Een lid van het House of Lords heeft bezorgdheid geuit dat Britse overheidsgegevens, waaronder NHS-patiëntendossiers, zonder voldoende beveiligingsmaatregelen in het buitenland worden opgeslagen en noemt de praktijk "onaanvaardbaar" terwijl de regering vordert met plannen voor een vrijwillig digitaal identiteitssysteem.
Barones Manzila Uddin, medevoorzitter van de All-Party Parliamentary Group on Decentralized Digital Identity, verklaarde in een interview met Yellow.com dat kritieke overheidsgegevens naar de Verenigde Staten en Roemenië worden uitbesteed zonder garanties dat ze de Britse gegevensbeschermingsnormen blijven volgen.
"Veel gegevens van huisartsen gaan helemaal naar Amerika. En ik vind dit onaanvaardbaar," zei barones Uddin. "Ik weet dat Saoedi's, VAE's, Singapore en sommige andere landen in Afrika ervoor hebben gezorgd dat de gegevens en alle informatie lokaal op hun eigen cloud, nationale cloud, blijven. Ik zou daar enige garantie over willen hebben en ik denk dat we dat momenteel niet kunnen garanderen."
De barones noemde specifiek Gov.UK-infrastructuur als iets dat zonder voldoende toezicht wordt uitbesteed.
"Als de primaire bron van overheidsgegevensverzameling, Gov.UK, elders wordt gebruikt, laten we zeggen dat het ergens anders wordt uitbesteed en we geen checks and balances hebben en geen verplichting voor cyberbeveiligingsresistentie, gegevensbescherming zoals we dat hier zouden hebben, denk ik dat dat zorgelijk is," zei ze.
Ze noemde Roemenië als een locatie waar Britse overheidsgegevens worden opgeslagen en vroeg zich af of kostenoverwegingen de beveiligingsprioriteiten overtreffen.
"Als alle burgers de klanten van de overheid zijn, gov.uk, waarom is het dan in Roemenië? Is het simpelweg omdat ze de laagste prijs bieden om het contract uit te voeren? En dat zijn de vragen die we moeten stellen."
De opmerkingen kwamen terwijl de Britse regering voortgaat met voorstellen voor een vrijwillig digitaal identiteitssysteem, dat openbaar scepticisme heeft ondervonden sinds een eerdere poging door de Labour-regering in 2008 werd verworpen.
Barones Uddin merkte op dat het publieke verzet tegen verplichte identificatiesystemen sterk blijft in het Verenigd Koninkrijk.
"Zoals u weet, ik denk dat het in 2008 was, probeerde de Labour-regering een digitale ID te implementeren en de context was heel duidelijk dat ons publiek dat niet steunde," zei ze.
Ze uitte haar bezorgdheid dat het huidige voorstel stapsgewijs wordt ingevoerd in plaats van via transparante openbare raadpleging.
"Ik weet dat het bijna achter onze rug om wordt uitgevoerd. Dus bijvoorbeeld, het voorstel is dat al onze rijbewijzen een digitale footprint worden. Misschien volgt daarop een voorstel voor de volgende set paspoorten."
De barones benadrukte dat ze persoonlijk geen bezwaar heeft tegen digitale identiteitssystemen, maar transparantie over gegevensverwerking vereist.
"Als iemand die medevoorzitter is van de parlementaire werkgroep over digitale identiteit, heb ik geen probleem met het hebben van een ID. We hebben ID's voor veel aspecten van ons leven nu. Ik denk dat mijn zorg, en ik denk dat er veel zorgen op openbaar niveau zijn, is waar deze gegevens naar toe gaan?"
Barones Uddin noemde een recent persoonlijk ervaring dat bredere kwetsbaarheden in cyberbeveiliging binnen financiële diensten illustreerde.
"Zodra mijn familielid ophing met Amex, bijvoorbeeld, was er een onmiddellijke oproep van iemand anders die zei dat ze Amex waren en ze hadden alle informatie en dat zou een veilige omgeving moeten zijn waar je praat over de financiële interactie," zei ze, suggererend dat grote bedrijven niet voldoende waarborgen hebben tegen gegevenslekken en fraude.
Ze betoogde dat noch grote bedrijven, noch lokale overheidsinstanties voldoende middelen hebben om zich te beschermen tegen geavanceerde slechte actoren.
"Of het nu om een energierekening gaat of de lokale overheid, er is gewoonweg niet genoeg financiële prikkel of middelen om te beschermen tegen enkele van deze zeer, zeer slechte actoren die fraude plegen," zei ze.
Een aanzienlijk deel van de zorgen van barones Uddin was gericht op digitale uitsluiting en onvoldoende openbare voorlichting over gegevensrechten.
Ze merkte op dat ongeveer een miljoen Britse huishoudens geen toegang tot internet en smartphones hebben, waardoor ze kwetsbaar zijn voor uitsluiting van digitale diensten.
"Wanneer uitsluiting gebeurt, praten we alleen over uitsluiting zodat we kunnen beweren dat we een groter bereik moeten hebben voor het opnemen van mensen in deze woelige verzameling van vrijwillige gegevens," zei ze, suggererend dat aanpak van digitale uitsluiting wordt gebruikt als rechtvaardiging voor het uitbreiden van gegevensverzameling in plaats van kwetsbare populaties te beschermen.
Ze benadrukte de behoefte aan uitgebreide digitale geletterdheidseducatie vanaf de kindertijd.
"In veel landen zoals Japan en elders, worden kinderen heel vroeg geleerd om zichzelf te beschermen op het internet. En ik denk dat dat iets is van cruciaal belang, niet alleen de educatie van onze leden in het parlement, maar ook leden die niet in deze ruimte zitten, omdat al deze ondernemers en bedrijven geld verdienen op de rug van onze slecht geïnformeerde praktijken,” zei ze.
De barones noemde een recent ervaring met de All-Party Parliamentary Group on Children, waar jongeren een geavanceerd begrip van digitale risico's aantoonden.
"We hadden kinderen hier die optraden in hun rol als parlementariërs en stelden deskundige vragen. En het zijn heel inzichtelijke vragen, ze zijn zich veel bewuster dan onze generatie of misschien zelfs uw generatie. Dus de bereidheid om te leren is er."
Barones Uddin betoogde dat huidige regelgevende kaders niet kunnen concurreren met technologische vooruitgang.
"Zodra je één kader beveiligt, zal er een ander verschijnen en het zal buiten onze controle zijn. Dus het moet erg flexibel zijn, al onze wetgeving moet erg flexibel zijn om aan de eisen van geavanceerde technologie te voldoen."
Ze merkte op dat bestaande regelgeving, inclusief de AVG, buitensporige gegevensverzameling of ongeoorloofde gegevensverkoop niet heeft voorkomen.
"Op dit moment vragen veel instellingen, inclusief overheidsinstellingen, particuliere sectororganisaties, om buitensporige gegevens. En het is niet nodig. Mijn angst is wanneer we dat niveau van details verzamelen, wie host het? Waar wordt het opgeslagen? Wie controleert het?
Wie volgt het? En gaat het op een dag op het dark web verschijnen en tegen ons worden gebruikt als individuele burgers?" vroeg ze.
De barones verklaarde dat organisaties momenteel gegevens van burgers kunnen kopen van lokale overheden zonder voldoende beperkingen.
"Mensen kunnen een heleboel van onze gegevens van de lokale overheid kopen, ze kunnen het kopen. Omdat er op dit moment geen beperking is. Dus de AVG heeft duidelijk enkele grenzen, maar mensen blijven onze gegevens verzamelen en exploiteren ten behoeve van hun welzijn," zei ze.
Toen ze werd gevraagd over gedecentraliseerde identiteitssystemen op basis van blockchain-technologie, sprak barones Uddin haar steun uit voor benaderingen die burgers controle geven over hun eigen gegevens.
"De belofte van nieuwe digitale technologie, inclusief Web3 en AI en alles dat daarbij hoort, is dat we een democratisch systeem van informatie-uitwisseling zullen hebben, zodat het onze eigen privébronnen van informatie worden en wij als individu beslissen of we toegang willen verlenen of niet," zei ze.
Echter, ze benadrukte dat elk systeem de soevereiniteit van burgergegevens moet prioriteren.
"Als we deze trend gaan voortzetten, waar zijn mijn gegevens? Wie heeft ze? Waarom zijn ze niet verantwoordelijk? Waarom geven ze het weg aan mensen die het kunnen kopen?"
Ze betoogde dat blockchain-oplossingen een alternatief kunnen bieden voor huidige uitbestede gegevensopslagmodellen.
"De belofte van nieuwe opkomende technologie is de democratisering van informatie zodat je veel meer zeggenschap hebt in hoe informatie over jou wordt bewaard, verzonden, gegeven, wat dan ook. Dat moet het belangrijkste, een van de belangrijkste principiële verbintenissen zijn van de overheid," zei ze.
Barones Uddin uitte haar voorkeur voor het afstemmen van Britse gegevensnormen met de Europese Unie in plaats van de Verenigde Staten.
"Ik weet dat er discussies zijn over met wie we ons verbinden en ik had het veel liever gezien dat we ons met de EU verbinden omdat ze onze buren zijn, ze onze grenzen zijn," zei ze.
Ze uitte haar bezorgdheid over toenemende afhankelijkheid van Amerikaanse technologiebedrijven voor kritieke infrastructuur.
"Ik denk dat we ervoor moeten zorgen dat we niet voor alles naar de VS gaan. Alleen omdat ze onze speciale relatie zijn en we een verplichting hebben om ABC te doen, wat dan ook. Onlangs waren er gesprekken over een bepaalde grote bedrijfsorganisatie die onze beveiliging overneemt. Daar ben ik erg bezorgd over," voegde ze eraan toe.
De barones betoogde dat het handhaven van gegevenssoevereiniteit binnen het VK essentieel is om de reputatie van het land als veilige financiële hub te behouden.
"Ik wil dat de brain drain hier terugkeert en ervoor zorgt dat alles wat we uiteindelijk doen in termen van of het nu een digitaal ID is, soeverein is, digitaal soeverein voor het VK, dat is voor mij echt cruciaal. Als het digitaal soeverein is in het VK, dan zal het digitaal soeverein zijn voor het individu omdat we individuele rechten respecteren," zei ze.
Toen ze werd gevraagd naar beweringen dat digitale identiteitssystemen de economische groei zouden versnellen, uitte barones Uddin haar scepsis.
"Ik denk niet dat we het geval hebben bewezen," zei ze. "Ik weet dat sommige belanghebbenden ervaring hebben. Zweden was als goede praktijk genoemd, Utah, Wyoming. Maar ik denk niet dat we tot nu toe iets in het VK hebben om een economische groei of het gebruik als positieve winst voor gewone burgers te demonstreren. Ik denk dat grote bedrijven blijven profiteren."
Barones Uddin vroeg zich af of de regering digitale identiteitssystemen kan implementeren gezien de huidige niveaus van openbaar wantrouwen.
"In het huidige kader van openbaar wantrouwen richting de overheid, zoals je weet, krijgt de overheid veel kritiek op verschillende beleidsmaatregelen. Dus ik weet niet of we daadwerkelijk het vertrouwen van het publiek kunnen claimen. Dus in het licht daarvan, ik weet niet hoe ze het zullen beheren." Content: Er is geen duidelijke aanwijzing over hoe ze van plan zijn om het publieke vertrouwen en vertrouwen te winnen voor een digitale ID."
Ze waarschuwde tegen het implementeren van systemen via noodmaatregelen zoals gebeurde tijdens COVID-19. "Ik denk dat het publiek het gevoel heeft dat ze worden gedwongen om zoveel mogelijk informatie te delen omdat mensen denken, als ik niets te verbergen heb, heb ik niets te verliezen. Maar dat is niet het geval omdat de informatie die je geeft iemand anders' eigendom wordt."
De barones concludeerde door het belang van op vertrouwen gebaseerde regelgevende kaders te benadrukken. "Alles wat we doen met betrekking tot elk voorgesteld regelgevend kader moet gebaseerd zijn op vertrouwen en vertrouwen. Dat spreekt voor zich, en ik denk dat daar het probleem ligt."
Ze riep op tot het vaststellen van normen die individuele rechten beschermen en tegelijkertijd technologische innovatie mogelijk maken. "Als we een digitale ID gaan hebben, moeten we een erfenis van vertrouwen en vertrouwen hebben en ervoor zorgen dat het kader flexibel genoeg is zodat mensen met ons kunnen komen werken."
Barones Uddin verklaarde dat de regelgevende reputatie van het VK wereldwijde maatstaven zou kunnen stellen als datasoevereiniteit de prioriteit krijgt.
"Ik denk dat we een geweldige benchmark kunnen zetten voor anderen om te volgen, inclusief de VS. Ik denk dat we voldoende geloofwaardigheid hebben en zoveel instellingen zijn uit Groot-Brittannië voortgekomen die nu actief zijn in Dubai en Singapore en de VS," zei ze.