Digitale identificatie en de digitale uitwisseling van persoonsgegevens worden steeds belangrijker. Én de markt daarvoor is volop in beweging. Er is namelijk een Europese Digitale Identiteit (EDI) op komst, en dat heeft gevolgen voor ons allemaal.
Hoe kan jouw organisatie slim gebruikmaken van de mogelijkheden die digitale identificatie en de uitwisseling van persoonsgegevens op Europees niveau biedt? Welke ontwikkelingen moet je in de gaten houden nu er een Europese Digitale Identiteit aankomt? Is het verstandig om te wachten tot de EDI er is of kun je beter nu al actie ondernemen?
Paul Janssen, Product Director bij Ockto, geeft antwoord op al die vragen.
Wat speelt er op het gebied van digitale identiteit?
Digitale identificatie is niet alleen de toekomst. Het is nu al de standaard.
Veel organisaties hebben voor hun dienstverlening een groot aantal gegevens nodig. Het is lastig om al die gegevens als losse documenten op te vragen bij je klant en dat alles ook nog in één keer correct aangeleverd te krijgen en AVG-proof te verwerken. Daarom stappen steeds meer organisaties over op klanten digitaal identificeren én klantgegevens digitaal verzamelen, met brondata.
Daar komt nu een belangrijke ontwikkeling bij. De Europese Unie heeft aangekondigd dat er een Europese Digitale Identiteit en een bijbehorende ID-wallet aankomen.
De Europese Digitale Identiteit
Een Europese Digitale Identiteit (EDI) bestaat uit diverse persoonsgegevens waarmee elke EU-burger zich kan identificeren. Een soort digitaal paspoort dus, dat je kunt laten zien op je telefoon. Daarbij bepaal je zelf welke gegevens je wel en niet met een organisatie deelt.
Het idee is dat consumenten de EDI in alle EU-landen kunnen gebruiken, zich er veilig mee kunnen identificeren én meer zeggenschap hebben over welke gegevens zij delen.
Deze Europese Digitale identiteit gebruik je via een ID-wallet. Dat is een soort digitale portemonnee waarin onder andere je Europese Digitale Identiteit is opgeslagen. Dit is een app waarin je dus allerlei persoonsgegevens bij de hand hebt en zelf kunt bepalen welke gegevens je ophaalt en deelt. Ook zitten er onderdelen in waarmee je jezelf specifiek kunt legitimeren, zoals je digitale rijbewijs en het bewijs dat je ouder ben dan 18 jaar.
Lees ook: Europese Digitale Identiteit (EDI) | Alles wat je daarover moet weten
De verwachtingen voor de komende jaren
Alle Europese lidstaten moeten tenminste één ID-Wallet ontwikkelen waarin de Europese identiteit kan worden opgeslagen. Zo’n wallet moet opereren binnen de Europese afspraken die hiervoor gelden. Er zijn diverse Europese ‘large scale pilots’ gestart. Ook de Nederlandse overheid is daar al druk mee bezig.
Naast de overheid werken ook diverse commerciële partijen aan de ontwikkeling van zo’n ID-wallet. Behalve dat we weten dat zo’n wallet aan strenge eisen moet voldoen, is nog niet helemaal helder hoe het in de praktijk zal gaan werken.
Hoe stelt zo’n wallet bijvoorbeeld de identiteit vast om Person Identification Data (PID) te verkrijgen? Gaat de overheid een ID-Wallet ontwikkelen en koppelt iedere ID-Wallet vervolgens met de ID-Wallet van de overheid? Zijn er ander manieren om binnen een ID-Wallet aan te tonen wie je bent? Of moet de wallet eerst zelf een erkende Europese Digitale Identiteit worden? Daar moet en zal de komende jaren meer duidelijkheid over komen.
Ook het ontvangen van persoonsgegevens vanuit de ID-wallet gaat in het nieuwe systeem niet vanzelf. Als organisatie moet je een ‘Relying party’ worden. Ook daar zullen ongetwijfeld diverse eisen aan worden gesteld. Het is nog onduidelijk welke regels er gaan gelden en hoe die gehandhaafd worden.
Een waarschijnlijk scenario is dat er specifieke "data operators" komen die een relying party worden. Organisaties kunnen dan via deze relying parties de persoonsgegevens uit de Europese ID-wallets afnemen in plaats van zelf relying party te worden. De data operator kan de gegevens dan ook in specifieke formaten aanbieden en andere toegevoegde waarde rondom de gegevens bieden.
Claims in plaats van persoonsgegevens delen?
Eén van de nieuwe doelen met de EDI-wallets is dat burgers in toekomst de mogelijkheid krijgen om in bepaalde gevallen niet langer hun persoonsgegevens delen, maar alleen de (geverifieerde) uitkomst daarvan. Dit worden "claims" genoemd. Dus: "Ik ben ouder dan 18" in plaats van "Ik ben geboren op 23 april 1974". Deze claims zitten in de standaardarchitectuur van een Europese ID-wallet.
Binnen de financiële dienstverlening zijn er echter maar weinig situaties waarin de voor een doel noodzakelijke persoonsgegevens kunnen worden afgehandeld via een simpele claim. Er zijn veel meer persoonsgegevens nodig om iemand een leaseauto of hypotheek te kunnen verstrekken of om een compleet financieel advies te kunnen geven.
Iedere organisatie bepaalt zelf welke gegevens zij nodig heeft om een product of service te kunnen aanbieden.
Claims als "Kan deze persoon dit krediet betalen?" of "Heb ik voldoende pensioen?" zijn daarom niet op één en dezelfde manier voor de hele markt te beantwoorden.
Alle persoonsgegevens in één keer aanleveren
Organisaties willen hun klanten niet meer met allerlei losse gegevensverzoeken lastigvallen, maar streven ernaar om alle benodigde persoonsgegevens op één moment, of in ieder geval met één ID-wallet, op te vragen. Dit is prettig voor de klant, maar ook voor de organisatie zelf die daardoor flinke kostenbesparingen kan realiseren.
Het is onwaarschijnlijk dat alle persoonsgegevens, die nu al via data-operators zoals Ockto zijn op te vragen, straks ook via de Europese ID-wallets op te vragen zijn. Het lijkt er dan ook op dat er hybride oplossingen komen, waarbij een deel van de persoonsgegevens via de nieuwe weg kunnen worden gedeeld en een deel langs de bestaande wegen.
De architectuur en het referentiekader voor de Europese wallet voor digitale identiteit (ARF) lijkt hier al rekening mee te houden door de wallet van twee typen configuraties te voorzien. Dat zou het mogelijk maken om via één wallet zowel gegevens vanuit de overheid alsook gegevens uit bronnen van buiten het systeem, zoals banktransacties via een PSD2 vergunning, te delen.
Kort samengevat: voor complexere cases blijven voorlopig de bestaande digitale oplossingen, zoals wij die met Ockto bieden, bestaan. Deze zullen wel aan gaan sluiten op de Europese ID-wallet ontwikkelingen. Voor ontvangers van digitale persoonsgegevens verandert er vooralsnog weinig. Data operators zorgen er als het goed is voor dat de bestaande processen blijven werken.
Welke keuze maak jij qua digitaal gegevens delen?
Maak je nu nog geen gebruik van digitaal persoonsgegevens laten aanleveren, maar wil je hier wel mee aan de slag gaan? Maak dan een weloverwogen keuze tussen de opties die er zijn. Let daarbij op het volgende:
- Bepaal welke gegevens je nodig hebt. Veel dienstverleners hebben meerdere soorten gegevens nodig, meer dan de ID-wallet in eerste instantie toelaat. Breng in kaart welke brondata jij precies moet hebben. Kies dus voor een platform waarmee een consument alle benodigde gegevens in één sessie compleet kan aanleveren. Wist je dat Ockto werkt met een groot aantal databronnen en jou dus vrijwel alle soorten gegevens kan leveren?
- Check hoe oud de gegevens mogen zijn. Wat versta jij onder "actueel"? Mag een klant bijvoorbeeld een loonstrook aanleveren die twee maanden oud is? Dan loop je wel het risico dat iemand inmiddels ontslagen is. Als iemand in een wallet zijn eigen documenten kan opslaan om te delen, heb je kans dat deze verouderd zijn. Daarom kiezen we er bij Ockto voor dat klanten hun persoonsgegevens altijd direct bij de bron moeten ophalen. Dan weet je zeker dat de documenten actueel zijn.
- Kies voor een partij die meegaat met jouw databehoeften. Juist omdat digitaal gegevens delen continu in beweging is, wil je zeker weten dat je continu bij bent met actuele trends en nieuwe mogelijkheden. Ga daarom een samenwerking aan met een partij die hierin meebeweegt en vooroploopt in dit domein.
- Check of de partij aan alle wetgeving voldoet en de capaciteit heeft om aan toekomstige eisen te voldoen. Daarbij hebben we het uiteraard over de Algemene Verordening Gegevensbescherming (AVG), maar ook over ISO-certificering, de eisen van de Autoriteit Financiële Markten en andere toezichthouders zoals De Nederlandse Bank.
Wat is er nu al mogelijk op het gebied van digitaal gegevens delen?
Bij Ockto houden we ons vanaf het begin bezig met écht digitaal gegevens delen. Dus geen scans of kopieën van documenten, maar een compleet digitale oplossing waarmee jij alle gegevens in één keer geverifieerd én AVG-proof krijgt aangeleverd.
Honderdduizenden personen deelden al eerder via Ockto eenvoudig en veilig hun persoonsgegevens met onder meer hypotheekaanbieders, financieel adviseurs, woningbouwcorporaties, HR-organisaties en lokale overheden.
Uiteraard volgen we de ontwikkelingen rondom de Europese ID-wallet en de nieuwe Europese digitale identiteit op de voet. Ockto werkt al volgens veel principes van de toekomstige wallet. Ons platform is zo ingericht dat consumenten alleen de absoluut noodzakelijke gegevens delen, alleen nadat ze daar expliciet toestemming voor hebben gegeven.
Dit jaar is er wederom een My Data Operator award toegekend aan Ockto door MyData.org. Het Ockto-platform wordt bovendien continu verder ontwikkeld, ook om op de Europese Digitale Identiteit in te haken.
Wij nemen proactief deel aan nationale en internationale werkgroepen en blijven ons verdiepen in het digitaal delen van persoonsgegevens. Uiteraard nemen we alle ontwikkelingen mee in ons platform, zodat klanten altijd optimaal gebruik kunnen maken van de opties die er zijn.
Ons advies: doe ervaring op met digitaal gegevens delen
Eén ding is zeker: het is geen goed idee om te wachten met het inzetten van digitaal gegevens delen totdat de Europese Digitale Identiteit en ID-wallet volledig in gebruik zijn genomen. Dat gaat nog wel een paar jaar duren
Door nu al ervaring op te doen met het digitaal ophalen en verwerken van data voorkom je dat je door concurrenten wordt ingehaald. Daarbij ben je met de bestaande oplossingen nu al in staat om je onboarding processen volledig te digitaliseren.
Dus stap nu in bij Ockto. Dan weet je zeker dat je zowel nu als in de toekomst optimaal gebruikmaakt van de mogelijkheden om digitaal de identiteit van klanten te verifiëren en gegevens te delen.
Op de hoogte blijven over de Europese Digitale Identiteit?
Wij volgen alle ontwikkelingen rondom de EDI en de ID-wallet nauwkeurig en houden je daar graag van op de hoogte. Via deze site en via onze nieuwsbrief.
Wil jij het laatste nieuws rondom de Europese Digitale Identiteit niet missen? Meld je aan voor onze nieuwsbrief. Dan praten we je steeds bij over nieuwe ontwikkelingen.
