De coronapandemie heeft onder meer duidelijk gemaakt dat het onderwerp digitale soevereiniteit in Europa (en in Nederland) op de politieke agenda is gekomen. Hoogleraar Bart Jacobs vindt dat een mooie ontwikkeling. “Wat we allereerst nodig hebben voor een digitaal soeverein Europa is een self-souvereign digitale identiteit”, aldus Jacobs.
Beeld: PublicDomainPictures / Pixabay
In mijn leven heb ik een paar gebeurtenissen als ‘historisch’ ervaren, zoals de val van de muur in 1989 en de Twin Tower aanslag in 2001. De coronapandemie van 2020 hoort daar ook bij. Het grote aantal doden door de pandemie speelt natuurlijk een grote rol, maar ook de aangetoonde kwetsbaarheid van de mensheid in een alom verbonden wereld. Op meer praktisch nivo zijn we afhankelijk gebleken van lange uitgeknepen supply-chains die gericht zijn op just-in-time delivery en die niet robuust functioneren als het er op aankomt. We zijn massaal online gaan werken en hebben ons sterker dan ooit afhankelijk gemaakt van een paar niet-Europese ICT-dienstverleners. Tegelijkertijd is dit jaar het onderwerp digitale soevereiniteit in Europa (en in Nederland) op de politieke agenda gekomen.
In november 2019 sprak Ursula von der Leyen bij haar aantreden als nieuwe voorzitter van de Europese Commissie: “First, we must have mastery and ownership of key technologies in Europe. … To do this, to close the gaps that exist now, we must act together. Let us pool our resources, our money, our research capacity, our knowledge. And let us put this into practice. …” Second, Europe has all the scientists and all the industrial capabilities it needs to be competitive in these areas. Let’s not talk ourselves down. Dit is een nieuwe toon, die aansluit bij een bredere ontwikkeling waarin Europa zich assertivier opstelt op het wereldtoneel. De angst voor het verlies van autonomie is heel zichtbaar bij onderwerpen als 5G (nieuwste generatie mobiel bellen) en AI (artificiële intelligentie). Deze Europese wending is in Nederland opgepikt. Op dit moment zijn er, bij mijn weten, drie studies in voorbereiding (of inmiddels gepubliceerd) over digitale soevereiniteit: een preadvies voor de Staatsrechtconferentie 2020, een rapport van TNO voor het ministerie van Economische Zaken, en een advies voor de Cyber Security Raad.
Reguleringsmacht
Op digitaal terrein is Europa vooral een reguleringsmacht, in meest uitgesproken vorm via de Algemene Verordening Gegevensbescherming (AVG) die sinds mei 2018 van kracht is. Europa claimt morele en juridische autoriteit, waarin bijvoorbeeld privacy als een collectief fundamenteel recht beschouwd wordt en niet als iets dat tussen de individuele consument en dienstaanbieder via voorwaarden en instellingen geregeld kan worden. Maar Europa heeft geen dominante eigen digitale platformen – behalve misschien Spotify. Voorzitter Von der Leyen heeft goed begrepen dat om werkelijke macht te hebben, je niet alleen moet reguleren, maar ook de technologie moet hebben om je eigen waarden in te verankeren. Daar ontbreekt het nu vooral aan.
Amerikanen zeggen nog wel eens denigrerend: ‘the US innovates, Europe regulates’. Daar zit misschien wel een kern van waarheid in, maar er is meer aan de hand. Verschillende Amerikaanse bedrijven hebben inmiddels een zodanig dominante rol dat ze er hun strategie van gemaakt hebben om nieuwe spelers, die mogelijk een bedreiging vormen voor hun marktpositie en gebruikersaantallen, snel op te kopen. Vervolgens worden die nieuwe spelers ofwel ingelijfd, wanneer hun technologie bijdraagt aan het eigen verdienmodel, ofwel de nek omgedraaid, wanneer die technologie bedreigend is voor dat verdienmodel. Een andere strategie, voor als je hele diepe zakken hebt, is om je eigen producten gratis te houden totdat alle concurrentie uitgeput en uitgeschakeld is. Door zulke praktijken is er geen sprake meer van een level playing field maar van ernstige marktverstoring Je kunt dan als Europa proberen om deze grote spelers terug in hun hok te reguleren (onder meer via de recente Digital Services Act en Digital Markets Act) en ook om je eigen (start-up) bedrijven te omringen met nieuwe beschermingsconstructies. Maar je kunt misschien ook proberen op een ander bord te schaken. Daarover later meer.
Eigen kennisniveau
Digitale soevereiniteit kost geld en kan alleen gebaseerd zijn op een hoog eigen kennisniveau. Als je alleen maar gebruik maakt van de producten van anderen, heb je zelf niks te vertellen en kun je alleen maar dankbaar zijn voor de functionaliteit die anderen je gunnen. In deze wereld moet je daarbovenop bedacht zijn op verborgen functionaliteit, die bedoeld is om jou in de gaten te houden of te manipuleren. Begin 2020 werd openbaar dat in de jaren tachtig van de vorige eeuw de belangrijkste leverancier van versleutelingsapparatuur, het ogenschijnlijk respectabele Zwitserse bedrijf Crypto AG, feitelijk in handen was van de Duitse en Amerikaanse inlichtingendiensten BND en CIA. Zij zorgden ervoor dat meer dan honderd landen bewust verzwakte crypto kochten, waardoor hun geheimste communicatie door deze twee diensten meegelezen kon worden. De BND en CIA noemden het zelf de intelligence coup of the century. In deze wereld van hoogwaardige technologie is het een kwestie van: eten of gegeten worden.
In de zomer van 2020 heeft de hoogste Europese rechter, het Hof van Justitie van de Europese Unie, de privacy shield voorwaarden ongeldig verklaard, in de zogenaamde Schrems II-uitspraak. Onder die voorwaarden konden persoonsgegevens tussen Europa en de VS uitgewisseld worden. De Europese rechter stelt dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet. Het springende punt is dat de Patriot Act Amerikaanse inlichtingen- en veiligheidsdiensten het recht geeft om, niet alleen wanneer sprake is van een noodzaak, gegevens van EU-burgers op te eisen en te gebruiken. Deze gegevens kunnen gevorderd worden bij ieder bedrijf dat in de VS actief is, waarbij het niet uitmaakt of de gegevens in de VS staan of in Europa. Dit legt een bom onder de gegevenverwerking van bijvoorbeeld Facebook of van Microsoft (in de cloud, bij Office 365) en van duizenden andere bedrijven. Alleen wanneer deze bedrijven waarborgen dat gegevens bij hen net zo goed beschermd worden als in Europa, mogen zij nog persoonsgegevens van EU-burgers onder Amerikaanse jurisdictie brengen. Maar dat kunnen deze bedrijven helemaal niet, tenminste zolang de Amerikaanse wet (de Patriot Act) niet veranderd wordt. Hier heeft echt een omslag plaatsgevonden: ik hoor bij steeds meer projecten in mijn omgeving: geen Amerikaanse hoster! Uitgesloten.
Deze Schrems II uitspraak is, zoals gezegd, een bom waarvan de precieze effecten nog niet duidelijk zijn. In het licht van de eerder besproken Europese versterking van de eigen soevereiniteit zijn er mogelijk perspectieven op een nieuwe verdeling van activiteiten met een essentiële Europese component. Zo zou een puur Europese partner van Microsoft bijvoorbeeld Europese persoonsgegevens kunnen opslaan en beheren en met die gegevens Office365 functionaliteit kunnen bieden die op de achtergrond, puur als software, door Microsoft geleverd wordt. Bij zo’n opzet worden gegevens en software strikt gescheiden, tussen EU en VS. Daarbij moet dan gegarandeerd zijn dat Microsoft – en daarmee de Amerikaanse overheid – geen toegang heeft tot de gegevens. Bij zo’n verdeling moet een bedrijf als Microsoft inleveren, maar het is misschien de prijs om clouddiensten in Europa te kunnen aanbieden.
Kinderschoenen
Aan een voldoende hoog kennisniveau lijkt het niet te ontbreken in Europa. Ook wordt er (tot nu toe) ruim geïnvesteerd door Brussel in wetenschappelijk onderzoek en ontwikkeling. Wel kunnen we ons afvragen of deze kennisinvesteringen in Europa voldoende strategisch gestuurd zijn. In de VS en in China bestaan uitgebreide overheidsprogramma’s, vaak met een militaire- of inlichtingenachtergrond, die onderzoeksmiddelen voor specifieke, strategisch gekozen onderwerpen beschikbaar maken. De nationale overheden in Europa zijn te klein voor vergelijkbare investeringen. En het gezamenlijk-strategische denken op Europees niveau staat nog in de kinderschoenen. Hier wringt enigszins dat Europa zich in beginsel niet inlaat met nationale veiligheid.
Waar zouden we dan als Europa-met-ambitie in moeten investeren voor onze digitale soevereiniteit? Ik keer graag terug naar de huidige voorzitter, Von der Leyen. Afgelopen september, in haar state of the union in het Europese Parlement, bouwt ze voort op het thema van soevereiniteit. In het kader van wat ze noemt Europe’s Digital Decade (2020-2030) wil ze inzetten op een Europese cloud, op AI en op een Europese digitale identiteit. Dat laatste onderwerp spreekt mij bijzonder aan, omdat het mijn eigen specialisatie is binnen het vakgebied computerbeveiliging. Ze spreekt uit: “That is why the Commission will soon propose a secure European e-identity. One that we trust and that any citizen can use anywhere in Europe to do anything from paying your taxes to renting a bicycle. A technology where we can control ourselves what data and how data is used.”
Authenticatie
In de coronacrisis van 2020 hebben onze digitale activiteiten plotseling, noodgedwongen, een hoge vlucht genomen. We zijn volop digitaal gaan communiceren, met name in videogesprekken, via grote spelers als Teams, Webex en Zoom, maar in kleinere kring ook via open source producten als Jitsi en BigBlueButton. Omdat iedereen snel en plotseling online moest heeft beveiliging niet altijd voldoende aandacht gekregen. En inderdaad is er volop misbruik gemaakt, bijvoorbeeld in de vorm van WhatsApp-fraude of Zoom-bombing. Het achterliggende probleem daarbij is dat authenticatie van gebruikers (bewijs van identiteit) niet voldoende geïntegreerd is in de standaard online tools. Zo lijkt mij dat een medisch videoconsult gewoonweg illegaal is wanneer een arts de identiteit van de patiënt niet vastgesteld heeft voordat gevoelige medische gegevens besproken worden.
Overheden, zeker de Nederlandse, hebben veel te veel de neiging om alleen voor zichzelf te zorgen en alleen inloggen bij de overheid zelf te regelen. Wat we nodig hebben is een digitale identiteit die breed inzetbaar is, zowel publiek als privaat – ook om een fiets te huren, in het voorbeeld van Ursula. De Digital Single Market vereist digitale identiteiten voor het afsluiten van online transacties en contracten, en voor digitale besluitvorming, bijvoorbeeld in aandeelhoudersvergaderingen, gemeenteraden, maar ook voor online burgerparticipatie en voor stemmen. Zo’n digitale identiteit moet proportioneel zijn en in verschillende contexten bruikbaar zijn: om een heftige film online te zien is het moeten tonen van een kopie van het paspoort een overkill. En zo’n paspoort is nutteloos voor autorisatie om in een medisch dossier te schrijven, want daarvoor is juist een artsregistratie nodig. Kortom, een moderne breed-bruikbare digitale identiteit moet gebaseerd zijn op attributen, dat wil zeggen op kenmerken van personen, zoals ‘ouder dan 18’ of ‘huisarts’.
Open source
Von der Leyen pleit voor een secure European e-identity. Ik wil hier betogen dat zo’n Europees eID alleen kans van slagen heeft wanneer het non-profit en open source is. Het is moeilijk voorstelbaar dat alle Europese burgers gebruik willen maken van een eID dat bijvoorbeeld door een Frans of Tsjechisch bedrijf ontwikkeld is, met gesloten software, vanuit de houding van ‘vertrouw ons maar’. In de Nederlandse discussie is het afgelopen jaar de fraaie kreet naar voren gekomen: identiteit is geen handelswaar. Ik vermoed dat dit een sentiment weergeeft dat breedgedragen wordt in Europa.
Dit brengt mij terug bij het onderwerp van Europese soevereiniteit. Proberen de Amerikanen en Chinezen te verslaan met een puur commerciële strategie, in een ongelijk speelveld, lijkt mij niet de enig zinvolle weg voorwaarts. Europa wordt vaak, terecht, voorgesteld als een waardegemeenschap. Om die waarden te verankeren in eigen technologie die collectief gebruikt wordt, moet op een ander bord geschaakt worden, waar identiteit geen handelswaar is. Een Europese digitale identiteit dient gebaseerd te zijn op openheid, proportionaliteit en diversiteit. Een concrete realisatie vereist een open source attribuutgebaseerde technologie. Zulke technologie bestaat – mijn eigen werk draagt er aan bij – en wordt steeds breder bepleit, vaak onder de noemer van self-souvereign identity. Juist zo’n souverein eID vormt een essentiële, eerste stap op weg naar Europese digitale soevereiniteit.
Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en voorzitter van de stichting Privacy by Design. Voor meer informatie, zie zijn persoonlijke webpagina bij de universiteit.
Buitengewoon sterk betoog. Jammer dat ik het niet eerder gelezen heb. Heb wel een paar opmerkingen mbt Schrems II .
Schrems II heeft weliswaar voor een omslag gezorgd, maar het onderliggende probleem bestond allang. Alleen heeft iedereen de kop in het zand gestopt en gedacht dat het zo’n vaart niet zou lopen. Quod non.
Verder is m.i. nu niet alleen software van VS origine maar alle software van niet-EU origine waarin privacygevoelige gegevens worden verwerkt uitgesloten. Dat maakt de gesuggereerde oplossingsrichting (een soort EU Microsoft) er niet waarschijnlijker op.
De vraag is dan ook of een EU licentie om privacygevoelige informatie van EU burgers te mogen verwerken niet een betere oplossing zou kunnen bieden, omdat er dan uniforme EU voorwaarden aan zo’n licentie verbonden kunnen worden, waaronder uitsluiting van extraterritoriale werking van andere jurisdicties. Tevens kan daarin tot uitdrukking worden gebracht dat de identiteit van EU burgers geen handelswaar is. Wie niet aan die voorwaarden kan of wil voldoen wordt uitgesloten van de EU markt.
Het lijkt me dat de EU daar groot genoeg voor is.