Tijdens het aansluitende debat tussen Lorena Boix Alonso, Jaap-Henk Hoepman en innovatiemanager André de Kok van het ministerie van BZK wordt duidelijk dat de zorgen van Hoepman niet worden gedeeld. Volgens Boix Alonso valt de complexiteit van het beoogde EID-stelsel wel mee. De Kok noemt privacy en veiligheid een grote uitdaging.
V.l.n.r. Dagvoorzitter Tom Jessen, André de Kok, Lorena Boix Alonso en Jaap-Henk Hoepman. | Beeld: Joris Telders, JTDproducties
De pilots bieden volgens Boix Alonzo alle ruimte de technische infrastructuur volop te beproeven. Bij eventuele problemen wordt naar oplossingen gezocht. En het certificatiesysteem biedt volgens haar voldoende waarborgen tegen de door Hoepman aangekaarte risico’s. De eIDAS-verordening is gebaseerd op vertrouwen en bevat voldoende checks & balances. Gebruikers bepalen zelf welke data zij opgeven. Dienstaanbieders moeten zich registreren, de burger houdt de controle. Bovendien is er grote behoefte aan dit soort online diensten, weet Boix Alonso.
Het vertrouwen van burgers in online diensten zal toenemen naarmate ze er meer vertrouwd mee raken.
De ambitie van de Commissie is de lat zo hoog mogelijk te leggen. De Kok, die betrokken is bij het concept van de Nederlandse wallet-ID, onderschrijft de meerwaarde van een elektronische identiteit, mits het EDI-stelsel aan de waarborgen op het vlak van privacy en veiligheid voldoet. Dat is volgens De Kok de grootste uitdaging. Het vertrouwen van burgers in online diensten zal toenemen naarmate ze er meer vertrouwd mee raken. Net zoals het gebruik van bank-apps de afgelopen tien jaar is ingeburgerd.
Hoepman blijft de uitbreiding van eIDAS naar private dienstaanbieders riskant vinden. Onduidelijk is hoe dat zal uitpakken.
Open Source
Vanuit het publiek klinkt het pleidooi door aan de Commissie om een open source wallet-ID te bouwen, zodat de broncode openbaar is en door iedereen is te controleren, wat het vertrouwen onder burgers zal vergroten. De Kok onderschrijft het voordeel van transparantie. Ook het ontwerp en de werking van de Nederlandse wallet-ID, die eind 2023 beschikbaar moet zijn, is open source. Boix Alonzo antwoordt dat de Commissie over open source geen standpunt inneemt, omdat het EU-beleid technologie-neutraal is.
iBestuur Event ‘Europese Digitale Identiteit
Op 10 november 2022 organiseerde iBestuur, in samenwerking met het ministerie van BZK, de Rijksdienst voor Identiteitsgegevens (RvIG) en marktpartijen, een event over de voorstellen van de Europese Commissie voor een Europese digitale identiteit voor elke EU-burger.
Aan het debat namen deel: Lorena Boix Alonso Director for Digital Society, Trust & Cybersecurity; Europese Commissie, Jaap-Henk Hoepman Hoogleraar/universitair hoofddocent; Karlstad/Nijmegen en André de Kok Innovatiemanager; Directie Innovatie & Ontwikkeling | Ministerie BZK.
Apart dat de discussie zich toespitst op een Wallet, op infrastructuur. Het zou juist moeten gaan om het transparant kunnen combineren van verifieerbare attestaties. Zo’n wallet is hooguit een duur geheugen. Toegangscontrole tot services vereist juist een samenspel van identiteit, authenticatie en autorisatie in functie van gebruikscontext, als basis voor vertrouwen. Dat kun je allang elegant regelen met (Open Source) context brokers (vb Fiware Orion) en het ishare.eu Trust Framework en daar komt geen wallet aan te pas. Nu krijg je straks een strijd tussen “wie de beste Wallet levert”, i.p.v. hoe je het slimste claims verifieert in een transparant, flexibel samenspel van ‘assets’ en ‘resources’ met een digitale component binnen een notie van voorspelbare, betrouwbare, vertrouwenswaardige en veerkrachtige dienstverlening. Dit zou geen infra-discussie moeten zijn, maar een multidisciplinaire aanpak voor dynamisch verbonden ecosystemen, zoals de EU zelf ook doet in de http://www.internationaldataspaces.org ontwikkeling. Waarom dus niet meteen inzetten op een leverancier-onafhankelijk, transnationaal Identity Eco-Systeem
Framework (IESF) dat handhaving diensten (law enforcement agencies – LEA) en
grensbewakingsdiensten een raamwerk biedt dat technische, operationele en juridische
oplossingen biedt, gebaseerd op internationale standaarden. Geen commercieel ID kaart
systeem of wallet, maar nog steeds uitgaand van Smartphones. Ipv een Wallet als opslagplek voor content, zou je de gebruiker een veilige terminal moeten
bieden voor de verificatie van andermans identiteit claims. Niet gecentraliseerd, maar gefedereerd en gedistribueerd. Laat de burger niet zozeer zichzelf identificeren, maar laat een claim op een smartphone interacteren met de claim van een ander, binnen een gebruikscontext binnen een Data Space.
Gebruik daarvoor allang bestaande internationale standaarden, voorzien van identity
proofing (ISO 29003) en CIAM (Contextual Identity Access Management), dus N-facytor ipb multifactor. Veek makkelijk voor ondersteunende registratie en beheer aspecten.
Veel verfijnder ook. Hoe ga je anders om met geldige houders van verschillende identiteiten voor getuigenbescherming, overheidsagenten, slachtoffers van huiselijk geweld en hoog-risico topfunctionarissen? Laat je die ook met een Wallet rondlopen?
De Trust en Governance frameworks die nodig zijn, vereisen niet alleen een solide
wettelijke basis om met identiteit gerelateerde data om te gaan, met military-grade trust mechanismes, toegangscontrole en anonimisering voor ‘Need to Know and Obligation to Share’ toepassingen voor een heel pallet aan toepassingen, maar ook enorme flexibiliteit om de snelle ontwikkelingen in cybersecurity, Legal Engineering en crypto bij te kunnen benen. Dat vereist context verificatie, geen wallet infra.