Cryptografie

Cryptografie

Waarom zijn wij in staat om groepen mensen te identificeren op kenmerk?- anders dan op iemands voor en achternaam? Waarom zijn wij in staat om medische behandelingen te vergelijken in het kader van onderzoek, zonder dat wij de identiteit van patiënten vrijgeven?

Het antwoord hierop is: omdat er encryptie is toegepast. Encryptie zorgt bijvoorbeeld voor privacy van mensen. Ook kan je encryptie toepassen als je bepaalde informatie in het algemeen niet wilt laten zien. Encryptie wordt sinds jaar en dag gebruikt door de overheid. Het helpt haar burgers hiermee te communiceren, zonder dat de burger gegevens weggeeft die het risico op misbruik vergroot.

Wat encryptie ingewikkeld maakt is dat niet alleen een overheid het kan gebruiken, maar dat wanneer encryptie niet goed wordt toegepast (met het hanteren van de juiste regels) dat je een draak van een risico creëert. Neem bijvoorbeeld encryptie bij telefoons. U en ik hebben daar waarschijnlijk goede bedoelingen bij; maar er zijn ook mensen die dat niet hebben. Misbruiken zij encryptie; voor criminele doeleinden zoals drugshandel, dan kan encryptie ervoor zorgen dat de opsporing van deze criminelen wordt vertraagd.

Wat ook een mogelijkheid is, is dat encryptie wel door de juiste partijen wordt gehanteerd, maar dat deze partijen de regels anders interpreteren bij implementatie dan dat bij het project oorspronkelijk is bedoeld. Ik zal u een voorbeeld geven: “waarom was uw Burger Service Nummer in den beginne juist NIET een identificerend kenmerk, maar lijkt dit inmiddels wel zo?”

Dat is omdat organisaties een extra betekenis hebben gegeven aan een nummer. Een BSN is namelijk een betekenisloos nummer: je kunt er niets uit af leiden over de identiteit van de houder en je kunt er geen rechten aan ontlenen. Dit uitleggen aan organisaties lijkt tot nu toe voor de overheid een ondoenlijke klus.

“Ik vind de reflex om het BSN als fraudegevoelig te bestempelen of geheim te gaan houden daarom verkeerd, want het lost de fouten in het proces niet op. En dát wil je uiteindelijk wel!”

- aldus Mike Dell.
Een van de ontwerpers van het BSN.

Wij blijven op het standpunt dat -vanuit het technisch oogpunt van encryptie- het krom is dat de Autoriteit Persoonsgegevens (het oude CBP) het BSN als bijzonder persoonsgegeven bestempelt. Immers: het heeft -in tegenstelling tot bijvoorbeeld een pasfoto of een postcode- geen enkele betekenis. Dit ondanks het een uniek, tot een persoon herleidbaar nummer is. Het blijft technisch zo dat bijzondere gegevens over de eigenaar (zoals ras, godsdienst of gezondheid, zie AVG, GDPR) die kun je er niet uit afleiden.

De werkelijke technische toetsvraag is namelijk: wanneer wij het BSN ‘extra geheim’, of tot ‘bijzonder’ verklaren, draagt dit dan bij aan de privacy van een persoon die dat BSN bezit. Antwoord: neen.

Wanneer gaat het écht fout?

Iemand zou alleen op vertoon van een BSN bijvoorbeeld geen toeslag mogen krijgen. Daarmee wordt er naar onze mening wel erg kort door de bocht gegaan. Dat doet geen recht aan hoe je een nummer kunt gebruiken. Sterker nog: de toepassing is aantoonbaar verkeerd.

“Tegenwoordig wordt het burgerservicenummer beschouwd als een fraudegevoelig nummer,
maar is dat eigenlijk wel terecht?”
- Mike Dell, cryptograaf

Enkelvoudige verificatie mag pas, als is vastgesteld dat degene die het BSN opgeeft ook echt de eigenaar van het BSN is: dat is pas betrouwbaar. Je kunt dan zien of de persoon inderdaad recht heeft op de toeslag. Maar.. als daarvòòr iets misgaat, ligt dat aan de manier waarop de identiteit van degene die het BSN opgeeft of zijn aanspraak is gecontroleerd. Aan een proces dus, niet aan het BSN.

Privacy vriendelijk samenwerken door een bepaalde vorm van encryptie.

Een andere toepassing van encryptie zit in het communiceren van organisaties, zonder dat organisaties ‘stiekem’ in gegevens zouden kunnen kijken waarmee wordt gewerkt. Elyptic Curve encryptie wordt door Montelbaan in een van haar klassen uitgelegd. Het is toegepast bij diverse ministeries en houdt tot op de dag van vandaag de gegevens van haar burgers veilig.

Sleutelbeheer en encryptie

Encryptie werkt altijd met sleutels. Je versleutelt en ontsleutelt met encryptie. De vraagt reist soms: wie bewaart de sleutel? of Wie mag de sleutel even aanraken? Dat zijn écht vragen die er toe doen. Montelbaan legt graag aan u uit wat er (en)cryptisch allemaal mogelijk is mét en zonder TTP-constructie.