In juni 2021 publiceerde de Europese Commissie een voorstel voor herziening van de bestaande eIDAS-regelgeving. Doel: de beschikbaarheid en adoptie van digitale identiteit vergroten, de steeds dominantere rol van platformen aan banden leggen en aan de verwachtingen van gebruikers tegemoetkomen. Hoewel het voorstel niet definitief is en over de specifieke invulling nog druk wordt gesproken, staan Christian van Ramshorst en Daniël den Boer alvast stil bij de mogelijke gevolgen voor burgers en bedrijven in Europa.
Wat is eIDAS?
eIDAS is de EU-verordening voor elektronische identificatie en trust services voor elektronische transacties in de Europese Unie, die sinds 2014 van kracht is. Deze verordening is in het leven geroepen om veilige en eenvoudig elektronische transacties binnen de Europese Unie te faciliteren. eIDAS wordt gezien als een belangrijke enabler voor de Digital Single Market.
De oorspronkelijke eIDAS schiet tekort
Op dit moment hebben slechts 14 EU-lidstaten – die 59% van de EU-bevolking representeren – hun nationale oplossingen voor digitale identiteit geschikt gemaakt voor gebruik in andere EU-lidstaten via een proces dat ‘notificatie’ wordt genoemd (pdf). Het jaarlijkse aantal grensoverschrijdende authenticaties bedraagt echter slechts enkele duizenden, terwijl het aantal authenticaties binnen de eigen landsgrenzen in de miljoenen loopt. Met andere woorden: het grensoverschrijdend gebruik van nationale oplossingen is tot nu toe beperkt.
Tegelijkertijd is de rol van platformen in online authenticatie de afgelopen jaren substantieel gegroeid. Met de herziening van eIDAS wil de EU het risico verkleinen dat grote online platformen nog dominanter worden, met het risico op lock-in van gebruikers en verlies van controle over data.
De Europese Commissie erkent bovendien dat de huidige eIDAS tekortschiet op het gebied van gebruiksvriendelijkheid. Zo ontbreekt er een gemeenschappelijke user interface, het authenticatieproces is omslachtig en toegestane inlogmiddelen werken niet altijd goed.
Verplichte acceptatie moet gebruik digitale identiteit stimuleren
De introductie van een EU Digital Identity Wallet voor alle EU-burgers is de belangrijkste verandering in het voorstel voor herziening van eIDAS. In tegenstelling tot de huidige situatie onder eIDAS, waarin notificatie van een eID-stelsel door lidstaten gebeurt op vrijwillige basis, zullen alle lidstaten verplicht worden om zo’n EU Digital Identity Wallet gratis aan hun burgers te verstrekken.
Het voorstel omvat niet alleen een maatregel voor het verstrekken van deze EU Wallet, maar ook een maatregel waarmee de verplichte acceptatie wordt uitgebreid van de publieke sector naar private partijen:
Indien private vertrouwende partijen die diensten verlenen krachtens nationaal of Unierecht, sterke gebruikersauthenticatie voor online-identificatie moeten gebruiken, of indien sterke gebruikersauthenticatie vereist is op grond van een contractuele verbintenis, waaronder op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie, aanvaarden private vertrouwende partijen ook het gebruik van European Digital Identity Wallets die overeenkomstig artikel 6 bis zijn afgegeven.
Bron: voorstel nieuw artikel 12b pt. 2 in eIDAS-herziening (pdf).
Daarnaast vermeldt het voorstel dat de zeer grote online platformen – dat zijn de online platformen die elke maand meer dan 45 miljoen actieve gebruikers trekken (10% van de 450 miljoen consumenten in de EU-markt) – verplicht worden om EU Digital Identity Wallets op verzoek van gebruikers te accepteren.
Ook worden deze online platformen – zoals Facebook, YouTube, Twitter, Reddit, maar ook eBay, Amazon of Zalando – ertoe aangezet om alleen die persoonsgegevens op te vragen die noodzakelijk zijn om hun online diensten aan te beiden, zoals een bewijs van leeftijd.
Mogelijke veranderingen bij implementatie digitale identiteiten
Als de bovenstaande onderdelen van het voorstel voor herziening van eIDAS ongewijzigd blijven en de EU haar ambities met de European Digital Identity Wallet verwezenlijkt, dan betekent dit het volgende:
- Alle 27 lidstaten zullen in ieder geval één EU Digital Identity Wallet voor hun burgers beschikbaar moeten maken;
- Door de overheid verstrekte attributen (zoals naam, geboortedatum en unieke identificatiecode) zullen beschikbaar moeten zijn voor deze EU Digital Identity Wallet;
- Verplichte acceptatie zal ertoe leiden dat veel diensten van publieke en private partijen toegankelijk worden met gebruik van deze EU Digital Identity Wallet.
De volledige impact van het voorstel is op dit moment nog niet duidelijk, maar er liggen voor de private sector kansen en uitdagingen. We lichten hierna een aantal belangrijke aandachtspunten toe.
Standaardisatie in EU bepalend voor complexiteit integratie
Elke lidstaat is straks verplicht om EU Digital Identity Wallets te bieden. Dat kunnen zij op drie manieren doen: ze kunnen dat doen door Wallets te verstrekken door de nationale overheid (1), door de private sector (2) of door allebei (3).
Om concurrentie te bevorderen en keuzevrijheid voor burgers te waarborgen, is de kans groot dat sommige lidstaten meerdere EU Digital Identity Wallets van private partijen zullen erkennen. Dat betekent dat er meerdere Wallets (meer dan 27) in de EU beschikbaar komen. Om te voorkomen dat er een grote integratielast voor betrokken private partijen ontstaat, is het aannemelijk dat we uiteindelijk in de EU bewegen naar één uniforme interface voor alle partijen. Het blijft afwachten hoe complex deze interface en de integratie van identiteiten gaat worden.
Zonder harmonisatie wettelijke voorwaarden EU wordt sluiten contracten omslachtig
Het tweede grote obstakel voor acceptatie van EU Digital Identity Wallets door private partijen betreft het sluiten van contracten. Zijn er grote aantallen bilaterale contracten nodig tussen de aanbieders van deze Wallets en de betrokken private partijen? Of zal de EU toewerken naar één enkel of gestandaardiseerd wettelijk contract dat acceptatie van alle EU Wallets omvat?
Ruimte voor interpretatie
Het blijft nog onduidelijk welke private partijen uiteindelijk verplicht zullen zijn om de EU Digital Identity Wallet te accepteren. De scope van de herziening verwijst immers alleen naar betrokken partijen die daartoe verplicht zijn door nationale of Europese wetgeving of die een “contractuele verplichting” hebben om gebruik te maken van ‘sterke authenticatie’.
De wettelijke verplichtingen die voortvloeien uit bestaande EU-wetgeving en -verordeningen zoals GDPR en PSD2 spreken voor zich, maar de term “contractuele verplichtingen” vraagt om opheldering. Moet bijvoorbeeld een SaaS-boekhoudproduct dat al sterke authenticatie toepast en dat contractueel met de klant is overeengekomen, ook alle EU Digital Identity Wallets voor authenticatie aanvaarden? Een dergelijke interpretatie zou betekenen dat de eIDAS-herziening gevolgen heeft voor een enorm aantal bedrijven.
Zonder harmonisatie businessmodellen lopen transactiekosten hoog op
Een ander belangrijk punt dat in de herziene eIDAS opgehelderd moet worden, is het businessmodel van aanbieders van Digital Identity Wallets. Omdat de Wallets gratis moeten worden verstrekt aan burgers, is de kans groot dat deze aanbieders zich tot de betrokken private en/of publieke partijen zullen wenden om inkomsten te genereren.
En als er geen eisen worden gesteld aan businessmodellen en tarieven, dan zullen deze partijen het onderste uit de kan willen halen. En dat leidt tot tot hoge prijzen. Dat is absoluut een ongewenste situatie.
Houd ontwikkelingen in de gaten
De herziening van eIDAS heeft grote impact op de huidige wijze waarop betrokken partijen omgaan met de digitale identiteit van consumenten. De onderwerpen uit dit artikel zijn enkele belangrijke voorbeelden van de huidige discussies rondom eIDAS die grote impact kunnen hebben. Wat die impact precies zal zijn, hangt in grote mate af van de keuzes die de komende maanden nog gemaakt moeten worden in Europa.
Hoewel de herziening van eIDAS nog steeds in de ontwerpfase zit, heeft de Europese Commissie een ambitieuze tijdslijn voor implementatie ervan geformuleerd. De huidige deadline voor het publiceren van een toolbox voor een Europees kader voor digitale identiteit – die de technische architectuur en het referentiekader, gemeenschappelijke normen, richtlijnen en best practices voor European Digital Identity Wallets moet omvatten – is al in oktober 2022.
De herziening van eIDAS zal in de toekomst hoogstwaarschijnlijk invloed hebben op de activiteiten van nagenoeg alle partijen die gebruik maken van digitale identiteiten. Daarom moeten zij de mogelijke gevolgen van de herziening nauwlettend in het oog houden om te voorkomen dat zij door de implicaties worden overvallen.
Door Christian van Ramshorst (LinkedIn), senior consultant en Daniël den Boer (LinkedIn), consultant bij INNOPAY, consultancybureau gespecialiseerd in digitale transacties.