Privacy en security bij Rekeningrijden en Kilometerheffing InfoSecurity 2010 Stefan Eisses, Rapp Trans
Jun 27, 2015
Privacy en security bijRekeningrijden en Kilometerheffing
InfoSecurity 2010Stefan Eisses, Rapp Trans
Ruim 20 jaar betaald rijden in Nederland
1988-1991: Rekening Rijden I
1992-1994: Spitsbijdrage
1995-2001: Rekening Rijden II
1999-2002: Expresbanen
2001-2002: Kilometerheffing
2007-2010: Kilometerprijs
1 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
2
Waarom komt beprijzing steeds weer terug ?
1. Files worden gestaag erger (directe kosten van files ca. 3,5 miljard in 2009)
2. Er valt niet tegen op te bouwen
3. Goede alternatieven ontbreken:
• Accijns flink verhogen alleen haalbaar in EU-verband
• Mobiliteitsmanagement, telewerken, carpooling, intensivering OV doenwel iets, maar niet genoeg als er geen prijsprikkels zijn
4. Toenemende zorg over milieu-impact van wegverkeer
5. Steeds meer beprijzing in Europa
2 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
Beprijzen in Europa
Tol
Vrachtheffing
Plannen vrachtheffing
Congestieheffing
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses3
4
Lessons identified
1. Breed draagvlak nodig
2. ‘Anders betalen’, niet ‘meer betalen’
3. Betalen + in de file staan is moeilijk te verkopen
4. Besteed aandacht aan zorgen over privacy
5. Window of opportunity = 1 kabinetsperiode
4 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
Privacy
Europese privacyrichtlijn en WBP
• Persoonsgegevens: gegevens met betrekking tot een identificeerbarenatuurlijke persoon
• Doelbinding
• Proportionaliteit
• Subsidiariteit
Uitzondering
• Vrije, gelijkwaardige, expliciete en bewuste keus van de burger
Specifiek voor betaald rijden
• Geen voertuigvolgsysteem
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses5
Rekeningrijden – II
• Tolcordons rond de 4 grote steden
• 5 / 7 gulden per passage (‘in-bound’) in de ochtendspits
• Betalen op kenteken, of:
• Elektronisch betalen met Chipknip of Chipper
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses6
Rekeningrijden en privacy
Elektronisch betalen via Chipknip
• Merchant (Belastingdienst) weet niet wie er betaald
• Plaats van passage tolpoort niet bekend bij verwerker (toen: Interpay)
• Bank heeft geen inzicht in transacties
Offensief Telegraaf en ANWB (2000)
• Meer betalen (melkkoe)
• Privacy weggebruiker in gevaar ! Purse_ID kan door verwerker herleidworden tot een rekeninghouder.
Aanvullende maatregel:
• Pre-paid (anonieme) Chipknip
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses7
Detection
line
Gantry 1 Gantry 2 Gantry 3
Rear
Registration
Presentation
zone
Wake Up
zone
Verification
zone
Localisation
zone
Front
Registration
Debiting
Walkantsysteem voor Rekeningrijden
8 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
Systeemtest Rekeningrijden A12
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses9
Kilometerprijs
Betalen naar gebruik
• Per verreden kilometer
• Personenauto’s, vrachtwagens en bussen
• Alle wegen in Nederland, zelfs op eigen terrein
• Differentiatie naar tijd, plaats en rijrichting
• Tarief hangt af van milieukenmerken voertuig
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses10
Kilometerprijs artist impression
11 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
Thin versus thick client
• Kilometerprijs geldt overal, alle ritten zijn van belang
• Autonome On-Board Unit met GPS
• Gegevens worden draadloos naar backoffice gestuurd
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses12
A. Verplaatsings-
gegevens verzamelen
B.Afstand
berekenen en Tariefcategorie
bepalen
C. Opstellen
verbruiks-declaratie
D. Verrijken (houder, voertuig)
E.Opleggen
heffingThin OBE
A. Verplaatsings-
gegevens verzamelen
B.Afstand
berekenen en Tariefcategorie
bepalen
C. Opstellen
verbruiks-declaratie
D. Verrijken (houder, voertuig)
E.Opleggen
heffingSmart OBE
13
Kilometerheffing en privacy
CBP : centrale verwerkingvan verplaatsingsgegevens= niet proportioneel
Alleen totalenrapporteren, verplaatsingsgegevenswel beschikbaar voor de gebruiker
Tenzij: vrije en bewustekeuze van de gebruiker
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
Dilemma’s
Privacy versus rechtsbescherming
• Hoe kan je een rekening betwisten als onderliggende verplaatsingsgegevens niet bekend zijn ?
Privacy versus beveiliging/handhaafbaarheid
• Hoe kan je fraude constateren als OBU alleen totalen rapporteert ?
Resterende zorgen over privacy
• Hoe weet ik dat het kastje inderdaad niet meer rapporteert dan ze zeggen?
• ‘De overheid kan altijd de schakelaar omzetten en dan toch zien waar iedereen gereden heeft’
• ‘Politie en opsporingsdiensten kunnen het kastje vorderen en alle details bekijken’
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses14
Organisatiemodel Kilometerprijs
1. Hybride model, Hoofdspoor + Garantiespoor
2. Publieke Inningsorganisatie, op termijn ook privaat
Inningsbureau(CJIB)
‘Smart’OBE
SP OBE
Service ProviderBackoffice
BeheerderOBE
Garantiespoor
EETS
HS
GS
15 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
16
Security concept Smart OBE
GNSS
+ aanv
sensoren
Trusted
Element
Declaraties en Event Berichten
Positie, tijd, ...
Gegevens voor handhaving (getekend)
DSRC
comms
Long range
comms
Micro-declaraties,
DDA’s, Events…
User log (getekend)
Secure Processing
Secure Environ-ment
Non-Secure Proc
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
17
Registreren van gereden kilometers
Verplaatsings-gegevens
verzamelen
Afstand berekenen
Tariefcategorie bepalen
Afstand opslaan per
Tariefcategorie (cumulatief)
Microdeclaratie vastleggen
Dagelijkse afstands-
aggregatie creëren
Declaratie creëren en versturen
bijv. 1 x per seconde
bijv. 1 x per 60 s
1 x per dag b.v. 1 x per week
Secure processing
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
Beveiligingsconcept Kilometerprijs
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses18
Verplaatsingsgegevens
wegkantcontrole
I
T0Digitale
Handtekening
Verplaatsings
declaratie T1
II
Digitale
Handtekening
Consolidatie
bericht T2
III
Digitale
Handtekening
Verbruiks
declaratie T3
secure/trusted omgeving auditeerbare omgeving
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses19
Beveiligingswaarborgen registratievoorziening
Common Criteria Certificatie vereist voor OBU (EAL 3)
Common Criteria Certificatie vereist voor TE (EAL 4+)
Protection Profile
1. Waarborg dat Microdeclaraties correct worden verwerkt in DDA’s
2. Secure counters
3. Secure channel met TE
4. Secure opslag van sleutels en crypto-bewerkingen
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses20
Functionaliteit voor handhaving (1)
Handhaving nodig om hoge mate van naleving te bereiken.
1. Controles op de weg via Handhavingsapparatuur
2. Controles in het backoffice
Opgevraagde gegevens door Handhavingsapparatuur (via DSRC):
1. Identificerende gegevens
2. Status OBE
3. Informatie van 2 recente Microdeclaraties
4. Digitaal ondertekend via TE (staat klaar)
Primaire Checks:
1. OBE werkt, Critical Event?
2. Registratie plausibel?
3. KMP Identiteit klopt met kenteken?
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses21
Functionaliteit voor handhaving (2)
Registratie van Events
• OBE monitort status en registreert Events, b.v.:
• Communicatiefouten
• Langere perioden zonder GNSS fix
• Overgang naar andere mode
Event rapportage via Long Range
• Event rapportage ook voor Beheer
Dank voor uw aandacht
22 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses