Europese Digitale Identiteit (EDI)
Alles wat je over de Europese Digitale Identiteit moet weten
Je hebt er wellicht al het nodige over gehoord: de Europese Digitale Identiteit is in ontwikkeling. Op verschillende plekken in Europa wordt gewerkt aan een digitale identiteit waar alle EU-burgers en ondernemingen in de EU gebruik van kunnen maken. Langzaam maar zeker wordt er steeds meer duidelijk.
Maar wat is zo’n Europese Digitale Identiteit precies? Wat heeft een ID-wallet daarmee te maken? Welke gevolgen heeft die ontwikkeling voor jouw organisatie? Wij geven je hieronder antwoord op alle vragen rondom deze onderwerpen.
Wat is de Europese Digitale Identiteit (EDI)?
Onder de noemer Europese Digitale Identiteit (EDI) komt de EU met een nieuwe digitale identiteit voor personen. Het wordt een gemeenschappelijk, interoperabel systeem waarmee Europeanen zich zowel fysiek als online kunnen identificeren. Het doel is om Europese burgers een veilige en makkelijke manier te bieden om zich te identificeren met hun mobiele telefoon, persoonsgegevens te delen en om verschillende diensten in de EU te kunnen gebruiken. Bescherming van persoonlijke gegevens en privacy zijn belangrijke uitgangspunten bij de opzet van de Europese Digitale Identiteit.
De digitale Europese identiteit wordt gezien als een belangrijke stap richting het opbouwen van een digitale interne markt in de EU. De EDI moet een boost geven aan de digitale economie.
De afgelopen tijd heeft de EU-regelgeving ontwikkeld voor deze EDI. Het is de bedoeling dat elke burger straks zijn EDI kan gebruiken via een app. Die app wordt een Europese ID-wallet (ook wel ID-wallet) genoemd.
Waarom komt er een Europese Digitale Identiteit?
De EDI komt er dus om het voor Europeanen veiliger en handiger te maken om zich fysiek en online te identificeren en gebruik te maken van online-diensten. Op allerlei plekken wordt burgers gevraagd om zich te identificeren en om persoonlijke informatie te delen. Maar soms delen zij meer gegevens dan nodig.
Daarnaast is er steeds vaker sprake van online fraude of van het gebruik van een gestolen identiteit. De EDI moet dit verhelpen. Het idee is dat burgers zich hiermee op een veilige manier kunnen identificeren en er persoonsgegevens mee kunnen delen.
Een andere reden voor de komst van de EDI is dat burgers op dit moment een digitaal identiteitsbewijs niet in elk ander EU-land kunnen gebruiken.
Dat kan vervelend zijn als ze bijvoorbeeld in een ander land zichzelf moeten identificeren of moet legitimeren. Denk aan het huren van een auto of het bewijzen van je leeftijd. Hiervoor kunnen burgers straks in alle EU-landen de EDI gebruiken.
Kortom: het idee achter de EDI is dat de burger volledige controle heeft over welke gegevens hij met organisaties deelt en hoe hij dat doet.
Ook krijgt iemands digitale identiteit een stempel van echtheid voor extra zekerheid.
Wat is de Europese ID-wallet?
In een Europese ID-wallet is iemands Person Identification Data (PID) opgenomen: de gegevens die samen iemands identiteit vormen. De ID-wallet is daarmee een digitaal paspoort dat een burger via zijn mobiele telefoon kan gebruiken.
De Europese ID-wallet is daarnaast een soort digitale portemonnee waarin een burger belangrijke persoonsgegevens veilig op zijn telefoon kan oplsaan en waarmee hij persoonlijke gegevens uit aangesloten bronnen (Issuers) kan ophalen en delen met aangesloten partijen (Relying Parties).
Waarvoor gebruik je een ID-wallet?
De verwachting is dat burgers hier in elk geval het volgende mee kunnen doen:
- online en offline bewijzen dat je bent wie je zegt te zijn (identificeren);
- online inloggen bij publieke en private services (authentiseren);
- belangrijke persoonsgegevens delen met organisaties voor wie die gegevens belangrijk zijn;
- legitimeren dat iemand bepaalde rechten heeft, zoals het recht om alcohol te kopen (als diegene 18+ is), het recht om hier te studeren of de bevoegdheid om auto te rijden.
In een later stadium zijn er nog veel meer toepassingen denkbaar voor zo’n EDI.
Denk aan:
- een adreswijziging doorgeven;
- officiële documenten, zoals een geboorteakte of doktersverklaring, aanvragen;
- belastingaangifte doen;
- een bankrekening openen;
- op een Europese universiteit inschrijven;
- een verzekeringsaanvraag verifiëren;
- bewijzen dat iemand in een bepaalde leeftijdsgroep (18+, 65+, etc.) valt;
- een auto huren (ook in het buitenland) met een digitaal rijbewijs;
- een auto leasen;
- authentiseren op bijvoorbeeld een datingsite;
- een lening aanvragen bij de bank;
- inloggen bij een e-commerce-platform;
- inchecken in hotels.
Wordt de Europese Digitale Identiteit verplicht?
Nee, EU-burgers worden niet verplicht om een Europese Digitale Identiteit aan te maken. Elke burger en elke organisatie mag zelf beslissen om hier wel of niet aan deel te nemen.
Overigens moeten organisaties wel aan een aantal voorwaarden voldoen om gegevens uit de Europese ID-wallet te mogen ophalen. Zo moet je als organisatie kunnen aantonen dat je persoonsgegevens die je opvraagt bij consumenten daadwerkelijk nodig hebt (AVG-plicht) en moet je wellicht ook bewijzen dat je als organisatie in staat bent om deze gegevens veilig te bewaren.
Welke eisen worden gesteld aan ID-wallets?
De exacte eisen zijn nog niet bekend, omdat de ontwikkelingen nog volop gaande zijn. Als belangrijke stap is in februari 2023 het EUDI Architecture and Reference Framework (ARF) gepubliceerd, waarin diverse eisen staan waaraan wallet-providers moeten voldoen.
Inmiddels wordt gewerkt aan een nieuwere versie van dit document. Via een aantal ”large scale pilots” worden onderdelen van de ID-wallet ontwikkeld en getoetst. De lessen die daaruit volgen, verwerken de ontwikkelaars in het ARF. Ook komen er best-practice softwarecomponenten die als open source componenten zijn in te zetten.
Naast de technische eisen, is ook de organisatorische kant van het EDI-stelsel volop in ontwikkeling. Daaruit zullen ook diverse verplichtingen voortkomen waar organisaties die met een EDI en ID-wallet werken zich aan moeten houden.
Gaan overheidsbronnen gegevens direct beschikbaar stellen?
De overheid gaat services ontwikkelen waarmee gegevens direct vanuit een ID-wallet beschikbaar te stellen zijn. Zogenaamde "Relying parties" kunnen hierop aansluiten om zo deze gegevens na goedkeuring van een individu via een ID-wallet te verkrijgen.
Er komt regelgeving voor Relying parties, maar het is nog onduidelijk hoe die partijen gereguleerd worden. Voor veel organisaties zal het niet interessant zijn om zelf Relying party te worden. Behalve dat daaraan flink eisen gesteld gaan worden door de overheid, moet je die data ook nog kunnen combineren en gebruiksklaar kunnen maken voor interne processen.
Het ligt voor de hand dat gespecialiseerde bedrijven als Relying Party gaan optreden en de data klaarmaken voor gebruik door data-operators of data-tussenpersonen.
Ockto is zo’n data-operator en zal ook in het nieuwe stelsel met het Ockto Data Model één duidelijke structuur bieden waarin je persoonlijke gegevens kunt afnemen. Wat dat betreft verwachten we dat er voor onze klanten weinig verandert aan onze huidige werkwijze.
Aanbod van gegevens via de ID-wallet
ID-Wallets kunnen op termijn gaan aansluiten op APIs van de overheid waarlangs een burger zijn persoonsgegevens in de wallet kan inladen en daarna kan delen.
We verwachten dat het ontwikkelen van deze overheid API’s een langdurig traject wordt. Ook zullen voorlopig niet alle persoonsgegevens die noodzakelijk zijn voor een volledig digitale onboarding beschikbaar zijn. Wellicht komt die volledige set er zelfs nooit.
Vanuit Ockto werken wij aan een oplossing waarbij alle benodigde persoonsgegevens door de burger op te halen en door te geven zijn. Voor benodigde persoonsgegevens die (nog) niet in het EDI-ecosysteem beschikbaar zijn, blijven wij andere manieren van werken ondersteunen.
Welke ontwikkelingen verwachten we de komende jaren?
Er komt met de introductie van de Europese Digitale Identiteit en de wallet een nieuwe vorm van informatie delen op gang. Eerder was het zo dat burgers een flinke hoeveelheid persoonsgegevens deelden om iets te bewijzen. Straks gaat dat anders in zijn werk.
Claims delen in plaats van gegevens
Onze verwachting is dat verificatie in de toekomst in sommige gevallen niet meer op basis van losse persoonsgegevens gebeurt, maar op basis van de uitkomst daarvan. Dit noem je een “claim”. Een voorbeeld is het verifiëren van je leeftijd.
Meerdere EDI’s en wallets binnen Europa
De verwachting is dat er in één land meerdere ID-wallets ontstaan. Alle partijen die een ID-wallet ontwikkelen moeten aan dezelfde strenge eisen voldoen. Het doel van de Europese Commissie is dat in 2030 elke EU-burger die dat wil een wallet kan gebruiken en dat 80% dat ook daadwerkelijk doet.
Wat verandert er voor mij als klant van Ockto?
De ontwikkeling van de Europese Digitale Identiteit en wallet staan nu nog in de kinderschoenen. Om dus een kort antwoord op de vraag te geven: voorlopig niets. Zodra er veranderingen op stapel staan, zullen wij onze klanten zoveel mogelijk werk uit handen nemen en hen proactief informeren.
In principe leveren wij al gegevens binnen de filosofie van de Europese ID-wallet: we stellen Ockto in overleg met onze klanten zo in dat consumenten alleen die gegevens delen die absoluut noodzakelijk zijn.
Ockto is daarmee in feite een data sluis: we slaan geen gegevens van klanten op, maar laten de burger in real time brondata ophalen en sluizen die volledig beveiligd door naar de instantie met wie de burger de gegevens wil delen. Zo zijn we al veel bezig met dataminimalisatie en de veiligheid van persoonsgegevens. En dat blijven we doen.
Sluis of kluis?
Met de komst van de Europese ID-wallets lijkt een 'kluis' de trend te gaan worden. Al je persoonsgegevens in een veilige kluis op je eigen telefoon onder eigen beheer. Dat klinkt veilig en biedt jou als eigenaar van de persoonsgegevens de volledige controle over waar deze gegevens worden gebruikt.
Toch bekijken we bij Ockto dit vraagstuk wat genuanceerder.
In dit blog gaan we in op de verschillen tussen 'sluis' en 'kluis', en welke afweging wij maken als het gaat om het opslaan en delen van persoonsgegevens.
Wordt Ockto een ID-wallet?
Als Ockto spelen we uiteraard in op deze ontwikkelingen. Met de komst van OcktoID hebben we al totaaloplossing geïntroduceerd voor online identificatie en verificatie.
Voor ons is het een logische vervolgstap om uit te groeien naar een volwaardige ID-wallet waarmee een persoon zich kan identificeren en alle persoonlijke gegevens kan verstrekken die nodig zijn voor een digitale onboarding.
Ook het digitaal ondertekenen van overeenkomsten hoort daar bij. Zo kunnen we onze missie ‘volledige digitale onboarding met één platform’ nog meer werkelijkheid maken.
Ockto, EDI en de Europese ID-wallet
Vanzelfsprekend blijven we met Ockto vooroplopen. Door proactief deel te nemen aan werkgroepen in Nederlands en Europees verband en door ons te verdiepen in alle ontwikkelingen, zorgen we ervoor dat we ook deze nieuwe EDI-ontwikkelingen bijbenen en aan alle regelgeving voldoen.
Het helpt dat Ockto al jaren vooroploopt in dit domein en zich dagelijks bezighoudt met AVG-proof en veilig data ophalen, samenvoegen en delen.
We blijven ervoor zorgen dat onze klanten de benodigde gegevens vertrouwd en eenvoudig via Ockto kunnen laten aanleveren, op het hoogst mogelijke beveiligingsniveau.
Kortom: met Ockto kies je voor een partner die meegroeit met de ontwikkelingen rondom de Europese Digitale Identiteit en ID-wallets.
Ik gebruik nog geen brondata. Is het slim om nu in te stappen?
Absoluut! Werken met brondata is een veel efficiëntere manier om gegevens te verzamelen en te verifiëren dan werken met losse documenten. Het scheelt je veel tijd, biedt extra veiligheid, garandeert je dat je aan de privacywetgeving voldoet en vergroot de klanttevredenheid.
De ontwikkeling van de Europese Digitale Identiteit laat opnieuw zien dat digitalisering de toekomst is. Door nu in te stappen bij Ockto weet je zeker dat je niet achterloopt. Wij zorgen ervoor dat jij straks ook op deze nieuwe ontwikkelingen kunt inhaken en ook in het nieuwe landschap geholpen wordt.
Benieuwd waar jij slim aan doet?
Er is nogal wat gaande op het gebied van data delen. Doet jouw organisatie op dit moment al iets met consumenten digitaal data laten delen, maar ben je benieuwd of je aan de wetgeving voldoet of goed gebruik maakt van alle mogelijkheden die er zijn?
Of sta je nog aan het begin hiervan en heb je behoefte aan een ervaren partij die meedenkt over de opties?
Neem contact op voor een eerste kennismaking. We denken graag vrijblijvend met je mee wat voor jou een logische vervolgstap is.