Opinie • Door Douwe Schmidt
Al enkele jaren krijgen we van de overheid te horen dat we zorgvuldig met ons paspoort moeten omgaan. Ze hebben zelfs een app en een stukje plastic gemaakt waarmee je delen van je paspoort even zwart kan maken als iemand een kopietje wil maken. En terecht, jaarlijks worden meer en meer Nederlanders slachtoffer van identiteitsfraude met schrijnende verhalen tot gevolg.
Maar nu wil diezelfde overheid het mogelijk maken dat een hele sloot aan bedrijven toegang krijgen tot al onze persoonsgegevens en alles wat we er mee doen. Eind januari wordt er in de tweede kamer gedebatteerd over het wetsvoorstel Digitale Overheid. Het kabinet wil marktpartijen de mogelijkheid geven ons digitale paspoort te beheren. Een partij als Facebook, of Huawei, of Itsme, of Baidu kan dan gaan graaien in de basisadministratie en digitale paspoorten gaan uitgeven. Dit is volgens juristen in strijd met de privacywet AVG en onderwerpt Nederlanders aan nog meer digitale controle door machtige, buitenlandse data-giganten.
En dat terwijl er al jaren een goed, degelijk Nederlands alternatief bestaat. Het werkt perfect als online identificatiemiddel, het kan je data niet doorverkopen, sterker nog: het wil dit niet eens, want het heeft geen winstoogmerk. Je kan het gebruiken om jezelf online (en offline) te identificeren met alleen de strikt noodzakelijke gegevens. Als je, aan de bar of online, een BaCo wilt bestellen dan kan je ermee laten zien dat je volwassen bent. Je hoeft niet je naam, geboortedatum, woonplaats etc. etc. te geven. Alleen de informatie die de barman nodig heeft: namelijk dat je boven de 18 bent. Dit Nederlandse alternatief heet IRMA en is gemaakt door een aantal Nederlandse wetenschappers en juristen. Sommige gemeenten, zoals Nijmegen, gebruiken het al. Amsterdam is heel ver met het invoeren ervan. Niets staat landelijke invoering in de weg, behalve politieke wil.
Het mooiste van dit systeem is dat het een prachtige overeenkomst heeft met ons analoge paspoort dat we allemaal zo goed kennen: het gebruik is niet te volgen. Nadat je je paspoort in handen hebt, mag je het overal gebruiken waar je maar wilt. En de overheid ziet niet of jij je paspoort twee keer per dag, of twee keer per jaar gebruikt. Laat staan waar. Je hoeft niet elke keer aan de overheid te vragen of je je paspoort mag gebruiken. Dat heet privacy by design. De veiligheid zit als het ware in het ontwerp opgenomen en hoeft er niet na afloop aan worden toegevoegd. Dit kan online ook, zoals bijvoorbeeld bij IRMA.
Maar dat is precies wat er nu kapot dreigt te gaan als het kabinet haar zin krijgt. Elke keer als je je ergens online wilt identificeren moet een commerciële partij daar toestemming voor geven. Zo kunnen de techbedrijven precies zien wanneer en waar jij je BaCo’s bestelt. En naar de dokter gaat. En waar je kinderen naar school gaan. En welke verzekering je hebt. En welke kerk, sauna, disco, bordeel, apotheek je bezoekt. Allemaal gegevens waarvan je kan zeggen: ik heb niks te verbergen, maar dat hoeft niemand te weten. We moeten onze online identiteit zelf kunnen beheren net als we dat met ons paspoort al decennia doen. En niet met het Belgische Itsme, het Amerikaanse Facebook of, godbetert, het Chinese Baidu.