Indignatie redactie 
eIDAS -Nu is het duidelijk: de Europese digitale portemonnee komt eraan. Vanuit het perspectief van waarnemers brengt het compromis dat in de trialoog is bereikt een aantal verbeteringen met zich mee vergeleken met het oorspronkelijke ontwerp van de Commissie. Burgerrechtenorganisaties en voorstanders van gegevensbescherming waarschuwen echter dat de portemonnee staten een “panoptisch vogelperspectief” geeft.
eIDAS “Het is ons gelukt”, juichte EU-commissaris Thierry Breton. En Nadia Calviño, de vice-premier van Spanje, wiens land momenteel het voorzitterschap van de Raad van de EU bekleedt, beloofde dat de overeenkomst over de eIDAS 2.0-verordening “burgers een identiteit zal geven in de nieuwe digitale wereld en onze interne markt zal verdiepen – ten behoeve van innovatie, privacy, veiligheid en de Europese Unie”
De langverwachte eIDAS ‘deal’ werd woensdag gesloten door de Europese Commissie, de Raad van Ministers en het EU-Parlement. In een laatste politieke trialoog werden zij het eens over een compromistekst. Het grootste digitale beleidsproject van de Europese Unie gaat nu de implementatiefase in.
De eIDAS-hervorming legt de juridische basis voor de zogenaamde “European Digital Identity Wallet” (ID-portemonnee). Dienovereenkomstig moeten alle 27 EU-lidstaten tegen 2026 hun burgers een digitale portemonnee aanbieden waarmee zij zich vervolgens online en offline en op vrijwel alle terreinen van het leven kunnen identificeren.
Twee jaar onderhandelen
Clemens Schleupner, adviseur vertrouwensdiensten en digitale identiteiten bij de digitale vereniging Bitkom, verwelkomt de overeenkomst: “ID-wallets kunnen kosten besparen doordat identificatieprocessen – bijvoorbeeld bij banken – sneller en kosteneffectiever kunnen worden uitgevoerd. Kortom, ID-portemonnees bieden een verscheidenheid aan mogelijkheden die vandaag de dag nog niet volledig kunnen worden ingeschat, in alle sectoren.”
De Commissie heeft hiervoor in juni 2021 de relevante ontwerpverordening gepresenteerd . Het heeft tot doel de eIDAS-verordening uit 2014 te hervormen, die de veilige toegang tot openbare diensten en het uitvoeren van online en grensoverschrijdende transacties in de EU reguleert.
Gegevensbeschermingsfunctionarissen en burgerrechtenactivisten hebben het project vanaf het begin bekritiseerd om twee centrale redenen. Aan de ene kant dreigt de hervorming een technische infrastructuur te creëren die het theoretisch mogelijk maakt om EU-burgers op grote schaal zowel on- als offline te identificeren en te monitoren. Aan de andere kant zouden niet alleen publieke maar ook private entiteiten – zoals bedrijven – de portemonnee kunnen gebruiken en mogelijk hun klanten op grote schaal kunnen bespioneren.
Sommige van de risico’s die het oorspronkelijke ontwerp met zich meebracht, zijn tijdens recente onderhandelingen geminimaliseerd of geëlimineerd. Vanuit het perspectief van burgerrechtenactivisten bestaan er nog steeds andere – en deze zijn zo groot dat critici krachtig waarschuwen tegen het gebruik van de ID-portemonnee.
Het verwijderde supercookie
De bereikte verbeteringen kunnen de aanhoudende problemen niet verbergen. Dit laatste omvat vooral het verwijderen van een duidelijk, permanent persoonlijk identificatienummer (unieke identificatiecode). Vanuit het perspectief van gegevensbeschermingsfunctionarissen en burgerrechtenactivisten zou dit ‘supercookie’ tot tracking en profilering hebben geleid. Een dergelijke indicator zou nu alleen nog als optie gebruikt mogen worden in grensoverschrijdende administratieve processen.
In plaats daarvan zouden portemonneegebruikers zichzelf in het dagelijks leven uitsluitend moeten identificeren met hun persoonlijke gegevens, een pseudoniem of een zogenaamd nulkennisbewijs. Hierdoor kunnen gebruikers hun identiteit bevestigen zonder persoonlijke informatie over zichzelf prijs te geven.
Identificatie heeft echter nog steeds een addertje onder het gras: volgens het compromis kan het recht op pseudonimiteit worden beperkt door nationaal of EU-recht. En in het aangenomen compromisontwerp wordt het nulkennisbewijs alleen als vereiste aangetroffen in de toelichtende overwegingen (overwegingen) van de verordening en vormt het daarom geen verplichting voor de EU-lidstaten.
Bescherming tegen discriminatie en koppeling
Iedereen die besluit de eIDAS ID-portemonnee niet te gebruiken, mag immers geen nadelen ondervinden. Het compromisontwerp biedt – in tegenstelling tot het voorstel van de Commissie – expliciet bescherming tegen discriminatie voor mensen die besluiten er geen gebruik van te maken.
Degenen die de portemonnee gebruiken, moeten op begrijpelijke en transparante wijze kunnen bepalen welke gegevens zij vrijgeven aan zogenaamde vertrouwende partijen en welke niet. Deze vertrouwde partijen, aan wie gebruikers hun identiteit bevestigen, moeten zich vooraf in de betreffende EU-lidstaten registreren en uitleggen welke gegevens zij van gebruikers zullen vragen en met welk doel. Met behulp van een zogenaamde data protection cockpit kunnen gebruikers zien welke gegevens bij hen zijn opgevraagd en gedeeld – en indien nodig klachten indienen.
Het compromis bepaalt ook dat verschillende identificatieprocessen niet aan elkaar gekoppeld mogen worden. De bescherming van transactiegegevens werd tot de dag van de overeenkomst betwist. Transactiegegevens laten zien wanneer, hoe en waar gebruikers de portemonnee gebruiken, dat wil zeggen dat ze specifiek gebruiksgedrag weerspiegelen.
Volgens artikel 6a moet de eIDAS ID-portemonnee ‘privacybehoudende technieken mogelijk maken die de ontkoppelbaarheid garanderen wanneer de attestatie van attributen geen identificatie van de gebruiker vereist.’ Concreet betekent dit: Als een persoon bijvoorbeeld herhaaldelijk alcohol en alcohol koopt, in dezelfde winkel zijn leeftijd aantoont met behulp van zijn ID-portemonnee, kan het bedrijf de verschillende processen niet aan elkaar koppelen om het koopgedrag van deze persoon over een langere periode te volgen.
QWACS: gecertificeerde onzekerheid
Minstens zo controversieel waren de eisen aan certificaten. Tot voor kort hadden de trialoogpartners geworsteld met artikel 45 en daarmee de vraag of de regelgeving browseraanbieders zou moeten verplichten gekwalificeerde certificaten (QWAC’s) te accepteren die de lidstaten ter beschikking stellen. Deze verplichting is al terug te vinden in de ontwerpverordening van de Commissie en nu ook in de compromistekst. Het is vermoedelijk bedoeld om de veiligheid van de communicatie op internet te vergroten. De overeenkomst verplicht browsers om de in het certificaat gecertificeerde identiteitsgegevens “op een gebruiksvriendelijke manier” weer te geven wanneer ze een bepaalde website bezoeken.
Certificaten zijn bedoeld om de authenticiteit, integriteit en vertrouwelijkheid van de communicatie op internet te waarborgen. De eIDAS certificaten worden uitgegeven door zogenaamde Trusted Root Certificate Authorities. Dit zijn meestal bedrijven of bedrijven die certificaten valideren, uitgeven en intrekken volgens strikte testprocedures. De EU wil nu blijkbaar dit functionerende, zelfregulerende goedkeuringsmechanisme omzeilen – met mogelijk dramatische gevolgen.
Critici beweren dat overheidsinstanties de certificaten zouden kunnen misbruiken om websites te compromitteren en zo de internetcommunicatie van mogelijk alle EU-burgers te bespioneren. Landen als Kazachstan , China en Rusland hebben dit in het verleden gedaan. Burgerrechtenorganisaties , IT-beveiligingsexperts en ontwikkelaars uitten hun bezorgdheid voorafgaand aan het besluit van gisteren.
Het compromis bepaalt dat browserproviders zelf kunnen beslissen hoe ze domeinen authenticeren en internetcommunicatie versleutelen. Letterlijk luidt een aanvulling op overweging 32 met betrekking tot QWAC’s: “De verplichting om gekwalificeerde certificaten voor website-authenticatie te herkennen, interoperabel en te ondersteunen heeft geen invloed op de vrijheid van webbrowsers, de veiligheid van het internet, domeinauthenticatie en de encryptie van internetverkeer op welke manier dan ook. manier en met de technologie die zij het meest geschikt achten.”
Deze toevoeging is echter terug te vinden in de overwegingen van de verordening, waaraan geen bindende rechtsgevolgen kunnen worden ontleend. De hoop rust nu op browserproviders als Mozilla, die zich al vroeg tegen QWAC’s uitspraken . Ook het beveiligingsteam van Chrome heeft kritiek op de plannen van de EU . Ze vrezen dat hen met de QWAC’s zwakke encryptie zal worden opgelegd. De providers zouden nu twee verschillende versies van hun browser kunnen gaan aanbieden: een onveilige versie voor de EU en een intacte versie voor de rest van de wereld.
Blanco cheque voor online monitoring
De eIDAS 2.0-hervorming zou niet alleen overheidsinstanties in staat stellen het internetverkeer te bespioneren, maar zij zouden theoretisch ook de portemonnee van hun burgers kunnen bekijken.
Technisch gezien zou dit eenvoudig te voorkomen zijn geweest. In zijn standpunt over de ontwerpverordening riep het EU-Parlement op om de portemonnee zo te ontwerpen dat transactiegegevens niet centraal worden vastgelegd. Het nu overeengekomen compromis voorziet slechts in een logische scheiding van deze gegevens. Met de juiste autorisaties is toegang en dus het samenvoegen van de gegevens theoretisch mogelijk.
Thomas Lohninger van de burgerrechtenorganisatie epicenter.works trekt daarom een negatieve conclusie uit het akkoord van gisteren: “Helaas was de tijdsdruk van de onderhandelaars uiteindelijk groter dan hun ijver. Bij deze belangrijke kwestie zouden we er allemaal spijt van kunnen krijgen.” Ondanks de verbeteringen die de afgelopen maanden zijn doorgevoerd , waarschuwt Lohninger voor het nieuwe systeem: “Alles wat je eraan doet, kan door de staat worden bekeken. Omdat de portemonnee op alle gebieden van het leven moet worden gebruikt, heeft de staat een panoptisch overzicht van alles wat de bevolking met de portemonnee doet”, zegt Lohninger.
“Deze verordening is een blanco cheque voor online surveillance van burgers en brengt onze privacy en veiligheid op internet in gevaar”, bekritiseert Patrick Breyer, lid van de Piratenpartij in het Europees Parlement. “Deze deal offert essentiële eisen op in het onderhandelingsmandaat van het Europees Parlement die de ID-portemonnee privacyvriendelijk en veilig zouden hebben gemaakt.”
Een portemonnee voor alle EU-burgers in 2030
Deze angsten kunnen in het verdere wetgevingsproces nauwelijks worden weggenomen. Na het besluit van gisteren zal er een “technische bijeenkomst” plaatsvinden waar de compromistekst juridisch zal worden opgeschoond. Er zijn geen noemenswaardige wijzigingen meer gepland.
De Raad en het Parlement zullen de verordening vervolgens formeel aannemen. De gemeente zal dit in december van dit jaar doen; Het Parlement zal naar verwachting op 28 november stemmen in de ITRE-commissie en in februari 2024 in de plenaire vergadering. De verordening zou dan op zijn vroegst volgend voorjaar in werking kunnen treden. Tegen het najaar van 2026 zouden alle lidstaten hun burgers dan een ID-portemonnee moeten aanbieden. Als de Commissie haar zin krijgt, moeten alle EU-burgers tegen 2030 een digitale identiteit hebben.
Parallel aan het wetgevingsproces wordt er nog steeds een aantal technische kwesties opgehelderd. Mogelijk zijn hier nog enkele open mazen in de wet gesloten. Het is al duidelijk dat de ID-portemonnees van de respectievelijke lidstaten gebaseerd moeten zijn op dezelfde technische architectuur (Architecture Reference Framework) om in de hele EU te kunnen worden gebruikt. Een technische werkgroep werkt aan de details.
Bondsdaglid Markus Reichel (CDU) kijkt uit naar hun activiteiten in de komende maanden en verwacht van de federale overheid een krachtig engagement op het gebied van gegevensbescherming: “Er mogen geen gegevens worden gedeeld zonder de uitdrukkelijke toestemming van de gebruiker. Dit is precies waartoe de federale regering zich moet engageren in de onderhandelingen. Bij de technische implementatie moet de onwaarneembaarheid en onkoppelbaarheid van gebruiksgegevens de hoogste prioriteit krijgen”, zegt Reichel. Het succes van de portemonnee hangt af van beveiliging en gegevensbescherming. “Het is des te belangrijker om dit ook voor veilige digitale identiteiten in de architectuur te garanderen”, zegt het parlementslid.
Ook Clemens Schleupner van branchevereniging bitkom hoopt op verbeteringen: “Er is nog te veel ruimte voor interpretatie voor de lidstaten als het gaat om technische ontwerpen, zoals de vraag of alleen de staat of de private sector portemonnees mag uitgeven. Op de lange termijn zou de Europese digitale portemonnee de aanzet kunnen zijn om diverse sectoren, vooral de administratie, consequent te digitaliseren.
