De Europese eIDAS-verordening is op 29 september 2018 ingegaan. Het is nu voor Europeanen mogelijk om gebruik te maken van de digitale dienstverlening van Europese, publieke organisaties met het eigen nationale inlogmiddel. Wij spreken met Freek van Krevel, senior beleidsmedewerker bij de directie Informatiesamenleving en Overheid (DIO) en Egbert Verweij, stelselspecialist afdeling Stelselkennis en Innovatie bij de Rijksdienst voor Identiteitsgegevens (RvIG) over deze stap in de integratie van Europese, digitale dienstverlening.

Heren, wat is eIDAS?

Van Krevel: ‘De verordening eIDAS staat voor ‘electronic IDentification, Authentication and trust Services’. Heel simpel gezegd: er wordt geregeld dat binnen Europa gecontroleerd kan worden dat iemand inderdaad is wie hij zegt dat hij is. De eIDAS-verordening zorgt ervoor dat een burger of bedrijf zijn Europees erkende inlogmiddelen over de grens kan gebruiken. Dit ontbrak nog op de interne, Europese markt. De Europese Unie (EU) wil hiermee regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te doen met bedrijven of overheden.’

‘Vooralsnog richt de verordening zich op een verplichting voor overheidsorganisaties, maar onderdeel van de visie van de EU is dat dit in de toekomst ook in het private domein gebruikt moet kunnen worden. In Nederland gebruiken we DigiD voor diensten van de overheid, bij private bedrijven is dit nog beperkt. Dus hier zit potentieel als het gaat om het gebruik van een elektronische identiteit. Je ziet dat de EU bezig is om sectoren als het MKB, de luchtvaart en transport te betrekken bij eIDAS. Uiteindelijk om hen te ‘verleiden’ dit ook te gebruiken. En terecht. Je ziet bijvoorbeeld dat een bank dezelfde vraag als de overheid heeft: is de persoon met wie ik zaken doe, inderdaad de persoon die hij zegt dat hij is? Het is niet altijd mogelijk om direct persoonlijk iemand te spreken en te controleren. Als dit kan worden vervangen door een elektronisch proces dat betrouwbaar en veilig is, dan kan dit veel tijd en kosten schelen.’

Verweij: ‘Als bijvoorbeeld een Duitser in Nederland gewerkt heeft en recht op belastingteruggave heeft, dan heeft hij het recht vanaf 29 september die aanvraag online te doen met zijn ‘Duitse’ middel bij de Nederlandse Belastingdienst. Binnenkort kan het ook andersom: Nederlandse pensionado’s in Spanje kunnen straks met hun DigiD inloggen bij Spaanse overheidsorganisaties.’

‘Met BRPk zijn we in staat betrouwbare persoonsgegevens aan dienstverleners te leveren.'

Wat is er georganiseerd door Nederland om aan de eIDAS-verordening te voldoen?

Van Krevel: ‘Wij hebben ons vooral beziggehouden met de wederzijdse erkenning van de elektronisch identificatie zoals het officieel wordt genoemd. We hebben ons gericht op het mogelijk maken van de acceptatie van binnenkomende buitenlandse inlogmiddelen. Vanaf nu gaan we aan de slag met de aanmelding van Nederlandse middelen. Er is wel een aantal eisen waaraan een nationaal middel moet voldoen, maar als dit voldoet dan accepteert de EU het middel voor inloggen over de grens.’

Verweij: ‘Bij de eIDAS-verordening moet de koppeling plaatsvinden op een kleine set gegevens (naam en geboortedatum). In Nederland draait alles om het burgerservicenummer (BSN). Een Nederlandse dienstverlener heeft het BSN nodig om die Duitser een dienst te kunnen leveren. De kleine set aan gegevens is dan niet voldoende. Daarom biedt RvIG de centrale faciliteit om de koppeling met het BSN te kunnen maken. Het is logisch om deze BSN-koppeling centraal te doen in plaats van bij iedere dienstverlener individueel. RvIG heeft besloten de dienstverleners te ontzorgen en dit centrale proces op zich te nemen. Hiervoor hebben wij het BRPk gebouwd.’

Van Krevel: ‘Hierin is Nederland op dit moment nog vrij uniek. Geen ander land heeft op dit moment een voorziening zoals Nederland die heeft. Er bestaat daarom belangstelling vanuit andere landen in de manier hoe Nederland dit doet. We hebben onlangs een presentatie gegeven aan een Sloveense delegatie. Ook is er interesse vanuit een aantal Scandinavische landen.’

Egbert Verweij (links) en Freek van Krevel

Wat maakt het BRPk uniek?

Verweij: ‘Met het BRPk zijn we in staat betrouwbare persoonsgegevens aan dienstverleners te leveren. Dit bespaart de organisaties de inspanning om een eigen systeem te bouwen en het vergroot de kans op het vinden van het juiste BSN. RvIG maakt daarbij gebruik van een geavanceerde zoekfunctionaliteit, zodat met een grote zekerheid het bij de houder behorende BSN gevonden wordt. Maar het kan gebeuren dat het BRPk de gegevens van een burger met een EU-middel koppelt aan een BSN van een ander persoon met dezelfde geboortedatum en een zeer gelijkende geslachtsnaam. Als het om welke reden dan ook misgaat, bijvoorbeeld een foute koppeling, dan biedt het BRPk de mogelijkheid om te ontkoppelen.’

De dienstverlening naar de (Europese) burger wordt door eIDAS vooral makkelijker. Maar hoe zit het met de betrouwbaarheid en privacy?

Van Krevel: 'Door gebruik te maken van het BRPk hoeven dienstverleners niet zelf een voorziening te bouwen om een BSN te zoeken. Hierdoor kunnen de dienstverleners efficiënter hun dienstverlening conform de eIDAS-verordening uitvoeren en wordt de privacy van de burger gewaarborgd.'

‘RvIG heeft hier een belangrijke rol gehad: in Nederland gaat het namelijk al snel om het verwerken van een BSN. RvIG heeft dit proces op zo’n manier gestuurd dat vooral gebruik werd gemaakt van de standaarden die we nu al gewend zijn. Daarnaast is RvIG van mening dat je voorzichtig om moet gaan met de verspreiding van een BSN. En als er een BSN doorgegeven wordt, dan moet dit veilig en betrouwbaar gebeuren.’

Hoe verliep de samenwerking met andere partijen zoals de dienstverleners?

Van Krevel: ‘We zijn eerst klein begonnen. In de zogenaamde ‘Dialoogtafel’ overleggen we met een aantal (grote) dienstverleners, denk aan UWV, Sociale Verzekeringsbank (SVB), RVO en RDW. Inmiddels zijn de meeste dienstverleners vertegenwoordigd in ons overleg. Veel organisaties zagen het belang om dit goed te regelen. Het gaat uiteindelijk om meer dan alleen iets digitaals regelen. We zijn als Nederland een open economie en streven bijvoorbeeld een goed vestigingsklimaat na. Het was hierdoor heel prettig samenwerken.’

Hoe zien jullie de toekomst van digitaal zakendoen in Europa?

Van Krevel: ‘eIDAS is het lontje en het rotje moet met een andere Europese verordening nog komen: de Single Digital Gateway. De Single Digital Gateway moet de online toegangspoort worden voor burgers en bedrijven. In Nederland hebben we dat goed geregeld met de Basisregistratie Personen (BRP). De implementatie van de Single Digital Gateway moet nog vorm krijgen.’