of 59345 LinkedIn

IRMA is echt anders

DigiD, Idensys, iDIN, eIDAS: er zijn veel online toepassingen die zorgen dat je kunt aantonen dat jij ook echt bent die je zegt te zijn. Het probleem bij het gros van deze toepassingen is dat zij veel meer informatie doorgeven dan nodig en gewenst. IRMA verstrekt alleen relevante en gewenste informatie.

DigiD, Idensys, iDIN, eIDAS: er zijn veel online toepassingen die zorgen dat je kunt aantonen dat jij ook echt bent die je zegt te zijn. Het probleem bij het gros van deze toepassingen is dat zij veel meer informatie doorgeven dan nodig en gewenst. IRMA verstrekt alleen relevante en gewenste informatie.

Privacyvriendelijk alternatief voor DigiD

Gamen op de Xbox of de PlayStation? Vandaag de dag is het een van de meest beoefende activiteiten onder jongeren, met name in de groep van 8 tot 18 jaar. Maar wat doe je als ouder als je kind van bijna 13, op het moment dat jij aan het werk bent, online een spel aanschaft dat alleen geschikt is voor kinderen van 18 jaar of ouder? Een identificatiecheck zou in dat soort gevallen uitkomst kunnen bieden.

Bij voorkeur een check waarbij alleen gevraagd wordt om relevante gegevens. In het genoemde voorbeeld is het alleen relevant of een persoon 18 jaar of ouder is. Het scannen van een paspoort of ID-kaart? Het zou kunnen, maar die mogelijkheid geeft veel meer informatie dan in dit geval relevant én gewenst is. Dat geldt ook voor DigiD. Een instrument dat wel alleen de gevraagde relevante informatie toont, is IRMA (‘I Reveal My Attributes’).

Het initiatief van IRMA ligt bij de Radboud Universiteit (RU) in Nijmegen en gaat terug tot begin 2008. ‘Als universiteit waren wij toentertijd nauw betrokken bij het privacygedoe rond de ov-chipkaart’, zo schetst Bart Jacobs, RU-hoogleraar computerbeveiliging. ‘Naar aanleiding van de ervaringen met die kaart zijn we een onderzoeksproject gestart waarbij de vraag centraal stond hoe dit soort oplossingen privacyvriendelijker te maken. In de loop der jaren hebben we daar mooie slagen in gemaakt, specifiek op het gebied van op attribuut gebaseerde authenticatie. Een attribuut is bijvoorbeeld je banknummer, huisadres, e-mailadres of burgerservicenummer (BSN).’ Om het IRMA-project echt goed van de grond te tillen, is in oktober 2016 de Stichting Privacy by Design opgericht, met Jacobs als voorzitter en op alle fronten afgestemd met de RU.

Sociaal experiment
Een van de meest opvallende eigenschappen van IRMA is dat het werkt aan de hand van een decentraal model, daar waar veel services en diensten op internet gebruikmaken van een centraal model. De relatie tussen een webwinkel en Facebook is een voorbeeld van een centraal model. Op het moment jij een product aanschaft in een webwinkel word je doorgestuurd naar Facebook en die ‘vertelt’ de webwinkel wie je bent. iDIN, een online identificatiemiddel en geïnitieerd vanuit de banken, werkt op dezelfde manier en vraagt voor iedere transactie een vast bedrag van enkele tientallen eurocenten. Facebook doet het gratis, maar verzamelt op zo wel een grote hoeveelheid gegevens en ook dat is geld waard. Bij IRMA en andere decentrale systemen haalt een gebruiker eerst dingen (attributen) op. Vervolgens gaat die gebruiker naar een webwinkel, bijvoorbeeld een gamewinkel, en laat zelf relevante informatie zien. ‘Het heeft te maken met keuzes en waarden’, aldus Jacobs.

IRMA is voor Jacobs ook een ‘sociaal experiment’. ‘DigiD heeft goed gewerkt, maar is at the end of life. Daar moet een opvolger voor komen. Het bedrijfsleven wil dat graag doen, maar streeft dan gelijk een monopolie na wat bijna niemand bedrijven gunt. Kun je zoiets als IRMA vanuit de non-profitsector opzetten?’ Jacobs vindt dat er, met name binnen de politiek, te veel de nadruk wordt gelegd op publiek-private samenwerkingen. Hij ergert zich aan die zienswijze en vindt dat de non-profitsector meer bij die samenwerkingen betrokken móet worden. ‘In die sector gebeuren interessante dingen, zoals bij SIDN, SURFnet, NLnet Labs of zoals bij ons. Je zou dan ook denken dat die non-profitsector voor de rijksoverheid een natuurlijke partner is om mee samen te werken, maar ik zie het nog niet veel.’

Onbegrip
Ook wat betreft IRMA ziet Bart Jacobs vanuit de rijksoverheid niet veel ‘toenadering’. “Wat ongetwijfeld een rol speelt is dat IRMA niet vanuit de over- ‘ Het heeft te maken met keuzes en waarden’ heid zelf komt. Not invented here. Daarnaast is er merkwaardig onbegrip over de techniek. Deze app, dit product is open source en toch geven ze bij de rijksoverheid liever miljoenen euro’s uit aan dure systemen dan dat zij een gratis systeem oppakken. Je kunt het morgen gebruiken en je hoeft ook nog eens niet aan te besteden.’ Jacobs mag dan kritisch zijn op de rijksoverheid, meer gecharmeerd is hij van het gemeentelijk werkveld. Daar krijgt hij wel de erkenning waar hij naar zoekt en wordt de app wel opgepikt. Een van de gemeenten die IRMA gebruikt (weliswaar als pilot) is Nijmegen.

‘Als gemeente maken wij ons hard dat mensen niet alleen veilig op de openbare weg kunnen bewegen, maar ook op de digitale weg’, aldus wethouder Renske Helmer (SP), binnen de gemeente Nijmegen onder meer belast met ict-zaken. ‘We zien dat mensen met name de spelregels van het internet niet altijd even goed weten en vaak meer gegevens afstaan dan strikt noodzakelijk is. Ook gebeurt het veelvuldig dat (commerciële) partijen gegevens in handen krijgen die niet relevant voor hen zijn.’

Ook in de zorgsector zijn er organisaties die de nodige belangstelling hebben getoond, waaronder Nedap, een bedrijf dat attributen uitgeeft aan artsen, en Med- Mij, de organisatie die de spelregels bepaalt voor het uitwisselen van data tussen PGO’s (persoonlijke gezondheidsomgeving) en systemen van zorgverleners. ‘MedMij heeft zich officieel nog niet tot het IRMA-evangelie bekeerd, maar zegt wel publiekelijk: IRMA lost voor ons problemen op waar wij tot nu toe in vastzaten.’

Terugbelverzoeken
Wat betreft wethouder Helmer kent IRMA nog een ander voordeel. ‘Recent was ik op een bijeenkomst over armoede en schulden en daar werd geconstateerd dat jongeren veelvuldig in de problemen komen omdat zij te makkelijk terechtkunnen op goksites. Er wordt wel gevraagd om een geboortedatum, maar niemand die die gegevens controleert. Dat geldt ook voor slijterijen of voor (online) supermarkten. Nu wordt vaak nog te makkelijk drank verkocht aan personen jonger dan 18 jaar.

IRMA kan in dat soort processen een rol in spelen, ook richting commerciële partijen. Ik doe dan ook een oproep aan gemeenten en andere partijen: laat je informeren en begin gewoon. Bijvoorbeeld met leeftijdsidentificatie. Ik kan mij niet voorstellen dat een online gokbedrijf of slijterij er belang bij heeft dat jongeren in de problemen komen. Wat ik mij wel voor kan stellen is dat die partijen niet beschikken over relevante tools, maar daar is dit juist een antwoord op.’ De in september begonnen pilot in Nijmegen krijgt binnenkort een vervolg. ‘Het aanbieden van bewonersgegevens uit de gemeentelijke basisregistratie was een eerste stap, maar ik vind dat je als gemeente ook bereid moet zijn om een volgende stap te maken.

Dan moeten terugbelverzoeken worden gekoppeld aan IRMA. Op dit moment is het zo dat terugbelverzoeken altijd door iemand vanuit de gemeente moeten worden gecontroleerd. Dat kost niet alleen tijd, maar in verband met de privacy mogen sommige dingen niet via de telefoon. Dat proces gaan we nu via IRMA doen en dan weet je gelijk ook dat je diegene aan de lijn hebt waarvan je denkt dat die het is. Het had ook een andere app kunnen zijn, maar wij zijn gecharmeerd van dit Nijmeegse initiatief. Ik heb begrepen dat ook de gemeenten Amsterdam, Utrecht en Haarlem enthousiast zijn.’

Extra klik
Het bevreemdt Bart Jacobs niet dat juist de publieke sector de IRMAapp snel heeft omarmd. ‘Het is ook de publieke sector die makkelijker dingen kan afdwingen. Die kunnen zeggen: je moet de app gebruiken. In andere sectoren ligt dat lastiger. Het afgelopen jaar heb ik uitgebreid gesproken met de retailsector, maar die is extreem pragmatisch. Die zeggen: iedere extra klik voor onze klant bij het inloggen betekent dat de helft naar de concurrent gaat. Het staat buiten kijf dat de retailsector sterke authenticatie wil hebben, maar dan moet er wel sprake zijn van een zekere gezamenlijkheid en daar zitten dan bijvoorbeeld weer allerlei concurrentiebedingen. Een voordeel voor hen is wel dat zij door IRMA toegang krijgen tot authentieke gegevens. Voor retailers heeft dat veel waarde en als maar genoeg consumenten de app gebruiken, wordt het ook voor hen interessanter.’

Tot slot: dat de app toekomst heeft, blijkt ook uit de waardering én de 100.000 euro die IRMA kreeg van de Koninklijke Hollandsche Maatschappij der Wetenschappen, in de vorm van de Brouwer Prijs voor Wetenschap en Samenleving. Met name de maatschappelijke urgentie en de wetenschappelijke onderbouwing van de online toepassing werden geroemd.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.