Persoonsgegevens uitwisselen zonder aantasting van
privacy
Met behulp van cryptografische protocollen kunnen
persoonsgegevens worden uitgewisseld zonder dat de geheimhouding ervan
gevaar loopt. Dat concludeert Wouter Teepe in een onderzoek waarop hij op
18 januari 2007 promoveert aan de Rijksuniversiteit Groningen. Zijn
bevindingen hebben belangrijke maatschappelijke implicaties, onder meer
voor de huidige discussie tussen de EU en de VS over de uitwisseling van
passagiersgegevens op transatlantische
vluchten.
Het uitwisselen van persoonsgegevens is lastig. Enerzijds is
uitwisselen wenselijk, omdat dan zo veel mogelijk mensen binnen een
opsporingsdienst kunnen helpen met de opsporing van criminelen en
terroristen. Anderzijds verhoogt het uitwisselen van gegevens de kans op
uitlekken.
Roddelen
Teepe stuitte voor het eerst op het dilemma bij de
Nederlandse politie: regiokorpsen willen opsporingsgegevens uitwisselen,
maar hoe kan het ene korps opsporingsgegevens opvragen bij de andere
korpsen op een manier dat het verzoek alleen aankomt bij politieambtenaren
die over de vertrouwelijke gegevens beschikken? Alleen dan blijft de kans
op uitlekken minimaal.
Aan de leek legt Teepe het meestal zo uit: stel dat je met de
buurman wilt roddelen over de zwangerschap van een gezamenlijke vriendin.
Zij heeft jou in vertrouwen over de zwangerschap verteld, op de voorwaarde
dat je het geheim niet zal verklappen. Om je belofte niet te breken kan je
dus alleen met de buurman roddelen als je zeker weet dat hij al van de
zwangerschap op de hoogte is. Maar hoe kun je dat aan hem vragen, zonder
het geheim te verraden?
Puzzel
Eenvoudig gezegd is de oplossing als volgt, aldus Teepe: 'Je
maakt een puzzel die je alleen kunt oplossen als je een omschrijving van
het geheim hebt'. 'Dus ik geef jou een puzzel en als je het geheim kent,
kun je het puzzeltje oplossen. Pas als je het juiste antwoord geeft neem
ik jou in vertrouwen en praten we over het geheim.' De technische
strategie die Teepe hiervoor gebruikt noemt hij 'kennisauthenticatie',
authenticatie gebaseerd op wat actoren weten. Hiervoor gebruikte hij
zogenaamde cryptografische hashfuncties. 'Dat is kort gezegd een
gereedschap om een vingerafdruk van een blok gegevens te maken. Deze
vingerafdruk kan gebruikt worden om informatie te identificeren of te
herkennen, maar verklapt verder niets over die gegevens.' Deze
cryptografische protocollen zijn te analyseren met een ander belangrijk
gereedschap dat Teepe toepaste: authenticatielogica's. Daarmee is te zien
of een cryptografisch protocol doet wat het beweert te doen. Opvallend is
dat Teepe gedurende zijn onderzoek een fundamentele fout ontdekte in de
BAN-logica, de oudste en belangrijkste authenticatielogica, die ook ten
grondslag ligt aan nieuwere authenticatielogica's. Eén daarvan, de
GNY-logica, werd door Teepe zo uitgebreid dat cryptografische protocollen
nog nauwkeuriger te analyseren zijn.
In zijn onderzoek keek Teepe ook naar een ander probleem dat
de bescherming van persoonsgegevens moeilijk maakt: de wens om een groot
aantal informatiebronnen en databases te koppelen. Een gebruikelijke
manier om die koppeling tot stand te brengen is het royaal toegang geven
tot databases. Teepe stelt een andere aanpak voor, waarbij informatie
juist zoveel mogelijk geïsoleerd wordt. Deze isolatie helpt bij de
bescherming van de gegevens, maar ook bij het efficiënt koppelen van de
databases. Centraal in deze aanpak staat de zogenaamde 'information
designator,' een nieuw begrip dat Teepe in zijn proefschrift
introduceert.
Passagiersgegevens
Met zijn onderzoek heeft Teepe enkele belangrijke problemen
rondom privacy en uitwisseling van persoonsgegevens opgelost. Dat heeft
ook maatschappelijke gevolgen. 'Er wordt altijd van uitgegaan dat
terrorismebestrijding en privacybescherming ten koste van elkaar gaan. De
oplossing wordt gezocht in een compromis tussen deze twee belangen,' zegt
Teepe. 'Ik laat in dit proefschrift zien dat dit niet zo hoeft te zijn.
Een IT-consultant of beleidsmaker die claimt dat privacy zal moeten worden
opgeofferd, doet dat waarschijnlijk uit onkunde, of vindt privacy
kennelijk niet belangrijk genoeg.'
Ook de discussie over de uitwisseling van passagiersgegevens
tussen de EU en de VS komt in een nieuw daglicht te staan, zegt Teepe.
'Het huidige idee is: óf de EU geeft de passagiersgegevens niet wegens
privacybescherming, óf de EU deelt de passagiersgegevens en moet dan hopen
dat de VS daar discreet mee omspringen. Dat is onzin. De EU kan best
passagierslijsten doorgeven terwijl de privacy van mensen die geen
gezochte terroristen zijn gewaarborgd blijft. Dat kan door de speciale
'roddelpuzzels' te gebruiken, die alleen de privacy schenden van de mensen
die zowel op de passagierslijst staan als terrorismeverdachte zijn.'
Curriculum Vitae
Wouter Teepe (Darmstadt, 1977) studeerde Technische
Cognitiewetenschap in Groningen en deed zijn promotieonderzoek bij de
afdeling Kunstmatige Intelligentie van de Faculteit der Gedrags- en
Maatschappijwetenschappen (GMW). Teepe promoveert bij prof.dr. L.R.B.
Schomaker en dr. L.C. Verbrugge. De titel van zijn proefschrift luidt:
"Reconciling Information Exchange and Confidentiality: A Formal
Approach."
Noot voor
de pers
Nadere informatie: Wouter Teepe, tel.
(050)3604092, e-mail:
wouter@teepe.com
.
Proefschrift en stellingen zijn te vinden op
http://www.teepe.com/phdthesis
Redactie: afdeling Communicatie
RUG
Postbus 72, 9700 AB
Groningen
Tel. 050-363 4444
E-mail:
communicatie@rug.nl
Rijksuniversiteit Groningen