Privacy-lessen voor technici

Wie van tevoren nadenkt, kan best systemen maken met prima privacy-bescherming. Carola Houtekamer

Ze maken het leven makkelijker, efficiënter en veiliger: de ov-chipkaart, het elektronisch patiëntdossier, de slimme energiemeter. Het zijn nieuwe technieken die gebruik maken van informatietechnologie en gegevens van mensen. Bij het ontwerp ervan is over alles nagedacht. Maar één ding lijkt op de tekentafel geen grote rol te hebben gespeeld: privacy.

Het ontwerp van een techniek bepaalt het gebruik ervan, en dus ook de kwetsbaarheid.

Neem de slimme energiemeter, die in steeds meer Nederlandse meterkasten komt te hangen. De slimme meter stuurt, in principe, om de 15 minuten gegevens door aan de netbeheerder over het stroomverbruik in huis.

Met zo’n apparaat heeft ook de politie ineens een geweldig inkijkje in het dagelijks leven van mogelijke verdachten. Naast telefoontaps kan de politie dan ook energietaps leggen. “Met die meter kun je handig zien waar vrome moslims wonen die om 5.00 uur opstaan voor gebed en wanneer ik op vakantie ben. Handig voor inbrekers. Waarom word ik blootgesteld aan die kwetsbaarheid?” Dat zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen.

‘Architectuur is politiek’, meent Jacobs. Daarmee bedoelt hij: de opbouw van nieuwe technieken moet onderwerp zijn van politiek debat. En dat gebeurt nu nog nauwelijks.

Het geldt bij uitstek voor ‘privacygevoelige’ technieken, waarbij gegevens van mensen worden verzameld en gebruikt. De securityscanner op luchthavens is zo’n techniek. De slimme meter, het kastje voor de kilometerheffing, de centrale opslag van vingerafdrukken uit het paspoort. Maar ook de Albert Heijn bonuskaart, de databestanden van webwinkels en sociale netwerken als Hyves, LinkedIn en Facebook.

De overheid laat het bouwen van nieuwe technieken vaak over aan bedrijven, zegt Jacobs. Vervoersmaatschappijen maken het ov-chipsysteem. Energiebedrijven ontwerpen de slimme meter. De bouw van het kastje voor de kilometerheffing wordt aanbesteed. En pas als de nieuwe ‘ding’ af is wordt met wetten en regels vastgesteld wat er met al die verzamelde gegevens mag worden gedaan.

Maar, zegt Jacobs „als we in tien, twintig jaar nog iets van privacy willen hebben, moeten we het nu al technisch regelen.” Want voortdurend dreigt function creep: gegevens worden voor het ene doel verzameld, en voor het andere doel gebruikt. Zonder dat daar ooit een duidelijk besluit over genomen is. Ook Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens riep afgelopen maand op tot ‘privacy by design’.

In het ideale geval neemt dus de Tweede Kamer vooraf technische beslissingen over de manier waarop de nieuwe techniek moet werken, vindt Jacobs, en niet pas achteraf. Maar wat kan de Kamer kiezen? Zet beperkingen vast in hardware, zegt Jacobs. Sla lokaal op, zegt Jan Grijpink, adviseur voor informatiestrategie van Justitie. Hou gegevens anoniem, zegt Ronals Leenes, hoogleraar regulering door technologie in Tilburg. Drie mensen aan het woord over ontwerpprincipes die technieken vooraf minder privacygevoelig kunnen maken.

SCHEID DE DOELEN

Terug naar de energiemeter. In Nederland hangt de slimme meter nog lang niet in elke meterkast. In 2009 verhinderde de Eerste Kamer de verplichte invoering ervan en besloot dat huishoudens zelf mochten weten of ze er één in huis wilden. Inmiddels zijn nu zo’n 200.000 slimme meters geïnstalleerd.

Jacobs noemt het ontwerp van deze meters “van de pot gerukt”. De slimme meter mag maximaal elk kwartier meterstanden doorsturen naar de netbeheerder, die ze weer doorstuurt naar de energieleverancier. Op de site van de leverancier kan de klant inloggen om zijn energieverbruik te bekijken.

De argumenten voor dit systeem zijn dat de netbeheerder zo aan ‘intelligenter gridbeheer’ kan doen en de elektriciteitstoevoer beter kan regelen. De afnemer krijgt meer inzicht in z’n energieverbruik en kan dus beter besparen.

Jacobs grootste probleem met het ontwerp is dat de twee doelen, gridbeheer en energiebesparing, bij elkaar zijn gegooid. Hij zegt: “De kwartierwaarden worden nu aan de energieleverancier doorgegeven. Je moet naar hun site om je eigen gegevens op te halen.”

Zolang niet duidelijk is dat de netbeheerder zulke gedetailleerde informatie nodig heeft voor gridbeheer, is dat idioot, vindt hij. “Je kunt de twee doelen scheiden. De precieze gegevens blijven in huis. Voor mijn part projecteert iemand dat op een groot scherm aan z’n muur. Voor gridbeheer kan de netbeheerder wellicht toe met gegevens op het niveau van 200, 300 huizen, die samengevoegd worden toegestuurd.”

Door verschillende doelen uit elkaar te houden, voldoe je aan twee eisen, volgens Jacobs. Je doet aan ‘data-minimalisatie’. De wet voor bescherming van persoonsgegevens schrijft voor dat je niet meer data mag verzamelen dan strikt noodzakelijk voor je doel. En je voorkomt function creep, bijvoorbeeld in de vorm van politietaps.

SLA LOKAAL OP

De standaardkeuze is om verzamelde gegevens zoals meterstanden, reisgegevens, kentekens, op één plek op te slaan. Data op één plek verwerken is makkelijker. En de gangen van de gebruiker (waar hij reist, hoeveel energie hij verbruikt) zijn beter na te gaan, dus is het fraudebestendiger. Maar om te voorkomen dat andere instanties opeens met de database aan de haal gaan, is lokale opslag een beter idee.

De slimme meter slaat niet lokaal op: de meetwaarden gaan naar de netbeheerder. Bij een andere techniek, het gps-kastje voor de kilometerheffing in de auto, is wel gekozen voor lokale opslag.

Als het rekeningrijden ooit nog eens wordt ingevoerd, komt misschien in elke auto een kastje dat eens in de zoveel tijd doorgeeft hoeveel er gereden is, en voor welk tarief. Waar en wanneer er gereden is, blijft in de auto.

Dat is een bewuste keuze geweest, meent Bart Jacobs. “Minister Eurlings wist dat het privacyargument wordt gebruikt door mensen die tegen zijn.” Telegraaflezers spreken al over het ‘stasikastje’.

Jacobs vindt lokale opslag een goede keuze, „als er maar niet stiekem toch een achterdeurtje in wordt gebouwd. Function creep ligt op de loer, denkt hij. Met preciezere gegevens kan de politie bijvoorbeeld snelheidsovertredingen vaststellen.” 

Bij de invoering van vingerafdrukken in paspoorten is bewust gekozen voor centrale opslag, in een landelijke database.

De EU eiste in 2004 dat in alle paspoorten plaatjes van vingerafdrukken moesten komen, om te controleren of het paspoort wel echt bij de houder hoort. Maar Nederland besloot vervolgens dat die vingerafdrukken ook opgeslagen moesten worden in een databestand. Dat bestand mag nu voor opsporing worden gebruikt.

Critici vinden dat de opslag van biometrische gegevens in het paspoort daarmee van functie is veranderd. Eerst tegen fraude met reisdocumenten, nu voor opsporing.

Jan Grijpink, adviseur informatiestrategie voor het ministerie van Justitie en bijzonder hoogleraar informatisering aan de Universiteit Utrecht, ergert zich aan die kritiek. “De politie mag altijd al elk register opvragen als er een verdenking is.” Er is dus, zegt hij, helemaal geen sprake van function creep.

Maar Grijpink is wel tegen een centrale opslag. Zijn motivering: één bestand is te kwetsbaar. “Als criminelen een databestand kraken is er maar één deel gestolen en niet alles.”

Voorlopig zijn de vingerafdrukken opgeslagen bij de verschillende gemeentes. Het plan is dat er één centrale opslag komt, met een zoekfunctie. Dat zou sneller werken en niet gevoelig zijn voor lokale storingen. Grijpink vindt dat geen goed idee: de opslag moet decentraal blijven.

Helemaal lokaal opslaan – vingerafdrukken enkel in het paspoort – heeft volgens Grijpink te grote nadelen. “Als iemand de vingerafdruk op het paspoort verandert, kun je nooit meer het origineel controleren.”

HOU DATA ANONIEM

De stapel persoonsgegevens die instanties en bedrijven inmiddels digitaal hebben opgeslagen is groot, en onoverzichtelijk. Hoeveel energie ze gebruiken, wat ze in de Albert Heijn aanschaffen, wanneer ze in de metro stappen. Om mensen tegen verkeerd gebruik te beschermen, zegt hoogleraar Bart Jacobs uit Nijmegen, moet je sommige gegevens anoniem houden. Niet alle informatie hoeft onder naam te worden opgeslagen, zoals nu vaak gebeurt. Een AH-bonuskaart kun je ook anoniem aanvragen.

De ov-chipkaart die nu overal in Nederland in gebruik wordt genomen, is grotendeels niet anoniem. Het bedrijf dat de kaart organiseert, Trans Link Systems, registreert alle reisgegevens. Van abonnementhouders en mensen met een persoonlijke ov-chipkaart is precies bekend wanneer en waar zij hebben gereisd. Ze kunnen dat zelf op ov-chipkaart.nl bekijken. Anonieme ov-chipkaarthouders kunnen dat niet. Trans Link Systems slaat de reizen die zij maken op onder het unieke nummer van hun kaart, die niet aan hen is gekoppeld. Zolang de koppeling niet is gemaakt via een bankkaart of bij restitutie.

Alle ov-chipkaarten hebben in ieder geval een ‘identiteit’: een uniek nummer, wel of niet op naam. Dat hoeft niet, zegt Jacobs. Hij werkt met zijn vakgroep aan een variant van de ov-chipkaart die niet werkt met identiteiten. “Je kunt ook een kaart maken die werkt met ‘attributen’, zoals recht op korting of recht op eerste klas.”

De ov-incheckpaal registreert dan niet het nummer van de kaart, waaraan een specifiek persoon met bijvoorbeeld een abonnement eerste klas is gekoppeld. De paal verifieert alleen dat de kaart de kaarthouder toegang geeft tot de eerste klas. Er wordt niet via een uniek nummer vastgelegd wie de kaarthouder is die er mee reist.

Veel ouderwetse toegangbewijzen van papier werken met attributen, zegt Jacobs. „Zoals de ouderwetse roze en blauwe strippenkaart. Die kleuren zijn attributen. De traditionele toegangsbewijzen worden nu stiekem vervangen door moderne technieken die allemaal met identiteiten werken.”

Waarom is er bij het bedenken van de ov-chipkaart niet voor attributen gekozen? Jacobs: “Het is een recente techniek, die er nog niet was bij het besluit. Maar we moeten alsnog overgaan op attributen, ook al kost dat meer moeite.” 

Online zou ook meer anoniem moeten blijven dan nu gebeurt, meent Ronald Leenes, hoogleraar regulering door technologie. Mensen hebben geen idee wie wat van hen weet. Bedrijven verzamelen ondertussen gewoon door. Datahonger, noemt Leenes, die werkt bij het Tilburg Institute for Law, Technology, and Society van de Universiteit van Tilburg, die verzameldrift.

Leenes heeft in het Europese PRIME project meegewerkt aan een computerprogramma dat mensen meer zeggenschap geeft over hun persoonlijke gegevens op internet. Van het programma Prime bestaat nu een werkend prototype. Prime kan werken met private credentials, een beetje vergelijkbaar met attributen.

Het idee van private credentials, zegt Leenes, is dat je sommige eigenschappen van jezelf, zoals leeftijd, of woonplaats, ook anoniem kunt verstrekken. Dat kan handig zijn als je drank of een luchtbuks wil bestellen, of als je wilt aantonen dat je in een bepaalde stad woont voor burgerinspraak.

In Nederland bestaat al een officiële digitale identiteit: de DigiD. Daarmee kun je online belastingaangifte doen, en je bij de politie, gemeentes, waterschappen en zorgverzekeraars identificeren.

Maar DigiD is beperkt. Je identificeert je helemaal, of helemaal niet. Leenes wil dat er betrouwbare digitale identiteiten komen waarmee mensen officieel kunnen aantonen dat ze 18 of ouder zijn, maar niet wie ze zijn, of hoe oud precies. Of waarmee ze kunnen bewijzen dat ze wel in Utrecht wonen, maar niet op welk adres. Met meer “deugdelijke digitale identiteiten” en Prime kan dat.

MAAK MENSEN EIGENAAR VAN HUN GEGEVENS

Geef mensen controle over hun persoonsgegevens. Dat vindt Leenes een belangrijk ‘ontwerpprincipe’ voor privacygevoelige technieken. Mensen moeten kunnen zien welke gegevens een webwinkel verzameld heeft, en bepalen wat ermee gebeurt. Dat kan nu nauwelijks. Met Prime kan dat wel.

Het prototype van Prime werkt als volgt: een gebruiker installeert het programma op zijn eigen computer of iPhone. Als er een partij is die gegevens wil hebben (de Belastingdienst, een webwinkel, Facebook), dan helpt Prime met beslissen welke gegevens echt nodig zijn en vult die zelf in. Leenes: “Als bol.com een adres wil hebben, is dat redelijk. Het bedrijf wil een boek versturen. Maar een geboortedatum is weer niet nodig.” Prime verstuurt de gegevens versleuteld van de computer van de gebruiker naar de ontvanger.

Het belangrijkste is dat de Prime-gebruiker kan bepalen wat er daarna met die gegevens gebeurt. Aan de informatie die Prime verstrekt, hangen voorwaarden zoals ‘vernietig binnen 6 maanden’. Gebruikers kunnen zelf nagaan of dat is gebeurd.

Een vereiste is dat de andere partij ook Prime-software draait omdat de voorwaarden daar automatisch moeten worden ‘uitgevoerd’. Volgens Leenes zijn bedrijven wel bereid om Prime-achtige technieken te gebruiken, omdat privacy een unique selling point kan zijn.

Er bestaan overigens al wel programma’s die de gebruiker meer controle geven, zegt Leenes. Zoals online betalingssystemen iDEAL en Paypal. “Paypal is veilig en anoniem, en de ontvanger ziet het rekeningnummer van de afzender niet. Bij iDEAL vul je je gegevens gelijk in op de site van je eigen bank die jij vertrouwt, niet op de site van de webshop.” iDEAL is een Nederlandse uitvinding. Vier grote banken kwamen er in 2005 mee om kopen op internet simpeler te maken, en veiliger dan met creditcard waarvan de gegevens gestolen kunnen worden.

LEG HET DOEL VAST IN HARDWARE

De meest effectieve privacybescherming is gegevens helemaal niet verzamelen. Als er geen data zijn, kunnen die ook niet voor een ander doel gebruikt worden.

Bij het ontwerp van de kentekenregistratie is niet zo geredeneerd.

Op de snelwegen bij Rotterdam en Zwolle registreren camera’s welke kentekens voorbij komen. Als het kenteken in het politiebestand voorkomt, mag de politie in actie komen. De rest, de ‘no-hits’, moeten vernietigd volgens de huidige wetgeving. Maar op de twee plaatsen, zo bleek, worden álle kentekens een tijdlang bewaard. Dat was handig voor opsporingszaken.

Om dat te voorkomen, zegt Bart Jacobs, zou je die ‘no-hits’ helemaal niet moeten opslaan. Er moeten slimme sensors komen die, bijvoorbeeld met behulp van een digitale lijst in de camera, enkel het passeren van de verdachte auto’s doorgeven. Jacobs: “Nu zegt de politie: geef ons alle kentekens maar, wij filteren zelf wel. Maar kun je dat wel vertrouwen? Je wilt dat de sensor volgens de gekozen policy werkt. Het ding dat het meetwerk doet, moet al de filtering doen. Net zoals je kunt kiezen voor een thermometer die voortdurend meet, of één keer per dag.”

Het besluit om bepaalde gegevens te verzamelen, moet zo diep mogelijk verankerd liggen in het programma, zegt Jacobs. Het liefst in de hardware, niet in de software die makkelijk aangepast kan worden. Als de hardware al filtert, ligt function creep minder voor de hand.

Jacobs geeft het voorbeeld van het Openbaar Ministerie, dat afgelopen jaren regelmatig in de problemen kwam met telefoontaps van vertrouwelijke gesprekken die eigenlijk vernietigd hadden moeten worden, zoals bij de Hells Angels in 2007.

Het OM gaat nu drastisch te werk: van alle opgenomen gesprekken wordt onderzocht of het om vertrouwelijke gesprekken gaat. Als dat zo is, worden ze vernietigd.

“Nu kun je aan het OM een paar telefoonnummers opgeven die überhaupt niet getapt mogen worden”, zegt Jacobs. Dan loopt het OM ook niet de kans die gesprekken onterecht te gebruiken. „Als je niet vroeg filtert, gaat het fout.”

Bij elke nieuwe techniek die de overheid invoert, moet de politiek van te voren keuzes maken over het ontwerp, vinden ze alle drie. Om dat goed te kunnen doen, stelt Ronald Leenes de invoering van ‘privacy impact assessment’ voor: methodes om systematisch te toetsen hoe een techniek privacy aantast of beschermt. Leenes: “Met zo’n assessment maak je bewuste keuzes.” De overheid of de EU zou standaardtoetsen moeten ontwikkelen.

Daarmee voorkom je, zegt Leenes, dat techneuten gereedschappen maken zonder over de effecten na te denken, en dat “mensen met agenda’s” onterecht data in handen krijgen.