Met de invoering van een Europese digitale identiteit kan elke EU-burger zich online en offline identificeren en kiezen welke persoonsgegevens hij deelt. Ursula von der Leyen, voorzitter van de Europese Commissie, stelt dat dit middel wordt ingevoerd, omdat we geen idee hebben wat in werkelijkheid met onze gegevens gebeurt telkens als een app of website ons vraagt een nieuwe digitale identiteit te creëren of gemakkelijk in te loggen via een groot platform.
In dit artikel leg ik eerst uit wat de EU eID-wallet, hierna eID genoemd, inhoudt. Daarna verken ik aan de hand van de onderkende voor- en nadelen of verwacht mag worden of het eID zo breed gebruikt zal worden als door de Europese Commissie gesteld.
Er is inmiddels een politiek akkoord tussen het Europees Parlement en de Europese Raad met betrekking tot het voorstel (1). De tekst van dit compromisvoorstel is nog niet beschikbaar. Onderhavig artikel is gebaseerd op het voorstel van de Commissie en het eerder gepubliceerde standpunt van de Raad, voorafgaand aan het akkoord.
In juridische zin gaat het om een herziening van de eIDAS-verordening (2). Dit is de verordening op grond waarvan de Nederlandse elektronische identificatiemiddelen Digid en eHerkenning zijn aangewezen als middel dat ook in andere EU-lidstaten geaccepteerd wordt. De herziening van de eIDAS-verordening is in 2021 op verzoek van de Europese Raad door de Commissie voorgesteld (3). De Commissie vindt herziening nodig doordat:
slechts een beperkt aantal elektronische identificatiemiddelen is aangewezen als eIDAS-authenticatiemiddel,
slechts beperkt de mogelijkheid van eIDAS-authenticatie wordt aangeboden in de lidstaten,
eIDAS-authenticatie beperkt is tot publieke diensten, en
eIDAS geen mogelijkheid biedt om ‘attributen’ (gegevens van of over de betrokkene) uit te wisselen, zoals medische gegevens en beroepskwalificaties.
Iedereen die een nationaal identiteitsbewijs kan krijgen, heeft ook recht op een eID, maar gebruikers moeten niet verplicht worden het eID te gebruiken. Een eID wordt op grond van een nationale regeling afgegeven. Met het eID kan een burger zich eenvoudig en veilig online en offline identificeren en zelf bepalen welke informatie – die aanwezig is in zijn wallet – hij deelt bij het gebruik van online diensten van overheidsorganisatie en private partijen. De attributen in de wallet omvatten ten minste adres, leeftijd, geslacht, burgerlijke staat, gezinssamenstelling, nationaliteit, onderwijskwalificaties, beroepskwalificaties, vergunningen en financiële en bedrijfsgegevens (bijlage VI bij (6)). Attestering van attributen uitgegeven door openbare instanties moet voorzien zijn van een elektronische handtekening en voldoen aan verdere eisen (bijlage VII bij (6)). Met het eID kan een burger ook digitale handtekeningen aanmaken en gebruiken. Om deze diensten veilig te houden moet het systeem aan betrouwbaarheidsniveau “hoog” voldoen (als bedoeld in art. 52, lid 7 van de Cyberbeveiligingsverordening).
Hierbij is de AVG volledig van toepassing. Daardoor is het bijvoorbeeld niet toegestaan dat aanbieders van ‘attributen’, die in de wallet zijn opgenomen, gegevens ontvangen over het gebruik en de verstrekking van die attributen (4).
Kort gezegd (en waarmee ik de technologie ernstig tekort doe), biedt het eID de mogelijkheden van Digid gecombineerd met het gebruik van bijvoorbeeld een Google-, Facebook- of Apple-account om bij een andere dienst (zoals Spotify) in te loggen en daaraan gegevens te verstrekken vanuit het Google-, Facebook- of Apple-account. Daarbovenop komt dat het om gegevens kan gaan die een bronhouder, zoals DUO voor onderwijsgegevens, heeft voorzien van een echtheidskenmerk. Het eID omvat zodanige beveiligingsmaatregelen dat gegevens betrouwbaar uitgewisseld kunnen worden en de betrouwbaarheid van de in het eID opgeslagen gegevens hoog is.
In verschillende Kamerstukken, communicaties van de Europese Commissie en andere stukken worden de volgende voor- en nadelen beschreven (hier kort weergegeven):
je kunt je digitale identiteit bij overheidsdiensten van alle lidstaten en bij private partijen gebruiken, waardoor het gebruik van een andere digitale identiteit zoals van een groot internetplatform niet nodig is (mits het eID door de andere partij wordt geaccepteerd, want hiertoe bestaat vooralsnog geen verplichting),
de digitale identiteit is een onderdeel van het digitale fundament dat digitale overheidsdiensten, een digitale samenleving en een digitale economie mogelijk maakt (5),
controle over de identiteitsgegevens die je deelt, waardoor dataminimalisatie mogelijk is, (overweging 28 en 29 van (6)),
persoonsgegevens van burgers mogen geen handelswaar zijn van aanbieders van digitale identiteitsmiddelen en daarvoor worden waarborgen getroffen waarin is opgenomen dat gebruiks- en gebruikersgegevens niet gebruikt mogen worden voor andere doeleinden dan voor de veilige uitgifte van inlogmiddelen en het inloggen daarmee (artikel 6 bis, lid 7 van (6)),
de afgifte, het gebruik voor authenticatie en intrekking van portemonnees moeten kosteloos zijn voor natuurlijke personen, (artikel 6 bis, lid 6 bis van (6)),
voor een deel van de burgers zal het eID te complex zijn om mee om te gaan,
ondanks dat burgers zelf bepalen welke gegevens zij delen en met wie, kunnen door de betrouwbaarheid en efficiëntie van het eID dienstverleners steeds vaker geneigd zijn om te veel gegevens te vragen (overvraging),
door een breed beschikbaar eID, kunnen (online) dienstverleners in steeds meer situaties om identificatie vragen of identificatie van een te hoog betrouwbaarheidsniveau, ook wanneer het de burger zou ondersteunen om zijn mening vrij te uiten onder een pseudoniem (overidentificatie),
er is vooralsnog geen mogelijkheid om private dienstverleners te dwingen alternatieven te bieden naast het gebruik van het eID, hetgeen ertoe kan leiden dat burgers feitelijk gedwongen worden om een eID te gebruiken (gedwongen gebruik), en
het eID kan worden gebruikt om ieder aspect van het leven van burgers te controleren en mensen die niet aan een bepaald profiel voldoen, zouden bijvoorbeeld uitgesloten kunnen worden van bepaalde diensten of meer moeten betalen; wanneer iedereen een eID heeft, wordt het makkelijker om mensen te vragen een bepaald bewijs te tonen (uitsluiting door selectie en profilering).
Zal het eID onze manier van inloggen bij overheidsdiensten en private partijen veranderen? En onze manier van ontvangen en doorgeven van gewaarmerkte gegevens? Dat ik met (de dan doorontwikkelde) Digid – die dan ook een eID zal zijn – kan inloggen bij overheidsdiensten, daar ga ik vanuit. Met hetzelfde gemak kunnen degenen met activiteiten over de landsgrenzen gebruikmaken van overheidsdiensten van een andere lidstaat. De uitwisseling van gegevens die voor die diensten nodig is, lijkt me ook een welkome aanvulling. Ik kan me bijvoorbeeld voorstellen dat door DUO afgegeven onderwijsresultaten die met eID doorgegeven kunnen worden bij een inschrijving aan een universiteit in Italië het proces sterk kunnen vereenvoudigen.
Echter, de genoemde risico’s van het systeem nemen toe met het gebruik ervan. Als het eID breed gebruikt gaat worden, neemt – zonder verdere maatregelen – ook het risico op overvraging, overidentificatie, gedwongen gebruik en uitsluiting door selectie en profilering toe. Enerzijds vindt de Europese Commissie herziening van de eIDAS-verordening noodzakelijk om het gebruik van het eID sterk te laten toenemen. Daarmee krijgen we meer grip op de digitale identiteiten die we creëren op platformen en meer grip op de verstrekte gegevens wanneer we gevraagd worden in te loggen via een ander platform. Anderzijds brengt het eID bij breed gebruik juist risico’s met zich mee, waartegen nu nog maar beperkt maatregelen in de herziene verordening zijn opgenomen.
Of ik bij het inloggen op Spotify achteloos op OK zal klikken om dit met mijn eID te doen? Ik zal – met de huidige stand van de herziene verordening – niet snel geneigd zijn het eID ook buiten de sfeer van publieke diensten te gebruiken. En laat dat nu juist zijn wat de Europese Commissie wel voor ogen heeft om het gebruik van het eID toe te laten nemen. De toekomst moet uitwijzen welke beweging op gang komt. Het onderwerp is in elk geval nog sterk in beweging. Veel zal afhangen van de nog te publiceren tekst naar aanleiding van het recente akkoord tussen de Raad en het Parlement en de nog verwachte 28 uitvoeringsverordeningen die in meer detail de maatregelen ter bescherming van persoonsgegevens zullen bevatten.
https://www.consilium.europa.eu/nl/press/press-releases/2023/06/29/council-and-parliament-strike-a-deal-on-a-european-digital-identity-eid/
Verordening (EU) 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende de elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG.
Voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52021PC0281).
Formal comments of the EDPS on the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity (https://edps.europa.eu/system/files/2021-07/21-07-28_formal_comments_2021-0598_d-1609_european_digital_identity_en.pdf).
Bijlage 1 bij de Kamerbrief van Staatssecretaris van BZK van 17 augustus 2022.
Algemene oriëntatie van de Raad van de Europese Unie ten aanzien van het Voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit.