In de oorspronkelijke ‘Electronic Identities And Trust Services (eIDAS)’-Verordening hebben de Europese lidstaten het grensoverschrijdend gebruik van elektronische ID‘s geregeld. De herziening van die regelgeving gaat echter veel verder dan eerst bedoeld, en zet zo onze privacy onder druk, zegt Erik Gilissen (VB) in deze vrije tribune.

Er werd oorspronkelijk afgesproken dat elk nationaal elektronisch identificatiebewijs, dat werd erkend door de Europese Commissie, toegang krijgt tot de overheidsorganisaties van andere Europese landen, voor zover die ook mekaars elektronische identiteiten erkennen. De afzonderlijke lidstaten behouden zeggenschap over zowel de inhoud van hun eID’s als over de keuze van landen waarmee ze willen samenwerken.

Herziening

Bij de herziening van de eIDAS-verordening, werden er afgesproken om nog een stap verder te gaan en een aparte Europese Digitale Identiteit in te voeren. De verordening verplicht de lidstaten om een digitale portefeuille, een ‘European Digital Identity Wallet’ beschikbaar te stellen, volgens Europese specificaties. Deze digitale identiteitskluis krijgt de vorm van een beveiligde app op de smartphone en zal volgend jaar worden geïmplementeerd.

In die digitale portefeuille komt heel veel data samen. De Europese eID zou alle belangrijke persoonsgegevens bevatten, van geboortecertificaten, rijbewijzen, eigendomstitels en diploma’s tot medische voorschriften. Het zal onze privacy onder druk zetten, want het is niet geheel duidelijk of we zelf mogen bepalen wie wat te zien krijgt. Het risico bestaat dat gegevens zullen terechtkomen waar dat niet de bedoeling is. Het zou zo maar kunnen dat medische gegevens zichtbaar worden voor het restaurant waar je met de eID hebt gereserveerd. Met de invoering van de Europese Identity Wallet kunnen er nog meer verregaande voorwaarden worden opgelegd voor de toegang tot bepaalde diensten. De vergelijking met de Chinese controlemaatschappij is dan niet veraf.

Controlesysteem

De Europese Digitale Identiteit zet de deur wagenwijd open voor een controlesysteem. Tijdens de covidpandemie werd onze vaccinatiestatus nagegaan en mochten we niet binnen in een restaurant zonder een Covid Safe Ticket (CST). Met de invoering van de Europese Identity Wallet kunnen er nog meer verregaande voorwaarden worden opgelegd voor de toegang tot bepaalde diensten. De vergelijking met de Chinese controlemaatschappij is dan niet veraf.

Aanvankelijk zal de Europese e-ID worden ingevoerd op vrijwillige basis, maar gaandeweg zal het een noodzakelijke toegangsvoorwaarde worden voor steeds meer overheidsdiensten, en op termijn ook voor allerlei commerciële online platformen en sociale media. Een op de twee personen is zogenaamd ‘digitaal kwetsbaar’. Ze hebben geen toegang tot digitale platformen en diensten omdat ze de middelen hiertoe niet hebben, of zelfs niet deel wensen te nemen aan de steeds verder doorgedreven digitalisering. Met deze mensen zal uiteindelijk geen rekening gehouden worden.

Debat

Het is opmerkelijk dat er geen enkel debat plaatsvindt over de Europese digitale identiteit. Niet in het Europees en niet in het federaal parlement. Nochtans zou men na de controverse over het Covid Safe Ticket toch een stevig debat mogen verwachten. In de Nederlandse Tweede Kamer is er wel enige commotie geweest. Tegen de wil van de Kamerleden heeft de bevoegde Staatssecretaris ingestemd met de Europese wet voor de bouw van een Europese Digitale Identiteit.

De meerderheid van de leden van de Nederlandse Tweede Kamer was nochtans van oordeel dat uit veiligheidsoverwegingen verzamelde persoonsgegevens niet op één centrale plek mogen worden beheerd, dat deze data niet verhandeld mogen worden en dat er moet worden voorkomen dat een Europese eID verplicht wordt gesteld. De Nederlandse Staatssecretaris heeft hun protest naast zich neergelegd.

Kwaadaardige software

Het is zeer de vraag welke procedures de veiligheid van deze app gaan garanderen. Onze overheden hebben alvast geen goede reputatie wat betreft de beveiliging van gegevens. De afgelopen maanden kreeg het ene na het andere lokale bestuur te maken met hacking van hun digitale systemen. Met kwaadaardige software werden de kwetsbaarheden in de datasystemen van verschillende lokale overheden opgespoord en uitgebuit.

Telkens kwam de publieke dienstverlening in het gedrang en werden zowel het mailverkeer als de afspraak- en reservatiesystemen voor diverse diensten onderbroken. Zowel aan de fysieke als aan de online loketten was er nauwelijks dienstverlening mogelijk. Vele malen erger was dat de persoonlijke gegevens niet werden beschermd. Gevoelige documenten en persoonlijke data werden door de hackers te grabbel gegooid op het internet. Gegevens, waarvan we dachten dat ze in veilige handen waren bij de overheidsdiensten, bleken nauwelijks of niet beveiligd. De datalekken hebben de privacy aangetast van alle betrokkenen burgers.

Nog meer problemen

In november vorig jaar waren er ook problemen met de nieuwe authentificatiesleutel van de overheid, myID.be. Die app moet de concurrentie aangaan met ItsMe. Het heeft welgeteld twee dagen geduurd voor de app offline moest worden gehaald wegens veiligheidsproblemen. MyID.be zou opnieuw gelanceerd worden in de loop van dit jaar. In februari waren er problemen met enkele overheidstoepassingen. Een aantal websites was moeilijk of niet bereikbaar en ook de identificatie via de ‘Federal Authentification Service’ (FAS), dat de toegang tot de beveiligde toepassingen regelt, werkte niet naar behoren. Deze incidenten scheppen uiteraard geen vertrouwen. Bij onvoldoende weerbaarheid vormen overheidsorganisaties een gemakkelijke prooi voor ongewenste inmenging

Eigenlijk gaat de digitalisering gewoon te snel. Niet iedereen is klaar voor een doorgedreven digitale transformatie en de cyberaanvallen op overheidsdiensten, ziekenhuizen en andere organisaties vergroten het wantrouwen. Er heerst veel onduidelijkheid over digitale toepassingen zoals AI, blockchain, metaverse, cryptomunten, NFT’s, enzovoort. Niet enkel bij ouderen, ook bij jongeren.

Het gebrek aan digitale vaardigheden maakt hen vatbaar voor phishing en online oplichting. De concentratie aan gegevens in de Europese ‘Digital Wallet’ zal hen des te kwetsbaarder maken. De risico’s bij een mogelijke datalek zijn niet te overzien. Een goede databeschermingsstrategie is dan ook van essentieel belang. Het blijft bang afwachten of het beveiligingssysteem waterdicht zal zijn. We moeten ons ook afvragen of hier wel nood aan is en of er met een staatsschuld van 522 miljard, een begrotingstekort van 27 miljard en steeds meer mensen die hun rekeningen niet meer kunnen betalen, geen belangrijkere zaken zijn. Zo’n systeem zal sowieso een aanzienlijk kostenplaatje dragen. We weten allemaal wie dat weer zal mogen betalen.