Van Huffelen: gebruik Europese digitale identiteit zal altijd vrijwillig zijn

De Europese Commissie wil dat er een digitale identiteit komt waarmee burgers zich in de gehele Europese Unie kunnen identificeren, maar het gebruik hiervan zal altijd vrijwillig zijn. Dat meldde Security.nl onlangs. Staatssecretaris Van Huffelen van Digitalisering bevestigde dit namelijk in een reactie op Kamervragen van de FvD. De Europese Commissie meldde eerder namelijk dat het ontwerp van de Europese corona-app slechts een ‘eerste versie was van wat zich kan ontwikkelen tot een volmaakte digital wallet’, en dat gaf aanleiding te denken dat dit verplicht zou worden.

Sinds 2014 is er in Europa de zogeheten eIDAS Verordening. Deze regelt een “gemeenschappelijke grondslag voor veilige elektronische interactie tussen burgers, bedrijven en overheden”, en onaardig gezegd is dit een uitgebreidere versie van de al langer bestaande regels over digitale handtekeningen, certificaten en identificatie. De focus verschoof van authenticatie (handtekening) naar identificatie (wie is dit).

In 2020 werd een vervolg aangezegd met als doel “Een e-identiteit die wij kunnen vertrouwen en die elke burger overal in Europa kan gebruiken om van alles te doen – van belasting betalen tot een fiets huren.” Dit werd het concept van de Verordening Europese e-ID, die momenteel dus bij de Europese Commissie en Parlement liggen. De staatssecretaris legt uit:

Het voorstel beoogt dat alle lidstaten één of meer wallets uitgeven, waarin digitale bronidentiteiten en diverse attributen opgenomen kunnen worden en onder regie van burgers en bedrijven gedeeld kunnen worden op een hoog betrouwbaarheidsniveau op mobiele apparaten. … [De Digitale Bron Identiteit] is een door de overheid uitgegeven, erkende en in de wet en regelgeving verankerde, digitale identiteit voor gebruik in de publieke en private sector. Deze Digitale Bron Identiteit bevat een minimale set van identiteitsgegevens die nodig zijn in het maatschappelijk verkeer.
Eind vorig jaar waarschuwden wetenschappers in FTM dat dit een groter Europees experiment was waarin Nederland een hoofdrol speelde (als proefpersoon dus). Dit experiment roept vele vraagtekens op, zoals waar een Europees ID-bewijs echt nodig voor is en wat er met de maatschappij gebeurt als er iets misgaat:
Directeur Vincent Böhre van stichting Privacy First merkt op dat ‘het einde van anonimiteit een ramp zou zijn’ voor journalisten of activisten. ‘Zeker in bepaalde regio´s kan dat levensgevaarlijke situaties opleveren. … Maar eigenlijk moet iedere burger zich anoniem in de openbare ruimte kunnen begeven, kunnen winkelen, zijn mening kunnen uiten. Anders krijg je het chilling effect, een onbewust psychologisch gevoel dat optreedt wanneer mensen zich bespied wanen, als ze niet langer vrij en anoniem transacties kunnen doen, naar de horeca kunnen gaan, kunnen reizen.’
Een forse lobby vanuit Big Tech is natuurlijk heel logisch. Om een simpele reden te noemen, men worstel al heel lang met nepaccounts en dit is een simpele manier om die eruit te kunnen filteren. En nog eentje, je kunt zo advertentie-profielen aan elkaar koppelen met de échte identiteit van je slachtoffer, pardon je gewaardeerde consument. En nog eentje, dat bij een datalek je activiteit bij zo’n site mét naam en toenaam op straat ligt.

Reden voor Kamervragen dus: gaat dit er op deze manier komen, en vooral, wordt het verplicht? Nee, aldus de antwoorden:

Het zal altijd aan de burger zelf zijn in hoeverre ze aan de Europese Digitale Identiteit willen deelnemen. Zoals ik in de Kamerbrief hoofdlijnen beleid voor digitalisering heb benoemd zal er altijd een analoog alternatief aangeboden worden.
Lastig blijft natuurlijk hoe reëel zo’n alternatief dan echt is. Iets kan er in theorie prima uitzien maar in de praktijk een enorme hindernis opwerpen.

Zelf heb ik vooral moeite met de zo te lezen generieke opzet: het is gewoon een elektronische versie van de identiteitskaart die we nu hebben. Dat is jammer, vaak heeft een organisatie maar een beperkt deel nodig. Denk aan leeftijdscontrole bij online video of kansspelen. Dan is het niet nodig dat je eID dan je naam én geboortedatum doorgeeft.

Arnoud

 

9 reacties

  1. Dat is jammer, vaak heeft een organisatie maar een beperkt deel nodig. Denk aan leeftijdscontrole bij online video of kansspelen. Dan is het niet nodig dat je eID dan je naam én geboortedatum doorgeeft.

    Daarvoor zou je IRMA kunnen gebruiken.

  2. Ja, dat kennen we. Digid zou ook vrijwillig zijn. Maar ondertussen zijn we op het punt dat je zonder digid je zorgverzekering niet kunt aanpassen of zelfs maar inzien, dat je in sommige gevallen geen belastingaangifte kunt doen (want als ondernemer MOET je dat digitaal doen), dat je verkeersboetes alleen nog kunt aanvechten door een fuik van papierwerk in te zwemmen etc. En ook hier gebruikt de overheid weer de salami-tactiek om dingen als “vrijwillig” in te voeren, steeds een stukje vrijheid in te nemen, en binnenkort kan je geen kant meer op zonder eIDAS.

  3. De Europese Commissie wil dat er een digitale identiteit komt waarmee burgers zich in de gehele Europese Unie kunnen identificeren, maar het gebruik hiervan zal altijd vrijwillig zijn.

    Dit is een misleidende statement. Wat er eigenlijk mee bedoelt wordt is het gebruik van de digitale identiteit zal nooit verplicht worden door de EU. Tot zover heb ik niks gelezen over het voorkomen van een praktische verplichting omdat er geen alternatieven meer geaccepteerd worden. Als deze digitale identiteit uitkomt, wat weerhoudt bedrijven ervan om dit als enige nog te accepteren? Dan is er wellicht geen wettelijke verplichting, maar kom je er in de praktijk niet onderuit.

    1. Blijkbaar kan ik niet lezen, er wordt wel gesproken over altijd een analoog alternatief aanbieden, maar daar heb ik weinig vertrouwen in. Wat weerhoudt de EU ervan om een paar jaar na release van de digitale identiteit de wet aan te passen zodat er geen alternatief meer vereist hoeft te worden?

  4. Wie kunnen we aanklagen wanneer die belofte verbroken wordt? Niemand zeker?

    Het zou fijn zijn als het recht op anonimiteit, en een uitgebreide versie van deze belofte, wordt verankerd in de grondwet van elk land en ook van europa, en ook in de uvrm.

  5. Zoals ik bij security.nl ook betoogd heb vrees ik dat – op termijn – “altijd vrijwillig” eigenlijk betekent “niet verplicht bij wet” maar wel “in de praktijk zo goed als verplicht”. Er komt dus geen verplichting in de wet om het te hebben, en er komt ook geen sanctie als je het niet hebt. Dat betekent niet dat het niet “de facto” verplicht zal worden. Daar zijn ook talloze voorbeelden van. DigiD is al genoemd als voorbeeld, dat is ook niet verplicht, maar probeer maar eens de wel verplichte ziektekostenverzekering af te sluiten of in te zien zonder DigiD. Je OV-chipkaart opladen zonder die te koppelen aan je bankrekening of door je pinpas te gebruiken is ook niet verplicht; je kan die opladen met contant geld maar dat kost geld en kan maar op een paar plekken. Belastingaangifte doen kan nog op papier, maar dan moet je wel eerst met de ook al niet verplichte telefoon de belastingdienst bellen om formulieren aan te vragen. Vanaf eind dit jaar is, als je dan wil inloggen met DigiD, het ook verplicht om die te koppelen aan je niet verplichte telefoon voor sms-controle, of aan je niet verplichte digid-app. Als ik mijn bij wet verplichte identiteitskaart wil vernieuwen moet ik online een afspraak maken bij de gemeente, waarbij ik dan verplicht zowel mijn niet verplichte e-mailadres als mijn niet verplichte telefoonnummer moet opgeven. Niet verplicht, kortom, is een lege term geworden als het betekent dat je zonder niet meer op een normale manier verplichte of gebruikelijke dingen kan doen.

  6. Ik snap niet waarom de gevaren en nadelen van zo’n systeem altijd als belangrijker worden ingeschat dan de nadelen van het ontbreken van zo’n systeem. Er wordt op het gebied van identificatie wat af gerotzooid en gehobbyd, inclusief alle fouten die worden gemaakt bij het vastleggen dat een identiteit is gecontroleerd, wat met een goed systeem over zou moeten zijn.

  7. Wat mij persoonlijk vaak een beetje stoort is het door mekaar halen van de verschillende betekenissen van het woord “Identiteit”. Je ziet het de staatssecretaris hier ook doen. Mensen zouden “een digitale identiteit krijgen”. Maar dat is natuurlijk niet zo.

    Mensen vatten “mijn identiteit” vaak heel persoonlijk op: hun karakter, hun beeltenis, allerlei voorkeuren maken er deel van uit. Het “Ik ben uniek, net als iedereen”- idee, zeg maar.

    De overheid houdt zich daar zo min mogelijk mee bezig. Zie bijvoorbeeld de mogelijkheid om je geslachtsaanduiding aan te passen in allerlei documenten. Als je je als iets anders “identificeert”, wil de overheid dat best registreren. Die identiteit is in beginsel éénzijdig.

    Waar het hier om gaat is misschien eerder de “wiskundige” betekenis van identiteit: twee objecten zijn gelijk aan elkaar. Dat is waar de overheid zich hier om bekommert. De overheid heeft een representatie van natuurlijke personen in allerlei systemen geplaatst. Daaruit wordt het ontstaan van allerlei rechten en plichten afgeleid. En als je iemands identiteit vaststelt in deze context, wil je vaststellen of de natuurlijke persoon met wie je zaken doet, degene is op wie een bepaalde representatie betrekking heeft. Is deze persoon de rekeninghouder? Is deze persoon de werknemer voor wie sociale premies zijn ingehouden? En zo verder. In die context is er veel minder sprake van “iemand heeft een identiteit”, maar eerder van: “hier bestaat identiteit (tussen de persoon en de representatie in onze systemen).”

    Nou ja, einde van mijn klaagzang. Terug naar het onderwerp: Vaststelling van identiteit in een digitale economie kan wel degelijk baat hebben bij een Europese implementatie waarbij je kunt vertrouwen op hoe een persoon in de systemen van een andere EU-lidstaat is opgenomen. Anders moet je overal je paspoort laten zien.

    Verder eens met de wens om dit – zoals de AVG toch al voorschrijft – minimaal te implementeren. IRMA is een goed voorbeeld: je hoeft alleen maar te weten of een persoon alcohol mag kopen. Daarvoor is voldoende dat je kunt verifiëren dat een persoon die lijkt op een pasfoto die de overheid heeft bewaard, een geboortedatum heeft die 18 jaar of verder in het verleden ligt. Twee attributen dus. Dan kun je zelf nagaan of de persoon die claimt ouder dan 18 te zijn, dat inderdaad is. Naam is niet nodig, al komt die misschien wel aan het licht als je op je bankafschrift kijkt nadat de pintransactie is afgerond. Maar het “recht om anoniem aan het openbare leven deel te nemen” wordt uit de aard der zaak flink begrensd als je transacties aangaat met iemand anders en niet contant kunt betalen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.