Het akkoord van 29 juni 2023 betekent een belangrijke stap op weg naar de herziening van de zogenaamde eIDAS-verordening, die voorziet in uniforme regels voor het aanbod van apps om in de hele EU digitaal je identiteit te tonen. Nationale overheden maken op grond van die normen een eigen app. Nederland wil daarin voorop lopen met een open source app. Er worden momenteel vier grote testprojecten voor de European Digital Identity Wallet in gang gezet, drie met Nederlandse deelname.
De Tweede Kamer debatteerde eerder heftig met staatssecretaris Van Huffelen, die – tegen de uitdrukkelijke wil van de Kamer in – instemde met het EU-voorstel. Iets dat de demissionaire regering wel vaker deed: zich niets aantrekken van de volksvertegenwoordiging.
De ontwikkeling van een eigen ‘wallet’ vindt de Europese Unie noodzakelijk om een bres op te werpen tegen de opmars van Big Tech met eigen wallets voor eID en tegen de al bestaande identificatie op grote schaal op websites met de eID’s van Facebook, Apple, Google en Twitter. Ironie is dat een eigen Europees stelsel van normen deze Amerikaanse platforms in de kaart kunnen spelen.
Zoals Jaap-Henk Hoepman betoogt in een Clingendael-artikel is de rol van deze grootmachten dan allerminst uitgespeeld: ‘We worden afhankelijk van hun goedwillendheid wat betreft de controle over en de beschikbaarheid van een essentiële component van onze democratische rechtsorde: het vaststellen van identiteit, van burgerschap.’
Hebben al een eID
Volgens de EU maakt een eID wederzijdse erkenning van nationale elektronische identificatieregelingen over de grenzen heen mogelijk zonder daartoe overgeleverd te zijn aan de commerciële aanbieders. Maar over de nadelen geen woord.
Het vastleggen en tonen van een identiteit is essentieel voor het burgerschap. Echter, iedere burger heeft via paspoort en rijbewijs al gedigitaliseerde identiteitsbewijzen. Op de ingebouwde chip is identiteit inclusief foto, BSN en vingerafdruk eenduidig vastgelegd, met de mogelijkheid tot elektronische communicatie. Wat is de meerwaarde van extra digitale attributen?
Wat is erop tegen om op grond hiervan de verantwoordelijkheid voor een eigen digitale identiteit bij de burger zelf te leggen? Dit paspoort en rijbewijs kunnen we als attributen van digitale identiteit aanmaken en beheren in een wallet, zonder enige bemoeienis van bedrijven of Europese overheid.
Afspraken en standaarden
De EU kan zich beter beperken tot eenvoudige afspraken waaraan de bestaande digitale identiteiten moeten voldoen, zoals zoveel afspraken en standaarden die we met elkaar in Europees verband hebben opgesteld. Echter, de ambitieuze Europese eID-plannen vormen in vergelijking met ons simpele paspoort en DigiD een grote black box. Het risico is levensgroot dat het project te complex wordt met nieuwe gevaren en afhankelijkheden.
Ieder land heeft een eigen DigID gebaseerd op eigen standaarden, waarmee grensoverschrijdend gebruik nu niet mogelijk is. Eigenlijk zouden we een Europese DigID nodig hebben om dat ‘probleem’ op te lossen. Hiervoor trad in 2014 de zogenaamde eIDAS-verordening in werking om dat te regelen. Onze DigID is sinds 2020 ook erkend als Europees inlogmiddel. Probleem opgelost, zou je denken.
De Web3 wereld ontwikkelt zich in rap tempo en wallets op mobiele telefoons zijn gereed om digitale ‘identiteitspapieren’ te herbergen. Apple profileert zich als commerciële partner van Amerikaanse staten om de eID te gaan verzorgen. De Commissie ziet dat als een bedreiging voor haar soevereiniteit. Het Europese coronapaspoort heeft de wens voor een eigen digitale eID versneld. Eigenlijk passeert de EU hiermee de nationale elektronische identificatiemiddelen die prima aan de eisen van de EU voldoen.
De EU-normen voorzien in veel meer dan ontsluiting van het BSN, hetgeen DigID nu doet, zoals van trouwboekje tot diploma en van rijbewijs tot vaccinatiestatus. De Commissie zegt dat te doen om de fundamentele rechten van de burger te beschermen en deze betere controle over zijn privacy te geven.
Vraag is natuurlijk of je een overheid en bedrijven toegang wilt verlenen tot zoveel persoonlijke attributen, die nu decentraal rondom de burger en door die burger zijn opgeslagen en toegankelijk zijn. Ook wel het gevaar van over-identificatie genoemd: personen en instanties die je toegang geeft tot de wallet kunnen mogelijk meer informatie zien, dan op dat moment puur noodzakelijk.
Gevaar van over-identificatie
Het coronapaspoort maakte duidelijk dat informatie over iemands gezondheid makkelijk als toegangscriterium kan worden opgelegd. Een Europees eID heeft zeker dit gevaar in zich. Vanuit ‘bescherming’ zou men kunnen controleren of iemands financiële situatie gezond is, bij toegang tot een casino of de aankoop van dure goederen. Tijdens de coronacrisis hebben we gezien dat in dergelijke situaties bestuurders te gemakkelijk naar deze maatregelen grijpen.
Daarom is zo’n in potentie ‘niet te stoppen’ centraal beheerde, digitale identiteit iets dat je niet zou moeten willen. Niet vanuit de rechten en de vrijheid van de burger en ook niet vanuit de onze grondrechten.
Bovendien mag het vaststellen van iemands identiteit nooit afhankelijk worden van een digitaal platform. Ook in een niet digitale wereld moet identificatie en authenticatie mogelijk blijven. We hebben met het coronapaspoort al gezien tot wat voor problemen dat leidde bij ouderen en andere niet of minder digitaal vaardigen.
*) Hans Timmerman is werkzaam als data-expert een versie van deze column verscheen eerder bij Risk & Compliance.