Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/5.5.1
5.5.1. Identificatie en authenticatie
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576465:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Overbeek & Sipman, 1999, p. 114, 126.
Overbeek & Sipman, 1999, p. 114.
Een voorbeeld hiervan is de verificatie van de houder van de Privium kaart van de Schiphol Group bij de paspoort controle. Voor meer informatie: Hes, Hooghiemstra & Borking, 1999, p. 52-54.
Overbeek & Sipman, 1999, p. 230, 235.
Horlings, e.a., 2003, p. 4-5. Dit rapport is in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties geschreven, maar als intern document niet gepubliceerd.
Privacy Enhancing Technology for Webbased Services (PET-Web), 'The primary objective is to devise a framework for fficilitating the development of the next generation of privacy enhancing technologies in largescale web-based services', Projectno. 180069/S10, Oslo 2007, waarbij Min side als een casestudy fungeerde.
Identificatie1 is het kenbaar maken van de identiteit van een subject (een gebruiker of een proces). De identiteit wordt gebruikt om de toegang van het subject tot een object te beheersen. Een object is bijvoorbeeld een computerbestand of een record in een database. Dit proces wordt uitgevoerd wanneer een gebruiker, middels de gebruikersrepresentatie toegang wenst tot het informatiesysteem. In de meeste informatiesystemen maakt de gebruiker zich bekend (identificatie) voor de dienstverlener, waarop de dienstverlener de identiteit van de gebruiker controleert (authenticatie). De gebruiker maakt voor identificatie en authenticatie gebruik van de interface die de gebruikersrepresentatie biedt.
Een veel voorkomende wijze van identificatie is het intoetsen van een zogenaamd gebruikersnaam (user-id), bijvoorbeeld XSHS/536810. De authenticatie geschiedt door de gebruiker een wachtwoord (`password') in te laten toetsen. Het wachtwoord is een code die alleen aan de gebruiker bekend is. Identificatie en authenticatie kan niet alleen geschieden aan de hand van wat de gebruiker weet (het wachtwoord), maar ook op basis van een kenmerk van de persoon (vingerafdruk, stem, fris) of op basis van het bezit van een bankpas tezamen met een persoonlijk identificatie nummer (pin)code2 en/of met een biometrische scan, waarvan het resultaat vergeleken wordt met de template die in de chip op het bankpasje is aangebracht.3 Een pseudoniem kan gebruikt worden om de authenticiteit van het individu of het informatiesysteem te verifiëren zonder dat daarvoor diens identiteit moet worden onthuld. Cryptografisch kan bij de toegangscontrole gebruik gemaakt worden van een `challenge-response sequence', zoals bijvoorbeeld gebeurt bij het elektronisch bankieren.4 Identificatie en autorisatie zijn nodig om te voorkomen dat ongeautoriseerde personen toegang krijgen tot netwerken en (delen van) bestanden waarin privacygevoelige data worden bewaard.5 Het belang van een dergelijke bescherming is ondermeer aangetoond in het Noorse researchproject 'Privacy Enhancing technology for Webbased Services', waar als testcase het virtual private network 'Min Side' werd gebruikt.6 Identificatie en autorisatie zijn van groot belang voor de betrouwbaarheid en integriteit van systemen. Pas na de authenticatie kan de toegang tot het informatiesysteem plaatsvinden. In de tekst van artikel 3:15a eerste lid BW wordt de term `authentificatie' gebruikt:
"Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval".
Met authenficatie worden identificatie en authenticatie ten onrechte samengetrokken tot één proces.