Als overheid gegevens uitgeven in de ID-wallet

Steeds meer overheden willen digitale bewijsstukken (credentials) uitgeven die burgers veilig kunnen bewaren in hun ID-wallet. Denk bijvoorbeeld aan een akte van overlijden, een vergunning of een bewijs van inschrijving op een adres. Zo’n credential bevat persoonlijke gegevens, zoals naam of geboortedatum, en kun je gebruiken om je ergens digitaal te identificeren of iets aan te tonen, zoals dat je in het bezit bent van een vergunning. 

Dit stappenplan helpt overheidsorganisaties stap voor stap om zelf credentials uit te geven in ID-wallets, op een manier die aansluit bij Europese standaarden en afspraken. 

Wil je hiermee aan de slag of heb je vragen? Neem contact op met je adviseur digitale identiteit of de technische specialist SAML of OpenID binnen jouw organisatie. 

Voorbeeld zelf attributen uitgeven

Een voorbeeld van zelf attributen uitgeven: met de ID-wallet aantonen dat je  medewerker bent van gemeente Nijmegen. Hiervoor wordt bij gemeente Nijmegen een pagina ingericht, waar je als medewerker het credential op kunt halen waarin de attributen e-mailadres en medewerker van gemeente Nijmegen Ja/Nee opgehaald worden.  

Zo geef je als overheid credentials uit in de ID-wallet

1

Bepaal de credential en het daarbij horende protocol

  • Kies welk soort digitaal bewijsstuk je wilt uitgeven (bijvoorbeeld akte van overlijden, vergunning, bewijs van inschrijving). 
  • Bepaal welk protocol daar het best bij past: 
    • OpenID4VCI → voor algemene uitgifte van digitale bewijsstukken (verifiable credentials). 
    • mDL (Mobile Driving Licence) → vooral voor mobiele rijbewijzen, gebaseerd op ISO 18013-5. 
2

Bepaal de rol van jouw organisatie

  • Beslis of jouw organisatie zelf de issuer (uitgevende partij) is van de credential. 
  • Als issuer ben je verantwoordelijk voor de betrouwbaarheid en juistheid van de gegevens. 
  • Je kunt er ook voor kiezen om namens een andere organisatie uit te geven. In dat geval blijf jij als issuer verantwoordelijk voor uitgifte en intrekking, terwijl de oorspronkelijke organisatie (de bronhouder) verantwoordelijk blijft voor de datakwaliteit en geldigheid 
3

Zorg betrouwbare identificatie van de burger

  • De burger die een credential ontvangt, moet goed worden geïdentificeerd, meestal via eID-middelen, zoals: 
    • een ID-wallet (bijv. Yivi) 
    • eHerkenning 
    • DigiD 
  • Bij fysieke uitgifte, zoals voor een mDL, kan identificatie ook plaatsvinden aan de balie. 
4

Geef de credential uit via de issuer en het gekozen protocol

  • Richt een technische omgeving in voor de uitgifte. Dit kun je: 
    • zelf ontwikkelen (bijvoorbeeld met open source libraries), of 
    • uitbesteden aan een intermediair. Heeft je organisatie geen eigen technische infrastructuur of wil je deze niet ontwikkelen? Dan kan je een gecertificeerde intermediair inschakelen. Zo’n intermediair verzorgt de technische uitgifte namens jouw organisatie en namens de bronhouder. Jij blijft wel juridisch verantwoordelijk, in lijn met het Architecture and Reference Framework (ARF) binnen eIDAS2.0. 
5

Leg de uitgifte zorgvuldig vast

  • Registreer intern dat je een credential hebt uitgegeven, bijvoorbeeld voor ondersteuning bij vragen of voor je eigen administratie. 
  • Bewaar geen kopie van de credential zelf, in lijn met privacy by design. 
  • Als je met een intermediair werkt, kan deze partij de logging en registratie overnemen. Controleer dan wel of de intermediair voldoet aan relevante kwaliteits- en beveiligingsstandaarden (zoals ISO, NEN, SOC of NIS2). 
6

Regel heruitgifte en intrekking

  • Zorg dat je voorbereid bent op situaties waarin: 
    • een burger zijn wallet verliest of gegevens veranderen → heruitgifte nodig; 
    • een credential moet worden ingetrokken of verloopt → bijvoorbeeld bij tijdelijke bewijsstukken of als er fouten in staan. 

Voor beide protocollen (mDL en OpenID4VCI) moet je hiervoor processen inrichten.