Een koffie ‘to go’ snel afrekenen met je mobiele telefoon? Het is zo gepiept. Met de Europese elektronische wallet moet het vanaf 2026 als Europese burger ook mogelijk zijn om je identiteit met informatie op je mobiele telefoon aan te tonen. Jacques van Zijp, managing director bij IDEMIA Smart Identity legt het belang van het project uit.
In je digitale wallet (EUDI-wallet) is straks de digitale versies van je paspoort en rijbewijs opgeslagen
‘De identiteitsmarkt bevindt zich in een belangrijke transitie. Zoals van fysiek geld de stap is gezet naar digitaal geld en de betaling van de kaart naar de telefoon of horloge is verhuisd, zien we al een aantal jaren dezelfde transitie rondom de persoonsidentificatie,’ vertelt Van Zijp. ‘In die transitie speelt IDEMIA Smart Identity een cruciale rol.’
Eigen Europese digitale wallet
De Europese Unie heeft de de standaarden vastgelegd voor de uitwisseling van persoonsinformatie met hulp van een digitale wallet (EUDI-wallet), als onderdeel van de eIDAS 2.0-richtlijn. Hierin is straks de digitale versies van je paspoort, rijbewijs, maar ook bijvoorbeeld je diploma’s opgeslagen. De wallet moet voor interoperabiliteit tussen landen onderling zorgen. ‘Nu hebben landen vaak hun eigen identificatiesysteem. Dit betekent dat je als Nederlandse burger tegen allerlei belemmeringen stuit als je in andere EU-landen iets wil regelen bij de overheid. Dat is straks verleden tijd. Straks kun je in een ander land in principe jouw acties met de overheid uitvoeren op basis van jouw Nederlandse digitale identiteit, zoals vastgelegd in de wallet op je mobiele telefoon.’ Voor de beveiliging gelden ETSI-standaarden (‘Electronic Identification and Trust Services’) gedefinieerd, over de wijze waarop de data wordt opgeslagen. Dit moet ervoor zorgen dat burgers voldoende vertrouwen hebben in de veiligheid van elektronische interacties en naadloze digitale diensten in de Europese Unie bevorderen. ‘Jij wilt elektronisch bewijzen dat jij jezelf bent en wilt niet dat iemand anders kan claimen dat hij jou is. We moeten ervoor zorgen dat het niveau van databescherming dat geldt voor de fysieke identiteitsverificatie net zo centraal staat bij de digitale weergave van onze ID-kaart of paspoort,’ vat Van Zijl de noodzaak van waterdichte beveiliging samen.
Digitale versie van je paspoort
Een belangrijk punt is het afschermen van privacygevoelige gegevens die de verschillende partijen die jouw digitale identiteit kunnen zien, zoals het BSN-nummer, vertelt hij. ‘Dat is kwetsbare data die alleen in het overheidsdomein mag worden gebruikt.’ In zekere zin raakt het de kern van de discussie rondom de beveiliging van persoonsgegevens. ‘eIDAS gaat over wet- en regelgeving en uiteindelijk over alles wat nodig is om je ID-kaart net als je bankpas op een veilige manier in de wallet van je smartphone te stoppen.’ Van Zijp gebruikt internationaal reizen als voorbeeld. ‘Op je paspoort staan allerlei gegevens op, zichtbaar en onzichtbaar. Vooruitlopend op de eIDAS 2.0 en de Europese wallet heeft IDEMIA Smart Identity samen met KLM de zogenoemde DTC 1-pilot gedaan. De afkorting staat voor Digital Travel Credential, een digitale versie van je paspoort. Een van de grote punten die daarbij speelde was het BSN-nummer. Als je het digitale paspoort zowel voor de grenscontrole als de boarding gebruikt, mag je het BSN -nummer wel met de Marechaussee delen, maar niet met de KLM, want dat is een private partij.’ Het liefst bepaal je zelf welke soort data je deelt en met wie.’ Hij noemt de boven-18 controle als voorbeeld. ‘De enige relevante informatie om alcohol te kopen of een club binnen te mogen, is het bewijs dat je 18 jaar of ouder bent. De precieze leeftijd doet er niet toe.’
Alvast vooruitkijkend: Post Quantum Proof Beveiliging
De ontwikkeling van kwantumcomputers vormt op de langere termijn een serieus veiligheidsrisico voor zowel de fysieke als digitale identiteiten. ‘Er komt een moment dat kwantumcomputers de huidige cryptografie algoritmes kunnen breken, die momenteel worden gebruikt in identiteitstechnologieën. Hoewel er geen zekerheid is wanneer, wordt 2035 aangehouden als het mogelijke ‘tipping point’. Dat betekent dat we al bijna op het punt zitten, dat de data op de reisdocumenten die we nu uitgeven als je in 2025 naar China gaat, mogelijk kunnen worden uitgelezen. Het maakt voor ons de noodzaak nog groter om zo snel mogelijk post quantum proof encrypty te ontwikkelen,’ benadrukt Van Zijl. ‘Bij IDEMIA Smart Identity hebben we al de eerste ‘proof of concepts’ voor post quantum cryptografie ontwikkeld – waarbij we alle componenten zelf ontwikkelen, van hardware tot besturingssystemen.’ Het betekent dat overheden, met ondersteuning van de juiste technische partner, ervan verzekerd zijn dat het digitale identiteitsproces dat ze vandaag hebben opgetuigd toekomstbestendig kan worden gemaakt. En dat de digitale identiteit nu al kan worden beschermd tegen de dreiging dat voor sommigen nu nog ver weg lijkt, maar voor de wereld van de (digitale) identificatie al om de hoek is.
