Veilig en vertrouwd data delen

Veiligheid

Met versleutelde uitwisseling blijft data bij de bron

4 min. lezen

Uitwisseling van publieksdata levert een schat aan informatie op. Toch zijn veel partijen hier nog een beetje huiverig voor. Er borrelen vragen op als: zien andere instellingen dan ook hoeveel tickets we verkopen? Of: kunnen andere instellingen de contactgegevens van onze bezoekers achterhalen? En hoe zit dat met de AVG? Cryptografie kan een deel van deze zorgen wegnemen. “Data blijven hiermee bij de bron en de uitwisseling vindt versleuteld plaats”, vertelt Thomas Attema, Researcher Cryptology bij TNO.

Datagedreven werken wordt steeds belangrijker. Dat betekent automatisch dat ook het belang van veilig verzamelen en delen van data steeds groter wordt. “Cryptologie houdt zich bezig met het beschermen van informatie. Je versleutelt de boodschap en die kun je vervolgens alleen maar ontcijferen als je de sleutel weet”, vertelt Thomas. “Bepaalde vormen van cryptografie maken het zelfs mogelijk dat partijen elkaars data gebruiken om inzichten op te doen, zonder dat ze deze data daadwerkelijk met elkaar uitwisselen. Ook voor de cultuursector kan dit dus heel interessant zijn.”

“Elkaars data gebruiken om inzichten op te doen, zonder data daadwerkelijk uit te wisselen”

De traditionele oplossing om data te delen, is te werken met één centrale partij. Dat is ook een mogelijkheid die de Taskforce Publieksdata onderzoekt. “Maar met ‘Secure Multi-Party Computation’ (MPC) wordt de centrale partij vervangen door een cryptografisch protocol. MPC is een soort gereedschapskist met verschillende cryptografische technieken. Verschillende partijen kunnen op die manier werken alsof ze een gedeelde database hebben, maar ze kunnen elkaars data nooit inzien. Ook bepalen de deelnemende partijen zelf wie de uitkomst van berekeningen mag zien. Dat is een fijne werkwijze met het oog op privacy en je voorkomt op deze manier dat commercieel gevoelige informatie in verkeerde handen valt.”

Er zijn al sectoren die goede ervaringen hebben met deze manier van werken. “Ook zijn twee MPC startups bezig met het uitrollen van dit soort technieken in bijvoorbeeld de gezondheidszorg, waar het analyseren van patiëntgegevens een grote meerwaarde kan hebben mits dit op een privacyvriendelijke en verantwoordelijke manier gebeurt.” Zie ook deze video over MPC.

Een van de cryptografische technieken is ‘secret sharing’, waarbij deelnemende partijen elk over een deel van de informatie beschikken. De video hieronder legt dit uit.

Ook als je met cryptografie werkt, heb je nog altijd een juridische grondslag nodig om data te verzamelen, te verwerken en te delen. “Maar ‘PETs’ – privacy enhancing technologies, waaronder MPC – bieden zeker voordelen als het gaat om bijvoorbeeld proportionaliteit, dataminimalisatie en doelbinding. De ontwikkelingen op dit gebied gaan snel en er zijn al verschillende bedrijven die PETs leveren. Ook is onlangs het Nicpet opgericht, het Nationaal Innovatie Centrum Privacy Enhancing Technologies. Het Nicpet verzamelt en deelt kennis en ervaring over het inzetten van PETs en is er voor de overheid en de publieke sector.”

Pilot van de Taskforce Publieksdata

De Taskforce Publieksdata is de mogelijkheden voor een pilot met PETs voor de culturele sector aan het verkennen. “We onderzoeken graag of het versleutelen van data voordelen heeft in de culturele sector. Vanuit het oogpunt van privacy en cyberveiligheid is dit de toekomst”, zegt Gijs Meijer, projectleider van de taskforce. “Met PETs blijft de data bovendien bij de bron – bijvoorbeeld een theater, museum, festival, maker of koepelorganisatie – maar kunnen we door het versleutelen van gegevens toch inzichten delen.”

Thomas Attema is cryptoloog en verricht wiskundig werk op het gebied van Multiparty Computation en Zero-Knowledge Proofs, cryptografische oplossingen voor partijen om waarde te creëren met elkaars data zonder deze aan elkaar te hoeven prijsgeven. Het leverde hem de TNO Young Excellent Researcher Award 2021 op.