AVG & eID

AVG & eID

 

Nu de Algemene Verordening Gegevensbescherming (AVG) van kracht is, moet vorm gegeven worden aan de verschillende verplichtingen. Dit artikel richt zich op die verplichtingen met een direct verband met elektronische identiteiten (eID’s). Kortweg: inzage vereist deugdelijke authenticatie en instemming vereist elektronische ondertekening.

 

Omwille van de zorgvuldigheid begin ik met een positiebepaling. In het naschrift bij al mijn (drie eerdere) columns voor iBestuur sta ik vermeld als hoogleraar in Nijmegen en als voorzitter van de stichting Privacy by Design. Die laatste vermelding heb ik omwille van de transparantie steeds toegevoegd, omdat de onderwerpen van iBestuur een overlap kunnen hebben met het werkgebied van de stichting: identiteitsmanagement. Ik opereer graag transparant en wil niet van verborgen agenda’s beschuldigd worden. De stichting heeft geen winstoogmerk en ontwikkelt met open source software een eigen identiteitsplatform, IRMA geheten. Ik heb geen financieel belang bij de stichting en daarom voel ik mij vrij om hier over dit platform te spreken, zeker wanneer dat een relevante illustratie vormt van het besproken onderwerp. IRMA is gebaseerd op value-driven design en weerspiegelt waarden (zoals autonomie, beveiliging en privacybescherming) die binnen de stichting, maar ook daarbuiten, gedeeld worden.

 

Maar nu ter zake. Het inzagerecht onder de AVG staat verwoord in artikel 15: “De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens …”. Dit komt er op neer dat u aan allerlei organisaties kunt vragen welke gegevens zij over u hebben, wat ze er mee doen, met welk doel, aan wie ze de gegevens over u doorgeven, enzovoorts. De Autoriteit Persoonsgegevens verschaft hierover verdere praktische informatie. Dit recht bestond al lang onder de oude Wet bescherming persoonsgegevens (WBP), maar wordt in de praktijk slecht nageleefd: organisaties reageren vaak niet, onvolledig, of te laat op inzageverzoeken, zoals de afgelopen weken uit verschillende reportages in de media is gebleken. De AVG blaast dit inzagerecht nieuw leven in, vooral door dreiging van hogere boetes.

Wanneer een organisatie een inzageverzoek ontvangt, moet die organisatie met zekerheid kunnen vaststellen van wie dit verzoek afkomstig is. Immers, wanneer aan de verkeerde persoon inzage gegeven wordt, is sprake van een datalek en is de organisatie in overtreding. De verzoeker moet zich dus ‘authenticeren’, dat wil zeggen: moet bewijzen wie hij of zij is. Hiermee komen we op het onderwerp waar de Nederlandse overheid al jaren mee worstelt: het nieuwe beoogde nationale authenticatiemiddel, de eID.

 

Onder de WBP was het gebruikelijk dat de verzoeker een kopietje-paspoort bijsloot bij een inzageverzoek om de eigen identiteit te bewijzen. Deze methode is niet alleen volstrekt achterhaald, maar is ook een onzinnige overkill waarbij de verzoeker waarschijnlijk aanvullende informatie over zichzelf prijsgeeft en het risico loopt dat deze kopie misbruikt wordt voor identiteitsfraude. Echter, nieuwe, algemeen bruikbare en geaccepteerde authenticatieoplossingen laten vooralsnog op zich wachten. Wanneer de gebruiker reeds een betrouwbare login heeft bij een organisatie, en daarmee in een ‘mijn’ dit-of-dat portal in kan loggen, kan via dat portal inzage gegeven worden in de verwerkte persoonsgegevens. Dit is in principe een werkbare aanpak, waarbij deze organisaties hun informatiehuishouding wel dusdanig (goed) op orde moeten hebben dat zij per gebruiker de relevante persoonsgegevens uit al hun systemen direct beschikbaar kunnen stellen. Een individu heeft hierbij een aparte login nodig bij ieder van die portals, iedere keer met een aparte gebruikersnaam en (hopelijk) een apart wachtwoord. Sub-ideaal.

Iedere verwerking van persoonsgegevens moet een rechtsgrond hebben, zie AVG artikel 6. Een van de mogelijke rechtsgronden is instemming van de betrokkene, “voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden”. Het verzoek om instemming is aan allerlei eisen gebonden. Het moet bijvoorbeeld begrijpelijk, vrij, en onderscheiden van andere aangelegenheden zijn, zie artikel 7. Toestemmingsverklaringen spelen een belangrijke rol. Niet alleen in de commerciële wereld, maar bijvoorbeeld ook in de zorg, voor betrouwbare donorregistraties of voor ‘gespecificeerde’ toegang tot medische dossiers. De AVG stelt echter geen technische eisen aan de methode waarmee toestemming gegeven wordt. Dat is begrijpelijk: de AVG is een verordening die lang mee moet gaan, in veel landen, en daarom een techniekonafhankelijke formulering kent.

 

Wat we nu zien is dat gebruikers gevraagd wordt om toestemming te geven door op een linkje in een e-mail te klikken (phishing!) of door een vinkje op een webpagina aan te zetten, soms na authenticatie. Is dat voldoende? Iedere systeembeheerder kan zelf zo’n link-klik of vinkje genereren. De AP geeft hierover geen informatie op haar website. Afgelopen april heeft de Europese Article 29 club haar advies over instemming gepubliceerd. Daarin: “… the controller must be able to prove that a data subject in a given case has consented …”. Er wordt enkel een voorbeeld gegeven over hoe dat bewijs geleverd kan worden: “For example, in an online context, a controller could retain information on the session in which consent was expressed, together with documentation of the consent workflow at the time of the session, and a copy of the information that was presented to the data subject at that time.” Dit biedt weinig houvast.

 

Mijn stelling is dat de enige juiste manier om digitaal instemming vast te leggen is via een elektronische handtekening. Daarbij wordt een sterke, cryptografische verbinding gelegd tussen de gebruiker en de verklaring van instemming, op een manier die alleen door de gebruiker zelf gelegd kan worden en die later niet gemanipuleerd kan worden. Bovendien kan de digitaal getekende instemming aan anderen overgedragen worden (waaronder de toezichthouder!) zodat die zelf, cryptografisch, kunnen controleren wie welke toestemming gegeven heeft. Die overdraagbaarheid van digitaal getekende instemmingen is van groot belang in organisaties met veel vertakkingen en partners. Vinkjes op webpagina’s zijn niet overdraagbaar.

 

De techniek achter elektronische handtekeningen bestaat al lang, maar is nooit goed van de grond gekomen, door gebrek aan flexibiliteit en door hoge kosten. Digitale handtekeningen worden vaak verkeerd begrepen en worden dan verward met (her-)authenticatie – bijvoorbeeld door de Belastingdienst, aan het eind van het belastingformulier waar men opnieuw moet inloggen (authenticeren) met DigiD. Met IRMA biedt de stichting Privacy by Design een open, gratis identiteitsplatform voor zowel authenticatie (bijvoorbeeld voor inzage) als digitale ondertekening (bijvoorbeeld voor instemming). IRMA is up-and-running en is vrij te gebruiken. Met IRMA kunnen gebruikers op betrouwbare wijze een eigen ‘paspoort’ van persoonlijke attributen op hun smartphone samenstellen. Deze attributen kunnen selectief, afhankelijk van de context, gebruikt worden voor zowel authenticatie als ondertekening. Een recent position paper over eID van de Vereniging van Nederlandse Gemeenten (VNG) benadrukt de noodzaak van die combinatie van authenticatie en signing. Geïnteresseerd? Neem eens een kijkje op deze voorbeeldpagina of volg ontwikkelingen op de IRMA Twitter-pagina.

Misschien, heel misschien kan er heel langzaam aan enige voorzichtige consensus ontstaan, los van gevestigde belangen, dat het zo zou moeten en kunnen.

 

 

Bart Jacobs

20 juni 2018

Blog verschenen op iBestuur