Een digitale datakluis voor de burger staat opnieuw op de politieke agenda, maar waar kunnen we eigenlijk uit kiezen?
Sinds dat begin december 2018 de initiatiefnota Online identiteit en regie op persoonsgegevens van de leden Middendorp (VVD) en Verhoeven (D66) door de Tweede Kamer is aangenomen, staat het onderwerp van een eigen digitale datakluis voor de burger weer op de agenda. Tegen die achtergrond wordt hier een aantal reeds bestaande kluizen tegen het licht gehouden, om te komen tot eerste conclusies over de verschillende technologieën en tot enkele aanbevelingen voor de beoogde kluis van de twee genoemde Kamerleden.
Hieronder worden de volgende kluizen kort besproken: Ockto, UwKluis, Digi.me en IRMA. Bij deze laatste ben ik zelf nauw betrokken. Bij de andere drie heb ik me gebaseerd op e-mail correspondentie en op gesprekken met betrokkenen, maar heb ik geen eigen technisch onderzoek verricht. Buiten beschouwing blijven de kosten van het gebruik van deze kluizen, wie de achterliggende eigenaars en/of belanghebbenden zijn, evenals de omvang van de uitgewisselde gegevens (zie een recent artikel hierover in de Volkskrant). De contactpersonen van deze kluizen hebben een concept-versie van deze blog gezien en hebben feitelijke onjuistheden kunnen corrigeren. Er bestaan nog meer dan de hier genoemde kluizen, zoals bijvoorbeeld iWize, lckr of ook Schluss, die hier niet allemaal aan bod kunnen komen.
De Ockto app stelt gebruikers in staat om eigen financiële gegevens te verzamelen en aan een derde partij beschikbaar te stellen, zoals een hypotheekadviseur. De gegevens van de gebruiker worden verzameld uit bronnen als MijnOverheid, UWV, Belastingdienst, Mijnpensioenoverzicht. Binnen de Ockto app logt de gebruiker daarbij zelf in, via DigiD, op een webserver van een of meer van deze organisaties. Eenmaal ingelogd, vraagt de app bepaalde webpagina’s op bij de server. Deze pagina’s worden niet aan de gebruiker getoond, maar worden binnen de app geanalyseerd. Dit proces heet scrapen: uit de HTML-code van de webpagina worden de relevante gegevens geplukt. Deze worden binnen de app op een rijtje gezet en in een eigen overzicht aan de gebruiker getoond, met het verzoek: wil je dit overzicht aan die-en-die partij doorsturen? Dat laatste vindt dan via servers van Ockto plaats. Ockto beweert dat de verzamelde gegevens en DigiD inlogggevens van de gebruiker niet opgeslagen worden. De Ockto app is daarmee slechts een ʻdoorgeefkluis’. Er wordt geen gebruikgemaakt van single-sign-on voor DigiD, waarmee je in principe met één keer inloggen bij meerdere overheidsorganisaties naar binnen kunt, omdat maar heel weinig overheidswebsites single-sign-on ondersteunen. De uitleg van Ockto was prettig zakelijk en technisch deskundig. Men gaf zelf aan niet blij te zijn met dit scrapen, liever met een gestandaardiseerde aansluiting (API) te willen werken, en te betreuren dat de overheid die niet beschikbaar stelt.
UwKluis biedt gebruikers een webinterface voor het verzamelen van gegevens die opgeslagen worden in computers van UwKluis, en vandaaruit aan derden beschikbaar gesteld kunnen worden. UwKluis put ook uit de bovengenoemde (overheids)bronnen, maar beweert niet zelf te scrapen, maar zegt de gegevens op te halen via andere scrapers, waaronder iWize en lckr. Het verkrijgen van duidelijkheid over de werking van UwKluis verliep stroef, met ontwijkende antwoorden en vooral veel marketing. Veel details blijven daarom onduidelijk, maar duidelijk is wel dat de gegevens worden opgeslagen op servers van UwKluis, in wat een eigen kluis van de gebruiker genoemd wordt. Toegang daartoe verloopt ook via de website van UwKluis en wordt beschermd via twee-factor authenticatie. Binnen die eigen kluis kan de gebruiker de opgehaalde gegevens beheren, aanvullen en delen met derde partijen.
digi.me is een Engels initatief. Het behelst een app vanwaaruit een kluis gevuld kan worden. De gebruiker kan deze kluis in een zelfgekozen cloudomgeving plaatsen, zoals Dropbox of Google Drive, na zelf in te loggen op die omgeving. Door die opzet beweert digi.me er niet bij te kunnen. digi.me gebruikt voornamelijk sociale media, banken en ziekenhuizen als bronnen. Het ophalen van gegevens gebeurt niet via scrapen, maar via aansluitingen op APIs van die bronnen. Daarbij moeten gebruikers eenmaal zelf inloggen, maar is herhaalde toegang voor verversing mogelijk via (OAuth) tokens, die ook in de kluis van de gebruiker opgeslagen worden. Dit vullen van de kluis vindt plaats via de systemen van digi.me, waarbij digi.me de gegevens volgens een eigen systematiek ordent. Toegang tot de app (en kluis) is beschermd via een wachtwoord dat alleen (in de app) op de telefoon opgeslagen wordt. Via de app kan de gebruiker de opgehaalde informatie beheren en delen, ook weer via de infrastructuur van digi.me. De communicatie met digi.me was prettig inhoudelijk, maar niet geheel vrij van marketing.
De IRMA app biedt een open source kluis, enkel op de telefoon zelf. De kluis werkt met attributen van de gebruiker, zoals naam, telefoonnummer, adres, BSN, BIG/AGB-code, et cetera, maar niet met hele dossiers. Eenmaal verzameld in de app, kan een gebruiker selecties van deze attributen gebruiken om in te loggen bij derde partijen. Het vullen van de kluis bij een bron die het IRMA-protocol gebruikt, kan rechtstreeks tussen die bron en de gebruiker plaatsvinden: de gebruiker logt dan zelf in bij deze bron, bijvoorbeeld de gemeente Nijmegen, waarna de bron een aantal attributen van de gebruiker rechtstreeks in diens app plaatst. Bij de gemeente gaat het om attributen uit de Basisregistratie Personen. Bij een aantal bronnen dat het IRMA protocol niet ondersteunt maar wel een API biedt, zoals iDIN of SURFconext, worden de gegevens na het inloggen van de gebruiker aan de stichting achter IRMA doorgegeven. De stichting plaatst de gegevens vervolgens in de app van de gebruiker (en verwijdert de gegevens daarna). De attributen in de IRMA app zijn voorzien van een geldigheidsduur en van een digitale handtekening van de uitgever (bron).
Tot zover de korte beschrijvingen van vier verschillende bestaande kluizen. Allemaal beweren ze autonomie en gemak voor gebruikers te vergroten, maar op de achtergrond spelen soms grote economische belangen van partijen die de persoonsgegevens willen gebruiken, voor allerlei doeleinden. Los daarvan zijn er substantiële onderlinge verschillen, ten eerste met betrekking tot de wijze van opslag van de gegevens van de gebruiker: dat gebeurt tijdelijk bij Ockto; langdurig bij UwKluis, namelijk op de systemen van UwKluis; net zo bij digi.me, echter op de systemen van een door de gebruiker gekozen cloudpartij; en ook bij IRMA, maar dan op de mobiel van de gebruiker zelf. De decentrale opslag van IRMA geeft maximale controle en privacybescherming van de gebruiker – het gebruik van gegevens is voor derden onzichtbaar – maar geeft gedoe bij verlies of wisseling van telefoon, tenzij men een back-up in kan richten. Opslag elders kan meer bestendigheid bieden, zolang de inloggegevens niet verloren gaan, maar vereist vertrouwen dat de partijen die de boel opslaan niks verliezen, er geen onbedoelde dingen mee gaan doen, of niet gehackt worden – waardoor gebruikers massaal getroffen worden.
Ten tweede, het verzamelen van gegevens in datakluizen kent grote verschillen. Scrapen wordt alom gezien als een oneigenlijke plundertechniek, vooral ook omdat de aanbieder van de website niet kan onderscheiden of een gebruiker puur voor zichzelf inlogt, of inlogt terwijl een andere partij gegevens verzamelt. Als aanbieder van gegevens via een website wil je dat verschil zelf kunnen zien en wil je ook kunnen controleren bij wie welke gegevens terechtkomen. Dat kan netjes geregeld worden door een API aan te bieden waar gegevensverzamelaars zich fatsoenlijk moeten authenticeren en toestemming van de gebuiker moeten aantonen – zoals bij PSD2 iets beter geregeld wordt. Deugdelijk beveiligde API-toegang zal dan ook een van de vereisten moeten zijn bij de Middendorp-Verhoeven kluis, want je kunt nu al aan zien komen dat vele partijen zo’n waardevolle kluis willen plunderen. Ook kan scraping gesabotteerd worden door dynamische obfuscatie, waarbij de onderliggende HTML-code van webpagina’s er iedere keer net ietsje anders uit ziet, maar in de browser wel steeds hetzelfde resultaat te zien geeft.
Een derde verschil is de mate van zekerheid die geboden wordt met betrekking tot de gegevens uit een kluis. Hierin onderscheidt IRMA zich doordat gegevens in de IRMA-kluis/app op de telefoon digitaal ondertekend zijn door de uitgevers van die gegevens, waardoor de ontvangende partij zekerheid krijgt over de herkomst en de integriteit. De aanbieders van andere kluizen bieden geen door de bron ondertekende gegevens, maar zeggen in feite: wij bieden een beveiligde ʻpijp’ en ontvangende partijen kunnen vertrouwen wat er uit die pijp komt omdat wij als kluisaanbieders het proces van verzamelen en opslaan vanuit de bron goed uitvoeren. Dit model werkt maar in beperkte mate: bijvoorbeeld, bij de beoogde persoonlijke gezondheidsomgevingen (PGOs) bestaat eenzelfde probleem. Gebruikers kunnen daarin gezondheidsinformatie verzamelen, uit eigen self-measurement bronnen, maar ook vanuit de reguliere zorg. Ik verwacht dat geen enkele arts een medische behandeling zal willen baseren op informatie uit de PGO van een patiënt, tenzij die informatie voorzien is van een digitale handtekening van de bron. Ook dat is een punt waarnaar bij het ontwerp van de kluis van de twee Kamerleden goed gekeken moet worden.
Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Zie voor meer informatie zijn persoonlijke webpagina bij de universiteit..
Bedankt voor het overzicht. Zoals je aangeeft, is het probleem met de meeste toepassingen dat deze nog steeds data ergens in een server bewaren die mogelijkerwijs te hacken is, zonder dat jij daar wat aan kan doen.
Daarnaast lijkt het mij een probleem dat veel van deze kluizen erg gericht op een specifiek gedeelte van de samenleving. Voornamelijk gericht op overheid.
Ik zou graag de aandacht willen vestigen op Sovrin (https://sovrin.org/), waarbij een compleet nieuw idee van informatiebeheer wordt toegepast, namelijk in een decentraal systeem, waar jij alle informatie op jouw device houdt, niet in een server. Daarbovenop worden de interacties en autorisaties in het systeem ook decentraal geverifieerd, wat de veiligheid vergroot ten opzichte van de andere systemen.
Daarbovenop is dit een open standaard die wereldwijd toegepast kan gaan worden, waardoor we echt richting een globaal samenwerkende mensheid kunnen gaan op basis van een digitale identiteit die niet ophoud bij de grens.