Your SlideShare is downloading. ×
User controlled privacy voor de SURFfederatie
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

User controlled privacy voor de SURFfederatie

567
views

Published on

In Dutch!! …

In Dutch!!
As presented on the SURFnet relatiedagen 2010, on 9 december. Including the the outcome of the pilot and survey.


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
567
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. User Controlled Privacyvoor de SURFfederatie9 December 2010, SURFnet relatiedagenMaarten WegdamPrincipal Researcher @ Novay Acknowledgement: SURFnet: Hans Zandbelt, Roland van Rijswijk, Eefje van der Harst, Remco Poortinga-van Wijnen and others Novay: Ruud Janssen, Bob Hulsebosch, Dirk- Jan van Dijk and others
  • 2. Novay? • Mission “to create breakthroughs in the way we work, live, and entertain ourselves, by creating and applying ICT-innovations” • Onafhankelijk ICT onderzoeksinstituut • Voorheen Telematica Instituut • Innovatie projecten voor klanten • Networked innovation2
  • 3. Wat te verwachten? • Doel • Keuzes & prototype • Pilot & enquete uitkomsten • Uw mening!!! (stemkastjes)3
  • 4. Een intro: user consent • Trend: user centric identity • Empower user to control his/her identity • Zie ook: Laws of Identity by Cameron • Waarom: juridisch, ethisch and gebruikers acceptatie • Hoe: inzicht and controle over de uitgewisselde data4
  • 5. SURFfederatie • Federatie voor hoger onderwijs en onderzoek • ~700k users, >60 IdPs, ~30 SPs • Beperkt delen van attributen • Trust framework • Multi-protocol, inclusief SAML & WS-Federation IdP SP hub IdP SP IdP SP5 IdP SP
  • 6. Onderzoeksvraag: willen gebruikers consent, en zo ja, hoe?6
  • 7. Een gecompliceerde trade-off voor consent Begrijpelijk7
  • 8. Privacy houding [Privacy indexes: a survey of Westin’s studies. Kumaraguru, Faith Cranor. ISRI technical report, december 2005.]8
  • 9. Werkwijze • State-of-the-art • Ontwerp web-redirect based consent • Niet SAML/OpenID protocol specifiek … • 5 richtlijnen (volgende slides) • Gebaseerd op vak literatuur, academische literatuur en bestaande implementaties • 2 rondes van kleinschalige gebruikersstudies • Een grote pilot met 2 enquetes9
  • 10. Opzet gebruikerstudies • Klein/kwalitatief, diepgaand • Eerste studie: met mockups • Co-discovery, 9 * 2 mensen, 3 instellingen, mix studenten & werknemers, vragenlijst • Willen ze consent, of laten ze het liever over aan hun instelling? • En: feedback over de trade-off in onze mockup • Tweede ronde: met prototype • Focus op de trade-off • Mockups van varianten10
  • 11. Voorbeeld gebruikersinterface11
  • 12. Uitkomst gebruikersstudies Ja: SURFfederatie gebruikers willen user controlled privacy Hoe om te gaan met de trade- offs: zie volgende slides …12
  • 13. 0 Consent Vraag altijd consent voor uitwisselen van data We besloten voor SURFfederatie niet per-attribute consent te implementeren, te ingewikkeld.13
  • 14. 1 Informeer Maak duidelijk wie welke informatie uitwisseld We laten de eigenlijke waardes zien, leggen uit hoe de SURFfederatie werkt, wat de rol van de hub is, and linken naar privacy verklaring14
  • 15. 2 Automatiseer Maak het mogelijk consent voor toekomstige logins te geven We bieden alleen ‘timed consent’ aan, geen ‘altijd’, mensen vergeten immers …15
  • 16. 2 Automatiseer Maak het mogelijk consent voor toekomstige logins te geven We decided to only have ‘timed’ automation, people forget… wordt langer16
  • 17. 3 Notificatie Notificeer gebruiker wanneer informatie wordt uitgewisseld (in die context) Ook als al consent gegeven is Moeilijk te doen met web-browsers zonder gebruiker erg te storen17
  • 18. 4 Intrekken consent Verschaf een overzicht van verstrekte consent, en maak intrekken hiervan mogelijk Inclusief welke attributen consent voor is gegeven, maar geen log18
  • 19. 4 Intrekken consent Verschaf een overzicht van verstrekte consent, en maak intrekken hiervan mogelijk Including what attributes are included in consent, but no log.19
  • 20. Gebruikersstudie – andere punten • Waarom hebben service providers mijn attributen nodig? • Wat gebeurt er na de consent met mijn data? Geen oplossing hiervoor … • Wat doet SURFnet hier? Web- interface draait op de SURFnet hub.20
  • 21. Pilot & enquete • TUD, RuG, Univ Leiden • Legal Intelligence, Prof, SURFdiensten • Tweetalig • 1043 participanten (18%), 507 enquête • 2 maanden21
  • 22. Hoofdconclusie 122
  • 23. Hoofdconclusie 2 The new option is a good add-on to the SURFfederatie (1=absolutely; 5=not at all)45%40% 42%35%30% 28%25%20% 20%15%10% 8%5% 2%0% 23 1 2 3 4 5
  • 24. Check op te veel privacy fundamentalisten: representatief24
  • 25. Timed consent • Wil 87% van de gebruikers! • Geen heldere voorkeur hoe lang …25
  • 26. Consent op hub of bij instelling? Hub Instelling + eenmalig + ‘logische’ plek + analoog aan huidige - deel gebruikte software attribuut filtering zal dit niet ondersteunen, aanpassingen nodig - hub wordt ‘dikker’ - hub wordt zichtbaar26
  • 27. Conclusie en volgende stappen • Gebruikers willen user controlled privacy • Huidige prototype is een goede invulling • Open staan • Willen de andere stakeholders dit wel? • Voor alle instellingen of ieder kan kiezen? • Op de hub of bij elk van de instellingen implementeren? • SURFnet zal besluiten dit of/hoe dit te doen27
  • 28. Vragen? voordat we gaan ‘stemmen’More information:report: User controlled privacy voor de SURFfederatie (Dutch)report: User controlled privacy voor de SURFfederatie: een gebruikersstudie (Dutch)report: Outcome user controlled privacy pilot, to appear Dec 2010 (English)blog post: http://maarten.wegdam.name/2010/03/11/user-centric-saml/email: maarten.wegdam@novay.nl28
  • 29. backup29
  • 30. 30