Bij technologische ontwikkelingen snijdt het mes vaak aan twee kanten. Hoewel we het onszelf graag zo gemakkelijk mogelijk maken, mag dit niet ten koste gaan van onze privacy. Op vrijwillige basis bieden we de coördinaten aan van waar we ons op dat moment bevinden via een smartwatch, geven we persoonlijke informatie vrij via sociale media en staan we constant in contact met de rest van de (online) wereld via onze smartphone of door onze connected car. Zodra de keuze ons echter ontnomen wordt, slaat de stemming volledig om.
Onlangs verscheen via meerdere nieuwsbronnen het bericht dat de overheid plannen heeft om kentekenfraude tegen te gaan door het inbouwen van een chip in elke kentekenplaat. Hoewel de chip op dit moment nog getest wordt, zal het systeem na een succesvolle proefperiode van een jaar bij alle auto’s verplicht worden gesteld. In theorie zou het vervolgens met zo’n chip mogelijk zijn om alle bewegingen van een auto in de gaten te houden. Het blijkt dat deze angst ook bestaat. “De overheid wil gewoon precies weten waar je bent en waar je heen gaat”, was een van de vele reacties op het nieuwsbericht. Zo’n vaart hoeft het echter niet te lopen. Zolang de overheid het proces op de juiste manier aanpakt, is het mogelijk dit nieuwe chipsysteem in te voeren zonder de privacy te schaden.
Voor een goed werkend én privacy-vriendelijk systeem is het vooral van belang dat de overheid Privacy-by-Design toe gaat passen. Dit betekent van te voren nadenken over de privacy-aspecten van je oplossing en privacy-bescherming inbouwen in het ontwerp. Met dit soort technologieën bestaat namelijk een reële kans op function creep: dit kentekenplaatchipsysteem wordt ontwikkeld voor een specifiek doel (fraude tegengaan) maar kan vervolgens ook ingezet worden voor andere doelen, zoals het verkrijgen van informatie over iemands locatie.
Een manier om function creep te voorkomen, is goed te kijken naar de informatie die met een kentekenplaatchip achterhaald kan worden. Vergelijk dit bijvoorbeeld met websites die om een geboortedatum vragen om te bepalen hoe oud je bent. In principe hebben ze die informatie niet nodig, enkel een ja of nee antwoord op de vraag of je oud genoeg bent is genoeg. De overheid zou het systeem zo moeten ontwerpen dat de kentekenplaatchip ook alleen eenvoudige data verstrekt. De enige vraag die de chip hoort te beantwoorden is of de kentekenplaat echt is: ja of nee. Vragen die de chip dus bijvoorbeeld niet hoort te beantwoorden zijn: om welk kenteken gaat het en hoe snel rijdt deze auto. Op deze manier kan voorkomen worden dat er meer informatie gehaald wordt dan nodig is, en dat er privacy regels gebroken worden.
“Maar”, zal de slimme lezer nu opmerken, “dan maakt de fraudeur toch gewoon het signaal van de chip na, en laat zijn eigen (valse) kentekenplaat ook de hele tijd ‘ja’ uitzenden?”. Klopt, en dus wil je dat de chip ook een signaal afgeeft waardoor je zeker weer dat hij echt is. Op dit moment lijkt het plan om hiervoor gebruik te gaan maken van een vorm van cryptografie. Dat zou een ‘hack’ zoals de bovenstaande tegen moeten gaan en er is geen reden om aan te nemen waarom dat niet zou werken. Om de privacy te waarborgen wordt beoogd de chip informatie in continue wisselende codes aan te laten bieden, waardoor de codes niet te herleiden zullen zijn naar een vast kenteken. Dat kan, mits juist uitgevoerd, een valide oplossing zijn.
Ook het feit dat de chip in een kleine gleuf in de kentekenplaat geplaatst zal worden hoeft geen probleem te vormen, zolang dit goed wordt aangepakt. Er zijn namelijk genoeg manieren om de chip veilig in het nummerbord te plaatsen. Hierbij is bijvoorbeeld te denken aan eenzelfde soort systeem als het verfalarm bij kleren. Zodra je dit alarm illegaal verwijdert komt er een grote verfvlek op het kledingstuk, en is het in feite onbruikbaar. Door de chip zo te maken dat deze kapot gaat als geprobeerd wordt deze te verwijderen, zal ook deze onbruikbaar worden als ermee geknoeid is. Dit voorkomt dat echte chips in valse kentekenplaten gestopt worden.
Bovenstaande zijn een aantal aspecten van hoe je Privacy-by-Design zou kunnen toepassen op dit systeem. Als de overheid en haar partners met onder andere deze aspecten rekening houden bij de ontwikkeling van de chip, is er dus weinig aan de hand. Een goed ontworpen en gebouwd kentekenplaatchipsysteem zal dus weinig veranderen aan onze privacy als we in onze auto rondrijden.
Deze blogpost is geschreven door Jan-Jan Lowijs, manager binnen het Privacy team van Deloitte.
