calendar tag arrow download print
Doorgaan naar inhoud

Garandeer privacy van burgers bij opvolger DigiD

artikel
07 januari 2020
Image
Vingerafdruk_cyberveiligheid

Inloggen met je Google-account om informatie rondom je werkstraf te melden bij de reclassering? Om met datzelfde account vervolgens inkopen te doen bij Bol.com? In het wetsvoorstel Digitale Overheid dat eind januari in de Tweede Kamer wordt besproken, lijkt dit de nieuwe werkelijkheid. Wordt het voorstel aangenomen, dan komen er meerdere opvolgers van het huidige identificatiemiddel DigiD, dat niet langer toereikend is. Ook private partijen mogen dan online identificatiemiddelen aanbieden om in te loggen bij overheidsinstellingen, zoals de Belastingdienst of DUO. Die partijen krijgen daarmee inzicht in de instellingen waarmee burgers zakendoen. Het wetsvoorstel stelt nog onvoldoende voorwaarden aan het gebruik van dergelijke informatie. De privacy van burgers komt daarmee in het geding.

In de fysieke wereld zorgt de overheid ervoor dat we ons kunnen identificeren met middelen als een paspoort of rijbewijs. Online zijn we aangewezen op DigiD om in te loggen bij overheidsdiensten. Nu kan dat nog met een wachtwoord of sms-code, maar dit blijkt niet voldoende betrouwbaar. De overheid gaat daarom werken met een nieuwe elektronische identiteit (eID). Het wetsvoorstel Digitale Overheid bevat regels voor die nieuwe eID. Ook bestaande wetgeving is van toepassing, zoals de Algemene Verordening Gegevensbescherming. Ondanks die combinatie van regels blijkt de privacy van burgers op één punt onvoldoende te worden beschermd.

Als het voorstel wordt aangenomen, gaan ook private partijen een opvolger voor de huidige DigiD ontwikkelen. Burgers kunnen dan zelf kiezen tussen een eID van de overheid of van een andere partij. De gedachte is dat private partijen makkelijker kunnen inspelen op innovaties en digitale identificatiemiddelen indien nodig dus sneller kunnen aanpassen. Voor burgers zouden eID’s daardoor toekomstbestendiger en gebruiksvriendelijker worden. Het gebruik van meerdere systemen kan bovendien voordeel opleveren wanneer een eID-systeem door storing niet beschikbaar is. Vanuit efficiëntie en gemak dus een mooie gedachte, maar het wetsvoorstel lijkt andere publieke waarden onvoldoende in ogenschouw te nemen.

Burgers gebruiken digitale identificatiemiddelen immers voor zeer privacygevoelige doeleinden. Denk maar aan het inloggen bij dienstaanbieders in de jeugdzorg, reclassering of andere organisaties in het sociale domein. Dat eID-aanbieders daarbij vastleggen wie met welke dienst zakendoet, bijvoorbeeld om fraude te bestrijden, is begrijpelijk. Maar zo’n inlogregister kan voor private eID-aanbieders ook om andere redenen interessant zijn. Door het register met andere persoonlijke informatie te combineren, kan een profiel worden opgebouwd. Een profiel dat vervolgens kan worden gebruikt voor advertenties, het aanbieden van op jouw voorkeur afgestemde producten en andere belangen. De huidige DigiD-aanbieder Logius trof verschillende maatregelen om het gebruik van zulke profielen te voorkomen. In het huidige wetsvoorstel ontbreekt het echter aan regels om zulke maatregelen voor private eID’s te verplichten.

In de privacy-visie eID die Staatssecretaris Knops (BZK) eind januari 2019 naar de Kamer stuurde, wordt dit risico voor inbreuk op privacy gesignaleerd. De visie stelt een verbod voor op het gebruik van inlogregisters voor andere doeleinden dan de werking van het identificatiesysteem zelf. In het wetsvoorstel Digitale Overheid ontbreekt dat verbod.

Het wetsvoorstel biedt wel de mogelijkheid om via een Algemene Maatregel van Bestuur (AMvB) aanvullende voorschriften vast te stellen. Een AMvB is geschikt voor zaken die snel kunnen veranderen, zoals het up-to-date houden van beveiligingseisen, en gaat niet langs het parlement. Het gaat hier echter om een principiële keuze: een fundamentele waarde als privacy verdient volledige wettelijke bescherming, met controle vanuit het parlement.

Om de privacy van burgers onder alle omstandigheden te waarborgen is aanscherping van het wetsvoorstel dus noodzakelijk. Want makkelijker kunnen we het zeker maken; nu nog privacyvriendelijker. 

Linda Kool (themacoördinator Digitale Samenleving) en Pieter van Boheemen (onderzoeker)

Dit artikel verscheen eerder als opiniestuk in Trouw op 3 januari 2020. Zie: https://www.trouw.nl/opinie/ook-bij-private-opvolgers-digid-moet-privacy-gewaarborgd-zijn~b3af7761/?referer=https%3A%2F%2Ft.co%2FWxw5rLo37I