5.10.0 Introductie

De consequentie van PET en het gebruik van een IDP is, dat elke keer wanneer een gebruiker in een privacyveilig informatiesysteem inlogt er een IDP moet worden aangemaakt. Deze IDP mag (afhankelijk van de behoefte van de gebruiker) in principe niet dezelfde zijn als de IDP die al elders is gebruikt. Dit om profiling en traceerbaarheid te voorkomen. De gevolgen van het gebruik van een IDP laat zich niet alleen voor de gebruiker, maar ook in organisaties voelen.

Vandaar, dat het beheer van identiteiten, het Identity Management (IM)1 een onontkoombare en belangrijke ontwikkeling is naast PET. Organisaties die in de cyberwereld willen functioneren zullen zich zo moeten inrichten, dat zij hun diensten toegankelijk maken voor een brede laag van gebruikers. Om online transacties met hun leveranciers, klanten, werknemers en bedrijfspartners direct af te handelen is een IM-systeem voor een organisatie onvermijdelijk. Ook de eindgebruikers zullen een IM-systeem nodig hebben om controle te houden over hun vele online identiteiten.2

IM-systemen worden geconfronteerd met belangrijke privacykwesties. Gebruikers kunnen zich gaan afvragen: wie beheert mijn netwerkidentiteit, wanneer en welke keuze moet ik maken om te bepalen aan wie ik mijn netwerkidentiteit geef? IM-systemen waarin PET wordt toegepast, vereisen technologieën die het gebruikers mogelijk maken om de afgifte van persoonlijke informatie en de koppeling van die informatie binnen verschillende IM-systemen onder controle te houden.3 Bij het ontwerp van privacyveilige informatiesystemen moet dan ook een robuust identiteitsbeheersysteem meegenomen worden.

Iedereen bezit inmiddels in onze informatiemaatschappij vele (deepidentiteiten4 en daarop gebaseerde digitale identiteiten5 (`accounts') (zie figuur 5.6), waarvan de authenticatiegegevens zoals wachtwoorden of pincodes moeten worden onthouden of moeten worden toegepast zoals bijvoorbeeld biometrische kenmerken. De hoeveelheid digitale identiteiten zal per persoon in de komende jaren sterk toenemen zodat gebruikers (maar ook organisaties) een nog grotere behoefte zullen krijgen aan technische middelen voor het privacy veilig beheren van hun identiteiten en de daarbij behorende authentificatiegegevens. De term digitale identiteit wordt gewoonlijk gebruikt met betrekking tot twee met elkaar samenhangende concepten: Nyms en Partial Identities.6 Wanneer gebruikers een interactie aangaan met andere partijen, dan kunnen zij verschillende `nyms' inzetten.7 Elke `nym' geeft een gebruiker een identiteit waarmee hij kan handelen. Nyms kunnen sterk aan een fysieke identiteit gerelateerd worden (dat wil zeggen: er bestaat een partij of een combinatie van verschillende partijen die het nym kunnen verbinden met een individu) of nyms hebben slechts werking binnen een bepaald systeem of zelfs voor één enkele transactie. Er zijn ook nyms die als zwak verbindend of niet identificerend kunnen worden gekwalificeerd en die bijvoorbeeld in 'peer-to-peer' informatie-uitwisselingsystemen worden gebruikt. Bij deelidentiteiten hebben gebruikers verschillende geassocieerde eigenschappen (bijvoorbeeld: naam, leeftijd, creditkaart, beroep, etc.). Elke subset van de eigenschappen vertegenwoordigt een deelidentiteit van de gebruiker. De deelidentiteit kan al dan niet met de werkelijke identiteit van de gebruiker worden geassocieerd.

In figuur 5.6 worden de deelidentiteiten van Alice vernield. De wolk in het midden van deze figuur geeft de gehele identiteit van Alice weer en bevat persoonlijke informatie die binnen bepaalde groepen gedeeld wordt. De grenzen zijn met stippellijnen aangegeven. Deze grenzen geven een gedeelte van de identiteit van Alice aan. Voor elk gedeelte van de identiteit kan Alice voor een pseudo-identiteit kiezen. Figuur 5.6 geeft tien specifieke domeinen van activiteit weer, waarbinnen Alice een gedeelte van haar identiteit prijsgeeft. Alleen Alice kan alle attributen van haar identiteit samenvoegen. In dit voorbeeld kan Alice dus tien pseudo-identiteiten hebben. Om de juiste identeitsinformatie bij het juiste domein te houden is identiteitsmanagement nodig.

Omgekeerd zullen gebruikers ook privacybeschermende middelen nodig hebben wanneer zij digitaal door andere gebruikers of automatisch door informatiesystemen worden benaderd. Nu al beschikken veel gebruikers over een filtermechanisme om spam, e-mail of ongevraagde telefoongesprekken te blokkeren. De huidige digitale netwerken kunnen de authenticiteit niet garanderen en zonder het gebruik van een IDP is identiteitsdiefstal relatief gemakkelijk. In de digitale wereld is een van de meest belangrijke privacyzorgen de traceerbaarheid bility'). Systemen die methodes voor authentificatie, integriteit en onloochenbaarheid (`non-repudiation') steunen, zoals digitale handtekeningen kunnen ongemerkt en onbevoegd gebruik van digitale identiteiten verhinderen.

Gebruikers laten, wanneer zij geen beschikking hebben over een IDP bij gebruik van het internet of andere digitale netwerken ongemerkt gegevenssporen achter en zonder IDP kunnen zij dit niet verhinderen. Ter bescherming van de persoonlijke levenssfeer zouden gebruikers zich moeten kunnen wapenen tegen ongewilde profilering door organisaties die hun persoonsgegevens beheren. De consequentie van het recht op informatiezelfbeschikking impliceert dat gebruikers feitelijk in staat moeten worden gesteld zelf te bepalen waar, wanneer en door wie welke persoonsgegevens worden opgeslagen, wanneer men het internet bezoekt of zijn mobiele telefoon, pc of 'personal digital assistant' (PDA) gebruikt. De enige manier tot nu toe is gebruik te maken van technieken die de anonimiteit of pseudonimiteit van het individu verzekeren. Voor elke situatie zou een eigen gekozen (pseudo)identiteit kunnen worden gebruikt.8 In figuur 5.7 is privacy en identiteitsbeheer gepositioneerd ten opzichte van de samenleving. Privacy staat voor 'I am who I am' en identity management en beveiliging worden weergegeven door `you are who we say you are'.

De idee van het identiteitsbeheer beoogt de gebruiker in staat te stellen om in verschillende situaties onder verschillende identiteiten te handelen. Bij gebrek aan identificeerbare persoonsgegevens kan een derde niet een telkens wisselende pseudo-identiteit met een gebruiker verbinden Zo wordt het moeilijker voor derden, zoals webdiensten of reclamebedrijven, om uitgebreide profielen over een gebruiker op te bouwen zonder de toestemming van de gebruiker.9 Dergelijke identiteitsmanagementsystemen om de verschillende partiële identiteiten aan te maken en te managen zijn nog niet universeel operationeel. Een prototype is inmiddels in het PRIME research project10 ontwikkeld als tegenhanger voor de door de overheid en bedrijfsleven gebruikte identiteitsbeheersystemen die zich over het algemeen richten op bedrijfsprocessen zonder de gebruikers de mogelijkheid te bieden hun persoonsgegevens te managen. De bronsystemen van de identiteitsmanagementsystemen bevatten broninformatie en/of deelinformatie over een digitale identiteit die procesmatig naar andere systemen worden getransporteerd. De meest gebruikte bronsystemen zijn HRM-, CRM- en andere identiteitbevattende systemen (bijv. Gemeentelijke basisadministraties (GBA) en bedrijvenadministraties). Hansen stelt dat een identiteitsbeheersysteem (IMS) zodanig moet zijn ingericht dat de gebruiker in staat wordt gesteld om zijn recht op informationele zelfbeschikking uit te oefenen.

In het algemeen wordt er onderscheid gemaakt tussen gecentraliseerde identiteiten (`centralized identity') en gefederaliseerde identiteiten (`federated identity'). De gecentraliseerde identiteiten worden verstrekt door een centrale IMS-provider die als één enkele toegangspoort voor het beheer van de identiteiten van de gebruiker optreedt. De gefederaliseerde identiteiten hebben meerdere IMS-providers. Deze laatste vorm komt steeds meer voor ten gevolge van de toenemende relaties tussen organisaties waardoor ketenintegratie en samenwerkingsverbanden op grote schaal ontstaan.12 Teneinde processen van met elkaar samenwerkende organisaties op een metaniveau te integreren, is het nodig om zekerheid te verkrijgen over de identiteiten die betrokken zijn bij die processen. Het is echter niet altijd mogelijk om als organisatie alle identiteiten zelf te beheren. Om toch een betrouwbare registratie te verkrijgen, wordt meer en meer vertrouwd op de authenticatie van gebruikers door ketenpartners. Als een ketenpartner betrouwbaar13 wordt gevonden, dan wordt ervan uitgegaan dat de medewerkers van die partner ook betrouwbaar zijn. Een privacycertificaat zoals dat van Europrise, waaruit dit blijkt is noodzakelijk. De organisatie zal dan ook gaan vertrouwen op de identiteiten die de ketenpartner zelf ook vertrouwt. Het `federated identity' mechanisme maakt dat mogelijk. Door toepassing van protocollen als SAML14 en WSTL15 kan het identiteitenbeheer wordt overgedragen aan derden.16 Het gecentraliseerde identiteitsbeheer is gemakkelijker en goedkoper te onderhouden, maar het schept ook een aantrekkelijk doel voor aanvallers17 en wordt steeds meer beschouwd als niet realistisch. Het spreekt natuurlijk van zelf dat ook deze systemen moeten voldoen aan de wettelijke normen met betrekking tot het beschermen van persoonsgegevens. Voor het ontwerpen van architecturen van een onder controle van gebruikers staande IMS heeft 'The Center for Democracy & Technology' in 2007 `Privacy Principles for Identity in the Digital Age' gepubliceerd.18 Deze publicatie beschrijft de juridische normen (VS wetgeving en de Europese richtlijnen voor de bescherming van persoonsgegevens) waaraan het IMS moet voldoen.