Waarom een Europese digitale identiteit simpel moet blijven

De Europese Commissie heeft ambitieuze plannen voor een Europese digitale identiteit, maar in vergelijking met het papieren paspoort is het zogeheten eID voor de burger een ongrijpbare black box. In de serie ‘Democratie onder Druk’ biedt de Clingendael Spectator een overzicht van de belangrijkste gevaren waarmee onze democratie wordt geconfronteerd. In deze vijfde aflevering waarschuwt onderzoeker Jaap-Henk Hoepman voor de complexiteit van de voorstellen, en de afhankelijkheid van Google en Apple voor een essentieel onderdeel van onze democratische rechtsorde: het vaststellen van onze identiteit.

Voor het kopen van een huis, het doorgeven van een verhuizing, het openen van een bankrekening, het vliegen naar het buitenland of om te stemmen of je kandidaat te stellen moeten we ons identificeren. Dat kan door middel van een door onze overheid uitgegeven paspoort, identiteitskaart of rijbewijs.

Het hebben van een identiteit is dus essentieel; zonder identiteit ben je geen burger. Daarmee vormt het betrouwbaar uitgeven en vast (kunnen) stellen van identiteit één van de fundamenten onder onze democratische rechtsorde.

Het wordt steeds belangrijker dat we ons ook online kunnen identificeren

Steeds meer dienstverlening vindt online plaats, zo ook voor overheidsdiensten. Het wordt dus steeds belangrijker dat we ons ook online kunnen identificeren. Dit kan met behulp van een elektronisch identiteitsbewijs, kort gezegd een eID.

In Nederland is dit DigiD. In essentie doet DigiD maar één ding: de identiteit van een online bezoeker verifiëren en vervolgens het Burger Service Nummer (BSN) van de bezoeker doorgeven als identiteit. Precies om die reden kan en mag DigiD alleen voor publieke onlinediensten gebruikt worden.

Ieder land heeft een eigen eID – gebaseerd op eigen standaarden – en daarmee is het grensoverschrijdend gebruik van nationale systemen zoals DigiD niet zomaar mogelijk. Dit bemoeilijkt de online toegang tot buitenlandse (overheids)diensten.

In 2014 trad daarom de zogenaamde eIDAS-verordening in werking.1  eIDAS staat voor ‘electronic Identification, Authentication and Trust Services’ en reguleert het gebruik van elektronische2  identificatie en (andere elektronische) vertrouwensdiensten, zoals het aanmaken of controleren van elektronische handtekeningen of certificaten. In de eIDAS-verordening zijn de voorwaarden vastgelegd waaronder lidstaten wederzijds elektronische identificatiemiddelen moeten erkennen. De bedoeling is dat een Nederlands staatsburger zijn of haar DigiD ook in het buitenland kan gebruiken om zich te identificeren.

Naar een Europese elektronische identiteit
In juni 2021 publiceerde de Europese Commissie een voorstel voor aanpassing van de eIDAS-verordening.3  De Commissie zag zich hiertoe genoodzaakt om een aantal redenen.4  De implementatie van de bestaande verordening liet allereerst te wensen over en leidde slechts beperkt tot grensoverschrijdend gebruik van nationale eID-middelen. Je kunt met je DigiD bijvoorbeeld maar beperkt in het buitenland terecht.

Daarnaast heeft de technologie zich snel verder ontwikkeld. Zo is Apple bijvoorbeeld al bezig met het uitgeven van officiële Amerikaanse rij- en identiteitsbewijzen via de Wallet-app op de iPhone.5  Dat laatste ziet de Commissie – terecht – als een serieuze bedreiging van haar soevereiniteit.

De invoering van het Europese coronapaspoort heeft het proces naar een Europees stelsel voor elektronische identificatie verder versneld

Een goed werkend en breed gedragen Europees stelsel voor een elektronische identiteit is bovendien een essentieel onderdeel van de Europese digitale strategie. Het is een noodzakelijke schakel om Europese burgers gemakkelijk, veilig en betrouwbaar toegang te geven tot onlinediensten. De invoering van het Europese coronapaspoort heeft het proces naar een Europees stelsel voor elektronische identificatie verder versneld. Het is namelijk een perfect voorbeeld van een toepassing die veel sneller te realiseren was geweest als Europa al een werkend eID-systeem had gehad.

Wat betreft elektronische identificatie is de Commissie ambitieus. Zij creëert met het voorstel eigenlijk een Europese eID; weliswaar nog steeds op basis van door de lidstaten zelf gedefinieerde en uitgegeven nationale elektronische identificatiemiddelen, maar die wel aan de in de verordening gestelde eisen moeten voldoen.

De Commissie kiest hierbij voor een fundamenteel andere benadering dan bij de verordening van 2014: een vlucht vooruit. De kern van het voorstel is een portemonnee (ofwel, volgens de meer gebruikelijke Engelstalige term, een wallet) voor digitale identiteit die draait op een smartphone of tablet. Een app dus.

Wat betreft elektronische identificatie is de Commissie ambitieus

Deze portemonnee ontsluit niet alleen de puur juridische identiteit (zoals het BSN) van een persoon, maar kan daarnaast ook allerlei andere attributen met betrekking tot diens identiteit bevatten – denk aan leeftijd, adres, type rijbewijs, diploma’s, allergieën, vaccinatiestatus, et cetera. Ook bevat deze app de ‘elektronische attestering’ van deze attributen; met andere woorden, de door de uitgevende instantie ondertekende documenten waaruit de geldigheid van deze attributen volgt. Belangrijk om te vermelden is dat het voorstel van de Commissie niet voorschrijft hoe – in technische zin – zo’n portemonnee moet worden gerealiseerd.6

Bescherming van fundamentele waarden?
Het doel van de verordening, dat de Europese Commissie expliciet benoemt, is het beschermen van de fundamentele rechten van de Europese burgers. Het idee is dat een eID als app op een smartphone de burger meer inzicht en controle geeft over het gebruik van zijn digitale identiteit.

De expliciete keuze om juist ook attributen – en dus niet alleen identificatienummers – op te nemen, is bedoeld om de privacy te beschermen. Met behulp van een leeftijdsattribuut kun je aantonen dat je ouder bent dan achttien zonder je volledig te hoeven identificeren. In hoeverre privacy hiermee daadwerkelijk beschermd wordt, hangt echter nogal af van de daadwerkelijk gekozen technische inrichting (die, zoals gezegd, (nog) niet door de Commissie is vastgelegd).7

Belangrijker nog is het risico van overidentificatie en onderrepresentatie.8

Overidentificatie beschrijft het risico dat dienstverleners meer persoonsgegevens kunnen verzamelen op het moment dat een Europese eID een groot aantal verschillende attributen bevat dat gemakkelijk langs elektronische weg kan worden opgevraagd bij ieder klantcontact. Denk bijvoorbeeld aan online dienstverleners die adresgegevens of telefoonnummers opvragen zonder dat deze gegevens voor het aanbieden van de dienst noodzakelijk zijn. Dit risico is zeker aanwezig gezien de schaal en het gebruikersgemak van de voorziene eID-infrastructuur, en het expliciete doel van de Commissie om het gebruik van een eID te stimuleren.

Het is in dit perspectief zorgelijk dat de Commissie grote online platformen als Facebook en Google zelfs wil verplichten om de Europese eID te accepteren. Je zou immers eigenlijk verwachten dat de Commissie haar burgers wil beschermen tegen ongewenste dataverzameling door deze online platformen. Extra zorgelijk is daarbij dat eID-attributen gevalideerd moeten zijn, en dat het voor burgers dus moeilijker wordt om bepaalde verzoeken om informatie – zoals onnodige e-mailadressen of telefoonnummers – te omzeilen door met opzet een ongeldig adres of nummer in te voeren.

Overidentificatie is ook een risico in andere contexten, zoals het al eerdergenoemde coronapaspoort als mogelijke toepassing van een Europese eID duidelijk maakt. Informatie over iemands gezondheid kan zomaar als toegangscriterium worden opgelegd (en strikt afgedwongen) voor een bezoek aan een restaurant of theater. Een ander mogelijk voorbeeld zou het controleren van iemands financiële situatie kunnen zijn bij het binnengaan van het casino, of bij het doen van grote online-aankopen.

Het punt is hierbij niet of gezien de crisissituatie een coronapaspoort al dan niet de goede maatregel was. Het gaat er meer om dat het met een Europees eID veel makkelijker wordt om een dergelijke invasieve maatregel snel – en wellicht zonder de nodige politieke deliberatie – in te voeren, wat de barrière om dat te doen lager maakt en daarmee het risico op function creep vergroot.9

Vergeleken met een papieren paspoort is een eID voor de burger een ongrijpbare en onbegrijpbare black box

Een tweede gevaar waarmee rekening dient te worden gehouden bij de invoering van een Europese eID is onderrepresentatie. Deze term beschrijft het risico dat ergens bepaald wordt welke attributen er zijn en dat de betekenis van zo’n attribuut strikt vastgelegd moet worden om begripsverwarring te voorkomen, maar dat daarmee sommige mensen ongewenst in bepaalde hokjes geduwd worden. De vraag is dan: wie bepaalt dat?

Het maakt bijvoorbeeld nogal uit welke waarde een geslachtsattribuut kan hebben, en of überhaupt een vorm van afkomst als attribuut geregistreerd wordt.10  Dergelijke politieke beslissingen dreigen nu gedelegeerd te worden naar de opstellers van de uiteindelijke technische standaarden. Dit betekent dat die beslissingen niet meer op basis van een openbaar debat genomen worden en tegenstrijdige belangen wellicht niet afdoende tegen elkaar worden afgewogen.

De infrastructurele dimensie
De Europese eID bestaat uit verschillende nationale eID-systemen, basisadministraties, systemen van uitgevers van attributen, systemen van dienstaanbieders die hun gebruikers identificeren en smartphones waarop de portemonnee voor digitale identiteit draait (inclusief achterliggende infrastructuur van voornamelijk Apple en Google). Deze zogeheten ‘computationele infrastructuur’ is wezenlijk anders dan de traditionele, fysieke, op papieren documenten gebaseerde identificatie-infrastructuur.11

Vergeleken met een papieren paspoort is een eID voor de burger een ongrijpbare en onbegrijpbare black box. Een eID is afhankelijk van de correcte werking van alle componenten; eenmaal uitgegeven ‘werkt’ een paspoort daarentegen altijd.

De programeerbaarheid van de computationele infrastructuur maakt dat de werking naderhand aan te passen en uit te breiden is, en makkelijk opgeschaald kan worden naar veel grotere groepen gebruikers of andere toepassingen (zie overidentificatie en function creep). Dit is fundamenteel verschillend van een papieren paspoort. Deze is bijvoorbeeld niet zomaar te gebruiken als een coronapas: de daarvoor noodzakelijke extra informatie is niet naderhand toe te voegen aan het paspoort zelf.

Aan de andere kant zorgen initiële ontwerpkeuzen ervoor dat bepaalde normen (wat is identiteit) ingebakken zitten in de infrastructuur. Deze normen zijn vaak het gevolg van puur technologische keuzes en vooronderstellingen, die amper ter discussie worden gesteld (zie de voorgaande discussie aangaande onderrepresentatie). Ontwerpkeuzes bepalen ook hoe groot het risico van overidentificatie is; controleert de eID bijvoorbeeld de redelijkheid van een verzoek om gegevens door een dienstaanbieder of krijgt de burger duidelijk te zien welke gegevens worden opgevraagd, en waarom?

Omdat de Europese Commissie eID’s alom toegankelijk wil maken, zal ze bij ontwerpkeuzes voor een groot deel afhankelijk zijn van de ondersteuning van Google en Apple

Ontwerpkeuzes zijn dus van enorm belang. Maar omdat de Europese Commissie eID’s alom toegankelijk wil maken, zal ze bij ontwerpkeuzes voor een groot deel afhankelijk zijn van de ondersteuning van Google en Apple. Zij beheren tenslotte de hardware en software van het gros van mobiele apparaten dat door Europese burgers wordt gebruikt.

Deze afhankelijkheid van het smartphoneplatform van Google en Apple is niet enkel een theoretisch probleem. Dit bleek bijvoorbeeld al eerder bij de invoering van de coronamelder-app: Apple was niet van zins om dergelijke apps ook in slaapstand toegang te geven tot de Bluetooth-interface, wat de coronamelder nutteloos zou hebben gemaakt. In plaats daarvan introduceerden Google en Apple een eigen standaard voor ‘exposure notification’ (GAEN)12 , waar coronamelder-apps verplicht gebruik van moesten maken.13

Deze standaard bood bewust een beperkte functionaliteit aan (volgens de bedrijven om de privacy te beschermen), maar perkte daarmee ook drastisch de mogelijkheden van nationale overheden en gezondheidsautoriteiten in om zelf te bepalen op welke manier deze gezondheidscrisis bestreden moest worden (en welke informatie hiervoor wel of juist niet gebruikt zou kunnen worden).

De noodzaak van elektronische identiteiten
De noodzaak van elektronische identiteiten is in deze steeds verder digitaliserende wereld evident. Dat Europa hierin haar eigen kaders wil stellen – voordat Apple en Google dat voor ons doen – is lovenswaardig. Dat hierbij nadrukkelijk ook de bescherming van fundamentele waarden aan ten grondslag ligt, is toe te juichen.

Maar toch.

De huidige voorstellen zijn daarin niet strikt genoeg en laten te veel over aan latere uitvoeringshandelingen. De complexiteit (zo valt ook een groot aantal vertrouwensdiensten14  onder de voorstellen) en brede toepassing (naast publiek overheidsgebruik is nadrukkelijk ook privaat bedrijfsgebruik voorzien) creëren risico’s.

Ook andere belangrijke onderwerpen die in dit stuk niet aan bod zijn gekomen, zoals het risico van uitsluiting of het beschikbaarheidsrisico dat kleeft aan het verlenen van toegang aan een groot aantal verschillende diensten op basis van één eID, verdienen meer aandacht. Bovendien zijn de langetermijngevolgen en de infrastructurele dimensies niet voldoende doordacht en wordt hierop te weinig geanticipeerd.

Ironisch genoeg maakt Europa zich door de voorstellen voor een Europees eID niet minder maar juist meer afhankelijk van twee technologische zwaargewichten, zijnde Google en Apple. We worden afhankelijk van hun goedwillendheid wat betreft de controle over en de beschikbaarheid van een essentiële component van onze democratische rechtsorde: het vaststellen van identiteit, van burgerschap.

Met de immense gevolgen van onze afhankelijkheid van Russisch gas in het achterhoofd en het (hernieuwde) besef van het belang van alternatieven is het daarom noodzakelijk om die afhankelijkheden ook in het eID-dossier expliciet te benoemen en ons over mogelijke alternatieven te beraden.

• 1Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG.
• 2Ik gebruik in dit stuk de officiële door de Commissie (en ook in Nederlandse wetteksten) gebruikte terminologie. Ook al kan ik als computerwetenschapper het adjectief ‘elektronisch’ in deze context amper over mijn lippen krijgen… Wij zouden zelf van digitale identificatie spreken.
• 3COM(2021) 281 final, Voorstel voor een Verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit.
• 4Susanna Tenhunen, ‘Revision of the eIDAS Regulation: Findings on its implementation and application’, Think tank for the European Parliament, 7 March 2022.
• 5Apple [press release], ‘Apple announces first states signed up to adopt driver’s licenses and state IDs in Apple Wallet’, 1 September 2021.
• 6Dat zal later door middel van een uitvoeringshandeling worden vastgelegd. Verschillende vormen zijn echter voorzien. De meest voor de hand liggende vorm is die waarin de portemonnee alle benodigde gegevens op het mobiele apparaat van de gebruiker heeft opgeslagen zodat de portemonnee volledig ‘offline’ gebruikt kan worden. Maar ook een variant waarin al deze gegevens in de ‘cloud’ staan opgeslagen behoort tot de mogelijkheden; in dat geval worden de gegevens enkel door de portemonnee opgehaald als deze nodig zijn.
• 7Een implementatie waar alle attributen op de smartphone staan en daarom dus volledig offline gebruikt kan worden biedt daarbij veel meer bescherming dan een variant waarin de attributen (al dan niet versleuteld) in de cloud staan, omdat in het laatste geval de cloud provider in ieder geval de metadata over attribuut gebruik kan registreren.
• 8Merel Koning, Paulan Korenhof, Gergely Alpár, Jaap-Henk Hoepman. ‘The ABCs of ABCs: an analysis of attribute-based credentials in the light of data protection, privacy and identity’, in: Joan Balcells Padullés (red.), Internet, Law & Politics: A decade of transformations. Proceedings of the 10th International Conference on Internet, Law & Politics, Universitat Oberta de Catalunya, 2014, blz. 357-374.
• 9Function creep is het gebruik van persoonsgegevens, software of middelen voor heel andere doeleinden dan oorspronkelijk bedoeld is. Zie ook: Bert-Jaap Koops, ‘The concept of function creep’, Law, Innovation and Technology, 13:1, 2021, blz. 29-56.
• 10Om nog maar te zwijgen over de vraag wat precies het attribuut ‘burgerlijke staat’ zou moeten betekenen, gezien het feit dat een huwelijk tussen twee mensen van hetzelfde geslacht niet in alle lidstaten erkend wordt.
• 11Seda Gürses, Roel Dobbe en Martha Poon, ‘Seminar on Programmable Infrastructures’, TU Delft, 2020.
• 12Een techniek waarbij telefoons onderling signalen uitwisselen zodat later mensen die in de buurt van een besmet person zijn geweest daarvan automatisch een melding ontvangen.
• 13Jaap-Henk Hoepman. ‘A Critique of the Google Apple Exposure Notification (GAEN) Framework’, Privacy Symposium, 2022.
• 14Vertrouwensdiensten zijn elektronische diensten, die gewoonlijk worden verleend in ruil voor een financiële vergoeding, en die acties omvatten in verband met het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels, tijdstempels, gecertificeerde elektronische bezorgdiensten en certificaten voor websiteauthenticatie, evenals het behoud van al deze handtekeningen.