullen op basis van het voorafgaande tw ee mogelijke toekom st scenario’s (als uitersten) geschets en besproken worden. 1. In het eerste scenario hebben Big B rother en Soft Sister de handen stevig in eengeslagen: burgers hebben een chip in de nek en lopen voortdurend door (al o f niet zichtbare) controlepoortjes w aar hun identiteit gecontroleerd en geregi streerd wordt. Bij ieder loket, dienst, o f inform atiezuil w orden mensen autom a tisch herkend, en op hun wenken bediend, uitgaande van beschikbare profielen. Deze profielen (o f virtuele identiteiten) w orden voortdurend aangepast op basis van het geregistreerde gedrag, zodat de dienstverlening steeds optimaal aansluit bij eerdere wensen. Hiervoor is het toegestaan dat iedereen gegevens en profie len over anderen opslaat en bewerkt, binnen algemene kaders. A fwijkingen van geoorloofd gedrag worden direct opgemerkt, en leiden onm iddelijk tot beper king van autorisaties, zodat de m ogelijkheid tot voortzetting o f uitbreiding van het vertoonde ongewenste gedrag gelimiteerd is. H et vaststellen van deze af wijkingen en het opleggen van deze beperkingen van eigen diensten is ook aan iedereen toegestaan.
98
Deel V
2. In het tw eede scenario hebben mensen zelf controle, niet alleen over hun eigen (persoons)gegevens en nagelaten digitale sporen, m aar ook over de mom enten en m anieren waarop ze zich authenticeren. Daarbij zijn ze in staat eerst de aard en authenticiteit vast te stellen van het controlepunt: de omgeving authenticeert zich eerst. Bij een loket / dienst / inform atiezuil kiest de burger zelf w elke infor matie op dat m om ent beschikbaar w ordt gesteld (ook over de eigen identiteit) en onder welke gebruiksvoorwaarden. Deze privacy is echter individueel (en niet collectief) revocable: bij gerechtvaardige verdenking o f na veroordeling kan ad ditionele registratie van gedrag opgelegd worden. De grote vraag is nu: w aar kiezen w e voor? H et eerste scenario biedt veiligheid en gemak, ervan uitgaande dat alles w erkt zo als het bedoeld is en m isbruik van het systeem uitgesloten is zodat individuele vrijheid (binnen de door het systeem vastgestelde grenzen) gegarandeerd is. Deze symbioti sche structuur van in een groter geheel geïntegreerde individuen heeft echter totalitaire trekjes die een zeker gevoel van ongem ak oproepen. M oeten we m aar leren omgaan m et dit gevoel van ongemak? Is dit iets waar we vanzelf wel aan wennen en w aar we ons op een gegeven m om ent niet m eer van bew ust zijn— net zoals slechts w einigen er m oeite mee hebben dat ze voortdurend via hun mobiele telefoon traceerbaar zijn. H et tw eede scenario heeft niet deze ingebouwde symbiose m aar kent een duidelij ker scheiding tussen individuen en hun omgeving. D it vraagt echter een veel grotere inzet van individuele mensen. D aarnaast vraagt het ook (meestal) om extra moeite bij de inrichting van ICT-systemen om de geschetste decentrale controle m ogelijk te maken. H ebben w e daar de extra moeite en kosten voor over? Zoals eerder genoem d vraagt individuele vrijheid om een actieve opstelling om zelf keuzes te maken en je niet te laten leiden en verleiden door interne im pulsen en externe verlokkingen. N iet iedereen is daar in gelijke mate toe geneigd (of in staat). Op een vergelijkbare m anier vraagt (informationele) autonomie om een actieve opstelling. De Franse filosoof Foucault riep: m aak van je leven een kunstwerk! Zoiets lijkt ook in deze context van toepassing. W ie wil (o f kan) dat? D e grote vraag is dus: w at hebben we er voor over? Ikzelf ben w el principieel in dit soort zaken, m aar ik ben ook vaak lui en gemakzuchtig. Ook al ligt m ijn sympathie nadrukkelijk bij het tw eede scenario, ik realiseer mij terdege dat ik daar wel heel wat voor m oet doen. En ik niet alleen. Is het tw eede scenario wel realistisch? M isschien niet. M isschien m oeten we over enige tijd m istroostig (sa d d e r but wiser) constateren dat idealen als privacy en individuele autonomie te hoog gegrepen zijn voor de m ensheid en dat (onze manier van inzetten van) ICT tot panoptische controlerende structuren leidt en het in die zin van ons over neemt. H istorisch gezien hebben die privacy en autonom ie dan m aar relatief korte tijd bestaan. M ogelijk zijn het toch geen w ezenlijk m enselijke trekken. Voor het ooit zover komt, wil ik, misschien tegen beter weten in, nader onder zoeken hoe die individuele autonomie m et moderne ICT wel ondersteund zou kunnen worden. M ogelijk is daarm ee het tw eede scenario te realiseren, o f toch ook een rede-
19. H oeveel m oeite w illen w e doen?
99
lijke mengvorm van de als tw ee uitersten bedoelde scenario’s. D aar zal de rest van dit laatste deel van het boek aan gewijd zijn.
100
Deel V
Hoofdstuk 20 Richtlijnen H et tw eede “autonom ie” scenario uit het vorige hoofdstuk zal hier nader uitgewerkt in een aantal algemene richtlijnen voor het gebruik van ICT in onze samenleving. Daarbij worden veel aspecten open gelaten over hoe die richtlijnen het beste in de praktijk gebracht zouden kunnen worden. In het volgende en laatste hoofdstuk w ordt daar wel een mogelijke, m eer concrete technische invulling aan gegeven in de vorm van een persoonlijke apparaatje dat individuen helpt bij het eigen beheer van identiteiten, gegevens en policies. 1. D ecen traliseer gegevensbeheer In de Europese politiek geldt het zogenaam de subsidiariteitsbeginsel. H et is erop ge richt besluitvorm ing zo dicht m ogelijk bij de burger te laten plaatsvinden en alleen naar een hoger centraal niveau te tillen— en dan nog in beperkte mate— indien daar een aantoonbare noodzaak voor aanwezig is. Eenzelfde principe zou moeten gelden voor gegevensbeheer: laat gegevens zo dicht m ogelijk bij de mensen zelf en centrali seer alleen w anneer daar een dwingende inherente noodzaak voor aanwezig is. D e achterliggende gedachte is dat ik zeggenschap zou m oeten hebben over gege vens over mij. Indien iem and anders ze nodig m eent te hebben m oet er netjes om ge vraagd worden. Grote onpersoonlijke databanken m et persoonlijke gegevens werken vervreem dend en kennen veel bedrijfsrisico’s voor de betrokkenen die kunnen leiden tot com prom itering o f identiteitsfraude. Decentraal beheer benadrukt de eigen verant woordelijkheid van de burger en geeft mogelijkheden om zelf te kiezen hoe het beste m et de gegevens om te gaan. M isschien kiezen sommigen er dan zelf wel voor om het beheer van de eigen gegevens uit handen te geven aan vertrouw de grote partijen. M aar anderen beheren de eigen gegevens m ogelijk liever zelf. 2. S e le c t b e fo re y o u co llect H et is ongepast en onw enselijk w anneer de overheid van alle burgers inform atie ver zam elt ‘voor het geval dat’ (co llec t before select). Ondanks m ogelijk enige effectivi-
102
Deel V
teitsvoordelen bij de opsporing en vaststelling van strafbare feiten m oeten we zoiets niet willen. D eze aanpak verstoort de m achtsbalans tussen overheid en burgers, en leidt, zeker in com binatie m et uitgebreide profilering, tot gedweee, conformistische en bange onderdanen. In plaats daarvan moeten we, ook nu de technische mogelijkheden voor grootscha lige surveillance beschikbaar zijn, er expliciet voor kiezen die niet in te zetten en de grote meerderheid nadrukkelijk m et rust laten. H ierm ee toont de overheid vertrouwen in en respect voor de eigen burgers, m aar niet noodzakelijkerwijs naïviteit. D e bad guys m oeten wel degelijk in de gaten gehouden worden, m aar alleen na selectie. In formatie kan ook al in een vroeg stadium verzameld worden, op basis van een redelijk vermoeden dat onafhankelijk getoetst wordt. Indien iem and eenmaal terecht verdach te is mag wat mij betreft de volledige staatsm acht ingezet worden. M aar het zou een kenm erk m oeten zijn van een geciviliseerde samenleving om, ondanks de beschikbare technologische mogelijkheden, toch a f te zien van de inzet van die staatsmacht (bij voorbeeld via uitgebreide data surveillance) zonder selectie vooraf. D it is een grote uitdaging om dat het gaat om een fundam entele beperking van de m acht van de over heid. Bij de Europese regelgeving m et betrekking tot opslag van verkeersgegevens wordt deze richtlijn geschonden. D ie m oet dan ook snel van tafel.
3. S urveillance als s tr a f Intensieve surveillance van het dagelijkse leven is dermate onprettig dat het ook goed ingezet kan worden als straf volgend op een veroordeling. D it sluit aan bij reeds be staande praktijken waarbij een vorm van huisarrest opgelegd kan worden die gecon troleerd w ordt via een zendertje in een enkelband bij de veroordeelde. D e kern van de straf is een vermindering van anonim iteit tegenover bevoegde instanties gekoppeld aan gedwongen centrale vastlegging van bijvoorbeeld alle communicatie, locatie en trans actie gegevens. N et als m edische zorg steeds persoonlijker bij mensen thuis plaats vindt kan bestraffing op deze wijze ook gerichter (en m ogelijk ook goedkoper) in de eigen omgeving plaatsvinden. Zulke gedw ongen surveillancemaatregelen hebben zo wel een vergeldende als een preventieve werking: de veroordeelde wordt tegelijkertijd geconfronteerd m et onaangename consequenties en m et een panoptische blik die ie dere m ogelijke volgende misstap direct registreert— en liefst ook een passende reactie direct in gang zet. N et als in het vorige punt gaat het hier om een selectieve, beperkte inzet van sur veillance, en niet om een collectieve, onbeperkte vorm die de gehele bevolking raakt. Ook dit vergt een bewuste keuze: de gewone burger krijgt het vertrouw en en de m id delen om de eigen identiteit en gegevens te beschermen, tenzij.
20. Richtlijnen
103
4. A ttrib u te n in p laats v an id en titeiten Opvallend veel transacties kunnen plaatsvinden op basis van attributen en hoeven niet te beschikken over de identiteiten van de betrokkenen, zie H oofdstuk 11. We moeten ons beter gaan realiseren dat overal je naam (of andere identificerende gegevens) ach terlaten je kw etsbaar m aakt voor identiteitsfraude en ongebreidelde profilering. Waar om staat er bijvoorbeeld eigenlijk een naam op een bankpasje? Waarom niet alleen een nummer, o f een pseudoniem — en dan liefst nog een steeds w isselend eenmalig pseudoniem zodat kwaadaardig hergebruik niet m ogelijk is? O f waarom gebruiken we geen anoniem elektronisch geld, in plaats van de huidige chipknips w aarm ee betalin gen traceerbaar zijn? Een winkelier hoeft toch niet m eer van mij te weten dan dat ik voldoende kapitaalkrachtig ben voor de geplande aankoop. Technisch zijn zulke identiteitsarm e transacties inm iddels allemaal mogelijk. We kunnen computers gebruiken om de bijbehorende administratieve details (zoals tijdelijke identiteiten) bij te houden en a f te handelen zodat er geen overlast is voor de gebruikers. Degenen echter die be slissen over de ICT-infrastructuur zijn tot nu toe niet o f nauw elijks bereid geweest— o f ertoe gedwongen— zulke privacyvriendelijke m echanism en te im plementeren. M aar misschien ook is het inzicht in de risico’s voor ons als individuen op de lange ter mijn onvoldoende aanwezig, en zijn er nog te weinig dingen goed fout gegaan. Een groot deel van de aantasting van onze privacy door identiteitsrijke technieken verloopt sluipenderwijs. M isschien is er eerst een dramatische gebeurtenis nodig— zoals een moordaanslag op een bekende N ederlander m et een bom die getriggerd w ordt door een RFID chip van het slachtoffer—voordat w e m eer geneigd raken identiteiten a f te schermen.
5. L a a t de om geving zich eerst au th en tic eren De com binatie van toegenom en automatisering en nadruk op veiligheid leidt ertoe dat ik mij steeds vaker m oet identificeren en authenticeren, bijvoorbeeld bij binnenkom st van landen o f gebouwen en bij allerlei dagelijkse handelingen zoals elektronische be talingen. Bij al die authenticaties g eef ik gevoelige inform atie over m ijzelf prijs, zoals PINs, wachtwoorden, paspoortgegevens o f vingerafdrukken. Al die gegevens kunnen misbruikt worden voor identiteitsfraude. H et is dus van w ezenlijk belang dat ik deze gegevens alleen aan betrouw bare partijen afgeef. W anneer je m ensen steeds w eer door controlepoortjes wil jagen is het wel fa ir om ze ook de m ogelijkheid te geven om voor a f vast te stellen o f ze wel door een ‘echt’ poortje lopen en niet door een ‘nep’ poortje van een o f andere crim inele organisatie die uit is op identiteitsroof. M aar hoe w eet ik eigenlijk o f ik m et de juiste, betrouwbare tegenpartij te doen heb? D at w eet ik alleen w anneer de andere partij zich eerst geïdentificeerd en geauthenticeerd heeft. D it is dus een fundam entele vereiste. G eef niks van je z e lf weg voordat je zeker w eet m et wie je toe doen hebt en o f die partij betrouw baar is en verantwoordelijk gehouden kan worden voor eventueel misbruik. In intuïtieve zin kennen we dit principe, ook al gaan we er vaak slordig mee om.
104
Deel V
W ie let er expliciet op o f een geldautom aat wel echt is? D it is een serieuze kwestie om dat we de automaat zowel onze pas als PIN geven, en daarmee volledige toegang tot onze bankrekening. Een probleem is dat w e eigenlijk niet zoveel middelen in handen hebben om de echtheid van zo ’n autom aat vast te stellen. M eestal geeft de locatie bij een bankgebouw o f postkantoor enig vertrouwen. M aar zou u ook uw pas en PIN geven aan een geldautom aat op de autosloop? W anneer het gaat om com municatie tussen computers kunnen en m oeten we dit soort zaken wel goed regelen. Onderdeel van deze richtlijn is dat een RFID-chip die ik (gedwongen) bij me draag nooit zom aar het eigen num m er uit mag stralen, m aar eerst m oet controleren w ie de vragende partij is. D it vereist technisch ingewikkelder chips dan op dit m om ent gebruikt worden. M aar het voorkom t wel dat kwaadaardige handelingen tegen mij uitgevoerd kunnen worden alleen om dat ik herkend wordt via een RFID-chip. Deze richtlijn is in het belang van m ijn persoonlijke veiligheid. Toch staat deze richtlijn de openbare veiligheid niet in de weg. Ik heb er geen moeite mee w anneer op cruciale m om enten— zoals bij grenspassage o f binnenkom st van een beveiligd gebouw — m ijn identiteit automatisch en elektronisch gecontroleerd wordt, zolang mijn persoonlijke com puter (zie het volgende H oofdstuk) m aar kan her kennen dat het een authentiek verzoek is dat (elektronisch) ondertekend is door de bevoegde autoriteiten.
6. H an g een v an g n et In de (comm erciele) ICT-sector bestaat vaak een groot vertrouwen in de m ogelijkheden en in het functioneren van computersystemen. In de praktijk weten we inm iddels dat er ook vaak van alles fout gaat, bijvoorbeeld doordat de beveiliging niet in orde is o f doordat m ensen bew ust o f onbewust fouten maken bij de invoer van gegevens o f bij het gebruik van het systeem. D aardoor kunnen (autom atisch) beslissingen genom en worden die nadrukkelijk onbedoeld zijn m aar niet altijd direct als zodanig herkend worden. H et is dus belangrijk hier in het ontwerp van systemen al rekening mee te houden door te zorgen voor een vangnet voor fa llb a ck procedures1. Waar m oet iemand heen van wie de DigiD m isbruikt is, o f die bij hoog en bij laag bew eert een ander te zijn ondanks biom etrische identificatie, o f die zw eert wel de houder van een paspoort te zijn terwijl de biom etrische verificatie faalt? H et is erg verleidelijk om als ontwerper zo ’n situatie a f te doen als: dat kan echt niet! M aar in de praktijk blijken er altijd zaken anders te kunnen lopen dan voorzien. Er moet ruimte zijn om daar mee om te gaan, om betrokkenen zich niet verloren en vervreem d te laten voelen en om draagvlak te houden. Negatieve ervaringen verspreiden zich verrassend snel, en niet altijd op even waarheidsgetrouwe wijze. Vooral voor de overheid is het van belang om niet geassocieerd te worden met 1Hierbij moet er voor gezord worden dat de fallback procedures zwaarder zijn dan het primaire proces, vooral om dat primaire proces niet te ondermijnen.
20. Richtlijnen
105
het vervreem dende effect van slecht functionerende inform atietechnologie— enigszins vergelijkbaar met het vervreem dende effect van bureaucratie. 7. D um p geen risico ’s H et is verleidelijk de risico’s van het gebruik van com putersystem en bij de zwakkste partijen te leggen. Vaak zijn dat de gebruikers zoals u en ik. H et w erkt echter veel beter om de risico’s en de lasten daarvan te leggen bij de partijen de er ook het meeste aan kunnen doen. Soms m oet zoiets expliciet afgedwongen w orden via regelgeving o f afspraken. D at biedt de beste garantie dat risico’s onder controle blijven. 8. L a a t je n iet gek m ak en H opelijk spreekt deze richtlijn voor zich. D e dreiging van terroristische aanslagen is serieus en angstaanjagend. M aar dat is geen reden om niet kritisch te kijken naar ef fectiviteit en neven-effecten van allerlei maatregelen. Politici kunnen in het licht van de dreigingen niet niets doen, en doen dus soms m aar snel wat. H et gaat daarbij om ingrijpende aangelegenheden die de fundam enten van onze samenleving raken. H et is dan niet gepast om beslissingen im pulsief te nemen, als directe reactie op incidenten. De laatste jaren hebben we gezien dat vervolgm aatregelen soms al vastgesteld wor den voordat de daaraan voorafgaande maatregel goed en wel van kracht is (denk aan opslag verkeersgegevens na het bevriezingsbevel voor telecom m unicatiegegevens2) o f geevalueerd is (centrale opslag biom etrie na de identificatieplicht). H et is belangrijk adekwaat te reageren op dreigingen. M aar het is ook goed je te realiseren dat het opleggen van zware veiligheidsm aatregelen m aar beperkte waarde heeft— terroristen zoeken toch altijd de zwakste schakel— en ook nieuwe risico’s in troduceert voor degenen die overal hun identiteit en gegevens m oeten achterlaten. H et is daarentegen helemaal niet zo ’n onredelijke strategie om je kwetsbaarheid te tonen en uit te buiten. Nederlandse militairen staan in Irak en A fghanistan bekend om deze D utch approach, waarbij laagdrem pelig contact w ordt onderhouden m et de locale be volking en men expliciet niet te aggressief over wil komen. D e verliezen zijn daarbij vooralsnog beperkt gebleven. Een redelijke strategie in het licht van dreigingen is dus om vertrouwen in eigen (veer)kracht uit te blijven stralen en om alleen tegen de bad guys w antrouwend en gericht hard op te treden. En dus niet tegen iedereen!
2 Volgens de wet computercriminaliteit II die sinds 2006 van kracht is kan een officier van justitie in een vroeg stadium een provider opdragen bepaalde telecommunicatiegegevens vast te houden die eventueel later pas opgevraagd worden.
106
Deel V
Hoofdstuk 21 Eigen kluis & sluis De grote vraag die bij het voorafgaande steeds speelt is hoe w e individuen voldoende vrijheid, privacy en autonom ie kunnen blijven garanderen in tijden waarin inform atie en com municatie technologie vooral ingezet lijkt te worden voor verschuiving van de machtbalans in het nadeel van individuen. Een richting w aar de grote partijen (overhe den en bedrijfsleven) en ook individuen ieder voor zich voordeel van lijken te hebben is personalisatie. Via zo ’n persoonlijke, op de menselijke m aat toegesneden benadering van individuen kunnen overheden en bedrijven klantgerichter en effectiever opereren en worden individuen niet met ongerichte inform atie en aanbiedingen overladen. Wat onderdeel van echte personalisatie zou m oeten zijn is dat individuen ook echt serieus genom en worden, in hun verschillende rollen en kleinschalige verbanden, en ook elek tronisch het beheer gegeven w ordt over de eigen identiteiten en gegevens. Hierdoor blijft personalisatie niet beperkt tot eenrichtingsverkeer waarbij de grotere partij be paalt wat voor een individu relevant is, m aar waarbij het individu zelf (mede)bepaalt welke inform atie op w elk m om ent gepast is. In dit hoofdstuk w ordt een schets gegeven van hoe ICT positief ingezet kan worden om deze m enselijke m aat te bevorderen1. H et gaat hierbij nadrukkelijk om een schets die in dit stadium onvoldoende in detail uitgewerkt is om bij w ijze van spreken morgen gerealiseerd te kunnen worden. D e meeste technische ingredienten ervoor zijn wel voor handen m aar de totale samenhang (architectuur) en organisatorische en juridische inbedding is nog onvoldoende uitgewerkt. Concrete realisatie zal ongetwijfeld een aantal jaren vergen. D at hoeft ons er echter niet van te weerhouden om nu reeds concreet na te denken over een m eer gepersonaliseerde en gedecentraliseerde ICT-infrastructuur die rekening houdt m et gerechtvaardigde privacy eisen en zorgt voor persoonlijke veiligheid. Die infrastructuur wordt hier beschreven in term en van persoonlijke apparaatjes die een beperkt aantal persoonsgebonden functies vervullen: ze vorm en tegelijkertijd een per soonlijke kluis voor gevoelige gegevens en een sluis voor com m unicatie m et andere computers in de omgeving. Je kunt daarbij denken aan een veilige handpalm com pu 1Het is natuurlijk geenszins uitgesloten dat dit ook op andere wijze kan.
108
Deel V
ter, ofwel tru sted p e rso n a l d igital a ssista n t (TPDA) m et speciale programmatuur. H et apparaatje moet betrouw baar zijn, voor alle partijen die erm ee te maken krijgen. Een m ogelijk gebruiksscenario is het volgende. Stel u kom t in een winkel en wil (alweer) een fles whiskey kopen. D aarvoor is het nodig dat u laat zien dat u boven de 18 ja ar bent. U wil echter geen persoonsbewijs overhandigen om dat de winkelketen alles opslaat en het afgelopen ja a r een aantal keer in het nieuws is geweest in verband met het verlies van klantenbestanden. U vindt eigenlijk zelf ook dat u iets te veel drinkt, m aar u wil dat niet van anderen horen, en u wil dat zeker niet geregistreerd hebben in bestanden waar u zelf geen enkele controle over heeft. W ie w eet w anneer het ooit eens naar boven komt. M aar u moet nog steeds laten zien dat u boven de 18 bent. Op dat m om ent haalt u uw TPDA te voorschijn en zendt u de w inkelier draadloos een geanonim iseerd attribuutcertificaat, getekend door uw gem eente, waarin staat dat de houder boven de 18 is. D e w inkelier m oet dan echter nog weten dat het certificaat echt van u is, en niet van uw veel oudere broer. D e TPDA kan tonen over de geheim e prive sleutel te beschikken die hoort bij het certificaat, via een challenge-response spelletje (zie H oofdstuk 8). D an nog zou de TPDA niet van u m aar van uw oudere broer kunnen zijn. M aar hiervoor w ordt nog een biom etrische verificatie opgenom en, waarbij u even uw vinger legt op de vingerafdruklezer op de eigen TPDA. A lleen bij een match wordt de challenge ondertekend. Via dit mechanism e is iedereen tevreden: de w inkelier heeft een bewijs van de vorm “de klant, wie het ook m ogen zijn, is boven de 18” w aarvoor u niks m eer hoefde te doen dan op uw TPDA dit attribuut te selecteren en uw vinger op de ingebouwde lezer te leggen. H et Burger Service N um m er (BSN) stoelt op het principe van eenm alige gege vensverstrekking: de burger mag niet gevraagd worden inform atie op formulieren in te vullen die de overheid al heeft. M aar met een TPDA m et persoonlijke gegevens is het elektronisch invullen van formulieren een eenvoudige kwestie: items selecteren en verzenden. De ontvangende partij kan de integriteit en authenticiteit automatisch controleren via elektronische handtekeningen. Via zo ’n TPDA beheert de burger zelf de eigen gegevens en is een koppelingsm echanism e als het B SN helemaal niet nodig. De burger zelf staat centraal en vorm t de koppeling. D ergelijke scenario’s zijn natuurlijk in veel m eer situaties mogelijk, varierend van toegang tot gebouwen en openbaar vervoer tot aanvraag van allerlei voorzieningen. De TPDA m oet de daarvoor benodigde (cryptografische) operaties veilig en betrouw baar kunnen uitvoeren2. H ieronder w orden een aantal eisen en mogelijkheden geschetst om een beter idee te geven. P erso o n sg eb o n d en h eid via o n b o a rd b io m etrie Zoals in het voorbeeld scenario bevat iedere TPDA een ingebouwde biom etrische le zer, zoals bijvoorbeeld een vingerafdruklezer3. W elk biom etrisch kenm erk precies 2De TPDA vormt mijn zogenaamde trusted computing base.. 3Nu reeds zijn er PDAs met een biometrische lezer verkrijgbaar, maar niet met alle andere hier genoemde aspecten.
21. Eigen kluis & sluis
109
uitgelezen w ordt doet er nu even niet zoveel toe. H et m oet vooral sterk onderschei dend zijn, m oeilijk na te maken, en niet achteloos in een andere situatie opgenomen kunnen— zoals bij een vingerafdruk op een glas. Via deze biom etrie is mijn TPDA aan mij gebonden: mijn TPDA bevat— in elektronische vorm vastgelegd in beveiligde hardware— een biom etrisch kenm erk van m ij4, van dezelfde soort als door de inge bouw de lezer opgenom en kan worden. Biom etrische checks zullen vereist zijn voor cruciale operaties die door het apparaatje uitgevoerd worden, om er zeker van te zijn dat ik degene ben die de operatie accordeert. Een w ezenlijk aspect hierbij zal zijn dat de biom etrische lezer integraal onderdeel is van de TPDA en dat de vergelijking tussen de onboard tem plate en de vers gelezen tem plate binnen het apparaatje plaats zal vinden. Vervolgens gaat er een ‘groen’ o f een ‘rood’ lichtje branden; het geeft aan o f er wel o f niet een biom etrische m atch plaats vindt. Ook kan m et het gaan branden van het groene lichtje een andere operatie— die authenticatie vereist— in gang gezet worden. H et grote voordeel van deze onboard verificatie is dat ik mijn biom etrische ge gevens enkel aan m ijn vertrouwde eigen apparaatje h o ef te geven, en niet aan w ille keurig welke biom etrische lezer dan ook— van een bank, winkel, coffeeshop o f ver buitenland— waarbij ik geen enkele duidelijkheid heb over het m ogelijk oneigenlijke gebruik van de afgelezen tem plate m et mijn biom etrische kenmerken. Een consequen tie is dat niet alleen ik m aar ook anderen het apparaatje m oeten kunnen vertrouwen. Immers, bij een identiteitscontrole op straat o f bij een grensovergang m oet de contro leur het ‘groen’ o f ‘rood’ kunnen vertrouwen. D e w erkelijk achterdochtigen zullen (terecht) opmerken dat ik mijn biom etrische gegevens nog kwijt kan raken indien ik ze per ongeluk invoer op een andere TPDA dan de mijne. D at klopt. Daarom is het zaak mijn TPDA goed bij me te houden. H et gaat om een waardevol stuk gereedschap in het digitale tijdperk. Tegelijkertijd biedt deze biom etrische functie bescherm ing tegen m isbruik van mijn TPDA door anderen bij diefstal: het apparaat w erkt gewoon niet voor een an der dan ik. Wel m oet ik zelf voor een (regelmatige) backup van mijn TPDA zorgen, zodat bij verlies een vervangend (leeg) apparaatje m et mijn eigen gegevens en sleutels geladen kan worden. B ep erk te v e rb in d in g en functies H et grootste beveiligingsrisico is ongebreidelde functionaliteit. Fabrikanten zijn ge neigd iedere keer m eer mogelijkheden en functies aan hun hardware en software toe te voegen om daarmee de verkoop van nieuwe versies te stimuleren. H et is voor hen heel m oeilijk om te zeggen: hier is een fantastisch apparaat, het is heel veilig, m aar kan bijna niks! Toch is zo ’n houding nodig voor kritische toepassingen. D e TPDA die hier voor ogen staat heeft dus ook m aar beperkte m ogelijkheden voor com municatie m et de omgeving. Iedere verbindingsm ogelijkheid vormt nam elijk een 4In plaats van de template zelf kan ook een daarvan afgeleid geheim opgeslagen worden, als template protection.
110
Deel V
risico op inbraak en introductie van kwaadaardige software. H et m eest overzichtelijke is com municatie via aansluiting van een draadje o f via plaatsing van de TPDA in z ’n standaard (cradle). Iets m eer gebruikersgem ak kan geboden w orden (maar direct ook m eer risico) door draadloze communicatie, m aar dan alleen voor gebruik op de zeer korte afstand via zogenaamde N e a r F ield C om m unication (NFC). Daarbij m oet de gebruiker de TPDA vlak voor een lezer houden om com municatie m ogelijk te maken. D at m aakt ongewild en onbedoeld contact moeilijker. N atuurlijk onstaat snel de vraag: kan ik m et m ijn TPDA bijvoorbeeld ook telefone ren, fotograferen, m uziek luisteren o f surfen? H et is beter de TPDA echt te beperken tot de persoonlijke beheerstaken m et betrekking tot identiteiten, gegevens en policies. Bellen en zo hoort daar niet toe. Wat m ogelijk wel zou kunnen is via de TPDA bellen waarbij de TPDA zorgt voor eigen beveiliging van de verbinding. E lek tro n isch e h an d tek en in g zetten N et als de huidige generatie PDAs zullen deze TPDAs kleine beeldscherm pjes heb ben. Tevens zit mijn prive sleutel voor het zetten van elektronische handtekeningen (zie H oofdstuk 8) veilig opgeborgen in mijn TPDA. Ik kan dan met mijn TPDA do cum enten elektronisch ondertekenen. W anneer ik de tekst van het docum ent op het (betrouwbare) schermpje bekeken en gecontroleerd heb kan ik via de biom etrische lezer en m ijn prive sleutel het docum ent ondertekenen. H et is hierbij belangrijk dat de hele TPDA vertrouwd wordt. D it is essentieel bij elektronische handtekeningen. H et vormt een problem atisch punt bij handtekeningen op een PC via een prive sleutel op een chipkaart. Een kwaadaardig virus o f een inbre ker zou een ander docum ent op het scherm kunnen tonen dan ter ondertekening naar de chipkaart gaat. D aarm ee w ordt het hele proces ondermijnd. Bij de TPDA zal dat niet lukken om dat het tonen en ondertekenen binnen hetzelfde (beperkte) vertrouwde domein plaatsvinden. Id en titeiten v an an d e re n co n tro leren De TPDA heeft, net als zo ongeveer iedere computer, m eer rekenkracht dan ik. De TPDA kan dan ook gem akkelijk cryptografische berekeningen uitvoeren, bijvoorbeeld om handtekeningen van anderen te controleren. Een TPDA kan dan bijvoorbeeld een elektronische agent herkennen. H et is een com m unicatiepartner die een politiecertificaat kan tonen en het bijbehorende challenge-response spelletje (zie H oofd stuk 8) m et goed gevolg kan afronden. Ik kan mijn TPDA dan bijvoorbeeld zoda nig instellen dat iedere partij die zich als agent kan authenticeren automatisch ook op verzoek m ijn identiteit mag zien en controleren. D it kan onderdeel zijn van een e-identificatieplicht. Ook kan ik via mijn TPDA bijvoorbeeld controleren o f een geldautom aat w aar ik voor sta wel echt is. Ook dat verloopt via een challenge-response en een certificaat van de bank in kwestie. M ogelijk m oet m ijn TPDA daarbij wel een recente, authentieke
21. Eigen kluis & sluis
111
b lack lis t controleren om er zeker van te zijn dat het certificaat van de geldautom aat nog wel geldig is— en daarmee o f het niet om een autom aat gaat die onlangs bij een kraak in z ’n geheel m eegenom en is.
Een andere mogelijkheid, zoals besproken in H oofdstuk 14, is om deze TPDA te laten fungeren als een bew aker tegen het heim elijk uitlezen van RFIDs die ik bij me draag. Op zo ’n m anier vorm t mijn TPDA mijn sluis waardoor mijn com m unicatie met andere computers plaatsvindt. Voor gevoelige zaken gebruik ik m ijn TPDA om eerst de identiteit van de andere partij te controleren.
O pslag v an cru ciale gegevens en sleutels Voor het zetten van mijn handtekening m et mijn TPDA m oet mijn geheime prive sleu tel erin zitten. Ook andere sleutels (o f wachtwoorden) voor andere toepassingen kun nen er goed in opgeslagen worden, en alleen gebruikt w orden in speciale situaties, met o f zonder biom etrische verificatie. Ook persoonlijke attributen over mij zoals ‘ouder dan 18’, ‘inw oner van N ijm egen’ o f ‘drager van een BE rijbew ijs’ kunnen erin opge slagen worden, en bij passende gelegenheid aan de omgeving afgegeven worden om (identiteitsarm e) transacties m ogelijk te maken. N aast zulke cryptografisch relevante zaken kunnen er ook gewone gegevens in op geslagen worden, zoals bijvoorbeeld cruciale zaken uit m ijn medische dossier. Die gegevens m oeten versleuteld worden zodat ze bij verlies van mijn TPDA niet toegan kelijk zijn voor anderen. Ontsleuteling zal bijvoorbeeld w eer een biom etrische veri ficatie vereisen. Voor noodsituaties zou het zo ingericht kunnen worden dat iemand die zich kan authenticeren als medicus toegang tot het dossier kan krijgen, om mij ook bewusteloos na een ongeluk adekwaat te kunnen helpen. N atuurlijk hoeven niet al m ijn gegevens op mijn TPDA zelf te staan. H et is voldoende w anneer de gegevens ergens anders, alleen voor mij bereikbaar, versleu teld opgeslagen liggen. D e TPDA hoeft dan alleen de codes voor toegang en ont sleuteling te bevatten. In feite bestaan er al zulke beveiligde opslagmogelijkheden, bijvoorbeeld bij de A BN Amro bank (toegankelijk als bij internetbankieren) en bij www. l o c k e r t j e . n l (toegankelijk via naam plus wachtwoord). D oor com binatie m et een TPDA kan zulke opslag nog veiliger. Andere gegevens die ik bijvoorbeeld op mijn TPDA zou willen zetten kunnen eigen aankoop- en profiel-gegevens bij bepaalde winkelketens zijn die mij korting verschaf fen w anneer ik ze bij binnenkom st van de winkel o f bij het afrekenen toon. Op zo ’n m anier beheer ik m ijn eigen kortingskaart. De gegevens kunnen tegen m anipulatie bescherm d worden m et elektronische handtekeningen van de winkelketen. Ook zou mijn TPDA gebruikt kunnen worden voor de aanhechting van policies (gebruiksbeslissingen) aan gegevens die ik aan de buitenwereld overgedraag, zodat (nette) ontvangende partijen zich aan m ijn regels voor het gebruik van die gegevens kunnen houden.
112
Deel V
E lek tro n isch geld H et is een interessante uitdaging (geweest) in de cryptografie hoe elektronische m unt jes georganiseerd kunnen worden. Gewoon een bestandje “deze file is een Euro w aard” w erkt niet als munt, om dat het eindeloos gekopieerd kan worden. H et is in het alge meen van belang dat elektronische m untjes herkend kunnen w orden als echt, over draagbaar zijn, niet tw ee keer uitgegeven kunnen worden, en liefst ook nog anoniem en niet-traceerbaar zijn. Er zijn inm iddels verschillende geschikte systemen uitgedacht waarbij bijvoorbeeld electronische muntjes in principe anoniem zijn behalve w anneer ze tw ee keer gebruikt worden: alleen bij zulk m isbruik kan de identiteit van de eigenaar vastgesteld worden. H oe dit precies w erkt voert hier te ver. M aar een TPDA vormt een mogelijke drager voor zulke elektronische m untjes waardoor anoniem betalen m ogelijk blijft— zoals nu nog met kontante betalingen. Voor kleine betalingen, bijvoorbeeld op internet o f bij tolstations, kunnen zulke elektronische munten erg handig zijn. Ze kunnen aanleiding geven tot nieuwe econom ische activiteiten. E lek tro n isch e verkiezingen Traditioneel verloopt stemmen via stembiljetten, bij landelijke verkiezingen o f b ij voorbeeld ook bij verkiezingen voor een ondernemingsraad. D e laatste jaren wordt in allerlei vormen geexperim enteerd m et elektronische verkiezingen via internet. H et is daarbij een grote uitdaging verschillende eisen te combineren: alleen stemgerechtigde kiezers m ogen een stem uitbrengen, de vertrouw elijkheid van de uitgebrachte stem men m oet gewaarborgd zijn, en het m oet duidelijk zijn dat de uitgebrachte stemmen ook inderdaad bijdragen aan het eindresultaat. D e afgelopen jaren zijn cryptografische technieken ontwikkeld die een uitweg bie den in dit spanningsveld. D aarvoor m oeten kiezers enerzijds hun identiteit onm isken baar aan kunnen tonen, en anderzijds over betrouw bare eigen rekenkracht beschikken om de noodzakelijke cryptografische operaties te kunnen uitvoeren. Ook hier kan een TPDA een rol vervullen— beter dan een onbetrouwbare PC vol virussen. Uitgebreide experimenten zijn echter nodig om na te gaan o f er voldoende garanties (technisch en organisatorisch) bestaan om ook zwaarwegende verkiezingen als voor de Tweede K am er op een zodanige wijze te organiseren.
O p en h eid en o n afh an k elijk e certificatie Bij alle cruciale taken die hierboven voor een TPDA voorzien zijn is het duidelijk dat er groot en breed vertrouwen in de apparaatjes m oet bestaan. Cruciaal daarvoor is dat er niet geheim zinnig gedaan w ordt over w at er precies in zit en hoe het werkt. Daarom moet het ontwerp geheel open zijn en m oet de software die erin zit openbaar beschikbaar zijn. D aarm ee kan in principe iedereen de w erking controleren. In de praktijk zullen m aar weinig mensen dat daadwerkelijk doen. M aar het feit dat het
21. Eigen kluis & sluis
113
in principe m ogelijk is is belangrijk voor het publieke vertrouwen: je kunt altijd een specialist inhuren die het voor je nakijkt. Openheid heeft tw ee bijkom ende positieve aspecten. D e programm eurs die de software schrijven voelen dat hun beroepseer in het geding is en zullen dus veel zorg vuldiger werken dan w anneer hun program m atuur gesloten blijft. D aarnaast is de kans groter dat fouten sneller gevonden worden, waardoor verbeteringen ook vlot doorge voerd kunnen worden. Tenslotte m oeten erkende onafhankelijke partijen zo ’n TPDA certificeren voor officiele taken, zoals identiteitscontrole. Een deel van de certificaten zal van de overheid komen. M aar ook com merciele en andere partijen spelen hierbij een rol, bijvoorbeeld om je lidmaatschap van de tennisvereninging aan te tonen bij het online reserveren van een tennisbaan. M ogelijk kunnen hiervoor verschillende ingeklem de SIM -achtige kaartjes van vertrouwde partijen als interne o b server gebruikt worden. H et bovenstaande vormt een mogelijke m anier om een ‘m enselijke m aat’ in ICT te realiseren, waarbij individuen centraal staan en in een redelijke m achtsbalans leven m et hun omgeving. Zoals eerder vermeld is zo ’n balans een expliciete wens van de overheid in het programm a ‘Andere O verheid’. Daartoe zal m acht en inform atie ver deeld m oeten worden, op zodanige m anier dat burgers er in vergaande mate zelf voor kunnen kiezen w anneer ze w at aan w ie over zichzelf naar buiten brengen.
114
Deel V
Literatuur H ieronder worden enkele boeken genoem d die gebruikt kunnen worden voor verdere verdieping in het onderwerp. Bij een aantal relevante onderwerpen worden verw ijzin gen m et een korte beschrijving gegeven, zonder enige claim op volledigheid. P rivacy H et eerste boek is een klassieke verzamelbundel met veel belangrijke filosofische tek sten (van voor 9/11), verschenen in een symbolisch jaar: • F. Schoeman, editor. P h ilo so p h ica l D im ensions o f Privacy. A n A nthology. Cam bridge Univ. Press, 1984. H etvolgende is een m eer journalistieke beschrijving van de stand van zaken na 9/11, vooral in de Verenigde Staten: • R. OHarrow Jr. N o P la ce to Hide. Free Press, 2005. C ry p to g rafie De eerste tw ee boeken hieronder zijn historische van aard, waarbij het eerste een om vangrijk standaardwerk is en het tw eede een journalistieke beschrijving van de m eer recente geschiedenis. • D. Kahn. The C odebreakers. The S to ry o f Secret Writing. M acm illan Publishing Co., 2nd rev. edition, 1996. • S. Levy. Crypto. H o w the code rebels b e a t the g o vern m en t—sa v in g p r iv a c y in the d igital age. Penguin Books, 2001. De volgende tw ee boeken zijn sterk wiskundig, waarbij de tw eede in het bijzonder gericht is op privacybeschermende technieken. • G. Tel. Cryptografie. B eveilig in g van de digitale m aatschappij. Pearson E du cation, 2002. • S. Brands. R e th in k in g P u b lic K e y Infrastructures a n d D ig ita l Certificates: B u il d in g in Privacy. M IT Press, 2000. Gratis beschikbaar via www. c r e d e n t i c a . com.
116
Deel V
Beveiliging, m et n am e v an co m p u ters De eerste tw ee boeken zijn beschrijvend en goed toegankelijk, waarbij het tweede ook ingaat op de gevolgen van 9/11. H et derde boek gaat iets m eer in op technische aspecten, m aar in brede zin. • B. Schneier. Secrets a n d Lies. D ig ita l S e c u rity in a N etw o rked World. Wiley C om puter Publishing, 2000. • B. Schneier. B eyo n d Fear. Thinking S e n sib ly A b o u t S e c u rity in an U ncertain World. Copernicus Books, 2003. • R. Anderson. S e c u rity E ngineering. John Wiley & Sons, 2001. Gratis beschik baar via www. c l . c a m . a c . u k / ~ r j a 1 4 / b o o k . h tm l O verh eid De eerste drie boekjes geven vooral organisatieadvies. • C. Prins and M. de Vries. ID o r n o t to b e ? Rathenau Instituut, 2003. • J. R eterink en M. Reuvers. W erkbare vorm en van digitale regie o ver eigen (persoons)gegevens do o r de burger. Berenschot, 2003. • P. M ettau. m ijnoverheid.nl. H et Expertise Centrum, 2005. H ieronder volgt eerst een boekje met algemene richtlijnen voor het privacyvriendelijk gebruik van ICT, en dan een m et een beschrijving van w at er allemaal mis kan gaan, m et nam e in de medische sector. Tenslotte wordt een uitgebreid en kritisch (en gelstalig) rapport genoem d over plannen voor een nationale identiteitskaart in GrootBrittannie. • R. Koorn e t al. P riv a c y E n h a n cin g Technology. W itboek voor beslissers. 2003. Beschikbaar als www. c b p w e b . n l/d o w n lo a d s _ te c h n o lo g ie /W itb o e k _ P E T . p d f. • K. Spaink. M edische Geheim en. N ijgh & Van Ditm ar/XS4ALL, Amsterdam, 2005. • The Identity Project. An assessm ent o f the U K Identity Cards Bill and its implications. London School o f Economics, Juni 2005. B eschikbaar als: h ttp : / / i s 2 . l s e .a c .u k /id c a r d /i d e n ti ty r e p o r t.p d f .
