eIDAS hervorming : Digitale portemonnee vormt een ‘ongekend risico’ voor de privacy
Indignatie redactie
4 min. lezen
Burgerrechtenorganisaties, wetenschappers en onderzoeksinstellingen hebben kritiek op de geplande ID-portemonnee (Digitale portemonnee), die momenteel op EU-niveau wordt besproken. Ze roepen de Raad van de Europese Unie, het EU-Parlement en de Commissie op om fundamentele correcties aan te brengen op het gebied van gegevensbescherming en privacy.
De EU is van plan om de zogenaamde ” European Digital Identity Wallet ” (ID-Wallet) te introduceren. In de toekomst moeten EU-burgers de digitale portemonnee kunnen gebruiken voor administratieve taken en banktransacties, maar ook voor doktersbezoeken, leeftijdscontroles of online winkelen. De eIDAS 2.0-verordening, waarover momenteel wordt onderhandeld in de EU-trialoog, zal de weg daarvoor effenen.
In een eerder gepubliceerde open brief bekritiseren 22 niet-gouvernementele organisaties, wetenschappers en onderzoeksinstellingen dat de geplande regelgeving aanzienlijke hiaten vertoont. Ze richten zich vooral op gegevensbescherming en privacy, evenals mogelijke fraudescenario’s. Ondertekenaars zijn onder meer epicenter.works, European Digital Rights, Privacy International en vele anderen .
“Cadeau voor Google en Facebook”
Volgens de brief vormt de geplande digitale portemonnee een “ongekend risico” voor de privacy van EU-burgers.
Het is bijvoorbeeld de bedoeling dat banken en verzekeringsmaatschappijen aan vergelijkbare ken-uw-klant-vereisten moeten voldoen als de “monitoring-gedreven bedrijfsmodellen” van technologiebedrijven. Dergelijke vereisten vereisen dat bedrijven de identiteit van hun klanten verifiëren voordat ze zaken met hen doen.
Vanuit het standpunt van ondergetekende dreigt eIDAS 2.0 een “geschenk voor Google en Facebook” te worden. Met behulp van de digitale portemonnee zouden de bedrijven de privacy van EU-burgers verder kunnen ondermijnen.
Tegen een permanent persoonlijk identificatienummer
De brief waarschuwt ook voor het invoeren van een unieke en permanente identificatiecode voor EU-burgers. Zo’n “volgnummer voor personen” zou bedrijven in staat stellen om het gebruiksgedrag van individuen online en offline “met ongekende nauwkeurigheid” vast te leggen. Duidelijke persoonlijke identificatienummers zijn grondwettelijk controversieel in Duitsland , zoals blijkt uit het debat over het belastingnummer en de modernisering van registers.
De Commissie overweegt in haar ontwerp een duidelijke, permanente persoonlijke code (Unique Identifier) in te voeren. Het compromisvoorstel van het EU-Parlement doet dit ook , maar wil het gebruik ervan beperken tot grensoverschrijdende administratieve diensten.
Dienovereenkomstig mag het persoonlijk identificatienummer alleen worden opgevraagd als bijvoorbeeld een Duitse burger communiceert met de lokale overheid in België en de vermelding van het nummer wettelijk verplicht is. Vanuit het oogpunt van dataprotectionisten houdt de introductie van een persoonscode echter al het risico in dat het gebruik ervan – in de zin van sluipende verduistering ( function creep ) – later wordt uitgebreid. Er zijn technische alternatieven voor het uniforme persoonsregistratienummer.
Om het risico van overidentificatie tegen te gaan , pleit de open brief – net als het compromisvoorstel van het EU-parlement – voor gegevensbesparende authenticatiemogelijkheden. Naast persoonsgegevens moeten ook gepseudonimiseerde gegevens en zero-knowledge proofs worden gebruikt. Gebruikers kunnen deze gebruiken als identificatie op naam niet wettelijk verplicht is.
De dreiging van fraude tegengaan
Tot slot wijzen ondergetekenden erop dat de ID-wallet nieuwe mogelijkheden biedt voor fraude en misbruik. Het gevaar is ook groot omdat de digitale portemonnee gevoelige identiteits-, financiële en gezondheidsgegevens van miljoenen mensen zou bevatten. Dat zou het een uitermate interessant doelwit maken voor criminelen.
Tot nu toe zijn er echter geen rechtsmiddelen voorzien waarmee de nationale autoriteiten actie kunnen ondernemen tegen frauduleuze actoren en hen kunnen uitsluiten van het eIDAS-ecosysteem.
De brief concludeert door erop te wijzen dat de European Digital Identity Wallet alleen het vertrouwen van EU-burgers kan winnen en een “zeer krachtig platform voor digitale interacties” kan worden met passende beveiligingsmaatregelen. Om dit te doen, moet ze echter de grondrechten respecteren en ieders privacy beschermen.
eIDAS 2.0: Digitale portemonnee voor alle EU-burgers
eIDAS 2.0 is bedoeld om een verordening uit 2014 te hervormen. De afkorting eIDAS staat voor “Electronic IDentification, Authentication and Trust Services”. In december gaf de Raad van de Europese Unie zijn goedkeuring aan het project ; het EU – Parlement volgde in het voorjaar . De Europese Commissie heeft de bijbehorende ontwerpverordening in juni 2021 gepresenteerd .
De verordening bevindt zich momenteel in de trialoogonderhandelingen. De Raad en het Parlement zullen deze naar verwachting in de tweede helft van het jaar goedkeuren. In de trialoog wordt onder andere beslist of de ID-portemonnee gepaard gaat met de introductie van een unieke persoonlijke identifier, welke rol pseudoniemen gaan spelen bij elektronische transacties en of de code onder een open source-licentie wordt gepubliceerd.
Twee weken geleden startte het federale ministerie van Binnenlandse Zaken in Duitsland een raadplegingsproces over de ID-portemonnee .
