Met de actualisering van eIDAS 2.0 en de bijbehorende Implementing Acts ligt er een duidelijke taak voor Nederlandse overheidsorganisaties en andere QEAA-uitgevers om hun inspanningen op te schalen, zegt Arvid van der Bruggen, Product Owner bij Kiwa’s Digital Certification-team.
Als wereldwijd specialist op het gebied van Testing, Inspection en Certification (TIC) heeft Kiwa als doel om vertrouwen te creëren over de hele wereld. Het bedrijf is actief in 29 landen en heeft meer dan 10.000 medewerkers.
Op weg naar digitale licenties op het land, op zee en in de lucht
Kiwa’s reis naar digitale certificering begon allemaal met een verzoek van de Europese Luchtvaartautoriteit, zegt Arvid. Kiwa verstrekt documenten namens de Inspectie Leefomgeving en Transport voor vervoer over de weg, over water en door de lucht. Dit omvat onder andere vergunningen voor taxichauffeurs, vliegbrevetten en certificaten voor zeevarenden op schepen die onder de Nederlandse vlag varen.
“De Europese Luchtvaartautoriteit wilde vliegbrevetten digitaliseren. Omdat we al ervaring hadden met het digitaliseren van taxivergunningen, voelden we ons geroepen om onze kennis op dit gebied in te zetten. Toen we naar het grotere plaatje keken, beseften we dat de vraag naar digitale certificaten snel zou groeien met eIDAS 2.0. Al in 2019 begonnen we onszelf af te vragen: hoe standaardiseren we deze digitale licenties?”
In de daaropvolgende jaren ontwikkelde Kiwa een public key infrastructure (PKI)-systeem waarmee persoonlijke documenten kunnen worden uitgegeven. “Omdat er nog geen goed functionerende wallets waren, bouwden we er zelf een,” zegt Arvid. “Maar uiteindelijk is ons doel niet om een wallet-provider te zijn, maar een uitgever.”
Het digitale certificeringsteam van Kiwa, dat binnen het bedrijf als een start-up kan worden gezien, werkt sinds 2019 aan dit project. En nu komt het project tot leven: twee maanden geleden startte het team met de pilot voor digitale certificering van zeevarenden.
De pilot voor digitale certificering van zeevarenden
In mei van dit jaar startte Kiwa, samen met het Nederlandse Ministerie van Infrastructuur en Waterstaat, een pilot voor het uitgeven van digitale certificaten van bekwaamheid (CoC) en digitale certificaten van bevoegdheid (COP) voor tankers aan Nederlandse zeevarenden.
De certificaten worden uitgegeven in een digitale wallet die door Kiwa is ontwikkeld. De app kan zowel door de zeevarenden als door handhavingsinstanties worden gebruikt. Handhavers kunnen daarnaast ook elke andere ISO18013-5-compatibele app gebruiken die het gedefinieerde DocType ondersteunt.
De elektronische certificaten zijn wettelijk erkend en hebben dezelfde waarde als traditionele papieren documenten. Ze zijn versleuteld en beveiligd met geavanceerde digitale handtekeningen op basis van ISO 18013-5, wat hun authenticiteit en integriteit garandeert.
Om de digitale certificaten toe te lichten aan internationale partijen, heeft het Ministerie een ‘To Whom It May Concern’-brief uitgegeven. Daarnaast ontvangen zeevarenden ook een fysiek document, zodat schepen niet vast komen te liggen in havens waar digitale documenten nog niet worden geaccepteerd.
De pilot loopt zes maanden, tot oktober 2024. Kiwa en het Ministerie zullen de resultaten evalueren aan de hand van interviews, data en auditlogs.
Wat is de volgende stap voor overheidsorganisaties?
Organisaties zoals Kiwa hebben niet stilgezeten tijdens de ontwikkeling van eIDAS 2.0. Maar ook overheidsorganisaties hebben hun werk voor de boeg, benadrukt Arvid.
“Een van de belangrijkste stappen die overheidsorganisaties moeten zetten, is het aanpassen van wetgeving zodat deze geschikt is voor de uitgifte van digitale documenten. Momenteel bevatten wetten zeer letterlijke beschrijvingen van hoe documenten eruit moeten zien. Er is dus behoorlijk wat beleidsmatig werk nodig om alle wetgeving te herzien. Als het digitale equivalent niet is opgenomen, kan het simpelweg niet worden geaccepteerd. Een aantal overheidsdepartementen is hier al mee bezig, maar er zijn ook afdelingen die achterlopen.”
“De volgende stap is het bekijken van het kernregister. Meestal wordt de data niet beheerd door de beleidsafdeling, maar door een uitvoerende afdeling. Zij zullen zich dus ook moeten voorbereiden op basis van de wetgeving. Belangrijk is om te bepalen of de attributen kunnen worden uitgegeven als EAA’s (electronic attestation of attributes) of als QEAA’s (qualified electronic attestation of attributes). In het laatste geval moet je een Qualified Trust Service Provider (QTSP) worden om deze QEAA’s te kunnen uitgeven.”
Vertrouwen creëren met eIDAS 2.0
Door een wallet en een platform te bouwen voor het uitgeven van attributen, loopt Kiwa een stap voor op veel organisaties die attribuutuitgevers zullen worden. Toch ligt nog niet alles rondom eIDAS 2.0 vast, en ook Kiwa wacht op de 35 bijbehorende Implementing Acts. De Europese Commissie is van plan om de eerste reeks al in november 2024 aan te nemen.
“Daar zal veel van afhangen,” merkt Arvid op. “Hoe gaan landen de wetgeving implementeren? Nederland wil vaak als voorbeeld dienen en kiest daarom meestal voor de strengste – en dus duurste – regelgeving. Wat betekent dat voor organisaties die een QTSP (Qualified Trust Service Provider) willen worden?”
Onder de eIDAS 2.0-regelgeving moet een QTSP een onafhankelijke conformiteitsbeoordeling en audit ondergaan door een geaccrediteerde instelling. “Dat is een complex proces en loont alleen bij voldoende schaal,” zegt Arvid. “Daarom is het voor Kiwa logischer om zich te richten op het uitgeven van attributen in plaats van het aanbieden van een wallet: wij hebben de kennis en expertise om een QTSP te zijn.” Momenteel heeft Kiwa al de QTSP-status namens het Ministerie van Infrastructuur en Waterstaat, specifiek voor het uitgeven van taxichauffeursvergunningen.
Door de complexiteit van het QTSP-proces zal het aantal organisaties in Nederland met deze status waarschijnlijk beperkt blijven, zegt Arvid. “Aangezien eIDAS 2.0 een Europese verordening is, kunnen organisaties net zo goed kiezen voor een QTSP uit een ander EU-land. Maar is dat wat we willen?”
“Ubiqu is een van de Nederlandse organisaties die de technologie kan leveren om een volledig gecertificeerde wallet-uitgever met QTSP-status te worden. En dat is geweldig, want we hebben die technologie in Nederland nodig. Zonder partijen zoals Ubiqu verliezen we hier de kennis en moeten we alles uitbesteden aan andere landen. We moeten expertise en innovatie in ons eigen land stimuleren om een gelijk speelveld voor QTSP’s te creëren.”
