Niet alleen gemak mag een rol spelen bij de opvolgers van DigiD, aldus Pieter van Boheemen en Linda Kool, verbonden aan het Rathenau Instituut...

...In de fysieke wereld zorgt de overheid ervoor dat we ons kunnen identificeren met middelen als een paspoort of rijbewijs. Online zijn we aangewezen op DigiD om in te loggen bij overheidsdiensten. Nu kan dat nog met een wachtwoord of sms-code, maar dit blijkt niet betrouwbaar genoeg. De overheid gaat daarom werken met een nieuwe elektronische identiteit (eID). Het wetsvoorstel Digitale Overheid bevat regels voor die nieuwe eID. Ook bestaande wetten zijn van toepassing, zoals de Algemene Verordening Gegevensbescherming.

Als het voorstel wordt aangenomen, gaan ook private partijen een opvolger voor de huidige DigiD ontwikkelen. Burgers kunnen dan kiezen tussen een eID van de overheid of van een andere partij. 

Vanuit efficiëntie en gemak een mooie gedachte, maar het wetsvoorstel lijkt andere publieke waarden onvoldoende in ogenschouw te nemen. Burgers gebruiken digitale identificatiemiddelen immers voor zeer privacygevoelige doeleinden. Denk maar aan het inloggen bij dienstaanbieders in de jeugdzorg, reclassering of andere organisaties in het sociale domein. Dat eID-aanbieders daarbij vastleggen wie met welke dienst zakendoet, bijvoorbeeld om fraude te bestrijden, is begrijpelijk. Maar zo’n inlogregister kan voor private eID-aanbieders ook om andere redenen interessant zijn. Door het register met andere persoonlijke informatie te combineren, kan een profiel worden opgebouwd. Een profiel dat vervolgens kan worden gebruikt voor advertenties, het aanbieden van op jouw voorkeur afgestemde producten en andere belangen.

De huidige DigiD-aanbieder Logius trof verschillende maatregelen om het gebruik van zulke profielen te voorkomen. In het huidige wetsvoorstel ontbreekt het echter aan regels om zulke maatregelen voor private eID’s te verplichten. 

In de privacy-visie eID die staatssecretaris Knops begin 2019 naar de Kamer stuurde, wordt dit risico van inbreuk op privacy gesignaleerd. De visie stelt een verbod voor op het gebruik van inlog-registers voor andere doeleinden dan de werking van het identificatiesysteem zelf. In het wetsvoorstel Digitale Overheid ontbreekt dat verbod.

Het wetsvoorstel biedt wel de mogelijkheid om via een Algemene Maatregel van Bestuur aanvullende voorschriften vast te stellen. Zo ‘n maatregel is geschikt voor zaken die snel kunnen veranderen, zoals het actueel houden van beveiligingseisen, en gaat niet langs het parlement. Het gaat hier echter om een principiële keuze: een fundamentele waarde als privacy verdient volledige wettelijke bescherming, met controle vanuit het parlement.

Om de privacy van burgers onder alle omstandigheden te waarborgen is aanscherping van het wetsvoorstel dus noodzakelijk. Want makkelijker kunnen we het zeker maken; nu nog privacyvriendelijker.

Alles bij de bron; Trouw