De gevaren van het Europees digitaal paspoort en de digitale euro
Er is al veel verzet onder burgers tegen het door de EU in te voeren digitale paspoort en de door de ECB in te voeren digitale euro, maar waarom is dat ook terecht? Wat zou een optimale oplossing zijn waarmee de meeste Europeanen zouden kunnen leven?
De noodzaak tot identificatie
Voor het kopen van een huis, doorgeven van een verhuizing, openen van een bankrekening, vliegen naar het buitenland, om te stemmen of je kandidaat te stellen, moeten we ons identificeren. Dat kan met een door onze overheid uitgegeven paspoort, identiteitskaart of rijbewijs.
Een identiteit hebben is dus essentieel; zonder identiteit ben je geen burger. Daarmee vormt het betrouwbaar uitgeven en (kunnen) vaststellen van identiteit één van de fundamenten onder onze democratische rechtsorde, aldus Jaap Henk Hoepman van Instituut Clingendael.
Steeds meer dienstverlening vindt online plaats, zo ook voor overheidsdiensten. Het wordt dus steeds belangrijker dat we ons ook online kunnen identificeren. Dit kan met een elektronisch identiteitsbewijs. Daarvoor is in Nederland al een oplossing bedacht; DigiD.
De DigiD is zodanig ontwikkeld dat hij alleen voor publieke online diensten gebruikt kan worden en dan ook nog alleen in Nederland. Er is momenteel geen grensoverschrijdende digitale identiek beschikbaar en al helemaal niet voor commerciële en private online diensten. Daarin wil de Europese Commissie snel verandering brengen. Over de gevolgen daarvan is – zoals vaker binnen de EU – nauwelijks nagedacht.
Een EU digitaal paspoort en digitale euro zijn volledig afhankelijk van Google- en Apple-technologie
De smartphone is het fysieke middel waarmee een digitaal paspoort en/of digitale euro primair moet worden gerealiseerd. Van smartphones zijn twee varianten beschikbaar, het Google Androidsysteem en de Apple IPhonevariant. De conclusie is dat alle EU digitale technologie voor paspoort en digitaal geld dus afgestemd moet zijn op de software van Google en Apple. Dat plaatst beide Amerikaanse Big Tech-giganten in een onvoorstelbare machtspositie binnen de Europese economieën.
Het risico bestaat dat de EU in één klap een goudmijn aan data weggeeft aan deze twee Amerikaanse bedrijven. En niet alleen dat. Von der Leyen c.s. geven mogelijk ook alle privacygevoelige informatie van Europese burgers uit handen aan deze twee Techreuzen. Apple heeft immers verplichtingen tegenover de VS-regering lopen over gegevensuitwisseling in de opsporing van mogelijk criminele activiteiten. Uiteraard zal dit scenario niet de bedoeling van de EU zijn. Maar hoe voorkom je dat dit de realiteit gaat worden?
“Er is momenteel geen grensoverschrijdende digitale identiek beschikbaar en al helemaal niet voor commerciële en private online diensten. Daarin wil de Europese Commissie snel verandering brengen”
Het coronapaspoort als voorloper op het Europese digitale paspoort
Laten we ervan uitgaan dat de EU ervoor wil waken dat de twee Big Techreuzen in de VS de zeggenschap krijgen over alle data van Europese burgers via het EU digitale paspoort.
Hoe groot is de kans dat de EU het bovengenoemde kan voorkomen? Daarvoor kunnen we het beste kijken naar de geschiedenis van het – heftig bestreden – Europese coronapaspoort en de QR-code. De invoering hiervan heeft het proces naar een Europees stelsel voor elektronische identificatie dramatisch versneld, zo stelt Instituut Clingendael in deze bijdrage.
Maar… bij het ontwerp en de invoering van dat Europese coronapaspoort ging er al heel veel mis, waarover om begrijpelijke redenen nauwelijks is geschreven. Dit bleek bijvoorbeeld al bij de invoering van de coronamelder-app: deze app moet ook werken in de slaapstand van je mobiele telefoon. Apple was dat niet van plan. Dat zou o.a. een inbreuk op de privacy van de gebruiker kunnen opleveren en dat is juist in strijd met EU-wetgeving. Maar geen verbinding met internet in de slaapstand, zou de coronamelder nutteloos hebben gemaakt. In plaats daarvan introduceerden Google en Apple een eigen standaard voor exposure notification (GAEN), waarvan de Europese coronamelder-apps verplicht gebruik moesten maken, aldus bovengenoemde Clingendael-bijdrage. Met de introductie en het gebruik van de coronamelder, de app en het coronapaspoort haalde de EU het Amerikaanse paard van Troje – bestaande uit Apple- en Google-technologie – binnen.
Coronapaspoort was dus een ‘foutje’, maar gaat de EU het nu beter doen?
De huidige voorstellen van de Europese Commissie zijn niet strikt genoeg om een herhaling van de eerdere coronapaspoortproblematiek te voorkomen, aldus Jaap Henk Hoepman van Clingendael. Deze voorstellen laten te veel over aan het toeval, waarvan de consequenties pas tijdens het gebruik van het nieuwe paspoort zullen blijken. En dan is het te laat. De complexiteit en brede toepassing van de informatie overdracht is ook een probleem. Zo valt bijvoorbeeld ook een groot aantal vertrouwensdiensten die de EU gebruikt onder het huidige ontwerp.
De kern van het EU Digitale Paspoort
Kern van het voorstel is een portemonnee (ofwel een wallet) voor digitale identiteit die draait op een smartphone of tablet. Een app dus die weer op Google- en Apple-technologie is aangesloten.Deze portemonnee ontsluit niet alleen de puur juridische identiteit (zoals het BSN) van een persoon, maar kan daarnaast ook allerlei andere zogenoemde attributen over diens identiteit bevatten. Denk aan leeftijd, adres, type rijbewijs, diploma’s, allergieën, vaccinatiestatus, et cetera. Ook bevat deze app de ‘elektronische attestering’ van deze gegevens. Met andere woorden, de door uitgevende instanties ondertekende documenten waaruit de geldigheid van deze attributen blijkt.
Bescherming van fundamentele EU waarden?
Doel van de huidige conceptverordening 2021/0136 (COD), dat de Europese Commissie expliciet benoemt, is het beschermen van de fundamentele rechten van de Europese burgers. Het idee is dat een paspoort als app op een smartphone de burger meer inzicht en controle geeft over het gebruik van zijn digitale identiteit.
De expliciete keuze om juist ook die extra gegevens zoals bijvoorbeeld rijbewijs, schooldiploma’s, bloedgroep en dergelijke attributen op te nemen, is volgens de EU bedoeld om de privacy te beschermen. Met een leeftijdsattribuut kun je aantonen dat je ouder bent dan achttien, zonder je volledig te hoeven identificeren. In hoeverre privacy hiermee daadwerkelijk beschermd wordt, hangt sterk af van de daadwerkelijk gekozen technische inrichting die, zoals gezegd, (nog) niet door de commissie is vastgelegd, maar bij het coronapaspoort al tot vraagtekens heeft geleid.
De EU creëert zelf de grootste risico’s op misbruik van het digitale paspoort
Na de invoering van het Europees digitaal paspoort, wil de Europese Commissie onder leiding van Ursula von der Leyen de grote Amerikaanse Techbedrijven zoals Google, Facebook en Apple ‘verplichten’ het EU digitale paspoort toe te passen bij alle transacties met Europese burgers. Met andere woorden; zonder EU digitaal paspoort kun je als EU-burger geen gebruik meer maken van sociale media en/of de overige diensten van deze Big Techbedrijven.
Is dat ‘verplichten’ door de EU niet vooral in het belang van juist die Big Techbedrijven zelf en juist niet in het belang van de Europese burger? Is dit niet de zoveelste poging van de EU om de democratie – vrije keuze van dienstverleners in een vrije markt – om zeep te helpen?
Dit lijkt op het D66-sprookje om de democratie “te willen beschermen door bepaalde partijen te verbieden”. Bovendien is het diametraal in strijd met het eerste grondbeginsel van vrije keuze, zoals de EU dat zelf verwoordt op deze pagina over de invoering van het paspoort. Gewoon platte manipulatie om het volk over de streep te trekken ten faveure van Amerikaanse Big Tech?
“De eerste versie van deze App wil ik in 2023 werkend hebben”, schrijft Van Huffelen aan de Tweede Kamer.
Het kabinet wil dat er in 2023 een eerste versie van een wallet-app voor de nieuwe Europese digitale identiteit (eID) beschikbaar komt, aldus dit RTL Nieuws-artikel.
Maar wil het kabinet dit of zegt de EU dat het moet gebeuren, en doet het kabinet of het hier zelf nog enige stem in heeft? Het tweede lijkt meer het geval als je deze EU-site raadpleegt. Nederlandse burgers zijn terecht kritisch over de plannen, maar de trekpoppen in Den Haag papegaaien vrolijk in koor met Brussel mee.
Ook hier zie je weer de discrepantie, c.q. strijd, tussen wat de EU en het kabinet enerzijds willen – ultrasnelle invoering van het digitale paspoort zonder dat de privacy geregeld is – en wat de Nederlandse burger wil; (keuze-)vrijheid en democratie behouden en niet tot slaaf van VS Big Tech gedwongen worden.
“Ironisch genoeg maakt de EU zich door de voorstellen voor een Europees digitaal paspoort niet minder, maar juist meer afhankelijk van twee technologische zwaargewichten, zijnde Google en Apple”
Wat als het internet uitvalt?
Vergeleken met een papieren paspoort is een digitaal paspoort voor de burger een ongrijpbare black box. De digitale variant is afhankelijk van de correcte werking van alle componenten binnen de internet structuur. Een papieren paspoort ‘werkt’ daarentegen altijd. Ook als de stroom uit valt, je router kapot is of je identiteit gehackt.
Hetzelfde geldt uiteraard voor Centrale Bank Digitaal Geld ten opzichte van bankbiljetten. Papieren geld werkt altijd, digitaal geld alleen als de infrastructuur het doet. En dat maakt alles zo ongewenst kwetsbaar!
Ironisch genoeg maakt de EU zich door de voorstellen voor een Europees digitaal paspoort niet minder, maar juist meer afhankelijk van twee technologische zwaargewichten, zijnde Google en Apple. We worden afhankelijk van de goedwillendheid van deze twee bedrijven wat betreft de controle over en de beschikbaarheid van onze democratische rechtsorde: het vaststellen van identiteit en burgerschap.
Met de immense gevolgen van onze afhankelijkheid van Russisch gas in het achterhoofd en het (hernieuwde) besef van het belang van alternatieven is het daarom noodzakelijk om die afhankelijkheden van – in dit geval – Amerikaanse technologie expliciet te benoemen en ons over mogelijke alternatieven te beraden.
Waar ligt de oplossing?
De noodzaak van elektronische identiteiten is in deze steeds verder digitaliserende wereld evident. Dat Europa hierin haar eigen kaders moet stellen – voordat Apple en Google dat voor ons doen – is een absoluut vereiste. Dat hierbij nadrukkelijk ook de bescherming van fundamentele waarden aan ten grondslag wordt gelegd, is een tweede noodzaak. Al deze zaken zijn momenteel onvoldoende uitgewerkt, waarmee de EU wederom, net als bij het coronapaspoort, onzorgvuldigheid kan worden verweten.
Het idee dat de privacy beter gegarandeerd is door zo veel mogelijk privégegevens aan het digitale paspoort toe te voegen – de attributen – moet heel snel naar de prullenbak worden verwezen. Het EU-motto zou hier moeten zijn: Houd het simpel! Dan worden zo weinig mogelijk persoonlijke en zeer vertrouwelijke gegeven gedeeld via digitale systemen die voor de burgers van Europa niet te volgen zijn en daardoor ook weinig vertrouwen genieten.
Tot slot; houd van het paspoort en de euro altijd de huidige fysieke variant in stand. Voor het geval de stroom uitvalt!
