door: Pieter van den Brand | 15 november 2022
Burgers krijgen de volledige controle over de data in hun wallet-ID, zegt de EC. Er zit een addertje onder het gras, stelt Ilyaz Nasrullah, consultant digitale strategie en columnist. Identiteitsgegevens uit de wallet-ID koppelen mogen niet zomaar gekoppeld worden aan data van een derde partij, ‘tenzij de gebruiker daar uitdrukkelijk om heeft gevraagd’. Helaas is de mens gemakzuchtig.
Volgens Nasrullah graaft de Europese Commissie zelf een valkuil met een uitzonderingsartikel in het eIDAS-voorstel. | Beeld: Joris Telders, JTDproducties
Decentralisatie van persoonlijke gegevens en meer macht bij de gebruiker was de gedroomde gedachte achter het internet. De macht zou bij de gebruiker komen te liggen (‘Power to the People’). Niets bleek minder waar, de grote techbedrijven heersen over het web als een moderne oligarchie. Mensen willen wel hun eigen servers hebben, maar ze willen die niet zelf in bedrijf moeten houden of ergens in hun huis moeten stallen. Liever maken ze een Gmail-account aan, want dat is veel makkelijker. Met alle gevolgen van dien voor hun online identiteit. De meeste EU-burgers bezitten een buitenlands emailadres en hun persoonlijke data staan bijna allemaal in de clouds van de Big Tech.
Volledige controle
De vraag die Nasrullah stelt is of de voorstellen van de Europese Commissie voor een digitale identiteit en een wallet-ID voor alle EU-burgers daar echt iets aan gaan veranderen. De voorstellen suggereren de komst van decentralisatie. Burgers krijgen de volledige controle over de data in hun wallet-ID. Volgens het vorig jaar verschenen wetsvoorstel voor de herziening van de eIDAS-verordening is het wettelijk verboden data in de wallet-ID te koppelen aan data die een derde partij over iemand heeft. Anders gezegd, Google mag niet zomaar identiteitsgegevens uit jouw wallet-ID koppelen aan de data in die het bedrijf in de cloud in jouw Google-account opslaat.
Mensen willen zo min mogelijk weerstand en steeds meer mensen wensen zaken met hun telefoon te regelen.
Er zit een addertje onder het gras, aldus Nasrullah. Een bijzin in het betreffende wetsartikel luidt ‘tenzij de gebruiker daar uitdrukkelijk om heeft gevraagd’. Nasrullah voorspelt dat gebruikers die een app aangeboden krijgen, waarin beide functionaliteiten (ID- en betaalapp) geïntegreerd zijn, met één klik akkoord zullen gaan. Mensen willen zo min mogelijk weerstand en steeds meer mensen wensen dit soort zaken met hun telefoon te regelen, aldus Nasrullah. In dat geval vindt toch de koppeling plaats die de Europese Commissie eigenlijk wil vermijden.
Digitale soevereiniteit
Volgens Nasrullah is het beter de bijzin uit het wetsartikel te halen. Anders is er toch weer een kans op een oligarchie en blijkt het streven van de Commissie om de burger de volledige regie over zijn digitale identiteit te geven, een zelf gegraven valkuil. Zo kan de Big Tech die zich toch al continu in het leven van burgers bevindt en bijna alles kan volgen wat zij doen, ook officiële identiteitsdata snaaien. Terwijl Europa juist digitale soevereiniteit nastreeft. Als je wilt dat burgers de volledige controle hebben over hun eigen data moet je er als Commissie wel alles aan doen dat je dat doel bereikt. Het is contraproductief om in het eIDAS-voorstel een uitzondering te formuleren op deze voorwaarde.
iBestuur Event ‘Europese Digitale Identiteit
Op 10 november 2022 organiseerde iBestuur, in samenwerking met het ministerie van BZK, de Rijksdienst voor Identiteitsgegevens (RvIG) en marktpartijen, een event over de voorstellen van de Europese Commissie voor een Europese digitale identiteit voor elke EU-burger. Ilyaz Nasrullah verzorgde een keynote tijdens de middag.
Vincent Hoek #
19 november 2022, 14:49
Een mens die nadrukkelijk domme dingen wil doen moet dat gewoon kunnen, maar dat neemt niet weg dat je van een burger gewoon juridische randvoorwaarden mag eisen. Als ‘burger’ is de (Europese) Mens onderdeel van een bepaalde, beperkte juridische ordening. Zo heeft hij een fysieke locatie en valt daarmee onder een jurisdictie. Als men zich aan de daarbinnen geldende regels houdt, dan laat men juridische sporen na en die kun je heel goed gebruiken als leidraad. Identiteit is anno nu veel verfijnder dan vroeger (zie ISO 29003, zeker in samenhang met ISO 8000:116 2019) en er zijn LoA’s: Levels of Trust, Identity en Assurance. Vier niveaus wel te verstaan. Door gebruik te maken van een Trust Framework met een gedistribueerde gefedereerde structuur, die interactie tussen mensen, dingen en organisaties mogelijk maakt door hen toegangsrechten en gebruikersvoorwaarden te geven voor specifieke datasets die kunnen, mogen of moeten worden uitgevoerd, zijn dankzij Legal Engineering allerlei ethische en juridische clausules in te bouwen die verifieerbaar zijn dankzij verschillende verifieerbare vertrouwensankers.
Daarmee zijn de voorwaarden geschapen om data dynamisch, digitaal verifieerbaar, controleerbaar en traceerbaar te kunnen delen. Je MAG maar 30/50/80/100/120/130 in je auto, maar je KUNT ervoor kiezen plank gas te geven … maar begrensd op 250 km/u. Het is niet zo heel moeilijk om een UX te maken die het individu in staat stelt om eigen keuzes te maken. Als het dan bijvoorbeeld om een LoA 1 gaat, in feite onbenullige informatie, dan kan dat prima via Gmail. Als het echter om AVG2 info gaat etc. kun je aanvullende eisen stellen. Tot geofencing of Trusted Device Management of Trusted Presentation Layer bescherming toe. Als je het maar transparant uit kunt leggen binnen de grenzen van de Wet binnen een bepaald, beperkt territoir of toepassingsgebied. Het gaat om de data en een mens is niet meer dan een verzameling attestaties in een dataframework. Een object met relaties en attributen. Je privacy is nog nooit zo veilig geweest en je burgerrechten nog nooit zo goed gesteund. In de VS zijn jouw data van een bedrijf in ruil voor gratis functionaliteit. In authoritaire landen zijn bedrijven en mensen van de Staat. In de EU delen wij de geschiedenis van Napoleons Code Civil en daarmee voor mensenrechten, identiteit (de meeste mensen op de planeet kennen geen identiteit die door de Staat wordt gegarandeerd en daarmee ook geen verzekering, bank of bezitrechten). Dataficering van de Rechtsstaat is de sleutel tot het behoudt van Rechtstaat en Overheidsvrije Sfeer.
JUIST om Amerikaanse of Chinese toestanden te voorkomen. Zie oa www.ishare.eu