Via welke methodieken kun je persoonlijke data delen en tegelijkertijd beter beschermen? Jordy van Burik (afgestudeerd aan de Haagse Hogeschool) deed in het kader van zijn afstudeerstage onderzoek naar Privacy Enhancing Technologies (PET) binnen Digicampus. In deze blog deelt hij de belangrijkste conclusies van zijn onderzoek.

Data veilig toegankelijk maken

Data is de basis voor publieke dienstverlening en toezicht, de zaakafhandeling en besluitvorming. De regering steunt het toegankelijk maken van hoogwaardige door de overheid beheerde gegevens om daarmee extra maatschappelijke waarde te creëren, zoals betere dienstverlening of beleidsvorming. Tegelijkertijd zijn er in de Wet AVG strenge eisen gesteld om de privacy van burgers te borgen en hen meer regie te geven op persoonlijke gegevens.

Jordy vroeg zich af:

Kan privacy bevorderende technologie publieke organisaties helpen om data op een veilige manier toegankelijker te maken? En als dit mogelijk is, hoe zou dit verder naar praktijk kunnen worden gebracht?

Privacy Enhancing Technologies (PET)

Privacy Enhancing Technologies (PET) is een verzamelnaam voor verschillende technieken in informatiesystemen om de bescherming van identiteit en andere persoonsgegevens te ondersteunen. PET omvat alle technische maatregelen om de privacy te waarborgen, zoals:

  • Loskoppelen van identiteit gegevens van overige gegevens die over een persoon zijn vastgelegd.
  • Minimale hoeveelheid gegevens verwerken omdat deze verifieerbaar zijn.
  • Technologisch borgen dat altijd wordt voldaan aan regelgeving, zoals het begrip doelbinding in de AVG.

Multi-Party Computation (MPC)

Jordy: “Mijn afstudeeronderzoek focust zich op de technologie Multi-Party Computation (MPC). Dit is een deelgebied van cryptografie en zorgt ervoor dat meerdere partijen gezamenlijk data kunnen analyseren. Er wordt in praktijk vaak een combinatie van MPC technieken gebruikt met elk een andere werking. Het resultaat is dat het voor partijen lijkt dat ze een gedeelde database hebben terwijl niemand andermans data kan inzien. Deze video van TNO legt uit wat het basisprincipe van MPC inhoudt.”

Drempels

MPC is een interessante technologie omdat het een oplossing biedt voor problemen die overheidsorganisaties ervaren bij het delen van data. Een belangrijk voordeel is dat je met MPC bijvoorbeeld eerder een positieve afweging kunt krijgen in de AVG-proportionaliteitstoets. Drempels die nu worden ervaren en die met MPC opgelost kunnen worden liggen op het vlak van:

  • Niet willen delen
  • Niet kunnen delen
  • Niet mogen delen

Experimenteren

Binnen de Rijksoverheid wordt door verschillende organisaties geëxperimenteerd met MPC. Jordy: “In mijn afstudeeronderzoek beschrijf ik drie casussen die door verschillende drijfveren zijn ontstaan.”

1. De financiële noodknop (overheidsdienstverlening drijfveer): Dit is een oplossing waarbij burgers geen boete ontvangen als ze wel willen betalen maar niet kunnen betalen. Deze oplossing is gebaseerd op Self-Sovereign-Identity (SSI) en Zero Knowledge Proof.

2. Hypoloan (marktdrijfveer): Dit is een oplossing waarbij het hypotheekproces makkelijker wordt gemaakt. Deze oplossing is gebaseerd op Self-Sovereign-Identity (SSI) en Zero Knowledge Proof.

3. De Coronamelder (maatschappelijke drijfveer): Dit is een oplossing die als aanvulling op het bron -en contactonderzoek van de GGD wordt gebruikt. Het doel is om mensen te waarschuwen die nog geen Coronaklachten hebben.

Succesfactoren

Uit deze voorbeelden komen een aantal opvallende succesfactoren en drempels. Deze zijn in het onderzoek onderverdeeld in de categorieën: organisatorisch, technisch en juridisch.

Jordy: “Ik heb gezien dat MPC in potentie deelproblemen kan oplossen en dat er steeds meer interesse voor is. Er is al veel (wetenschappelijke) kennis opgedaan. En nu worden de eerste praktijktoepassingen ontwikkeld. In deze projecten is in het begin het opbouwen van de samenwerking en het vinden van de juiste mix van MPC technieken een flinke uitdaging. Zodra dit is gelukt dan ziet men vaak nieuwe kansen en dan is er voldoende basis om ook met complexere MPC technologie aan de slag te gaan. Voordat MPC technologie breed geïmplementeerd kan worden ontbreekt het nog aan politiek en maatschappelijk draagvlak. Er is binnen publieke organisaties meer kennisopbouw nodig en voor specifieke casussen soms wijziging van wet- en regelgeving. In de Rijksinnovatie PET-community werken een aantal publieke organisaties samen met onderzoeksinstituut TNO aan deze onderwerpen.”

MPC wordt inmiddels onder het begrip ‘confidential computing’ door onderzoeksbureau Gartner aangemerkt als strategische technologie trend ‘on the rise’. Er wordt wereldwijd steeds meer geëxperimenteerd met MPC. De volgende stap is om MPC grootschalig in de praktijk te gaan gebruiken, maar daarvoor moeten dus eerst nog een aantal drempels worden gepasseerd.

Het afstudeerrapport is op te vragen via onze contactpagina.