Indignatie redactie 
De Europese Commissie wil een uniform identiteitsbewijs invoeren eIDAS 2.0 voor het digitale tijdperk. Het project zal naar verwachting dinsdag de volgende hindernis in het Europese wetgevingsproces nemen – en blijft op massale kritiek stuiten.
Naar verwachting keurt de Raad van de Europese Unie dinsdag een hervorming van de eIDAS-verordening goed. De nieuwe wet is bedoeld om alle EU-lidstaten te verplichten om software aan te bieden die de “European Digital Identity Wallet” (ID-Wallet) wordt genoemd. Het is bedoeld om uniforme online en offline identificatie van burgers binnen de Unie mogelijk te maken – ongeacht de aanhoudende veiligheidsproblemen van het maatschappelijk middenveld.
Het besluit van de Raad is gebaseerd op een ontwerp van eIDAS 2.0 dat de Europese Commissie in juni 2021 heeft gepresenteerd . Het heeft tot doel de verordening uit 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt te hervormen. De afkorting eIDAS staat voor “Electronic IDentification, Authentication and Trust Services”.
Digitale identiteiten voor bedrijven en overheden
Met de hervorming wil de EU de nationale lappendeken van digitale ID’s doorbreken en helpen een Europese digitale identiteit te realiseren. Tot nu toe hebben slechts 19 van de 27 EU-landen systemen ingevoerd die gebaseerd zijn op eIPAS, die meestal onverenigbaar zijn met elkaar. Er is bijvoorbeeld een digitale identiteitskaart in Duitsland, maar die werkt alleen binnen Duitsland. En de toenmalige federale minister van Verkeer , Andreas Scheuer, faalde in 2021 jammerlijk toen hij probeerde een ID-portemonnee voor het digitale rijbewijs in te voeren.
De grootste verandering ten opzichte van de bestaande eIDAS-verordening is dat eIDAS 2.0 de portemonnee-app ook moet openstellen voor particuliere bedrijven. Hiermee kunnen ze bijvoorbeeld de identiteit van hun klanten en gebruikers controleren. Platforms als Facebook, Amazon en Google, maar ook overheden en banken worden verplicht de Europese ID-portemonnee te ondersteunen.
Last but not least voert de voorzitter van de Europese Commissie, Ursula von der Leyen, campagne voor het project. In haar State of the Union-toespraak van 2020 riep ze op tot de introductie van een Europese digitale identiteit “die we vertrouwen en die burgers in heel Europa kunnen gebruiken om alles te doen, van belasting betalen tot het huren van een fiets. Een technologie waarmee we kunnen bepalen welke gegevens worden uitgewisseld en hoe deze worden gebruikt.”
De Commissie streeft ernaar dat in 2030 ongeveer 80 procent van de burgers het systeem gebruikt. Tegen die tijd zou elk EU-land de portemonnee voor digitale identiteiten als app voor smartphones moeten aanbieden.
Grote zorgen van privacyadvocaten
Tot nu toe heeft de economie de geplande nieuwe regelgeving grotendeels verwelkomd. Het stuit echter op grote zorgen van burgerrechtenorganisaties, gegevensbeschermingsdeskundigen en IT-experts.
Hun kritiek was afgelopen februari luid. Thomas Lohninger, algemeen directeur van epicenter.works en vice-president van European Digital Rights, klaagde tijdens een openbare hoorzitting dat de nieuwe verordening niet voorziet in beschermende maatregelen “tegen misbruik bij tracking, profilering en gerichte advertenties”. Als bijvoorbeeld de op de gebruikers afgestemde reclame aan hun respectieve digitale identiteit is gekoppeld, kan de reclame-industrie eenvoudig bepalen aan wie welke reclame wordt getoond en hoe effectief deze is.
Een ander punt van kritiek betreft de gegevens die in de wallet worden verzameld. Want de app moet niet alleen worden gebruikt voor virtuele administratieve processen en banktransacties, maar blijkbaar ook voor doktersbezoeken en leeftijdscontroles, bij het kopen van concertkaartjes, voor hotelboekingen en voor het volgen van verzonden producten . In februari riep de gegevensbeschermingsexpert Lukasz Olejnik daarom op om gegevens die niet langer nodig zijn voor een strikt beperkte periode in de ID-portemonnee te bewaren en vervolgens te verwijderen.
En de Europese functionaris voor gegevensbescherming, Wojciech Wiewiórowski, klaagde dat er nog een aantal juridische en technische details onduidelijk waren. Daarom is het vanuit zijn oogpunt momenteel niet mogelijk om te controleren of en in welke mate het project de AVG-normen schendt.
Vanuit het oogpunt van epicenter.works heeft de EU-commissie de problemen nog niet opgelost: de lidstaten “weigerden de nodige privacybescherming te verzamelen om dit systeem veilig te maken voor alle gebruikers”, bekritiseert de organisatie hun website . eIDAS dreigt een “panoptische kijk op alle gebieden van het leven” en crimineel misbruik te bevorderen. Als gevolg hiervan creëert de hervorming “een gevaarlijke en ongecontroleerde omgeving voor de gevoelige gezondheids-, financiële en identiteitsgegevens van alle Europeanen”.
QWACS: Onveilige beveiligingscertificaten zouden verplicht worden
Vooral het geplande artikel 45 van de nieuwe verordening stuitte op harde kritiek. Het zou browserproviders dwingen om zogenaamde Qualified Website Authentication Certificates (QWAC’s) te accepteren. Vanuit het oogpunt van IT-experts worden deze certificaten echter als verouderd, ongeschikt en relatief onveilig beschouwd .
Daarnaast is de EU-commissie van plan om QWAC’s te laten uitgeven door certificeringsinstanties die zich niet hoeven te houden aan de beveiligingsnormen van browseraanbieders.
In de regel worden encryptiecertificaten beheerd door Certificate Authorities (CA’s). Vergelijkbaar met notarissen garanderen de CA’s de transportbeveiliging van gegevens op internet. Wanneer gebruikers bijvoorbeeld een HTTPS-beveiligde website bezoeken, vertrouwt hun browser erop dat ze daadwerkelijk communiceren met de website die ze hebben opgevraagd. Dit vertrouwen wordt uiteindelijk vastgesteld door de certificatie-instelling.
Het voorstel van de Commissie voorziet in het opzetten van een niet-transparante staatscertificaatinfrastructuur . In de toekomst zouden browseraanbieders dan verplicht zijn om de respectievelijke aanbieders die door de nationale overheden zijn genoemd – de zogenaamde trustserviceproviders – te vertrouwen zonder dat zij de nodige veiligheidsgaranties hoeven te bieden. Standaardcertificaten voor websites zouden daardoor minder veilig zijn, bekritiseert onder meer Mozilla . Als gevolg hiervan brengen de plannen van de EU de privacy van gebruikers in gevaar en bevorderen ze ook de verspreiding van malware.
Als de Raad van de Europese Unie dinsdag instemt met het voorstel van de Commissie, ligt de beslissing bij het Europees Parlement. De stemming wordt uiterlijk in januari verwacht. Er is dus nog weinig hoop dat eIDAS 2.0 in zijn huidige vorm kan worden gestopt. Of in de woorden van Mozilla: “Er is nog tijd om het te repareren.”
