EU’s digitale identiteit moet leren van de zwakheden in het coronacertificaat
Als we niet leren van de tekortkomingen van het EU Digitaal Corona Certificaat, zal de voorgestelde Europese digitale identiteit nooit haar volledige potentieel waarmaken. Betrek de private sector erbij voor een beter uitgebalanceerd ontwerp dat goed is voor alle spelers in het ecosysteem. Waarbij we rekening houden met privacy, veiligheid, interoperabiliteit en gebruiksvriendelijkheid.
Beeld: Shutterstock
Op 1 juli stelt de EU het Digitaal Corona Certificaat beschikbaar aan alle lidstaten. Het systeem is ontworpen om burgers de mogelijkheid te geven zich vrij te bewegen tijdens de coronapandemie. Het voorziet in een gecentraliseerde toegang die interoperabel is met alle nationale certificeringssystemen in de EU. Burgers kunnen met een smartphone-app (in Nederland: CoronaCheck) of een papieren document bewijzen dat ze zijn gevaccineerd, negatief getest of hersteld van het virus.
Gezien de snelheid van de ontwikkeling, deels op aandringen van (toerisme) afhankelijke lidstaten die deze zomer vakantiereizen mogelijk willen maken, verdient dit Europese coronacertificaat veel lof. Maar extra snelheid gaat gepaard met extra risico’s. Door de tijdsdruk zijn overhaaste beslissingen genomen. Daardoor bevat het systeem zwakke plekken op het gebied van privacy, veiligheid, en gebruiksvriendelijkheid. Het is een goede oefening geweest. Een oefening die een urgent probleem oplost en veilig reizen mogelijk maakt. Maar het levert belangrijke inzichten op die we moeten gebruiken bij de ontwikkeling en uitrol van de digitale identiteit.
De Europese digitale identiteit is een ambitieus initiatief van de EU dat voortbouwt op de bestaande eIDAS-regelgeving. Het voorziet in een structuur die burgers in staat stelt om met behoud van controle probleemloos nationale identiteiten en documenten te delen in alle lidstaten middels een ‘digitale portemonnee’. Dat maakt een groot scala aan activiteiten buiten de landsgrenzen een stuk eenvoudiger, zoals het volgen van een universitaire studie of het huren van een auto.
Onze vrees is dat het proces centraal gestuurd wordt vanuit het publieke domein zonder rekening te houden met de behoeften, kennis en vaardigheden van de private sector.
Wij zien het coronacertificaat als een zeer specifieke toepassing. Het gaat in feite om een enkel document voor een enkel doel. De gebruiker moet het samen met het paspoort tonen om te bewijzen dat de coronagegevens van hem of haar zijn. De digitale portemonnee moet nog veel meer van dit soort toepassingen en transacties mogelijk maken. Maar om digitale transacties op grote schaal betrouwbaar te kunnen faciliteren, moet er wel een strikte koppeling zijn tussen de identiteit van de persoon en diens gegevens, waarbij tijdens het het transactieproces gecheckt kan worden of deze inderdaad zijn uitgegeven door een vertrouwde partjj. We moeten de introductie van het coronacertificaat gebruiken als leermoment voor het ontwerp en de implementatie van deze veel bredere digitale portemonnee.
Inzoomen op de zwakke punten van het coronacertificaat
De totstandkoming van het coronacertificaat heeft uitdagingen opgeleverd op het gebied van privacy, veiligheid, gebruiksvriendelijkheid, interoperabiliteit en transparantie. Eén van de belangrijkste kritiekpunten als het gaat om privacy is het ontbreken van de mogelijkheid om data selectief te ontsluiten, afhankelijk van de situatie. Waarom is het bijvoorbeeld nodig om te laten zien welk type vaccin is toegepast als we een vliegtuig instappen? Er is een debat ontstaan over de data die wel of niet op het certificaat moet worden getoond. Dat geldt met name voor de papieren versie, waarbij het niet mogelijk is om wijzigingen aan te brengen in de getoonde data.
Ook over de gebruiksvriendelijkheid en inclusiviteit bestaan zorgen in de markt. Er is discussie ontstaan over de vraag of sommige groepen door het coronacertificaat (onbedoeld) worden gediscrimineerd. Het is waar dat de papieren versie een optie is voor mensen zonder smartphone. Maar ik ben er niet van overtuigd dat het huidige ontwerp voldoende rekening houdt met de behoeften en uitdagingen van groepen zoals ouderen en mensen met leesproblemen.
Hiernaast zijn in de markt vraagtekens geplaatst bij de transparantie in de besluitvorming tijdens de ontwikkeling van het systeem. Is wel een voldoende brede groep van experts betrokken bij het ontwerp? De gemaakte keuzes met betrekking tot technologie en regelgeving waren tijdens het grootste deel van het proces ondoorzichtig. Dat leidt tot ongemak bij privacy- en security-experts die niet tijdens het proces zijn geraadpleegd.
En de communicatie met het grote publiek levert leerpunten op. Het certificaat leidt tot gemengde reacties. Mensen zien het als een noodzakelijk kwaad dat hen in staat stelt om te reizen. Maar er is ook veel ongemak. Hoe lang moeten we het blijven gebruiken? En waarvoor hebben we het straks allemaal nodig? Alleen voor reizen of ook voor bezoek aan festivals of betreden van kantoren? Die zorgen zijn niet weggenomen.
Wat kunnen we ervan leren voor de digitale identiteit?
De EU-commissie heeft onlangs de lidstaten uitgenodigd om voor september 2022 een toolbox voor de technische architectuur, standaarden en best practices voor de digitale portemonnee vast te stellen. Dat maakt het noodzakelijk om snel de lessen van het coronacertificaat in praktijk te brengen.
Wij zijn sterke pleitbezorgers van een open en transparant proces. Onze vrees is dat het proces centraal gestuurd wordt vanuit het publieke domein zonder rekening te houden met de behoeften, kennis en vaardigheden van de private sector. Het is essentieel dat de private sector wordt betrokken bij de ontwikkeling van de digitale portemonnee, vooral bij het ontwerp van standaarden en protocollen. Er zijn veel leveranciers van oplossingen die beschikken over benodigde technologie en innovatiekracht, bijvoorbeeld op het gebied van gebruiksvriendelijkheid en inclusiviteit. De EU en diens lidstaten kunnen veel profijt ervan hebben als ze deze partijen vroegtijdig bij verdere uitwerking van de huidige plannen betrekken.
Het lijkt zinvol om de digitale identiteit te positioneren als een toegevoegde waarde bovenop de nationale ID-programma’s van elke lidstaat.
De eIDAS-regelgeving stelt de publieke sector in veel landen al in staat om de identiteit van burgers digitaal te verifiëren. Nu hebben we de kans om ook de private sector daartoe in staat te stellen. Verificatie van de digitale identiteit door private diensten in verschillende landen biedt de burgers nog meer gemak. Het wordt dan ook eenvoudiger voor private dienstverleners om frictie tijdens het onboardingproces van hun klanten te minimaliseren die nu ontstaat als ze de identiteit van klanten willen verifiëren om aan regelgeving te voldoen of om risico’s te minimaliseren.
Als het gaat om privacy, lijkt de EU genegen om selectieve ontsluiting van data mogelijk te maken. Dat betekent dat de digitale portemonnee alleen de data toont die noodzakelijk is voor een specifieke dienst of transactie. Maar er liggen ook kansen voor het opzetten van een accreditatieproces voor specifieke partijen die data willen verifiëren. Denk bijvoorbeeld aan reisorganisaties die daarmee toegang krijgen tot alleen de data die gerelateerd zijn aan de reis. Dat is inmiddels in enkele landen lokaal geïmplementeerd, maar het is niet duidelijk of dit straks ook mogelijk is met de EU digitale identiteit.
Tot slot is het zaak om de communicatie zorgvuldig voor te bereiden. Het lijkt zinvol om de digitale identiteit te positioneren als een toegevoegde waarde bovenop de nationale ID-programma’s van elke lidstaat, en niet als een gecentraliseerd ‘big brother’ systeem. De EU is van plan om een decentrale, privacy-vriendelijke en veilige oplossing te ontwikkelen. Het is cruciaal dat die boodschap wordt overgebracht aan het soms wat sceptische publiek. En de EU moet gehoor geven aan de bezorgde geluiden voor die delen van de samenleving die nog niet klaar zijn voor een grootschalige overstap naar een digitale identiteit.
Oproep aan de EU voor samenwerking met de private sector
Gezien de snelheid waarmee het is ontwikkeld, is het coronacertificaat een lovenswaardige poging die hopelijk een belangrijke rol speelt in het openstellen van de grenzen voor het reisverkeer. Maar de zwakke punten uit dit systeem moeten we als leerpunten meenemen bij het ontwerp en de implementatie van de Europese digitale identiteit.
De belangrijkste boodschap van Vincent en Eefje is dat de private sector bij dit proces moet worden betrokken. Als we de dienstverleners in de private sector (met al hun technologieën en innovatiekracht) volledig meenemen in dit proces, kunnen we betere keuzes maken. En een oplossing opleveren die niet alleen de eindgebruiker helpt, maar ook grote kansen en voordelen biedt voor private partijen.
Vincent Jansen is partner bij INNOPAY, vincent.jansen@innopay.com
Eefje van der Harst is senior Manager bij INNOPAY, eefje.vanderharst@innopay.com
