eIDAS 2.0: De Europese Digitale Identiteitswallet
eIDAS 2.0 verplicht een EU Digitale Identiteitswallet tegen eind 2026. Hoe de EUDI Wallet KYC, documentverificatie en identiteitsworkflows transformeert.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokVerordening (EU) 2024/1183 (eIDAS 2.0), van kracht per 20 mei 2024, verplicht elke EU-lidstaat uiterlijk eind 2026 minimaal één Europese Digitale Identiteitswallet (EUDI Wallet) beschikbaar te stellen. De verordening vervangt het paradigma van op documenten gebaseerde identiteitsverificatie door realtime, cryptografisch ondertekende, door de gebruiker gecontroleerde credential-deling — met directe gevolgen voor KYC-workflows bij financiële instellingen, advocatenkantoren en verzekeraars.
Verordening (EU) 2024/1183 stelt vast dat slechts 14% van de overheidsdiensten in EU-lidstaten grensoverschrijdende eID's accepteerde in 2023; eIDAS 2.0 maakt acceptatie door aangewezen private-sector partijen verplicht per eind 2027, een omwenteling voor identiteitsverificatieprocessen die momenteel gemiddeld vier uur per zakelijk KYC-dossier vereisen.
Wat Is eIDAS 2.0?
eIDAS 2.0 is Verordening (EU) 2024/1183, ondertekend op 11 april 2024, gepubliceerd op 30 april 2024 en van kracht per 20 mei 2024 — zij wijzigt de oorspronkelijke eIDAS-verordening (EU) nr. 910/2014 en introduceert de verplichte EUDI Wallet als kernmechanisme.
De oorspronkelijke eIDAS-verordening (2014) behaalde significante resultaten — wederzijdse erkenning van nationale eID's, juridische geldigheid voor elektronische handtekeningen — maar de adoptie bleef gefragmenteerd. Adoptie door de private sector was verwaarloosbaar. eIDAS 2.0 adresseert deze lacunes door de EUDI Wallet verplicht te stellen.
Belangrijkste Wetswijzigingen
| Aspect | eIDAS 1.0 (2014) | eIDAS 2.0 (2024) |
|---|---|---|
| Reikwijdte | Focus op publieke sector | Publieke en private sector |
| Wallet-vereiste | Geen | Verplicht: elke lidstaat moet er minimaal één aanbieden |
| Credential-typen | Nationale eID's | Verifieerbare credentials (diploma's, rijbewijzen, gezondheidsgegevens, bedrijfsdocumenten) |
| Gebruikerscontrole | Beperkt | Volledige toestemming per gedeeld attribuut |
| Grensoverschrijdend gebruik | Theoretisch | Verplichte wederzijdse erkenning |
| Acceptatie private sector | Vrijwillig | Verplicht voor aangewezen sectoren tegen eind 2027 |
| Beveiligingscertificering | Nationale schema's | EU Cybersecurity Certification (ENISA) |
De verordening is op 20 mei 2024 in werking getreden. De eerste uitvoeringsverordeningen zijn op 4 december 2024 gepubliceerd en 20 dagen later in werking getreden. Dit start een countdown van 24 maanden: elke lidstaat moet uiterlijk eind 2026 minimaal één EUDI Wallet beschikbaar stellen aan burgers, bedrijven en ingezetenen.
De EUDI Wallet: Hoe Werkt Het?
De EUDI Wallet is een door een lidstaat uitgegeven of goedgekeurde mobiele applicatie die verifieerbare credentials opslaat op het apparaat van de gebruiker — geen gecentraliseerde database, maar cryptografisch ondertekende bewijzen van identiteitsattributen die niet kunnen worden vervalst zonder de onderliggende algoritmen te breken.
De eerste uitvoeringshandelingen van de Europese Commissie werden op 4 december 2024 gepubliceerd en 20 dagen later van kracht, waarmee een deadline van 24 maanden startte: elke lidstaat moet uiterlijk eind 2026 minimaal één EUDI Wallet beschikbaar stellen.
Het Verificatieproces
Een typische EUDI Wallet-interactie volgt vier stappen:
- QR-code scannen. Een vertrouwende partij (bank, werkgever, verhuurder, online dienst) toont een QR-code of deep link die specificeert welke credentials nodig zijn.
- Authenticatie. De wallet-gebruiker authenticeert lokaal -- biometrie, PIN of apparaatontgrendeling -- om bezit van de wallet te bewijzen.
- Gegevensselectie. De gebruiker bekijkt exact welke attributen worden gedeeld en geeft expliciete toestemming. De wallet ondersteunt selectieve openbaarmaking: als een dienst alleen hoeft te bevestigen dat de gebruiker ouder is dan 18, wordt alleen dat booleaanse attribuut gedeeld -- niet de volledige geboortedatum, niet de naam, niet het adres.
- Directe deling. De ondertekende credential wordt rechtstreeks verstuurd naar de vertrouwende partij. De vertrouwende partij kan de authenticiteit en integriteit cryptografisch verifiëren in realtime -- geen telefoontjes naar uitgevende instanties, geen wachten op database-lookups.
Dit proces vervangt het traditionele model van documenten kopiëren, scans e-mailen en handmatig authenticiteit verifiëren -- een proces dat traag, foutgevoelig en fundamenteel onveilig is.
Welke Credentials Kan de Wallet Bevatten?
De verordening en uitvoeringshandelingen definiëren diverse categorieën verklaringen:
- Persoonsidentificatiegegevens (PID): naam, geboortedatum, nationaliteit, uniek identificatienummer (BSN)
- Gekwalificeerde elektronische verklaringen van attributen (QEAAs): rijbewijzen, onderwijsdiploma's, beroepskwalificaties, zorgverzekeringskaarten
- Elektronische verklaringen van attributen (EAAs): klantenkaarten, lidmaatschapscredentials, werkgeversverklaringen
- Bedrijfscredentials: KVK-gegevens, vertegenwoordigingsbevoegdheid, UBO-structuur
Voor bedrijven die KYC due diligence uitvoeren, betekent dit dat één wallet-interactie een volledige stapel gewaarmerkte documenten kan vervangen.
Implementatietijdlijn
De uitrol volgt een gefaseerde aanpak:
| Mijlpaal | Streefdatum | Status |
|---|---|---|
| Verordening treedt in werking | 20 mei 2024 | Voltooid |
| Eerste uitvoeringshandelingen gepubliceerd | 4 december 2024 | Voltooid |
| Grootschalige pilotprogramma's (LSP's) afgerond | Medio 2025 | Voltooid |
| Lidstaten moeten minimaal één wallet aanbieden | Eind 2026 | In uitvoering |
| Verplichte acceptatie door aangewezen private-sector partijen | Eind 2027 | In afwachting |
| EU Digital Decade-doel: 80% burgeradoptie | 2030 | Streefcijfer |
De digitale strategiepagina van de Europese Commissie volgt de voortgang per lidstaat. Begin 2026 varieert de implementatierijpheid aanzienlijk. Landen als Frankrijk, Duitsland en Estland zijn ver gevorderd met hun pilotprogramma's. Nederland — waar het Ministerie van Economische Zaken en Klimaat (EZK) en de Rijksdienst voor Identiteitsgegevens (RvIG) samenwerken aan de nationale implementatie — heeft aangegeven dat het halen van de deadline eind 2026 een uitdaging wordt.
Nederland heeft een bijzonder uitgangspunt. DigiD fungeert al decennia als het nationale digitale identificatiemiddel voor overheidsdiensten, en het BSN (Burgerservicenummer) is diep verankerd in de publieke infrastructuur. De EUDI Wallet zal moeten integreren met deze bestaande systemen, waarbij de RvIG een sleutelrol speelt in de koppeling tussen de nationale identiteitsinfrastructuur en het Europese wallet-ecosysteem.
Impact op KYC en Documentverificatie
De EUDI Wallet vervangt document-gebaseerde KYC door credential-gebaseerde KYC: in plaats van kopieën van paspoorten en KVK-uittreksels ontvangt de gereguleerde entiteit cryptografisch ondertekende bewijzen die niet kunnen worden vervalst en waarvan de geldigheid automatisch wordt gecontroleerd.
Financiële instellingen die momenteel 4-6 uur per zakelijk KYC-dossier besteden, kunnen verwachten dat de verificatietijd voor het identiteitscomponent met 70-80% wordt verkort zodra Verordening (EU) 2024/1183 Art. 5f acceptatie door aangewezen private-sector partijen verplicht stelt per eind 2027.
Van Fotokopieën naar Cryptografische Bewijzen
Onder het huidige model dient een klant een kopie in — een foto of scan van een fysiek document — en moet de gereguleerde entiteit bepalen of de kopie authentiek is, of het document geldig is en of de persoon de rechtmatige houder is. Dit proces is inherent kwetsbaar voor vervalsing, verlopen documenten en menselijke fouten.
Met de EUDI Wallet is de credential cryptografisch ondertekend door de uitgevende instantie. De vertrouwende partij ontvangt een verifieerbaar bewijs -- geen kopie van een document, maar een ondertekende verklaring van de overheid dat de naam van de persoon X is, de geboortedatum Y en de nationaliteit Z. Vervalsing wordt computationeel onhaalbaar -- een beslissend voordeel nu deepfakes en AI-gegenereerde synthetische documenten traditionele documentvervalsing eenvoudiger maken dan ooit. Verloopdatum zit ingebed in de credential-metadata en wordt automatisch gecontroleerd.
Voor bedrijven die al navigeren binnen de uitbreidende reikwijdte van AMLD6-compliance, biedt de EUDI Wallet een pad om aan verscherpte due diligence-vereisten te voldoen met aanzienlijk minder wrijving en hogere zekerheid.
Realtime Verificatie vs. Batchverwerking
Traditionele documentverificatie werkt in batchmodus: documenten worden verzameld, in de wachtrij geplaatst, beoordeeld door een compliance-team, en resultaten worden uren of dagen later gecommuniceerd. De EUDI Wallet maakt realtime verificatie mogelijk. Een klant die een QR-code scant bij een bankfiliaal of op een website ontvangt binnen seconden directe bevestiging -- of afwijzing.
Deze verschuiving heeft directe gevolgen voor onboarding-conversiepercentages, klantervaring en operationele kosten. Financiële instellingen die momenteel 4-6 uur per zakelijk KYC-dossier besteden, kunnen verwachten dat de verificatietijd voor het identiteitscomponent met 70-80% wordt verkort.
Beveiligingsrisico's: Wanneer de Wallet het Doelwit Wordt
Een gecompromitteerde EUDI Wallet geeft potentieel toegang tot de volledige digitale identiteit van een persoon — naam, adres, financiële credentials, gezondheidsgegevens, beroepskwalificaties — waardoor het een waardevoller doelwit voor cybercriminelen is dan elk individueel identiteitsdocument.
Verordening (EU) 2024/1183 vereist dat wallet-oplossingen worden gecertificeerd onder het EU Cybersecurity Act-kader, waarbij ENISA de certificeringsvereisten vaststelt — de definitie van "volledige gebruikerscontrole" blijft echter ambigu per lidstaat, wat potentiële verschillen in beveiligingsniveaus creëert.
Dreigingsvectoren
De voornaamste risico's omvatten:
- Apparaatcompromittering. Malware of fysieke diefstal van het apparaat waarop de wallet staat.
- Social engineering. Phishing-aanvallen die gebruikers misleiden om te authenticeren bij kwaadwillende vertrouwende partijen en credentials te delen die ze niet wilden delen.
- Overmatig delen door dark patterns. Vertrouwende partijen die toestemmingsprocessen ontwerpen die gebruikers subtiel aanzetten meer gegevens te delen dan noodzakelijk.
- Supply chain-aanvallen. Gecompromitteerde wallet-implementaties of vertrouwensdienstverleners.
De verordening vereist dat wallet-oplossingen worden gecertificeerd onder het EU Cybersecurity Act-kader, waarbij ENISA de certificeringsvereisten vaststelt. De definitie van "volledige gebruikerscontrole" blijft echter ambigu per lidstaat, wat potentiële verschillen in beveiligingsniveaus creëert.
Mitigatie-eisen
Gereguleerde entiteiten die EUDI Wallet-credentials accepteren, moeten eigen controles implementeren: de certificeringsstatus van de wallet verifiëren, credential-intrekkingslijsten controleren en alle verificatiegebeurtenissen loggen voor auditdoeleinden. De DORA-verordening legt aanvullende ICT-risicobeheerverplichtingen op aan financiële entiteiten, inclusief voor systemen die digitale identiteitscredentials verwerken.
AVG-Afstemming: Dataminimalisatie by Design
De EUDI Wallet-architectuur implementeert AVG-principes door design: selectieve openbaarmaking, geen centrale database, toestemming per transactie en onkoppelbaarheid — organisaties hoeven geen kopieën van paspoorten op te slaan maar uitsluitend het verificatieresultaat en een cryptografisch bewijs van de transactie.
De AVG (Verordening (EU) 2016/679) Art. 5 verplicht dataminimalisatie — de EUDI Wallet implementeert dit principe door selectieve openbaarmaking: een autoverhuurbedrijf ontvangt uitsluitend een booleaans antwoord ("ouder dan 25: ja"), niet de volledige geboortedatum of het adres.
De architectuur van de EUDI Wallet stemt expliciet af op de AVG-principes. Diverse functies implementeren direct kernvereisten voor gegevensbescherming:
Selectieve openbaarmaking. De wallet stelt gebruikers in staat om alleen de specifieke attributen te delen die vereist zijn voor een transactie. Een autoverhuurbedrijf hoeft alleen een geldig rijbewijs en minimumleeftijd te bevestigen -- niet het huisadres of de geboortedatum. De wallet kan een booleaans antwoord delen ("ouder dan 25: ja") zonder de onderliggende gegevens te onthullen.
Geen centrale database. Credentials worden opgeslagen op het apparaat van de gebruiker, niet in een door de overheid beheerde centrale opslagplaats. Dit elimineert het single-point-of-failure-risico dat inherent is aan gecentraliseerde identiteitsdatabases.
Recht op wissing. Gebruikers kunnen credentials op elk moment uit hun wallet verwijderen. De verordening vereist ook dat vertrouwende partijen niet meer gegevens bewaren dan noodzakelijk en de principes van dataminimalisatie respecteren.
Toestemming per transactie. Elke gegevensdeling vereist expliciete toestemming van de gebruiker, met een duidelijke presentatie van welke attributen worden verstuurd naar welke partij voor welk doel.
Onkoppelbaarheid. De architectuur beoogt te voorkomen dat vertrouwende partijen de transacties van een gebruiker kunnen correleren over verschillende diensten -- hoewel de praktische implementatie van dit principe onderwerp blijft van actief technisch debat.
Voor organisaties die identiteitsdocumenten verwerken onder de AVG, vermindert het wallet-model de compliance-last aanzienlijk. In plaats van kopieën van paspoorten en adresbewijzen op te slaan -- met alle bijbehorende gegevensbeschermingsverplichtingen voor beveiligde opslag, toegangscontrole, bewaartermijnen en meldingsplicht bij datalekken -- slaat de organisatie alleen het verificatieresultaat en een cryptografisch bewijs van de transactie op.
Hoe CheckFile EUDI Wallet-Verificatie Integreert
Tot eind 2027 opereren bedrijven in een hybride omgeving: sommige klanten presenteren EUDI Wallet-credentials, anderen dienen traditionele documenten in — één integratiepunt voor beide kanalen is de meest efficiënte aanpak.
CheckFile is ontworpen voor precies deze hybride realiteit. Het platform automatiseert al de validatie van traditionele documenten -- authenticiteit controleren, gegevens extraheren, kruisverwijzingen tegen databases, en afwijkingen signaleren. Naarmate de EUDI Wallet-adoptie opschaalt in lidstaten, zal CheckFile haar verificatieworkflows uitbreiden om wallet-uitgegeven credentials te accepteren en valideren naast traditionele documentindieningen.
Dit betekent één integratiepunt voor compliance-teams: of een klant nu een cryptografisch ondertekende credential deelt vanuit de EUDI Wallet of een gescande kopie van een paspoort uploadt, CheckFile verwerkt beide via dezelfde workflow, past dezelfde compliance-regels toe en produceert een uniforme audittrail.
Het resultaat is continuïteit. Organisaties hoeven geen twee aparte verificatiesystemen te bouwen en onderhouden tijdens de transitieperiode. Ze hoeven compliance-teams niet om te scholen op geheel nieuwe tools. Ze krijgen één platform dat mee evolueert met het regelgevingslandschap.
Veelgestelde Vragen
Wanneer is de EUDI Wallet beschikbaar in Nederland?
Elke EU-lidstaat moet uiterlijk eind 2026 minimaal één EUDI Wallet aanbieden, na de implementatieperiode van 24 maanden die is ingegaan met de uitvoeringshandelingen van december 2024. Nederland werkt via het Ministerie van EZK en de RvIG aan de nationale implementatie. De huidige DigiD-infrastructuur en het BSN-stelsel vormen een basis, maar de integratie met het Europese wallet-framework vergt aanzienlijke aanpassingen. Houd de communicatie van de Rijksoverheid in de gaten voor specifieke tijdlijnen.
Vervangt de EUDI Wallet fysieke identiteitsdocumenten?
Niet direct. De EUDI Wallet is ontworpen als aanvulling op fysieke documenten, niet als vervanging. Burgers zullen voor de voorzienbare toekomst beide meedragen. Naarmate acceptatie door de private sector verplicht wordt (verwacht eind 2027 voor aangewezen sectoren), zal de wallet steeds vaker de voorkeurs- en in sommige gevallen verplichte methode worden voor identiteitsverificatie bij online en fysieke transacties.
Hoe beïnvloedt de EUDI Wallet mijn bestaande KYC-processen?
De wallet introduceert een nieuw verificatiekanaal naast traditionele documentindiening. Gereguleerde entiteiten moeten hun onboarding-workflows bijwerken om wallet-uitgegeven credentials te accepteren, de cryptografische handtekeningen te verifiëren en de verificatiegebeurtenissen te loggen. Bestaande documentverificatieprocessen blijven noodzakelijk voor klanten die nog geen wallet hebben. Platforms als CheckFile ondersteunen beide kanalen via één integratie.
Is de EUDI Wallet veilig tegen fraude?
De wallet biedt aanzienlijk sterkere anti-fraudegaranties dan traditionele documentverificatie. Credentials zijn cryptografisch ondertekend door uitgevende instanties en kunnen niet worden vervalst zonder de onderliggende cryptografische algoritmen te breken. Risico's blijven bestaan op gebruikersniveau (apparaatdiefstal, social engineering) en op implementatieniveau (variaties in beveiligingscertificering per lidstaat). Organisaties dienen defense-in-depth-strategieën te implementeren die wallet-verificatie combineren met aanvullende fraudedetectiemaatregelen.
Het regelgevingslandschap voor identiteitsverificatie in Europa verschuift van documenten naar credentials, van batchverwerking naar realtime verificatie, en van gecentraliseerde databases naar door gebruikers gecontroleerde wallets. Of uw organisatie zich nu voorbereidt op eIDAS 2.0-compliance of bestaande KYC-workflows optimaliseert, CheckFile biedt de documentvalidatie-infrastructuur om zowel traditionele als credential-gebaseerde verificatie in één platform af te handelen. Bekijk onze tarieven om het juiste plan voor uw compliance-behoeften te vinden.