“Bij eIDAS2 ligt de focus wel erg eenzijdig op de ontwikkeling van de ID-wallet. Terwijl de ID-wallet slechts een middel is om een groter doel te realiseren. Namelijk ervoor zorgen dat de digitale wereld betrouwbaar is om veilig zaken te doen,” aldus Merijn Zee van Bridgehead, tijdens de bijeenkomst bij het Verbond.
Veilig zaken doen
Zee herhaalde meermaals dat een ID-wallet alleen kans van slagen heeft als zaken doen via de wallet veilig kan. Dat betekent dat als een klant een polis digitaal wil ontvangen per mail, in een Mijnomgeving, dat die polis in ieder geval voorzien is van de benodigde digitale en juridische waarmerken (elektronische handtekeningen, zegels, tijdstempels en/of verificatie).
Goede randvoorwaarden
Voorafgaand aan de speech van Zee had Art Klijn, Programma Manager Europese Digitale Identiteit (EDI) bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), ook al stilgestaan bij het belang van goede randvoorwaarden: “Voor het vertrouwen en gebruik van de ID-wallet is het een absolute randvoorwaarde dat niet alleen de ID-wallet zelf, maar het complete EDI-stelsel eromheen betrouwbaar en veilig is. Daarom geven we hoge prioriteit aan de realisatie van het EDI-stelsel in Nederland en zijn er de eerste stappen gezet om tot een certificeringsschema te komen. Dit is een enorme klus en uitdaging, vooral omdat de uitvoeringshandelingen en standaarden op Europees niveau nog in ontwikkeling zijn”, aldus Klijn. Omdat nog niet alles is vastgesteld, zijn verzekeraars vooralsnog terughoudend richting bestaande ID-wallets. Want in hoeverre zijn deze wallets betrouwbaar en compliant?
"Een ID-wallet alleen kans van slagen heeft als zaken doen via de wallet veilig kan."
Onzekerheid
Deze onzekerheid hangt samen met een andere onzekerheid, namelijk welke informatie straks in de wallet staat. Klijn gaf aan dat volgens de verordening elke lidstaat eind 2026 minstens één wallet moet aanbieden. De Nederlandse overheid ontwikkelt een EDI-stelsel waarin op termijn meerdere ID-wallets kunnen toetreden. Deze moeten wel voldoen aan de eisen uit de verordening. Ook wordt in opdracht van het ministerie van BZK een publieke NL-wallet gerealiseerd. “Eind 2026 verwachten we een bijgewerkte versie van de publieke NL-wallet gereed te hebben. Deze blijven we daarna doorontwikkelen”, aldus Klijn. Met een ID-wallet heb je dan straks zelf de regie over je persoonlijke gegevens. Als je bijvoorbeeld een polis wil afsluiten, deel je alleen de noodzakelijke informatie. Ook kun je documenten digitaal ondertekenen met een gekwalificeerde handtekening vanuit de ID-wallet. In de ID-wallet kun je verschillende persoonlijke gegevens bewaren en gebruiken.
Denk daarbij aan een verplichte set aan attributen: voornaam, achternaam en geboortedatum. Vrijwillige attributen zijn familienaam, geslacht, geboorteplaats en adres. Daarnaast mogen lidstaten zelf extra aanvullende attributen toevoegen. Die zijn niet uitgewerkt in de huidige verordening, maar zijn wel belangrijk voor wallets. Deze attributen geven kenmerken en kwaliteiten van de gebruiker weer, onafhankelijk van de context en onvoldoende specifiek om de gebruiker direct te identificeren. Bijvoorbeeld ‘Ik ben ouder dan 18 jaar’, ‘Ik ben een man’, ‘Ik woon in Amsterdam’, ‘ Ik heb een Nederlands rijbewijs’.
De zogeheten Digital Trust Services, waar Zee op hamerde, zijn partijen die de authenticiteit van attributen kunnen valideren aan de hand van de authentieke bron, of van een digitale handtekening, een tijdstempel of echtheidszegel.
Hoeveel ID-wallets?
Tijdens de discussie werd aan de aanwezigen gevraagd hoeveel ID-wallets er op de markt komen? Dat kunnen er wel eens meer dan 100 worden: in elke lidstaat minimaal 1. Terwijl in elke lidstaat meerdere ID-wallets actief zullen zijn. Verder hangt de meerwaarde van de wallet af van waar deze het beste kan worden ingezet. Consultant McKinsey voorspelde al in 2019 dat ID-wallets de economie met 3-13% kan laten groeien. Dit komt bijvoorbeeld door administratieve lastenverlichting bij processen die gerelateerd zijn aan de Wet op toezicht (Wft), nieuwe commerciële kansen voor marktpartijen die diensten rondom de ID-wallet kunnen aanbieden. Bovendien wordt de digitale economie gestimuleerd doordat elektronische transacties veiliger en betrouwbaarder worden.
Verplichte acceptatie
Zodra er ID-wallets in Europa worden aangeboden, geldt voor (semi-) publieke dienstverleners de verplichting om deze wallets te accepteren. Voor private partijen genoemd in de verordening is dit één jaar later, namelijk eind december 2027. Al zien verzekeraars de regelgeving soms als een ‘moetje’, zij kunnen flinke vruchten plukken door het gebruik van de ID-wallets. Verplichte acceptatie betekent overigens niet dat verzekeraars klanten zonder ID-wallet de deur mogen wijzen: het gebruik van de ID-wallet is op vrijwillige basis en het moet voor klanten altijd mogelijk blijven zonder wallet een polis af te sluiten.
Europese identiteit
“Er komt géén Europese identiteit. Dit is een veel voorkomend misverstand. Burgers kunnen wel met hun ID-wallet bewijzen wie ze zijn en zo gebruik maken van online diensten in Europa”, aldus Art Klijn. Dit bewijs zit onder andere in de Persoonsidentificatiedata (PID) en zorgt ervoor dat een ID-wallet hoort bij de persoon van wie die zegt dat die is.
Wat kun je doen met een ID-wallet?
Burgers kunnen straks gratis een ID-wallet gebruiken als zij dit willen. In een ID-wallet kun je informatie over jezelf opslaan, zoals je naam of geboortedatum. Je kunt een ID-wallet gebruiken om je op een eenvoudige en veilige manier online te identificeren en/of gevalideerde gegevens uit te wisselen. Hierbij hoef je niet meer gegevens te delen dan nodig is. Je kunt de wallet gebruiken bij online zaken met een overheidsinstantie, maar ook met een verzekeraar of een online platform. Daarnaast kun je er makkelijk een elektronische handtekening mee zetten op digitale documenten. Ook kun je persoonlijke documenten zoals je rijbewijs of diploma’s veilig opslaan om later te gebruiken.
Inspirerende voorbeelden
Tijdens de bijeenkomst lieten maar liefst vier partijen zien wat zij allemaal al doen op dit gebied. Zo bouwt Maarten Boender met zijn softwarebedrijf Sphereon technologie voor overheden en bedrijven die betrouwbare digitale bewijzen (bijvoorbeeld de geverifieerde woonplaats, burgerlijke staat, inkomen of leeftijd) moeten gaan uitgeven en moeten kunnen ontvangen. Maar het gaat ook om bewijzen waarmee je aantoont dat je lid bent van een sportclub of de toegang voor een evenement hebt betaald. De uitgevende partij moet dat bewijs digitaal ondertekenen, zodat de ontvangende partij weet waar het vandaan komt en dat het niet is gemanipuleerd. Boender: “Als werkgever kunnen wij zo’n credential of bewijs afgeven over een werknemer en zijn dienstverband. Dat kan hij vervolgens vanuit zijn wallet delen met een bank voor bijvoorbeeld een hypotheekaanvraag of verzekering.” Verschil met nu is dat de werkgever niet kan zien met wie de werknemer dat bewijs vanuit zijn digitale portemonnee deelt. Dat is privé. Hetzelfde geldt voor de grote hoeveelheid privacygevoelige gegevens die nu nodig zijn bij bijvoorbeeld het openen van een bankrekening of het kopen van een huis. Daarvoor is de betrouwbaarheid van de bewijzen cruciaal en moeten de software van de afzender, de wallet en de ontvanger goed met elkaar communiceren.
Paul Brink van NN heeft het Digitale Paspoort Verzekeren, dat via het Innovatieplatform van het Verbond ontwikkeld is, doorontwikkeld voor NN. Hij liet een NN-voorbeeldsite zien waarop klanten een polis kunnen afsluiten en hoe deze polis vervolgens via een paar klikken in de wallet van de klant wordt gezet. Zijn voorbeeld illustreerde vooral het gebruikersgemak (in een paar klikken geregeld), maar Brink benadrukte ook dat klanten dus niet steeds opnieuw dezelfde informatie hoeven in te vullen als zij een verzekering afsluiten of aanpassen.