Zorgen over Euroepese eIDAS regelgeving

eIDAS (electronic IDentification Authentication and trust Services) is een Europese verordening rond elektronische identificatie. Eenvoudig samengevat is het een wettelijk kader om een digitale identiteit doorheen de EU op te zetten. Daar wordt nu een wettekst rond klaargestoomd zodat bijvoorbeeld een Belg ook in Spanje met zijn nationale digitale identiteitskaart (of een online identificatie zoals Itsme) kan gebruik maken van online overheidsdiensten ter plaatse.

Maar in een open brief waarschuwen 335 wetenschappers uit 32 landen en enkele NGO’s, waaronder de Electronic Frontier Foundations (EFF) dat de wettekst zaken bevat die onze privacy en online veiligheid op de helling kunnen zetten.

Artikel 45: versleuteld verkeer afluisteren

Concreet waarschuwt de brief voor de inhoud van artikel 45. Die geeft overheden de mogelijkheid om zelf certificaten (cryptografische sleutels) uit te reiken, die ook alleen maar met toestemming van die overheid kunnen worden ingetrokken.

Dat oogt als een praktische omschrijving, maar de wetenschappers in de brief waarschuwen dat dat zeer foute gevolgen kan hebben. ‘Normaal gaat aan het mogen aanmaken van zo’n sleutels een complex controleproces vooraf. Maar door overheden het de facto zelf te laten doen, omzeilen ze die controle,’ zegt professor Bart Preneel (KU Leuven) aan Data News.

Hij wijst er op dat in het verleden Frankrijk al betrapt werd op de uitgave van valse certificaten: ‘Als dat in deze omstandigheid opnieuw zou gebeuren, dan kan een browser als Firefox die sleutels ook niet intrekken,’ waarschuwt hij. Enkel de betrokken overheid kan dat doen volgens de wettekst.

Dat overheden zelf certificaten uitgeven zet de deur open voor misbruik en controle op internetverkeer. Preneel wijst als voorbeeld naar Diginotar, een Nederlandse certificaatverstrekker die in 2011 werd gehackt. Daardoor kon Iran valse certificaten uitreiken waardoor het land burgers kon bespioneren die bijvoorbeeld hun Google-account raadpleegden. De overheid kon als ‘man in the middle’ het verkeer afluisteren terwijl de gebruiker een certificaat zag die deed uitschijnen dat het verkeer versleuteld was.

Extra beveiliging alleen indien opgelegd

Een ander lastig punt voor de wetenschappers is dat er weinig ruimte is voor extra beveiliging. Zo proberen browsers, die zulke certificaten accepteren en gebruiken om dat verkeer te versleutelen, daar op in te spelen door bijvoorbeeld te vragen dat een uitgereikt certificaat ook publiek raadpleegbaar is.

Ook daar wringt het schoentje, want zo’n extra controlelaag is volgens de huidige tekst enkel mogelijk wanneer ETSI (het Europees instituut voor telecomstandaarden) zo’n extra laag of methode goedkeurt. Dat vergroot de kans dat er standaard niet met de nieuwste beveiligingsmethodes wordt gewerkt.

Online activiteiten linken

Een ander heikel punt in de wettekst is dat ze ook toelaat dat overheden, maar ook commerciële dienstverleners, de activiteiten uit een digitale portefeuille van een burger gaan linken en zo een sterk digitaal profiel van je kunnen opbouwen. De open brief zegt dat de wettekst weliswaar toelaat dat privacybeschermende technologie wordt gebruikt om dat te voorkomen, maar het is niet verplicht.

De wetenschappers merken op dat die vaagheid in de tekst een privacyrisico kan vormen wanneer ze door de lidstaten wordt geïmplementeerd. Ze vrezen dat technologiebedrijven zich zouden kunnen vestigen in het land dat de zwakste regels hanteert om online activiteiten gescheiden te houden.

Vervolgens kan een technologiebedrijf van daaruit zonder veel beperking de online activiteiten van alle EU-burgers aan elkaar linken, gekoppeld aan een Europese identiteit. Daarom pleit de open brief om ook de privacybescherming te harmoniseren voor alle lidstaten.

‘Zonder deze nodige amendementen riskeert de eIDAS regulering een geschenk te worden voor Google en andere big tech spelers. Een Europese oplossing voor de centrale vraag om met gevoelige identiteitsinformatie om te gaan, moet burgers beschermen tegen surveillance kapitalisme door sterke technische mechanismen en moet weerbaar zijn tegen pogingen om het systeem te misbruiken door aan jurisdictie-shopping te doen’, aldus de wetenschappers in de brief.

‘Het is voorzien dat als de industrie die wallet gebruikt, je mag werken met pseudoniemen,’ vertelt Preneel. ‘Je kan dan bijvoorbeeld nog steeds bewijzen dat je een Belgische burger bent bij een bank, Europese instelling of een ander bedrijf waar je je identificeert, maar zonder veel kans dat die zaken aan elkaar worden gekoppeld. Maar op het laatste moment is dat luik optioneel gemaakt. Als één lidstaat dan bijvoorbeeld geen pseudoniemen toelaat, dan gaan alle techspelers zich daar vestigen en veel vlotter gebruikers kunnen identificeren. Dit past in de context van de bestrijding van internetmisdaad, maar alle burgers identificeerbaar maken vinden we een stap te ver.’

Last minute wijzigingen

Preneel hekelt dat de tekst lange tijd publiek was, maar in de bijna-finale versie blijkt dat er achter gesloten deuren details worden aangepast die de inhoud stevig wijzigt.

‘We kregen plots een versie, die naar ons is gelekt, onder ogen die met een paar kleine aanpassingen plots de deur opent voor massasurveillance,’ zegt Preneel. Die tekst gaat op 8 november naar de triloog, een overleg tussen de Europese Commissie, het Europees Parlement en de Raad van Ministers. Daarna volgt een goedkeuring in het Europees Parlement op basis van de laatste versie van de tekst.

In samenwerking met Data News