Afgelopen woensdag 26 mei heeft de eIDAS Cooperation Network, waarin alle Europese lidstaten vertegenwoordigd zijn, positief ingestemd met de pre-notificatie van DigiD Substantieel en Hoog. Dit is gedaan op basis van de uitkomsten van de peer review op onze DigiD oplossingen door andere lidstaten. Het betekent dat we nu DigiD Substantieel en Hoog kunnen notificeren onder eIDAS en de Nederlandse burger ermee kan inloggen bij andere Europese publieke diensten. Een mooi resultaat. DigiD vult hiermee het al eerder genotificeerde eHerkenning aan waardoor we zowel het burger- als bedrijvendomein bedienen.

We zijn niet helemaal ongeschonden uit het pre-notificatieproces gekomen. Uit de peer review zijn een tweetal verbeterpunten gekomen die voorwaardelijk zijn aan de notificatie en daarmee erkenning van DigiD in Europa. Deze voorwaarden zijn in de mening van de Cooperation Network beschreven en betreffen:

1. Een verbetering van de zekerheid dat iemand die een upgrade naar DigiD Substantieel doet door een identiteitsdocument te scannen middels NFC ook daadwerkelijk de eigenaar van dat document is.
2. Een verbetering van de zekerheid dat iemand die een PIN-reset doet bij DigiD Hoog ook inderdaad hiervoor de gerechtvaardigde persoon is.

De eerste voorwaarde is gebaseerd op identificatie-eis 2.1.2 uit eIDAS 2015/1502 over betrouwbaarheidsniveaus. De door de reviewers voorgestelde oplossing is om kort na de upgrade naar DigiD Substantieel nogmaals te controleren of het identiteitsbewijs (rijbewijs, paspoort of eNIK) niet als verloren of gestolen is gemeld. Deze praktijk zie je bijvoorbeeld ook terug in het Verify schema van het Verenigd Koninkrijk. Nederland heeft aangeven hier werk van te gaan maken.

De tweede voorwaarde is gerelateerd aan eis 2.2.4 uit eIDAS 2015/1502 over het vernieuwen van een middel en lastiger te realiseren. DigiD Hoog maakt gebruik van de zogenaamde Remote Document Encryption technologie voor de PIN-reset. Dat betekent dat de gebruiker pas na een NFC-scan van het identiteitsdocument (rijbewijs of eNIK) en het invoeren van een via de reguliere post verkregen PEN-code diens vergeten PIN opnieuw kan instellen. Enkele reviewers hebben hun zorgen geuit over de PEN-code en of die inderdaad wel door de rechtmatige gebruiker wordt ingevoerd; een extra identificatie-check zou wenselijk zijn in dit proces. De oplossing is de gebruiker de PEN-code af te laten halen bij het gemeentehuis na een identificatie aan de balie of de PEN-code aangetekend te laten versturen naar de gebruiker. Beide oplossingen zijn echter duur en in deze tijd van Covid-19 bedenkelijk. Een goedkoper alternatief is de gebruiker op afstand te laten identificeren via bijvoorbeeld een NFC-scan van het paspoort in combinatie met een selfie. Nederland heeft richting de Cooperation Network aangegeven voor het eind van het jaar met beste oplossing te komen.

De geconstateerde verbeterpunten zijn wat mij betreft van toegevoegde waarde voor de betrouwbaarheid van onze DigiD Substantieel en Hoog oplossingen en geven het nut aan van de eIDAS peer reviews. Werk aan de winkel voor DigiD dus. Dat zal hand in hand moeten gaan met het eIDAS compliant maken van de DigiD infrastructuur zelf. Immers, DigiD Substantieel maakt nog geen gebruik van de hiervoor vereiste polymorfe pseudoniemen en de door DigiD aangeleverde identiteitsverklaring – nu nog bestaande uit het BSN – zal moeten worden aangevuld met de verplichte eIDAS attributen als voornaam, achternaam en geboortedatum. Na de officiële notificatie van DigiD is daar een jaar de tijd voor.