Privacyrecht is code (R&P nr. ICT1) 2010/5.8.1:5.8.1. Functies van de Identity Protector

Privacyrecht is code (R&P nr. ICT1) 2010/5.8.1

5.8.1. Functies van de Identity Protector

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Zoals hierboven al uiteengezet is een belangrijke functie van de identity protector (IDP) het omzetten van de identiteit van een gebruiker in een pseudo-identiteit, meestal door het toekennen van niet-herleidbare identificatiecodes. Met de pseudo-identiteit (een digitale identiteit) kan de gebruiker vervolgens handelingen binnen het informatiesysteem verrichten. De IDP waarborgt de belangen van de gebruiker, met name houdt hij controle over de verspreiding van zijn identiteit en persoonsgegevens binnen het informatiesysteem. Bovendien zorgt de IDP er voor, dat de betrokkene niet kan worden getraceerd aan de hand van eerder verkregen persoonsgegevens en zorgt het pseudo-identiteitsdomein ervoor dat de persoonsgegevens niet kunnen worden gevonden aan de hand van de verkregen identiteit. Dat wil natuurlijk niet zeggen dat bij strafrechtelijk onderzoek deze bescherming niet opengebroken kan worden, zoals in de `Campina-afpersing' zaak.1 De gebruiker kan afhankelijk van zijn behoefte en de mogelijkheden binnen het informatiesysteem de IDP zo instellen, dat bij rechtmatig gebruik zijn identiteit, niet vrijgegeven wordt. Hij kan ook de IDP zodanig instellen, dat zijn identiteit alleen vrijgegeven wordt aan bepaalde dienstverleners. De IDP kan de identiteit van de gebruiker afschermen van zowel medegebruikers als van diensten die binnen het informatiesysteem geleverd worden. De koppeling tussen het identiteitsdomein en de pseudo-identiteitsdomeinen kan worden gemaakt indien dit noodzakelijk is voor het verwerkingsproces en hierin bij het ontwerp van het informatiesysteem is voorzien.2

Omdat in veel gevallen een informatiesysteem verschillende soorten gebruikers kent die slechts een beperkt aantal gegevens mogen inzien, kan de IDP verschillende pseudo-identiteitsdomeinen tot stand brengen. In ieder pseudoidentiteitsdomein wordt dan een deel van de informatie over een persoon verwerkt. De IDP kan ook tussen de gebruiker en verschillende informatiesystemen worden geplaatst, waardoor er per informatiesysteem een pseudoidentiteitsdomein wordt gecreëerd. Van Rossum e.a. geven als voorbeeld:

"The service provider, say a hospital or doctor, wants to check whether a patient is insured for a particular treatment. The hospital and the insurance company know the patient by different pseudo-identities. Via the identity protector, which can translate pseudo-identities, the hospital can detennine what coverage the patient has for which treatments."3

De IDP draagt op vier manieren bij aan de versterking van de bescherming van de persoonlijke levenssfeer:

1.

Hij kan de identificeerbaarheid voorkomen of verminderen.

2.

Hij kan ingesteld zijn op het voorkomen van de verdere verwerking van persoonsgegevens.

3.

Hij kan gericht zijn op het ondersteunen van de privacyrealisatiebeginselen zoals besproken in hoofdstuk 2.

4.

Hij kan de controle van het individu vergroten over zijn eigen persoonsgegevens.4

In de praktijk is een IDP een deel van een programma dat op een server kan staan. In het informatiesysteem kan de IDP gerealiseerd worden in de vorm van, bijvoorbeeld: een aparte functie geïmplementeerd in het informatiesysteem of informatieproces. Ook kan de IDP een apart informatiesysteem zijn, dat onder controle van de gebruiker of de burger (bijvoorbeeld via een smartcard) staat of onder controle staat van een door de dienstverlener (bijvoorbeeld de overheid) en de gebruiker vertrouwde partij (trusted third party of TTP).5

Samenvattend: De identiteitsbeschermer biedt de volgende functionaliteiten:

1.

Melding van en controle met betrekking tot de vrijgave identiteit.

2.

Het maken van pseudo-identiteiten op basis van de echte identiteit.

3.

Het omzetten van pseudo-identiteiten in identiteiten, en vice versa.

4.

Het omzetten van pseudo-identiteiten in andere pseudo-identiteiten.

5.

Het koppelen van de pseudo-identiteit en de echte identiteit.

6.

Het creëren van identiteit- en pseudo-identiteitsdomeinen.

7.

Bestrijding van misbruik van de pseudo-identiteiten.6

Gezien de belangrijke functies van de identiteitsbeschermer is het van groot belang dat er zorgvuldig met de identiteitsbeschermer wordt omgesprongen. De autorisatie en authenticatie van personen is dan ook een kritisch proces om de effectieve werking van de identiteitsbeschermer te waarborgen. Het authenticeren kan bijvoorbeeld gebaseerd worden op een digitaal certificaat. De identiteitsbeschermer is tot nu toe beschreven als een abstracte functionaliteit, of anders gezegd een `black-box' waarmee de ontwerper in staat is het informatiesysteem zodanig te modelleren, dat de identiteit van de gebruiker wordt afgeschermd en alleen voor bepaalde functies beschikbaar komt. De ontwerper wordt, bij de realisatie en implementatie van de identiteitsbeschermer, niet beperkt in zijn keuze voor het toepassen van speciale technieken. Hij kan in zijn ontwerp bijvoorbeeld gebruik maken van (blinde) digitale handtekeningen,7 `trusted third parties' (TTps),8en het gebruik van digitale certificaten (`credentials').9 Om privacyinbreuken te voorkomen moet natuurlijk de identity protector wel betrouwbaar zijn, dus gecontroleerd worden. Dat kan geschieden door een organisatie (bijvoorbeeld Europrise)10 die certificaten afgeeft waarin de betrouwbaarheid van de identity protector wordt gegarandeerd na het uitvoeren van een evaluerende privacyaudit.11

Deze functie is alleen te gebruiken als je bent ingelogd.