De Europese Digitale Identiteit portemonnee: Gaat het (online) identificeren van afnemers eenvoudiger en privacyvriendelijker worden?

Op dit moment is het voor de lidstaten van de Europese Unie (EU) niet verplicht om een nationale digitale identiteit beschikbaar te stellen die inwoners bij alle organisaties binnen de EU kunnen gebruiken. Dit, ondanks dat publieke organisaties en private organisaties met een publieke taak door de eIDAS-verordening sinds 29 september 2018 al wel verplicht zijn om Europees erkende inlogmiddelen te accepteren binnen de digitale dienstverlening.

Door het gebrek aan deze verplichting, zijn er binnen de EU veel verschillende wijzen waarop er gebruik wordt gemaakt van (digitale) identificatie. Daarbij is het voor private organisaties die online dienstverlening bieden waarvoor identificatie benodigd is, vaak nog enorm zoeken naar wat de beste oplossing hiervoor is. Dat het vragen om een e-mail met een kopietje paspoort niet meer kan, is inmiddels algemeen bekend. Maar hoe doe je het dan wel? Immers wil je wel zeker weten dat je zaken doet met de persoon waarmee je dat denkt te doen, en wil je dat op een veilige en betrouwbare manier kunnen verifiëren. Voor iedereen voor wie dit probleem herkenbaar is lijkt er goed nieuws te zijn. De Europese Commissie (EC) heeft op 3 juni jl. namelijk een voorstel gepubliceerd voor een framework rondom de European Digitial Identity Wallet (oftewel de Europese Digitale Identiteit (EDI) portemonnee).

Het voorstel van de Europese Commissie ziet op een framework voor de Europese Digitale Identiteit (EDI), waarvoor een nieuwe Europese Verordening in het leven zal worden geroepen. Deze EDI houdt in dat burgers, inwoners en bedrijven in de EU bij zowel private als publieke organisaties online en offline hun identiteit kunnen aantonen door (gedeeltes van) elektronische documenten te tonen/delen die zij hebben opgeslagen in hun EDI-portemonnee. Denk qua inhoud van de EDI-portemonnee aan een nationale identiteit die is aangevuld met documenten als een rijbewijs, diploma’s en bankinformatie.

De gedachte is dat de EDI-portemonnee kan worden verstrekt door nationaal erkende publieke of private organisaties en dat EU-gebruikers vrij zijn om deze EDI-portemonnee wel/niet te gebruiken. Dit in tegenstelling tot grote platformen die vermoedelijk verplicht zullen worden om op verzoek van een gebruiker de EDI-portemonnee te erkennen. Qua inzet van de EDI-portemonnee, kan worden gedacht aan bijv. identificatie t.b.v. het aantonen van iemands leeftijd, het kunnen huren van een woning, het aanvragen van belastingteruggave, het inchecken op een vliegveld, het inschrijven voor een studie of het openen van een bankrekening in welk Europees land dan ook. De EDI-portemonnee zal zowel online als offline te gebruiken zijn, doordat (delen van) de documenten via een simpele actie op een mobiel apparaat kunnen worden getoond of gedeeld.

Het gebruik van de EDI-portemonnee zou verschillende voordelen hebben, zoals:

• Gebruikers kunnen zelf bepalen welke delen van hun identiteit/documenten ze willen delen;
• Gebruikers kunnen bijhouden welke gegevens/documenten ze met wie hebben gedeeld;
• Er wordt voorkomen dat er onnodige gegevens worden gedeeld;
• Dienstverleners in alle verschillende lidstaten kunnen gebruik maken van eenzelfde methode om iemand te identificeren.

De planning is dat de lidstaten in september 2022, in samenwerking met de EC, een gemeenschappelijke toolbox (incl. technische architectuur, standaarden en best practices) hebben ontwikkeld. Deze toolbox zou dan vervolgens in oktober 2022 door de EC kunnen worden  gepubliceerd waarna deze middels pilots kan worden getest.

De plannen rondom het European Digital Identity Framework klinken veelbelovend en een eenduidige wijze waarop zowel private als publieke organisaties afnemers binnen de gehele EU kunnen identificeren, zonder dat ze teveel gegevens verwerken (hetgeen onrechtmatig kan zijn, kan leiden tot het onnodig vullen van serverruimte, en o.a. risico’s oplevert m.b.t. het niet naleven van de beginselen van dataminimalisatie en benodigde beveiligingsmaatregelen) zou vermoedelijk voor veel (private) organisaties een welkome ontwikkeling zijn. De vraag blijft uiteraard wel hoe praktisch de EDI-portemonnee straks daadwerkelijk wordt ingericht, wat je hiervoor als organisatie zelf moet gaan regelen (en wat hiervan mogelijke kosten zijn) en hoeveel personen er daadwerkelijk gebruik van gaan maken. Dit wordt ongetwijfeld vervolgd…

Wilt u meer weten over de plannen rondom de EDI-portemonnee of regels en voorwaarden rondom online dienstverlening? Neem dan gerust contact op met ons team.

Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity