Het recent afgeronde DC4EU-project onderzocht hoe de digitale identiteitsportefeuille en “verifiable credentials” (digitaal verifieerbare attesten/documenten) in de praktijk kunnen werken over landsgrenzen heen.
Europa staat aan de vooravond van een fundamentele verandering in de manier waarop burgers zich digitaal identificeren en officiële documenten gebruiken. Met de herziening van de eIDAS-verordening wil de Europese Unie evolueren naar een uniforme digitale identiteitsportefeuille voor alle burgers.
“Tegen eind 2026 moeten alle lidstaten een digitale identiteitsportefeuille beschikbaar stellen aan hun burgers”, vertelt Fabien Petitcolas, Information Security Specialist bij Smals Research tijdens een ResearchTalk. België behoort tot de voortrekkers met MyGov.be, de nationale implementatie van die Europese Digital Identity Wallet.
Het Europese pilootproject DC4EU testte de digitale portefeuille en bijhorende “verifiable credentials” op grote schaal. Smals werkte samen met 80 andere Europese partners aan dit project. Petitcolas blikt terug op de lessen uit dat project en schetst hoe digitale identiteiten in Europa vorm krijgen.
eIDAS als startpunt
“In 2014 heeft Europa de eIDAS-verordening ingevoerd die het regulerend kader vormde voor de online vertrouwensdiensten en later ook de online identiteit”, weet Petitcolas. De initiële eIDAS had als doel om gemeenschappelijke regels voor elektronische identificatie en handtekeningen te creëren tussen alle Europese lidstaten. Maar door de snel veranderende technologische ontwikkelingen, moest de verordening mee evolueren.
Digitale identiteitsportefeuille
“Tien jaar na de eerste eIDAS-verordening werd er een herziening doorgevoerd waarbij Europa aandrong op een Digital Identity Wallet”, vertelt Petitcolas. Deze portefeuille omvat de digitale variant van je identiteitskaart en rijbewijs, maar ook andere documenten zoals aktes en attesten.
Alle Europese burgers zullen een digitale versie kunnen hebben van hun fysieke portefeuille.
Fabien Petitcolas, Information Security Specialist bij Smals Research
De verordening stelt dat alle Europese lidstaten tegen eind 2026 een digitale portefeuille beschikbaar moeten stellen aan hun burgers. België heeft zijn huiswerk alvast gemaakt. In mei 2024 kondigde FOD BOSA, de federale overheidsdienst voor Beleid en Ondersteuning, een digitale identiteitsportefeuille aan: MyGov.be. Deze mobiele applicatie is gratis te downloaden via Google Play of Apple App Store. Smals, de ICT-dienstverlener voor de Belgische overheid, werkte mee achter de schermen van de applicatie.
DC4EU-project
“DC4EU (Digital Credentials for Europe) is één van de vier pilootprojecten dat gefinancierd werd door de Europese Unie, in het kader van de eIDAS-verordening”, begint Petitcolas. Het DC4EU-project is ondertussen afgerond en had als doel de digitale portefeuille en “verifiable credentials” op grote schaal te testen in realistische scenario’s.
Petitcolas: “Het project richtte zich hoofdzakelijk op twee aspecten: onderwijs en sociale zekerheid. Meer specifiek, voor deze laatste, werden de Europese ziekteverzekeringskaart en de draagbare A1-documenten voor mensen die werken in het buitenland belicht. Met deze documenten kunnen Europese burgers beroep doen op gezondheidszorg in andere EU-landen”.
lees ook
Digitale identiteitskaart komt eraan in november 2026
Het pilootproject werd ondersteund door 80 partners in heel Europa, waaronder ook Smals, en de Belgische Kruispuntbank voor Sociale Zekerheid. Ook de Rijksdienst voor Sociale Zekerheid was, als uitgever van A1-attesten, betrokken partij. “Het project is een eerste stap in de evolutie van het gebruik van deze digitale portefeuilles”, aldus Petitcolas.
Vertrouwensketen
Petitcolas benadrukt dat de vertrouwensketen een cruciale rol speelt in het Europese systeem van digitale identiteiten. “We nemen het voorbeeld van een A1-formulier van een Belgische persoon dat in Duitsland gecontroleerd wordt door de lokale arbeidsinspectie. Dat document wordt uitgegeven door de RSZ in België.” Die instantie wordt op haar beurt erkend op Europees niveau binnen een gemeenschappelijke vertrouwensinfrastructuur.
“Wanneer een controle plaatsvindt in Duitsland, hoeft dat land niet rechtstreeks de Belgische instelling te vertrouwen”, gaat hij verder. “Het vertrouwt op het Europese niveau dat bevestigt dat de RSZ bevoegd is om dit document uit te geven.”
Zo ontstaat een gelaagde vertrouwensketen van nationale uitgifte via Europese erkenning naar grensoverschrijdende controle, waardoor landen geen aparte bilaterale afspraken moeten maken. Volgens Fabien is dit technisch geen struikelblok meer: de standaarden en infrastructuur bestaan, de echte uitdaging zit in het organiseren van vertrouwen en het afstemmen van processen tussen lidstaten.
Verifieerbare credentials
De digitale identiteitsportefeuille rust op het principe van verifiable credentials. Dit zijn digitale en cryptografisch beveiligde versies van fysieke certificaten die iets over een persoon kunnen bewijzen, “terwijl de vrijgegeven informatie tot een minimum wordt beperkt”, legt Petitcolas uit. Voorbeelden hiervan zijn je identiteit, rijbewijs, certificaten of bijvoorbeeld het A1-attest.
Alles wat vandaag op papier bestaat, kan in principe als verifieerbare credential bestaan.
Fabien Petitcolas, Information Security Specialist bij Smals Research
Deze verifieerbare credentials werden in het DC4EU-project door Smals en andere partners uitvoerig getest in de praktijk. Volgens Petitcolas doen deze digitale attesten in essentie hetzelfde als hun papieren tegenhanger, maar met bijkomende voordelen (en nadelen).
Privacy gewaarborgd
Volgens Petitcolas zou de digitale portefeuille een stap vooruit in termen van privacy kunnen zijn. Eén van de mogelijke privacyvoordelen is dat gebruikers niet gelinkt kunnen worden aan hun gegevens. Petitcolas licht toe: “Het idee zou zijn dat wanneer je op een website moet aantonen dat je ouder bent dan 18 jaar, kan je dat met je ‘ verifiable credential’ identiteitskaart bevestigen. Bezoek je nadien nogmaals diezelfde website, zal je dat telkens opnieuw moeten bewijzen.” De website is dus niet in staat om te achterhalen of die persoon dezelfde is.
lees ook
Smals toont hoe een digitale overheid wél kan werken
“Een ander aspect dat vermeld werd in de Europese regelgeving, is de ‘selective disclosure’”, gaat Petitcolas verder. “Een identiteitskaart bevat informatie zoals je naam en identiteitskaartnummer. We nemen het voorbeeld van de leeftijdsverificatie er opnieuw bij. Je wilt bewijzen dat je ouder bent dan 18 jaar, maar zonder gegevens zoals je naam en geboortedatum bloot te geven. De selectieve openbaring laat toe om enkel te bewijzen dat je ouder dan 18 jaar bent, zonder extra informatie te geven.”
“Hoewel de implementatie er vandaag nog niet is, laten de ‘verifiable credentials’ standaarden deze privacyvoordelen wel toe.”
Fundering gelegd
Het DC4EU-project is inmiddels afgerond en vormt een belangrijke mijlpaal in de ontwikkeling van digitale identiteitsportefeuilles. “Het project heeft voor vooruitgang gezorgd en veel zaken opgeklaard”, zegt Petitcolas. Die opgedane inzichten zorgen er volgens hem voor dat steeds meer instellingen zullen overwegen om verifieerbare credentials via de digitale portefeuille aan te bieden. Daarbij rijst wel een praktische vraag: “Gaan ze dit zelf doen, of gaan ze een andere bedrijf/instantie inschakelen om dat voor hen te doen?”
Volgens Petitcolas ligt daar een duidelijke rol voor Smals. Dankzij zijn kennis van de technologie en de onderliggende standaarden zou Smals instellingen kunnen begeleiden bij hun aanvragen en hen ondersteunen bij het uitgeven van verifieerbare credentials in de portefeuille van BOSA.
Het DC4EU-project heeft Smals niet alleen technische ervaring opgeleverd, maar ook een bredere kijk op de werking en impact van digitale portefeuilles. Die ervaring vormt volgens Petitcolas een stevige basis om toekomstige toepassingen en uitbreidingen van digitale identiteitsoplossingen verder mee vorm te geven.