Innovatie & Strategie
Is de Europese digitale identiteit echt het einde van de vrijheid?
Hoogleraar Bart Jacobs nuanceert: 'India-scenario is totaal niet aan de orde'
Hoogleraar Bart Jacobs nuanceert: 'India-scenario is totaal niet aan de orde'
De ophef over de plannen voor een Europese digitale identiteit was groot nadat wetenschappers in een verhaal van Follow The Money een doemscenario schetsten waarin het 'einde aan de vrijheid' werd aangekondigd. Het verhaal leidde onder meer tot duizenden bezorgde reacties en Kamervragen. AG Connect besprak de zorgen met hoogleraar Bart Jacobs van de Radboud Universiteit.
Wanneer AG Connect hem belt, valt Radboud Universiteit-hoogleraar Bart Jacobs met de deur in huis: nee, hij herkent zich niet in de algehele strekking van het verhaal van Follow The Money, waarin gewaarschuwd wordt voor onder meer een surveillancestaat en ‘het einde van de vrijheid’ op basis van het voorstel voor een Europese digitale identiteit. Jacobs is in de basis juist wel te spreken over de plannen, waarmee Europa de lidstaten van een gemeenschappelijke technische architectuur, normen en richtlijnen voor de bouw van zo’n digitale identiteit voorziet. “Ik heb er eigenlijk niets negatiefs over gezegd. En Europa bouwt de digitale identiteit niet zelf. De lidstaten moeten met die geschetste voorwaarden zelf aan de slag”, benadrukt Jacobs.
‘De principes zijn een goede zaak’
Jacobs is zelf bij de ontwikkeling van de ‘European Digital Identity Wallet’ betrokken geweest. Hij stond onder meer aan de wieg van de authenticatie-app IRMA, waarmee veilig en privacyvriendelijk gegevens kunnen worden uitgewisseld waarbij de eindgebruiker controle houdt over zijn eigen data. Met IRMA is het onder meer mogelijk om met het middel online te identificeren en documenten te ondertekenen. Momenteel hebben zich bijna 60.000 mensen geregistreerd bij IRMA. “De Europese Commissie heeft een aantal van mijn ideeën van de IRMA-app overgenomen. Daarmee wil ik overigens niet beweren dat het hele idee voor een Europese Digitale Identiteit van IRMA komt, maar ik zie het wel als een bevestiging van het gedachtengoed. De principes van het voorstel die er nu liggen lijken mij een goede zaak. In algemene zin ben ik dus positief over de plannen voor deze digitale identiteit.”
Definitief zijn de plannen nog niet. Er is nog tijd om over het voorstel zoals dat er nu ligt te onderhandelen. Het streven is dat er in september 2022 een akkoord gevonden wordt. De commissie heeft er volgens Jacobs wel haast mee en hij is nog niet helemaal gerust op het voorstel zoals het er nu uitziet. Er zijn wat hem betreft nog zeker twee belangrijke verbeterpunten. “Het voorstel ademt een decentrale toon, maar er staat nergens in de eisen dat de data van de Wallet ook decentraal opgeslagen moeten zijn. In mijn ogen is dat een vereiste. In de plannen ontbreekt ook de eis dat de Wallet open source ontwikkeld moet zijn, zo houd je Big Tech buiten de deur. Ik vind dat een verplicht onderdeel.”
Commerciële partijen uitsluiten
Zolang deze genoemde twee eisen niet in het voorstel zijn verwerkt, kunnen lidstaten volgens Jacobs straks nog altijd commerciële partijen vragen om de Wallet te bouwen. Omdat decentrale dataopslag geen eis is kunnen de data dan zomaar bij één bedrijf worden opgeslagen. “Gebruikers moeten dan, om hun Wallet te gebruiken bij die commerciële partij inloggen, die dan precies kan volgen wie waar op welk tijdstip met welke gegevens inlogt. Dit gebeurt nu ook wanneer we bij Facebook inloggen.” Daar is Jacobs geen liefhebber van. Het liefst ziet hij dan ook dat de Europese Commissie commerciële partijen uitsluit. “We moeten opletten dat de techbedrijven hun eigen plannen niet doordrukken. Identiteit is geen handelswaar. De Wallet moet non-profit en open source gemaakt worden.” Is de kennis van marktpartijen dan niet noodzakelijk bij het ontwikkelen van de Wallet? Dat vindt hij maar een ‘rare opmerking’. “Zo’n cliché! Bij de universiteiten zijn voldoende mensen met kennis aanwezig om de Wallet te bouwen.”
Toch denkt de hoogleraar niet dat de plannen bewust zijn ingezet om de macht van techbedrijven te vergroten. Integendeel: Jacobs herkent in de plannen de Europese strategie om afhankelijkheid van Amerikaanse partijen zoals Google en Microsoft te verkleinen. Europeanen identificeren zich hiermee nu al volop bij vele digitale diensten. “Met een Europese digitale identiteit worden we inderdaad juist minder afhankelijk van Amerikanen. Maar als we vervolgens afhankelijk worden van een Europese commerciële partij schieten we in mijn ogen weinig op. De Europese Commissie moet uitsluiten dat één partij een monopolie kan gaan verkrijgen in een land. Heel simpel: de Wallet non-profit ontwikkelen en de data decentraal opslaan dus.”
Onduidelijkheid over Blockchain
In het artikel van Follow The Money, dat tot Kamervragen leidde van de SP, uitten een aantal bronnen waaronder Jacobs ook grote zorgen over de mogelijkheid dat er met blockchaintechnologie gewerkt zal worden. Maar er is op dit moment nog niets zeker over of dit ook daadwerkelijk gebruikt gaat worden. Jacobs: “Iedere lidstaat moet straks op basis van de Europese ‘toolbox’ zelf met de Wallet aan de slag gaan. Uiteraard mogen ze hierbij wel samenwerken. Kleinere landen zoals Malta zullen vermoedelijk aanhaken bij grotere landen zoals Duitsland. Welk land precies welke Wallet gaat bouwen is nu nog volledig onduidelijk. Dat chaotische spel is nu volop gaande. Op dit moment is dus nog volledig onduidelijk of er landen met blockchain aan de slag zullen gaan.”
Jacobs maakt zich zorgen over de veiligheid en duurzaamheid van blockchaintechnologie. Er zijn lidstaten die blockchaintechnologie onderzoeken of ermee experimenteren, maar hij denkt niet dat deze proeven echt een vervolg zullen krijgen. “Duitsland is bijvoorbeeld begonnen met blockchaintechnologie, maar kwam al snel grote problemen tegen. De bevindingen daarvan zijn onlangs bekendgemaakt in een rapport van DSI, de Duitse tegenhanger van TNO. Blockchain is volgens Jacobs om diverse redenen ongeschikt om een Europese digitale identiteit te bouwen. “Het is een hype-technologie die enorme risico’s met zich meebrengt. Een oplossing op zoek naar een probleem.”
Tijd voor iets nieuws
Er zijn kritische noten, maar wat Jacobs betreft is het hoe dan ook hoog tijd dat Europa aan de slag gaat met een nieuwe digitale identiteit. DigiD, waarmee Nederlanders momenteel digitaal inloggen, is kwetsbaar en bovendien volledig gebaseerd op het BSN-nummer. “Daarom mag het alleen in de publieke sector worden gebruikt en niet door bedrijven. En in veel omstandigheden is meer nodig dan alleen een BSN. Met IRMA kunnen artsen bijvoorbeeld een AGB-registratie laten zien.” Eén digitale Wallet kan ervoor zorgen dat niet tal van organisaties toegang tot specifieke data van Nederlanders hebben, zoals nu met DigiD het geval is. Nederlanders moeten nu overal apart inloggen voor bijvoorbeeld toegang tot bankrekeningen, inschrijvingen bij opleidingen en aanvragen van leningen. Daarbij verschilt het beveiligingsniveau van inloggen per organisatie. Europa heeft volgens Jacobs ook ingezien dat een Wallet met meerdere attributen van enorme waarde kan zijn. “En ook staatssecretaris Knops begrijpt heel goed dat Nederland die kant op moet.”
Horrorscenario India
De vergelijkingen in het verhaal van Follow the Money met India, waar inwoners van de honger sterven door systeemfouten en door verkeerd ingevoerde gegevens, noemt Jacobs “absoluut géén realistisch scenario” voor Europa. “Hier hebben alle landen een basisregistratie personen. Iedere gemeente hoort in principe hier te weten wie haar inwoners zijn. In India bestaat zo’n basisregistratie niet. De enige manier om in dat land aan te tonen wie je bent is met biometrie. Zo’n scenario is hier dus helemaal niet aan de orde, omdat bij ons iedereen geregistreerd is in de BRP.”
Een vergelijking met een digitale identiteit zoals in Estland, waar een BSN-nummer zowel publiek als privaat gebruikt mag worden, is volgens Jacobs dichterbij. Maar ook dit dekt de lading niet. “Er wordt vaak naar Estlands gedigitaliseerde overheid verwezen, waar al een sterke digitale identiteit is georganiseerd. In Estland kun je alles met je ID-nummer doen. Maar in dat land bestaat volgens hem geen privacy meer. Wel is alles wat de overheid met de gegevens doet van een burger volledig transparant. “Wie in Estland gecontroleerd wordt door de politie kan zelf zien dat de politie toegang heeft gehad. Dat geeft vertrouwen, maar het is geen privacy. Hun manier van werken is in ons land simpelweg cultureel gezien onacceptabel.”
Mediahoogleraar José van Dijck, winnaar van de Spinoza-premie, sprak zich in september in een interview met Trouw nog uit over de positie van Europa tegenover de Amerikaanse techreuzen. Zij deed daarin de oproep tot de ontwikkeling van Europese alternatieven voor bijvoorbeeld online identificeren. De Europese digitale identiteit zou dat kunnen zijn.
“Europa is zich te weinig bewust van zijn positie in dat veld. We zijn altijd automatisch meegegaan met wat er in de VS werd ontwikkeld. Maar Europa is anders en hecht traditioneel sterk aan publieke waarden, zoals openheid, transparantie en privacy. Daar wordt in de twee grote ecosystemen, het Amerikaanse en het Chinese, te weinig rekening mee gehouden”, zo vertelde Van Dijck.
Europa zou volgens Van Dijck bepaalde functies zelf moeten ontwikkelen, zodat we voor dingen die we belangrijk vinden niet meer zo afhankelijk zijn van de grote spelers. Van Dijk verwijst in het interview naar het IRMA-initiatief, maar noemt ook nog een ander voorbeeld. “Academici zoals ik maken gebruik van eduroam. Dat geeft toegang tot het wifinetwerk van universiteiten in alle delen van de wereld. Als ik op een universiteit in Argentinië ben, kun je zo inloggen. Maar dat doe je met je eigen eduroam-account, Google komt er niet aan te pas. Het is een heel simpel systeem dat in Nederland is ontwikkeld, door SURF, de online dienstverlener van de universiteiten.”
Het ontwikkelen van Europese alternatieven voor producten van Amerikaanse techbedrijven bevordert volgens Van Dijck de bewustwording en innovatie in eigen huis. “En als je ze ontwikkeld hebt sta je sterker in onderhandelingen met de grote spelers.”
Deze man denk naar mijm mening niet verder dan zijn neus lang is. De consequenties zijn niet te overzien.
Ik denk dat we het risico zeker niet moeten onderschatten. Want aan deze digitale identiteit worden natuurlijk ook de vaccinatie gegevens en de bijbehorende reisbeperkingen en andere beperkingen worden gekoppeld. Er wordt ook gesproken over digitaal programmeerbaar geld en natuurlijk wordt er gekeken naar een verder gaan sociaal kredietsysteem. Kijk eens eerst verder naar dat soort ontwikkelingen voordat je hier een "veilig" stempel op zet
De eerste vereiste is dat de EU Wallet toegang verleent tot een identificatie op het hoogst mogelijke veiligheidsniveau.
Irma voldoet niet aan de eIDAS voorwaarde voor het hoogst mogelijke beveiligingsniveau, dus valt in beginsel af.
Het PKI systeem voldoet wel aan deze voorwaarde en kan de basis vormen voor de EU identificatie van alle burgers en bedrijven.
Bart geeft hier een goed beeld om gebalanceerd naar de (digitale) identiteit te kijken. Waar we nu genoeg gezien hebben dat je digitale identiteit wordt gebruikt bij Facebook en Google als ruilmiddel voor diensten doen andere commerciële aanbieders dat met geld. Ooit hoorde ik iemand zeggen dat banken IT-bedrijven zijn die toevallig in geld doen, laten we onze (digitale) identiteit decentraal organiseren (zoals IRMA). En dat rare prietpraat over dat de commerciële bedrijven vooral een rol moeten hebben, want de overheid kan dat niet? Wie denk je dat nu al die software maken voor de overheid? En heeft iemand een idee hoeveel we daarvoor betalen? De hoofdprijs. Nu doorpakken in Europa en laat die Amerikanen maar in hun glorierijke bedrijfsleven geloven.