Herziening eIDAS: nieuw raamwerk voor eID’s en vertrouwensdiensten

Herziening eIDAS: nieuw raamwerk voor eID’s en vertrouwensdiensten

De Commissie heeft een wetsvoorstel ingediend voor een raamwerk voor een Europese Digitale Identiteit, die de huidige eIDAS-verordening herziet, en hierdoor meer handen en voeten krijgt.

Huidige eIDAS: eID’s en vertrouwensdiensten

De huidige verordening beoogt te zorgen voor een goede werking van de digitale interne markt door met wederzijdse erkenning van elektronische identificatiemiddelen (eID’s) en met harmonisatie van vertrouwensdiensten veilige en betrouwbare elektronische transacties tussen burgers, bedrijven en overheden te bevorderen. De eIDAS kent dus een raamwerk voor twee pijlers: een raamwerk eID’s en vertrouwensdiensten.. Dat raamwerk wordt nu herzien en verder uitgebreid en aangescherpt in de hoop dat er meer eenwording zal ontstaan. Hieronder gaan we in op de gewenste herziening van de eIDAS verordening.

Pijler 1: eID’s

De eIDAS-verordening stelt de voorwaarden vast waaronder lidstaten elkaars eID’s voor burgers en bedrijven wederzijds moeten erkennen. Openbare instanties (overheden en organisaties met publiekrechtelijke taken) dienen erkende eID’s op betrouwbaarheidsniveaus substantieel en hoog kosteloos toe te laten bij grensoverschrijdende transacties in het publieke domein.

Van wederzijdse erkenning naar nationale certificering

Voor eID’s amendeert het voorstel de huidige eIDAS-verordening als volgt:

    1. In de eerste plaats komt er een verplichting in plaats van de mogelijkheid van lidstaten om een eID voor burgers en bedrijven te hebben en Europees te laten erkennen.
    2. Het bestaande, als complex ervaren proces van wederzijdse erkenning door lidstaten op basis van peer review (notificatie), wordt aangevuld met de mogelijkheid tot nationale certificering.
    3. Het wordt verplicht om erkende eID-middelen toe te laten voor offline naast online authenticatie en niet alleen voor transacties in het publieke domein, maar ook voor transacties in het private domein.

European Digital Identity Wallet

Elke lidstaat krijgt de plicht om tenminste één (gratis) European Digital Identity Wallet te introduceren. De wallet kunnen lidstaten op 3 manieren doen:

    1. in eigen beheer uitgeven;
    2. onder mandaat uitgeven
    3. of lidstaat een onafhankelijk uitgegeven wallet erkennen.

Deze wallet dient burgers en bedrijven die dit willen, de mogelijkheid te bieden om onder een hoog beveiligingsniveau hun elektronische identiteit én daaraan gelinkte attributen, zoals kwalificaties, bevoegdheden en digitale documenten, zelf ter beschikking te stellen in online én offline transacties, in het publieke én het private domein.

De vraag is natuurlijk hoe de European Digital Identity Wallet zich verhoudt tot de eID.

Toolbox: toverbox

Aanvullend heeft de Commissie een Aanbeveling opgesteld om te komen tot een met de lidstaten te ontwikkelen “Toolbox” om de implementatie van het raamwerk voor een Europese Digitale Identiteit, in het bijzonder van de wallet en gekwalificeerde vertrouwensdiensten, te ondersteunen. Daarin worden de technische architectuur, het referentieraamwerk, gemeenschappelijke standaarden, technische specificaties, gemeenschappelijke richtlijnen en best practices opgenomen.

Pijler 2: Vertrouwensdiensten

Het voorstel heeft ook gevolgen voor elektronische vertrouwensdiensten die tevens in de eIDAS-verordening worden gereguleerd. Een belangrijke wijziging is de toevoeging van vijf nieuwe soorten vertrouwensdiensten, namelijk:

  1. remote signing: het op afstand beheren van middelen (hardware en software) voor het aanmaken van elektronische handtekeningen;
  2. het op afstand beheren van middelen (hardware en software) voor het aanmaken van elektronische zegels,
  3. elektronische attestatie van attributen,
  4. gekwalificeerde elektronische archiveringsdiensten
  5. elektronische grootboeken (ledgers).

Remote electronic signature and seal creation devices

Het op afstand beheren van middelen voor het aanmaken van elektronische handtekeningen of zegels zorgt ervoor dat gebruikers aparte dienstverleners kunnen gebruiken voor het verkrijgen van het middel en voor het beheer op afstand van het middel. Hierdoor is er minder afhankelijkheid van één partij voor het gebruik van deze middelen.

Elektronische attributenattestatie

Een elektronische attestatie van attributen is de gewaarmerkte verklaring dat een natuurlijk of rechtspersoon een bepaalde eigenschap bezit, bijvoorbeeld iemand is ouder dan 18 jaar of heeft een bepaald diploma. Deze attestaties kunnen eIDAS-gecertificeerd (gekwalificeerd) zijn. De verordening verplicht de lidstaten dat een aantal attributen geverifieerd kunnen worden aan de hand van authentieke bronnen binnen de publieke sector. Daarnaast moeten deze attestaties ook via de wallet beschikbaar kunnen worden gemaakt. Gekwalificeerde elektronische archiveringsdiensten verwerken data en documenten op een wijze dat de integriteit en nauwkeurigheid van de oorsprong, alsook juridische eigenschappen, bewaard blijven voor de bewaarperiode.

Electronic ledgers (grootboeken)

Een elektronisch grootboek is een fraudebestendige elektronische documentatie van data waarbij de authenticiteit, integriteit van de data, datum, tijd en de chronologische ordening worden vastgelegd. Hierbij moet worden gedacht aan technieken als blockchain.

Bij al deze vertrouwensdiensten geldt dat de elektronische en niet-elektronische variant hetzelfde rechtsgevolg zullen hebben.

Certificaten van websiteauthenticatie

Ook zit er in de herziening van de eIDAS-verordening een verplichting voor browserleveranciers om gekwalificeerde certificaten van websiteauthenticatie te accepteren. Momenteel zijn browserleveranciers vrij om een eigen afweging te maken of gekwalificeerde websitecertificaten te vertrouwen zijn. In de praktijk betekent dat extra benodigde conformiteitsbeoordelingen en een grote afhankelijkheid van de browserleveranciers. Met deze wijziging mogen browserleveranciers deze eigen afweging niet meer maken en worden ze verplicht Europese standaarden voor betrouwbaarheid te accepteren.