De notificatie wordt geregeld via peer review: een nationaal middel wordt beoordeeld door een representatie vanuit andere EU landen. Op dit moment zijn de peer review rapporten van België (Itsme), Letland en Slowakije afgerond en besproken. Denemarken heeft ondertussen als eerste Scandinavische land voor NemID het notificatieproces gestart. Ik had hier overigens eerder Noorwegen of Zweden verwacht met hun BankID. Verder blijkt Portugal het ‘ondeugende kind van de klas’ te zijn. Als je daar meer over wilt weten kan je altijd bellen of mailen.
Peer review
De peer reviews vormen dus de basis voor notificatie. De kwaliteit daarvan is belangrijk voor de veilige digitale uitwisseling van identiteitsgegevens en het daarmee toegang verlenen tot digitale dienstverlening. Daarom heeft de Commissie de lidstaten gevraagd het peer review proces te evalueren. Een belangrijk punt in de evaluatie lijkt het verschil in diepgang van de reviews te worden. Sommige lidstaten willen alles over een middel tot in detail weten om een oordeel te kunnen geven, andere vinden een hoog-over indruk voldoende en vellen hun oordeel meer op basis van vertrouwen.
Als onderdeel van het Nederlandse peer review team, heb ik zelf ondervonden dat het beoordelen van een te notificeren eID niet altijd meevalt. Interessante discussiepunten tijdens de reviews zijn:
- Over de beveiliging van mobiele apps als tweede authenticatiefactor bij betrouwbaarheidsniveau hoog: Is het gebruik van een secure enclave, trusted execution environment of SIMkaart wel of niet een must have?
- Over biometrie: Is het geoorloofd om vingerafdruk of gezichtsherkenning in te zetten voor betrouwbaarheidsniveau hoog als alternatief voor de PIN? Bieden dergelijke biometrische oplossingen voldoende weerstand tegen aanvallers met een ‘high attack potential’ om de betrouwbaarheid van hoog waar te maken?
- Over identificatie op afstand: eIDAS sluit het niet uit, maar wat is nu precies nodig om een middel op betrouwbaarheidsniveau hoog te krijgen wanneer deze gebruik maakt van identificatie op afstand?
Inloggen bij Nederlandse overheidsdiensten
Nederland doet goed mee met eIDAS. Inmiddels zijn ongeveer 227 dienstverleners aangesloten op onze eIDAS node. In september waren er 1033 succesvolle eIDAS authenticatieverwerkingen van Europese burgers. Meer dan een verdubbeling van de juni cijfers. Dat belooft veel. Vooral burgers uit België (753), Duitsland (51) en Estland (123) lijken hun weg te vinden. De eerste twee landen zijn logisch, het zijn immers buurlanden. Estland lijkt wat minder logisch, maar wellicht zijn dit Nederlanders die e-Resident van Estland zijn geworden. De eIDAS killer apps zijn de websites van mijnSVB (264 logins), CJIB waar je als je geflitst bent de foto kan bekijken en betalen (180 logins) en mijnpensioenoverzicht.nl (132 logins). RVO, UWV en DUO completeren de top 6.
Kortom, langzaam maar zeker begint eIDAS vorm te krijgen in Europa en Nederland. Het is nu vooral belangrijk dat dienstverleners gaan aansluiten om te voorkomen dat we in een kip-ei impasse komen die zo kenmerkend is voor gefedereerde identiteitsoplossingen.