In de haast de privacy van EU-burgers beter te beschermen en de macht van Amerikaanse ‘Big Tech’ in te perken, worden volgens experts ontwerpfouten gemaakt bij de ontwikkeling van de Europese digitale identiteit.
Denis Roio gaat de Europese digitale identiteit, die hij zelf heeft helpen ontwikkelen, niet gebruiken. De Italiaanse softwareontwikkelaar en ondernemer is zijn vertrouwen kwijt in het ambitieuze Europese project...
...In principe is Roio, zoals veel privacy-activisten en softwaredeskundigen, groot voorstander van een Europese digitale identiteit. „Het is bedoeld om ons te beschermen tegen de dataroof door Big Tech.” Hij is een overtuigd Europeaan.
Zoals meer experts neemt hij actief deel aan discussies over hoe het EU-ID gebouwd zou moeten worden.
Veel cryptografen, onder wie Roio, gaven feedback en hebben in grote lijnen dezelfde fundamentele bezwaren. De belangrijkste is dat de zogeheten cryptografische bescherming te zwak is.
Ook Jaap-Henk Hoepman, universitair hoofddocent aan de Radboud Universiteit en gespecialiseerd in online privacy, constateerde met een groep van vijftien gerenommeerde Europese collega’s dat de beoogde anonimiteit van gebruikers nu niet goed geregeld is. In de ogen van de cryptografen moet het EU-ID gebruik maken van wat ze zero knowledge cryptografie noemen, in plaats van de gekozen manier van versleutelen.
Anonieme identiteitsbewijzen met zero knowledge proof, die Hoepman en zijn collega’s het liefst ingevoerd zien worden, laten bij gebruik geen digitale sporen achter. Je kunt het wegwerpbewijzen noemen, voor eenmalig gebruik. „Een gokwebsite die mijn leeftijd moet controleren kan dan niet zien of ík het ben die honderd keer per dag komt gokken. Of dat het honderd verschillende mensen zijn die allemaal meerderjarig zijn”, geeft Hoepman als voorbeeld.
Een tweede zorg van Hoepman en zijn collega’s is dat er geen mechanisme wordt ingebouwd om te voorkomen dat gebruikers om overbodige informatie wordt gevraagd, die dat in de regel klakkeloos geven. Ook dat raakt de privacy. Als het EU-ID online privacy écht hoog in het vaandel heeft, worden consumenten automatisch beschermd tegen het delen van onnodig veel gegevens, betogen de cryptografen.
Er bestaan alternatieven voor het voorstel van de werkgroep van de Europese Commissie. Hoogleraar Bart Jacobs, een collega van Hoepman aan de Radboud Universiteit, ontwikkelde in Nederland ruim tien jaar geleden bijvoorbeeld al een app waarmee het mogelijk is in te loggen en alleen het hoogst noodzakelijke ‘bewijs’ te delen. Die app heette eerst IRMA en inmiddels Yivi. Zo’n honderdduizend Nederlanders hebben hem op hun telefoon. „Het kan dus wel degelijk”, zegt de hoogleraar, een pionier op dit terrein in Nederland. „Wij gebruiken het al tien jaar.” Hij noemt het „onbegrijpelijk” dat de EU daar niet ook voor kiest.
Alles bij de bron; NRC