Platform Identity Management Nederland (PIMN)

PIMN voor beter identity management

Identity Management en Privacy
Auteur: Leon P Kuunders

Identity Management is een hot topic. Het beheer van virtuele identiteiten wordt algemeen gezien als dé bouwsteen voor ICT toepassingen, of dit nu in “the cloud” gebeurt of lokaal, als dienst voor een breed publiek of voor een select gezelschap. Hoe zit het met de bescherming van die virtuele identiteiten met hun niet zo virtuele persoonsgegevens? De auteur gaat in op een aantal ontwikkelingen binnen de rijksoverheid, zoals ook het verplichte gebruik van het burgerservicenummer.
Leon P Kuunders is werkzaam bij Trusted-ID als senior identity en access management consultant en bereikbaar via leon.kuunders@trusted-id.eu.

Digitale identiteiten en definities
Naar digitale identiteiten wordt erg veel onderzoek gedaan. Die onderzoeken vallen uiteen in grofweg twee verschillende categorieën: digitale identiteiten als maatschappelijk verschijnsel en digitale identiteiten als onderdeel van organisatorische ICT. De scope van deze onderzoeken is navenant verschillend: de eerste categorie heeft als scope alles en iedereen in de maatschappij, de tweede categorie heeft als scope alles en iedereen binnen de organisatie. In de recent door het Ministerie van Binnenlandse Zaken (BZK) uitgebrachte studie “Gedeelde en samengestelde identiteiten in de publieke dienstverlening” i) wordt dit verschil mooi geduid:

Het is belangrijk om op dit punt te wijzen op verschillende noties van identiteitsmanagement die hier bij elkaar komen: een ICT beheer perspectief en een meer sociologisch getint perspectief […] In het ICT beheer perspectief [creëert] de gebruiker een elektronische identiteit (account) bij de dienstverlener (service provider) en de toegang (authenticatie, identificatie, verificatie, autorisatie, of in het algemeen ‘access control’) en het beheer van die identiteit wordt dan ook identiteitsmanagement genoemd.
In deze technische benadering van identiteitsmanagement gaat het om het beheren van de rechten van gebruikers tot bepaalde voorzieningen en gaat het niet om aspecten van identiteitsmanagement zoals impressiemanagement […] Dat laatste past binnen het meer sociologische perspectief op identiteitsmanagement. […] naarmate een digitale identiteit rijker wordt in termen van informatie die het bevat over een concrete persoon, [schuift] deze meer en meer het sociologische perspectief binnen.

Duidelijk is dat in deze studie identiteit wordt gezien als een verzameling kenmerken. Een identiteit is dan, beheerstechnisch gesproken, simpelweg een pointer met attributen. Dat klinkt niet alleen erg technisch, het is het ook. U bent een primary key, een nummer.
In de studie van BZK wordt dit nog eens benadrukt als de volgende definitie van digitale identiteit wordt aangehaald.

“[T]he term identity is often used to refer to the unique set of attributes that makes up a particular person, to which an identifier refers by using a subset of attributes that is sufficiently discriminating to individuate a subject. In that case the identity of the person is understood as the complete set of attributes which uniquely describes her and this is what the identifier (often also called identity) refers to.”

Deze definitie, opgesteld door Hildebrandt en Koops ii), gaat er expliciet van uit dat de identiteit wordt gevormd door het geheel aan attributen waarnaar de identifier verwijst. Het is een mooie definitie, die in het kader van privacy en Identity Management vanuit het ICT beheer perspectief wel een, laten we zeggen, curieus gevolg heeft. De studie volgt verder de definitie van Digital Persona van Clarke “A model of an individual’s public personality based on data and maintained by transactions, and intended for use as a proxy for the individual.” Clarke ziet de digitale identiteit als een verzameling kenmerken, met behulp van transacties onderhouden, die samengevoegd de publieke persoonlijkheid van de houder weergeven. Het mag duidelijk zijn dat de studie zich daarmee (enkel) op het sociologisch getint perspectief van Identity Management richt. Wie bezig is met Identity Management in een ICT beheer perspectief komt er dus achter dat veel studies die notie buiten scope plaatsen. Maar er zijn natuurlijk wél de nodige overeenkomsten tussen beiden!

Achtergrond Privacy wetgeving
Wat is een persoonsgegeven? Wie de WBP er op na slaat ziet de definitie van een persoonsgegeven als “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.” De eerder genoemde definitie van 'identity' zoals Hildebrandt en Koops die hanteren sluit daar dan niet op aan. Want hun definitie plaatst de persoon expliciet buiten de identiteit. De persoon komt pas in beeld in de combinatie van de gegevens mét hun identifier, en alleen dan is er sprake van persoonsgegevens. De gegevens die binnen de definitie vallen zijn op zichzelf dan géén persoonsgegevens. And to make matters worse: in de Memorie van toelichting bij de WBP iii) wordt de definitie van persoonsgegeven verder toegelicht met “Uitgangspunt is dat een persoon identificeerbaar is indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden.” Maar wat is dat, onevenredige inspanning? Deze verschilt per verantwoordelijke en is dus niet eenvoudig vast te stellen.
Het definitieprobleem van persoonsgegeven is onder meer beschreven in de eerste evaluatieiv van de WBP, waar de conclusie al was “de onbepaaldheid van het begrip persoonsgegeven [brengt] onduidelijkheid met zich mee over de reikwijdte van de wet [wat] leidt tot uiteenlopende interpretaties.”
Voor Identity Management zou het strikt volgen van de WBP betekenen dat per gegeven en per verwerking moet worden geëvalueerd of dit gegeven bij de verwerking door een bepaalde partij aangemerkt moet worden als persoonsgegeven, of niet. Voor een geautomatiseerd systeem leidt dat tot een onwerkbare situatie, waarbij mogelijk pas na expliciete toestemming en onder het 4-ogen principe gegevensuitwisselingen kunnen worden uitgevoerd. Hoezo automatisch?

Privacy reglement Binnenlandse Zaken
Bij de invoering van Identity Management op het ministerie van Binnenlandse Zaken werd dit definitieprobleem onderkend.v Het privacyreglement dat daar voor Identity Management is opgesteld vi) verruimt dan ook de definitie van de te beschermen gegevens. Waar de WBP zich enkel uitlaat over persoonsgegevens wordt in het privacyreglement consequent de term persoons- en identiteitsgegevens gehanteerd. vii) Daarmee krijgt het reglement een bredere reikwijdte: het heeft niet enkel meer betrekking op de combinatie van attributen + identifier (zoals in de definitie van Hildebrandt en Koops), nee, de attributen an sich vallen daarmee onder de reikwijdte van het reglement. Daarmee krijgt het reglement zin waar het het beheer van identiteiten betreft, ten opzichte van het beheer van personen. Zo is het reglement bijvoorbeeld ook van toepassing op de verwerking van gegevens waarvan juist de bedoeling is dat ze níet tot een natuurlijke persoon te herleiden zijn.
Een verdere verbijzondering in het reglement ten opzichte van de WBP heeft te maken met de termen referentiële- en attributieve identiteitsgegevens. viii) Daarmee wordt een verschil gemaakt in de type gegevens die binnen IDM worden verwerkt. Referentiële gegevens zijn bijvoorbeeld het paspoortnummer, of het burgerservicenummer van de medewerker: met één enkel gegeven is zekerheid over de identiteit te krijgen. In de definitie van Hildebrandt en Koops zijn dit de identifiers. Attributieve gegevens is de rest, de niet identifiers, die in combinatie ook tot zekerheid over de identiteit kunnen leiden. Het verschil tussen deze twee type gegevens is maar gedeeltelijk terug te vinden in de memorie van toelichting bij de WBP waar gesproken wordt over direct identificerende gegevens en indirect identificerende gegevens. Daar zijn echter direct identificerende gegevens met nadruk ook combinaties van verschillende attributieve gegevens, zoals naam + geboortedatum + geboorteplaats. De auteur van dit artikel kan als een helft van een tweeling uit eerste hand verhalen over hoe die definitie van direct niet altijd tot een zekere 'match' leidt. Met alle vervelende gevolgen van dien.

Burgerservicenummer
In het privacyreglement voor Identity Management wordt ook het gebruik van het burgerservicenummer geregeld. Achterliggende gedachte daar is tweeledig; enerzijds kan met behulp van een persoonsnummerix het aantal te verwerken gegevens worden geminimaliseerd. Anderzijds kunnen met behulp van een persoonsnummer fouten en dubbelingen worden tegengegaan. Die dubbelingen kunnen ontstaan doordat de verschillende onderdelen van de rijksoverheid, te beginnen bij de ministeries, steeds meer (soms ook gedwongen) samenwerken. Argument daarbij is dat met de synergievoordelen die dat oplevert wel 1 miljard euro kan worden bespaard. x) Een medewerker van Financiën krijgt bijvoorbeeld ook een contract bij Economische Zaken; werkt flexibel in het kantoor, of het pand, van de rijksoverheid dat voor hem of haar het dichtste bij of het best bereikbaar is en kan ad hoc op verschillende projecten worden ingezet. Facilitaire systemen dienen deze verschillende use scenario's te ondersteunen. En omdat de verschillende ICT systemen van de ministeries nog niet zijn samengevoegd is het idee dat minimaal een unieke (referentiële) identifier noodzakelijk is, om dubbelingen en fouten te voorkomen en deze ondersteuning te bieden.
Het verwerken van een persoonsnummer stelt echter wel extra eisen aan de verwerking binnen Identity Management. Zo kan het rücksichtloss overnemen van gegevens in combinatie met het burgerservicenummer niet. Kort gezegd komt het er op neer dat voor een betrouwbare verwerking van dit nummer bij een gezaghebbende, gecontroleerde, bron moet worden geverifieerd dat de (te verwerken) gegevens correct zijn. Precies om deze reden heeft de wetgever in de Wet Algemene bepalingen burgerservicenummer ook de eis opgenomen dat elke verwerker van het nummer deze controle uitvoert. Zo worden identiteitsverwisselingen voorkomen. xi)
Dit stelt organisaties binnen de rijksoverheid voor een specifiek probleem: in de ketenprocessen waarmee facilitaire dienstverlening aan de organisatie wordt geboden, wordt het aantal verwerkers van gegevens steeds groter. Wat is de toegevoegde waarde als elke verwerker an sich dezelfde controle weer uitvoert? Is het dan niet veel makkelijker om die verantwoordelijkheid te beleggen bij één van de deelnemers in zo'n ketenproces? Maar wat als blijkt dat die initiële controle niet goed was? Of als de partij die deze initiële controle uitvoert wordt geoutsourced? En hoe zit het met het gevolg van deze steeds grootschaligere voorzieningen? Werken ze nog wel goed op hún niveau? Zie verder het kader over verplicht gebruik van het BSN voor medewerkers van de rijksoverheid.

Afsluiting
De Identity Management implementaties die bij de rijksoverheid worden uitgevoerd kennen allemaal hun eigen dynamiek en normen. Op het gebied van privacybescherming is geprobeerd deze implementaties zoveel mogelijk te stroomlijnen. Maar om diverse redenen (vaak cultuurverschillen) is dat niet altijd even goed gelukt. Het privacyreglement voor Identity Management dat door BZK is opgesteld doet dienst als een template voor een aantal andere ministeries. Gezien de veranderende organisatievormen bij die rijksoverheid, met steeds meer samenwerking in (keten-)processen over de grenzen van de organisatie heen en met partijen van buiten de rijksoverheid, is bescherming van persoons- en identiteitsgegevens steeds moeilijker. Tel daarbij op de verdergaande verrijking (denk dan aan attributen voor bv claims based access control!) van identiteiten en het wordt duidelijk dat de tweedeling van Identity Management in een ICT beheer perspectief en een meer sociologisch getint perspectief slecht houdbaar blijft. Deze twee noties convergeren en leiden tot Identity Management dat verdwijnt in, en onderdeel is van, de (ICT) infrastructuur.
Een radicaal andere inrichting van Identity Management bij de rijksoverheid, waarbij de medewerker centraal komt te staan, ligt dan ook voor de hand. Door het inzetten van technieken uit het veld van user-centric-identity-management is de bescherming van (ook) de persoonlijke levenssfeer van de medewerker in rijksoverheiddienst wel te verzekeren. Wie ook de verwerker van diens gegevens is of in de toekomst wordt.

Kader: verplicht gebruik van BSN voor medewerkers rijksoverheid
De staatsecretaris van Binnenlandse Zaken heeft in verband met het gebruik van het burgerservicenummer in de bedrijfsvoering van de overheid in maart 2010 een briefxii uitgestuurd naar alle ministeries. In die brief schrijft de staatssecretaris dat het gebruik van het burgerservicenummer in de bedrijfsvoering mag, en zelfs verplicht is, indien aan de voorwaarden daarvoor is voldaan. Het CBP heeft de staatssecretaris inmiddels verzocht dit voornemen niet uit te voeren.xiii De voorwaarden die de staatsecretaris in de brief noemt zijn hier genummerd opgenomen met daarbij hun implicaties:

1. In de eerste plaats heeft de bepaling slechts betrekking op overheidsorganen. Dit impliceert dat de hoedanigheid van het orgaan in bepaalde gevallen dient te worden vastgesteld (is het orgaan in dit kader overheidsorgaan of niet?).

De definitie van “overheidsorgaan” geeft de staatssecretaris niet in de brief. Deze is echter opgenomen in de Wabbxiv “een orgaan van een rechtspersoon die krachtens publiekrecht is ingesteld, of een ander persoon of college, met enig openbaar gezag bekleed.” De definitie is ook herleidbaar via een verwijzing naar de “Overheid.nl Web Metadata Standaard”, vanuit NORA/MARIJ aangegeven. Daar is een overheidsorgaan onderdeel van het element “overheid:authority”. xv) In dat element wordt expliciet doorverwezen naar de definitie die door de Erfgoedinspectie is opgesteld. xvi) De Erfgoedinspectie onderscheidt twee categorieën overheidsorganen: namelijk (1) Organen van een rechtspersoon, die ingesteld zijn volgens het publiekrecht; en (2) Een ander persoon of college met enig openbaar gezag bekleed; het gaat hier om privaatrechtelijke rechtspersonen en natuurlijke personen die bekleed zijn met enig openbaar gezag. Het begrip enig openbaar gezag houdt in, dat men krachtens wettelijk voorschrift eenzijdig kan ingrijpen in de rechtspositie van natuurlijke personen of rechtspersonen. Bijvoorbeeld een garage is in die definitie een overheidsorgaan bij het melden van een uitgevoerde APK keuring aan de RDW.

2. Voorts betreft het de verwerking van persoonsgegevens. De gegevensverwerking is gereguleerd, in het algemeen op grond van de Wbp. Uiteraard dient te worden vastgesteld of de gegevensverwerking als zodanig rechtmatig plaatsvindt, alvorens kan worden vastgesteld of daarbij het burgerservicenummer van degene waarop de gegevens betrekking hebben, kan worden gebruikt.

Dit is het doelbindingsprincipe: voor elke verwerking dient vastgesteld te worden waaraan deze verwerking haar rechtmatigheid ontleend. Om rechtmatig het BSN te kunnen verwerken, dienen dus wel de bepalingen uit de Wabb te worden gevolgd. Artikel 12 Wabb luidt “Indien bij het verwerken van persoonsgegevens een burgerservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt.” De definitie van gebruiker is vlgns artik 1, lid d, sub 1 “een overheidsorgaan”, zie daarvoor dan verder weer de reactie op 1. hierboven. Dit betekent dus controleren of het burgerservicenummer bij de naamgegevens hoort (zoals ook al in het artikel wordt aangegeven). Alleen hoe doe je dat?
Het lijkt erop dat de enige zinnige oplossing hiervoor is het aansluiten van de IdM registraties van de verschillende ministeries op de Beheervoorziening BSN. Dit volgt uit artikel 15 van Wabb waarin staat “Aan een overheidsorgaan worden in verband met de uitvoering van artikel 12 op zijn verzoek uit de registraties, bedoeld in artikel 3, eerste lid, onder d, de gegevens verstrekt, die hij nodig heeft teneinde na te gaan: a. of aan een bepaalde persoon reeds een burgerservicenummer is toegekend en zo ja, welk burgerservicenummer; b. aan welke persoon een bepaald burgerservicenummer is toegekend; c. of het Nederlandse document, met behulp waarvan een persoon zich identificeert, een document is als bedoeld in artikel 1, eerste lid, onder 1°, 2° of 4°, van de Wet op de identificatieplicht.” Alleen de IdM registraties hebben de volledige scope van rijksdienst medewerkers onder beheer en kunnen deze controle met zekerheid uitvoeren.

3. Ook geldt ten aanzien van het gebruik van het burgerservicenummer, de algemene regel dat het verwerken ervan toereikend, ter zake dienend en niet bovenmatig is (artikel 11 Wbp).

De Wbp schrijft over persoonsnummers in artikel 24 van de Wbp “Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.” Aangenomen dat het burgerservicenummer moet worden gebruikt (er is eigenlijk geen middenweg na de brief van de staatssecretaris), dan nog blijft staan dat alléén indien het afnemende systeem vanuit andere systemen dan Identity Management persoons- en identiteitsgegevens betrekt, het gebruik van het burgerservicenummer verplicht is. Immers, indien Identity Management leidend is ten opzichte van het afnemende systeem, dan is het uitwisselen van het burgerservicenummer bovenmatig (en niet ter zake dienend).

4. Ten slotte dient te worden vastgesteld of de desbetreffende gegevensverwerking geschiedt in het kader van het uitvoeren van de taak van het desbetreffende overheidsorgaan

Deze opmerking verschuift de kern van het probleem omtrent de verwerking van het burgerservicenummer in de bedrijfsvoering weer naar de ministeries. Want het geschil met het CBP is er juist op gericht dat niet duidelijk is of een bepaalde gegevensverwerking tot de taak behoort of niet. Anders gezegd: is de bedrijfsvoering onderdeel van de taak van de rijksoverheid? Als daarop het antwoord ja is, en dat lijkt het standpunt te zijn van de staatssecretaris, dan wordt de bedrijfsvoering daarmee gelijk gesteld aan bijvoorbeeld het opstellen van beleid. De vraag dringt zich dan bijvoorbeeld op of, indien (onderdelen van) de bedrijfsvoering kunnen worden uitbesteed, dit ook met het maken van beleid kan gebeuren.

Verwijzingen

  1. i - Van der Hof en Leenes, Tilburg, April 2010
  2. ii - Hildebrandt, Mireille, Bert-Jaap Koops and Katja de Vries (2008) FIDIS D7.14a: Where Idem-Identity meets Ipse-Identity. Conceptual Explorations, Place.
  3. iii - http://www.cbpweb.nl/downloads_wetten/wbp_mvt.pdf
  4. iv - Zie http://www.wodc.nl/images/1382A_samenvatting_tcm44-61968.pdf
  5. v - Aan de lezer de opdracht de use cases hiervoor te bedenken.
  6. vi - Zie http://files.trusted-id.nl/BesluitPrivacyreglementIdentityManagemen...
  7. vii - persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; identiteitsgegeven: elk gegeven dat als kenmerk van een (virtuele) identiteit is aangemerkt.
  8. viii - Gebaseerd op werk dat Van der Hoven heeft gedaan aan de TU Delft. Die verwees in zijn thesis 'Information Technology and Moral Philosophy' (1995) naar werk van Keith Donnellan uit 1966 ('Reference and Definite Descriptions'). Het onderscheidt kan worden gebruikt om architectuurprincipes vanaf te leiden (met name invloed op de verwerking van referentiële gegevens).
  9. ix - Maar al te vaak worden de termen ‘persoonsnummers’ en ‘personeelsnummers’ door elkaar gebruikt. Tekenend is bijvoorbeeld het verschil tussen het nummer van de medewerker in de personeeelsadministratie, en diens burgerservicenummer. Het gebruik van het eerste nummer is niet aan specifieke wettelijke eisen gebonden, van het tweede wel. Het eerste nummer representeert een contract , het tweede nummer een natuurlijk persoon. Ook de staatssecretaris haalt in diens brief (zie kader) deze twee type nummers door elkaar. Dit leidt uiteindelijk tot verkeerde aannames bij de inrichting van Identity Management systemen en dito succesvolle implementaties.
  10. x - Zie http://www.binnenlandsbestuur.nl/vakgebieden/digitaal-bestuur/na-de... “Guusje ter Horst. ‘Werkgroep 19 is wat ons betreft het doorzetten van reeds ingezet beleid. Bij de behandeling van de Vernieuwing Rijksdienst hebben wij gezegd dat departementen moeten samenwerken bij bedrijfsvoering én beleid. Dus: weg met de koninkrijkjes. Er is één rijksoverheid en daarbinnen moet je flexibel kunnen werken.’ Met dit meest verregaande scenario denkt de werkgroep per jaar 1 miljard euro te besparen.”
  11. xi - Artikel 10 WBP schrijft voor dat de verwerker zekerheid dient te hebben dat de te verwerken gegevens bij de betreffende persoon behoren. Daarin kan niet blindelings worden vertrouwd op de aanlevering vanuit één bron, maar moet de mogelijkheid worden gecreëerd voor het bevragen van een tweede bron (effectief gezien is het gebruik van z.g. sectorale nummers beter). Dat is waar het gebruik van het BSN bijdraagt aan het voldoen aan de WBP.
  12. xii - http://files.trusted-id.nl/GebruikBSNbedrijfsvoering20100309.pdf
  13. xiii - http://www.cbpweb.nl/downloads_med/med_20100427_gebruik_bsn_in_bedr... – het bericht is origineel gepubliceerd op 26 januari 2009, op 27 april 2010 heeft het CBP een nieuwe mededeling gedaan waarbij ze nogmaals op hun, in deze brief vastgelegde, standpunt hebben gewezen.
  14. xiv - Wet algemene bepalingen burgerservicenummer
  15. xv - http://standaarden.overheid.nl/owms/3.5/doc/eigenschappen/overheid....
  16. xvi - http://www.erfgoedinspectie.nl/archieven/wet-en-regelgeving/archief...

Weergaven: 16

Opmerking

Je moet lid zijn van Platform Identity Management Nederland (PIMN) om reacties te kunnen toevoegen!

Wordt lid van Platform Identity Management Nederland (PIMN)

Doe mee op LinkedIn

Vaker een update en goede mogelijkheid om zichtbaar te zijn.

© 2018   Gemaakt door Jaap Kuipers.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden