Indignatie redactie 
Privacy – Lidstaten onderhandelen over regels voor de geplande digitale munteenheid, met name vrijstellingen van toezicht voor offline transacties. Een gepland “single access point” is een reden tot zorg, maar er liggen ook aanvullende privacyregels op tafel. We publiceren werkdocumenten van de afgelopen maanden.
Privacy De EU werkt aan een digitale euro. Deze is bedoeld als een openbaar, data-minimaliserend alternatief voor huidige betaaldiensten – zowel online als in de winkel op de hoek. De Europese Centrale Bank (ECB) bereidt momenteel de praktische implementatie voor, terwijl de EU-instellingen werken aan de vereiste wetgeving. Dit alles bepaalt nog niet of er daadwerkelijk een digitale euro komt – de uiteindelijke beslissing ligt bij de ECB – maar het zal het kader voor de nieuwe digitale munteenheid bepalen.
De Commissie publiceerde haar voorstel voor de wet een jaar geleden. Sindsdien zijn de lidstaten in de EU-Raad en het Parlement bezig met het opstellen van hun voorstellen. Zodra alle drie klaar zijn, moeten ze het in de laatste triloog eens worden over een gemeenschappelijke tekst.
Een centraal, controversieel onderwerp in de Raadsdiscussies is privacy. Dat blijkt duidelijk uit werkdocumenten die we via een Freedom of Information Request hebben ontvangen . Veel lidstaten lijken te beseffen dat een hoog niveau van privacy doorslaggevend is voor het succes van de Digitale Euro.
Veel steun – tot op zekere hoogte
Zo bevat een document uit oktober 2023 (PDF) de door de lidstaten voorgestelde amendementen voor het privacyhoofdstuk van de voorgestelde wet. Volgens het document waren Oostenrijk, Duitsland, Nederland en Frankrijk expliciet voorstander van privacybescherming voor gebruikers.
“Het vertrouwen in geld is inderdaad afhankelijk van respect voor privacy en goed beheer van gebruikersgegevens,” betoogt de vertegenwoordiger van Frankrijk. Ook Duitsland denkt dat privacy “de sleutel is tot het vertrouwen van het publiek in het project.”
Toch vinden deze staten het nodig om gegevens te verzamelen voor specifieke doeleinden en deze indien nodig over te dragen aan criminele autoriteiten. Denk hierbij aan de bestrijding van fraude, witwassen, terrorisme en belastingontduiking. Wie een Digital Euro-rekening aanbiedt, moet zich op die gebieden aan bepaalde eisen houden, zijn de lidstaten het erover eens.
De momenteel geplande regels voor de digitale euro overstijgen echter die voor bankoverschrijvingen. Een apart voorstel van de Commissie voor transacties in de gemeenschappelijke markt zal betalingsdienstaanbieders verplichten om transacties systematisch te controleren op aanwijzingen voor fraude. Hiervoor moeten ze bestaande transactiegegevens, bijvoorbeeld eerder gedrag van gebruikers, controleren en vervolgens verwijderen.
In het geval van de Digitale Euro wil het Commissievoorstel dat de ECB en dienstverleners transacties realtime monitoren. Nederland is kritisch: “Hoe verhoudt het toegevoegde voordeel van realtime monitoring zich tot de operationele kosten en privacyoverwegingen?”
Anonieme offline transacties
Offline transacties met de Digital Euro worden uitgesloten van monitoring. Dienstverleners mogen alleen gegevens opslaan over hoe gebruikers geld storten in en uit offline wallets. Deze gegevens zijn beperkt tot het bedrag dat is gestort of is uitgegeven, het tijdstip van de betaling, de identificatie van het apparaat en het rekeningnummer.
Daarnaast wil de Commissie indien nodig een limiet kunnen stellen aan offline transacties. Wat de Digitale Euro zeker zal hebben, is een holding limit, wat betekent dat er ook een limiet zal zijn aan hoeveel een gebruiker offline kan aanhouden. Er wordt momenteel gesproken over een limiet tussen 500 en 3.000 euro.
Met deze regels hield de Commissie zich bewust dicht bij de regels voor contant geld. Ook contante overboekingen worden niet gecontroleerd, terwijl betalingen van en naar bankrekeningen dat wel zijn. De offline versie van de Digitale Euro zou dicht bij contant geld moeten liggen, dus wil de Commissie soortgelijke regels invoeren.
Niet alle lidstaten zijn aan boord
Maar deze uitzonderingen zijn te veel voor sommige lidstaten. “Momenteel vormen privécontante transacties de basis voor de zogenaamde schaduweconomie en vanwege hun ontraceerbare aard worden ze vaak door criminelen gebruikt om de bronnen van fondsen en (of) fondsenbewegingen te verbergen,” schrijft Litouwen. Zonder gegevens over offline Digital Euro-transacties zou dit kunnen betekenen dat het probleem van niet-traceerbaarheid wordt uitgebreid naar de Digital Euro. Daarom wil het land de uitzonderingen voor offline transacties afschaffen.
Ook Portugal ziet offline transacties als een risicofactor voor witwassen en wil een uitgebreide impactbeoordeling van de Commissie. Nog beter zou het zijn om de vrijstellingen helemaal te laten vallen, vindt het land. Italië roept op tot “een op maat gemaakt kader.”
Het lijkt erop dat de lidstaten onder het Spaanse voorzitterschap in de tweede helft van 2023 geen gemeenschappelijk standpunt hebben bereikt. Volgens een document uit december 2023 (PDF) gingen enkele lidstaten akkoord met het voorstel van de Commissie, terwijl andere meer gegevens willen verzamelen.
Frankrijk wil vrijstellingen uitbreiden
Er lag toen al een ander voorstel op tafel dat een andere kant op wilde: een paar lidstaten riepen op tot meer vrijstellingen op transactiebewaking. Ze willen geen vrijstellingen op basis van of een transactie online of offline is, maar op basis van de afstand die het geld aflegt. Een transactie van face-to-face moet worden uitgesloten van monitoring, zoals dat ook het geval is bij contant geld, terwijl transacties op internet nog steeds moeten worden gemonitord.
In mei stelde Frankrijk een zogenaamd “non-paper” op dat dit voorstel verder uitwerkte (PDF) . De tekst is gebaseerd op de aanbevelingen die Europese functionarissen voor gegevensbescherming deden voor de digitale euro . Zij wilden dat kleine transacties werden uitgesloten van monitoring.
Centraal in het Franse argument staat het punt dat gebruikers niet geven om het onderscheid tussen online en offline betalingen. Ze geven om de situatie waarin ze voor een product betalen, bijvoorbeeld in een winkel of op internet.
Een open vraag is hoe de Digitale Euro onderscheid moet maken tussen betalingen in de nabijheid en betalingen over een grotere afstand. Frankrijk stelt voor om gegevens te gebruiken over welk type betaling wordt gebruikt. Als een kassa in een winkel een betaalverzoek doet, zou dit moeten tellen als een nabijheidsbetaling. Als het een e-commerce-interface in een webwinkel is, zou dit niet moeten gelden.
Waarom hebben we één toegangspunt nodig?
Naast offline transacties bespraken de lidstaten ook een ander punt: het “single access point” bij de ECB. Volgens de Commissie is dit nodig zodat gebruikers hun rekeningen kunnen wisselen tussen verschillende dienstverleners. Het voorstel laat het aan de ECB over om zo’n access point te openen, dat vervolgens de identifiers van gebruikers op één plek moet opslaan.
“State-of-the-art” gegevensbeschermingsmechanismen moeten voorkomen dat onbevoegde derden gebruikers identificeren via dit toegangspunt. Ierland, enigszins geïrriteerd, wijst erop dat de wet geen definitie bevat van wat dat betekent. De Ieren willen in plaats daarvan praten over “hoge normen voor beveiliging en privacybeschermende maatregelen”.
Duitsland is sceptisch over het single access point in het algemeen. “Een single access point met alle gebruikersidentificaties zou een aanzienlijk risico voor de privacy kunnen zijn”, aldus een van de opmerkingen en vraagt om nadere uitleg over wie toegang zal hebben tot deze data en waarom centrale opslag in de eerste plaats noodzakelijk is.
Meer regels voor centrale banken
Na Spanje nam België in de eerste helft van dit jaar het voorzitterschap van de Raad over. In die tijd bespraken de lidstaten op 30 mei privacy. Een Belgisch document (PDF) vat de open vragen samen die tijdens de vergadering zijn besproken en presenteert ideeën over hoe de ECB en nationale centrale banken de gegevens van gebruikers beter kunnen beschermen.
België stelt bijvoorbeeld voor om de centrale banken te verplichten om de Digitale Euro zo te ontwerpen dat ze gebruikers niet rechtstreeks kunnen identificeren. Hiervoor zou de wet expliciet encryptie, dataminimalisatie en beperkingen op hergebruik kunnen opnemen.
Het document stelt ook een expliciet verbod voor op centrale banken om gebruikers te identificeren. Organisatorische maatregelen bij centrale banken zouden informatie-uitwisseling tussen teams die werken aan de Digitale Euro en andere gebieden kunnen voorkomen. Daarnaast zouden specifieke regels en controlemechanismen kunnen worden geïntroduceerd om te controleren of centrale banken de privacyregels van de Digitale Euro naleven.
