Een lid van het House of Lords heeft bezorgdheid geuit dat Britse overheidsgedata, waaronder NHS-patiëntendossiers, zonder voldoende cybersecurity-bescherming in buitenlandse jurisdicties worden opgeslagen.
Barones Manzila Uddin, medevoorzitter van de All-Party Parliamentary Group on Decentralized Digital Identity, verklaarde in een interview met Yellow.com dat cruciale overheidsgedata worden uitbesteed aan de Verenigde Staten en Roemenië zonder de garantie dat ze aan de Britse databeschermingsnormen blijven voldoen.
"Veel van de gegevens voor huisartsenpatiënten gaan helemaal naar Amerika. En ik vind dit onaanvaardbaar," zei barones Uddin. "Ik weet dat Saoedi's, VAE, Singapore en enkele andere landen in Afrika ervoor hebben gezorgd dat de gegevens en alle informatie lokaal op hun eigen cloud, nationale cloud, blijven. Daar zou ik graag enige garanties over hebben en ik denk dat we dat op dit moment niet kunnen garanderen."
De barones noemde specifiek de infrastructuur van Gov.UK die zonder voldoende toezicht werd uitbesteed.
"Als de primaire bron van overheidsgedata collectie, Gov.UK, ergens anders wordt ingezet, laten we zeggen dat het ergens anders is uitbesteed, en we hebben geen checks and balances en verplichtingen voor cyberveiligheidsweerstand, gegevensbescherming zoals we die hier zouden hebben, denk ik dat dat een zorg is," zei ze.
Ze noemde Roemenië als een locatie waar Britse overheidsgedata worden opgeslagen, en vroeg zich af of kostenoverwegingen het prioriteren van beveiligingsprioriteiten overschrijven.
"Als alle burgers de klanten van de overheid zijn, gov.uk, waarom is het dan in Roemenië? Is het gewoon omdat ze het laagste bedrag boden voor het uitvoeren van het contract? En dat zijn de vragen die we moeten stellen."
De opmerkingen komen nu de Britse regering vordert met voorstellen voor een vrijwillig digitaal identiteitsysteem, wat sinds een eerdere poging door de Labour-regering in 2008 werd afgewezen en op scepsis stuitte bij het publiek.
Barones Uddin merkte op dat de publieke tegenstand tegen verplichte identificatiesystemen sterk blijft in het VK.
"Zoals je weet, denk ik dat het 2008 was, de Labour-regering probeerde een digitaal ID in te voeren en de context was heel duidelijk dat ons publiek dat niet steunde," zei ze.
Ze uitte bezorgdheid dat het huidige voorstel gestaag wordt geïmplementeerd in plaats van via transparant publiek overleg.
"Ik weet dat het bijna via de achterdeur gebeurt. Dus bijvoorbeeld, het voorstel is dat al onze rijbewijzen een digitale voetafdruk zullen zijn. Misschien volgt daarop een voorstel voor de volgende set paspoorten om zo te zijn."
De barones benadrukte dat ze persoonlijk geen bezwaar heeft tegen digitale identiteitsystemen, maar wel transparantie over gegevensverwerking vereist.
"Als iemand die medevoorzitter is van de digitale identiteitsparlementaire groep, heb ik geen probleem met het hebben van een ID. We hebben nu al ID's voor zoveel aspecten van ons leven. Ik denk dat mijn zorg, en ik denk dat er veel zorgen zijn op openbaar niveau, is waar deze gegevens naartoe gaan?"
Barones Uddin noemde een recent persoonlijk voorbeeld dat bredere cyberbeveiligingskwetsbaarheden in de financiële dienstverlening illustreerde.
"Zodra mijn familielid ophing met Amex, bijvoorbeeld, was er onmiddellijk een oproep van iemand anders die zei dat ze Amex waren en ze hadden alle informatie en dat zou een veilige omgeving moeten zijn waar je praat over de financiële interactie," zei ze, suggererend dat grote bedrijven niet genoeg waarborgen hebben tegen datalekken en fraude.
Ze beweerde dat noch grote bedrijven noch lokale overheidsinstanties adequate middelen hebben om te beschermen tegen verfijnde kwaadaardige actoren.
"Of het nu een energierekening is of een lokale overheid, er is gewoon niet genoeg financiële stimulans of middelen om te beschermen tegen enkele van deze zeer, zeer slechte actoren die fraude plegen," zei ze.
Een aanzienlijk deel van de zorgen van barones Uddin waren gericht op digitale uitsluiting en ontoereikend openbaar onderwijs over gegevensrechten.
Ze merkte op dat ongeveer een miljoen Britse huishoudens geen toegang tot internet en smartphones hebben, waardoor ze kwetsbaar zijn voor uitsluiting van digitale diensten.
"Wanneer uitsluiting plaatsvindt, praten we alleen over uitsluiting zodat we kunnen beargumenteren dat we een groter bereik moeten hebben om mensen in deze puinhoop van vrijwillige dataverzameling op te nemen," zei ze, suggererend dat het aanpakken van digitale uitsluiting wordt gebruikt als rechtvaardiging voor het uitbreiden van dataverzameling in plaats van kwetsbare bevolkingsgroepen te beschermen.
Ze benadrukte de noodzaak van een uitgebreid digitaal alfabetiseringsonderwijs dat al in de kindertijd begint.
"In veel landen zoals Japan en elders, leren kinderen heel vroeg om zichzelf te beschermen op het net. En ik denk dat dat iets heel kritisch is, niet alleen de opleiding van onze parlementariërs, maar ook leden die niet in dit speelveld zitten, omdat al deze ondernemers en bedrijven geld verdienen op de rug van al onze slecht geïnformeerde praktijken," zei ze.
De barones noemde recente ervaringen met de All-Party Parliamentary Group on Children waar jonge mensen een geavanceerd begrip van digitale risico's toonden.
"We hadden kinderen hier die in hun rol als parlementariërs optraden, deskundige vragen stelden. En het zijn erg inzichtelijke vragen, ze zijn veel meer bewust dan onze generatie of misschien zelfs jouw generatie. Dus de drang om te leren is aanwezig."
Barones Uddin beweerde dat de huidige regelgevingskaders het tempo van technologische vooruitgang niet kunnen bijhouden.
"Zodra je een kader beveiligd hebt, zal er een ander verschijnen en zal het buiten onze controle liggen. Het moet dus heel vloeibaar zijn, al onze wetgeving moet heel vloeibaar zijn om aan de eisen van geavanceerde technologie te voldoen."
Ze merkte op dat bestaande regelgeving, inclusief GDPR, buitensporige dataverzameling of ongeoorloofde dataverkopen niet heeft voorkomen.
"Op dit moment vragen veel instellingen, waaronder bestuursinstellingen, private sector organisaties om overtollige gegevens. En dat is niet nodig. Mijn angst is dat wanneer we dat niveau van details verzamelen, wie host het? Waar wordt het bewaard? Wie houdt toezicht erop?
Wie volgt het? En gaat het op een dag op het dark web gebruikt worden tegen ons als individuele burgers?" vroeg ze.
De barones verklaarde dat organisaties momenteel burgergegevens kunnen kopen van lokale overheden zonder voldoende beperkingen.
"Mensen kunnen veel van onze gegevens kopen van de lokale overheid, ze kunnen het kopen. Omdat er op dit moment geen beperking is. Dus GDPR heeft natuurlijk enkele grenzen, maar mensen verzamelen en minen nog steeds onze gegevens voor hun eigen welzijn," zei ze.
Toen haar gevraagd werd naar gedecentraliseerde identiteitsystemen gebaseerd op blockchain-technologie, sprak barones Uddin haar steun uit voor benaderingen die burgers controle geven over hun eigen gegevens.
"De belofte van nieuwe digitale technologie, inclusief Web3 en AI en dat alles, is dat we een democratisch systeem van informatie-uitwisseling zullen hebben, zodat het onze eigen privé-informatiebronnen worden en wij als individuen beslissen of we toegang willen geven of niet," zei ze.
Ze benadrukte echter dat elk systeem prioriteit moet geven aan burgersovereignet van data.
"Als we doorgaan met deze trend, waar zijn mijn gegevens? Wie heeft ze? Waarom zijn ze niet verantwoordingsplichtig? Waarom geven ze het weg aan mensen die het kunnen kopen?"
Ze beweerde dat blockchain-oplossingen een alternatief kunnen bieden voor de huidige uitbestede datamodellen.
"De belofte van nieuwe opkomende technologie is democratisering van informatie, zodat je veel meer zeggenschap hebt over hoe informatie over jou wordt bewaard, verzonden, gegeven, wat dan ook. Dat moet een van de primaire principeverbintenissen van de regering zijn," zei ze.
Barones Uddin sprak haar voorkeur uit voor het afstemmen van Britse datanormen op de Europese Unie in plaats van de Verenigde Staten.
"Ik weet dat er discussies zijn over met wie we ons afstemmen en ik had veel liever gehad dat we ons op de EU afstemmen omdat zij onze buren zijn, zij onze grenzen zijn," zei ze.
Ze sprak haar bezorgdheid uit over de toenemende afhankelijkheid van Amerikaanse technologiebedrijven voor kritieke infrastructuur.
"Ik veronderstel dat we ervoor moeten zorgen dat we niet voor alles naar de VS gaan. Alleen omdat ze onze speciale relatie zijn en we een verplichting hebben om ABC, wat dan ook, te doen. Onlangs waren er gesprekken over een bepaald groot corporate organisatie die onze beveiliging overneemt. Daar maak ik me grote zorgen over," voegde ze eraan toe.
De barones beweerde dat het handhaven van datasoevereiniteit binnen het VK essentieel is om de reputatie van het land als een veilige financiële hub te behouden.
"Ik wil graag dat de brain drain hierheen terugkeert en ervoor zorgen dat wat we uiteindelijk gaan doen in termen van of het nu een digitaal ID is, digitaal soeverein is voor het VK, dat is voor mij echt cruciaal. Als het digitaal soeverein is in het VK, dan zal het ook digitaal soeverein zijn voor het individu omdat we individuele rechten respecteren," zei ze.
Bij de vraag over beweringen dat digitale identiteitsystemen economische groei zouden versnellen, uitte barones Uddin haar scepsis.
"Ik denk niet dat we de zaak hebben bewezen," zei ze. "Ik weet dat sommige van de belanghebbenden ervaring hebben. Zweden werd genoemd als goede praktijk, Utah, Wyoming. Maar ik denk niet dat we tot nu toe iets in het VK hebben om ofwel de economische groei of de use case als positief te demonstreren voor gewone burgers. Ik denk dat grote bedrijven er nog steeds van profiteren."
Barones Uddin vroeg zich af of de regering digitale identiteitsystemen kan implementeren gezien het huidige niveau van publiek wantrouwen.
"In het huidige kader van publiek wantrouwen jegens de regering, zoals je weet, heeft de regering veel kritiek gekregen op verschillende beleid. Dus ik weet niet of we werkelijk het vertrouwen van het publiek kunnen claimen. Dus in het licht daarvan, weet ik niet hoe ze zullen beheren." Content: Er is geen duidelijke aanwijzing hoe ze van plan zijn het vertrouwen van het publiek te winnen voor een digitale ID.
Ze waarschuwde tegen het implementeren van systemen via noodmaatregelen zoals gebeurde tijdens COVID-19. "Ik denk dat het publiek het gevoel heeft dat ze gedwongen worden om zoveel mogelijk informatie vrij te geven omdat mensen denken, als ik niets te verbergen heb, heb ik niets te verliezen. Maar dat is niet het geval omdat de informatie die je geeft het bezit van iemand anders wordt."
De Barones concludeerde door het belang te benadrukken van op vertrouwen gebaseerde regelgevende kaders. "Alles wat we doen met betrekking tot een voorgesteld regelgevend kader moet gebaseerd zijn op vertrouwen en vertrouwen. Dat spreekt voor zich, en ik denk dat daar het probleem ligt."
Ze pleitte voor het vaststellen van standaarden die individuele rechten beschermen en tegelijkertijd technologische innovatie mogelijk maken. "Als we een digitale ID gaan hebben, moeten we een erfenis van vertrouwen en vertrouwen hebben en dan ervoor zorgen dat het kader flexibel genoeg is voor mensen om met ons samen te werken."
Barones Uddin verklaarde dat de regelgevende reputatie van het VK wereldwijde normen zou kunnen stellen als gegevenssoevereiniteit wordt geprioriteerd.
"Ik denk dat we een geweldige maatstaf kunnen stellen voor anderen om te volgen, inclusief de VS. Ik denk dat we voldoende geloofwaardigheid hebben en zoveel instellingen kwamen uit Groot-Brittannië die nu in Dubai en Singapore en de VS actief zijn,” zei ze.