Waar vooraf misschien gedacht was dat Estland als eerste Europese lidstaat haar nationale eID oplossing zou aanmelden in het kader van de Europese eIDAS verordening, is dit Duitsland geworden. Het doel van de aanmelding is om erkenning te krijgen voor het nationale eID middel zodat Duitsers ermee kunnen inloggen bij publieke dienstverleners in andere lidstaten. Een belangrijk onderdeel van het aanmeldingsproces is een peer review, waarbij andere lidstaten toetsen of Duitsland’s eID oplossing wel betrouwbaar genoeg is. Namens het Ministerie van Economische Zaken, onder de vlag van eIDAS-toezichthouder Agentschap Telecom en samen met NL-NCSA ben ik betrokken geweest bij de peer review van de Duitse eID. In deze blog zal ik mijn ervaringen hiermee delen.

Peer review

De peer review is geen echte audit zoals dit bijvoorbeeld bij de deelnemers binnen Idensys gebeurt. Het is eerder een evaluatie of de Duitse eID oplossing voldoet aan de normen die eIDAS stelt en met name in de zogenaamde uitvoeringsverordeningen over de betrouwbaarheidsniveaus en het interoperabiliteitsraamwerk. De Duitsers hebben de peer review ‘gründlich’ voorbereid door een self-assessment te doen tegen de normen in deze verordeningen. Het Duitse eID middel heet de neue Personalausweis, ofwel nPA, en is een identiteitskaart met contactloze chip waarop de persoonsgegevens staan. Duitsland heeft de nPA aangemeld op eIDAS niveau Hoog en moet dus aan de strengste eisen voldoen. De self-assessment en de bijbehorende procesbeschrijvingen voor uitgifte en gebruik van het middel zijn aangeleverd aan de groep van lidstaten die betrokken wilde zijn bij de peer review. Omdat het de eerste keer is, waren maar liefst 23 lidstaten betrokken bij de review. Ook Nederland deed dus mee, en had daarnaast de rol van voorzitter.

Vragen en discussie

Na bestudering van de aangeleverde stukken waren er tal van vragen bij de reviewers. Deze vragen zijn door Duitsland beantwoord tijdens een sessie in Berlijn op 2 en 3 mei 2017. Daar hebben we ook een kijkje in de keuken van de Bundesdruckerei GmbH – de organisatie die de nPA maakt – gekregen. Veel vragen gingen over het uitgifteproces van de nPA, de identificatie die hieraan voorafgaat en technische aspecten van de oplossing. Discussie was er bijvoorbeeld over de unieke identifier die wel of niet voldoende persistent zou zijn. Daar waar wij in Nederland een persistent BSN hebben, verandert de Duitse identifier bij elke nieuwe nPA, dus om de tien jaar. Het hebben van een persistente identifier is dus een nationaal soevereine keuze. Wel kan een verandering van de identifier voor dienstverleners van andere lidstaten problemen opleveren; zij moeten dan op de een of andere manier een koppeling maken tussen de oude en nieuwe identiteit. eIDAS zelf zegt dat de identifier “zo lang mogelijk stabiel blijft“ en in principe voldoet Duitsland hieraan.

Bevindingen

Vanuit Nederland hadden we opmerkingen over het verstrekken van de nPA in het algemeen en in het bijzonder aan Duitsers in het buitenland. Het lijkt erop dat een enkele Duitse ambtenaar het hele proces van registratie, identificatie en uitgifte kan uitvoeren. Er zijn geen controle maatregelen als 4-ogen principe of rol-scheiding om te voorkomen dat deze ambtenaar bijvoorbeeld zichzelf een nPA op een andere naam verstrekt. De Duitse overheid heeft blijkbaar een rotsvast vertrouwen in de integriteit van de ambtenaren. Bij Duitsers in het buitenland die een nPA aanvragen is het niet wenselijk om ze meerdere malen naar de balie van de ambassade of het consulaat te laten komen voor identificatie en uitgifte van het middel. Na fysieke identificatie aan de balie ontvangt de niet-ingezeten Duitser zowel de nPA als de activatiecode gescheiden per post. Voor een middel Hoog biedt dit proces niet voldoende zekerheid dat het middel inderdaad bij de betreffende persoon aankomt. Duitsland heeft aangegeven dit proces nader te onderzoeken en te kijken of verbeteringen mogelijk zijn.

Veel discussie was er ook over de Duitse software voor het uitlezen van de nPA kaart en het verwerken van de uitgelezen gegevens naar de dienstverleners. Duitsland maakt hierbij gebruik van eigen middleware die draait op de eIDAS nodes van de andere lidstaten. Deze middleware authentiseert de Duitse burger en leest de minimale set van attributen uit die eIDAS voorschrijft. Nederland heeft al geëxperimenteerd met deze middleware en is tegen diverse verbeterpunten aangelopen. Punten van zorg zijn de schaalbaarheid en onderhoudbaarheid van de middleware. Echter, helaas valt dit buiten de scope van de peer review…

Europa tevreden

Naar aanleiding van de peer review in Berlijn is er een rapport opgesteld. Nederland heeft hier als voorzitter van de peer review een belangrijke bijdrage aan geleverd. Het rapport is gedeeld met alle andere lidstaten zodat zij kennis kunnen nemen van de Duitse eID oplossing. Dit zogenaamde cooperation network heeft op 28 juni 2017 aangegeven dat “the pre-notification documents and additional information provided by the Federal Republic of Germany demonstrate sufficiently how the German eID scheme to be notified meets the requirements of Article 7, Articles 8(1)-(2) for assurance level “high” and 12(1) of the eIDAS Regulation and Commission Implementing Regulation (EU) 2015/1502.” De bevindingen in het peer-review rapport waren dus niet dusdanig serieus voor een kink in het aanmeldproces.

Daarmee kan Duitsland het aanmeldproces vervolgen en zal het straks het eerste land zijn dat een eIDAS-erkend middel heeft. Dat betekent dat de Duitse burger per september 2018 met zijn/haar nPA moet kunnen inloggen bij bijvoorbeeld onze Belastingdienst om opgave te doen of bij StudieLink om zich in te schrijven voor een studie aan een Nederlandse universiteit.

Nieuwe aanmeldingen

Na Duitsland zullen andere EU lidstaten snel volgen om zich aan te melden. Oostenrijk en Italië zullen naar verwachting de eerstvolgende landen zijn die een peer review aanvragen. Ook Nederland is zich aan het voorbereiden op een aanmelding. En dat is verstandig, want Duitsland heeft de lat hoog gelegd om het peer review proces goed te doorlopen en de lidstaten hebben laten blijken kritisch te kijken naar aangemelde eID oplossingen.