EU-Parlamentet har sagt ja til den digitale tegnebog
Foto: Jacek Dylag, Unsplash
I næsten tre år blev EU’s største digitale politiske projekt nedkæmpet med. Den 29. februar 2024 gav Europa-Parlamentet grønt lys for eIDAS-reformen. Borgerrettighedsorganisationer advarer fortsat om potentialet for misbrug og efterlyser klare standarder for den tekniske gennemførelse.
Det skriver Daniel Leisegang i netzpolitik.org i artiklen fra den 29. februar 2024.
”Jeg er glad for, at vi i EU er blevet enige om rammerne for en fælles europæisk digital id-tegnebog. Nu begynder det tekniske arbejde, og om nogle år vil danskerne kunne tage den i brug. Den digitale id-tegnebog vil gøre det nemmere for alle danskere at bekræfte deres identitet, signere aftaler og logge ind på digitale tjenester. Et godt eksempel på en digital løsning, som vil gøre livet lettere for mange danskere – og gøre det lettere at være EU-borger på tværs af EU”
Digitaliseringsminister Marie Bjerre.
Europa-Parlamentet vedtog eIDAS-reformen med stort flertal. I efteråret 2026 skal alle EU-lande nu tilbyde deres borgere en såkaldt “European Digital Identity Wallet” (ID-tegnebog), som de derefter kan bruge til at identificere sig online og offline og på næsten alle livets områder.
Under plenardebatten appellerede Parlamentets ansvarlige ordfører, Romana Jerković, til medlemmernes godkendelse. ID-tegnebogen er et praktisk og privatlivsvenligt alternativ til de identifikationstjenester, der tilbydes af teknologivirksomheder. Det vil derfor øge sikkerheden på internettet, mener Socialdemokratiet.
Thierry Breton, EU-kommissær for det indre marked, kæmpede også for reformen. Det er intet mindre end en “revolution”, der gør et digitalt europæisk indre marked muligt i første omgang, sagde Breton. Kommissionen forelagde udkastet til forordning i juni 2021. Som følge heraf bør 80 % af EU-borgerne have en digital identitet inden 2030.
ID-tegnebog er frivillig
Loven har været genstand for voldsomme tovtrækkerier i de senere år. Reformen, der nu er vedtaget, fastsætter, at brugen af tegnebøger er frivillig og gratis. Borgere, der ikke ønsker den digitale tegnebog, bør ikke stilles ringere.
Enhver, der bruger tegnebogen, skal være i stand til gennemsigtigt at bestemme, hvilke data der videregives til såkaldte “afhængige parter”. Disse “betroede parter” kan være virksomheder eller offentlige enheder. De skal registrere sig på forhånd i de respektive EU-medlemsstater og forklare, hvilke data de vil anmode brugerne om og til hvilket formål.
Desuden må forskellige identifikationsprocesser ikke knyttes til hinanden. Konkret betyder det, at hvis en person for eksempel gentagne gange køber alkohol i samme butik og bruger ID-tegnebogen til at bevise deres alder, kan virksomheden eksempelvis ikke evaluere disse processer for at spore købsadfærd.
Begrænset pseudonymitet
Det permanente personnummer for alle EU-borgere, som Kommissionen foreslog, blev ikke gjort til lov. I fremtiden vil unikke identifikationsnumre kun blive brugt, når EU-borgere benytter sig af grænseoverskridende administrative tjenester. EU-Parlamentet havde kæmpet for mere privatlivsvenlige alternativer, men vandt ikke i trepartsforhandlingerne.
I hverdagen skal tegnebogsbrugere kunne bruge enten deres personlige data, et pseudonym eller et såkaldt zero knowledge proof. Det afhænger af brugssagen: Hvis identifikation ved navn er påkrævet, bruger de deres personlige data. For at bekræfte, at de er myndige, er et Zero Knowledge Proof tilstrækkeligt. Dermed vil tegnebogen blot bekræfte, at en persons alder er over 18 år – uden at afsløre andre personlige oplysninger.
I henhold til forordningen kan retten til pseudonymitet dog være begrænset af national ret eller EU-retten. Og Zero Knowledge Proof findes kun som et krav i forordningens forklarende betragtninger og udgør derfor ikke en forpligtelse for EU’s medlemsstater.
Derudover vil store teknologivirksomheder også være forpligtet til at tilbyde valgfrit login via ID-tegnebog i fremtiden. Brugere kan frit bruge dem. Ud fra et databeskyttelsessynspunkt ville det have været fornuftigt strengt at begrænse brugen til de tilfælde, hvor identifikation er juridisk obligatorisk. Dette er for eksempel tilfældet, når du åbner en bankkonto.
Men hvis virksomheder bruger identifikation til andre tjenester, er der risiko for overidentifikation. Det giver virksomheder mulighed for at oprette endnu mere præcise profiler af deres brugere.
Certifikater: Kommissionens fritagelse
Blot få dage før afstemningen var der en voldsom strid. Det omhandlede spørgsmålet om, hvorvidt eIDAS-reformen skulle forpligte browserudbydere til at acceptere visse kvalificerede certifikater (QWAC’er).
IT-eksperter og ngo’er kritiserede især, at artikel 45 i udkastet til forordning truer fortrolig og sikker kommunikation på internettet. De statslige myndigheder kan misbruge certifikaterne til at kompromittere websteder og potentielt spionere på alle EU-borgeres internetkommunikation.
Denne strid er nu foreløbig afgjort. Forordningen, i en nyligt tilføjet artikel 45a, bestemmer, at browserleverandører har lov til at træffe forholdsregler, hvis de har “velbegrundede bekymringer vedrørende sikkerhedsbrud eller tab af integritet” af certifikater.
Med sin beslutning i dag vedtog Parlamentet også en formel erklæring fra Kommissionen som bilag til loven. Heri bekræfter Kommissionen, at browserudbydere selv kan bestemme, hvilke sikkerhedsforanstaltninger de vil gennemføre i deres browsere. Også i plenardebatten understregede Thierry Breton, at udbydere “kan anvende deres egne procedurer og kriterier for at bevare sikkerheden ved onlinekommunikation”.
Mozilla hilste afklaringen velkommen som et afgørende skridt for at sikre EU-borgernes sikkerhed online. “Kommissionens erklæring har adresseret mange af vores bekymringer over de forskellige fortolkninger af artikel 45,” sagde Mozillas chef for EU-politik, Tasos Stampelos. Disse principper skal imidlertid også afspejles i de tekniske forskrifter til gennemførelse af den nye forordning. Alexis Hancock fra Electronic Frontier Foundation ser også afklaringen som et “positivt kompromis”.
“Dystopisk potentiale for misbrug”
Men der er også kritiske røster. Thomas Lohninger fra epicenter.works glæder sig over, at eIDAS-reformen indeholder vigtige beskyttelsesforanstaltninger, og at ingen bør tvinges til at bruge den digitale tegnebog. Men der er stadig en trussel om “et helt nyt, dystopisk potentiale for misbrug”, fortalte Lohninger til netzpolitik.org. “Hvis EU’s planer folder sig ud, og alle områder af livet fra lægebesøg, Google-logins til offentlig transport er forbundet med dem, er et panoptikon inden for rækkevidde.” Reformen reducerer omkostningerne ved at identificere en person til næsten nul. Samtidig kom statscertificerede, kryptografisk signerede persondata i omløb.
“Denne forordning er en blankocheck til onlineovervågning af borgerne,” kritiserer Patrick Breyer. Han er medlem af Europa-Parlamentet for Piratpartiet og stemte sammen med sin parlamentsgruppe imod eIDAS-reformen. “Mark Zuckerberg burde ikke have ret til at se vores ID,” sagde Breyer. “Hvis vi overlader vores digitale liv til regeringen i stedet for Facebook og Google, går vi fra går vi fra ondt til værre.” EU har forpasset muligheden for at “skabe en troværdig ramme for modernisering og digitalisering af vores samfund”.
Loven mangler stadig at blive godkendt af Rådet for Den Europæiske Union, men det betragtes som en formalitet. Inden sommer mangler EU-Kommissionen stadig at fremlægge retningslinjer for det tekniske design af eID-systemet. Breyer meddelte, at han nøje ville overvåge denne implementering. Og Thomas Lohninger ser også frem til de kommende måneder. I en rapport, der offentliggøres i dag, har hans NGO i detaljer redegjort for, hvilke beskyttelsesforanstaltninger der skal gennemføres ud fra hans synspunkt.
Indenrigsministeriet arbejder allerede på sin egen tegnebog
Senest i august 2026 skal alle EU-lande have tilpasset deres statslige eID-systemer til europæiske krav. Forbundsindenrigsministeriet (BMI) lancerede en høringsproces om dette sidste sommer. Sammen med repræsentanter for foreninger, videnskab og administration samt virksomheder og civilsamfund ønsker BMI at udvikle et koncept for “et tysk eIDAS 2.0-kompatibelt overordnet system”.
Ministeriet offentliggjorde et første arkitektonisk koncept “for en prototypisk EUdi-tegnebog” i november sidste år. BMI planlægger i de kommende måneder yderligere workshops, der blandt andet vil fokusere på databeskyttelse og dataøkonomi, inden det færdige forslag præsenteres og testes.
Markus Reichel, medlem af Forbundsdagen for Den Kristelig-Demokratiske Union (CDU), mener, at denne proces ikke går hurtigt nok. “Den ændrede eIDAS-forordning baner endelig vejen for sikre digitale identiteter i Europa,” sagde Reichel til netzpolitik.org. Det er dog stadig ikke klart, hvordan dette økosystem vil blive bygget og drevet. Især virksomheder har brug for planlægning og investeringssikkerhed. “Det er her, den føderale regering endelig må tage fat.”
Læs mere her:
