table of contents · van de gegevens stromen, inzichtelijk voor de gebruiker i privacyenbeveiliging...
TRANSCRIPT
Het identiteitsplatform IRMA als voorbeeld
van value-driven design
Bart Jacobs, Radboud Universiteit & voorzitter Privacy by Design foundation
VvEN, Amsterdam, 9 nov. 2018
Table of contents
1. Waar doet dit identiteitsplatform?
2. Ethische en politieke vragen
3. Conclusies
Het identiteitsplatform IRMA als voorbeeld van value-driven design 1
IRMA app: onthul alleen wat relevant is
Kern van de zaak:
I attributen ipv. identiteiten
I door gebruiker zelf verzameld
I attributen zijn betrouwbaar
(digitaal getekend)
I decentrale architectuur:
attributen staan alleen op de
telefoon
Het identiteitsplatform IRMA als voorbeeld van value-driven design 3
Demo
I authenticatie met attributen: gemak en zekerheid
I verkrijgen van attributen, uit betrouwbare bronnen, waaronder BRP
I digitaal ondertekenen met attributen: revolutionair!
Het identiteitsplatform IRMA als voorbeeld van value-driven design 4
IRMA geschiedenis, in 2 fasen
I 2008 – nu: wetenschappelijk onderzoeksproject aan de Radboud
University
• actieve onderzoekslijn over attribuut-gebaseerde authenticatie (via Idemix)
• 3 proerfschriften tot nu toe, veel publicaties
• financiele steun van: NLnet, Translink, BZK, NWO, KPN• prototype implementaties op:
– smart card — niet langer ondersteund
– smart phone — alleen voor Android
I 2016 – nu: technologie uitrol via non-profit stichting
• zowel Android & iOS apps, met common code-base in Go
• https://privacybydesign.foundation opgericht in najaar 2016
• stichting beheert infrastructure, en geeft enige attributen uit
• inkomsten uit donaties, projecten, werk voor derden, en prijzen!
Het identiteitsplatform IRMA als voorbeeld van value-driven design 5
Twee prijzen voor IRMA in 2018
Brouwer prijs van KHMW Privacy award van Privacy First
Jury’s waarderen combinatie van solide wetenschappelijke basis en
potentieel grote maatschappelijke impact.
Het identiteitsplatform IRMA als voorbeeld van value-driven design 6
De IRMA app als ieders eigen knooppunt
attribuut bronnen attribuut ontvangers
gemeenten (BRP)
%%
gemeenten
banken //
44
//
**
((
webwinkels
SURFnet
99
onderwijs
BIG/AGB
BB
zorg/PGO
enz enz
Het identiteitsplatform IRMA als voorbeeld van value-driven design 7
Cruciaal onderscheid: centrale of decentrale architectuur
Centraal: alles gaat via de Identity Provider (denk: via Facebook/iDIN)
Identity
Provider 3onthul //3 ++
Webwinkel Webwinkel · · ·
Gebruiker
1
88
2
log inee
1
66
2
ee
Decentraal: alles gaat via de gebruiker (zoals bij IRMA), unlinkably
Identity
ProviderWebwinkel Webwinkel · · ·
Gebruiker
%%1
ontvangee
xx2onthul
88
qq3
onthul
66
Het identiteitsplatform IRMA als voorbeeld van value-driven design 8
IRMA als ecosysteem
I Geen onderscheid publiek / privaat
I Deelnemers profiteren van elkaar
• Uitgegeven attributen zijn door iedereen te gebruiken
• bijv. gemeente/BRP attributen ook nuttig voor webwinkels of zorg
• IRMA is a community effort
I Gebruik van attributen kent wel enige beperkingen:
• bijv. gebruik van BSN vereist wettelijke basis
• AVG vereist data minimalisatie; overvragen is zichtbaar
Het identiteitsplatform IRMA als voorbeeld van value-driven design 9
Welke sectoren lopen voorop?
I Gemeenten (m.n. Nijmegen, Haarlem, Utrecht)
• Nijmegen geeft ±20 attributen uit aan (alle) burgers, inclusief BSN
• daarna ook zelf authenticatie en ondertekening gebruiken
• strategische doorbraak, die veel mogelijk maakt
I Zorg
• IRMA wordt gebruikt in nieuwe zorgportal van Nedap / nuts.nl
• diverse partijen doen pilots, waaronder bijv. VGZ
I Onderwijs, vooral samen met SURFnet
• ook hier sterke authenticatie, bijv. voor online tentamen uitslagen
invoeren
I Webwinkels komen trager in beweging
• overleg gaande met thuiswinkel.org
• extreem pragmatisch en focus op gebruiksvriendelijkheid
Het identiteitsplatform IRMA als voorbeeld van value-driven design 10
Machtsverhoudingen in de samenleving
Traditioneel geldt “follow the money”
Uit films: All
president’s men
(1976) en Mark
Felt (2017)
Tegenwoordig geldt: follow the data!
Maar ook authenticatie eisen bepalen de machtsverhoudingen
De keuze van authenticatie architectuur is extreem gevoelig
I grote verschillen tussen “centraal” en “decentraal”
I macht en (financiele) controle staat voorop in de centrale opzet
I privacy/autonomie/empowerment in de decentrale architectuur
I In wat voor samenleving willen we leven? Wie maakt de keuze?
Het identiteitsplatform IRMA als voorbeeld van value-driven design 12
Over privacy (volgens Helen Nissenbaum)
I We leven op een natuurlijke manier in verschillende conteksten
• thuis, werk, school, sport club, kerk, onder vrienden/familie . . .
I We houden op een vanzelfsprekende manier informatie in contekst
• wat we aan de dokter vertellen moet niet opduiken bij AH
I Verbreking van deze contekstuele integriteit geeft een schok
• zie boosheid over ING die betaalgegevens wilde verkopen, over
TomTom-gegevens die bij de politie komen, of over uitgevers van
digitale schoolboeken die testresultaten van alle kinderen zien
I Als je het zo beschrijft, hecht eigenlijk iedereen aan privacy
I De Google’s and Facebook’s van deze wereld willen dat we overal
inloggen om ons te kunnen traceren
• ze doorbreken daarmee conteksten en onze privacy intuıties
• Mark Zuckerberg: “Having two identities for yourself is a lack of
integrity”
Het identiteitsplatform IRMA als voorbeeld van value-driven design 13
Value-driven/sensitive design (hier beperkt tot ICT)
I Idee: incorporeer (publieke) waarden in je ICT-systeem
• wat betekent dat eigenlijk? Bijv.
– het systeem dwingt de gebruiker tot bepaald moreel wenselijk gedrag
– en bevordert bepaalde gewenste maatschappelijke verhoudingen
– (en bemoeilijkt onwenselijkheden)
• grote vraag: wat is wenselijk en wie bepaalt dat?
I Belangrijke richting in Delft (van den Hoven et al.)
• blijft sterk theoretische exercitie
• hier, bij IRMA, staan we echt tot aan de knieen in de modder
I Na het Facebook-Cambridge Analytica schandaal:
• sterkere publieke roep om “een andere” ICT-infrastructuur
• niet voor manipulatie — commercieel of politiek
• maar gebaseerd op “Europese waarden”
• kansloos?
Het identiteitsplatform IRMA als voorbeeld van value-driven design 14
Grote achterliggende vraag�
�
��
��Wie verdedigt publieke waarden in de digitale wereld?
I Niet de “big five” / “frightful five” / “big IT”
• Google, Amazon, Facebook, Apple, Microsoft
• ondanks al hun retoriek en lobby-werk
I De overheid?
• pragmatische management houding, onder sterke lobby druk
• dogma van publiek-private samenwerking en o-zo heilige innovatie
I De politiek?
• Geen visie, noch links noch rechts; vermijding van discussie over
waarden
I Civil society?
• Dappere pogingen (digitale burgerrechten, open source community)
I Rechters?
• Europese rechters tot nu toe de enige helden! (en niet NL rechters)
Het identiteitsplatform IRMA als voorbeeld van value-driven design 15
Rol van de overheid mbt. Identity Management
I Traditioneel is de overheid uitgever van de bron-identiteit
• typische via paspoorten en ID-kaarten, waar andere op voortbouwen
• maar ook via “basis registraties” zoals BRP
• combinatie van empowerment en controle
I Historische detail: Napoleon startte met vastleggen van identiteiten
• hij had dat nodig voor dienstplicht in zijn grote legers
• dit is voorbij gegaan aan Angelsaksische landen, die typisch geen
burger administratie hebben — en daarmee geen basis voor “online”
I Uit onderzoek blijkt dat burgers een publieke rol verwachten
• alleen via Facebook kunnen inloggen bij belastingdienst? No way!
I Overheid heeft echter sterk centralistische visie
• wij geven een burger een identiteit, en kunnen die ook weer afnemen
• sterk herkenbaar in inrichting van DigiD, met BSN als kapstok
Het identiteitsplatform IRMA als voorbeeld van value-driven design 16
Om welke waarden hebben we het? Self-sovereignty!
I Begrip self-sovereignty is voortgekomen uit blockchain community
• vandaar licht anarchistische en anti-autoritaire ondertoon
I Ge-expliciteerd door Paul Allen in Ten Principles of Self-Sovereign
Identity (2016)
• afgekeken van Kim Cameron’s The Laws of Identity (2005, Microsoft)
• bijv: “the user is the ultimate authority on their identity”
• “When there is a conflict between the needs of the identity network and
the rights of individual users, then the network should err on the side of
preserving the freedoms and rights of the individuals over the needs of the
network. To ensure this, identity authentication must occur through
independent algorithms that are censorship-resistant and force-resilient and
that are run in a decentralized manner.”
Het identiteitsplatform IRMA als voorbeeld van value-driven design 17
Waarden achter IRMA
Natuurlijk ook self-sovereignty!
Concreter:
I transparantie
• van de eigen systemen: via open source software
• van de gegevens stromen, inzichtelijk voor de gebruiker
I privacy en beveiliging
• ihb. geen traceerbaarheid of profilering
• maar wel authenticiteit van gegevens (bron is herkenbaar)
I onafhankelijkheid
• geen andere belangen
• enige doel: elektronische identiteit “goed” regelen
I regie op eigen gegevens, voor de gebruiker
• o.a. door decentrale opslag
I Community platform
• deelnemers versterken elkaar
Het identiteitsplatform IRMA als voorbeeld van value-driven design 18
Kritische vragen
(1) Hoe realistisch/kansrijk is dit nu allemaal?
• wordt je niet weggevaagd, opgeslokt, kapot-geprocedeerd door de
big-five?
(2) Mooie idealistische start, maar houd je dit vol?
• ga je niet vanzelf compromissen sluiten om verder te komen?
• zeker als hier (eigen) reputaties aan verbonden zijn?
• of als financiele situatie verslechtert . . .
(3) Bereik je werkelijk iets goeds (wat je zelf wil)?
• Wordt dit niet snel gebruikt door bedrijven en (kwaadaardige)
overheden om mensen nog meer te laten authenticeren en volgen?
• Door mensen meer keuze & autonomie te geven versterk je juist de
grote partijen — die daar misbruik van gaan maken
Het identiteitsplatform IRMA als voorbeeld van value-driven design 19
Afsluitende opmerkingen
I Er zijn technologische keuzes!
• ondanks dat big-IT graag een deterministisch beeld schetst
• bovendien, deze keuzes hebben een sterk ethisch/politieke lading
• wie maakt deze keuzes op welke gronden?
I Hoe om te gaan met deze keuzes?
• academisch, descriptieve houding?
• activistisch?
I Grote uitdaging van deze tijd:�
�
��
��self-sovereignty in a data-driven world
Het identiteitsplatform IRMA als voorbeeld van value-driven design 21
Interesse? Meer weten?
I installleer de IRMA app zelf, en verzamel eigen attributen in de app
I probeer zelf een aantal demo’s
Zie website:
privacybydesign.foundation
Zie voor up-to-date info:
twitter.com/IRMA privacy
Het identiteitsplatform IRMA als voorbeeld van value-driven design 22