Als Nederland een privacy-strijder heeft, dan Bart Jacobs. De hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen schudde tijdens het Overheid 360°-congres een gevulde zaal wakker met een presentatie over baanbrekende en grensverleggende (lees Europese) plannen met de Irma-app.
Behalve hoogleraar is Bart Jacobs (1963) nog iets: voorzitter van de Privacy by Design Foundation (‘ik sta hier vandaag met twee petten op’). Deze onafhankelijke stichting zet zich in voor de ontwikkeling en het gebruik van open, privacy-vriendelijke en goed beveiligde ict. Ook creëert en onderhoudt zij gratis opensourcesoftware waarbij de privacy van de gebruiker vooropstaat. Speerpunt van de stichting evenwel is het (gratis) identity-platform Irma, wat staat voor I Reveal my Attributes.
Jacobs betoogt dat identity essentieel is voor security. Je wilt immers weten met wie je van doen hebt. Maar dat het vragen naar iemands identiteit – in de ruimste zin van het woord – wel proportioneel moet zijn. Voor een online-game is het vragen naar de leeftijd bijvoorbeeld voldoende. Log je in bij de overheid, dan is het burgerservicenummer nodig. Maar als je bij je gemeente wilt melden dat er in de openbare ruimte een stoeptegel los ligt, dan zou het opgeven van een mailadres moeten volstaan.
Dat is punt één.
Het tweede punt dat Jacobs maakt, is dat DigiD een end-of-life-product is en we dus naar een opvolger moeten uitkijken – en daar begint het te wrijven. De regie over de succesor voert het ministerie van BZK, maar die is volgens de hoogleraar alleen maar te betrappen op een gebrek aan visie en daadkracht. En zorgwekkender: ‘The Big It staat klaar om de rol over te nemen.’ Om die opmerking te duiden, toont Jacobs een slide op het scherm. Links de VS waar de namen en logo’s van publieke netwerken verschijnen als Facebook, Google, Apple, Amazon en Netflix. Rechts China, gelardeerd met namen als Baidu, Alibaba en Tencent. In het midden Europa. Niks, leeg. ‘En wat hebben wij als wereldwijd platform?’, vraagt Jacobs aan de zaal. ‘Spotify?’, klinkt het aarzelend. Inderdaad. Waarna ook het logo van Spotify op het scherm verschijnt.
Personen traceren
Vat Jacobs de situatie samen, dan zie je de VS en China er alles aan doen om digitale identiteiten vast te leggen. Jacobs: ‘Deze systemen werken op basis van unieke nummers per individu, die overal zijn te gebruiken om personen te traceren. Het achterliggende doel is om gedetailleerd profielen samen te stellen, uit commerciële, dan wel (staats)politieke motieven. Mijn voorstel is om het hier anders te doen dan de VS en China.”
Ziehier het Irma (I Reveal My Attributes)-opensourceplatform.
De kern van het platform (lees ook app) is dat het bij een bepaalde handeling of transactie alleen persoonlijke gegevens (attributen) onthult die relevant zijn. Die attributen laad je daarvoor op je mobiele telefoon via internet of een QR-code, maar ook bijvoorbeeld ergens aan een balie. De attributen staan vervolgens alleen op de mobiel en nergens anders (en zijn beveiligd met een pincode). Uitgever van attributen (een issuer) kan de nationale overheid, de gemeente waarin je woont, een financiële instelling of een organisatie zijn.
Punt is dat je eenmaal in het bezit van je attributen, zelf bepaalt welke attribuut je verstrekt. Het resultaat is dat niet je identiteit de deur openmaakt, maar je attributen. Immers, hier worden anonieme attributen ingezet voor een transactie en geen unieke persoonsnummers, waarmee ook identiteitsfraude zo goed als te omzeilen is. Jacobs voegt eraan toe dat Irma een hééél persoonlijk, digitaal identiteitsbewijs is dat attributen bevat die betrouwbaar zijn en digitaal ondertekend.
Wat volgt, is een korte demonstratie. Jacobs wil een betaalfilm kijken, meldt zich op een webpagina van een (fictieve) video-streamingservice, pakt zijn mobiel, logt in op de Irma-app en laadt attributen, in casu een lidmaatschapsnummer en de ‘leeftijdsgrens-attribuut’. De filmdienst – die in dit geval niets te maken heeft met het adres of nationaliteit van een huurder – ‘herkent’ Jacobs en geeft hem toegang. Jacobs herhaalt nog maar eens Irma’s doel: met behoud van privacy online-aankopen kunnen doen of zaken kunnen regelen zonder daarbij onnodige informatie prijsgeven. C’est tout.
Architectuur
Een cruciaal onderdeel van Irma is de architectuur, want die kent een gedecentraliseerde opzet. ‘Dat is fundamenteel en zegt iets over de maatschappij waarin we willen leven’, geeft Jacobs gewicht. Betekent ‘centraal’ dat alles via een identity provider loopt (zoals bijvoorbeeld Facebook), ‘decentraal’ wil zeggen dat de handelingen lopen via de gebruiker (zoals bij Irma).
Jacobs voelt zich gesterkt in zijn ‘strijd’, omdat de Irma-app niet onopgemerkt blijft. Zo loopt er een project via de gemeente Amsterdam, waarbij bepaalde buurtbewoners, na zich bekend te hebben gemaakt via de Irma-app (want woon je in de buurt?), meestemmen voor een nieuwe binnentuin. Maar de stad die echt vooroploopt in het promoten van Irma is Nijmegen. Meer, de Waalstad was de eerste die de app gebruikte (inwoners kunnen hun gegevens van de basisadministratie op de app zetten) en treedt inmiddels op als strategische partner. Als het enthousiasme daarover maatgevend is, dan duurt het niet lang of ook Jacobs laatste slide wordt binnen afzienbare tijd bewaarheid. Links de VS, rechts China, in het midden Europa. Daaronder nog steeds het mosgroene bolletje van Spotify, maar ook, plop, Irma.
Wie meer wil weten over de werking en veiligheid van Irma, meldt zich hier.
Paspoort
Bart Jacobs (1963) studeerde wiskunde en filosofie in Nijmegen. In 1991 promoveerde hij in de theoretische informatica waarna hij in Cambridge, Utrecht en Amsterdam werkte. In 2002 werd hij benoemd tot hoogleraar op het gebied security en correctheid van software aan de Radboud Universiteit Nijmegen. Jacobs is bekend vanwege zijn onderzoek rondom de anonimiteit en de privacy van elektronisch stemmen en chipkaarten. Sinds 2011 is hij lid van de Cyber Security Raad van het ministerie van Veiligheid en Justitie.
Jacobs is ook in zijn persoonlijke leven zeer strikt op zijn privacy. Tijdens zijn sessie: ‘Een foto nemen is prima, maar ik wil niet op Facebook.’
Goed begin, het punt waarmee het staat of valt is echter wie bepaalt welke attributen er daadwerkelijk absoluut noodzakelijk zijn voor het initieren/voltooien van de transactie.
Een monopolist, zoals de staat, kan simpelweg bepalen dat het attribuut geslacht (geaardheid, gezondheidstoestand, noem maar op) noodzakelijk is ‘omdat het noodzakelijk is’ terwijl de klant (alle bewoners van Nederland) vinden van niet. Omdat de staat hier een monopolist is, en de klant dus wel bij hem/haar moet aankloppen, is er simpelweg een keuze: een paspoort meekrijgen of niet (als voorbeeld, wederom).
Zolang je als klant bij een monopolist geen hefboom hebt om zelf de attributen te bepalen helpt een in de basis perfect systeem als IRMA niet.
Ik ben oprecht erg nieuwsgierig of dit voldoende tractie gaat krijgen.
Al eens naar Irma gekeken heb het nog niet kunnen toepassen.
Het heeft nog wat weinig momentum in de zin dat het toepassingsgebied zal moeten worden uitgebreid.
De kip is er, nu de eieren nog.
Ik hoop dat het wat wordt, maar daar irma een hoop marketing en daarme zakelijke modelen ondermijnt, zal momentum nog niet zo evident zijn.