De Belgische Gegevensbeschermingsautoriteit (GBA) bracht advies uit over een Belgisch wetsvoorstel inzake het delen van data uit authentieke bronnen [1] met erkende dienstverleners voor elektronische identificatiemiddelen, dat hier is te vinden. Het advies heeft betrekking op de Europese identificatie wallet die in voorbereiding is, ook bekend als de EUDI-wallet, in het advies aangeduid als ‘Europese portemonnee voor digitale identiteit’ en ook als de digitale identiteitsportefeuille (“Digital Identity Wallet”) [2]. De Belgische overheid is bezig met het bouwen van een Digital Identity Wallet [3].

In de inleiding schrijft de GBA onder meer:

Het onderhavige advies licht toe onder welke voorwaarden (precisering van het doeleinde, waarborgen met betrekking tot de controle door de betrokkene, enzovoort) dat mogelijk zou zijn, in het bijzonder met betrekking tot de uitvoering van de verplichtingen inzake identificatie van cliënten door de ondernemingen die onderworpen zijn aan de antiwitwaswetgeving.

Enerzijds hebben deze entiteiten echter reeds toegang tot het Rijksregister. Anderzijds zouden de Europese portemonnees voor digitale identiteit en de attesteringen van attributen, zoals bedoeld in de recente hervorming van de eIDAS-verordening, het mogelijk moeten maken om de doelstellingen van het voorstel te verwezenlijken. Deze zouden dan ook de voorkeur kunnen krijgen, aangezien zij deel uitmaken van een juridisch, technisch en geharmoniseerd normatief kader op Europees niveau – al is dat weliswaar nog niet volledig geïmplementeerd en van toepassing. Dit kader voorziet bovendien in specifieke waarborgen, waaronder volledige controle door de gebruiker over de Europese portemonnee voor digitale identiteit en meer transparantie.

In het bijzonder, en meer algemeen in het licht van de specifieke doeleinden die zouden worden beoogd, beveelt de Autoriteit in dit verband aan om een effectbeoordeling uit te voeren.

De Autoriteit is overigens van oordeel dat het in dit stadium, aangezien de zojuist genoemde hervorming nog niet volledig van toepassing is, voorbarig is om op dit moment een wettelijk gevolg toe te kennen aan de “Belgische digitale portefeuille”. De Autoriteit blijft zich echter bewust van het belang en de noodzaak om op Belgisch niveau een Europese portemonnee voor digitale identiteit in te voeren, in overeenstemming met de eIDAS2-verordening, binnen de gestelde termijn.

Deze identificatiemogelijkheid is onder meer van belang voor bedrijven die overheidstaken uitvoeren in het kader van bestrijding van witwassen en terrorismefinanciering, de witwasbestrijdingsplichtigen [4]. De GBA vermeldt dat de AVG bij lage witwasrisico’s de witwasbestrijdingsplichtigen er toe verplicht de ingewonnen informatie te beperken [5].

Diverse thema’s die ook in Nederlandse verhoudingen relevant kunnen zijn passeren de revue.

Noten:

[1] Het gaat om het Rijksregister, het Register van de Identiteitskaarten en het Register van de Vreemdelingenkaarten.
[2] Onhandig dat er geen uniforme aanduiding wordt gebruikt, dat speelt in Nederland eveneens.
[3] Zie paragraaf 7.
[4] Zie pagina 23 waar gesproken wordt over de AML-richtlijn EU 2015/849 (vierde Europese antiwitwasrichtlijn). In paragraaf 46 tot en met 57 komt dat nader aan de orde.
[5] Zie pagina 29, noot 445: “Wat betreft lage risico’s, zie artikel 26, § 3, van de AML-wet. De Autoriteit merkt in dit verband op dat de onderworpen entiteit in dit geval niet alleen de ingewonnen informatie “mag” beperken, maar dit ook moet doen, in voorkomend geval, ter uitvoering van het beginsel van minimale gegevensverwerking zoals neergelegd in artikel 5, 1., c), van de AVG.“