Deze zorgen over de Europese wallet-id zijn nog niet weggenomen
De toenemende macht van Amerikaanse techreuzen in Europa inperken en zelf de touwtjes in handen houden over identificeren op internet. Dat zijn ondermeer redenen waarom Europa met een eigen betrouwbaar inlogmiddel aan de slag gaat. De manier waarop Europeanen zich nu identificeren op internet is namelijk een zorg voor privacy-deskundigen.
Zo ook voor Jaap-Henk Hoepman, hoogleraar Privacy aan de Radboud Universiteit in Nijmegen en de Rijksuniversiteit Groningen. Veel Europeanen gebruiken nu een login bij Facebook of Google als manier om zichzelf te identificeren, zo vertelt hij donderdag op het iBestuur-event in de Haagse Caballero-fabriek. “Bij Apple en Google-platforms komen Wallets op waarmee gebruikers hun identiteit kunnen aantonen. De Apple Wallet bijvoorbeeld, kan zelfs al rijbewijzen uitgeven.” Op die manier krijgen Amerikaanse techreuzen steeds meer gevoelige data van Europeanen in handen. “Dat je hierbij als Europa zelf aan het stuur wil zitten, is zeer begrijpelijk. De Commissie probeert met een nieuwe wet hier handen en voeten aan te geven”, zegt Hoepman.
Over-identificatie
De goede intenties van de Europese Commissie ten spijt, er blijven in wetenschappelijke wereld belangrijke zorgen bestaan over het voorstel van afspraken voor Europese Wallet-ID, die in 2025 moeten gelden.
Een van de zorgen is ‘over-identificatie’. Wie wil inloggen bij een dienstenaanbieder moet misschien wel meerdere gegevens invullen, die niet altijd van belang zijn. Nu vullen veel privacy-bewuste mensen bijvoorbeeld bewust verkeerde leeftijd in wanneer deze gevraagd wordt, om bedrijven niet meer informatie dan nodig te geven. Met de Wallet-ID kan dit niet meer. Hoe voorkom je dat dienstenaanbieders onnodig veel informatie willen hebben vanuit de Wallet?
De dienstaanbieder controleren
Wat Hoepman betreft mag de Europese Commissie hier strikter in zijn dan in het huidige voorstel is uitgewerkt, zo vertelt hij. Een sterkere controle vanuit de Wallet zelf, om te checken of de dienstaanbieder wel gerechtigd is om attributen uit de Wallet op te vragen, kan een uitkomst zijn. “Als iemand in de trein je kaartje controleert of je staande houdt, wil je ook weten of hij wel echt een conducteur of een politieman is. Het zou een mooie aanvulling zijn op het voorstel wanneer zo’n mogelijk wordt ingebouwd in de Wallet.”
Verplichting is onhandig
Wat Hoepman ook anders zou willen zien in het voorstel, is dat Amerikaanse techbedrijven als Facebook en Amazon verplicht worden om het Europese Wallet te accepteren als geldig inlogmiddel bij hun platform. Hij zou dit liever willen omdraaien, zodat er betere voorwaarden gesteld kunnen worden aan de Amerikaanse platforms. “Wanneer je ze verplicht om het te accepteren, kun je ze namelijk ook niet weigeren. Ik zou liever zien dat ze juist géén toegang tot de Wallet-attributen van inwoners krijgen wanneer blijkt dat ze niet aan de Europese standaarden voldoen.”
Amerikaanse smartphone-dominantie
De Europa’s digitale soevereiniteit kan met de Wallet zelfs in het geding komen, omdat deze met een smartphone moet getoond en Amerikaanse grootmachten Apple en Google die markt in handen hebben met Android en Apple stores. “Door de Wallet op smartphones te laten draaien, vlucht je direct naar hun platforms toe. Deze twee partijen kunnen regels stellen voor de toegang op het platform.” Hoepman legt uit dat de Amerikanen regels voor hun appstores unilateraal kunnen wijzigen en apps, waaronder dus ook Wallets, kunnen weigeren of verwijderen. Daarnaast krijgen ze informatie over het gebruik van de Wallet. “Wanneer je niet voldoet aan de voorwaarden van een appstore kan Apple of Android je er zo vanaf schoppen. Terwijl het zelfstandig kunnen uitgeven van een juridische identiteit een kerntaak is van een soevereine staat.”
Uitsluiting
Hoepman is ook niet gerust op de risico’s met betrekking tot uitsluiting. Niet iedereen heeft immers een smartphone, kan deze gebruiken of heeft een smartphone die voldoet aan recente eisen. Niet iedere Nederlander is digitaal voldoende vaardig om een Wallet goed te gebruiken. Ook ziet hij nog een algemeen risico: De binding tussen persoon en eigenschappen. “Hoe weet je zeker dat de getoonde attributen uit een Wallet overeenkomen met de persoon die voor je staat? Een telefoon aan een ander geven, kan. Net zoals je een Netflix-account kan delen.”
Onacceptabele risico's
De Wallet moet uiteindelijk door alle Europese lidstaten en vele aanbieders gebruikt kunnen worden, dat betekent dat al deze partijen betrouwbaar moeten zijn. “Het is alsof je de sleutel van je appartement voor noodgevallen aan de conciërge geeft. Nu geef je de sleutel aan heel veel partijen tegelijk. Is daar genoeg controle en zicht op?”, vraagt Hoepman zich af. Hij heeft twijfels over de verschillende doeleinden van de Wallet. Bij sommige toepassingen kan de Wallet heel goed werken, terwijl het bij andere ‘use cases’ misschien een onacceptabel risico vormt. “De betrouwbaarheid en de waarborging van privacy hangt af van de grote hoeveelheid partijen, componenten en koppelingen die komen kijken bij de ontwikkeling.”
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee