Nederlanders legitimeren zich bij de overheid online via hun DigiD, hebben een account op Facebook of Netflix en een klantprofiel bij webshops als Bol.com. Je hebt zo een scala aan ‘digitale identiteiten’. Om burgers zich op veilige wijze digitaal te laten identificeren, zal daar in Europa binnenkort een nieuwe vorm van legitimatie bij komen: de wallet, een digitale kluis die je op je telefoon kunt installeren.

De overheid of een instantie geeft een bepaald bewijs af, zoals een fysieke ID-kaart, een rijbewijs, je salarisstrook of een overzicht van je studieschuld. Dat kan vervolgens worden opgevraagd en ingezien door daartoe bevoegde instanties, zoals een NS-controleur, een bank of een hypotheekverstrekker.

Straks kun je die informatie zelf in je wallet bewaren en beheren, en kies je per situatie welke partjes informatie je deelt. In plaats van je ID-kaart te laten zien – met je volledige naam, je geboortedatum en je burgerservicenummer erop – wanneer je alcohol koopt, toon je dan alleen aan dat je ‘meerderjarig’ bent. Wil je een lening afsluiten, dan volstaat de aanduiding ‘geen studieschuld / studieschuld onder de drempelwaarde’. Attribute-based credentials heet dat: kleine stukjes informatie, de zogenaamde ‘attributen’, die je zelf deelt: self-sovereign identity, oftewel ‘baas over eigen data’. 

Dat is in lijn met het beleid van de EU, die waarde hecht aan uitgangspunten als dataminimalisatie, zo weinig mogelijk informatie afgeven, en privacybescherming. De wallet houdt niet bij welke gegevens je deelt, noch met wie.

In de Verenigde Staten kan de Wallet-app van Apple al officiële Amerikaanse identiteits- en rijbewijzen beheren

Burgers worden overigens niet verplicht om een door de overheid uitgegeven wallet te nemen. Ook private partijen zijn bezig ze te ontwikkelen; hun wallets kunnen worden ‘erkend’ en dan worden gebruikt voor overheidsdocumenten, zoals je rijbewijs en je paspoort.

Techbedrijven Google en Apple hebben sowieso een belangrijke rol in deze ontwikkeling, aangezien zij de besturingssystemen van telefoons in handen hebben. Zij werken al langer met wallets, bijvoorbeeld om digitale bioscoop- en concertkaartjes in te bewaren. In de Verenigde Staten kan de Wallet-app van Apple al officiële Amerikaanse identiteits- en rijbewijzen beheren. Het initiatief van de Europese Unie is een reactie op deze ontwikkelingen: de EU wil wildgroei tegengaan, door een raamwerk op te zetten waaraan wallets moeten voldoen om erkend te worden.

Lidstaten kunnen hun eigen wallet bouwen of met een commerciële wallet in zee gaan; ze krijgen daarvoor tot 2025 de tijd. Die verzameling erkende wallets en het raamwerk met afspraken eromheen heten samen de Europese Digitale Identiteit (EDI). De NL Wallet is de eerste Nederlandse proefversie, en is open source gebouwd. ‘Ik snap dat je digitale identiteit binnen Europees bestek wilt vormgeven. Goed dat het gebeurt op basis van attributen, wat in essentie een privacyvriendelijke manier is,’ zegt universitair hoofddocent Jaap-Henk Hoepman, die onderzoek doet naar digitale identiteit.

Willekes wallet

‘Dan mag u nu een drankje bestellen bij de barman,’ ’zegt een ambtenaar bij een presentatie van het ministerie van Buitenlandse Zaken en Koninkrijksrelaties (BZK). Staatssecretaris Alexandra van Huffelen speelt de virtuele Willeke (25), die na haar bachelor een tussenjaar neemt. De ambtenaar helpt haar met het uitproberen van de NL Wallet. 

Het publiek kijkt mee op het scherm. ‘Willeke’ heeft zojuist haar identiteit bevestigd met haar DigiD. 'Welkom in de demoversie van de NL wallet,' leest Van Huffelen. 'Jij bepaalt met wie je je gegevens deelt.'

Van Huffelen bekijkt de tijdlijn van de app, die bijhoudt wanneer ze welke informatie heeft gedeeld. ‘Arm gebroken. Zorgpas gedeeld. Top’

Als de virtuele barman haar ID-kaart of wallet vraagt om haar leeftijd te controleren, laat de staatssecretaris een code uit de wallet zien. De barman scant die en ziet gegevens en een foto van Willeke op zijn telefoon verschijnen. 

Later logt 'Willeke' in op een online tweedehandswinkel, huurt ze een camper in Spanje en deelt ze haar zorggegevens met een arts die haar behandelt na een val met de mountainbike – allemaal via haar wallet. In de toekomst kun je ook een bonuskaart van een supermarkt aan je wallet toevoegen, zegt een ambtenaar. Van Huffelen ziet in de app een tijdlijn die precies bijhoudt wanneer ze welke informatie heeft gedeeld. ‘Arm gebroken. Zorgpas gedeeld. Top.’

Na de presentatie ontstaat een levendige discussie. Het imaginaire café De Dobbelaar mag na het serveren van een whiskey de gegevens niet opslaan. Dat is juridisch dicht te timmeren, maar technisch nooit helemaal te voorkomen. 'Je moet dat café dus ook vertrouwen,' zegt een ambtenaar. Is het terecht dat het café je pasfoto krijgt? Wie mag welke gegevens opvragen, en wanneer weet een burger of dat terecht is?

De NL Wallet is ‘niet super shiny’, zegt een ambtenaar, maar dient vooral als ‘proefballonnetje om een aantal zaken bespreekbaar te maken’. Het ministerie van BZK wil ‘toetsen of de EU-kaders daadwerkelijk haalbaar zijn’ en hoopt ‘de lat hoger te leggen qua gebruikersgemak, privacybescherming, veiligheid en inclusie’. 

‘Toch is het een beetje alsof je de schilder je huis laat ontwerpen,’ stelt Jacoba Sieders, die voor private banken en de Europese Investeringsbank processen rond identificatie coördineerde en ‘uit interesse’ naar de bijeenkomsten van het ministerie van BZK komt. Ze wil maar zeggen: er is veel aandacht voor het uiterlijk en het gebruiksgemak van de wallet, maar de fundamentele vragen blijven achterwege. Hoe wordt de app ingezet, waar zijn de voordelen, welke technische protocollen en standaarden worden gebruikt, en waarom is een nieuwe wallet eigenlijk nodig? ‘Er bestaan allang wallets die functioneren.’ Sieders stelt voor ‘een soort OMT’ te vormen rond digitale identiteit. ‘Bestuurskundigen met een IT-team vinden nu opnieuw het wiel uit, terwijl er buiten het ministerie decennia aan kennis rondloopt over deze zeer complexe discipline.’

Fouten en fraude

Henk Marsman was de afgelopen jaren verantwoordelijk voor digitale identificatieprocessen bij de Rabobank, deed aan de Universiteit Leiden onderzoek naar digitale identiteit en ethiek en werkt nu voor identificatiebedrijf SonicBee. Hij gaat ‘als bezorgde burger’ naar bijeenkomsten over de wallet bij BZK. Volgens hem worden in Den Haag de belangrijkste vragen vergeten. ‘Er wordt veel nadruk gelegd op de succesverhalen: ik ga met mijn app solliciteren en het werkt! Maar stel dat het proces halverwege stopt door een fout, of je hebt te maken met een fraudegeval: iemand solliciteert online met een wallet, maar is eigenlijk iemand anders of het diploma klopt niet. Ligt dat aan de wallet, aan de gebruiker, of aan de uitgifte-instantie? En kun je tijdens zo’n sollicitatie nog terugvallen op een fysiek alternatief?’

De wallet mag nooit de enige optie zijn, benadrukt Marsman. Hij publiceerde over situaties waarbij digitale identificatie vereist was. In India werd een systeem voor biometrische identificatie – irisscan, vingerafdrukken – aan de uitgifte van voedselrantsoenen gekoppeld. Eerst jezelf identificeren, pas daarna krijg je rijst. ‘Er waren wel manieren om het niet digitaal te doen, maar die waren krakkemikkig. Dus als het systeem vanwege storing of stroomuitval niet werkte, of er ging iets mis bij de gebruiker – de vingerafdrukken slijten, of iemand krijgt een aandoening aan de ogen – dan kreeg je geen rantsoen.’ In Oeganda werd een nationaal identiteitssysteem gekoppeld aan pensioen en gezondheidszorg. ‘Er zijn gevallen van mensen die daardoor geen medische hulp meer kregen of zelfs zijn overleden.’

De ‘context is weliswaar anders,’ benadrukt Marsman, maar het laat zien ‘dat als je geen alternatief voor digitale identiteit hebt, mensen buiten de boot vallen’.

Staatssecretaris Van Huffelen onderkent de zorg ‘dat bij een allesomvattend digitaal middel de problemen voor mensen ook veel groter kunnen worden indien het middel niet functioneert of het fouten bevat,’ en stelt dat het ‘de kans op fouten wil verkleinen’ door ‘grondige certificering en goed toezicht’. Ook moet de broncode van de wallets openbaar worden zodat mensen met technische kennis zelf fouten kunnen opsporen ‘en verbeteringen [kunnen] voorstellen’.

‘Vier belangrijke uitdagingen’

‘Deze veelomvattende wallet is niet zomaar een neutraal vraagstuk. De risico’s liggen grof gezegd op het domein van persoonlijke autonomie, privacy, gegevensbescherming, inclusie, projectuitvoering en governance,’ schreef coördinator digitale identiteit Wouter Welling van BZK in maart 2022 in een artikel voor iBestuur Magazine. ‘Ook zijn er complexe vragen over de marktinrichting rond de wallet. Is het een taak van de overheid om één goed werkende wallet te leveren omdat het een te belangrijke nutsfunctie is? Of kan de overheid beter toezicht houden op een open stelsel en wallets certificeren die voldoen aan bepaalde eisen?’

Een paar maanden later, eind juli 2022, publiceerde de staatssecretaris een overzicht waarin ze ‘vier belangrijke uitdagingen’ rond de Europese Digitale Identiteit noemt: overvraging, overidentificatie, gedwongen gebruik, en controlesamenleving en uitsluiting. Follow the Money besprak deze vier punten met experts en met kritische Kamerleden.

Een interessante vraag is welke onderdelen van je leven in de kluis terechtkomen, en wie dat bepaalt. Zaken als geboortedatum, adres, opleiding en werkervaring komen er zo goed als zeker in. Informatie over vervoersbewijzen, rijbewijzen, verzekeringen, basale medische gegevens (wie is je huisarts en/of specialist, heb je allergieën, diabetes of epilepsie, welke vaccinaties heb je?) en vermoedelijk ook kredietwaardigheid.

Maar wie zulke ‘attributen’ in zijn wallet bewaart, kan erom worden gevraagd. Ook bij BZK is dat besef aanwezig. ‘Doordat gegevens steeds makkelijker zijn te delen, zal er ook vaker door dienstverleners om gegevens worden gevraagd. Gemak is fijn, maar het maakt ook dat we makkelijker verleid kunnen worden tot zaken waarvan we spijt krijgen en waar we de risico’s niet van kunnen overzien,’ schreef wallet-coördinator Welling. ‘Je zult zien dat een zorgverzekeraar zegt: “Geef me alle gegevens in je wallet, en je krijgt 30 procent korting op je polis,’’’ zei een ambtenaar bij een sessie over digitale identiteit op een conferentie vorig jaar zomer. 

Universitair docent Jaap-Henk Hoepman weet wel een oplossing. ‘Als een partij bepaalde gegevens van burgers wil opvragen via de wallet, bijvoorbeeld een verzekeringsmaatschappij, dan kun je een instantie in het leven roepen die toetst of de data die ze willen hebben, terecht worden opgevraagd. Zo ja, dan krijgt de verzekeringsmaatschappij een certificaat. Dat wordt automatisch gecontroleerd door de wallet, die vervolgens alleen de toegestane gegevens deelt.’

‘Je wilt de checks en balances niet bij het individu leggen, maar bij de hele maatschappij’ 

Het ministerie werkt aan een regeling om ‘waar mogelijk dienstverleners te verplichten te registreren welke gegevens ze uit de wallet willen gebruiken en voor welke reden,’ meldde Van Huffelen in november aan de Tweede Kamer. In Europa haalde dat plan het niet. ‘Wat we in Nederland proberen te doen is – ook zonder een Europese registratie – te zorgen voor een waarborg dat een partij die gegevens opvraagt legitiem is, en het aantal gegevens ook,’ zegt Ron Roozendaal. Hij was eerder bij het ministerie van VWS verantwoordelijk voor de coronacheck-app en is nu kwartiermaker digitale samenleving en plaatsvervangend directeur-generaal Digitalisering bij BZK.

‘We ontwerpen een stelsel waarin partijen registreren wie ze zijn en wat ze opvragen. De wallet laat dan zien: “Dit is een geregistreerde partij.”’ Die regeling moet klaar zijn als de wallet in 2025 voor een groot publiek live gaat. 

‘Zo zet je in gang dat mensen dat register gaan volgen: wie heeft zich aangemeld, en welke gegevens vragen ze? Je kunt niet van iedere burger verwachten dat ze in de juridische ins en outs duiken, maar je kunt het wel maatschappelijk borgen. Er zullen altijd mensen super geïnteresseerd zijn, terecht kritische burgers die voortdurend blijven opletten, en kritische toezichthouders. Je wilt de checks en balances niet bij het individu leggen, maar bij de hele maatschappij.’ 

‘Met het breed beschikbaar stellen van wallets waarmee burgers zich betrouwbaar kunnen identificeren of bewijzen kunnen overleggen, kan de roep ontstaan om dit overal te doen,’ schrijft het ministerie. 

‘Goed dat het ministerie de risico’s ziet. Dat merk ik ook in gesprekken. Maar men komt nog niet met duidelijke voorstellen er iets aan te doen,’ zegt Marsman. Hij maakt de vergelijking met een fysiek paspoort. ‘In de winkelstraat word je daar niet constant om gevraagd, dat is niet nodig en de winkelier kan er verder weinig mee. Online is dat anders, elk brokje data is daar goud. Als iedereen een wallet heeft, kan Facebook vragen: “Klik op akkoord voor deze datavelden.” Dan heeft Facebook al die info. Ik denk dat het ministerie worstelt met de vraag hoe je daarmee omspringt.’

‘We geven burgers controle over hun eigen data, en sturen ze dan op reis in een wereld waar sommige partijen zullen proberen hun data te ontfutselen’

‘Burgers krijgen autonomie en controle over hun eigen data, maar daarna sturen we ze op reis in een wereld waar sommige partijen zullen proberen hun data te ontfutselen. Je geeft burgers iets in handen dat haast wel fout moet gaan. Het ministerie zal met opties moeten komen om misbruik te voorkomen, maar daarover heb ik nog niets vernomen.’ Marsman verwacht wel een bewustwordingscampagne, maar ‘dat is niet zo simpel: voordat burgers hun wallet kunnen snappen, moeten ze eerst de waarde van hun data begrijpen. Dat is nog een hele klus.’

De Europese Commissie lijkt zich niet bijster te bekommeren over het risico dat steeds meer partijen partjes van onze wallet willen uitlezen, schreef Hoepman onlangs. Brussel wil techreuzen als Facebook en Google ‘zelfs verplichten om de Europese eID te accepteren’. Hij meent dat het logischer zou zijn om kritisch te bekijken of Facebook iemands eID wel nodig heeft, en onder welke voorwaarden. 

De Europese Commissie stelt een wallet verplicht in sectoren waar ‘strong user authentication’ (een hoge betrouwbaarheid) is vereist. Dit geldt voor de belangrijkste zaken in ons leven: transport, energie, bankieren, post en digitale infrastructuur, waarbij de EU extra nadruk legt op ‘zeer grote online platforms’. Onder meer Facebook, YouTube en Twitter vallen in die laatste categorie, vanwege hun miljoenen gebruikers, stellen consultants van het Nederlandse Innopay.

Door Big Tech de wallet op te dringen, zou Brussel er indirect voor zorgen dat de optie om via hen op andere websites in te loggen – beter bekend als ‘inloggen via Facebook’ of ‘Log in met je Google-account’ – in de praktijk onmogelijk wordt gemaakt. Goed nieuws dus, aldus Innopay. Hoepman stelt echter dat zodra burgers hun wallet op Facebook gebruiken, dat Facebook de kans geeft bepaalde data in handen te krijgen. ‘Je zou eigenlijk verwachten dat de Commissie haar burgers wil beschermen tegen ongewenste dataverzameling.

‘Dan scheppen we een wereld waar de standaard is onszelf in alle contexten en op alle plaatsen te identificeren’

Als we onszelf online overal identificeren, zullen we dat uiteindelijk ook in de echte wereld gaan doen, waarschuwde hoogleraar en identiteitsdeskundige Elizabeth Renieris van de universiteiten van Harvard en Stanford in 2019. ‘Dan scheppen we een wereld waar de standaard is onszelf in alle contexten en op alle plaatsen te identificeren.’ Dan verdwijnt anonimiteit. 

Volgens Renieris focussen experts in digitale identiteit vaak op kleine vragen over privacy, maar vergeten ze het grote vraagstuk: is een systeem van digitale identiteit wel nodig? Ook als het gebaseerd is op self sovereign identity zal het worden misbruikt door grote partijen, denkt ze.

Het kabinet benadrukt dat er – in elk geval binnen Nederland – altijd een alternatief voor de wallet moet zijn. Dat geldt voor overheidsinstanties en voor ‘de belangrijkste diensten, zoals banken,’ zei staatssecretaris Van Huffelen eind vorig jaar tegen De Telegraaf. ‘Maar ik wil niet iedere ondernemer met een webshop dwingen om met een offline variant te komen’.

Hoepman vindt die uitspraak ‘verrassend’. ‘Als dat alternatief alleen voor overheidsdiensten zou gelden, is het een wassen neus. Je moet ook een verzekering kunnen afsluiten zonder eID. Dat argument reikt verder dan toegankelijkheid garanderen voor digibeten of mensen zonder smartphone. Je moet een systeem hebben dat als back-up blijft draaien als een deel van de infrastructuur zou wegvallen.’ Volgens Hoepman moet ook elke indirecte dwang om een eID te gebruiken, worden vermeden.

Kamerlid Renske Leijten (SP), rapporteur digitale identiteit namens de Tweede Kamer, trekt de vergelijking met de Belastingdienst. Het kabinet had de ‘blauwe envelop’ al afgeschaft: alle belastingzaken zouden voortaan digitaal worden geregeld. Het parlement moest de papieren aanslagen met een amendement terugbrengen in de wet. Nog steeds vergt het moeite om per post je belastingaangifte te doen of een energiemaatschappij te bellen in plaats van hen te mailen. ‘Als je belt, krijg je een robot aan de lijn,’ zegt Leijten. ‘Die vangt 90 procent van de vragen op, maar niet alle.’ 

Het Europese voorstel over de wallets adresseert veel zorgen niet, zoals data-opslag en verhandelbaarheid van data

Leijten diende een motie in om het huidige Europese voorstel over de wallets af te wijzen, omdat het veel zorgen niet adresseert, zoals data-opslag en verhandelbaarheid van data. Haar motie werd aangenomen, maar het kabinet ging toch akkoord. Leijten hecht daarom weinig waarde aan de zorgen het ministerie. ‘Doen ze ook wat ze zeggen? Wij gaan als Kamer niet akkoord, en je krijgt een dikke middelvinger. Nee dus.’

Ook Kamerlid Don Ceder (ChristenUnie) ziet ‘te weinig waarborgen voor vrijwilligheid en alternatieven voor mensen die de Europese Digitale Identiteit niet kunnen of willen gebruiken,’ meldt hij Follow the Money. ‘Zo zijn bedrijven niet verplicht om alternatieven aan te bieden, en kunnen lagere overheden ervoor kiezen enkel de EDI te gebruiken. We maken ons zorgen dat bijvoorbeeld energiebedrijven of telecombedrijven – die een cruciale rol spelen in onze samenleving – niet verplicht zijn alternatieven aan te blijven bieden.’ Ceder diende een motie in om opnieuw te onderhandelen over de Europese voorwaarden. Die werd door alle Kamerleden gesteund.

Het ministerie wil ondernemers die in de toekomst alleen de wallet willen aanvaarden, daarin vrij laten. ‘Er zijn ook webshops waar je alleen met Facebook kan inloggen,’ zegt coördinator Wouter Welling van het ministerie van BZK tegen Follow the Money. ‘Dat is ondernemersvrijheid. Ik mag ook allerlei gekke criteria stellen, als bakker mag ik zelfs eisen dat jij binnenkomt met een wortel op je hoofd. Het onderscheid is belangrijk tussen vitale maatschappelijke diensten, zoals een zorgverzekering, waar altijd een alternatief moet zijn voor een wallet, en de private sector, waar je als overheid voorzichtig moet zijn om limitatief te zijn. Het uitgangspunt is zo veel mogelijk vrijheid.’

De vierde en laatste uitdaging die BZK noemt, is ‘controlesamenleving en uitsluiting’. ‘Mensen die niet aan een bepaald profiel voldoen, zouden bijvoorbeeld uitgesloten kunnen worden van bepaalde diensten of meer moeten betalen’, aldus de staatssecretaris.

Van Huffelen vindt dat ze tijdens de onderhandelingen over de voorwaarden in Europa veel heeft bereikt. Zo dreigde een Europees BSN-nummer: een uniek nummer per persoon voor de opslag van data. Dat ‘zou kunnen worden gebruikt om EU-burgers te identificeren over verschillende diensten heen. Het gevaar is: dan kun je alsnog data koppelen en iemand permanent volgen,’ zei expert Jacob Boersma eerder tegen FTM. De Kamer sprak zich uit tegen het Europese nummer, RTL Nieuws en de NOS besteedden aandacht aan de zorgen. Staatssecretaris Van Huffelen zei vorige maand in een video dat ze blij is dat ‘er niet één Europees BSN-nummer komt’. 

Maar garanties daarover kan ze niet geven, meldde de staatssecretaris in november aan de Tweede Kamer. De tekst die de EU nu heeft aangenomen, biedt lidstaten volgens Van Huffelen ‘de mogelijkheid om meerdere unieke en persistente nummers per gebruiker beschikbaar te stellen,’ en voorziet in ‘ruimte voor privacybeschermende alternatieven’. Nederland kiest dan ook voor een wallet zonder ‘volgnummer’.

‘We zijn hierover schurende gesprekken aan het voeren, de moet-je-dit-willen-gesprekken’

‘Boterzacht’ noemt Leijten de waarborgen waarmee het ministerie schermt. Los daarvan is over de opslag van data ‘nog niets concreet duidelijk. We willen een decentrale versie, maar daarover zijn geen harde afspraken’. De ChristenUnie wijst erop dat in Europa geen meerderheid was voor een verhandelverbod van gegevens en is daar ‘ontevreden’ over. 

Met digitale identiteit kan onze maatschappij volgens Hoepman gaan lijken op ‘een vliegveld, waar je alleen met de juiste vinkjes vloeiend doorheen kunt gaan,’ zei hij een jaar geleden tegen De Groene Amsterdammer. Volgens Leijten moeten we ‘onszelf op fundamentele basis afvragen: wat willen we met de digitale economie? De digitale toepassingen die je nu kiest bepalen hoe de maatschappij gaat functioneren. Welke maatschappij willen we?’

Dat is exact wat BZK nu aan het doen is, zegt Roozendaal. ‘We zijn hierover schurende gesprekken aan het voeren, de moet-je-dit-willen-gesprekken. Voor veel zaken waarover je moet nadenken is aanvullende wetgeving nodig. Je moet goed nadenken welke grondslagen er komen om dingen mogelijk te maken.’ Willekes wedervaren in het café is een goed voorbeeld, zegt hij. ‘Moet je dat willen, een pasfoto die je aan een barman geeft? Misschien wel niet. Je moet die gesprekken nu al voeren, in alle openheid, omdat een wetsaanpassing ze mogelijk kan maken. Daarom stellen we de vragen nu. We zijn bezig met een stresstest.’