Volgens EDRi dreigt een fundamentele verschuiving in de relatie tussen overheid en burger, waarbij digitale infrastructuur niet alleen faciliteert, maar ook controle en uitsluiting kan versterken. Die zorgen worden in Nederland gedeeld door Privacy First, dat recent een brief aan de Tweede Kamer stuurde over de opkomst van digitale identificatie.
Privacybeschermers waarschuwen voor Europese techplannen
Het Europese netwerk European Digital Rights (EDRi) en ook de Nederlandse stichting Privacy First waarschuwen deze dagen dat Europese digitaliseringsagenda, die moet leiden tot efficiëntere publieke dienstverlening en betere grensoverschrijdende samenwerking, risico’s met zich meebrengt voor grondrechten. Hoe wordt voorkomen dat digitalisering leidt tot nieuwe afhankelijkheden en hoe blijft de toegang tot publieke diensten gewaarborgd voor alle burgers?
Digitale identiteit onder druk
Een belangrijk aandachtspunt is de Europese Digitale Identiteit (EUDI-wallet), die burgers in staat moet stellen zich digitaal te identificeren en gegevens te delen. Waar de Europese Commissie inzet op brede adoptie, waarschuwt Privacy First dat vrijwilligheid in de praktijk onder druk komt te staan.
Door nieuwe Europese antiwitwasregels (AML) zullen met name banken en andere financiële instellingen steeds vaker digitale identificatie vereisen. Omdat fysieke loketten grotendeels zijn verdwenen, ontstaat volgens de organisatie feitelijk een situatie waarin burgers weinig alternatief hebben dan gebruik van digitale wallets. Daarmee verschuift digitale identificatie van een optie naar een impliciete verplichting.
Privacy First benadrukt dat identificatie op zichzelf al risico’s met zich meebrengt, zeker wanneer identiteitsgegevens worden gekopieerd, opgeslagen en breed gedeeld. In combinatie met toenemende digitale criminaliteit en gebrekkige beveiligingspraktijken kan dit leiden tot een forse toename van identiteitsfraude en datamisbruik.
Van dienstverlening naar datagedreven sturing
Zowel EDRi als Privacy First signaleren dat digitalisering leidt tot een verschuiving van directe dienstverlening naar datagedreven systemen. Elk contactmoment met de overheid of dienstverlener genereert data, die vervolgens gebruikt kunnen worden voor analyse, risicoselectie en profilering.
Wanneer toegang tot essentiële diensten afhankelijk wordt van digitale identificatiemiddelen, ontstaat een centraal punt van controle
Volgens EDRi kan dit het sociale vangnet veranderen in een systeem van continue monitoring. Privacy First wijst aanvullend op het risico van ‘overidentificatie’: situaties waarin meer gegevens worden gevraagd dan noodzakelijk, zonder voldoende waarborgen tegen verdere verspreiding of hergebruik.
Daarnaast bestaan er zorgen over de governance van digitale identiteitssystemen. Zo stelt Privacy First dat aanbieders van wallets onvoldoende worden getoetst op integriteit en mogelijke belangenconflicten. Ook ontbreken volgens de organisatie stevige garanties dat burgers niet afhankelijk worden van technologieën of platforms van niet-Europese aanbieders.
Privacy als machtsvraagstuk
Een terugkerend punt in de kritiek is dat privacy niet alleen een technisch vraagstuk is. Hoewel concepten als ‘privacy by design’ belangrijke waarborgen bieden, benadrukken beide organisaties dat de inrichting van digitale infrastructuur ook bepaalt hoe macht wordt verdeeld.
Wanneer toegang tot essentiële diensten afhankelijk wordt van digitale identificatiemiddelen, ontstaat een centraal punt van controle. Dat kan, in extreme gevallen, leiden tot uitsluiting of beperking van toegang tot basisvoorzieningen.
Politieke keuze
De kern van de kritiek is dat de Europese digitaliseringsagenda vaak wordt gepresenteerd als onvermijdelijk, terwijl het volgens de betrokken organisaties gaat om politieke keuzes. Keuzes die prioriteit geven aan efficiëntie, marktintegratie en fraudebestrijding, maar die volgens critici onvoldoende oog hebben voor de keerzijden.
Privacy First roept de wetgever op om aanvullende waarborgen te creëren, onder meer om overidentificatie te voorkomen, datadeling te beperken en echte keuzevrijheid voor burgers te behouden. EDRi pleit breder voor een heroverweging van de koers, met meer nadruk op grondrechten en sociale inclusie.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Tenzij we terug gaan naar de Steentijd leven we inmiddels in een tijd dat alles digitaal kan zijn en daarmee in principe niet te vertrouwen. De stem aan de telefoon hoeft geen mens te zijn, de 'persoon' in de video ook niet en de organisatie ook niet. (een Decentralized Autonomous Organisation DAO kan inmiddels in netwerken van honderden samenwerken in real time over jurisdicties heen). AI zorgt inmiddels dat een cyber aanvalsvector nu in seconden kan worden opgebouwd. We moeten dus wel contextueel identificeren! Identiteit gaat niet alleen over mensen, maar ook digibeten hebben letterlijk een stem die je met een paar seconden AI zo strak kan namaken dat hun eigen moeder het verschil niet meer hoort. Dit is geen tijd voor een Luddieten houding.
Privacy Enhancing Technologies (PET)-technologieën, zoals homomorfe encryptie, Zero Knowledge Proof (ZKP) en federated learning maken het allang mogelijk om privacy beter te beschermen dan ooit. Het succes van deze technologieën hangt af van beleidsmakers, organisaties en technologiebedrijven die bereid zijn deze oplossingen te implementeren en te onderhouden, maar dat is juist wat de EU verordeningen beogen. Het gevaar ligt in centralisatie, standaardisatie en harmonisatie, maar het is niet alleen de Staat die identificeert. Privacy kan steeds fijnmaziger worden geregeld, dankzij frameworks zoals ISO 29003, ISO 29115 en ISO 29003:2018, die respectievelijk focussen op Toegangsniveaus en vertrouwensmodellen (Levels of Trust) om ervoor te zorgen dat alleen noodzakelijke gegevens worden gedeeld. Een gelaagde aanpak voor identiteitsmanagement en verificatie (Levels of Assurance), waarbij het risico en de gevoeligheid van een transactie bepalen hoe streng de verificatie moet zijn en GOFAIR-Principes voor data-interoperabiliteit om ervoor te zorgen dat data vindbaar, toegankelijk, interoperabel en herbruikbaar blijven zonder privacy te schaden. De NGSI-LD gebaseerde Data Spaces verzorgen een semantisch interoperabiliteitsmodel om gegevensuitwisseling tussen systemen te optimaliseren, met ingebouwde privacyregels.
Samen bieden die concepten een raamwerk om privacy en digitale identificatie te beheren. Vertrouwensniveaus (Levels of Trust) bepalen wie toegang heeft tot welke gegevens en onder welke voorwaarden. Dit voorkomt overidentificatie en onnodige data-deling. Levels of Identity zorgen dat identiteitssystemen verschillende niveaus van authenticatie vereisen, afhankelijk van de gevoeligheid van de dienst (bijvoorbeeld toegang tot een bankrekening versus een hele bibliotheek). Dan zijn er nog de Levels of Assurance (LoA). Die bieden een schaal voor risico-gebaseerde verificatie, waarbij hoge assurance nodig is voor kritieke transacties en lage assurance voor minder gevoelige interacties. Samen maken deze technologieën en structuren het uitstekend mogelijk om privacy-by-design te implementeren, zonder dat het een zero-sum game wordt. Efficiëntie hoeft helemaal niet te botsen met grondrechten, mits governance en controlemechanismen goed zijn ingericht. Alles beter dan je privacy overgeven aan Amerikaanse of Chinese cloud partijen ... wat 99% van de mensen elke dag schaterlachend doen. Goede zaak om de risico's van overidentificatie te benadrukken en soevereiniteit te onderstrepen. Digitale identificatie kan een impliciete verplichting worden, waardoor kwetsbare doelgroepen worden uitgesloten van essentiële diensten, maar je kunt je ook nog steeds identificeren met fysieke middelen. De echte strategische vraag is dus wie de technologie beheert? (The Medium is the Message) Privacy-by-design biedt technische oplossingen, maar het is uiteindelijk de politieke en juridische inrichting van digitale infrastructuur die bepaalt hoe macht wordt verdeeld en wie toegang heeft tot publieke diensten. Daarom is die vrijwilligheid ook cruciaal, maar de EU stelt NERGENS dat digitale identificatie verplicht is, maar wel dat wie digitale identificatie zou willen hebben daartoe interoperabel in staat gesteld zou moeten worden.
Daar horen, juist binnen de EU, waarden als sociale inclusie bij en daarvoor wordt terecht de aandacht gevestigd op strikte eisen voor aanbieders van digitale wallets en technologieën om belangenconflicten en datamisbruik te voorkomen. Privacy is geen technisch probleem; het is een fundamentele keuze over macht en inclusie.
Tegelijkertijd is de maatschappelijke realiteit dat we in een dataficerende samenleving leven dus kun je niet zonder identificatie en trust en governance frameworks om op basis van verifiable claims en electronic attestations de waarachtigheid van claims te kunnen bewijzen in een wereld waar je digitaal anders nooit met enige zekerheid (assurance) kunt bewijzen of de realiteit wel echt is.