Een oplossing voor zorgen over Amerikaanse invloed op DigiD komt mogelijk uit Nijmegen. De identiteitsapp Yivi van Stichting Privacy by Design, voortgekomen uit de Radboud Universiteit, laat mensen inloggen zonder centrale opslag van hun gegevens. Dat kan de afhankelijkheid van Amerikaanse aanbieders verkleinen en de gegevens binnen de EU houden. De discussie raakt aan de AVG en, op het moment van schrijven, aan de gevolgen van de Europese AI-verordening voor de overheid.
Nijmeegse app biedt alternatief
Yivi is een app voor attributengebaseerde inloggen: je bewijst alleen wat nodig is, niet alles over jezelf. De software is open source en wordt beheerd door Stichting Privacy by Design in Nijmegen. De techniek komt uit onderzoek van de Radboud Universiteit en is in Nederland al in pilots gebruikt.
Met Yivi blijven persoonsgegevens op de telefoon van de gebruiker. Bij een inlog deelt de app alleen het gevraagde kenmerk, zoals “18+” of “ingeschreven bij gemeente X”. De dienstverlener ziet geen volledig BSN of adres als dat niet nodig is.
Dat verschilt van klassieke inlogs zoals DigiD, waar vaak meer data door systemen gaan. Minder datastromen verkleinen het risico op datalekken en fouten. Het maakt ook beter zichtbaar wie waarvoor verantwoordelijk is.
Attributengebaseerd inloggen betekent dat een gebruiker alleen een bewijs van een eigenschap deelt (bijvoorbeeld “ja, 18+”), zonder het onderliggende gegeven (zoals de volledige geboortedatum) prijs te geven.
Minder Amerikaanse afhankelijkheid
Een veelgehoorde zorg is dat Amerikaanse wetgeving, zoals de CLOUD Act, gegevens kan opvragen bij Amerikaanse techbedrijven. Dat geldt ook als data in een Europees datacentrum staan. Overheden willen daarom oplossingen die volledig Europees zijn ingericht.
Yivi is Nederlands, draait zonder centrale gebruikersdatabase en kan op Europese infrastructuur worden beheerd. Daarmee verklein je de kans dat data bij een niet-Europese partij belanden. Voorwaarde is wel dat alle betrokken diensten, zoals notificaties en hosting, ook Europees zijn.
Volledige onafhankelijkheid vraagt dus om keuzes in de hele keten. Denk aan Europese sms- en e-mailproviders, en strikte verwerkersovereenkomsten onder de AVG. Ook moet duidelijk zijn wie toegang heeft tot welke logbestanden en hoe lang die worden bewaard.
Aansluiting op Europese eID-plannen
Europa werkt aan de eIDAS 2.0-verordening met een Europese digitale portemonnee (EUDI Wallet). Lidstaten moeten zo’n wallet aanbieden voor publieke en private diensten. Yivi’s aanpak met selectieve onthulling past inhoudelijk bij dit model.
Het Nederlandse NL Wallet-programma loopt, op het moment van schrijven, nog in ontwikkeling en pilots. Ervaring met Yivi kan daarbij helpen, bijvoorbeeld voor privacyvriendelijke bewijzen en gebruiksgemak. Zo kan Nederland sneller voldoen aan Europese eisen zonder onnodige datadeling.
De Europese AI-verordening raakt deze inlogmiddelen beperkt, omdat ze geen hoogrisico-AI bevatten. Toch gelden ontwerpprincipes als transparantie en menselijke controle ook hier. Dat sluit aan bij open source en onafhankelijke audits.
Privacywinst én praktische haken
Yivi ondersteunt dataminimalisatie, een kernvereiste uit de AVG. Minder data-uitwisseling verkleint de kans op misbruik en profilering. Open broncode maakt externe controle mogelijk.
Er zijn ook praktische punten. Niet iedereen heeft een moderne smartphone met NFC, dus alternatieve routes moeten blijven bestaan. Verlies of diefstal van de telefoon vraagt om een veilig herstelproces.
Betrouwbare uitgifte van attributen is cruciaal om fraude te voorkomen. Het koppelen van een paspoort via de NFC-chip helpt daarbij. Extra checks, zoals een selfie-controle, moeten dan weer zorgvuldig worden beoordeeld op privacy en proportionaliteit.
Wat overheid nu kan doen
Logius en het ministerie van Binnenlandse Zaken kunnen Yivi als inlogoptie toevoegen naast DigiD. Daarmee krijgen burgers een privacyvriendelijke keuze. Diensten kunnen stap voor stap overstappen op attributen in plaats van volledige gegevens.
Verder is het nodig om Amerikaanse afhankelijkheden in de keten te verminderen. Kies Europese hosting en notificatiediensten en versleutel logs volgens de Baseline Informatiebeveiliging Overheid. Maak inzichtelijk waar data stromen en wie toegang heeft.
Tot slot helpen open standaarden en onafhankelijke audits bij vertrouwen. Samenwerking met Nederlandse kennisinstellingen, zoals de Radboud Universiteit, borgt kwaliteit. Zo blijft digitale identiteit publiek, Europees en privacyvriendelijk.
Gevolgen voor burgers en instellingen
Voor burgers betekent dit minder datadeling bij dezelfde of hogere zekerheid. Inloggen kan sneller, omdat je alleen deelt wat nodig is. Dat vermindert wachttijd en foutkansen.
Instellingen krijgen minder gevoelige data binnen. Dat verlaagt hun juridische en beveiligingslast onder de AVG. Tegelijk moeten zij processen aanpassen om met attributen te werken.
Publieke diensten in zorg, onderwijs en gemeenten kunnen dit gefaseerd invoeren. Begin met laagdrempelige bewijzen, zoals leeftijd of woonplaats. Schaal daarna op naar zwaardere transacties met extra zekerheid.
