De digitale postkamer
Ondanks voortschrijdende digitale communicatie hebben nog veel organisaties een fysieke ‘postkamer’. Een afdeling waar binnenkomende en uitgaande brievenpost van de organisatie wordt verwerkt, gescand, geprint en geadministreerd. De postkamer was ooit de enige formele verbinding van een organisatie met de buitenwereld. Nog veel organisaties gebruiken deze facilitaire functie, hoewel een eenduidige centrale postregistratie is verdwenen. We communiceren tegenwoordig immers via zovele kanalen, dat centrale vastlegging daarvan (bijna) niet meer mogelijk is. Hoe kunnen we de huidige spaghetti van digitale communicatie qua datamanagement beter onder controle krijgen? Hoe kunnen we beter administreren en controleren welke digitale informatie een organisatie binnenkomt en uitgaat?
De goede oude brief
Een brief is een geschrift waarin de geadresseerde persoon of instelling rechtstreeks wordt aangesproken met mededelingen en/of vragen. Vroeger was het een belangrijk schriftelijk bewijsstuk zoals een akte of een oorkonde (geloofsbrieven, schuldbrieven, vrachtbrieven etc.). Je had ook brieven van adeldom of andere rechten die iemand kon doen gelden. Het papier als informatiedrager had – door de informatie en waarmerken die erop stonden – een eigen status. In de digitale wereld zijn informatiedrager en de informatie ontkoppeld, waardoor de ‘digitale brief’ in eerste instantie wettelijk niet de vanzelfsprekende bescherming kreeg als de goede oude brief.
Pas in april 2018 stemde de Tweede Kamer in met een grondwetsherziening waarbij het brief-, telefoon- en telegraafgeheim’ veranderde in het bredere ‘brief en telecommunicatie-geheim’. Hiermee zijn dus alle moderne communicatiemiddelen beschermt. In artikel 13 van onze Grondwet is bepaald dat brief- en telecommunicatiegeheim onschendbaar is. Niemand mag opzettelijk andermans brieven openen of aan hun bestemming onttrekken, wanneer zij aan een postkantoor of postbus zijn toevertrouwd. Volgens de Nederlandse grondwet mag ook de overheid niet zonder meer iemands brieven openen, dat kan slechts op rechterlijk bevel in de gevallen bij de wet bepaald.
Geborgde privacy en integriteit
In een rechtelijke uitspraak uit datzelfde jaar 2018 is beslist dat berichten die digitaal binnenkomen (in deze zaak de app Telegram) volgens ‘analogische wetsinterpretatie’ – de geest van de wet – worden beschouwd als ‘ongeopende per post te bezorgen brieven’. De overheid mag dus de inhoud van die communicatie niet inkijken, ongeacht het middel waarmee deze boodschap is verzonden. Politie of inlichtingendiensten moeten uitdrukkelijke toestemming van een bevoegde autoriteit te hebben, om toegang te krijgen tot deze digitale communicatie.
In artikel 10 van de Grondwet wordt het recht op privacy geregeld. Iedereen heeft recht op eerbiediging van zijn persoonlijke levenssfeer. Onder persoonlijke levenssfeer valt je huis, je communicatie, het recht niet te worden bespied of afgeluisterd en het recht op eerbiediging van je innerlijk leven en lichamelijke integriteit. De Europese privacy wetgeving GDPR, in Nederland als AVG bekend, beschermt intussen je persoonlijke gegevens, ook de overdracht daarvan aan en door derden.
De multifunctionele enveloppe
Een enveloppe zorgt voor de privacy van een te verzenden boodschap. Daarnaast bevat de enveloppe de informatie van geadresseerde en afzender, de betaalde porto en specifieke zaken als met spoed verzenden, aangetekend met een ontvangstbevestiging of bijvoorbeeld met een lakzegel verzegeld. De ongeopende enveloppe vormt immers het bewijs dat niemand anders de inhoud kon bekijken. Die validatie dat een bericht ‘ongezien’ is verzonden en ontvangen, blijft belangrijk. Hoe kun je al die functies van de simpele en eenvoudige papieren envelop op een digitale wijze vervangen? Privacy en waardedocumenten in een digitale enveloppe, gegarandeerd en gevalideerd versturen in de open wereld van internet?
Met Web3 vervangen encryptie en blockchain die oude enveloppe en postadministratie. Samen maken ze geborgde validatie mogelijk opdat de inhoud van een bericht bij ontvangst ‘ongezien’ en ‘privé’ is. Inclusief verificatie dat identiteit van zender als ontvanger zijn die zij zeggen dat zij zijn. Was vroeger de lakzegel het waarmerk zo’n zekerheid, nu gebruiken we een digitale, zelfsoevereine identiteit (SSI) en een gekwalificeerde authenticatie. Deze vier technieken – blockchain, encryptie, authenticatie en digitale identiteit – vormen de bouwstenen van het nieuwe web3 gebaseerde internet. Vaak praktisch gecombineerd in en rond een decentrale ‘wallet’ op een mobiele telefoon. De nieuwe Web3 mogelijkheden sluiten – mede door het decentrale gebruik – daarbij naadloos aan op alle privacy en geheimhoudingswetgeving.
Europa als aanjager
In een vorige blog berichtte ik over eIDAS, de ontwikkeling van afspraken hoe we in Europa voor de nieuwe Web3 wereld onze digitale identiteiten benoemen en beschermen. eIDAS staat voor ‘Electronic Identities And Trust Services’. Europese afspraken om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken, inclusief grensoverschrijdend gebruik van erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Nederlandse overheidsorganisaties en private organisaties met een publieke taak moeten sinds 29 september 2018 Europees erkende inlogmiddelen accepteren in hun digitale dienstverlening.
Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd via Europees erkende inlogmiddelen toegang te verlenen. Bijvoorbeeld: een Duitse burger kan met zijn Duitse inlogmiddel inloggen bij het CJIB om de boete van een verkeersovertreding in Nederland te betalen. Elektronische vertrouwensdiensten (’trust services’) zijn diensten die het vertrouwen in online transacties bij bedrijven en consumenten ondersteunen. Bijvoorbeeld elektronische handtekeningen, echtheidszegels en tijdstempels. Zij vallen ook onder de eIDAS-verordening.
Verankerd in EU wetgeving
Internet verbindt via ‘genetwerkte’ netwerken de wereld, maar is een open infrastructuur die geen privacy of communicatiegeheim kent. Simpelweg het zenden van informatie van netwerkeindpunt A naar eindpunt B. Wat je verstuurt en naar wie is voor het netwerk om het even. Als snel ontstonden centrale providers die deze lacune invulden met gebruikersnamen, identiteiten en centrale authenticatie via paswoorden. Echter we zien dat deze centrale opslag van identiteiten, enerzijds weinig eenduidigheid kent – voor elke dienst een eigen identiteit – en door de centrale opslag zowel een ‘single-point-of-failure als een ongewilde machtsfactor werd. We horen elke week wel over grote hacks van gebruikersnamen en paswoorden.
Web 3 levert (eindelijk!) de techniek om het oude internet die veiligheid te geven voor zowel individuele gebruiker als het geborgde gebruik binnen een rechtsstaat. Nieuwe wetgeving in Grondwet, Postwet en EU laat zien dat nieuwe technische mogelijkheden en wettelijke legitimatie prima hand in hand gaan. Open platformen als W3C (World Wide Web Consortium), FiWare (Open Source Platform for Our Smart Digital Future), ESSIF (European Self Sovereign Identity Framework), EBSI (European Blockchain Services Infrastructure) en FIDO-alliance (Fast ID Online) zijn breed geaccepteerd. Europa heeft hier zeker een aanjagende rol. De ‘legal frameworks’ zoals eIDAS en GDPR zijn onmisbaar om onze in de Grondwet verankerde privacy, geheimhouding en persoonlijke integriteit ook in Web3 en Metaverse te beschermen.
Photo by Mathyas Kurmann on Unsplash