Met de herziening van de eIDAS-verordening komt de ontwikkeling van EDI-wallets in een stroomversnelling. Elke EU-lidstaat moet zijn burgers tegen 2026 minimaal 1 gratis ‘digitale identiteitsportemonnee’ kunnen aanbieden. Dienstverleners met een publieke taak zijn verplicht om alle toegelaten ID-wallets te accepteren. Wat komt hierbij kijken?
Wat zijn EDI-wallets?
EDI staat voor Europese Digitale Identiteit, een door de overheid uitgegeven digitale identiteit. Hiermee kunnen burgers, bedrijven en organisaties zich identificeren. Ze bepalen zelf welke persoonlijke gegevens ze online of offline delen met overheidsinstanties en bedrijven binnen de hele EU.
De EDI-wallet is (meestal) een app waarin gebruikers hun digitale identiteit en andere digitale bewijzen kunnen opslaan. Attributen die in de wallet verzameld kunnen worden, zijn onder meer gegevens uit de Basisregistratie Personen (BRP), diploma’s, betaalpassen en afgeleide bewijzen zoals een 18+-attribuut. Het wordt overigens niet verplicht om een EDI-wallet te gebruiken om zaken te regelen met de overheid.
Wat kunnen burgers en ondernemingen met een EDI-wallet?
Na het ‘laden’ van de persoonlijke digitale identiteit werkt een EDI-wallet als een digitaal paspoort. Gebruikers kunnen hiermee in alle EU-landen veilig inloggen bij onlinediensten, versleutelde gegevens raadplegen, documenten ondertekenen en zelfs fysieke poortjes openen.
Met een goedgekeurde EDI-wallet kunnen gebruikers in de hele EU diverse acties uitvoeren en communiceren met zowel publieke als private dienstverleners. Denk dan aan het aanvragen van officiële documenten, doorgeven van adreswijzigingen, openen van bankrekeningen, indienen van belastingaangiften en inschrijven bij universiteiten. Daarnaast biedt de wallet extra functionaliteiten. Gebruikers kunnen in de wallet bijvoorbeeld doktersrecepten bewaren die ze in een ander EU-land ophalen. Of met het digitale rijbewijs in de wallet een auto huren of inchecken bij een hotel.
Hoe werkt een EDI-wallet?
Binnen het ecosysteem van EDI-wallets komen we verschillende partijen met verschillende rollen tegen. Op de eerste plaats hebben we de ‘walletprovider’ die de app aanbiedt en ondersteunt. Gegevens komen via diverse betrouwbare bronnen zoals overheidsinstanties en erkende private partijen in de wallet. Deze bronnen zijn de ‘issuers’ in het ecosysteem.
De issuer is bijvoorbeeld een gemeente die data uit de BRP ontsluit, maar die gemeente of andere publieke dienstverlener kan ook een ‘relying party’ zijn. Dit is de partij of persoon die de data en attributen ontvangt en vertrouwt. De ‘gebruiker’ is binnen het ecosysteem degene die de wallet activeert en beheert, en ook bepaalt wanneer welke gegevens met wie worden gedeeld.
Waarom wordt de EDI-wallet ontwikkeld?
De huidige digitale identificatiesystemen die overheden in de EU aanbieden, hebben verschillende tekortkomingen. Ze zijn niet beschikbaar voor de hele bevolking, bieden vaak alleen toegang tot online overheidsdiensten en zijn moeilijk te gebruiken in andere landen. De populaire wallets van de grote techbedrijven kennen eveneens beperkingen. De bedrijven erachter staan niet onder democratisch (Europees) toezicht. Dit kan problematisch zijn als zij besluiten hun diensten te stoppen of aan te passen.
Dit zijn enkele redenen waarom de EDI-wallet wordt ontwikkeld als derde mogelijkheid naast DigiD en eHerkenning om in te loggen in andere EU-lidstaten. De EDI-wallet moet een privacyvriendelijk alternatief bieden dat onder Europees toezicht staat, waardoor de afhankelijkheid van dergelijke bedrijven vermindert en de marktmacht van deze bedrijven niet verder toeneemt.
Hoe staat het met de ontwikkeling van EDI-wallets?
De Raad van de Europese Unie ging in maart van dit jaar formeel akkoord met een herziening van de eIDAS-verordening die sinds 20 mei van kracht is. Deze herziening voorziet in een Europees raamwerk voor het gebruik van nationaal erkende EDI-wallets binnen Europa. Iedere lidstaat moet in 2026 minimaal 1 goedgekeurde EDI-wallet beschikbaar hebben voor zijn burgers. Andere lidstaten moeten deze wallet dan accepteren.
Het Programma EDI-stelsel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt aan een opensource proefversie van een Nederlandse wallet. Een eerste werkende versie is inmiddels beschikbaar. Daarnaast zijn er initiatieven van non-profitorganisaties en private bedrijven. Een voorbeeld van een non-profitinitiatief is de identiteitsapp Yivi (voorheen IRMA), ontwikkeld door de Stichting Internet Domeinregistratie Nederland (SIDN) en de Stichting Privacy by Design. Een voorbeeld van een privaat initiatief is de eWallet van KPN, die voldoet aan de eIDAS 2.0-normen.
Wat betekent de ontwikkeling van EDI-wallets voor dienstverleners?
Zodra EDI-wallets zijn toegelaten tot het stelsel, zijn veel dienstverleners verplicht deze wallets voor authenticatie te accepteren. Dit geldt zowel voor Nederlandse EDI-wallets als voor toegelaten wallets uit andere EU-lidstaten. Deze acceptatieplicht geldt in ieder geval op alle plekken waar nu met DigiD kan worden ingelogd.
Daarnaast spelen dienstverleners zoals we al hebben gezien een rol als ‘issuer’. Ze moeten ervoor zorgen dat data uit betrouwbare bronnen beschikbaar worden gesteld voor EDI-wallets. Ook moeten ze nadenken over hoe ze de gebruikerservaring van hun dienstverlening verbeteren. Ze moeten diensten ontwerpen die gemakkelijk te gebruiken zijn met de wallet en die de acceptatie door de eindgebruikers vergemakkelijken.
Hoe kunnen overheidsorganisaties zich voorbereiden?
De verplichtingen rondom EDI-wallets hebben aanzienlijke gevolgen voor overheidsorganisaties. Ze moeten hun systemen mogelijk aanpassen om compatibel te zijn met EDI-wallets en nieuwe interfaces en API’s implementeren voor gegevensuitwisseling. Het is bovendien belangrijk om robuuste beveiligingsmaatregelen te treffen om de privacy van gebruikers te beschermen, conform de AVG.
Begin tijdig met de voorbereidingen door te onderzoeken hoe wetswijzigingen en ontwikkelingen rondom EDI de eigen operaties beïnvloeden. Veel nuttige informatie over EDI-wallets is te vinden op platforms zoals edi.pleio.nl. Daarnaast is het verstandig om gebruik te maken van de kennis van een ervaren partner.
“KPN heeft een bewezen track record op het gebied van digitale identiteiten", zegt Michiel Hogenboom, VP Public a.i. en Public Critical bij KPN. "We zijn een erkend eIDAS- en eHerkenningsmakelaar en als Trust Service Provider hebben we al meer dan 30.000 PKIoverheid-certificaten uitgegeven. We blijven investeren in nieuwe technologie en onderzoeken hoe die kan bijdragen aan de ontwikkeling van digitale identiteiten. De ontwikkeling van de KPN eWallet is daar een goed voorbeeld van."
Benieuwd hoe KPN je kan helpen in de voorbereiding op EDI-wallets? Neem dan contact op.
