Europees beleid voor elektronische identiteit
Om een gemeenschappelijk kader voor elektronische identificatie in de Europese Unie te waarborgen zijn er afspraken gemaakt. In de eIDAS-verordening hebben de EU-lidstaten afgesproken om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken.
De eIDAS-verordening
De eIDAS-verordening (Verordening (EU) 910/2014) is de basis voor een betrouwbare digitale dienstverlening in de EU. Om een elektronische identiteit veilig en betrouwbaar over de grens te gebruiken zijn er in de eIDAS-verordening eisen gesteld aan elektronische identificatie en authenticatiemiddelen, zoals bijvoorbeeld de elektronische handtekening. Verder is de elektronische identiteit een van de kwesties inzake elektronische identificatie die wordt geregeld in de eIDAS-verordening.
Betrouwbaarheidsniveaus
In de eIDAS verordening zijn drie betrouwbaarheidsniveaus bepaald: laag, substantieel en hoog. Er zijn verschillende betrouwbaarheidsniveaus, omdat de context waar een eID in wordt gebruikt verschilt. Sommige gegevens zijn bijvoorbeeld extra privacygevoelig, zoals financiële en medische gegevens. Het betrouwbaarheidsniveau verschilt dus per soort dienstverlening. Door middel van de betrouwbaarheidsniveaus wordt dan bepaald hoe zeker men is over de identiteit van de gebruiker.
Elk betrouwbaarheidsniveau heeft zijn eigen minimumeisen. Voor de eIDAS betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’ zijn er bijvoorbeeld striktere methoden voor identificatieverificatie nodig dan voor eIDAS ‘laag’. Voorbeelden van identificatiemethodes zijn sms-controles of een eenmalige ID check. In de uitvoeringsverordening 2015/1502 heeft de Commissie de minimumeisen per betrouwbaarheidsniveau vastgelegd. DigiD en eHerkenning hebben hun eigen betrouwbaarheidsniveaus.
Grensoverschrijdend eID gebruik
In de eIDAS-verordening is vastgelegd dat Europese burgers en bedrijven bij alle openbare instanties moeten kunnen inloggen met een door Europa erkend nationaal inlogmiddel. Dit gebeurt op basis van wederzijdse erkenning van elektronische identificatiemiddelen. Een nationaal elektronisch inlogmiddel moet hiervoor wel eerst zijn goedgekeurd door de Europese Commissie. Voor wederzijdse erkenning moet er aan de volgende voorwaarden worden voldaan (artikel 6 lid 1 eIDAS-verordening):
- Het eID is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de lijst van de Commissie;
- Het betrouwbaarheidsniveau van het eID is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor online toegang tot die dienst in de eerste lidstaat;
- De openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ voor de toegang tot die online dienst.
Wanneer het elektronische identificatiemiddel voldoet aan de veiligheidseisen wordt deze opgenomen in een lijst van de Europese Commissie. Dit betekent dat openbare instanties de elektronische inlogmiddelen uit de lijst van de Europese Commissie moeten accepteren. Hier vindt u een overzicht van de erkende Europese eID.
Onder openbare instanties vallen volgens de verordening de staat, regionale of lokale overheden (provincies, gemeenten en waterschappen) en publiekrechtelijke instellingen. Openbare instanties sluiten via een erkende makelaar aan op de eIDAS-infrastructuur. Openbare instanties moeten Europese burgers en bedrijven toegang verlenen voor diensten die worden aangeboden op ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau. Voor diensten die onder betrouwbaarheidsniveau ‘laag’ vallen hoeven openbare instanties geen toegang te verlenen aan Europese burgers en bedrijven. Verder moeten openbare instanties zelf de hoogte van het betrouwbaarheidsniveau voor een online dienst bepalen. De hoogte van een betrouwbaarheidsniveau hangt af van de dienst en de manier hoe dit wordt aangeboden.
Inkomend en uitkomend verkeer
De eIDAS-verordening bestaat uit twee delen, namelijk inkomend en uitgaand verkeer:
- Inkomend verkeer (verplicht): Dit deel omvat de mogelijkheid voor Europese burgers om met hun nationale inlogmiddel in te loggen bij Nederlandse dienstverleners. Dit deel van de verordening is verplicht voor Nederlandse publieke instanties.
- Uitgaand verkeer (niet verplicht): Dit deel houdt in dat Nederlanders met een genotificeerd (door Europa erkend) Nederlands inlogmiddel bij andere Europese dienstverleners in moeten kunnen loggen. Dit deel van de verordening is niet verplicht. Wel mogen dienstverleners hun inlogmiddelen notificeren bij de Europese Commissie. Deze worden dan geschikt om in te loggen bij alle Europese dienstverleners. eHerkenning is inmiddels Europees erkend. Naar verwachting is DigiD voor burgers begin 2022 klaar voor Europees gebruik.
Voorstel verordening voor een Europese digitale identiteit
In juni 2021 heeft de Europese Commissie een nieuw kader voorgesteld voor een Europese digitale identiteit. Het voorstel ziet erop om de eIDAS-verordening te wijzigen. Uit de evaluatie van de eIDAS-verordening bleek namelijk dat het niet bij alle lidstaten goed geregeld is. In de praktijk bestaan er nog belangrijke tekortkomingen. Die zien allereerst op de invoering van de eIDAS-verordening en ten tweede op de introductie in de praktijk. Daarnaast kon met de eIDAS-verordening niet op een toereikende manier op nieuwe marktveranderingen worden gereageerd.
Met de voorgestelde verordening omtrent een Europese digitale identiteit kunnen burgers door middel van een Europese portemonnee gebruik maken van digitale diensten. De Europese portemonnee voor de digitale identiteit zal inzetbaar worden voor verschillende doeleinden. Het dient als een identificatiemiddel en maakt het mogelijk om documenten te leveren waarmee er gebruik kan worden gemaakt van digitale diensten in de gehele Europese Unie. Wat zijn voorbeelden van de toepassing van de Europese portemonnee? Denk aan de toegang tot een bankrekening, de aanvraag van een lening, de indiening van een belastingaangifte, de inschrijving aan een onderwijsinstelling in binnen- of buitenland en talloze andere zaken waarvoor nu papieren identificatiemiddelen gebruikt worden.
De Raad van de EU heeft in december 2022 een gemeenschappelijk standpunt aangenomen over de voorgestelde verordening. Wanneer het Europees Parlement een standpunt hierover heeft aangenomen kan de triloog beginnen.
Nederlands beleid voor elektronische identiteit
Om te kunnen voldoen aan de eIDAS-verordening moet iedere EU-lidstaat een nationaal eIDAS-koppelpunt hebben. Dit maakt toegang tot de digitale dienstverlening van andere EU-lidstaten mogelijk. Het ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) is in Nederland verantwoordelijk voor de eIDAS-infrastructuur.
eIDAS makelaars
In Nederland wordt de eIDAS-infrastructuur gerealiseerd door middel van het gebruik van makelaars binnen het Afsprakenstelsel Elektronische Toegangsdiensten (eTD). Deze makelaars kunnen de toegang van Europese burgers en bedrijven voor openbare instanties gereed maken. Het is de verantwoordelijkheid van de openbare instantie zelf om zich aan te sluiten op de eIDAS-infrastructuur. De aansluiting op en het gebruik van de eIDAS-infrastructuur moet wel via de Europese en nationale privacywetgeving gebeuren.
Wat heeft mijn gemeente, provincie of waterschap met eIDAS te maken?
Alle organisaties met een publieke taak hebben te maken met eIDAS, zo ook gemeenten, provincies en waterschappen. Het verplichte deel van de eIDAS-verordening (inkomend verkeer) is bindend voor decentrale overheden. De decentrale overheden zijn dan ook zelf verantwoordelijk voor de aansluiting op de eIDAS-infrastructuur.
Wat kunnen decentrale overheden doen op het gebied van eIDAS?
- Aansluiten op de eIDAS-infrastructuur: Om aan te sluiten op de eIDAS-infrastructuur moet een decentrale overheid zich aanmelden via een makelaar binnen het eTD.
- Implementeren van eIDAS: Om publieke instanties te ondersteunen bij het implementeren van de eIDAS-verordening heeft het ministerie van BZK een toolkit gepubliceerd. Hiermee kunnen gemeenten, provincies en waterschappen bijvoorbeeld bepalen of de organisatie Europese burgers en bedrijven toegang moet verlenen. Daarnaast heeft Logius een handleiding voor de implementatie van eIDAS ontwikkeld.
- eIDAS betrouwbaarheidsniveau vaststellen: De VNG heeft een overzicht van betrouwbaarheidsniveaus van gemeentelijke dienstverlening opgesteld. Dit helpt gemeenten bij het bepalen van het juiste betrouwbaarheidsniveau per product of dienst. Daarnaast heeft de Rijksoverheid een Handreiking Betrouwbaarheidsniveaus gepubliceerd om decentrale overheden hiermee te ondersteunen.