Standaardisatie van digitale identiteit in de EU

“Het onderdeel van de eID AS-verordening betreffende elektronische identificatie creëert een voorspelbaar regelgevingskader om veilige en naadloze elektronische interacties tussen bedrijven, burgers en overheidsinstanties mogelijk te maken.” ( Trends in elektronische identificatie ) Vanuit strikt juridisch oogpunt garandeert de eID AS-verordening grensoverschrijdende toegang tot openbare diensten: personen en organisaties binnen één EU-lidstaat kunnen hun eigen eID middel gebruiken om toegang te krijgen tot openbare diensten in andere EU-lidstaten (mits die openbare diensten hun eigen burgers de mogelijkheid bieden om veilig in te loggen op hun webdiensten). Een Franse student die bijvoorbeeld in Zweden wil studeren, zal niet worden belemmerd om toegang te krijgen tot en de online inschrijvingsprocedure te voltooien als ze geen BankID (het meest gebruikte eID middel in Zweden) heeft om haar identiteit te authenticeren. Onder eID AS is haar FrenchConnect eID net zo geldig. Twee belangrijke punten om te onthouden:

• eID AS verplicht het gebruik van eID niet, maar maakt het gebruik ervan mogelijk en beschermt het .
• Door een EU-breed juridisch kader te bieden, heeft de verordening ook grote gevolgen voor het gebruik van eID in de particuliere sector.

Vanaf 2023 is de EU bezig met de herziening van de eID AS-verordening en neemt zij deel aan een ambitieus, langetermijnproject – de EU Digital Identity Wallet – ter ondersteuning van het gebruik van digitale identiteiten in de hele EU. Hierover kunt u meer lezen in dit downloadbare e-book.

Doelstellingen van eID AS voor de publieke en private sector

De eID AS-verordening zal de private sector net zozeer, zo niet meer, beïnvloeden als de publieke sector.

“Het gedeelte van de eID AS-verordening betreffende elektronische identificatie, dat in september 2018 in werking treedt, creëert een voorspelbaar regelgevingskader om veilige en naadloze elektronische interacties tussen bedrijven, burgers en overheidsinstanties mogelijk te maken. Een van de kerndoelstellingen is ervoor te zorgen dat mensen en bedrijven hun eigen nationale eID kunnen gebruiken om toegang te krijgen tot online publieke diensten in andere EU-landen. Dit vereist de totstandbrenging van een onderling interoperabel netwerk van eID systemen in Europa.” ( 4 )

Het faciliteren van de handel in de private sector in het digitale tijdperk is een ander belangrijk doel van de eID AS-verordening. Ter ondersteuning van dit doel biedt de Europese Commissie online hulpmiddelen aan die de voordelen van eID en trust services voor bedrijven promoten, waaronder een handleiding over hoe deze instrumenten in hun bedrijfsvoering kunnen worden geïmplementeerd. ( 5 )

Zowel publieke als private organisaties (evenals gezamenlijke publiek-private samenwerkingsverbanden) zijn actief geweest in de ontwikkeling eID systemen, -middelen en -infrastructuur, gebaseerd op hun uiteenlopende mandaten en motivaties. De banksector is en blijft bijzonder actief. “Banken besteden nu gezamenlijk meer dan 1 miljard dollar per jaar aan de financiering van onderzoek en ontwikkeling van identiteitsoplossingen, waardoor ze wereldwijd de grootste investeerders zijn, zelfs groter dan nationale overheden en politieorganisaties”. ( 6 )

Niveaus van zekerheid

Om de interoperabiliteit tussen de lidstaten wettelijk te garanderen, definieert de eID AS-verordening duidelijk de normen waaraan een eID systeem moet voldoen. Deze normen bepalen op hun beurt de technische en beveiligingsspecificaties van eID -middelen, evenals het gebruik en de acceptatie ervan. Om de waarde van een gemeenschappelijk EU-breed juridisch kader te illustreren, nemen we een van de belangrijkste specificaties: de niveaus van zekerheid (Levels of Assurance, LoA). ( 7 ) Elk eID AS-conform eID systeem wordt ingedeeld volgens een of meer van drie verschillende niveaus van zekerheid: Laag, Substantiëel en Hoog. “Niveaus van zekerheid karakteriseren de mate van vertrouwen in het elektronische identificatiemiddel dat wordt gebruikt om de identiteit van een persoon vast te stellen, en bieden de zekerheid dat de persoon die een identiteit claimt, daadwerkelijk de persoon is aan wie de identiteit is toegekend.” ( 8 ) De drie niveaus van zekerheid volgens eID AS zijn gebaseerd op de ISO/IEC 2915-norm, die de basis vormt voor veel zekerheidskaders wereldwijd. (Laag, Substantiëel en Hoog corresponderen respectievelijk met ISO/IEC 2915 niveaus 2, 3 en 4.) Twee belangrijke factoren die de mate van betrouwbaarheid van elk niveau bepalen, zijn: Identiteitsverificatie op het moment van registratie: hoe grondig was het proces van identificatie van de persoon of entiteit bij de aanvraag van de eID ?

• Identiteitsverificatie tijdens de registratie: hoe grondig was het proces om de persoon of entiteit te identificeren toen zij hun eID aanvroegen?
• Authenticatiezekerheid : de sterkte van de methoden die tijdens de authenticatie worden gebruikt.

Naast identiteitsborging en authenticatieborging zijn andere belangrijke factoren de betrouwbaarheid en kwaliteit van: de procedures voor de uitgifte van de eID, de entiteit die de eID uitgeeft en “elke andere instantie” die betrokken kan zijn bij de aanvraag voor de uitgifte van de eID. ( 9 )

Met dit kader kunnen wetgevers vervolgens eenvoudig bepalen welk borgingsniveau een eID moet hebben voor een bepaald type transactie. Particuliere bedrijven kunnen naar eigen inzicht een nog hoger borgingsniveau eisen dan wettelijk vereist is, als zij van mening zijn dat hun eigen bedrijfsrisico dit rechtvaardigt. De voordelen van extra beveiliging moeten uiteraard worden afgewogen tegen de kwaliteit van de klantervaring en de extra transactiekosten voor het bedrijf.

Het formaliseren en implementeren eID systemen: melding en het eID AS-netwerk.

Om de interoperabiliteit van eID systemen van verschillende lidstaten mogelijk te maken, is een methode nodig voor het beheren en uitvoeren van grensoverschrijdende authenticatie, evenals een proces voor het formaliseren eID AS goedgekeurde eID systemen.

Het proces van het formeel goedkeuren van een eID systeem staat bekend als “notificatie”. Elke lidstaat is verantwoordelijk voor het notificeren van zijn eigen eID systemen en moet ervoor zorgen dat deze voldoen aan alle eID AS-vereisten voor veiligheid en kwaliteit. ( 10 ) Het proces omvat een collegiale toetsing door de lidstaten, en zodra het eID systeem officieel is toegevoegd aan het eID AS-netwerk (zie hieronder), moeten de EU-lidstaten het erkennen “uiterlijk 12 maanden na de publicatie in het Officiële Journal van de Europese Unie”. ( eID AS”>11 )

De technische infrastructuur die de verschillende eID schema’s en -middelen met elkaar verbindt, staat bekend als het eID AS-netwerk. Dit netwerk is gebaseerd op een reeks knooppunten ( eID AS-knooppunten), die op het niveau van de lidstaten zijn geïmplementeerd. In de context van een individuele transactie kan elk knooppunt zowel grensoverschrijdende authenticatie aanvragen als verstrekken.

Het stimuleren van de invoering eID en het faciliteren van de handel.

Nieuwe eID systemen worden geleidelijk ontwikkeld en toegevoegd aan het eID AS-netwerk. Bedrijven hoeven echter niet te wachten op een melding om te profiteren van de voordelen van elektronische identificatie, zoals het voldoen aan wettelijke vereisten (op nationaal niveau), het beheersen van bedrijfsrisico’s en het verbeteren van de klantervaring. De impact van eID AS op de handel wordt duidelijk wanneer men de implicaties van een duidelijke wettelijke definitie van eID in de hele EU in ogenschouw neemt. De eID AS-verordening:

• biedt de wetgevende instanties in de lidstaten een gemeenschappelijk juridisch kader bij het opstellen van wetten betreffende elektronische identiteit…
• …wat op zijn beurt een sterkere stimulans creëert voor de ontwikkeling van eID -systemen en -middelen binnen elke lidstaat, en
• Het biedt bedrijven een erkende wettelijke basis om hun klanten eID aan te bieden als methode voor het verifiëren van hun identiteit en authenticatie in een digitale omgeving, en voor het ondertekenen van documenten die voldoen aan de eID AS-standaard voor geavanceerde en gekwalificeerde elektronische handtekeningen .

Hoewel de Europese Commissie bij de promotie van eID AS de nadruk legt op grensoverschrijdende samenwerking, biedt elektronische identificatie ook enorme waarde voor bedrijven en klanten binnen dezelfde lidstaat. Een goed voorbeeld is Zweden, een van de weinige lidstaten waar elektronische identificatie al lang vóór de introductie eID AS breed werd geaccepteerd. De Zweedse BankID, een eID systeem ontwikkeld door een groep grote banken, werd voor het eerst uitgegeven in 2003. BankID is erkend in de Zweedse wetgeving en geniet breed vertrouwen. Het systeem heeft 7,5 miljoen vaste gebruikers (73% van de bevolking) die het routinematig gebruiken om zich online te authenticeren, transacties te autoriseren en toegang te krijgen tot openbare diensten. BankID wordt ook gebruikt om de ondertekenaar uniek te identificeren bij het ondertekenen van overeenkomsten. Hoewel eID geen verplicht onderdeel is van een geldige elektronische handtekening, wordt een contract, indien ondertekenaars BankID gebruiken om zich uniek te identificeren, geacht te zijn ondertekend met een elektronische handtekening op geavanceerd niveau. Dit heeft in Zweden dezelfde juridische waarde als een handgeschreven handtekening (d.w.z. een speciale juridische waarde). Vanwege de bestaande beveiligingsinfrastructuur van BankID zijn er geen contracten die het gebruik van een gekwalificeerde elektronische handtekening vereisen. Een dergelijke handtekening kan alleen worden verkregen met een elektronische handtekeningoplossing die voldoet aan industriestandaarden die niet technologie-neutraal zijn.

Compliance en klantbeleving

Om het belang van eID AS voor de handel te illustreren, kunt u twee grote uitdagingen voor de huidige banksector in overweging nemen:

• Strengere nalevingsvoorschriften
• Heftigere concurrentie

De antiwitwasrichtlijn (AMLD) is een EU-maatregel die met name de bank- en financiële sector raakt. Zo leggen de nieuwe Know-Your-Customer (KYC)-vereisten banken bijvoorbeeld een hogere standaard op voor de identificatie van hun klanten. KYC omvat het verifiëren van de identiteit van nieuwe klanten en het authenticeren van de identiteit van bestaande klanten bij toegang tot bepaalde diensten. Tegelijkertijd krijgen traditionele banken te maken met nieuwe concurrentie van opkomende spelers die veel beter in staat zijn om de klantervaring te bieden die de consument van vandaag verwacht: in de eerste plaats een digitale ervaring. De AMLD erkent meerdere methoden die een bank kan gebruiken om de identiteit van haar klanten te verifiëren, waarbij elke methode afwegingen met zich meebrengt, zoals de tijd en kosten voor de implementatie enerzijds en de impact op de klantervaring en het merk anderzijds. Zowel fysieke identiteitscontrole als eID zijn conforme methoden onder de AMLD, maar met het oog op een moderne klantervaring is het aanbieden van eID als verificatiemethode duidelijk te verkiezen boven het verplichten van klanten om een fysiek bankfiliaal te bezoeken. Wat zijn dan de belemmeringen voor de implementatie eID ? Institutionele inertie en risicoaversie staan waarschijnlijk bovenaan de lijst. Het verkrijgen van goedkeuring van de interne juridische afdeling voor nieuwe digitale tools kan een formidabele uitdaging zijn. Maar het niet digitaliseren van processen brengt ook risico’s met zich mee, vooral in een steeds competitievere markt. Een van de doelen van eID AS is het verlagen van de drempels voor digitale handel, wat in dit geval gebeurt door duidelijke definities en categorieën van elektronische identificatie te bieden. De AMLD verwijst op zijn beurt naar die definities om de vereisten voor een conforme KYC-controle met behulp van eID te specificeren. Een bank die eID wil aanbieden, hoeft dus alleen maar een eID methode te kiezen met het vereiste niveau van zekerheid, onder een regeling die voldoet aan eID AS. Het is niet nodig om uitgebreide juridische en IT-middelen in te zetten om naleving te garanderen.

Conclusie

De eID AS-verordening is een belangrijke stap richting de visie van een interne digitale markt in de EU en bevordert en versnelt de digitale transformatie in de publieke en private sector. Het is essentieel om te begrijpen dat eID AS, in tegenstelling tot wetten die gedrag voorschrijven en beperken, draait om het faciliteren ervan en het vaststellen van wettelijk erkende standaarden voor digitale handel en publieke diensten. Met een EU-breed juridisch kader hebben wetgevers op EU- en lidstaatniveau een gemeenschappelijk referentiepunt voor het opstellen van wetten, waardoor het voor bedrijven gemakkelijker wordt om nieuwe digitale tools en diensten te introduceren.