Zes vragen om digitale identiteit te begrijpen

 

France identity, Vitale e-card, FranceConnect… De toenemende digitalisering van de samenleving, de dematerialisatie van administratieve procedures en de privésector zorgen voor tal van uitdagingen. De bescherming en betrouwbaarheid van de digitale identiteit staan ​​centraal. De essentie in zes vragen.

Digitale identiteit kent vele vormen. Een brede definitie verwijst naar alle sporen die een persoon op internet achterlaat, in het bijzonder:

  • de burgerlijke identiteit (achternaam, voornaam, geboortedatum, enz.) van de persoon, bijvoorbeeld verstrekt tijdens online administratieve procedures;
  • identifiers, avatars, pseudoniemen om toegang te krijgen tot een account of een online dienst;
  • sporen achtergelaten door het surfen op internet (” cookies “);
  • commentaren, foto’s, video’s gepubliceerd op sociale netwerken;
  • het IP-adres (computeridentificatienummer);
  • geolocatie (gps).

Een benadering van digitale identiteit, in soevereine zin, betreft de identificatoren waarmee een persoon zich kan authenticeren om toegang te krijgen tot onlinediensten: burgerlijke staat of andere attributen (bijvoorbeeld een sofinummer) .

Wat is een elektronisch identificatiemiddel (of EIM)?

Een digitale identiteit is gebaseerd op een middel van elektronische identificatie (of EIM). Toepassing op een smartphone, smartcard of online account, de MIE is een element dat persoonlijke identificatiegegevens bevat en wordt gebruikt om online te authenticeren. De MIE maakt ook gebruik van biometrie: gezichts-, digitale of spraakidentificatie. De National Commission for Computing and Liberties (CNIL) acht het daarom noodzakelijk om de internetgebruiker andere alternatieven aan te bieden.

De sporen die op internet zijn achtergelaten, omvatten onder meer risico’s met betrekking tot de bescherming van persoonsgegevens en privacy:

  • identiteitsdiefstal  : gebruik van persoonlijke informatie om een ​​persoon te identificeren zonder diens toestemming om frauduleuze handelingen uit te voeren;
  • diefstal van persoonsgegevens;
  • online betalingsfraude , met name creditcardfraude;
  • schade aan online reputatie (e-reputatie)…

Het recht om vergeten of gewist te worden

Artikel 17 van de Algemene Verordening Gegevensbescherming (AVG) voorziet in het recht voor een internetgebruiker om de verwijdering van persoonlijke gegevens te vragen in geval van gênante inhoud (foto, opmerking, enz.) op een sociaal netwerk of zelfs de sluiting van een e- handelsaccount, bijvoorbeeld. Hij moet dan de volgende procedure volgen: identificeer de organisatie die de informatie bezit, verzoek om verwijdering van specifieke inhoud en bewaar een kopie van het verzoek.

Het wettelijk kader van digitale identiteit voorziet in de bescherming van internetgebruikers, individuen en rechtspersonen. Het omvat in principe:

  • de Algemene Verordening Gegevensbescherming (AVG) om de persoonsgegevens van burgers van de Europese Unie (EU) te beschermen: deze voorziet bijvoorbeeld in de verplichting voor dienstverleners om de toestemming van individuen te vragen alvorens hun gegevens te verzamelen en te gebruiken;
  • de Europese verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties (eIDAS), die er met name op gericht is burgers in staat te stellen hun eigen nationale elektronische identificatiesystemen te gebruiken voor toegang tot online openbare diensten in andere EU-landen;
  • de NIS-richtlijn , die van plan is de cyberbeveiliging te versterken van aanbieders van diensten die essentieel zijn voor het functioneren van de economie en de samenleving: grote bedrijven, middelgrote bedrijven en openbare instellingen;
  • het algemene beveiligingsreferentiesysteem (RGS) om uitwisselingen binnen de administratie en met burgers te beschermen;
  • de DSP2 beveiligingsstandaard voor  online betalingen .

Wat is een digitaal legitimatiebewijs?

In het kader van de eIDAS-verordening volgt het gebruik van de digitale identiteit technisch gezien een identificatieschema waarbij drie actoren betrokken zijn:

  • een gebruiker die toegang wenst tot online en offline diensten;
  • een identiteitsprovider: vertrouwde derde partij die een elektronisch identificatiemiddel (EIM) levert of de door de gebruiker gepresenteerde attributen garandeert;
  • een dienstverlener (openbare of particuliere operator) die de gebruiker een reeks diensten ter beschikking stelt waarvan de toegang afhankelijk is van authenticatie of bewijs van attribuut(en).

De regeling kent drie niveaus van zekerheid: laag, substantieel en hoog. Voor het openen van een bankrekening wordt bijvoorbeeld het niveau “substantieel” gevraagd.

Verschillende instellingen zorgen voor de regulering van de digitale identiteit en de eerbiediging van rechten en vrijheden, met name: 

  • de CNIL brengt advies uit over wetsontwerpen (of besluiten) betreffende de bescherming van persoonsgegevens en ziet toe op de correcte toepassing van de regelgeving. Zo legde het in 2021 Google en Facebook sancties op van respectievelijk 150 miljoen euro en 60 miljoen euro wegens het niet naleven van de wet betreffende het beheer van cookies ;
  • de Raad van State  adviseert de regering over de naleving van de regels, in het bijzonder de AVG, van een concepttekst. Het is ook bevoegd om beroepen tegen teksten te beoordelen. In 2019 werd bijvoorbeeld beslag gelegd op een beroep wegens onwettigheid tegen het decreet tot oprichting van Alicem (prototype van de digitale identiteitstoepassing van de staat op mobiel) dat voorzag in de activering van het account door gezichtsherkenning (beslissing van de Raad van State 432656 van november 2020 );
  • het Europees Comité voor gegevensbescherming (EDPB) zorgt voor de consistentie van de uitvoering van de AVG tussen de verschillende lidstaten.

De standpunten van de CNIL

In haar eerste dossier over digitale identiteit , gepubliceerd op 23 maart 2023, presenteert de CNIL haar standpunten. Met het oog op veiligheid en eerbiediging van de grondrechten beveelt de instelling met name aan:

  • de veelheid aan identiteiten (bijvoorbeeld een soevereine identiteit om op kiezerslijsten te plaatsen en een pseudoniem voor sociale netwerken);
  • bescherming van anonimiteit en pseudonimiteit (vrijheid van meningsuiting);
  • de veelheid aan digitale identiteitsoplossingen om elk probleem van centralisatie van informatie en concentratie van risico’s te vermijden;
  • rekening houden met ” de bescherming van de persoonlijke levenssfeer vanaf het ontwerp van deze oplossingen ” om de risico’s voor individuen te beperken en de minimale hoeveelheid informatie te verstrekken (bijvoorbeeld door alleen een bewijs van meerderjarigheid voor leeftijd te verstrekken);
  • de keuze voor een “gedecentraliseerde architectuur ” die het vrije gebruik van de elektronische identificatiemiddelen garandeert zonder eventuele systematische controle;
  • het ” onderhoud van fysieke alternatieven ” (bijvoorbeeld op papier).

De implementatie van de digitale identiteitsdienst van Frankrijk moet het mogelijk maken om zijn officiële identiteit te garanderen en zich online te authenticeren met dezelfde beveiliging als de papieren identiteitskaart. Zo kan de gebruiker gebruik maken van verschillende openbare diensten zoals belastingen of sociale zekerheid. Volgens de CNIL zijn er in 2021 2.954.568 nationale elektronische identiteitskaarten aangemaakt.

Deze tool, gebaseerd op de nieuwe elektronische identiteitskaart, combineert drie elementen:

  • de identiteitskaartchip die de identiteitsgegevens bevat (naam, voornaam, geboortedatum en -plaats, geslacht);
  • de persoonlijke code van de kaart;
  • een aanvraag om je burgerlijke staat te gebruiken en je identiteit te bewijzen in de digitale wereld.

De staat stimuleert elektronische nationale identiteitsprogramma’s om het vertrouwen in uitwisselingen en de toegankelijkheid van openbare diensten te verbeteren. FranceConnect maakt een veilige verbinding met administratiediensten mogelijk met één enkele identiteit. Alleen al in december 2021 waren bijna 14 miljoen gebruikers aangesloten op FranceConnect. 

De CNIL is voorstander van deze ” digitale identiteit op hoog niveau van de staat “, die de ” procedurele veiligheid ” versterkt. Voor de instelling roept de veralgemening van het gebruik van FranceConnect echter regelmatig de vraag op van het evenredige gebruik van een soevereine digitale identiteitsdienst voor gebruik in de privésfeer.

Op 3 juni 2021 heeft de Europese Commissie voorgesteld om een ​​Europees identiteitsbeheersysteem op te zetten: een beveiligde digitale identiteit (e-ID). 

De ” European Digital Identity Wallet ” (PEIN) of ” European Digital
Identity Wallet
 ” zal de digitale identiteiten en certificaten bevatten die zijn verstrekt aan mensen in verschillende landen van de Europese Unie (bijvoorbeeld een diploma van een Belgische universiteit, een identiteit Franse digitale en een Duitse verblijfsvergunning), legt de CNIL uit.

De PEIN ” voldoet aan veel verwachtingen ” van de CNIL, met name omdat deze Europese portefeuille:

  • is optioneel en gratis;
  • gegevensbescherming by design en by default eerbiedigt ” maakt het mogelijk om digitale identiteiten interoperabel te maken in alle lidstaten en voor openbare en particuliere diensten ” (bijvoorbeeld: toegang tot een bankrekening, belastingaangifte, inschrijving bij de universiteit). 

Verwante berichten