De Weg naar een Europese Digitale Identiteit

Het doel van een Europese Digitale Identiteit is om EU-inwoners een alternatief te bieden voor de identificatieoplossingen van grote techbedrijven. Het gaat om een privacyvriendelijke, veilige en betrouwbare nationale oplossing voor online identificatie. Een die ook in andere EU-landen wordt geaccepteerd door overheden en bedrijven in diverse sectoren.

Het is dus geen allesomvattende databank met jouw online gedrag en locatiegeschiedenis. De burger kiest zelf en alternatieven blijven beschikbaar. Het betreft een nationale oplossing, geen Europees paspoort of identiteit. Maar hoe ziet de weg naar een Europese Digitale Identiteit er dan uit? Hoe werkt dat straks allemaal? En wat betekent dat voor bedrijven?

De Europese Unie (EU) merkt dat haar burgers veel gebruikmaken van diensten, apps en sociale media van grote techbedrijven, zonder zich altijd bewust te zijn van hun rol als ‘product’. Vaak zijn ze niet bewust dat gegevens over gedrag worden gebruikt voor gerichte marketing (die soms kunnen neigen naar manipulatie). Tenslotte realiseert men zich vaak niet de mate waarmee hierdoor hun autonomie en privacy in het gedrang komt.

Deze dreigingen zijn meestal gekoppeld aan je digitale identiteit, zoals je social media-login of account, of hoe je bij grote techbedrijven inlogt. Zo’n inlog kan vaak ook elders worden gebruikt, bijvoorbeeld je Facebook-login voor andere internetdiensten. Hierdoor wordt het volgen van burgers uitgebreider en vormt het een grotere bedreiging voor de privacy. Dit baart grote zorgen over de digitale samenleving.

Daarop heeft de EU gezegd: wij willen een betrouwbaar alternatief. Een waarmee onze burgers kunnen inloggen en waarmee ze zelf kunnen besluiten welke gegevens ze delen. Dus niet meer inloggen met een oplossing van een groot techbedrijf en ook niet meer al je gegevens prijsgeven voordat je verder kunt. Dat wil zeggen, niet meer gegevens delen in ruil voor toegang tot dienstverlening.

Wat kunnen we hiervoor gebruiken? Europese regelgeving stelt dat als je in het ene land een veilige nationale (dus geen Europese!) digitale inlogmethode hebt (bijvoorbeeld DigiD in Nederland), je kan zorgen dat deze ook in andere EU-landen geaccepteerd wordt. Dat zijn landen in de Europese Economische Ruimte, de EER. Dan hoef je alleen maar in Nederland je DigiD aan te vragen en kun je die elders gebruiken. Hierbij kwamen drie problemen naar voren: 

• Een land moet complexe procedures doorlopen om hun nationale digitale identificatiemiddel op Europees niveau ‘geaccepteerd’ te krijgen. Dat wordt ook wel ‘genotificeerd’ genoemd. 
• Je kan er vervolgens alleen overheidsdiensten mee gebruiken. Dus geen commerciële diensten, daarvoor val je dan toch weer terug op … big tech en haal je je doel om burgers te beschermen niet meer. 
• Hierdoor ontstond er ook geen markt waar deze identificatieoplossingen gebruikt konden worden. Het kwam dus niet van de grond. 

Deze regelgeving, elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt heet (eIDAS 1.0), is in 2014 gestart en geldt nu nog steeds. Maar er werden veel te weinig van die nationale identificatieoplossingen aangemeld. 

Daarom is er nu de eIDAS 2.0 regelgeving. De EU zegt daarmee: nu maken we een betrouwbaar alternatief mogelijk en leren we van onze eerdere pogingen. Wat deze regelgeving als eerste doet, is het juridische kader bieden. Dit kader zorgt dat, mocht er een echte oplossing komen, je zeker weet dat deze juridisch steek houdt in alle EU-landen. Dat is belangrijk. Niet als alles goed gaat, maar wel bijvoorbeeld in geval van fraude. Stel er wordt gefraudeerd bij identificatie, of er identificatie wordt misbruikt? Dan wil je weten hoe je dat (juridisch) aanpakt. 

Daarna heeft de EU gezegd: we willen iets voor de burger maken wat veilig is en gratis, maar niet op Europees niveau. De landen zijn namelijk soeverein; zij zijn zelf ‘verantwoordelijk’ voor hun burgers (niet het Europees Parlement of de EU). Dus elk land bewandelt de weg naar een Europese Digitale Identiteit op z’n eigen manier. Per land moet er rond eind 2024 een oplossing zijn waarmee de burger zich vanaf 2025 kan identificeren. Vervolgens zegt de EU: met de huidige technologie moet dit een wallet zijn. Alle grote techbedrijven zijn hier al volop mee bezig. Het is een goede oplossing in het huidige technische landschap én deze oplossing maakt een aantal zaken mogelijk die eerder nog niet goed werkte. Zoals: afgeleide attributen (als ik moet bewijzen dat ik 18+ ben, dan hoef ik niet mijn geboortedatum te laten zien, maar een ‘attribuut’ dat zegt ‘ja, deze persoon is 18+’). Dit vergroot de privacy, want je deelt minder gegevens over jezelf (dataminimalisatie). 

Goed ingerichte wallet-technologie werkt bovendien zo dat het geen data verzameld over waar je allemaal bent geweest. Dat wil zeggen, geen opgebouwd profiel opgebouwd van al je (online) gedrag, en geen tracking online. Meer technisch: de wallet maakt ook ‘zero knowledge-proof’ mogelijk en het delen van ‘verified credentials’. Daarnaast werkt deze wallet zowel online als offline.

Vanuit de wallet bepaalt de gebruiker (de burger van een land in de EU, dus niet de burger van Europa, want die bestaat niet) wanneer hij of zij welke data deelt. Dus, stel dat een verzekeraar vraagt: mag ik van jou je medische geschiedenis, je geboortedatum en je voor- en achternaam. Dan krijgt de burger in de wallet de pop-up met de vraag ‘wil je die data delen?’ (per data-element). De burger kan dan zeggen: dit is geen zorgverzekering maar een inboedelverzekering, dus ik deel geen medische gegevens, maar de rest misschien wel. Dit is een van de grote zorgen van privacy-experts: hoe helpen we de burger die keuze goed te maken? Zodat de burger niet als die de pop-up krijgt: ‘krijg nu 5% korting, deel al je data!’ dan maar alle data deelt. Zie hierover onder andere artikel in Follow the Money en het Nederlands Dagblad hierover, beide februari 2023.

De EU heeft in eIDAS 2.0 ten eerste opgenomen dat overheidsdiensten deze wallet moeten accepteren. Daarnaast ook dat elke kritische en vitale industrie waar sterke authenticatie vereist is (vanuit lokale wetgeving) meeloopt op de weg naar een Europese Digitale Identiteit. Dat is nu al het geval voor banken, verzekeraars, en anderen. Maar de EU noemt ook sectoren zoals transport, energie, onderwijs en anderen. Dat betekent niet dat je straks alleen nog maar met een wallet kan inloggen. Het betekent juist dat je bij deze sectoren óók met een wallet moet kunnen inloggen (en dat dus niet met een Facebook-account of andere privacy-schendende login). Wat bij eIDAS 1.0 dus niet gebeurde, wordt hier nu afgedwongen: een markt waar de burger met z’n identificatie echt iets kan doen.