Over digitale soevereiniteit en de vraag wat de overheid zelf moet regelen
Follow the Money schreef deze week over de afhankelijkheid van de NL Wallet van Apple en Google. Dat artikel raakt een belangrijk punt. Digitale identiteit is te belangrijk om ongemerkt afhankelijk te worden van commerciële platformen en hun voorwaarden.
Maar de discussie moet breder worden gevoerd. De belangrijkste vraag is niet of Apple en Google een rol spelen. Die rol spelen zij al, zolang de smartphone het belangrijkste kanaal is. De echte vraag is welke publieke regie de overheid voert op digitale identiteit.
Daarvoor moeten we eerst scherp hebben wat de NL Wallet wel en niet is. De wallet is geen nieuwe versie van DigiD. Zij is ook niet alleen een app. De wallet is onderdeel van een breder stelsel voor digitale identiteit, gegevensdeling en vertrouwen.
Juist daarom zijn de politieke en bestuurlijke keuzes eromheen zo belangrijk.
De wallet is geen nieuwe DigiD
Follow the Money schrijft dat de NL Wallet straks meer kan dan DigiD. Dat klopt, maar als losse uitspraak zegt dat te weinig.
DigiD is in de kern een authenticatiemiddel. Het werkt als volgt: een dienstverlener stuurt een gebruiker naar DigiD. Als de inloggegevens kloppen, krijgt de dienstverlener via een beveiligde route het BSN. Zo weet de dienstverlener met wie hij te maken heeft. DigiD controleert of een login klopt en welke identiteit daarbij hoort. Afhankelijk van het betrouwbaarheidsniveau wordt die zekerheid sterker. Daarmee is DigiD een toegangsmiddel: een sleutel tot digitale dienstverlening van de overheid.
Een Europese identiteitswallet werkt anders. De identiteitsgegevens in een wallet kunnen worden gedeeld om in te loggen, maar er kan meer. Een wallet kan digitale verklaringen bevatten. Dat kunnen gegevens zijn over identiteit, bevoegdheden, diploma’s, vergunningen, leeftijd, rijbevoegdheid of andere attributen. Die gegevens kunnen digitaal worden uitgegeven, opgeslagen, ondertekend, getoond en gecontroleerd. Daarmee verschuift het vertrouwen van vertrouwen in voorzieningen naar vertrouwen op de juistheid van gegevens in de wallet. Vanaf dat moment draait vertrouwen niet meer alleen om één voorziening waarmee iemand inlogt. Het draait om een stelsel van afspraken.
Wie geeft de identiteit uit? In welke vorm gebeurt dat? Hoe wordt gecontroleerd of een attribuut echt is? Welke bronregisters zijn gezaghebbend? Welke organisaties mogen gegevens uitgeven? Welke dienstverleners mogen gegevens vragen? En welke vertrouwensdiensten maken de keten controleerbaar?
De overheid blijft daarin een centrale rol houden. Zij is de bron en uitgever van persoonsgegevens waarmee iemand kan worden geïdentificeerd. Maar de betrouwbaarheid van het geheel hangt niet alleen af van de app. Die hangt vooral af van het stelsel dat eromheen wordt ingericht.
Wallets kunnen een echt veiligheidsprobleem oplossen
De discussie over platformafhankelijkheid is belangrijk. Maar die mag niet verhullen dat wallettechnologie ook een serieus probleem kan oplossen.
Mensen delen nog steeds kopieën van paspoorten, rijbewijzen en identiteitskaarten via e-mail, formulieren, cloudopslag en slecht beveiligde kanalen. Dat is onveilig, vaak buiten proportie en gevoelig voor fraude. Vaak is een volledige kopie van een document helemaal niet nodig. Een dienstverlener hoeft bijvoorbeeld niet iemands volledige geboortedatum te weten als alleen moet worden vastgesteld dat iemand ouder is dan achttien. Een verhuurder hoeft soms alleen te weten of iemand aan een inkomenscriterium voldoet. Daarvoor is niet altijd een compleet document nodig.
Wallettechnologie kan dat verbeteren. Met verifieerbare gegevens kun je alleen delen wat nodig is. De ontvanger kan tegelijk controleren waar het gegeven vandaan komt en of het echt is. Dat is geen theoretisch ideaal. In Nederland bestaan al jaren voorbeelden van privacyvriendelijke gegevensdeling, zoals IRMA en later Yivi. Die ervaring laat zien dat dit technisch mogelijk is.
Tegelijk laat die ervaring ook iets anders zien. Techniek is niet genoeg. Een goede juridische basis, bestuurlijke inbedding en gebruiksgemak zijn minstens zo belangrijk.
Digitaal identificeren is niet hetzelfde als een identiteitsdocument tonen
Ook de uitspraak dat burgers zich met de wallet in alle EU-lidstaten veilig kunnen identificeren, vraagt om nuance.
Binnen eIDAS gaat het vooral om het bewijzen van je identiteit in digitale processen. Bijvoorbeeld bij digitale dienstverlening van de overheid. Dat is onder de huidige wetgeving iets anders dan het tonen van een wettelijk identiteitsdocument aan een bankmedewerker, toezichthouder, gemeenteambtenaar of politieagent. Het is dus te kort door de bocht om te zeggen dat een digitale identiteit automatisch dezelfde juridische functie krijgt als een paspoort, identiteitskaart of rijbewijs.
De wallet kan straks een belangrijke rol spelen bij digitale identificatie. Maar wie een nieuw paspoort wil aanvragen, moet nog steeds naar de gemeentebalie. En wie zich om wettelijke redenen moet identificeren, moet daarvoor nog steeds een paspoort of ander reisdocument kunnen tonen. In Nederland bepaalt wetgeving wat je met een digitale identiteit kunt doen. Authentieke identiteitsgegevens in wallets kunnen belangrijk worden. Maar persoonsgegevens in een wallet zijn niet vanzelf hetzelfde als een volwaardig identiteitsdocument. Dat hangt af van wetgeving én van stelselafspraken.
Daar komt nog iets bij. Voor grensoverschrijdend reizen loopt in Europa een apart spoor, met digitale reisgegevens en mobiele toepassingen voor grensprocessen. Daar dreigt versnippering. Burgers en reizigers hebben weinig aan een landschap waarin voor iedere functie een aparte app ontstaat. Ook de VNG wees daar al op. Daarom is het verstandig om persoonsgegevens, waar dat juridisch en technisch mogelijk is, zoveel mogelijk in dezelfde walletarchitectuur onder te brengen. Daarbij moeten dezelfde veilige en betrouwbare spelregels gelden. Zo blijft het geheel begrijpelijk, overzichtelijk en bruikbaar.
Platformafhankelijkheid vraagt om publieke voorwaarden
Follow the Money stelt terecht vast dat de NL Wallet in de praktijk afhankelijk is van Apple en Google. Zonder Apple ID of Google-account is installatie en gebruik op dit moment niet vanzelfsprekend. Dat is bestuurlijk ongemakkelijk en politiek relevant. Maar het is te simpel om te zeggen dat heel Europa probeert los te komen van Amerikaanse technologie en dat de NL Wallet daar haaks op staat. De werkelijkheid is ingewikkelder.
De Europese Commissie probeert de afhankelijkheid van grote technologiebedrijven vooral te reguleren. Zij stelt strengere eisen aan platformen, beveiliging, data, markttoegang en ketens van leveranciers. Onder de vlag van de Digital Decade wordt gewerkt aan een groot pakket van samenhangende regels en maatregelen. Tegelijk sluit Europa de ogen niet voor de praktijk. In die praktijk bouwen veel digitale diensten voort op bestaande mobiele ecosystemen.
In Nederland draaien vrijwel alle smartphones op iOS of Android. Wie burgers op korte termijn breed wil bereiken via een smartphone, komt dus al snel uit bij Apple en Google. Of dat wenselijk is, is een andere vraag. Daarbij klinkt ook de bredere zorg over afhankelijkheid van grote technologiebedrijven door, bijvoorbeeld sinds de discussie over Microsoft en het Internationaal Strafhof. Maar het is wel de feitelijke uitgangspositie. Het aangekondigde onderzoek naar een wallet voor een ander besturingssysteem dan iOS of Android lijkt daarom weinig zinvol. Het gaat om slechts 0,03 procent van de mogelijke gebruikers. De opbrengst weegt daardoor waarschijnlijk niet op tegen de inspanning. Dat maakt de afhankelijkheid niet minder problematisch. Het maakt haar juist expliciet.
De overheid moet Apple en Google niet negeren, maar hun rol wel begrenzen. De vraag is dus niet óf deze bedrijven een rol spelen. De vraag is onder welke voorwaarden zij die rol mogen spelen. Welke afspraken gelden er? Welke standaarden moeten zij volgen? Welke publieke waarborgen zijn nodig? En hoe houdt de overheid voldoende grip? Hetzelfde zie je bij de Europese Travel to Europe-app. Ook daar loopt de praktische verspreiding via de App Store en Google Play. Europa probeert Amerikaanse technologie dus niet simpelweg te vermijden. Europa probeert afhankelijkheden bestuurbaar te maken.
Digitale soevereiniteit betekent niet dat je alles zelf doet. Het betekent dat je genoeg kennis, capaciteit en controle hebt om publieke waarden te beschermen binnen een internationale en grotendeels private digitale infrastructuur.
Identiteit uitgeven blijft een publieke taak
Hoogleraar Jan-Jaap Hoepman waarschuwt dat de overheid het uitgeven van identiteitsdocumenten niet moet overlaten aan Apple of Google. Dat uitgangspunt is terecht. Het bijhouden en uitgeven van officiële identiteitsgegevens is een publieke taak. Dat geldt voor de Basisregistratie Personen. Dat geldt ook voor reisdocumenten en identiteitsdocumenten. Er is geen goede reden om aan te nemen dat digitale identiteit deze verantwoordelijkheid verandert.
Toch dreigen hier verschillende zaken door elkaar te lopen. Het is belangrijk om scherp te onderscheiden wat wel en niet wordt uitbesteed. Apple en Google geven geen Nederlandse identiteit uit. Zij bepalen niet wie iemand is. Zij bepalen niet welke gegevens in de BRP staan. Zij bepalen ook niet welke persoonsgegevens in een PID terechtkomen. Die verantwoordelijkheid ligt bij de overheid. Gemeenten houden de BRP bij. De Rijksdienst voor Identiteitsgegevens is verantwoordelijk voor de samenstelling en verstrekking van het PID.
De afhankelijkheid zit ergens anders. Die zit bij distributie, toestelbeveiliging, appintegriteit, publieke attestatie en toegang tot de mobiele omgeving. Dat zijn geen bijzaken. Wie een publieke identiteitsvoorziening bouwt die alleen veilig of bruikbaar is binnen de ecosystemen van Apple en Google, maakt een fundamentele keuze over digitale infrastructuur. Die keuze moet bestuurlijk worden erkend. Niet als reden om de wallet af te wijzen. Wel als reden om het stelsel serieuzer te ontwerpen.
Vrijheid buiten de appstore is geen duurzame oplossing
De vergelijking met een Googlevrije Androidversie van DigiD is daarbij leerzaam. Een installatiebestand buiten de Play Store lijkt op het eerste gezicht vrijer. De gebruiker omzeilt dan de controles van Google.
Maar die vrijheid heeft een prijs. Installatie buiten de appstore neemt de privacy- en beveiligingsrisico’s van het toestel zelf niet weg. Bovendien is het los installeren van apps buiten officiële distributiekanalen al jaren een bekende aanvalsmethode. Dat risico wordt groter als het potentiële aanvalsoppervlak groot is. Bij Android gaat het in Nederland om een aanzienlijk deel van de bevolking.
Daar zit een paradox. Uit wantrouwen tegen platformcontrole kan de overheid gebruikers richting een risicovoller installatiepad duwen. Dat is geen duurzame oplossing. Het is hooguit een noodmaatregel. En een noodmaatregel is nog geen architectuur.
De echte opgave is het stelsel
De Nederlandse overheid kiest ervoor een eigen publieke NL Wallet te ontwikkelen. Dat is niet uniek in Europa, maar het is wel een keuze met grote gevolgen. Een publieke wallet vraagt om ontwikkeling, beheer, beveiliging, certificering, gebruikersondersteuning, doorontwikkeling en aansluiting op Europese standaarden. De kosten zitten dus niet alleen in de eerste versie van de app. Ze zitten vooral in het duurzaam laten functioneren van publieke infrastructuur.
Daarbij heeft Follow the Money een terecht punt. Zolang DigiD daarnaast blijft bestaan, betaalt de samenleving voor twee voorzieningen die deels dezelfde toegangsvraag bedienen. Dat hoeft tijdelijk geen probleem te zijn. Dubbele voorzieningen kunnen in een overgangsfase nodig zijn. Maar dan hoort er wel een helder beeld bij van wat uiteindelijk wordt vervangen.
Dat perspectief ontbreekt vooralsnog. Het ministerie van Binnenlandse Zaken spreekt over het opnemen van de NL Wallet in het Stelsel Toegang. Dat is iets anders dan een visie op de verhouding tussen DigiD, eHerkenning, machtigen, vertegenwoordigen en de wallet. De overheid lijkt de NL Wallet daarmee vooral te willen toevoegen aan het bestaande landschap. Dan komt er een nieuwe voorziening bij naast de voorzieningen die er al zijn. Maar de komst van eIDAS 2.0 zou juist aanleiding moeten zijn om dat hele landschap opnieuw te doordenken.
Daar zit de ongemakkelijke kern. DigiD Hoog is nodig om de publieke NL Wallet te activeren. Tegelijk is het gebruik van DigiD Hoog nog beperkt en soms zelfs onmogelijk. De wallet leunt dus deels op een voorziening die zelf nog niet breed is ingeburgerd of voldoende inzetbaar is. Dat is wrang. Want op termijn kan de wallet juist een deel van de rol van bestaande middelen overnemen. Dat het gebruik van de wallet vrijwillig is, is geen excuus om er nu geen gepaste aandacht aan te besteden. Sterker nog: een gereguleerd walletstelsel lost de uitdaging van open toelating, waar de Nederlandse overheid al mee worstelt sinds de inwerkingtreding van de Wet digitale overheid, acuut op. Dat het gebruik van een wallet vrijwillig is, is een drogreden om nu niet aan dat stelsel te werken. DigiD is ook nooit verplicht sinds de introductie in 2004. Tegenwoordig is het praktisch onmogelijk om bij een overheidsorganisatie digitaal zaken te doen zonder DigiD. Het feit dat Europa wallets in wetgeving hebben opgenomen met een hele duidelijke tijdlijn, betekent dat we niet lang hoeven wachten totdat ze net zo onvermijdelijk zijn als DigiD nu is.
Publieke waarden vragen niet per se om een publieke app
De Nederlandse overheid besteedt veel aandacht aan de realisatie van een publieke open source app. Dat is begrijpelijk, maar het is niet genoeg. De belangrijkste vraag is niet alleen of Nederland zelf een wallet bouwt. De belangrijkste vraag is onder welke voorwaarden wallets betrouwbaar kunnen functioneren.
Wereldwijd bestaan inmiddels veel wallets. Sommige zijn publiek, andere privaat. Sommige zijn open source, andere commercieel. Sommige gebruiken open standaarden, andere gesloten standaarden. Vaak gaat het om combinaties daarvan. De Europese Commissie staat ook toe dat landen een wallet uit de markt aanbieden. Een land mag ook de nationale wallet van een andere lidstaat aanbieden. De overheid hoeft dus niet per se zelf een nationale wallet te bouwen om publieke waarden te beschermen. Zij moet vooral de randvoorwaarden organiseren.
Dat vraagt om duidelijke spelregels voor toelating van walletaanbieders. Het vraagt om heldere eisen aan uitgevers van gegevens. Het vraagt om betrouwbare controle van echtheid, eenduidige ontsluiting van brongegevens en herkenbaarheid van betrouwbare dienstverleners. Ook vertegenwoordiging moet goed worden ingericht. Burgers moeten ergens terechtkunnen als gegevens niet kloppen. En er moet een eerlijk model komen voor kosten en aansprakelijkheid. Dat zijn geen randzaken naast de wallet. Dit is de kern van digitale identiteit.
Als schaarse capaciteit en middelen vooral naar het bouwen en beheren van een publieke app gaan, blijft er minder ruimte over voor deze stelselvragen. In een overheid waar geld en uitvoeringskracht voor digitalisering al onder druk staan, is dat een serieus risico. Juist dit risico blijft nog te vaak onder de radar.
Kritiek is pas nuttig met handelingsperspectief
Het artikel van Follow the Money eindigt somber. Het noemt terechte zorgen uit andere lidstaten en van beveiligingsexperts. Die signalen zijn waardevol. Maar als zulke signalen alleen worden gepresenteerd als bewijs dat het misgaat, ontstaat vooral een neerwaartse spiraal in vertrouwen. Dat helpt niet bij een constructief gesprek.
De afhankelijkheid van Apple en Google is een echt probleem. Appintegriteit en toestelbeveiliging zijn echte beveiligingsvragen. Ook het versterken van het smartphoneduopolie van Apple en Google is een echt inclusievraagstuk. Juist daarom moet de discussie gaan over ontwerpkeuzes, alternatieven en publieke waarborgen. De discussie over de NL Wallet moet daarom niet blijven hangen in de vraag of Apple en Google erbij betrokken zijn. Ik spreek liever over een stelsel voor digitale identiteitswallets. Of over EDI-wallets, zoals in de Meerjarenvisie Digitale Overheid.
De overheid moet niet alleen kritisch zijn op afhankelijkheden. Zij moet ook bepalen hoe zij die afhankelijkheden bestuurbaar maakt. Daarvoor is een uitvoeringsstrategie nodig voor digitale identiteit als publieke infrastructuur. Zo’n strategie moet niet alleen wallets beschrijven. Zij moet ook gaan over bronidentiteit, bronontsluiting, attributen, attestaties, vertegenwoordiging, toetreding, toezicht, kosten, ondersteuning, herstel, intrekking, noodmaatregelen, inclusie en vervanging van bestaande middelen.
Namens de VNG werkte ik met collega’s van het Netwerk van Publieke Dienstverleners aan een concrete uitvoeringsstrategie digitale identiteit. In die handreiking hebben we twintig van deze aspecten beschreven, geduid en voorzien van concreet handelingsperspectief. Want wallets kunnen inderdaad meer dan DigiD.
Juist daarom moet de overheid de wallet niet behandelen als een extra app naast DigiD. De wallet moet aanleiding zijn om het Nederlandse stelsel voor digitale identiteit opnieuw te ontwerpen.