donatieknop english

"Wanneer een politieagent je daarom vraagt, moet je jezelf in Nederland kunnen identificeren door een geldig identiteitsbewijs te laten zien. Ook de kassière bij de supermarkt kan je daarom vragen, maar alleen wanneer je alcohol wilt kopen en er twijfel is over je leeftijd. Met je identiteitsbewijs toon je dan hoe oud je bent en even later loop je tevreden de winkel uit.

Online ontbreekt zo'n middel om jezelf te identificeren en vooral bedrijven vinden dat lastig. Want met wie doen ze eigenlijk zaken? In Nederland hebben we wel DigiD, maar dat wordt eigenlijk alleen gebruikt door de overheid. Bij DigiD kies je zelf een gebruikersnaam en wachtwoord, dat bij de registratie wordt gekoppeld aan jouw burgerservicenummer: het unieke nummer van iedere persoon in de Basisregistratie Personen (BRP). Log je verolgens met je DigiD in op een website van de overheid, dan weet die overheid met wie het op dat moment zaken doet. In 2014 logden de 12 miljoen uitgegeven DigiD's samen 158 miljoen keer in.

DigiD is hiermee voor de overheid een succes, maar alle andere organisaties en bedrijven staan met lege handen. Webshops willen graag weten of hun klant wel de persoon is die hij zegt te zijn, of hij oud genoeg is, en kredietwaardig. Volgens branchevereniging Thuiswinkel.org hebben de ruim 45.000 Nederlandse webwinkels daarom momenteel maar één grote vraag: waar blijft eID? eID Stelsel is de naam voor de opvolger van DigiD, die de Nederlandse overheid nu aan het ontwikkelen is. eID moet alle benodigde manieren van online identificatie tussen burgers, overheid én bedrijven mogelijk maken.

(...)

In het programma eID (www.eid-stelsel.nl) werkt de overheid samen met wetenschappers en bedrijfsleven aan het nieuwe stelsel dat in 2017 klaar moet zijn. (...) Binnenkort starten enkele pilots, waarbij een klein groepje consumenten inlogt bij overheidsdiensten en commerciële diensten met een identificatiemiddel dat voldoet aan het nieuwe stelsel. Het voordeel van dit nieuwe stelsel is dat het identificatiemiddel niet door de overheid uitgegeven hoeft te zijn; bedrijven kunnen ook identificatiemiddelen uitgeven, bijvoorbeeld een klantenkaart of een app op je smartphone. De identiteit van de burger staat daarom online en is op afroep beschikbaar. Een naam voor het nieuwe stelsel is er ook al, Idensys. (...)

Om vaart te maken en omdat bedrijven niet willen investeren in weer een nieuw identificatiesysteem, is besloten het nieuwe stelsel te bouwen als uitbreiding op eHerkenning (www.eherkenning.nl). eHerkenning is 'de DigiD voor bedrijven', maar is anders dan DigiD geen overheidsdienst maar alleen een afsprakenstelsel. De overheid beheert het stelsel, voornamelijk bedrijven voeren het uit.

Hoewel websites straks gewoon een Idensys-login krijgen zoals ze nu een DigiD-knop hebben, werkt het verder helemaal anders dan DigiD én eID ooit was gedacht te werken. Komt bij DigiD de identificatie van de overheid, bij eHerkenning en dadelijk dus ook bij Idensys komt die van een makelaar, een tussenpartij. Deze 'ídentity provider' kent jou en met hem heb je afgesproken hoe jij je wilt identificeren, met een smartcard, je smartphone of toch gewoon gebruikersnaam en wachtwoord. Klopt de identificatie, dan krijgt die makelaar een pseudoniem voor jou en daarmee kan hij vervolgens kijken of jij gemachtigd bent de dienst te gebruiken waarvoor je wilt inloggen. Dat kijken doet hij in het BSN-koppelregister waarin de pseudoniemen gekoppeld zijn aan de Burgerservicenummers. De makelaar is dus allesbepalend inzake de veiligheid en het BSN-koppelregister als het gaat om privacy.

Om Idensys te baseren op eHerkenning is niet onomstreden. Een 'netwerkgebaseerd identiteitsmodel' zoals Idensys kenmerkt zich door veel schakels die allemaal vertrouwd moeten worden. De meest verdachte schakel is de makelaar, een marktpartij en de enige die alle transacties ziet. Weliswaar ziet hij niet wat er in de transactie gebeurt, maar hij weet wel met welke diensten iedere 'pseudoniem' zaken doet. (...) Ook ontbreekt [vooralsnog] de optie om anoniem diensten te gebruiken, iets wat bijvoorbeeld bij online medische diensten zeker wenselijk is. (...)

Waar blijft het debat?

Door de keuzes die bij Idensys worden gemaakt, zou je een publiek debat verwachten, maar dat ontbreekt volledig. Het College Bescherming Persoonsgegevens ontbreekt in de eID-werkgroepen en kon ons niet vertellen bij eID betrokken te zijn. "Ook Privacy First is niet betrokken en ook nog nooit gevraagd", zegt Vincent Böhre van Privacy First. "Blijkbaar wil men eerst een heel project afronden. Terwijl men nu door een privacy-kritische club te laten meepraten, fouten voorkomt en uiteindelijk maatschappelijk draagvlak creëert." Privacy First is voorstander van een opt-in waarbij mensen de keuze houden om het eID-systeem te gebruiken of niet. "De overheid mag niet eisen dat burgers hun zaken digitaal afhandelen en dat via een eID doen, de Algemene wet bestuursrecht verbiedt dat. Veel mensen in Nederland hebben geen computer of internet, de manier zonder eID moet daarom blijven bestaan", zegt Böhre. (...)"

Bron: Computer!Totaal, juli/augustus 2015, pp. 54-58 (openbare preview).

Gepubliceerd in Privacy First in de media

"(...) Sinds eind 2009 is in Nederland de Wet Bewaarplicht Telecommunicatiegegevens (WBT) van kracht. Deze wet verplicht internet- en telefonieproviders gegevens over het communicatiegedrag van hun klanten op te slaan en te bewaren, zodat het opvragen ervan mogelijk wordt door overheden. BIT was destijds al tegen dit plan, net als diverse privacy- en burgerrechtenvoorvechters zoals Bits of Freedom en Privacy First (...). Hoewel - vergeleken met het aantal verzoeken bij een consumenten provider - het aantal verzoeken bij een zakelijke internet provider zoals BIT relatief laag is, is de ISP zeer kritisch over deze wet die het opslaan van dergelijke gegevens verplicht en het opvragen ervan mogelijk maakt. Deze wet zal binnenkort in de Tweede Kamer geëvalueerd worden. (...)"

Bron: http://www.marqit.nl/newsitem/12680/bit-geeft-openheid-over-data-en-ntd-verzoeken-via-transparancy-report-2013, 25 februari 2014.

Gepubliceerd in Privacy First in de media

Als organisatie die privacy hoog in het vaandel heeft staan past natuurlijk ook privacyvriendelijke hosting van onze website. Dus draaien de websites van Privacy First (privacyfirst.nl en privacyfirst.eu) sinds deze maand op de servers van Greenhost in Amsterdam. Hier ging een grondige verkenning van buitenlandse mogelijkheden aan vooraf, variërend van hosting vanuit een nucleaire bunker in Zweden tot VPN-tunnels naar Zwitserland en een oud fort in de Noordzee. Greenhost liet deze buitenlandse concurrentie echter ver achter zich door de getoonde klantvriendelijkheid en snelle respons, duurzaamheid en lage kosten voor betrouwbare, veilige hosting met gebruikmaking van Privacy by Design. Zelfs de fysieke locatie is een pré: Greenhost is in Amsterdam gevestigd op een steenworp afstand van Privacy First. Daarnaast is Greenhost al jaren een vertrouwde partner van menige maatschappelijke organisatie, waaronder Bits of Freedom. Wat voor Privacy First echter de doorslag gaf is dat Greenhost zich al jaren een privacy-pionier toont waar menig ICT-bedrijf een voorbeeld aan zou kunnen nemen, ook tegen de politieke waan van de dag in. Zo stopte Greenhost in 2009 met het loggen van emailgegevens en riep andere bedrijven op hetzelfde te doen. Ook schreef Greenhost begin 2011 een praktische handleiding voor de beveiliging van internetverkeer: de Basic Internet Security Manual. Deze initiatieven getuigen niet alleen van lef en leiderschap, maar ook van maatschappelijk verantwoord ondernemerschap in de zin van privacyvriendelijk ondernemerschap. In die zin hebben Greenhost en Privacy First een gedeelde maatschappijvisie. Privacy First ziet de samenwerking met Greenhost de komende jaren dan ook vol vertrouwen tegemoet!

Gepubliceerd in Online Privacy

Eerder dit jaar kwam minister Opstelten met het onzalige plan om de politie de bevoegdheid te geven uw computer (in binnen- én buitenland!) te kunnen hacken en tevens van u te kunnen eisen dat u uw versleutelde bestanden in het bijzijn van oom agent ontsleutelt en braaf aan de Staat overdraagt. In het kader van een internetconsultatie liet Privacy First aan de minister weten dat wij een aantal principiële bezwaren tegen zijn plannen hebben:

Excellentie,

Hierbij adviseert Stichting Privacy First u om het concept-wetsvoorstel 'versterking bestrijding computercriminaliteit' in te trekken, en wel om een elftal principiële redenen: 

  1. Dit concept-wetsvoorstel vormt in onze optiek een typische bouwsteen voor een politiestaat, niet voor een democratische, op vrijheid en vertrouwen gebaseerde rechtsstaat.
  2. Nederland heeft de algemene mensenrechtelijke plicht om het recht op privacy voortdurend te bevorderen i.p.v. te beperken. Door dit wetsvoorstel schendt Nederland deze algemene plicht.
  3. Dit wetsvoorstel is niet strikt noodzakelijk (i.t.t. mogelijk “nuttig” of “handig”) in een democratische samenleving. Het wetsvoorstel vormt daarmee een schending van art. 8 EVRM.
  4. Door dit wetsvoorstel wordt tevens het verbod van zelfincriminatie (nemo tenetur) met voeten getreden.
  5. Function creep (doelverschuiving) is een universeel verschijnsel. Dat zal ook gelden voor dit wetsvoorstel. Het wetsvoorstel legt daarmee de basis voor toekomstig machtsmisbruik.
  6. Dit wetsvoorstel zet de vertrouwensrelatie tussen de Nederlandse overheid en de Nederlandse bevolking op scherp. Dit zal leiden tot een maatschappelijk chilling effect.
  7. Door dit wetsvoorstel komen klassieke verworvenheden zoals de persvrijheid en journalistieke bronbescherming, klokkenluiders, de vrijheid van meningsuiting, vrije informatievergaring, vertrouwelijke communicatie en het recht op een eerlijk proces ernstig onder druk te staan. Dit is funest voor de dynamiek in een vrije democratische rechtsstaat.
  8. Dit wetsvoorstel en bijbehorende technologie zullen worden geïmporteerd en misbruikt door minder democratische regimes in het buitenland. Het wetsvoorstel vormt daarmee een internationaal precedent voor een wereldwijde Rule of the Jungle i.p.v. de Rule of Law.
  9. Het wetsvoorstel ontbeert vooralsnog een grondige en onafhankelijke Privacy Impact Assessment.
  10. Dit wetsvoorstel creëert een impuls voor suboptimale (door de overheid te kraken, want anders illegale?) i.p.v. optimale (‘onkraakbare’) ICT-beveiliging.
  11. De aanpak van cybercrime vergt multilaterale samenwerking en coördinatie i.p.v. unilateraal 'paniekvoetbal' zoals dit wetsvoorstel.


Hoogachtend,

Stichting Privacy First

Gepubliceerd in Wetgeving

Stichting Privacy First organiseert regelmatig een netwerkborrel met een prominente spreker rond een actueel thema. Zo organiseerden wij in september dit jaar een avond met het Hoofd van de AIVD. Op 22 oktober jl. was het de beurt aan een spreker uit de wereld van cyber security. Spreker was ditmaal de heer Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV, ministerie van Veiligheid en Justitie). Als discussie-moderator hadden wij onderzoeksjournalist Brenno de Winter ingeschakeld. Klik HIER voor de uitnodiging aan onze relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons! Hieronder volgt een verkorte weergave van de lezing en de discussie met het publiek:

Introductie Privacy FirstBas Filippini

Voorzitter Bas Filippini geeft een korte inleiding op het werk van Stichting Privacy First en introduceert Wil van Gemert en Brenno de Winter. Filippini memoreert dat de overheid steeds meer verwacht dat burgers alles digitaal doen. Met name ouderen en mensen met principiële bezwaren raken hierdoor in de knel. Tegelijkertijd krijgt de overheid steeds meer bevoegdheden om in het digitale privédomein van de burger te kunnen meekijken. Een actuele ontwikkeling op dit terrein is het plan van minister Opstelten om computers van burgers te kunnen gaan hacken. Privacy First is fel tégen dit plan, onder meer vanwege de schending van het briefgeheim. De overheid hoort de privacy van de burger te waarborgen. In die zin hebben Privacy First en de overheid hetzelfde doel, weliswaar vanuit verschillend perspectief. De hackplannen van Opstelten dreigen de privacy – en daarmee de democratie – echter af te breken. Filippini geeft vervolgens het woord aan Wil van Gemert.

Trends in cyber security

De heer Van Gemert dankt Privacy First voor de uitnodiging en trapt af met een komisch reclamefilmpje over spraakverwarring; klik HIER. Evenals in het filmpje draait het bij cyber security om vertrouwen, kennis en bewustzijn. Daarnaast draait het om het vinden van de juiste balans tussen taken en verantwoordelijkheden. In zijn lezing zal Van Gemert achtereenvolgens ingaan op huidige trends in cyber security, de taken van de overheid, publiek-private samenwerking, het Cyber Security Beeld Nederland, en "security versus privacy?": is hier sprake van een tegenstelling of vult e.e.a. elkaar juist aan? En wat zijn de actuele uitdagingen? Bij cyber security draait alles om de vertrouwelijkheid, betrouwbaarheid, integriteit en continuïteit van gegevens in de digitale informatiesamenleving. Een eerste wereldwijde trend die Van Gemert hierbij signaleert is ‘Big Data’: de enorme hoeveelheid data die voortdurend opgeslagen wordt en die dagelijks toeneemt. Hoe kunnen we daar op een goede manier mee omgaan? Een tweede trend is hyperconnectiviteit: het aantal digitale (internet)verbindingen neemt exponentieel toe. Zo ontstaat een “Internet of Things”. Nederland heeft de één na hoogste internetdichtheid ter wereld; dat geeft Nederland op dit terrein een bijzondere positie. Een derde trend is het verdwijnen van grenzen, zowel in tijd en afstand als qua werk/privé. Deze trends vereisen een verandering in zowel de manier waarop bedrijven zakendoen als de rol van de overheid bij het waarborgen van een veilige samenleving. Deze trends hebben ook invloed op mensen, op consumenten, bijvoorbeeld door de nieuwe mogelijkheden van mobiele telefonie. Big Data kan worden gebruikt om real-time, heel gericht een commerciële aanbieding te doen aan een individu, bijvoorbeeld een reisverzekering als je op Schiphol bent. Op de vraag van Van Gemert hoeveel aanwezigen in de zaal dit een prettig idee vinden gaan echter nul handen omhoog. Van Gemert zelf vindt het ook geen prettig idee: je privacy wordt hierdoor geschaad, je krijgt het gevoel dat je gevolgd wordt. Relatief veel jongeren lijken het echter prima te vinden.Wil van Gemert

Invloed van social media

Een belangrijk aspect bij cyber security is mobiliteit: bedrijven willen hun klanten overal kunnen bereiken en werknemers zijn steeds minder gebonden aan een vaste werkplek bij hun werkgever. Voor bedrijven, politieke partijen en de overheid worden ook social media steeds belangrijker om te weten wat er in een markt of maatschappij speelt. Een interessante casus is het recente incident met Vueling Airlines, waarbij het radiocontact verloren ging en men enige tijd rekening hield met een mogelijke kaping. Sinds 2001 is de procedure dat een dergelijk vliegtuig (‘renegade’, SPF) begeleid wordt door F16’s. Stel echter dat alle passagiers aan boord gaan twitteren dat er niets aan de hand is, hoe ga je daar dan mee om als overheid? Dat zijn vragen die momenteel bij de overheid spelen. Een ander aspect heeft betrekking op de rol van de overheid: van een monopoliepositie naar een meer afhankelijke rol. Het grootste deel van de cyberinfrastructuur is immers in handen van bedrijven. Daarnaast is er een autoriteitsvraagstuk: social media hebben invloed op de mate waarin een overheidscampagne wel of niet aanslaat bij een bevolking. Een recent voorbeeld is de overheidscampagne voor inentingen tegen baarmoederhalskanker. Een volgend aspect is dat cyber security ‘community driven’ is: de gemeenschap maakt zichzelf eigenaar van een bepaald probleem, bijvoorbeeld bij het Dorifel-virus. Die gemeenschap bestaat uit onderzoekers, relevante bedrijven, hackers etc. Deze ‘community’ kan soms helderheid rond een bepaalde kwestie verschaffen, anders dan bijvoorbeeld bij klassieke opsporing waarbij de regie bij de overheid ligt. Bij veel bedrijven is het digitale IQ echter nog laag; het is voor de overheid dan ook een uitdaging om het digitale IQ bij bedrijven te verhogen, aldus Van Gemert.

Gebrek aan security-concept in cyberspace

Nederland is een land van zeeën en dijken: als het water doorsijpelt bouwen we er een dijk omheen. Die klassieke manier van crisisbeheersing (containment, ofwel indammen) is in cyberspace bijna onmogelijk. Bedrijven weten vaak niet waar hun data zich precies bevindt, hoe het met elkaar verbonden is en welk effect het heeft als er ergens uitval is. Naast de menselijke factor kennen platforms, applicaties en infrastructuren allemaal hun eigen problemen, en door de interactie tussen die vier niveaus wordt een securityprobleem vaak heel omvangrijk. In de fysieke wereld kennen we een safety-concept; denk bijvoorbeeld aan de veiligheidsregels op een bouwplaats. Maar geldt er in cyberspace ook een security-concept? En welke rollen hebben de overheid, de private sector en de burger daarin? Momenteel is dat nog onvoldoende helder. Op de snelweg gelden bepaalde veiligheidseisen en verkeersregels. Maar iedere burger kan ook een computer kopen en onbeveiligd de digitale snelweg op.Wil van Gemert

Publiek-private samenwerking

Sinds anderhalf jaar heeft Nederland een Nationale Cyber Security Strategie. Onderdeel daarvan was de installatie van een Cyber Security Raad: een onafhankelijk adviesorgaan voor de overheid. In de Nationale Cyber Security Strategie is onder meer afgesproken dat Nederland jaarlijks een Cyber Security Beeld Nederland van dreigingen en actoren maakt. Verder is er sinds begin 2012 de operationele directie binnen de NCTV, die uit twee onderdelen bestaat: 1) het Nationaal Cyber Security Centrum, NCSC (dat onder meer als expertisecentrum fungeert) en 2) een beleidscluster (dat onder meer de beantwoording van Kamervragen en vragen vanuit de private sector ondersteunt). Uitgangspunt hierbij is publiek-private samenwerking; zo ontstaan nieuwe coalities met nieuwe vormen van participatie tussen de overheid en het bedrijfsleven, maar ook met belangenorganisaties. In de Cyber Security Raad en in het NCSC participeren zowel de overheid als private partijen en deskundigen. Een onderwerp waar men zich bijvoorbeeld gezamenlijk mee bezighoudt is cloudcomputing. Tevens heeft het NCSC sinds kort een ICT Response Board; bij deze publiek-private samenwerking kan een groep mensen uit de overheid en het bedrijfsleven bij incidenten en crisissituaties worden opgeroepen ter advies en assistentie. Daarnaast zijn er op verschillende terreinen ISACs: Information Sharing and Analytical Committees, bijvoorbeeld voor de vitale infrastructuur op het terrein van energie, water, financiën etc. Ook dit is publiek-private samenwerking.

Dreigingen in cyberspace

Cyber security staat de laatste tijd volop in de actualiteit en uit negatieve incidenten komen soms positieve initiatieven voort. Zo was er een unaniem verzoek van de Tweede Kamer om een meldpunt security breaches op te richten. Van Gemert vertelt in dit verband het volgende: “De Diginotar-affaire heeft duidelijk gemaakt dat de volgende vraag relevant is: wat kan de overheid in het geval van een crisis? Hoe kan de overheid een bedrijf dat een essentiële rol vervult, verplichten om mee te werken om te voorkomen dat maatschappelijke ontwrichting ontstaat en de maatschappij schade lijdt? Hebben wij die mogelijkheden überhaupt? Onze conclusie in juli dit jaar was bevestigend, indien we de noodtoestand zouden kunnen verklaren op een cyberincident.” Verder zou niet alleen geïnvesteerd moeten worden in de detectie van datalekken, maar ook in de juiste response hierop, aldus Van Gemert. De rol van de overheid richt zich daarbij op coördinatie, communicatie en consultatie. In juli dit jaar verscheen het tweede nationaal Cyber Security Beeld van dreigingen, doelwitten en actoren. De grootste dreiging gaat uit van buitenlandse overheden (spionage) en cybercriminaliteit. In tegenstelling tot wat veel mensen denken gaat van cyberterrorisme vooralsnog een kleinere dreiging uit. Verder kan de samenwerking tussen ‘hacktivisten’ en buitenlandse statelijke actoren (lees: geheime diensten) tot zorgen leiden.Wil van Gemert


Privacy & security

Over de verhouding tussen privacy en security stelt Van Gemert dat er wat hem betreft "geen privacy zonder security bestaat. Als je geen security organiseert, zul je uiteindelijk ook geen privacy hebben. Je moet wel degelijk maatregelen nemen om ervoor te zorgen dat je privacy beschermd wordt. Zowel privacy als security hebben belang bij elkaar. Informatiebeveiliging op dat terrein en afspraken daaromtrent zijn dus noodzakelijk. Ook ter bescherming van de privacy publiceren we vanuit het NCSC dagelijks adviezen over kwetsbaarheden die bedrijven en burgers zouden kunnen raken. Onze website www.waarschuwingsdienst.nl is erop gericht om burgers beter bewust te maken en te wapenen tegen dreigingen. Wij zijn echter geen toezichthouder; we kunnen niets opleggen. Wij kunnen slechts adviseren en best practices aandragen. Tussen 12 en 22 november as. zal de overheid samen met private partners 10 dagen lang aandacht besteden aan ‘awareness’ via de campagne Alert Online. Deze campagne is zowel op het bedrijfsleven als op burgers gericht.”

Van Gemert benadrukte tenslotte nog het belang van digitale grondrechten en de zelfredzaamheid van burgers door kennis en bewustwording. Voor de discussie met het publiek poneert Van Gemert drie onderwerpen: 1) Hoe verhouden security en vrijheid zich conceptueel tot elkaar? En kan security ook zorgen voor privacy? 2) Wat is de rol van Privacy First? Is dat altijd in de oppositie, of ook in een coalitie? 3) Wat is de rol in cyberspace van onze handhavende en toezichthoudende instanties, bijvoorbeeld de politie? Wat is hun rol bij individuele noodhulp en handhaving in cyberspace?Wil van Gemert
sheet privacyfirst challenges

Discussie met het publiek

Hoewel Van Gemert niet verantwoordelijk is voor cyber crime, is hij desondanks bereid om namens het ministerie van Veiligheid en Justitie ook daarover het een en ander te zeggen. Op een vraag vanuit het publiek over de internationale consequenties die ‘ingrijpen’ in cyberspace vanuit Nederland kan hebben antwoordt Van Gemert dat het concept van virtualiteit vraagt om een andere benadering dan een territoriale benadering indien onduidelijk is waar een bepaalde server zich bevindt. Hij maakt hierbij een vergelijking met de vroegere ontwikkeling van het zeerecht in internationale wateren. Verder zou wellicht het land waar de schade optreedt het aanknopingspunt moeten vormen qua jurisdictie. Eenduidige antwoorden bestaan op dit terrein echter nog niet; de nationale en internationale regels terzake zijn nog niet helder. Brenno de Winter benadrukt dat Nederlandse hacking-activiteiten in het buitenland een gevaarlijke internationale precedentwerking kunnen hebben. Wat indien een land als Iran zich dezelfde bevoegdheden toebedeelt? Door anderen in het publiek wordt deze zorg gedeeld.

Een andere vraag in het publiek heeft betrekking op publiek-private samenwerking als bij Diginotar. Ook wordt gerefereerd aan Israëlische tapcentrales in Nederland. Maakt Nederland zichzelf hiermee niet ontzettend kwetsbaar? Van Gemert antwoordt dat deze vraag voor de overheid sinds de Diginotar-affaire inderdaad prominent is geworden. Op de kwestie van tapcentrales wil hij echter niet ingaan, aangezien hij hier niet beleidsmatig bij betrokken is. Hierna wordt vanuit het publiek opgemerkt dat, bij de publiek-private samenwerking op het terrein van cyber security, Nederlandse maatschappelijke organisaties structureel buiten de deur worden gehouden. Ook De Winter merkt op dat het NCSC door velen gezien wordt als een onbereikbare vesting waar je niet gehoord wordt. Van Gemert antwoordt hierop dat vanuit het NCSC wel degelijk contact met belangenorganisaties wordt gezocht. De vraag is daarbij ook welke rol die belangenorganisaties willen hebben: oppositie of coalitie? “Ik ben ervan overtuigd dat wij nieuwe vormen van samenwerking moeten zoeken tussen overheid, bedrijfsleven, burgers én belangenorganisaties, die ervoor zorgen dat onze samenleving veiliger wordt. Het zoeken van dat contact is ook de reden dat ik hier sta,” aldus Van Gemert. Een andere vraag vanuit het publiek gaat over detectie van hack-pogingen. In hoeverre wordt dit door de overheid aan bedrijven uitbesteed? Van Gemert antwoordt hierop dat de overheid zelf detecteert aan de hand van verkeersgegeBrenno de Wintervens (niet op content) voorzover het de vitale (overheids)infrastructuur betreft; bij bedrijven is dergelijke detectie aan die bedrijven zelf. Vanuit het publiek wordt in dit verband opgemerkt dat de overheid ook een rol zou kunnen gaan spelen om per bedrijfssector relevante kennis en ervaring bij elkaar te brengen. Een andere opmerking vanuit het publiek heeft betrekking op het eerder veronderstelde gebrek aan internationale regelgeving: waarom conformeert Nederland zich niet aan het reeds bestaande Verdrag van Boedapest over Cybercriminaliteit en waarom worden de mogelijkheden van dit verdrag onvoldoende benut? Verdere opmerkingen gaan over samenwerking tussen Nederlandse gemeenten, de banken en telecomsector. Ook wordt gevraagd hoe groot de dreiging van cyber warfare is en hoe Nederland zich hierop voorbereidt. Van Gemert refereert hierop aan cyber als het “fifth battlefield” na de vier domeinen land, zee, lucht en ruimte. Dit is een reëele ontwikkeling; inmiddels zijn er zo’n 20 landen die er de capaciteit voor hebben. In Nederland wordt veel bezuinigd, maar op cyberterrein wordt bij Defensie juist geïnvesteerd. Bij cyber war speelt overigens ook een nieuw toerekeningsvraagstuk: welk land veroorzaakt de schade en hoe moet ik hierop reageren? Tijdens de discussie wordt tevens gerefereerd aan de US Patriot Act en de risico’s van opslag van gegevens in de cloud. “Denk goed na over wat je in de cloud zet”, adviseert Van Gemert. Hierna rijst vanuit het publiek de vraag in hoeverre de overheid de bescherming van persoonsgegevens als vitaal beschouwt voor onze infrastructuur, in hoeverre de overheid oog heeft voor de risico’s van identiteitsfraude en -diefstal door de koppeling van persoonsgegevens aan BSN-nummers, of men de inhoud van het WRR-rapport iOverheid onderschrijft en of het uitroepen van een cyber-noodtoestand gelijk staat aan een ramp- of oorlogssituatie waarbij reguliere wetgeving kan worden opgeheven met alle privacyrisico’s van dien. Verder wordt opgemerkt dat een politiebevoegdheid om computers van burgers te kunnen hacken impliceert dat computergegevens van burgers ook ongemerkt zouden kunnen worden veranderd en vervolgens tegen diezelfde burgers zouden kunnen worden gebruikt. Van Gemert antwoordt dat persoonsgegevens essentiële, kritieke data zijn die goed beschermd dienen te worden. Naast bedrijven dienen ook burgers zelf dit zich meer te realiseren. Wat een noodtoestand betreft antwoordt Van Gemert dat die zelfs bij de watersnoodramp van 1953 niet werd afgekondigd. Op cyberterrein is geen aanvullende, nieuwe wetgeving voor een noodtoestand noodzakelijk. De bestaande wetgeving voor een noodtoestand kan alleen in een uiterste situatie toegepast worden. Een volgend discussiepunt betreft de jarenlange afhankelijkheid van de NederlandWil van Gemertse overheid ten opzichte van Microsoft: waarom duurt deze situatie (met bijbehorende privacyrisico’s) immer voort? Desgevraagd verduidelijkt Van Gemert vervolgens zijn eerdere opmerkingen over een cyber-noodtoestand: die kan niet worden ingeroepen indien sprake is van een incident, maar slechts indien sprake is van maatschappelijke ontwrichting op grote schaal. Vervolgens wordt vanuit het publiek gevraagd in hoeverre de overheid de verantwoordelijkheid heeft om geen wetgeving en beleid te maken die door andere landen kan worden gekopieerd en misbruikt, net zoals bepaalde dual use apparatuur niet door bedrijven aan bepaalde landen mag worden geleverd. Van Gemert antwoordt hierop dat voor bepaalde goederen inderdaad VN-sanctielijsten bestaan; de AIVD controleert daarop. Een vrij internet in het buitenland wordt met name ondersteund door het ministerie van Buitenlandse Zaken. In het algemeen geldt verder dat je als democratische samenleving altijd een morele guideline hebt waarlangs je dient te opereren. Hierna komt de discussie in het publiek weer terug op het punt van een eventuele overheidsbevoegdheid om in het buitenland te kunnen hacken. Vormt toestemming van een rechter-commissaris in dat kader voldoende waarborg tegen misbruik? Elders in het publiek wordt opgemerkt dat bij het tappen van telefoongesprekken de rechter-commissaris tegenwoordig een soort stempelmachine is. Ook wordt gesteld dat er eerder door Van Gemert te gemakkelijk werd gesproken over vijf domeinen van oorlogvoering. In het internationale recht gelden van oudsher slechts drie oorlogsdomeinen: land, zee en lucht. In de ruimte geldt sinds de jaren 70 het principe van peaceful use of outer space. Waarom dan niet ook een vergelijkbaar, nieuw principe van peaceful use of cyberspace?

Ter reactie op een vraag over de waarborging van privacy antwoordt Van Gemert dat hij waarde hecht aan helderheid over wat wel en niet mag. Middels opsporingsbevoegdheden kan soms ook juist iemands onschuld worden aangetoond. De uitdaging is het vinden van de balans tussen cyber security en privacy, aldus Van Gemert. Vervolgens wordt vanuit het publiek gewezen op de gevaren van koppeling van persoonsgegevens en function creep. DaarBrenno de Winternaast is onze democratische rechtsstaat geen statisch gegeven. Houdt men hier bij de overheid rekening mee? Van Gemert herhaalt hierop dat de uitdaging ligt in het vinden van de juiste balans. Ook wordt de roep vanuit het parlement om nieuwe wetgeving na een incident niet altijd opgevolgd door de overheid, bijvoorbeeld bij terrorismewetgeving en noodwetgeving. Vanuit het publiek wordt vervolgens opgemerkt dat voor een huiszoeking een huiszoekingsbevel nodig is, wat controleerbaar is voor de burger. Die controleerbaarheid ontbreekt bij het hacken van een computer. Van Gemert antwoordt dat die controle voor de burger vaak ook ontbreekt bij tappen of observeren, zeker als het niet tot een zaak voor de rechter komt. De Winter merkt in dit verband op dat bestaande notificatieplichten evenmin worden nageleefd door de overheid. Vanuit het publiek wordt aangevuld dat door alle registratie ook de onschuldpresumptie van burgers onder druk komt te staan. Hierdoor verandert de maatschappij en gaan mensen zich conformeren aan een ‘alziende overheid’. Van Gemert benadrukt hierop nogmaals dat "privacy en security niet zonder elkaar kunnen". In zijn optiek zijn dit soort discussies belangrijk om hierover meer helderheid te krijgen en stappen vooruit te kunnen zetten. Tenslotte benadrukt Van Gemert nogmaals het belang van een security-concept in cyberspace met voldoende aandacht voor privacy.

Tenslotte

De Winter geeft het laatste woord aan Stichting Privacy First. Voorzitter Bas Filippini dankt Van Gemert voor de open hand die hij vanavond aan de oppositie heeft aangereikt. In de optiek van Privacy First zijn dit soort discussies cruciaal. De laatste jaren was er te weinig sprake van dialoog met de privacybeweging, kwam er steeds meer overheid en steeds minder burgerparticipatie. Privacy First gaat dan ook graag in op de uitnodiging om onderdeel te kunnen worden van de coalitie. “Wij zullen een luis in de pels zijn, maar daar moet je tegen kunnen,” zo eindigt Filippini.Wil van Gemert en Bas Filippini

Gepubliceerd in Metaprivacy
vrijdag, 13 april 2012 16:11

Red internet van de VS

Onderstaande oproep bereikte ons deze week vanuit Avaaz en wordt door Privacy First volledig ondersteund:

"Op dit moment wil het Amerikaanse Congres in het geheim een wetsvoorstel aannemen waarmee ze gebruikers overal ter wereld kunnen bespioneren -- en ze hopen dat de wereld dit niet opmerkt. De vorige keer droegen we bij aan het tegengaan van de aanval op internet, laten we dit nog een keer doen.

Meer dan 100 leden van het Congres steunen een wetsvoorstel (CISPA) dat particuliere bedrijven en de Amerikaanse overheid het recht geeft om ieder van ons zonder bevelschrift te bespioneren, op elk moment, zo lang als ze willen. Dit is de derde keer dat het Amerikaanse Congres probeert onze internetvrijheid aan te vallen. Maar we hielpen SOPA verslaan, en PIPA -- en nu kunnen we deze nieuwe 'Big Brother-wet' verslaan.

Onze globale verontwaardiging heeft eerder een leidende rol gespeeld in het beschermen van internet tegen overheden die ons online willen volgen en controleren. Laten we de handen nog eenmaal ineenslaan en deze wet voorgoed verslaan. Teken de petitie en stuur deze door naar iedereen die internet gebruikt: http://www.avaaz.org/nl/stop_cispa/?fp 

De Cyber Intellegence Sharing and Protection Act (CISPA) bepaalt dat alleen al in het geval van een vermoeden van een cyberdreiging, de bedrijven die ons toegang tot internet geven het recht hebben om informatie te verzamelen over onze online activiteiten, deze te delen met de regering, ons mogen weigeren hiervan op de hoogte te stellen, en vervolgens immuniteit genieten van vervolging voor inbreuk op privacy of welke andere illegale handeling dan ook. Het betekent een gestoorde afbraak van de privacy waar we allemaal op vertrouwen tijdens onze dagelijkse e-mails, Skype chats, zoekacties enzovoorts.

Maar we weten dat het Amerikaanse Congres bang is voor de reactie van de wereld. Dit is de derde keer dat ze de aanval op onze internetvrijheid in een nieuw jasje te steken om het alsnog door te drukken. Steeds wordt de naam van de wet veranderd, in de hoop dat burgers het niet doorhebben. Groepen die zich bezig houden met internetrechten, zoas Electronic Frontier Foundation, hebben het wetsvoorstel al veroordeeld wegens het schenden van privacybescherming. Het is tijd voor ons om ons uit te spreken.

Teken de petitie aan het Congres tegen CISPA. Zodra we 250.000 handtekeningen hebben zullen we onze oproep overhandigen aan elk van de 100 Amerikaanse vertegenwoordigers die de wet steunen: http://www.avaaz.org/nl/stop_cispa/?fp 

Internetvrijheid heeft elke dag te maken met dreigingen van regeringen uit de hele wereld, maar in de VS kan de grootste schade worden aangericht omdat zo'n groot deel van de infrastructuur van internet zich daar bevindt. Onze beweging heeft keer na keer bewezen dat de globale publieke opinie bijdraagt aan het tegenhouden van de dreiging van de VS voor ons internet. Laten we dit nog een keer doen."

Gepubliceerd in Online Privacy
woensdag, 13 juli 2011 17:36

[x] ongeschikt

Uit de column '[x] ongeschikt' van Arjen Kamphuis (Webwereld, 7 juli 2011):

"Beheersen is illusie        

Waar eerder nog de aanname was dat een deel van het probleem van controle over data te beheersen was door gebruik te maken van lokale servers, blijkt ook dat helaas een illusie. Alle 'cloud' diensten die worden aangeboden door bedrijven die in de VS gevestigd zijn vallen onder Amerikaans recht, zelfs als de servers fysiek in een ander land staan. En Amerikaans recht is tegenwoordig nogal, laten we zeggen, problematisch. Bij een verdenking van enige betrokkenheid bij 'terrorisme', specifiek bewijs niet noodzakelijk, kunnen systemen worden afgesloten of overgenomen.

Zonder waarschuwing, mogelijkheid van wederhoor of enige juridische toetsing. De term 'terrorisme' is daarbij zo ver opgerekt dat iemand die geen enkele Amerikaanse wet breekt, geen Amerikaans staatsburger is en zich niet in op het grondgebied van de VS bevindt toch 'terrorist' kan zijn. Gewoon omdat een van de vele drie-letterige diensten (FBI, CIA, NSA, DIA, DHS, TSA, enz...) dat vindt. De EU is niet blij maar gaat kennelijk niet zover dat zij haar burgers en mede-overheden wil adviseren geen gebruik meer te maken van dergelijke diensten.

Betrokken bij kinderporno

De lange arm van de US Patriot Act reikt echter nog verder dan servers van Amerikaanse bedrijven op Europees grondgebied. Zo worden er wel eens domeinen 'in beslag' genomen en voorzien van een sticker: 'deze site was betrokken bij handel in kinderporno. Ga dat maar eens uitleggen aan je relaties als ondernemer of non-profit. Alleen al het gebruiken van een .com, .org of .net extensie voor je domein is genoeg om onder Amerikaans recht te vallen en uitgeleverd te worden. Je kan dus als Europeaan uitgeleverd worden voor het breken van Amerikaanse wetgeving terwijl je gewoon thuis was. Een .com domein maakt van je server effectief Amerikaans grondgebied.

Wel wisten we al dat proprietary platformen zoals Windows en Google Docs -achtige oplossingen ongeschikt waren voor echt belangrijke zaken zoals het runnen van overheden of kritische infrastructuur. Nu blijkt dus echter dat iedere dienst geleverd via een .com/.org/.net domein je de-facto onder buitenlands toezicht laat vallen.

Lekker dicht bij huis

Oplossing? Draai zo veel mogelijk open source software op servers lekker dicht bij huis, er zijn in Nederland en Europa gelukkig flink wat competente hostingbedrijven en bedrijfjes. Hou het lekker bij .nl of, als je echt bulletproof wil zijn, neem een .ch domein. Deze worden beheerd door een Zwitserse stichting en deze mensen nemen hun onafhankelijkheid zeer serieus. Niet voor niets draait wikileaks tegenwoordig onder wikileaks.ch nadat .org en andere domeinen een enkeltje Guantanamo Bay kregen.

En als je dan toch gebruik wil maken van Google Docs, Facebook, Evernote, Mindmeister, Ning, Hotmail of Office 365, doe dit dan met het bewustzijn dat je geen enkele verwachting meer kan hebben van privacy of enige andere vorm van burgerrechten. Prima voor de administratie van de tennisvereniging maar [x] ongeschikt voor alle zaken die er echt toe doen."

Lees HIER de hele column bij Webwereld.

Gepubliceerd in Online Privacy
woensdag, 13 juli 2011 17:07

"VS heeft gescheiden internet nodig"

Overgenomen van security.nl:
 
Om cyberaanvallen te voorkomen hebben de Verenigde Staten een gescheiden internet nodig waar geen privacy is, zo stelt voormalig CIA-directeur Michael Hayden. Hij en verschillende beleidsmakers, waaronder cybergeneraal Keith Alexander, spelen met het idee van een .secure domein, waar het vierde amendement vrijwillig wordt opgegeven. Het vierde amendement bepaalt het recht op privacy. Dit zou nodig zijn om dit aparte gedeelte vrij van cybercriminelen te houden.

Als het gaat om het afslaan van cyberaanvallen, zouden China en andere regimes voorop lopen, aangezien burgerrechten daar niet gelden en de overheid zonder problemen online activiteiten kan monitoren. Het gaat dan om zaken als deep packet inspection. Gebruikers van het op te richten "veilige internet", waar banken, overheidsleveranciers, gevoelige infrastructuur en de overheid zelf vandaan opereren, zouden hun privacy moeten afstaan en zichzelf moeten identificeren, net als bij het betreden van een legerbasis.

Hobbit

Het huidige web zal blijven bestaan voor mensen die anoniem willen blijven. Beveiligingsexpert James Mulvenon stelt een internet van drie lagen voor. "Voor mensen die willen internetbankieren is er geen anonimiteit." Gebruikers zouden echte namen en digitale identiteiten moeten gebruiken om hier te kunnen inloggen. Op het middelniveau, bijvoorbeeld een .edu domein, zouden minder persoonlijke details van bezoekers worden gevraagd. "Op de bodem kun je als een hobbit blijven rondlopen."

Bron: security.nl, 11 juli 2011.

Gepubliceerd in Online Privacy

Door onze gastcolumnist.  

Internet: de digitale snelweg waarvan niemand eigenaar is. En ondanks het feit dat er geen eigenaar is, gaan de ontwikkelingen van de technologie op Internet razendsnel. Dit komt doordat een aantal bedrijven intensief samenwerken. Het gaat om W3C (WorldWideWeb Consortium), IETF, IESG, IAB, ISOC en IANA. Ook de Amerikaanse overheid en bedrijven in telecommunicatie, satellieten, netwerken enz. dragen een steentje bij.

Dagelijks ervaart u het gemak van Internet. Mensen surfen, chatten, mailen en registreren er lustig op los. Men geneert zich niet om (alle) privégegevens op het Internet te zetten, soms inclusief foto’s of filmpjes die niets aan de verbeelding overlaten. Al deze vrije informatie-uitwisseling heeft helaas ook een keerzijde. Niet alles kan open en bloot op Internet gezet worden, immers grotere zakelijke instellingen surfen ook op Internet. Als blijkt dat uw op het .net geplaatste informatie schadelijk blijkt voor de onderneming waar u werkt, dan is dit reden voor ontslag. Ook ouders dienen hun kind beter te beschermen tegen - en te informeren over - Internet. Immers, alle gegevens blijven voor altijd circuleren op Internet. Weet u wat men in de toekomst doet met al die overvloed aan informatie en wie dat doet?

Het verloop van de ontwikkeling en de gevaren van Internet zijn de volgende:

  1. Toegang tot Internet is laagdrempelig en voor iedereen toegankelijk. Eerst (web 1.0) bepaalden de dotcom-bedrijven wat op het Internet gepubliceerd werd. De gegevens konden worden gecontroleerd en het desbetreffende bedrijf of de site- eigenaar was verantwoordelijk en dus ook aansprakelijk voor de inhoud.
  2. Tegenwoordig (web 2.0) is iedereen betrokken bij het proces. Men voegt zelf informatie toe en wisselt via zakelijke, vrienden- of andere sites en media als Twitter informatie uit. Soms gebeurt het dat iemand de identiteit van iemand anders aanmaakt en misbruikt op Facebook of Twitter met fictieve informatie. Dit valt niet recht te zetten en helaas, de informatie blijft altijd circuleren. Een bijkomstigheid is bovendien ook nog dat de nationale en internationale wetgeving verschilt. Als veel kennis en informatie op een punt is gebundeld zoals het geval is op bijvoorbeeld LinkedIn en Hyves, dan wordt het al helemaal moeilijk. De vraag is hoe gaat het bedrijf met deze informatie om en wat gaat men ermee doen en hoe betrouwbaar is de informatie eigenlijk die op Internet staat?
  3. De toekomstige stap (web 3.0) zou kunnen zijn de mogelijkheid tot bijvoorbeeld profiling van data en beeldmateriaal. Dit wordt vergemakkelijkt door gebruik van één groot, centraal platform (door gebruik van cloudcomputing: een paar servers verspreid over de wereld) waarop veel websites samenkomen en waarbij het gebruik van lokale servers totaal overbodig wordt gemaakt. Alle op Internet bekende persoonsgegevens kunnen op een snelle en makkelijke manier aan elkaar worden gekoppeld zodat een aardig (doch incompleet) beeld ontstaat van personen. Selectie op kenmerken is een fluitje van een cent. Het Internet is genadeloos, alles blijft bewaard. Een keer fout is altijd fout. De individuele burger heeft geen zeggenschap over de vernietiging van de door hemzelf op het Internet ingevoerde privégegevens. Voorts is hier evenmin sprake van wetgeving die de argeloze burger beschermt. Een marketingmachine zou gegevens kunnen opkopen, waarna u wordt gebombardeerd met een overdaad aan aanbiedingen en kansen.
  4. De laatste stap is het tweede en ware gezicht van Internet: waar alle kennis is verzameld, daar ligt ook de macht. Nu zijn het een handvol toonaangevende bedrijven die zich gezamenlijk bezighouden met het ontwikkelen van het platform. Door de vrije markt economie zal dit aantal sterk verminderen. Daarom is het wenselijk, de belangen van de individuele burger en de problematiek rondom een centrale database wereldwijd op een wettelijke manier vast te leggen waarbij de privacy en de bescherming van de individuele burger prevaleert boven economische belangen.

Wederom stellen wij de vraag: wat is het doel en heiligt het doel de middelen? LinkedIn is inmiddels beursgenoteerd!

Gepubliceerd in Columns
zondag, 10 oktober 2010 23:28

The Laws of Identity

Privacy First meent dat de ontdekking van Kim Cameron baanbrekend is en geeft daarom zijn artikel integraal weer. U kunt zijn website en blogs hier lezen.

Contents

Problem Statement
Words That Allow Dialogue
The Laws of Identity
Conclusion
For More Information

The Internet was built without a way to know who and what you are connecting to. This limits what we can do with it and exposes us to growing dangers. If we do nothing, we will face rapidly proliferating episodes of theft and deception that will cumulatively erode public trust in the Internet.

This paper is about how we can prevent the loss of trust and go forward to give Internet users a deep sense of safety, privacy, and certainty about whom they are relating to in cyberspace. Nothing could be more essential if Web-based services and applications are to continue to move beyond “cyber publication” and encompass all kinds of interaction and services. Our approach has been to develop a formal understanding of the dynamics causing digital identity systems to succeed or fail in various contexts, expressed as the Laws of Identity. Taken together, these laws define a unifying identity metasystem that can offer the Internet the identity layer it so obviously requires.

The ideas presented here were extensively refined through the Blogosphere in a wide-ranging conversation documented at www.identityblog.com that crossed many of the conventional fault lines of the computer industry, and in various private communications. In particular I would like to thank Arun Nanda, Andre Durand, Bill Barnes, Carl Ellison, Caspar Bowden, Craig Burton, Dan Blum, Dave Kearns, Dave Winer, Dick Hardt, Doc Searls, Drummond Reed, Ellen McDermott, Eric Norlin, Esther Dyson, Fen Labalme, Identity Woman Kaliya, JC Cannon, James Kobielus, James Governor, Jamie Lewis, John Shewchuk, Luke Razzell, Marc Canter, Mark Wahl, Martin Taylor, Mike Jones, Phil Becker, Radovan Janocek, Ravi Pandya, Robert Scoble, Scott C. Lemon, Simon Davies, Stefan Brands, Stuart Kwan and William Heath.

Problem Statement

The Internet was built without a way to know who and what you are connecting to.

A Patchwork of Identity “One-Offs”

Since this essential capability is missing, everyone offering an Internet service has had to come up with a workaround. It is fair to say that today’s Internet, absent a native identity layer, is based on a patchwork of identity one-offs.

As use of the Web increases, so does users’ exposure to these workarounds. Though no one is to blame, the result is pernicious. Hundreds of millions of people have been trained to accept anything any site wants to throw at them as being the “normal way” to conduct business online. They have been taught to type their names, secret passwords, and personal identifying information into almost any input form that appears on their screen.

There is no consistent and comprehensible framework allowing them to evaluate the authenticity of the sites they visit, and they don’t have a reliable way of knowing when they are disclosing private information to illegitimate parties. At the same time they lack a framework for controlling or even remembering the many different aspects of their digital existence.

Criminalization of the Internet

People have begun to use the Internet to manage and exchange things of progressively greater real-world value. This has not gone unnoticed by a criminal fringe that understands the ad hoc and vulnerable nature of the identity patchwork�and how to subvert it. These criminal forces have increasingly professionalized and organized themselves internationally.

Individual consumers are tricked into releasing banking and other information through “phishing” schemes that take advantage of their inability to tell who they are dealing with. They are also induced to inadvertently install “spyware” which resides on their computers and harvests information in long term “pharming” attacks. Other schemes successfully target corporate, government, and educational databases with vast identity holdings, and succeed in stealing hundreds of thousands of identities in a single blow. Criminal organizations exist to acquire these identities and resell them to a new breed of innovators expert in using them to steal as much as possible in the shortest amount of time. The international character of these networks makes them increasingly difficult to penetrate and dismantle.

Phishing and pharming are now thought to be one of the fastest growing segments of the computer industry, with an annual compound growth rate (CAGR) of 1000%. (For example, the Anti-Phishing Working Group “Phishing Activity Trends Report” of February 2005 cites an annual monthly growth rate in phishing sites between July through February of 26% per month, which represents a compound annual growth rate of 1600%.) Without a significant change in how we do things, this trend will continue.

It is essential to look beyond the current situation, and understand that if the current dynamics continue unchecked, we are headed toward a deep crisis: the ad hoc nature of Internet identity cannot withstand the growing assault of professionalized attackers.

A deepening public crisis of this sort would mean the Internet would begin to lose credibility and acceptance for economic transactions when it should be gaining that acceptance. But in addition to the danger of slipping backwards, we need to understand the costs of not going forward. The absence of an identity layer is one of the key factors limiting the further settlement of cyberspace.

Further, the absence of a unifying and rational identity fabric will prevent us from reaping the benefits of Web services.

Web services have been designed to let us build robust, flexible, distributed systems that can deliver important new capabilities, and evolve in response to their environment. Such living services need to be loosely coupled and organic, breaking from the paradigm of rigid premeditation and hard wiring. But as long as digital identity remains a patchwork of ad hoc one-offs that must still be hard-wired, all the negotiation and composability we have achieved in other aspects of Web services will enable nothing new. Knowing who is connecting with what is a must for the next generation of cyber services to break out of the starting gate.

It’s Hard to Add an Identity Layer

There have been attempts to add more standardized digital identity services to the Internet. And there have been partial successes in specific domains�like the use of SSL to protect connections to public sites; or of Kerberos within enterprises. And recently, we have seen successful examples of federation in business-to-business identity sharing.

But these successes have done little to transform the identity patchwork into a rational fabric extending across the Internet.

Why is it so hard to create an identity layer for the Internet? Mainly because there is little agreement on what it should be and how it should be run. This lack of agreement arises because digital identity is related to context, and the Internet, while being a single technical framework, is experienced through a thousand kinds of content in at least as many different contexts�all of which flourish on top of that underlying framework. The players involved in any one of these contexts want to control digital identity as it impacts them, in many cases wanting to prevent spillover from their context to any other.

Enterprises, for example, see their relationships with customers and employees as key assets, and are fiercely protective of them. It is unreasonable to expect them to restrict their own choices or give up control over how they create and represent their relationships digitally. Nor has any single approach arisen which might serve as an obvious motivation to do so. The differing contexts of discreet enterprises lead to a requirement that they be free to adopt different kinds of solutions. Even ad hoc identity one-offs are better than an identity framework that would be out of their control.

Governments too have found they have needs that distinguish them from other kinds of organization. And specific industry clusters�”verticals” like the financial industry�have come to see they have unique difficulties and aspirations when it comes to maintaining digital relationships with their customers.

As important as these institutions are, the individual�as consumer�gets the final say about any proposed cyber identity system. Anything they don’t like and won’t�or can’t�use will inevitably fail. Someone else will come along with an alternative.

Consumer fears about the safety of the Internet prevent many from using credit cards to make online purchases. Increasingly, malware and identity theft have made privacy issues of paramount concern to every Internet user. This has resulted in increased awareness and readiness to respond to larger privacy issues.

As the virtual world has evolved, privacy specialists have developed nuanced and well-reasoned analyses of identity from the point of view of the consumer and citizen. In response to their intervention, legal thinkers, government policy makers, and elected representatives have become increasingly aware of the many difficult privacy issues facing society as we settle cyberspace. This has already led to vendor sensitivity and government intervention, and more is to be expected.

In summary, as grave as the dangers of the current situation may be, the emergence of a single simplistic digital identity solution as a universal panacea is not realistic.

Even if a miracle occurred and the various players could work out some kind of broad cross-sector agreement about what constitutes perfection in one country, the probability of extending that universally across international borders would be zero.

An Identity Metasystem

In the case of digital identity, the diverse needs of many players demand that we weave a single identity fabric out of multiple constituent technologies. Although this might initially seem daunting, similar things have been done many times before as computing has evolved.

For instance, in the early days of personal computing, application builders had to be aware of what type of video display was in use, and of the specific characteristics of the storage devices that were installed. Over time, a layer of software emerged that was able to provide a set of services abstracted from the specificities of any given hardware. The technology of “device drivers” enabled interchangeable hardware to be plugged in as required. Hardware became “loosely coupled” to the computer, allowing it to evolve quickly since applications did not need to be rewritten to take advantage of new features.

The same can be said about the evolution of networking. At one time applications had to be aware of the specific network devices in use. Eventually the unifying technologies of sockets and TCP/IP emerged, able to work with many specific underlying systems (Token Ring, Ethernet, X.25 and Frame Relay)�and even with systems, like wireless, that were not yet invented.

Digital identity requires a similar approach. We need a unifying identity metasystem that can protect applications from the internal complexities of specific implementations and allow digital identity to become loosely coupled. This metasystem is in effect a system of systems that exposes a unified interface much like a device driver or network socket does. That allows one-offs to evolve towards standardized technologies that work within a metasystem framework without requiring the whole world to agree a priori.

Understanding the Obstacles

To restate our initial problem, the role of an identity metasystem is to provide a reliable way to establish who is connecting with what�anywhere on the Internet.

We have observed that various types of systems have successfully provided identification in specific contexts. Yet despite their success they have failed to attract usage in other scenarios. What factors explain these successes and failures? Moreover, what would be the characteristics of a solution that would work at Internet scale? In answering these questions, there is much to be learned from the successes and failures of various approaches since the 1970s.

This investigation has led to a set of ideas called the Laws of Identity. We chose the word “laws” in the scientific sense of hypotheses about the world�resulting from observation�which can be tested and are thus disprovable. (We consciously avoided the words “proposition,” meaning something proven through logic rather than experiment, and “axiom,” meaning something self-evident.) The reader should bear in mind that we specifically did not want to denote legal or moral precepts, nor embark on a discussion of the “philosophy of identity.” (All three areas are of compelling interest, but it is necessary to tightly focus the current discussion on matters that are directly testable and applicable to solving the imminent crisis of the identity infrastructure.)

These laws enumerate the set of objective dynamics defining a digital identity metasystem capable of being widely enough accepted that it can serve as a backplane for distributed computing on an Internet scale. As such, each law ends up giving rise to an architectural principle guiding the construction of such a system.

Our goals are pragmatic. When we postulate the Law of User Control and Consent, for example, it is because experience tells us: a system that does not put users in control will�immediately or over time�be rejected by enough of them that it cannot become and remain a unifying technology. How this law meshes with values is not the relevant issue.

Like the other laws, this one represents a contour limiting what an identity metasystem must look like�and must not look like�given the many social formations and cultures in which it must be able to operate. Understanding the laws can help eliminate a lot of doomed proposals before we waste too much time on them.

The laws are testable. They allow us to predict outcomes, and we have done so consistently since proposing them. They are also objective, i.e., they existed and operated before they were formulated. That is how the Law of Justifiable Parties, for example, can account for the successes and failures of the Microsoft Passport identity system.

The Laws of Identity, taken together, define the architecture of the Internet’s missing identity layer.

Words That Allow Dialogue

Many people have thought about identity, digital identities, personas, and representations. In proposing the laws we do not expect to close this discussion. However, in keeping with the pragmatic goals of this exercise we define a vocabulary that will allow the laws themselves to be understood.

What is a Digital Identity?

We will begin by defining a digital identity as a set of claims made by one digital subject about itself or another digital subject. We ask the reader to let us define what we mean by a digital subject and a set of claims before examining this further.

What Is a Digital Subject?

The Oxford English Dictionary (OED) defines a subject as:

“A person or thing that is being discussed, described or dealt with.”

So we define a digital subject as:

“A person or thing represented or existing in the digital realm which is being described or dealt with.”

Much of the decision-making involved in distributed computing is the result of “dealing with” an initiator or requester. And it is worth pointing out that the digital world includes many subjects that need to be “dealt with” other than humans, including:

  • Devices and computers (which allow us to penetrate the digital realm in the first place)
  • Digital resources (which attract us to it)
  • Policies and relationships between other digital subjects (e.g., between humans and devices or documents or services)

The OED goes on to define subject, in a philosophical sense, as the “central substance or core of a thing as opposed to its attributes.” As we shall see, “attributes” are the things expressed in claims, and the subject is the central substance thereby described.

(We have selected the word subject in preference to alternatives such as “entity,” which means “a thing with distinct and independent existence.” The independent existence of a thing is a moot point here�it may well be an aspect of something else. What matters is that a relying party is dealing with the thing and that claims are being made about it.)

What Is a Claim?

A claim is:

“An assertion of the truth of something, typically one which is disputed or in doubt.”

Some examples of claims in the digital realm will likely help:

  • A claim could just convey an identifier�for example, that the subject’s student number is 490-525, or that the subject’s Windows name is REDMOND\kcameron. This is the way many existing identity systems work.
  • Another claim might assert that a subject knows a given key�and should be able to demonstrate this fact.
  • A set of claims might convey personally identifying information�name, address, date of birth and citizenship, for example.
  • A claim might simply propose that a subject is part of a certain group�for example, that she has an age less than 16.
  • And a claim might state that a subject has a certain capability�for example, to place orders up to a certain limit, or modify a given file.

The concept of “being in doubt” grasps the subtleties of a distributed world like the Internet. Claims need to be subject to evaluation by the party depending on them. The more our networks are federated and open to participation by many different subjects, the more obvious this becomes.

The use of the word claim is therefore more appropriate in a distributed and federated environment than alternate words such as “assertion,” which means “a confident and forceful statement of fact or belief.” (OED) In evolving from a closed domain model to an open, federated model, the situation is transformed into one where the party making an assertion and the party evaluating it may have a complex and even ambivalent relationship. In this context, assertions need always be subject to doubt�not only doubt that they have been transmitted from the sender to the recipient intact, but also doubt that they are true, and doubt that they are even of relevance to the recipient.

Advantages of a Claims-Based Definition

The definition of digital identity employed here encompasses all the known digital identity systems and therefore allows us to begin to unify the rational elements of our patchwork conceptually. It allows us to define digital identity for a metasystem embracing multiple implementations and ways of doing things.

In proffering this definition, we recognize it does not jibe with some widely held beliefs�for example, that within a given context, identities have to be unique. Many early systems were built with this assumption, and it is a critically useful assumption in many contexts. The only error is in thinking it is mandatory for all contexts.

By way of example, consider the relationship between a company like Microsoft and an analyst service that we will call Contoso Analytics. Let’s suppose Microsoft contracts with Contoso Analytics so anyone from Microsoft can read its reports on industry trends. Let’s suppose also that Microsoft doesn’t want Contoso Analytics to know exactly who at Microsoft has what interests or reads what reports.

In this scenario we actually do not want to employ unique individual identifiers as digital identities. Contoso Analytics still needs a way to ensure that only valid customers get to its reports. But in this example, digital identity would best be expressed by a very limited claim�the claim that the digital subject currently accessing the site is a Microsoft employee. Our claims-based approach succeeds in this regard. It permits one digital subject (Microsoft Corporation) to assert things about another digital subject without using any unique identifier.

This definition of digital identity calls upon us to separate cleanly the presentation of claims from the provability of the link to a real world object.

Our definition leaves the evaluation of the usefulness (or the truthfulness or the trustworthiness) of the claim to the relying party. The truth and possible linkage is not in the claim, but results from the evaluation. If the evaluating party decides it should accept the claim being made, then this decision just represents a further claim about the subject, this time made by the evaluating party (it may or may not be conveyed further).

Evaluation of a digital identity thus results in a simple transform of what it starts with�again producing in a set of claims made by one digital subject about another. Matters of trust, attribution, and usefulness can then be factored out and addressed at a higher layer in the system than the mechanism for expressing digital identity itself.

The Laws of Identity

We can now look at the seven essential laws that explain the successes and failures of digital identity systems.

1. User Control and Consent

Technical identity systems must only reveal information identifying a user with the user’s consent. (Blogosphere discussion starts here…)

No one is as pivotal to the success of the identity metasystem as the individual who uses it. The system must first of all appeal by means of convenience and simplicity. But to endure, it must earn the user’s trust above all.

Earning this trust requires a holistic commitment. The system must be designed to put the user in control�of what digital identities are used, and what information is released.

The system must also protect the user against deception, verifying the identity of any parties who ask for information. Should the user decide to supply identity information, there must be no doubt that it goes to the right place. And the system needs mechanisms to make the user aware of the purposes for which any information is being collected.

The system must inform the user when he or she has selected an identity provider able to track Internet behavior.

Further, it must reinforce the sense that the user is in control regardless of context, rather than arbitrarily altering its contract with the user. This means being able to support user consent in enterprise as well as consumer environments. It is essential to retain the paradigm of consent even when refusal might break a company’s conditions of employment. This serves both to inform the employee and indemnify the employer.

The Law of User Control and Consent allows for the use of mechanisms whereby the metasystem remembers user decisions, and users may opt to have them applied automatically on subsequent occasions.

2. Minimal Disclosure for a Constrained Use

The solution that discloses the least amount of identifying information and best limits its use is the most stable long-term solution. (Starts here…)

We should build systems that employ identifying information on the basis that a breach is always possible. Such a breach represents a risk. To mitigate risk, it is best to acquire information only on a “need to know” basis, and to retain it only on a “need to retain” basis. By following these practices, we can ensure the least possible damage in the event of a breach.

At the same time, the value of identifying information decreases as the amount decreases. A system built with the principles of information minimalism is therefore a less attractive target for identity theft, reducing risk even further.

By limiting use to an explicit scenario (in conjunction with the use policy described in the Law of Control), the effectiveness of the “need to know” principle in reducing risk is further magnified. There is no longer the possibility of collecting and keeping information “just in case” it might one day be required.

The concept of “least identifying information” should be taken as meaning not only the fewest number of claims, but the information least likely to identify a given individual across multiple contexts. For example, if a scenario requires proof of being a certain age, then it is better to acquire and store the age category rather than the birth date. Date of birth is more likely, in association with other claims, to uniquely identify a subject, and so represents “more identifying information” which should be avoided if it is not needed.

In the same way, unique identifiers that can be reused in other contexts (for example, drivers’ license numbers, Social Security Numbers, and the like) represent “more identifying information” than unique special-purpose identifiers that do not cross context. In this sense, acquiring and storing a Social Security Number represents a much greater risk than assigning a randomly generated student or employee number.

Numerous identity catastrophes have occurred where this law has been broken.

We can also express the Law of Minimal Disclosure this way: aggregation of identifying information also aggregates risk. To minimize risk, minimize aggregation.

3. Justifiable Parties

Digital identity systems must be designed so the disclosure of identifying information is limited to parties having a necessary and justifiable place in a given identity relationship. (Starts here…)

The identity system must make its user aware of the party or parties with whom she is interacting while sharing information.

The justification requirements apply both to the subject who is disclosing information and the relying party who depends on it. Our experience with Microsoft Passport is instructive in this regard. Internet users saw Passport as a convenient way to gain access to MSN sites, and those sites were happily using Passport�to the tune of over a billion interactions per day. However, it did not make sense to most non-MSN sites for Microsoft to be involved in their customer relationships. Nor were users clamoring for a single Microsoft identity service to be aware of all their Internet activities. As a result, Passport failed in its mission of being an identity system for the Internet.

We will see many more examples of this law going forward. Today some governments are thinking of operating digital identity services. It makes sense (and is clearly justifiable) for people to use government-issued identities when doing business with the government. But it will be a cultural matter as to whether, for example, citizens agree it is “necessary and justifiable” for government identities to be used in controlling access to a family wiki�or connecting a consumer to her hobby or vice.

The same issues will confront intermediaries building a trust fabric. The law is not intended to suggest limitations of what is possible, but rather to outline the dynamics of which we must be aware.

We know from the Law of Control and Consent that the system must be predictable and “translucent” in order to earn trust. But the user needs to understand whom she is dealing with for other reasons, as we will see in the Law of Human Integration. In the physical world we are able to judge a situation and decide what we want to disclose about ourselves. This has its analogy in digital justifiable parties.

Every party to disclosure must provide the disclosing party with a policy statement about information use. This policy should govern what happens to disclosed information. One can view this policy as defining “delegated rights” issued by the disclosing party.

Any use policy would allow all parties to cooperate with authorities in the case of criminal investigations. But this does not mean the state is party to the identity relationship. Of course, this should be made explicit in the policy under which information is shared.

4. Directed Identity

A universal identity system must support both “omni-directional” identifiers for use by public entities and “unidirectional” identifiers for use by private entities, thus facilitating discovery while preventing unnecessary release of correlation handles. (Starts here…)

Technical identity is always asserted with respect to some other identity or set of identities. To make an analogy with the physical world, we can say identity has direction, not just magnitude. One special “set of identities” is that of all other identities (the public). Other important sets exist (for example, the identities in an enterprise, an arbitrary domain, or a peer group).

Entities that are public can have identifiers that are invariant and well known. These public identifiers can be thought of as beacons�emitting identity to anyone who shows up. And beacons are “omni-directional” (they are willing to reveal their existence to the set of all other identities).

A corporate Web site with a well-known URL and public key certificate is a good example of such a public entity. There is no advantage�in fact there is a great disadvantage�in changing a public URL. It is fine for every visitor to the site to examine the public key certificate. It is equally acceptable for everyone to know the site is there: its existence is public.

A second example of such a public entity is a publicly visible device like a video projector. The device sits in a conference room in an enterprise. Visitors to the conference room can see the projector and it offers digital services by advertising itself to those who come near it. In the thinking outlined here, it has an omni-directional identity.

On the other hand, a consumer visiting a corporate Web site is able to use the identity beacon of that site to decide whether she wants to establish a relationship with it. Her system can then set up a “unidirectional” identity relation with the site by selecting an identifier for use with that site and no other. A unidirectional identity relation with a different site would involve fabricating a completely unrelated identifier. Because of this, there is no correlation handle emitted that can be shared between sites to assemble profile activities and preferences into super-dossiers.

When a computer user enters a conference room equipped with the projector described above, its omni-directional identity beacon could be utilized to decide (as per the Law of Control) whether she wants to interact with it. If she does, a short-lived unidirectional identity relation could be established between the computer and the projector�providing a secure connection while divulging the least possible identifying information in accordance with the law of minimal disclosure.

Bluetooth and other wireless technologies have not so far conformed to the Law of Directed Identity. They use public beacons for private entities. This explains the consumer backlash innovators in these areas are currently wrestling with.

Public key certificates have the same problem when used to identify individuals in contexts where privacy is an issue. It may be more than coincidental that certificates have so far been widely used when in conformance with this law (i.e., in identifying public Web sites) and generally ignored when it comes to identifying private individuals.

Another example involves the proposed usage of RFID technology in passports and student tracking applications. RFID devices currently emit an omni-directional public beacon. This is not appropriate for use by private individuals.

Passport readers are public devices and therefore should employ an omni-directional beacon. But passports should only respond to trusted readers. They should not be emitting signals to any eavesdropper that identify their bearers and peg them as nationals of a given country. Examples have been given of unmanned devices that could be detonated by these beacons. In California we are already seeing the first legislative measures being taken to correct abuse of identity directionality. It shows a failure of vision among technologists that legislators understand these issues before we do.

5. Pluralism of Operators and Technologies

A universal identity system must channel and enable the inter-working of multiple identity technologies run by multiple identity providers. (Starts here…)

It would be nice if there were one way to express identity. But the numerous contexts in which identity is required won’t allow it.

One reason there will never be a single, centralized monolithic system (the opposite of a metasystem) is because the characteristics that would make any system ideal in one context will disqualify it in another.

It makes sense to employ a government issued digital identity when interacting with government services (a single overall identity neither implies nor prevents correlation of identifiers between individual government departments).

But in many cultures, employers and employees would not feel comfortable using government identifiers to log in at work. A government identifier might be used to convey taxation information; it might even be required when a person is first offered employment. But the context of employment is sufficiently autonomous that it warrants its own identity, free from daily observation via a government-run technology.

Customers and individuals browsing the Web meanwhile will in many cases want higher levels of privacy than is likely to be provided by any employer.

So when it comes to digital identity, it is not only a matter of having identity providers run by different parties (including individuals themselves), but of having identity systems that offer different (and potentially contradictory) features.

A universal system must embrace differentiation, while recognizing that each of us is simultaneously�and in different contexts�a citizen, an employee, a customer, and a virtual persona.

This demonstrates, from yet another angle, that different identity systems must exist in a metasystem. It implies we need a simple encapsulating protocol (a way of agreeing on and transporting things). We also need a way to surface information through a unified user experience that allows individuals and organizations to select appropriate identity providers and features as they go about their daily activities.

The universal identity metasystem must not be another monolith. It must be polycentric (federation implies this) and also polymorphic (existing in different forms). This will allow the identity ecology to emerge, evolve, and self-organize.

Systems like RSS and HTML are powerful because they carry any content. We need to see that identity itself will have several�perhaps many�contexts, and yet can be expressed in a metasystem.

6. Human Integration

The universal identity metasystem must define the human user to be a component of the distributed system integrated through unambiguous human-machine communication mechanisms offering protection against identity attacks. (Starts here…)

We have done a pretty good job of securing the channel between Web servers and browsers through the use of cryptography�a channel that might extend for thousands of miles. But we have failed to adequately protect the two or three foot channel between the browser’s display and the brain of the human who uses it. This immeasurably shorter channel is the one under attack from phishers and pharmers.

No wonder. What identities is the user dealing with as she navigates the Web? How understandably is identity information conveyed to her? Do our digital identity systems interface with users in ways that objective studies have shown to work? Identity information currently takes the form of certificates. Do studies show certificates are meaningful to users?

What exactly are we doing? Whatever it is, we’ve got to do it better: the identity system must extend to and integrate the human user.

Carl Ellison and his colleagues have coined the term ‘ceremony’ to describe interactions that span a mixed network of human and cybernetic system components�the full channel from Web server to human brain. A ceremony goes beyond cyber protocols to ensure the integrity of communication with the user.

This concept calls for profoundly changing the user’s experience so it becomes predictable and unambiguous enough to allow for informed decisions.

Since the identity system has to work on all platforms, it must be safe on all platforms. The properties that lead to its safety can’t be based on obscurity or the fact that the underlying platform or software is unknown or has a small adoption.

One example is United Airlines’ Channel 9. It carries a live conversation between the cockpit of one’s plane and air traffic control. The conversation on this channel is very important, technical, and focused. Participants don’t “chat”�all parties know precisely what to expect from the tower and the airplane. As a result, even though there is a lot of radio noise and static, it is easy for the pilot and controller to pick out the exact content of the communication. When things go wrong, the broken predictability of the channel marks the urgency of the situation and draws upon every human faculty to understand and respond to the danger. The limited semiotics of the channel mean there is very high reliability in communications.

We require the same kind of bounded and highly predictable ceremony for the exchange of identity information. A ceremony is not a “whatever feels good” sort of thing. It is predetermined.

But isn’t this limitation of possibilities at odds with our ideas about computing? Haven’t many advances in computing come about through ambiguity and unintended consequences that would be ruled out in the austere light of ceremony?

These are valid questions. But we definitely don’t want unintended consequences when figuring out who we are talking to or what personal identification information to reveal.

The question is how to achieve very high levels of reliability in the communication between the system and its human users. In large part, this can be measured objectively through user testing.

7. Consistent Experience Across Contexts

The unifying identity metasystem must guarantee its users a simple, consistent experience while enabling separation of contexts through multiple operators and technologies.

Let’s project ourselves into a future where we have a number of contextual identity choices. For example:

  • Browsing: a self-asserted identity for exploring the Web (giving away no real data)
  • Personal: a self-asserted identity for sites with which I want an ongoing but private relationship (including my name and a long-term e-mail address)
  • Community: a public identity for collaborating with others
  • Professional: a public identity for collaborating issued by my employer
  • Credit card: an identity issued by my financial institution
  • Citizen: an identity issued by my government

We can expect that different individuals will have different combinations of these digital identities, as well as others.

To make this possible, we must “thingify” digital identities�make them into “things” the user can see on the desktop, add and delete, select and share. (We have chosen to “localize” the more venerable word “reify”.) How usable would today’s computers be had we not invented icons and lists that consistently represent folders and documents? We must do the same with digital identities.

What type of digital identity is acceptable in a given context? The properties of potential candidates will be specified by the Web service from which a user wants to obtain a service. Matching thingified digital identities can then be displayed to the user, who can select between them and use them to understand what information is being requested. This allows the user to control what is released.

Different relying parties will require different kinds of digital identities. And two things are clear:

  • A single relying party will often want to accept more than one kind of identity, and
  • A user will want to understand his or her options and select the best identity for the context

Putting all the laws together, we can see that the request, selection, and proffering of identity information must be done such that the channel between the parties is safe. The user experience must also prevent ambiguity in the user’s consent, and understanding of the parties involved and their proposed uses. These options need to be consistent and clear. Consistency across contexts is required for this to be done in a way that communicates unambiguously with the human system components.

As users, we need to see our various identities as part of an integrated world that nonetheless respects our need for independent contexts.

Conclusion

Those of us who work on or with identity systems need to obey the Laws of Identity. Otherwise, we create a wake of reinforcing side effects that eventually undermine all resulting technology. The result is similar to what would happen if civil engineers were to flaunt the law of gravity. By following them we can build a unifying identity metasystem that is universally accepted and enduring.

For More Information

Microsoft’s Vision for an Identity Metasystem whitepaper

This whitepaper as it appears on MSDN

Join the identity discussion at http://www.identityblog.com/

Gepubliceerd in Identiteitsdiefstal
Pagina 3 van 4

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon