Vijf jaar geleden is de Europese eIDAS-verordening in werking getreden. De verordening had tot doel om alle EU-burgers toegang te geven tot openbare diensten in de hele EU, met behulp van elektronische identificatiemiddelen, die in hun eigen land zijn uitgegeven. Daarnaast, om het vertrouwen in elektronische transacties op de interne markt te vergroten, door het bieden van standaarden voor veilige en naadloze elektronische interactie tussen burgers, bedrijven en overheden. In de afgelopen maanden is de verordening door de Europese Commissie tegen het licht gehouden en zijn de bevindingen gedeeld. Heeft de verordening de beloofde verbeteringen gebracht en hoe gaan de komende vijf jaar er uit zien?
We hebben bij PKIsigning vooral met eIDAS te maken rondom de betrouwbaarheidsniveaus van elektronische handtekeningen. In het verleden hebben we meerdere stukken gepubliceerd over de verschillen tussen deze niveaus en de juridische noodzaak voor gekwalificeerde persoonlijke certificaten. eIDAS is echter veel breder van opzet dan alleen dit specifieke stuk. In de basis gaat de verordening vooral over elektronische identiteit voor burgers en organisaties binnen de EU. Enerzijds schrijft de verordening voor waar publieke authenticatiediensten aan moeten voldoen en op welk niveau, anderzijds hoe vertrouwensdiensten hier de techniek en middelen voor kunnen leveren. In Nederland is dit vooral terug te vinden in het eHerkenningstelsel en in veel mindere mate in DigiD.
Uit de conclusies die de EC heeft getrokken rondom de effectiviteit van de eIDAS verordening blijkt dan ook, dat met name de adoptie van eIDAS als Europees elektronisch identiteitsstelsel te wensen overlaat. Dit lijkt met name te komen omdat de scope van de verordening te beperkt is geweest. eIDAS heeft namelijk alleen betrekking op publieke authenticatiediensten waar vooral een behoefte bestaat aan een overkoepelend eID stelsel voor zowel publieke als private diensten.
Een ander probleem is, dat eIDAS als verordening technologie-neutraal is ontworpen. Uiteraard is het belangrijk, dat wetgeving in de basis technologie-neutraal is, maar de eisen aan de betrouwbaarheidsniveaus en elektronische handtekeningen zijn hier-en-daar wel heel multi-interpretabel en dat zorgt voor onduidelijkheid in de interne markt. Een goed voorbeeld daarvan zijn de eisen aan de geavanceerde elektronische handtekening (AeS). Afhankelijk aan wie je het vraagt, is de minimale authenticatie van de ondertekenaar op basis van een sms-code, een bank-verificatie of zelfs een persoonlijk (geavanceerd) certificaat. Dit soort onduidelijkheid en het gebrek aan jurisprudentie zorgt ervoor dat organisaties wantrouwend zijn om voor dit niveau te kiezen.
Het is dus tijd voor een update. Op het gebied van de standaarden voldoen enkele aanpassingen, maar voor een Europees eID stelsel is meer nodig. Afgelopen juni kwam dan ook het nieuws naar buiten, dat de Europese Commissie graag een ‘e-Wallet’ wil voor elke Europese burger. In deze digitale portemonnee gebaseerd op blockchain technologie, moet iedereen zijn paspoort, identiteitskaart of rijbewijs digitaal kunnen opslaan om zo online toegang te kunnen krijgen tot publieke en private diensten in de EU. Vertrouwensdiensten kunnen dan ‘attributen’ gaan leveren waarmee een burger kan bewijzen, dat hij of zij aan een bepaalde eis voldoet. Een voorbeeld kan zijn, dat iemand meerderjarig is om alcohol te mogen kopen.
Daarnaast kan deze EUeID gebruikt worden als methode of als middel om digitale handtekeningen te zetten. Op dit moment is er nog een fysieke controle nodig om een persoonlijk gekwalificeerd burgercertificaat te verkrijgen en daarom worden deze, naast de aanzienlijke kostprijs, nauwelijks gebruikt. Een dergelijk Europees eID-stelsel opent eindelijk de weg om zelfs het ondertekenen van akten en andere documenten van de buiten categorie, eenvoudig digitaal te kunnen ondertekenen.
De Europese Commissie heeft de lidstaten gevraagd onderzoek te doen naar de technische haalbaarheid van bovenstaande plannen. Het zal immers blijven gaan om binnen de lidstaten uitgegeven middelen en oplossingen die ook in andere EU-landen geaccepteerd moeten worden. De lidstaten hebben tot september 2022 om met hun aanbevelingen te komen, daarna zal een plan worden gepresenteerd om tot een nieuwe verordening te komen die bovenstaande mogelijk moet gaan maken. Uiteindelijk kunnen zelfs grote internationale bedrijven zoals Google en Facebook gedwongen worden om het Europese eID stelsel in hun producten te integreren. Dat is naast een gemakkelijke en veilige methode om in te kunnen loggen ook een hele belangrijke stap in de goede richting om eigendom te blijven houden over je eigen privégegevens.