Wat betekent eIDAS 2.0 voor gemeenten?

Wat betekent eIDAS 2.0 voor gemeenten?

Yivi Team 12 min read
eIDAS EUDI Wallet gemeente digitale identiteit authentieke bron relying party BRP basisregistraties privacy by design open standaarden

Een praktische uitleg over de Europese digitale identiteit, de EUDI-wallet en wat er concreet op gemeenten afkomt, inclusief de letterlijke wetsartikelen.

Met de eIDAS 2.0-verordening, officieel Verordening (EU) 2024/1183, krijgt iedere Europeaan recht op een Europese digitale identiteits wallet (de EUDI-wallet). De verordening trad op 20 mei 2024 in werking en wijzigt de oorspronkelijke eIDAS-verordening (910/2014). Iedere lidstaat moet uiterlijk eind 2026 minstens één gecertificeerde wallet beschikbaar stellen aan iedereen die erom vraagt.

Voor gemeenten is dat geen abstract Brussels dossier. Als dienstverlener en als authentieke bronhouder zitten gemeenten op meerdere plekken in de keten. Dit artikel zet op een rij wat de verordening concreet van gemeenten vraagt, met de relevante artikelen erbij, en waar de echte keuzes en risico’s liggen.

De kern: gemeenten in twee rollen

De verordening raakt gemeenten in grofweg twee rollen: als relying party die wallets accepteert en gegevens uitvraagt, en als issuer die geverifieerde attributen levert vanuit een authentieke bron. De eerste is een harde plicht; de tweede hangt sterk af van de nationale uitwerking en van keuzes die nog gemaakt worden.

1. Relying party: de wallet accepteren en gegevens uitvragen

Dit is de stevigste verplichting. Voor online diensten waarvoor nu wordt ingelogd op niveau substantieel of hoog (denk aan DigiD), moet een gemeente straks ook de EUDI-wallet accepteren als een burger die wil gebruiken. Ook erkende identiteitsmiddelen uit andere EU-lidstaten mogen niet worden geweigerd.

De VNG en Nederlandse dienstverleners gaan er in hun planning van uit dat deze acceptatieplicht voor (semi-)publieke dienstverleners rond 20 november 2026 gaat gelden, naast de bestaande middelen DigiD en eHerkenning. De exacte datum hangt af van de Europese uitvoeringshandelingen, maar de richting is duidelijk: accepteren wordt verplicht, niet optioneel.

Bij die rol hoort een voorwaarde: een gemeente mag niet zomaar gegevens uit een wallet uitvragen. Als relying party (vertrouwende partij) moet je je vooraf registreren en daarbij opgeven welke attributen je nodig hebt. De verordening dwingt zo dataminimalisatie af: je vraagt alleen wat je echt nodig hebt, en de burger ziet en bevestigt dat. De VNG onderzoekt op dit moment hoe dit relying-party-register er voor Nederlandse overheden uit moet zien.

2. Issuer: authentieke bronhouder van attributen

Deze rol is de meest onderschatte. Sommige gegevens die burgers via hun wallet willen delen, moeten verifieerbaar zijn tegen de authentieke bron. Voor een groot deel van die gegevens is de gemeente die bron, en daarmee de partij achter de attestaties die daarover worden uitgegeven.

Wat is een “authentieke bron”? De definitie uit de wet

De verordening definieert het begrip in artikel 3. De Nederlandse tekst luidt:

*“authentieke bron”: een register of systeem, onder de verantwoordelijkheid van een openbare instantie of private entiteit, dat attributen omtrent een natuurlijke of rechtspersoon of een voorwerp bevat en verstrekt, en als een primaire bron van die informatie wordt beschouwd of krachtens Unie- of nationaal recht, met inbegrip van de bestuursrechtelijke praktijken, als authentiek wordt erkend;

— Artikel 3, Verordening (EU) 2024/1183

Twee dingen vallen hieraan op. Ten eerste hoeft een authentieke bron geen formele basisregistratie te zijn: het volstaat dat het systeem als primaire bron geldt of als authentiek wordt erkend, uitdrukkelijk “met inbegrip van de bestuursrechtelijke praktijken”. Ten tweede is wel een register of systeem vereist: een vergunning die alleen als losse papieren beschikking bestaat, is op zichzelf nog geen authentieke bron.

De verplichting: attributen verifieerbaar maken

De spil van de issuer-rol zit in de bepalingen over elektronische attestering van attributen (artikel 45 sexies, met bijlage VI). De verordening verplicht lidstaten om ervoor te zorgen dat authentieke gegevens uit publieke bronnen elektronisch geverifieerd kunnen worden:

De lidstaten waarborgen binnen 24 maanden na de datum van inwerkingtreding van de in artikel 5 bis, lid 23, en artikel 5 quater, lid 6, bedoelde uitvoeringshandelingen dat er, ten minste voor de in bijlage VI vermelde attributen, voor zover die authentieke bronnen binnen de publieke sector gebruiken, maatregelen worden genomen zodat gekwalificeerde verleners van vertrouwensdiensten elektronische attesteringen van attributen afgeven die attributen langs elektronische weg kunnen verifiëren op verzoek van de gebruiker, overeenkomstig het Unie- of nationaal recht.

— Artikel 45 sexies, lid 1, Verordening (EU) 2024/1183

Deze plicht geldt ten minste voor de attributen in bijlage VI van de verordening:

Bijlage VI, minimumlijst van attributen

  1. adres;
  2. leeftijd;
  3. geslacht;
  4. burgerlijke staat;
  5. gezinssamenstelling;
  6. nationaliteit of staatsburgerschap;
  7. onderwijskwalificaties, -titels en -diploma’s;
  8. beroepskwalificaties, -titels en -licenties;
  9. bevoegdheden en mandaten om natuurlijke of rechtspersonen te vertegenwoordigen;
  10. openbare vergunningen en licenties;
  11. voor rechtspersonen: financiële en bedrijfsgegevens.

Belangrijk: het is een plicht op verzoek van de gebruiker, geen plicht om proactief attestaties uit te delen. En de plicht bijt alleen wanneer het attribuut daadwerkelijk berust op een authentieke bron binnen de publieke sector.

De PubEAA: een route, geen vrijblijvendheid

Hier wordt vaak te kort door de bocht gegaan. De PubEAA (public electronic attestation of attributes) is een attestatie die wordt uitgegeven door, of namens, een publieke instantie die verantwoordelijk is voor een authentieke bron (artikel 45 septies en bijlage VII). Het aantrekkelijke is dat een overheid attestaties kan afgeven over gegevens die ze toch al beheert, zonder afhankelijk te zijn van een gekwalificeerde vertrouwensdienstverlener (QTSP).

De stelling “er is geen plicht” klopt alleen voor het instrument. De onderliggende plicht is er wel degelijk: artikel 45 sexies verplicht lidstaten om ervoor te zorgen dat attributen die berusten op authentieke bronnen binnen de publieke sector (ten minste die uit bijlage VI) op verzoek van de gebruiker elektronisch geverifieerd kunnen worden. Via de nationale uitwerking landt die plicht bij de bronhouders zelf, en voor veel van die gegevens is de gemeente de bronhouder.

Twee dingen zijn daarbij belangrijk:

  1. Het gaat altijd om een verzoek van de gebruiker. De burger neemt het initiatief; er wordt niets proactief over inwoners uitgedeeld of aan inwoners opgelegd.
  2. De keuze zit in het mechanisme, niet in het meedoen. Een gemeente die een authentieke bron beheert moet het attribuut op verzoek leverbaar of verifieerbaar maken. Of dat gebeurt via verificatie tegen de bron (door een QTSP) of doordat de gemeente zelf PubEAA’s uitgeeft, is een implementatiekeuze. Niet vrijblijvend is dát het attribuut op verzoek geleverd kan worden.

“Moeten we PubEAA’s uitgeven?” is dus de verkeerde vraag. PubEAA’s uitgeven is één route en op zichzelf niet verplicht, maar als authentieke bron eraf blijven en het attribuut helemaal niet beschikbaar maken is geen optie.

Voor welke gegevens is de gemeente dan de bron?

In het Nederlandse stelsel zijn gemeenten bronhouder van een aantal basisregistraties:

  • BRP, Basisregistratie Personen: adres, leeftijd, burgerlijke staat, nationaliteit, gezinssamenstelling. Hiermee dekt de gemeente een groot deel van de persoonsgegevens uit bijlage VI.
  • BAG, Basisregistratie Adressen en Gebouwen.
  • BGT, Basisregistratie Grootschalige Topografie (gedeeld bronhouderschap).
  • WOZ, Waardering Onroerende Zaken.

Voor deze gegevens, met name via de BRP, ligt de reële impact van eIDAS 2.0 voor gemeenten.

BRP versus de PID: vul aan wat de PID niet doet

Bij de BRP is een belangrijke nuance op zijn plaats, want hier ontstaat overlap met de PID (person identification data), de basisidentiteit die elke EUDI-wallet bij uitgifte krijgt. De PID-rulebook bepaalt wat daarin zit: naam, geboortedatum, geboorteplaats en nationaliteit zijn verplicht, en zaken als woonadres en geslacht zijn optioneel meegenomen. Die gegevens komen weliswaar uit de BRP, maar worden centraal als PID uitgegeven, niet door de gemeente zelf. Het heeft dus geen zin om als gemeente diezelfde attributen nog een keer te willen attesteren.

De toegevoegde waarde van de gemeente zit juist in de bijlage VI-attributen die de PID niet dekt. De PID bevat geen burgerlijke staat en geen gezinssamenstelling, terwijl dat allebei wel op de bijlage VI-lijst staat en de gemeente daarvan de authentieke bron is. Ook dedicated leeftijdsattributen (zoals “ouder dan 18”) zitten niet standaard in de PID; die zijn er bewust uitgehaald. Daar ligt de concrete rol van de gemeente: niet de PID dupliceren, maar de aanvullende, geverifieerde feiten leverbaar maken die een wallet anders niet uit de PID kan halen.

En vergunningen?

Bijlage VI noemt expliciet “openbare vergunningen en licenties”. Veel gemeentelijke vergunningen (omgevingsvergunning, en APV/bijzondere-wetvergunningen zoals evenementen-, terras-, standplaats- of Alcoholwetvergunning) vallen daar in beginsel onder. Toch is er voor vergunningen geen aparte basisregistratie en geen wettelijk aangewezen landelijke authentieke bron.

Dat betekent niet dat er geen bron bestaat. Gemeenten leggen vergunningen wel degelijk vast in VTH-zaaksystemen (Vergunningverlening, Toezicht en Handhaving), omgevingsvergunningen lopen via het Digitaal Stelsel Omgevingswet, en voor specifieke domeinen bestaan landelijke registers (bijvoorbeeld het Landelijk Register Kinderopvang). Omdat de gemeente per definitie de primaire bron is van de vergunningen die zij zelf verleent, voldoet zo’n administratie in beginsel al aan de wettelijke definitie van authentieke bron, ook zonder formele basisregistratie-status.

De echte hindernis voor vergunningen is dus niet het ontbreken van een register, maar drie andere dingen:

  1. erkenning/aanwijzing dat dit systeem de authentieke bron is;
  2. standaardisatie, nu zijn het honderden losse gemeentelijke systemen;
  3. een elektronische verificatievoorziening waarmee een wallet of trustdienstverlener het attribuut geautomatiseerd kan natrekken.

De VNG waarschuwt in haar uitvoeringsanalyse dat als iedere gemeente afzonderlijk verificatie-infrastructuur moet inrichten voor elke authentieke bron, een “complex en moeilijk bestuurbaar landschap van honderden decentrale voorzieningen” ontstaat, met “zeer substantiële” impact. De inzet is daarom om dit zoveel mogelijk centraal te beleggen (bijvoorbeeld via een centrale verstrekkingsvoorziening op de BRP), zodat individuele gemeenten ontzorgd worden.

De tijdlijn in het kort

  • 20 mei 2024, verordening in werking.
  • 2024 tot 2026, Europese uitvoeringshandelingen en technische standaarden (de Architecture and Reference Framework van de EUDI-wallet).
  • Eind 2026, iedere lidstaat stelt minstens één gecertificeerde wallet beschikbaar.
  • ~20 november 2026, verwacht startpunt acceptatieplicht voor (semi-)publieke dienstverleners (exacte datum afhankelijk van uitvoeringshandelingen).

De VNG zegt: wachten. Maar is dat wel verstandig?

De officiële lijn van de VNG is in de kern: bereid je technisch voor, maar wacht met echte toepassing tot het nationale EDI-stelsel en de bijbehorende randvoorwaarden er zijn. Pas als er een werkend stelsel is, een Nederlandse wallet, duidelijkheid over de acceptatieplicht en voldoende landelijke dekking, wordt actie vanuit gemeenten volgens de VNG opportuun. Bestuurlijk is dat begrijpelijk: niemand wil bouwen op fundamenten die nog kunnen verschuiven.

Toch zitten er aan dat wachten reële nadelen, en het is de vraag of het de verstandigste houding is.

Ten eerste: de landen om ons heen wachten niet. France Identité draait al in productie, met miljoenen uitgegeven digitale identiteiten, en bouwt in hoog tempo door richting een volwaardige EUDI-wallet, inclusief tests met relying parties en functies als leeftijdsverificatie. Terwijl Nederland op zijn randvoorwaarden wacht, doen andere lidstaten al praktijkervaring op met burgers, dienstverleners en echte transacties. Wie pas instapt als alles vaststaat, begint met een achterstand in kennis en routine die niet vanzelf is ingelopen.

Ten tweede: wachten is een slecht plan in een samenleving waarin de sociale dienstverlening onder druk staat. Juist daar kunnen wallets het leven aanzienlijk eenvoudiger maken. Denk aan iemand die een meedoenregeling of een andere voorziening wil aanvragen: in plaats van bewijsstukken verzamelen, scannen en uploaden, deelt de inwoner met één handeling precies de gewaarmerkte gegevens die nodig zijn. Dat verlaagt de drempel voor mensen die de regeling het hardst nodig hebben, en het verlicht tegelijk de werklast aan de balie. Elk jaar wachten is een jaar waarin die winst niet wordt gepakt.

Ten derde: er is veel meer dan identificeren. De discussie gaat bijna altijd over inloggen, maar wallets zijn breder inzetbaar. Vergunningverlening rond evenementen is een mooi voorbeeld: een organisator die aantoonbaar aan voorwaarden voldoet, een vrijwilliger die een bepaalde kwalificatie laat zien, of een standhouder die zijn inschrijving deelt. Dat zijn relatief laagdrempelige, afgebakende toepassingen waarmee een gemeente nu al praktijkervaring kan opdoen, zonder te wachten op het complete stelsel. Beginnen bij dit soort use-cases is een veilige manier om te leren lopen voordat de acceptatieplicht echt gaat knellen.

De boodschap is dus niet “negeer de VNG”, maar: voorbereiden en experimenteren sluiten elkaar niet uit. Wie nu kleinschalig begint met concrete, nuttige toepassingen, staat straks veel sterker dan wie heeft stilgezeten tot het laatste randvoorwaardelijke vinkje is gezet.

Wat moeten gemeenten nu doen?

Concreet en zonder te wachten op het laatste detail:

  1. Breng je digitale diensten in kaart waarvoor nu op substantieel/hoog niveau wordt ingelogd, daar komt de acceptatieplicht te liggen.
  2. Volg het relying-party-register en bereid je voor op registratie en op het principe van dataminimalisatie.
  3. Bepaal je rol als bronhouder, vooral rond de BRP, en sluit aan bij landelijke/centrale voorzieningen in plaats van zelf alles te bouwen.
  4. Houd vergunningen op de radar: nog geen harde plicht, maar wel een waarschijnlijke volgende stap zodra bronnen worden aangewezen.
  5. Denk privacy by design vanaf het begin in: de wallet draait om regie bij de burger en minimale gegevensdeling.

Privacy by design: het hele punt van de wallet

Dat laatste punt is geen bijzaak. eIDAS 2.0 verplaatst de regie naar de burger: die bepaalt welke attributen worden gedeeld, met wie en voor hoe lang. Technieken als selective disclosure, alleen “ouder dan 18” delen in plaats van je volledige geboortedatum, maken het mogelijk om diensten te verlenen met een minimum aan persoonsgegevens.

Dat is precies de filosofie waarop Yivi is gebouwd: open source, privacy by design en gegevensdeling die de gebruiker zelf in handen heeft. Voor gemeenten die nu nadenken over hun rol in het wallet-tijdperk is dat een nuttig ijkpunt: de verordening schrijft niet alleen voor dat je gegevens accepteert en verstrekt, maar nodigt uit om dat te doen op een manier die de privacy van inwoners maximaal respecteert.


Bronnen

Dit artikel is een toelichting op hoofdlijnen en geen juridisch advies. Voor de toepassing op een specifieke situatie zijn de definitieve verordeningstekst en de Nederlandse implementatiewetgeving leidend.