:format(webp)/s3/static.nrc.nl/bvhw/files/2024/12/data125895181-4d24cf.jpg)
Denis Roio gaat de Europese digitale identiteit, die hij zelf heeft helpen ontwikkelen, niet gebruiken. De Italiaanse softwareontwikkelaar en ondernemer is zijn vertrouwen kwijt in het ambitieuze Europese project.
Eind 2026 moet in elk EU-land een veilige app klaarstaan, die burgers kunnen gebruiken als ze online gegevens over zichzelf moeten delen. Bijvoorbeeld om aan te tonen dat ze ouder zijn dan 18 jaar, dat ze een rijbewijs hebben of ingeschreven staan bij een gemeente. Ook moeten ze er medische gegevens mee kunnen doorgeven.
Bedrijven, overheden en online platformen worden wettelijk verplicht de bewijzen uit die apps te accepteren. De toepassing lijkt op die van DigiD in Nederland, maar de app is straks voor veel meer diensten en in heel Europa te gebruiken. Zo kun je ook een auto mee huren, online alcohol kopen of gokken.
De app moet zorgen voor een belangrijke verbetering van de privacy van Europese burgers. Nu is het bijna onmogelijk online te opereren zonder ongewild allerlei gegevens over jezelf achter te laten. Bedrijven verdienen veel geld met de handel in die persoonlijke data. De apps moeten ervoor zorgen dat burgers zelf kunnen kiezen hoeveel data ze over zichzelf delen.
Grote fouten
Maar in de haast de privacy van Europese burgers beter te beschermen en de macht van Amerikaanse ‘Big Tech’ te verkleinen, worden in Brussel grote fouten gemaakt, zeggen experts, waardoor aanhangers van het eerste uur afhaken. Roio (47) is er een uitgesproken voorbeeld van. Hij omschrijft zichzelf als een ‘gewetensbezwaarde weigeraar’.
In principe is Roio, zoals veel privacy-activisten en softwaredeskundigen, groot voorstander van een Europese digitale identiteit. „Het is bedoeld om ons te beschermen tegen de dataroof door Big Tech.” Hij is een overtuigd Europeaan. Geboren en getogen in Italië, maar alweer twintig jaar in Nederland.
Met zijn bedrijf doet hij onderzoeksprojecten voor de Europese Commissie die onder meer draaien om digitale versleuteling. Zoals meer experts neemt hij actief deel aan discussies over hoe het EU-ID gebouwd zou moeten worden. Dat zijn technische gesprekken over fundamentele vragen. Hoe hoog moet de beveiliging zijn tegen cyberaanvallen? Is het EU-ID straks ‘quantum-proof’, dus bestand tegen aanvallen door supercomputers? Kun je volledig anoniem blijven als je de app gebruikt?
De EU heeft standaardprocedures voor zo’n technisch proces: na een politiek besluit komt een werkgroep eerst met een technische uitwerking op hoofdlijnen, waarna zij steeds gedetailleerdere specificaties ontwikkelt. Die uitwerking en specificaties worden online in concept gepubliceerd, zodat experts erop kunnen reageren en op fouten kunnen wijzen. Na een stemming gaat het proces naar de volgende fase.
Voor het EU-ID werd het technisch kader, het zogenoemde ‘Architectural Reference Framework’, dit voorjaar online gezet.
Veel cryptografen, onder wie Roio, gaven feedback. Ze hebben in grote lijnen dezelfde fundamentele bezwaren. Het belangrijkste is dat de zogeheten cryptografische bescherming te zwak is. Daardoor is het voor kwaadwillenden met technische kennis mogelijk de identiteit van gebruikers te achterhalen.
Terug naar de tekentafel
Ook Jaap-Henk Hoepman, universitair hoofddocent aan de Radboud Universiteit en gespecialiseerd in online privacy, stelde met een groep van vijftien gerenommeerde Europese collega’s een uitgebreid document met feedback op. „Als het technologisch goed gebeurt, kan Europa een voorloper worden met private en veilige identificatiemechanismen in de digitale ruimte”, schreven de zestien wetenschappers daarin. Andere regio’s zouden dat voorbeeld kunnen volgen, voegden ze toe.
Maar dan moet het project wat hen betreft wel eerst terug naar de tekentafel, want ook zij constateren dat de beoogde anonimiteit van gebruikers nu niet goed geregeld is. In de ogen van de cryptografen moet het EU-ID gebruik maken van wat ze zero knowledge cryptografie noemen, in plaats van de gekozen manier van versleutelen.
In de discussie draait alles om de bewijsstukken die in de daarvoor ontwikkelde app (‘wallet’) op je telefoon komen. Stel je die bewijsstukken voor als het digitale equivalent van bijvoorbeeld een fysiek paspoort, rijbewijs of diploma. Je vraagt ze (via die app) om de zoveel jaar aan bij de betrokken instantie. Vervolgens kun je ze gebruiken zo vaak je wilt zonder dat de verstrekker (de gemeente, de onderwijsinstelling) kan zien waar en wanneer je dat doet.
Anonieme identiteitsbewijzen met zero knowledge proof, die Hoepman en zijn collega’s het liefst ingevoerd zien worden, laten bij gebruik geen digitale sporen achter. Je kunt het wegwerpbewijzen noemen, voor eenmalig gebruik. „Een gokwebsite die mijn leeftijd moet controleren kan dan niet zien of ík het ben die honderd keer per dag komt gokken. Of dat het honderd verschillende mensen zijn die allemaal meerderjarig zijn”, geeft Hoepman als voorbeeld.
/s3/static.nrc.nl/images/gn4/stripped/data125895160-bd05a1.jpg|https://images.nrc.nl/4qleJ-zevIEvozzPePs37BpH7uo=/1920x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data125895160-bd05a1.jpg|https://images.nrc.nl/oDwG-RSaloSBZy0f-Yyvbm0nYEM=/5760x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data125895160-bd05a1.jpg)
Een tweede zorg van Hoepman en zijn collega’s is dat er geen mechanisme wordt ingebouwd om te voorkomen dat gebruikers om overbodige informatie wordt gevraagd, die dat in de regel klakkeloos geven. Ook dat raakt de privacy. Een voorbeeld: een pornosite die geen kinderen als klant mag hebben, hoeft alleen te weten of een gebruiker oud genoeg is. Niet of hij Nederlander is en hoe hij heet. Als het EU-ID online privacy écht hoog in het vaandel heeft, worden consumenten automatisch beschermd tegen het delen van onnodig veel gegevens, betogen de cryptografen.
Er bestaan alternatieven voor het voorstel van de werkgroep van de Europese Commissie. Hoogleraar Bart Jacobs, een collega van Hoepman aan de Radboud Universiteit, ontwikkelde in Nederland ruim tien jaar geleden bijvoorbeeld al een app waarmee het mogelijk is in te loggen en alleen het hoogst noodzakelijke ‘bewijs’ te delen. Die app heette eerst IRMA en inmiddels Yivi. Zo’n honderdduizend Nederlanders hebben hem op hun telefoon. „Het kan dus wel degelijk”, zegt de hoogleraar, een pionier op dit terrein in Nederland. „Wij gebruiken het al tien jaar.” Hij noemt het „onbegrijpelijk” dat de EU daar niet ook voor kiest.
Haast maken
Een stemming over het technisch ontwerp werd dit najaar aanvankelijk uitgesteld, vermoedelijk vanwege de vele bezwaren van experts op het eerste concept. Maar op 21 november kwam de Brusselse werkgroep alsnog bijeen en is besloten door te gaan op de ingeslagen weg.
In de werkgroep zitten vertegenwoordigers van alle Europese lidstaten. Ook betrokkenen van techbedrijven schuiven geregeld aan. Nederland stemde met nog zes landen tegen het besluit door te gaan in de huidige opzet, maar had niet genoeg steun om het tegen te houden. De betrokken Nederlandse ambtenaren gebruikten vergelijkbare argumenten als Roio, Hoepman en Jacobs. Ze hadden graag ‘aanvullende privacybeschermende maatregelen’ gezien, ‘bijvoorbeeld op het gebied van de cryptografische beveiliging van de gegevens in EU-ID-wallets’, bevestigt een woordvoerder.
Uitstel van het besluit, of teruggaan naar de tekentafel, zou tot gevolg hebben gehad dat de ID-wallets niet voor eind 2026 af zijn. Binnen Europa dringen vooral Duitsland en Frankrijk er juist op aan om haast te maken.
Nederland stemde in Brussel tegen dit ontwerp, maar had niet genoeg steun om het tegen te houden
Een van de argumenten is dat Europa eigenlijk al vreselijk laat is met pogingen iets te doen tegen de macht van de grote (in de regel Amerikaanse) techbedrijven. Die verstevigen nu in hoog tempo hun greep op de online identiteit van Europeanen. Dat doen ze onder meer door aan te bieden dat je inlogt via bijvoorbeeld Google of Facebook. Of je identiteit verifieert op LinkedIn. Zo vergroten ze de afhankelijkheid van consumenten en komen ze steeds meer te weten over mensen. „Apple en Google zijn als de croupiers bij dit spel. Zij verdelen de kaarten”, aldus Roio.
De geëngageerde Italiaanse softwareontwikkelaar – hij leerde zichzelf ooit programmeren om door te hacken te helpen bij de strijd tegen de maffia – vreest dat de EU door de gemaakte haast het verkeerde bereikt. Omdat de ID-apps op mobiele telefoons moeten draaien is toegang nodig tot de besturingssystemen. In het nu aangenomen ontwerp hebben de Amerikaanse bedrijven Apple (iOS) en Google (Android) daardoor de facto de rol van poortwachter, zegt Roio. Zonder hun medewerking kunnen Europese overheden niets. „Wij, Europa, vragen die bedrijven hun infrastructuur voor ons te openen. We zijn zelf niet de eigenaren.”
De alternatieven die hij aandraagt zullen voor vertraging zorgen, erkent hij. Maar daar zouden regeringen zich wat Roio betreft niets van moeten aantrekken.
Vertrouwen nodig voor gebruik
Bedrijven en overheden worden straks gedwongen het EU-ID te accepteren als manier om online een identiteit te verifiëren. Burgers mogen wel zelf kiezen of ze hem willen gebruiken - zoals in Nederland het geval is met DigiD. Na een aarzelende aanloop kiezen de meeste mensen er inmiddels voor dit systeem te gebruiken omdat ze het vertrouwen, en vanwege het gemak. Roio is dat met het EU-ID niet van plan, vanwege de bezwaren die hij ertegen heeft, zegt hij. „Als het verplicht zou worden heb ik er een serieus probleem mee. Nu vind ik het allemaal vooral geldverspilling.”
Hoepman heeft er door de haast die wordt gemaakt nog maar weinig vertrouwen in dat de ID-app door burgers wordt omarmd, licht hij telefonisch toe, terwijl het zó cruciaal is dat burgers de app voor 100 procent vertrouwen. Als de ontwikkelaars van de app niets doen met de kritiek, graven ze hun eigen graf en stevent de Europese digitale identiteit in zijn ogen bij voorbaat af op een mislukking.
Doordat niet is gekozen voor de optie die het allerbeste is voor de privacy „maakt het project zich kwetsbaar voor maatschappelijke kritiek, met name uit wantrouwige hoek”, vreest hoogleraar Jacobs. Hoepman maakt datzelfde punt.
Kritiek op de invoer van een Europese digitale identiteit komt tot nu toe vooral van politieke partijen die vaak al wantrouwig staan tegenover overheden. Die zien overheidsinitiatieven voor verdere digitalisering als stappen die digitale surveillance mogelijk maken, en waarschuwen voor ‘China 2.0’. Dat debat is aangewakkerd tijdens de coronapandemie, toen digitale vaccinatiebewijzen werden gebruikt om te bepalen of mensen bij restaurants naar binnen mochten of mochten reizen.
Apple en Google zijn als de croupiers bij dit spel. Zij verdelen de kaarten
Er is geen gezond maatschappelijk debat geweest over de Europese digitale identiteit, benadrukt Roio. „Tot nu toe werken er alleen technici aan”, zegt hij. Het publiceren van complexe technische voorstellen is niet hetzelfde als een echte uitwisseling van standpunten over fundamentele vragen, zoals wat de minimale beveiliging van de wallets zou moeten zijn. „Er is niet actief geprobeerd het maatschappelijk middenveld bij het proces te betrekken.” Hij vindt het een nare gedachte dat zijn feedback, die is bedoeld om het EU-ID beter te maken, kan worden gekaapt door populistische partijen waar hij het absoluut niet mee eens is. „Maar dat moet geen reden zijn het er niet over te hebben.”
Jacobs vindt de beweging richting een Europese digitale identiteit zo’n belangrijke stap in de goede richting dat hij de moed nog niet opgeeft, ondanks zijn fundamentele bezwaren tegen de technische keuzes. „ID-wallets worden een nieuw bouwblok van Europese digitale infrastructuur.”
Een woordvoerder van de Europese Commissie benadrukt dat de technische specificaties een ‘levend document zijn’, maar geeft geen toelichting. Waar Roio vreest dat ontwerpfouten in de eerste fase van een IT-project vrijwel onherstelbaar zijn, houdt Jacobs hoop. „Als het goed is, worden de identiteitswallets zo ingericht dat ze regelmatig geüpdate kunnen worden. Niet alleen voor reparaties van software-bugs, maar ook om de gebruikte cryptografische mechanismen te vernieuwen. Ik blijf ijveren voor verbetering.”