Gepubliceerd op:

De Europese verordening voor elektronische identificatie en vertrouwensdiensten (eIDAS) regelt dat we met onze nationale eID oplossing bij overheidsdiensten van een ander land kunnen inloggen. Ook harmoniseert het vertrouwensdiensten zoals digitale handtekeningen. Mijn vorige blog over eIDAS is alweer enige tijd geleden. Tijd voor een update dus!

Laten we eerst kijken naar het elektronische identificatiedeel van eIDAS. Daar is het voor lidstaten vanaf 29 september 2015 mogelijk voor lidstaten om hun nationale eID oplossing hiervoor aan te melden, in eIDAS terminologie notificeren genoemd. Lidstaten kunnen tot 29 september 2018 op vrijwillige basis deze genotificeerde middelen erkennen. Na deze datum is de erkenning verplicht. Alle lidstaten dienen dan te voldoen aan de zogenaamde uitvoeringsbesluiten voor samenwerkinginteroperabiliteit en betrouwbaarheidsniveaus voor authenticatie. Oftewel, vanaf 29 september 2018 moet het bij, bijvoorbeeld, de gemeente Amersfoort mogelijk zijn met, bijvoorbeeld, een Estlands eID middel in te loggen. Overigens, hebben voor zover ik weet nog geen lidstaten zich aangemeld voor notificatie. Ik verwacht wel dat Estland een van de eerste lidstaten zal zijn die dit gaat doen.

Ook Nederland is druk bezig zich voor te bereiden op eIDAS. Minister Kamp heeft onlangs de Tweede Kamer geïnformeerd over de verordening en de impact die de uitvoering ervan heeft op de Nederlandse wetten. Wijzigingen van de Telecommunicatiewet, het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende wijzigingen van andere wetten worden voorzien. Delen van eIDAS zullen ook zijn beslag vinden in de in voorbereiding zijnde Wet Generieke Digitale Infrastructuur (GDI). De GDI moet bijdragen aan de realisatie van een goed werkende en samenhangende digitale overheid zoals burgers en bedrijven die mogen verwachten: uitvoeringsprocessen zijn op elkaar afgestemd, informatie is makkelijk vindbaar en transacties zijn eenvoudig uitvoerbaar. De beoogde Wet GDI vormt het sluitstuk hierop. De regels die het wetsvoorstel GDI zal stellen over eID/authenticatie zullen in overeenstemming zijn met de eIDAS-verordening.

Dit laatste betekent dat ook de huidige eID afsprakenstelsels in Nederland zoals Idensys, eHerkenning, DigiD en iDIN moeten gaan voldoen aan eIDAS. Vooral als het gaat om de normen voor betrouwbaarheid van de authenticatiemiddelen zal dit impact kunnen hebben: is een Idensys niveau 3 middel ook in de context van eIDAS nog steeds een niveau 3 middel (of in eIDAS terminologie een middel met een substantieel betrouwbaarheidsniveau)? Het lijkt er gelukkig op dat voor Idensys en eHerkenning de migratie naar een op eIDAS gebaseerd normenkader redelijk eenvoudig kan plaatsvinden. De vraag is niet of Nederland zijn nationale eID middel zal notificeren, maar welke het zal zijn. DigiD heeft in zijn basis-versie een te laag betrouwbaarheidsniveau om in aanmerking te komen voor erkenning door andere lidstaten. Wel wordt er momenteel hard gewerkt aan een meer betrouwbare DigiD oplossing. Voor Idensys en iDIN ligt het complexer omdat dit afsprakenstelsels zijn met meerdere private authenticatiediensten. Notificatie van een stelsel is niet mogelijk, de individuele authenticatiediensten zullen dus moeten worden aangemeld. En, gegeven het feit dat grensoverschrijdende eIDAS authenticaties niets mogen kosten, twijfel ik of er in deze hoek veel animo voor notificatie is.

Verder wordt er gepilot met de infrastructuur van eIDAS, het interoperabiliteitsraamwerk. De grensboerenpilot, waarin Belgische boeren bij de Rijksdienst voor Ondernemend Nederland (RVO) kunnen inloggen met hun Belgische eID kaart, is hiervan een goed voorbeeld. Andersom kunnen Nederlandse boeren kunnen met eHerkenning inloggen bij het Belgische departement Landbouw en Visserij. De voorziening voor het inloggen door Duitse grensboeren is in de testfase. Daarnaast is de Douane bezig om met eHerkenning vanuit Nederland het Europese vergunningensysteem TAXUD te ontsluiten voor bedrijven. Tot slot wordt in een andere pilot gewerkt aan het ontsluiten van een groot aantal gemeenten richting Europa.

Ook heeft de Autoriteit Persoonsgegevens (destijds nog CBP) gekeken naar de privacy-waarborgen van eIDAS. Vooral het knooppunt tussen de EU en Nederlandse eID infrastructuur baart het AP zorgen. Niet geheel onlogisch, want daarover worden straks heel wat persoonsgegevens uitgewisseld. Een Privacy Impact Assessment zou wenselijk zijn volgens het AP. Dat lijkt me zeker verstandig. Een extra punt van aandacht hierbij is de verwerking van de persoonsgegevens van de mede-Europeanen die willen inloggen bij Nederlandse overheidsdiensten. De meeste van deze diensten zijn ingesteld op het ontvangen van BSN’s via Idensys, iDIN of DigiD, maar die hebben de meeste Europese gebruikers niet….hoe hier mee om te gaan? Geven we iedere Europese gebruiker een BSN of sturen we de set van attributen uit de lidstaten linea recta door naar de hiervoor aan te passen Nederlandse overheidsdiensten? Of zijn er andere oplossingen denkbaar?

Tot slot nog iets over het vertrouwensdiensten deel van eIDAS dat per 1 juli 2016 van kracht is gegaan. Dit betreft digitale handtekeningen, digitale zegels, digitale tijdsstempels, elektronische documenten en bezorgdiensten, en gekwalificeerde website authenticatie. Een concrete eerste uitvloeisel daarvan is het meldloket dat door Agentschap Telecom ingericht is namens de Autoriteit Consument en Markt (ACM). Hier dienen verleners van vertrouwensdiensten binnen 24 uur Agentschap Telecom op de hoogte te stellen van een (vermoeden van een) veiligheidsinbreuk of integriteitsverlies.

Kortom, op alle fronten wordt in Nederland gewerkt om te voldoen aan de eIDAS verordening. Wel zijn er nog diverse horden te nemen voordat we echt aan de slag kunnen met de Europese digitale markt die ligt te lonken. Onze handelsgeest lijkt nog steeds springlevend! Of zullen de Esten ons straks voor zijn?