Az AVDH megszűnése után jön az Űr, majd DÁP és DIT?

Az elmúlt évtizedben a digitális világ dinamikusan fejlődött, és ma már szinte mindennapi életünk részévé vált az online jelenlét. A személyes adatok digitális kezelése, a határokon átnyúló ügyintézés és a különféle online szolgáltatások használata központi szerepet játszik mind az egyének, mind a vállalatok és államok életében. Ebben a gyorsan változó környezetben a digitális identitás kérdése kiemelt jelentőséget nyert. Hogyan azonosítjuk magunkat online? Ki férhet hozzá az adatainkhoz, és hogyan védhetjük meg őket? E kérdések megválaszolásában a különféle digitális identitásrendszerek, mint például az EU által javasolt Digitális Identitás Tárca (Digital Identity Wallet), fontos szerepet játszanak.

Az AVDH megszűnése és a digitális azonosítás szükségessége

Magyarországon az Azonosításra Visszavezetett Dokumentumhitelesítés (AVDH) rendszere sokáig biztosította az online ügyintézés alapjait, ám a technológia fejlődése, illetve az európai uniós előírások miatt szükségessé vált annak lecserélése. Az AVDH technikai hiányosságai, különösen a biztonsági szintek terén, nem tették lehetővé, hogy megfeleljen az eIDAS 2.0 által előírt szabványoknak. Az új rendszer, a Digitális Identitás Tárca bevezetése azzal a céllal történik, hogy a magyar polgárok számára is biztosítsa az EU-s interoperabilitást és a határokon átnyúló ügyintézés lehetőségét.

Az AVDH 2024 .december 31-én történő kivezetése egy ideiglenes űrt hozhat létre a digitális ügyintézésben, mivel egyelőre nincs végleges terv arról, hogy a DIT mikor válik teljesen elérhetővé Magyarországon. Ez a kihívás különösen azért jelentős, mert az átmeneti időszakban a felhasználók nehézségekkel szembesülhetnek a hivatalos ügyek online intézése során.

A DIT előnyei és lehetséges problémái

A Digitális Identitás Tárca számos előnyt kínál, különösen a határokon átnyúló ügyintézés terén. Az EU célja, hogy minden tagállamban egy egységes digitális piacot hozzanak létre, ahol az állampolgárok egyetlen digitális tárcát használhatnak minden hivatalos ügyintézéshez, beleértve a határokon átnyúló tranzakciókat is. Ez különösen fontos a nemzetközi mobilitás szempontjából, hiszen egyre több polgár dolgozik, tanul, vagy vállal külföldi szolgáltatásokat az EU-ban.

Azonban a DIT-nek is vannak kockázatai. A legnagyobb aggodalom az adatbiztonsággal és a magánszféra védelmével kapcsolatos. Egy ilyen központosított rendszerben minden hivatalos adatunk, beleértve a személyes dokumentumokat és azonosítókat, egy helyen kerül tárolásra. Ez vonzó célpontot jelenthet hackerek és rosszindulatú támadók számára. Emellett felmerül a kérdés, hogy az állami szervek hogyan férhetnek hozzá ezekhez az adatokhoz, és hogy a rendszer megfelel-e a GDPR szigorú előírásainak.

A DÁP és a DIT közötti különbségek

A DÁP (Digitális Állampolgárság Program) jelenleg Magyarország egyik fő eszköze a digitális azonosítás terén. A DÁP lehetőséget biztosít a magyar állampolgárok számára, hogy különböző hivatalos ügyeiket online intézhessék, azonban ez a rendszer nem rendelkezik az EU által előírt nemzetközi interoperabilitással. A DIT bevezetése ezen változtatna, hiszen célja, hogy az uniós állampolgárok egy közös, egységes rendszerben kezelhessék adataikat és hivatalos ügyeiket.

A DÁP elsősorban a magyar polgárok számára készült, míg a DIT az uniós szintű együttműködést támogatja. A két rendszer közötti különbség tehát abban rejlik, hogy míg a DÁP egy nemzeti megoldás, addig a DIT célja a nemzetközi interoperabilitás, amely az eIDAS 2.0 szabályozás alapján jött létre.

A digitális ügyintézés forradalmát éljük, amely egyre inkább központi szerepet kap a mindennapi életünkben. Magyarországon az AVDH (Azonosításra Visszavezetett Dokumentumhitelesítés) rendszer hamarosan végleg megszűnik, és helyette új, korszerűbb rendszerek lépnek életbe, amelyek megfelelnek az Európai Unió eIDAS (Elektronikus azonosítás és bizalmi szolgáltatások) szabványainak. Ezzel párhuzamosan folyik a DÁP (Digitális Állampolgárság Program) és a Digitális Identitás Tárca (Digital Identity Wallet, DIT) fejlesztése, amelyek új megoldásokat kínálnak a digitális azonosítás terén. Azonban ezek a fejlesztések nemcsak lehetőségeket, hanem komoly adatvédelmi és megfigyelési aggályokat is felvetnek.

Mi a konkrét oka annak, hogy az AVDH rendszert megszüntetik, és milyen technikai hiányosságai vannak az eIDAS szabványokhoz képest?

Az AVDH megszüntetésének oka elsősorban technológiai elavultsága, amely miatt nem képes megfelelni az eIDAS 2.0 szabványoknak. Az eIDAS célja, hogy egységes, biztonságos digitális azonosítási rendszert teremtsen az Európai Unióban, amely lehetővé teszi a határokon átnyúló digitális ügyintézést és dokumentumhitelesítést. Az AVDH jelenlegi rendszere nem rendelkezik olyan biztonsági és technológiai jellemzőkkel, amelyek szükségesek lennének ahhoz, hogy megfeleljen a modern digitális környezet elvárásainak.

Az eIDAS 2.0 szabályozás célja a kétfaktoros hitelesítés és az adatbiztonság magas szintű garantálása, valamint az interoperabilitás az uniós tagállamok között. Az AVDH nem tudja biztosítani ezeket a követelményeket, ezért szükségessé vált az új rendszer, a Digitális Identitás Tárca (DIT) bevezetése.

A Digitális Identitás Tárca (Digital Identity Wallet) szerepe

A Digitális Identitás Tárca fejlesztése egy uniós kezdeményezés része, amelynek célja, hogy 2026-ig minden EU-tagállam számára biztosítsák a polgárok digitális identitását. A DIT olyan elektronikus eszköz lesz, amely lehetővé teszi, hogy a polgárok elektronikus formában tárolják hivatalos dokumentumaikat és személyazonosító adataikat, mint például a jogosítványokat, banki információkat, egészségügyi igazolásokat és egyéb személyes dokumentumokat. A cél, hogy a DIT megkönnyítse a határokon átnyúló ügyintézést és csökkentse a csalásokat, mivel a tárca biztonságos, kétfaktoros hitelesítést alkalmaz.

Ez az új rendszer jelentős előrelépést jelent, hiszen egyetlen platformon, központilag tárolja az összes hivatalos dokumentumot, amelyekre az ügyintézés során szükség lehet. Azonban ez felvet bizonyos adatbiztonsági és megfigyelési aggályokat, mivel az ilyen központosított adatkezelés könnyen visszaélésre adhat lehetőséget, különösen akkor, ha a hozzáférési jogok nem kellően szabályozottak.

Hogyan befolyásolja a Digitális Identitás Tárca bevezetése a digitális ügyintézést Magyarországon?

Magyarországon egyelőre nincs végleges terv arról, hogy a Digitális Identitás Tárca mikor válik teljesen elérhetővé, és hogy milyen átmeneti megoldások lesznek az AVDH megszűnése és az új rendszer bevezetése közötti időszakban. Az azonban biztos, hogy az AVDH-t 2024 végére teljesen kivezetik, ami egy ideiglenes űrt teremthet a digitális ügyintézésben. Ez az átmeneti időszak kihívásokat jelenthet a felhasználók számára, akik egyre inkább az online ügyintézésre támaszkodnak, különösen a járványidőszak alatt.

A DIT célja, hogy egyszerűsítse a nemzetközi ügyintézést, lehetővé téve a felhasználók számára, hogy egyetlen digitális tárcában tárolják az összes személyes és hivatalos dokumentumukat. Ez különösen hasznos lehet, ha valaki külföldön dolgozik, tanul, vagy határokon átnyúló szolgáltatásokat vesz igénybe.

Az eIDAS 2.0 szabályozásnak köszönhetően a DIT interoperábilis lesz az uniós tagállamok között, így a felhasználók ugyanazt a digitális azonosító eszközt használhatják az egész EU-ban. A rendszer képes lesz a kétfaktoros hitelesítés biztosítására is, ami növeli az adatbiztonságot.

DÁP és DIT: Különbségek és kihívások

A DIT és a DÁP közötti legfontosabb különbség, hogy míg a DÁP elsősorban a magyar állampolgárok számára nyújt digitális azonosítási és dokumentumkezelési megoldásokat, a DIT célja a nemzetközi, uniós szintű interoperabilitás biztosítása. A DÁP fejlesztése jelenleg is zajlik, és célja, hogy egyszerűbbé tegye a kormányzati ügyintézést Magyarországon, de a nemzetközi interoperabilitás még nem valósult meg teljes mértékben.

Ez a különbség azt is jelenti, hogy a DÁP jelenlegi formájában még nem képes teljes mértékben kielégíteni az uniós szabályozások követelményeit, így további fejlesztések szükségesek ahhoz, hogy megfeleljen az eIDAS 2.0 előírásainak.

Adatbiztonsági kérdések és megfigyelési aggályok: A DÁP és a DIT kockázatai

Az adatbiztonsági és megfigyelési aggályok a legnagyobb problémát jelentik, amikor digitális azonosítási rendszerekről beszélünk. A DÁP és a DIT központi adatkezelési megoldásokat alkalmaznak, ami komoly aggályokat vet fel a felhasználói adatok védelme és a potenciális állami visszaélések kapcsán.

A DÁP például biometrikus adatokat gyűjthet a felhasználókról, mint az ujjlenyomatok vagy az arcfelismerési adatok, amelyeket központilag tárolhat. Ezek az érzékeny adatok, ha illetéktelenek hozzáférnek, jelentős visszaélésekre adhatnak lehetőséget. Emellett az is kérdéses, hogy az állami szervek milyen mértékben férhetnek hozzá ezekhez az adatokhoz, különösen megfigyelési célokból.

A TEK és más állami megfigyelés veszélye

Az állami szervek, mint a Terrorelhárítási Központ (TEK), technológiailag képesek lehetnek arra, hogy hozzáférjenek a DÁP-ban és a DIT-ben gyűjtött adatokhoz, és ezeket megfigyelési célokra használják. Noha a hivatalos álláspont szerint ezek az adatok védettek és a GDPR szabályai szerint kezeltek, a központosított adatkezelés rejtett lehetőségeket biztosít arra, hogy a hatóságok visszaéljenek az adatokkal. Különösen veszélyes lehet, ha a TEK vagy más állami szervek olyan adatokat gyűjtenek be, amelyekkel nyomon követhetik a polgárok mozgását, tevékenységeit vagy személyes kapcsolatait. A DÁP és a DIT által használt biometrikus adatok különösen érzékenyek, és ha ezekhez illetéktelen személyek férnek hozzá, jelentős adatvédelmi kockázatokat hordozhatnak.

Külföldi példák: Kína és az USA megfigyelési rendszerei

A megfigyelési rendszerek globális példái, mint Kína és az Egyesült Államok, jól szemléltetik, milyen veszélyeket hordozhat magában a központosított digitális adatgyűjtés. Kínában a WeChat és az Alipay széleskörű megfigyelési hálózatot alkot, amely az állam számára lehetővé teszi, hogy nyomon kövesse a polgárok mindennapi tevékenységeit. Az arcfelismerő rendszerek és a digitális fizetések nyomon követése révén Kína a világ egyik legkifinomultabb megfigyelési rendszerét hozta létre, amelyet az állam széleskörűen használ.

Az Egyesült Államokban a 2013-ban leleplezett PRISM program világos példát nyújt arra, hogy milyen adatbiztonsági kockázatokkal járhat az állami megfigyelés és hozzáférés a digitális adatokhoz. A PRISM program az amerikai Nemzetbiztonsági Ügynökség (NSA) által működtetett titkos megfigyelési eszköz volt, amely hozzáférést biztosított az NSA számára a nagy technológiai cégek szerverein található felhasználói adatokhoz. Az olyan cégek, mint a Google, Facebook, Apple és Microsoft, közreműködtek az NSA-val, és a program lehetővé tette az amerikai kormánynak, hogy hozzáférjen e-mailekhez, üzenetekhez, videókhoz, képekhez, dokumentumokhoz, és egyéb kommunikációs adatokhoz a felhasználók tudta nélkül.

Milyen típusú adatokhoz férhettek hozzá az állami szervek?

A PRISM program révén az NSA hozzáférést kapott a következő típusú adatokhoz:

• E-mailek tartalma: A felhasználók e-mail forgalmának részletei, beleértve az e-mail címeket, az üzenetek tárgyát, tartalmát és csatolmányait.
• Közösségi média üzenetek: A felhasználók által a Facebookon, Instagramon vagy más közösségi platformokon küldött privát üzenetek is elérhetővé váltak az NSA számára.
• Videó- és hanghívások: A Skype vagy más online kommunikációs platformokon keresztül folytatott videóhívásokat is megfigyelhették.
• Fájlmegosztások és dokumentumok: A Google Drive vagy a Microsoft OneDrive felhőszolgáltatásaiban tárolt dokumentumok és fájlok is hozzáférhetővé váltak az NSA számára.

Milyen jogi és technológiai biztosítékok szükségesek ahhoz, hogy a DÁP és a DIT használata ne vezessen visszaélésekhez?

A legfontosabb biztosíték, hogy szigorúan be kell tartani a GDPR szabályait, amelyek megakadályozzák, hogy az állam vagy más szervezetek visszaéljenek a személyes adatokkal. Emellett szükség van a megfelelő technológiai védelmekre is, mint a PKI titkosítás, amely biztosítja, hogy az adatokhoz csak a jogosult felhasználók férjenek hozzá.

Fontos lenne az is, hogy a DÁP és a DIT rendszerének működése teljesen transzparens legyen, és a felhasználók megfelelően tájékozottak legyenek arról, hogyan kezelik az adataikat, kik férhetnek hozzájuk, és milyen célból történik az adatgyűjtés. Csak így lehet biztosítani, hogy ezek a rendszerek ne váljanak állami megfigyelési eszközzé.

A PRISM program rávilágít arra, hogy milyen adatbiztonsági és megfigyelési aggályok merülhetnek fel, ha az állami szervek széleskörű hozzáférést kapnak a felhasználók digitális adataihoz. Egy hasonló rendszer, amely korlátozás nélkül biztosítja az állami hozzáférést a digitális aláírásokhoz és hivatalos dokumentumokhoz, súlyosan veszélyeztetheti a felhasználók privát szféráját, és komoly kihatással lehet a digitális ügyintézés biztonságára és hitelességére.

A külföldi példák és azok tanulságai

Az Európai Unió nem az első, amely kísérletet tesz egy egységes digitális azonosítási rendszer kialakítására. Számos EU-tagállam már bevezette vagy fejleszti saját digitális identitás tárcáját az eIDAS 2.0 keretrendszer alapján. Ezek az országok különböző megközelítéseket alkalmaztak az eIDAS 2.0 követelményeinek teljesítésére, amelyek hasznos tanulságokkal szolgálhatnak Magyarország számára is.

• Finnország: A finn FINeID és más privát szektorbeli megoldások kiválóan illeszkednek az uniós szabályozásokhoz. A finn digitális identitásrendszer jól kiépített, és lehetővé teszi a polgárok számára, hogy biztonságosan hozzáférjenek hivatalos és magánszolgáltatásokhoz is.
• Dánia: A NemID-ről a MitID-re való átállás példája azt mutatja, hogy a digitális azonosítás folyamatos fejlesztése szükséges ahhoz, hogy lépést tartsanak a változó technológiai környezettel és az adatbiztonsági kihívásokkal.
• Észtország: Észtország az egyik legfejlettebb digitális identitásrendszerrel rendelkezik, amely lehetővé teszi az állampolgárok számára, hogy minden hivatalos ügyet online intézzenek. Az észt modell egyik legnagyobb előnye a decentralizált adatkezelés és a magas szintű adatbiztonság.
• Németország: A digitális személyazonosító kártyák használata Németországban még mindig korlátozott, de az ország célja, hogy a jövőben kibővítse ezek funkcióit, és egy német EUDI Wallet (European Digital Identity Wallet) létrehozását tervezi.

Ezek az országok különböző szempontok alapján fejlesztették rendszereiket, de mindannyian a biztonságra és az interoperabilitásra helyezik a hangsúlyt, ami példaként szolgálhat Magyarország számára is.

Technológiai különbségek a digitális azonosítási rendszerek között

A különböző országok digitális azonosítási rendszerei közötti technológiai különbségek szintén jelentős hatással vannak a felhasználói élményre és az adatbiztonságra. Németországban például a digitális személyazonosító kártyákhoz kapcsolódó tanúsítványokat külön hitelesítő szolgáltatók bocsátják ki, amelyek lehetnek állami vagy magánszolgáltatók is. Magyarországon az e-személyivel történő digitális aláírás is használható, de itt is szükséges külön tanúsítvány megszerzése.

Ezek a technológiai különbségek nemcsak a felhasználói élményben, hanem az adatbiztonság terén is eltéréseket eredményezhetnek. Az észt modell decentralizált adatkezelést alkalmaz, amely biztosítja, hogy a felhasználók személyes adatai jobban védve legyenek, míg más országok központosított rendszerei nagyobb kockázatot hordoznak magukban.

DÁP, DIT meg hozzá a GDPR 

A digitális identitás rendszerei, mint a DÁP és a DIT, hatalmas lehetőségeket kínálnak a polgárok számára, hogy egyszerűsítsék és hatékonyabbá tegyék hivatalos ügyeik intézését. Azonban ezek a rendszerek jelentős adatbiztonsági kihívásokkal is szembesülnek. A központosított adatkezelés, az állami hozzáférés lehetősége, és a kibertámadások kockázata mind olyan tényezők, amelyek megfelelő jogi és technológiai biztosítékokat igényelnek. A nemzetközi példák azt mutatják, hogy a digitális azonosítási rendszerek fejlesztése folyamatos, és kiemelten fontos a magas szintű adatbiztonság és a felhasználói bizalom megőrzése. Magyarország számára a legnagyobb kihívás az lesz, hogy a DÁP és a DIT fejlesztése során biztosítsa a polgárok jogainak és adatainak védelmét, valamint megfeleljen az eIDAS 2.0 szabványoknak, miközben a polgárok magánszféráját is tiszteletben tartja.

A DÁP és a DIT hatalmas lehetőségeket kínál a digitális ügyintézés és azonosítás terén, de ezzel együtt jelentős adatvédelmi aggályok is felmerülnek. A központosított adatkezelés, az állami szervek potenciális hozzáférése, és a biometrikus adatok kezelése mind komoly kockázatokat jelenthetnek, ha nem megfelelő biztosítékok védik a felhasználókat. A külföldi példák azt mutatják, hogy a digitális azonosítási rendszerek könnyen megfigyelési eszközzé válhatnak, ha az állam visszaél a rendelkezésére álló technológiával. Magyarország számára kulcsfontosságú, hogy a DÁP és a DIT fejlesztése során megfelelő adatvédelmi szabályokat és technológiai megoldásokat alkalmazzon, amelyek garantálják a polgárok jogainak és adatainak védelmét.

A polgári jogok és a felhasználói adatvédelem biztosítása érdekében alapvető fontosságú, hogy a felhasználók átláthatóan tudják követni, mi történik az adataikkal, kik férhetnek hozzá, és milyen célból. Csak így érhető el, hogy a DÁP és a DIT ne váljon megfigyelési eszközzé, hanem valóban a polgárok kényelmét és biztonságát szolgálja és közben a GDPR is érvényt szerezen, jól követhető kontrollal amit a polgár, maga is áttekinthet.