User Controlled Privacyvoor de SURFfederatie9 December 2010, SURFnet relatiedagen

Maarten WegdamPrincipal Researcher @ Novay

Acknowledgement:SURFnet: Hans Zandbelt, Roland van Rijswijk, Eefje van der Harst, Remco Poortinga-van Wijnen and othersNovay: Ruud Janssen, Bob Hulsebosch, Dirk-Jan van Dijk and others

Novay?

• Mission “to create breakthroughs in the way we work, live, and entertain ourselves, by creating and applying ICT-innovations”

• Onafhankelijk ICT onderzoeksinstituut• Voorheen Telematica Instituut• Innovatie projecten voor klanten• Networked innovation

2

Wat te verwachten?

• Doel• Keuzes & prototype• Pilot & enquete uitkomsten

• Uw mening!!! (stemkastjes)

3

Een intro: user consent

• Trend: user centric identity• Empower user to control his/her identity• Zie ook: Laws of Identity by Cameron• Waarom: juridisch, ethisch and

gebruikers acceptatie• Hoe: inzicht and controle over de

uitgewisselde data

4

SURFfederatie

• Federatie voor hoger onderwijs en onderzoek• ~700k users, >60 IdPs, ~30 SPs• Beperkt delen van attributen• Trust framework• Multi-protocol, inclusief SAML & WS-Federation

5

IdP

IdP

IdP

IdPSP

SP

SP

SP

hub

Onderzoeksvraag: willen gebruikers consent, en zo ja, hoe?

6

Een gecompliceerde trade-off voor consent

Begrijpelijk

7

Privacy houding

8

[Privacy indexes: a survey of Westin’s studies. Kumaraguru, Faith Cranor. ISRI technical report, december 2005.]

Werkwijze

• State-of-the-art• Ontwerp web-redirect based consent

• Niet SAML/OpenID protocol specifiek …

• 5 richtlijnen (volgende slides)

• Gebaseerd op vak literatuur, academische literatuur en bestaande implementaties

• 2 rondes van kleinschalige gebruikersstudies• Een grote pilot met 2 enquetes

9

Opzet gebruikerstudies

• Klein/kwalitatief, diepgaand• Eerste studie: met mockups

• Co-discovery, 9 * 2 mensen, 3 instellingen, mix studenten & werknemers, vragenlijst

• Willen ze consent, of laten ze het liever over aan hun instelling?

• En: feedback over de trade-off in onze mockup

• Tweede ronde: met prototype• Focus op de trade-off

• Mockups van varianten10

Voorbeeld gebruikersinterface

11

Uitkomst gebruikersstudies

Ja: SURFfederatie gebruikerswillen user controlled privacy

Hoe om te gaan met de trade-offs: zie volgende slides …

12

13

We besloten voor SURFfederatie niet per-attribute consent te implementeren, te ingewikkeld.

Vraag altijd consent vooruitwisselen van data

0 Consent

14

We laten de eigenlijke waardes zien, leggen uit hoe de SURFfederatie werkt, wat de rol van de hub is, and linken naar privacy verklaring

Maak duidelijk wie welkeinformatie uitwisseld

1 Informeer

15

We bieden alleen ‘timed consent’ aan, geen ‘altijd’, mensen vergeten immers …

Maak het mogelijk consent voortoekomstige logins te geven

2 Automatiseer

We decided to only have ‘timed’ automation, people forget…

16

wordt langer

Maak het mogelijk consent voor toekomstige logins te geven

2 Automatiseer

17

Moeilijk te doen met web-browsers zonder gebruiker erg te storen

Notificeer gebruiker wanneerinformatie wordt uitgewisseld (in

die context) Ook als al consent gegeven is

3 Notificatie

18

Inclusief welke attributen consent voor is gegeven, maar geen log

Verschaf een overzicht van verstrekte consent, en maak intrekken hiervan mogelijk

4 Intrekken consent

19

Including what attributes are included in consent, but no log.

Verschaf een overzicht van verstrekte consent, en maak intrekken hiervan mogelijk

4 Intrekken consent

Gebruikersstudie – andere punten• Waarom hebben service providers

mijn attributen nodig?• Wat gebeurt er na de consent met

mijn data? Geen oplossing hiervoor …• Wat doet SURFnet hier? Web-

interface draait op de SURFnet hub.

20

Pilot & enquete

• TUD, RuG, Univ Leiden• Legal Intelligence, Prof, SURFdiensten• Tweetalig• 1043 participanten (18%), 507 enquête• 2 maanden

21

Hoofdconclusie 1

22

Hoofdconclusie 2

23

20%

42%

28%

8%

2%0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

1 2 3 4 5

The new option is a good add-on to the SURFfederatie(1=absolutely; 5=not at all)

Check op te veel privacy fundamentalisten:representatief

24

Timed consent• Wil 87% van de gebruikers!• Geen heldere voorkeur hoe lang …

25

Consent op hub of bij instelling?

26

Hub+ eenmalig

+ analoog aan huidige attribuut filtering

- hub wordt ‘dikker’

- hub wordt zichtbaar

Instelling+ ‘logische’ plek

- deel gebruikte software zal dit niet ondersteunen, aanpassingen nodig

Conclusie en volgende stappen

• Gebruikers willen user controlled privacy• Huidige prototype is een goede invulling• Open staan

• Willen de andere stakeholders dit wel?• Voor alle instellingen of ieder kan kiezen?• Op de hub of bij elk van de instellingen

implementeren?

• SURFnet zal besluiten dit of/hoe dit te doen

27

Vragen?voordat we gaan ‘stemmen’

28

More information: report: User controlled privacy voor de SURFfederatie (Dutch)report: User controlled privacy voor de SURFfederatie: een gebruikersstudie (Dutch)report: Outcome user controlled privacy pilot, to appear Dec 2010 (English)blog post: http://maarten.wegdam.name/2010/03/11/user-centric-saml/email: maarten.wegdam@novay.nl

backup

29

30