Ook na een herwerking van de teksten blijven wetenschappers kritisch voor de eIDAS-wetgeving. De aanpassing maakt het nog altijd mogelijk dat bedrijven te veel data verzamelen of dat overheden het webverkeer van burgers afluisteren.
eIDAS is het wettelijk kader om Europese digitale identificatie (zoals Itsme) en een bijhorende digitale portefeuille (om onder meer je rijbewijs digitaal te hebben doorheen de EU) mogelijk te maken.
‘Als ze vanuit Europa zeggen dat ze geen massasurveillance willen, waarom maken ze dan geen statement dat ze het zeker niet gaan doen? Want op dit moment spreken de recitals en de tekst elkaar tegen,’ legt Preneel uit.
Begin november trokken verschillende wetenschappers en ngo’s daarover aan de alarmbel: de technische passages van de tekst laten onder meer toe dat overheden hun eigen certificaten opleggen en zo webverkeer van burgers kunnen afluisteren als ze dat willen, zonder veel controle. Maar ze laten ook toe dat bedrijven verschillende online identificaties aan elkaar linken, waardoor je een beter digitaal profiel van die persoon krijgt, wat interessant is voor onder meer gerichte advertenties.
Volgens de Europese Commissie werd de tekst aangepast en is er geen risico op afluisteren of andere privacybezwaren. Nu die nieuwe tekst grondig kon worden nagelezen blijven de wetenschappers bij hun stuk: de aangepaste versie volstaat niet.
In nieuwe open brief erkennen ze dat er stappen in de goede richting zijn gezet, maar het gevaar is niet weg: ‘Ondanks claims van de Europese Commissie, geloven we niet dat onze bezorgdheden rond massasurveillance zijn aangepakt op een manier die volstaat,’ staat te lezen in de brief die Data News kon inkijken.
Bij de ondertekenaars zitten vanuit België onder meer professoren Bart Preneel (KU Leuven), Jean-Jacques Quisquater (UC Louvain), Claudia Diaz, (KU Leuven) Olivier Pereira (UC Louvain), Nigel Smart (KU Leuven) en Ingrid Verbauwhede (KU Leuven), allen gespecialiseerd in encryptie.
‘In de nieuwe versie zitten ook goede dingen, zoals het feit dat de digitale wallets geen unieke identifier hebben, en dat elk land in zekere zin zijn eigen ding kan doen,’ zegt Preneel daarover aan Data News. ‘Het ziet er al beter uit, maar het risico op afluisteren bestaat nog altijd.’
Wel vermeld, nauwelijks bindend
De brief roept het Europees Parlement op om alsnog de tekst aan te passen voor ze wordt gestemd. Op 28 november zal dat gebeuren in de ITRE commissie in het Europees Parlement. Een algemene stemming volgt begin volgend jaar.
Zeer concreet merken de briefschrijvers op dat de nieuwste versie van de wettekst expliciet in de recitals, de begeleidende tekst, staat dat browsers hun vrijheid behouden rond websecurity, domeinverificatie en encryptie. Maar dat volstaat niet. Puur wettelijk heeft een recital zeer weinig impact, de wetenschappers willen dat die geruststelling ook in artikel 45 van de tekst wordt opgenomen.
Een bijkomend punt dat eerder al werd herhaald is dat certificaten (QWACs) volgens Europa enkel zouden gebruikt worden om de authenticatie tussen browser en webserver te bevestigen, en dus geen impact hebben op de versleuteling van het webverkeer. Dat is technisch onjuist, de wetenschappers verwijzen hiervoor naar het TLS-protocol dat in combinatie met certificaten webverkeer beveiligt.
Als die zaken niet worden aangepast, zeggen de betrokken wetenschappers dat ze het Europees Parlement afraden om de tekst goed te keuren. Ze benadrukken dat de tekst ook veel positieve zaken adresseert, zoals het recht op pseudoniemen en bescherming tegen discriminatie, maar het beschermt de privacy en het recht op veilige online communicatie niet, met extra risico’s tot gevolg.
Fout opgemerkt of meer nieuws? Meld het hier