Overslaan en naar de inhoud gaan

Deze zorgen over de Europese wallet-id zijn nog niet weggenomen

De Nederlandse ICT-dienstverlener ICTU werkt voor de overheid hard aan een proefversie van de nieuwe Europese digitale identiteit, die in januari al opgeleverd moet zijn. Met de keuze voor opensource-ontwikkeling en een decentrale opslag van de data werden belangrijke zorgen weggenomen. Toch zijn er nog genoeg zorgen over.
Computer, AVG
© CC0/Pixabay
CC0/Pixabay

De toenemende macht van Amerikaanse techreuzen in Europa inperken en zelf de touwtjes in handen houden over identificeren op internet. Dat zijn ondermeer redenen waarom Europa met een eigen betrouwbaar inlogmiddel aan de slag gaat. De manier waarop Europeanen zich nu identificeren op internet is namelijk een zorg voor privacy-deskundigen.

Zo ook voor Jaap-Henk Hoepman, hoogleraar Privacy aan de Radboud Universiteit in Nijmegen en de Rijksuniversiteit Groningen. Veel Europeanen gebruiken nu een login bij Facebook of Google als manier om zichzelf te identificeren, zo vertelt hij donderdag op het iBestuur-event in de Haagse Caballero-fabriek. “Bij Apple en Google-platforms komen Wallets op waarmee gebruikers hun identiteit kunnen aantonen. De Apple Wallet bijvoorbeeld, kan zelfs al rijbewijzen uitgeven.” Op die manier krijgen Amerikaanse techreuzen steeds meer gevoelige data van Europeanen in handen. “Dat je hierbij als Europa zelf aan het stuur wil zitten, is zeer begrijpelijk. De Commissie probeert met een nieuwe wet hier handen en voeten aan te geven”, zegt Hoepman.

Over-identificatie

De goede intenties van de Europese Commissie ten spijt, er blijven in wetenschappelijke wereld belangrijke zorgen bestaan over het voorstel van afspraken voor Europese Wallet-ID, die in 2025 moeten gelden.

Een van de zorgen is ‘over-identificatie’. Wie wil inloggen bij een dienstenaanbieder moet misschien wel meerdere gegevens invullen, die niet altijd van belang zijn. Nu vullen veel privacy-bewuste mensen bijvoorbeeld bewust verkeerde leeftijd in wanneer deze gevraagd wordt, om bedrijven niet meer informatie dan nodig te geven. Met de Wallet-ID kan dit niet meer. Hoe voorkom je dat dienstenaanbieders onnodig veel informatie willen hebben vanuit de Wallet?

De dienstaanbieder controleren

Wat Hoepman betreft mag de Europese Commissie hier strikter in zijn dan in het huidige voorstel is uitgewerkt, zo vertelt hij. Een sterkere controle vanuit de Wallet zelf, om te checken of de dienstaanbieder wel gerechtigd is om attributen uit de Wallet op te vragen, kan een uitkomst zijn. “Als iemand in de trein je kaartje controleert of je staande houdt, wil je ook weten of hij wel echt een conducteur of een politieman is. Het zou een mooie aanvulling zijn op het voorstel wanneer zo’n mogelijk wordt ingebouwd in de Wallet.”

Verplichting is onhandig

Wat Hoepman ook anders zou willen zien in het voorstel, is dat Amerikaanse techbedrijven als Facebook en Amazon verplicht worden om het Europese Wallet te accepteren als geldig inlogmiddel bij hun platform. Hij zou dit liever willen omdraaien, zodat er betere voorwaarden gesteld kunnen worden aan de Amerikaanse platforms. “Wanneer je ze verplicht om het te accepteren, kun je ze namelijk ook niet weigeren. Ik zou liever zien dat ze juist géén toegang tot de Wallet-attributen van inwoners krijgen wanneer blijkt dat ze niet aan de Europese standaarden voldoen.”

Amerikaanse smartphone-dominantie

De Europa’s digitale soevereiniteit kan met de Wallet zelfs in het geding komen, omdat deze met een smartphone moet getoond en Amerikaanse grootmachten Apple en Google die markt in handen hebben met Android en Apple stores. “Door de Wallet op smartphones te laten draaien, vlucht je direct naar hun platforms toe. Deze twee partijen kunnen regels stellen voor de toegang op het platform.” Hoepman legt uit dat de Amerikanen regels voor hun appstores unilateraal kunnen wijzigen en apps, waaronder dus ook Wallets, kunnen weigeren of verwijderen. Daarnaast krijgen ze informatie over het gebruik van de Wallet. “Wanneer je niet voldoet aan de voorwaarden van een appstore kan Apple of Android je er zo vanaf schoppen. Terwijl het zelfstandig kunnen uitgeven van een juridische identiteit een kerntaak is van een soevereine staat.”

Uitsluiting   

Hoepman is ook niet gerust op de risico’s met betrekking tot uitsluiting. Niet iedereen heeft immers een smartphone, kan deze gebruiken of heeft een smartphone die voldoet aan recente eisen. Niet iedere Nederlander is digitaal voldoende vaardig om een Wallet goed te gebruiken. Ook ziet hij nog een algemeen risico: De binding tussen persoon en eigenschappen. “Hoe weet je zeker dat de getoonde attributen uit een Wallet overeenkomen met de persoon die voor je staat? Een telefoon aan een ander geven, kan. Net zoals je een Netflix-account kan delen.”

Onacceptabele risico's

De Wallet moet uiteindelijk door alle Europese lidstaten en vele aanbieders gebruikt kunnen worden, dat betekent dat al deze partijen betrouwbaar moeten zijn. “Het is alsof je de sleutel van je appartement voor noodgevallen aan de conciërge geeft. Nu geef je de sleutel aan heel veel partijen tegelijk. Is daar genoeg controle en zicht op?”, vraagt Hoepman zich af. Hij heeft twijfels over de verschillende doeleinden van de Wallet. Bij sommige toepassingen kan de Wallet heel goed werken, terwijl het bij andere ‘use cases’ misschien een onacceptabel risico vormt. “De betrouwbaarheid en de waarborging van privacy hangt af van de grote hoeveelheid partijen, componenten en koppelingen die komen kijken bij de ontwikkeling.” 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in