Wetenschappers stelden via het platform Follow The Money dat het invoeren van een Europese digitale identiteit zou leiden tot een surveillancestaat en ‘het einde van de vrijheid’. Hoogleraar Bart Jacobs herkent zich niet in de strekking van het verhaal. Met de plannen voorziet Europa de lidstaten van een gemeenschappelijke technische architectuur, normen en richtlijnen voor de bouw van zo’n digitale identiteit.
Bart Jacobs | Beeld: CSR
De ophef over de plannen voor een Europese digitale identiteit was groot nadat wetenschappers in een verhaal van Follow The Money een doemscenario schetsten waarin het ‘einde aan de vrijheid’ werd aangekondigd. Het verhaal leidde onder meer tot duizenden bezorgde reacties en Kamervragen. AG Connect besprak de zorgen met hoogleraar Bart Jacobs van de Radboud Universiteit.
Bart Jacobs herkent zich niet in de algehele strekking van het verhaal van Follow The Money, waarin gewaarschuwd wordt voor onder meer een surveillancestaat en ‘het einde van de vrijheid’ op basis van het voorstel voor een Europese digitale identiteit. Jacobs is in de basis juist wel te spreken over de plannen, waarmee Europa de lidstaten van een gemeenschappelijke technische architectuur, normen en richtlijnen voor de bouw van zo’n digitale identiteit voorziet. “Ik heb er eigenlijk niets negatiefs over gezegd. En Europa bouwt de digitale identiteit niet zelf. De lidstaten moeten met die geschetste voorwaarden zelf aan de slag”, benadrukt Jacobs.
‘De principes zijn een goede zaak’
Jacobs is zelf bij de ontwikkeling van de ‘European Digital Identity Wallet’ betrokken geweest. Hij stond onder meer aan de wieg van de authenticatie-app IRMA, waarmee veilig en privacyvriendelijk gegevens kunnen worden uitgewisseld waarbij de eindgebruiker controle houdt over zijn eigen data. Met IRMA is het onder meer mogelijk om met het middel online te identificeren en documenten te ondertekenen. Momenteel hebben zich bijna 60.000 mensen geregistreerd bij IRMA. “De Europese Commissie heeft een aantal van mijn ideeën van de IRMA-app overgenomen. Daarmee wil ik overigens niet beweren dat het hele idee voor een Europese Digitale Identiteit van IRMA komt, maar ik zie het wel als een bevestiging van het gedachtengoed. De principes van het voorstel die er nu liggen lijken mij een goede zaak. In algemene zin ben ik dus positief over de plannen voor deze digitale identiteit.”
“We moeten opletten dat de techbedrijven hun eigen plannen niet doordrukken. Identiteit is geen handelswaar.”
Definitief zijn de plannen nog niet. Er is nog tijd om over het voorstel zoals dat er nu ligt te onderhandelen. Het streven is dat er in september 2022 een akkoord gevonden wordt. De commissie heeft er volgens Jacobs wel haast mee en hij is nog niet helemaal gerust op het voorstel zoals het er nu uitziet. Er zijn wat hem betreft nog zeker twee belangrijke verbeterpunten. “Het voorstel ademt een decentrale toon, maar er staat nergens in de eisen dat de data van de Wallet ook decentraal opgeslagen moeten zijn. In mijn ogen is dat een vereiste. In de plannen ontbreekt ook de eis dat de Wallet open source ontwikkeld moet zijn, zo houd je Big Tech buiten de deur. Ik vind dat een verplicht onderdeel.”
Commerciële partijen uitsluiten
Zolang deze genoemde twee eisen niet in het voorstel zijn verwerkt, kunnen lidstaten volgens Jacobs straks nog altijd commerciële partijen vragen om de Wallet te bouwen. Omdat decentrale dataopslag geen eis is kunnen de data dan zomaar bij één bedrijf worden opgeslagen. “Gebruikers moeten dan, om hun Wallet te gebruiken bij die commerciële partij inloggen, die dan precies kan volgen wie waar op welk tijdstip met welke gegevens inlogt. Dit gebeurt nu ook wanneer we bij Facebook inloggen.” Daar is Jacobs geen liefhebber van. Het liefst ziet hij dan ook dat de Europese Commissie commerciële partijen uitsluit. “We moeten opletten dat de techbedrijven hun eigen plannen niet doordrukken. Identiteit is geen handelswaar. De Wallet moet non-profit en open source gemaakt worden.” Is de kennis van marktpartijen dan niet noodzakelijk bij het ontwikkelen van de Wallet? Dat vindt hij maar een ‘rare opmerking’. “Zo’n cliché! Bij de universiteiten zijn voldoende mensen met kennis aanwezig om de Wallet te bouwen.”
Toch denkt de hoogleraar niet dat de plannen bewust zijn ingezet om de macht van techbedrijven te vergroten. Integendeel: Jacobs herkent in de plannen de Europese strategie om afhankelijkheid van Amerikaanse partijen zoals Google en Microsoft te verkleinen. Europeanen identificeren zich hiermee nu al volop bij vele digitale diensten. “Met een Europese digitale identiteit worden we inderdaad juist minder afhankelijk van Amerikanen. Maar als we vervolgens afhankelijk worden van een Europese commerciële partij schieten we in mijn ogen weinig op. De Europese Commissie moet uitsluiten dat één partij een monopolie kan gaan verkrijgen in een land. Heel simpel: de Wallet non-profit ontwikkelen en de data decentraal opslaan dus.”
Onduidelijkheid over Blockchain
In het artikel van Follow The Money, dat tot Kamervragen leidde van de SP, uitten een aantal bronnen waaronder Jacobs ook grote zorgen over de mogelijkheid dat er met blockchaintechnologie gewerkt zal worden. Maar er is op dit moment nog niets zeker over of dit ook daadwerkelijk gebruikt gaat worden. Jacobs: “Iedere lidstaat moet straks op basis van de Europese ‘toolbox’ zelf met de Wallet aan de slag gaan. Uiteraard mogen ze hierbij wel samenwerken. Kleinere landen zoals Malta zullen vermoedelijk aanhaken bij grotere landen zoals Duitsland. Welk land precies welke Wallet gaat bouwen is nu nog volledig onduidelijk. Dat chaotische spel is nu volop gaande. Op dit moment is dus nog volledig onduidelijk of er landen met blockchain aan de slag zullen gaan.”
Jacobs maakt zich zorgen over de veiligheid en duurzaamheid van blockchaintechnologie. Er zijn lidstaten die blockchaintechnologie onderzoeken of ermee experimenteren, maar hij denkt niet dat deze proeven echt een vervolg zullen krijgen. “Duitsland is bijvoorbeeld begonnen met blockchaintechnologie, maar kwam al snel grote problemen tegen. De bevindingen daarvan zijn onlangs bekendgemaakt in een rapport van DSI, de Duitse tegenhanger van TNO. Blockchain is volgens Jacobs om diverse redenen ongeschikt om een Europese digitale identiteit te bouwen. “Het is een hype-technologie die enorme risico’s met zich meebrengt. Een oplossing op zoek naar een probleem.”
Tijd voor iets nieuws
Er zijn kritische noten, maar wat Jacobs betreft is het hoe dan ook hoog tijd dat Europa aan de slag gaat met een nieuwe digitale identiteit. DigiD, waarmee Nederlanders momenteel digitaal inloggen, is kwetsbaar en bovendien volledig gebaseerd op het BSN-nummer. “Daarom mag het alleen in de publieke sector worden gebruikt en niet door bedrijven. En in veel omstandigheden is meer nodig dan alleen een BSN. Met IRMA kunnen artsen bijvoorbeeld een AGB-registratie laten zien.” Eén digitale Wallet kan ervoor zorgen dat niet tal van organisaties toegang tot specifieke data van Nederlanders hebben, zoals nu met DigiD het geval is. Nederlanders moeten nu overal apart inloggen voor bijvoorbeeld toegang tot bankrekeningen, inschrijvingen bij opleidingen en aanvragen van leningen. Daarbij verschilt het beveiligingsniveau van inloggen per organisatie. Europa heeft volgens Jacobs ook ingezien dat een Wallet met meerdere attributen van enorme waarde kan zijn. “En ook staatssecretaris Knops begrijpt heel goed dat Nederland die kant op moet.”
“Iedere gemeente hoort in principe hier te weten wie haar inwoners zijn. In India bestaat zo’n basisregistratie niet.”
Horrorscenario India
De vergelijkingen in het verhaal van Follow the Money met India, waar inwoners van de honger sterven door systeemfouten en door verkeerd ingevoerde gegevens, noemt Jacobs “absoluut géén realistisch scenario” voor Europa. “Hier hebben alle landen een basisregistratie personen. Iedere gemeente hoort in principe hier te weten wie haar inwoners zijn. In India bestaat zo’n basisregistratie niet. De enige manier om in dat land aan te tonen wie je bent is met biometrie. Zo’n scenario is hier dus helemaal niet aan de orde, omdat bij ons iedereen geregistreerd is in de BRP.”
Een vergelijking met een digitale identiteit zoals in Estland, waar een BSN-nummer zowel publiek als privaat gebruikt mag worden, is volgens Jacobs dichterbij. Maar ook dit dekt de lading niet. “Er wordt vaak naar Estlands gedigitaliseerde overheid verwezen, waar al een sterke digitale identiteit is georganiseerd. In Estland kun je alles met je ID-nummer doen. Maar in dat land bestaat volgens hem geen privacy meer. Wel is alles wat de overheid met de gegevens doet van een burger volledig transparant. “Wie in Estland gecontroleerd wordt door de politie kan zelf zien dat de politie toegang heeft gehad. Dat geeft vertrouwen, maar het is geen privacy. Hun manier van werken is in ons land simpelweg cultureel gezien onacceptabel.”
Dit artikel werd eerder gepubliceerd op AGConnect
Ik lees “DigiD, waarmee Nederlanders momenteel digitaal inloggen, is kwetsbaar en bovendien volledig gebaseerd op het BSN-nummer. “Daarom mag het alleen in de publieke sector worden gebruikt en niet door bedrijven. En in veel omstandigheden is meer nodig dan alleen een BSN.” Hoe kan het dan dat ziektekostenverzekeraars Digid gebruiken om toegang te krijgen tot “Mijn ZK”? Of zijn die stilletjes publiek geworden?
Vanuit de DBC delen we de mening van Jacobs dat de ontwikkeling van een Europese digitale identiteit juist een goede ontwikkeling is.
Opmerkelijk is dat de gelegenheid blijkbaar weer te baat genomen moet worden om zijn (inmiddels alom bekende) weerstand tegen blockchain (of eigenlijk: DLT) te ventileren. Daarbij verwijzend naar een rapport van het DSI. DSI is niet “de Duitse tegenhanger van TNO” zoals Jacobs beweert, dat zou dan eerder Fraunhofer zijn. DSI is een onderdeel van de Duitse overheid: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.
In het DSI rapport wordt geschetst dat DLT zeker niet de enige technologie is om SSI op te bouwen. Dat klopt! En tevens wordt aangegeven dat goed nagedacht moet worden hoe een op DLT gebaeerde oplossing vormgegeven wordt. Daar zijn wij het van harte mee eens, zie ook ons DSSIF whitepaper op onze website. Overigens geldt dat voor alle technologische oplossingen: het feit dat GEEN blockchain gebruikt wordt, maar het niet vanzelf “goed”…