Stichting Privacy First heeft in een dringende brief aan de Tweede Kamer haar diepe zorgen geuit over de invoering van de Europese digitale identiteit (EUDI-wallet) en de Business Wallet. Volgens de privacywaakhond wordt de wettelijk vastgelegde vrijwilligheid van deze systemen in de praktijk volledig ondergraven, waardoor burgers feitelijk gedwongen worden tot digitale identificatie.
De stichting reageert hiermee op recente ontwikkelingen rond de eIDAS-verordening en de anti-witwasrichtlijnen (AMLR). Hoewel de Minister van Financiën stelt dat het gebruik van de wallet vrijwillig blijft, wijst Privacy First erop dat financiële instellingen in Nederland vrijwel geen fysieke kantoren meer hebben. Hierdoor worden cliënten in de praktijk gedwongen om digitale identificatiemethoden te gebruiken om toegang te krijgen tot essentiële diensten. Deze zorg wordt ondersteund door de Europese Banken Federatie (EBF), die in recent commentaar bevestigt dat de wallet voor bepaalde processen verplicht dreigt te worden.
Risico op uitsluiting en surveillance
Een van de grootste pijnpunten is de digitale uitsluiting. Uit onderzoek blijkt dat circa 5,5 miljoen Nederlanders (32% van de bevolking) kampen met beperkte digitale vaardigheden of een beperking. Voor deze groep is digitale identificatie een activiteit met een hoog risico. Privacy First vreest dat zij de toegang tot het maatschappelijk verkeer verliezen als er geen fysieke alternatieven gewaarborgd blijven.
Daarnaast waarschuwt de stichting voor het ontstaan van een surveillance-samenleving. In de huidige opzet hoeven ontvangende partijen (‘relying parties’) alleen op te geven welke gegevens zij willen opvragen, maar ontbreekt effectief toezicht om te voorkomen dat zij meer informatie verzamelen dan noodzakelijk is. Dit vergroot het risico op overidentificatie en het permanent monitoren van burgers.
Onveilige praktijken bij banken
Privacy First signaleert nu al zorgwekkende praktijken bij Nederlandse grootbanken. Zo worden cliënten verplicht om de beveiligde omgeving van hun identiteitsbewijs (NFC-chip) te laten uitlezen via apps, waarbij persoonsgegevens zoals foto’s worden opgeslagen. Deze kopieën van identiteitsbewijzen en biometrische gegevens worden soms tot vijf jaar na het einde van een klantrelatie bewaard. Volgens de stichting is hier vaak geen juridische basis voor en brengt dit grote veiligheidsrisico’s met zich mee voor burgers.
Gebrek aan integriteitstoetsing
Een ander ernstig gebrek in het Europese walletsysteem is dat private partijen die wallets aanbieden wel aan technische eisen moeten voldoen, maar niet worden getoetst op integriteit of tegenstrijdige belangen. De stichting vraagt zich af wat het verdienmodel van deze private aanbieders is en waarom de uitgifte van een digitale identiteit geen publieke taak is, vergelijkbaar met het verstrekken van paspoorten.
Oproep tot actie
Privacy First roept de Tweede Kamer op om maatregelen te nemen die de digitale autonomie en privacy van burgers écht beschermen. De stichting stelt voor om in de wet op te nemen dat aanbieders van essentiële diensten verplicht moeten blijven om fysieke identificatie aan te bieden. Ook moeten biometrische gegevens direct na verificatie worden verwijderd.
Het onderwerp staat gepland voor het commissiedebat op 4 juni 2026, waarbij de stichting hoopt dat de Kamerleden de risico’s op disproportionele identificatie en uitsluiting serieus zullen agenderen.
Lees hier de brief van Privacy First
