Europese e-identiteit – droom of haalbaar?
Maak je met de telefoon nog een foto van je paspoort, rijbewijs of vaccinatiebewijs? Zodat je die altijd bij de hand hebt als ze daar om vragen? Handig, die smartphone, waar zouden we tegenwoordig zijn zonder de mogelijkheid om onze belangrijke documenten zo te kopiëren… Betalen per smartphone is makkelijk, aangeschafte tickets hoef je niet meer te printen, een bitcoin wallet bij de hand hebben om de koers bij te houden of te handelen, je DigiD met daaraan de berichtenbox van de overheid… allemaal verschillende apps, koppelingen, icoontjes. Met altijd weer de wettelijke verplichting van gegarandeerde privacy.
Als het aan de Europese Commissie ligt, wordt dit in de toekomst anders. De commissie lanceerde een plan om met één digitale kaart te gaan werken. Grote websites als Google, Facebook en Microsoft zouden die kaart moeten accepteren als een geldig identiteitsbewijs. Ook banken en grote webwinkels zouden die kaart moeten accepteren. Je moet er een bankrekening mee kunnen openen, of een auto kopen. Europawijd, vindt de commissie. En na Europa, ooit, wereldwijd…
Aankondiging door voorzitter Europese Commissie
Zo zei Ursula von der Leyen, voorzitter van de Europese Commissie, het in haar Staat van de Unie op 16 september 2020:
“Telkens als een app of website ons vraagt een nieuwe digitale identiteit te creëren of gemakkelijk in te loggen via een groot platform, hebben wij geen idee wat er in werkelijkheid met onze gegevens gebeurt. Daarom stelt de Commissie een beveiligde Europese e-identiteit voor. Een e-identiteit die wij kunnen vertrouwen en die elke burger overal in Europa kan gebruiken om van alles te doen – van belasting betalen tot een fiets huren. Een technologie waarbij we zelf kunnen controleren welke gegevens worden gebruikt en hoe ze worden gebruikt.”
Volgens dezelfde website van de Europese Commissie wil 72% van alle gebruikers weten hoe sociale media hun gegevens verwerken. 63% van alle EU-burgers wil een unieke en veilige digitale identiteitskaart voor alle online diensten. Deze cijfers komen uit een Eurobarometer-enquête.
Dan heb je het eigenlijk over twee verschillende soorten digitaal, de digitale identiteit en de gedigitaliseerde identiteit. Die laatste hanteren wij nu vaak, een foto van je rijbewijs, paspoort of ID-kaart, altijd handig als je het fysieke document kwijt bent. Een recent voorbeeld van een digitale ‘identiteit’ is de QR-code in de app die is gecreëerd voor de gevaccineerde burgers tegen Covid-19. Twee weken na de tweede vaccinatie kan iedereen zijn eigen QR-code ophalen met behulp van zijn DigiD. Daar komt geen fysiek formulier of kaartje aan te pas. (Natuurlijk hadden veel slimmeriken de vaccinatiebriefjes die ze van de GGD meekregen alvast als foto in hun telefoon staan, in afwachting van die app…)
Test – test – test
Het plan van de Europese Commissie zoals het er nu ligt, voorziet in een testperiode eind 2022, waarin alle hobbels en kinderziektes moeten worden gesignaleerd en opgelost. Het zal dus nog wel even duren voordat er werkelijk een beveiligde e-identiteit door heel Europa te gebruiken is. De EU staat niet echt bekend om haar slagvaardigheid.
De Europese Commissie is vol vertrouwen dat het allemaal goed gaat komen, zo blijkt uit de opsomming van wat er allemaal zou kunnen met die e-identiteit:
- Hij wordt beschikbaar voor iedereen die maar wil en in de EU woont en werkt.
- De e-identiteit wordt op veel plaatsen bruikbaar om ieders identiteit te bewijzen of gegevens te bevestigen voor allerlei digitale diensten van overheidsinstanties en bedrijven in de hele EU.
- Iedereen kiest zelf welke gegevens van hun identiteit, andere gegevens en certificaten hij met derden wil delen. Boven kan iedereen altijd nagaan wat hij deelde.
De Europese Commissie ziet vele voordelen van de gedroomde e-identiteit. Ze heeft een ‘nuttig rijtje’ op haar website gezet:
“Er zijn talloze situaties waarin je zo’n Europese digitale identiteit kan gebruiken. Denk bijvoorbeeld aan:
- officiële handelingen zoals de aanvraag van een geboorteakte of een medische verklaring, een adreswijziging enz.;
- een bankrekening openen;
- uw belastingaangifte;
- een inschrijving aan een universiteit (ook in een ander land);
- een recept van uw arts bewaren en in een ander EU-land afhalen;
- uw leeftijd bewijzen;
- een auto huren met een digitaal rijbewijs;
- inchecken in een hotel.
Dream on – fantasie?
Is deze Europese standaard ID-kaart een ‘dream on’- fantasietje van enkele hoge dames en heren in de Europese Commissie (althans, van hun ambtenaren) of is het werkelijk mogelijk één grote paraplu te creëren, met behoud van lokale varianten en identiteit? En waar iedere individuele burger zeggenschap houdt over die eigen digitale portemonnee?
Volgens Joe Bloemendaal, digital identity expert en extern expert van Datachecker, is dit een tamelijk ‘krankzinnig plan’. Hij vindt het belangrijk dat je niet al te veel deelt via de digitale wereld. Eén ID om van alles te kunnen regelen, is volgens hem wel een praktisch uitgangspunt. Waarbij we dan niet moeten vergeten dat elk land zijn eigen versie heeft. Wij hebben niets aan een Franse versie, tenzij we een rekening willen openen bij Crédit Agricole.
Bloemendaal: ‘Informatie uitwisselen was destijds het doel van internet. Daar is het voor opgezet, uitwisseling. Pas veel later ontdekten we dat we met het internet veel meer konden doen dan we voor mogelijk hielden. Maar al die gevoelige informatie op het net zetten, dat was nooit de bedoeling. Dus moest het internet onderweg steeds worden aangepast, om de veiligheid te blijven garanderen. Later bleek het internet een superhandig werktuig.”
‘Je ID online bestaat uit allerlei snippertjes informatie. Sommige informatie krijg je al bij de geboorte (bijvoorbeeld een BSN), andere gegevens worden in de loop van de tijd verzameld. Dat is je virtuele identiteit. Wat nu nodig is, is een brug tussen de natuurlijke persoon en zijn internet ID.’
‘Krankzinnig plan’
‘Wat de Europese Commissie nu wil, alle data terughalen en iedere burger daar zelf de controle over geven, is een krankzinnig plan. Ze willen een overstap van, bij wijze van spreken, de Middeleeuwen naar opeens wereldwijd. Dat is heel raar. Het is op termijn misschien wel wenselijk, maar dat kan pas veel en veel later. Het internet en hoe ermee wordt omgegaan is in de Verenigde Staten of China bijvoorbeeld echt heel anders dan hoe wij er mee omgaan.”
Bloemendaal wijst op de strikte controle die bijvoorbeeld de Chinese overheid uitoefent op het gebruik van internet. En dat geldt ook in dezelfde of mindere mate, voor een heleboel andere landen. Wereldwijd zo’n wallet invoeren kan nu niet, meent hij. Beter is het om lokaal te beginnen en later pas op grote schaal zaken te reguleren. Want nu krijg je te maken met de vraag of die persoon in welk ander land ook wel alles mag doen wat hij wil doen. En of burgers in andere landen dezelfde soort en hoeveelheid controle over hun eigen wallet hebben als wij bijvoorbeeld.
Beveiligde omgeving
Tot nu toe werken we in Nederland per bedrijf of organisatie heel verschillend met de zogeheten beveiligde omgeving. Het ene bedrijf gaat daarin veel verder dan het andere. Bij sommige organisaties is een striktere regelgeving nodig dan bij andere. Het is daarnaast wettelijk verplicht ieders privacy te garanderen, dus organisaties en bedrijven hebben nu al vaak veel hoofdbrekens, en zoeken naar oplossingen voor hun end-to-end onboarding. Hoe dat zou moeten gaan als de droom van de Europese Commissie werkelijkheid wordt…?
Kunnen organisaties en bedrijven dat dan nog wel hanteren? Mag een bedrijf van zijn werknemers eisen bepaalde gegevens in zijn wallet toe te voegen? En die dagelijks te gebruiken, op straffe van de computer niet kunnen gebruiken, het pand niet in komen… Als iedere individuele burger de baas is over zijn eigen wallet? Dus niet het bedrijf in kwestie, of zoek het wat verderop, het ziekenhuis, de bank, de sportclub. Wat als mensen niet zomaar alles in zo’n wallet willen stoppen? Hoe ‘Europees’ of ‘wereldwijd’ wordt zo’n wallet dan? Hoe kun je dan werken met zo’n wallet, als iedereen eigenlijk een heel eigen inhoud heeft? Met ieders voorkeuren en tegenstand?
Lokaal beginnen
Joe Bloemendaal voorziet eveneens dat groots en meeslepend een wallet opzetten niet de ideale manier van werken zou zijn. Lokaal regelen, vindt Datacheckers extern expert, zowel voor wat betreft de identiteit als het vertrouwen van de burgers in het fenomeen. Later pas een en ander aan elkaar knopen. Rustig aan, maant Bloemendaal. Hij wijst op de context van de identiteit: er zit een heel verschil tussen iets aankopen op Bol.com en een medisch zorgdossier, bijvoorbeeld. Bol heeft in dat zorgdossier niets te zoeken. Die context is dus heel erg belangrijk.
Bloemendaal: ‘Digitale identiteit vanuit fysieke documenten (naar bijvoorbeeld foto’s in je smartphone – red), is helemaal persoonlijk, en het finetunen daarvan gaat nu mis. In het huidige model heb je zelf nog de controle. Ga je dat overzetten naar helemaal digitaal, dan moeten er problemen worden opgelost via dat finetunen. Dat gaat ook wel lukken, op termijn…’
Wallet in eigen beheer?
Bloemendaal ziet niet gebeuren dat iedereen een eigen digit-wallet krijgt in eigen beheer. ‘We gebruiken veel te veel devices… Onze smartphone, de laptop, tablet, desktop… Dat zal dus een Cloud-oplossing moeten worden. Self Souvereign Identity (SSI = eigen beheer over de wallet) is nog helemaal niet goed uitgedacht. Alles op één device, dan zit de boel potdicht. En dat past helemaal niet bij het plan van de Europese Commissie. Bovendien, je gegevens zijn niet helemaal, gegarandeerd 100% veilig in de Cloud.’
Volgens hem is de oplossing dan ook meerdere wallets creëren, die goed worden beveiligd door biometrie, plus wat er allemaal nog aan beveiliging aan toe te voegen is. ‘Dan ben je niet afhankelijk van één plek, één device. In wezen ga je dan terug naar af. Ga je alles door elkaar gooien in één wallet’, zo besluit hij, ‘dan krijg je één grote puinhoop.’