Steeds meer Europese lidstaten lopen warm voor eIDAS. Inmiddels zijn de nationale eID oplossingen van Estland, Italië, Luxemburg, Spanje en Kroatië gereviewd door de andere lidstaten. Ook hebben België en Portugal zich gemeld voor een peer review. Zoals bekend is Duitsland goed door review gekomen en genotificeerd. Hierdoor zal de Duitse eID kaart op aankomende 28 september moeten worden geaccepteerd door alle Nederlandse overheidsdiensten als geldig inlogmiddel. En over ruim een jaar zal dit, als alles goed gaat, ook voor de andere vijf eerstgenoemde landen moeten.

Als alles goed gaat, want bij de aangemelde nieuwe eID oplossingen zitten er een paar interessante tussen. Als eerste Estland die o.a. de e-Residency kaart wil notificeren op het hoogste betrouwbaarheidsniveau. Deze oplossing kan iedereen op de wereld in principe aanschaffen. Je vraagt een e-Residency kaart aan, gaat naar een Estse ambassade, toont daar je paspoort en krijgt vervolgens het authenticatiemiddel waarmee je mogelijk over een jaar dus in kan loggen bij alle overheidsdiensten in Europa. Kanttekeningen kunnen worden geplaatst bij de betrouwbaarheid van het identificatieproces: hoe goed kan de identiteit van de aanvrager worden vastgesteld door de ambassademedewerker, hoe betrouwbaar kan deze de echtheid van het paspoort controleren, en hoe zeker is men dat het getoonde paspoort niet als gestolen/verloren is gemeld?

Ook Italië komt met iets nieuws: identificatie op basis van een online video-sessie met de gebruiker op niveau eIDAS Hoog. De eIDAS verordening staat dit toe. In Nederland staan we dit binnen eHerkenning en Idensys ook toe, maar dan op niveau eDIAS Substantieel. De redenen hiervoor zijn: de echtheid van het getoonde paspoort is niet goed te controleren via video (en dit is een keiharde eIDAS Hoog eis), de betrouwbaarheid van de identificatie op basis van de foto in het getoonde paspoort laat te wensen over, en video-beelden kunnen worden gemanipuleerd waardoor het getoonde paspoort of het gezicht van de gebruiker er anders uitziet. Zonder maatregelen te treffen die deze risico’s wegnemen is dit een niveau Substantieel oplossing en niet Hoog. Dat vinden ook veel andere Europese lidstaten zo blijkt uit de peer review van Italië. Eventuele verbetermaatregelen zouden kunnen zijn het inzetten van NFC om de echtheid van het paspoort te controleren, de van de chip uitgelezen hoge-resolutie foto te gebruiken voor identificatiedoeleinden, biometrische identificatie-oplossingen in te zetten, en technologieën om manipulatie van videobeelden te detecteren.

We moeten dus nog even afwachten welke middelen er straks precies moeten worden erkend en op welk niveau. Maar dat ze er komen is zeker. Veel lidstaten kiezen dus voor het notificeren van hun eID middelen voor eIDAS. Opvallend daarbij is dat ze allemaal een middel op niveau Hoog aanmelden.

Is Nederland hier al klaar voor? Dat ziet er positief uit. We zijn het eerste land dat klaar is om authenticatieverzoeken van Duitse burgers conform eIDAS af te handelen. Laat 28 september dus maar komen! Neem maar eens een kijkje hier op de website van RVO. Dat is mooi voor de Duitsers, maar wat hebben wij Nederlanders daar aan? Met andere woorden hoe staat het met de Nederlandse notificatieplannen? Die zijn er wel, en men wil ook wel notificeren, maar nog niet helemaal duidelijk is welke middelen dit betreffen. DigiD Hoog zit nog in de pilot-fase en is er dus voorlopig nog niet. Jammer, want veel andere lidstaten notificeren wel op dat niveau. DigiD Substantieel ligt dan voor de hand, hoewel dat nog enige voeten in de aarde kan hebben omdat het BSN niet in het buitenland mag worden gebruikt en er dus aanpassingen nodig zijn. Sowieso is het niet inzetbaar voor private dienstaanbieders in het buitenland. De private, alternatieve middelen voor DigiD misschien? De status daarvan is onzeker en afhankelijk van de Wet Digitale Overheid die weliswaar door de ministerraad is, maar nog niet door de kamers. Daarna pas volgt een aanbestedingstraject. De gedoodverfde winnaar hiervan lijkt iDIN. En ik vermoed dat de banken ook wel eIDAS authenticaties willen afhandelen, maar niet als dat gratis moet zoals de verordening stelt. Gaat de Nederlandse overheid de banken hiervoor vergoeden? eHerkenning dan? Dat zou heel goed kunnen, maar betreft alleen het bedrijvendomein wat een ondergeschoven kindje is in eIDAS en veel andere EU lidstaten. Alleen Italië biedt hiervoor ook een oplossing. Moeten we dan toch Idensys gaan oppoetsen en in de Europese eIDAS etalage zetten?