Voor degenen die (nog) niet heel bekend zijn met eIDAS: eIDAS gaat over het grensoverschrijdend uitwisselen van identiteitsverklaringen via nationale (erkende) middelen. Meer kan je hierover lezen in mijn vorige blogs.

Waar staan we nu met eIDAS?
De eIDAS infrastructuur voor het grensoverschrijdend uitwisselen van identiteitsverklaringen bestaat uit zogenaamde eIDAS nodes. De meeste lidstaten zijn redelijk op weg met het optuigen daarvan. Een overzicht is hier te vinden. Wat opvalt in het overzicht is dat Frankrijk en Polen behoorlijk achter lopen. Spannend is ook hoe eIDAS straks in Duitsland gaat uitpakken. Duitsland heeft geen centrale eIDAS node voor de eigen burgers om in te loggen bij buitenlandse diensten, maar gebruikt een middleware oplossing die werkt op de nodes van de andere lidstaten. De consequentie van deze oplossing is dat iedere Duitse dienstaanbieder een eigen node dient te implementeren om burgers uit andere lidstaten te kunnen bedienen. Of dat gaat werken weet ik niet. Afwachten dus.

Het aantal erkende middelen groeit gestaag
Nationale middelen moeten een erkenningstraject – de zogenaamde notificatie - door voor toelating tot eIDAS. Een officieel overzicht van alle genotificeerde en gepre-notificeerde middelen is hier te vinden. Inmiddels zijn er 11 lidstaten met genotificeerde middelen. De middelen van Duitsland en Italië moeten nu echt worden erkend. Andere middelen zitten nog in de overbruggingsperiode. Luxemburg, Estland, Kroatië en Spanje komen op 7 november dit jaar in aanmerking voor erkenning. De onderstaande figuur schetst de situatie: ondanks dat het aantal erkende middelen gestaag groeit, is het nog erg rustig bij een groot aantal Europese landen.

eidas_genotificeerd.png

De notificatie wordt geregeld via peer review: een nationaal middel wordt beoordeeld door een representatie vanuit andere EU landen. Op dit moment zijn de peer review rapporten van België (Itsme), Letland en Slowakije afgerond en besproken. Denemarken heeft ondertussen als eerste Scandinavische land voor NemID het notificatieproces gestart. Ik had hier overigens eerder Noorwegen of Zweden verwacht met hun BankID. Verder blijkt Portugal het ‘ondeugende kind van de klas’ te zijn. Als je daar meer over wilt weten kan je altijd bellen of mailen.

Peer review
De peer reviews vormen dus de basis voor notificatie. De kwaliteit daarvan is belangrijk voor de veilige digitale uitwisseling van identiteitsgegevens en het daarmee toegang verlenen tot digitale dienstverlening. Daarom heeft de Commissie de lidstaten gevraagd het peer review proces te evalueren. Een belangrijk punt in de evaluatie lijkt het verschil in diepgang van de reviews te worden. Sommige lidstaten willen alles over een middel tot in detail weten om een oordeel te kunnen geven, andere vinden een hoog-over indruk voldoende en vellen hun oordeel meer op basis van vertrouwen.

Als onderdeel van het Nederlandse peer review team, heb ik zelf ondervonden dat het beoordelen van een te notificeren eID niet altijd meevalt. Interessante discussiepunten tijdens de reviews zijn:

  • Over de beveiliging van mobiele apps als tweede authenticatiefactor bij betrouwbaarheidsniveau hoog: Is het gebruik van een secure enclave, trusted execution environment of SIMkaart wel of niet een must have?
  • Over biometrie: Is het geoorloofd om vingerafdruk of gezichtsherkenning in te zetten voor betrouwbaarheidsniveau hoog als alternatief voor de PIN? Bieden dergelijke biometrische oplossingen voldoende weerstand tegen aanvallers met een ‘high attack potential’ om de betrouwbaarheid van hoog waar te maken?
  • Over identificatie op afstand: eIDAS sluit het niet uit, maar wat is nu precies nodig om een middel op betrouwbaarheidsniveau hoog te krijgen wanneer deze gebruik maakt van identificatie op afstand?

Inloggen bij Nederlandse overheidsdiensten
Nederland doet goed mee met eIDAS. Inmiddels zijn ongeveer 227 dienstverleners aangesloten op onze eIDAS node. In september waren er 1033 succesvolle eIDAS authenticatieverwerkingen van Europese burgers. Meer dan een verdubbeling van de juni cijfers. Dat belooft veel. Vooral burgers uit België (753), Duitsland (51) en Estland (123) lijken hun weg te vinden. De eerste twee landen zijn logisch, het zijn immers buurlanden. Estland lijkt wat minder logisch, maar wellicht zijn dit Nederlanders die e-Resident van Estland zijn geworden. De eIDAS killer apps zijn de websites van mijnSVB (264 logins), CJIB waar je als je geflitst bent de foto kan bekijken en betalen (180 logins) en mijnpensioenoverzicht.nl (132 logins). RVO, UWV en DUO completeren de top 6.

Kortom, langzaam maar zeker begint eIDAS vorm te krijgen in Europa en Nederland. Het is nu vooral belangrijk dat dienstverleners gaan aansluiten om te voorkomen dat we in een kip-ei impasse komen die zo kenmerkend is voor gefedereerde identiteitsoplossingen.