4 uren geleden
1
Brenno de Winter had zijn bijdrage aan het rondetafelgesprek in de Tweede Kamer op 27 januari zorgvuldig voorbereid. De privacy- en ict-expert was gevraagd mee te denken over mogelijke gevolgen van de overname van Solvinity, het bedrijf dat de Nederlandse inlog-app DigiD runt. Een Amerikaanse branchegenoot wil deze cruciale dienstverlener inlijven. Daar is de Kamer van geschrokken, want dat geeft Amerikanen nog meer greep op vitale digitale infrastructuur in Nederland.
Risico’s kun je accepteren, verminderen, bij een ander neerleggen of vermijden, schetste De Winter, die tijdens de pandemie een grote rol speelde bij de bouw van de contactonderzoeksapp CoronaMelder. En voor ‘vermijden’ bestaat in dit geval een logisch scenario. Want als de Nederlandse overheid koste wat kost risico’s wil uitsluiten bij een Amerikaanse overname van Solvinity, dan kan ze ook versneld overstappen naar de opvolger van DigiD, de Europese digitale identiteit. Die optie beschreef ook een van de andere experts die de Kamer informeerden, hoogleraar Paul Timmers van de universiteit in Leuven. Hij is voormalig directeur bij de Europese Commissie.
Wat houdt die versnelde overstap in? Dat blijkt een ingewikkeld verhaal. De Winters ingezonden stuk was lang, vergeleken met dat van de andere acht experts, maar hij vindt het belangrijk uitleg te geven over cyberbeveiligingsrisico’s, vertelt hij telefonisch. Af en toe is een beetje ict-les nodig, bedoeld om Kamerleden te helpen bedenken hoe het verder kan gaan met DigiD. De parlementariërs stelden hem „helaas” geen vragen over dat scenario, vertelt De Winter, maar dat kan hij goed begrijpen: „Ik denk dat het gewoon veel voor ze is.” Zes vragen over de Europese DigiD-opvolger.
1Wat is de Europese digitale identiteit?
Iedere EU-lidstaat moet zijn burgers per 2027 een zogenoemde ‘wallet’ aanbieden. Dat is een soort kluis op je telefoon, waarin je belangrijke gegevens over jezelf bewaart die zijn afgegeven door instanties. Van je geboortecertificaat tot je diploma’s en rijbewijs. Die kluis kun je vervolgens gebruiken om belangrijke gegevens over jezelf veilig te delen, maar ook om in te loggen.
De EU verplicht tal van instanties om zo’n inlog te accepteren. Dat zou het bijvoorbeeld makkelijker moeten maken als iemand in het buitenland wil gaan studeren, een rekening wil openen of een auto wil huren. Of wil inloggen bij een overheidsdienst om belastingaangifte te doen of een uitkering aan te vragen.
Ook online platformen worden gedwongen de wallets te accepteren. Dat geldt ook voor Chinese en Amerikaanse platformen die nu veel verdienen aan datahandel, zoals Meta (van Instagram, WhatsApp en Facebook) en Alphabet (Google), en die er dus belang bij hebben om zélf de identiteiten te beheren en om mensen zoveel mogelijk gegevens bij hen te laten bewaren.
Bart Jacobs, hoogleraar computer security, privacy en identiteit aan de
Radboud Universiteit in Nijmegen, noemt de wallets „een pronkstuk voor de Europese digitale autonomie”, omdat ze de macht van die bedrijven kunnen helpen verkleinen.
Lees ook
Veilig gegevens delen? Straks heeft iedereen zijn digitale identiteit in een ‘wallet’ op zijn telefoon
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2024/01/11214206/data110075695-c9e7b1.png)
2Waar komt DigiD-stress vandaan, en waarom is een ‘versnelde overgang’ een uitweg?
De Winter ziet dat het parlement in razend tempo een enorme draai heeft gemaakt op het thema van digitale soevereiniteit. „Je zíét bij politici inzinken dat we een continent zijn dat in scheiding ligt met een ander continent.” Opeens zeggen VVD’ers dingen als „de data van onze burgers zijn geen exportproduct”. En krijgt de SP bijval als die staatsbedrijven voor ict bepleit. Intussen is nog niet duidelijk of de overname van Solvinity door mag gaan.
De DigiD-stress komt doordat nu doordringt dat Nederland in hoge mate afhankelijk is van een bedrijf dat in Amerikaanse handen dreigt te vallen. Het is technisch niet eenvoudig om de dienst DigiD op stel en sprong bij een andere partij onder te brengen. De Winter: „Dan kun je er ook iets náást zetten en daarnaar overstappen. En begin dan met een traject dat je toch al had ingezet, de Europese digitale identiteit.”
3Kun je met een identiteitswallet hetzelfde als met DigiD?
Je kunt er hetzelfde mee, namelijk veilig inloggen, maar op een betere manier, legt Jacobs uit. Hij is ook de maker van Yivi (voorheen Irma), een open source-wallet die sommige mensen in Nederland nu al gebruiken om hun gegevens te bewaren en in te loggen.
In een wallet bewaar je gegevens over jezelf die zijn afgegeven door instanties. Jacobs noemt ze „attributen” of „eigenschappen”. Een voorbeeld is je geboortebewijs, waarop je geboortedatum staat. De gemeente geeft dat af en je bewaart het zelf. Vervolgens kun je dat via je wallet gebruiken om bijvoorbeeld aan te tonen dat je oud genoeg bent om alcohol te mogen kopen of gokken. De mogelijkheid om dat soort „bewijzen” af te geven zonder gelijk je paspoort of geboortebewijs te moeten delen, zou er uiteindelijk toe moeten leiden dat er veel minder gegevens over mensen online rondslingeren.
In de woorden van Jacobs is DigiD „beperkt”. Er zit maar één attribuut in, het BSN-nummer. Daarmee kun je eigenlijk alleen bij de overheid inloggen. Een wallet kan ook bij bedrijven gebruikt worden en heeft meer gegevens.
4Zijn digitale identiteiten verre toekomstmuziek?
Het onderwerp is juist heel actueel en speelt bijvoorbeeld een rol in het debat over het beschermen van jongeren online.
Dat werkt zo: socialemediabedrijven moeten kinderen weren. Daarvoor moeten ze wel weten of iemand boven een bepaalde leeftijd is. Met een wallet waarin een geboortebewijs is opgeslagen kan een website op de vraag ‘ben je ouder dan 15?’ een betrouwbaar ja-nee antwoord krijgen. Zonder dat je daarvoor je paspoort met het bedrijf hoeft te delen.
Een telecomprovider zoals Odido kan via een wallet een identiteit via die wallet verifiëren, zonder ook nog een paspoortkopie van je te bewaren die kan gaan rondslingeren.
Jacobs noemt DigiD een goede, maar ook een „verouderde technologie”. In het bedrijfsleven en in wetgeving is de trend richting identiteitswallets. De Winter en Timmers pleiten voor versneld investeren in de Nederlandse wallet. Jacobs wijst erop dat Yivi nu al draait en functioneert als alternatief voor DigiD. Bij de gemeente Nijmegen kun je zowel met Yivi als met DigiD inloggen. Die gemeente is al autonoom en kan een uitval van DigiD opvangen. Jacobs pleitte onlangs ook voor het gebruik van bestaande wallets in een digitaal noodpakket.
5Wanneer kunnen Nederlandse burgers die Europese wallet gebruiken?
Dat is niet helemaal duidelijk. Het ministerie van Binnenlandse Zaken leidt de bouw van de Nederlandse versie ervan, de NL Wallet, maar dat vlot niet echt. Het ministerie heeft al aangekondigd de Europese deadline van eind 2026 niet te halen en zegt op z’n vroegst in 2028 klaar te zijn.
Daarnaast heeft Nederland ervoor gekozen dat ook bedrijven zelf een wallet kunnen laten certificeren. Als die aan de overheidseisen voldoet, mag je dus ook de wallet van een bedrijf gebruiken. Dan kun je kiezen welke je het prettigst vindt.
Overheden doen al pilots met bedrijven. Esther Makaay uit Nijmegen is namens het Noorse bedrijf Signicat bezig met zo’n pilot. Ze testen – onder meer samen met de Kamer van Koophandel – toepassingen voor bedrijven, bijvoorbeeld bij het openen van zakelijke bankrekeningen.
De wallets zijn dus nog niet helemaal klaar, maar de druk is hoog, vertelt Makaay, omdat de Europese Commissie ziet hoe bedrijven de identificatiemarkt razendsnel veroveren. Je kunt tegenwoordig online vrijwel overal met een Apple of Google wallet inloggen. „En als big tech die markt eenmaal in handen heeft, is het lastig er nog tussen te komen.”
6Kan de ontwikkeling van de Nederlandse wallet niet sneller?
Volgens De Winter wel. Hij boogt op zijn ervaring met de CoronaMelder-app. Die moest een QR-code kunnen genereren, gebaseerd op zeer persoonsgevoelige informatie in de app. Er waren veel zorgen over privacy en beveiliging. Toen de nood echt hoog was, lukte het ook om die app binnen een paar maanden uit de grond te stampen, zegt hij. Ofwel: als de politiek erin besluit te investeren, staat er in korte tijd een alternatief voor DigiD klaar. „Als de chef met de vuist op tafel slaat en er geld tegenaan gooit gebeurt het gewoon. Dan heb je dat systeem in 2028 draaiende en gaan we gewoon afschalen met DigiD.”
Lees ook
Overname van bedrijf DigiD door Amerikanen maakt het kwetsbaar voor sabotage
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2025/12/15183332/171225ECO_2027292902_digid.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/17160524/170226ECO_2031640013_net.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/16160301/170226ECO_2031624912_2.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/17144445/170226ECO_2031650261_ecb.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/14230646/140226SPO_2031591695_woutwint3-1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/16204226/160226DEN_2031623080_VanBerkel.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/15112723/150226BIN_2031570939_tilburg4.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/15140038/150226SPO_2031595963_kok.jpg)
English (US) ·