Het einde van iDIN: een moment om digitale identiteit te heroverwegen

Het Nederlandse digitale identiteitslandschap staat op een kruispunt. De Belgische identificatiedienst itsme neemt iDIN over, de bankgestuurde identificatiemethode die door miljoenen Nederlanders wordt gebruikt. Deze overname betekent meer dan alleen een eigendomswissel. Het markeert het einde van een typisch Nederlandse oplossing, die vervangen wordt door een gesloten, commercieel systeem onder buitenlandse controle.

Voor iedereen die zich zorgen maakt over digitale autonomie, privacy en de toekomst van digitale identiteit in Nederland, is dit een moment dat aandacht vraagt. Het verdwijnen van iDIN creëert een gat in de Nederlandse digitale infrastructuur. De vraag die we onszelf moeten stellen is: wat voor soort oplossing moet deze leemte vullen?

Wat verandert er met de overname van iDIN

iDIN is jarenlang een vertrouwd onderdeel geweest van het Nederlandse digitale landschap. Ondanks de beperkingen, waaronder afhankelijkheid van banken, rigide datadeling en verouderde technische infrastructuur, bood het een binnenlandse oplossing voor online identificatie. Met de overname door itsme verandert dit fundamenteel.

De overgang naar itsme betekent:

• Verlies van Nederlandse controle: Een Nederlandse identificatieoplossing wordt vervangen door een Belgisch commercieel platform
• Gesloten commercieel systeem: In tegenstelling tot open oplossingen, opereert itsme als een eigen, ondoorzichtige dienst
• Centrale gegevensopslag: itsme is een big tech cloud-hosted systeem met centrale gegevensopslag, wat data hotspots creëert. Dit staat in schril contrast met gedecentraliseerde benaderingen die het concentreren van gevoelige identiteitsgegevens op enkele locaties vermijden

Deze overname vertegenwoordigt een zorgwekkende consolidatie van digitale identiteitsdiensten in buitenlandse commerciële handen. Dit gaat over de fundamentele vraag wie de infrastructuur van digitale identiteit controleert en volgens welke waarden die infrastructuur opereert. Het bericht op Tweakers bevestigt dat de Nederlandse dienst op termijn zal verdwijnen, wat een significante verschuiving markeert in het Nederlandse digitale identiteitslandschap.

Het iDIN-model: goedbedoeld maar beperkt

Om te begrijpen wat er op het spel staat, is het de moeite waard om te onderzoeken wat iDIN was en waar het tekortschoot. iDIN was ontworpen om de bestaande relatie tussen Nederlandse burgers en hun banken te benutten voor online identificatie. Het concept had verdienste: de meeste mensen vertrouwen hun bank en hebben al een bankrelatie.

De implementatie van iDIN had echter aanzienlijke nadelen:

Privacy-zorgen: iDIN deelt elke keer dat je jezelf identificeert een vaste set persoonsgegevens, ongeacht wat er eigenlijk nodig is. Wil je bewijzen dat je boven de 18 bent? iDIN deelt je volledige naam, adres, geboortedatum en meer. Dit schendt het principe van dataminimalisatie dat centraal staat in moderne privacywetgeving.

Technische beperkingen: Gebouwd bovenop de verouderende iDEAL-infrastructuur, vertrouwt iDIN op browsercookies en achterhaalde protocollen. Het ondersteunt geen moderne standaarden zoals OpenID4VP of W3C Verifiable Credentials die de wereldwijde norm worden.

Beperkte toegankelijkheid: Niet alle banken nemen deel aan iDIN. Gebruikers van banken zoals Knab, Triodos of internationale diensten zoals Revolut worden volledig uitgesloten van iDIN-gebaseerde diensten.

Bankafhankelijkheid: Door identificatie te koppelen aan bankrelaties, creëert iDIN een onnodige koppeling tussen financiële diensten en digitale identiteit. Dit beperkt innovatie en creëert barrières voor mensen zonder traditionele bankrelaties.

Geen selectieve openbaarmaking: In tegenstelling tot moderne op attributen gebaseerde credentials, kan iDIN alleen vooraf bepaalde bundels informatie delen. Er is geen manier om slechts één feit over jezelf te bewijzen zonder een heel dossier te onthullen.

Deze beperkingen waren niet uniek voor iDIN, want ze weerspiegelden de beperkingen van hun tijd en doel. Maar nu iDIN verdwijnt, hebben we de kans om iets beters te kiezen.

Een andere aanpak: Yivi’s visie op digitale identiteit

Yivi is gecreëerd vanuit een fundamenteel ander uitgangspunt. In plaats van bestaande commerciële infrastructuur aan te passen voor identificatiedoeleinden, is Yivi vanaf de grond ontworpen rond kernprincipes:

Gebruikersgericht en privacy-first

Met Yivi heb je de controle. Je digitale credentials, of je nu je leeftijd, adres of professionele kwalificaties bewijst, leven in je eigen Yivi-wallet op je apparaat. Jij beslist wat je deelt, wanneer en met wie. Geen tussenpersoon heeft toegang tot deze informatie, en geen centrale database volgt elke identificatie.

Dit is niet alleen een leuke extra functie. Onder regelgeving zoals de AVG en het komende eIDAS 2.0-kader zijn dataminimalisatie en gebruikerscontrole wettelijke vereisten. Yivi is by design gebouwd om aan deze standaarden te voldoen.

Selective disclosure: deel alleen wat nodig is

Een van Yivi’s krachtigste functies is selectieve openbaarmaking. In tegenstelling tot iDIN, dat elke keer dat je jezelf identificeert een vast datapakket dumpt, staat Yivi granulaire deling toe:

• Wil je bewijzen dat je boven de 18 bent? Deel alleen je leeftijdscategorie, niet je exacte geboortedatum, naam of adres.
• Moet je je adres verifiëren? Deel alleen je postcode of stad, niet je volledige straatnaam.
• Bewijs je je professionele kwalificatie? Deel de credential zonder onnodige persoonlijke details.

Deze op attributen gebaseerde aanpak betekent dat je precies deelt wat vereist is voor elke situatie, niets meer en niets minder. Het is privacy-verhogende technologie in de praktijk.

Open standaarden en open source

Yivi is gebouwd op open internationale standaarden waaronder OpenID4VP, OpenID4VCI en credential formats zoals SD-JWT VC. Dit zijn geen eigen protocollen, maar dezelfde standaarden die wereldwijd worden aangenomen voor interoperabele digitale identiteit.

Cruciaal is dat Yivi open source is. De code is publiekelijk beschikbaar, controleerbaar door iedereen en wordt voortdurend gecontroleerd door de community en beveiligingsonderzoekers. Er zijn geen verborgen achterdeurtjes, geen geheime algoritmes, en geen black boxes. Deze transparantie bouwt vertrouwen op en maakt onafhankelijke verificatie van beveiligings- en privacyclaims mogelijk.

Voor ontwikkelaars betekent dit dat je precies kunt onderzoeken hoe Yivi werkt, verbeteringen kunt bijdragen en het met vertrouwen in je applicaties kunt integreren.

Geen tracking, geen centrale logging

Wanneer je Yivi gebruikt, is er geen centrale autoriteit die je identificatie-activiteiten volgt. In tegenstelling tot gecentraliseerde identiteitsproviders die overal kunnen zien waar je inlogt en profielen van je gedrag kunnen bouwen, gebruikt Yivi cryptografische protocollen die geen centrale coördinatie vereisen voor elke transactie.

Yivi’s gedecentraliseerde architectuur betekent dat je credentials op je eigen apparaat leven, niet in cloud-hosted datacenters. Er zijn geen data hotspots waar gevoelige identiteitsinformatie wordt geconcentreerd, waardoor grootschalige datalekken structureel onmogelijk zijn. Verificateurs kunnen bevestigen dat je credentials geldig zijn zonder terug te rapporteren aan een centraal systeem. Je identiteitsprovider geeft credentials uit aan je wallet maar ziet niet waar of wanneer je ze gebruikt. Dit architectonische ontwerp maakt surveillance en gedragstracking technisch onmogelijk.

Onafhankelijkheid van big tech cloud-infrastructuur

Een kritiek maar vaak over het hoofd gezien probleem met gecentraliseerde identiteitssystemen is hun afhankelijkheid van big tech cloud-infrastructuur. Systemen die gehost worden op Amazon Web Services, Google Cloud of Microsoft Azure vallen onder de Amerikaanse CLOUD Act, waarmee Amerikaanse autoriteiten toegang kunnen afdwingen tot data op deze platforms, ongeacht waar de servers fysiek staan.

Dit creëert een fundamentele kwetsbaarheid: zelfs als een Europese identiteitsdienst data opslaat in Europese datacenters, betekent het gebruik van Amerikaanse cloudproviders dat data door buitenlandse wetshandhaving kan worden opgevorderd, waarbij Europese privacybescherming en rechterlijk toezicht wordt omzeild. Voor digitale identiteitsgegevens vormt dit een onaanvaardbaar soevereiniteits- en privacyrisico.

Yivi’s architectuur omzeilt deze kwetsbaarheid volledig. Je credentials leven op je eigen apparaat, niet in datacenters die gecontroleerd worden door big tech. Er is geen cloud-infrastructuur die gedagvaard kan worden, geen data lake waar buitenlandse autoriteiten toegang toe kunnen krijgen. Dit gaat niet alleen over commerciële onafhankelijkheid, maar over het behouden van echte controle over gevoelige identiteitsgegevens en het respecteren van Europese digitale soevereiniteit.

Klaar voor de toekomst met eIDAS 2.0

De eIDAS 2.0-regelgeving van de Europese Unie zal binnenkort lidstaten verplichten om EU Digital Identity Wallets aan burgers te verstrekken. Deze wallets moeten op attributen gebaseerde credentials, selectieve openbaarmaking en sterke privacybescherming ondersteunen, precies wat Yivi al biedt.

Evenzo benadrukt de Nederlandse Wet digitale overheid privacy, gebruikerscontrole en dataminimalisatie in digitale overheidsdiensten. Yivi is ontworpen om out-of-the-box aan deze vereisten te voldoen.

Organisaties die nu Yivi adopteren, bereiden zich voor op deze regelgevende toekomst, in plaats van later te maken te krijgen met technische schuld en kostbare migraties.

De leemte die iDIN achterlaat

Met de stopzetting van iDIN, wat gebeurt er met de miljoenen identificatietransacties die er momenteel doorheen lopen? Veel diensten, van huurapplicaties tot leeftijdsverificatie, zijn afhankelijk van iDIN voor digitale identificatie.

Het voor de hand liggende risico is dat deze leemte automatisch wordt opgevuld door een ander commercieel platform. Als itsme simpelweg de standaardvervanging wordt, hebben we niets opgelost. We hebben slechts het ene beperkte systeem voor het andere geruild, terwijl we tegelijkertijd binnenlandse controle over kritieke digitale infrastructuur verliezen.

Maar er is een andere mogelijkheid: deze transitie creëert ruimte voor een echt beter alternatief. Een oplossing die privacy respecteert, gebruikers empowert, opereert volgens publieke waarden en ons voorbereidt op de digitale identiteitsstandaarden van de toekomst.

Dit is de kans die Yivi vertegenwoordigt.

Wie zou dit moeten interesseren, en wat kun je doen?

De stopzetting van iDIN is niet alleen een technische kwestie voor IT-afdelingen. Het treft iedereen die zich zorgen maakt over privacy, digitale rechten en de toekomstige vorm van onze digitale samenleving. Dit is wat verschillende groepen kunnen doen:

Ontwikkelaars: bouw met open infrastructuur

Als je digitale diensten bouwt die identificatie of authenticatie vereisen, is nu het moment om alternatieven voor eigen oplossingen te verkennen.

Wat je kunt doen:

• Verken Yivi’s documentatie: Begin op docs.yivi.app om te begrijpen hoe Yivi werkt en hoe je het kunt integreren
• Bekijk de open source code: Onderzoek de codebase op GitHub, draag verbeteringen bij, meld problemen
• Bouw pilots en proofs-of-concept: Test Yivi in je applicaties, experimenteer met selectieve openbaarmaking voor je use cases
• Sluit je aan bij de ontwikkelaarscommunity: Neem deel aan discussies, deel je ervaringen, help het ecosysteem te verbeteren
• Kies voor open standaarden: Door te bouwen op OpenID4VP, OpenID4VCI, SD-JWT VC en andere open protocollen, creëer je interoperabele oplossingen in plaats van vendor lock-in

De ontwikkelaarscommunity heeft enorme macht om te bepalen welke technologieën slagen. Door te kiezen voor het bouwen met privacy-respecterende, open infrastructuur, help je de toekomst te creëren die we willen.

Organisaties en overheden: experimenteer voor de crisis

Wachten tot 2028 wanneer eIDAS 2.0-mandaten volledig van kracht zijn, is te laat. Organisaties die nu beginnen met experimenteren met op attributen gebaseerde credentials en selectieve openbaarmaking, zullen voorbereid zijn; degenen die wachten, zullen gehaaste, kostbare implementaties tegemoet zien.

Wat je kunt doen:

• Start een Yivi-proef: Test hoe Yivi zou kunnen werken voor jouw use case, of dat nu werknemersauthenticatie, klantverificatie of toegangscontrole is
• Stel vragen: Neem contact op met het Yivi-team om te begrijpen hoe het in je technische architectuur en regelgevende vereisten zou passen
• Voer pilotprojecten uit: Kies een specifieke use case en implementeer deze met Yivi om praktische ervaring op te doen
• Plan voor migratie: Als je momenteel afhankelijk bent van iDIN, begin dan nu met het plannen van je transitiestrategie in plaats van te wachten tot het laatste moment
• Eis privacy-respecterende alternatieven: Wanneer je identiteitsoplossingen evalueert, sta erop dat ze selectieve openbaarmaking, gebruikerscontrole en privacy by design bieden
• Overweeg je digitale soevereiniteit: Evalueer de strategische implicaties van afhankelijkheid van buitenlandse commerciële platforms versus open, gemeenschapsbestuurde oplossingen

Overheidsorganisaties in het bijzonder hebben de verantwoordelijkheid om het goede voorbeeld te geven. Publieke diensten moeten opereren volgens publieke waarden. De gemeente Nijmegen is al begonnen met experimenteren met Yivi, en andere overheidsinstanties zouden moeten volgen.

Beleidsmakers en architecten: kies publieke waarden eerst

Digitale identiteitsinfrastructuur is te belangrijk om een bijzaak te zijn. De beslissingen die nu worden genomen over wat iDIN vervangt, zullen de Nederlandse digitale infrastructuur voor decennia vormgeven.

Wat je kunt doen:

• Prioriteer publieke waarden: Bij het evalueren van identiteitsoplossingen, plaats privacy, gebruikerscontrole en digitale soevereiniteit centraal, niet als leuke extra’s
• Ondersteun open alternatieven: Overweeg hoe beleid en aanbesteding open-source, gemeenschapsbestuurde oplossingen kunnen bevorderen boven eigen commerciële platforms
• Denk strategisch: Erken dat digitale identiteitsinfrastructuur net zo kritiek is als wegen of elektriciteitsnetten, en dat het publieke belangen moet dienen, niet alleen commerciële
• Maak experimenteren mogelijk: Creëer ruimte voor overheidsinstanties en publieke instellingen om innovatieve oplossingen zoals Yivi uit te proberen
• Leer van andere landen: Kijk naar hoe andere Europese landen digitale identiteitswallets en selectieve openbaarmaking benaderen
• Betrek de community: Betrek privacyactivisten, technologen en het maatschappelijk middenveld bij beslissingen over digitale identiteitsinfrastructuur

De keuze tussen een gesloten commercieel platform en een open, privacy-respecterend alternatief is uiteindelijk een politieke keuze over waarden. Beleidsmakers moeten deze keuze bewust maken, in plaats van toe te staan dat het standaard gebeurt.

Gebruikers en privacyactivisten: laat je stem horen

Digitale identiteit treft iedereen. De systemen die we gebruiken om online te bewijzen wie we zijn, bepalen hoeveel privacy we hebben, hoeveel controle we behouden over onze persoonlijke informatie en hoeveel we afhankelijk zijn van commerciële platforms die mogelijk niet onze belangen delen.

Wat je kunt doen:

• Leer over alternatieven: Begrijp dat er keuzes bestaan naast de standaard commerciële opties
• Probeer Yivi: Download de Yivi-app en ervaar hoe gebruikersgerichte digitale identiteit aanvoelt
• Pleit voor privacy: Wanneer organisaties of diensten die je gebruikt vertrouwen op privacy-inbreuk makende identificatiemethoden, vraag waarom ze geen betere alternatieven bieden
• Steun open oplossingen: Kies waar mogelijk voor diensten die privacy-respecterende technologieën integreren
• Spreek je uit: Neem deel aan publieke consultaties, schrijf naar vertegenwoordigers, ga in discussie over digitaal identiteitsbeleid
• Educeer anderen: Deel wat je leert over digitale identiteit en privacy met vrienden, familie en collega’s

Individuele stemmen zijn belangrijk. Organisaties en beleidsmakers reageren op vraag. Door duidelijk te maken dat privacy en gebruikerscontrole prioriteiten zijn, help je de markt naar betere oplossingen te verschuiven.

De keuze waarvoor we staan

De stopzetting van iDIN is niet alleen het einde van één bepaalde dienst. Het is een moment van beslissing over wat voor digitale identiteitsinfrastructuur we willen voor Nederland en Europa.

We kunnen toestaan dat deze leemte automatisch wordt opgevuld door een ander commercieel, gesloten platform, waarbij we beperkte privacy, buitenlandse controle en afhankelijkheid van eigen systemen als onvermijdelijk accepteren.

Of we kunnen anders kiezen.

We kunnen oplossingen kiezen die:

• Gebruikers de controle geven over hun eigen digitale identiteit
• Alleen noodzakelijke gegevens delen via selectieve openbaarmaking
• Opereren op open standaarden die lock-in voorkomen
• Functioneren volgens publieke waarden, niet alleen commerciële belangen
• Privacy beschermen door architectuur, niet alleen beleid
• Ons voorbereiden op de regelgevende standaarden die komen

Yivi vertegenwoordigt dit alternatief. Het is niet alleen een vervanging voor iDIN, maar een stap naar een meer privacy-respecterende, gebruikersgerichte en democratisch bestuurde digitale toekomst.

De technologie bestaat. De standaarden zijn vastgesteld. De regelgevende drijfveren zijn aanwezig. Wat nu nodig is, is de collectieve wil om publieke waarden te kiezen boven standaardgemak, en om de digitale infrastructuur te bouwen die we werkelijk willen.

Het einde van iDIN is een einde. Maar eindes creëren ruimte voor nieuwe begin. Laten we dit belangrijk maken.

Meer informatie en betrokken raken

• Vergelijk Yivi en iDIN in detail: yivi.app/yivi_vs_idin
• Begrijp wat Yivi is: docs.yivi.app/what-is-yivi
• Voor ontwikkelaars: yivi.app/for_developers
• Download de Yivi-app: Beschikbaar op iOS en Android
• Neem contact op: Vragen over het implementeren van Yivi? Neem contact op

De toekomst van digitale identiteit wordt nu beslist. Wees onderdeel van die beslissing.