Diepgaand artikel: Veelzijdigere EDIW
Dit artikel is geschreven voor mensen die betrokken zijn bij het opstellen van de verordening, met als doel de voorgestelde EDIW veelzijdiger te maken.
Samenvatting
De EU-Commissie heeft een voorstel tot wijziging van de huidige eIDAS-verordening gepubliceerd, waarin een belangrijke wijziging de invoering van een Europese portemonnee voor digitale identiteit (EDIW)1 is. Met deze EDIW kunnen individuen geverifieerde identiteitsgegevens autonoom opslaan en deze gegevens aan publieke en private partijen verstrekken, bijvoorbeeld voor authenticatie of om gekwalificeerde handtekeningen/zegels te maken, zowel online als offline.
Dit artikel belicht processen die over het hoofd zijn gezien en die niet kunnen profiteren van de beoogde EU-vereisten, waardoor transformatie van deze processen naar privacy-vriendelijke gegevensuitwisselingen wordt belemmerd. In overeenstemming met de intentie van de EU om de controle over persoonsgegevens terug te geven aan gebruikers, stellen we voor de eIDAS2-verordening uit te breiden om dit bij elke digitale interactie mogelijk te maken.
Het doel van dit document is om toelichting te geven op de huidige discussies over de nieuwe wijziging van eIDAS. Beveiligingsspecialisten en specialisten in Self Sovereign Identity van ABN AMRO, ING en TNO hebben namens het Partnership Cyber Security Innovation (PCSI) dit diepgaande artikel opgesteld ten behoeve van mensen die betrokken zijn bij het opstellen van de verordening, met als doel de voorgestelde EDIW veelzijdiger te maken.
Inleiding
Technische innovatie, zoals de ontwikkeling van digitale portemonnees, bijv. voor digitale identiteit, biedt partijen nieuwe mogelijkheden om hun gedigitaliseerde activiteiten efficiënter te maken en op te schalen. De EU werkt voortdurend aan het definiëren en implementeren van verordeningen die niet alleen gericht zijn op het benutten van nieuwe kansen, maar ook op het beschermen van haar burgers. Voorbeelden van dergelijke verordeningen zijn AVG, eIDAS en PSD2, die allemaal deel uitmaken van de strategie van de EU die moet leiden tot een grotere digitale eengemaakte markt.
Op het moment van schrijven wordt de eIDAS-verordening gewijzigd. Een van de meest in het oog springende veranderingen is de introductie van een Europese portemonnee voor digitale identiteit (EDIW). De EDIW stelt individuen niet alleen in staat om zich met een sterk middel te authenticeren, zowel online als offline, tegenover zogenaamde ‘vertrouwende partijen’ (VP's), maar geeft hen ook de middelen om ‘attesteringen van attributen2’ lokaal op te slaan. Individuen kunnen besluiten om dergelijke attesteringen op verzoek aan VP's3 te overleggen. Verwacht wordt dat de EDIW zal bijdragen aan meer privacy voor burgers, onder andere door hen in staat te stellen te bepalen met wie ze hun gegevens delen.
De verwachting is dat de introductie van EDIW's (en vergelijkbare portemonnees) het makkelijker zal maken voor individuen om digitaal te interageren, maar er zijn ook voordelen voor VP's. Omdat individuen geen fysiek bewijs meer hoeven te leveren (bijv. kopieën van paspoorten) en omdat de gepresenteerde gegevens veel gespecificeerder kunnen zijn (attributen in plaats van documenten), verwachten we dat transacties aanzienlijk sneller zullen verlopen, terwijl de kosten voor het valideren van gegevens zullen dalen. De verordening anticipeert hierop door verdere toepassing van EDIW's te vermelden voor gebruikssituaties waarbij er gegevens nodig zijn met betrekking tot certificaten, werkervaring, medische informatie, enzovoort. Nog maar een paar jaar geleden schatte TNO dat de totale kostenreductie voor Nederland meer dan 1 miljard euro zou bedragen4.
Er moeten echter nog verschillende problemen worden opgelost voordat deze voordelen werkelijkheid worden. In een ander artikel5 hebben we beveiligingsproblemen geïdentificeerd die verband houden met het gebruik van de EDIW en hebben we maatregelen voorgesteld om deze te verminderen. In dit artikel gaan we in op de kwestie van toepasbaarheid en stellen we een veelzijdiger gebruik van EDIW's voor, zodat ze kunnen worden toegepast op elke digitale interactie.
Twee soorten digitale interactie
We onderscheiden twee soorten digitale interactie voor VP's om gegevens te verkrijgen:
- Lokaal: Gegevens ophalen bij de persoon op wie de gegevens betrekking hebben. In dit patroon vraagt de VP de betrokkene in een transactie om de benodigde gegevens direct te verstrekken. Nu gebeurt dit meestal door formulieren in te vullen en bewijs te leveren dat de gegevens kloppen, zoals de gegevens die je moet verstrekken bij het aanvragen van een hypotheek.
- Bron: Gegevens ophalen uit de bron. In dit patroon verkrijgt de VP de gegevens over een betrokkene in een transactie bij de bron die de gegevens verstrekt. Dit wordt nu meestal gedaan door verbinding te maken met bekende gegevensverstrekkers, zoals de belastingdienst die verbinding maakt met banken om aan het eind van het jaar de saldo's op te vragen van alle klanten. Deze doelen worden nader beschreven in het TNO-innopay rapport 2022 (hoofdstuk 6)6.
Deze patronen worden (vereenvoudigd7) weergegeven in figuur 1. Het onderste deel van de figuur laat zien hoe EDIW's naar verwachting op een ‘lokale’ manier zullen worden gebruikt, waar de wijziging van eIDAS primair op is gericht. Het bovenste deel illustreert processen die gegevens rechtstreeks van de belangrijkste ‘bron’ verzamelen.
Figuur 1: Context van VP's (of gegevensverwerkers) voor het verkrijgen van gegevens
We identificeren zowel EDIW-gerelateerde kenmerken als aanvullende kenmerken die partijen kunnen helpen grip te krijgen op het aanvragen en verkrijgen van ‘gekwalificeerde gegevens’ (of ‘gegevens van hoge kwaliteit’), d.w.z. gegevens die in aanmerking komen om gebruikt te worden voor een bepaald doel dat de partij wil bereiken (een vereiste beschreven in de AVG). Door dit perspectief te gebruiken als basis voor het uitwisselen van gegevens, kunnen partijen veel beter nadenken over waar en hoe ze gekwalificeerde gegevens kunnen verkrijgen en welke garanties nodig zijn om te beslissen wat gegevens geldig maakt voor welke doeleinden. Het is misschien zelfs mogelijk om naadloze naleving van verordeningen aan te tonen, geschillen te behandelen en Maatschappelijk Verantwoord Ondernemen te bevestigen.
Vertrouwende partijen kunnen kiezen welk(e) kanaal (kanalen) ze verkiezen te gebruiken voor het verkrijgen van gekwalificeerde gegevens en hoe de vereiste garanties worden gegeven. Vanuit het perspectief van informatieverwerking wordt de voorkeur gegeven aan communicatiekanalen die de beste garanties bieden voor een bepaald doel. Volgens de nu voorgestelde wijziging moeten de kanalen onder andere de volgende waarborgen bieden:
- Garantie van doelgerichte gegevensuitwisseling (voorkomen van hamsteren van gegevens)
- Garantie tegen blootstelling van informatie aan afgevers (voorkomen van tracering)
- Garantie van onweerlegbaarheid van interacties (digitale handtekeningen en toestemming)
De paradoxale situatie van de lokale context
Er is een paradoxale situatie bij het introduceren van identiteitssystemen, of in feite elk systeem dat afhankelijk is van een veelheid aan partijen. Het zal alleen door een partij worden geïmplementeerd als andere partijen dat al hebben gedaan. De wijziging van eIDAS 2 voorziet terecht in het minimum dat nodig is voor identificatieprocessen: de verplichting voor lidstaten om paspoortgegevens te verstrekken en de verplichting voor VP's om deze te aanvaarden. Hier houdt de verplichting echter op en wordt de verdere verfijning van het verzamelen van identiteitsinformatie overgelaten aan de VP. Als de VP een bedrijf is, bestaat er een grote kans dat het zal terugvallen op legacy-systemen als het gebruik van EDIW's geen duidelijk zakelijk voordeel biedt. Dit is natuurlijk het geval als de benodigde informatie helemaal niet als identiteitsgegevens wordt afgegeven, wat in het begin waarschijnlijk in veel gevallen zal gebeuren, omdat afgevers weinig stimulans hebben om meer identiteitsgegevens af te geven. Een VP zou de afgifte van identiteitsgegevens kunnen stimuleren door te betalen voor het gebruik ervan. Hoewel de VP het voordeel heeft dat het digitale processen vlotter en kosteneffectiever kan laten verlopen, is vergoeding voor afgegeven identiteitsgegevens moeilijk omdat de VP onbekend is bij de afgever en de aard en het gebruik van de identiteitsgegevens niet bekend zijn bij de verificateur vanwege de soevereine aard van de lokale context. Bovendien is het mogelijk dat de consument (of houder) niet bereid is om te betalen en in plaats daarvan zal kiezen voor ‘gratis’ diensten, zoals die worden aangeboden door de Big Tech-dienstverleners.
Regelgeving kan organisaties verplichtingen opleggen, niet alleen in hun rol als VP, maar ook in de rol van afgever, bijvoorbeeld om persoonlijke identificeerbare informatie (PII) als identiteitsgegevens te kunnen verstrekken. Dit kan direct in het verlengde liggen van het recht op toegang tot persoonsgegevens, dat momenteel van kracht is in het kader van de AVG. Hoewel het verstrekken van PII een grote last zou zijn, geeft de 80/20-regel aan dat in de meeste gebruikssituaties dezelfde identiteitsgegevens opnieuw zullen worden gebruikt, dus dergelijke verplichtingen kunnen misschien beperkt worden tot nuttige en veelgebruikte subsets voor elke sector. Voorbeelden van veelgebruikte attesteringen zijn: het hebben van een bankrekening, een telefoonnummer van een telecombedrijf, een inkomensverklaring van de belastingdienst of het ontvangen van een uitkering van de gemeente.
Maar hoewel dit een stimulans is, kan een regelrechte verplichting de markt compliceren, net zoals we hebben gezien met de PSD2-verordening die de financiële sector heeft opengesteld. Hoewel het niet nuttig is om specifieke taxonomieën in de verordening zelf op te nemen, zou de toolbox8 een of meerdere taxonomieën kunnen bevatten die relevant zijn voor specifieke industrieën. Dit zou de interoperabiliteit van gegevens en de opmaak van gegevens garanderen, zodat ze efficiënt opnieuw te gebruiken zijn. We stellen daarom voor om dynamische taxonomieën aan de toolbox toe te voegen, die identiteitsgegevens voor specifieke branches dekken. Hieronder vallen processen die organisaties aanmoedigen om na te denken over welke gegevens in het bezit zijn van andere partijen, maar nog niet beschikbaar zijn gesteld, en hoe deze aan deze taxonomieën kunnen worden toegevoegd.
Kansen in de broncontext
Hoewel de verordening op dit moment zorgvuldig is geformuleerd om bronsystemen niet uit te sluiten, is deze voornamelijk gebaseerd op de lokale context. Bovendien zijn er wijzigingen ingediend om de verordening strikt te beperken tot lokale portemonnees9. Processen kunnen afhankelijk zijn van systemen die gegevens direct van de bron halen, zoals weergegeven in figuur 1. Deze processen vereisen echter dat persoonlijke gegevens worden uitgewisseld en profiteren nog steeds van de voorafgaande toestemming van gebruikers, privacymaatregelen en controleerbaarheid achteraf: doelen die de verordening nastreeft.
Ons voorstel is om bronsystemen expliciet in meer detail toe te voegen aan de verordening of de toolbox. Als EDIW-waarborgen van toepassing zouden zijn op bronsystemen in aanvulling op lokale systemen, zou een aanzienlijk groter deel van alle digitale processen gedekt kunnen worden, wat de voordelen voor de maatschappij zou maximaliseren. VP's zouden dan gebruik kunnen maken van alle gegevensuitwisselingsstructuren onder de nieuwe verordening, zoals directe verbindingen of zogenaamde ‘sluice’-oplossingen, zolang ze maar handelen volgens dezelfde privacy- en veiligheidswaarborgen die de verordening vereist.
Dit geldt met name voor de volgende algemene situaties en gebruikssituaties:
Voorbeelden van processen waarbij betrokkenheid van gebruikers onmogelijk is
Er zijn processen waarbij een gebruiker niet betrokken kan zijn, terwijl er toch persoonlijke gegevens moeten worden uitgewisseld waarvoor de juiste toestemming vereist is. Deze processen moeten nog steeds op een beschermde, transparante en onweerlegbare manier worden uitgevoerd. De belangrijkste redenen waarom processen de gebruiker niet betrekken – of niet kunnen betrekken – zijn:
- Het is mogelijk dat processen moeten functioneren, zelfs als er geen gebruikers beschikbaar zijn. In het meest extreme geval kan iemand zelfs fysiek niet in staat zijn om deel te nemen vanwege een medische situatie. In een dergelijke situatie moet het bijvoorbeeld nog steeds mogelijk zijn om persoonlijke gegevens uit te wisselen met medische professionals en verzekeringsmaatschappijen
- Processen kunnen vereisten hebben die ervoor zorgen dat gebruikers buitenspel worden gezet bij de feitelijke gegevensuitwisseling. Bijvoorbeeld tijdens een politieonderzoek of tijdens ken-uw-klant-processen van banken (de gebruiker mag niet alle inhoud zien en een gebruiker mag misschien niet eens weten dat er een door gebeurtenissen aangestuurd onderzoek plaatsvindt)
- Processen die gebaseerd zijn op wettelijke verplichtingen, vooral wanneer gebruikers een prikkel hebben om geen toestemming te geven voor het delen van hun gegevens, kunnen problemen hebben met een systeem dat alleen vertrouwt op toestemming van de gebruiker. Naast uitdrukkelijke toestemming, mogen gevoelige gegevens volgens de AVR om verschillende wettelijke redenen worden gedeeld en verwerkt. Deze processen kunnen nog steeds baat hebben bij het vereisen van toestemming, maar niet van de betrokkene persoonlijk. Bijvoorbeeld wanneer persoonlijke gegevens moeten worden uitgewisseld op basis van een uitspraak van een rechter of een ander wettelijk mandaat. In dergelijke gevallen is er behoefte aan toestemming en controleerbaarheid, maar dan van de rechter of het rechtssysteem in plaats van de gebruiker
Voorbeelden van processen waarbij betrokkenheid van gebruikers onpraktisch is
- Wat als een proces afhankelijk is van zeer dynamische persoonsgegevens die vaak veranderen? We noemen deze gegevens ook wel ‘volatiele gegevens’ omdat ze vaak kunnen veranderen, of er verwacht wordt dat ze gaan veranderen en dat dit op elk moment kan gebeuren. Het wordt praktisch onmogelijk om de gebruiker elke keer te betrekken als er een datapunt moet worden bijgewerkt. Een goed voorbeeld zijn de Open Banking API's die het uitwisselen van financiële informatie vergemakkelijken. Deze processen zijn al afhankelijk van uitdrukkelijke toestemming en wisselen zeer gevoelige informatie uit. Idealiter worden dergelijke informatiestromen door de gebruiker georkestreerd in een gecertificeerde EDIW
- Wat als een identiteitsgegeven dat wordt gedeeld met veel vertrouwende partijen wordt bijgewerkt? Het zou een omslachtige taak zijn en waarschijnlijk niet bovenaan de takenlijst van een gebruiker staan om bijgewerkte gegevens met alle afzonderlijke VP's te delen. Als dit niet gebeurt, zal dit leiden tot inconsistente, verouderde gegevens die verspreid zijn over meerdere serviceproviders. Een goed voorbeeld is een adreswijziging. Gebruikers zullen nog steeds handmatig naar een groot aantal serviceproviders moeten gaan om de wijziging te voltooien, zelfs met de huidige voorgestelde portemonnees voor digitale identiteit (EDIW). Hierdoor blijft de gebruiker bijna altijd zitten met niet-bezorgde post of de mogelijkheid dat gevoelige persoonlijke gegevens in handen komen van de nieuwe huurders, bijvoorbeeld wanneer de bank de nieuwe creditcard naar het oude adres stuurt
Conclusie en aanbeveling
De wijziging die portemonnees voor digitale identiteit introduceert, maakt veel privacyvoordelen mogelijk voor burgers in processen die momenteel afhankelijk zijn van identificatieprocessen. Zij biedt partijen ook nieuwe mogelijkheden om hun gedigitaliseerde activiteiten efficiënter te maken. We hebben echter twee kwesties vastgesteld die de voordelen van de doelstellingen van deze verordening kunnen beperken.
Ten eerste zijn de lidstaten op dit moment verplicht om paspoortgegevens te verstrekken en moeten essentiële vertrouwende partijen (zowel publiek als privaat) deze gegevens accepteren via de portemonnee voor digitale identiteit. Er zijn echter weinig prikkels voor partijen om meer dan de verplichte attributen af te geven. Dit betekent dat we in een paradoxale situatie terecht kunnen komen waarin veel veelbelovende gebruikssituaties niet worden gerealiseerd door een gebrek aan afgegeven identiteitsgegevens. We stellen voor stimulansen toe te voegen om potentiële afgevers van attributen te stimuleren en dynamische sectorspecifieke taxonomieën op te zetten.
Ten tweede, hoewel EDIW veel privacyproblemen kan oplossen en gebruikers weer controle geeft over hun gegevens, vallen niet alle gebruikssituaties onder dit patroon. Er is een extra context nodig: het verkrijgen van gegevens bij de bron. Deze context zou de overgang stimuleren van privacy-onvriendelijke gegevensuitwisselingen naar privacy-vriendelijke alternatieven, vergelijkbaar met de aanpak van lokale portemonnees. Het certificeren van deze alternatieven zou industriesectoren stimuleren om privacyvriendelijke alternatieven te gebruiken, niet alleen voor sommige transacties, maar voor alle interacties waarbij persoonsgegevens betrokken zijn.
Daarom moet de verordening ook betrekking hebben op de bescherming van gebruikersgegevens in processen waarbij gegevens bij de bron worden verkregen, door de verordening uit te breiden tot “alle digitale interacties waarbij persoonsgegevens worden verwerkt”.
Onze aanbeveling is dat de toolbox systemen bevat – of gemakkelijk met systemen kan worden uitgebreid – die brongebaseerde methoden mogelijk maken met betrekking tot de hierboven beschreven vereisten. De toolbox moet een levend document zijn, dat up-to-date wordt gehouden met nieuwe technologieën en met specifieke aandacht voor verschillende methodologieën.
1. KU Leuven heeft drie blogs gepubliceerd waarin de veranderingen worden samengevat: de eerste geeft een algemeen overzicht, de tweede richt zich op elektronische identificatie en gegevensbescherming, en de derde geeft een overzicht van de nieuwe vertrouwensdiensten in het voorstel
2. Attesteringen van attributen: gegevens over een individu waarvan kan worden bewezen dat ze afkomstig zijn van de vermeende afgever, en die ook bewijs bevatten dat de inhoud niet is gewijzigd
3. Dat wil zeggen, alleen VP's die geregistreerd zijn om EDIW's te gebruiken
4. Pascal Wissink, ‘SSI savings on a European scale’, TNO-analyse
5. Diepgaand artikel PCSI: Verlies van controle door EDIW
6. TNO-innopay rapport 2022 (hoofdstuk 6)
7. Er zijn andere kanalen waarlangs gegevens kunnen worden uitgewisseld (bijv. e-mail, fax, enz.)
8. Website van de Europese Commissie over toolbox
9. Amendement AM 387 - Art. 6 bis, lid 4, punt d bis (nieuw) (Renew Europe) Alin Mituța, Nicola Danti, Nicola Beer, Christophe Grudler, Karen Melchior, Dragoş Tudorache, Dragoş Pîslaru, Vlad Gheorghe (punt d bis)
"waarborgen dat er geen gebruik wordt gemaakt van een gemachtigde tussenpersoon en dat gegevens rechtstreeks worden gedeeld tussen twee Europese portemonnees voor digitale identiteit of tussen de Europese portemonnee voor digitale identiteit van een gebruiker en een vertrouwende partij"
Related project
Deel deze pagina