Akkoord over wetgevend kader voor Europese digitale identiteit
De Europese Raad en het Europees Parlement voorlopig politiek akkoord bereikt over de belangrijkste elementen van een nieuw kader voor een Europese digitale identiteit (eIDAS). Experts waarschuwden eerder dat het hiermee mogelijk blijft dat een overheid met haar eigen certificaten burgers kan bespioneren, maar volgens Europa vormt eIDAS-wetgeving geen probleem voor privacy en veiligheid.
De eIDAS, electronic IDentification Authentication and trust Services, is een Europese verordening rond elektronische identificatie. Het moet personen en bedrijven universele toegang geven tot veilige en betrouwbare elektronische identificatie en authenticatie via een persoonlijke digitale portemonnee op de mobiele telefoon.
Kritische geluiden
Een groot aantal experts trok vorige week per brief aan de bel over de eIDAS regelgeving omdat deze risico’s zouden bevatten om burgers af te luisteren en de digitale identiteit van een persoon volledig in kaart te brengen. Concreet ging het om een update van artikel 45. Ze vinden dat het voorstel de mogelijkheden van regeringen uitbreidt om zowel hun eigen burgers als inwoners in de hele EU in de gaten te houden, omdat er mogelijk technische middelen worden toegestaan die versleutelde berichten kunnen onderscheppen en bestaande toezichtsmechanismen kunnen ondermijnen.
Artikel 45 geeft overheden nu de mogelijkheid om zelf zogenaamde Qualified Website Authentication Certificates (QWAC’s) uit te reiken. Internetbrowsers verwerken die certificaten om hun verbinding met servers te beveiligen en te authentiseren volgens bestaande wereldwijde afspraken over veiligheid en vertrouwelijkheid, maar met QWAC’s krijgen lidstaten de mogelijkheid en bevoegdheid om zelf certificaten te maken en te plaatsen. Daarbij wordt het met het voorstel ook nog eens mogelijk dat er een verbod komt voor browsers om QWAC’s te weigeren.
Een ander heikel punt in de wettekst is dat deze ook aan commerciële dienstverleners ruimte geeft om de activiteiten uit een digitale portefeuille van een burger te gaan linken. Deze kunnen zo een sterk digitaal profiel van een burger opbouwen. De open brief zegt dat de wettekst weliswaar toelaat dat privacybeschermende technologie wordt gebruikt om dat te voorkomen, maar het is niet verplicht.
Michiel Steltman, directeur van Stichting Digitale infrastructuur Nederland (SIDN), schrijft in een LinkedIn-bericht dat hij de voorgestelde wijziging in eIDAS “amper kan geloven.” Hij haalt daarbij onder meer de Diginotar-crisis aan, waardoor Iran de mogelijkheid kreeg om valse certificaten aan te maken voor bekende websites en zo internetverkeer kon ‘afluisteren’. Dat lukte omdat de certificaten niet als “ongeldig” worden herkend door browsers.
“De kans op incidenten was destijds klein. Maar omdat de veiligheid niet kon worden gegarandeerd moesten zowel de overheid, infra partijen, webmasters als gebruikers hun voorzorgsmaatregelen nemen. Het was een nationale crisis. Wat er hier nu gebeurt is dat die effecten van de Diginotar hack in een EU wet wordt vastgelegd als optie.” Volgens Steltman krijgen lidstaten met het voorstel een opening om HTTP en TLS-encryptie te omzeilen en Man-In-The-Middle-aanvallen uit te voeren, aan de hand van eigen geplaatste certificaten.
Lees ook:
