Er is veel te doen over de Amerikaanse overname van DigiD. Maar is het systeem straks niet overbodig?
Digitale soevereiniteit De opvolger van DigiD staat al klaar: over een paar jaar gebruiken burgers een ‘identiteitswallet’, volgens experts „een pronkstuk voor de Europese digitale autonomie”. Kan Europa niet sneller overstappen? Zes vragen en antwoorden.
Brenno de Winter had zijn bijdrage aan het rondetafelgesprek in de Tweede Kamer op 27 januari zorgvuldig voorbereid. De privacy- en ict-expert was gevraagd mee te denken over mogelijke gevolgen van de overname van Solvinity, het bedrijf dat de Nederlandse inlog-app DigiD runt. Een Amerikaanse branchegenoot wil deze cruciale dienstverlener inlijven. Daar is de Kamer van geschrokken, want dat geeft Amerikanen nog meer greep op vitale digitale infrastructuur in Nederland.
Risico’s kun je accepteren, verminderen, bij een ander neerleggen of vermijden, schetste De Winter, die tijdens de pandemie een grote rol speelde bij de bouw van de contactonderzoeksapp CoronaMelder. En voor ‘vermijden’ bestaat in dit geval een logisch scenario. Want als de Nederlandse overheid koste wat kost risico’s wil uitsluiten bij een Amerikaanse overname van Solvinity, dan kan ze ook versneld overstappen naar de opvolger van DigiD, de Europese digitale identiteit. Die optie beschreef ook een van de andere experts die de Kamer informeerden, hoogleraar Paul Timmers van de universiteit in Leuven. Hij is voormalig directeur bij de Europese Commissie.
Wat houdt die versnelde overstap in? Dat blijkt een ingewikkeld verhaal. De Winters ingezonden stuk was lang, vergeleken met dat van de andere acht experts, maar hij vindt het belangrijk uitleg te geven over cyberbeveiligingsrisico’s, vertelt hij telefonisch. Af en toe is een beetje ict-les nodig, bedoeld om Kamerleden te helpen bedenken hoe het verder kan gaan met DigiD. De parlementariërs stelden hem „helaas” geen vragen over dat scenario, vertelt De Winter, maar dat kan hij goed begrijpen: „Ik denk dat het gewoon veel voor ze is.”
Wat is de Europese digitale identiteit?
Iedere EU-lidstaat moet zijn burgers per 2027 een zogenoemde ‘wallet’ aanbieden. Dat is een soort kluis op je telefoon, waarin je belangrijke gegevens over jezelf bewaart die zijn afgegeven door instanties. Van je geboortecertificaat tot je diploma’s en rijbewijs. Die kluis kun je vervolgens gebruiken om belangrijke gegevens over jezelf veilig te delen, maar ook om in te loggen.
De EU verplicht tal van instanties om zo’n inlog te accepteren. Dat zou het bijvoorbeeld makkelijker moeten maken als iemand in het buitenland wil gaan studeren, een rekening wil openen of een auto wil huren. Of wil inloggen bij een overheidsdienst om belastingaangifte te doen of een uitkering aan te vragen.
Ook online platformen worden gedwongen de wallets te accepteren. Dat geldt ook voor Chinese en Amerikaanse platformen die nu veel verdienen aan datahandel, zoals Meta (van Instagram, WhatsApp en Facebook) en Alphabet (Google), en die er dus belang bij hebben om zélf de identiteiten te beheren en om mensen zoveel mogelijk gegevens bij hen te laten bewaren.
Bart Jacobs, hoogleraar computer security, privacy en identiteit aan de
Radboud Universiteit in Nijmegen, noemt de wallets „een pronkstuk voor de Europese digitale autonomie”, omdat ze de macht van die bedrijven kunnen helpen verkleinen.