Al je data in de ID-wallet? "Daar geloven wij niet in"

Het artikel is gebaseerd op een aflevering van de Data Sharing Podcast:

ID-wallets: De toekomst van identificatie en gegevensuitwisseling

Digitale ID-wallets zijn een opkomend begrip in de wereld van innovatie en digitaal gegevens delen. In dit artikel zoomen Hidde Koning (Director Business Development bij Ockto) en Robert Harreman (Founder van Ockto) in op dit onderwerp.

Aan de hand van vijf stellingen schetsen Hidde en Robert een compleet beeld van de huidige stand van zaken rond ID-wallets en werpen een blik op de toekomst.

Ze behandelen onderwerpen als de haalbaarheid van de wallets, hun functie als (niet) opslagplaats van persoonsgegevens, de verplichte acceptatie door bedrijven en instanties, de mogelijke toepassingen en het verwachte aanbod in Nederland.

Stelling 1: Gaan digitale identiteit wallets er echt komen?

Allereerst de vraag of de ID-wallets er daadwerkelijk gaan komen. Robert is hier stellig over: "Ja. Het Europese Parlement heeft de eIDAS 2.0 verordening aangenomen. Deze verordening maakt de introductie van ID-wallets in de Europese Unie mogelijk. Sterker nog, de verordening verplicht lidstaten hun burgers een digitale identiteit aan te bieden die ze via een ID-wallet kunnen gebruiken.”

Elke lidstaat een eigen digitale identiteit

De indruk bestaat wel eens dat er vanuit Europa één centrale identiteit gaat komen voor alle Europeanen, dat is niet het geval. Vanuit Europa wordt geregeld dat de individuele lidstaten ervoor gaan zorgen dat er een digitale identiteit komt. Daarmee kun je je in heel Europa met je mobiele telefoon identificeren. Online en offline.

De precieze manier waarop de wallets er moeten gaan komen wordt vastgelegd in het zogenaamde ‘Architecture Reference Framework’ (ARF) en in nog verder uit te werken implementing acts. Naar verwachting zal dit proces begin 2025 afgerond zijn, waarna het aan de individuele lidstaten is om de wallets in te voeren.

Nederlandse ID-wallet

Voor Nederland betekent dit dat de invoering van ID-wallets geregeld zal gaan worden via de ‘tweede tranche van de Wet Digitale Overheid’. Hoewel er nog enkele onzekerheden zijn, bijvoorbeeld over de precieze tijdlijn en de politieke besluitvorming, is de verwachting dat de wallets eind 2026 of begin 2027 beschikbaar zullen zijn voor Nederlandse burgers.

Het is belangrijk op te merken dat het gebruik van de wallets vrijwillig zal zijn. Burgers die dat niet willen, kunnen gewoon gebruik blijven maken van traditionele identiteitsbewijzen zoals het paspoort. Daarnaast zal er een keuze zijn tussen wallets die door de overheid worden aangeboden en wallets van private aanbieders.

Lees ook: Wanneer komt de Nederlandse ID-wallet en hoe werkt het tot die tijd?

Stelling 2: Wallets zouden geen opslagplaats moeten zijn voor al jouw gegevens

Met een ID-wallet kun je jezelf identificeren, inloggen bij overheden en bedrijven, en contracten ondertekenen. Maar met een wallet kun je ook persoonsgegevens delen. Bijvoorbeeld voor de aanvraag van een hypotheek of andere lening, of als je een huis wilt huren.

Je identiteit is dan één van de dingen die je aan moet leveren, maar met de wallet kun je dan ook bijvoorbeeld bank- en inkomensgegevens delen. Of gegevens die bij de Belastingdienst vastliggen. De tweede stelling gaat dan ook over de functie van ID-wallets en of deze die hele verzameling persoonsgegevens zouden moeten bevatten.

"Er zijn stromingen die zeggen; al die gegevens ga je in jouw wallet inladen. En dan ga je vervolgens vanuit jouw wallet die persoonsgegevens delen. Daar geloven wij niet in."

Robert Harreman, Founder Ockto

Digitale postbodes

Robert is van mening dat dit niet de primaire rol van de wallets zou moeten zijn. Hij ziet de wallets meer als een soort 'digitale postbodes' die gegevens op een veilige manier van de bron naar de ontvanger transporteren. Op verzoek en onder regie van de gebruiker. De gegevens zelf worden dan vanuit de officiële bron opgehaald, zoals bij overheidsinstanties of banken, en alleen wanneer ze ook daadwerkelijk nodig zijn.

Deze aanpak heeft verschillende voordelen;

• De gegevens zo altijd actueel, omdat ze rechtstreeks uit de authentieke bron komen. (Een kredietverstrekker wil en mag immers niet op basis van verouderde gegevens beoordelen.);
• de gebruiker hoeft zelf niet allerlei gegevens bij te houden in verschillende wallets;
• vanuit privacy-oogpunt is het beter als gevoelige informatie niet op meer plekken wordt opgeslagen dan strikt noodzakelijk.

Robert: “Wel zal de wallet waarschijnlijk een aantal basisgegevens bevatten, zoals de identiteit van de gebruiker en een overzicht van welke gegevens wanneer en met wie gedeeld zijn. Maar de inhoudelijke data, zoals financiële of medische gegevens, blijven bij de bron en worden alleen met expliciete toestemming van de gebruiker opgehaald en gedeeld.”

Dit principe, waarbij de gebruiker de regie houdt over zijn eigen gegevens en waarbij data alleen wordt gedeeld wanneer dat nodig is, sluit nauw aan bij de filosofie van 'data minimalisatie' wat een belangrijk uitgangspunt is in de huidige privacywetgeving. Het laat zien hoe ID-wallets kunnen bijdragen aan een zorgvuldige en privacy-vriendelijke omgang met persoonsgegevens in het digitale tijdperk.

De wallet maakt dus het mogelijk om makkelijk en veilig je actuele gegevens te delen met dienstverleners en instanties wanneer die daarnaar vragen.

Lees ook: Kluis of sluis? Ockto's visie op het veilig delen van persoonsgegevens

Stelling 3: Overheden en bedrijven moeten verplicht alle wallets accepteren

Een belangrijk punt van discussie is de verplichte acceptatie van ID-wallets door overheden en bedrijven. Althans, voor een groot deel van de markt.

Iedere EU-lidstaat is verplicht om ten minste één wallet aan te bieden aan haar burgers. Dat betekent dat er in de EU al zeker 27 verschillende wallets zullen zijn.

Daarnaast verwacht Robert dat er, zeker in de beginfase, een groot aantal private partijen zal zijn dat wallets gaat aanbieden. Hij trekt hierbij een parallel met de invoering van PSD2 en Open Banking, waar ook veel partijen op insprongen. “Op termijn is de verwachting dat er een consolidatie naar een kleiner aantal dominante spelers per land zal plaatsvinden, maar de initiële variëteit aan wallets zal aanzienlijk zijn.”

Overheden en grote bedrijven, zoals banken, verzekeraars en telecombedrijven, worden verplicht om al deze wallets te accepteren. Ook grote tech-platformen zoals Facebook en Apple zullen hiertoe verplicht worden. Voor kleinere bedrijven, zoals digitale financiële adviseurs, is dit nog niet helemaal duidelijk. De precieze reikwijdte van de acceptatieplicht zal worden uitgewerkt in de eerdergenoemde 'implementing acts'.

Faciliterende partijen

De verplichting tot het accepteren van wallets zal een behoorlijke uitdaging zijn voor de betrokken organisaties. Zij zullen hun systemen en processen moeten aanpassen om tientallen verschillende wallets te kunnen verwerken. Echter zullen de wallets werken volgens bepaalde standaarden, wat de implementatie moet vereenvoudigen. Ook zullen er faciliterende partijen opstaan, zoals Ockto, die organisaties zullen ondersteunen bij het accepteren van de verschillende wallets.

Ondanks deze kanttekeningen is Robert duidelijk: “Voor een grote groep organisaties zal de acceptatie van ID-wallets een verplichting worden. Dit zal een aanzienlijke impact hebben op hun bedrijfsvoering en de manier waarop ze omgaan met identiteits- en datamanagement.”

Lees ook: Europese Digitale Identiteit – waar doet jouw organisatie nu goed aan?

Stelling 4: Over drie jaar kun je een woning huren met alleen de gegevens uit je wallet

Dan over naar een concreet gebruiksscenario voor ID-wallets: het huren van een woning. Kun je over drie jaar een huurwoning krijgen, puur op basis van de gegevens die je via je digitale wallet distribueert. Roberts antwoord is resoluut: "Ja. En sterker nog, in een wat andere vorm dat kan nu al."

Ockto biedt nu al oplossingen waarmee huurders op een veilige manier hun persoonsgegevens kunnen delen met verhuurders. Dit omvat zaken als identiteitsgegevens, inkomensverklaringen en inzichten uit banktransacties, precies de informatie die nodig is om huurder te screenen.

eIDAS 2.0 verordening zorgt voor standaardisering

Het verschil met de toekomstige situatie is dat dit proces nu nog verloopt via specifieke technische oplossingen van bedrijven zoals Ockto. Met de komst van de eIDAS 2.0 verordening en ID-wallets zal dit proces wat in Nederland al veel wordt gebruikt gestandaardiseerd en geformaliseerd worden op Europees niveau. Maar de onderliggende behoefte en functionaliteit, namelijk het veilig en eenvoudig delen van gegevens tussen huurder en verhuurder, is nu al realiteit.

Het digitaal aanleveren van gegevens heeft grote voordelen voor alle betrokkenen. Voor huurders betekent het een sneller en gemakkelijker proces, zonder de noodzaak om allerlei documenten fysiek aan te leveren. Voor verhuurders betekent het een reductie van administratieve lasten en een vermindering van het risico op fraude, omdat de herkomst van de gegevens gegarandeerd is.

Kritische vragen

Robert benadrukt dat we tegelijkertijd ook uit moet kijken dat er straks niet te pas en te onpas overal om identificatie gaat worden gevraagd. “Juist omdat het zo makkelijk is. Het is belangrijk dat daar goed naar gekeken wordt. En dat de politici daar ook, terecht, kritische vragen over stellen.”

"Wanneer je moet aantonen dat je 18+ bent, hoeft een pakketbezorger niet te weten wat je geboortedatum is. Nu gebeurt dat vaak nog wel."

Robert Harreman, Founder Ockto

“Gelukkig is daar ook al wetgeving voor, de AVG, die zorgt dat er niet meer dan de strikt noodzakelijke gegevens wordt opgevraagd. Wanneer je bijvoorbeeld moet aantonen dat je 18+ bent, hoeft een pakketbezorger niet te weten wat je geboortedatum is. Nu gebeurt dat vaak nog wel. Dat wordt in de toekomst met de ID-wallets een stuk makkelijker.”tran

Een ander punt waar de politiek terecht kritisch op is, aldus Robert, is of dit niet-digitale burgers niet gaat uitsluiten. “Overheden en organisaties worden verplicht de digitale wallets te accepteren, maar de papieren stroom moeten ook nog steeds kunnen. En dat is dus ook een interessante discussie waar de komende jaren veel meer over gepraat gaat worden. Dat weet ik zeker.”

Kortom, hoewel de stelling specifiek gaat over het huren van een woning, illustreert dit voorbeeld een bredere trend. ID-wallets zullen in de nabije toekomst een sleutelrol spelen bij tal van transacties en interacties waarbij het veilig delen van persoonsgegevens cruciaal is.

Stelling 5: Nederland zal in eerste instantie tientallen wallets hebben

De laatste stelling van de podcast gaat in op het te verwachten aantal ID-wallets in Nederland. Robert verwacht dat er in eerste instantie tientallen partijen zullen zijn die wallets aanbieden op de Nederlandse markt.

Een belangrijke speler hierin zal uiteraard de Nederlandse overheid zijn. Robert verwijst naar de 'NL Wallet', een proefproject waar de overheid momenteel aan werkt. “Ik verwacht dat deze wallet uiteindelijk zal worden geïntegreerd in de reeds bestaande DigiD-app, die al door een groot deel van de Nederlandse bevolking wordt gebruikt om in te loggen bij overheidsdiensten. Deze overheids-wallet zal zich waarschijnlijk richten op basale identificatiediensten en zal breed inzetbaar zijn binnen de publieke sector.”

"De overheid zal een wallet hebben voor simpele identificatiediensten. En er zullen private wallets zijn, die veel breder gebruikt gaan worden"

Robert Harreman, Founder Ockto

Daarnaast voorziet Robert de opkomst van een aantal private wallets. Hij verwacht dat er in het begin veel partijen zullen zijn die in deze nieuwe markt willen stappen. Op termijn zal er waarschijnlijk een consolidatie plaatsvinden naar een kleiner aantal dominante spelers, mogelijk twee of drie grote wallets die een substantieel marktaandeel veroveren.

Deze private wallets zullen naar verwachting een bredere functionaliteit bieden dan de overheids-wallet. Ze zullen een rol spelen in een breed scala aan sectoren en use cases, van het afsluiten van een verzekering tot het boeken van een reis.

Data in handen van 'Big Tech'?!

Groot vraagteken in deze ontwikkeling is de rol van de grote tech-bedrijven, de zogenaamde 'Big Tech'. Robert uit zijn zorg dat partijen als Apple en Google met hun enorme gebruikersbestand en technologische slagkracht de Europese markt voor ID-wallets zouden kunnen gaan domineren.

“Wij bespreken ook met de overheid en het Nederlandse bedrijfsleven dat ze wel goed in de gaten moeten houden wat hier nou gebeurt. Zorg dat je hier niet de boot gaat missen en dat ons hele identificatie- en datadeelstuk straks in buitenlandse handen komt.”

Hij benadrukt dat dit ook niet de wens is van de Europese Commissie en dat er maatregelen genomen moeten worden om de Europese soevereiniteit op dit vlak te beschermen.

Samenvattend schetst Robert een toekomstbeeld waarin de Nederlandse consument de keuze zal hebben uit een breed palet aan ID-wallets, aangeboden door zowel publieke als private partijen. De precieze marktverhoudingen zijn nog ongewis, maar dat digitale identiteit een kernonderdeel gaat worden van ons dagelijks leven, dat staat voor Robert als een paal boven water.

Lees ook: Alles wat je over de Europese Digitale Identiteit moet weten