Skip to main content

We have a tailored site for international audiences

Blog
Allard Keuter

Tribe Lead Authentication

ID-wallets: wat staat overheidsorganisaties te wachten?

In december 2026 moeten alle EU-burgers over minimaal één ID-wallet beschikken die ze in alle EU-lidstaten kunnen gebruiken. Publieke en semi-publieke dienstverleners hebben vanaf dat moment de verplichting om de erkende wallets te accepteren. Gereguleerde private bedrijven volgen een jaar later. Dat is volgens identity-expert Allard Keuter van Signicat eenvoudiger gezegd dan gedaan. Wat zijn de uitdagingen, en hoe kunnen overheidsorganisaties zich voorbereiden op die acceptatieplicht?

De komst van de nieuwe eIDAS 2.0-verordening bracht de ontwikkeling van een ‘digitale portemonnee’ voor Europese burgers en bedrijven in een stroomversnelling. In deze ‘European Digital Identity Wallet’ (EUDI-wallet) – meestal een app op de smartphone – slaan gebruikers hun door de overheid uitgegeven bronidentiteit op. Hiermee kunnen burgers en bedrijven in heel Europa veilig inloggen bij publieke en private diensten, zonder telkens handmatig gegevens in te voeren.

Maar de Europese ID-wallet is meer dan een nieuwe vorm van DigiD; het is een echte digitale portemonnee met ‘pasjes’ zoals in een fysieke portemonnee. Gebruikers kunnen er niet alleen hun identiteitsgegevens in opslaan, maar ook aanvullende informatie zoals bancaire gegevens, gegevens van de Kamer van Koophandel, rijbewijs of zorg-, bibliotheek- en toegangspassen. Of bijvoorbeeld de inschrijving in een beroepsregister, certificering of diploma’s. Gebruikers houden altijd de controle over deze gegevens. Zij bepalen welke informatie in de wallet wordt verzameld en met wie die informatie wordt gedeeld.

Efficiëntere dienstverlening
De pasjes maken de digitale dienstverlening efficiënter. Met een wallet kunnen gebruikers bijvoorbeeld een parkeervergunning aanvragen door snel kentekengegevens te delen met een gemeente. Of snel een bankrekeningnummer uitwisselen met de Belastingdienst voor een voorlopige teruggave. Overheidsorganisaties profiteren door deze directe datadeling van efficiëntere processen. “Controleslagen achteraf worden overbodig, want de data zijn al gevalideerd voordat ze in de EUDI-wallet komen”, aldus Allard.

In theorie dan. “De praktijk zal in eerste instantie minder rooskleurig zijn”, vreest de Tribe lead Authentication van Signicat. “Eind 2026 moeten Nederlanders kunnen beschikken over ten minste één ID-wallet die door de Nederlandse overheid is erkend onder de herziene eIDAS-verordening, maar dat zou weleens een minimale versie kunnen zijn waarmee je alleen kunt inloggen. Dat kan nu ook al met DigiD en eHerkenning. Het gevaar is dat niemand dan de toegevoegde waarde van de wallet ziet.”

Uitdagingen zijn enorm
Volgens Allard gaat de invoering van de wallets met meerdere uitdagingen gepaard. Hij noemt er drie:

1. Grote verscheidenheid aan wallets
27 EU-lidstaten betekent ook dat er minimaal 27 ID-wallets beschikbaar komen, en voor al die wallets geldt een acceptatieplicht. “Dat wordt een flinke uitdaging, want de ene wallet zal de andere niet zijn”, verwacht Allard. “Hoe goed ook wordt afgedwongen dat die wallets technisch allemaal hetzelfde zijn, er zullen altijd verschillen in implementatie zijn.”

Die verschillen zijn goed te verklaren. “In Nederland zal de Basisregistratie Personen een belangrijke gegevensbron zijn voor de wallet, maar Duitsland kent bijvoorbeeld geen BRP. Dan moet je persoonsgegevens op een andere manier zien te verkrijgen. Dat leidt tot een andere implementatie”, legt Allard uit.

2. Harmonisatie van data kost tijd
Een andere uitdaging heeft volgens Allard te maken met de interoperabiliteit van data binnen de EU. “De wallet draait om het delen van data en faciliteert een soort ‘datadeeleconomie’. Maar het delen van data werkt alleen als data voor iedereen dezelfde betekenis hebben. Het moet duidelijk zijn dat het Hongaarse ‘Kereskedelmi Kamara száma’ hetzelfde is als ons KVK-nummer, en iedereen moet hetzelfde verstaan onder ‘vestigingsplaats’ wat je uit de KVK-gegevens kunt halen. Dat vraagt om harmonisatie, en zover zijn we nog niet.”

Dat die harmonisatie ontbreekt, zorgt ook voor ‘onbalans’ en onduidelijkheid. Allard: “Stel dat Polen in staat is om een btw-nummer uit te geven in een wallet, en Nederland nog niet. Wat betekent de acceptatieplicht dan voor Nederlandse overheidsinstellingen? Moeten ze elk gegeven uit die wallet accepteren? Of de wallet alleen accepteren voor inloggen? In de verordening staat alleen dat wallets geaccepteerd moeten worden. Wat dat precies betekent, wordt beetje bij beetje duidelijker naarmate er meer ‘implementing acts’ worden goedgekeurd.”

3. Speelveld rondom wallets blijft extreem dynamisch
“Het speelveld rondom wallets zal zeker de komende vijf tot tien jaar nog volop in beweging blijven”, waarschuwt Allard. “Aansluiting op de wallets is niet één compliancegedreven project waarna een organisatie klaar is. Stel: de Europese belastingdiensten zijn aangesloten maar definiëren vervolgens wat een btw-nummer is en willen dat gegeven via wallets kunnen ontvangen. Dan moet de aansluiting weer worden aangepast. Vervolgens wil een gemeente voor een bepaalde usecase ook btw-nummers ontvangen. Het proces vereist voortdurende aanpassingen: de manier van koppelen, de gewenste data en de te ontsluiten usecases moeten continu worden afgestemd.”

Ook certificering en de aanmelding op een ‘goedkeuringslijst’ spelen hierbij een rol. Allard legt uit: “Nu moeten organisaties ook al op een goedkeuringslijst staan om DigiD te gebruiken, en hebben ze een PKIoverheid-certificaat nodig. Het verschil is dat de goedkeuringslijst voor de wallet Europa-breed is. Het aanpassen van een aanmelding op die lijst zal waarschijnlijk complex worden. Het proces wordt groter en ingewikkelder, en werkt per attribuut. Als een aanmelding geregeld is voor het uitvragen van voor- en achternaam, en een maand later blijkt geslacht nodig, of daarna geboortedatum, dan moet de procedure telkens opnieuw worden doorlopen. Vooralsnog is onbekend hoe deze procedure eruitziet, want die bestaat nog niet.”

Begin met voorbereiden
Kunnen overheidsorganisaties zich al voorbereiden op de komst van wallets, terwijl er nog zoveel onduidelijk is? “Zeker wel”, zegt Allard resoluut. Hij geeft twee tips:

  • Tip 1: Experimenteer met private wallets

    “Zet proeven op met de private wallets die nu al bestaan”, adviseert Allard. “Yivi is in de overheidssector een aansprekend voorbeeld. Gemeenten zoals Nijmegen doen hier al proeven mee. Denk dan aan het aanvragen van een uitkering of kapvergunning met Yivi, of aan het uitgeven van een parkeer- of kapvergunning rechtstreeks in de Yivi-app van de burger. Door hiermee te experimenteren, ontdek je wat je met zo’n wallet kunt en hoe je je het beste kunt voorbereiden op de nieuwe datagedreven infrastructuur.”
     
  • Tip 2: Werk samen met een specialist

    “Werk samen met een leverancier die gespecialiseerd is in eID’s”, vervolgt Allard. “De acceptatieplicht geldt onder de oude eIDAS-verordening nu al voor verschillende eID’s. Gemeenten moeten niet alleen DigiD en eHerkenning accepteren, maar ook de onder eIDAS erkende eID’s uit de andere EU-lidstaten. Signicat biedt met de Identity Broker een koppelvlak waarmee overheidsorganisaties deze middelen eenvoudig kunnen accepteren.”

“Met hetzelfde koppelvlak kunnen wij ook de nieuwe wallets aansluiten”, besluit Allard. “Zo hebben overheidsorganisaties geen last van de technische verschillen tussen wallets. Wij zorgen ervoor dat updates, nieuwe mogelijkheden en datavelden beschikbaar blijven. De ID-wallet is daarmee simpelweg een extra eID die naadloos in de bestaande processen wordt geïntegreerd. Als een gemeente bijvoorbeeld bankrekeningen wil controleren voordat een huursubsidie wordt verstrekt kunnen wij dat of op de ‘oude’ manier doen, of deze via de wallet gevalideerd beschikbaar stellen, als de gebruiker daarmee instemt natuurlijk.”