Deep Dive: Identiteitsverificatie met eduID – 7 veelgestelde vragen

Hoe weet eduID eigenlijk wie iemand is? 

We hebben een aantal manieren om te verifiëren wie iemand is:

1. Als de gebruiker een instellingsaccount heeft, kan het account gekoppeld worden aan eduID. Dan heeft de instelling de identiteit vastgesteld. 

2. Als de gebruiker een bankrekening in Nederland heeft, kan de identiteit via iDIN geverifieerd worden. Dan heeft de bank de identiteit vastgesteld. Alleen bij Triodos-bank kan dat (nog) niet. 

3. Als de gebruiker een digitale identiteit in een van de op eIDAS aangesloten Europese lidstaten heeft, kan de identiteit via het nationale identiteitsmiddel van dat land geverifieerd worden. Dan heeft de overheid in die lidstaat de identiteit vastgesteld. Het Nederlandse identiteitsmiddel - DigiD - kan niet via eIDAS aangesproken worden voor partijen die aansluiten op een Nederlands eIDAS koppelpunt. 

4. In ontwikkeling: we werken aan het aanmaken van een eduID tijdens het proces van aanmelding, in samenwerking met Studielink en CAMBO. Dan voert Studielink of CAMBO de verificatie uit door de student met DigiD in te laten loggen. De overheid heeft dan de identiteit vastgesteld. 

Wanneer de identiteit van een persoon op een van deze manieren geverifieerd is, duiden we het eduID aan als ‘geverifieerd’. Een eduID kan dus twee verschillende statussen van betrouwbaarheid hebben: wel of niet geverifieerd.  

Hoe gaat het opvragen van geverifieerde eduID’s werken? 

Hiervoor hebben we een aantal nieuwe attributen geïntroduceerd. Deze kunnen instellingen straks uit gaan vragen. Welke attributen dat zijn lees je op onze wiki. Deze gaan we de komende tijd testen. We verwachten dat eind dit jaar de functionaliteit voor de webversie van eduID gereed is. Daarna volgt de eduID app.

In de praktijk betekent het dat we een geverifieerde naam en geboortedatum van de persoon kunnen uitgeven. Je kan dan ook opvragen of een eduID door een instelling of via een andere methode (iDIN of eIDAS) is geverifieerd. Met deze nieuwe attributen kan een instelling bepalen of iemand toegang krijgt tot diensten of applicaties. 

Sommige dingen delen we niet met de ontvangende partij. We delen niet door welke specifieke bank of welk land de verificatie is uitgevoerd en ook niet wanneer de verificatie is uitgevoerd. Dit kan de gebruiker zelf wel zien. Een verificatie verloopt overigens na 6 jaar, daarna vervalt het en moet deze opnieuw worden uitgevoerd. 

We vinden verder dat instellingen er goed over na moeten denken of er alleen geverifieerde gebruikers toegang mogen krijgen tot een dienst. Verificatie is een kostbaar en privacy onvriendelijk proces. Als dat inderdaad nodig is kan er gevraagd worden dat verificatie van een eduID wordt uitgevoerd voordat toegang gegeven wordt tot een dienst. Hoe we dit precies in een aansluitbeleid gaan verwerken onderzoeken we nog. 

Waarom gebruiken we in het Nederlandse onderwijs niet gewoon DigiD? 

Als je deze verschillende opties leest denk je misschien, waarom doen jullie zo moeilijk? Waarom gebruiken we in het onderwijs niet gewoon DigiD?  

Als dat zou mogen, dan hadden we dat waarschijnlijk ook gedaan. Dan hadden we alleen voor personen die geen DigiD hebben iets anders nodig gehad. Het gebruik van DigiD is echter voorbehouden aan overheidsorganisaties en aan processen waarvoor dit wettelijk is vastgesteld. In het onderwijs is dit alleen het geval bij het proces van inschrijven. Voor alle andere processen hebben we dus andere identiteitsmiddelen nodig. 

Wellicht denk je nu: we hadden toch ook ECK iD in het onderwijs? Lees dan deze blog over de verschillen in mogelijkheden tussen eduID en ECK iD. 

Ik dacht dat eIDAS juist over wallets ging?  

Dat klopt gedeeltelijk. De eerste versie van de eIDAS-verordening (2018) is een Europese verordening die wederzijdse erkenning van nationale inlogmiddelen mogelijk maakt. Zodat je bijvoorbeeld met een Duits inlogmiddel kunt inloggen in Nederland. Dit kan in het Nederlandse onderwijs in het inschrijfproces bij Studielink.  

De herziene versie van eIDAS gaat - onder andere - over de inzet van identity wallets. De Europese identity wallets die op dit moment in ontwikkeling zijn, kunnen in de toekomst mogelijk een rol spelen in het verifiëren van iemands identiteit. De herziening van de eIDAS-verordening leidt in elk geval tot veel aandacht voor digitale identiteiten.  

Waarom gebruiken we dan niet die Europese identity wallets? 

De architectuur- en implementatierichtlijnen van eIDAS zijn op dit moment nog niet helemaal uitgedacht. Er zijn enkele pilots gestart, waar SURF ook in deelneemt. We verwachten dat het nog een aantal jaren zal duren voordat we weten hoe wallets echt gaan werken. Een belangrijk aspect is in elk geval dat de wallets vrijwillig zijn en zullen bestaan naast andere middelen. We weten dus ook nog niet hoe groot de adoptie ervan daadwerkelijk zal zijn.  

Kortom, op dit moment zijn wallets voor eduID niet inzetbaar voor identiteitsverificatie. We denken wel alvast na over hoe eduID en wallets in de toekomst samen zouden kunnen werken. 

Hebben jullie al gedacht aan paspoorten scannen? 

Dat hebben we zeker. Een manier van het verifiëren van een identiteit is het scannen van een identiteitsdocument dat iemand in bezit heeft. We hebben voor eduID onderzocht of dit een mogelijkheid is en met verschillende aanbieders van document scan software getest. We zullen dit voorlopig echter niet inzetten in onze sector.  

Dit heeft deels technische en deels wettelijke redenen. Deze redenen liggen vooral bij hoe Nederlandse identiteitsdocumenten in elkaar zitten. Voor het betrouwbaar digitaal uitlezen van een groot deel van de Nederlandse identiteitsbewijzen is het voorlopig technisch onvermijdelijk dat het BSN verwerkt wordt. SURF is echter niet gerechtigd om BSN te verwerken. In het onderwijs mag dit alleen gedurende het inschrijfproces.

Je zou kunnen denken: dan scan je toch alleen buitenlandse identiteitsdocumenten? Het lastige hiervan is: je weet pas waar het document vandaan komt, op het moment dat de scan gedaan is. Hiermee loopt SURF dus alsnog het risico om het BSN te verwerken. We hebben besloten dit risico niet te willen lopen en raden instellingen voorlopig ook af om deze technologie in te zetten voor processen waar ze geen recht hebben om BSN te verwerken. Vanaf 2031 zullen de documenten die BSN bevatten, verlopen zijn. Vanaf dat moment, of wanneer de wetgeving rond BSN verandert, kunnen we deze techniek heroverwegen.

Om identiteitsdocumenten betrouwbaar uit te lezen, moet je de NFC-chip scannen. De technologie om de chip uit te kunnen lezen vraagt om een ‘sleutel’ (de MRZ) waar het BSN onderdeel van kan zijn. Om de authenticiteit van de gegevens te bepalen moet een complete dataset (Datagroep 1) worden uitgelezen; onderdeel van die dataset is het BSN. De documenten waar BSN in datagroep 1 voorkomt zijn Nederlandse ID-kaarten uitgegeven voor 2 augustus 2021 en paspoorten die zijn uitgegeven voor 30 augustus 2021. Het is daarmee onvermijdelijk dat het BSN kortstondig verwerkt wordt door de leverancier van de software, onder de verantwoordelijk van SURF of een instelling.

Hoe werken jullie identiteitsverificatie verder uit? 

De oplettende lezer zal opgemerkt hebben dat de huidige set aan identiteitsverificatie methoden nog niet alle gebruikers omvat waar de instellingen mee in aanraking komen. Wanneer je niet bent aangesloten bij een instelling, bij de Triodos bankiert en ook geen digitale identiteit in een van de eIDAS aangesloten lidstaten hebt, kunnen we je identiteit nu nog niet verifiëren. Hoe zit het dan met die ‘rest’ die buiten de verificatie boot valt?  

Het eduID-team heeft hier ideeën over en hoe we dit precies gaan oplossen willen we in samenwerking met vooroplopende instellingen verder uitwerken. Een mogelijkheid is dat we de ‘verificatielast’ over de sector verdelen. Waarbij instellingen voor een kleine groep mensen aan de balie of digitaal een verificatie uitvoeren. Na de verificatie zou deze persoon een eenmalige code krijgen waarmee het eduID een geverifieerde status krijgt.  

Hoe we op lange termijn invulling gaan geven aan identiteitsverificatie is verder afhankelijk van de ontwikkelingen op het vlak van digitale identiteiten in Nederland, Europa en de rest van de wereld. We willen zoveel mogelijk van betrouwbaar vastgestelde identiteiten gebruikmaken. Wat er op onze wensenlijst staat: 

• Voor Nederland: een digitale bronidentiteit (DBI) uitgegeven door de overheid, die bruikbaar is in de onderwijssector. Afhankelijk van de uitwerking hiervan zou dit inzetbaar kunnen zijn voor identiteitsverificatie en recovery van een eduID. Momenteel wordt onderzoek gedaan naar een DBI. Of en wanneer deze er zal komen is nog onduidelijk.  

• In Europa: bredere adoptie van nationale digitale identiteitsmiddelen en opname van meer landen in het eIDAS stelsel.  

• Wereldwijd: meer landen die digitale identiteiten inzetten en vooral samenwerking op dit vlak om internationale stelsels te realiseren. Zoals dit ook al gebeurt voor identiteitsdocumenten.  

We zijn op zoek naar jou

Als je tot het eind van dit artikel bent gekomen, dan zijn we misschien op zoek naar jou! Het eduID-team is op zoek naar vooroplopende instellingen die deze functionaliteit willen testen en met ons willen evalueren.  

Heb je interesse of meer vragen over identiteitsverificatie in eduID, neem contact op met marlies.rikken@surf.nl. 

Wil je hulp bij het inzetten van eduID in je organisatie, stuur dan een bericht naar help@eduid.nl.