Inleiding
In juni 2021 lanceerde de Europese Commissie een hervorming van de eIDAS-verordening van 2014 om het Europese kader voor elektronische identiteitssystemen (eID) te herzien. [1] Deze ambitieuze hervorming probeert een tegenwicht te bieden aan de wijdverspreide inlogsystemen van Google, Facebook en Apple, en de bevolking op grote schaal goedgekeurde eID-systemen voor e-overheid en eCommerce-toepassingen aan te bieden. Krachtens deze nieuwe ontwerp-verordening zouden de lidstaten verplicht zijn een software aan te bieden met de naam “European Digital Identity Wallets” (Wallet App), waarmee burgers en ingezetenen online en offline kunnen worden geïdentificeerd, en waarmee zij attributen zoals leeftijd, rijbewijzen of studenten-ID’s kunnen laten attesteren. De ontwerp-verordening tracht de verspreiding van deze nieuwe Europese digitale identiteitsportefeuille te verzekeren door zeer grote onlineplatforms [2] zoals Facebook en Google te verplichten deze Europese portemonnee te ondersteunen als middel om in te loggen op hun diensten. Evenzo worden de lidstaten verplicht dit systeem te gebruiken voor de identificatie van burgers bij het aanbieden van e-overheidsdiensten al onder de oude 2014 eIDAS Regelgeving. Kleinere internetbedrijven kunnen door de Commissie via een gedelegeerde handeling worden gedwongen om ook de nieuwe Wallet App te ondersteunen.
Het volgende document probeert de grootste problemen met het voorstel van de Commissie uit te werken vanuit een privacy- en digitale rechtenperspectief. Een Europees elektronisch identiteits systeem moet respect hebben voor grondrechten van burgers en ingezetenen, omdat het positieve potentieel van dit systeem afhangt van brede aanvaarding en vertrouwen van alle betrokken partijen. Dit kan alleen worden bereikt door na te gaan welke impact dit systeem zal hebben op het huidige digitale ecosysteem in Europa. Het huidige voorstel laat veel fundamentele vragen over de architectuur open voor gedelegeerde handelingen, waardoor een alomvattende beoordeling vrijwel onmogelijk maakt. De verordening moet deze punten verduidelijken en de nodige waarborgen bieden om te zorgen voor ingebouwde privacy, keuzevrijheid voor de gebruiker en minimalisering van de gegevensverwerking.Hoewel wij de premisse van deze verordening en de behoefte aan een betrouwbare digitale identiteit en attestatie-infrastructuur aanvaarden, mag het niet gebruiken van dit systeem geen negatieve gevolgen hebben voor burgers die afzien van de Wallet App of geen smartphone bezitten.Hoewel wij de premisse van deze verordening en de behoefte aan een betrouwbare digitale identiteit en attestatie-infrastructuur aanvaarden, mag het niet gebruiken van dit systeem geen negatieve gevolgen hebben voor burgers die afzien van de Wallet App of geen smartphone bezitten. Wij hopen dat deze punten in dit document aan bod kunnen komen en stellen de volgende waarborgen voor
Unieke, levenslange identifiers voor elke burger en ingezetene
Een van de kernfuncties van de app, de identificatie van een gebruiker door het bekendmaken van zijn wettelijke naam aan een derde partij, wordt in artikel 11 bis aangevuld met de verplichting voor de lidstaten om elke persoon uniek te identificeren te identificeren met een alfanumerieke reeks die hen voor de rest van hun leven bijblijft. Deze blijvende en unieke identificatiecode voor alle Europese burgers en ingezetenen zal door de Wallet App worden gedeeld met particuliere en publieke derden. De gebruiker moet zijn of haar identificatie nog steeds toestaan met een interactie op de app, maar aangezien de gebruiker zeer vaak onderworpen is aan een onevenwichtige machtsverdeling in situaties van identificatie en deze functionaliteit zelfs beperkt is tot gevallen waarin identificatie vereist is door nationale of Europese wetgeving vereist is, kan worden betwijfeld of deze toestemming vrijelijk is gegeven. Bovendien is het onduidelijk hoe de Wallet App onderscheid kan maken tussen gevallen waarin identificatie wettelijk verplicht is en gevallen waarin dat niet het geval is.Die gevallen kunnen per lidstaat verschillen, zoals bijvoorbeeld een Hongaarse wet die identificatie bij demonstraties verplicht kan stellen of een Oostenrijkse social media wet die Facebook verplicht zijn gebruikers te identificeren.Hoewel wij de premisse van deze verordening en de behoefte aan een betrouwbare digitale identiteit en attestatie-infrastructuur aanvaarden, mag het niet gebruiken van dit systeem geen negatieve gevolgen hebben voor burgers die afzien van de Wallet App of geen smartphone bezitten. Wij hopen dat deze punten in dit document aan bod kunnen komen en stellen de volgende waarborgen voor
Unieke, levenslange identifiers voor elke burger en ingezetene
Een van de kernfuncties van de app, de identificatie van een gebruiker door het bekendmaken van zijn wettelijke naam aan een derde partij, wordt in artikel 11 bis aangevuld met de verplichting voor de lidstaten om elke persoon uniek te identificeren te identificeren met een alfanumerieke reeks die hen voor de rest van hun leven bijblijft. Deze blijvende en unieke identificatiecode voor alle Europese burgers en ingezetenen zal door de Wallet App worden gedeeld met particuliere en publieke derden. De gebruiker moet zijn of haar identificatie nog steeds toestaan met een interactie op de app, maar aangezien de gebruiker zeer vaak onderworpen is aan een onevenwichtige machtsverdeling in situaties van identificatie en deze functionaliteit zelfs beperkt is tot gevallen waarin identificatie vereist is door nationale of Europese wetgeving vereist is, kan worden betwijfeld of deze toestemming vrijelijk is gegeven. Bovendien is het onduidelijk hoe de Wallet App onderscheid kan maken tussen gevallen waarin identificatie wettelijk verplicht is en gevallen waarin dat niet het geval is.Die gevallen kunnen per lidstaat verschillen, zoals bijvoorbeeld een Hongaarse wet die identificatie bij demonstraties verplicht kan stellen of een Oostenrijkse social media wet die Facebook verplicht zijn gebruikers te identificeren. Hoewel wij de premisse van deze verordening en de behoefte aan een betrouwbare digitale identiteit en attestatie-infrastructuur aanvaarden, mag het niet gebruiken van dit systeem geen negatieve gevolgen hebben voor burgers die afzien van de Wallet App of geen smartphone bezitten. Wij hopen dat deze punten in dit document aan bod kunnen komen en stellen de volgende waarborgen voor
Unieke, levenslange identifiers voor elke burger en ingezetene
Een van de kernfuncties van de app, de identificatie van een gebruiker door het bekendmaken van zijn wettelijke naam aan een derde partij, wordt in artikel 11 bis aangevuld met de verplichting voor de lidstaten om elke persoon uniek te identificeren te identificeren met een alfanumerieke reeks die hen voor de rest van hun leven bijblijft. Deze blijvende en unieke identificatiecode voor alle Europese burgers en ingezetenen zal door de Wallet App worden gedeeld met particuliere en publieke derden. De gebruiker moet zijn of haar identificatie nog steeds toestaan met een interactie op de app, maar aangezien de gebruiker zeer vaak onderworpen is aan een onevenwichtige machtsverdeling in situaties van identificatie en deze functionaliteit zelfs beperkt is tot gevallen waarin identificatie vereist is door nationale of Europese wetgeving vereist is, kan worden betwijfeld of deze toestemming vrijelijk is gegeven. Bovendien is het onduidelijk hoe de Wallet App onderscheid kan maken tussen gevallen waarin identificatie wettelijk verplicht is en gevallen waarin dat niet het geval is.Die gevallen kunnen per lidstaat verschillen, zoals bijvoorbeeld een Hongaarse wet die identificatie bij demonstraties verplicht kan stellen of een Oostenrijkse social media wet die Facebook verplicht zijn gebruikers te identificeren. Die gevallen kunnen per lidstaat verschillen, zoals bijvoorbeeld een Hongaarse wet die identificatie bij demonstraties verplicht kan stellen of een Oostenrijkse social media wet die Facebook verplicht zijn gebruikers te identificeren. Over het algemeen wachten Facebook en andere bedrijven alleen maar om zo’n officieel uniek, levenslang identificatiemiddel aan de identiteit van hun gebruikers toe te voegen en zullen zij een manier vinden om gebruikers daartoe te verleiden. Om te voorkomen dat deze unieke, levenslange identifiers massaal helpen om de datagestuurde macht van Facebook en anderen verder te vergroten, zouden ze in de eerste plaats niet gecreëerd moeten worden.
Voorgestelde oplossing
Schrapping van artikel 11a.
Proliferatie van door de overheid verstrekte identiteitsgegevens en online gedrag
Volgens artikel 6 ter, lid 1, van de ontwerpverordening mogen derden (bedrijven die willen dat hun klanten de Wallet App willen gebruiken om bepaalde attributen te identificeren of te bewijzen) toegang kunnen vragen tot het Europese systeem in elke lidstaat waar zij gevestigd zijn en een blanco cheque krijgen om toegang te krijgen voor de hele EU. Dit maakt forum shopping mogelijk, aangezien elk bedrijf de administratie binnen de EU die voor hen het gunstigst is. Een “relying party” kan elk bedrijf zijn dat toegang wil krijgen tot identiteitsgegevens of -kenmerken in het Portefeuille. De verordening is onnauwkeurig over hoe deze verificatieprocedure van een “relying party” in een lidstaat zou werken. Volgens artikel 6 ter lid 4, zal de Commissie zes maanden na de inwerkingtreding van de verordening via een gedelegeerde handeling beslissen in werking is getreden, beslissen hoe deze belangrijke controle zal plaatsvinden. De verordening biedt geen mechanisme voor de wijze waarop de toegang van een vertrouwende partij tot het eIDAS-systeem kan worden ingetrokken. Op basis van de laatste zin van lid 1 is het zelfs onduidelijk of het aangegeven doel van de verwerking van identiteitsgegevens kan worden kan worden beschouwd als voldoende reden om een aanvraag af te wijzen.
De nationale eIDAS-regulatoren zijn verantwoordelijk voor de controle op de naleving van de verordening door de informatieplichtige. verordening. In het geval van Ierland is dit het ministerie van Milieu, Klimaat en Communications, dat geen onafhankelijke regelgever is. De Ierse gegevensbeschermingsautoriteit is is berucht om het ondermijnen van de Europese wetgeving inzake gegevensbescherming, en dit risico kan blijven bestaan onder het voorgestelde systeem in eIDAS blijven bestaan als de bevoegde autoriteit niet onafhankelijk is en geen verantwoording verschuldigd is. De opzet van het nieuwe eIDAS-kader biedt niet alleen niet de nodige garanties voor een omgeving die wij kunnen kunnen vertrouwen met onze identiteitsgegevens, maar herhaalt ook actief de fouten bij de handhaving van vroegere EU wetgeving, wat misbruik van het nieuwe systeem door bekende actoren in de hand zal werken.
Op dit moment volgen Google en andere grote technologiebedrijven, die in hun bedrijfsmodel afhankelijk zijn van gerichte reclame, bijna elke stap van ons onlinegedrag en profileren zij al elk aspect van ons leven. Een van de laatste dingen die zij in veel gevallen niet met zekerheid weten, is onze wettelijke naam. Door goedkope en meestal ongereguleerde toegang te bieden tot door de overheid gecertificeerde identiteitsgegevens en door zeer grote onlineplatforms zelfs te dwingen de Wallet App als inlogmethode aan te bieden, biedt de EU op een presenteerblaadje aan wat zij zou moeten beschermen.
Wij zien een groot risico in de proliferatie van door de overheid gecertificeerde identiteitsgegevens op het gebied van gerichte reclame, bankieren en financiële scoring, alsook e-handel en media. De bestaande tekortkomingen in de handhaving van de GDPR, zoals het verbod op koppelverkoop en pay-or-consentregelingen, zullen dit probleem nog verergeren. De eIDAS-verordening moet de juiste waarborgen tegen misbruik van identiteitsinformatie vastleggen in het bestaande ecosysteem dat zij tracht aan te pakken.
Voorgestelde oplossingen
Naar onze mening moet de verordening worden verbeterd met waarborgen tegen het misbruik van de Wallet App door derden.
In het licht van deze vereiste moet artikel 6 ter als volgt worden gewijzigd:
Vertrouwende partijen moeten worden verplicht om de concrete use case waarvoor zij een beroep willen doen op de Wallet App te registreren bij de eIDAS toezichthouder van hun land die deze vooraf toetst aan een black- en whitelist van use cases en ook een gegevensbeschermingseffectbeoordeling kan eisen. Een dergelijke machtiging door de ene eIDAS-regulator moet bij de eIDAS-regulator van een ander land kunnen worden aangevochten door consumentenbeschermings- en gegevensbeschermingsorganisaties met als mogelijk resultaat dat deze use-case in dat land wordt verboden. Voorbeelden van use-cases op de zwarte lijst zijn reclame, financiële scoring en beleid inzake de echte naam op sociale-mediaplatforms. In gevallen waarin de conclusie van de beoordeling van de gevolgen voor de gegevensbescherming luidt dat er een groot risico bestaat voor de betrokkenen, moet de eIDAS-regelgever de bevoegdheid krijgen om deze use-case aan de zwarte lijst toe te voegen.
Centraal toezicht op elke identiteits- en attribuutcontrole
De Wallet App heeft tot doel de bestaande middelen voor de verificatie van identiteit, leeftijd en andere attributen te vervangen. Dit nieuwe systeem mag niet slechter zijn voor de privacy en gegevensbescherming dan de bestaande middelen die het moet vervangen. Wij erkennen dat in het geval van leeftijdsverificatie een gebruiker niet langer een identiteitskaart hoeft te overhandigen met meer informatie dan nodig (naam, geboortedatum, land van afgifte), waarmee een specifiek probleem wordt opgelost. Het voorstel bevat echter het reële gevaar van centrale bewaking van elke online en offline identificatie- en attribuutverificatieproces met de Wallet App. Vergelijkbaar met het EU
Digitale Covid Certificaat, zou de Commissie in de voorgestelde verordening de bevoegdheid hebben om in een later stadium eenzijdig via een gedelegeerde handeling te beslissen over belangrijke architecturale kwesties, in plaats van de beginselen van ingebouwde privacy in de wetgeving vast te leggen. Wij moedigen de medewetgevers aan om de waarborgen op het gebied van gegevensbescherming, privacy en cyberbeveiliging rechtstreeks in de wetgeving vast te leggen in plaats van deze bevoegdheid aan de Europese Commissie over te laten. De niet-waarneembaarheid van alle identificatie- en attribuutverificatieprocessen die door de Wallet App worden afgehandeld, moet een waarborg zijn in de verordening. Nadat we dit punt aan de orde stelden tijdens de EU Digital Covid certificaat besprekingen [3], werd zo’n waarborg toegevoegd. [4]
Er zijn bestaande zelf-soevereine eID systemen die werken met een zero-knowledge en unlinkability paradigma, dat elke gecentraliseerde observatie van de identificatie of autorisatie processen verhindert. processen. Technologieën zoals did:peer, DIDComm, OpenID Connect SIOP, en BBS+ Signatures [5] kunnen worden gebruikt om een privacybehoudende digitale infrastructuur op te bouwen op een manier die het mogelijk maakt en uitwisseling van identiteiten en attributen mogelijk maakt, zonder een vereiste van gecentraliseerde actoren of blockchains. Dergelijke garanties ontbreken in het voorstel van de Commissie. De vaagheid over vele architectonische van de Wallet App versterkt de lacunes in de wettekst van artikel 6 bis, lid 7, waarin een rechtsgrondslag vormen voor de verwerking van gedragsgegevens over het gebruik van de Wallet App en het koppelen deze gegevens met derden
Het huidige kader stelt een gecentraliseerde actor in staat om op macroscopisch niveau elke identificatie en de verificatie van kenmerken in de bevolking.De verordening staat de aanbieder van de Wallet App (overheden) bijvoorbeeld toe informatie te verkrijgen over alle logins op zeer grote onlineplatforms (Facebook, Google), over leeftijdscontroles voor de aankoop van bepaalde goederen (alcohol, tabak, enz.) online en offline en over diensten waarvoor de gebruiker alleen in aanmerking komt vanwege een bepaald attribuut dat moet worden gecontroleerd (handicap, leeftijd, enz.).De verordening staat de aanbieder van de Wallet App (overheden) bijvoorbeeld toe informatie te verkrijgen over alle logins op zeer grote onlineplatforms (Facebook, Google), over leeftijdscontroles voor de aankoop van bepaalde goederen (alcohol, tabak, enz.) online en offline en over diensten waarvoor de gebruiker alleen in aanmerking komt vanwege een bepaald attribuut dat moet worden gecontroleerd (handicap, leeftijd, enz.). Aangezien de Wallet App alomtegenwoordig moet worden en op grote schaal in alle delen van de samenleving moet worden ingevoerd, zal dit de negatieve gevolgen van het eIDAS-voorstel voor de privacy en het recht op gegevensbescherming alleen maar versterken.
Voorgestelde oplossingen
Naar analogie met het digitale EU-covidecertificaat moet de verordening voorzien in waarborgen voor de persoonlijke levenssfeer door ontwerp in de app voor portefeuilles. Daarom stellen wij voor artikel 6 bis, lid 7, te herformuleren:
“De gebruiker heeft de volledige controle over de European Digital Identity Wallet. De uitgevende instelling van de
Europese Digitale Identiteitsportefeuille verzamelt geen informatie over het gebruik van de portefeuille die die niet noodzakelijk zijn voor het verlenen van de portefeuillediensten, noch zal hij persoons
identificatiegegevens en andere persoonsgegevens die zijn opgeslagen of betrekking hebben op het gebruik van de Europese Digital Identity Wallet met persoonsgegevens die afkomstig zijn van andere diensten die door deze uitgevende instelling worden aangeboden of van diensten van derden die niet noodzakelijk zijn voor de levering van de portemonneediensten tenzij de gebruiker daar uitdrukkelijk om heeft verzocht. Persoonsgegevens eidrelerend aan de verstrekking van Europese Digitale Identiteitsportefeuilles worden fysiek en logisch gescheiden gehouden van alle andere gegevens in bezit.”
Voorts moet de technologische specificatie van de Wallet App in de wettekst ervoor zorgen dat de beginselen van ingebouwde privacy in acht worden genomen. De verordening moet de onwaarneembaarheid waarborgen van de interacties van gebruikers op de Wallet App om gebruikers te beschermen tegen toezicht op de manier waarop zij de Wallet gebruiken. Deze wijzigingen zijn nodig omdat gedelegeerde handelingen op basis van artikel 6 bis, lid 11, de Commissie de bevoegdheid geeft te bepalen hoe het Portemonnee in de praktijk moet werken. Gedelegeerde handelingen moeten worden beperkt tot het bijwerken van specificaties in het licht van nieuwe technologische ontwikkelingen, maar ontwerpbeginselen diedie het privacyeffect van de technologie fundamenteel bepalen, moeten reeds in de verordening worden verankerd.De verordening staat de aanbieder van de Wallet App (overheden) bijvoorbeeld toe informatie te verkrijgen over alle logins op zeer grote onlineplatforms (Facebook, Google), over leeftijdscontroles voor de aankoop van bepaalde goederen (alcohol, tabak, enz.) online en offline en over diensten waarvoor de gebruiker alleen in aanmerking komt vanwege een bepaald attribuut dat moet worden gecontroleerd (handicap, leeftijd, enz.). Aangezien de Wallet App alomtegenwoordig moet worden en op grote schaal in alle delen van de samenleving moet worden ingevoerd, zal dit de negatieve gevolgen van het eIDAS-voorstel voor de privacy en het recht op gegevensbescherming alleen maar versterken.
Voorgestelde oplossingen
Naar analogie met het digitale EU-covidecertificaat moet de verordening voorzien in waarborgen voor de persoonlijke levenssfeer door ontwerp in de app voor portefeuilles. Daarom stellen wij voor artikel 6 bis, lid 7, te herformuleren:
“De gebruiker heeft de volledige controle over de European Digital Identity Wallet. De uitgevende instelling van de
Europese Digitale Identiteitsportefeuille verzamelt geen informatie over het gebruik van de portefeuille die die niet noodzakelijk zijn voor het verlenen van de portefeuillediensten, noch zal hij persoons
identificatiegegevens en andere persoonsgegevens die zijn opgeslagen of betrekking hebben op het gebruik van de Europese Digital Identity Wallet met persoonsgegevens die afkomstig zijn van andere diensten die door deze uitgevende instelling worden aangeboden of van diensten van derden die niet noodzakelijk zijn voor de levering van de portemonneediensten tenzij de gebruiker daar uitdrukkelijk om heeft verzocht. Persoonsgegevens eidrelerend aan de verstrekking van Europese Digitale Identiteitsportefeuilles worden fysiek en logisch gescheiden gehouden van alle andere gegevens in bezit.”
Voorts moet de technologische specificatie van de Wallet App in de wettekst ervoor zorgen dat de beginselen van ingebouwde privacy in acht worden genomen. De verordening moet de onwaarneembaarheid waarborgen van de interacties van gebruikers op de Wallet App om gebruikers te beschermen tegen toezicht op de manier waarop zij de Wallet gebruiken. Deze wijzigingen zijn nodig omdat gedelegeerde handelingen op basis van artikel 6 bis, lid 11, de Commissie de bevoegdheid geeft te bepalen hoe het Portemonnee in de praktijk moet werken. Gedelegeerde handelingen moeten worden beperkt tot het bijwerken van specificaties in het licht van nieuwe technologische ontwikkelingen, maar ontwerpbeginselen diedie het privacyeffect van de technologie fundamenteel bepalen, moeten reeds in de verordening worden verankerd. De verwijzing naar informatie die “nodig is voor het verlenen van de portemonneediensten” moet helemaal worden geschrapt om ervoor te zorgen dat een digitale-identiteitsportefeuille zo wordt geïmplementeerd dat dergelijke informatie niet nodig is om te kunnen functioneren. Bestaande (zelf-soevereine) eID-systemen tonen aan dat een dergelijke implementatie mogelijk is.
Biometrie en beveiliging van smartphones
De beveiliging van de Wallet-software wordt gecertificeerd door auditbedrijven die overeenkomstig artikel 6 quater worden aangewezen door de lidstaten en alleen openbaar worden gemaakt aan de andere landen, niet aan het publiek. De concrete criteria waaraan de portefeuillesoftware moet voldoen, worden pas zes maanden nadat de verordening door de Commissie is vastgesteld via een gedelegeerde handeling.
Volgens overweging 11 kan de portemonnee-app ook op biometrische gegevens berusten om de gebruikers te authentiseren en dezelfde overweging staat ook de opslag van authentificatie-informatie in de cloud toe. Overweging 21 verwijst naar bepalingen in de digitale-marktwet die aanbieders van kernplatforms zoals Google of Apple om interoperabiliteit met ondersteunende diensten zoals identificatie mogelijk te maken en stelt dat deze bepaling zou toestaan dat Wallet Apps toegang krijgen tot de beveiligde enclave hardware-elementen die die biometrische informatie zoals vingerafdrukken en gezichtsherkenningspatronen op moderne smartphones opslaan. Afhankelijk van de technische uitvoering zou dit zeer problematisch kunnen zijn omdat het de beveiliging van smartphones kan ondermijnen en mogelijk kan leiden tot de onthulling van biometrische informatie op cloud-opslagplaatsen of door de overheid gecontroleerde apps. Omdat alle technische details nog moeten worden gespecificeerd ingedelegeerde handelingen nadat de wet reeds is aangenomen, is het zeer moeilijk om de gevolgen voor de privacy en de veiligheid te beoordelen van deze ruime bevoegdheden die aan de aanbieders van Wallet Apps worden verleend en de ontwerp-verordening opent in dit opzicht grote risico’s. verordening brengt in dit opzicht grote risico’s met zich mee. Net als de onbekende technische specificaties van de Wallet App, sluit de verordening bovendien een oogje dicht voor de grote verschillen in de beveiliging van smartphones. De Wallet App zal uiteraard afhankelijk zijn
van de veiligheid van de smartphone waarop hij werkt. Gebruikers met een laag inkomen zullen minder vaak ultramoderne toestellen bezitten en zullen in veel gevallen zelfs geen beveiligingsupdates meer ontvangen van hun verkopers. Minder technisch onderlegde gebruikers zullen niet zo bedreven zijn in het up-to-date houden of juist configureren van het besturingssysteem van hun toestellen. We zien nu al een toename van cyberaanvallen op smartphones en met de Wallet App zijn deze toestellen net interessantere doelwitten voor identiteitsdiefstal geworden. De digitale kloof die we nu al kennen, zal met het huidige eIDAS-voorstel nog groter worden, aangezien we nu al een prijsverschil zien waarbij analoge / in-person overheidsdiensten duurder worden dan
e-overheidsdiensten die steunen op eIDAS-gecertificeerde identificatiemiddelen [6]
Voorgestelde oplossingen
De enige oplossing voor de veiligheidsproblemen van het huidige kader is het verder specificeren in de verordening de technische vereisten en architecturale waarborgen voor privacy en veiligheid van de Wallet App en hierover nu reeds een brede discussie te voeren, in plaats van blindelings te vertrouwen op de Commissie om dit werk te doen vijf maanden nadat het medewetgevingsproces is afgerond.
Een inclusieve oplossing voor de verschillende beveiligingsniveaus van smartphones zou zijn om in de eIDAS verordening een anti-discriminatieverplichting op te nemen ten aanzien van burgers of ingezetenen die besluiten geen gebruik te maken van de Wallet App te gebruiken, wellicht omdat zij geen smartphone bezitten (met een adequaat beveiligingsniveau).
De webbeveiliging doorbreken door root-certificaten in elke browser te verplichten
Volgens artikel 45 in het voorstel van de Commissie zouden aanbieders van webbrowsers verplicht worden om root-certificaatautoriteiten (CA’s) uit de lidstaten in hun producten op te nemen. CA’s ondersteunen de veiligheid van versleuteld https-webverkeer en de authenticiteit van websites. Aanbieders van webbrowsers hebben strikte regels welke CA’s zij in deze vertrouwenslijst opnemen en staan vaak onder druk van regeringen om landen-CA’s op te nemen met het oog op het bespioneren van het webverkeer van burgers. Het scheppen van een precedent voor het opnemen van overheids-CA’s zou de veiligheidsinfrastructuur van het web ernstig kunnen ondermijnen, meer toezicht op gecodeerd webverkeer mogelijk maken en vervolgens de antidemocratische tendensen versterken. [7]
Voorgestelde oplossing
Behoud de oorspronkelijke versie van artikel 45 van Verordening 910/2014 en laat de nieuwe formulering in de nieuwe Verordening.
Verplichte identificatie vóór elke attribuutcontrole
De huidige formulering van artikel 6 bis, lid 4, onder d), suggereert dat elektronische attestering van kenmerken de voorafgaande authenticatie van de gebruiker door de vertrouwenwekkende partij vereist. Dit is in strijd met het essentiële privacybeschermende kenmerk van selectieve openbaarmakingen, waarbij bijvoorbeeld een leeftijdsverificatie de echte naam of de volledige geboortedatum van een persoon niet onthult. In overweging 29 wordt gesteld dat dergelijke selectieve openbaarmakingen een duidelijk doel van de verordening zijn en het voordeel hebben dat geen aanvullende informatie over de persoon wordt onthuld. In artikel 3, lid 5, wordt het concept authenticatie verward met identificatie – waardoor het in feite mogelijk wordt elk individu te traceren dat in de app in het portemonnee een attribuut over zichzelf attesteert in elk online of offline gebruiksgeval. [8]
Voorgestelde oplossing
Het attesteren van attributen mag geen voorafgaande authenticatie of identificatie van de gebruiker aan de vertrouwenwekkende partij vereisen, ook niet met een pseudonieme identificator.
2e orde effecten van goedkope elektronische identificatie
In de afgelopen jaren hebben we verschillende pogingen gezien op nationaal en Europees niveau om een echte naam verplichting of verplichte identificatie in te stellen voor gebruikers van sociale media of video-sharing platforms. [9] Deze pogingen zijn vaak mislukt omdat de eenvoudige kosten van het officieel online identificeren van een gebruiker het onpraktisch maakt om op grote schaal toe te passen. Dit zal veranderen als de Wallet App de prijs van identificatie van gebruikers op het internet in Europa tot praktisch nul verlaagt.
Aangezien het verkrijgen van geverifieerde identiteitsinformatie van gebruikers een verrijking is van de reeds verzamelde persoonsgegevens, zullen vele actoren ertoe worden aangezet deze informatie van gebruikers te verkrijgen. Uit de huidige praktijk blijkt dat gebruikers gemakkelijk worden misleid om in te stemmen met het weggeven van hun informatie en dat velen van hen niet de nodige belangstelling of het nodige inzicht hebben. Een mogelijk gevolg zou de combinatie zijn van gerichte reclame met geverifieerde identiteiten. ..
Drijvende krachten achter dit voorstel
De Covid-19 pandemie was een katalysator voor de hervorming van eIDAS. In lockdown werd de praktische behoefte aan e-overheidsdiensten en eCommerce voor een meerderheid duidelijk geworden. Bovendien zijn er bepaalde interdependenties met de NIS2-richtlijn die de Commissie ertoe noopten de eIDAS-verordening van 2014 te hervormen. verordening te hervormen. In totaal lijkt dit voorstel overhaast door de Commissie te zijn ingediend. De economische belangen achter het voorstel zijn bijvoorbeeld de trust service providers, die hun business cases willen uitbreiden met deze verordening en zichzelf belangrijker willen maken. De Wallet App voor natuurlijke personen moet gratis worden aangeboden, maar voor rechtspersonen kan er een vergoeding worden gevraagd voor het aanbieden van de software.
Een op grote schaal gebruikt eID-systeem creëert veel opeenvolgende delen van het bedrijfsleven die aan zo’n systeem zouden willen deelnemen. De banksector is een prominente sector die de kosten van het voldoen aan de “know-your-customer” (KYC)-vereisten wil drukken. In de financiële sector zijn er andere actoren die hun financiële profilering doelgerichter zouden willen maken (liquiditeitsscores, fraudedetectie, enz.). In verschillende EU-landen hebben mobiele aanbieders soortgelijke KYC-vereisten die van dergelijke technologieën zouden kunnen profiteren. In sommige landen zouden mediabedrijven advertenties willen aanbieden op basis van zeer hoogwaardige targeting waarbij gebruik wordt gemaakt van eID-gegevens. Ten slotte zou de eCommerce-sector deze technologie willen invoeren
technologie om kosten te besparen en de naleving op lange termijn te verbeteren.
1 See https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2021%3A281%3AFIN&qid=1622704576563
2 Dit verwijst naar artikel 25, lid 1, van de ontwerpverordening inzake de digitale dienstenwet.
3 https://epicenter.works/content/eu-parliament-adopts-the-covid-pass-risks-for-data-protection-and-new-forms-of
4 Zie artikel 4, lid 2, van Verordening (EU) nr. 2021/953 en https://epicenter.works/content/five-reasons-to-claim-victory-onthe-eu-digital-covid-certificate.
5 Zie https://identity.foundation/peer-did-method-spec/ https://identity.foundation/didcomm-messaging/spec/ https://openid.net/specs/openid-connect-self-issued-v2-1_0.html en https://w3c-ccg.github.io/ldp-bbs2020/
6 https://www.wien.gv.at/english/e-government/transportation/parking/residents/parking-permit.html
7 https://www.eff.org/deeplinks/2021/12/eus-digital-identity-framework-endangers-browser-security en https://blog.mozilla.org/netpolicy/files/2021/11/eIDAS-Position-paper-Mozilla-.pdf
8 Zie hoofdstuk 2.3 https://brusselsprivacyhub.eu/publications/the-european-commission-proposal-amending-the-eidas-regulation
9 Zie https://www.politico.eu/article/austrian-conservatives-want-to-end-online-anonymity-and-journalists-are-worried/ en https://netzpolitik.org/2021/digitale-dienste-gesetz-eu-koennte-anonyme-uploads-auf-pornoseiten-verbieten/
Beheerder Vincent W Schoers
Copyright © 2021 door zorgdatjenietslaapt.nl. Toestemming tot gehele of gedeeltelijke herdruk wordt graag verleend, mits volledige creditering en een directe link worden gegeven.
Mijn lichaam is geen eigendom van de staat. Ik heb de uitsluitende en exclusieve autonomie over mijn lichaam en geen enkele politicus, ambtenaar of arts heeft het wettelijke of morele recht om mij te dwingen een niet-gelicentieerd, experimenteel vaccin of enige andere medische behandeling of procedure te ondergaan zonder mijn specifieke en geïnformeerde toestemming. De beslissing is aan mij en aan mij alleen en ik zal mij niet onderwerpen aan chantage door de overheid of emotionele manipulatie door de media, of zogenaamde celebrity influencers.
