Merkezi Veri Sistemlerinden Bir Adım Daha Uzağa:
Avrupa Birliği Dijital Kimlik Cüzdanı  

Web 3.0 yeni internet blokzinciri teknolojisi

2014 yılında elektronik kimlik tanımlama ve güven hizmetleriyle ilgili bir Avrupa Birliği (AB) tüzüğü olan Elektronik Kimlik Belirleme ve Güven Hizmetleri Tüzüğü (eIDAS- electronic IDentification, Authentication and trust Services) yayımlanarak güven hizmetlerinin çeşitlendirilmesi hedeflendi. Hala yürürlükte olan eIDAS, üç farklı elektronik imza öngörüyor: Basit Elektronik İmza, Gelişmiş Elektronik İmza ve Nitelikli Elektronik İmza. Bu imzalardan sadece Nitelikli Elektronik İmza (QES-qualified electronic signature), elle atılan ıslak imzayla aynı hukuki statüye sahip olup aynı hukuki etkiyi doğurmakta. Zira nitelikli elektronik imzada, Nitelikli Güven Hizmet Sağlayıcıları (QTSPs -  Qualified Trust Service Providers) tarafından sağlanan nitelikli sertifikalar kullanılmaktadır.

Nitelikli elektronik imza, gayrimenkul sözleşmelerinden finansal hizmetlere, kredi sözleşmelerinden iş sözleşmelerine kadar pek çok sektörde kullanılıyor. Blokzinciri teknolojisi yaygınlaşmaya başladığında, blokzincir ağlarında kullanılan açık ve özel anahtarların nitelikli elektronik imza niteliği taşıyıp taşımadığı tartışıldı; ancak blokzincirinde bir sertifikasyon kurumu bulunmadığı için pek çok ülkede kabul görmedi.

Yeni eIDAS: eIDAS 2.0

Avrupa Birliği son yıllarda kapsamlı bir AB dijital kimlik cüzdanı projesi üzerinde çalışıyor. Bu cüzdanın geliştirilmesi için içinde blokzincir temelli projelerin de yer aldığı pilot projeler hayata geçirildi. Pilot projeler, cüzdanın kullanıcıya özgülenmesinden, kişisel kimlik bilgilerinin eklenmesine, ek belgelerin yerleştirilmesine ve bu bilgilerin hizmet sağlayıcılara sunulmasına kadar tüm ekosistemi test etmeyi hedefledi.

AB Dijital Kimlik Cüzdanı, güvenilir dijital kimliklere yönelik mevcut sınır ötesi yasal çerçeve olan Avrupa elektronik kimlik belirleme ve güven hizmetleri girişimi (eIDAS Tüzüğü) üzerine inşa edildi. 2014 yılında kabul edilen bu Tüzük, AB’de hem üye devlet sınırları içerisinde hem de üye devletler arası sınır ötesi elektronik kimlik doğrulama ve web sitesi sertifikasyonu konularında temel niteliğinde.

Ne var ki, bugün sadece temel kamu hizmetlerinin sadece %14’ünün elektronik kimlik ile doğrulanmaya uygun olduğu belirtiliyor.  23 Ocak 2023 tarihli Avrupa Birliği Resmî Gazetesinde yayımlanan “Avrupa Birliği- Dijital On Yıl İçin Dijital Hak ve İlkeler Deklarasyonu (Declaration on Digital Rights and Principles for the Digital Decade)” ile Avrupa'nın 2030 yılına kadar dijital dönüşüm hedefi ortaya koyuldu. Dijital On Yıl hedeflerine göre (7. Madde), 2030 yılına kadar tüm temel kamu hizmetlerinin çevrimiçi olarak sunulması ve herkesin çevrimiçi sağlık kayıtlarına erişebilmesi gerekiyor. Dijital kamu hizmetlerine erişirken ve bunları kullanırken hiç kimseden gereğinden fazla veri talep edilmemesi gerektiğinin altı çiziliyor. Avrupa Birliği’nde yaşayan insanlara, çeşitli çevrimiçi hizmetlere erişim sağlayan ihtiyari, güvenli ve güvenilir bir dijital kimlik kullanma imkânı sunulması taahhüt ediliyor.

İşte bu noktada devreye eIDAS 2 giriyor. Bu Tüzük ile Avrupa Komisyonu sınır ötesi elektronik kimliği bir hayalden gerçeğe dönüştürmeyi hedefliyor.  eIDAS Tüzüğünün yeni versiyonu ile AB Dijital Kimlik Cüzdanının, bunu kullanmak isteyen tüm AB vatandaşlarının, AB’de ikamet eden kişilerin ve işletmelerinin kullanımına sunulması planlanıyor. AB’de dijital kimlik dağıtımı ve kullanımına yönelik bir ön çerçeve sunan eIDAS 1’in aksine, eIDAS 2 düzenlemesi, birlikte çalışabilirliğe (interoperability) odaklanarak tüm üye ülkeler için “EUDI” cüzdan uygulamasını zorunlu kılacak.

Web 3.0 yeni internet blokzinciri teknolojisi

AB Dijital Kimlik Cüzdanı

Ursula von Leyen Komisyonun vizyonunu şu şekilde ortaya koyuyor: Her vatandaşın Avrupa’nın herhangi bir yerinde kullanabileceği ... hangi verinin nasıl kullanıldığının kontrol edilebildiği ... güvenli bir Avrupa E-Kimliği oluşturmak.

Böylelikle, tüm AB vatandaşlarına, Avrupa’nın tamamında kamu ve özel çevrimiçi hizmetlere erişmeleri için bir AB Dijital Kimlik Cüzdanına sahip olma olanağı sunulacak. AB Dijital Kimlik Cüzdanı, kimlik belgelerinin ve diğer kişisel belgelerin dijital bir versiyonunu niteliğinde olacak. AB Cüzdanının temel avantajlarından biri çevrimiçi kimlik doğrulamayı kolaylaştırması. Dijital cüzdan, dijital kimlikleri güvenli bir şekilde saklamanın yanı sıra, kullanıcıların banka hesapları açmasına, ödeme yapmasına ve mobil ehliyet, pasaportlar, ödeme kartları, ulaşım kartları tıbbi reçete, mesleki sertifika veya seyahat bileti gibi dijital belgelerin saklanmasına da olanak tanıyacak.

AB Dijital Kimlik Cüzdanı ile AB genelinde kamu idareleri ve özel işletmelerle gerçekleştirilen işlemlerin güvenli bir şekilde kolaylaştırılması kapsamında 2030 yılına kadar AB vatandaşlarının en az %80'inin dijital kimlik sistemine sahip olması hedefleniyor. Kamu hizmetlerine ek olarak, Dijital Hizmetler Yasası (Digital Services Act) kapsamında belirlenen “Çok Büyük Çevrimiçi Platformlar” (Amazon, Booking.com veya Facebook gibi) ve kullanıcılarının kimliğini doğrulama yükümlülüğü bulunan özel hizmetler, çevrimiçi hizmetlerinde oturum açma aşamasında AB Dijital Kimlik Cüzdanını kabul etmek zorunda kalacak.

Bu dijital cüzdan AB düzeyinde standartlaştırılacağı ve tüm üye ülkeler tarafından tanınacağı için AB Dijital Kimlik Cüzdanı’nın, banka hesabı açmak, üniversiteye başvurmak veya başka bir üye ülkede sağlık hizmetlerinde kullanılmak gibi yeni sınır ötesi kullanım durumlarının önünü açması bekleniyor.  Böylece AB vatandaşlarının fiziksel kimlik belgeleri olmadan Avrupa çapında seyahat etmeleri de mümkün hale geliyor. Sınır kontrol yetkililerinin, cüzdan sahibinin kimliğini kontrol etmek için yalnızca belirli bir uygulamaya sahip bir akıllı telefon veya tablete ihtiyacı olacağı belirtiliyor.

EUID’nin ayrıca AB’nin dijital euro projesi ile entegre edilmesi de mümkün olabilir.

Peki ya Kişisel Verilerin Korunması?

EUDI, kullanıcının kişisel verileri paylaşıp paylaşmama tercihine tamamen uyum sağlayacak, bağımsız olarak aynı standartlara göre sertifikalandırılmış en yüksek güvenlik derecesini sunacak ve kodunun ilgili bölümleri açık kaynak olarak yayınlanacak. Böylece kötüye kullanma, hukuka aykırı takip veya hükümet müdahalesi gibi ihtimaller de bertaraf edilmiş olacak.

Doç. Dr. Pınar ÇAĞLAYAN AKSOY