Over aandacht heeft ”Willeke Liselotte” niet te klagen. Het is 2 december 2022 en in het Haagse conferentiecentrum New Babylon buigen ambtenaren en burgers zich over een belangrijk thema: de ”NL Wallet”, een digitale kluis waarin Nederlanders straks hun meest gevoelige persoonsgegevens kunnen opslaan.

”Willeke Liselotte de Bruijn” speelt daarbij een belangrijke rol. De fictieve persoon –bedacht door een ambtenaar– moet vriend en vijand helpen nadenken over de voors en tegens van zo’n kluis. Dat die er komt, staat vast. Voor het kabinet is de opvolger van de DigiD namelijk een prestigeproject. Nog dit jaar wil Alexandra van Huffelen, staatssecretaris voor Koninkrijksrelaties en Digitalisering, een app laten toetsen. Lukt dat, dan is Nederland Europees koploper op het gebied van het digitale identiteitsbewijs. Maar privacydeskundigen zijn bezorgd.

Jazeker, Jaap-Henk Hoepman begrijpt wel waarom ‘Europa’ alle lidstaten aan een elektronisch digitaal identiteitsbewijs –de ”e-ID”– wil hebben. Eigenlijk is het een logisch vervolg op het papieren paspoort, zegt de universitair hoofddocent privacy aan de Radboud Universiteit in Nijmegen. Daarmee bewijzen burgers al jaar en dag in andere landen dat ze zijn wie ze zeggen te zijn. Maar zo’n document werkt niet in de digitale wereld.

Wil je je als Nederlander bijvoorbeeld online identificeren in Portugal, dan loop je onherroepelijk tegen een digitale muur. De Nederlandse DigiD gaat nu eenmaal niet samen met de Portugese Cartão de Cidadão. Of met de Ierse MyGovID. Zelfs de ”.beID”, de e-ID-software van onze zuiderburen, kan niet overweg met het Nederlandse identiteitsbewijs. En dat terwijl de Europese Commissie de interne markt zo laagdrempelig mogelijk wil maken. Al bijna tien jaar lang komt elektronische verificatie binnen de lidstaten steeds terug op de politieke agenda. Tot zover niets verrassends dus.

Maar, zegt Hoepman, veel plooien zijn nog niet gladgestreken. Hij is daarom bang dat burgers in de toekomst misschien noodgedwongen informatie zullen delen waarmee ontvangers helemaal niets te maken hebben.

Ook Bart Custers, hoogleraar ICT-recht aan de Universiteit Leiden, is er niet gerust op. In de Europese plannen ontbreken een duidelijke visie en concrete afwegingen. Dat kan de burger lelijk opbreken.

Nieuw identiteitsbewijs

Terug in de tijd. In 2014 neemt de Europese Commissie een verordening aan voor ”elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt”. Met ”e-IDAS”, zoals de verordening wordt afgekort, moet het gemakkelijker worden om zaken te doen in andere landen. Bovendien moet elektronische identificatie de administratieve rompslomp van bedrijven verminderen.

Veel landen gaan voortvarend aan de slag. Ze ontwikkelen allemaal –met meer of minder succes– hun eigen e-ID-systemen. Er is echter één probleem: al die systemen werken niet buiten de landsgrenzen. Eigenlijk heeft de ‘interne markt’ er dus helemaal niets aan.

Ondertussen verandert die markt wel. Met de groei van internet worden de landsgrenzen steeds vager. Burgers en bedrijven doen meer en meer internationaal zaken. Dat wringt, want banken en ondernemingen weten lang niet altijd met wie ze te maken hebben – en of hun zakenpartner wel te vertrouwen is.

Er speelt nog iets. Het smartphonegebruik explodeert en internetgebruikers hebben vaak tientallen accounts. Technologiebedrijven spelen daarop in en ontwikkelen hun eigen ”wallets”. Dat zijn digitale kluizen waarin gebruikers gemakkelijk hun TikTok-account, rekeninggegevens en zelfs hun identiteitskaart kunnen opslaan. Dat levert, zo vreest de Europese Commissie, Apple en consorten wel heel veel gegevens op. En macht. Een eigen oplossing is dus geboden.

Door de coronapandemie wordt die oplossing urgent én heel concreet. De burgerlijke weerstand tegen een CoronaCheck-app mag dan groot zijn, overheden weten wel snel praktische systemen te ontwikkelen die ook nog eens bruikbaar zijn in het internationale verkeer. De kiem voor een nieuwe e-ID is gelegd.

In juni 2022 krijgt ”e-IDAS” een vervolg wanneer de Europese Commissie een nieuw plan presenteert. Als het aan ‘Brussel’ ligt, moeten burgers in de hele Europese Unie grensoverschrijdend gegevens kunnen uitwisselen.

Voor alle duidelijkheid: er komt geen universeel Europees identiteitsbewijs. Elk land bouwt opnieuw zijn eigen oplossing. Dat voorkomt dat een overheid de controle over gegevens van zijn burgers verliest. Het is dan ook de infrastructuur die het verschil moet maken. Straks moeten alle verschillende systemen beter onderling kunnen communiceren dan nu het geval is.

Nederland neemt daarbij graag het voortouw. Al in het coalitieakkoord, dat het kabinet-Rutte IV in januari 2022 presenteert, wordt ingezet op de ontwikkeling van een „digitale identiteit in Europees verband”. Staatssecretaris Van Huffelen maakt sinds afgelopen zomer dan ook haast met de Nederlandse e-ID. Als het even kan, is die een jaar eerder klaar dan de Europese Commissie zelf wil.

Goudmijn voor de overheid

„Enigszins verrassend”, noemt Hoepman die ambitie. Jawel, zegt hij, de invoering van de DigiD –rond 2005– verliep ook „redelijk snel en succesvol”. Maar de ontwikkeling van een uitgebreidere opvolger ervan –Idensys– was een debacle. Hij vraagt zich dan ook af waarom het ministerie dan nu op Europees niveau koploper wil zijn.

Hoogleraar Custers zoekt het antwoord op die vraag in het handelsbelang van Nederland. „Als klein land en handelsnatie is Nederland gebaat bij veel handelsverkeer met andere landen”, zegt Custers. „En Nederland heeft voldoende kennis en ervaring op dit terrein. Dat geeft ook een voorsprong.”

Het hoge tempo roept argwaan op. Burgers en privacy-organisaties zijn bang dat de wallet door al die gevoelige persoonsgegevens een goudmijn wordt voor een overheid. Die kan, zo vrezen sommigen, daardoor zijn macht over de burger vergroten. Stel je voor: straks kunnen ze ongevaccineerde burgers hun rijbewijs afpakken.

Custers ziet dat gevaar niet direct. Maar uitsluiten kan hij het evenmin. „De manier waarop het e-ID wordt opgezet, is bepalend”, zegt de hoogleraar. Hij doelt daarmee op de hoeveelheid gegevens die erin worden bewaard en wie toegang tot die gegevens krijgt. Want, vervolgt hij, al die gegevens kunnen ook worden geanalyseerd. En de overheid kan ze gebruiken om toekomstplannen te maken. Wie weet raken daardoor op termijn de oorspronkelijke doelen uit zicht. „Een duidelijke visie en concrete afweging zijn belangrijk”, zegt Custers. „Maar juist die ontbreken.” Hij wil maar zeggen dat de Europese Commissie duidelijker zou moeten maken wat men wil en wat niet – en waarom dan wel of niet. Zolang de spelregels vaag blijven, kan de e-ID nog alle kanten op. Daar zouden burgers de dupe van kunnen worden.

De zorgen worden gedeeld in de Tweede Kamer. In december was een Kamermeerderheid dan ook ontevreden over de plannen voor een e-ID: er was nog te veel onduidelijkheid over de opslag van data en de betrouwbaarheid van de technologie. Maar Van Huffelen schoof een motie waarin het kabinet werd opgeroepen om niet in te stemmen met een volgende stap, koeltjes terzijde. Op vrijdagavond nota bene. Het leidde tot verhitte gemoederen in de Kamer. Zonder soelaas overigens. „Alle lidstaten hebben ja gezegd, daarom is het belangrijk dat wij niet in ons eentje nee zeggen”, verdedigde de bewindsvrouw haar besluit.

Macht voor techbedrijven

Privacydeskundige Hoepman is vooral bezorgd over het gevaar van „overidentificatie”. Want lang niet elke partij bij wie je je met een e-ID identificeert heeft toegang nodig tot álle gegevens in je wallet. Maar laat nu juist daar geen controle op zijn, zegt Hoepman. Bedrijven kunnen daardoor misschien veel meer van burgers zien dan zij willen. Dat is niet zonder risico’s. Een bank die bijvoorbeeld medische gegevens van een klant in handen krijgt, kan besluiten om die klant geen diensten meer aan te bieden omdat de risico’s te groot zijn.

Daar moet ‘Europa’ dan ook echt iets mee doen, vindt hij. Net als met de definitie van de „vertrouwde diensten” die toegang tot die gegevens hebben. Als je die definitie oprekt, kunnen steeds meer bedrijven grasduinen in je e-ID. Hoepman: „De Europese Commissie heeft al aangegeven dat Meta, het moederbedrijf van Facebook, ook toegang tot de wallet heeft. Moet je dat willen?”

Komt nog bij, zeggen Custers en Hoepman, dat technologiebedrijven uiteindelijk toch een flinke vinger in de pap lijken te krijgen doordat de technische kant van de e-ID wordt uitbesteed aan de ‘industrie’. Hoepman wijst naar Amerika, waar rijbewijzen worden uitgegeven door Apple. „Juist het uitgeven van identiteiten is een cruciaal onderdeel van een overheid”, benadrukt hij. „Je wilt niet dat een groot techbedrijf in de primaire dienstverlening van de overheid gaat zitten.”

Ook als dat niet gebeurt, hebben technologiebedrijven nog steeds flinke controle over de uitvoering van de e-ID. Hoepman: „Je bent afhankelijk van een platform van Apple of Google. Die bedrijven kunnen eisen stellen aan de ontwikkeling of het gebruik van een app.”

En, zegt Hoepman, als die bedrijven de identificatieapp op een kwade dag uit hun app-
stores verwijderen, sta je machteloos. „Als een Amerikaans bedrijf zegt dat Nederlandse paspoorten niet meer welkom zijn, hebben we een serieus probleem.”

Custers: „Het is de vraag of de EU zich zo afhankelijk moet maken van techbedrijven van buiten de EU.”

Van de slagkracht van ‘Brussel’ hoeven we het niet te verwachten, denkt Hoepman. Hij wijst nog eens op de rol van de Europese Unie bij de ontwikkeling van de coronamelder. „De EU was groot genoeg om een bepaalde macht af te dwingen, maar luisterde uiteindelijk toch vooral naar Apple en Google.”

Terug naar de tekentafel

Uitdagingen te over dus, die niet zomaar zijn op te lossen, stellen beide hoogleraren. Alternatieven liggen bovendien niet voor het oprapen. Random readers –de apparaatjes waarmee je tot enkele jaren geleden internetbankierde– kunnen soelaas bieden, denkt Hoepman. Daarmee ben je immers niet meer afhankelijk van een bepaald technologieplatform.

Ook de Oosterburen denken in die richting, al is het daar om een heel andere reden. Hoepman: „In Duitsland bestaat geen nationaal identificatienummer. Burgers zijn daar dan ook vooral bezorgd dat er via een achterdeurtje een soort Europees burgerservicenummer wordt ingevoerd.”

Eigenlijk zou de Europese Commissie terug moeten naar de tekentafel, vindt Custers. De Europese Unie beschikt weliswaar over een visie voor een interne digitale markt en over een visie op de bescherming van (persoons)gegevens, maar die hangen als los zand aan elkaar. „Het wordt nu hoog tijd om te bezien hoe beide visies moeten worden omgezet naar de praktijk. Dan zal blijken dat er tal van praktische problemen zijn. De keuzes die worden gemaakt om die problemen op te lossen, díé zullen het eindresultaat bepalen.”