4 March 2019
Barbara Werdmuller
Barbara Werdmuller

Personal Data Empowerment

Wereldwijde beweging op gebied van persoonsgegevens

‘Ontwerp een alternatief voor DigID waarin je gebruikersgemak, privacy, veiligheid en regie op eigen data combineert.’ In het najaar van 2018 zijn vier collega’s van Informaat met dit vraagstuk aan de slag gegaan in een workshop in De Waag. De workshop past in een wereldwijde beweging, waarin oude en jonge internetpioniers oplossingen bedenken en ontwikkelen om gebruikers meer controle te geven over hun gegevens. In deze blog lees je ondermeer over Solid, DECODE, Yoti, Schluss en IRMA: initiatieven die de voorbode zijn van nieuwe standaarden op gebied van persoonsgegevens.

Designing Personal Data Ownership

Hoe ontwerp je een gebruikersvriendelijk alternatief voor DigID dat gebruikers de regie geeft over hun data? En hoe zorg je er voor dat gebruikers die nieuwe manier van interactie vertrouwen? In september 2018 hebben het Digitale Identiteitslab en DECODE de workshop ‘Designing Personal Data Ownership’ georganiseerd rondom dit vraagstuk.

Stel je voor: je hebt een nieuwe sociale huurwoning en moet binnen drie dagen een bak aan gegevens leveren. Of: je hebt een draadloze koptelefoon gekocht bij Coolblue. Het product bevalt je niet en je wil al je data terug. De workshopdeelnemers hebben voor deze en andere cases oplossingen bedacht met behulp van tools, zoals Yoti, Schluss en IRMA.

Hieronder lees je meer over (de uitgangspunten van) deze en soortgelijke initiatieven, die je als gebruiker weer de regie geven over je persoonsgegevens.

‘I’ve always believed the web is for everyone. That’s why I and others fight fiercely to protect it. The changes we’ve managed to bring have created a better and more connected world. But for all the good we’ve achieved, the web has evolved into an engine of inequity and division; swayed by powerful forces who use it for their own agendas. Today, I believe we’ve reached a critical tipping point, and that powerful change for the better is possible — and necessary.’

Solid

Bovenstaand citaat is van de grondlegger en bedenker van het wereldwijde web: de Brit Sir Tim Berners-Lee. Berners-Lee kijkt al enige tijd met lede ogen naar de hacks, datalekken en het toenemende misbruik van zijn geesteskind door digitale reuzen als Amazon, Google en Facebook (denk aan het Cambridge Analytica-schandaal). Om de balans te herstellen heeft hij in 2018 de startup Inrupt opgericht, die een webtechnologie ontwikkelt: Solid (‘Social Linked Data’).

Solid kan je zien als een open source webdecentralisatie project. Waarschijnlijk geef je nu net als veel andere gebruikers persoonsgegevens aan bedrijven in ruil voor gratis diensten. Met Solid krijg je als gebruiker weer controle over je data. Al je data (van contactgegevens, informatie over financiën of gezondheid tot foto’s) worden opgeslagen in ‘Pods’, op een Solid-server op je eigen computer of bij een provider. Je bepaalt vervolgens zelf welke partijen (familie, vrienden, bedrijven, overheid, etc.) met welke apps toegang krijgen tot je Pods. Je kunt al een Solid-pod aanmaken. Apps zijn nog in ontwikkeling.

DECODE

Een andere internetpionier, Marleen Stikker (oprichter van de Digitale Stad), maakt zich ook zorgen over de dataexploitatie op het internet. Zij is betrokken bij DECODE (‘Decentralized Citizens Owned Data Ecosystem’), een project dat wordt gesubsidieerd door de Europese Commissie. DECODE wil burgers weer zeggenschap geven over hun persoonsgegevens, of ze deze nou privé willen houden of juist willen delen voor het algemeen belang. Oplossingen zijn open source en gebaseerd op blockchain-technologie: decentralisatie van processen, zonder intermediairs, door inzet van cryptografische hashing.

De oplossingen worden getest in pilots in Amsterdam en Barcelona. Belangrijke thema’s zijn:

  • Internet of Things: DECODE wil gedecentraliseerde systemen ontwikkelen die toegang verschaffen tot IoT-apparaten met gegevens van burgers. Gegevens en privacy van mensen worden zo beschermd, maar er kan ook collectief geprofiteerd worden van inzichten uit IoT-data.
  • Deelecononomie: DECODE wil technologie ontwikkelen die platformen en intermediairs in de deeleconomie (denk aan delen van auto’s, ruimtes of gereedschap) overbodig maakt.
  • Open democratie: DECODE wil deelname van burgers in het democratische proces bevorderen (denk aan stemmen of aan participatie van burgers bij toekenning van budget of ontwikkeling van beleid).

Yoti

De Britse oprichters van Yoti (‘Your Own Trusted Identity’) waren in 2014 op een race event waar 10.000 mensen zich moesten inschrijven met paspoorten en rijbewijzen. Het proces duurde niet alleen lang, het was ook achterhaald en onveilig. Ze besloten zelf een eigentijds, efficiënt en privacyproof digitaal alternatief te ontwikkelen. Met Yoti kun je met je smartphone je identiteit bewijzen, online, en in levende lijve, zonder onnodig data te delen. Je creeërt als gebruiker eenmalig een ID, door een paar stappen:

  • Selfie maken.
  • Telefoonnummer invoeren.
  • Vijfcijferige pincode voor de app maken.
  • Video opnemen om te bewijzen dat je een echte persoon bent.
  • Foto uploaden van een geldig identiteitsbewijs (NB: Yoti vernietigt dit bewijsstuk binnen enkele dagen nadat je ID is gecreëerd).

Vervolgens gebruik je je smartphone om je te identificeren, in het uitgaansleven, bij een autoverhuurbedrijf, etc. Hulpmiddel bij de verificatie zijn QR-codes. Eventueel kan ook gebruik worden gemaakt van gezichtsherkenning. Al je persoonsgegevens (naam, geslacht, geboortedatum, etc.) blijven binnen het Yoti-ecosysteem en worden versleuteld en afzonderlijk opgeslagen. Yoti is een succes: de app is inmiddels al drie miljoen keer gedownload.

Schluss

‘Met Schluss bepaal jij, en jij alleen, wie wat van je mag weten op het internet’. Schluss is een Nederlands initiatief dat veel overeenkomsten vertoont met Solid. Voor een paar euro per jaar krijg je een veilige, online kluis waar je je contactgegevens en andere persoonlijke data (teksten, afbeeldingen en filmpjes) bewaart. Uitgangspunten van Schluss zijn:

  • Jij hebt als enige de sleutel tot je kluis.
  • Je gegevens blijven van jou.
  • Je bepaalt zelf met wie je welke gegevens deelt.
  • De informatie die je via Schluss met anderen deelt, kan men inzien maar niet doorgeven (NB: dit werkt zo als je via Schluss inlogt op een website).
  • Schluss houdt voor je bij wat je met wie hebt gedeeld.
  • Je kunt gedeelde gegevens makkelijk uitbreiden, inkrimpen of verwijderen.

Marie-José Hoefmans, een van de oprichters van Schluss, wil een nieuwe (wereld)standaard neerzetten en dat is ambitieus. Het houdt namelijk in dat bedrijven (denk aan retailers als BOL of Coolblue) en instellingen (denk aan zorgverzekeraars of nutsbedrijven) klantgerelateerde data niet langer binnen de muren van hun eigen organisatie of datacenter opslaan maar op het Schluss-platform. En dat jij als gebruiker bepaalt of zij transactiegegevens mogen koppelen aan je persoonlijke gegevens.

Schluss is in 2018 en 2019 genomineerd voor de Nederlandse Privacy Award. Je kunt je aanmelden voor de community. Een bètaversie van de app is in ontwikkeling.

IRMA

Als je (als jongere) alcohol wil kopen in de supermarkt moet je nu je volledige identiteitsbewijs tonen, terwijl eigenlijk maar een stukje van je identiteit relevant is, namelijk je leeftijd. Als internetgebruiker heb je waarschijnlijk flink wat profielen aangemaakt om in te kunnen loggen op websites, apps en andere digitale diensten. De kans is groot dat je daarbij ook meer gegevens hebt verstrekt dan nodig is.

Met de IRMA-app (ontwikkeld door Stichting Privacy by Design) kun je jezelf identificeren zonder overbodige informatie te verstrekken. En hoef je geen gebruikersprofielen meer aan te maken op allerlei sites en apps. IRMA staat voor ‘I Reveal My Attributes’. Met de app stel je een persoonlijk paspoort samen van attributen, die je ophaalt uit bijvoorbeeld de Basisregistratie Personen (BPR), je profiel bij je bank of het BIG-register. Attributen zijn persoonlijke eigenschappen zoals ‘Ouder dan 18’, ‘Achternaam x’ of ‘BSN x’.

De attributen zijn voorzien van een digitale handtekening en geldigheidsdatum. Websites krijgen alleen je gegevens te zien die noodzakelijk zijn én zijn verzekerd van de betrouwbaarheid van deze informatie.

De oprichter van IRMA, hoogleraar Bart Jacobs, stelt dat er nu geen breed gebruikt inlogmiddel is. DigiD kan je bijvoorbeeld alleen gebruiken bij de overheid. Hij hoopt dat de app omarmd gaat worden door de publieke en private sector. Volgens Jacobs tonen al veel organisaties en bedrijven belangstelling. IRMA heeft onlangs ook de Internet Innovatie Award 2019 gewonnen. Je kunt de app gratis downloaden (Android en Apple).

Reflectie

Solid, DECODE, Yoti, Schluss en IRMA hebben veel overeenkomende uitgangspunten: decentralisatie, databeheer door gebruiker, gescheiden opslag van data en dataminimalisatie. De voordelen hiervan zijn denk ik wel duidelijk: meer privacy en zeggenschap voor gebruikers. Ook hoeven gebruikers minder accounts te beheren. Toch denk ik dat er ook nog wel wat uitdagingen zijn.

Allereerst toont onderzoek aan dat er sprake is van een privacy-paradox. We vinden privacy heel belangrijk, maar doen in de praktijk weinig om onze privacy te beschermen. Vraag is kortom of gebruikers genoemde oplossingen echt gaan gebruiken. NB: de inwerkingtreding van de AVG in mei 2018 heeft gebruikers mogelijk wel bewuster gemaakt van het belang hiervan.

Ten tweede hangt het succes van de oplossingen niet alleen af van gebruikers maar ook van meewerkende (overheids)organisaties en bedrijven. Hebben overheidsinstanties voldoende vertrouwen in de fraudebestendigheid van oplossingen? En zijn bedrijven als Albert Heijn, BOL of Coolblue bereid het beheer en de zeggenschap over (voor marketing waardevolle) klantgegevens weer terug te leggen bij de klant? Pluspunt is dat de eerdergenoemde AVG organisaties al een duw in die richting heeft gegeven.

Ten derde stelt opslag en beheer van grote hoeveelheden persoonlijke data in één bron (zoals bij Solid, Schluss of IRMA) en ontsluiting via een mobiele app, hoge eisen aan security. Toegang tot de IRMA-app is nu bijvoorbeeld afgeschermd met een wachtwoord (pincode), maar deze blijft niet default ‘aan’ staan; je moet na gebruik van de app het slot opnieuw activeren. Kans bestaat dat je dat vergeet. Hoe veilig is dat?

Als laatste zijn er gebruikers die zwakbegaafd, laaggeletterd en/of digitaal niet vaardig zijn. Zijn deze gebruikers in staat met een app hun gegevens te beheren en goed doordachte keuzes te maken m.b.t. delen van data?

Onze expertise (van interaction design, visual design, content design tot front-end development) kan denk ik veel bijdragen aan het overkomen van deze obstakels en helpen Personal Data Empowerment te realiseren.

Over de auteur

Barbara Werdmuller (@barbiew) is een content designer bij Informaat. Barbara heeft ca. 15 jaar ervaring met contentmanagement. Haar projectervaring bij Informaat varieert van webredactie en -advies, coördinatie en de begeleiding van contentmigraties, tot het opstellen van een informatiemodel of contentstrategie.

Events (31), Innovation (9)

Share this...
Share on Facebook
Facebook
Pin on Pinterest
Pinterest
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin