NotarisID is sinds enkele dagen “gekwalificeerd vertrouwensdienstverlener” naar de normen van de Europese eIDAS verordening! 🎉 NotarisID is een initiatief van het notariaat zelf en dat kan nu dan dus ook zeggen dat ze het fundament hebben gelegd om in het digitale maatschappelijke verkeer dezelfde zekerheden te bieden als dat ze al doen in de oude economie.
Ik ben sinds 2019 betrokken bij NotarisID en deed niet eerder een project met deze impact (niet in de laatste plaats op mezelf 🙀). Met deze blog kijk ik terug op bijna 4 bizarre jaren waarin ik als product owner twee bedrijven vanaf de grond opbouwde, in een politiek speelveld en kort na de start overvallen door de nieuwe werkelijkheid van Corona. Bijna één van de vier jaar moest ik dan ook herstellen na tot m’n sokken afgebrand te zijn… 🔥
Een vertrouwensdienstverlener (Engels: trust service provider) is een partij die vertrouwensdiensten verleend. Dit is terminologie uit de eIDAS-verordening. Een vertrouwensdienst is in die context;
Maar ook de minder bekende;
Die diensten zijn begin jaren ‘10 uitgedacht in Europa met de gedachte dat als deze diensten aangeboden zouden worden door de markt, we digitaal tot stand gekomen transacties in dezelfde mate kunnen vertrouwen als dat we oude-economie-transacties (de handdruk, natte handtekening en notaris) vertrouwen. Inhoudelijk zijn de diensten zo goed als allemaal implementaties van bekende techniek, namelijk Public Key Infrastructure (PKI) die gebaseerd is op elektronische sleutelparen.
Waar het in eIDAS vooral om gaat - en daar komt het woord “gekwalificeerd” (Engels: qualified) om de hoek - is onder welke omstandigheden de techniek geexploiteerd wordt. In die hoek zit dan ook de echte uitdaging, want een gekwalificeerde vertrouwensdienst kan alleen worden aangeboden door een gekwalificeerde vertrouwensdiensverlener (Engels: Qualified Trust Service Provider (QTSP)). De QTSP moet z’n organisatie zo hebben ingericht dat informatiebeveiliging tot in de haarvaten is geimplementeerd, inclusief alle checks en balances en processen om de juiste dingen te doen als er zich een incident voordoet.
eIDAS verordoneert dat via drie ETSI normen (EN 319 401, EN 319 411-1 en EN 319 411-2) waarin zowel de eisen staan aan de techniek, maar vooral ook de eisen aan de organisatie. De implementatie van de AVG is daarmee vergeleken een weekend werk en de implementatie van ISO27001/2 is een goede vingeroefening.