Formele opmerkingen van de EDPS over het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 wat betreft tot vaststelling van een kader voor een Europese digitale identiteit.

Leestijd: 9 minuten

Formele opmerkingen van de EDPS over het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 wat betrefttot vaststelling van een kader voor een Europese digitale identiteit.

1. Inleiding en achtergrond

• Op 3 juni 2021 werd de EDPS geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening 2018/1725 [1] over het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 wat betreft de vaststelling van een kader voor een Europese digitale identiteit. [2]
• Volgens de toelichting zouden met het ontwerpvoorstel worden aangepakt tekortkomingen van de huidige verordening [3] zoals de volgende:

1. beperkte dekking van eID-regelingen die in het kader van de huidige verordening zijn aangemeld,
2. beperkt aanbod van eIDAS-authenticatie voor grensoverschrijdende gebruikers van overheidsdiensten
3. beperking tot overheidsdiensten, hoewel er een marktvraag bestaat in de particuliere sector,
4. geen dekking van elektronische attributen, zoals medische certificaten of beroepskwalificaties, wat de pan-Europese juridische erkenning van dergelijke referenties in elektronische vorm bemoeilijkt.

• Met het herziene Europese kader voor digitale identiteit wordt beoogd burgers en inwoners het volste vertrouwen te geven dat het de middelen zal bieden om te controleren wie toegang heeft tot hun digitale tweeling en tot welke gegevens precies.
• Aan alle aspecten van de verstrekking van digitale identiteit wordt een hoog niveau van beveiliging toegekend, met inbegrip van de uitgifte van een Europese digitale-identiteitsportefeuille, en de infrastructuur voor het verzamelen, opslaan en openbaar maken van digitale identiteitsgegevens.
• Het voorstel breidt de huidige eIDAS-lijst van vertrouwensdiensten uit met drie nieuwe gekwalificeerde vertrouwensdiensten, namelijk de levering van elektronische archiveringsdiensten, elektronische grootboeken en het beheer van apparaten voor het aanmaken van elektronische handtekeningen en zegels op afstand.
• De voorgestelde eIDAS-verordening bestaat nog steeds uit twee belangrijke delen, namelijk hoofdstuk II (tot dusverre getiteld Elektronische Identificatie) en hoofdstuk III (Vertrouwensdiensten). Echter, Hoofdstuk II wordt nu onderverdeeld in drie afdelingen en ook hoofdstuk III krijgt er drie afdelingen bij, zodat er in totaal 11 afdelingen zijn. De hoofdstukken IV tot en met VI zijn niet relevant uit het oogpunt van gegevensbescherming
• De beoogde technische uitvoering zal uiteindelijk bepalen of aanvullende gegevensbeschermings waarborgen in de verordening hadden moeten worden opgenomen of dat de verordening in overeenstemming zal zijn met de GDPR [4] . Zoals echter het geval was bij Verordening (EU) nr. 910/2014, kan de technische architectuur pas volledig worden beoordeeld wanneer de maximaal 28 uitvoeringshandelingen van de Commissie bekend zijn die gepland zijn om vast te leggen technische specificaties en referentienormen zullen worden vastgesteld. Die handelingen vallen waarschijnlijk ook binnen het toepassingsgebied van artikel 42, lid 1, van Verordening 2018/1725, en zullen waarschijnlijk in de toekomst worden onderworpen aan raadpleging van de EDPS in de toekomst. Daarom sluiten deze formele opmerkingen geen beletsel voor eventuele toekomstige aanvullende opmerkingen van de EDPS, met name indien verdere kwesties of nieuwe informatie beschikbaar komt, bijvoorbeeld als gevolg van de aanneming van gerelateerde uitvoeringshandelingen of gedelegeerde handelingen.
• Deze formele opmerkingen van de EDPS worden gemaakt in antwoord op de wetgevings raadpleging door de Europese Commissie van 3 juni 2021, op grond van artikel 42, lid 1, van Verordening 2018/17257. In dit verband is de EDPS verheugd over de verwijzing naar deze raadpleging in overweging 37 van het voorstel. Zij doen geen afbreuk aan eventuele toekomstige maatregelen die de EDPS kan nemen in de uitoefening van zijn bevoegdheden op grond van artikel 58 van Verordening (EU) 2018/1725.

[1] Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG, PB 21.11.2018, L.295, blz. 39 (Verordening 2018/1725).
[2] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281
[3] Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, PB, 28.8.2014, blz. 73.
[4] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PB, 4.5.2016, blz. 1.Opmerkingen

2. Opmerkingen

• De EDPS is ingenomen met het algemene concept van het voorstel, dat vereist dat het Europese digitale-identiteitskader volledig in overeenstemming moet zijn met Verordening (EU) 2016/679. Of de specifieke waarborgen voldoende zijn, hangt vooral af van de technologie die zal worden gebruikt bij de uitvoering van het voorstel. In dit verband is de EDPS verheugd dat het voorstelin de overwegingen opnieuw de volledige toepasselijkheid van de GDPR bevestigt, ook voor elektronische grootboeken en gekwalificeerde elektronische grootboeken. [5] Deze aanpak is volledig in overeenstemming met artikel 25 van de GDPR, dat voorschrijft dat de keuze van de technologie wordt gemaakt op basis van de vereisten inzake gegevensbescherming, en niet andersom.
• Uit de toelichting, met name op blz. 10 en 11, kan het volgende worden afgeleid
  elektronische grootboeken als vertrouwensdienst geen noodzakelijk onderdeel zullen zijn van de Europese Digital Identity Wallet, maar beperkt zal blijven tot specifieke gebruikssituaties. De EDPS waardeert deze verduidelijking. De EDPS waardeert het dat in de toelichting wordt bevestigd dat dienstverleners de GDPR ook zullen moeten naleven in gevallen waarin gebruik wordt gemaakt van elektronische grootboeken, en dat niets in het voorstel een afwijking van de GDPR-bepalingen toestaat
• Blockchaintechnologie is een van die toepassingen van elektronische grootboeken. lockchain [5] Deze aanpak is volledig in overeenstemming met artikel 25 van de GDPR, dat voorschrijft dat de keuze van de technologie wordt gemaakt op basis van de vereisten inzake gegevensbescherming, en niet andersom.
• Uit de toelichting, met name op blz. 10 en 11, kan het volgende worden afgeleid
  elektronische grootboeken als vertrouwensdienst geen noodzakelijk onderdeel zullen zijn van de Europese Digital Identity Wallet, maar beperkt zal blijven tot specifieke gebruikssituaties. De EDPS waardeert deze verduidelijking. De EDPS waardeert het dat in de toelichting wordt bevestigd dat dienstverleners de GDPR ook zullen moeten naleven in gevallen waarin gebruik wordt gemaakt van elektronische grootboeken, en dat niets in het voorstel een afwijking van de GDPR-bepalingen toestaat
• Blockchaintechnologie is een van die toepassingen van elektronische grootboeken. Blockchain doet verschillende nalevingsproblemen met de GDPR rijzen, zoals de doorgifte van gegevens buiten de EU de onmogelijkheid om vermeldingen in een Blockchain te wissen of te corrigeren, enz. Daarom is het gebruik van Blockchain-technologie mogelijk niet geschikt voor alle mogelijke gebruikssituaties en kunnen aanvullende waarborgen nodig zijn. Er zij op gewezen dat het Europees Comité voor gegevensbescherming in zijn werkprogramma 2021/2022 “Richtsnoeren inzake Blockchain” heeft opgenomen. [6] De EDPS beveelt aan om met die richtsnoeren, zodra ze beschikbaar zijn, rekening te houden wanneer het overwegen van op blockchain gebaseerde ledgers in de context van dit voorstel.
• De EDPS is verheugd dat de Europese digitale identiteitsportefeuille de gebruiker een betere en transparante controle over welke gegevens met wie voor welke doeleinden moeten worden gedeeld. De beoogde technische oplossing zou een oplossing kunnen bieden voor problemen in verband met buitensporige gegevens verwerking op te lossen, aangezien de betrokkene alleen de gegevens bekend zou kunnen maken die noodzakelijk zijn voor een specifiek doel. Dat betekent dat, indien het doel leeftijdscontrole is, de gebruiker ervoor kan kiezen zijn geboortedatum mee te delen, maar geen andere persoonlijke informatie bekend te maken die niet relevant zijn voor het doel. Indien het doel identificatie is, bijvoorbeeld in de bank- of of in de telecommunicatiesector, zoals bij wet vereist is, zou de gebruiker alleen die identiteitsgegevens bekendmaken die bij wet verplicht zijn (zonder biometrische identificatiemiddelen, bijvoorbeeld, indien de verwerking ervan niet uitdrukkelijk vereist is).
• De EDPS is voorts ingenomen met het uitdrukkelijke verbod in het nieuwe artikel 6 bis, lid 7, voor de uitgevende instelling van de Europese digitale identiteitsportefeuille om informatie over het gebruik van de portefeuille te verzamelen die niet noodzakelijk zijn voor het verlenen van de Wallet-diensten. Dit en het verbod om persoonsidentificatie gegevens voor de portemonnee te combineren met andere gegevens van een andere dienst, alsmede de verplichting om de persoonsgegevens voor de verstrekking van de Wallet-diensten van andere gegevens te scheiden, zal het vertrouwen in de veiligheid en vertrouwelijkheid van deze technische oplossing.
• In dit verband is de EDPS ook ingenomen met het feit dat artikel 6 quater, lid 2, een certificering zou instellen op grond van Verordening (EU) 2016/679 voor bepaalde vereisten aan Europese digitale Identification Wallets, met inbegrip van het voorkomen dat vertrouwensdienstverleners van gekwalificeerde attesten van attributen enige informatie over het gebruik van deze attributen zouden kunnen ontvangen. De EDPS begrijpt dat ook deze certificering verplicht is en geen ontlastende gevolgen heeft.
• Artikel 17 bevat de taken van het controleorgaan en voorziet in samenwerking met andere
  toezichthoudende autoriteiten, zoals die op grond van Verordening (EU) 2016/679. Volgens deze bepaling zullen de toezichthoudende autoriteiten voor gegevensbescherming “onverwijld” in kennis worden gesteld over de resultaten van audits van gekwalificeerde aanbieders van vertrouwensdiensten, wanneer de regels inzake de bescherming van persoonsgegevens beschermingsregels zijn overtreden en over beveiligingsinbreuken die inbreuken in verband met persoonsgegevens vormen”.De EDPS merkt op dat de formulering die de afronding van een onderzoek lijkt te vereisen, teruggrijpt op artikel 17 van Verordening (EU) nr. 910/2014 en al een verbetering vormt ten opzichte van die huidige versie in zoverre dat een inbreuk in verband met persoonsgegevens in de zin van artikel 33 van de GDPR nu ook de informatieplicht zou doen ontstaan.De EDPS merkt op dat de formulering die de afronding van een onderzoek lijkt te vereisen, teruggrijpt op artikel 17 van Verordening (EU) nr. 910/2014 en al een verbetering vormt ten opzichte van die huidige versie in zoverre dat een inbreuk in verband met persoonsgegevens in de zin van artikel 33 van de GDPR nu ook de informatieplicht zou doen ontstaan. De EDPS wijst de medewetgever er echter op dat de vorige formulering overeenstemde met een andere rol van de gegevensbeschermingsautoriteiten, terwijl artikel 33 van de GDPR voorschrijft dat de voor verwerking verantwoordelijken inbreuken in verband met persoonsgegevens onverwijld, en uiterlijk 72 uur nadat zij er kennis van hebben gekregen, melden, waardoor de toezichthoudende autoriteiten een actieve rol wordt toebedeeld tijdens het onderzoek naar een inbreuk en bij de keuze van verdere maatregelen. Daarom lijkt het passend de formulering van artikel 17, lid 4, onder f), af te stemmen op punt c) van hetzelfde lid, waar de nationale bevoegde autoriteiten uit hoofde van de richtlijn inzake netwerk- en informatiebeveiliging2 op de hoogte zouden worden gebracht van een (vermoedelijk) inbreuk op de beveiliging, ongeacht of uit de resultaten van een audit een inbreuk is gebleken. De toezichthoudende autoriteiten voor gegevensbescherming moeten op de hoogte worden gebracht wanneer het controleorgaan informatie ontvangt over een mogelijke inbreuk in verband met persoonsgegevens.
• Om dezelfde reden moet ook artikel 20, lid 2, laatste zin, in overeenstemming worden gebracht met de GDPR en onmiddellijke kennisgeving voorschrijven, ongeacht of de controle is beëindigd of nog aan de gang is
• Het ontwerp-voorstel introduceert een uniek en persistent identificatiemiddel dat door de lidstaten moet worden gebruikt lidstaten te gebruiken om het matchen van identiteiten te vergemakkelijken en de unieke identificatie van elke gebruiker te waarborgen. Deze identificatiecode zou dan onder meer worden gebruikt bij het toevoegen van lektronische attesten van De EDPS wijst de medewetgever er echter op dat de vorige formulering overeenstemde met een andere rol van de gegevensbeschermingsautoriteiten, terwijl artikel 33 van de GDPR voorschrijft dat de voor verwerking verantwoordelijken inbreuken in verband met persoonsgegevens onverwijld, en uiterlijk 72 uur nadat zij er kennis van hebben gekregen, melden, waardoor de toezichthoudende autoriteiten een actieve rol wordt toebedeeld tijdens het onderzoek naar een inbreuk en bij de keuze van verdere maatregelen. Daarom lijkt het passend de formulering van artikel 17, lid 4, onder f), af te stemmen op punt c) van hetzelfde lid, waar de nationale bevoegde autoriteiten uit hoofde van de richtlijn inzake netwerk- en informatiebeveiliging2 op de hoogte zouden worden gebracht van een (vermoedelijk) inbreuk op de beveiliging, ongeacht of uit de resultaten van een audit een inbreuk is gebleken. De toezichthoudende autoriteiten voor gegevensbescherming moeten op de hoogte worden gebracht wanneer het controleorgaan informatie ontvangt over een mogelijke inbreuk in verband met persoonsgegevens.
• Om dezelfde reden moet ook artikel 20, lid 2, laatste zin, in overeenstemming worden gebracht met de GDPR en onmiddellijke kennisgeving voorschrijven, ongeacht of de controle is beëindigd of nog aan de gang is
• Het ontwerp-voorstel introduceert een uniek en persistent identificatiemiddel dat door de lidstaten moet worden gebruikt lidstaten te gebruiken om het matchen van identiteiten te vergemakkelijken en de unieke identificatie van elke gebruiker te waarborgen. Deze identificatiecode zou dan onder meer worden gebruikt bij het toevoegen van elektronische attesten van attributen aan een portefeuille.
• De EDPS waardeert het streven in artikel 11 bis om het vertrouwen en de integriteit te vergroten door het risico van misbruik of ambiguïteitsfouten te verminderen. Er moet echter worden opgemerkt dat deze unieke en persistente identificatiecode een andere, aanvullende categorie van gegevens vormt die wordt opgeslagen die uitsluitend bedoeld zijn om het gebruik van het Portemonnee te vergemakkelijken. Deze inmenging in de rechten en vrijheden van het datasubject is niet noodzakelijk triviaal; in sommige lidstaten zijn unieke identificatiemiddelen in het verleden als ongrondwettelijk beschouwd wegens een schending van de menselijke waardigheid. Daarom beveelt de EDPS aan alternatieve middelen te onderzoeken om de beveiliging van matching te verbeteren.
• De EDPS merkt op dat artikel 45 septies verder het gebruik regelt van persoonsgegevens door aanbieders van gekwalificeerde of niet-gekwalificeerde diensten op het gebied van elektronische attributenverklaring. Zij mogen niet persoonsgegevens in verband met de levering van deze diensten combineren met persoonsgegevens van andere diensten die zij aanbieden, en zij houden de gegevens logisch gescheiden, in het geval van persoonsgegevens in verband met de levering van gekwalificeerde elektronische diensten inzake attestering van kenmerken zelfs fisiek gescheiden van andere in hun bezit zijnde gegevens. De EDPS is van mening dat deze verbodsbepalingen niet kunnen worden omzeild door middel van contractuele bepalingen of toestemming. De EDPS verwelkomt deze verboden als een maatregel om misbruik van gegevens te voorkomen en het het vertrouwen in het systeem te vergroten.Voor aanbieders van gekwalificeerde elektronische diensten op het gebied van atributenverklaring bepaalt artikel 45 septies, lid 4, zelfs dat dergelijke diensten moeten worden verleend in het kader van een afzonderlijke juridische entiteit, hetgeen, in combinatie met de bovengenoemde verbodsbepalingen, een doeltreffend mechanisme moet zijn om belangenconflicten en het ongegrond delen van persoonsgegevens te voorkomen.

[5] Overweging 35.
[6] https://edpb.europa.eu/system/files/2021-03/edpb_workprogramme_2021-2022_en.pdf

Brussel, 28 juli 2021

Wojciech Rafal Wiewiorowski

(e-signed)

---

Beheerder Vincent W Schoers

Copyright © 2021 door zorgdatjenietslaapt.nl. Toestemming tot gehele of gedeeltelijke herdruk wordt graag verleend, mits volledige creditering en een directe link worden gegeven.

Mijn lichaam is geen eigendom van de staat. Ik heb de uitsluitende en exclusieve autonomie over mijn lichaam en geen enkele politicus, ambtenaar of arts heeft het wettelijke of morele recht om mij te dwingen een niet-gelicentieerd, experimenteel vaccin of enige andere medische behandeling of procedure te ondergaan zonder mijn specifieke en geïnformeerde toestemming. De beslissing is aan mij en aan mij alleen en ik zal mij niet onderwerpen aan chantage door de overheid of emotionele manipulatie door de media, of zogenaamde celebrity influencers.