Digitale identiteit wordt sluipenderwijs toch verplicht

Privacy First maakt bezwaar tegen voorstel Europese Bankenautoriteit om het Europese digitale identificatiemiddel verplicht te stellen.

In 2022 nam de Tweede Kamer een motie aan waarin het kabinet werd opgeroepen om niet in te stemmen met plannen voor een Europese digitale identiteit (‘EUDI-wallet’). Deze motie is door het kabinet niet uitgevoerd.[1] De toenmalige staatssecretaris heeft aangegeven aandacht te zullen houden voor het waarborgen van vrijwillig gebruik van de digitale identiteit in het vervolgproces, zowel voor overheidsdiensten als voor de dienstverlening van kritieke sectoren zoals energie en banken.

Stichting Privacy First constateert dat nu reeds zichtbaar wordt dat het gebruik van de digitale identiteit in de praktijk niet vrijwillig maar verplicht zal worden. Privacy First verwijst daartoe naar de plannen van de Europese Banken Autoriteit (EBA), een autoriteit die regels maakt waaraan banken en andere financiële instellingen zich dienen te houden. De EBA wil banken en andere financiële instellingen verplichten om hun klanten voortaan te identificeren via gebruikmaking van digitale middelen. Alleen als er geen digitale identiteit beschikbaar is of het onredelijk is die op te vragen, zouden financiële instellingen andere manieren van identificatie mogen toestaan. Als deze regel verplicht wordt voor banken en andere instellingen, betekent dit dat burgers niet meer vrijelijk kunnen kiezen of zij gebruik willen maken van een digitale identiteit. Vrije keuze wordt dan niet meer de regel maar de uitzondering.

Het voorstel van de EBA is in strijd met de Verordening Europese Digitale Identiteit[2] en met de toezeggingen van de staatssecretaris dat het gebruik van de digitale identiteit altijd vrijwillig is en dat er altijd een volwaardig niet-digitaal alternatief is voor mensen die hiervan gebruik willen maken.[3] De Europese regelgever kan deze regels niet opzij zetten door banken en andere instellingen te verplichten standaard te vragen om digitale identificatie.

Consultatiereactie Privacy First

In het kader van een door de EBA gehouden consultatie heeft Privacy First recent bezwaar gemaakt tegen het voorstel om de EUDI-wallet verplicht te maken, allereerst omdat het ingaat tegen de Europese regels waarop de wallet is gebaseerd.

In de tweede plaats wijst Privacy First op de Europese Toegankelijkheidsrichtlijn, die verplicht dat rekening wordt gehouden met de grote groep minder digitaal-vaardige mensen (in Nederland circa 5,5 miljoen mensen). Juist voor deze groep levert digitale verificatie van de identiteit grote risico’s op.

Maatregelen

Privacy First heeft daarbij bepleit dat de onderneming die de EUDI-wallet inzet verplicht is om na te gaan of de persoon die deze oplossing gaat gebruiken de risico’s van de EUDI-wallet begrijpt. Verder vindt Privacy First dat ondernemingen die onder de antiwitwasregels vallen verplicht zijn om een fysiek alternatief te bieden, waarbij de klant in staat wordt gesteld om de betrouwbaarheid van de partij die fysiek identificeert en de betrouwbaarheid van de daarbij gebruikte apparatuur te controleren.

Dit soort maatregelen zijn nodig om de grote risico’s die voor burgers aan digitale identificatie zijn verbonden te beperken.

Kritisch volgen

Privacy First roept het Nederlandse parlement op om dit onderwerp kritisch te blijven volgen en het kabinet te vragen om bij de Europese Commissie aan te dringen op ingrijpen waar regels worden ingevoerd die strijdig zijn met het principe van vrijwilligheid bij de wijze van identificatie.

Nadere informatie:

[1] Zie brief staatssecretaris Koninkrijksrelaties en Digitalisering d.d. 2 december 2022, https://open.overheid.nl/documenten/ronl-fd67a73179ccacb2bdfdb0b4626eb7ef69cc9643/pdf

[2] Verordening (EU) 2024/1183

[3] Zie bijvoorbeeld De EDI-wallet Identiteit – Digitale Overheid