Europa werkt in hoog tempo aan een digitale identiteit voor elke EU-burger. En hoewel het reuzehandig is om straks overal in de EU zonder rompslomp een auto te kunnen huren, ziet Bart Custers nog veel losse eindjes....

...Ze wil een ­European Digital Identity Wallet invoeren, verplicht voor alle EU-burgers. Denk daarbij aan een portefeuille vol documenten.

Die nieuwe wallet moet veel breder bruikbaar zijn, over landsgrenzen heen. Ja, hij is er ook voor overheidscommunicatie, maar is vooral bedoeld voor burgers en bedrijven onderling. De wallet moet geschikt zijn voor van alles en nog wat: om in het buitenland een bankrekening te openen, om op vakantie een auto te huren of in te checken in een hotel, zonder dat daar nog een rijbewijs of paspoort aan te pas komt en de wallet volstaat in ieder Europees land. Met die wallet schroeft de Europese Commissie haar ambitie om van alle lidstaten één markt te maken flink op...

...Op individueel niveau zijn de voordelen groot: alles zit op één plek. Paspoort, identiteitskaart, rijbewijs en bankpassen verdwijnen allemaal uit de fysieke portemonnee. Velen betalen nu al met hun telefoon, dus die hebben straks zelfs geen portemonnee meer nodig. Heb je je telefoon bij de hand, dan kun je niets vergeten 

De wallet biedt ook privacy-voordelen. Hoewel er een schat aan gegevens op staat, worden die slechts minimaal gedeeld. Denk aan de QR-code op de coronapas: die geeft slechts een groen of een rood scherm, zonder medische gegevens te delen. Ook de digitale wallet zal louter zo’n groen vinkje of rood kruisje tonen, waarmee iedere EU-burger eenvoudig kan laten zien welke rechten hij heeft – van wonen tot werken, van studeren tot een uitkering – zonder dat hij persoonlijke gegevens overlegt.

Sterke encryptie zorgt voor goede beveiliging, waardoor kans op verlies of diefstal kleiner is dan bij papieren documenten en plastic pasjes.

Maar nu de bedenkingen. Het plan van de Commissie heeft te veel losse eindjes. De EU zal de technologie om de wallet te laten functioneren niet zelf ontwikkelen. Wat de EU wel doet: ze maakt wetgeving. Die wetgeving beschrijft weliswaar wat er moet komen, maar het is zeer de vraag of dat daadwerkelijk gebouwd kan worden. Bij de eIDAS-verordening lukte dat niet en de kans is groot dat de techniek ook nu verzandt.

De gebruikelijke route om aan een goed werkend systeem te komen is aanbesteding: bedrijven schrijven in en de beste aanbieder – dat wil zeggen de goedkoopste die aan alle randvoorwaarden voldoet – mag het bouwen. Gelet op de omvang van deze opdracht zal dat een groot technologiebedrijf zijn.

Om die klus te klaren, heeft dat bedrijf toegang nodig tot al die uiterst persoonlijke data van al die miljoenen EU-burgers. Dat is nogal een risico. Grote technologie­bedrijven hebben nu al enorm veel macht, die moeilijk te controleren en nauwelijks te beteugelen is. Meerdere maken zich schuldig aan schending van de regels voor mededinging en privacy. 

Daar komt bij dat de opslag van al die gegevens – gekoppeld aan die ene, specifieke Europese burger– de wallet tot ideaal doelwit maakt voor hackers. 

Geen enkel systeem is voor de volle 100 procent veilig, dus loert het risico van identiteitsfraude. Als het systeem wordt gehackt, kunnen criminelen de digitale EU-identiteiten gebruiken om hotels en huurauto’s op andermans rekening te boeken. Dat wordt vaak snel ontdekt, maar dan is er wel al schade.

Bovendien, zo weet elk slachtoffer van identiteitsfraude maar al te goed, is een gecompromitteerde identiteit lastig te vervangen. Een wallet die gehackt is, kun je weliswaar blokkeren, maar dan heeft het slachtoffer nog niet zomaar een nieuwe. En het leven is knap lastig als alles in je geblokkeerde wallet zit.

Ook zonder hacks zijn er risico’s. De wallet geeft overheden op vele niveaus toegang tot een zee aan gegevens. Met die gegevens kan bijvoorbeeld een gemeente onderzoeken onder welke bevolkingsgroepen armoede, werkeloosheid of criminaliteit voorkomt. Ze kan dit doen met de beste bedoelingen, om die problemen op te lossen. Maar zo’n onderzoek kan ook leiden tot discriminatie. Wordt een wijk als probleemwijk aangeduid, dan werkt dat stigmatisering van bewoners in de hand. De toeslagenaffaire laat zien dat burgers flink in de knel komen als ze in risicogroepen worden gezet waar ze maar moeilijk uit geraken.

De Tweede Kamer uitte begin juni grote bezwaren tegen de wallet. Kamerleden willen garanties dat gegevens niet centraal worden opgeslagen in een Europese databank. Centrale opslag vergroot de veiligheidsrisico’s en maakt risicoprofilering wel erg verleidelijk....

...Zowel de Europese Commissie als de Tweede Kamer lijken te onderschatten hoe ingewikkeld een project als dit is. De Europese Commissie maakt grote haast met dit project en is de eerste contracten al aan het aanbesteden.

Maar het is onduidelijk hoe aan alle bezwaren tegemoet wordt gekomen. Hoe voorkomen we dat er een onveilig systeem wordt opgetuigd, of een traag en gebruikers­onvriendelijk systeem? Hoe voorkomen we dat de big tech-bouwer of de overheid een duik neemt in die ongekende bron van data? Kortom, hoe bedienen we Europese burgers en bedrijven zonder hun belangen uit het oog te verliezen? We weten het niet.

Dat wringt extra nu de Europese Commissie de wallet voor iedere burger verplicht wil stellen. Je kunt je er niet aan onttrekken. Dat vereist een feilloos systeem. 

Vertrouwen komt te voet en gaat te paard, dus pas als blijkt dat het systeem alle kwaliteitstoetsen doorstaat, kan het in heel Europa worden ingevoerd. En als blijkt dat het niet goed werkt, dan is het beter het plan te laten varen.

Alles bij de bron; Trouw [lekker lang lezen artikel]


 


Schrijf je in op onze wekelijkse nieuwsbrief!