Begin juni 2021 kondigde de Europese Commissie een revisie aan van de eIDAS regulering. Met als belangrijk focuspunt: de realisatie van 'European digital identity wallets'. Waarmee de Europese burger zich in elk land kan identificeren en attributen kan delen wanneer gewenst.

Vanwaar de wijziging?

Daarvoor moeten we terug naar 2014. In 2014 werd de eIDAS regulering ingevoerd om ervoor te zorgen dat het voor personen gemakkelijker werd om publieke en private diensten te gebruiken in andere lidstaten. Diensten waarvoor het hebben van een digitale identiteit noodzakelijk is. Het idee van deze regulering was dat lidstaten elkaars eID's zouden erkennen en kunnen gebruiken. De adoptie is echter erg laag gebleven en heeft maar beperkt tot het gewenste resultaat geleid.

Wat gaat er nu veranderen?

Het wordt verplicht voor lidstaten om een eID wallet te notificeren. Daarnaast bood eID voorheen alleen de mogelijkheid om in te loggen bij een overheidsdienst in een ander land. De identity wallets maken het mogelijk om meer attributen uit te wisselen, ook bij private dienstverleners in bepaalde sectoren. De onderliggende visie is dat de persoon, data vanuit de trusted sources, via de wallet kan delen om in andere lidstaten diensten te gebruik. Dit ondersteund allerlei use cases. Bijvoorbeeld het uitwisselen van diploma gegevens: een student wil een opleiding in een ander land afmaken en haar ECs of microcredentials meenemen. Het zwaartepunt verschuift hiermee van identificeren naar het delen van attributen.

Er worden enige eisen gesteld als het gaat om de wallets.

• De wallet moet gratis zijn voor de persoon.
• De wallet moet eIDAS betrouwbaarheidsniveau hoog hebben.
• De publieke (en aangewezen private) dienstverleners moeten de wallets accepteren.
• De uitgever van de wallet mag verder geen informatie verzamelen over het gebruik van de wallet.

Deze en andere requirements schetsen al enige kaders waaraan de lidstaten en wallets moeten voldoen. Maar daarnaast er zijn alsnog flink wat uitdagingen die opgelost moeten worden voordat de visie van het ‘identity ecosystem’ realiteit kan worden en ook daadwerkelijk meerwaarde kan leveren voor burger, bedrijf en overheid. De drie belangrijkste uitdagingen lichten we hier kort toe:

1. Toegankelijkheid van bronnen, publiek en privaat
2. Realiseren van een duurzaam businessmodel
3. Voorkomen van monopolisten, realiseren van echte keuze

1. Toegankelijk maken van bronnen

Publieke bronnen van persoonlijke gegevens zijn op dit moment in Nederland erg slecht toegankelijk. Wanneer een inwoner persoonlijke gegevens wil ophalen middels een zelfgekozen wallet, moet dit in bijna alle gevallen via screen scraping verlopen. Deze situatie is ontstaan omdat er simpelweg nog geen alternatief is. Om het beoogde ecosysteem enigszins te laten vliegen, moeten publieke bronnen dus toegankelijker worden. De techniek is hierin niet de barrière. Er is politieke daadkracht nodig en de inzet van alle uitvoeringsorganisaties die registers beheren.

Dit geldt overigens niet alleen voor publieke bronnen. Ook belangrijke private bronnen van persoonlijke data dienen gemakkelijk toegankelijk te zijn. We weten dat er mogelijkheden zijn om dit te realiseren: Payment Service Directive 2 zorgde er bijvoorbeeld voor dat transactiegegevens bij banken opengesteld moesten worden aan derde partijen, wanneer de persoon hierom vraagt.

2. Realiseren van een duurzaam businessmodel

Het realiseren van een duurzaam businessmodel blijkt lastig: Het concept van regie op persoonlijke data en bijbehorende principes zorgen voor een complex ecosysteem, met daarin afhankelijkheden tussen overheid, bedrijfsleven en de persoon. De eisen die gesteld worden aan het businessmodel leggen enkele beperkingen op: de wallet moet voor de gebruiker gratis zijn en er mag geen informatie verzameld worden over het gebruik van de wallet. Hoe blijft het voor private partijen dan nog interessant en duurzaam? Stimulans om wallets te ontwikkelen door de inzet van publieke middelen lijkt hier noodzakelijk.

3. Voorkomen van monopolisten, realiseren van echte keuze voor de persoon

De kaders van de EU benoemen dat de persoon elke lidstaat tenminste één oplossing moeten notificeren. Er zijn voldoende aanbieders van wallets in Nederland. In de markt zien we al dat private partijen zich realiseren dat identificatie, net als betalen, een dienst is die door meerdere partijen kan worden geleverd: Buckaroo biedt bijvoorbeeld naast betaalmiddelen nu ook iDIN aan. Maar wat als er slechts één enkele identity wallet genotificeerd wordt door Nederland? In theorie zouden Nederlanders wel identity wallets kunnen gebruiken die door andere lidstaten genotificeerd zijn, maar in de praktijk zou dit de markt sterk verstoren. Het strookt in elk geval niet met de ambitie van de EU. Er valt dan weinig te kiezen voor de gebruiker in Nederland. Het is noodzakelijk om kaders te stellen onder welke voorwaarden partijen genotificeerd kunnen worden door Nederland.

De Nederlandse overheid moet haar rol pakken in het oplossen van deze uitdagingen, een gezonde voedingsbodem voor Nederlandse identity wallets realiseren en bovenal de beschikbare kennis en marktpartijen hierbij betrekken.