Table of contents · van de gegevens stromen, inzichtelijk voor de gebruiker I privacyenbeveiliging...

Het identiteitsplatform IRMA als voorbeeld

van value-driven design

Bart Jacobs, Radboud Universiteit & voorzitter Privacy by Design foundation

VvEN, Amsterdam, 9 nov. 2018

Table of contents

1. Waar doet dit identiteitsplatform?

2. Ethische en politieke vragen

3. Conclusies

Het identiteitsplatform IRMA als voorbeeld van value-driven design 1

IRMA app: onthul alleen wat relevant is

Kern van de zaak:

I attributen ipv. identiteiten

I door gebruiker zelf verzameld

I attributen zijn betrouwbaar

(digitaal getekend)

I decentrale architectuur:

attributen staan alleen op de

telefoon


Demo

I authenticatie met attributen: gemak en zekerheid

I verkrijgen van attributen, uit betrouwbare bronnen, waaronder BRP

I digitaal ondertekenen met attributen: revolutionair!


IRMA geschiedenis, in 2 fasen

I 2008 – nu: wetenschappelijk onderzoeksproject aan de Radboud

University

• actieve onderzoekslijn over attribuut-gebaseerde authenticatie (via Idemix)

• 3 proerfschriften tot nu toe, veel publicaties

• financiele steun van: NLnet, Translink, BZK, NWO, KPN• prototype implementaties op:

– smart card — niet langer ondersteund

– smart phone — alleen voor Android

I 2016 – nu: technologie uitrol via non-profit stichting

• zowel Android & iOS apps, met common code-base in Go

• https://privacybydesign.foundation opgericht in najaar 2016

• stichting beheert infrastructure, en geeft enige attributen uit

• inkomsten uit donaties, projecten, werk voor derden, en prijzen!


Twee prijzen voor IRMA in 2018

Brouwer prijs van KHMW Privacy award van Privacy First

Jury’s waarderen combinatie van solide wetenschappelijke basis en

potentieel grote maatschappelijke impact.


De IRMA app als ieders eigen knooppunt

attribuut bronnen attribuut ontvangers

gemeenten (BRP)

%%

gemeenten

banken //

44

//

**

((

webwinkels

SURFnet

99

onderwijs

BIG/AGB

BB

zorg/PGO

enz enz


Cruciaal onderscheid: centrale of decentrale architectuur

Centraal: alles gaat via de Identity Provider (denk: via Facebook/iDIN)

Identity

Provider 3onthul //3 ++

Webwinkel Webwinkel · · ·

Gebruiker

1

88

2

log inee

1

66

2

ee

Decentraal: alles gaat via de gebruiker (zoals bij IRMA), unlinkably

Identity

ProviderWebwinkel Webwinkel · · ·

Gebruiker

%%1

ontvangee

xx2onthul

88

qq3

onthul

66


IRMA als ecosysteem

I Geen onderscheid publiek / privaat

I Deelnemers profiteren van elkaar

• Uitgegeven attributen zijn door iedereen te gebruiken

• bijv. gemeente/BRP attributen ook nuttig voor webwinkels of zorg

• IRMA is a community effort

I Gebruik van attributen kent wel enige beperkingen:

• bijv. gebruik van BSN vereist wettelijke basis

• AVG vereist data minimalisatie; overvragen is zichtbaar


Welke sectoren lopen voorop?

I Gemeenten (m.n. Nijmegen, Haarlem, Utrecht)

• Nijmegen geeft ±20 attributen uit aan (alle) burgers, inclusief BSN

• daarna ook zelf authenticatie en ondertekening gebruiken

• strategische doorbraak, die veel mogelijk maakt

I Zorg

• IRMA wordt gebruikt in nieuwe zorgportal van Nedap / nuts.nl

• diverse partijen doen pilots, waaronder bijv. VGZ

I Onderwijs, vooral samen met SURFnet

• ook hier sterke authenticatie, bijv. voor online tentamen uitslagen

invoeren

I Webwinkels komen trager in beweging

• overleg gaande met thuiswinkel.org

• extreem pragmatisch en focus op gebruiksvriendelijkheid


Machtsverhoudingen in de samenleving

Traditioneel geldt “follow the money”

Uit films: All

president’s men

(1976) en Mark

Felt (2017)

Tegenwoordig geldt: follow the data!

Maar ook authenticatie eisen bepalen de machtsverhoudingen

De keuze van authenticatie architectuur is extreem gevoelig

I grote verschillen tussen “centraal” en “decentraal”

I macht en (financiele) controle staat voorop in de centrale opzet

I privacy/autonomie/empowerment in de decentrale architectuur

I In wat voor samenleving willen we leven? Wie maakt de keuze?


Over privacy (volgens Helen Nissenbaum)

I We leven op een natuurlijke manier in verschillende conteksten

• thuis, werk, school, sport club, kerk, onder vrienden/familie . . .

I We houden op een vanzelfsprekende manier informatie in contekst

• wat we aan de dokter vertellen moet niet opduiken bij AH

I Verbreking van deze contekstuele integriteit geeft een schok

• zie boosheid over ING die betaalgegevens wilde verkopen, over

TomTom-gegevens die bij de politie komen, of over uitgevers van

digitale schoolboeken die testresultaten van alle kinderen zien

I Als je het zo beschrijft, hecht eigenlijk iedereen aan privacy

I De Google’s and Facebook’s van deze wereld willen dat we overal

inloggen om ons te kunnen traceren

• ze doorbreken daarmee conteksten en onze privacy intuıties

• Mark Zuckerberg: “Having two identities for yourself is a lack of

integrity”


http://thuiswinkel.org

Value-driven/sensitive design (hier beperkt tot ICT)

I Idee: incorporeer (publieke) waarden in je ICT-systeem

• wat betekent dat eigenlijk? Bijv.

– het systeem dwingt de gebruiker tot bepaald moreel wenselijk gedrag

– en bevordert bepaalde gewenste maatschappelijke verhoudingen

– (en bemoeilijkt onwenselijkheden)

• grote vraag: wat is wenselijk en wie bepaalt dat?

I Belangrijke richting in Delft (van den Hoven et al.)

• blijft sterk theoretische exercitie

• hier, bij IRMA, staan we echt tot aan de knieen in de modder

I Na het Facebook-Cambridge Analytica schandaal:

• sterkere publieke roep om “een andere” ICT-infrastructuur

• niet voor manipulatie — commercieel of politiek

• maar gebaseerd op “Europese waarden”

• kansloos?


Grote achterliggende vraag�

�

��

��Wie verdedigt publieke waarden in de digitale wereld?

I Niet de “big five” / “frightful five” / “big IT”

• Google, Amazon, Facebook, Apple, Microsoft

• ondanks al hun retoriek en lobby-werk

I De overheid?

• pragmatische management houding, onder sterke lobby druk

• dogma van publiek-private samenwerking en o-zo heilige innovatie

I De politiek?

• Geen visie, noch links noch rechts; vermijding van discussie over

waarden

I Civil society?

• Dappere pogingen (digitale burgerrechten, open source community)

I Rechters?

• Europese rechters tot nu toe de enige helden! (en niet NL rechters)


Rol van de overheid mbt. Identity Management

I Traditioneel is de overheid uitgever van de bron-identiteit

• typische via paspoorten en ID-kaarten, waar andere op voortbouwen

• maar ook via “basis registraties” zoals BRP

• combinatie van empowerment en controle

I Historische detail: Napoleon startte met vastleggen van identiteiten

• hij had dat nodig voor dienstplicht in zijn grote legers

• dit is voorbij gegaan aan Angelsaksische landen, die typisch geen

burger administratie hebben — en daarmee geen basis voor “online”

I Uit onderzoek blijkt dat burgers een publieke rol verwachten

• alleen via Facebook kunnen inloggen bij belastingdienst? No way!

I Overheid heeft echter sterk centralistische visie

• wij geven een burger een identiteit, en kunnen die ook weer afnemen

• sterk herkenbaar in inrichting van DigiD, met BSN als kapstok


Om welke waarden hebben we het? Self-sovereignty!

I Begrip self-sovereignty is voortgekomen uit blockchain community

• vandaar licht anarchistische en anti-autoritaire ondertoon

I Ge-expliciteerd door Paul Allen in Ten Principles of Self-Sovereign

Identity (2016)

• afgekeken van Kim Cameron’s The Laws of Identity (2005, Microsoft)

• bijv: “the user is the ultimate authority on their identity”

• “When there is a conflict between the needs of the identity network and

the rights of individual users, then the network should err on the side of

preserving the freedoms and rights of the individuals over the needs of the

network. To ensure this, identity authentication must occur through

independent algorithms that are censorship-resistant and force-resilient and

that are run in a decentralized manner.”


Waarden achter IRMA

Natuurlijk ook self-sovereignty!

Concreter:

I transparantie

• van de eigen systemen: via open source software

• van de gegevens stromen, inzichtelijk voor de gebruiker

I privacy en beveiliging

• ihb. geen traceerbaarheid of profilering

• maar wel authenticiteit van gegevens (bron is herkenbaar)

I onafhankelijkheid

• geen andere belangen

• enige doel: elektronische identiteit “goed” regelen

I regie op eigen gegevens, voor de gebruiker

• o.a. door decentrale opslag

I Community platform

• deelnemers versterken elkaar


Kritische vragen

(1) Hoe realistisch/kansrijk is dit nu allemaal?

• wordt je niet weggevaagd, opgeslokt, kapot-geprocedeerd door de

big-five?

(2) Mooie idealistische start, maar houd je dit vol?

• ga je niet vanzelf compromissen sluiten om verder te komen?

• zeker als hier (eigen) reputaties aan verbonden zijn?

• of als financiele situatie verslechtert . . .

(3) Bereik je werkelijk iets goeds (wat je zelf wil)?

• Wordt dit niet snel gebruikt door bedrijven en (kwaadaardige)

overheden om mensen nog meer te laten authenticeren en volgen?

• Door mensen meer keuze & autonomie te geven versterk je juist de

grote partijen — die daar misbruik van gaan maken


Afsluitende opmerkingen

I Er zijn technologische keuzes!

• ondanks dat big-IT graag een deterministisch beeld schetst

• bovendien, deze keuzes hebben een sterk ethisch/politieke lading

• wie maakt deze keuzes op welke gronden?

I Hoe om te gaan met deze keuzes?

• academisch, descriptieve houding?

• activistisch?

I Grote uitdaging van deze tijd:�

�

��

��self-sovereignty in a data-driven world


Interesse? Meer weten?

I installleer de IRMA app zelf, en verzamel eigen attributen in de app

I probeer zelf een aantal demo’s

Zie website:

privacybydesign.foundation

Zie voor up-to-date info:

twitter.com/IRMA privacy


https://privacybydesign.foundation/

https://twitter.com/IRMA_privacy

Table of contents · van de gegevens stromen, inzichtelijk voor de gebruiker I privacyenbeveiliging...

Documents

Transcript of Table of contents · van de gegevens stromen, inzichtelijk voor de gebruiker I privacyenbeveiliging...