De herziening van de eIDAS-verordening (eIDAS 2.0) verplicht elke lidstaat om uiterlijk 2026 een EU Digital Identity Wallet beschikbaar te stellen. In deze wallet bewaren burgers veilige digitale versies van identiteitsbewijzen, diploma’s, beroepskwalificaties of rijbewijzen op hun smartphone en gebruiken die voor betrouwbare authenticatie bij zowel publieke als private diensten in de hele Europese Unie.
Voor Nederland is dat meer dan een technisch project. DigiD is nu het standaardmiddel voor overheidsdiensten, maar werkt vooral binnen de landsgrenzen. Met de EU-wallet kan een Nederlander met hetzelfde middel inloggen bij een Duitse overheidsdienst of een Belgische verzekeraar, terwijl een Franse student via zijn nationale wallet toegang krijgt tot Nederlandse portalen. Die grensoverschrijdende inzet zorgt voor nieuwe eisen rondom waarheidsgetrouwheid van attesten, aansprakelijkheid en architectuurintegratie.
CIO’s, CISO’s en programmamanagers bij ministeries en uitvoeringsorganisaties moeten daarom nu al keuzes maken: hoe leeft DigiD naast de EU-wallet? Welke betrouwbaarheidsniveaus passen bij welke dienstverlening? Hoe valideer je aangeleverde credentials en hoe borg je privacy bij minimale gegevensdeling? Deze whitepaper schetst de implicaties en geeft een implementatieroute voor Nederlandse overheden.
We leggen de technische standaarden, assurance-niveaus, DigiD-co-existentie, attribute exchange, privacy-by-design en governance uit. Daarmee krijgt u een compleet kader om eIDAS 2.0 vanuit Nederlandse overheidsperspectief te implementeren.
Ondersteun DigiD en de EU-wallet parallel gedurende de transitie. Reken niet op een directe migratie; verschillende doelgroepen adopteren nieuw middel in hun eigen tempo. Geef gebruikers keuze en bied voordelen aan wallet-gebruikers (bijvoorbeeld minder herauthenticaties), maar voorkom dat DigiD-gebruikers buiten de boot vallen.
Technical Standards en Interoperability Framework
De technische laag van eIDAS 2.0 is ontworpen als een modulair stelsel van open standaarden waarmee iedere lidstaat attesten kan vertrouwen zonder afzonderlijke verdragen. Voor Nederlandse overheden betekent dit dat bestaande identity-platformen moeten worden afgestemd op het European Digital Identity Reference Architecture Framework, dat expliciet verwijst naar ISO/IEC 18013-5, ETSI TS 119 312 en de eIDAS Trust List specificaties. Alleen wanneer DigiD, MijnOverheid en sectorale portalen conform dezelfde profielen communiceren, kunnen burgers hun wallet overal inzetten en blijft de Nederlandse Baseline voor Veilige Cloud juridisch verdedigbaar richting de Autoriteit Persoonsgegevens en de Europese Commissie.
Self-Sovereign Identity vormt de ruggengraat van het walletconcept. De burger beheert voortaan zijn identiteitsgegevens lokaal, terwijl overheidsinstanties optreden als betrouwbare uitgevende partijen. Dit vereist een architectuurverschuiving: identity providers leveren geen sessies meer uit, maar registreren attestaties met een hoge assuranceklasse die vervolgens door wallets worden opgeslagen. Rijksdienst voor Identiteitsgegevens, RDW, DUO en gemeenten moeten hierbij nieuwe processen opzetten voor het intrekken, vernieuwen en auditen van attesten, inclusief sleutelbeheer in kwalificerende Hardware Security Modules en onafhankelijke logging die voldoet aan de BIO-paragrafen over onweerlegbaarheid.
Verifiable credentials en decentralized identifiers zorgen ervoor dat de attestdata cryptografisch verifieerbaar is. Elke credential bevat een digitale handtekening volgens standaarden als JSON-LD Signatures of ISO mDoc, terwijl DID-documenten de publieke sleutels publiceren op een Europese trustlijst. Nederlandse implementaties moeten deze trustlijst periodiek ophalen via eDelivery-kanalen, de certificaten controleren tegen Common Criteria-profielen en afwijkingen automatisch melden aan het Nationaal Cyber Security Centrum. Op deze manier kunnen uitgifteketens aantonen dat ze voldoen aan artikel 24 van eIDAS 2.0 over betrouwbaarheid van identificatiemiddelen.
Selectieve gegevensdeling is minstens zo belangrijk. In plaats van volledige persoonsgegevens door te sturen, bewijst de wallet met BBS+-handtekeningen of met zero-knowledge proofs uitsluitend het gevraagde attribuut. Dat sluit aan op de AVG-eisen rond dataminimalisatie en op de NBVC-principes voor privacy-by-design. Organisaties die nu met DigiD alleen het BSN ontvangen, moeten hun businesslogica aanpassen zodat beslissingen kunnen worden genomen op basis van attributen als leeftijdscategorie, verblijfsstatus of beroepskwalificatie zonder het volledige document te hoeven zien. Dat vraagt om een nauwe samenwerking tussen juridische teams, informatie-architecten en applicatieontwikkelaars.
Het technische raamwerk omvat ook governancecomponenten. Dienstverleners moeten hun wallet-endpoints registreren bij de Europese Federation Gateway, TLS 1.3 met post-quantum-voorbereide suites afdwingen en attestvalidaties loggen in een onveranderbaar auditregister dat desnoods via Microsoft Purview of Sentinel wordt bewaakt. Binnen de Nederlandse overheid hoort daar een security-operations-runbook bij dat vertrouwt op near-realtime monitoring van eIDAS-connectoren, HSM-statussen en sleutelrotaties. Elke afwijking, zoals een signature failure of een ongeautoriseerd attributenverzoek, moet via geautomatiseerde playbooks leiden tot blokkade van de betrokken dienst totdat onderzoek klaar is.
Tot slot vereist interoperabiliteit een reeks proeven met buurlanden. Binnen het Europa-brede Large Scale Pilots-programma kunnen Nederlandse ministeries scenario’s uitwerken met Belgische en Duitse wallets voor grensarbeid, mobiliteitsdiensten en onderwijsinschrijvingen. Deze scenarioproeven dienen niet alleen voor techniek, maar ook voor juridische interpretaties van aansprakelijkheid, vertrouwensniveaus en incidentmelding. Door al in 2025 te oefenen met fallback-scenario’s waarin de EU-wallet tijdelijk niet beschikbaar is, borgen organisaties dat dienstverlening doorgaat en dat dashboards direct laten zien hoeveel transacties via DigiD, via de EU-wallet of via sectorale alternatieven lopen. Zo wordt standaardisatie een continu verbeterproces in plaats van een statische compliance-eis.
DigiD Coëxistentie: Transitie Strategie
De coëxistentie van DigiD en de EU Digital Identity Wallet is geen kort project maar een programma van tien jaar of langer. Vanaf 2026 moet iedere publieke dienst wallet-authenticatie accepteren, terwijl DigiD voorlopig de dominante voorziening blijft. Programmamanagers doen er goed aan om de portefeuilles van diensten in segmenten te verdelen: hoogvolume selfservice, gespecialiseerde ketenprocessen en kritieke bestuurlijke transacties. Elk segment krijgt een eigen roadmap met aandacht voor betrouwbaarheidsniveaus, gebruikerservaring, juridische implicaties en benodigde investeringen. Door deze segmentatie sluit de overgang aan op de Nederlandse Baseline voor Veilige Cloud en blijft bestuurlijke verantwoording transparant.
Technisch betekent co-existentie dat applicaties zowel met het DigiD-koppelpunt als met de Europese walletconnector moeten kunnen communiceren. De bestaande SAML- en OpenID-Connect-profielen van DigiD worden uitgebreid met walletprofielen gebaseerd op OAuth 2.0, DIDComm en EUDI Wallet API’s. IT-afdelingen richten hiervoor een identiteitslaag in waarin attributendiensten, consentregistraties en logging herbruikbare componenten zijn. Nieuwe cloud-native applicaties koppelen rechtstreeks aan deze laag, terwijl legacy-systemen via adaptors of API-gateways meeprofiteren. Zo hoeft iedere dienstverlener niet afzonderlijk het complexe walletprotocol te implementeren en blijft lifecyclemanagement centraal georganiseerd.
Gebruikersadoptie vraagt om duidelijke communicatie, begeleide onboarding en tastbare voordelen. Overheden kunnen scenario’s creëren waarin de wallet het opnieuw aanleveren van documenten overbodig maakt of waarin burgers sneller een terugkoppeling ontvangen omdat herauthenticatie automatisch verloopt. Tegelijkertijd moeten DigiD-gebruikers niet worden uitgesloten. Dat betekent dat formulieren, helpteksten en callcenters dezelfde dienstverlening bieden, ongeacht het gekozen middel. Alleen de beleving verschilt doordat walletgebruikers bijvoorbeeld attributen persistent kunnen opslaan en notificaties krijgen wanneer een credential verloopt. Door deze differentiatie zorgvuldig uit te leggen, wordt de overstap aantrekkelijk zonder dat er dwang ontstaat.
Een zorgvuldig transitieplan adresseert ook de backoffice. Elke processtap waarin nu een BSN of scan van een document wordt gevraagd, moet worden herzien. Functioneel beheerders bepalen welke attributen minimaal nodig zijn en zorgen dat verwerkende systemen die attributen kunnen interpreteren. Daarnaast zijn er afspraken nodig over fallback: wat gebeurt er wanneer een walletcredential niet kan worden geverifieerd of wanneer een buitenlandse wallet tijdelijk niet beschikbaar is? In die gevallen moet DigiD, een sectorale eHerkenning-variant of zelfs fysieke dienstverlening het overnemen zodat wettelijke termijnen worden gehaald. Dit vereist ketentesten met uitvoeringsorganisaties, gemeenten en private partners.
Organisaties mogen de menselijke factor niet onderschatten. Helpdesks, gemeentelijke balies en callcenters krijgen nieuwe procedures voor het ondersteunen van walletgebruikers, inclusief uitleg over het delen van attributen, het herstellen van een verlopen credential en het herkennen van fraudepatronen. Security officers ontwikkelen daarbij runbooks waarin beschreven staat welke incidenten via het Nationaal Detectie Netwerk of via Europese meldpaden moeten worden gedeeld. Trainingen combineren juridische kennis over AVG, eIDAS en Archiefwet met hands-on simulaties zodat medewerkers weten hoe ze burgers begeleiden zonder onbedoeld extra gegevens op te vragen.
Governance en rapportage vormen het sluitstuk. Elke organisatie zou een stuurdashboard moeten inrichten waarop zichtbaar is welk percentage transacties via DigiD, via de EU-wallet of via andere middelen verloopt, welke betrouwbaarheidsniveaus zijn gerealiseerd en waar incidenten plaatsvinden. Deze data voedt besluitvorming over verdere investeringen en ondersteunt ENSIA-, BIO- en NIS2-audits. Door ook klanttevredenheid, doorlooptijden en ketenkosten te meten, kan het bestuur onderbouwen dat de wallet niet alleen een verplichte Europese maatregel is, maar concrete waarde levert voor dienstverlening en veiligheid. Pas dan ontstaat een duurzaam evenwicht tussen innovatie en inclusiviteit.
De EU Digital Identity Wallet luidt een nieuw hoofdstuk in voor digitale identiteit. Nederlandse overheden moeten daarom nu investeren in standaarden, privacybescherming en grensoverschrijdende interoperabiliteit, terwijl DigiD beschikbaar blijft voor doelgroepen die daar nog op leunen.
Succesvolle implementatie vraagt om een langjarige roadmap: ondersteuning van beide middelen, incentives voor wallet-gebruik, heldere afspraken met uitgevende instanties en continue tests met Europese partners. Wie die stappen vroeg zet, voorkomt hectiek richting de deadline en staat sterker in Europese werkgroepen waar de standaarden verder worden aangescherpt.
Kortom: behandel eIDAS 2.0 niet als een verplicht nummer, maar als kans om identity-architecturen te moderniseren en dienstverlening toekomstbestendig te maken.