Privacygaten in ontwerp DigiD-opvolger
Het ontwerp voor de opvolger van DigiD vertoont flinke gaten als het om bescherming van de privacy gaat. Dat blijkt uit de beschikbare documentatie en uit een bijeenkomst van deskundigen, die vrijdag 10 oktober in Amsterdam plaatsvond.
Vanwege de eerdere problemen met DigiD, heeft minister Plasterk (PvdA) besloten een nieuw systeem in te voeren genaamd eID. Met dit systeem kan een burger zich identificeren bij de overheid, maar ook bij semi-publieke en commerciële instanties. Het idee is dat de burger zelf kan kiezen welke gegevens hij aan welke aanbieder verstrekt.
Hoewel het systeem zich nog in de ontwerpfase bevindt, is er al een uitgebreide Privacy Impact Assessment (PIA) gemaakt. Privacy Barometer is hier voor u ingedoken en geeft een overzicht van wat er al is en wat er nog verbeterd kan worden in het ontwerp.
Elektronische Identificatie
In het regeerakkoord is opgenomen dat via elektronische identificatie (eID) burgers en bedrijven in 2017 digitaal met de overheid zaken moeten kunnen doen. Het is dus de bedoeling dat dit nieuwe eID op termijn DigiD gaat vervangen, maar ook systemen als eHerkenning voor bedrijven en zelfs online leeftijdscontrole voor bijvoorbeeld het online kopen van alcoholische drank.
Het eID moet een stelsel gaan vormen waarin commerciële partijen het identificatie-proces voor hun rekening nemen. Als bijvoorbeeld een burger online drank wil kopen, zal de online slijterij vragen of hij ouder is dan 18. Deze check kan online plaatsvinden via een eID-aanbieder. De burger logt in bij deze eID-aanbieder die vervolgens verifieert om wie het gaat. Als de identiteit is vastgesteld, stuurt de eID-aanbieder de slijterij een teken dat de burger wel of geen drank mag bestellen.
De burger kan hierbij kiezen uit verschillende commerciële eID-aanbieders die zich als tussenpartij inzetten voor het beheren van de gegevens van de gebruiker. De overheid treedt op als toezichthouder, geeft bedrijven een licentie om eID-aanbieder te worden en controleert of men zich aan de regels houdt.
Heel veel privacy-vragen
De focus bij de ontwikkeling lijkt vooral te liggen op het aanbieden van een betrouwbaar platform en niet perse op een privacyvriendelijk platform. Dat komt ook naar voren in de aanbevelingen die in de Privacy Impact Assessment (PIA) worden gedaan. Over hoe aanbieders met persoonsgegevens moeten omgaan en welke rechten en plichten ze hebben, is nog nauwelijks iets gedefinieerd. De PIA dringt er op aan, dat in de komende fase veel aandacht aan het privacy-vraagstuk moet worden besteed.
Een belangrijke vraag is hoe de aanbieders van eID diensten geld gaan verdienen aan het beheren van de gegevens van de burger en welke beperkingen de overheid daaraan zal opleggen. In principe worden de volgende gegevens vastgelegd bij een eID-aanbieder: eerste voornaam, overige voorletters, geboortedatum en geboorteplaats. Maar ook de transacties zullen bij de eID-aanbieder worden bijgehouden, zodat in de loop der tijd een gedragsprofiel kan ontstaan. Wat gaan de commerciële eID-aanbieders met deze gegevens doen en welke regels gaan daarvoor gelden?
Hoe en waar gegevens worden bewaard en of er een maximale bewaartermijn is, wordt niet beschreven. Hoewel het niet expliciet vermeld is "is het voorstelbaar dat voor uniek identificerende gegevens, zoals biometrische gegevens, ruimte zal zijn".
Daarnaast zijn er nog een aantal privacybezwaren die in de PIA niet genoemd worden. Ik geef hieronder enkele belangrijke weer:
- Wat gebeurt er als een burger minder gegevens wil afgeven dan de leverancier vraagt? Krijgen we dan een 'slikken of stikken' situatie die we nu ook in app-stores zien?
- In welke situaties wordt het BurgerServiceNummer (BSN) nu wel gebruikt en in welke niet?
- Hoe zorgt men ervoor dat de unieke identificatiecodes voor burgers niet ge-deanonimiseerd kunnen worden naar de oorspronkelijke gegevens als het een open specificatie is en de codes gebaseerd zijn op persoonsgegevens?
- Hoe kan de burger inzage krijgen in welke gegevens er van hem vastgelegd zijn en bij wie.
- Hoe kan de burger zijn gegevens weer intrekken bij een aanbieder of leverancier? Wat gebeurt er met een aanbieder die onbetrouwbaar blijkt te zijn? Kan deze zomaar uitgesloten worden?
Beveiliging en opsporing
Om frauduleuze handelingen en andere onrechtmatigheden op te sporen, worden de transacties van gebruikers opgeslagen. Er wordt niet genoemd om welke gegevens het precies gaat, maar in principe mogen deze gegevens alleen beschikbaar worden gemaakt aan de gebruiker.
Het is wel zo dat "indien fraude is geconstateerd dan is het ondanks alle privacymaatregelen mogelijk dat een opsporingsdienst de identiteit van de betrokken personen kan opsporen". Hoe dit gedaan wordt zonder dat men inzage krijgt in de opgeslagen transactiegegevens bij de eID-aanbieder, wordt niet gemeld.
Tijdens de expert-bijeenkomst blijken er serieuze zorgen te leven over de toegang door opsporingsdiensten. Wordt straks elke webwinkeltransactie opgeslagen en uiteindelijk beschikbaar voor politie en justitie?
Het is mogelijk om te voorkomen dat je transacties worden opgeslagen, door te werken met een zogenaamde 'smartcard' en daar je gegevens op te laden. Behalve dat er zo’n smartcard komt, is er over de invulling verder niet veel bekend.
Privacy-eisen
Zoals hierboven al blijkt, komen er flink wat opmerkingen uit de PIA die nog niet uitgewerkt zijn. De kans dat de minister zijn voorstel op schema in 2014 kan indienen lijkt dan ook miniem. Het wordt waarschijnlijk nog haastwerk om dit voor eind 2015 te redden. Tijdens de bijeenkomst met experts werd duidelijk dat er in 2015 een pilot gepland staat. Hoever de voorbereidingen daarvan zijn, is nog onduidelijk.
Al met al is er een interessante technische basis gelegd, maar is er zeker nog een lange weg te gaan. Zeker ook voor de privacybescherming moet er nog veel werk worden verzet. Opvallend daarbij is dat op dit moment alleen bedrijven om tafel zitten en vertegenwoordigers van burgers en/of consumenten ontbreken.
Het is nu de hoogste tijd dat de politiek eisen neerlegt over de bescherming van persoonsgegevens voordat het bedrijfsleven dit allemaal heeft dichtgetimmerd. We kunnen aan de OV-chipkaart zien waar dit toe kan leiden.
Volg de toekomstige ontwikkelingen over het eID hier.