Een Digitale EU identiteit, nuttig of overbodig...?
Europees Parlement en EU-Raad bereikten afgelopen week een voorlopig (!?) politiek akkoord over een Europese digitale identiteit (eID). De Tweede Kamer debatteerde eerder heftig met staatsecretaris van Huffelen, die – tegen de uitdrukkelijke wil van de Kamer in – tóch ingestemde met het EU-voorstel. Iets dat de regering – dit weekend gevallen – wel vaker deed: zich niets aantrekken van de volksvertegenwoordiging. Ironie is dat een eigen Europese app voor Apple en Google platformen, Europa juist afhankelijk maakt van de Big Tech industrie. Zoals een Clingendael artikel terecht concludeert: ‘We worden afhankelijk van hun goedwillendheid wat betreft de controle over en de beschikbaarheid van een essentiële component van onze democratische rechtsorde: het vaststellen van identiteit, van burgerschap.’
Onze identiteit is (deels) al digitaal
Het hebben van een identiteit is essentieel; zonder identiteit ben je geen burger. Iedere burger heeft via een geboortebewijs en paspoort al een gedigitaliseerd identiteitsbewijs. Immers op de ingebouwde chip is identiteit inclusief foto, BSN en vingerafdruk eenduidig vastgelegd, inclusief de mogelijkheid tot elektronische communicatie. Wat is de meerwaarde van het hebben van extra digitale attributen? Officieel zegt de EU dat ‘een eID [maakt] wederzijdse erkenning van nationale elektronische identificatieregelingen over de grenzen heen mogelijk. Online identificeren zonder beroep te doen op commerciële aanbieders’ met vervolgens een lange lijst voordelen voor burger en bedrijven.
Maar over de nadelen geen woord. De overheid legt identiteit bij geboorte vast en verifieert die op verzoek. Eigenlijk moet je de verantwoordelijkheid voor een eigen digitale identiteit bij de burger zelf leggen. Het mooie is dat dat technisch al mogelijk is. Op basis van bestaande identificatiemogelijkheden – zoals ons paspoort – een eigen digitale identiteit met attributen zoals rijbewijs, aanmaken en beheren. Zonder enige bemoeienis van commerciële bedrijven of een Europese overheid. Immers in een digitale wallet op je eigen mobiele telefoon kan iedereen zijn identiteit al digitaal vastleggen, dit formeel laten bevestigen en hiermee zich online verder te identificeren. Wat is de meerwaarde dat de EU zich hiermee bemoeit?
Afspraken en standaarden
Als de EU zou stellen dat zij de afspraken en standaarden wil opstellen waaraan een digitale identiteit moet voldoen opdat deze in heel Europa te gebruiken is, zou dat logisch zijn. Zoals zoveel afspraken en standaarden die we met elkaar in Europees verband hebben opgesteld. Echter de ambitieuze plannen voor de Europese digitale identiteit is in vergelijking met ons simpele bestaande paspoort, een hele grote black box. De kans is levensgroot dat het project veel te complex wordt en daardoor allerlei nieuwe gevaren en afhankelijkheden zal opleveren.
Ieder land heeft een eigen DigID gebaseerd op eigen standaarden. Maar daarmee is grens-overschrijdend gebruik van nationale systemen niet zomaar mogelijk. Dit bemoeilijkt de online toegang tot buitenlandse (overheids)diensten. In essentie doet DigiD maar één ding: de identiteit van een online bezoeker verifiëren en vervolgens het Burger Service Nummer (BSN) van de bezoeker doorgeven als identiteit. Om die reden kan en mag DigiD alleen voor publieke onlinediensten gebruikt worden. Eigenlijk zouden we een Europese DigID nodig hebben om dat ‘probleem’ op te lossen. Hiervoor trad in 2014 de zogenaamde eIDAS-verordening in werking om dat te regelen. Onze DigID is sinds 2020 ook erkend als Europees inlogmiddel. Probleem opgelost, zou je denken.
Waarom dan toch een Europese identiteit?
De Web3 wereld ontwikkelt zich in rap tempo en wallets op mobiele telefoons zijn gereed om digitale ‘identiteitspapieren’ te herbergen. Apple is zelfs al bezig met de TSA en diverse staten in de VS om digitale Amerikaanse rij- en identiteitsbewijzen veilig in de Apple wallet te downloaden. De Commissie ziet dat als een bedreiging voor haar soevereiniteit. Het Europese corona-paspoort heeft de wens voor een eigen digitale eID versneld. Eigenlijk passeert de EU hiermee de nationale elektronische identificatiemiddelen die prima aan de eisen van de EU voldoen. De Commissie kiest ervoor zelf een wallet te ontwikkelen om als app op mobiele telefoons te kunnen gebruiken.
Met zo’n wallet kun je echter meer dan alleen de juridische identiteit zoals je BSN ontsluiten, hetgeen DigID nu doet. Je kunt er veel meer attributen met betrekking tot je identiteit in kwijt, van trouwboekje tot diploma en van rijbewijs tot vaccinatiestatus. De Commissie zegt dat te doen om de fundamentele rechten van de burger te (kunnen) beschermen. De burger betere controle over zijn privacy te geven. Vraag is natuurlijk of je een overheid toegang wilt verlenen tot zoveel persoonlijke attributen, die nu decentraal rondom de burger en door die burger zijn opgeslagen en toegankelijk zijn. Ook wel het gevaar van over-identificatie genoemd: personen en instanties die je toegang geeft tot de wallet kunnen mogelijk meer informatie zien, dan op dat moment puur noodzakelijk.
Gevaar van overidentificatie
Het corona-paspoort maakte duidelijk dat informatie over iemands gezondheid makkelijk als toegangscriterium kan worden opgelegd. Een Europees eID heeft zeker dit gevaar in zich. Vanuit ‘bescherming’ zou men kunnen controleren of iemands financiële situatie gezond is, bij toegang tot een casino of de aankoop van dure goederen. Tijdens de ‘coronacrisis’ hebben we gezien dat in dergelijke situaties bestuurders makkelijk naar deze maatregelen grijpen. Te makkelijk moeten we achteraf vaststellen. Daarom is zo’n in potentie ‘niet te stoppen’ centraal beheerde, digitale identiteit iets dat je niet zou moeten willen. Niet vanuit de rechten en de vrijheid van de burger en ook niet vanuit de onze grondrechten.
De komst van een digitale identiteit is vanzelfsprekend. Dat Europa hierbij eigen eisen en standaarden voor haar burgers wil stellen, is logisch. Zeker als dat de fundamentele rechten van de mens beter beschermt. Maar op dit moment gaat de Commissie een stap te ver door ‘zelf’ te besluiten hoe de digitale identiteit van hun burgers er uit zo moeten zien. En hier zelfs eigen apps voor te ontwikkelen en beschikbaar te stellen. Dat vraagt wel heel veel vertrouwen van de burger in haar overheid. En niet eens haar nationale overheid – waar het in principe al geregeld is of kan worden – maar de toch al op veel grotere afstand staande, Europese Unie.
Afhankelijkheid van techniek en platformen
Onze nationale oplossingen om onze identiteit ook digitaal te presenteren, werken goed en zijn techniek en platform onafhankelijk. Het vaststellen van iemands identiteit mag nooit afhankelijk zijn of worden van de beschikbaarheid van een digitaal informatieplatform. Ook in een niet digitale wereld moet identificatie en authenticatie mogelijk blijven. We hebben met het corona-paspoort al gezien tot wat voor problemen dat leidde bij ouderen en andere niet of minder digitaal vaardigen.
De ironie is dat een eigen EU-app voor Apple en Google platformen Europa juist afhankelijker maakt van deze Big Tech industrie dan onafhankelijker. Zoals het Clingendael artikel terecht concludeert: ‘We worden afhankelijk van hun goedwillendheid wat betreft de controle over en de beschikbaarheid van een essentiële component van onze democratische rechtsorde: het vaststellen van identiteit, van burgerschap.’ En zoals dit artikel in privacy-news stelt: Burgers zullen waarschijnlijk niet snel geneigd zijn het eID buiten de sfeer van publieke diensten te gebruiken. En juist dit heeft de Europese Commissie voor ogen heeft om het gebruik van het eID toe te laten nemen. Het lijkt mij nu al een duur project te worden met weinig kans op werkelijk succes.
Door: Hans Timmerman (foto)