Aan de Voorzitter van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat /Algemene Zaken en Huis der Koning

CC: Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Brussel, 25 september 2021

De Commissie dankt de Eerste Kamer voor haar advies over het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit (COM(2021) 281 final).

De Commissie waardeert de zorgvuldige bestudering van het voorstel en neemt terdege kennis van de standpunten en aanbevelingen van de Eerste Kamer. Zij is ingenomen met deze gelegenheid om te reageren op de grondgedachte en de kernelementen van het voorstel en om de door de Eerste Kamer opgeworpen kwesties op te helderen.

De stand van zaken van het wetgevingsproces

Momenteel wordt het voorstel door de Commissie en de medewetgevers besproken. De Commissie heeft in juni en juli 2021 diverse presentaties gehouden voor de desbetreffende werkgroep van de Raad en staat in nauw overleg met het Europees Parlement, het Europees Economisch en Sociaal Comité en het Europees Comité van de Regio’s.

De grondgedachte van het voorstel

In haar toespraak over de Staat van de Unie van 16 september 20201 heeft voorzitter Von der Leyen de ambitie van de Commissie uitgesproken om alle EU-burgers een veilige en betrouwbare digitale identiteit te bezorgen. Na uitvoerig overleg, waaronder bilaterale bijeenkomsten met alle lidstaten, heeft de Commissie op 3 juni 2021 een voorstel aangenomen dat tegemoetkwam aan deze ambitie en het verzoek van de Europese Raad aan de Commissie om met een voorstel voor een Europees kader voor een digitale identiteit te komen2.

Teneinde versnippering en belemmeringen als gevolg van uiteenlopende normen te voorkomen en nauwe en gestructureerde samenwerking tussen de Commissie, de lidstaten en de private sector mogelijk te maken met het oog op een gecoördineerd proces voor de uitvoering van het toekomstige Europese kader voor digitale identiteit, heeft de Commissie op dezelfde dag Aanbeveling (EU) 2021/946 betreffende een gemeenschappelijke EU-toolbox voor een gecoördineerde aanpak ten behoeve van een Europees kader voor digitale identiteit vastgesteld. Hoewel Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt («eIDAS-verordening») een onbetwiste rol heeft gespeeld bij het bevorderen van de digitale eengemaakte markt, moet de relevantie ervan worden bezien in de huidige context, die fundamenteel verschilt van 2014, toen de verordening werd vastgesteld. Tal van ontwikkelingen hebben nieuwe behoeften gecreëerd, waaraan de eIDAS-verordening in haar huidige vorm niet doeltreffend kan voldoen, met name vanwege het beperkte bereik ervan en de exclusieve focus op de overheidssector.

In de studie ter ondersteuning van de effectbeoordeling voor de herziening van de eIDAS-verordening en de evaluatiestudie van Verordening nr. 910/2014 (eIDAS- verordening)3 is meer informatie over de grondgedachte van het voorstel te vinden.

Het gewijzigde technologische landschap, de behoeften van de markt en de verwachtingen van gebruikers

Met de algemene beschikbaarheid van smartphones, de algehele vooruitgang op het gebied van digitale transformatie en de opkomst van nieuwe, door de gebruiker te bepalen technologieën, zoals controle over de eigen identiteit, verwachten Europese burgers en bedrijven dat zij online, in een mobiele omgeving, met één oplossing kunnen inloggen4. Belangrijker nog: ze verwachten met dezelfde elektronische identificatie toegang te kunnen krijgen tot openbare en particuliere diensten.

De verdere opmars van de digitalisering van het openbaar bestuur en de economie, die door de huidige pandemie is versneld5, heeft de vraag gestimuleerd naar nationale en grensoverschrijdende digitale inloggegevens voor persoonlijk en professioneel gebruik en voor digitale vorderingen en rechten. Er is momenteel geen grensoverschrijdend technisch of juridisch interoperabiliteitskader om dit soort inloggegevens en attributen in een betrouwbaar en veilig ecosysteem te bekrachtigen, waarin wordt vertrouwd op een sterke koppeling met openbare elektronische identificaties en de bescherming van persoonsgegevens wordt gewaarborgd.

Het voorstel voor een Europese digitale identiteit is bedoeld om juist deze lacune aan te vullen door aan de nieuwe behoeften van de markt en de maatschappij tegemoet te komen. Het voorstel zet aan tot een fundamentele paradigmaverschuiving, waarbij wordt toegewerkt naar geavanceerde en handige mobiele oplossingen, zoals beroeps- en onderwijscertificaten, of abonnementen voor het openbaar vervoer. Hiervoor worden verschillende, in de hele EU erkende, verifieerbare gegevens en inloggegevens van de gebruiker geïntegreerd en in een betrouwbare omgeving aan authentieke identificatiegegevens gekoppeld.

Identificatie door grote onlineplatforms biedt vaak niet het hoogste beveiligingsniveau en zorgt er niet altijd voor dat persoonsgegevens goed zijn beveiligd, zoals uit de grote gegevenslekken en handhavingsmaatregelen van het afgelopen decennium wel is gebleken. In de praktijk zou het voorstel alternatieven kunnen bieden voor de identificatieoplossingen die door de grote onlineplatforms worden aangeboden, terwijl gebruikers tegelijkertijd hun gegevens beter kunnen beheren. Over het algemeen zou een sterker en breder Europees kader voor het aanbieden van betrouwbare elektronische identiteitsoplossingen, geschraagd door juridische identiteiten van de lidstaten, helpen de succesvolle digitale transitie te realiseren en de eengemaakte markt te versterken, dankzij aanzienlijke efficiencywinsten voor EU-bedrijven. Het nieuwe kader zou verder de opkomst van nieuwe grensoverschrijdende identiteitsmarkten stimuleren, zoals het verstrekken en uitwisselen van identiteitsgerelateerde attributen en inloggegevens.

Het verband tussen het voorstel en het verstrekken van nationale identiteitssystemen door partijen uit de publieke of private sector

Wat betreft de keuze van de lidstaten voor nationale identiteitssystemen (die aan partijen uit de publieke of private sector zouden kunnen worden toevertrouwd), benadrukt de Commissie dat het aan de lidstaten is om te beslissen over de elektronische identificatiemiddelen die op nationaal niveau aan burgers beschikbaar worden gesteld om toegang te krijgen tot openbare of particuliere diensten. Dit blijkt wel uit de huidige verscheidenheid aan nationale oplossingen en technologische keuzes die de lidstaten maken bij het ontwikkelen van hun nationale digitale identiteitssystemen.

De Commissie vestigt er de aandacht op dat het voorstel voor een toekomstig Europees kader voor digitale identiteit geen afbreuk doet aan het recht van de lidstaten om op nationaal niveau identiteitssystemen te ontwikkelen. Het nieuwe voorstel versterkt juist het huidige eIDAS-systeem voor de aanmelding van eID’s, door de lidstaten te verplichten ten minste één eID-regeling met ten minste één identificatiemiddel aan te melden. De Commissie verzekert de Eerste Kamer dat de Europese portemonnees voor digitale identiteit met het oog op het vertrouwen en de veiligheid in de ter beschikking gestelde nationale identiteiten verankerd zullen blijven.

Zoals de Eerste Kamer heeft opgemerkt, kunnen de lidstaten besluiten om partijen uit de private sector te betrekken bij het verstrekken van nationale eID’s voor toegang tot nationale openbare en particuliere onlinediensten. Voor het grensoverschrijdende gebruik en bereik ervan is echter aanmelding door de lidstaten conform eIDAS vereist, hetgeen de erkenning door de overige lidstaten garandeert.

De Commissie beklemtoont dat het voorstel voor de Europese digitale identiteit niet bedoeld is om de functie van nationale digitale identiteitsoplossingen te vervangen. Integendeel: het is de bedoeling deze aan te vullen en te versterken met grensoverschrijdende functionaliteiten en een bekrachtiging, die niet op nationaal niveau kunnen worden aangeboden. Dit moet worden bereikt door de ontwikkeling van Europese portemonnees voor digitale identiteit die volgens de meest geavanceerde veiligheidseisen zijn gecertificeerd. De lidstaten (of de private sector, in opdracht van een lidstaat) kunnen deze portemonnees op basis van geharmoniseerde normen verstrekken.

Beveiliging en weerbaarheid tegen de kwetsbaarheden van het toekomstige Europese kader voor digitale identiteit

Het commerciële gebruik van digitale identiteiten en de bescherming van persoonsgegevens

Wat betreft de vragen van de Eerste Kamer over het commerciële gebruik en de bescherming van persoonsgegevens, wijst de Commissie erop dat het huidige voorstel voorziet in solide waarborgen voor een gebruikersgericht model, door de deelnemers aan het ecosysteem van de Europese portemonnees voor digitale identiteit te verbieden gebruikers te volgen of te profileren. De Europese burgers en bedrijven zullen volledige controle kunnen uitoefenen over de anonieme vrijgave van hun gegevens en kunnen kiezen welke attributen of gegevens zij wanneer en met welke particuliere dienstverleners delen, afhankelijk van het geval en de beveiliging die nodig is voor de specifieke transacties.

Het verband tussen het voorstel en de Nederlandse Wet digitale overheid

Wat betreft het verband tussen de Wet digitale overheid die momenteel door het Nederlandse parlement wordt behandeld en het voorstel voor een toekomstig kader voor digitale identiteit, is de Commissie ingenomen met het belang dat beide instrumenten hechten aan de beginselen van privacy door ontwerp, gegevensminimalisering en technologische neutraliteit. Deze beginselen zijn prominent aanwezig en blijven centraal staan in het voorstel voor een Europese digitale identiteit.

De Commissie hoopt dat zij met deze toelichting voldoende is ingegaan op de door de Eerste Kamer aan de orde gestelde punten en kijkt ernaar uit de politieke dialoog in de toekomst voort te zetten.

Eerste vicevoorzitter M. Šefčovič

Lid van de Commissie T. Breton