Gisteren schreef ik over deelname aan een consultatie waarin leeftijdsverificatie aan de orde komt. Die leeftijdsverificatie zou onder meer plaats kunnen vinden aan de hand van de ‘Europese Digitale Identiteit’ waar Europa mee bezig is, ook wel de ‘EU Digital Identity Wallet’ of de ‘europäische digitale Brieftasche’ genoemd.

Open brief burgerrechtenorganisaties
Over de uitvoering van de Europese plannen is op 7 augustus jl. namens een groot aantal burgerrechtenorganisatie en deskundigen een Engelstalige open brief (pdf) verstuurd aan de Europese Commissie en de landen van de Europese Raad. Zij schrijven:

De academici en deskundigen uit het maatschappelijk middenveld die deze brief hebben ondertekend, zien ernstige tekortkomingen in het huidige voorstel die de veiligheid en privacy van alle burgers die deze digitale identiteitsportefeuille van de EU gebruiken, in gevaar zouden brengen.

Hun bezwaren:

• Het voorstel bevat een achterdeurtje voor de overheid om iedere gebruiker te heridentificeren op verzoek van opsporingsautoriteiten.
• De voorgestelde cryptografische mechanismen zijn verouderd en zijn gekozen om compatibel te zijn met de thans gebruikte verouderde digitale identiteitssystemen. Basiseisen die nodig zijn in een datagedreven economie worden verwaarloosd [2].

Gevolg is dat het niet veilig is voor  burgers om de EU Digital Identity Wallet te gebruiken.

Deze gebreken zijn een gevolg van de te korte implementatietermijnen waartoe de Europese Commissie heeft besloten. Uit de brief [3]:

Voor de bescherming van de burgers en een zorgvuldige uitvoering van de noodzakelijke waarborgen moeten de termijnen echter realistisch worden vastgesteld, vooral wanneer het gaat om de technische uitvoering van EU-wetgeving. Dit blijkt zelfs uit recente voorbeelden van zeer technische uitvoeringshandelingen waarbij het risico voor burgers laag was en waarbij technische complicaties toch leidden tot de vertraagde goedkeuring van uitvoeringshandelingen meer dan een jaar na de wettelijk voorgeschreven termijn.

De ondertekenaars roepen op meer tijd te nemen zodat kan worden gezorgd voor een veilig systeem. Zij geven aan dat als de Wallet niet veilig zou zijn, zij in een situatie terechtkomen waarin zij het publiek moeten waarschuwen om af te zien van het gebruik van de Wallet omdat het burgers niet kan beschermen tegen tracking, staatstoezicht en over-identificatie, terwijl voorts de mogelijkheid van schadeloosstelling ontbreekt in geval van fraude of identiteitsdiefstal.

Meer over het onderwerp

Dit jaar:

• Labournet, dossier E-Personalausweis: Elektronische Identität (eID) in „E-Wallets“ bzw. digitalen Brieftaschen, 9 augustus jl.
• Netzpolitik: Zivilgesellschaft und IT-Fachleute schlagen Alarm, 7 augustus jl.
• Jaap-Henk Hoepman, Cryptographers’ Feedback on the EU Identity Wallet, 23 juni 2024. Zie ook rubriek eID.
• Techcrunch, The EU Digital Identity Wallet: Everything you need to know about the EU’s plans for a universal digital identity system, 23 juni 2024.
• Digital overheid (rijksoverheid): NL ID-wallet stap verder in ontwikkeling, 16 april 2024. Themapagina’s ID-wallet, eIDAS.
• Tweakers, Europees Parlement stemt in met invoering van digitale wallet als ID-bewijs, 1 maart 2024.

Vorig jaar:

• Joint statement of scientists and NGOs on the EU’s proposed eIDAS reform, open brief van 23 november 2023, ondertekend door vele burgerrechtenorganisaties, onder meer door EDRi en Privacy First, en door experts zoals de Nederlandse experts Jaap-Henk Hoepman en Matthijs Koot.
• Jaap-Henk Hoepman: Some observations on the final text of the European Digital Identity framework (eIDAS), 20 november 2023. Zie ook rubriek eID.
• Knack, Pieterjan Van Leemputten: Europa: ‘eIDAS-wetgeving geen probleem voor privacy en veiligheid’, Europa is rond met Europese digitale portefeuille: wat wil dat zeggen?, 10 november 2023.
• Knack, Pieterjan Van Leemputten: Wettekst Europese digitale identiteit kan encryptie en privacy onderuit halen, 3 november 2023.
• Epicenter: EU Digital Identity Reform: The Good, Bad & Ugly in the eIDAS Regulation, 11 juli 2023. Zie ook hun themadossier.
• EDRi: European digital identity – a potential game changer?, 15 maart 2023.
• Epicenter: Digital Identity: Open Letter on eIDAS reform to the European Parliament, 1 februari 2023.

Zoekwoorden: EUID wallet, digitale identiteit, ID-wallet.

Noten:

[1] Machinevertaling van “The academics and civil society experts that signed this letter see severe shortcomings in the current proposal that would jeopardize the security and privacy of all citizens using this EU Digital Identity Wallet“.
[2] “Key privacy requirements the law obliges for unlinkability, unobservability or zero knowledge proofs are ignored completely“.
[3] Machinevertaling van “For the protection of citizens and careful implementation of necessary safeguards, however, timelines have to be set realistically especially, when it comes to the technical implementation of EU law. This is evident even from recent examples of very technical implementing acts where the risk for citizens was low and still technical complications lead to the delayed adoption of implementing acts more than a year after their legally mandated deadline“.