De invoering van een zogenaamde ID-portemonnee door de QR code moet in de hele EU worden gepromoot, waarmee mensen zich digitaal kunnen identificeren en die hiervoor hun identiteitsgegevens opslaat. Ook rechtspersonen moeten de mogelijkheid krijgen om gebruik te maken van deze ID-wallets. Er is echter lang niet alleen lof voor het wetsvoorstel van de Europese Commissie – integendeel.
In de Europese Unie is de verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt in 2014 in werking getreden en moet nu worden hervormd. Deze herziene eIDAS-verordening is bedoeld om de mogelijkheid van een digitale identiteit tastbaar te maken voor alle EU-burgers, die de “European Digital Identity Wallet” zal worden genoemd. De ID-portemonnee moet worden verstrekt onder de soevereiniteit van de individuele EU-lidstaten, maar het moet een universeel compatibele EU-brede oplossing zijn.
Het concept van de Europese Commissie voor de nieuwe eIDAS-verordening van juni 2021 (eIDAS: electronic IDentification, Authentication and trust Services) heeft overwegend positieve feedback van het bedrijfsleven gekregen, maar wordt op brede kritiek en verzoeken om verbetering ontvangen van burgerrechtenorganisaties, gegevens beveiligers en experts voor IT-veiligheid. De kritiek is niet geheel nieuw, al in juli 2021 (pdf) had de Europese Toezichthouder voor gegevensbescherming zwakke punten in de geplande hervorming geïdentificeerd die bestaan vanuit het oogpunt van gegevensbescherming. Een openbare raadpleging in de zomer vroeg om commentaar.
In Europa bestaan er in sommige gevallen al jaren oplossingen voor nationale elektronische identiteiten, maar vier landen , Denemarken, Duitsland, Zweden en Hongarije, hebben nog steeds hun eigen incompatibele creaties. De regeling die nu voor herziening bedoeld is, beoogt een ID-portemonnee die in heel Europa kan worden gebruikt.
Von der Leyen belooft een ”veilige” Europese elektronische identiteit
De voorzitter van de Europese Commissie, Ursula von der Leyen, had in haar State of the Union-toespraak van 2020 zelf reclame gemaakt voor de uniforme ID-portemonnee . Ze beschreef dat in de praktijk niemand kan weten wat er met zijn eigen gegevens gebeurt en hoe de geplande nieuwe digitale identiteitswinkel van de EU de controle terug zal brengen:
Elke keer dat een website ons vraagt om een nieuwe digitale identiteit aan te maken of handig in te loggen via een groot platform, is de realiteit dat we geen idee hebben wat er met onze gegevens gebeurt. Daarom zal de Commissie binnenkort een veilige Europese digitale identiteit voorstellen. Een die we vertrouwen en die burgers in heel Europa kunnen gebruiken om alles te doen, van belasting betalen tot het huren van een fiets. Een technologie waarmee we kunnen bepalen welke gegevens worden uitgewisseld en hoe deze worden gebruikt.
De implementatie van het ID-portemonnee-idee wordt momenteel niet zo rooskleurig beoordeeld als in de enthousiaste woorden van von der Leyen, althans niet vanuit het oogpunt van functionarissen gegevensbeschermings en IT-beveiligingsexperts. Een openbare hoorzitting over eIDAS in de Commissie industrie, onderzoek en energie van het Parlement bracht donderdag deskundigen bijeen voor discussie. Wojciech Wiewiórowski, de Europese functionaris voor gegevensbescherming, hernieuwde zijn kritiek vanaf het begin, waarschuwde voor gevaren en riep op tot verbeteringen.
Een andere criticus van de geplande hervorming van de regelgeving die werd gehoord, was Thomas Lohninger, directeur van de vereniging epicenter.works uit Oostenrijk en vice-president van European Digital Rights. Een gevolg van de nieuwe digitale portemonnee zou een scenario kunnen zijn dat gevaarlijk is voor de privacy van mensen, waar Lohninger ook voor waarschuwt in zijn verklaring (pdf):
Gerichte reclame kan gepaard gaan met de door de staat gegarandeerde identiteit. De reclame-industrie zou dan met een staatsstempel weten met wie ze te maken heeft en wie er precies adverteert.
Lohninger benadrukte dat er geen “beschermende maatregelen waren tegen misbruik bij tracking, profilering en gerichte reclame”. Hier is dringend verbetering nodig. Er is geen bijzondere haast om wetgeving vast te stellen, dus pleit hij voor het wegwerken van deze tekortkoming. Ook adviseert hij een soort negatieve lijst, waarin duidelijk moet worden vermeld waarvoor de gegevens in de ID-portemonnee in geen geval mogen worden gebruikt. In ieder geval moet worden voorkomen dat de ID-portemonnee uiteindelijk alleen maar de tracking- en advertentie-industrie versterkt en met name de grote niet-Europese techbedrijven.
Verzameling van informatie van de uitgever van de ID-portemonnee
Een ander potentieel gevaarlijk misbruik van gegevens dreigt vanwege de gegevens die zich ophopen bij het gebruik van de identiteitsopslag bij de uitgever van de portemonnee. De voorstellen van de Europese Commissie bepalen dat de gebruiker de volledige controle moet behouden over zijn European Digital Identity Wallet. De Uitgever mag geen informatie verzamelen over het gebruik van de portemonnee die niet nodig is voor de portemonneediensten. Gegevensbeschermingsdeskundige en computerwetenschapper Lukasz Olejnik adviseert echter in zijn verklaring vanwege deze gevoelige gebruiksgegevensom de rechten van gebruikers verder te versterken en ook om te bepalen dat gegevens over portemonneegebruik die niet langer nodig zijn, maar al zijn verzameld, moeten worden verwijderd. Volgens Olejnik mogen ze niet langer dan twee jaar worden vastgehouden, maar zou een veel kortere periode van slechts één maand wenselijk zijn.
Lohninger bekritiseert dat er niet vanaf het begin een technische aanpak wordt voorgeschreven om de gebruiksgegevens van de uitgever van de portemonnee te minimaliseren. Hij kiest voor een technische infrastructuur die de uitgever er grotendeels van weerhoudt informatie te verzamelen. De bijbehorende passage moet worden gewijzigd omdat het vertrouwen van potentiële gebruikers in de ID-portemonnee veel duidelijker moet worden versterkt door technische gegevensbeschermingsmaatregelen. Want zonder vertrouwen van de gebruikers dreigt het hele project te mislukken.
Om ervoor te zorgen dat de ID-portemonnee breed wordt geaccepteerd, moeten er zoveel mogelijk aanbiedingen zijn die mensen naast de sprong in het diepe kunnen gebruiken. Anders kan het voorstel net als de Duitse eID in de ID-kaart terechtkomen, die – zelfs nadat het wettelijk verplicht is – nog nauwelijks gebruikers vindt. Het concept van de verordening voorziet daarom in een acceptatieplicht voor overheid en bedrijfsleven van de ID-portemonnee en probeert het gebruik via een divers aanbod te stimuleren. De zeer grote platformexploitanten zouden dus moeten deelnemen, maar ook een hele reeks andere economische sectoren, zoals transport, energie, banken, gezondheid, post, telecommunicatie en andere zouden verplicht moeten worden.
IT-beveiliging voor smartphones
Een punt van kritiek dat tijdens de hoorzitting vaak naar voren kwam, is het ontbreken van veel juridische en technische details voor het ontwerp en het mogelijke gebruik van de portemonnee: volgens Lohninger maakt dit een risicoanalyse en een zinvolle gegevensbeschermingseffectbeoordeling in de zin van de Algemene Verordening Gegevensbescherming bijna onmogelijk. Dit werd ook benadrukt door de Europese commissaris voor gegevensbescherming Wiewiórowski, die opmerkte dat het momenteel niet mogelijk is om te controleren of alle normen van de AVG worden nageleefd.
Een andere moeilijkheid is dat de IT-beveiliging van de ID-portemonnee als app afhankelijk is van de IT-beveiliging van smartphones, aldus Lohninger. Dit levert voor veel mensen problemen op, bijvoorbeeld als ze niet de financiële middelen hebben om nieuwere smartphones met regelmatige updates te gebruiken. Alleen al om deze reden moet in de voorstellen voor de ID-portemonnee een antidiscriminatieclausule worden opgenomen, zodat mensen met minder geld na de invoering van de digitale portemonnee niet extra hoeven te betalen als ze deze digitale identiteit niet kunnen gebruiken. Dat is al te zien in zijn thuisland Oostenrijk.
Miljoenen browsergebruikers lopen gevaar
Vooral het geplande artikel 45 van de verordening wordt door veel IT-experts bekritiseerd. Dit gaat over certificaten in browsers. Dergelijke certificaten worden beheerd door Certificate Authorities (CA’s). Ze hebben een functie als een notaris die bevestigt dat certificaten echt zijn. Het voorstel van de Commissie zou een infrastructuur voor staatscertificaten verplicht stellen voor dergelijke CA’s in browsers. In zijn verklaring beschouwt Lukasz Olejnik het project als zeer gevaarlijk en stelt voor om artikel 45 volledig te schrappen vanwege de mogelijke impact op IT-beveiliging en grondrechten, of in ieder geval een opt-in-oplossing op te nemen in plaats van een verplichting.
De Electronic Frontier Foundation was in een in december uitgebrachte verklaring duidelijk over de gevolgen als het voorstel van kracht zou worden: “De beveiliging van HTTPS in de browser zou veel slechter kunnen worden gemaakt.” Ook zouden miljoenen browsergebruikers worden getroffen. Lohninger bekritiseert ook dat het voorstel gevaarlijk zou zijn voor de IT-beveiliging van browsers en dat het verwoestende gevolgen zou hebben (“verwoestende gevolgen”). Tijdens de hoorzitting deed hij een beroep op de EU-parlementsleden: “Wees alsjeblieft niet op internet!”
Beheerder Vincent W Schoers
Copyright © 2021 door zorgdatjenietslaapt.nl. Toestemming tot gehele of gedeeltelijke herdruk wordt graag verleend, mits volledige creditering en een directe link worden gegeven.
Mijn lichaam is geen eigendom van de staat. Ik heb de uitsluitende en exclusieve autonomie over mijn lichaam en geen enkele politicus, ambtenaar of arts heeft het wettelijke of morele recht om mij te dwingen een niet-gelicentieerd, experimenteel vaccin of enige andere medische behandeling of procedure te ondergaan zonder mijn specifieke en geïnformeerde toestemming. De beslissing is aan mij en aan mij alleen en ik zal mij niet onderwerpen aan chantage door de overheid of emotionele manipulatie door de media, of zogenaamde celebrity influencers.