eIDAS: Het notificeren van eID's

Noticiferen, hoe gaat dat nu in zijn werk? En hoe staat het notificeren voor eIDAS er inmiddels voor in Europa? 

eIDAS

Europese burgers en bedrijven moeten sinds 29 september 2018 bij alle Nederlandse publieke organisaties en private organisaties met een publieke taak kunnen inloggen met een door Europa erkend nationaal inlogmiddel. Dat hebben de EU lidstaten met elkaar afgesproken in de eIDAS-verordening. Burgers uit Duitsland kunnen sindsdien met hun nationale eID (“Neue Personalausweis”) inloggen bij overheidsdiensten in andere EU landen.  Ook Estland is sinds januari 2019 technisch aangesloten. Maar het is de bedoeling dat uiteindelijk burgers uit alle 28 EU lidstaten dit gaan kunnen.

Om dit mogelijk te maken, moet de overheid van een land een eID dat daar nationaal gebruikt wordt ‘notificeren’.  Daarmee vragen ze feitelijk aan de andere landen om dat middel te accepteren.

 

Notificeren: verschillende fasen

Notificatie behelst natuurlijk meer dan een simpel mailtje met de vraag om een eID te gaan erkennen. Uiteindelijk moet een eID worden opgenomen in het hele Europese eIDAS-netwerk. Daarvoor moet worden aangetoond dat het eID voldoet aan de juridische en technische vereisten. Dat verloopt in verschillende fasen:

  • Pre-notificatie: De intentie van een land om een eID te notificeren.

Een wettelijk vertegenwoordiger van de overheid, zoals een minister of staatssecretaris, dient een officieel verzoek in bij de Europese Commissie om een eID te accepteren. Bij dat verzoek wordt documentatie aangeleverd waarin beschreven staat hoe het eID voldoet aan de eIDAS-vereisten en hoe de criteria voor het aangegeven betrouwbaarheidsniveau worden gehaald. Ook zitten hier beschrijvingen in van de functionele werking en de wijze waarop toezicht geregeld is.

  • Peer Review: Andere landen controleren de informatie.

Er wordt een team samengesteld met leden uit verschillende landen die ‘onder de motorkap’ gaan kijken: ze controleren de documentatie die is aangeleverd bij prenotificatie en stellen aanvullende vragen. Als het gaat om een eID-stelsel waarbij verschillende partijen (mogelijk ook private organisaties) betrokken zijn, dan worden die organisaties ook bevraagd en gecontroleerd. Op basis van deze controles wordt een uitspraak gedaan over of er voldoende is aangetoond dat het eID voldoet aan alle gestelde vereisten. Deze fase duurt maximaal 3 maanden.

  • Notificatie: Na de formele uitspraak uit de peer review moet de overheid van het land een formeel verzoek tot notificatie indienen. De Europese Commissie bekrachtigd dit dan door publicatie van de notificatie (uiterlijk binnen 2 maanden).

 

Duitsland heeft deze notificatieprocedure online gedocumenteerd. Deze beschrijving (in het Engels) geeft een inkijkje in de inhoud ervan: eIDAS Notification of the German eID

 

Notificeren, en dan?

Na notificatie is een land niet meteen ook technisch aangesloten. Alle lidstaten moeten een genotificeerd middel integreren in hun nationale eIDAS-node. Daarvoor krijgen ze ruim de tijd (12 maanden na publicatie moet dit geregeld zijn). De meeste landen pakken dit gelukkig een stuk sneller op. Toch lukt het niet altijd om landen meteen aan te sluiten. Hoewel eIDAS een gestandaardiseerd en beschreven netwerk is, zijn de nationale eID-oplossingen onderling allemaal heel verschillend. Behalve dat een eIDAS-node in een land aangepast moet worden om eID’s uit een ander land te accepteren, moet binnen dat ‘uitgaande’ land zelf ook nog aardig wat werk verricht worden om goed de authenticaties af te handelen en de attributen correct door te geven.

 

Status EU lidstaten

Duitsland en Estland zijn genotificeerd en technisch aangesloten. Vrij snel na invoering van eIDAS heeft ook Italië haar eID-oplossing genotificeerd. Italië werkt met een stelsel waarbinnen verschillende partijen middelen aanbieden (vergelijkbaar met eHerkenning in Nederland). Italië werkt nu nog aan de koppeling met de rest van de EU.

Inmiddels hebben in 2018 meer landen het notificatieproces volledig doorlopen: Spanje, Kroatië en Luxemburg staan allemaal klaar om de technische aansluiting te maken. België en Portugal hebben de Peer Review succesvol afgerond en zullen daar op korte termijn bij aansluiten.

Voor een overzicht van de notificatiestatus per land: Overzicht notificatiestatus februari 2019

We verwachten dat in februari een heel aantal van deze landen bereikbaar worden op de Nederlandse eIDAS node. Met een aantal van deze landen, zoals België, zijn er voor verschillende pilots al verbindingen geweest, dus we weten dat die technisch goed werken.

 

En hoe ver is Nederland?

Nederland is net gestart met notificatie: 11 december 2018 heeft de overheid een verzoek tot prenotificatie van eHerkenning ingediend. Daarmee zullen Nederlandse organisaties in de toekomst kunnen inloggen in de andere EU-landen. De Nederlandse burgers zullen nog iets langer geduld moeten hebben, want binnen Digid zijn nog een aantal ontwikkelingen die eerst afgerond moeten worden voordat daar de notificatie van gestart kan worden. Ook dat staat gepland voor 2019.

Naast Nederland hebben Tsjechië en het Verenigd Koninkrijk prenotificatie aangevraagd. Het Verenigd Koninkrijk stapt daarmee heel bewust in de Europese “digital single market” waar het tegelijkertijd actief uit de Europese Unie vertrekt.

 

Met deze optelsom komen we in 2019 tot 11 aangesloten landen. Nog 17 te gaan…..