Marketing technology

Een digitale identiteit: wat hebben we eraan & hoe ver zijn we?

0

Nederland en de Europese Unie werken aan een soort officieel online paspoort. Daarmee kunnen mensen betrouwbaar aantonen dat ze zijn wie ze zeggen dat ze zijn, ook over de grens heen. Dit gaat enorme gevolgen hebben voor burgers, bedrijven en overheden. In dit artikel vertel ik hoe ver we zijn met deze digitale identiteit.

Dit is de eerste blog van een serie van vijf over onze digitale identiteit. Het onderwerp is relevant, omdat er momenteel zowel in Nederland als in de Europese Unie volop gewerkt wordt aan een nieuwe digitale infrastructuur. Op dit moment ligt er nog niets definitief vast. Je bent daarom nog op tijd om als eerste te weten te komen wat er allemaal gaat gebeuren. Het is echter veel en best ingewikkeld. Ik ga je met mijn blogs proberen op de hoogte te brengen van wat er komen gaat.

Onze identiteit = wie wij zijn

De vraag naar onze identiteit is de vraag naar wie wij zijn. Dat is een immense filosofische vraag. Gelukkig kunnen we met dank aan het boek Oneself as another (1992) van Paul Ricoeur de vraag opdelen in twee beter behapbare vragen:

  1. Wat aan ons is herkenbaar en blijft hetzelfde door de tijd heen?
  2. Wie zijn wij als persoon?

Beide vragen gaan over wat ons uniek maakt.

Voor de meeste van ons is de tweede vraag de belangrijkste als wij over onszelf nadenken. Met mijn vrouw doe ik hier uitgebreid onderzoek naar, onder meer met betrekking tot jongeren. Voor de overheid en in de digitale wereld is echter de eerste vraag essentieel. Om tegenover een douanebeambte of een app te kunnen bewijzen dat wij zijn wie wij zeggen dat wij zijn, moeten we over iets kunnen beschikken dat niet elk moment aan verandering onderhevig is.

Wat is er nodig voor een digitale identiteit?

Digitale veiligheidsexperts vatten dat wat een persoon uniek maakt graag als volgt samen: iets wat alleen die persoon heeft (b.v. een pasje of een certificaat) of is (b.v. vingerafdruk of iris) en kan tonen, of iets wat alleen die persoon weet (b.v. mijn PIN) en kan invullen.

Volgens de overheid gaat het om vele elementen: “als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon” (AVG, art. 4(1)).

Momenteel werkt de overheid aan een opsomming van data die minimaal aanwezig dienen te zijn om een persoon online betrouwbaar te kunnen identificeren: de zogenaamde ‘digitale bronidentiteit’ (DBI). Deze minimale set data moet afgestemd zijn op de specificaties (ARF) voor de Europese Digitale Identiteitswallet, ofwel EDI-Wallet. Dit vraagt om uitleg.

Digitale bronidentiteit (DBI)

De digitale bronidentiteit wordt door de overheid zo omschreven:

“Een door de overheid uitgegeven, erkende en in de wet en regelgeving verankerde, digitale identiteit voor gebruik in de publieke en private sector. Deze digitale bronidentiteit bevat een minimale set van identiteitsgegevens die nodig zijn in het maatschappelijk verkeer. De overheid creëert met de digitale bronidentiteit een «gezaghebbende bron» van betrouwbare persoonsidentificerende gegevens. Dit biedt een belangrijk generiek bouwblok voor vertrouwen in de digitale wereld. De DBI als «gezaghebbende bron» maakt afgeleide digitale identiteitsmiddelen mogelijk, net zoals je met een fysiek paspoort andere afgeleide identiteiten mogelijk kunt maken.”

De nog niet van kracht zijnde Wet Digitale Overheid (WDO) bepaalt dat de concrete set van identiteitsgegevens zal worden vastgesteld “bij of krachtens algemene maatregel van bestuur”. Tot op heden bestaat er nog geen definitieve invulling van de DBI.

De EDI-Wallet

Terwijl de Nederlandse overheid bezig is met de definitie van een minimale digitale identiteit, bereidt de Europese Commissie regelgeving voor die de burger de mogelijkheid geeft om deze identiteit online te gebruiken: de ‘Europese portemonnee voor digitale identiteit’ – door iedereen in Nederland EDI-Wallet of gewoon Wallet genoemd. Deze nieuwe regelgeving is een aanpassing van reeds bestaande regelgeving. Binnen de bestaande regelgeving wordt nog geen melding gemaakt van een Wallet. Wel wordt er gesproken van “een minimaal pakket persoonsidentificatiegegevens die een natuurlijke of rechtspersoon op unieke wijze vertegenwoordigen” (eIDAS, art. 12(4d), ofwel een DBI.

De voorgestelde nieuwe Europese Verordening gaat deze DBI definiëren. Niet in de tekst van de regelgeving, maar als onderdeel van een pakket van technische en functionele specificaties (ARF). Wat wel alvast in de eerste versie van de Verordening was opgenomen, was dat er “een unieke en permanente identificatiecode overeenkomstig het Unierecht” (lees: een Europees burgerservicenummer) in opgenomen diende te worden – iets dat na verzet onder meer van Nederland mogelijk uit de voorgestelde tekst geschrapt wordt.

Het ARF

In februari 2022 publiceerde de Europese Commissie een eerste conceptversie van het pakket van technische en functionele specificaties (‘European Digital Identity Architecture and Reference Framework’, afkorting: ARF). Beloofd werd dat een volledige versie van het ARF beschikbaar zou komen in oktober, maar inmiddels lijkt het er op dat de versie in de tweede week van januari 2023 zal verschijnen. Zodra deze beschikbaar komt, zal deze worden geplaatst op de Nederlandse centrale informatiepagina over Europese Digitale Identiteit en de Wallet: Pleio. Dit is ook de plek om op de hoogte te blijven van alle ontwikkelingen. We moeten dus wachten op die publicatie om te weten wat de Europese Commissie ziet als minimale digitale identiteit.

Wat hebben we aan de nieuwe digitale identiteit?

We weten dus niet hoe de nieuwe digitale identiteit er precies uit komt te zien. Toch kunnen we al wel een kader opstellen om te kunnen beoordelen of we iets gaan opschieten met deze nieuwe identiteit, zodra deze bekend wordt.

Voor de Europese Commissie is dit kader eenvoudig: de Europese Unie heeft een gat laten vallen met betrekking tot digitale identiteiten. Niet elke Europese lidstaat heeft een systeem ontwikkeld dat burgers online in staat stelt betrouwbaar aan te tonen dat zij zijn wie zij zeggen dat zij zijn. De systemen die wel ontwikkeld zijn binnen de Europese Unie, zijn vaak beperkt. Ze kunnen alleen gebruikt worden in het land zelf en vaak ook alleen maar in relatie met de overheid.

In het gat dat de Europese Unie heeft laten vallen, zijn Amerikaanse big tech-bedrijven gesprongen. De digitale identiteiten die zij aan hun gebruikers aanbieden zijn echter volgens de Europese Commissie bij lange na niet betrouwbaar genoeg. En big tech geeft de burger niet de kans hun eigen digitale identiteit te beheren. Ook binnen de Nederlandse overheid bestaat onvrede met de huidige situatie. Er wordt door de overheid ingezet op ‘regie op gegevens’ door de burger: “Mensen moeten (persoonlijke) data kunnen gebruiken om hun leven, werk of bedrijf te organiseren, terwijl belangrijke waarden als veiligheid en privacy geborgd zijn. Door mensen ook digitaal centraal te zetten, zorgen we voor maatwerk in dienstverlening, over de grenzen van publiek en privaat heen.”

Het vervolg

Het kader om de aankomende digitale identiteit te kunnen beoordelen is daarom tweeledig. Is deze zeer betrouwbaar? Geeft deze de burger de mogelijkheid de eigen digitale identiteit te beheren? De eerste vraag laat ik voor nu. Op de tweede vraag ga ik in mijn tweede blog ‘Wat is de EDI-Wallet & wat maakt deze anders?’ dieper in.