eIDAS 2.0 : hoe je je onderneming goed voorbereidt op de Europese identiteitsportefeuille

De Europese digitale identiteitsportefeuille komt eraan. Elke lidstaat moet er tegen eind 2026 een aanbieden, en de gereguleerde spelers (banken en telecombedrijven voorop) zullen hem tegen eind 2027 moeten aanvaarden. Je voorbereiden komt niet neer op het aansluiten van een API. Je goed voorbereiden betekent twee werven parallel voeren. Ten eerste in staat worden om de wallet te aanvaarden en te benutten, en ten tweede alles anticiperen wat hij niet zal dekken. Hier lees je hoe je beide aanpakt zonder de prioriteiten door elkaar te halen. Voor het volledige regelgevende kader, zie ons artikel eIDAS 2.0 : wat je moet weten.

‍

De deadlines om in gedachten te houden

‍

Drie mijlpalen geven de voorbereiding vorm. Eind 2026 worden de nationale portefeuilles beschikbaar voor burgers. Eind 2027 wordt de aanvaarding verplicht voor de grote ondernemingen in de betrokken sectoren. En daarna volgt een lange hybride periode (5 tot 10 jaar) waarin wallet en klassieke trajecten naast elkaar zullen bestaan. Praktische conclusie. Het gaat er niet om je trajecten te vervangen, maar om de wallet erop te enten terwijl je een oplossing behoudt voor wie hem niet zal gebruiken.

‍

Luik 1 : wat je moet opzetten om klaar te zijn

‍

Breng je trajecten en je verificatiepunten in kaart

‍

Voor elke technische integratie, lijst elk moment op waarop je een identiteit verifieert. Online onboarding, intekening in een kantoor, B2B-relatieaanknoping, updates tijdens de levensduur van de rekening. Noteer voor elk daarvan het gegeven dat werkelijk nodig is. Het is deze inventaris die zal aangeven waar de wallet waarde toevoegt en waar hij niet zal volstaan.

‍

Bereid de technische aanvaarding van de wallet voor

‍

"Vertrouwende partij" worden veronderstelt dat je de door de portefeuille gepresenteerde attributen kunt ontvangen en verifiëren, in een gestandaardiseerd formaat, met beheer van de toestemming. De uitdaging is niet enkel informatica-gerelateerd. Je moet ook beslissen welke attributen je werkelijk opvraagt, en je beperken tot het strikt noodzakelijke.

‍

Bepaal je orkestratielogica

‍

Dit is de kern van de voorbereiding. Je systeem moet weten wat te doen in elk geval. Wallet aanwezig, je gebruikt hem. Wallet afwezig of geweigerd, je schakelt over op een documentaire en biometrische verificatie. Klant buiten de EU, je gaat via een internationale oplossing. Bedrijfsklant, je start een KYB-traject. Een heldere orkestratie vermijdt zowel de blinde vlekken als de overbodige wrijving.

‍

Houd toestemming en minimalisering centraal

‍

De portefeuille is ontworpen rond expliciete toestemming en selectieve onthulling. Maak ervan gebruik om je praktijken te saneren. Vraag enkel de nuttige attributen op, documenteer de wettelijke grondslag, en stem je trajecten af op de AVG. Dit werk zal je ver buiten de wallet van pas komen.

‍

Luik 2 : wat de wallet niet dekt (te anticiperen)

‍

De portefeuille certificeert een identiteit op een bepaald moment. Vier zones zullen volledig voor jouw rekening blijven, en vaak zijn dat net de zones die het meest kosten.

‍

De kredietwaardigheid : de identiteit zegt niets over het vermogen om te betalen

‍

De wallet zegt wie de klant is, niet of hij kan terugbetalen. Hij bevat geen inkomsten, geen lasten, geen bankhistoriek. Voor elke kredietverlening blijft de verificatie van het terugbetalingsvermogen onmisbaar, via Open Banking of de OCR-verwerking van bewijsstukken, met de detectie van valse financiële documenten stroomopwaarts.

‍

De dynamische fraude na de onboarding

‍

Een bij de opening geverifieerde identiteit immuniseert niet tegen het vervolg. Synthetische identiteiten, muilezelrekeningen, overname van rekeningen. Deze fraudes spelen zich af in de tijd en in het gedrag, niet in de presentatie van een gecertificeerd attribuut. Een laag van fraudedetectie en scoring in continu blijft noodzakelijk.

‍

De B2B, de KYB en de uiteindelijke begunstigden

‍

De wallet is een B2C-oplossing. Hij verifieert noch de aandeelhoudersstructuur, noch de uiteindelijke begunstigden, noch de echtheid van een uittreksel uit het ondernemingsregister. Voor de bedrijfstrajecten blijven de KYB en de vertrouwensscore van het bedrijf in jouw handen.

‍

Buiten de EU

‍

De portefeuille dekt enkel de burgers en inwoners van de Unie. Toeristen, onderdanen van buiten de EU, internationale klanten. Voor hen blijft de klassieke identiteitsverificatie onvermijdelijk.

‍

Je voorbereidingschecklist voor eIDAS 2.0

‍

Om klaar te zijn zonder slechte verrassingen, controleer of je op elk van deze punten ja kunt antwoorden :

• Je trajecten voor identiteitsverificatie zijn in kaart gebracht, met het werkelijk nuttige gegeven bij elke stap.
• Je bent in staat om de attributen van de wallet te aanvaarden en te verifiëren, met toestemming beheerd.
• Je orkestratie beheert de vier gevallen. Wallet aanwezig, afwezig, buitenlandse klant, bedrijfsklant.
• Je behoudt een kredietwaardigheidsoplossing (Open Banking, OCR-verwerking) los van de wallet.
• Je behoudt een dynamische fraudedetectie na de onboarding.
• Je KYB-dispositief dekt de ondernemingen en hun uiteindelijke begunstigden.
• Je beslissingen blijven getraceerd en controleerbaar, wallet of niet.

‍

Tot besluit

‍

Je goed voorbereiden op eIDAS 2.0 betekent niet wachten op de deadline van 2027, noch alles inzetten op de portefeuille. Het betekent de aanvaarding van de wallet opzetten en, in diezelfde beweging, alles beveiligen wat hij niet dekt. Kredietwaardigheid, dynamische fraude, KYB, buiten de EU. De gecertificeerde identiteit is de fundering. Wat je erbovenop bouwt, zal het verschil maken tussen een voorbereide organisatie en een blootgestelde organisatie.

‍

Bronnen : Verordening eIDAS 2.0, Publicatieblad van de Europese Unie (2024) ; Europese Commissie, European Digital Identity Wallet (2024).

‍