The idea is to allow owners of individual sensors to connect them together to create a network of sensors that can be used to monitor the condition of a certain area. An example is the use of small air pollution sensors to measure the air pollution in a city (the AirQualityEgg project). Another example is to enable access to CCTV camera footage from private buildings (hotels, apartment buildings) by emergency services in the case of earthquakes (ASPIS). Depending on the type of sensor, there is an inherent privacy problem when a sensor in a private space can be accessed from outside. This is particularly the case in the second example above, when the camera involved is in a bedroom for example. An intriguing solution to this problem is to add a motion sensor to the camera that can detect earthquakes, and that only switches on the camera if the detects an earthquake.

Ultimately, the idea is to use smart phones (that have several types of sensors, quite a bit of computational power and have a mobile network connection) as an ad-hoc sensing network (SEEMOO). I believe these concepts are an excellent area of research to apply the techniques from our Revocable Privacy project on order to limit the privacy problems.

Side note: as was put forward during the discussion, surveillance is the wrong word in this context. If data snooping by the FBI as well as collecting air pollution data are called surveillance, we need a different word for the latter. Any suggestions are more than welcome.

Volgens de brief van minister Leers aan de Tweede Kamer van 23 december 2011 zal @MIGO-BORAS worden gebruikt “op wegen in een gebied tot twintig kilometer vanaf de gemeenschappelijke grens met België en Duitsland op eenzelfde weg, ten hoogste negentig uur per maand en zes uur per dag”. Maar dat is slechts een procedurele maatregel, die op een willekeurig moment gewijzigd kan worden. Het systeem zelf is, volgens dit aanbestedingsdocument (dat door Sargasso ge-wob-t is) bedoeld om niet alleen gebruikt te worden voor toezicht op de Vreemdelingenwetgeving. Het dient uitgebreid te worden tot toezicht veiligheid (p11) in de volle breedte, en dient @MIGO-BORAS ingezet te kunnen worden voor in beginsel alle basisprocessen van de Koninklijke Marechaussee (p24). Het systeem kan op willekeurige momenten worden ingeschakeld. Daarnaast wordt “bewust voor een modulaire opzet met maximale mogelijkheden tot parametrisering van een aantal variabelen” gekozen (p12) “om te voorkomen dat als gevolg van nieuwe/gewijzigde inzichten m.b.t. de wetgeving/privacy aanpassingen in het ontwerp noodzakelijk zijn”. Met andere woorden: de mogelijkheden voor function creep (het inzetten van het systeem voor andere doelen dan waar het oorspronkelijk was bedoeld) zijn legio.

@MIGO-BORAS maakt gebruik van camera’s langs of boven de weg die onder zijn voorzien van ANPR (Automatic Number Plate Recognition oftewel kentekenherkenning). Invoering van @MIGO-BORAS kan daarom niet los gezien worden van het besluit van het Kabinet op 23 december 2011 (inderdaad, dezelfde dag) om alle kentekens die de politie met camera’s automatisch vastlegt, straks 4 weken te bewaren om misdrijven op te sporen en voortvluchtigen aan te houden. Dit wetsvoorstel zal ter advies aan de Raad van State worden voorgelegd. Mocht de wet worden aangenomen, dan zal dat betekenen dat ook de door @MIGO-BORAS verzamelde gegevens moeten worden opgeslagen. Dat betekent dat de privacy consequenties van het systeem veel groter zijn dan nu wordt gesuggereerd, en dat de anonimiseringsfunctie die het systeem deels bezit zal worden omzeild.

Waarom moeten we ons hier eigenlijk zorgen om maken?

Er worden steeds meer systemen ingevoerd die over onze schouder meekijken, of we nu winkelen of in het centrum rondlopen (cameratoezicht), op de snelweg rijden of de grens oversteken (kentekenherkenning), met het openbaar vervoer reizen (ov-chipkaart) of het Internet gebruiken (tappen). Zodra we ons bewust zijn van deze blik over onze schouder, dan voelen we ons bekeken, en zullen we ons anders gaan gedragen. Het gaat hier nadrukkelijk niet om zaken die niet mogen, maar om zaken waarvoor we ons schamen, zaken die misschien verkeerd begrepen worden, of zaken die buiten hun verband gebruikt kunnen worden.

Het is goed om ons te realiseren dat privacy niet alleen een persoonlijk belang is. Privacy beschermt de samenleving in haar geheel tegen een te nieuwsgierige en bemoeizuchtige overheid, en dat is een noodzakelijke voorwaarde voor een open, innovatieve, democratische samenleving. Iedere inbreuk op de privacy moet dus voorafgegaan worden door een goede belangenafweging. Een niet onderbouwd beroep op het vergroten van de veiligheid volstaat hierbij niet.

Volgens de officiële website van Het Nieuwe Pinnen gaat het als volgt. Eerst krijg je het bedrag te zien, waarbij je voor akkoord op “ok” moet drukken. Vervolgens met je je pincode invoeren en deze met “ok” bevestigen. Ook komt de oude variant nog voor, waarbij je eerst de pincode moet invoeren, vervolgens het bedrag krijgt te zien en voor akkoord op “ok” moet drukken. Soms moet je eerst aangeven of je met “chipknip” dan wel met “maestro” wilt betalen (ik vraag me af of iedereen wel weet wat “maestro” betekent). Tenslotte zijn er ook pinapparaten waarbij je het bedrag krijgt te zien, en meteen je pincode moet invoeren en voor akkoord op “ok” drukken. Er is dus geen aparte stap waarbij het bedrag wordt goedgekeurd. Dat zijn dus drie verschillende manieren om te pinnen. (En misschien zijn er nog wel meer… ik hoor het graag.) Bij geldautomaten is er ook iets veranderd: soms moet een pincode bevestigd worden door op de “ok” te drukken, soms ook niet.

Ik vind het maar verwarrend, en snap niet waarom de banken niet heel strikt hebben vastgelegd hoe pinapparaten werken, welke stappen daarbij doorlopen worden, en welke (gebruikersvriendelijke) informatie bij iedere stap aan de gebruiker getoond wordt. Voor gebruikers is het makkelijker als het nieuwe pinnen overal hetzelfde werkt. Dan maken ze minder snel fouten, en is het pinnen ook veiliger. Dat lijkt me ook  in het belang van de banken.

De gedachte is dat als we het gebruik van het BSN maar sterk inperken, dat dan het koppelen van gegevensbestanden onmogelijk is en de privacy van de burger beschermd wordt. Zeker, een uniek nummer als het BSN is een makkelijke manier om gegevens over dezelfde persoon uit verschillende bestanden te koppelen. Maar er zijn alternatieven. Zo kan men ook gebruik maken van de combinatie naam, geboorteplaats en geboortedatum (NGG, voor Naam GeboorteGegevens). Deze is (naamswijzigingen daargelaten) constant voor een persoon. In Nederland worden gemiddeld 500 kinderen per dag geboren. Zelfs als we er van uit gaan dat sommige namen op verschillende manier gespeld worden, dan lukt matchen van records nog steeds prima als we eerst op geboortedatum en geboorteplaats selecteren.

Het vertrouwen op het beperkt gebruik van het BSN strooit ons dus in feite zand in de ogen. Om onze privacy werkelijk te waarborgen kunnen we beter vertrouwen op de volgende uitgangspunten.

• Verzamel geen identificerende gegevens als dat niet nodig is (BSN of NGG maakt niet uit).
• Beperk of verbied het koppelen van databases (of dat nu d.m.v. BSN of NGG gebeurt).

Credentials are issued to persons, because they describe a property of that person. This binding of a credential to the person to which it belongs must be maintained after the credential is issued. It should not be possible to obtain a credential (like “being over 18 years old”) for yourself and then sell it to a minor. One way to do so is to bind the credential to a personal secret that is used both in issuing the credential and when revealing the credential. Of course, for anonymous credentials care has to be taken to ensure that the use of this personal secret cannot be used to trace the owner of the credential. Idemix uses this approach, and so does uProve. Cardspace uses so-called proof keys to achieve a similar objective.

However, there still is not much stopping you from sharing this personal secret (and the credential) with your friends. The main impediment is the concept of all-or-nothing disclosure: you only have one personal secret that is tied to all your credentials, so giving away one credential basically gives away all your credentials. If access to your bank account is among those credentials, you are supposedly less likely to share it with others. It remains to be seen whether this is an effective deterrent.

Sharing of credentials can also be prevented if they are stored on a smart card (provided they can never be read from the card). But then still this card needs to be bound to the user. The simplest approach is to store the credential on the identity card of the user, and making sure that in order to prove possession of the credential, the identity card needs to be present. This has the aforementioned drawback that users may not believe that the credential is anonymous. However, a dual-interface smart card (with contact and contact-less interface) may help solve this problem in the following way. The smart card must ensure that the contact interface can only be used to identify and authenticate the user, while the contactless interface can only be used to show anonymous credentials. Then the way the smart card has to be used in a particular application immediately reveals the nature of the information that is processed. If the card has to be inserted into a card reader (hence using the contact interface), your identity is revealed. If the card has to be held close to a reader (hence using the contactless interface), you are anonymous.

Maybe there are other options: suggestions are more than welcome! More research is needed in this area, I believe.

Het doel van een ICT systeem bepaalt de functionaliteit, en de functionaliteit bepaald de uiteindelijke architectuur van het systeem. Privacy en security eigenschappen van het systeem zijn afhankelijk van deze architectuur. Bij het invoeren van een landelijk ICT systeem is het daarom belangrijk om transparant te zijn over de doelen, de daaruit voortvloeiende architectuur, en goed te kijken naar de consequenties van deze keuzes. Dit geld dus ook voor het EPD.

Voor het EPD zijn de twee belangrijkste doelen

• efficiëntieverhoging in de zorg, en
• directe toegang tot medische gegevens bij noodsituaties.

Minder bekend is dat het EPD ook als doel heeft om als informatiebron te dienen voor allerlei onderzoeken van zorgverzekeraars, ziekenhuizen, en de farmaceutische industrie.

Hoe ziet een veilig en privacyvriendelijk EPD dat aan deze doelen voldoet er uit? Voor efficiëntieverhoging in de zorg is het voldoende om een min of meer standaard systeem op te zetten, dat het zorgverleners mogelijk maakt om direct onderling informatie uit te wisselen. Wel is het van belang dat bij ieder verzoek om informatie de patiënt expliciet toestemming voor deze uitwisseling wordt gevraagd. Dit is een wettelijke eis. Bovendien moet worden vastgesteld welke zorgverlener om de informatie vraagt, en of dat verzoek redelijk is. Dit laatste is de verantwoordelijkheid van de informatie verstrekkende zorgverlener. Dit vereist overigens een veilig systeem van identificatie en authenticatie van patiënten en zorgverleners, bij voorkeur gebaseerd op chipkaarten (of vergelijkbaar). Zo’n landelijke elektronische identiteitsinfrastructuur is op dit moment niet beschikbaar…

Voor directe toegang tot medische gegevens bij noodsituaties, bijvoorbeeld bij een ernstig ongeluk, is het niet redelijk om de (zwaargewonde) patiënt zelf om toestemming te vragen. Het is nog wel steeds essentieel om de identiteit van de patiënt met zekerheid vast te stellen. In die gevallen moet de zorgverlener direct bij de gegevens kunnen. Maar lang niet alle gegevens in het EPD zijn relevant bij noodsituaties. Sterker nog, slechts een beperkte set van gegevens (bloedgroep, allergiën, misschien medicijngebruik) is waarschijnlijk van belang. Bij inzage voor noodsituaties kan de toegang van de zorgverlener dus beperkt worden tot deze set gegevens (die vooraf, na uitvoerige consultatie met medisch specialisten en anderen, is vastgelegd). Daarnaast zal het systeem moeten bijhouden welke zorgverlener een beroep op de noodprocedure heeft gedaan, om misbruik achteraf te kunnen traceren.

Voor het doen van onderzoek gebaseerd op gegevens uit het EPD is het niet duidelijk hoe het systeem er uit zou moeten zien. Rechtstreekse toegang tot gegevens uit het EPD schaadt de privacy. Medische gegevens zijn immers extreem privacy gevoelig. Er bestaan wel technieken om deze gegevens eerst te anonimiseren en vervolgens op geaggregeerd nivo onderzoek te doen naar onderlinge verbanden, maar deze technieken zijn nog experimenteel. Het is daarom niet gewenst om deze functionaliteit toe te voegen.

Tenslotte nog twee andere punten die belangrijk zijn om te noemen. Ten eerste is de term Elektronisch Patiënten Dossier misleidend. Er is niet één dossier per patiënt. In plaats daarvan zijn er meerdere dossiers, die door verschillende zorgverleners gescheiden worden bijgehouden. Dit zal in de toekomst ook zo blijven: de zorgverlener zelf is immers verantwoordelijk voor zijn dossier. Ten tweede is de integriteit van de gegevens in een (deel)dossier waarschijnlijk een nog groter security probleem dan het confidentieel houden van die gegevens. Gegevens zijn immers vaak verouderd, verkeerd bijgehouden, en kunnen na overdracht aan een andere zorgverlener anders (en misschien verkeerd) geïnterpreteerd worden.

On requirements

User centricity should not mean that users are burdened unnecessarily. The best security is transparent to the user. However, as trust is a matter of choice, users should be given this choice, explicitly. That’s what user-centricity is about in this context (so the requirement should probably be called “users have a choice”.

The scope of a CA should be limited. CA’s should be bound (externally) to certain domains. It should not be possible for a German CA to sign for Dutch domains. Similarly, Dutch certificates for Iranian or .com domains should not be accepted as genuine.

A single point of failure should not exist. Perhaps two-factor authentication (similar to the fixed fingerprints encoded in Chrome that were used to detect the fraud with the certificates in Iran) can be used universally. For extra security, you should be able to “phone the cloud” to request a fingerprint corresponding to the certificate for a high risk website.

The solution should be stateless. This has two advantages: the system is by default location independent. Moreover, the system is less prone to errors, either through crashes or through malicious attacks, on the local user machine.

There are several ways to implement augmented reality. One way is define patterns, visual objects that can easily be recognised in a video stream. One simple example are QR codes. But in the future these patterns may be much more complex and may be unrecognisable as such by the human eye when watching a scene. Anchors can be attached to a pattern. These anchors trigger events, for example showing a message, whenever the pattern is in view (and when enabled by the user).

If unwanted patterns or unwanted anchors are fed into the system, this effectively leads to spam. The particularly nasty aspect, in my mind, is that anchors may trigger subliminal stimuli. There is a famous experiment from the 60′s by James Vicary who claimed that inserting single-frame images of Coca-Cola and popcorn in a movie had positive effects on the sale of these products after the movie. The images were shown for such a brief moment, that the viewers were not aware that these were actually shown. Although Vicary later admitted that the experiment was methodologically flawed, and psychologists currently have doubts that subliminal stimuli can be used to change behaviour and therefore be used for advertising effectively, the lack of transparency and control is worrisome.

The Internet of Things is similarly susceptible to spam, including the subliminal use of it. In the Internet of Things we intuitively interact with the virtual world using physical objects. This interaction is often implicit, not requiring any explicit action from our side. Moreover, the interaction is bidirectional, often resulting in a change in our direct environment. How this change comes about is unclear. The process is as opaque as Google’s page rank or add selection process… Other sources of information, and interests of other parties (think companies wanting to sell you something) may play an important role in determining the environment you are in. Without you being aware of this…. The opportunities for influencing your behaviour are seemingly endless.

The important lesson is the following. Whatever channel is available to reach us, will be used to influence us. It is of utmost importance to be aware of this, and ensure that the use of these channels is transparent to everyone. Moreover, abuse of such channels should be forbidden, and prosecuted.

Prevention of information-based harm.

Personal information can be used by criminals to inflict personal harm, like stalking, or identity theft.

Prevention of informational inequality.

Personal information is valuable. Increasingly, there is a market for this type of information. This market must be transparent and open for all.

Prevention of informational injustice.

Information from one personal sphere should not be used to make decisions in another sphere. Personal information is context dependent, and should not float from one sphere (medical) to another (work).

Respect for moral autonomy.

One’s moral identity should not be fixed by the views of others (based on personal information obtained). People change, and may change opinion over time.

What is missing in this list of goals is “prevention of discrimination”, or, to phrase is positively, the “right to be treated equal despite obvious differences”. The authors do not consider this as part of “prevention of information inequality”, and I think it is important enough to warrant separate mention.

The authors also argue that even decentralised storage and processing may constitute a privacy violation. This may be plain obvious, but worth mentioning because often the metaphor of Big Brother or the Panopticon – that stress the centralised form of surveillance – is used to explian the importance of privacy.

Finally, the authors give examples of technology that by its very nature is privacy invasive. RFID tags have a unique number that makes them (and the persons carrying them) traceable. Such technology itself should be regulated (like the EU recommendation to “kill” RFID tags at the point of sale, or the Japanse requirement that cameras in mobile phones must make a clear sound or ignite a flash whenever a picture is taken). One should not rely on data protection mechanisms here.  To quote: “But [one] need[s] to engage information technology upstream, when it is technology, and there is not yet information.”

Reference: Hoven, Jeroen Van Den and Vermaas, Pieter E.(2007) ‘Nano-Technology and Privacy: On Continuous Surveillance Outside the Panopticon’, Journal of Medicine and Philosophy, 32: 3, 283 – 297.