Op zoek naar beheersing en vertrouwen in persoonlijk databeheer
Wie of wat beheert uiteindelijk ‘de data’? Houdt big tech de touwtjes in handen of zijn uiteindelijk toch de gebruikers ‘eigenaar’? Er zijn diverse initiatieven die een verschuiving van de macht over data naar gebruikers propageren of initiëren. Denk aan Web3, Solid, Self-Sovereign Identity, decentrale eID, datakluizen van banken en KPN of Regie over Gegevens bij de overheid. Waar staan we?
Amerikaanse en Chinese datamachten – Facebook, Google, Amazon, Apple, Microsoft, Alibaba, Tencent, TikTok – zijn uit hun voegen gegroeid. Aangezien Europa weinig te verliezen heeft in dit speelveld wil Europa ze hard aanpakken. Een belangrijk middel om deze datamachten terug te dringen, zijn nieuwe wetten vanuit mededinging, zoals de Digital Services Act (DSA) en Digital Markets Act (DMA). Deze zijn nodig omdat de privacywet AVG niet volstaat vanwege haar juridische complexiteit, de praktijk van toestemming (‘vinkjes zetten’) en ‘gerechtvaardigd belang’.
Solid naar Vlaanderen
Behalve wetten komen er technologieën om de macht over data aan te pakken, al zijn die vooral gericht op de zeggenschap van gebruikers over eigen data. Een veelbelovend voorbeeld is Solid dat eind 2018 werd gelanceerd door webuitvinder Tim Berners-Lee. Een tweede beroemdheid, beveiligingsexpert Bruce Schneier, sloot zich aan. Startup Inrupt, opgericht voor de bouw van Solid, kreeg 10 miljoen dollar startkapitaal. Daarna bleef het lang stil, al kwamen er op Github wel eerste ontwerpen voor de zogeheten ‘pods’. Dit zijn datakluizen waarmee gebruikers bepalen welke partijen welke data voor welke tijdsperiode voor welk doel mogen gebruiken. Er zijn testen aangekondigd, onder meer met de Britse nationale gezondheidsdienst NHS voor ondersteuning van patiënten met dementie. Maar heel concreet is het vooralsnog niet geworden.
Dankzij de jonge professor Ruben Verborgh van Universiteit Gent, de belangrijkste technicus van Solid, krijgt het project tractie. De universiteiten van Gent, Brussel en Leuven en het vermaarde onderzoekscentrum Imec lanceerden begin 2022 SolidLab Vlaanderen. De Vlaamse regering investeert 7 miljoen euro en doet mee met agentschap Digitaal Vlaanderen en een nieuw ‘Datanutsbedrijf’. Het consortium wil toepassingen voor persoonlijk databeheer bouwen voor routeplanning, zoek-, kijk- en luistergedrag, zorgdata en uitwisseling met overheden.
Voor omroep VRT verklaarde Verborgh dat je in het ideale model geen platforms meer nodig hebt om te delen, maar dat ieder zijn data, ook beeld, onderling uitwisselt. Dit is precies wat hij beoogt met zijn project LinkedData, dat ook in Nederland een platform kent. Vanuit de Solid ‘pods’ kunnen individuen ook data ter beschikking stellen voor bigdata-onderzoek, waarbij ze zelf het nut afwegen.
De voors en tegens van Web3
Zeg decentralisatie van internet en afscheid van de machtige platforms en je komt op Web3, de jongste realiteit of hype. Web3 staat voor transacties vanuit individuen, beheerd zonder derde partijen (trustless). Web 2(.0) optimaliseerde het delen van content en data, maar heeft onbedoeld geleid tot machtsvorming van platforms die dit faciliteren. We zijn al bijna vergeten dat het begon met KaZaa muziekruil met werkelijk gedistribueerde structuren.
Daarop grijpen Solid en Web3 in feite terug. Web3 belooft expliciet gebruik van blockchain, om zonder centrale autoriteit transacties vast te leggen, dus ook digitaal eigendom in een eigen portemonnee, met daarin ook je ID en andere data. Cryptovaluta en NFT’s gaan in één adem mee. Voorstanders als Gavin Wood en majeure tech-investeerders verkondigen het walhalla.
Anderzijds veegt professor Scott Galoway er de vloer mee aan en ook analist Casey Newton is kritisch, net als media-analyst Dan Olson. Samengevat levert Web3 teveel chaos op en gebrek aan toezicht, plus technologie die minder vertrouwen wekt dan de gelovigen opperen. Ook Tim O’Reilly, die de term Web 2.0 bedacht, heeft flinke bedenkingen over Web3, gezien de onvolwassenheid van technologie. Bovendien is het maar de vraag of er niet weer nieuwe machten gaan ontstaan, nu zoveel investeerders geld stoppen in Web3-bedrijven.
Er is nog een probleem: bescherming van privacy verhoudt zich slecht tot de eeuwige vastlegging van zoveel persoonlijke transactiegegevens in een blockchain. Dat is één van de kritiekpunten van Radboud-hoogleraar Bart Jacobs op blockchain. In zijn woorden: “Het is een hype-technologie die enorme risico’s met zich meebrengt. Een oplossing op zoek naar een probleem.”
Datakluizen
Jacobs heeft zijn hart verpand aan zijn eigen oplossing voor een decentrale eID met databeheer, die geen blockchain nodig heeft: Irma. Hij voert een actieve lobby voor gebruik van Irma door overheden en voor wetgeving waarin Irma past. Dat gaat de ‘goede kant’ op met Brussel dat de Eidas-normen voor authenticatie momenteel actualiseert, voor decentrale authenticatie plus databeheer. Irma maakt kans en kreeg ook miljoenen van wetenschapsfinancier NWO, om vanuit deze eID sociale applicaties voor het delen van data te ontwikkelen.
Irma kent wel degelijk centrale autoriteit met stichtingen voor beheer, gedragen en betaald door SIDN (domeinnamen). Ook Qiy, Europa’s eerste initiatief voor decentraal, persoonlijk databeheer, is een stichting, ondersteund door organisaties zoals Talpa, Aegon, Accenture en drie ministeries.
Ook marktoplossingen voor datakluizen kennen centraal beheer, zoals KPN met PiM ID, een ‘Persoonlijke Identiteits Manager’. Die biedt organisaties hetzelfde als Irma, maar dan met de data in de KPN-cloud, zonder open source. De app-gebruikers verstrekken persoonsgegevens die worden gecontroleerd, zoals via webwinkels met betaaldienst Buckaroo.
De banken begeven zich op dit terrein omdat ze behalve geld ook data voor klanten willen beheren. ABN AMRO financierde zelfstandige startup Ockto, Rabobank de IDA Wallet en Volksbank helpt coöperatieve startup Schluss met haar datakluis. Alle drie zetten ze in op een concrete toepassing die begrijpelijk is voor individuen. Zo bieden Ockto en Schluss apps voor overdracht van data van diverse instanties (loon, belastingaangifte enzovoort) voor hypotheekaanvragen. Een mooie test is de Schluss-app voor databeheer voor nabestaanden met Volksbank, notarisbond KNB, Dela en de Rijksdienst voor Identiteitsgegevens. Het verst gaat Belgische bank KBC die binnen de eigen omgeving 3,5 miljoen klanten de datakluis van Meeco aanbiedt om wachtwoorden, paspoort, rijbewijs en zelfs medische gegevens op te slaan.
Weerbarstige praktijk
De tientallen oplossingen voor persoonlijk databeheer wekken de indruk van versnippering en gebrekkige standaardisatie. Dit bleek ook tijdens een recent congres van de brancheorganisatie voor persoonlijk databeheer, Mydata Global in Amsterdam: veel goede bedoelingen, maar moeizame coördinatie. Deze versnippering geldt ook voor de toepassing van Self-Sovereign Identity (SSI), het meest verregaande principe van decentraal beheer van ID’s en persoonsgegevens. Iedereen kiest zelf een ID-toepassing. SSI heeft inmiddels een schare overtuigde volgelingen van technici en juristen. Je kan bijna van een religie spreken. Maar recent onderzoek van Innopay en TNO toont aan dat het eerder een Protestants landschap is dan Katholiek. Ook hier: veel variaties en gebrek aan eenheid.
Opdrachtgever voor dit onderzoek is het ministerie van BZK, vanuit het Rijksoverheidsproject Regie op Gegevens. In de verkiezingsprogramma’s van D66, VVD en CDA van 2021 staat ‘persoonlijk eigendom van data’ expliciet genoemd, dus kwam dat in het coalitieakkoord: “We geven mensen een eigen ‘online’ identiteit en regie over hun eigen data.” Alleen stuiten ook hier het tomeloze enthousiasme en de grote kennis van ambtenaren als Wouter Welling op de weerbarstige praktijk. Welling zet zijn kaarten op de genoemde herziening van Eidas-regels en de uitwerking van het raamwerk voor een European Digital Identity. Een raamwerk dat in juni 2021 werd gelanceerd door de Europese Commissaris voor Digitale Zaken, Margarethe Vestager.
Schuldhulpsucces
Het grootste euvel in het Haagse eID-dossier blijft de verhouding tussen overheden en bedrijfsleven. In hoeverre trekken ze samen of apart op bij de vorming van eID en een persoonlijke datakluis in het overheids- en private domein?
Neem bijvoorbeeld authenticatie met iDIN van de banken, dat bij de Belastingdienst werd beproefd en vervolgens na twee jaar weer verdween. Toch is er ook succes, juist door bedrijven en overheden samen: de stille revolutie met persoonlijk databeheer in de Nederlandse schuldhulpverlening. Schuldenaren wisselen via een app financiële data uit met gemeenten, banken, incassobureaus, bewindvoerders en schuldhulpverleners.
Dat vindt plaats met toepassing van de PSD2-standaard voor overdracht van bankgegevens en veelal met technologie van het bedrijf Invers. Natuurlijk zijn de mensen in dit voorbeeld niet geheel soeverein in hun keuzes, want ze voelen de zachte dwang om data te delen om hun schuldprobleem op te helpen lossen
Grote vragen
Toch blijven er nog grote vragen. SolidLab in Vlaanderen onderzoekt de komende jaren bijvoorbeeld de ‘grootschalige paradigmaverschuiving in de data-economie’: zijn burgers en bedrijven klaar om datakluizen te omarmen? Hoe laten we applicaties zo vlot mogelijk draaien? Wat zijn de potentiële verdienmodellen?
Vlaanderen spreekt van persoonsgegevens als ‘herbruikbare grondstoffen’, en benoemt daarmee de kern. Data vormen namelijk de valuta in transacties, maar ook de middelen die individuen straks in de aanbieding hebben voor bigdata-onderzoek. In hoeverre worden mensen daarin persoonlijk actief? Zo pogen verzekeraars, met hulp van professor Sander Klous (UvA en KPMG), te komen tot principes waarmee het vertrouwen van klanten wordt geborgd voor big dataonderzoek.
Zoals je wellicht zou verwachten opperen technici een groot vertrouwen in technologie op zichzelf, zonder zich veel te bekommeren om de noodzakelijke juridische en economisch verankering. Web3-investeerder Lior Messika zei botweg: “Ik heb nog nooit een sceptische investeerder ontmoet die begreep wat er aan de hand was.”
Niet-weters tot ‘dom’ verklaren is ook een vorm van blindheid, namelijk voor gebruikers die nog niet staan te trappelen. Daarin ligt dan ook de grootste uitdaging voor Web3, Solid, decentrale eID’s en datakluizen: het bieden van een gevoel van beheersing en vertrouwen in persoonlijk databeheer. Zoals het zich nu laat aanzien, zal dit nog jaren vergen.
TNO: datagebruik zonder overdracht
TNO vond een fascinerende methode uit om persoonsgegevens te gebruiken zonder dat er daadwerkelijke overdracht van data plaatsvindt. Het is toegepast voor Justitie in een poging het aantal zogeheten ‘onvindbare veroordeelden’ te verminderen. Jaarlijks krijgen in Nederland ongeveer 20.000 mensen een vrijheidsstraf opgelegd. Daarvan ontloopt gemiddeld 10 procent hun straf, omdat ze onvindbaar zijn. Ieder jaar komen er dus onvindbare veroordeelden bij.
Aan het begin van het TNO-project stond de teller bij Justitie op 10.000.
TNO zocht en vond een methode voor analyse van verschillende externe bestanden, zoals bij UWV waarbij de privacy gewaarborgd bleef. In het rapport Data gebruiken zonder ze te krijgen of te zien, legt TNO uit hoe de toepassing is verlopen van Multi Party Computation (MPC), Secure Set Intersection en Homomorfe encryptie.
Zo konden meerdere partijen nagaan welke objecten in hun datasets overeenkomen (een ‘hit’ geven) zonder dat ze informatie over die objecten met elkaar delen. Van de 1100 dossiers die op deze manier zijn onderzocht, leidde dat in 10 procent van de gevallen tot een aanhouding. Dat geringe resultaat laat zich verklaren doordat volgens het CBS ongeveer 85 procent van de onvindbare veroordeelden in het buitenland verblijven en uitlevering vaak niet mogelijk is.
Lees ook:
- Sterke groei en investeringen aan edge van het netwerk
- Cryptshare met eID nóg veiliger, sneller en gemakkelijker
