Europa is bezig met de ontwikkeling van een Europese digitale identiteit. Degenen die interesse hebben voor dat onderwerp kunnen de antwoorden lezen die de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties op 10 februari jl. gaf op vragen.

De staatssecretaris legt uit dat Europa een voorstel heeft gedaan voor een «raamwerk voor een Europese Digitale Identiteit», waarmee de huidige eIDAS-verordening zal worden herzien. Op grond van de eIDAS verordening lopen al een aantal Nederlandse projecten, onder meer de verbetering van de veiligheid van het DigiD, het inlogsysteem van de overheid.

Diverse kritische vragen over de digitale identiteit worden beantwoord, onder meer (noten verwijderd):

Vraag 3
Kunt u helder uiteenzetten in welke mate en hoe de data die gekoppeld is aan een eID decentraal wordt opgeslagen en in welke mate en hoe dit centraal wordt opgeslagen? Zo nee, waarom niet?

Antwoord 3
Bij de inrichting van het eID-stelsel worden om in te loggen bij overheden geen andere attributen (persoonsgegevens) verwerkt dan het burgerservicenummer; dat wil zeggen niet op andere plekken dan waar dit nu reeds plaatsvindt. Bij de implementatie van eID is overigens een centrale, maar ook een decentrale opzet, of een combinatie van beide mogelijk. In alle situaties is de kern dat er een adequate privacybescherming wordt gerealiseerd. Daarbij dienen alle beginselen uit de AVG worden meegenomen.

Vraag 4
Begrijpt u de kritiek van experts, die aangeven dat hoewel mensen eigenaar lijken te zijn van hun eigen data, maar dat dit principe ondermijnd wordt door verdienmodellen van verschillende deelnemers en aanbieders van digitale identiteiten? Zo nee, waarom niet? Zo ja, wat zijn de waarborgen waardoor deze prikkels worden weggenomen?

Antwoord 4
Ik deel de achterliggende zorg. Ik ben het met de experts eens dat persoonsgegevens van burgers geen handelswaar zijn en dat verdienmodellen van aanbieders daarop ook niet gebaseerd mogen zijn. Ik ben van mening dat daarvoor ook afdoende waarborgen getroffen zijn en worden. Zowel in de revisie van de bestaande eIDAS verordening tot vorming van een Europees digitale identiteit raamwerk, als in de voorstellen voor de Wet Digitale Overheid, is opgenomen dat gebruiks- en gebruikersgegevens en eventuele andere categorieën persoonsgegevens niet gebruikt mogen worden voor andere doeleinden dan de veilige uitgifte van inlogmiddelen en het inloggen met deze middelen. De data van mensen dienen dus niet het verdienmodel van een aanbieder van een digitaal identiteitsmiddel, omdat dit onder de voorgestelde wetgeving niet wordt toegestaan.

(…)

Vraag 8
Kunt u ingaan op de zorgen van wetenschappers dat de coronapandemie door bedrijven en politici wordt gebruikt of misbruikt om een digitale identiteitskaart(ID) in te voeren? Kunt u uw antwoord toelichten?

Antwoord 8
De Nederlandse digitale identiteitskaart bestaat op dit moment niet. De wet op de identificatieplicht laat dit niet toe. Voor een visie op dit domein verwijs ik naar de visiebrief digitale identiteit die in februari 2021 naar uw Kamer is gestuurd.

(…)

Vraag 10
Op welke manier zijn de ethische aspecten meegewogen in het beleid rond de Europese en Nederlandse digitale identiteit? Kunt u uw antwoord toelichten?

Antwoord 10
De verdere doorontwikkeling van onze digitale identiteit infrastructuur zal altijd een maatschappelijk vraagstuk zijn dat weloverwogen en ethisch verantwoorde stappen vergt. In de visiebrief digitale identiteit (feb 2021) is nadrukkelijk stil gestaan bij de diverse publieke waarden die hierbij meespelen. Denk hierbij aan publieke waarden als de cyberveiligheid van ons land, de autonomie van de burger, de privacy van de burger, economische kansen en vermindering van administratieve lasten voor de burger. Ook worden in deze brief enkele uitgangspunten voor de toekomstige digitale identiteit infrastructuur aangegeven. Om een gedragen en betrouwbare inrichting van de Nederlandse en Europese digitale identiteit infrastructuur te bewerkstelligen zal ik hierover in de toekomst met uw Kamer en met diverse maatschappelijke experts, waaronder ethici, in gesprek gaan.

Vraag 11
Kunt u reflecteren op de wenselijkheid van de invloed van onder andere Microsoft, maar ook andere multinationals of big techbedrijven, in de oproep aan overheden tot het ontwikkelen van een zogenoemde coronapas? Zo nee, waarom niet?

Antwoord 11
De inrichting van het «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet, wordt onafhankelijk van het eerder ontwikkelde EU digitale Corona Certificaat ontwikkeld. Voor de ontwikkeling van de onder vraag 1 genoemde toolbox zal ook de kennis en ervaring vanuit het bedrijfsleven betrokken worden. Dit doen we op een open wijze met een gelijk speelveld voor de betrokken partijen.

Vraag 12
In hoeverre vindt u het afhankelijk worden van een digitale identiteit wenselijk als er tegelijkertijd nog altijd grote beveiligingsrisico’s zijn voor mensen als het gaat om het gijzelen van data en persoonsgegevens?

Antwoord 12
Op het terrein van informatieveiligheid binnen en buiten de overheid is veel werk te doen. Het kabinet zet zich permanent in voor het vergroten van de digitale veiligheid in de samenleving; ik verwijs naar de Kamerbrief met de Beleidsreactie Cybersecuritybeeld Nederland 2021 (CSBN2021) en de voortgangsrapportage Nederlandse Cybersecurity Agenda (NCSA). De digitale dreiging is immers groeiende en alle overheden en organisaties wereldwijd kampen met dit vraagstuk. Het is een brede maatschappelijke opgave voor publieke en private partijen. Digitale veiligheid is dan ook een essentiële randvoorwaarde voor het slagen van de digitale transitie. Daarom dient deze veiligheid in de basis geborgd te worden zodat dit geen beletsel vormt voor de toekomstbestendigheid van de Europese en Nederlandse digitale identiteit infrastructuur.

Vraag 13
Kunt u aangeven wat u onderneemt om deze kwetsbaarheid, en het oplossen van die kwetsbaarheden, zo veel mogelijk onder de aandacht te brengen van (overheids)instellingen en bedrijven?

Antwoord 13
Vanuit de driehoek BZK, JenV en EZK wordt nauw samengewerkt om de digitale weerbaarheid in de publieke en private sectoren in Nederland te verhogen. Een goed voorbeeld hiervan is de recente aanpak van Apache Log4j kwetsbaarheid waarbij binnen de rijksoverheid, onder operationele coördinatie door het NCSC, organisaties vanuit de eigen rollen en taken nauw hebben samengewerkt. Een speciaal georganiseerd online-webinar, georganiseerd door het Digital Trust Center (DTC), NCSC en CSIRT-DSP, werd door 4000 IT- en cyberspecialisten bezocht waardoor kennis snel gedeeld kon worden met partijen die aan de knoppen zitten. Uw Kamer is hier op 17 december jl. over geïnformeerd.

De staatssecretaris heeft goede bedoelingen en mooie voornemens. Nu maar hopen dat er iets van terecht komt, met onder meer het GGD-debacle in de verse herinnering.

Meer informatie:

• Antwoord op vragen over de Europese digitale identiteit, 10 februari 2022.
• Brief over de voortgang op het domein digitale toegang, 12 oktober 2021.
• Brief met de BNC fiche over de Verordening Raamwerk Europese Digitale Identiteit, 9 juli 2021.
• De visiebrief digitale identiteit, 11 februari 2021.

Eerdere artikelen op dit blog, onder meer:

• Bart Jacobs en Jaap-Henk Hoepman over de Europese plannen digitale identiteit | IRMA, 22 juni 2021.
• Veilig inloggen bij de overheid (en elders) | DigiD, 20 oktober 2020.

Zie ook de berichten met de tags eIDAS, DigiD.