Hidden Automatic Navigator & SURFfederatie: toegang tot de digitale bibliotheek achter de schermen
User controlled privacy voor de SURFfederatie
description
Transcript of User controlled privacy voor de SURFfederatie
![Page 1: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/1.jpg)
User Controlled Privacyvoor de SURFfederatie9 December 2010, SURFnet relatiedagen
Maarten WegdamPrincipal Researcher @ Novay
Acknowledgement:SURFnet: Hans Zandbelt, Roland van Rijswijk, Eefje van der Harst, Remco Poortinga-van Wijnen and othersNovay: Ruud Janssen, Bob Hulsebosch, Dirk-Jan van Dijk and others
![Page 2: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/2.jpg)
Novay?
• Mission “to create breakthroughs in the way we work, live, and entertain ourselves, by creating and applying ICT-innovations”
• Onafhankelijk ICT onderzoeksinstituut• Voorheen Telematica Instituut• Innovatie projecten voor klanten• Networked innovation
2
![Page 3: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/3.jpg)
Wat te verwachten?
• Doel• Keuzes & prototype• Pilot & enquete uitkomsten
• Uw mening!!! (stemkastjes)
3
![Page 4: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/4.jpg)
Een intro: user consent
• Trend: user centric identity• Empower user to control his/her identity• Zie ook: Laws of Identity by Cameron• Waarom: juridisch, ethisch and
gebruikers acceptatie• Hoe: inzicht and controle over de
uitgewisselde data
4
![Page 5: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/5.jpg)
SURFfederatie
• Federatie voor hoger onderwijs en onderzoek• ~700k users, >60 IdPs, ~30 SPs• Beperkt delen van attributen• Trust framework• Multi-protocol, inclusief SAML & WS-Federation
5
IdP
IdP
IdP
IdPSP
SP
SP
SP
hub
![Page 6: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/6.jpg)
Onderzoeksvraag: willen gebruikers consent, en zo ja, hoe?
6
![Page 7: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/7.jpg)
Een gecompliceerde trade-off voor consent
Begrijpelijk
7
![Page 8: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/8.jpg)
Privacy houding
8
[Privacy indexes: a survey of Westin’s studies. Kumaraguru, Faith Cranor. ISRI technical report, december 2005.]
![Page 9: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/9.jpg)
Werkwijze
• State-of-the-art• Ontwerp web-redirect based consent
• Niet SAML/OpenID protocol specifiek …
• 5 richtlijnen (volgende slides)
• Gebaseerd op vak literatuur, academische literatuur en bestaande implementaties
• 2 rondes van kleinschalige gebruikersstudies• Een grote pilot met 2 enquetes
9
![Page 10: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/10.jpg)
Opzet gebruikerstudies
• Klein/kwalitatief, diepgaand• Eerste studie: met mockups
• Co-discovery, 9 * 2 mensen, 3 instellingen, mix studenten & werknemers, vragenlijst
• Willen ze consent, of laten ze het liever over aan hun instelling?
• En: feedback over de trade-off in onze mockup
• Tweede ronde: met prototype• Focus op de trade-off
• Mockups van varianten10
![Page 11: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/11.jpg)
Voorbeeld gebruikersinterface
11
![Page 12: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/12.jpg)
Uitkomst gebruikersstudies
Ja: SURFfederatie gebruikerswillen user controlled privacy
Hoe om te gaan met de trade-offs: zie volgende slides …
12
![Page 13: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/13.jpg)
13
We besloten voor SURFfederatie niet per-attribute consent te implementeren, te ingewikkeld.
Vraag altijd consent vooruitwisselen van data
0 Consent
![Page 14: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/14.jpg)
14
We laten de eigenlijke waardes zien, leggen uit hoe de SURFfederatie werkt, wat de rol van de hub is, and linken naar privacy verklaring
Maak duidelijk wie welkeinformatie uitwisseld
1 Informeer
![Page 15: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/15.jpg)
15
We bieden alleen ‘timed consent’ aan, geen ‘altijd’, mensen vergeten immers …
Maak het mogelijk consent voortoekomstige logins te geven
2 Automatiseer
![Page 16: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/16.jpg)
We decided to only have ‘timed’ automation, people forget…
16
wordt langer
Maak het mogelijk consent voor toekomstige logins te geven
2 Automatiseer
![Page 17: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/17.jpg)
17
Moeilijk te doen met web-browsers zonder gebruiker erg te storen
Notificeer gebruiker wanneerinformatie wordt uitgewisseld (in
die context) Ook als al consent gegeven is
3 Notificatie
![Page 18: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/18.jpg)
18
Inclusief welke attributen consent voor is gegeven, maar geen log
Verschaf een overzicht van verstrekte consent, en maak intrekken hiervan mogelijk
4 Intrekken consent
![Page 19: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/19.jpg)
19
Including what attributes are included in consent, but no log.
Verschaf een overzicht van verstrekte consent, en maak intrekken hiervan mogelijk
4 Intrekken consent
![Page 20: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/20.jpg)
Gebruikersstudie – andere punten• Waarom hebben service providers
mijn attributen nodig?• Wat gebeurt er na de consent met
mijn data? Geen oplossing hiervoor …• Wat doet SURFnet hier? Web-
interface draait op de SURFnet hub.
20
![Page 21: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/21.jpg)
Pilot & enquete
• TUD, RuG, Univ Leiden• Legal Intelligence, Prof, SURFdiensten• Tweetalig• 1043 participanten (18%), 507 enquête• 2 maanden
21
![Page 22: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/22.jpg)
Hoofdconclusie 1
22
![Page 23: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/23.jpg)
Hoofdconclusie 2
23
20%
42%
28%
8%
2%0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
1 2 3 4 5
The new option is a good add-on to the SURFfederatie(1=absolutely; 5=not at all)
![Page 24: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/24.jpg)
Check op te veel privacy fundamentalisten:representatief
24
![Page 25: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/25.jpg)
Timed consent• Wil 87% van de gebruikers!• Geen heldere voorkeur hoe lang …
25
![Page 26: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/26.jpg)
Consent op hub of bij instelling?
26
Hub+ eenmalig
+ analoog aan huidige attribuut filtering
- hub wordt ‘dikker’
- hub wordt zichtbaar
Instelling+ ‘logische’ plek
- deel gebruikte software zal dit niet ondersteunen, aanpassingen nodig
![Page 27: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/27.jpg)
Conclusie en volgende stappen
• Gebruikers willen user controlled privacy• Huidige prototype is een goede invulling• Open staan
• Willen de andere stakeholders dit wel?• Voor alle instellingen of ieder kan kiezen?• Op de hub of bij elk van de instellingen
implementeren?
• SURFnet zal besluiten dit of/hoe dit te doen
27
![Page 28: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/28.jpg)
Vragen?voordat we gaan ‘stemmen’
28
More information: report: User controlled privacy voor de SURFfederatie (Dutch)report: User controlled privacy voor de SURFfederatie: een gebruikersstudie (Dutch)report: Outcome user controlled privacy pilot, to appear Dec 2010 (English)blog post: http://maarten.wegdam.name/2010/03/11/user-centric-saml/email: [email protected]
![Page 29: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/29.jpg)
backup
29
![Page 30: User controlled privacy voor de SURFfederatie](https://reader034.fdocuments.net/reader034/viewer/2022051818/5496d70cb479597e6a8b6308/html5/thumbnails/30.jpg)
30