Blockchain geeft burger autonomie terug

De Europese wet Algemene Verordening Gegevensbescherming (AVG) die volgend jaar van kracht wordt, maakt organisaties verantwoordelijk voor de bescherming en verwerking van persoonsgegevens. Maar controle op naleving van die wet is voor de individuele burger praktisch onmogelijk. Het kan veel eenvoudiger. Met blockchain krijgen burgers zelf het beheer over hun persoonlijke data, ook over de gegevens die door derden over hen worden verzameld.

Burgers hebben regelmatig het gevoel geen controle te hebben over hun persoonlijke gegevens, omschreef oud vicepresident van de Europese Commissie, Viviane Reding. Met de opkomst van het internet zijn we de regie over onze gegevens langzaam kwijtgeraakt. In een zoektocht naar economische en sociale waardecreatie leggen bedrijven en overheden enorme gegevenspakhuizen aan waarin al onze persoonlijke gegevens worden opgeslagen, gekoppeld en geanalyseerd.

Het World Economic Forum (WEF) schreef in 2011 dat data van burgers een nieuwe vermogenscategorie wordt en dat de meest complexe vraagstukken gaan over data-eigendom en de rechten van individuen. Dat persoonlijke gegevens alle aspecten van de moderne samenleving zal raken en tot nieuwe uitdagingen zal leiden is hierbij een breed gedragen overtuiging. Een voorbeeld van het verliezen van controle is wanneer er fouten worden gemaakt in de gegevensverwerking. Voor de betrokken burger is het lastig fouten te ontdekken en contact op te nemen met de juiste organisatie om het probleem te verhelpen. Onjuiste gegevens corrigeren is vrijwel onmogelijk.

Algemene Verordening Gegevensbescherming (AVG)

Per mei 2018 zal de AVG als Europa-brede wet de Nederlandse Wet Bescherming Persoonsgegevens vervangen. De verordening bevat ingrijpende wijzigingen op het gebied van databescherming en de vrije beweging van persoonsgegevens en maakt organisaties verantwoordelijk voor de bescherming en verwerking van die gegevens.

Met de invoering dienen burgers informatie te krijgen over het soort data dat over hen verzameld en verwerkt wordt en waarom. Er is een expliciete toestemming nodig voor het verwerken van persoonlijke informatie zoals politieke meningen, ras en gegevens met betrekking tot de gezondheid. De informatie dient gepresenteerd te worden in een leesbaar en eenvoudig vindbaar formaat en burgers krijgen het recht hun informatie te laten verwijderen. De uitwisseling van gegevens mag met de verordening uitsluitend met instemming van de betrokkene plaatsvinden en er zijn forse boetes op het schenden van de regels opgenomen, tot 20 miljoen euro of 4 procent van de omzet.

De politiek loopt achter

De politieke lijn sluit nog niet aan op de komst van de AVG volgend jaar. In Den Haag valt de discussie over privacy, infrastructuur en beveiliging met slechts enkele Kamerleden betekenisvol te voeren, wat we terugzien in kwaliteit van de Kamerdebatten.

Een stap in de goede richting werd gezet met de motie van Caluwé en Koşer Kaya, eind 2016, met een verzoek om verheldering over de invoering van de verordening. De reactie van de verantwoordelijke minister, minister Plasterk, ging in op slechts één onderdeel van de verordening, het recht op inzage van gegevens. Voor dit punt werd voorgesteld dat organisaties met bestaande methodes inzicht kunnen geven, bijvoorbeeld per telefoon. De gevolgen van dit beleid laten zich raden. Overheidsorganisaties worden geacht met bestaande, veelal handmatige, processen de nieuwe stroom verzoeken af te handelen, als dat al mogelijk is. Meer duidelijkheid over de bekostigingswijze van de invoering van alle punten uit de verordening zal moeten wachten op de formatie van het kabinet en latere behandeling in de kamer. Dat er onvoldoende tijd over zal blijven om de nodige aanpassingen in de IT door te voeren lijkt dan ook onafwendbaar.

De Autoriteiten

Onze autoriteiten maken eveneens weinig voortgang richting de met de wet beoogde verhoogde autonomie voor burgers rond identiteit. Net als in de kamer gaat het ook hier nauwelijks over netneutraliteit, soevereiniteit of het voorkomen van dreigende grondrechtenschendingen. Zo liet het hoofd van de AIVD zich ontvallen dat hij pleit voor het afzwakken van encryptie en waardeerde een voormalig hoofd van de MIVD de taak van de dienst hoger dan de privacy van individuen. Een verontrustend inkijkje in de wijze waarop de diensten over privacy en burgerrechten denken en hoe vooral vanuit het perspectief van opsporings- en inlichtingenbeleid wordt gekeken naar digitalisering. De toezichthouder, de Autoriteit Persoonsgegevens, noemde het een probleem dat er niet één organisatie is met een volledig overzicht van alle data in het huidige stelsel.

Het invoeren van een dergelijk centraal overzicht betekent grote risico’s voor de individuele vrijheid van burgers ten aanzien van hun (digitale) identiteit, zeker als we terugdenken aan de onthullingen van Edward Snowden. Wanneer grote hoeveelheden persoonlijke en privacygevoelige informatie centraal worden opgeslagen zal dit een aantrekkingskracht hebben op kwaadwillenden en lobbygroepen. Het beperken van het gegevenseigendom van burgers staat op gespannen voet met het recht op zelfbeschikking en vergroot risico’s voor diefstal, misbruik en schendingen van privacy.

De gevolgen van de oppervlakkige benadering door de overheid rond privacy en dataeigendom werden goed zichtbaar toen 14 februari, ondanks felle kritiek, na de hackwet ook de aftapwet door de kamer ging. Het is uiterst opmerkelijk dat al deze Kamerdebatten en gebeurtenissen plaatsvinden terwijl de verordening er al geruime tijd ligt en begin volgend jaar ingevoerd moet zijn.

De netneutraliteit die moderne gedistribueerde technologie heeft te bieden rond identiteit lijkt meer en meer de enige realistische uitweg om tijdig cybercriminaliteit, privacy-inbreuken en zelfs grondrechtenschendingen te voorkomen. Met óf zonder verordening.

Zelf-soevereine identiteit

Alessandro Acquisti, pionier in het onderzoek naar gedragseconomische aspecten van privacy en informatieveiligheid, doet al jaren onderzoek naar de effecten van de verminderde controle die individuen hebben over hun persoonlijke data. Hij wist aannemelijk te maken dat verminderde toegang en controle over persoonlijke gegevens door individuen leidt tot een verlaging van welzijn in de samenleving. Tegen deze achtergrond schreef Christopher Allen, een expert op het gebied van blockchain en identiteit, een paper over gedecentraliseerde PKI en het concept van zelfstandig eigendom van identiteit, zelf-soevereine identiteit genoemd. Christopher beschrijft het belang van decentrale systemen zoals blockchain voor onze veiligheid en definieert zelf-soevereiniteit middels een tiental leideinde principes rond digitale identiteit, waaronder principes over instemming, overdraagbaarheid, controle en eigendom. Principes die haarfijn aansluiten op de AVG-normen. Blockchain stelt ons voor het eerst in staat al deze principes te honoreren op een praktische en gebruiksvriendelijke manier, waarmee rechtsbescherming duurzaam mogelijk wordt gemaakt.

Technologie die burgers autonomie teruggeeft

Met blockchain is het mogelijk dat individuen, in plaats van een bedrijf of instelling, veilig controle krijgen over hun data, terwijl die data wel goed bruikbaar blijft. Doordat blockchain gebruik maakt van een decentraal netwerk van gelijken, waarin de geschiedenis en actuele deugdelijkheid van data publiek valt te toetsen, ontstaat een neutrale, betrouwbare en veilige manier om identiteit in eigen beheer te regisseren.

Dataeigendom verschuift van de centrale spelers naar het individu

Dataeigendom verschuift hiermee naar de buitenkant van de infrastructuur, daar waar het individu zich bevindt, weg van centrale spelers waar de invloed van de eigenaar gering of soms geheel afwezig is. Met de regie op gegevens komt ook controle terug over de eigen identiteit. In dit model is het niet langer een bedrijf of een andere vorm van autoriteit die bepaalt wie je bent, maar heb je deze invloed weer zelf. Met de nieuwe architectuur en open source kan iedereen zelf zijn digitale identiteit aanmaken, waarna marktpartijen en overheden op de blockchain kunnen bevestigen dat de aangemaakte identiteit legitiem is. Zo wordt één identiteit vanuit meerdere kanten steeds betrouwbaarder en fraude steeds meer bemoeilijkt. Uiteindelijk komt de waarde van al deze zekerheid, en daarmee het vertrouwen, rond een identiteit onder regie van de eigenaar te staan en kan het individu zelf beslissen of en hoe zijn of haar data wordt gebruikt en uitgewisseld.

Met de techniek is het eenvoudig mogelijk te bewijzen wie je bent en specifieke eigenschappen te overhandigen, zonder de gegevens zelf te hoeven tonen. De leeftijdsverificatie voor het doen van aankopen kan zonder het overhandigen van persoonlijke informatie zoals naam en geboortedatum 100 procent betrouwbaar worden gedaan. Voor winkeliers is dit een goede combinatie. Er is geen risico van privacyschendingen of diefstal van gegevens en toch is er zekerheid dat de klant oud genoeg is voor een aankoop. Met op de blockchain opgeslagen bewijs van de overheid of een bank kunnen individuen bewijs leveren over hun identiteit zonder dat kostbare real-time koppelingen nodig zijn. Een andere toepassing van identificatie en veilige uitwisseling van attributen is het vereenvoudigen van de identificatie van ziekenhuispersoneel en het zonder privacy-risico’s uitwisselen van patiëntinformatie.

De mogelijkheid als individu weer controle te krijgen over de eigen identiteit heeft positieve gevolgen voor de positie van burgers in de samenleving. Met blockchain kunnen burgers, die dat willen, eigen gebruiksvoorwaarden en privacybeleid uitschrijven over hun gegevens, waarmee het gebruik ervan kan worden toegestaan of geweigerd.

Implementatie

De afgelopen jaren zijn miljoenen euro’s uitgegeven aan infrastructuren die onvoldoende oplossingen hebben geboden voor de data-interoperabiliteitsproblemen van onze tijd, laat staan dat ze soevereiniteitsprincipes of de AVG ondersteunen. Zo hadden de Generieke Digitale Infrastructuur en Idensys moeten zorgen voor veilige dataportabiliteit. De projecten zijn inmiddels ingehaald door tientallen blockchain-bedrijven met professionele oplossingen die gegevensuitwisseling en privacy in de kern verbeteren, terwijl de gecontracteerde leveranciers moeite hebben hun verdienmodellen te verenigen met de autonomie die blockchain mogelijk maakt. De gedecentraliseerde architectuur laat namelijk minder ruimte langdurig met één oplossing aan de overheid te verdienen.

Nu oplossingen met blockchain volwassen genoeg zijn om grootschalig ingezet te worden en nog niet in handen zijn gevallen van de gevestigde leveranciers, ontstaat er voor overheidsorganisaties een unieke kans. Met voldoende durf kunnen oplossingen billijk worden geïmplementeerd die instanties tijdig voorbereiden op de AVG en tegelijkertijd de Nederlandse burgers werkelijk centraal stellen.

Dit artikel verscheen oorspronkelijk in de AG Connect van april 2017.


Also published on Medium.

Leave a Reply

Your email address will not be published. Required fields are marked *

4 + 6 =