Beeld: Shutterstock/beeldmerk IRMA

Op 3 juni publiceerde de Europese commissie een voorstel voor een Europese Digitale Identiteit. Deze identiteit krijgt de vorm van een wallet app, waarin Europese burgers attributen over zichzelf kunnen verzamelen, die dan in heel Europa bruikbaar zijn. Het gaat onder andere om je naam, geboortedatum, opleiding, rijbewijs, gezinssituatie, vertegenwoordiging. Dit Europese initiatief moet een impuls geven aan de digitale economische activiteiten in Europa door het bieden van zekerheid bij digitale transacties, via authenticatie en digitale ondertekening. De eigen plannen moeten de Europese digitale autonomie versterken, techkolonialisme vermijden, en empowerment van burgers bewerkstelligen.

Voor degene die de ontwikkelingen op het gebied van digitale identiteit volgt is het duidelijk: de Europese Commissie heeft het gedachtengoed geadopteerd waarop de Nederlandse IRMA app (irma.app) gebaseerd is. IRMA is precies zo’n wallet app als de EU wil, waarin de gebruiker attributen van zichzelf verzamelt, uit betrouwbare bronnen, die vervolgens door de gebruiker zelf in verschillende combinaties getoond kunnen worden (selective disclosure), voor authenticatie en ondertekening. Inderdaad, het Europese eID voorstel is bedoeld als modernisering van het bestaande eIDAS kader, dat onder ander verschillende zekerheidsnivo’s vastlegt voor inloggen en ondertekening. Vanuit IRMA is uitgebreide input geleverd voor de eIDAS-vernieuwing, via presentaties en documentatie.

IRMA is precies zo’n wallet app als de EU wil, waarin de gebruiker attributen van zichzelf verzamelt, die vervolgens door hemzelf in verschillende combinaties getoond kunnen worden voor authenticatie en ondertekening.

De IRMA app is ontstaan binnen de Radboud Universiteit en is in 2016 ondergebracht in een non-profit spin-off, de stichting Privacy by Design. Deze (kleine) stichting is een strategische samenwerking aangegaan met een andere, veel grotere stichting, namelijk SIDN, de beheerder van het .nl domein. Binnen SIDN werkt een eigen team aan de verdere ontwikkeling van IRMA. Dit garandeert de stabiliteit en continuïteit. SIDN zelf is het levende bewijs dat bepaalde taken in de online wereld, die voor ons allen van cruciaal belang zijn, heel goed georganiseerd en beheerd kunnen worden vanuit een non-profit model. Digitale identiteit valt volgens velen in dezelfde categorie: het behoort tot de essentie van ons leven online en is geen handelswaar.

Wet Digitale Overheid (WDO)

Nederland is er in de afgelopen decennia niet in geslaagd tot een landelijke digitale identiteit te komen. Jazeker, we hebben DigiD, dat een succesverhaal is. Maar DigiD werkt alleen binnen het overheidsdomein en is aan modernisering toe. Opvolging wordt geregeld via de Wet Digitale Overheid (WDO), waarvan de parlementaire behandeling zich al jaren voortsleept. Met deze WDO regelt de rijksoverheid alleen het inloggen in de (semi-)publieke sector en niet voor private partijen. Daar is groot ongenoegen over. Gelukkig toont de EU nu wel een bredere ambitie en wil het de nieuwe wallet zowel publiek als privaat bruikbaar maken.

De Eerste Kamer heeft het afgelopen half jaar de WDO behandeld en heeft daarbij een open source eis afgedwongen – via een novelle. Ieder middel dat toegelaten wordt voor inloggen bij de overheid zal daarmee open source moeten zijn. Op dit moment is IRMA de enige digitale identiteit die aan deze open source eis voldoet. Daarmee wijst het Nederlandse parlement als tweede, impliciet, de weg richting IRMA.

Private aanbieders van inlogmiddelen hebben een grote uitdaging, namelijk de wettelijke beperkingen op het gebruik van het Burgerservicenummer BSN. Zij mogen dat BSN zonder wettelijke taak niet zelf verwerken. IRMA gebruikt een zogenaamde decentrale architectuur, waarbij de attributen enkel op de telefoon van de gebruiker staan, en niet ergens op een centrale server of in de cloud. De twee stichtingen achter IRMA zijn dus helemaal geen verwerker van het BSN. Daarmee is IRMA het enige inlogmiddel in Nederland dat in zowel publieke als private sectoren wordt gebruikt.

Er zijn aldus drie heldere signalen:

1. De Europese Commissie wil een wallet in lijn met het IRMA gedachtengoed.
2. Inloggen bij de Nederlandse overheid kan, als de WDO van kracht wordt, alleen met open source inlogmiddelen; vooralsnog voldoet alleen IRMA aan die eis.
3. Alleen IRMA wordt in Nederland zowel publiek als privaat gebruikt.

IRMA heeft op het moment van schrijven zo’n veertigduizend geregistreerde gebruikers, waarvan 90 procent in Nederland. Dit aantal groeit gestaag, nu met zo’n duizend in de week. Dat is bescheiden, maar het momentum is er. De Europese wallet plannen geven echter een geheel nieuw momentum.

Voortrekkersrol Nederland

Nederland verkeert met deze EU-plannen in een ijzersterke positie om een voortrekkersrol te spelen op het gebied van digitale identiteit in Europa. Het middel dat de EU wil draait al jaren in Nederland, non-profit, met open source. Dit geeft de ideale omstandigheden om in de EU te wijzen op wat hier al operationeel is en op de bijdrage die Nederland kan leveren bij het snel realiseren van de nieuwe Europese ambities voor een veilige en gebruiksvriendelijke Europese digitale identiteit, gebaseerd op transparantie en privacy-by-design. De Europese plannen kunnen tot een gezamenlijkheid leiden in Nederland die de afgelopen jaren zo pijnlijk ontbroken heeft. Als we in de breedte achter IRMA gaan staan kunnen we van Nederland de identity hub van Europa maken, met alle bijbehorende economische activiteiten en invloed.

Europa heeft gekozen voor een attribuut-gebaseerde aanpak. En de Eerste Kamer heeft gekozen voor open source.

De Europese Commissie nodigt ons daar ook toe uit: “… Member States should be encouraged to set-up jointly sandboxes to test innovative solutions in a controlled and secure environment …”. Nu is IRMA aangesloten op de Basisregistratie personen (BRP), maar niet op de RDW, op de KvK, op DUO, of op het BIG register. De Commissie wil dat de Europese wallet op al die bronnen aangesloten is, allereerst in proeftuinen. Dat kan in Nederland snel gerealiseerd worden, met IRMA, zelfs in een paar weken, als de wil er is. De techniek is immers al voorhanden en beproefd. Met zulke aansluitingen kunnen we een leidend voorbeeld zijn voor andere landen in Europa. Sterker nog, wanneer IRMA aangesloten wordt op het bestaande “eIDAS”;https://www.digitaleoverheid.nl/dossiers/eidas/ knooppunt van de Nederlandse overheid, kunnen alle burgers in Europa de IRMA app installeren en vullen met (basis)attributen uit hun eigen land. Daarmee kunnen we trots zeggen: kijk Europa, zo kan het, nu al, voor iedereen.

Verschillende Nederlands gemeenten en ICT-partijen in de zorg hebben reeds voor IRMA gekozen. De rijksoverheid heeft nooit willen kiezen, omdat ze zich neutraal ten opzicht van de markt wilde opstellen. Dat is begrijpelijk, maar de situatie is nu anders. Europa heeft wel gekozen, voor een attribuut-gebaseerde aanpak. En de Eerste Kamer heeft gekozen voor open source. De combinatie van deze twee keuzes leidt als vanzelf naar IRMA. We kunnen eindeloos om adviesrapporten blijven vragen over welk middel aan welke eisen voldoet. Maar er is nu sprake van een fait accompli, met de EU wallet keuze en onze Nederlandse IRMA implementatie daarvan. Dat is misschien spijtig voor sommige aanbieders, maar we kunnen er als land het meeste voordeel mee behalen om dit fait accompli breed te accepteren en onze verdeeldheid tot nu toe om te zetten in krachtige gezamenlijkheid. Dit is een grote kans. De Nederlandse digitale wereld snakt naar duidelijkheid en naar kansen. Europa wijst de weg en roept de lidstaten op om wallets te ontwikkelen en onderling te koppelen.

Verzoek aan kabinet

Ondergetekenden zullen voor IRMA toelating onder de WDO aanvragen. Het kan echter nog wel een jaar duren voordat het wetstraject afgerond is en de toelating geopend wordt. De WDO is echter helemaal niet nodig voor IRMA, zelfs niet voor BSNs binnen IRMA; die zijn al jaren in gebruik. Op de WDO wachten is niet nodig. Daarom vragen wij het kabinet – in het bijzonder de ministers van BZK, EZK, J&V – om nu de Europese wallet voorstellen aan te grijpen om op korte termijn:

• een proeftuin in te richten voor het gebruik van IRMA voor authenticatie en ondertekening, inclusief door Europa gewenste aansluitingen op RDW, KvK, DUO, BIG en andere registers;

• binnen Europa deze techniek en aanpak actief uit te dragen, als direct beschikbare wallet waar andere landen op aan kunnen sluiten – door zelf ook attributen in IRMA uit te geven;

• binnen Nederland op te roepen tot breed gebruik van deze wallet technologie, om zo veel mogelijk ervaring op te doen en om daarmee te techniek zo goed mogelijk verder te ontwikkelen.

Vanuit de IRMA gemeenschap is er grote bereidheid hier aan mee te werken, om de veiligheid, gebruiksvriendelijkheid en privacy-vriendelijkheid verder te versterken. IRMA is gebaseerd op open source software en is daarmee ideaal gepositioneerd voor deze brede samenwerking en verdere ontwikkeling. Het uiteindelijke besluit over welke wallet in Nederland (en in andere Europese landen) ingevoerd wordt kan dan te zijner tijd, op goede gronden en ervaringen, genomen worden.

Digitale identiteit is een onderwerp van geostrategisch belang, omdat iedere security oplossing begint met identiteitsvaststelling.

In haar eerste State of the Union toespraak tot het Europese Parlement van december 2019 riep de voorzitter van de Europese Commissie, Ursula von der Leyen, op om de Europese digitale soevereiniteit te versterken, met name op het gebied van AI, quantum en digitale identiteit. Op de aanstaande G20 top in oktober in Rome staat digitale identiteit ook op de agenda. Dit is een onderwerp van geostrategisch belang, omdat iedere security oplossing begint met identiteitsvaststelling. Dat willen we als Europa zelf, met eigen digitale identiteiten kunnen doen. Nederland heeft hierbij goud in handen, om een toonaangevende en leidende rol te spelen. Maar dan moeten we die kans wel willen zien, en ook snel willen oppakken, voordat onze voorsprong verloren gaat.

Bart Jacobs is hoogleraar computerbeveiliging van de Radboud Universiteit en ook onbezoldigd voorzitter van de stichting Privacy by Design. Roelof Meijer is algemeen directeur van SIDN.

Source