Pilot met een Trusted Third Party-procedure in de ODISSEI Secure Supercomputer (OSSC)

Geschreven door Lucas van der Meer (CTO, ODISSEI) en Evgeniia Krichever (Communicatiemanager, ODISSEI)

Samen met SURF en het CBS heeft ODISSEI een mijlpaal bereikt met een nieuw juridisch kader voor het gebruik van de ODISSEI Secure Supercomputer (OSSC). In de OSSC kunnen onderzoekers analyses van extreem gevoelige CBS-microdata uitvoeren door gebruik te maken van de krachtige rekenomgeving Snellius van SURF. Het juridische kader omvat nu een TTP-procedure (Trusted Third Party) die meer onderzoeksmogelijkheden biedt wanneer een onderzoeker de data niet rechtstreeks met het CBS kan delen. Een pilot van de TTP-procedure zal worden uitgevoerd door het Nederlands Tweelingen Register (NTR)


Wat is de OSSC?

De ODISSEI Secure Supercomputer (OSSC) bestaat uit een enclave van het Centraal Bureau voor de Statistiek (CBS) binnen het domein van SURF. Deze virtuele IT-omgeving biedt een high performance computeromgeving die voldoet aan de eisen van het CBS op juridisch, technisch en beveiligingsgebied. 

Bij de ontwikkeling van de OSSC stond de beveiliging van het systeem voorop. Elk onderzoeksproject heeft zijn eigen computeromgeving, die strikt gescheiden is van de omgevingen van andere projecten. Gegevens kunnen de omgeving niet verlaten, behalve voor de gecontroleerde gegevensuitwisseling tussen het CBS en SURF. Alleen bevoegde onderzoekers hebben toegang tot de OSSC via de bestaande analyseomgeving van het CBS (de CBS Remote Access-omgeving; RA). Zo behoudt het CBS, zoals wettelijk voorgeschreven, volledige controle over de OSSC-omgeving. 

Behoefte aan evaluatie

Sinds vijf jaar geleden met de OSSC van start is gegaan, zijn er veranderingen opgetreden in de manier waarop de OSSC gebruikt wordt. De werkafspraken tussen het CBS, SURF en de onderzoekers zijn aangepast ten behoeve van een optimale dienstverlening aan onderzoekers. Daarnaast zijn de verwerkingsovereenkomsten bij zowel het CBS als SURF geactualiseerd in lijn met de wetgeving van de Algemene Verordening Gegevensbescherming. De supercomputer Cartesius is vervangen door Snellius. Ook bleek een Trusted Third Party-procedure voor de OSSC nodig. Dit alles heeft geleid tot een nieuw juridisch kader voor de OSSC. 

Wat is er nieuw in het juridisch kader van de OSSC?

Het allerbelangrijkste is dat er nu gedetailleerde en precieze procedures zijn voor het gezamenlijk gebruik van de OSSC door het CBS en SURF. Deze procedures zijn een integraal onderdeel van de OSSC om ervoor te zorgen dat het CBS zich aan de CBS-regelgeving houdt, terwijl onderzoekers gebruik kunnen maken van de SURF-rekenfaciliteiten op CBS-microdata. Daarnaast zijn de service-level agreements (SLA’s) tussen SURF en het CBS vastgelegd. De technische architectuur van het systeem en de door beide partijen genomen beveiligingsmaatregelen maken nu deel uit van de overeenkomst. Deze omvatten een end-to-end VPN van CBS naar OSSC, gescheiden InfiniBand-partities in een sandboxomgeving, logboekregistratie bestandssystemen, logboekregistratie Linux-systemen en externe penetratietesten. En heel belangrijk, het juridisch kader omvat nu de mogelijkheid om een zogenaamde Trusted Third Party procedure te hanteren. 

De Trusted Third Party

Het concept van een Trusted Third Party (TTP) wordt vaak gebruikt in cryptografie wanneer twee partijen met elkaar willen communiceren maar geen specifieke gevoelige informatie willen vrijgeven. De TTP, een derde partij die door beide partijen vertrouwd wordt, helpt de communicatie op een veilige manier te laten verlopen. 

In de context van de OSSC, helpt de TTP-procedure onderzoekers die hun onderzoeksgegevens met CBS-microdata willen combineren, maar hun onderzoeksgegevens niet rechtstreeks naar het CBS kunnen sturen. Dit is vooral aan de orde bij gevoelige persoonlijke gegevens, zoals genetische gegevens. Deze gegevens worden strikt vertrouwelijk behandeld en over het algemeen niet met derde partijen gedeeld, al helemaal niet in combinatie met identificerende informatie. Een andere veelvoorkomende reden is dat de gegevens te groot zijn om effectief verwerkt te kunnen worden door de systemen van het CBS.

Bij een TTP-procedure als onderdeel van de OSSC treedt SURF op als een betrouwbare partij voor zowel het CBS als de onderzoeker. SURF voert dan een vooraf vastgestelde reeks stappen voor gegevensverwerking uit, waardoor het koppelen van gegevens mogelijk wordt. 

Hoe werkt de TTP? 

Stel je een complex onderzoeksproject voor waarbij microdata van het CBS gekoppeld worden aan gegevens uit het Nederlands Tweelingen Register (NTR). In dit project zijn de drie partijen die betrokken zijn bij het proces: NTR als de onderzoeker, CBS als leverancier van microdata en SURF als Trusted Third Party. 

Het CBS geeft geautoriseerde onderzoekers onder strikte voorwaarden toegang tot gevoelige CBS-microdata in een vertrouwde onderzoeksomgeving, zoals vastgelegd in haar toegangsvoorwaarden. Normaal gesproken zou het NTR haar gegevens naar het CBS sturen voor koppeling met de microdata van het CBS. Hoewel NTR formeel toestemming van de deelnemers in de studie heeft om dit te doen, is met hen afgesproken om genetische data niet te delen met partijen die de deelnemers mogelijk kunnen identificeren, zoals CBS. Daarom wordt de TTP toegepast: de identificatoren worden niet met CBS gedeeld maar met SURF, die een zorgvuldig opgestelde procedure volgt om de datasets van CBS en NTR aan elkaar te koppelen zonder toegang te hebben tot de gevoelig data van beide partijen en zonder dat CBS toegang heeft tot de gevoelige gegevens van NTR.

Dit wordt gedaan door de gevoelige gegevens van CBS en NTR te scheiden van de identificatoren van de gegevens, deze identificatoren in een specifieke volgorde te delen tussen CBS, NTR en SURF, waarna de identificatoren door SURF worden gekoppeld. Tot slot sturen de drie partijen de verwerkte identificatoren en datasets naar de OSSC voor toekomstige analyse door de onderzoeker (NTR in dit geval).

Het is belangrijk op te merken dat SURF geen verwerkingsverantwoordelijke wordt voor gevoelige gegevens. Op deze manier worden alle regels (de voorwaarden van alle drie partijen) nageleefd: CBS deelt de gevoelige gegevens alleen met NTR en niet met SURF, NTR deelt de eigen gegevens niet met CBS, en SURF heeft geen toegang tot de gevoelige gegevens van zowel CBS als NTR.

De boer, wolf, geit en kool

Een en ander kan duidelijker worden gemaakt door een vergelijking met de rivieroversteekpuzzel. Een boer is op weg naar de markt met een wolf, een geit en een kool. Hij moet een rivier oversteken. Gelukkig voor de boer ligt er een roeiboot, want hij kan niet zwemmen. In de roeiboot kan hij echter maar één andere passagier meenemen. De boer kan de geit niet alleen met de wolf laten (dan eet de wolf de geit op) maar ook de kool kan niet alleen met de geit gelaten worden (dan eet de geit de kool op). Er moet een plan bedacht worden dat aan deze voorwaarden voldoet en waarbij zo min mogelijk overtochten nodig zijn.

Deze situatie is enigszins vergelijkbaar met de hierboven beschreven onderzoekscasus: de boer, wolf, geit en kool hebben alle specifieke regels om met elkaar te kunnen functioneren, net zoals CBS, SURF en de onderzoeker dat hebben. Ze hebben een wederzijds belang. Door de stappen in een specifieke volgorde uit te voeren, kan het belang worden bereikt terwijl alle regels gevolgd worden. 

Om het probleem op te lossen moet de man eerst met de geit de rivier oversteken, de geit op de andere oever achterlaten en alleen terugkeren. Vervolgens neemt hij de wolf mee naar de overkant, laat hem daar achter en keert terug met de geit. Hij laat de wolf achter op de oever aan de overkant, steekt over met de kool en keert alleen terug. Uiteindelijk brengt hij de geit voor de tweede keer naar de oever waar hij heen wil, waardoor het probleem eindelijk is opgelost. (Een alternatieve oplossing is om wolf en kool in bovenstaande volgorde om te wisselen.)

Pilot

De komende maanden wordt een pilot van deze TTP-procedure uitgevoerd door het Nederlands Tweelingen Register (NTR). In de pilot testen CBS, SURF, ODISSEI en NTR of de procedure foutloos kan worden uitgevoerd terwijl aan alle beveiligingsmaatregelen wordt voldaan. Daarnaast onderzoeken de partijen of er aanpassingen nodig zijn om de procedure standaard beschikbaar te maken voor bepaalde OSSC-projecten. Naar verwachting zullen de resultaten van de pilot na de zomer bekend zijn. Daarna volgt een blogbericht over de procedure en de resultaten.

Over de partners: 

  • CBS: Het Centraal Bureau voor de Statistiek (CBS) heeft als taak het maken van statistieken. Daarvoor verzamelt het CBS gegevens, zoals microdata, van personen en organisaties. Het CBS geeft de hoogste prioriteit aan de bescherming van de vertrouwelijkheid van de gegevens. 
  • SURF: Een samenwerkingsverband van Nederlandse onderwijs- en onderzoeksinstellingen gericht op het verbeteren van digitale dienstverlening en het bevorderen van kennisdeling door innovatie.
  • ODISSEI: De nationale onderzoeksinfrastructuur voor de sociale wetenschappen in Nederland. ODISSEI maakt baanbrekend onderzoek mogelijk door middel van data, expertise en middelen.
  • NTR: Het Nederlands Tweelingen Register is een nationaal register waaraan tweelingen, meerlingen en hun ouders, broers en zussen, echtgenoten en andere familieleden deelnemen. Het onderzoek van het Nederlands Tweelingen Register richt zich op de rol van erfelijkheid bij geestelijke en lichamelijke gezondheid.