De NOS zette deze week de digitale identiteit in de schijnwerpers in het achtuurjournaal. De omroep toonde hoe een identiteitswallet het inchecken op reis en contact met de overheid kan versnellen. De Europese AI-verordening en eIDAS 2.0 bepalen straks wat mag en wat dat voor de overheid betekent. Het onderwerp is urgent, omdat Nederland en de EU dit systeem de komende jaren willen invoeren.
NOS schetst vooral voordelen
In de uitzending stond het gemak van een digitale identiteitswallet centraal. Met zo’n app kun je met je telefoon bewijzen wie je bent, of alleen een kenmerk delen, zoals “18-plus”. De voorbeelden gingen over sneller reizen, minder papierwerk en kortere rijen. De keerzijde, zoals privacyrisico’s en fouten door algoritmen, kwam minder aan bod.
Een identiteitswallet werkt met digitale bewijzen die zijn ondertekend door een betrouwbare instantie. Denk aan je identiteitskaart, rijbewijs of diploma als veilig bestand. De controle gebeurt via een QR-code en versleuteling, ook wel cryptografie genoemd. Soms is er een algoritme voor gezichtscontrole of liveness-detectie nodig bij de eerste registratie.
Een digitale identiteitswallet is een app op je telefoon met officiële gegevens, waarmee je versleuteld en selectief informatie deelt met organisaties.
De belofte is dat organisaties alleen krijgen wat nodig is. Voor leeftijdscontrole is dat bijvoorbeeld “ouder dan 18”, zonder geboortedatum. Dat heet dataminimalisatie. Het vermindert kopieën van documenten en beperkt datalekken.
Nederland bouwt aan NL Wallet
De Rijksoverheid werkt aan een NL Wallet die past binnen Europese afspraken. Logius en de Rijksdienst voor Identiteitsgegevens bereiden dit op het moment van schrijven voor. DigiD blijft voorlopig de standaard voor inloggen. De wallet is bedoeld voor het delen van specifieke gegevens, niet alleen voor login.
Er zijn in Nederland al ervaringen met privacyvriendelijke oplossingen. De Yivi-app (voorheen IRMA) laat gebruikers gericht attributen delen, zoals een adres of leeftijd. Gemeenten en universiteiten hebben die aanpak getest in praktijksituaties. Deze lessen stromen nu door naar de plannen voor de NL Wallet.
De invoering gebeurt stapsgewijs en per sector. Eerst volgen waarschijnlijk toepassingen met laag risico, zoals leeftijdscontrole aan de kassa. Daarna komen zwaardere processen, bijvoorbeeld inschrijven bij een gemeente of huurtoeslag. Bedrijven en overheden moeten hun systemen hiervoor aanpassen.
EU-regels en AI-verordening
De eIDAS 2.0-verordening verplicht alle EU-landen om een Europese Digitale Identiteitswallet (EUDI Wallet) aan te bieden. De wallet moet grensoverschrijdend werken en privacy-by-design zijn. Selectief delen van gegevens en sterke versleuteling zijn daarbij eisen. Ook moet de burger zelf de regie houden over wat hij deelt.
Als er biometrie of geautomatiseerde verificatie wordt gebruikt, kan de Europese AI-verordening gelden. Dan zijn extra plichten nodig, zoals risicobeheer, logging en menselijk toezicht. Dat speelt bijvoorbeeld bij liveness-detectie of gezichtsvergelijking. Zulke systemen vallen in of nabij risicoklassen die de toezichthouder kan controleren.
De AVG blijft altijd van kracht. Dat betekent dataminimalisatie, een duidelijke wettelijke grondslag en transparantie. Overheden moeten vaak een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren. Leveranciers moeten aantonen dat hun algoritmen en datamodellen betrouwbaar en veilig zijn.
Privacy en toezicht blijven spannend
De Autoriteit Persoonsgegevens zal toezicht houden op het gebruik van de wallet. Belangrijk is dat er geen centraal register van transacties ontstaat. Activiteiten moeten zoveel mogelijk op het apparaat blijven. Alleen strikt noodzakelijke gegevens mogen worden gedeeld.
Function creep is een bekend risico: een systeem wordt voor meer doelen gebruikt dan afgesproken. Heldere wetgeving en technische grenzen moeten dat tegengaan. Bijvoorbeeld door per gebruik doelbinding vast te leggen. En door onafhankelijke audits te verplichten.
Fraudebestrijding mag de privacy niet wegdrukken. Scoringssystemen en risicomodellen kunnen groepen onterecht benadelen. Daarom zijn uitlegbaarheid en klachtmogelijkheden nodig. Dat geldt extra als AI meebeslist in het proces.
Techniek en inclusie nog uitdagend
De EUDI-standaarden zijn nog in ontwikkeling. Interoperabiliteit tussen lidstaten moet in de praktijk worden bewezen. Offline controles en noodscenario’s vragen extra techniek. Ook moeten certificaten en sleutels veilig worden beheerd.
Niet iedereen heeft een moderne smartphone. Er zijn daarom alternatieven nodig, zoals een kaart of hulp aan het loket. Toegankelijkheid voor mensen met een beperking hoort bij het ontwerp. Anders vergroot de wallet de digitale kloof.
Overheden moeten vendor lock-in voorkomen. Open standaarden en, waar mogelijk, open source helpen daarbij. Onafhankelijke tests van algoritmen zijn wenselijk, inclusief bias- en veiligheidstesten. Pas daarna is brede uitrol verantwoord.
Gevolgen voor overheid en burger
Voor burgers kan de wallet straks tijd schelen en privacy beter beschermen. Minder kopieën van documenten en gerichter delen helpt in het dagelijks leven. Denk aan huren, studeren en zorg regelen. Ook online diensten kunnen eenvoudiger worden.
Voor overheden en bedrijven ligt er werk aan de achterkant. Koppelingen, beveiliging en procesontwerp moeten op orde zijn. Afspraken over bewaartermijnen en dataminimalisatie zijn verplicht. En personeel moet leren werken met nieuwe verificatiestromen.
De NOS zette het gemak in beeld, maar de echte test volgt in de uitvoering. Europese regels geven richting en grenzen, ook voor AI in identificatieprocessen. De komende pilots in Nederland worden daarom doorslaggevend. Daar zal blijken wat werkt, wat ontbreekt en wat moet worden bijgesteld.
