Privacy te koop

Iedere organisatie in Nederland wil de identiteit van een persoon kunnen vaststellen om diensten te kunnen leveren; Dit doen we met plastic pasjes met PIN-codes of wachtwoorden. Nu duurt het niet lang meer voordat we al die pasjes terugvinden in onze digitale portemonnaie op onze telefoon, de zogenaamde 'wallet'. Met de telefoon kunnen we ons niet alleen identificeren bij banken, maar ook bij een overheid, een zorginstelling of een website van een bedrijf. De Tweede Kamer is kritisch over deze vernieuwing (eID), want is zo'n digitale identiteit wel veilig en is onze privacy wel geborgd?

Anno 2016/2017 scan ik met mijn telefoon een code vanaf mijn computerscherm om banktransacties persoonlijk te ondertekenen (bv Rabo bankieren). Kan ik met een QR code op mijn telefoon inchecken op een vlucht van Amsterdam naar Parijs (bv KLM). Houd ik mijn telefoon tegen een betaalautomaat om te betalen bij de kassa in de supermarkt (bv AH/ING). Houd ik mijn telefoon tegen een checkin-checkout apparaat om te reizen met het openbaar vervoer (bv digitale ov-chipkaart). Houd ik mijn telefoon tegen een balie-apparaat van een gemeentelijke instelling of ziekenhuis om mij te identificeren bij een zorgverzekeraar (bv Idensys, DigiD). Kortom, ik laat als consument anno 2016/2017 een heel digitaal spoor achter.

Langzaam transformeert de telefoon naar de functie van een digitale portemonnaie, waar niet alleen bankpassen in zitten maar ook bijvoorbeeld je paspoort, rijbewijs, ov-kaart en verzekeringpas. Het enige wat je nog nodig hebt is je telefoon met daarop een 'wallet' met daarin jouw digitale passen.

Inmiddels zijn er veel verschillende 'wallets' beschikbaar. Deze 'wallets' bevatten vaak meerdere digitale passen voor verschillende doeleinden; identificeren, betalen, reizen, zorg, onderwijs, loyalty en bellen. Die 'wallets' controleren over het algemeen de randvoorwaarden die nodig zijn voor het gebruik van de digitale passen op een specifieke telefoon, maar bevatten ook mogelijk loginformatie.

Een pas per wallet is hetzelfde als een losse mobiele app op je telefoon. Een wallet is vanuit gebruikers perspectief alleen zinvol als er meerdere passen in opgenomen kunnen worden. Maar aanbieders van hetzelfde product willen niet altijd samen in 1 wallet vanuit het perspectief van klantenbinding. Daarom is Idensys - het initiatief van de overheid eID - mogelijk de oplossing als een neutrale paraplu voor alle mogelijke passen in onze digitale portemonnaie. Een soort Ideal waar alle bankpassen ondersteund worden, maar dan breder voor werkelijk alle type passen. Zo'n wallet heeft natuurlijk wel de nodige beveiliging en privacy waarborgen nodig.

TNO zet kanttekeningen bij de logging en het aantal marktpartijen die erbij betrokken zijn. Dit maakt volgens TNO de gehele keten namelijk moeilijk beheersbaar, omdat iedereen een stukje van de puzzel beheerst. Natuurlijk wil je niet dat er ongevraagd loginformatie van bijvoorbeeld een wallet wordt doorverkocht. Maar met toestemming van de gebruiker, kun je met doelbinding en toestemming prima privacy data doorverkopen aan derden. Zolang je maar respecteert dat sommige gebruikers hun "gebruik" NIET beschikbaar stellen en sommige gebruikers hun "gebruik" WEL beschikbaar stellen. Het is daarom hoog tijd dat gebruikers een keuze krijgen bij het accepteren van de 'algemene' privacy voorwaarden; de de keuze om wel of niet hun specifieke gebruikersdata te verkopen aan derden in ruil voor korting en/of andere voordelen. Privacy is, ondanks de aangescherpte wetgeving, en blijft gewoon 'te koop'.