Wat is de EDI-Wallet & wat maakt deze anders?
Zowel Nederland als de Europese Unie werkt volop aan een nieuwe digitale infrastructuur. Niets ligt nog vast, maar zeker is dat de ontwikkelingen rondom de digitale identiteit, zoals de komst van de EDI-Wallet, relevant zijn voor iedereen. Goed om je alvast te laten informeren over de plannen dus. Die zijn namelijk ambitieus en best ingewikkeld.
Achtergrond
Dit is de tweede blog van een serie van vijf over onze digitale identiteit.
1. Een digitale identiteit: wat hebben we eraan & hoe ver zijn we?
Op dit moment wordt er zowel in Nederland als in de Europese Unie volop gewerkt aan een nieuwe digitale infrastructuur. Omdat er echter nog niets definitief vast ligt, ben je op tijd om als eerste te weten te komen wat er allemaal gaat gebeuren. Het is echter veel en best ingewikkeld. Ik probeer je met mijn blogs op de hoogte te brengen van wat er komen gaat.
Voorgeschiedenis
Jarenlang worstelden overheden en bedrijven met het concept digitale identiteit. In Nederland kwamen er initiatieven op als DigID, e-herkenning, Diginotar, ENUM, Qiy, IRMA, Mobile Connect, Ockto, Datakeeper, Schluss, iDIN, Digi.me. In andere Europese landen ontstonden weer andere oplossingen. Over elk van deze historische en nog bestaande stelsels zou ik een aparte blog kunnen schrijven. Maar tot op heden zijn er maar weinig toepassingen die massaal gebruikt worden. Sommige zijn spectaculair mislukt, andere gingen uit als een nachtkaars. En weer andere bouwen tot op heden gestaag verder.
Kip of ei probleem
Ten grondslag aan het slagveld ligt een typisch kip of ei probleem. Aan de ene kant is er een gebrek aan gebruikers. Zolang mensen geen redenen hebben om een dergelijk systeem te installeren, zullen zij dat niet doen – of met grote tegenzin. Een goede reden om het wel te installeren, zou zijn dat het systeem een uitdaging oplost die mensen dagelijks tegen komen. Net zoals Instagram het probleem oplost van mensen die iets beleven maar geen vrienden en bekenden in de omgeving hebben om de ervaring onmiddellijk mee te delen. Aan de andere kant is er een gebrek aan aangeboden diensten. Want zolang mensen een systeem niet massaal gebruiken, is de stap voor mogelijk interessante diensten te groot om er serieus tijd en geld in te steken.
Een tweede probleem komt voort uit het feit dat bij de systemen die wel een dagelijkse uitdaging oplossen, je bij elke apps en online dienst opnieuw moeten inloggen met een ingewikkeld en uniek wachtwoord (denk: big tech). De systemen worden daarom onvoldoende vertrouwd om onze digitale identiteiten te mogen beheren.
Wat maakt EDI-Wallet anders?
Op 3 juni 2021 zag het voorstel van de Europese Commissie het licht om een Europees stelsel te bouwen op grond van centrale afspraken. Dit stelsel dient nationale identiteitswallets mogelijk te maken die voor de burger optioneel zijn, maar verplicht geaccepteerd moeten worden door een reeks van instituties en bedrijven.
Lidstaten eisen van deze instanties “een elektronisch identificatiemiddel en authenticatie op grond van nationaal recht of bestuursrechtelijke praktijken”. “Om toegang tot een door een openbare instantie aangeboden onlinedienst te krijgen”. Maar ook van “particuliere vertrouwende partijen die diensten verlenen krachtens nationaal of Unierecht, sterke gebruikersauthenticatie voor online-identificatie moeten gebruiken, of indien sterke gebruikersauthenticatie vereist is op grond van een contractuele verbintenis, waaronder op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie”. En, als klap op de vuurpijl, “zeer grote onlineplatforms” (lees: grote social media bedrijven) die “verlangen dat gebruikers zich authenticeren om toegang tot onlinediensten te krijgen”. Aan andere organisaties staat het vrij de Wallet al dan niet te accepteren.
Problemen opgelost
Met de EDI-Wallet lijkt zowel het kip of ei probleem als het vertrouwensprobleem opgelost. Het verplicht interessante, dagelijkse en belangrijke diensten de Wallet te accepteren, zodat er plots een enorme markt ontstaat. Ondertussen heeft de burger keuzevrijheid om de Wallet wel of niet te gebruiken. De opzet van het systeem zorgt voor grotere betrouwbaarheid en een officieel imago van de Wallet. Gebruikers kunnen zo meer vertrouwen hebben in de oplossing.
Wat is de EDI-Wallet?
In de voorgestelde Europese Verordening gaat het om meer dan alleen het vaststellen van “de voorwaarden voor de uitgifte van Europese portemonnees voor digitale identiteit door de lidstaten”. De Verordening wil ook andere kaders vastleggen, zoals “de voorwaarden waaronder de lidstaten elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen aanbieden en erkennen die onder een aangemeld stelsel voor elektronische identificatie van een andere lidstaat vallen”. En, “regels voor vertrouwensdiensten, met name voor elektronische transacties”. Maar ook, “een juridisch kader voor elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, diensten voor elektronisch aangetekende bezorging en certificatendiensten voor websiteauthenticatie, elektronische archivering en elektronische attestering van attributen, het beheer van middelen voor het aanmaken van elektronische handtekeningen en zegels op afstand, en elektronische registers” (eIDAS 2, art. 1).
Digitale bronidentiteit
De Verordening omschrijft de Wallet als volgt: “een product en dienst die de gebruiker in staat stelt identiteitsgegevens, inloggegevens en attributen met betrekking tot zijn/haar identiteit op te slaan, op verzoek aan vertrouwende partijen te verstrekken, voor online en offline authenticatie voor [diensten] te gebruiken, en gekwalificeerde elektronische handtekeningen en zegels aan te maken” (art. 3). Met de Wallet kunnen gebruikers “op een transparante en door de gebruiker traceerbare wijze veilig de nodige wettelijke persoonsidentificatiegegevens en elektronische attesteringen van attributen aanvragen, verkrijgen, opslaan, selecteren, combineren en delen, zodat zij zich online en offline kunnen authenticeren om openbare en particuliere onlinediensten te gebruiken”. Ook kunnen zij “middels gekwalificeerde elektronische handtekeningen ondertekenen” (art. 6). Het doel van de Wallet is om inwoners van de Europese Unie “veilige, betrouwbare en naadloze toegang tot publieke en particuliere diensten” te geven. (art. 6)
Dit betekent waarschijnlijk dat de Wallet meer zal omvatten dan alleen de digitale bronidentiteit van de gebruiker maar dat niet-identiteitsgebonden data er waarschijnlijk niet in opgeslagen zullen kunnen worden.
DE EDI-Wallet en Nederland
De aankondiging van de Wallets zorgde in Nederland onmiddellijk voor opwinding bij de ingewijden, zowel van overheidszijde als van de zijde van digitale identiteitendienstenleveranciers. Aan de meeste doorsnee bedrijven en doorsnee gebruikers ging de heisa rond de Wallet echter voorbij.
Toen er vanuit de Europese Commissie een call werd aangekondigd voor Large Scale Pilots (LSP) en de vraag werd uitgezet naar een voorbeeld-Wallet, die als aanknopingspunt dient te functioneren voor elke toekomstige Europese Wallet, begon een chaotisch gelobby en duw- en trekwerk bij de ingewijden. Tussen landen, tussen ministeries onderling, tussen bedrijven en tussen alle mogelijke combinaties van ministeries en bedrijven uit meerdere landen. Dit is opvallend. De Verordening waarbinnen voorwaarden voor de Wallet vastgesteld worden was – en is tot op heden – nog niet definitief vastgelegd. Dat geldt ook voor het pakket van technische en functionele specificaties.
Geen bijzonder rol
Inmiddels zijn de kruitdampen opgetrokken en is het duidelijk dat Nederland geen bijzondere rol gaat vervullen in het ontwikkelen van Wallet: de Europese voorbeeld-Wallet werd niet aan Nederland gegund en van geen van de vier toegekende LSP’s is Nederland aanvrager. Wel zijn Nederlandse organisaties vertegenwoordigd in drie van de LSP’s. Deze uitkomst is zeer teleurstellend omdat Nederland voorzitter was van een select groepje landen binnen die Europese Unie die een voortrekkersrol wilden vervullen, onder meer op het gebied van digitale identiteit, de ‘Coalition of the Willing’.
Het enige wat de Nederlandse overheid in deze situatie rest, is snel een eigen Wallet ontwikkelen en deze jaren eerder dan andere landen in de markt zetten (in 2023 in plaats van in 2025). Daarmee wordt de overheid echter mogelijk een zichzelf bevoordelende concurrent van andere Nederlandse initiatieven.
Wat hebben we aan de EDI-Wallet?
In het Financieel Memorandum dat de Europese Verordening begeleidt, staat vermeld dat een van de specifieke doestellingen van de Verordening is: “Burgers volledige controle over hun persoonsgegevens bieden en de veiligheid daarvan verzekeren bij het gebruik van digitale-identiteitsoplossingen.” (eIDAS 2, Financieel Memorandum, 1.4.2.) Deze doelstelling wordt herhaald onder het kopje ‘Verwachte result(a)t(en) en gevolg(en)’. (eIDAS 2, Financieel Memorandum, 1.4.3.)
Is er vertrouwen in de burger?
In de Verordening zelf is de doelstelling echter terug gebracht tot: “De gebruiker heeft volledige controle over de Europese portemonnee voor digitale identiteit.” (eIDAS 2, art. 6a(7)). In plaats van de volledige controle te kunnen uitoefenen over de data zelf, mag de burger uiteindelijk alleen controle uitoefenen over kopietjes van de data. Met behulp van de Wallet zullen burgers kunnen bewijzen wie zij zijn, hoogstwaarschijnlijk op een veel betrouwbare manier dan tot op heden. Maar de burger wordt niet vertrouwd met de eigen digitale identiteit.
Data delen
Bijna alle bestaande Wallets functioneren volgens dit principe. De burger kan certificaten binnenhalen met daarin officiële persoonsdata en kan deze delen. Maar de burger kan verder vrijwel geen invloed uitoefenen op de database waarbinnen de originele data staan. Een dergelijke brondatabase kan nog steeds, buiten de burger om, data over die burger delen met anderen. Natuurlijk dienen brondatabases zich aan wetten zoals de AVG te houden, maar de wetten betreffen met name commerciële databases. Het toezicht op de naleving van de wetten is onvoldoende. En de overheid als brondatabase heeft bewezen niet altijd even betrouwbaar te zijn.
Vervolg
Is het dan zoveel beter als de burger zelf de volledige controle over de eigen data krijgt? Hoe zou dit er in de praktijk uit moeten zien? Op deze vragen zal ik in mijn volgende blogs ingaan.
Bonus
Experts uit Nederland en Finland spreken over wie de controle heeft over de digitale identiteit van burgers na invoering van de EDI-Wallet (taal: Engels).