Het artikel is gebaseerd op een aflevering van de Data Sharing Podcast:
ID-wallets en EIDAS2.0: De toekomst van identificatie en gegevensuitwisseling
Digitale ID-wallets zijn een opkomend begrip in de wereld van innovatie en digitaal gegevens delen. In dit artikel zoomt Robert Harreman (Founder van Ockto) in op dit onderwerp.
Aan de hand van vijf stellingen schetst Robert een compleet beeld van de huidige stand van zaken rond ID-wallets en werpt een blik op de toekomst.
Hij behandelt onderwerpen als de haalbaarheid van de wallets, hun functie als (niet) opslagplaats van persoonsgegevens, de verplichte acceptatie door bedrijven en instanties, de mogelijke toepassingen en het verwachte aanbod in Nederland.
Stelling 1: Gaan digitale identiteit wallets er echt komen?
Allereerst de vraag of de ID-wallets er daadwerkelijk gaan komen. Robert is hier stellig over: "Ja. Het Europese Parlement heeft de eIDAS 2.0 verordening aangenomen. Deze verordening maakt de introductie van ID-wallets in de Europese Unie mogelijk. Sterker nog, de verordening verplicht lidstaten hun burgers een digitale identiteit aan te bieden die ze via minimaal één ID-wallet kunnen gebruiken.”
Elke lidstaat een eigen digitale identiteit
De indruk bestaat wel eens dat er vanuit Europa één centrale identiteit gaat komen voor alle Europeanen, dat is niet het geval. Vanuit Europa wordt geregeld dat de individuele lidstaten ervoor gaan zorgen dat er een digitale identiteit komt. Daarmee kun je je in heel Europa met je mobiele telefoon identificeren. Online en offline.
De precieze manier waarop de wallets er moeten gaan komen is vastgelegd in het zogenaamde ‘Architecture Reference Framework’ (ARF) en een groot aantal implementing acts. Naar verwachting zullen deze in 2025 afgerond zijn, waarna het aan de individuele lidstaten is om de wallets in te voeren.
Nederlandse ID-wallet
Voor Nederland betekent dit dat de invoering van ID-wallets geregeld zal gaan worden via de ‘tweede tranche van de Wet Digitale Overheid’. Hoewel er nog enkele onzekerheden zijn, bijvoorbeeld over de precieze tijdlijn en de politieke besluitvorming, is de verwachting dat de eerste ID-wallets die aan EIDAS2.0 voldoen in 2027 beschikbaar zullen zijn voor Nederlandse burgers.
Het is belangrijk op te merken dat het gebruik van de wallets vrijwillig zal zijn. Burgers die dat niet willen, kunnen gewoon gebruik blijven maken van traditionele identiteitsbewijzen zoals het paspoort. Daarnaast zal er een keuze zijn tussen een wallet die door de overheid wordt aangeboden en wallets van private aanbieders.
Lees ook: Wanneer komt de Nederlandse ID-wallet en hoe werkt het tot die tijd?
Stelling 2: Wallets zouden geen opslagplaats moeten zijn voor al jouw gegevens
Met een ID-wallet kun je jezelf identificeren, inloggen bij overheden en bedrijven, aantonen dat je ouder bent dan 18 jaar en contracten ondertekenen. Maar het is de bedoeling dat een wallet je ook kan helpen met het delen van persoonsgegevens. Bijvoorbeeld voor de aanvraag van een hypotheek of andere lening, of als je een huis wilt huren.
Je identiteit is dan één van de attributen die je aan moet leveren, maar met een wallet kun je dan ook bijvoorbeeld bank- en inkomensgegevens delen. Of gegevens die bij de DUO, het UWV of de Belastingdienst vastliggen. De tweede stelling gaat dan ook over de functie van ID-wallets en of deze die hele verzameling persoonsgegevens zouden moeten bevatten.
"Er zijn stromingen die zeggen; al die gegevens ga je in jouw wallet inladen. En dan ga je vervolgens vanuit jouw wallet die persoonsgegevens delen. Daar geloven wij niet in."
Robert Harreman, Founder Ockto
Digitale postbodes
Robert is van mening dat de meeste ID-wallets primair gebruikt gaan worden voor identificatie, authenticatie en digitaal ondertekenen. Het in ID-wallets opslaan en delen van een grote verscheidenheid aan persoonsgegevens is minder voor de hand liggend. Hij ziet de wallets meer als een soort 'digitale postbodes' die gegevens op een veilige manier van de bron naar de ontvanger transporteren. Op verzoek en onder regie van de gebruiker. De gegevens zelf worden dan vanuit de officiële bron opgehaald, zoals bij overheidsinstanties of banken, en alleen wanneer ze ook daadwerkelijk nodig zijn.
Deze aanpak heeft verschillende voordelen;
- De gegevens zijn zo altijd actueel, omdat ze rechtstreeks uit de authentieke bron komen. (Een kredietverstrekker wil en mag immers niet op basis van verouderde ind e wallet opgeslagen gegevens beoordelen.);
- de gebruiker hoeft zelf niet allerlei gegevens bij te houden in verschillende wallets;
- vanuit privacy-oogpunt is het beter als gevoelige informatie niet op meer plekken wordt opgeslagen dan strikt noodzakelijk.
Robert: “Wel zal een ID-wallet altijd een aantal basisgegevens bevatten, zoals de identiteit van de gebruiker en een overzicht van welke gegevens wanneer en met wie gedeeld zijn. Maar de inhoudelijke data, zoals financiële of medische gegevens, blijven bij de bron en worden alleen met expliciete toestemming van de gebruiker opgehaald en gedeeld.”
Dit principe, waarbij de gebruiker de regie houdt over zijn eigen gegevens en waarbij data alleen wordt gedeeld wanneer dat nodig is, sluit nauw aan bij de filosofie van 'data minimalisatie' wat een belangrijk uitgangspunt is in de huidige privacywetgeving. Het laat zien hoe ID-wallets kunnen bijdragen aan een zorgvuldige en privacy-vriendelijke omgang met persoonsgegevens in het digitale tijdperk.
De wallet maakt dus het mogelijk om makkelijk en veilig je actuele gegevens te delen met dienstverleners en instanties wanneer die daarnaar vragen.
Lees ook: Kluis of sluis? Ockto's visie op het veilig delen van persoonsgegevens
Stelling 3: Overheden en bedrijven moeten verplicht alle wallets accepteren
Een belangrijk punt van discussie is de verplichte acceptatie van ID-wallets door overheden en bedrijven. Althans, voor een groot deel van de markt.
Iedere EU-lidstaat is verplicht om ten minste één wallet aan te bieden aan haar burgers. Dat betekent dat er in de EU al zeker 27 verschillende wallets zullen zijn.
Daarnaast verwacht Robert dat er, zeker in de beginfase, meerdere private partijen zijn die wallets gaat aanbieden. Hij trekt hierbij een parallel met de invoering van PSD2 en Open Banking, waar ook veel partijen op insprongen. “Op termijn is de verwachting dat er een consolidatie naar een zeer beperkt aantal dominante spelers per land zal plaatsvinden, niet in de laatste plaats omdat er geen goed verdienmodel voor private wallet leveranciers is.”
Overheden en grote bedrijven, zoals banken, verzekeraars en telecombedrijven, worden verplicht om alle Europese wallets te accepteren voor identificatie, authenticatie en digitaal ondertekenen. Ook grote tech-platformen zoals Facebook en Apple zullen hiertoe verplicht worden.
Faciliterende partijen
De verplichting tot het accepteren van wallets zal een behoorlijke uitdaging zijn voor de betrokken organisaties. Zij zullen hun systemen en processen moeten aanpassen om tientallen verschillende wallets aan te kunnen. Echter zullen de wallets werken volgens bepaalde standaarden, wat de implementatie zal vereenvoudigen. Ook zullen er faciliterende partijen, zoals Ockto, zijn die organisaties ondersteunen bij het accepteren van de verschillende wallets.
Ondanks deze kanttekeningen is Robert duidelijk: “Voor een grote groep organisaties zal de acceptatie van ID-wallets een verplichting worden. Dit zal een aanzienlijke impact hebben op hun bedrijfsvoering en de manier waarop ze omgaan met identiteits- en datamanagement.”
Lees ook: Europese Digitale Identiteit – waar doet jouw organisatie nu goed aan?
Kritische vragen
Robert benadrukt dat we tegelijkertijd uit moet kijken dat er straks niet te pas en te onpas overal om identificatie gevraagd wordt. “Juist omdat het zo makkelijk is. Het is belangrijk dat daar goed naar gekeken wordt. En dat de politici daar ook, terecht, kritische vragen over stellen.”
"Wanneer je moet aantonen dat je 18+ bent, hoeft een pakketbezorger niet te weten wat je geboortedatum is. Nu gebeurt dat vaak nog wel."
Robert Harreman, Founder Ockto
“Gelukkig is daar ook al wetgeving voor, de AVG, die zorgt dat er niet meer dan de strikt noodzakelijke gegevens wordt opgevraagd. Wanneer je bijvoorbeeld moet aantonen dat je 18+ bent, hoeft een pakketbezorger niet te weten wat je geboortedatum is. Nu gebeurt dat vaak nog wel. Dat wordt in de toekomst met de ID-wallets een stuk makkelijker.”
Een ander punt waar de politiek terecht kritisch op is, aldus Robert, is of dit niet-digitale burgers niet gaat uitsluiten. “Overheden en organisaties worden verplicht de digitale wallets te accepteren, maar de ouderwetse papieren manier moeten ook nog steeds kunnen. En dat is dus ook een interessante discussie waar de komende jaren veel meer over gepraat gaat worden. Dat weet ik zeker.”
Stelling 4: Over drie jaar kun je een woning huren met alleen de gegevens uit je wallet
Dan over naar een concreet gebruiksscenario voor ID-wallets: het huren van een woning. Kun je over drie jaar een huurwoning krijgen, puur op basis van de gegevens die je via je digitale wallet distribueert. Roberts antwoord is resoluut: "Ja. En sterker nog, in een wat andere vorm kan en gebeurt dat nu al."
Ockto biedt nu al oplossingen waarmee personen op een veilige manier de persoonsgegevens met verhuurders kunnen delen die nodig zijn om als huurder geaccepteerd te worden. Denk hierbij aan identiteitsgegevens, informatie over inkomen en schulden en inzichten uit banktransacties, precies de informatie die nodig is om huurders te screenen.
eIDAS 2.0 verordening zorgt voor standaardisering
Met de komst van de eIDAS 2.0 verordening en ID-wallets zal dit proces meer gestandaardiseerd en geformaliseerd worden volgens een Europese standaard. De onderliggende behoefte en functionaliteit, namelijk het veilig en eenvoudig delen van gegevens tussen huurder en verhuurder, is nu al realiteit.
Het digitaal aanleveren van gegevens heeft grote voordelen voor alle betrokkenen. Voor huurders betekent het een sneller en gemakkelijker proces, zonder de noodzaak om allerlei documenten fysiek aan te leveren. Voor verhuurders betekent het een reductie van administratieve lasten en een vermindering van het risico op fraude, omdat de herkomst van de gegevens gegarandeerd is.
Stelling 5: Nederland zal in eerste instantie tientallen wallets hebben
De laatste stelling van de podcast gaat in op het te verwachten aantal ID-wallets in Nederland. Robert verwacht dat er in eerste instantie meerdere partijen zullen zijn die een ID-wallet aanbieden op de Nederlandse markt, maar zeker geen tientallen.
Een belangrijke speler hierin zal uiteraard de Nederlandse overheid zijn. Robert verwijst naar de 'NL Wallet', een project waar de overheid momenteel hard aan werkt. “Deze overheids-wallet zal zich richten op basale identificatiediensten en zal breed inzetbaar zijn binnen de publieke sector. Het zou logisch zijn om deze wallet uiteindelijk te integreren in de reeds bestaande DigiD-app, die al door een groot deel van de Nederlandse bevolking wordt gebruikt om in te loggen bij overheidsdiensten.”
"De overheid zal een wallet hebben voor simpele identificatiediensten. En er zullen private wallets zijn, die veel breder gebruikt gaan worden"
Robert Harreman, Founder Ockto
Daarnaast voorziet Robert de opkomst van een aantal private wallets. Hij verwacht dat er in het begin meerdere partijen zullen zijn die in deze nieuwe markt willen stappen, alhoewel veel partijen ook afgeschrikt zullen worden door de toelatingseisen, regulering en het beperkte verdienmodel.
Deze private wallets zullen naar verwachting een bredere functionaliteit bieden dan de overheids-wallet. Ze zullen een rol spelen in een breed scala aan sectoren en processen, van het afsluiten van een verzekering tot het boeken van een reis.
Op termijn zal er waarschijnlijk een consolidatie plaatsvinden naar een kleiner aantal dominante spelers die wallet diensten bieden, mogelijk twee of drie partijen die een substantieel marktaandeel veroveren. Ook zal er in Europa een consolidatie plaats gaan vinden naar grote wallet leveranciers, die bedrijven en consumenten bedienen in alle landen van de Europese Unie.
Data in handen van 'Big Tech'?!
Groot vraagteken in deze ontwikkeling is de rol van de grote Amerikaanse tech-bedrijven, de 'Big Tech'. Robert uit zijn zorg dat partijen als Apple en Google met hun enorme gebruikersbestand en technologische slagkracht de Europese markt voor ID-wallets zouden kunnen gaan domineren.
“Wij bespreken ook met de overheid en het Nederlandse bedrijfsleven dat ze wel goed in de gaten moeten houden wat hier nou gebeurt. Zorg dat je het niet te makkelijk maakt voor niet-Europese bedrijven om toegelaten te worden tot dit stelsel, waardoor ons hele identificatie- en datadeelstuk straks in buitenlandse handen komt.”
Hij benadrukt dat dit ook niet de wens is van de Europese Commissie en dat er maatregelen genomen moeten worden om de Europese soevereiniteit op dit vlak te beschermen.
Samenvattend schetst Robert een toekomstbeeld waarin de Nederlandse consument en bedrijven de keuze zullen hebben uit een palet aan ID-wallets, aangeboden door zowel publieke als private partijen. De precieze marktverhoudingen zijn nog ongewis, maar dat digitaal identificeren en digitaal datadelen net zo makkelijk en veel gebruikt gaan worden als bijvoorbeeld online betalen, dat staat voor Robert als een paal boven water.
Lees ook: Alles wat je over de Europese Digitale Identiteit moet weten
Over Robert Harreman
Directeur Ockto
