Overslaan en naar de inhoud gaan
(advertentie)

Waag Futurelab waarschuwt voor digitale afhankelijkheid met introductie EDI-wallet

Hand houdt smartphone vast met op het scherm het woord DIGITAL WALLET en diverse beveiligingsiconen rondom.
Digitale wallet op een smartphone met beveiligingsiconen. - Shutterstock

De introductie van de Europese Digitale Identiteit (EDI) komt snel dichterbij. Met de herziening van de eIDAS-verordening zijn de kaders op Europees niveau vastgelegd en werken lidstaten aan de implementatie van nationale digitale identiteitswallets. Tegelijkertijd groeit echter de zorg dat deze ontwikkeling Europa juist afhankelijker maakt van grote Amerikaanse technologiebedrijven.

Waag Futurelab waarschuwt voor de technische keuzes die momenteel worden gemaakt bij de ontwikkeling van de EDI-wallets. Ondanks de ambities rond digitale soevereiniteit dreigen Europese overheden onbedoeld de machtspositie van Google en Apple te versterken. Eerder wees Follow the Money er al op dat de wallets afhankelijk zijn van beveiligingsdiensten van Google en Apple.

Afhankelijkheid via ‘beveiliging’

Kern van de zorg is het gebruik van zogeheten ‘remote attestation’-diensten, zoals Google’s Play Integrity API en Apple’s Managed Device Attestation. Deze technologieën controleren of een app draait op een betrouwbaar en niet-gemanipuleerd apparaat. Verschillende lidstaten, waaronder Nederland en Italië, passen deze oplossingen al toe in hun wallet-architectuur.

'Overheden worden feitelijk uitvoerders van het platformbeleid van private partijen'

Waag Futurelab

Volgens Waag gaat het echter niet om neutrale beveiligingsmechanismen. De technologieën zijn nauw verweven met de ecosystemen van Google en Apple en controleren onder meer of een apparaat gebruikmaakt van een door hen goedgekeurde versie van het besturingssysteem. Alternatieve, ‘de-Googled’ varianten van Android kunnen daardoor worden uitgesloten.

’Overheden worden zo feitelijk uitvoerders van platformbeleid van private partijen’, stelt Waag. ‘Dat staat haaks op Europese ambities rond openheid, inclusiviteit en technologische autonomie.’

Spanningsveld met Europese wetgeving

De gekozen technische richting schuurt volgens Waag ook met bestaande Europese regelgeving. Zo benadrukt de Digital Markets Act (DMA) het belang van eerlijke concurrentie en het voorkomen van lock-in, terwijl interoperabiliteit een expliciet doel is binnen de eIDAS-verordening.
In de praktijk dreigt echter het tegenovergestelde: burgers die geen gebruik willen maken van Google- of Apple-software, kunnen mogelijk geen toegang krijgen tot essentiële overheidsdiensten via de wallet. Daarmee ontstaat een vorm van indirecte afhankelijkheid van commerciële platforms.

Alternatieven genegeerd

Opvallend is dat er volgens Waag wel degelijk alternatieven beschikbaar zijn. Zo biedt Android een hardwaregebaseerd attestatiemechanisme dat minder afhankelijk is van het Google-ecosysteem. Landen als Zwitserland kiezen bewust voor deze route, mede vanwege zorgen over datasoevereiniteit en keuzevrijheid.

Het Europese Architecture Reference Framework schrijft het gebruik van Google- of Apple-oplossingen niet verplicht voor, maar beveelt deze wel aan. Dit leidt tot uiteenlopende interpretaties door lidstaten en een gefragmenteerde aanpak binnen Europa.

Oproep tot heroverweging

Waag pleit daarom voor een heroverweging van de huidige koers. Als Europa serieus werk wil maken van digitale autonomie, zou het gebruik van platformgebonden attestatiediensten moeten worden uitgesloten en zouden open, hardwaregebaseerde oplossingen de norm moeten worden.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Vincent Hoek | 1 juli 2026, 17:22

Hoe kunnen we nou soevereiniteit en autonomie betogen, maar intussen wel de software-laag van je toegang voor al je sleutels tot je cruciale attestaties laten afhangen van andermans Operating System (OS), rechtssysteem (US Cloud Act o.a.), toegangssysteem en App store? Nog los van het feit dat ook 'inclusie' een ding is en er ook mensen zijn die NIET op Apple of Android meedraaien in de samenleving, maar op Huawei HarmonyOS, KaiOS (Linux), Jolla Sailfish OS of Ubuntu Touch. Dan zijn er sowieso nog allerlei manieren om een digitale wallet webbased te draaien zonder dat er überhaupt een app geïnstalleerd hoeft te worden, zoals Progressive Web Apps (PWA), die via de browser offline kunnen werken, pushmeldingen kunnen versturen en gewoon op het startscherm van een apparaat worden geplaatst, zonder dat een app store nodig is. Of WebAssembly (Wasm), waarmee je webapplicaties op near-native snelheid kunt draaien, waardoor je complexe applicaties, zoals wallets, ook direct in de browser kan laten functioneren. Dan heb je nog HTML5 en JavaScript, de fundamenten voor het bouwen van interactieve en dynamische webapplicaties, waaronder wallet-interfaces die direct vanuit de browser kan worden gebruikt. Je hebt Secure WebSockets voor real-time communicatie tussen de client en de server, wat essentieel is voor de veilige werking van een webbased wallet en dan kan worden meegelift op bijvoorbeeld OAuth 2.0 voor de veilige en gestandaardiseerde authenticatie en autorisatie binnen webapplicaties, wat weer van belang is voor toegang tot en beheer van digitale identiteit en gegevens.
Je kunt dus prima digitale wallets flexibel en veilig draaien zonder afhankelijk te zijn van specifieke platformen of app stores. De realiteit is echter ook dat zelfs de internationale standaardisatie van digitale wallets nog verre van voltooid is. ISO 18013-5 (mDL: mobile Driving Licence) en ISO 23220 (mobile eID) bieden wel raamwerken, maar zijn nog niet breed geïmplementeerd. ISO 8000 (data quality) en ISO 29003 (identity proofing) zijn feitelijk essentieel voor interoperabiliteit, maar worden in de Nederlandse context niet als uitgangspunt genomen en dan houdt je risico’s op lock-in, fragmentatie én op ondermijning van trust. De meeste Europese pilots (zoals ESSIF, EBSI, en LSP's) neigen naar self-sovereign identity (SSI) en verifiable credentials (VC), gebaseerd op W3C-standaarden, maar met uiteenlopende implementaties en governance-modellen. Een Wallet moeten we niet zien als 'infrastructuur' en zeker niet als 'Kluis'; het is niet meer dan een flinter code met wat sleutels die de interface is naar de omgeving (een platform danwel een blockchain) waar het echte werk gebeurt.
Zolang de kans bestaat op het blijven steken in nationale silo’s en niet wordt afgestemd op de vigerende ISO- en W3C-standaarden, blijft echte grensoverschrijdende interoperabiliteit een papieren belofte en zonder grensoverschrijdende interoperabiliteit heeft een open economie, zoals Nederland, nog genoeg finetuning te doen.
De adoptie van sleuteltechnologieën (zoals de digitale wallet) is hoe dan ook essentieel voor het slagen van meerdere use cases. Het is niet dat je zonder kan. Succesvolle governance vereist dus dat zowel de technologische als organisatorische randvoorwaarden permanent worden getoetst en bijgestuurd. Want de Wallet wereld is een wereld van snel ontwikkelende internationale standaarden, blockchain/SSI-innovaties en de politiek-bestuurlijke dynamiek. Dat redt je niet met hoopvolle toekomstschetsen, maar met heel doordacht en met actuele kennis van zaken tweaken in het spanningsveld tussen Europese en nationale ambities en de weerbarstige realiteit van standaardisatie, interoperabiliteit en governance binnen het razendsnel evoluerende digitale identiteitslandschap.

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

(advertentie)

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in