5.8.0 Introductie

De identiteitsbeschermer (IDP: 'Identity Protector', zoals deze functie internationaal bekend staat)1 kan beschouwd worden als het hart van PET. Het is een systeemmodule die de uitwisseling van de identiteit van de gebruiker tussen de overige systeemmodules en processen beheerst.2 Hoe de Identity Protector technisch moet worden ingericht, hangt af van het specifieke informatiesysteem. Een aantal van de manieren waarop dit dient te gebeuren zijn gebaseerd op de eerder besproken ideeën van Chaum.3

Figuur 5.4 geeft aan dat de Identity Protector de identiteit van de gebruiker in één of zo veel meer pseudo-identiteiten (in het figuur 5.4 weergegeven als maskers) converteert als er aantallen afzonderlijke transacties zijn binnen het informatiesysteem. Het zinsdeel "een of zoveel meer pseudo-identiteiten" slaat op het feit dat door het vele gebruik van een en dezelfde pseudo-identiteit, de ware identiteit toch achterhaald kan worden. Een bankrekeningnummer is bij eenmalig gebruik een goede pseudo-identiteit, maar niet als hetzelfde bankrekeningnummer een aantal keren wordt gebruikt. Wanneer verschillende pseudo-identiteiten door een persoon worden gebruikt, valt er geen patroon te ontdekken in de activiteiten van die persoon die op basis van de verschillende pseudo-identiteiten worden uitgevoerd.

De pseudo-identiteit is een alternatieve digitale identiteit die het individu kan krijgen, wanneer hij het informatiesysteem gebruikt. Alle gegevens die samenhangen met het gebruik van het systeem worden vanaf het moment dat de IDP een pseudo-identiteit heeft verleend aan de gebruiker, gekoppeld aan die pseudo-identiteit, waardoor er geen persoonsgegevens meer worden gegenereerd.

Ten behoeve van de noodzakelijke identiteitsuitwisseling tijdens de verschillende processen in het informatiesysteem wordt de IDP op een of meerdere interactielijnen in het informatiesysteem (zie figuur 5.5) geplaatst. De IDP kan overal waar in het informatiesysteem persoonsgegevens worden uitgewisseld, geplaatst worden. Hoe meer de identiteit en daarmee samenhangende persoonsgegevens van de gebruiker moeten worden beschermd, des te kleiner het identiteitsdomein (II)) dient te zijn en des groter het pseudo-identiteitsdomein (PID) in het informatiesysteem. Dus, de identiteitsbeschermer die direct na de gebruikersrepresentatie is geplaatst, creëert het grootste pseudo-identiteitsdomein. Een nog groter pseudoidentiteitsdomein zou kunnen worden gecreëerd door een smartcard met daarop de IDP te gebruiken bij het inloggen.4 Het informatiesysteem is dan in zijn geheel een pseudo-identiteitsdomein voor de gebruiker geworden.

Figuur 5.5 laat het effect van de plaatsing van de IDP in het informatiesysteem zien:

De plaatsing van de IDP heeft tot gevolg dat de identiteit en de persoonsgegevens van de gebruiker niet meer naar het afgeschermde deel van het informatiesysteem verspreid kunnen worden. De persoonsgegevens worden dus bij de verwerking gescheiden van de niet-persoonsgegevens. Scheiding van gegevens houdt in dat persoonsgegevens wel worden verwerkt, maar dat de identificerende persoonsgegevens worden losgekoppeld van de overige gegevens. Deze gedachte vormt de basis voor de IDP. Uit figuur 5.4 kan worden afgeleid dat door het plaatsen van de IDP twee soorten domeinen binnen het informatiesysteem, ontstaan. Er is één domein waar de identiteit van de gebruiker bekend of toegankelijk is en er zijn één of meerdere domeinen waarin de gebruiker slechts bekend is onder een pseudo-identiteit die kan verschillen per verwerking.5 De term 'identiteitsdomein' duidt het domein aan waar de werkelijke identiteit van de gebruiker van het informatiesysteem bekend is. De domeinen waar de identiteit van de gebruiker niet bekend zijn, worden aangeduid als `pseudo-identiteitsdomeinen' (zie figuur 5.4). Personen die geautoriseerd zijn de IDP te gebruiken, kunnen hiermee toegang verkrijgen tot beide domeinen en de relatie tussen de twee domeinen zien. Personen die voor hun functie niet de beschikking hoeven te hebben over alle persoonsgegevens, krijgen alleen toegang tot die pseudo-identiteitsdomeinen waartoe zij gerechtigd zijn. De gebruiker moet er overigens vanuit kunnen gaan dat de dienstverlener in het domein waar de identiteit van de gebruiker bekend is, zijn persoonsgegevens conform het van tevoren door de gebruiker geaccepteerde privacybeleid c.q. de privacy wet- en regelgeving zal behandelen.