Secure Multi Party Computation

door | 22 december 2020

Leestijd: 10 minuten

Kan Secure Multi Party Computation een oplossing zijn om het niet gebruik van regelingen van de SVB terug te dringen? Dit is de belangrijkste vraag van dit experiment. Een regeling waar veel niet gebruik zit is de aanvullende inkomensvoorziening ouderen, afgekort AIO. Hier lees je meer over de techniek Multi-Party Computation en de ambitie die wij hebben om deze in te zetten voor het terug dringen van het niet-gebruik AIO.

Wat is AIO?

Indien AOW gerechtigden onder het bestaansminimum (bijstandsniveau) zitten dan hebben zij recht op een aanvulling, deze aanvulling heet: aanvullende inkomensvoorziening ouderen (AIO). Deze aanvulling dient echter wel zelf aangevraagd te worden door de gerechtigde. Uitdaging voor de SVB hierin is dat veel mensen niet weten dat deze toeslag bestaat. Daarbij komt dat de SVB geen inzage heeft in het inkomen van de burger waardoor er niet proactief gestuurd kan worden op informatievoorziening naar de juiste burgers. Uit onderzoek van de Algemene Rekenkamer blijkt dat tussen de 48% en 56% van de AIO-rechthebbende huishoudens op 1 januari 2017 geen AIO ontving (afgeronde percentages). Mede hierdoor hebben 34.000 (48%) tot 50.000 (56%) huishoudens een inkomen onder het bestaansminimum. In de tweede kamer is dit onderwerp meerdere keren besproken en is er opgeroepen om te komen tot oplossingen voor het terugdringen van het niet gebruik AIO.

Hoe zouden we het kunnen oplossen?

De SVB zou iedereen die AOW krijgt een brief kunnen sturen met het feit dat een toeslag als deze bestaat. Echter, staat het sturen van meer dan 3 miljoen brieven om hiermee de doelgroep van 50.000 mensen te bereiken niet in verhouding tot het te bereiken doel. In 2018 is daarom een eerste aanzet gedaan om een samenwerking met het UWV te bewerkstelligen. Het UWV is verantwoordelijk voor het beheer van de polis administratie. De polis administratie is een register waarin de meeste Nederlandse inkomstengegevens worden opgeslagen. Hieronder vallen de arbeidsvergoedingen van werkgevers aan werknemers, maar ook bijvoorbeeld sociale uitkeringen, lijfrentes en pensioenen. Het doel was om de polis administratie van het UWV te koppelen aan de AOW gerechtigden om op deze manier inzage te krijgen in potentieel AIO gerechtigden. De SVB zou deze mensen kunnen inlichten over de AIO toeslag en hiermee burgers onder het bestaansminimum financieel kunnen ondersteunen.

Hoe zit het dan met de privacy?

Om te achterhalen of dit volgens de wet en regelgeving mag wordt er een privacy impact assessment (PIA) geschreven. Uit deze PIA kwam boven dat het verwerken van miljoenen inkomensgegevens om 50.000 burgers te bereiken niet proportioneel is. Daarom viel ook deze manier van het bereiken van de juiste doelgroep af.

Presentatie door TNO over MPC

Eind 2019 was er bij de SVB een presentatie van TNO over de nieuwe cryptografische rekentechniek Secure Multi Party Computation (MPC). MPC is een functionaliteit waarbij een gezamenlijke database valt te genereren zonder dat de data onthult hoeft te worden aan elkaar. De deelnemende partijen bepalen wie de uitkomst van de berekening mag inzien. Al snel is er binnen Novum enthousiast gereageerd om deze techniek te gaan proberen in te zetten voor het terugdringen van het niet-gebruik AIO.

Aftasten samenwerkingsverband

Na een eerste ontmoeting tussen TNO, SVB en UWV is besloten dat er een proof of concept (PoC) wordt geïnitieerd door Novum. Mocht deze succesvol zijn dan zal de SVB het voortzetten middels een project waarin het is opgedeeld in een pilot en productiefase.

Het doel van het algehele project is:

  1. In kaart brengen van potentieel AIO gerechtigden zodat de SVB in contact kan komen en daarmee het AIO niet gebruik terug kunnen dringen
  2. Een veilige data uitwisseling met het UWV zodat gebruik gemaakt kan worden van inkomensgegevens, waarbij de meest minimale inbreuk wordt gemaakt op de privacy
  3. Schrijven van een goedgekeurde PIA zodat de uitwisseling juridisch gezien mogelijk wordt
uitleg in plaatje spoor 1

Tijdens de PoC fase lopen er twee parallelle sporen . Hiermee wordt er gewerkt aan de technische kant (spoor 1) en de juridische kant (spoor 2) van MPC. Tijdens deze fase wordt er alleen gewerkt met fake data. Het kan zijn dat de technische kant succesvol is maar de juridische kant niet. Beide sporen moeten positief worden afgerond om een go te krijgen voor de volgende fase . Indien dat het geval is wordt er doorgewerkt naar een pilotfase . In deze fase worden de learnings van de PoC fase verwerkt in het MPC model om in een eerste tranche 1000 burgers te kunnen bereiken die potentieel AIO gerechtigd zijn.

Start van de PoC

Tijdens een eerste formele sessie met TNO,SVB en UWV zijn eerst mogelijke MPC oplossingen voorgedragen door TNO. Hierop heeft het team twee varianten uitgewerkt. Om een goed beeld te schetsen van de geboden oplossingen is het goed om deze te vergelijken met de 0-variant, de uitwisseling die in 2018 is afgekeurd door middel van een PIA.

De 0-variant

De SVB stuurt AOW gerechtigden BNS nummers encrypted naar het UWV. UWV decrypt en stuurt de inkomensgegevens van deze BSN nummers encrypted naar de SVB. De SVB kan hiermee inzien met welke burgers contact opgenomen kan worden om te informeren over de mogelijke AIO toeslag.

Uitleg over de 0-variant

MPC: Homomorfe encryptie

  1. De SVB maakt een dataset van potentieel AIO gerechtigden en versleutelt die met MPC
  2. De SVB stuurt de met MPC versleutelde dataset naar het UWV
  3. UWV maakt een kopie van de BSN & inkomen gegevens en maakt deze encrypted.
  4. Op basis van de encrypted dataset van de SVB wordt de encrypted dataset van het UWV gefilterd zodat alleen de door de SVB gevraagde BSN nummers er in zitten.
  5. Deze encrypted dataset wordt naar de SVB gestuurd
  6. Op de encrypted dataset worden bij de SVB berekeningen gedaan (inkomen huishouden, bruto netto inkomen, boven/onder drempelwaarde)
  7. Er ontstaat een encrypted dataset van potentieel AIO gerechtigden
  8. Deze set wordt naar het UWV gestuurd om te filteren op “ja” en vervolgens te decrypten
  9. De BSN nummers met een “ja” worden naar de SVB gestuurd
  10. SVB heeft de potentieel AIO gerechtigden inzichtelijk
Uitleg over de homomorfe encryptie

MPC: Secret Sharing

Vooraf wordt besloten waar (SVB of UWV) de berekeningen plaatsvinden (bruto/netto, huishouden, etc). De BSN gegevens worden binnen de SVB d.m.v. een algoritme in twee aparte datasets gesplitst. De ene helft van de dataset blijft bij de SVB, de andere helft van de dataset gaat versleuteld naar het UWV. Bij het UWV gebeurt exact hetzelfde met de polis administratie datasets. Vervolgens wordt er versleuteld uitgewisseld waarbij er gelijktijdig matches worden gemaakt. Dit resulteert in een overzicht van BSN nummers die bij de SVB ontsleutelt kunnen worden. De potentieel AIO gerechtigden kunnen daarna benaderd worden.

Uitleg over de homomorfe encryptie

De keuze

Het heeft relatief lang geduurd alvorens er door het projectteam een MPC beslissing is gemaakt. Variant homomorfe encryptie & secret sharing hebben beide voor- en nadelen, zie overzicht hieronder. Uiteindelijk was doorslaggevend dat de werkzaamheden grotendeels bij de SVB zouden moeten blijven, gezien de SVB ook wettelijk de uitvoerende instantie is voor AIO en niet het UWV. Bij Secret Sharing zouden de berekeningen verdeeld worden over de twee organisaties wat tot extra werk zou leiden bij het UWV. Een tweede belangrijke reden om niet voor Secret Sharing te kiezen is de nieuwe manier van gegevens uitwisselen. Indien er gegevens uitgewisseld worden tussen UWV en SVB wordt er gebruik gemaakt van een kluis, hierin worden grote bestanden in één keer verstuurd. Homomorfe encryptie ondersteunt deze manier van uitwisselen. Bij Secret Sharing worden miljoenen keren hele kleine deeltjes heel vaak uitgewisseld. Hiervoor dient een nieuwe infrastructuur gebouwd te worden aan de UWV én SVB kant.

Uitleg over de keuze overzicht

Op basis van gesprekken met UWV & SVB architecten/IT/AIO experts lijkt Homomorfe Encryptie grootste kans van slagen te hebben met de minste impact op huidige infrastructuur.

Voortschrijdend inzicht is geen zwakte maar wijsheid

Gedurende de PoC fase is het projectteam steeds dieper in de materie gedoken. Het zou heel makkelijk zijn geweest om een PoC met fake data te maken, hier een bewijs van te leveren dat het werkt en hierop een PIA schrijven. Echter zou dit tot enorme tegenslagen tijdens de pilotfase kunnen leiden. Daarom heeft het team gedurende het traject al heel veel uitzoekwerk moeten uitvoeren wat eigenlijk in de pilotfase thuishoort . Want wat heeft de SVB aan een succesvolle PoC waarbij getest wordt op fake data wat uiteindelijk nooit op de infrastructuur kan worden aangesloten bij UWV en SVB. .
Belangrijke vraagstukken die zijn opgepakt waren voorberekeningen versimpelen & inkomensberekening versimpelen door middel van supervised machine learning. Dit kostte tijd van het team om navraag te doen bij collegae, uitzoek werk te verrichten en de oplossingen te toetsen bij juristen. Tegelijkertijd was het van belang om de tijdlijnen en budget scherp te houden. R isico zou zijn dat het project team zou eindigen met een halve PoC en halve pilot en zonder budget om het project af te maken. De oplossing voor deze uitdaging was simpel, zodra er iets uitgezocht moest worden was de zoektocht niet naar het antwoord maar naar een inschatting van de mogelijkheid dat dit tijdens de pilotfase tot een positief antwoord zou leiden. Een voorbeeld hierin is de inkomensberekening versimpelen. Hiervoor dient een supervised machine learning model gemaakt te worden. Echter, binnen het huidige PoC budget is dat niet realistisch. Daarom is de vraag niet gesteld om een model te maken, de vraag is gesteld in hoeverre acht men de mogelijkheid om een bruikbaar model te maken in de pilot fase realistisch met de gegeven data die nu beschikbaar is. Dit heeft aan de ene kant voldoende informatie gegeven om knopen door te hakken, niet voor verrassingen komen te staan tijdens de pilotfase én een helder overzicht gegeven van te verwachten resources in de pilotfase .
Dit heeft gezorgd voor een aangepaste projectopzet naar gelang het project zich voortzette:

Uitleg over spoor 2

Bouwen van de PoC

Het bouwen van de PoC staat voor de maand december en januari gepland. Halverwege februari zal de PoC fase afgerond worden dmv een demo. Vóór eind februari zal het tweede deel van het artikel gedeeld worden. In dit artikel beschrijven we de genomen stappen van de bouw van de PoC en laten we de demo zien van de opgeleverde MPC techniek voor het terugdringen niet gebruik AIO.

Meer weten over MPC of het experiment?

2 + 8 =

Deel dit artikel