Europese digitale identiteit – eID en eIDAS

Welke richting gaat de ontwikkeling van een digitale indentiteit op?

Gisteren werd een commissiedebat georganiseerd geheten ‘Technische briefing over Voortgangsrapportage Europese Digitale Identiteit.’

Aanwezigen Mark Vermeer directeur Digitale Overheid bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Hetty Lucassen is MT-lid/plv. directeur van de directie Digitale Overheid bij het ministerie van BZK, het cluster Wdo hoort bij haar afdeling, Katinka Petronia: Nationaal Coördinator Single Digital Gateway en beleidsadviseur bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), Tim Speelman beleidsmedewerker Digitale identiteit BZK

AanwezigTechnische briefing over Voortgangsrapportage Europese Digitale IdentiteitMark Vermeer

Mark Vermeer opent:

  • in tegenstelling tot de titel van deze commissievergadering (voortgangsrapportage (Europese) digitale identiteit komt er geen Europees paspoort of nummer … Vermeer geeft aan dat er op Eu-niveua gewerkt wordt aan een (onzichtbaar) digitaal raamwerk voor digitale identiteit en het zijn de lidstaten zelf die deze toekomstige digitale identiteiten zullen gaan maken/uitgeven
  • burgers en bedrijven zouden vrijwillig via een Europese wallet (eID) gebruik kunnen gaan maken (die dus niet door de EU wordt beheerd of geïnitieerd)
  • dit raamwerk zou de veiligheids- en betrouwbaarheidseisen moeten toetsen en borgen opdat er binnen eelke lidstaat aan dezelfde normering wordt voldaan
    • hiermee zouden burgers en bedrijven met zo’n eWallet digitaal zaken moeten kunnen doen over de grens zoals bv het alleen vrijwillig delen van een diploma of rijbevoegdheid

Tim Speelman gaat verder in 3 thema’s geheten Beleidsmatige Context, Europees Raamwerk voor Digitale Identiteit en als laatste Nationale Activiteiten en Publieke Wallet.

  • Beleidsmatige Context
    • burgers, bedrijven en overheden met elkaar zaken kunnen laten doen op een veilige en betrouwbare wijze
    • middels regels en middelen werden instrumenten opgetuigd als DIGID en Wet Digitale Overheid
    • zulks mogelijk maken buiten de landsgrenzen van een lidstaat werd in 2014 door de EU de eIDAS verordening gerealiseerd
      • in Nederlands geheten elektronische identificatie- en vertrouwensdiensten
      • wederzijdse erkenning nationale inlogmiddelen en vertrouwensdiensten (bv elektronische handtekeningen)
      • evaluatie stelde dat onder meer private sector behoeftig was naar betrouwbaar inloggen, er behoefte was naar regie op eigen gegevens en marktdominantie techgiganten verminderd zou moeten worden
      • het laatste punt leidde naar een voorgestelde herziening van eIDAS in 2021 dat is verwerkt in Europees Raamwerk Digitale Identiteit
  • Europees Raamwerk Digitale Identiteit
    • naast inlogmiddelen voorziet dit raamwerk in bv een id-wallet
    • deze id-wallet kan naast inloogen ook (persoonlijke) gegevens delen en ondertekenen
    • te gebruiken zowel in publieke als private sector
    • ook off-line te bruiken (in sommige omstandigheden als bv het rijbewijs tonen bij het huren van een auto)
    • iedere lidstaat moet tenminste één dergelijke wallet zelf uitgeven of erkennen waarmee aldus de heer Speelman ontkracht wordt dat de EU dit uitgeven/erkennen zou verzorgen
    • de wallet kent een uitbreiding: gegevensbewijzen zoals diploma’s of rijbewijzen

Speelman gaat verder met:

  • het concept id-wallet zou burgers en bedrijven meer controle moeten geven op hun gegevens
  • vrijwillig kan een individu een persoonlijke wallet installeren op bv een telefoon die voorzien wordt van een pincode waarmee exclusieve controle wordt geborgd
    • in deze persoonlijke wallet kunnen digitale gezet worden waarmee de eigenaar zijn/haar voordeel kan doen (in Speelman’s voorbeeld denkt hij aan een bank die de klant om gegevens kan vragen die dan uit die persoonlijke wallet gedeeld kunnen worden)
    • volgens de presentatie kan een traag werkje als gegevens delen om een huurwoning te verkrijgen veel sneller verlopen én in de transactie zou de omvang teveel data delen verminderd worden
  •  WAARBORGEN Europees Raamwerk Digitale Identiteit
    • gebruik van de id-wallet is niet verplicht
      • identificatie wordt alleen gebruikt wanneer een individu dit zelf wenst en Speelman geeft aan dat de DIGI-d door deze verordening niet verdwijnt, dus DIGI-d zal in de toekomst gebruikt kunnen blijven worden
    • regie op eigen gegevens zoals terugkijken wat reeds werd gedeeld én zelf bepalen of je iets deelt
    • betrouwbaarheidsniveau eIDAS hoog
    • open source verplichting waarmee de broncode publiekelijk is en onafhankelijk van elkaar te verifiëren is
    • (her)certificering van wallets en kwetsbaarheidstoetsen
    • toezicht op wallet-diensten moet nationaal worden ingericht
    • er zal geen Europees identificerend nummer komen, er wordt gebruik gemaakt (vrijwillig) van het BSN-nr
      • pseudoniem kan gebruikt worden wanneer in contact met diensten waar wettelijke identificatie niet verplicht is
    • een verhandelverbod op te gelde maken van gegevens
    • privacy by-design en dataminimalisatie
    • vertrouwende partijen oftewel dienstverleners moeten in een nationaal register aangeven welke gegevens zij nodig achten
      • vanwege de aanwezigheid van een nationaal register kunnen toezichthouders/belangenpartijen deze informatie inzien
        • later vult Speelman aan een ‘openbaar register’ dus hiermee zouden burgers ook dit registerm oeten kunnen raadplegen
        • zo’n register zou o.a. excessen in het licht van de openbaarheid eruit moeten kunnen halen 
    • gebruikers van de ID-wallet kunnen bij twijfel of klacht direct vanuit deze ID-wallet meldingen maken bij een gegevensbeschermende autoriteit
      • ook kan vanuit de wallet een dienstverlener gevraagd worden om gegevens te verwijderen

Onderstaand maakt (ook) deel uit van het Europees Raamwerk voor Digitale Dienst

  • Verplichtingen voor Lidstaten
    • tenminste één gecertificeerde ID-wallet uitgeven en/of erkennen
    • mogelijk maken dat gegevens uit overheidsbronnen door gebruiker geverifieerd kunnen worden
    • wallets van andere lidstaten accepteren tbv publieke diensten
    • stelselvoorzieningen inrichten dwz bv een register 24/7 online aanbieden waarin vertrouwende partijen vermeld staan
  • Indicatieve Tijdlijn
    • Q4 2023 akkoord bereikt in Triloog op wettekst
    • Q1 2024 definitieve stemming Europese Raad en Europees Parlement
    • wanneer vorig punt accordatie bereikt zal in Q1 2024 publicatie en in werking treding van de herziene eIDAS verordening (EU raamwerk)
    • Q1-2 2024 uitvoeringen technische handelingen
    • 2024-2026 voorbereiding uitvoeringswet en regelgeving binnen parlementair proces
    • verwachting Q3 2026 deadline uitgifte/erkenning van ID-wallet(s)

Antwoorden op vragen

  • Het gebruik van de ID-wallet zou vrijblijvend zijn … de één gaat er mee aan de slag en de ander mijdt de wallet.
    • tav publiek gebruik (overheden) zou in het bestuursrecht opgenomen zijn dat er meer dan één identificatiemogelijkheden geaccepteerd moeten worden
    • op de vraag of dienstverleners (vertrouwende partijen) wanneer zij zouden besluiten om enkel en alleen gebruik van hun diensten mogelijk te maken via de ID-wallet, andere mogelijkheden zou uitsluiten … dit zou niet in de eIDAS  verordening zijn opgenomen
      • hangend op vorig punt zou in de verordening opgenomen zijn dat dienstverleners bestaande identificatie inlogmiddelen moeten accepteren
    •  in de verordening zou niet opgenomen zijn dat attributen (kenmerken) en attesten (diploma’s, rijbewijzen, vaccinatiebewijzen) mbt gezondheids- en vaccinatiestatus noodzakelijk geacht worden
      • de heer Vermeer geeft aan (42:50) dat zaken mbt vorig punt altijd door gebruiker zelf wél of niet aangezet worden
    • Petronia beschrijft kort het proces waartoe toezichthouders zich dienen te verhouden; toezichthouders zijn onafhankelijk (worden niet door een lidstaat aangewezen) en dienen vtv een conformitietsbeoordeling ondergaan tegen hoge technische eisen door een geaccrediteerde auditor; vervolgens heeft de nationale toezichthouder (in nl de rdi) hierna de mogelijkheid om zelf aanvullend onderzoek te plegen teneinde te bezien of een partij de status ‘gekwalicifeerd’ zal ontvangen
    • mbt of er een Europees nummer aan een gebruiker wordt toegekend zou dit niet gebeuren; Speelman geeft aan (46:20) dat bv in NL het gebruikelijke BSNnr gebruikt kan worden; in andere situaties zullen er andere nummers gecreëerd worden … maar een gebruiker zou altijd zien wat er gedeeld wordt
  • Nationale Activiteiten en de Publieke Wallet
    • programma EDI Stelsel NL verzorgt programma wallet, voorzieningen en toezicht
    • open gesprek (47:00) dwz meet-ups en dialoogsessies en communicatie hierover op edi.pleio website
  • Publieke wallet
    • start ontwikkeling voor burgers (die dat willen) is gebeurd (deadline is september 2026)
    • privacy-by-design, dataminimalisatie, open source, toegankelijk, hoge mate van veiligheid en betrouwbaarheid
    • evaluatie van de ontwikkeling van de wallet wordt doorlopend geëvalueerd
    • Q3-4 eerste wallet beeproeving in beschermde omgeving door beperkt groepje gebruikers
    • broncode van de wallet is in te zien op Github
    •  in het videofragment dat volgt hier beneden neemt Speelman op het scherm een klein voorproefje van de e-wallet
  • Large Scale Pilots
    • wallets testen mbt grensoverschrijdende dienstverlening waarbij opdoen implementatiekennis beoogd wordt
      • dit testen is over Europa verdeeld over 4 consortia (2023-2025); Nederland neemt deel in het consortium Potential
      • getest wordt op het aanmaken/openen van toegang tot een overheidsdienstverlening, openen van een bankrekening, een sim-card aanvragen, digitaal rijbewijs, digitale handtekening en een digitaal recept

Beantwoording van vragen

  • de huidige ontwikkeling van de wallet is heden enkel en alleen gericht op online gebruik van de wallet … offline implementatie wordt nog niet aan gewerkt
    • de eIDAS verordening verplicht de lidstaten tot implementatie van offline gebruik bij de introductie vanaf september 2026
    • naast het in de nabije toekomst in te richten nationale register van vertrouwende partijen (dienstverleners) zou de AVG een ander mechanisme zijn tav van onderstaand punt
    • attesten (bewijzen) van allerlei soorten zijn vrijwillig te implementeren … Vermeer geeft aan dat het niet verboden zou zijn. Daarmee geeft Vermeer impliciet aan dat vanuit overheden bv vaccinatieattesten niet gemandateerd zouden worden

Nog niet geregeld in de eIDAS verordening

  • erin opnemen dat dienstverleners oftewel vertrouwende partijen (=private sector) ook fysieke identificatiemiddelen dienen te accepteren 
  • goede vraag van Jesse Six Dijkstra (NSC) die ernaar vraagt of lieden met slechte intenties snel zich kunnen inschrijven in het register, vervolgens een slachtoffer vinden die bereid is om gegevens te delen met die kwaadaadige partij om vervolgens een misdaad te begaan. Het slachtoffer berooid achterlatend en de dieven hebben zich al snel uitgeschreven uit het register.
      • Speelman antwoordt dat de inschrijvingsprocedure nog niet qua ontwikkeling in een eindfase is en roept de term ‘afkoelfase’ implementeren
      • de pilots zouden zulks moeten wegpoetsen

De kamerleden hebben verzuimd op de vraag te stellen waartoe de definitie van offline zich verhoudt; de uitleg van de heer Speelman wekt verwarring op van de definitie van offline, want hij gebruikt in zijn uitleg van offline een telefoon als apparaat, terwijl een telefoon normaal gesproken altijd online opereert.

De vraag die gesteld zou moeten worden is of implementatie van werkelijk offline betekent dat de wallet naast de telefoon ook op een digitale drager (een stick, elk nfc-apparaat denkbaar of elk bluetooth apparaat denkbaar) juist met de intentie om internetloos een overdracht van gegevens te doen laten plaatsvinden wordt geïmplementeerd.

Afrondend … Arno Wellens (als één van de vele ‘kenners’ op allerlei videoplatformen) drukt zich verkeerd uit over de digitale ID en een digitaal paspoort … waar aan nooit gewerkt is. Er is geen digitaal paspoort. Er komt geen paspoort. 
Wat er wel komt is een digitaal ID raamwerk én er komt een tool dat binnen dat raamwerk zal gaan functioneren; de wallet.

Een ieder die over een paspoort spreekt zendt signalen uit die hem of haar niet categoriseren als bekend met het onderwerp. Misschien heeft Wellens een reden om zich bewust verkeerd uit te willen drukken … maar zijn beeld over een paspoort klopt niet. 

Over de CBDC gaat dit artikel niet dus tijd om af te sluiten en daar een volgende keer op te richten.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top