Bescherming van digitale identiteit en privacy

Afgelopen week was onze staatsecretaris voor digitalisering, Alexandra van Huffelen, in Brussel voor overleg over de voortgang van eIDAS en AI.  Belangrijke privacy-gerelateerde zaken op de agenda van de EU. De eIDAS-verordening houdt in dat overheidsorganisaties in EER-landen mensen wederzijds – op basis van hun digitale identiteit eID – toegang kunnen geven tot hun online diensten. Wat betreft AI heeft de EU intussen een eerste wettelijk kader voorgesteld, dat de risico’s van AI aanpakt en net als de GDPR een leidende rol in de wereld zou kunnen spelen. Voor beide zaken is gebruik van open source belangrijk. Immers als ‘open overheid’ moet je de broncode van al je publieke applicaties – in principe – open stellen. Een overheid heeft – ook digitaal – voor zijn burgers immers geen geheimen.  

Centraal of nationaal: beide

De EU zijn samenwerkende landen die elk voor zich hun eigen rechtsstaat onderhouden, passend binnen die gezamenlijke afspraken. Daarom is de discussie over individuele nationale digitale identiteiten of één gemeenschappelijke Europesche identiteit een belangrijke. Het standpunt van Nederland is dat er geen Europees Burgerservice nummer komt, omdat de Nationale landen dat zelf reeds hebben georganiseerd. Daarom is het belangrijk dat het gebruik van een gemeenschappelijke, op eIDAS gebaseerde wallet én vrijwillig blijft én interoperabel wordt met alle nationale digitale identiteitssystemen, zoals ons eigen DigID. 

In het kader van die individuele gezamenlijkheid is de ‘Interoperable Europe Act’ de aanzet die interoperabiliteit voor de publieke sector. Een coöperatief beleid om de nationale digitale overheidsdiensten voor alle Europese burgers binnen handbereik te brengen. Digitale versnippering voorkomen bij het vrije verkeer van de interne markt is essentieel op het gebied van goederen, kapitaal, diensten en personen tussen de 28 lidstaten. Het staat mensen vrij om in alle EU-lidstaten te werken en te verhuizen en bedrijven kunnen vrij handelen en opereren. Daarbij moeten ze als digitale burgers ook elektronisch kunnen communiceren met alle overheidsdiensten van de verschillende lidstaten.

Augmented Intelligence

De Commissie stelt een wettelijk kader voor AI voor dat de risico’s aanpakt en Europa positioneert om wereldwijd een leidende rol te spelen. Het vraagstuk van het gebruik van kunstmatige intelligentie door een overheid heeft – door de toeslagenaffaire – al eerder tot kritische vragen over het publiek gebruik van kunstmatige intelligentie geleid. In plaats van ‘kunstmatig’ zou de tegenwoordige opkomende benaming van ‘Augmented Intelligence’ zelfs beter zijn: toegevoegde intelligentie als ondersteuning voor onze hersenen. Een hulpmiddel in plaats van een zelfstandig beslissend systeem, net zoals microscoop of telescoop voor ons oog. Een hulpmiddel dat onze eigen begrensde menselijke intelligentie vergroot. 

De EU AI act is die voorgestelde Europese wet op kunstmatige intelligentie. De wet moet ervoor zorgen dat AI-systemen die in de Unie in de handel worden gebruikt, veilig zijn en de bestaande wetgeving inzake grondrechten en waarden van de Unie respecteren. Daarnaast zorgen voor rechtszekerheid voor investeringen en innovatie in AI en effectieve handhaving van de bestaande wetgeving op fundamentele rechten en veiligheidseisen. Tenslotte ook het vergemakkelijken van de ontwikkeling van een interne markt voor legale, veilige en betrouwbare AI-toepassingen. Net als GDPR zou de EU AI Act (EAA) wel eens een wereldwijde norm kunnen worden, die bepaalt in hoeverre AI een positief in plaats van negatief effect heeft op ieders leven, waar iemand ook is.

Digitale identiteit en wallet

Eerder heb ik in blogs onder het kopje ‘zelf beheerde identiteit’ al geschreven over de ontwikkeling van digitale soevereine identiteiten. In het zelf-soevereine identiteitsmodel (SSI) is de gebruiker zelf de beheerder van zijn identiteit en heeft controle over al zijn identiteitsgegevens en informatie. In tegenstelling tot centrale of federatieve modellen vereist de SSI-benadering geen extra entiteit voor het beheren van die identiteit, de zogenaamde man-in-the-middle. De rol van identiteitsproviders is beperkt tot ‘identiteitsverstrekker’. Zodra een identiteit is geregistreerd en bevestigd, beheer je die identiteit in een eigen digitale repository; bijvoorbeeld als wallet op je mobiele telefoon. Een wallet waarin je zelf je identiteit en inloggegevens bewaart. Zelf beslist wanneer, aan wie en in welke vorm je ze aan anderen presenteert zonder beroep te (hoeven) doen op derde partijen. 

Daarom is het goed dat op Europees niveau wordt nagedacht aan welke eisen zo’n wallet moet voldoen om de eerder genoemde interoperabiliteit binnen de EER te garanderen. Ook hier weer is het openbaar maken van de broncode van een eID wallet een belangrijk uitgangspunt. Naast het punt dat het gebruik van zo’n wallet altijd vrijwillig blijft. Geen toestanden zoals in China waar de overheid een digitale identiteit verplicht stelt en daardoor in feite ‘eigenaar’ wordt van jouw identiteit. Digitale producten zijn veel makkelijker manipuleerbaar dan fysieke producten. China denkt zelfs aan een digitale Yuan die binnen een bepaalde periode moet zijn ‘gebruikt’ en anders vervalt. Op die manier wordt naast identiteit zelfs het leven eigendom van de overheid. Een situatie waar we heel ver van weg moeten blijven . . .  

eID wallet

In juli 2022 heeft de EU een tender uitgeschreven om de diensten en infrastructuur voor de Europese toepassing van dit soort wallets te ontwikkelen. Het contract omvat ontwikkelingswerk voor een voorbeeldportemonnee, ondersteunende software voor het ecosysteem en ondersteuning bij de implementatie aan lidstaten. Het idee is een prototype-portemonnee ontwikkelen die hun nationale digitale identiteit kan koppelen aan bewijs van andere persoonlijke kenmerken (bijvoorbeeld rijbewijs, diploma’s, bankrekening). Deze portemonnees kunnen worden verstrekt door overheidsinstanties of door particuliere entiteiten, op voorwaarde dat ze door een lidstaat worden erkend.

De nieuwe Europese digitale identiteitsportefeuilles zullen alle Europeanen in staat stellen om online toegang te krijgen tot diensten zonder gebruik te hoeven maken van privé-identificatie-methoden of onnodig persoonlijke gegevens te delen. Met deze oplossing hebben ze volledige controle over de gegevens die ze delen.  Elke EU-burger, ingezetene en elk bedrijf in de Unie kan gebruik maken van deze digitale identiteit. De identiteitsportefeuilles – wallets – stellen mensen in staat te kiezen welke aspecten van hun identiteit, gegevens en certificaten ze delen met derden, en dit ‘delen’ zelf te administreren en bij te houden. Gebruikerscontrole zorgt ervoor dat slechts die informatie digitaal kan worden gedeeld, die iemand zelf ook wil delen.

Architectuur en best practices

De komende maanden start de ontwikkeling eID. Er wordt een toolbox ontwikkeld die de technische architectuur, standaarden en richtlijnen voor de ‘best practice’ moet gaan bevatten. Door de broncode open te houden, kan elk bedrijf zijn eigen commerciële wallet koppelen op deze EU standaard en ondersteunt daarmee de digitale transitie en integratie. Biometrische authenticatie speelt een cruciale rol in die digitale wallet. Gebruikers krijgen toegang tot hun mobiele ID’s door een biometrische scan op hun telefoon uit te voeren zoals een vingerafdruk, gezichts- of irisscan. Daarnaast zijn maatregelen gepland om die digitale gebruikersgegevens strikt te beschermen en te borgen. Het gaat immers om onze – toekomstige – digitale identiteit en veiligheid en daar kun je niet voorzichtig en zuiver genoeg mee zijn. 

Photo by Tech Daily on Unsplash