Gegevenssuprematie: de race naar het nummer één cijfer – digitaal
In analoge realiteit is het niet moeilijk om jezelf te identificeren. Je opent je portemonnee, er zijn talloze plastic pasjes waarmee je jezelf kunt identificeren als burger, patiënt, rekeninghouder en klant. Op internet daarentegen kun je voor elke webservice een apart account aanmaken met een gebruikersnaam en wachtwoord – desgewenst een aparte portemonnee voor elke elektronische klantenkaart. Maar het zou snel gemakkelijker moeten worden. Burgers moeten een uniforme digitale identiteit hebben. Een elektronische portemonnee voor alle belangrijke persoonlijke gegevens en documenten, van geboorteaktes tot testamenten.
Een hoofdsleutel voor het digitale zelf. Maar, net als bij hoofdsleutels: wat als ik in verkeerde handen zou vallen? Wie krijgt er een reservesleutel? Deze vragen draaien om een van de belangrijkste digitale beleidsprojecten van het jaar. De federale regering heeft ambitieuze plannen en de kanselier lobbyt achter de schermen. Dit is ook het geval. Omdat er een wedstrijd is.
Deze hoofdsleutel zal uiterlijk nodig zijn wanneer in de toekomst steeds meer officiële diensten online beschikbaar zullen zijn. Om iets digitaal te legaliseren voor zijn burgers, heeft de staat een digitale kopie van de burger nodig, dat wil zeggen een digitale ID waaraan ze deze certificaten kunnen toewijzen. De meeste mensen willen echter niet gekopieerd worden, zeker niet digitaal. Tot dusverre hebben de autoriteiten dit probleem omzeild door alleen serieuze communicatie op papier en een beroep op deze gegevensbescherming. Hoe verder de digitalisering vordert, hoe meer de situatie een bottleneck wordt in mogelijk geautomatiseerde processen. Papieren certificaten vragen, scannen en uploaden, bevestigingsloops tussen kantoren, tijd doorgebracht in wachtkamers – dit alles is zenuwslopend. Het kost de Duitse economie elk jaar miljarden dollars. Een studie van McKinsey Consulting Group ziet potentiële besparingen mogelijk in 2030 van drie tot 13 procent van het bbp van verschillende landen.
Het kostte 16 jaar om een coherente digitale identiteit voor het gezondheidszorgsysteem te creëren met behulp van een elektronisch patiëntendossier – maar voorlopig blijft de controverse erover bestaan. Ook omdat, vanuit het standpunt van de federale commissaris voor gegevensbescherming, het authenticatieproces niet veilig genoeg is. Het probleem is dat deze gedeeltelijke identiteit ook niet gebonden is aan een veilige digitale portemonnee. De belastingkantoren ontwikkelen op hun beurt hun fiscale identiteitsoplossing met “Elster”. En studenten zouden een digitale studentenkaart moeten krijgen – misschien eind 2024. Al deze geïsoleerde oplossingen moeten dringend met elkaar worden verbonden, zodat niet elke sector het wiel opnieuw uitvindt en er uiteindelijk veel onaangename oplossingen naar voren komen. Als u ooit 15 overheidsapps op uw mobiele telefoon heeft gehad, waarvan er acht gebruikersinstructies hebben die zijn ontworpen door de Duitse autoriteiten, en vijf andere u vergeten toegangsgegevens moeten mailen, is de kans groot dat veel mensen liever persoonlijk naar kantoor gaan.
Of ze gebruiken een identiteitsdienstverlener om zichzelf te identificeren. Ze laten hun werknemers identiteitskaarten, documenten en bewijsmateriaal tegelijk zien via een webcam, in plaats van dat ze het steeds opnieuw moeten doen, zoals ze nu doen. Het bedrijf slaat deze informatie op en certificeert deze vervolgens wanneer de klant deze moet tonen. Naast de online account-inlogknop bij de relevante autoriteit, zullen er dan nog andere knoppen zijn om je te identificeren via de verschillende identiteitsdienstverleners. Daar zijn ook de namen van de grote digitale bedrijven te vinden. Bijna iedereen heeft een Apple ID, Google of Facebook. U kunt zich met deze accounts op steeds meer websites identificeren om uzelf vervelende registraties en misleidende wachtwoorden te besparen. Misschien klik je wel eens op “Aanmelden met Google” als je naar de digitale autoriteiten gaat, en wie weet, als je belt.
Geen enkele taak mag een overzicht krijgen
Het gaat dus om de hoofdvragen: welke rol speelt de staat in het digitale tijdperk? Eind vorig jaar bracht de bondskanselarij vertegenwoordigers van de spoorwegen, Lufthansa, banken, Telekom, gsm-serviceproviders, hotelketens en online retailers samen. Afhankelijk van de wens van de adviseur, moeten de verzamelde bedrijfsleiders een “ecosysteem van digitale identiteiten” ontwikkelen – een gemeenschappelijke technologie-interface waarmee een persoon digitaal kan worden geïdentificeerd als een gebruiker van hun verschillende diensten. Het land wil ook zijn identiteitskaarten en certificaten in deze e-wallet integreren. Schat aan gegevens gecreëerd tijdens het inloggen – wie heeft zichzelf geïdentificeerd, wanneer en waar? Maar het mag niet aan één bedrijf worden overgedragen, zelfs niet aan een autoriteit. Het ‘ecosysteem’ als geheel zou zichzelf moeten bewijzen als een betrouwbaar alternatief voor superservices uit Silicon Valley. Een gedecentraliseerd systeem tegen convergerende gegevensstromen centraal op bedrijfsservers.
Bijgevolg zet de federale overheid zich in voor een visie die netwerkactivisten al jaren uitdragen: “een zelfbesturende digitale identiteit”. Het idee is dat niemand een overzicht heeft van het systeem waarin identiteitsbewijzen en getuigenissen worden verhandeld tussen mensen, bedrijven en op een gegeven moment dingen. Schufa krijgt bijvoorbeeld specifieke nummers van de bank als de persoon in kwestie ze vrijgeeft, maar hij hoeft niets te weten over zijn klantenaccount bij een online seksshop of zijn punten in Flensburg. Alles komt alleen samen in een e-wallet. De federale kanselarij vertrouwt op speciaal beveiligde geheugenchips in toekomstige modellen voor mobiele telefoons, evenals op gedistribueerde grootboektechnologie, bekend als “blockchain”. Hiermee kunnen gegevens worden ondertekend, zodat ze later niet kunnen worden vervalst. Dit is de eerste keer dat deze geluidstechnologie massa’s mensen bereikt.
Omdat alles nu heel snel moet gaan. In het voorjaar start een pilotproject met hotelketens Motel One, Steigenberger en Lindner en first-person zakenreizigers kunnen zich bij het inchecken identificeren met de app en een QR-code. In de tweede helft van het jaar komen er meer use cases bij. Ondertussen begint in juni een veldproef door het federale ministerie van Economische Zaken. Met in totaal € 45 miljoen worden drie pilootprojecten gefinancierd door verschillende publieke en private federaties, die tot doel hebben lokale ecosystemen van identiteiten te testen in zogenaamde “tentoonstellingsruimten”. Ze volgen allemaal de principes van ‘zelfidentiteit’. En het moet technisch uitwisselbaar zijn: zodra een standaard is gemaakt, kunnen gebruikers daar naartoe gaan met de inhoud van hun e-wallets.
Het systeem leert zijn gebruikers kennen
Deze kwestie wordt ook in Brussel behandeld. In haar State of the Union-toespraak afgelopen september verklaarde de voorzitter van de Europese Commissie, Ursula von der Leyen, een ‘veilige Europese identiteit’ die in het dagelijks leven zou kunnen worden gebruikt ‘van het betalen van belastingen tot fietsen’. Burgers moeten “zelf kunnen bepalen welke gegevens worden gedeeld en hoe deze worden gebruikt” – net zoals de ideeën van de bondskanselarij. In veel andere lidstaten bestaan al publiek-private partnerschappen om digitale identiteiten uit te wisselen. Duitsland nam de tijd, maar lijkt nu normen te willen stellen voor gegevensbescherming en de suprematie van individuele gegevens.
Anders zullen anderen dat doen. Bijvoorbeeld ID2020, een alliantie rond de Microsoft-groep, ondersteund door de Amerikaanse overheid. Het werkt aan een transnationale digitale identiteit die kan worden afgegeven in verband met vaccinaties. Of het “Known Passenger Digital Identity” -project, een consortium van luchtvaartmaatschappijen en luchthavens dat wordt ondersteund door de Canadese en Nederlandse overheid. Het plan is dat vanaf de zomer tot wel tienduizend luchtreizigers zich digitaal “naadloos” kunnen identificeren – met hun gezichten. Ze tonen hun paspoort maar één keer en de agent bewaart de gegevens erop. Ook biometrische gegevens.
Vanaf nu kan de reiziger de paspoortcontrole passeren omdat het systeem dat al weet. Bij elke reis verzamelt het meer digitale paspoortstempels, zodat het systeem het steeds beter leert kennen. Op een gegeven moment zullen waarschijnlijk andere documenten, zoals registratiecertificaten, universitaire diploma’s en vaccinatiecertificaten erin worden opgenomen, en het transnationale “vertrouwens” -systeem zal veranderen in een meer inclusief concept van “hoe veiligheidsbeslissingen worden genomen”, aldus het. vaag in de projectbeschrijving.
“Bruikbare politie-informatie, inclusief biometrische gegevens, op het juiste moment in de juiste handen hebben, is een van de prioriteiten van INTERPOL”, aldus secretaris-generaal Jurgen Stock van INTERPOL. Naast zijn autoriteit staan ook het Amerikaanse Department of Homeland Security en de British Crime Agency achter het project.
De biometrische informatie die in bewakingssystemen van de overheid is geïntegreerd, is buitengewoon gevaarlijk. De wetten waarop ze toezicht moeten houden, kunnen veranderen. De “bekende digitale passagiers-ID” is echter ook verplicht om gebruikers controle te geven over hun gegevens. De gegevens moeten gedecentraliseerd worden opgeslagen in de blockchain-database, in een gecodeerde vorm, zodat de eigenaar er de controle over behoudt. In theorie zou hij kunnen weigeren ze over te dragen als de officier daarom vroeg. In de praktijk kan hij zich hiermee echter in de problemen brengen – zodra het systeem is gecreëerd dat hem kent, maar hem wat beter wil leren kennen. Blockchain-technologie, vaak geprezen als een redder, is geen garantie voor een digitaal besliste wereld voor zichzelf. De vraag is eenvoudiger en politieker: wie zal bevestigen dat u bent wie u bent?
Er is geen reden om bang te zijn dat technische antwoorden op deze vraag zo snel gevonden kunnen worden met een heleboel Duitse autoriteiten aan boord, en dat een e-wallet in verkeerde handen zou kunnen belanden. De vraag blijft of dit echt een geruststelling is. Als andere normen sneller prevaleren dan de Duitse staatsnormen, nemen parlementen niet langer een beslissing over de digitale burger.