Fr

TECH

Digitale ID ... meer reëel dan virtueel, door Agnès Maqua & Hannah Tacheny, partners @Adastone

Donderdag 9 November 2023

Digitale ID ... meer reëel dan virtueel, door Agnès Maqua & Hannah Tacheny, partners @Adastone

Op 3 oktober nam Agnès Maqua in het gezelschap van Nicolas Lierman (MultiMinds) deel aan de MM Tech Club met als thema ‘Unmasking the Future of Identity—From SSI to Web 3 & Beyond!’. Aangezien de reglementering rond de digitale EU volop evolueert binnen de Europese Unie, vroegen we haar om de inhoud, doelstelling en ambities ervan toe te lichten.

Er wordt steeds meer gesproken over digitale ID’s. Is dat een juridisch, economisch of technisch begrip? Heeft het betrekking op individuen of bedrijven? Wat is precies de bedoeling?

Elk individu heeft een identiteit in de echte wereld en een identiteit in de digitale wereld, al was het maar door het bezit van een elektronische identiteitskaart. Dit is wat bekend staat als de administratieve of centrale identiteit; met andere woorden, de identiteit die gekoppeld is aan de burgerlijke staat van een individu (achternaam, voornamen, geboortedatum en -plaats, nationaliteit, burgerlijke staat, geslacht, nationaal registratienummer, enz.). Maar we hebben of kunnen ook andere digitale identiteiten hebben die gekoppeld zijn aan andere parameters dan de administratieve kenmerken, zoals een pseudoniem, stem- of gezichtsherkenning, waarmee we toegang hebben tot digitale producten of diensten.

Aangezien we te maken hebben met persoonlijke gegevens die een individu en dus een potentiële consument identificeren, moet dit concept vanuit drie invalshoeken worden bekeken: juridisch (gegevensbescherming), technisch (gegevensbeveiliging en consumentenvertrouwen in digitale tools) en economisch (gebruik van gegevens door bedrijven en toegang tot digitale portefeuilles).
De Europese Commissie werkt aan de invoering van een Persoonlijke Digitale Portemonnee voor Europese burgers en ingezetenen. In welke wettelijke context kadert dit ontwerp?

De EU Digital Identity Wallet (EUDIW) maakt deel uit van het initiatief om een Europese digitale eenheidsmarkt tot stand te brengen, in lijn met de Digital Decade strategie van de Europese Unie. Met dit in gedachten heeft de Europese Commissie een aantal documenten gepubliceerd: aanbevelingen, besluiten en andere impactanalyses, ter attentie van de lidstaten, overheidsbedrijven en privéondernemingen en burgers. 

De EUDIW is slechts een van de componenten, maar wellicht wel de belangrijkste, van dit Europese beleid dat gericht is op het waarmaken van vier belangrijke doelstellingen tegen 2030: 

1. Een digitaal geletterde bevolking en hoogopgeleide digitale professionals;
2. Veilige en duurzame digitale infrastructuren
3. De digitale transformatie van bedrijven
4. De digitalisering van overheidsdiensten.

Digital Decade Policy program : targets for 2030
De EUDIW is gebaseerd op de principes en normen van de eIDAS-verordening (Electronic Identification And Trust Services), ontworpen om de totstandkoming van een Europese interne markt voor vertrouwensdiensten te bevorderen. De EUDIW heeft tot doel een Europees systeem voor digitale identiteit op te zetten dat zowel interoperabel als beveiligd is, wat moet bijdragen aan de implementatie van de eIDAS en de bevordering van digitaal vertrouwen binnen de Europese Unie.

Bij de uitvoering van dit programma moet ook rekening worden gehouden met bestaande wetgeving en in het bijzonder met de verordening betreffende de bescherming van persoonsgegevens (GDPR) en de verordening betreffende cyberbeveiliging.  

Het is dus een zeer ambitieus programma waarvan de uitvoering in de 27 lidstaten tijd zal vergen, met 2030 als streefdatum.
Wat zijn de voornaamste kenmerken van deze Wallet?

De EUDIW zal alle kenmerken van een individu kunnen opslaan, of ze nu binnen de wettelijke administratie vallen of niet.  De portemonnee zal ook andere identiteitsgegevens kunnen hosten, zoals diploma's, rijbewijzen, verblijfsvergunningen, medische voorschriften, enz.

De belangrijkste kenmerken van de portemonnee zijn
 
- Facultatieve en gratis inburgering
- Selectieve openbaarmaking van kenmerken (dataminimalisatie)
- Soevereiniteit (vrijheid en controle van de houder)
- Interoperabiliteit op EU-niveau
- Veiligheid (privacy by design)

De praktische alledaagse toepassingen van de Wallet zijn zeer aantrekkelijk in termen van gebruiksgemak voor alle burgers (autohuur, hotel check-in, luchthaven check-out, het openen van een rekening, inschrijven aan een Europese universiteit, enz.).

Hoever staat het vandaag op reglementair vlak?

Tot op heden is het geldende wettelijke kader dat van de eIDAS in zijn eerste versie, namelijk die van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties op de interne markt. 

Dat de Commissie in 2014 voor een verordening heeft gekozen, is juist omdat een verordening, in tegenstelling tot een richtlijn die in nationaal recht moet worden omgezet om in werking te treden, rechtstreeks toepasselijk is zonder omzetting door een gedifferentieerde nationale norm. Een verordening is dus in haar geheel van toepassing zonder lokale verschillen, waardoor de regel op Europees niveau kan worden geharmoniseerd.

De GDPR, waarmee alle bedrijven ondertussen vertrouwd zijn, is precies om deze redenen een verordening.
Zonder al te veel in detail te treden, was en is de eIDAS-verordening van 2014 bedoeld om nationale elektronische identificatiesystemen in heel Europa interoperabel te maken om de toegang tot online diensten te vergemakkelijken. De belangrijkste troeven zijn onder andere de elektronische handtekening, die we ten volle hebben benut tijdens de eerste coronagolven en die vandaag nog steeds een hulpmiddel is in ons dagelijks leven voor zowel authentieke akten als commerciële contracten. De eIDAS regelt ook elektronische stempels, elektronische uurbepaling, elektronische aangetekende postdiensten en websiteverificatie.

In de eIDAS-verordening van 2014 was bepaald dat de Commissie de toepassing van de verordening in juli 2020 zou evalueren; dat gebeurde door rechtstreeks een voorstel tot wijziging van de geldende verordening in te dienen om die nog doeltreffender te maken, de toepassing tot de privésector uit te breiden en de promotie te verzekeren.

De eIDAS heeft zijn nut bewezen en grote vooruitgang geboekt, met name op het gebied van elektronische transacties, maar de tekst is verouderd en moet worden aangepast aan de behoeften van burgers en bedrijven en aan de technologische ontwikkelingen.

Wat is de eIDAS 2.0? Wat brengt deze nieuwe verordening?

Zoals de naam al aangeeft, is de eIDAS 2.0 geen nieuwe verordening, maar een ‘verbeterde’ versie van de bestaande. Dankzij deze aanpassing zullen burgers en bedrijven kunnen beschikken over digitale portfolio's die hun nationale identiteit koppelen aan bewijzen van features als diploma's, rijbewijzen, bankrekeningen, medische gegevens, enzovoort.

Gebruikers zullen hun identiteit kunnen bewijzen en documenten elektronisch kunnen delen vanuit hun digitale portefeuille met behulp van hun mobiele telefoon.

Met deze nieuwe voorzieningen hoopt de Commissie dat tegen 2030:

- alle overheidsdiensten online beschikbaar zullen zijn,
- alle burgers toegang zullen hebben tot hun digitale medische dossiers;
- 80% van de EU-burgers tegen 2030 een digitale identiteitskaart zal hebben. Het doel van deze nieuwe versie is om het vertrouwen van burgers en gebruikers in het algemeen in digitale interacties binnen de EU te versterken. De sleutelwoorden van dit voorstel zijn veiligheid en controle.

✅ Het doel van de EUDI Wallet is daarom om de identiteitsdocumenten van Europese burgers samen te voegen en ze geldig te maken in elke lidstaat.

✅ Het doel is ook om de hoeveelheid informatie die wordt gedeeld te beperken tot wat strikt noodzakelijk is, met maximale vertrouwelijkheid.

Wat is het verschil tussen de ISS en de EUDIW?

Beide concepten zijn bedoeld om het beheer van digitale identiteiten te vereenvoudigen en burgers de controle over hun identiteit terug te geven, maar ze verschillen in hun aanpak: het ene is van nature een particulier initiatief (ISS) zonder de betrokkenheid van vertrouwde derde partijen; het andere is een initiatief van de overheid dat een beroep doet op gekwalificeerde vertrouwde dienstverleners.  Ze kunnen dus naar keuze van de burger naast elkaar bestaan.

SSI, of Self-Sovereign Identity, stelt de soevereiniteit van het individu centraal in zijn model. Het stelt gebruikers in staat om hun identiteitsinformatie te bezitten, te controleren en te delen op een gedecentraliseerde manier, waardoor het niet langer nodig is om te vertrouwen op vertrouwde derde partijen. Deze benadering maakt vaak gebruik van Distributed Ledger Technology, zoals blockchain, om de veiligheid en vertrouwelijkheid van identiteitsgegevens te garanderen. SSI wil de volledige controle over zijn digitale identiteit teruggeven aan het individu, de afhankelijkheid van grote gecentraliseerde entiteiten voor identiteitsverificatie verminderen en de beveiliging verbeteren. Kortom, SSI bevordert individuele soevereiniteit en de decentralisatie van digitale identiteit.

In tegenstelling tot de SSI beoogt de Europese portemonnee, die de houder evenveel autonomie en beslissingsbevoegdheid geeft, garanties te bieden voor een hoog niveau van beveiliging en controle over het gegevensbeheer. De eIDAS wil het aanbieden van een zeer veilige persoonlijke digitale identiteitsportefeuille die door de lidstaten wordt uitgegeven reguleren. Bijgevolg is dat doel per definitie ambitieuzer, omdat het Europese burgers in staat wil stellen toegang te krijgen tot openbare of particuliere diensten in de hele EU met behulp van een enkele digitale identiteit, terwijl ze volledige controle behouden over de gegevens die ze delen zonder dat ze hun toevlucht moeten nemen tot particuliere identificatiemethoden (bijv. Apple, Google, enz.) of onnodige hoeveelheden persoonlijke informatie moeten delen voor een dienst die dat niet vereist.

Het bezit van een enkele digitale portemonnee die gebruikt kan worden voor zowel overheidsdiensten als diensten die worden aangeboden door particuliere bedrijven in de hele EU, is natuurlijk een groot voordeel. Voeg daarbij maximale veiligheid, een betrouwbare dienst en vertrouwd label, specifieke verantwoordelijkheden, volledige controle over persoonlijke gegevens en het feit dat de portemonnee gratis is voor burgers, en het is vrijwel zeker dat veel burgers wel te vinden zullen zijn voor deze Europese portemonnee.

Wat staat er op het spel?

De inzet blijft hoog, aangezien de portemonnee onze digitale dubbel wordt!

De eerste kwestie is veiligheid. De Raad en het Europees Parlement vragen om een hoog beveiligingsniveau, zelfs als dat betekent dat Wallet omslachtiger en minder gebruiksvriendelijk moet worden.

De kosten zijn ook een obstakel. De 30 miljoen euro aan uitgaven in de begroting van de Commissie zinkt in het niet vergeleken met de 3,2 miljard euro die het opzetten en gebruiken van Wallet de lidstaten, gekwalificeerde dienstverleners, vertrouwde online dienstverleners en bedrijven zal kosten, als je bedenkt dat Wallet gratis zal zijn voor burgers.

In haar impactanalyse benadrukt de Commissie echter de verwachte voordelen, die zij raamt op 3,9 miljard tot 9,6 miljard euro (innovatie, internationale handel, concurrentievermogen, economische groei, enz.

Technologische veranderingen voor bedrijven die al hebben geïnvesteerd in digitale identiteitstoepassingen (bijv. banken met ITSME). Met het risico van incompatibiliteit. Bepaalde diensten zullen echter verplicht zijn om Wallets te accepteren: banken, telecommunicatiediensten, energie, sociale zekerheid, postdiensten, onderwijs, enzovoort. Hetzelfde geldt voor de grote platforms (Google, Meta, Amazon, enz.), die ook verplicht zouden moeten worden om Wallets te accepteren, zonder echter een andere toegangsmethode, die aan de keuze van de consument wordt overgelaten, uit te sluiten.

Wanneer wordt de eIDAS 2.0 verordening van kracht?

De nieuwe verordening wordt momenteel besproken en onderhandeld in het Parlement en de Raad. Na afloop van de onderhandelingen zal de tekst worden voorgelegd aan het Coreper, het comité van permanente vertegenwoordigers van de verschillende lidstaten, onder voorzitterschap van de ambassadeur van het land dat het voorzitterschap van de Raad bekleedt, en ten slotte aan de plenaire vergadering van het Parlement. Gezien de vooruitgang die dit voorjaar is geboekt, zou de verordening redelijkerwijs eind 2024 in werking kunnen treden.

Het Belgische voorzitterschap, dat op 1 januari 2024 begint, zou van deze eIDAS 2.0-verordening dus een belangrijk agendapunt kunnen maken, ook al geeft het voorzitterschap de EU niet meer beslissingsbevoegdheid, maar ongetwijfeld wel meer overtuigingskracht.

Er moet echter worden opgemerkt dat met het oog op de Europese verkiezingen in juni 2024 de actie van het Belgische voorzitterschap van kortere duur zal zijn.

Ondertussen werkt België al aan het opzetten van een digitale portefeuille in de vorm van een beveiligde applicatie die beschikbaar is op smartphones, waarvan de eerste versie eind dit jaar wordt verwacht.

Archief / TECH