‘Mijmeringen’ is een wekelijkse column van Dongenaar Rinus Krijnen.
QR Pas voorganger Elektronische Identiteit?
Door de Coviduitbraak heeft men met de QR Coronapas een middel in handen gegeven om bij de deur van een plek waar mensen samen komen te kunnen checken of je gevaccineerd of onlangs getest bent en of je al Corona hebt gehad. Als de software van mening is dat het allemaal oké is dan verschijnt er een groene vink en mag je naar binnen. Hier is al veel gedoe over. Als het systeem van mening is dat je niet aan de criteria voldoet is het van: The-computer-says-no. En dan moeten de mensen aan de toegang van het etablissement je helaas de deur wijzen. Inmiddels is dit voor de tegenstanders van Covid-19, anti-vaxxers en mensen met een buitenaards immuunsysteem dit bekend en leidt tot grote onvrede en maatschappelijke onrust. Die hebben dus geen app of ander bewijsformulier en keren zich langzaam van de wereld af.
Nu hebben we het over de corona-app. Dit blijkt echter de opmaat te zijn voor een veel groter in Europees verband omarmd plan. De eID: elektronische identiteit. In goed Engels de digital wallet. Het wordt het internationale digitale identiteitsbewijs waarmee de burger zich eenduidig identificeert bij toegangspoorten, diensten, grenzen, loketten, archieven door middel van geauthentiseerde pasjes, biometrische kenmerken etc. Ze hebben alle als kenmerk dat ze je persoonsgegevens koppelen aan de af te nemen dienst om zeker te weten dat het gaat om de juiste persoon. Welkom in de 21e eeuw. Met een unieke identificatiecode kom je binnen of kun je ergens gebruik van maken. Een dergelijk systeem bestaat al in India. Dat heet Aadhaar. En ook in Nigeria kent men al een eID voor vele diensten. In België kent men een digitale handtekening sinds 2003 met de naam eID, maar deze is uitsluitend nationaal in te zetten.
Consultancybedrijven hebben de toepassingen die mogelijk binnen de eID vallen op een rijtje gezet. Denk aan toegang tot internet, sociale media, abonnementen van streamingdiensten of ticketverkoop in alle vormen, verzekeren, banken, contracten, garanties. Overal waar je persoonsgegevens nodig hebt om iets te bereiken zou met de eID kunnen worden geregeld. En het blijkt dat de techbedrijven in de wereld en met name ook in Europa hier al serieus werk van aan het maken zijn. De Coronapandemie en de bijgaande apps zijn de voorlopers en proefomgevingen. Bij de inzet van eID willen ze daarbij gebruik maken van de blockchaintechnologie, waarbij kraken van de codes vooralsnog niet mogelijk is. Nadeel van de blockchaintechnologie is dat er nooit iets kan worden weggegooid, dus alleen maar groeit qua data. En dat is in strijd met de privacywet AVG. Niet dat de data op straat ligt, maar formeel moeten we data verwijderen als we er geen doelbinding meer mee hebben.
Natuurlijk roept de elektronische identiteit kritiek op. Het Big-brother-is-watching-you-effect wordt nog veel groter omdat je niet alleen gevolgd wordt, maar het systeem ook ingrijpt. Dat is toch een forse inbreuk op de privacy. Zeker omdat geen enkel systeem onfeilbaar is en je de dupe kunt worden van mogelijke identiteitsfraude of incomplete data. Binnen de eID is van alles van je bekend, persoonsgegevens die van belang kunnen zijn om een dienst te mogen afnemen of toegang te verkrijgen. Kom je de kroeg binnen dan geeft jouw eID bij controle alleen aan dat je bijv. voldoet aan de coronaregels en dat je 18 jaar bent als je je biertje afrekent. De controleapp mag dan bijvoorbeeld niet bij je woon- of e-mailadres komen. Zelf heb ik ook al iets meegemaakt op dit terrein. Bij de sportschool combineerde men met een armbandje met chip de controle van de toegang met de corona-app. En prompt ging het mis omdat de interpretatie van de coronagegevens tot een andere conclusie kwam dan de app op mijn smartphone. Inzet van technologie lijkt mooi, maar is erg rigide en kan betekenen dat je buiten de boot valt. Ingrijpen door mensen heeft geen zin, want het is jouw woord tegen dat van de computer. Zelf checken kunnen toegangsbeveiligers niet.
Belangrijk is dat je bij de eID zelf eigenaar van de data blijft. Europa is hiermee al aan de slag. Men noemt dit in het Engels self-sovereign identity (ESSI). Ook al ben je baas van je eigen data, de wijze waarop het wordt beheerd en de data wordt onttrokken bepaalt de veiligheid van verspreiding. De vraag is of dit ooit waterdicht is te krijgen. En kan je als persoon de verleiding weerstaan om de data tegen diensten of geld niet te verkwanselen? Als overheden toegang krijgen bij een centrale opslag van persoonsgegevens -zonder persoonlijke toestemming- kan het zijn dat men selecties maakt om mensen op te sporen, zoals bij de jodenvervolging in Amsterdam waar de burgerlijke standsgegevens werden misbruikt. Je moet dus als persoon wel erg goed beseffen wat je doet met je eID-gegevens. En is iedereen hiertoe wel in staat? Veel beroepen kunnen met de eID en de blockchaintechnologie overbodig worden. Bijna alles wordt onzichtbaar achter je elektronische identiteit. Zijn we wel in staat om de gevolgen hiervan te overzien? En wat blijft er over van je persoonlijke vrijheid?
