Beheer

Security
beveiligingcloud

Kan SSI persoonsgegevens beter beschermen?

Eigenaar gegevens kan zelf bepalen wat er wordt gedeeld

© Pixabay CC0
14 juli 2020

Eigenaar gegevens kan zelf bepalen wat er wordt gedeeld

Alle wetgeving en maatregelen ten spijt blijven organisaties worstelen met het op de juiste manier verwerken van persoonsgegevens. De cijfers van de Autoriteit Persoonsgegevens spreken wat dat betreft boekdelen. De onlangs door de Tweede Kamer aangenomen Wet Digitale Overheid (WDO) kan voor een oplossing zorgen, omdat hiermee de weg vrij zou kunnen worden gemaakt voor Self Sovereign Identity (SSI). Bob Kronenburg is er van overtuigd dat SSI een betere bescherming biedt voor persoonsgegevens.

Met SSI bepaalt de eigenaar van identiteitsgegevens zelf welke digitale gegevens (attributen) met welke partij worden gedeeld en onder welke omstandigheden. Denk bijvoorbeeld aan het delen van de leeftijd bij het kopen van alcohol of het opgeven van een postcode bij het melden van overlast aan de gemeente. Waar je bij het tonen van een paspoort(scan) geen keuze hebt in welke gegevens je laat zien (het is alles of niets), is dat bij een systeem gebaseerd op SSI dus wel het geval.

Wanneer er gebruik wordt gemaakt van een SSI-app blijft de eigenaar ook daadwerkelijk de enige eigenaar van de data: gegevens verlaten het mobiele apparaat van de gebruiker niet, tenzij de gebruiker hier bewust voor kiest. De kans op het (onopzettelijk) lekken van gegevens neemt hierdoor af, en gebruikers hebben op hun beurt de garantie dat alleen relevante persoonsgegevens worden gedeeld. Waar je bij een digitale identiteit zoals DigiD geen keuze hebt in wat je aan gegevens inzichtelijk maakt, is dit juist het uitgangspunt van een op SSI en attributen gebaseerde identiteit.

Een voorbeeld van zo'n SSI-identiteit is IRMA, een identiteitsplatform waarmee gebruikers op een privacyvriendelijke manier kunnen inloggen bij organisaties, zoals een zorgverzekeraar of gemeente. IRMA staat voor I reveal my attributes en verandert identificatie- en authenticatieprocessen doordat de door officiële instanties vrijgegeven persoonsgegevens van een gebruiker nergens anders staan opgeslagen dan op zijn eigen telefoon. IRMA is open source en de onderliggende cryptografie is gebaseerd op Idemix, een technologie die zich al twintig jaar op academisch niveau bewijst.

De zeggenschap over persoonsgegevens ligt in het geval van SSI bij de eigenaar van deze gegevens. Voordelen daarvan zijn:

1. Effectievere bescherming

Met SSI bepaalt de eigenaar van de gegevens wat er met wie wordt gedeeld. Dit verkleint niet alleen de kans dat persoonlijke data op straat komen te liggen door een hack of onzorgvuldige verwerking. Het biedt ook een extra waarborg als persoonlijke gegevens noodgedwongen gedeeld moeten worden, bijvoorbeeld bij het beheer van zorggegevens door derden. Hiervoor wordt nu nog meestal toegang tot de DigiD-omgeving verleend. Maar dit brengt enkele complicaties met zich mee. Zo heeft de eigenaar van de gegevens geen zeggenschap over welke gegevens er gedeeld worden; het is alles of niets. Terwijl een belangenbehartiger in het merendeel van de gevallen niet alle gegevens van zijn cliënt nodig heeft. Met een op SSI gebaseerde identiteit behoort dit dilemma tot het verleden.

2. Opkomst IoT-toepassingen

IoT is al een tijd in opkomst. Niet alleen als toepassing in consumentenproducten, ook voor meer serieuze toepassingen wordt er in toenemende mate gebruik gemaakt van slimme apparaten. Een goed voorbeeld is de opkomst van IoT in de zorg, waarbij het vooral gaat om toepassingen die bepaalde waardes (bijvoorbeeld glucose of bloeddruk) monitoren en delen met een behandelaar. Dit vraagt in toenemende mate om de garantie dat de privacy van gebruikers gewaarborgd blijft. Denk hierbij aan inzicht in met welke partij gegevens worden gedeeld, waar deze data worden opgeslagen en wie er toegang tot deze gegevens heeft. Met SSI-gebaseerde oplossingen kan die zekerheid worden geboden, doordat gebruikers de zeggenschap behouden over de gedeelde gegevens. De kans dat (kwaadwillende) derden toegang hebben tot deze gegevens wordt op deze manier bovendien teruggedrongen.

3. Einde van datasilo’s

Wanneer het gaat om het verzamelen van klant- of gebruikersgegevens heeft iedere dienst, oplossing en organisatie haar eigen methoden en processen. Als gevolg hiervan zijn gebruikers gedwongen steeds weer formulieren in te vullen met dezelfde gegevens. Bijkomend probleem is dat de uitwisseling van data tussen organisaties moeizaam verloopt, doordat er met verschillende systemen wordt gewerkt. Zo bleek eind vorig jaar dat Nederlandse artsen niet bij medische gegevens van patiënten kunnen omdat de elektronische patiëntendossiers van ziekenhuizen niet met elkaar communiceren. Ook in de onderlinge communicatie tussen zorginstellingen speelt dit probleem. Een deel van de oorzaak hiervan ligt in het gegeven dat niet alle zorgpartijen en -oplossingen toegang hebben tot DigiD. Dit is voorbehouden aan overheden en organisaties die een overheidstaak uitvoeren. SSI-oplossingen zijn in dat opzicht toegankelijker doordat het gebruik hiervan niet is voorbehouden aan (semi-)overheidsinstellingen. Bovendien zorgt dit voor meer gebruiksgemak en efficiëntie omdat relevante gegevens direct gedeeld kunnen worden door cliënten, zonder dat hiervoor hele formulieren ingevuld hoeven te worden.

4. Voldoen aan AVG

Sinds de AVG van kracht is, zijn bedrijven verplicht inzicht te geven in welke persoonsgegevens ze waar opgeslagen hebben, en met welke reden. Bovendien hebben gebruikers het recht om vergeten te worden. Dit betekent dat ze te allen tijde kunnen vragen om hun gegevens te verwijderen. Deze regelgeving zorgt voor een andere omgang met persoonsgegevens en leidt bovendien tot hogere kosten voor het adequaat beheren van data en meer druk op het IT-team. Met een SSI-toepassing wordt een deel van deze beheerzorgen bij organisaties weggenomen, omdat gegevens decentraal verwerkt worden. Oftewel: persoonsgegevens blijven eigendom van de gebruiker en worden niet centraal binnen de organisatie opgeslagen.

Wet Digitale Overheid

De tijd lijkt rijp voor een bredere toepassing van SSI. De onlangs door de Tweede Kamer aangenomen Wet Digitale Overheid (WDO) staat namelijk toe dat private inlogmiddelen namens gebruikers BSN-nummers mogen verwerken. Dit recht is nu nog alleen voorbehouden aan DigiD. Zodra de Wet Digitale Overheid ook door de Eerste Kamer wordt aangenomen (en er zijn weinig redenen om hieraan te twijfelen) kunnen organisaties SSI-toepassingen inzetten om effectiever en efficiënter met gebruikersgegevens om te gaan. Waarmee het privacyvraagstuk weer iets verder opgelost wordt. Want wat je niet in beheer hebt, kun je ook niet kwijtraken.

Lees meer over Beheer OP AG Intelligence
2
Reacties
Lezer#3551 Karman 24 juli 2020 11:42

De persoonsgegevens zoals een BSN daar is een burger geen eigenaar van. Het eigenaarschap is belegd in de basisregistratie BRP. Het BSN is bedoeld voor het zoveel mogelijk vermijden van administratieve persoonsverwisselingen. Het bewijs van de juiste persoon in een voldoende betrouwbaarheidsniveau los je niet op met een app op de telefoon (SSI).

De datasilo's zijn ontstaan door hele applicaties welke de logica en database gekoppeld hebben tot een oplossing voor het bedrijfsprobleem. Het afbreken van datasilo's gaat alleen lukken als de informatie / gegevens als opslag rond de verwerking en de logica van de verwerkingen ontkoppeld worden. In de cloud strategy vgaat het om meer oplossingen met een harde koppeling tussen de data en de verwerking.

Atilla Vigh 14 juli 2020 12:58

SSI gaat over persoonsgegevens niet over alle gegevens. Het idee dat je met SSI de datasilo's, ik zou eerder zeggen applicatie-silo's kan ontwaren is niet realistisch. De data is niet aanwezig om dat dat zo gezellig is, maar omdat er een product en/of dienst aan te grondslag ligt. Ik ben een vervend voorstander van IRMA, maar specifiek voor de persoonsgegevens, niet de procesinformatie en andere gerelateerde gegevens.
Een ander goed initiatief binnen gemeenten is de Common Ground, waarbij juist die silo-applicaties worden ontward in data en functionaliteiten, zodat het ook veel makkelijker wordt om data over inwoners en bedrijven eenmalig vast te leggen en meervoudig te gebruiken.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.