Marie-José Klaver
(Netkwesties, 30 mei 2002)

De Europese Commissie onderzoekt momenteel of Microsoft Passport inbreuk maakt op de Europese privacywetgeving. Wat is Passport en wat zijn de bezwaren?

Passport is een gratis webdienst van Microsoft. Het is, zoals de naam al zegt, een virtueel paspoort waarmee gebruikers toegang kunnen krijgen tot allerlei diensten op het web, zoals Hotmail, MSN Messenger, webwinkels, reisbureaus en andere e-commerce sites. Tientallen bedrijven maken gebruik van de Passport-technologie. Enkele voorbeelden zijn: Starbucks, Monster.com, Hilton en McAfee.

In Passport worden allerlei persoonsgegevens opgeslagen. Bij het inloggen op Hotmail of een van de andere sites die deelnemen aan het Passport-netwerk worden deze gegevens automatisch overgestuurd. Een uitbreiding van het Passport is de Passport Wallet, een virtuele portemonnee. De Passport Wallet bevat onder meer de naam- en adresgegevens van de gebruiker en het nummer van zijn credit of debet card. Een gebruiker met een Passport Wallet die een kamer in een Hilton-hotel wil reserveren hoeft niet steeds zijn naam, adres en credit card-nummer in te vullen. Passport Wallet kent deze gegevens en stelt ze beschikbaar aan de hotelketen als de Wallet-houder een kamer reserveert.

Zowel de klant als het bedrijf hebben hier baat bij. De klant hoeft niet steeds allerlei formulieren in te vullen als hij iets bestelt of reserveert op het web en het bedrijf heeft geen last van tikfouten, klanten die afhaken vanwege de eindeloze formulieren of vanwege servers die halverwege een invulprocedure blijven hangen. Deelname aan Passport is ook een vorm van marketing. Klanten weten op een gegeven moment dat het Passport-logo staat voor een gemakkelijke inlogprocedure en snelle transacties.

.NET

Passport maakt deel uit van Microsofts .NET strategie. .NET is een netwerk van allerlei verschillende webdiensten en internettechnologieën die zijn gebaseerd op de geavanceerde opmaaktaal XML en distributed computing. Het doel van .NET is, volgens Microsoft, het bevorderen van "communiceren en gegevens uitwisselen via het Internet, ongeacht het besturingssysteem, apparaat of de programmeertaal." .NET is met name bedoeld voor ontwikkelaars en bedrijven. Consumenten krijgen vooral te maken met de eindproducten en de methoden om toegang tot .NET te krijgen, zoals Passport.

.NET is een vergevorderde vorm van gedistribueerde computing, zegt Sanjay Parthasarathy, vice-president voor platformstrategie bij Microsoft op de site van het bedrijf. Via .NET kan alles met alles worden verbonden, zegt Microsoft en kunnen internetgebruikers steeds benaderd worden, via e-mail of MSN Messenger met voor hen belangrijke informatie. .NET ziet of de gebruiker voldoende bandbreedte heeft om een boodschap te ontvangen.

Firefly

De basis voor de technologie voor Passport werd gelegd bij Firefly, een commerciële virtuele gemeenschap, die in 1995 is opgezet door de Belgische AI-deskundige en internetpionier dr. Pattie Maes. Maes is als universitair docent verbonden aan het Medialab van de prestigieuze Amerikaanse universiteit Massachusetts Institute of Technology (MIT).

Firefly was een experiment met intelligent agent-technologie. Leden van de gratis toegankelijke virtual community werd gevraagd hun favoriete films en cd's te noemen. Ze kregen ook titels van films en cd's te zien die ze konden beoordelen (raten). Aan de hand van een geavanceerde filtering techniek (collaborative filtering) verschenen er lijstjes met films en muziek die de gebruiker ook goed zou vinden. Deze techniek wordt nu door webwinkels als Amazon.com en Barnes & Noble gebruikt om klanten over te halen meer producten te kopen. Wie een boek of cd koopt, krijgt ook te zien wat andere klanten die dat product hebben gekocht nog meer hebben aangeschaft.

Inloggen op Firefly gebeurde via een Passport. Dat was ontwikkeld om de verschillende commerciële partners van Firefly toegang te geven tot gegevens van gebruikers. Gebruikers konden zelf kiezen welke gegevens ze met wie wilden delen.

Microsoft kocht Firefly in 1998 vanwege de Passport-technologie. Naar verluidt heeft Microsoft 40 miljoen dollar in aandelen en cash geld voor Firefly betaald. De softwaregigant zei vooral belangstelling te hebben voor de ingebouwde privacymogelijkheden van Firefly Passport.

'Big Brother Bill'

Er was veel kritiek op de overname, met name van Amerikaanse burgerrechten- en consumentenorganisaties. Ze waren bang dat Microsoft de technologie van Firefly Passport zou gebruiken zonder de privacy van de gebruikers te respecteren. "If Microsoft keeps buying Internet companies and fuses their customer databases together, Gates will be called Big Brother Bill," zei Jason Catlett van de antispamgroep JunkBusters in 1998 in een artikel van News.com.

Catlett voorspelde dat internetgebruikers er moeite mee zouden hebben om hun persoonlijke gegevens aan Microsoft te geven. "But the millions who have given their names, email addresses and other personal details to Firefly may be disturbed to find Microsoft owning it."

Die voorspelling is niet uitgekomen. Veel internetgebruikers geven aan bezwaar te hebben tegen inbreuken op hun privacy, als ze meedoen aan onderzoeken of reageren op de actualiteit. Maar in de praktijk blijkt het delen van gegevens met Microsoft voor een groot deel van de internetgemeenschap geen probleem. Tientallen miljoenen internetgebruikers beschikken inmiddels over een Hotmail-account (waar tegenwoordig automatisch een Passport aan is gekoppeld) en/of het chatprogramma MSN Messenger en miljoenen mensen maken gebruik van Windows XP (waarvoor Passport niet, maar registratie wel verplicht is). In de periode augustus 2001 tot februari 2002 is het aantal Passport-houders verdubbeld van 7 tot 14 miljoen, zo blijkt uit een onderzoek van onderzoeksbureau Gartner.

Helemaal vrijwillig is het gebruik van Passport niet, stelt Gartner. Uit het onderzoek blijkt dat gebruikers vaak met tegenzin een Passport aanvragen en gebruiken. 84 Procent van de ondervraagde gebruikers in februari zeggen een Passport te hebben aangevraagd omdat ze graag van bepaalde diensten en producten van Microsoft gebruik willen maken. Ze hebben het gevoel dat ze er niet onder uit kunnen, aldus Gartner.

In sommige gevallen kunnen gebruikers inderdaad niet onder het gebruik van Passport uit. Windows XP-gebruikers die een systeemcrash wil melden bij de Windows Online Crash Analysis moet inloggen via Passport.

Volgens Gartner is dat een slecht teken voor de toekomst van Passport. Mensen maken momenteel vooral gebruik van de technologie omdat ze Hotmail, MSN Messenger en Windows XP gebruiken, niet omdat ze willen winkelen met hun Passport Wallet.

Microsoft geniet overigens wel relatief veel vertrouwen bij consumenten, zegt Gartner in datzelfde onderzoek. Na banken is Microsoft het tweede bedrijf op de lijst van bedrijven die het meest worden vertrouwd door consumenten.

Bezwaren

Wat zijn precies de bezwaren van privacyorganisaties in de Verenigde Staten en Europa tegen Passport? Enkele van de bezwaren tegen Passport geeft Microsoft zelf al aan op de website. Onder het kopje 'Use of shared information' op de site van Passport staat dat de bedrijven die met Passport samenwerken de informatie van en over de Passport-gebruikers op verschillende manieren kunnen gebruiken. Sites die de Passport-technologie gebruiken kunnen informatie over gebruikers doorgeven aan andere bedrijven. Microsoft raadt Passport-gebruikers aan de privacy policy's van alle sites goed te lezen. "You should carefully review the privacy statement for each .NET Passport participating site you sign in to in order to determine how each site or service will use the information it collects."

Dat is natuurlijk een verstandig advies. Het zadelt de consument echter ook op met een behoorlijke leeslast. Privacy statements zijn vaak lang en moeilijk geformuleerd. Ze kunnen bovendien elk moment veranderen. Omdat bedrijven hun privacybeleid vaak aanpassen zou je eigenlijk altijd het privacy statement moeten lezen voordat je inlogt en een transactie doet, ook bij winkels waar je vaste klant bent.

Microsoft biedt bovendien een groot aantal producten en diensten aan die allemaal een eigen website en een eigen privacyverklaring hebben. Die moet een gebruiker allemaal lezen om goed op de hoogte te zijn van zijn rechten en plichten. Microsoft zegt zelf hierover: "Please be aware that the choices you make in one context will not necessarily apply to personal information you may have provided to Microsoft in the context of other, separately operated, Microsoft products, sites or services."

Beveiliging

Er zijn nog meer bezwaren tegen Passport. De beveiliging van Passport is niet waterdicht. Er zijn verschillende lekken geweest. In oktober 2001 ontdekte de beveiligingsdeskundige Marc Slemko bijvoorbeeld dat het via bekende lekken in browsers mogelijk was om iemands Passport te stelen. Het was geen ingewikkelde hack. Een Hotmailtje met wat code erin openen was voldoende om je Passport kwijt te raken.

Het door Slemko ontdekte lek had niet alleen gevolgen voor de gebruikers van Passport. Ook de commerciële partners werden getroffen. Om het lek te dichten was de dienst een paar dagen offline. Als een omvangrijke, vernetwerkte dienst als Passport niet werkt betekent dat een miljoenenverlies voor de partners.

Andere beveiligingsdeskundigen zijn van mening dat de kwetsbaarheid van Passport een fundamentele kwestie is. In het onderzoek 'Risks of the Passport Single Signon Protocol' uit 2000 wijzen de beveiligingsexperts Avi Rubin en David Kormann van het secure systems research department van AT&T Labs erop dat een centrale dienst als Passport zeer gevoelig is voor denial of service attacks. Rubin en Kormann beschrijven ook een aantal andere aanvallen, die mogelijk zijn door de onveiligheid van de huidige internettechnologie.

Sinds de publicatie van 'Risks of the Passport Single Signon Protocol' heeft Microsoft Passport iets aangepast, mailde Avi Rubin Netkwesties gisteren.Maar de dienst is nog steeds erg onveilig, vindt Rubin. "Most of the risks we identified still apply. Microsoft has improved things by switching to Kerberos for passport, but the majority of the problems we point out are inherent in any web-based, cross site authentication scheme."

Privacyrichtlijn

Aanleiding van het onderzoek van de Europese Commissie naar Passport zijn vragen die de Nederlandse Europarlementariër Erik Meijer van de SP heeft gesteld. Meijer is bang dat onbevoegden gebruik zullen maken van Passport-accounts van gebruikers in bijvoorbeeld bibliotheken en internetcafés. Als een gebruiker vergeet uit te loggen bij Microsoft kan het account ook door anderen die op dezelfde pc werken gebruikt worden.

Een belangrijker kwestie is de gegevensverzameling. Mag een bedrijf als Microsoft zoveel gegevens over mensen verzamelen en moet zo'n databank worden aangemeld bij een instantie als het College Bescherming Persoonsgegevens (voorheen de Registratiekamer), wil Meijer weten. En mogen nationale en Europese opsporingsdiensten zonder voorafgaande toestemming van de rechter bij de gegevensverzameling van Microsoft?

Vooruitlopend op de uitkomst van het onderzoek van de Europese Commissie geeft Eurocommissaris Frits Bolkestein een paar beknopte, voorlopige antwoorden op Meijers vragen. Bedrijven die actief zijn in de Europese Unie mogen databanken met persoonsgegevens opbouwen binnen de voorwaarden die worden gesteld in de Europese Privacyrichtlijn. Als de gegevens worden verwerkt, moet de eigenaar van de gegevens "ondubbelzinnige wijze en zonder dwang" toestemming geven.

Verwerking van gegevens moet in principe worden aangemeld bij nationale privacytoezichthouders als het College Bescherming Persoonsgegevens. De EC zal nog uitzoeken of en in hoeverre Microsoft zich moet houden aan de Privacyrichtlijn, schrijft Bolkestein. Microsoft heeft in ieder geval toegezegd zich te houden aan de zogeheten Veiligehavenbeginselen, zegt Bolkestein. Dit is een overeenkomst op vrijwillige basis over de Privacyrichtlijn tussen de Europese Commissie een aantal Amerikaanse bedrijven die veel zaken doen in de Europese Unie. Bedrijven die meedoen aan de 'veilige haven' garanderen dat ze een passende privacybescherming bieden aan gebruikers.

De Europese Privacyrichtlijn is zo streng dat zaken doen met landen als de Verenigde Staten die een minder strenge wettelijke bescherming van persoonsgegevens kennen voor veel bedrijven feitelijk onmogelijk wordt. De Verenigde Staten hebben zich fel verzet tegen de Privacyrichtlijn. Om een handelsoorlog te voorkomen hebben het Amerikaanse Department of Commerce en de Amerikaanse Europese Commissie "Veilige haven beginselen" (">safe harbor principles) opgesteld die bedrijven in de V.S. de mogelijkheid bieden om aan de vereisten van de Europese Richtlijn te voldoen.

Of Microsoft zich aan de Europese privacywetgeving moet houden is vooral afhankelijk van de lokatie waar het bedrijf zakendoet. De Nederlandse websites en diensten vallen waarschijnlijk onder het Nederlandse en Europese recht. De Europese Commissie zal tijdens het onderzoek naar Passport vermoedelijk tot de conclusie komen dat Passport in strijd is met de Europese Privacyrichtlijn, die in Nederland in de Wet bescherming persoonsgegevens (WBP) is vertaald. Volgens de richtlijn, die in alle lidstaten van de Europese Unie in nationale wetgeving is vertaald, moeten burgers altijd inzicht hebben in de gegevens die bedrijven over ze verzamelen. Ze hebben ook het recht deze gegevens te veranderen. Gegevens aan andere bedrijven geven of verkopen zonder toestemming mag ook niet.

Microsoft vraagt wel toestemming aan bijvoorbeeld Nederlandse gebruikers. Volgens de privacyverklaring op de MSN-site kunnen gegevens van Nederlandse gebruikers in het buitenland opgeslagen kunnen worden; "Gegevens waardoor personen kunnen worden geïdentificeerd, die worden doorgegeven aan de .NET Messenger Service, kunnen worden opgeslagen en verwerkt in de Verenigde Staten van Amerika of in een ander land waarin Microsoft of haar partners, dochterbedrijven of agenten actief zijn. Door de .NET Messenger Service te gebruiken stem je toe in het overbrengen van deze gegevens buiten je eigen land." (Privacybeleid van .NET Messenger Service)

Volgens de Nederlandse en Europese wetgeving is die toestemming voor het overbrengen van gegegevens naar een ander land niet voldoende. De consument moet ook controle kunnen uitoefenen op de verdere verwerking van de gegevens. Hij heeft ook het recht om de gegevens in te zien en terug te trekken. Deze mogelijkheden biedt Microsoft niet.

Justitie

Verontrustend is Bolkesteins antwoord op de vraag van Europarlementariër Meijer of opsporingsdiensten zonder toestemming vooraf van de betrokkene of de rechter bij de gegevensverzamelingen van Microsoft mogen. Volgens Bolkestein mogen opsporingsdiensten dit. Volgens de wet is volgens Bolkestein geen gerechtelijk bevel nodig "op voorwaarde dat het recht op verweer van de betrokkene wordt geëerbiedigd en dat de beperking van het recht op bescherming van de persoonlijke levenssfeer strikt noodzakelijk is voor het strafrechtelijk onderzoek".

In Nederland geldt dit overigens niet. Als de databases met persoonsgegevens van Passport-gebruikers op Nederlands grondgebied staan, heeft de politie een bevel van de rechter-commissaris nodig voordat ze inzage kan krijgen. Als voorstellen van de commissie-Mevis doorgaan, heeft de politie geen voorafgaande toestemming nodig om dergelijke gegevensverzamelingen in te zien.