Europese EID nog omgeven met risico’s; hou het simpel
De geplande infrastructuur van een Europese EID, nationale EID-stelsels, verstrekkers van de juridische identiteit en de attributen en de systemen van dienstaanbieders maakt alles enorm complex, en dat gaat ten koste van kwaliteit.
Jaap-Henk Hoepman is universitair hoofddocent en privacy-onderzoeker aan de Radboud Universiteit en gasthoogleraar van Karlstad University. Naast complexiteit waarschuwt hij ook voor ‘over-identificatie’. Zo kunnen dienstverleners hun klanten gemakkelijk EID-attributen ontfutselen, zoals adresgegevens en telefoonnummers, die voor het aanbieden van hun dienst helemaal niet noodzakelijk zijn. Sterker nog, ze kunnen deze gegevens later voor heel andere doeleinden inzetten. Het beoogde gebruiksgemak van de wallet maakt het mogelijk dat gebruikers hun persoonsgegevens zonder nadenken prijsgeven.
Risico’s van onderspecificatie
Eveneens zorgelijk, vindt Hoepman, is dat de EID-attributen gevalideerd moeten zijn door de verstrekkende overheidsinstantie. Dat maakt het onmogelijk om verzoeken om onnodige gegevens te omzeilen door bijvoorbeeld te ‘liegen’ over je geboortedatum. Aanbieders van diensten, vindt Hoepman, moeten aantoonbaar zijn gemachtigd, om bepaalde gegevens te mogen vragen. Het inbouwen van zo’n verificatie is technisch mogelijk.
Ook het gevaar van ‘onderspecificatie’ ligt op de loer. Neem de maatschappelijke discussie over de registratie van ‘geslacht’. Als dit attribuut te strikt wordt vastgelegd, kunnen sommige mensen in bepaalde hokjes worden geduwd. Ook de invulling van het attribuut ‘burgerlijke staat’ ligt gevoelig. Een huwelijk tussen twee mensen van het hetzelfde geslacht wordt niet in alle lidstaten erkend. Dit soort politieke besluiten wordt naar de opstellers van de technische standaarden gedelegeerd en niet meer op basis van een openbaar debat genomen, waarschuwt Hoepman.
Digitale soevereiniteit
Terwijl over diezelfde technische specificaties nog weinig bekend is. In de plannen is ook niet duidelijk hoe de Europese wallet-ID in technische zin gerealiseerd moet worden, aldus Hoepman. Komen attributen lokaal in de app of extern in de cloud? De Commissie houdt onvoldoende rekening met het feit dat ze meer afhankelijk wordt van het smartphoneplatform van Apple en Google, die het gros van de mobiele apparaten van Europese burgers beheren. Zo moesten de coronamelder-apps van de EU-landen verplicht de eigen standaarden van de twee techbedrijven gebruiken, een onmiskenbare inbreuk op de zo vurig bepleite digitale soevereiniteit van Europa. Apple en Google krijgen ook alle informatie over het gebruik van de wallet-ID.
Minder digitaal vaardige burgers
Tot slot dreigt uitsluiting van minder digitaal vaardige EU-burgers. Hoe de alternatieven er voor hen uitzien, is niet duidelijk. Hoepman pleit ervoor het EID-stelsel stap-voor-stap te realiseren en niet in één keer van de grond op de kast te willen springen.
iBestuur Event ‘Europese Digitale Identiteit
Op 10 november 2022 organiseerde iBestuur, in samenwerking met het ministerie van BZK, de Rijksdienst voor Identiteitsgegevens (RvIG) en marktpartijen, een event over de voorstellen van de Europese Commissie voor een Europese digitale identiteit voor elke EU-burger. Jaap-Henk Hoepman verzorgde een van de keynotes.