# Bijdrage FMT artikel ## Getiteld: Wetenschappers waarschuwen voor een nieuwe digitale identiteit [Link naar het artikel](https://www.ftm.nl/artikelen/internationale-digid-lobby?share=DfsIc118tdHQ1a30vQmsL5zAUG81SXopdLW5sTm1I42If6qExTpiFqmGV2OS0KM%3D) Eri Verheul schrijft in een reactie / bijdrage op het artikel onder meer: > "Het meest kwalijke vind ik dat de schrijvers kennelijk niet eens de moeite hebben genomen het voorstel van de European Digital Identity Wallet te analyseren zoals in juni dit jaar door de Europese Commissie is voorgesteld. Als zij dat hadden gedaan dan hadden ze gezien dat daar juist veel privacy beschermde maatregelen in zitten die veel verder gaan dan wat nu gebruikelijk is bij de bestaande authenticatiestelsels zoals bij iDIN en DigiD. >Ik raad iedereen aan – en zeker mensen die zich als expert profileren – dat voorstel eens goed te bekijken, het staat hier: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281. En ja, het kost iets meer tijd om door te lezen dan het FTM verhaal." Een expert en wetenschapper als Eric Verheul in dit veld, respecteer ik. Toch wil ik een ander perspectief delen als reactie op zijn post. Zijn oordeel dat het FMT artikel te kort door de bocht gaat, deel ik. Er staan ook wat feitelijke onjuistheden in het artikel. Maar ik deel ook de zorg die in het artikel tot uitdrukking komt. Over het gelinkte EC stuk: ik heb door de ambtelijke formuleringen heen proberen te lezen, maar het is me het voorstelletje wel weer van de EC. Kan dat niet eens in een voor mensen begrijpelijke taal geschreven worden? Dat terzijde. Het EC voorstel opent op pagina 3 veelbelovend: > to provide an EU-wide framework for public electronic identities which ensures that any citizen or residents can have access to a secure European e-identity, which can be used anywhere in the EU to identify and authenticate for access to services in the public and private sectors, allowing citizens to control what data is communicated and how it is used. Let wel: dit zegt niet dat de identifiers die je digitale ik vertegenwoordigen, mogen worden gecontroleerd door gebruiker zelf. Op pagina 8 worden onder het kopje Fundamental rights opnieuw NIET de controlling identifiers met naam en toenaam genoemd waarover een gebruiker controle kan krijgen: > Since personal data falls within the scope of some elements of the Regulation, the measures are designed to fully comply with the data protection legislation. For example, the proposal improves options to share data and to enable discretional disclosure. Using the European Digital Identity Wallet, the user will be able to control the amount of data provided to relying parties and be informed about the attributes required for the provision of a specific service. Service providers shall inform Member States of their intention to rely on a European Digital Identity Wallet, which would allow Member States to control that sensitive data sets, for example, related to health are only requested by service providers in accordance with national law. Op pagina 12 vind ik tot dusver het meest geruststellende citaat: > The Commission Communication of 9 March 2021 entitled “2030 Digital Compass: the European way for the Digital Decade”18 sets the objective of a Union framework which, by 2030, leads to wide deployment of a trusted, user-controlled identity, allowing each user to control their own online interactions and presence. Mijn ervaring is echter dat _self control_ vaak wordt verward met _self service_ en de bijzin doet dat ook hier vermoeden: "Allowing each user to control their own online interactions and presence". "Allowing". Ik wil niet "allowed" worden op mijn eigen data. Ik wil hen "allow"-en op mijn data. **Self service** op een centraal systeem van iemand anders, daar hebben we niks aan in innovatief opzicht. Dat hebben we al. Het heet bijvoorbeeld "bankrekening" , waar je op inlogt, of je Twitter account, waar je op inlogt, en hoe het daarmee af kan lopen moeten we Wikileaks en Trump maar eens vragen. Door met goed nieuws uit het EC voorstel. Ik heb soortgelijke opbeurende text-snippets in het EC voorstel gevonden in de punten 7 en verder vanaf pagina 13: > (7) It is necessary to set out … a framework for European Digital Identity Wallets to be issued by Member States, which should empower all Union citizens and other residents as defined by national law to share securely data related to their identity in a user friendly and convenient way under the sole control of the user. Technologies used to achieve those objectives should be developed aiming towards the highest level of security, user convenience and wide usability. Member States should ensure equal access to digital identification to all their nationals and residents. [Pag 13] De Nederlandse vertaling van dat stuk zegt: > op grond waarvan alle Unieburgers en andere ingezetenen krachtens nationaal recht veilig, gebruiksvriendelijk en gemakkelijk gegevens over hun identiteit kunnen delen, waarbij de gebruiker volledige controle heeft. De op die doelstellingen gerichte technologieën moeten worden ontwikkeld met het oog op het hoogste niveau van beveiliging en gebruiksgemak en op brede inzetbaarheid. De lidstaten moeten voor al hun onderdanen en ingezetenen gelijke toegang tot digitale identificatie waarborgen. Maar ook hier blijft de vraag open staan OVER WAT heeft de gebruiker / ingezetene nu eigenlijk de sole control (EN) of volledige controle (NL)? Deze passage is voor meervoudige uitleg vatbaar. Misschien heb ik gemist waar het elders wordt uitgelegd; vul me dan gerust aan. Hoe het mijns inziens uitgelegd zou moeten worden is: autonomie over de eigen identifiers en al haar key events: inceptie (aanmaken), key rotations, delegation, revocation. En daarboven op alles wat dit EC voorstel biedt ter bescherming van de belangen van burgers. Waarom deze uitleg? Omdat anders het risico van centralisatie van controle over je digitale ‘ik’, anders dan bij jezelf, blijft bestaan. Er is nog een wezenlijk puntje van aandacht. Alles wordt (begrijpelijkerwijs) afhankelijk gesteld van Europese of nationale wetten, voorbeeld: > “In order to ensure compliance within Union law or national law compliant with Union law, ….” Maar dat betekent dat er alleen maar een wetswijziging nodig is om hele andere dingen te kunnen gaan doen en laten. En ik besef me in deze corona tijd maar al te goed hoe rap dat soort dingen kunnen gaan. Dat het EC voorstel uit juni 2021 beter beschermt dan iDIN en DigiD zegt natuurlijk niet veel. Als gemiddelde bezorgde burger gaat het mij voornamelijk om deze drie dingen: - Controle over mijn digitale ik - Vertrouwelijkheid van m’n gegevens en privacy - Het uitsluiten van de mogelijkheid van een big brother overheid, samenspannend met tech giganten (zodat ik niet hoef te complot denken, in een tijdperk waar total control en surveillance wel nog steeds een mogelijke toekomst is) Dat blockchain (en zeker de private varianten daarvan) niet veel kunnen bijdragen, vind ik ook. Autonomic Identifiers kunnen een ‘way out’ zijn, omdat ze blockchain agnostisch zijn, dat wil zeggen: ze zijn niet strikt noodzakelijk en uitwisselbaar als ze wel worden gebruikt om identifiers aan vast te koppelen. Het meest eenvoudige dat ons staat te doen om de (deels ongegronde) zorg van nu weg te nemen is te kiezen voor technologie en grondwetgeving die het domweg niet kan verkloten op bovengenoemde punten (controle, vertrouwelijkheid en anti-surveillance). En daar ben ik bij het EC voorstel nog niet van overtuigd geraakt dat dat gebeurt. Is er in dit voorstel echt alles aan gedaan om total control en total surveillance in de toekomst domweg onmogelijk te maken? Zolang dat niet het geval is, vind ik dat iedereen ongenuanceerd uit de hoek mag komen. Want keurig geformuleerde wollige taal, waar de essentie van het controleren van _mijn_ identifier niet expliciet genoeg ter sprake komt, vind ik net zo bedreigend als onkunde en onwetendheid.