Europese digitale identiteit op komst
Door Tom van Bolhuis
EU-burgers kunnen al jaren een persoonlijk gekwalificeerd certificaat krijgen. Door relatief hoge kosten en een gebrek aan een digitale identiteit (eID) op hoog niveau om een dergelijk certificaat eenvoudig te verkrijgen, is de drempel echter hoog.
Daarnaast is er veel verwarring over bestaande eID-oplossingen, zoals DigiD en eHerkenning en hun toepassingsgebied. In de basis zijn dit identificatie-oplossingen waarmee een gebruiker zichzelf kan authentiseren bij een aangesloten organisatie. In het geval van DigiD mogen dit alleen organisaties met een publieke taak zijn, omdat het BSN gebruikt wordt als uniek identificeerbaar gegeven. Alle overige organisaties vallen dus buiten de boot, waaronder ook ondertekenoplossingen zoals PKIsigning. eHerkenning kan breder ingezet worden, maar heeft net als DigiD nog een ander probleem: het niveau van identificatie is in de meeste gevallen te laag om als basis te kunnen dienen voor het verstrekken van een persoonlijk (gekwalificeerd) certificaat.
Door deze tekortkomingen aan bestaande eID-oplossingen en een gebrek aan betere alternatieven, worden diensten als DigiD en eHerkenning verkeerd ingezet, ook door onze eigen overheid. Een voorbeeld is het digitaal ondertekenen van een aangifte inkomstenbelasting met DigiD bij de belastingdienst. Het niveau van authenticatie met DigiD is op zich voldoende voor een geavanceerde elektronische handtekening. Maar omdat de handtekening niet wordt vastgehecht aan de ondertekende gegevens is er geen sprake van een elektronische handtekening, zoals bedoeld in het Burgerlijk Wetboek (3:15a). Het is in feite niets meer dan een authenticatie plus een akkoordverklaring.
Vrijblijvende wetgeving
Binnen Europa is alle wetgeving op het gebied van elektronische identificatie en elektronische transacties afkomstig uit verordening 910/2014, beter bekend als de eIDAS-verordening. Na een evaluatie van de huidige eIDAS-verordening kwam de Europese Commissie in 2019 tot de conclusie dat deze momenteel te vrijblijvend is en op veel vlakken tekortschiet.
In het definitieve voorstel voor aanpassing van de verordening wordt dit als volgt verwoord: “In de markt ontstaat een nieuwe omgeving waarin de aandacht verschuift van de levering en het gebruik van rigide digitale identiteiten naar de levering van en een vertrouwen op specifieke attributen die met die identiteiten verbonden zijn. Er is een groeiende vraag naar elektronische identiteitsoplossingen die deze functionaliteiten kunnen bieden, waarmee efficie?ntiewinst en een hoog niveau van vertrouwen in de EU, in de particuliere alsook in de publieke sector, worden bewerkstelligd, vanuit de behoefte om gebruikers met een hoge mate van zekerheid te kunnen identificeren en authenticeren.”
“Uit de evaluatie van de eIDAS-verordening is gebleken dat de huidige verordening niet aan deze nieuwe marktbehoefte kan voldoen, vooral vanwege de inherente beperking ervan tot de overheidssector, de beperkte mogelijkheden en de complexiteit voor particuliere aanbieders van onlinediensten om zich op het systeem aan te sluiten, de ontoereikende beschikbaarheid van aangemelde eID-oplossingen in alle lidstaten en het gebrek aan flexibiliteit om uiteenlopende use cases te ondersteunen.
Europese digitale identiteit
Met andere woorden: eIDAS moet worden aangepast. Van een (te) vrijblijvend raamwerk voor losse digitale identiteiten binnen de verschillende lidstaten naar één overkoepelend kader voor een Europese digitale identiteit. Dat is nu het geval met fysieke identiteitsdocumenten. Die digitale identiteit vormt de basis voor elke online identificatie en authenticatie. Waar nodig kan het aangevuld worden met specifieke identiteitsgegevens zoals leeftijd, adresgegevens, beroepskwalificaties of vaccinatiestatus in de vorm van geattesteerde attributen, wat zoveel wil zeggen als: gegevens vanuit een gevalideerde bron.
In de basis is dit precies de oplossing waar de markt al jaren om vraagt. Er zijn alleen beren op de weg: de aanpassing is erg ambitieus qua tijd, invulling en uitvoering. Waar de nieuwe eIDAS-verordening duidelijker stelt hoe “oplossingen” aan de gestelde verplichtingen moeten voldoen, wordt de technische realisatie opnieuw overgelaten aan de interne markt binnen de lidstaten zelf. De app moet in ieder geval als een digitale portemonnee (wallet) op basis van blockchain technologie functioneren op mobiele telefoons. Lidstaten zullen zelf de identiteit leveren en uitvoeringsorganisaties en vertrouwensdiensten de geattesteerde attributen.
Kabinet wil vaart maken
Tijdens de Coronapandemie werd de noodzaak voor een Europese digitale identiteit vanuit overheidsperspectief pijnlijk duidelijk. Er werd miljoenen geïnvesteerd in de ontwikkeling van de Corona melder- en Corona check app vanwege het gebrek aan een bestaande oplossing. Dit is een van de hoofdredenen waarom het kabinet vaart wil maken met de realisatie van een nieuwe app voor een Europese digitale identiteit. Staatsecretaris van Huffelen wil in 2023 een eerste versie af hebben. Wat de specificaties en requirements voor deze eerste versie zijn is onbekend.
Of 2023 gehaald wordt zal niet zozeer afhankelijk zijn van de betrokken marktpartijen, zoals vertrouwensorganisaties en IT-leveranciers. Het is vooral afhankelijk van de uitvoeringsorganisaties zoals de RvIG (Rijkdienst voor identiteitsgegevens), DUO en het Kadaster. Zij zullen als bronhouder van de gegevens in hun registers verantwoordelijk zijn voor het elektronisch attesteren van de attributen die burgers in hun wallet hebben staan. Op dit moment hebben de meeste organisaties de techniek die hiervoor nodig is nog niet in huis.
Ook is nog onvoldoende duidelijk in hoeverre de afhankelijkheid van organisaties als Google en Apple voor problemen gaan zorgen. Aangezien zij binnen hun ecosysteem bepalen hoe alle verschillende elementen op OS-niveau gaan samenwerken. Deze partijen hebben daarnaast hun eigen belangen. Zo is Apple in de VS al begonnen met het “uitgeven” van rijbewijzen en identiteitskaarten in hun eigen wallet app.
Als derde zijn er de morele bezwaren. Een van de eisen in de nieuwe verordening is dat alle spelers op de interne markt binnen de EU de Europese eID moeten ondersteunen. Dus ook Meta (Facebook), Bol.com en Marktplaats. Dit is heel praktisch en veilig voor de gebruikers, maar het mes snijdt aan twee kanten. Aangezien de wallet app alleen getesteerde attributen zal leveren kun je via die route dus niet onder een anonieme identiteit een account aanmaken. Wat let deze bedrijven om alle andere authenticatie-opties gewoon uit te schakelen voor EU-burgers, aangezien het in hun voordeel is om altijd de juiste gegevens te ontvangen?
De noodzaak van een eID op hoog niveau is duidelijk, maar door de complexiteit is de invoering ervan verre van eenvoudig. De Europese Commissie kiest ervoor om een sprong vooruit te maken qua wet- en regelgeving op dit gebied. Dat is misschien ook wel de enige manier om voldoende tractie te creëren. Het zal echter aan de lidstaten zelf liggen of de ambities waargemaakt kunnen worden, of dat we de komende jaren nog gebruik blijven maken van tweefactorauthenticatie om een klant een elektronische handtekening te kunnen laten zetten.
Tom Bolhuis is manager kwaliteit van ondertekenplatform PKIsigning.