In haar meest recente ambitieuze digitale beleidsaankondiging heeft de Europese Unie voorgesteld om een kader te creëren voor een “vertrouwde en veilige Europese e-ID” (ook wel digitale identiteit genoemd) – waarvan ze vandaag zei dat ze beschikbaar wil zijn voor alle burgers, inwoners en bedrijven om het gemakkelijker maken om een nationale digitale identiteit te gebruiken om te bewijzen wie ze zijn om toegang te krijgen tot overheidsdiensten of commerciële diensten, ongeacht waar ze zich in het blok bevinden.
De EU heeft al een verordening over elektronische authenticatiesystemen (eIDAS), die in 2014 in werking is getreden, maar het is de bedoeling van de commissie met het e-ID-voorstel om die uit te breiden door een aantal van de beperkingen en tekortkomingen aan te pakken (zoals de slechte acceptatie van en een gebrek aan mobiele ondersteuning).
Digitale portemonnee mogelijkheden
Het wil ook dat het e-ID-framework digitale portefeuilles omvat – wat betekent dat de gebruiker ervoor kan kiezen om een portemonnee-app te downloaden naar een mobiel apparaat waar ze elektronische documenten kunnen opslaan en selectief kunnen delen die nodig kunnen zijn voor een specifieke identiteitsverificatietransactie, bijvoorbeeld bij het openen van een bankrekening of het aanvragen van een lening. Andere functies (zoals e-signing) worden ook door deze digitale e-ID-portefeuilles ondersteund.
Andere voorbeelden die de commissie geeft waar zij een geharmoniseerde e-ID van pas ziet komen, zijn onder meer het huren van een auto of inchecken in een hotel. EU-wetgevers suggereren ook dat volledige interoperabiliteit voor authenticatie van nationale digitale ID’s nuttig kan zijn voor burgers die een lokale belastingaangifte moeten indienen of zich moeten inschrijven bij een regionale universiteit.
Sommige lidstaten bieden al nationale elektronische identiteitsbewijzen aan, maar er is een probleem met de interoperabiliteit over de grenzen heen, aldus de commissie, die vandaag opmerkte dat slechts 14% van de belangrijkste openbare dienstverleners in alle lidstaten grensoverschrijdende authenticatie met een e-identiteitssysteem toestaat, hoewel het ook zei dat grensoverschrijdende authenticaties toenemen.
Universele identificatie
Een universeel geaccepteerde “e-ID” zou – in theorie – kunnen helpen de digitale activiteit in de hele interne markt van de EU te smeren door het voor Europeanen gemakkelijker te maken om hun identiteit te verifiëren en toegang te krijgen tot commerciële of openbare diensten wanneer ze reizen of buiten hun thuismarkt wonen.
EU-wetgevers lijken ook te geloven dat er een mogelijkheid is om hier een strategisch stukje van de digitale puzzel te “bezitten”, als ze een verenigend kader kunnen creëren voor alle Europese nationale digitale ID’s – en consumenten niet alleen een handiger alternatief bieden voor het meenemen van een fysieke versie van hun nationale identiteitsbewijs (althans in sommige situaties), en/of andere documenten die ze mogelijk moeten tonen bij het aanvragen van toegang tot specifieke diensten, maar wat de commissarissen vandaag als een “Europese keuze” hebben gefactureerd — dat wil zeggen, versus commerciële digitale identiteitssystemen die mogelijk bieden niet dezelfde hoge belofte van een “vertrouwd en veilig” ID-systeem waarmee de gebruiker volledig kan bepalen wie welke delen van zijn gegevens te zien krijgt.
Een aantal technische giganten bieden gebruikers natuurlijk al de mogelijkheid om zich met dezelfde inloggegevens aan te melden bij digitale services van derden om toegang te krijgen tot hun eigen service. Maar in de meeste gevallen betekent dit dat de gebruiker een nieuw kanaal opent om zijn persoonlijke gegevens terug te laten stromen naar de dataminingplatformgigant die de referenties beheert, waardoor Facebook (enz.) verder kan uitwerken wat het weet over de internetactiviteit van die gebruiker .
Europese digitale portemonnee
“De nieuwe Europese digitale identiteitsportefeuilles zullen alle Europeanen in staat stellen om online toegang te krijgen tot diensten zonder gebruik te hoeven maken van privé-identificatiemethoden of onnodig persoonlijke gegevens te delen. Met deze oplossing hebben ze volledige controle over de gegevens die ze delen”, is de alternatieve visie van de commissie op het voorgestelde e-ID-raamwerk.
Het suggereert ook dat het systeem een aanzienlijk voordeel kan opleveren voor Europese bedrijven – door hen te ondersteunen bij het aanbieden van “een breed scala aan nieuwe diensten” bovenop de bijbehorende belofte van een “veilige en vertrouwde identificatieservice”. En het stimuleren van het vertrouwen van het publiek in digitale diensten is een belangrijk onderdeel van de manier waarop de commissie digitale beleidsvorming benadert – met het argument dat het een essentiële hefboom is om de acceptatie van online diensten te vergroten.
Maar om te zeggen dat dit e-ID-schema “ambitieus” is, is een beleefd woord voor hoe levensvatbaar het eruit ziet.
Afgezien van de lastige kwestie van adoptie (dwz Europeanen daadwerkelijk (A) kennis laten maken met e-ID, en (B) het daadwerkelijk gebruiken, door ook (C) voldoende platforms te krijgen om het te ondersteunen, evenals (D) providers aan boord om de nodige portefeuilles te creëren zodat de beoogde functionaliteit kan uitpakken en zo robuust beveiligd is als beloofd), zullen ze ook – vermoedelijk – webbrowsers (E) moeten overtuigen en/of dwingen om e-ID te integreren, zodat het op een gestroomlijnde manier te benaderen).
Het alternatief (niet ingebakken in de gebruikersinterface van browsers) zou de andere adoptiestappen zeker lastiger maken.
Het persbericht van de commissie is echter vrij dun over dergelijke details, maar zegt alleen dat: “Er zullen zeer grote platforms worden vereist om het gebruik vanEuropean Digital Identity wallets op verzoek van de gebruiker.”
Desalniettemin wordt een heel deel van het voorstel gewijd aan de bespreking van “Gekwalificeerde certificaten voor website-authenticatie” – een betrouwbare dienstverlening, die ook de aanpak van eIDAS uitbreidt, waarvan de commissie graag wil dat e-ID wordt geïntegreerd om het gebruikersvertrouwen verder vergroten door een gecertificeerde garantie te bieden van wie er achter een website zit (hoewel het voorstel zegt dat websites vrijwillig worden gecertificeerd).
Certificaat ondersteuning
Het resultaat van dit onderdeel van het voorstel is dat webbrowsers deze certificaten zouden moeten ondersteunen en weergeven om het beoogde vertrouwen te laten stromen – wat neerkomt op heel wat zeer genuanceerd webinfrastructuurwerk dat door derden moest worden gedaan om samenwerken met deze EU-vereiste. (Werk waar browsermakers al ernstige bedenkingen over lijken te hebben geuit.)
“Deze verordening kan webbrowsers dwingen om aanvullende soorten ‘vertrouwenscertificaten’ te accepteren”, zei veiligheids- en privacyonderzoeker Dr. Lukasz Olejnik, terwijl hij het voorstel van de commissie met TechCrunch besprak.
“Dit gaat gepaard met een vereiste voor webbrowsers om dergelijke certificaten te respecteren en de gebruikersinterfaces van de webbrowser te wijzigen om dit op de een of andere manier weer te geven. Het valt te betwijfelen of zoiets het vertrouwen daadwerkelijk verbetert. Als dit een mechanisme was om ‘nepnieuws’ te bestrijden, zou het een omslachtig mechanisme zijn. Aan de andere kant hebben we hier een extra precedent wanneer verkopers van webbrowsers hun beveiligings- en privacymodellen moeten aanpassen.”
Webbrowsers worden gedwongen/gedwongen om authenticatiecertificaten te accepteren. Dit is om het bewijs van de identiteit van de websitebeheerder te garanderen. Welke normen moeten hier worden gebruikt? Zullen webbrowsers het implementeren? Theorie examen CBR oefenen is mogelijk online.
Digitaal opslaan van gebruikeersgegevens
Een ander groot vraagteken dat wordt opgeroepen door het e-ID-plan van de commissie, is hoe de beoogde gecertificeerde digitale identiteitsportefeuilles precies gebruikersgegevens zouden opslaan en vooral beschermen. Dat moet nog worden bepaald, in dit ontluikende stadium.
In de overwegingen van de verordening wordt bijvoorbeeld gesproken over lidstaten die worden aangemoedigd om “gezamenlijk sandboxen op te zetten om innovatieve oplossingen te testen in een gecontroleerde en beveiligde omgeving, met name om de functionaliteit, bescherming van persoonsgegevens, beveiliging en interoperabiliteit van de oplossingen en om toekomstige updates van technische referenties en wettelijke vereisten te informeren.”
En het lijkt erop dat er een reeks benaderingen wordt overwogen, waarbij in overweging 11 wordt gesproken over het gebruik van biometrische authenticatie voor toegang tot digitale portemonnees (terwijl ook wordt gewezen op mogelijke rechtenrisico’s en de noodzaak om voor voldoende beveiliging te zorgen):
Beveiliging Europees digitaal identiteit
Europes-e digitale identiteitsportefeuilles moeten het hoogste beveiligingsniveau waarborgen voor de persoonsgegevens die voor authenticatie worden gebruikt, ongeacht of dergelijke gegevens lokaal of op cloudgebaseerde oplossingen zijn opgeslagen, rekening houdend met de verschillende risiconiveaus. Het gebruik van biometrische gegevens voor authenticatie is een van de identificatiemethoden die een hoge mate van vertrouwen biedt, met name wanneer deze wordt gebruikt in combinatie met andere authenticatie-elementen. Aangezien biometrische gegevens een uniek kenmerk van een persoon zijn, vereist het gebruik van biometrische gegevens organisatorische en beveiligingsmaatregelen, in verhouding tot het risico dat een dergelijke verwerking met zich mee kan brengen voor de rechten en vrijheden van natuurlijke personen en in overeenstemming met Verordening 2016/679.
Kortom, het is duidelijk dat het grote, enorme idee van de commissie van een verenigde (en verenigende) Europese e-ID een complexe massa vereisten is die nodig zijn om de visie van een veilige en vertrouwde Europese digitale ID waar te maken die niet alleen wegkwijnen genegeerd en ongebruikt door de meeste internetgebruikers – sommige zeer technische vereisten, andere (zoals het bereiken van de wijdverbreide acceptatie) niet minder uitdagend.
De belemmeringen voor succes hier zien er zeker ontmoedigend uit.
Snelle aanpak digitale diensten
Desalniettemin gaan wetgevers door met het argument dat de versnelling van de adoptie van digitale diensten door de pandemie heeft aangetoond dat het dringend nodig is om de tekortkomingen van eIDAS aan te pakken – en het doel van “effectieve en gebruiksvriendelijke digitale diensten in de hele EU” te verwezenlijken.
Naast het regelgevingsvoorstel van vandaag hebben ze een aanbeveling gedaan waarin de lidstaten worden uitgenodigd om “tegen september 2022 een gemeenschappelijke toolbox op te stellen en onmiddellijk met de nodige voorbereidende werkzaamheden te beginnen” – met als doel de overeengekomen toolbox in oktober 2022 te publiceren en proefprojecten te starten ( op basis van het overeengekomen technische kader) enige tijd daarna. De waarschuwingslampjes auto zijn van belang.
“Deze toolbox moet de technische architectuur, normen en richtlijnen voor best practices bevatten”, voegt de commissie eraan toe, waarbij de grote blikken wormen die stevig worden opengebroken, worden vermeden.
Toch illustreert het vastgelegde tijdschema voor massale adoptie – van ongeveer tien jaar – de omvang van de uitdaging beter, aangezien de commissie schrijft dat ze wil dat 80% van de burgers tegen 2030 een e-ID-oplossing gebruikt.
Het nog langere spel dat het blok speelt, is proberen digitale soevereiniteit te bereiken, dushet is niet verplicht voor technische giganten in buitenlandse handen. En een ‘eigen merk’, een autonoom opererende Europese digitale identiteit past zeker bij dat strategische doel.