25-10-2024

De impact van de herziene eIDAS verordening

eIDAS staat voor ‘Electronic Identification And Trust Services’. Met de eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken voor grensoverschrijdende transacties en het gebruik van vertrouwensdiensten. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende identificatiemiddelen. In dat kader is het inmiddels mogelijk om met een Nederlandse identificatiemiddel zoals DigiD of eHerkenning in te loggen bij veel buitenlandse overheidsorganisaties en vice versa.

eIDAS 2.0

Er is inmiddels een herziene versie van de eIDAS verordening, waarin een aantal fundamentele veranderingen zitten. De belangrijkste is de introductie van Europese digitale identiteits wallets waarmee burgers en organisaties gebruik kunnen maken van digitale diensten. De wallet kan gebruikt worden als een identificatiemiddel, voor machtigen en vertegenwoordigen, voor elektronisch ondertekenen en als een middel voor het veilig delen van gegevens. Het maakt gebruikt van verifieerbare verklaringen om bewijzen te leveren aan vertrouwende partijen. Gebruikers kunnen zelf verifieerbare verklaringen ophalen en bepalen zelf aan wie ze deze verklaringen verstrekken. Hiermee wordt het voor burgers en organisaties mogelijk om meer zelf in controle te komen van de gegevens die ze delen met dienstverleners. Het sluit daarmee voor een belangrijk deel aan bij de visie Self Sovereign Identity, die stelt dat gebruikers zelf in controle zouden moeten zijn over hun identiteitsgegevens. In tegenstelling tot de SSI visie wordt daarbij vooral gebruik gemaakt van door de overheid uitgegeven identiteitsgegevens die ook in andere Europese landen kunnen worden gebruikt. De verordening gaat ervanuit dat elke lidstaat een of meerdere digitale identity wallets erkent en deze beschikbaar stelt aan haar burgers en bedrijven. De lidstaat voorziet de digitale identity wallet(s) van identiteitsgegevens waarmee de persoon zichzelf kan identificeren en toegang kan krijgen tot zowel publieke als private diensten.

Vertrouwensdiensten

Om vertrouwen te creëren tussen partijen zijn er vertrouwensdiensten nodig die hierin kunnen ondersteunen. De eIDAS verordening beschrijft een aantal van dit soort vertrouwensdiensten. Het gaat onder meer om diensten voor het zetten van elektronische handtekeningen (door mensen), het elektronisch verzegelen van gegevens (door een organisatie), het creëren van elektronische verifieerbare verklaringen, het creëren van elektronische tijdstempels en het beschermen en bewijzen van elektronische uitwisseling van gegevens. Deze diensten worden aangeboden of ondersteund door leveranciers in de markt en zijn voor organisaties inzetbaar voor het ondersteunen van het verstrekken van toegang en het uitwisselen van gegevens. Een deel van deze vertrouwensdiensten zijn nieuw, zoals de dienst voor het creëren van elektronische verifieerbare verklaringen. Deze dienst is nodig voor het kunnen verstrekken van verklaringen die gebruikt kunnen worden in een EDI wallet.

Impact op organisaties

Organisaties moeten er rekening mee houden dat er waarschijnlijk vanaf 2026 een EDI wallet zal zijn. Zij moeten nadenken over welke gegevens zij op dat moment als verifieerbare verklaringen moeten kunnen verstrekken of moeten kunnen ontvangen. Vanuit Europa zijn hiervoor hele specifieke afspraken en standaarden beschikbaar die zullen moeten worden gebruikt. Voor het creëren van verklaringen kan worden gebouwd op vertrouwensdiensten die door gekwalificeerde partijen worden geboden. Een belangrijk aandachtspunt daarbij is dat de specificaties op dit moment nog niet helemaal duidelijk zijn. Er volgen nog een aantal uitvoeringshandelingen (richtlijnen) die deze duidelijkheid moeten gaan bieden.

Een ander aandachtspunt is dat deze plicht voor het verstrekken van gegevens komt bovenop andere verplichtingen waar overheidsorganisaties mee te maken hebben. Zo zullen er bijvoorbeeld ook bewijzen moeten verstrekt aan het Once Only Technical System (OOTS) dat in het kader van de Single Digital Gateway verordening wordt ingericht. Deze legt meer de nadruk op informatieverstrekking en het grensoverschrijdend aanbieden van procedures, maar leidt dus voor een deel tot een additionele verstrekking voor soortgelijke gegevens als voor de EDI wallet. Daarnaast wordt er in sectoren gewerkt aan allerlei data spaces waarmee allerlei moeten worden gedeeld. Dit alles zorgt voor allerlei extra lasten voor gegevensuitwisseling.

Mijn rol

Vanuit ArchiXL ondersteun ik de ontwikkeling van landelijke domeinarchitecturen op het gebied van gegevensuitwisseling en toegang. Dat doe ik vanuit bureau MIDO van het ministerie van BZK, samen met architecten van allerlei overheidsorganisaties. Er is inmiddels een vastgestelde versie van de domeinarchitectuur gegevensuitwisseling beschikbaar en je kunt ook meelezen met de conceptversie van de domeinarchitectuur toegang. Ik denk ook mee over mogelijke synergie tussen de EDI wallet, het OOTS en andere vormen van gegevensverstrekking.