Probleemstelling: Allerlei persoonsidentificerende sleutels (bv. BSN) en kenmerken staan in vele digitale administraties, kopieën, excels, datawarehouses, ‘datalakes’ of een andere <hipsternaam> voor een moeras aan data. Ze lenen zich daarbij ook makkelijk om even met elkaar te combineren. Dit is een zeer ongecontroleerd proces dat kan leiden tot problemen in het kader van de rechtmatigheid en levert aanzienlijke privacy- en beveiligingsrisico’s op.
Gezien de reacties die er zoal waren op deze blog, met name uit de hoek van identity access management, mocht de bovenstaande probleemstelling daar niet helder genoeg in zijn, deze blog gaat niet over identificatie en toegankelijkheid.
Deze blog gaat over de ongecontroleerde proliferatie van dit soort nummers en persoonskenmerken in de vele digitale administraties van publieke- en private partijen (dus alles wat er gebeurd nadat identiteit is vastgesteld en toegang is verleend). Het is dat ook een onderwerp wat zich met name positioneert in de vakgebieden van #datagovernance #datamanagement en #data-architectuur.
Een draadje (zoals ik deze op twitter poste) over het zogenaamde 'sleutelbos' patroon waarmee ik de risico’s van het probleem probeer te mitigeren.
- Maak een sleutelbos met als scope alle processen waar burger en bedrijf communiceren met de NL overheid1;
- De sleutel van de sleutelbos MAG NEVER, buiten de sleutelbos, gebruikt of gecommuniceerd worden (anders creëren we stiekem een nieuwe BSN);
- Betekenisvolle sleutels als BSN, RSIN, LEI, EORI, BECON of whatever id's, hangen aan deze sleutelbos, het gebruik daarvan in het maatschappelijke staat los van de probleemstelling (!), sterker nog, ik ga ervan uit dat ze intensief gebruikt blijven worden. Voor de datanerds onder ons; we degraderen deze sleutels dus tot attributen, niet meer tot sleutels in de digitale administraties;
- Deze sleutels/attributen staan maar op 1 plek bij de overheid, in die sleutelbos, NERGENS anders;
- Alle vormen van digitale administraties slaan een eigen gegenereerd betekenisloos nummer op, die wordt geregistreerd in de sleutelbos. Zelfs als iemand dus onverhoopt (met of zonder kwalijke intent) toch toegang krijgt, is er niks aan de hand. We beschermen hiermee dus ook de medewerkers van de organisatie in het creëren van een omgeving waarin je veilig kan werken. Hoe dit werkt:
- Een burger komt met zijn BSN waar dan ook ‘binnen’
- Er vind direct een check plaats met de sleutelbos, “heb je voor mijn administratie al een gegenereerd nummer voor dit persoon?”
- Als ja, geef dat nummer terug
- Als nee, aangeroepen/proces maakt eigen betekenisloos nummer aan
- En zorgt dat dit nummer netjes in de Sleutelbos wordt gehangen
- Dit eigen administratiespecificieke gegenereerde nummertje wordt altijd met houdbaarheidsdatum in de sleutelbos gezet;
- Zolang dit administratiespecifieke gegenereerde nummertje in de sleutelbos staat, hebben we een vorm van pseudonimisering (AVG art.4 lid 5);
- Als de houdbaarheidsdatum is overschreden, weggooien uit de sleutelbos = (vorm van) anonimiseren;
- Iedereen die ook maar iets van persoonsgegevens wil moet langs deze sleutelbos, ook partijen die lekker digitale administraties willen combineren kunnen dat niet zonder deze sleutelbos, wat een prachtige basis voor een informatieverwerkingsregister. En maak dit register lekker openbaar, Regie op Gegevens. Wat zou het mooi zijn als ik (burger) kan zien wie wat waarom met mijn persoonsgegevens doet;
- Iedereen die dus iets wil moet de grondslag & doelbinding hebben (kun je dan netjes regelen), heb je dat niet? Opzouten.....
En dan nog een paar ‘puntjes’:
- Wie beheerd de sleutelbos is een 'ding', ik zeg een stichting buiten de overheid (zitten haken en ogen aan), @RvIG, iets voor jullie?
- De persoonskenmerken worden natuurlijk elders beheerd/geadministreerd en is vanzelfsprekend netjes gescheiden van de sleutelbos en ja, ook dat doen we op 1 plek
- Identificaties als BSN en persoonskenmerken staat dus NIET in enige vorm van digitale administratie
- Wat mooi zou het zijn als de Autoriteit Persoonsgevens dit patroon certificeert, zou betekenen dat elke digitale administratie die hier aan voldoet, al veel vinkjes heeft
- Wil je nieuw #BSN? Wat niet nodig zou moeten zijn, maar als het moet? Easy, nieuw BSN aan de sleutelbos hangen, oude netjes enddaten
- En ja, dit is openhart chirurgie in de datahuishouding van de overheid en semi-overheden, maar de patiënt is ook aardig ziek
- En ja, dit staat nog los van principes als #dataminimalisatie en #proportionaliteit - we moeten ons constant afvragen waarom we in hemelsnaam altijd maar identificerende persoonskenmerken nodig hebben en moeten registreren, is dat echt nodig?
- Dat laatste kan binnen de (semi)-overheid ALLEEN maar zijn afgeleid van wet- en/of beleid, wat herleidbaar, transparant en geëxpliciteerd moet zijn #wendbarewetsuitvoering
- Dit is niks anders dan #commonground i.c.m #privacybydesign (oftewel; we zijn helemaal hip bezig). Ook in Estland zie je dat vormen van deze patronen worden gebruikt
- Patroon is bepaald niet nieuw of rocketscience, ook dat pretendeer ik niet, dit soort patronen zijn oud als de nacht, met name op het vakgebied van masterdata management zijn ze bekend.
En voordat mensen komen met perfecte tobe-oplossingen van groene weiden, blauwe luchten en spelende kindertjes. Denk vooral ook mee in de transitie, we komen niet zo snel af van de huidige werkwijze. Bovenstaande doet een poging dat mee te nemen.
De wijze waarop je dit implementeert is een tweede vraagstuk, denk dat we vele opties en briljante ideeën en technologieën hebben. Zaak is dat we het voor nu nog even uit de technologiesfeer houden, omdat dit anders snel als technologieprobleem wordt geframed (zijn bestuurders dol op), DAT IS HET NIET.
Zullen we dit nu eens echt gaan uitwerken en DOEN!?
Beetje klaar mee dat ik dit soort initiatieven of ideeën wel zie, maar het gebeurd veel te lokaal (elke uitvoeringsorganisatie een eigen sleutelbos gaat niet werken2), of het wordt volledig technisch aangevlogen (lets do blockchain blabla) en de doorzettingsmacht en kracht is om te huilen.
1 De scope overstijgt dus de individuele uitvoeringsorganisatie, er valt zelfs nog een boom op te hangen om dit voor de BV Nederland te doen, waar ook private bedrijven op aansluiten
2 Een sleutelbos van sleutelbossen maken is op zich een ok patroon, maar ik zou dat willen voorbehouden voor bv. het Europese niveau of andere supranationale samenwerkingsverbanden, de ECB doet zoiets met RIAD, wat een soort Europees KVK is, over de uitvoering laat ik me even niet uit.....oh shit, nu doe ik het toch
Klinkt als een uitgebreidere versie van een OAuth systeem. Tezamen met een publi en private key. Welke zou daar geen open platform voor willen maken. De opslag van de sleutelbos kan dan zelfs locatie onafhankelijk zijn.
Posted by: Marco Wobben | Saturday, February 06, 2021 at 04:08 AM