De digitale euro: opmaat naar massasurveillance op Europees niveau?
Eerder dit jaar publiceerde Stichting Privacy First een aantal fundamentele vragen en zorgen over de digitale euro. Hieronder volgt ons huidige nader commentaar.
Central Bank Digital Currency
Tot nu toe kunnen mensen op twee manieren met geld betalen: contant (munten en bankbiljetten) of elektronisch (giraal of digitaal). Munten en bankbiljetten worden uitgegeven door de centrale bank. Giraal geld is een vordering op een commerciële bank. Als een commerciële bank failliet gaat, kan je je banktegoed kwijtraken. Om de kans op bankruns te verminderen, zijn spaartegoeden daarom gegarandeerd tot € 100.000 per persoon (per bank).
Op 28 juni 2023 is de Europese Commissie met een wetsvoorstel gekomen voor een Central Bank Digital Currency (CBDC), de digitale euro. Dit is digitaal geld van de centrale bank in plaats van een commerciële bank.
Volgens de Europese Commissie wordt er door online handel en betalingsvoorkeuren van het publiek steeds meer elektronisch en dus steeds minder contant betaald. Het vertrouwen in elektronisch geld van commerciële banken hangt af van de mogelijkheid om commercieel geld om te zetten in centralebankgeld. Zonder digitale euro voorziet de Europese Commissie hierin een probleem. Kennelijk gaat men hierbij ervan uit dat digitaal centralebankgeld evenveel vertrouwen zal genieten als contant geld.
Er zijn meerdere landen die al een CBDC hebben ingevoerd, zoals Nigeria en de Bahama’s. In beide landen is de adoptiegraad vrij laag. Het wetsvoorstel van de Europese Commissie lijkt dat probleem te omzeilen door te bepalen dat betaling in digitale euro’s, behoudens enkele uitzonderingen, niet mag worden geweigerd (zie artikel 7 en 9 van het Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de vaststelling van de digitale euro, hierna: Verordening digitale euro).
Met de digitale euro kan je zowel online als offline betalingen verrichten. De online versie lijkt op een reguliere betaalrekening, de offline versie heeft kenmerken van de vroegere chipknip. De digitale euro is niet bedoeld om te sparen, daarom zal er een aanhoudingslimiet komen en zal geen rente op het saldo worden vergoed. De offline betalingen worden waarschijnlijk beperkt tot kleine bedragen.
Vanuit privacy-oogpunt zijn er drie belangrijke ontwikkelingen: de verdringing van contant geld door digitale betalingsmogelijkheden, de programmeerbaarheid van digitale betalingsmogelijkheden en de steeds grootschaliger gegevensverwerking uit publiek belang, waarbij in het kader van preventie en opsporing van fraude, de bestrijding van witwassen en terrorismefinanciering en het tegengaan van belastingontduiking steeds meer wordt gecontroleerd, informatie vergaard en dwarsverbanden worden gelegd ten koste van de privacy van burgers.
Verdringing van contant geld, het meest privacyvriendelijke betaalmiddel
Bij verdringing van contant geld door elektronische betalingsmogelijkheden, inclusief een digitale euro, speelt zowel wet- en regelgeving een rol als hoe daar in de praktijk uitvoering aan wordt gegeven. Zo is contant geld een wettelijk betaalmiddel, wat inhoudt dat het in principe als betaling aanvaard zou moeten worden. In de strijd tegen witwassen, terrorismefinanciering etc. wil de Nederlandse overheid contante betalingen boven € 3.000 verbieden en zou zij dat het liefst op Europees niveau geregeld zien. Vanuit de banken wordt daarnaast druk gelegd op ondernemers om minder contant geld aan te nemen, dus klanten te bewegen elektronisch te betalen. Banken hebben daarbij als pressiemiddel de dreiging om de bankrelatie met de klant te verbreken (FD, 31 juli 2023). Voor ondernemers wordt het steeds lastiger en duurder om contant geld te storten en ook bij particulieren wordt in de gaten gehouden hoeveel contant geld ze opnemen.
Die druk om contante betalingen te verminderen speelt in meer Europese landen. Zo zijn in Frankrijk contante betalingen van meer dan € 1.000 verboden en mag in Spanje de huur niet meer contant worden betaald. De motivering voor een digitale euro, namelijk de afname van contante betalingen in verhouding tot elektronische betalingen, is daarmee enigszins hypocriet te noemen.
Het gelijktijdig met de digitale euro ingediende voorstel inzake eurobankbiljetten en -munten als wettig betaalmiddel waarin is opgenomen dat contante betalingen in principe niet mogen worden geweigerd, is wat dat betreft een druppel op een gloeiende plaat, aangezien er veel ruimte is om de verplichte aanvaarding van contant geld sterk in te perken om redenen van publiek belang.
De offline digitale euro zou qua privacy contant geld moeten evenaren. Men is echter nog volop bezig te bedenken hoe dat te realiseren, afgezet tegen de eisen op het gebied van betrouwbaarheid, veiligheid en het tegengaan van fraude. Daarnaast krijgt de Europese Commissie de bevoegdheid om transactie- en aanhoudingslimieten vast te stellen voor de offline variant (artikel 37 van de Verordening digitale euro), wat de mogelijkheden voor offline betalingen ernstig zal inperken.
Op dit moment kunnen we dus niet beoordelen in hoeverre de privacy van burgers echt zal zijn gewaarborgd bij een offline variant.
Programmeerbaarheid van digitale betalingsmiddelen
Volgens het voorstel is de digitale euro zelf niet programmeerbaar. Het is echter wel mogelijk om voorwaardelijke betalingstransacties te programmeren. In dat geval vindt de betalingstransactie pas plaats als aan vooraf overeengekomen voorwaarden is voldaan (artikel 24 van de Verordening digitale euro).
Daarnaast mag de Europese Commissie, zoals hiervoor al aangegeven, aanhoudings- en transactielimieten vaststellen voor offline betalingen om witwassen etc. tegen te gaan
Er kunnen dus voorwaarden worden verbonden om de digitale euro te ontvangen. Nu is dat niet heel bijzonder, wel als dat volledig automatisch zou gebeuren. Bijvoorbeeld als via een volledig geautomatiseerd proces de periodieke werkloosheidsuitkering wordt overgemaakt nadat bewijsstukken zijn geüpload van voldoende sollicitatieactiviteiten.
Wat voor gevolgen dit heeft voor de privacy van burgers, is nog volstrekt onduidelijk. Het lijkt onvermijdelijk dat persoonlijke gegevens door dit soort voorwaardelijke transacties bij meer partijen terecht zullen komen dan nu het geval is.
Eenmaal ontvangen, zou de digitale euro zonder beperkingen uitgegeven kunnen worden, behoudens een eventuele transactielimiet. Echter, de ‘wallet’ zou vanuit een centraal punt programmeerbaar moeten zijn om een transactielimiet te kunnen instellen en wijzigen. En als de wallet programmeerbaar is, dan is het mogelijk om in de toekomst verdere beperkingen te programmeren dan alleen een transactielimiet. Hoe wordt voorkomen dat dit zal gebeuren?
Toekomstige massasurveillance?
Waar binnen Nederland veel discussie is over massasurveillance door banken (monitoring van alle banktransacties op ongebruikelijkheid), zal de digitale euro, net als andere bankinitiatieven, mogelijk kunnen leiden tot massasurveillance op Europees niveau. Daarbij maakt het niet uit of de ECB en de nationale centrale banken alleen over gepseudonimiseerde gegevens zullen beschikken en de massasurveillance is geautomatiseerd. Wat telt is dat uiteindelijk transacties te herleiden zijn naar individuele personen en mensen op basis van een algoritme toegang tot hun geld kan worden ontzegd, ook tot de digitale euro. De banken en andere betaaldienstverleners zullen ook de transacties moeten controleren die met de digitale euro zijn betaald.
Het voorstel van de banken om gezamenlijk transactiemonitoring uit te voeren is inmiddels controversieel verklaard wegens de val van het kabinet. Als Stichting Privacy First hebben wij ons altijd tegen iedere vorm van massasurveillance verzet. In afwachting van het nieuwe kabinet zijn we dan ook nieuwsgierig waar dit naartoe zal gaan. Waakzaamheid is geboden, immers ook de transactiemonitoring in huidige vorm (door banken afzonderlijk) maakt verregaand inbreuk op de privacy van de burger.
De toeslagenaffaire, het UWV die uitkeringsgerechtigden zonder toestemming digitaal volgde in het kader van fraudebestrijding en DUO met hun dubieuze fraudesysteem laten zien dat fraudebestrijding op alle niveaus de blik vernauwt waardoor een integere belangenafweging onder druk komt te staan. Met mogelijk verregaande gevolgen voor het individu.
Voorts kan elk systeem natuurlijk ook worden misbruikt. Heeft iemand bijvoorbeeld een politieke zienswijze die niet strookt met het overheidsstandpunt of met de zienswijze van de bank? Er kan altijd wel een ongebruikelijke transactie worden gevonden om iemand onder druk te zetten door tijdelijk toegang tot de bankrekening te weigeren. Ook bij de digitale euro.
We vertrouwen erop dat dat in Nederland niet gebeurt. Echter in Engeland heeft een bank reeds de bankrelatie met politicus Nigel Farage stopgezet, mede vanwege zijn politieke standpunten. Er komt nu een officieel onderzoek naar hoe vaak dat gebeurt. De afgelopen jaren zou vanwege de anti-witwasrichtlijn het aantal opgeheven bankrekeningen fors zijn toegenomen. Het onderzoek moet uitwijzen in hoeverre de bankrekeningen zijn opgeheven vanwege een andere reden dan fraude, witwassen of terrorismefinanciering, bijvoorbeeld vanwege een politiek standpunt.
Bijkomend risico is de bepaling dat front-enddiensten interoperabel moeten zijn met of geïntegreerd in de Europese portemonnees voor digitale identiteit (artikel 25 van de Verordening digitale euro). Ook deze Europese ‘identity wallets’ zijn vanuit privacy oogpunt omstreden. In hoeverre kunnen gebruikers van de digitale euro zich gedwongen voelen de Europese identity wallet te gebruiken omdat er geen alternatieven zijn?
Zolang de techniek achter de digitale euro nog in ontwikkeling is, kunnen we ons onmogelijk een goed oordeel vormen over de mate waarin de privacy van gebruikers van de digitale euro gewaarborgd is. Daarbij is het ook belangrijk om te kijken naar de toekomst: hoe wordt function creep (doelverschuiving) voorkomen, anders dan dat in het voorstel staat dat iets niet mag?
Privacy First zal de ontwikkelingen rond de digitale euro kritisch blijven volgen.