Garandeer privacy van burgers bij opvolger DigiD

OPINIE - Inloggen met je Google-account om informatie rondom je werkstraf te melden bij de reclassering? Om met datzelfde account vervolgens inkopen te doen bij Bol.com? In het wetsvoorstel Digitale Overheid dat eind januari (gepland in week 4) in de Tweede Kamer wordt besproken, lijkt dit de nieuwe werkelijkheid. Wordt het voorstel aangenomen, dan komen er meerdere opvolgers van het huidige identificatiemiddel DigiD, dat niet langer toereikend is. Ook private partijen mogen dan online identificatiemiddelen aanbieden om in te loggen bij overheidsinstellingen, zoals de Belastingdienst of DUO. Die partijen krijgen daarmee inzicht in de instellingen waarmee burgers zakendoen. Het wetsvoorstel stelt nog onvoldoende voorwaarden aan het gebruik van dergelijke informatie. De privacy van burgers komt daarmee in het geding.

In de fysieke wereld zorgt de overheid ervoor dat we ons kunnen identificeren met middelen als een paspoort of rijbewijs. Online zijn we aangewezen op DigiD om in te loggen bij overheidsdiensten. Nu kan dat nog met een wachtwoord of sms-code, maar dit blijkt niet voldoende betrouwbaar. De overheid gaat daarom werken met een nieuwe elektronische identiteit (eID). Het wetsvoorstel Digitale Overheid bevat regels voor die nieuwe eID. Ook bestaande wetgeving is van toepassing, zoals de Algemene Verordening Gegevensbescherming. Ondanks die combinatie van regels blijkt de privacy van burgers op één punt onvoldoende te worden beschermd.

Als het voorstel wordt aangenomen, gaan ook private partijen een opvolger voor de huidige DigiD ontwikkelen. Burgers kunnen dan zelf kiezen tussen een eID van de overheid of van een andere partij. De gedachte is dat private partijen makkelijker kunnen inspelen op innovaties en digitale identificatiemiddelen indien nodig dus sneller kunnen aanpassen. Voor burgers zouden eID’s daardoor toekomstbestendiger en gebruiksvriendelijker worden. Het gebruik van meerdere systemen kan bovendien voordeel opleveren wanneer een eID-systeem door storing niet beschikbaar is. Vanuit efficiëntie en gemak dus een mooie gedachte, maar het wetsvoorstel lijkt andere publieke waarden onvoldoende in ogenschouw te nemen.

Burgers gebruiken digitale identificatiemiddelen immers voor zeer privacygevoelige doeleinden. Denk maar aan het inloggen bij dienstaanbieders in de jeugdzorg, reclassering of andere organisaties in het sociale domein. Dat eID-aanbieders daarbij vastleggen wie met welke dienst zakendoet, bijvoorbeeld om fraude te bestrijden, is begrijpelijk. Maar zo’n inlogregister kan voor private eID-aanbieders ook om andere redenen interessant zijn. Door het register met andere persoonlijke informatie te combineren, kan een profiel worden opgebouwd. Een profiel dat vervolgens kan worden gebruikt voor advertenties, het aanbieden van op jouw voorkeur afgestemde producten en andere belangen. De huidige DigiD-aanbieder Logius trof verschillende maatregelen om het gebruik van zulke profielen te voorkomen. In het huidige wetsvoorstel ontbreekt het echter aan regels om zulke maatregelen voor private eID’s te verplichten.

In de privacy-visie eID die Staatssecretaris Knops (BZK) eind januari 2019 naar de Kamer stuurde, wordt dit risico voor inbreuk op privacy gesignaleerd. De visie stelt een verbod voor op het gebruik van inlogregisters voor andere doeleinden dan de werking van het identificatiesysteem zelf. In het wetsvoorstel Digitale Overheid ontbreekt dat verbod.

Het wetsvoorstel biedt wel de mogelijkheid om via een Algemene Maatregel van Bestuur (AMvB) aanvullende voorschriften vast te stellen. Een AMvB is geschikt voor zaken die snel kunnen veranderen, zoals het up-to-date houden van beveiligingseisen, en gaat niet langs het parlement. Het gaat hier echter om een principiële keuze: een fundamentele waarde als privacy verdient volledige wettelijke bescherming, met controle vanuit het parlement.

Om de privacy van burgers onder alle omstandigheden te waarborgen is aanscherping van het wetsvoorstel dus noodzakelijk. Want makkelijker kunnen we het zeker maken; nu nog privacyvriendelijker.

Linda Kool (themacoördinator Digitale Samenleving) en Pieter van Boheemen (onderzoeker)


Dit artikel verscheen eerder bij het Rathenau Instituut en als opiniestuk in Trouw op 3 januari 2020
.

  1. 1

    Ik las ’t vorige week al, echt belachelijk. Google en Facebook om in te loggen op een overheidsdienst, hoe verzin je het?
    Op zich kan een private partij best een alternatieve DigiD aanbieden, dat gebeurt ook bij eHerkenning voor bedrijven. Maar bedrijven die dataverzameling als verdienmodel hebben, moeten buiten de deur gehouden worden.

  2. 3

    Ik probeer altijd een beetje optimistisch in het leven te staan, gezien de ervaringen denk ik dat we met een zinloze discussie van doen hebben.

    Neem het voorbeeld van een tijd geleden. Advocaat en cliënt worden in de spreekkamer van de gevangenis afgeluisterd. Dat mag niet hé? Toch gebeurd het, waarschijnlijk zal het ook blijven gebeuren. Waarom gebeurd dit? Omdat de uitvoerende macht zich blijkbaar niet verplicht voelt binnen de grenzen van de wet te opereren. Probleem wat hier voordoet is bewijslast, je bent een gelukkige burger als je in staat bent in het individuele geval kunt aantonen dat de overheid zich schuldig gemaakt heeft van privacyschending. Bewijzen van privacyschending is zeer en zeer moeilijk te bewijzen en je zult dus op de integriteit van de uitvoerende macht moeten vertrouwen.

    Die integriteit heeft bij mij wel een paar tikjes opgelopen, daarom loop ik tegenwoordig met mijn blote reet over straat, dan kan de uitvoerende macht meteen alles zien.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

| Registreren