Na het aannemen van de Europese verordening over elektronische identificatie en vertrouwensdiensten (eIDAS), ben ik verschillende keren in Brussel geweest om namens Nederland input te geven aan de implementatie van deze verordening.

De belangrijkste implementatietrajecten zijn:

1. Notificatieproces voor een nationaal eID schema. Het proces van notificeren is belangrijk voor de erkenning van het eID schema. Bij het notificeren dient een template ingevuld te worden waarin de karakteristieken van het eID schema beschreven staan. Een interessante observatie is dat een notificatieproces niet tegengehouden kan worden door de lidstaten of de Europese Commissie; de eIDAS verordening biedt hiervoor geen houvast. Benadrukt wordt dat het een gezamenlijke verantwoordelijkheid is van de lidstaten om te komen tot een betrouwbaar Europees eID stelsel.
2. Peer-review. Onderdeel van het notificatieproces is een peer-review door andere lidstaten om te toetsen of het eID inderdaad aan het opgegeven betrouwbaarheidsniveau voldoet. Een belangrijke vraag hier is in hoeverre lidstaten bij elkaar in de keuken mogen kijken.
3. Normenkader betrouwbaarheidsniveaus voor authenticatie. De huidige STORK en ISO29115 kaders hiervoor zijn ongeschikt bevonden voor eIDAS. Een aantal lidstaten, waaronder Nederland, hebben daarom gezamenlijk een nieuw kader opgesteld en voorgelegd aan de Europese Commissie.
4. Minimale dataset. De minimale dataset betreft de set van attributen die een natuurlijk of niet-natuurlijk persoon identificeren. Deze set zal altijd uitgewisseld worden bij grensoverschrijdende authenticatie in de context van eIDAS. Voor natuurlijke personen moet je denken aan voor- en achternaam en geboortedatum en -plaats. Voor niet-natuurlijke personen is het, gegeven de diversiteit ervan, minder eenvoudig om tot een minimale set te komen. Hier is de Commissie nog mee aan het puzzelen. Onze ervaringen uit eHerkenning hebben we ingebracht.
5. Interoperabiliteitsraamwerk en architectuur. Het interoperabiliteitsraamwerk moet grensoverschrijdende authenticatie daadwerkelijk mogelijk maken. Hiervoor wordt gebruik gemaakt van de STORK pan-European Proxy Servers (PEPS). De uitdaging daar is dat lidstaten als Duitsland en Oostenrijk geen centrale PEPS willen of mogen hebben. Dit betekent dat software voor het authentiseren van burgers uit die lidstaten op de PEPS van de andere lidstaten draait. Voor verschillende lidstaten, waaronder Nederland, roept dit vragen op over aansprakelijkheid, onderhoud en kosten. De Commissie zal hier op korte termijn duidelijkheid over moeten geven.

Kortom, de implementatie van de eIDAS verordening gaat niet over rozen, maar stap voor stap wordt er door experts van de Commissie en van de verschillende lidstaten hard aan gewerkt. Nederland is goed betrokken om ervoor te zorgen dat het toekomstige Nederlandse eID Stelsel naadloos aansluit op de Europese infrastructuur voor grensoverschrijdende authenticatie.