Een smartphone toont het silhouet van een gezicht, als beeld van digitale identiteit op je telefoon.
Inzicht18 juli · 09:007 min leestijd

De Europese identiteitswallet komt eind 2026: waarom 'vrijwillig' voor jouw bedrijf de verkeerde geruststelling is

De Europese identiteitswallet is voor burgers vrijwillig, maar voor bedrijven staat er een acceptatieplicht op de kalender. Waarom die geruststellende framing je op het verkeerde been zet, en welke deadlines nu al lopen.

"Vrijwillig." Dat woord valt bij bijna elk bericht over de Europese identiteitswallet, en het klopt ook, voor burgers. De Rijksoverheid zegt het zelf onomwonden: het gebruik van de wallet is vrijwillig en je bestaande inlogmiddelen blijven gewoon bestaan. Niemand wordt gedwongen zijn paspoort, rijbewijs of diploma’s in een app op zijn telefoon te zetten. Maar die geruststelling gaat over de burger, niet over jouw organisatie. Voor bedrijven en instellingen is er geen "vrijwillig", er is een acceptatieplicht met een datum, en de eerste datum ligt dichter bij vandaag dan de meeste ondernemers vermoeden.

Mijn stelling is simpel: de identiteitswallet is geen politiek project waar je vrijblijvend buiten kunt blijven. Het is identiteitsinfrastructuur, en wie het woord "vrijwillig" leest als "ik hoef nu nog niks", verwart de vrijheid van zijn klant met een uitstel voor zichzelf dat er niet is.

De EUDI-wallet is de Europese identiteitswallet die voortkomt uit de herziene eIDAS-verordening, kortweg eIDAS 2.0. Elke EU-lidstaat moet voor het eind van 2026 minstens één gecertificeerde wallet aan zijn burgers aanbieden. Daarmee kan iemand zich online en offline identificeren en geverifieerde gegevens delen, van zijn leeftijd tot zijn KvK-inschrijving, zonder telkens een kopie van zijn paspoort te hoeven overhandigen.

De deadline is geen probleem voor 2027

Wie de wallet op zijn lijstje voor "ooit" zet, rekent met het verkeerde jaar. Publieke en semipublieke organisaties moeten de wallet accepteren zodra hij beschikbaar is, dus vanaf eind 2026; private partijen volgen een jaar later. En binnen dat "publieke" zit een sector die veel eerder aan de beurt is dan hij zelf beseft: zo moeten zorgorganisaties de wallet al vanaf november 2026 accepteren als geldig identificatiemiddel. Ziekenhuizen, huisartsen en de thuiszorg: hun systemen moeten die identificatie dan kunnen inlezen en verwerken.

Voor wie sterke klantauthenticatie doet is de klok nog explicieter. Partijen die onder de strong customer authentication van PSD2 vallen, moeten walletgegevens uiterlijk december 2027 accepteren als inlogmiddel. Dat is geen verre horizon, dat is anderhalf jaar. En de ervaring leert dat identiteit- en betaalintegraties zelden in een middag klaar zijn.

Ik heb dit patroon inmiddels een paar keer achter elkaar zien terugkomen. Het is precies dezelfde denkfout als bij de verplichte e-facturatie, waar niet de wettelijke datum maar je buitenlandse klanten het echte startschot geven, en als bij de AI-geletterdheidsplicht, die al sinds begin 2025 geldt terwijl iedereen naar augustus 2026 blijft wijzen. Steeds weer wordt een datum aangezien voor het moment waarop het werk begint, terwijl het werk er allang onder ligt.

Dit is geen inlogknopje, het is identiteitsinfrastructuur

Hier zit de tweede denkfout, en die is groter. Veel ondernemers scharen de wallet mentaal onder "weer een inlogmethode", ergens naast wachtwoorden, sms-codes en passkeys. Maar een passkey lost één probleem op: bewijzen dat jij het bent bij het inloggen. De wallet doet iets fundamenteel anders. Hij is een drager van geverifieerde attributen: je leeftijd, je rijbewijs, je diploma, je KvK-uittreksel, een mandaat om namens je bedrijf te tekenen. Niet "ben jij het", maar "wat kan deze persoon aantoonbaar over zichzelf zeggen, en wat hoef ik daarvoor niet meer zelf op te vragen".

Dat verschil verandert jouw rol. Waar je nu zelf identiteitsdocumenten opvraagt, kopieert en bewaart, word je straks een vertrouwende partij: een organisatie die een door de overheid gecertificeerd bewijs uitleest en erop vertrouwt. Dat betekent je registreren als zo'n partij, je processen inrichten op selectieve openbaarmaking (de wallet deelt alleen het gevraagde attribuut, niet je hele identiteit), en nadenken over waar die geverifieerde gegevens straks landen en onder welke grondslag je ze mag bewaren. Dat is geen knop die je aanzet. Dat is een ontwerpkeuze.

Het werk zit in de koppeling, niet in de knop

De reden dat "vrijwillig" zo misleidend is, is dat de plicht maar de helft van het verhaal is. Zelfs als jouw organisatie formeel niets hoeft, verschuift de vraagkant onder je voeten. Zodra de overheid, je bank en je grotere klanten de wallet als normale manier gaan gebruiken om aan te tonen wie ze zijn, wordt het de standaard waar mensen naar reiken. Een onboarding die de wallet niet accepteert, voelt dan al snel als een formulier dat om een natte handtekening vraagt.

Het is hetzelfde mechanisme als bij de digitale euro, waar het Europees Parlement onderhandelingen opende over een acceptatieplicht die vrijwel elk bedrijf in de eurozone zou raken: eerst lijkt het een ver Brussels dossier, tot het ineens jouw kassa of je inlogscherm is. De koppeling, het registreren als vertrouwde partij, het testen tegen een echte wallet: dat is het werk, en dat werk verplaatst niet mee met de datum waarop de regel formeel ingaat.

Om eerlijk te zijn: veel kleine bedrijven zijn uitgezonderd

Nu de tegenwerping, want die is echt. Heb je een klein bedrijf, dan klopt het geruststellende verhaal grotendeels: artikel 5f van de eIDAS-verordening zondert micro- en kleinbedrijven expliciet uit van de acceptatieplicht. De harde verplichting mikt op sectoren waar sterke authenticatie sowieso al geldt: bankwezen, transport, energie, zorg, telecom, onderwijs en digitale infrastructuur. Een webshop met vier man personeel valt daar in de regel buiten. Wie zegt "dit gaat niet over mij", heeft juridisch vaak gelijk.

Maar daar zit precies de val. Ten eerste is de uitzondering smaller dan hij oogt: doe je aan sterke klantauthenticatie, verwerk je zorggegevens of lever je aan de overheid, dan word je alsnog naar binnen getrokken, ongeacht je omvang. Ten tweede, en belangrijker: een uitzondering op de plicht is geen uitzondering op de realiteit. De wallet wordt de rail waarover je klanten zich identificeren, of jij nu verplicht bent of niet. En ten derde verwart "ik hoef niet" met "ik heb er niets aan". Een wallet die in seconden een geverifieerd KvK-uittreksel of een leeftijd deelt, snijdt fraude, overtypwerk en frictie uit je onboarding. Dat is geen last die je afwacht, dat is een voordeel dat je laat liggen zolang je het als compliance blijft zien.

Vrijwillig voor de burger, onvermijdelijk voor de rest

Terug naar dat ene woord. "Vrijwillig" is waar, maar het beschrijft de vrijheid van je klant, niet die van jou. Voor de burger is de wallet een keuze; voor iedereen die de burger als klant, patiënt of gebruiker heeft, is het infrastructuur die eraan komt, met of zonder jouw voorbereiding.

En dat is uiteindelijk het punt dat verder reikt dan deze ene verordening. Regelgeving als deze is geen deadline die je op de valreep haalt, het is een architectuurkeuze die je nu al maakt, bewust of per ongeluk. Wie wacht tot de plicht formeel geldt, bouwt straks reactief, onder tijdsdruk, tegen een datum die eigenlijk al verstreken is. Wie de wallet nu als infrastructuur behandelt, kiest zelf hoe zijn klanten straks bewijzen wie ze zijn. Het verschil tussen die twee is niet de techniek. Het is of je de verandering ziet aankomen, of erdoor wordt ingehaald.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Klaar voor de identiteitswallet?

Ik denk met je mee over wat de EUDI-wallet voor jouw processen betekent, ontwerp de koppeling naar je onboarding en inlog, en bouw hem end-to-end zodat je klaar bent voordat de acceptatieplicht gaat lopen.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

'Ik heb niets te verbergen' is geen risicoanalyse voor je bedrijfsdata
Inzicht
6 min

16 jul 13:04

'Ik heb niets te verbergen' is geen risicoanalyse voor je bedrijfsdata

Zodra het over chatcontrole gaat, klinkt 'ik heb niets te verbergen'. Voor een bedrijf is dat geen risicoanalyse: de vraag is welke van je kanalen echt versleuteld zijn en wie er bij je klantdata kan.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Kabinet waarschuwt: NIS2 vereenvoudigen kan juist meer lasten opleveren
Nieuws
5 min

23 jun 10:31

Kabinet waarschuwt: NIS2 vereenvoudigen kan juist meer lasten opleveren

Het kabinet steunt het plan van Brussel om de NIS2-richtlijn te vereenvoudigen, maar waarschuwt dat het tegenovergestelde dreigt: meer certificeringslast en dubbele audits voor IT-dienstverleners en organisaties die onder de wet vallen.

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur
Gids
Uitgebreide gids11 min

15 jul 13:01

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur

Je softwareleverancier of hosting is gehackt en je klantdata is mogelijk gelekt. Dit is het incident-playbook: ben jij verantwoordelijke, is het meldplichtig bij de AP, wat vertel je je klanten, en hoe voorkom je dat je vastzit aan de gehackte partij.

EU-Parlement opent onderhandelingen over digitale euro met acceptatieplicht
Nieuws
4 min

11 jul 06:25

EU-Parlement opent onderhandelingen over digitale euro met acceptatieplicht

Het Europees Parlement zette met 416 stemmen het licht op groen voor onderhandelingen over de digitale euro. Vrijwel alle bedrijven moeten de munt straks accepteren, en dat raakt je kassa, checkout en boekhouding.

De Cyberbeveiligingswet is nu definitief: 'niet-kritiek' houdt je mkb niet buiten de keten-eis
Inzicht
7 min

10 jul 17:00

De Cyberbeveiligingswet is nu definitief: 'niet-kritiek' houdt je mkb niet buiten de keten-eis

De Cyberbeveiligingswet geldt vanaf 15 augustus 2026 voor 8.000 organisaties. Val je er formeel buiten, dan komt de eis alsnog binnen: als securityvragenlijst van je grootste klant. Je deadline is je volgende contract, niet de wet.