Bedankt voor dit bezoek. Viruswaarheid gaat door als Voorwaarheid!

Digitale identiteit als onderdeel van de coronapas: een paard van Troje 

Door mr. Hanno Wisse, 14 januari 2022

1. Inleiding

De coronapas moet voldoen aan de vereisten van noodzakelijkheid, proportionaliteit en subsidiariteit om het grondrecht van de bewegingsvrijheid te kunnen beperken ex artikel 45 lid 1 juncto artikel 52 lid 1 en 3 Handvest van de grondrechten van de Europese Unie juncto artikel 2 lid 1, 3 en 4 van het Vierde Protocol bij het Europees Verdrag Voor de Rechten van de Mens en fundamentele vrijheden, tot het waarborgen van bepaalde rechten en vrijheden die niet reeds in het Verdrag en in het eerste Protocol daarbij zijn opgenomen.

Verder is voor de coronapas vooral artikel 58rb van de Wet Publieke Gezondheid (WPG) van belang:  

“Onverminderd artikel 58b, tweede lid, kunnen slechts regels als bedoeld in artikel 58ra, eerste of derde lid [ten aanzien van de reikwijdte van de coronapas. HW], worden gesteld, indien deze, rekening houdend met de aard van de activiteiten of voorzieningen:

 

a. in het maatschappelijk belang zijn aangewezen;
b.
uitvoerbaar en doelmatig zijn, mede gelet op de aanvang en duur van de periode waarin de regels van toepassing zijn en de mogelijkheden om een resultaat te verkrijgen;
c. gepaard gaan met voorzorgsmaatregelen om eventuele maatschappelijk ongewenste effecten ervan, waaronder afbreuk aan andere maatregelen tegen verspreiding van het virus SARS-CoV-2, vermijdbare achterstanden of ongelijke toegang tot activiteiten, voorzieningen of onderwijs te voorkomen, weg te nemen of te verminderen.”

In artikel 58b lid 2 WPG staat bovendien:

“De bij of krachtens dit hoofdstuk toegekende bevoegdheden [in het kader van de pandemiebestrijding, HW] worden slechts toegepast voor zover die toepassing:

 

a. gelet op de ernst van de bedreiging van de volksgezondheid noodzakelijk is;
b. in overeenstemming is met de uitgangspunten van de democratische rechtsstaat; en
c. gelet op het in het eerste lid genoemde doel [namelijk bestrijding van de pandemie, HW] de uitoefening van de grondrechten zo min mogelijk beperkt en dat doel evenredig is.”

Hieronder wordt betoogd dat de coronapas vooral wordt gebruikt om overhaast een project van digitale identiteit in te voeren. Dat project is echter niet noodzakelijk voor het gezondheidsdoel wat met de pas wordt nagestreefd; niet in het maatschappelijk belang; niet strikt doelmatig ten aanzien van het nagestreefde gezondheidsdoel; hoogstwaarschijnlijk niet tijdelijk maar permanent; zonder dat de juiste voorzorgsmaatregelen zijn getroffen om ongewenste effecten ervan te voorkomen. Hierdoor kan onmogelijk gesproken worden van een verantwoorde inbreuk op grondrechten en wordt niet voldaan aan boven gestelde vereisten. Het gezondheidsdoel van de coronapas behoeft hiervoor niet eens ter discussie worden gesteld.

2. Veiligheid, een worst die vaak onterecht wordt voorgehouden

Er wordt vooral geschermd met de bewering dat digitale identiteit fraude met gezondheidsbewijzen zou tegengaan. Echter, strikt genomen zou het daarvoor al voldoende moeten zijn om een gezondheidsbewijs afgegeven door een bevoegde gezondheidsautoriteit te gebruiken. Bijvoorbeeld het welbekende gele boekje. Dat is weliswaar niet voor honderd procent fraudebestendig, maar een coronapas garandeert ook allerminst absolute vrijwaring van corona. Het zou hier bovenal moeten gaan om het bewaren van een redelijke balans tussen de risico’s. Die lijkt met invoering van de coronapas echter volledig zoek.  

Het systeem van digitale identiteit wat aan de coronapas is gekoppeld heet een trust-system: een keten waarin sprake is van een user, een holder en een verifier. Oftewel de keten van vertrouwen tussen de gebruiker van de corona pas, de instantie die de pas uitgeeft en degene die de pas controleert.

Het project van digitale identiteit wordt te pas en te onpas neergezet als dat het fraude door de user zou tegengaan. Ondertussen komt echter onrustbarend weinig aan bod dat ondanks wet- en regelgeving de fraudemogelijkheden voor de holder en de verifier, vanwege de machtsasymmetrie tussen de user aan de ene kant en de holder en de verifier aan de andere kant er juist aanzienlijk door worden vergroot, ten koste van de privacy van de gebruiker. 

Bij een machtsasymmetrie horen extra waarborgen te zijn tegen machtsmisbruik van de sterkste partij. In dit geval de holder en de verifier. Momenteel wordt de aandacht van het publiek echter vrijwel uitsluitend gericht op het beperken van misbruik door de zwakste partij, namelijk de gebruiker. Deze eenzijdige framing is zacht gezegd nogal curieus.

Ook een systeem van digitale identiteit kan, ondanks de hoogdravende pretenties, fraude allerminst uitsluiten. Hoogstwaarschijnlijk wordt het probleemveld slechts verschoven: het pretendeert weliswaar wat op te lossen, maar het opent tegelijk een heel nieuw veld aan problemen, dat tot dan toe nog niet bestond. Hierdoor is het  de vraag of deze nieuwe techniek vanuit het oogpunt van de burger eigenlijk wel de moeite waard is.

3. Twee EU-projecten, aantoonbaar ouder dan corona

Het is opmerkelijk te noemen dat de Europese Commissie al ruim voor de pandemie zich zowel committeerde aan de invoering van een ‘vaccination card’, wat in feite neerkomt op iets wat niet veel anders is dan de huidige coronapas, als wel aan het promoten van digitale identiteit. 

Zie voor het eerste de Roadmap On Vaccination:
https://ec.europa.eu/health/sites/default/files/vaccination/docs/2019-2022_roadmap_en.pdf.
De invoering van een EU vaccination card stond dus al lang vóór de pandemie op het programma. 

Zie voor het tweede het European Project Digital Identity:
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en#digital-identity-for-all-europeans

De huidige coronapas past naadloos binnen deze plannen en komt dus allesbehalve uit de lucht vallen.

4. Doelmatigheidsvereiste

Het invloedrijke World Economic Forum (WEF) publiceerde voorafgaand aan de pandemie eveneens een document waaruit blijkt, dat digitale identiteit beoogd is om de exclusieve sleutel te vormen tot deelname aan zo’n beetje alle vitale aspecten van het maatschappelijke leven:  https://www3.weforum.org/docs/WEF_Digital_Identity_Strategic_Imperative.pdf.

Het plaatje op pagina 6 spreekt boekdelen: 

De Europese Commissie geeft ook zelf expliciet aan dat digitale identiteit een veel ruimer toepassingsbereik heeft dan alleen als onderdeel van een coronapas in het kader van het voorkomen van besmettingen:
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en#digital-identity-for-all-europeans.

“The European Digital Identity can be used for any number of cases, for example:

 

> public services such as requesting birth certificates, medical certificates, reporting a change of address
opening a bank account
> filing tax returns
> applying for a university, at home or in another Member State
> storing a medical prescription that can be used anywhere in Europe
> proving your age
> renting a car using a digital driving license
> checking in to a hotel”

Verder is opmerkelijk dat de WHO op pagina 70 van zijn op 27 augustus jl. uitgebrachte implementatiegids voor blockchain based Digital Documentation of Covid-19 Certificates (zoals de coronapas), de LONG-TERM Digital Documentation Solution uitdrukkelijk “sustainable” noemt en dus te prefereren boven de tijdelijke oplossing:
https://apps.who.int/iris/rest/bitstreams/1359417/retrieve:

 

“(…)there are two distinct approaches that Member States can use to pursue the implementation of Digital Documentation, both of which have different implications for implementation strategy.

“1. SHORT-TERM Digital Documentation SOLUTION: Deploy a short-term Digital Documentation solution to address the immediate need of the pandemic that includes a clearly established end date and a roadmap towards discontinuing the Digital Documentation solution once COVID-19 is no longer considered a Public Health Emergency of International Concern under the IHR.
2. LONG-TERM Digital Documentation SOLUTION: Deploy a Digital Documentation solution to address the immediate needs of the pandemic but also to build digital health infrastructure that can be a foundation for digital vaccination certificates beyond COVID-19 (e.g. digital home-based records for childhood immunizations) and support other digital health initiatives.

 

Both approaches are valid and will depend on the available resources, the pandemic response plan, the overall public health strategy and the digital health roadmap of the Member State. However, it is critical for Member States to determine whether their Digital Documentation is intended only to be in response to the COVID-19pandemic, or if it is intended to be a sustainable solution that can address other existing health systems challenges and future pandemics.“

Invoering van digitale identiteit, waarvoor de coronapas enkel als opstapje wordt gebruikt, leidt zo echter evident tot een meer dan reëel risico op ‘function creep’. Ofwel  deze digitale identiteit gaat ondertussen andere doelen dienen dan enkel alleen het gezondheidsdoel wat met de coronapas wordt beoogd. Daarmee is invoering van de coronapas niet doelmatig in de zin van artikel 58rb sub b WPG, wat immers een strikte beperking voorschrijft tot het gezondheidsdoel. Tevens ligt hiermee voor de hand dat de duur niet tijdelijk, maar permanent zal zijn. 

5. De coronacrisis, een buitenkansje voor alliantie ID-2020

Terug naar het begin: digitale identiteit als commercieel project. 

ID-2020 is een alliantie van organisaties die streven naar de realisering van digitale identiteit. Hieronder bevinden zich machtige bedrijven zoals Microsoft en biometrische bedrijven, evenals andere actoren zoals Accenture, de Rockefeller Foundation en vaccin alliantie Gavi. Het is dus duidelijk dat deze invloedrijke alliantie van meet af aan een verbintenis beoogt tussen digitale identiteit en het thema gezondheid. 

In september 2019 probeerde de ID-2020 Alliance al in Bangladesh vaccinatieprogramma’s te gebruiken om hun project van digitale identiteit vooruit te helpen: https://www.prnewswire.com/news-releases/id2020-alliance-launches-digital-id-program-with-government-of-bangladesh-and-gavi-announces-new-partners-at-annual-summit-300921926.html

 “Recognizing the opportunity for immunisation to serve as a platform for digital identity, this program leverages existing vaccination and birth registration operations to offer newborns a persistent and portable biometrically-linked digital identity.”

In april 2020, meer dan een maand nadat de coronacrisis goed en wel was losgebarsten, schreef de executive director van ID-2020 op pagina 6 in een artikel getiteld “Immunity Certificates: If We Must Have Them, We Must Do It Right“: https://ethics.harvard.edu/files/center-for-ethics/files/12immunitycertificates.pdf?m=1588342659

“With the deployment of immunity certificates systems becoming increasingly likely, we believe there is significant value to proactively exploring the concept and ensuring that adequate safeguards, both technical and regulatory, are implemented should such programs move forward”

De reden dat ID2020 wenst te profiteren van de pandemie ligt voor de hand. Digitale identiteitsoplossingen die aan de industrie worden aangeboden vinden maar gevarieerd aftrek en zijn geen lang leven beschoren. Effectiever is het om regeringen zover te krijgen om een digitale identiteitsoplossing verplicht te stellen. 

Het beste gaat dat natuurlijk tijdens een pandemie. Dat betreft immers een wereldwijde crisis waarbij een onmiddellijk beroep wordt gedaan op de gezondheidsautoriteiten om deze het hoofd te bieden. Een optimalere kans om het project van digitale identiteit te lanceren dan het als onderdeel van de pandemiebestrijding wereldwijd mee te laten liften, doet zich uiteraard niet voor. Never let a good crisis go to waste. 

6. Digitale identiteit leidt gemakkelijk tot digitale dictatuur

Wat is echter de reden om dit project van digitale identiteit wereldwijd te willen doorvoeren?

Een van de adviseurs van ID2020 en technology and human rights fellow bij Harvard University’s Carr Center for Human Rights Policy Elizabeth Renieris, besloot de alliantie de rug toe te keren en uitte harde kritiek op dit project van digitale identiteit in haar afscheidsbrief:
https://www.coindesk.com/tech/2020/05/27/decentralized-id-at-all-costs-adviser-quits-id2020-over-blockchain-fixation/:

“At this stage, I can no longer even describe what ID2020’s mission is with any confidence….All I can perceive is a desire to promote decentralized identity solutions at all costs.”
(…)


“Blockcain-activated ‘immunity certificates’or ‘immunity passports’for COVID-19, if implemented by the government, would have serious consequences for our basic human rights and civil liberties.”

De blockchain, waar digitale identiteit op is gebaseerd, wordt vaak aan het publiek voorgesteld als een techniek waardoor peer-to-peer veilige transacties mogelijk zijn. Een blockchain ledger is immers een soort grootboek waarin alle transacties feilloos worden bijgehouden, waarin niets kan worden gewist. Vandaar dat de gedecentraliseerde aanwending van deze techniek met dit doel vaak wordt aangeprezen. 

Echter, wat er vaak niet bij wordt verteld, is dat dezelfde techniek ook gecentraliseerd kan worden aangewend. Dan is het ineens een heel ander verhaal. 

Bij de huidige stand van de techniek is het eenvoudig om de digitale identiteit van de burger te koppelen aan gedragsvoorwaarden, voortdurende monitoring van gedrag, algoritmische sturing en een volledig geautomatiseerd belonings- en bestraffingssysteem. Zoiets kan door Big Tech, Big Pharma, banken en het verzekeringswezen op een vervelende manier worden uitgebuit, maar ook door overheden gemakkelijk voor verkeerde doelen worden benut. Denk bijvoorbeeld aan het sociaal kredietsysteem, zoals dat in China bestaat, waarmee op autoritaire wijze een bepaald burgerschapsideaal wordt afgedwongen. 

Dichter bij huis, in België, begon ING onlangs gezondheidsgegevens aan bankgegevens te koppelen: https://arnowellens.eu/article/56772/itsme-van-ing-al-je-persoonlijke-bancaire-en-medische-gegevens-sinds-vandaag-ongevraagd-in-een-app

De stap naar het uitsluiten van ongevaccineerden als klant is dan bijvoorbeeld klein.

Op de financiële markten is sprake van de opkomst van Impact Finance. Een investeringsmodel naar verluid, om de veranderingen in sociaal, milieu en economisch opzicht te financieren die dringend nodig zijn. Zie de eerste alinea op pagina 1: https://www.ixo.world/white-paper

Het gaat hier om blockchaintechnologie die nauw verbonden is met digitale identiteit. Feitelijk stelt Impact Finance de invoering van een variant op het Chinese sociaal krediet systeem in het westen voor, alleen niet via de overheid, maar via de financiële markten gerealiseerd. Door middel van een afreken- en verantwoordingsmodel, namelijk Impact Verification wordt de gewenste impact bepaald en het behalen daarvan in de praktijk vastgesteld en gerapporteerd: https://www.ixo.world/protocols. De financiering gaat via Alpha Bonds, die op de financiële markten worden verhandeld. Behaalde doelen resulteren in Impact Tokens. Dit is weinig anders dan wat in China sociaal krediet heet. Uiteraard is voor Impact Verification een behaaglijk inclusief klinkende term bedacht, namelijk Decentralised IDentifier (DID), evenals dat Impact Finance geruststellend Sustainable Decentralised Finance (Sustainable DeFi) heet. Maar ondanks deze framing geldt ook hier eenvoudig dat het de kapitaalkrachtigste partijen in de wereld zullen zijn die de doelen van Impact Finance in de praktijk gaan vormgeven. Allerlei taken die normaal door overheden, het MKB en het maatschappelijk middenveld worden verricht, zullen zo in toenemende mate door de grote spelers op de financiële markten worden geabsorbeerd, gefinancialiseerd en aangestuurd. Ook wordt er in dit kader nadrukkelijk gesproken van People’s Money oftewel kredietverschaffing aan de burger in ruil voor het behalen van bepaalde doelen. 

Verder zinnen centrale banken al een tijdje op de introductie van Central Bank Digital Currency (CBDC), een digitale valuta voor de burger, uitgegeven door centrale banken, nauw verbonden met digitale identiteit. Augustín Carstens, General Manager van de Bank for International Settlements (BIS), de bank der centrale banken te Zwitserland, maakte enige tijd geleden al duidelijk dat centrale banken absolute controle hebben over de randvoorwaarden voor het gebruik hiervan alsmede reeds beschikken over de technologie om handhaving hiervan af te dwingen: https://www.youtube.com/watch?v=rpNnTuK5JJU.

CBDC is een vorm van programmeerbaar geld. Zie ook pagina 9 van dit document van De Nederlandse Bank (DNB) uit 2020: https://www.dnb.nl/media/vffk3syt/digitaal-centralebankgeld.pdf. Dat wil zeggen dat dit geld op verschillende manieren kan worden geoormerkt, afhankelijk van bijvoorbeeld bepaalde gedragsvoorwaarden. Wanneer dit op den duur wordt gecombineerd met het afschaffen van de bestaande reguliere valuta’s in girale en contante vorm en cryptovaluta’s, waar critici voor vrezen, dan kan deze monopolisering van geld leiden tot het complete verdampen van burgerlijke vrijheden in het westen.    

Al sinds Big Tech op sociale media platformen vrijwel onbelemmerd censureert, moet duidelijk zijn dat tegenwoordig ook buitenom nationale overheden burgerschapsidealen worden afgedwongen. 

Daar komt bij dat gezien de plannen van het WEF en de Europese Commissie die in paragraaf 4 aan de orde kwamen, voor digitale identiteit een centrale rol is weggelegd als voorwaarde om deel te nemen aan zo’n beetje alle essentiële aspecten van het maatschappelijke leven. 

Tegen deze achtergrond moet de gedecentraliseerde versie van digitale identiteit als Self Sovereign Identity (SSI), waarbij de burger via een digital identity wallet, waarin persoonlijke data liggen opgeslagen, zelf zeggenschap blijft houden over welk stukje van zijn data bij gelegenheid functioneel wordt gedeeld, worden gewantrouwd als louter marketing om de burger op te vrijen om mee te gaan doen aan dit systeem. Een systeem dat veel weg heeft van een hotel California, waar je gemakkelijk kunt inchecken, maar uitchecken er niet meer bij is. Het is immers allerminst gegarandeerd dat dit systeem ook echt Self Sovereign is en blijft. Bovendien geeft het bij voorbaat niet veel vertrouwen dat het blijkbaar de bedoeling is dat mensen meedoen aan dit systeem op straffe van uitsluiting van vitale aspecten van het maatschappelijke leven. Aan het individu wordt daarmee, ondanks het zoetsappige gepraat over Self-Sovereignty, feitelijk helemaal geen keus gelaten. 

In een gezonde democratische rechtsstaat is het de macht die zich transparant behoort op te stellen jegens de burger, zodat deze jegens de burger aanspreekbaar is op het eigen gedrag. In een totalitair systeem ligt deze focus juist, honderdtachtig graden omgedraaid, bij de burger, die zich transparant op dient te stellen ten opzichte van de macht zodat deze de burger naar willekeur kan corrigeren en controleren. Dit cruciale verschil dient vooral bij het project van digitale identiteit voor ogen te worden gehouden.

Scepsis jegens Big Tech, Big Pharma, banken, het verzekeringswezen, ngo’s en overheden die uit zijn op machtsuitbreiding ten koste van burgerlijke vrijheden is dus geboden, zeker in een wereld waarin belangrijke onderdelen van de politieke agenda in toenemende mate bovennationaal lijken te zijn geworden, ingegeven door oligarchische machtsconcentraties. 

Daarom past een terughoudende opstelling bij het project van digitale identiteit dat bij de huidige technische stand van zaken immers gemakkelijk kan worden misbruikt om (via of ondanks nationale overheden) vormen van digitale dictatuur te realiseren. 

7. Dataveiligheid blijft ondanks wet- en regelgeving een onoverkomelijk probleem

Hoewel veiligheid, als gezegd, naast vereenvoudiging, vaak het meest gebruikte argument is om digitale identiteit te verkopen, is het juist dataveiligheid waar het bij digitale identiteit vaak in de praktijk aan schort. 

Op pagina 35 van het jaarlijks rapport A world in disorder uit 2020, een publicatie van het gezaghebbende Global Preparedness Monitoring Board (GPMB) – een internationaal orgaan dat is ingesteld door de World Health Organisation (WHO) en de Wereldbank om internationaal “preparedness for outbreaks” te monitoren – wordt namelijk ruiterlijk toegegeven dat aan digitale oplossingen ondanks (!) regelgeving en handhaving nog altijd ernstige privacy bedenkingen kleven: https://www.gpmb.org/docs/librariesprovider17/default-document-library/annual-reports/gpmb-2020-annualreport-en.pdf?sfvrsn=bd1b8933_36&download=true: 

“Significant concerns remain about the privacy and confidentiality of personal information, and how such information is being used. The governance and regulation of digital health remains weak.”

Pagina 77 t/m 84 van het rapport Digital Identification. A key to inclusive growth van de toonaangevende strategy consultancy firma McKinsey uit april 2019 verduidelijkt waarom digitale identiteit allesbehalve 100% fraudebestendig is. Als techniek schept het zelfs een heel nieuwe eigen categorie van nieuwe frauderisico’s:

https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20identification%20A%20key%20to%20inclusive%20growth/MGI-Digital-identification-Report.ashx

“Cyberthreats impact individuals through unauthorized access to their personal data, institutions through unauthorized leaks of private and confidential transaction information, and ID providers through direct costs, decreased trust in the system reducing usage, and the potential for intrusion to make the system inoperable (…). 

 

The costs and disruptions can be significant. For example, Equifax, a massive credit rating agency based in the United States, was breached from an external party that gained access to 150 million individuals’ personal records, such as addresses, financial documents, and Social Security numbers. To date, this violation has cost roughly $600 million in legal fees, free identity theft services, and required system upgrades. In February 2016, a cyberintrusion into the central bank of Bangladesh allowed hackers to request the transfer of $951 million into bank accounts in Sri Lanka and the Philippines, of which they were able to steal $81 million despite a coordinated international response. Cyberattacks have also targeted the basic infrastructure of states around the world, such as in a 2015 attack in Ukraine that shut down the electrical grid serving around 250,000 people.

 

Any large-scale digital system runs similar risks, and while high-assurance digital ID systems can mitigate these risks, it could also exacerbate them because of aggregation effects.

 

(…) unless systems are designed with appropriate security controls, the aggregation of information that allows digital ID to unlock large portions of its economic value could also create a treasure trove of data to be accessed and generate a greater motivation to carry out cyberattacks to access more sensitive information. 

 

Digital ID is also exposed to malfeasance by rogue individuals or groups both within the ID provider and at requesting parties. An institution may employ individuals or grant them administrative access to digital ID– related personal data, creating a risk that these individuals may access, disclose, or collect data without user consent.

 

Internal misuse of data is a significant risk of digital systems; a 2018 Verizon report found that 28 percent of reported global data breaches were perpetrated by internal actors. The internal actors responsible for these breaches included system administrators as well as employees in HR, finance, and customer service. 

 

Healthcare is particularly susceptible to malfeasance, with internal misuse of data responsible for 56 percent of all data breaches in the sector. Most misuse took the form of abuse of data privileges, and it often involved violations of patient privacy by doctors or other medical personnel who inappropriately looked at the personal details and medical history of people they know or interact with. 

 

Misuse could become a particular threat in advanced digital ID systems with data-sharing capabilities because people with access to data could compromise the security of potentially highly sensitive medical, financial, or other information.

 

If a digital ID is integrated into a host of critical applications across a wide variety of sectors, an insider threat could further increase. Potential break points could include employees, IT users or technicians, and contractors at both ID providers and requesting parties, who could take advantage of their access to sensitive and potentially highly valuable personal information. Whether used for illicit profit, espionage, criminal activities such as blackmail or extortion, or more minor privacy violations, malfeasance could pose a significant risk and undermine trust in the ID system.

 

The magnitude of impact resulting from errors made at the human-digital interface could be greater than that of errors made with conventional IDs. For digital IDs that are integrated with a wide variety of economic and noneconomic use cases, such as payments and voting, respectively, mistakes could have widespread implications and flow through to an individual’s ability to authenticate themself or an institution’s ability to trust in authentication.

 

Unauthorized use or manipulation of credentials is a risk with digital ID. The risk of unauthorized use or manipulation of credentials can include measures such as counterfeit credentials used by individuals or institutions to commit identity theft or obscure an identity.”

 

Ook de Electronic Frontier Organisation, een internationale organisatie die opkomt voor burgerlijke vrijheden in het digitale domein, waarschuwt expliciet, als het gaat om digitale identiteit in de vorm van een trust-system, waarvan sprake is bij de coronapas, voor de illusie van dataveiligheid:
https://www.eff.org/deeplinks/2020/08/digital-identification-must-be-designed-privacy-and-equity-10

”Every time a digital ID holderuses their ID, there is an opportunity for the ID issuer and the ID verifier to gather personal data about the ID holder. For example, if a holder uses their digital ID to prove their age to buy a six-pack of beer, the verifier might make a record of the holder’s age status. Even though Personally Identifiable Information (PII) wouldn’t be exchanged in the credential itself, the holder may have payment info associated with this time in transaction. This collusion of personal information might be sold to data brokers, seized by police or immigration officials, stolen by data thieves, or misused by employees.

 

This is why, at a minimum, having a “digital first” identity should be a choice by the citizen, and not a mandate by the government.”

Ondanks al deze bedenkingen stelt de voorzitter van de Europese Commissie Ursula von der Leyen in het kader van het Europese project van een digitale identiteit met een stalen gezicht:
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en#digital-identity-for-all-europeans

“Every time an App or website asks us to create a new digital identity or simply log in via a large platform, we have no idea what actually happens to our data. That is why the Commission will propose a secure European e-identity. One that we trust and that any citizen anywhere in Europe can use to do everything from paying taxes to renting a bicycle. A technology in which we can decide for ourselves which date is used and how.”

Echter, het mag inmiddels duidelijk zijn, dat de hier door Ursula von der Leyen beloofde dataveiligheid voor de burger een idyllisch sprookje betreft. Ze weet het leuk te framen, maar het project van digitale identiteit is er uiteraard niet voor de burger en voor zijn dataveiligheid, maar voor autoritaire overheden en grote bedrijven die graag willen dat de burger naar hun pijpen danst en er niet voor terugschrikken om de burger desnoods daartoe te chanteren, bijvoorbeeld door hem als overheid de toegang tot maatschappelijke activiteiten te ontzeggen wanneer hij niet over een coronapas beschikt.   

8. Slaapwandelend digitale identiteit omhelzen

Hoewel een pandemie dan een uitgelezen moment mag lijken om onder het mom van pandemische noodzaak het project van de digitale identiteit als onderdeel van de coronapas te lanceren, zou dit vanwege het brede toepassingsbereik alleen al moeten afstuiten op het geschonden doelmatigheidsvereiste van artikel 58rd sub b WPG, zoals eerder is betoogd. Tevens staan de eisen van artikel 58rb sub a en c WPG in de weg, namelijk dat zoiets in het maatschappelijk belang moet zijn en dat de nodige voorzorgsmaatregelen dienen te zijn getroffen om schadelijke neveneffecten te voorkomen. 

In Nederland is weliswaar al eerder voorgesorteerd op het project digitale identiteit door op 6 maart 2020 de koppeling van paspoort aan digitale identiteit wettelijk mogelijk te maken:
https://zoek.officielebekendmakingen.nl/stb-2020-104.html.

Maar vond daarbij de benodigde brede maatschappelijke discussie plaats, onder andere over bescherming tegen de totalitaire gevaren van het project van digitale identiteit? Integendeel, deze wettelijke aanpassing is tussen neus en lippen door geregeld. Ook voorafgaand aan de invoering van de coronapas kwam het onderwerp digitale identiteit in pers en parlement niet of nauwelijks aan de orde. Het gezondheidsdoel overschaduwde dat. Het gaat daarom bijkans om invoering van digitale identiteit by stealth (red.: verkapt).

Door de afwezigheid van een maatschappelijk discussie voorafgaand aan de invoering van de coronapas over digitale identiteit kan niet worden gesteld dat invoering van deze coronapas ex artikel 58rb sub a WPG in het maatschappelijk belang is en dat de juiste voorzorgsmaatregelen ex artikel 58rb sub c WPG getroffen zouden zijn om schadelijke neveneffecten te voorkomen. 

Het levensgrote risico is hier immers dat slaapwandelend een oplossing is aanvaard die niet over de nodige checks and balances beschikt. Illustratief daarvoor is dat het beheer van de gegevens van de coronapas ex artikel 58re lid 5 WPG nota bene is neergelegd bij Onze Minister, in casu de minister van het door de coronacrisis overbelaste ministerie van Volksgezondheid, Welzijn & Sport (VWS), die volgens een rapport van de Algemene Rekenkamer over 2020 onverhoeds een recordbedrag van 5,1 miljard euro kwijtraakte. 

Zie hiervoor op pagina 5, onder de eerste paragraaf Financieel beheer schiet ernstig tekort van hoofdstuk 1. Onze conclusies:
https://www.rekenkamer.nl/publicaties/rapporten/2021/05/19/resultaten-verantwoordingsonderzoek-2020-ministerie-van-volksgezondheid-welzijn-en-sport:

“Het financieel beheer op de coronacrisis-uitgaven schoot ernstig tekort: de minister kan de rechtmatigheid van een fors deel van de besteding van dit geld niet aantonen. Ook zijn er forse onzekerheden in getrouwheid van deze uitgaven.(…)

 

De financiële functie was niet voldoende toegerust en is ook niet tijdig versterkt om de grote uitdaging die de coronacrisis met zich meebracht aan te kunnen. Het financieel beheer kreeg onvoldoende aandacht en prioriteit. Het was hierdoor niet mogelijk via een zorgvuldig en beheerst financieel proces betrouwbare financiële verantwoording af te leggen.”

Het behoeft geen betoog dat het feit dat dit ministerie is aangewezen om voor de coronapas de data te beheren nóg minder vertrouwen geeft dat de structurele dataveiligheidsproblemen die kleven aan het project van digitale identiteit binnen ons land fatsoenlijk het hoofd zullen worden geboden. Het is zelfs lachwekkend.

9. Conclusie

Duidelijk is daarmee dat een onnodig, onrijp en overhaast, hoogstwaarschijnlijk niet tijdelijk maar permanent systeem van digitale identiteit, zonder maatschappelijke discussie van enig belang over deze zaak, en daarom per definitie niet in het maatschappelijke belang en zonder afdoende voorzorgsmaatregelen, onder het mom van een urgente gezondheidsnoodzaak wordt ingevoerd, maar ondertussen een veel groter toepassingsbereik heeft dan alleen het gezondheidsmotief in strijd met artikel 58rb sub a t/m c juncto artikel 58b lid 2 WPG moet worden afgewezen.

De coronapas in deze vorm kan in dat licht en dat van toepasselijke artikelen uit Europese verdragen als eerder genoemd, alleen maar als een niet noodzakelijke, niet subsidiaire en disproportionele inbreuk op het fundamentele recht van de bewegingsvrijheid worden beoordeeld.


 

Meld je aan voor de nieuwsbrief