8.3. De rol van identiteit en identiteitsmanagement

In paragraaf 5.10 is uiteengezet dat bij het ontwerp van privacyveilige informatiesystemen een robuust identiteitsbeheersysteem mede in de architectuur dient te worden geincorporeerd. Het gebruik van ict en met name van internet vraagt om systemen waarbij het individu controle heeft over zijn eigen pseudo-identiteiten. Hansen bepleit dat het identiteitsbeheersysteem zo moet zijn ingericht dat het de gebruiker in staat stelt om zijn recht op informationele zelfbeschikking te realiseren.1 Van belang is dat `credentials' die de identiteit van een persoon kunnen bewijzen in de context van de privacybescherming voldoen aan het proportionaliteitsbeginsel,2 zodat dergelijke `credentials' niet voortdurend moeten worden gecontroleerd, gevolgd en geregistreerd. Door een dergelijk toezicht zou namelijk niet alleen de privacybescherming illusoir worden, maar ook de vrije en democratische samenleving onder druk komen te staan. De door Brands ontwikkelde credentialtechnieken demonstreren dat: "these goals can be achieved through the use of privacy-enhancing technologies that are entirely feasible and secure.3.

Het probleem is dat er nog geen gestandaardiseerde identificatie-infrastructuur en identiteitsbeheer bestaan. Dat leidt in de praktijk tot grote verschillen. Soms is alleen een paspoortnummer nodig om vast te stellen dat de persoon inderdaad is wie hij beweert te zijn en soms moet de betrokkene om onduidelijke redenen zeer veel persoonlijke informatie prijsgeven. Ook blijken soms de gevraagde identificatiegegevens niet toereikend te zijn om met zekerheid te kunnen vaststellen dat in een transactie de participerende partijen zijn wie zij zeggen te zijn. Dergelijke situaties leiden niet tot meer vertrouwen, geven ruimte tot misbruik en zullen uiteindelijk een negatief effect hebben op de ontwikkeling van de informatiesamenleving. Van Rooy en Bus pleiten dan ook voor een gestandaardiseerde en betrouwbare IDM-infrastructuur (identity management), die noodzakelijk is: "for trustworthy services in domains such as e-government, e-health, e-commerce, finances, web 2.0 communities and the forthcoming Internet of things."4

Zoals eerder in dit hoofdstuk opgemerkt, zijn er dringende redenen om te werken aan een wereldwijde standaard voor de juridische specificaties, maar er is ook dringend behoefte aan standaarden voor de noodzakelijke privacyveilige infrastructuur en het beheer van multi-identiteiten per persoon. De standaard dient als uitgangspunt te nemen dat het individu zijn multi-identiteiten zelf beheert en hij controlemogelijkheden krijgt zodat er geen onoorbare dingen met zijn persoonsgegevens gebeuren. Camenish ondersteunt deze gedachte: "each single user is put into control with regard to his/her PII as much as possible. This is surely better than letting other entities like other users or organizations decide about and being in control of users Personal Identifiable Information (PII)."5

De vijfde onderzoeksvraag betreffende het ontwerpen en het bouwen van privacyveilige informatiesystemen is in hoofdstuk 5 vanuit het PET concept positief beantwoord. In hoofdstuk 6 is naar de praktijk gekeken, omdat dan pas blijkt of de theorie kan worden toegepast en goedwerkende privacyveilige informatiesystemen geen luchtkastelen zijn. Uit de praktijk zijn vier informatiesystemen als voorbeelden opgevoerd. Het betreft de metazoekmachine Ixquick (paragraaf 6.5.1), het ziekenhuisinformatiesysteem van het psychiatrisch ziekenhuis Meerkanten in Ermelo (paragraaf 6.7), het Victim Tracking and Tracing System (ViTTS) (paragraaf 6.8) en de privacy incorporated software agent (PISA) (paragraaf 6.9), waaruit de research naar het privacy managementsysteem is voortgevloeid.

Uit onderzoek is gebleken dat deze informatiesystemen volledig door de gebruiker worden vertrouwd. Ixquick heeft in 2008 van EuroPrise een Europees privacycertificaat gekregen. De privacyaudit van de Registratiekamer heeft aangetoond dat het ziekenhuisinformatiesysteem van het ziekenhuis Meerkanten privacyveilig is. ViTTS is door researchers van PRIME op de privacybescherming getoetst en de PET maatregelen zijn als adequaat beschouwd. Uit een enquête van het National Research Center of Canada onder vijftig studenten van de Carleton University naar het vertrouwen in PISA bleek, dat tussen de 90 en 96% van de studenten de geboden functionaliteiten begreep en tussen de 70 en 80% de privacybeschermende functionaliteit zo goed vond dat zij verklaarden, dat zij hun salariswensen, naam, adres en telefoonnummer aan PISA zouden toevertrouwen.6 De vijfde onderzoeksvraag kan dus zowel vanuit een theoretisch als praktisch oogpunt bevestigd beantwoord worden.

Klöver, Peissl en Tennoe wijzen erop dat "poorly designed ICT products may affect privacy in 10 or 20 years time."7 Dat wil zeggen dat als wij nu niet privacyveilige informatiesystemen op grote schaal ontwerpen en deze systemen de verwerking van onze persoonsgegevens toevertrouwen, onze samenleving de komende jaren met grote privacy problemen zal worden geconfronteerd. In een lijst van zeven `challenges' bepleiten Klöver, Peissl en Tennoe de noodzaak om de in paragraaf 4.8 besproken Privacy Impact Assessment wettelijk verplicht te stellen. Dit voorkomt dat systemen de informationele privacy niet of slecht beschermen. Ook pleiten zij voor een structurele gegevensminimalisatie (zie paragraaf 2.5.6) en een systematische integratie van PET in de systeemontwikkeling.8.