De eIDAS-verordening (Verordening 2024/1183) regelt de Europese digitale identiteit en vertrouwensdiensten in alle lidstaten. Uiterlijk eind 2026 moet elke lidstaat een gecertificeerde Europese digitale portemonnee beschikbaar stellen aan iedereen die erom vraagt. De verordening rust op drie pijlers: de Europese portemonnee voor digitale identiteit (EUDI-wallet), de elektronische vertrouwensdiensten en de elektronische identificatie (eID). Elke pijler legt verplichtingen op aan publieke instanties, waaronder decentrale overheden.
De Europese portemonnee voor digitale identiteit
De EUDI-wallet is een digitale portemonnee die iedere EU-burger en EU-inwoner op vrijwillige basis gratis kan aanvragen bij de eigen lidstaat. Via de portemonnee kunnen gebruikers:
- Persoonsidentificatiegegevens (PID-gegevens) en attributen opslaan en beheren, zoals een nationaal identiteitsbewijs, rijbewijs, diploma’s en zorgpassen. PID-gegevens zijn een minimale set aan persoonsgegevens die een persoons vertegenwoordigt, zoals een BSN nummer.
- Hun identiteit aantonen zonder onnodige gegevens te delen. Om te bewijzen dat iemand ouder is dan 18 jaar, volstaat dat ene kenmerk, zonder de volledige geboortedatum of naam;
- Gekwalificeerde elektronische handtekeningen zetten met dezelfde rechtskracht als een handgeschreven handtekening;
- Inloggen bij overheids- en private diensten met hun nationale digitale identificatie. Deze is in de hele EU erkend.
De portemonnee functioneert op het hoogste betrouwbaarheidsniveau. Dat niveau geldt voor identificatie bij diensten met verwerking van persoonsgegevens of rechtsgevolgen, en vereist de strengste vorm van identiteitsverificatie.
Vertrouwensdiensten
Vertrouwensdiensten ondersteunen de rechtsgeldigheid van online handelingen, zoals het ondertekenen van documenten of het bewijzen van de echtheid van een bericht. De verordening regelt elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische aangetekende bezorging en certificaten voor websiteauthenticatie. Een gekwalificeerde elektronische handtekening is juridisch gelijkgesteld aan een handgeschreven handtekening.
De verordening regelt ook de volgende vertrouwensdiensten:
- Gekwalificeerde elektronische archivering. Lange-termijnbewaring van digitale documenten met behoud van integriteit en bewijskracht.
- Gekwalificeerde elektronische grootboeken. Fraudebestendige registratie van transacties met chronologische volgorde, vergelijkbaar met blockchaintechnologie.
- Gekwalificeerde elektronische attesteringen van attributen. Digitale verklaringen over kenmerken zoals diploma’s, woonplaats of beroepskwalificaties, gekoppeld aan een wallet.
- Gekwalificeerd beheer op afstand van middelen voor elektronische handtekeningen en zegels.
Aan gekwalificeerde aanbieders worden strenge eisen gesteld op het gebied van veiligheid, betrouwbaarheid en grensoverschrijdende interoperabiliteit. De Rijksinspectie Digitale Infrastructuur (RDI) houdt in Nederland toezicht en beheert de Nederlandse vertrouwenslijst. Een dienst die op deze lijst staat, wordt in alle EU-lidstaten erkend.
Elektronische identificatie (eID)
De verordening kent drie betrouwbaarheidsniveaus voor elektronische identificatiemiddelen: laag, substantieel en hoog. Hoe gevoeliger de dienst, hoe strenger de eisen aan de identiteitsverificatie. Voor diensten waarbij persoonsgegevens worden verwerkt of rechtsgevolgen worden vastgelegd, geldt ‘substantieel’ of ‘hoog’ als vereist minimum. Denk aan het aanvragen van een uitkering of het ondertekenen van een overeenkomst. De Europese portemonnee voor digitale identiteit is ontworpen om op het niveau ‘hoog’ te functioneren. Lidstaten notificeren hun nationale eID-stelsels bij de Europese Commissie. Een genotificeerd middel wordt vervolgens in alle lidstaten erkend.
Publieke instanties moeten erkende eID-middelen uit andere lidstaten accepteren voor online diensten op niveau substantieel of hoog. Een Duitse burger die in Nederland een omgevingsvergunning aanvraagt, moet dit met zijn nationale eID kunnen doen. Voor diensten op niveau laag geldt geen acceptatieplicht. De decentrale overheid sluit aan op de eIDAS-infrastructuur via een erkende makelaar binnen het Afsprakenstelsel Elektronische Toegangsdiensten (eTD). De aansluiting is de eigen verantwoordelijkheid van de decentrale overheid.
Wat betekent dit voor decentrale overheden?
De verordening werkt rechtstreeks in alle lidstaten. Gemeenten, provincies en waterschappen zijn als publieke instanties zelf verantwoordelijk voor naleving. De omvang van de verplichtingen verschilt per organisatie en hangt af van het type digitale dienstverlening.
Erkenning van de Europese digitale identiteit
Op grond van de verordening worden decentrale overheden verplicht de Europese digitale identiteit te erkennen. De genoemde middelen, waaronder de EUDI-wallet en de nieuwe vertrouwensdiensten, worden ontsloten en ingebed in de digitale dienstverlening van decentrale overheden.
Niveaubepaling per online dienst
Decentrale overheden bepalen zelf welk betrouwbaarheidsniveau (laag, substantieel of hoog) bij een online dienst hoort. Voor diensten op niveau substantieel of hoog geldt acceptatieplicht voor erkende eID-middelen uit andere lidstaten. Het gaat onder meer om burgerzaken, vergunningen via het Omgevingsloket, vergunningen voor grondwateronttrekking, ontheffingen Wet natuurbescherming, waterschapsbelasting en lozingsvergunningen.
Aansluiting op de eIDAS-infrastructuur
Voor inkomend grensoverschrijdend verkeer geldt aansluiting op de eIDAS-infrastructuur via een erkende makelaar binnen het Afsprakenstelsel Elektronische Toegangsdiensten (eTD). Decentrale overheden sluiten in de praktijk vaak aan via gedeelde voorzieningen, zoals Het Waterschapshuis. De juridische verantwoordelijkheid blijft bij de organisatie zelf.
Vertrouwensdiensten uit andere lidstaten
Een gekwalificeerde elektronische handtekening, zegel, tijdstempel of attestering van attributen uit een andere lidstaat heeft in Nederland dezelfde rechtsgeldigheid als de Nederlandse variant. Decentrale overheden mogen deze documenten niet weigeren op grond van de elektronische vorm. Voor eigen besluiten, beschikkingen en contracten biedt een gekwalificeerd zegel of een gekwalificeerde handtekening de hoogste bewijskracht en grensoverschrijdende erkenning.
Impact van andere wetgeving
De goede werking van de verordening hangt samen met andere Europese digitale wetten. Voor het inloggen op digitale diensten gelden de regels uit de Cyberbeveiligingsverordening en de NIS2-Richtlijn. De verwerking van identiteitsgegevens valt onder de AVG. Het beginsel van dataminimalisatie in de wallet sluit hierop aan. De wallet voldoet daarnaast aan de regels omtrent digitale toegankelijkheid.
Openstaande nationale keuzes
Een aantal keuzes ligt bij het Rijk, waaronder de aanwijzing van decentrale overheden als authentieke bronhouder en de eventuele rol van gemeenten als verstrekker van persoonsidentificatiegegevens via de fysieke balie.
Extra informatie
- Europa Decentraal, dossier Elektronische identiteit. Praktische uitleg van de eIDAS-verplichtingen voor gemeenten, provincies en waterschappen.
- Rijksinspectie Digitale Infrastructuur, Elektronische vertrouwensdiensten. Toezichthouder en beheerder van de Nederlandse vertrouwenslijst.
- Logius. Ondersteunt publieke dienstverleners bij de praktische aansluiting op de eIDAS-infrastructuur en biedt een implementatiehandleiding.
- Digitale Overheid, eIDAS. Centrale informatiepagina van het ministerie van BZK met verwijzing naar de toolkit voor publieke instanties.
- VNG, dossier Digitale identiteit. Toelichting op de gevolgen voor gemeenten, met webinars en een uitvoeringsanalyse.
- Europese Commissie, eIDAS Regulation. Overzicht van uitvoeringshandelingen en het Architecture and Reference Framework (ARF) voor de wallet.