
De Weg naar de Europese Digitale Identiteit
De Europese Digitale Identiteit heeft als doel om inwoners van Europese landen een alternatief te bieden voor de identificatieoplossingen die grote techbedrijven nu aanbieden. Het gaat om een privacyvriendelijke, veilige en betrouwbare nationale oplossing voor online identificatie, die ook in andere EU-landen wordt geaccepteerd door overheden en bedrijven in diverse sectoren.
Het is dus geen allesomvattende databank met jouw online gedrag en locatiegeschiedenis. De burger kiest zelf en alternatieven blijven beschikbaar. Het betreft een nationale oplossing, geen Europees paspoort of identiteit. Maar hoe werkt dat nou allemaal? En wat betekent dat voor bedrijven?
Waarom een oplossing voor digitale identificatie? En waarom op Europees niveau?
De Europese Unie (EU) merkt dat haar burgers veel gebruikmaken van diensten, apps en sociale media van grote techbedrijven, zonder zich altijd bewust te zijn van hun rol als ‘product’. Vaak zijn ze zich er niet van bewust dat gegevens over hun gedrag worden gebruikt voor nog gerichtere marketinguitingen (die soms kunnen neigen naar manipulatie) en dat hierdoor hun autonomie en privacy in het gedrang komen.
Deze dreigingen zijn meestal gekoppeld aan je digitale identiteit, zoals je social media-login of account, of hoe je bij grote techbedrijven inlogt. Zo’n inlog kan vaak ook elders worden gebruikt (bijvoorbeeld je Facebook-login voor andere internetdiensten). Hierdoor wordt het volgen van burgers uitgebreider en vormt het een grotere bedreiging voor de privacy. Dit baart grote zorgen over de digitale samenleving.
Daarop heeft de EU gezegd: wij willen een betrouwbaar alternatief waarmee onze burgers kunnen inloggen en waarmee ze zelf kunnen besluiten welke gegevens ze delen. Dus niet meer: inloggen met een oplossing van een groot techbedrijf en ook niet meer: je moet al je gegevens prijsgeven voordat je verder kunt (een dienst kan gebruiken).
Eerdere pogingen om digitale identificatie te verbeteren
Wat kunnen we hiervoor gebruiken? Nou, er is Europese regelgeving dat als je in het ene land een veilige nationale (dus geen Europese!) digitale inlogmethode hebt (bijvoorbeeld DigiD in Nederland), je ervoor kan zorgen dat deze ook in andere EU landen (eigenlijk landen in de Europese Economische Ruimte, EER) geaccepteerd wordt. Dan hoef je alleen maar in Nederland je DigiD aan te vragen en kan je die elders gebruiken. Hierbij kwamen drie problemen naar voren:
- Een land moet complexe procedures doorlopen om hun nationale digitale identificatiemiddel op Europees niveau ‘geaccepteerd’ te krijgen (genotificeerd heet dat).
- Je kan er vervolgens alleen overheidsdiensten mee gebruiken (dus geen commerciële diensten, daarvoor val je dan toch weer terug op … big tech en haal je je doel om burgers te beschermen niet meer).
- Hierdoor ontstond er ook geen markt waar deze identificatieoplossingen gebruikt konden worden. Het kwam dus niet van de grond.
Deze regelgeving, elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (eIDAS 1.0), is in 2014 gestart en geldt nu nog steeds. Maar er werden veel te weinig van die nationale identificatieoplossingen aangemeld.
eIDAS 2.0: Europese Digitale Identiteit, in een Wallet
Daarom is er nu de eIDAS 2.0 regelgeving. De EU zegt daarmee: nu maken we een betrouwbaar alternatief mogelijk en leren we van onze eerdere pogingen. Wat deze regelgeving als eerste doet, is het juridische kader bieden zodat, mocht er een echte oplossing komen, je ook zeker weet dat deze juridisch steek houdt in alle landen van de EU. Dat is belangrijk, want als het goed gaat, is het niet zo spannend, maar als er gefraudeerd wordt bij identificatie, of er misbruik plaatsvindt, dan wil je weten hoe je dat (juridisch) kan aanpakken.
Daarna heeft de EU gezegd: we willen iets voor de burger maken wat veilig is en gratis, maar niet op Europees niveau. De landen zijn namelijk soeverein; zij zijn zelf ‘verantwoordelijk’ voor hun burgers (niet het Europees Parlement of de EU). Dus elk land moet rond eind 2024 een oplossing maken of aanwijzen waarmee de burger zich vanaf 2025 kan identificeren. Vervolgens zegt de EU: met de huidige technologie moet dit een wallet zijn. Alle grote techbedrijven zijn hier al volop mee bezig; het is een goede oplossing in het huidige technische landschap én deze oplossing maakt een aantal zaken mogelijk die we eerder nog niet goed werkend hadden. Zoals: Afgeleide attributen (als ik moet bewijzen dat ik 18+ ben, dan hoef ik niet mijn geboortedatum te laten zien, maar een ‘attribuut’ dat zegt ‘ja, deze persoon is 18+’). Dit vergroot de privacy, want je deelt minder gegevens over jezelf (dataminimalisatie).
De wallet-technologie werkt ook zo dat, mits goed ingericht, er niet verzameld kan worden waar je allemaal geweest bent, dus geen profiel van al je (online) gedrag, en je kan hiermee niet online gevolgd worden. Meer technisch: De wallet maakt ook ‘zero knowledge-proof’ mogelijk en het delen van ‘verified credentials’. Daarnaast kan deze offline en online werken.
Wat betekent dit voor mensen?
Vanuit de wallet bepaalt de gebruiker (de burger van een land in de EU, dus niet de burger van Europa, want die bestaat niet) wanneer hij of zij welke data deelt. Dus, stel dat een verzekeraar vraagt: mag ik van jou je medische geschiedenis, je geboortedatum en je voor- en achternaam, dan krijgt de burger in de wallet de pop-up met de vraag ‘wil je die data delen?’ (per data-element). De burger kan dan zeggen: dit is geen zorgverzekering maar een inboedelverzekering, dus ik deel geen medische gegevens, maar de rest misschien wel. Dit is een van de grote zorgen van privacy-experts: hoe helpen we de burger die keuze goed te maken, en dat de burger niet als die de pop-up krijgt: ‘krijg nu 5% korting, deel al je data!’ dan maar alle data deelt, zie onder andere artikel in Follow the Money en het Nederlands Dagblad hierover, beide februari 2023.
Wat betekent dit voor bedrijven?
De EU heeft in haar eIDAS 2.0 nu ook opgenomen dat niet alleen overheidsdiensten deze wallet moeten accepteren, maar elke kritische en vitale industrie waar sterke authenticatie vereist is (vanuit lokale wetgeving). Dat is bijvoorbeeld nu het geval voor banken, verzekeraars, en anderen. Maar de EU noemt ook sectoren zoals transport, energie, onderwijs en anderen. Het is niet zo dat je straks alleen nog maar met een wallet kan inloggen, maar juist dat je bij deze sectoren óók met een wallet moet kunnen inloggen (en dat dus niet met een Facebook-account of andere privacy-schendende login). Wat bij eIDAS 1.0 dus niet gebeurde, wordt hier nu afgedwongen: een markt waar de burger met z’n identificatie echt iets kan doen: inloggen en diensten gebruiken.