"Vrijwillig." Dat woord valt bij bijna elk bericht over de Europese identiteitswallet, en het klopt ook, voor burgers. De Rijksoverheid zegt het zelf onomwonden: het gebruik van de wallet is vrijwillig en je bestaande inlogmiddelen blijven gewoon bestaan. Niemand wordt gedwongen zijn paspoort, rijbewijs of diploma’s in een app op zijn telefoon te zetten. Maar die geruststelling gaat over de burger, niet over jouw organisatie. Voor bedrijven en instellingen is er geen "vrijwillig", er is een acceptatieplicht met een datum, en de eerste datum ligt dichter bij vandaag dan de meeste ondernemers vermoeden.
Mijn stelling is simpel: de identiteitswallet is geen politiek project waar je vrijblijvend buiten kunt blijven. Het is identiteitsinfrastructuur, en wie het woord "vrijwillig" leest als "ik hoef nu nog niks", verwart de vrijheid van zijn klant met een uitstel voor zichzelf dat er niet is.
De EUDI-wallet is de Europese identiteitswallet die voortkomt uit de herziene eIDAS-verordening, kortweg eIDAS 2.0. Elke EU-lidstaat moet voor het eind van 2026 minstens één gecertificeerde wallet aan zijn burgers aanbieden. Daarmee kan iemand zich online en offline identificeren en geverifieerde gegevens delen, van zijn leeftijd tot zijn KvK-inschrijving, zonder telkens een kopie van zijn paspoort te hoeven overhandigen.
De deadline is geen probleem voor 2027
Wie de wallet op zijn lijstje voor "ooit" zet, rekent met het verkeerde jaar. Publieke en semipublieke organisaties moeten de wallet accepteren zodra hij beschikbaar is, dus vanaf eind 2026; private partijen volgen een jaar later. En binnen dat "publieke" zit een sector die veel eerder aan de beurt is dan hij zelf beseft: zo moeten zorgorganisaties de wallet al vanaf november 2026 accepteren als geldig identificatiemiddel. Ziekenhuizen, huisartsen en de thuiszorg: hun systemen moeten die identificatie dan kunnen inlezen en verwerken.
Voor wie sterke klantauthenticatie doet is de klok nog explicieter. Partijen die onder de strong customer authentication van PSD2 vallen, moeten walletgegevens uiterlijk december 2027 accepteren als inlogmiddel. Dat is geen verre horizon, dat is anderhalf jaar. En de ervaring leert dat identiteit- en betaalintegraties zelden in een middag klaar zijn.
Ik heb dit patroon inmiddels een paar keer achter elkaar zien terugkomen. Het is precies dezelfde denkfout als bij de verplichte e-facturatie, waar niet de wettelijke datum maar je buitenlandse klanten het echte startschot geven, en als bij de AI-geletterdheidsplicht, die al sinds begin 2025 geldt terwijl iedereen naar augustus 2026 blijft wijzen. Steeds weer wordt een datum aangezien voor het moment waarop het werk begint, terwijl het werk er allang onder ligt.
Dit is geen inlogknopje, het is identiteitsinfrastructuur
Hier zit de tweede denkfout, en die is groter. Veel ondernemers scharen de wallet mentaal onder "weer een inlogmethode", ergens naast wachtwoorden, sms-codes en passkeys. Maar een passkey lost één probleem op: bewijzen dat jij het bent bij het inloggen. De wallet doet iets fundamenteel anders. Hij is een drager van geverifieerde attributen: je leeftijd, je rijbewijs, je diploma, je KvK-uittreksel, een mandaat om namens je bedrijf te tekenen. Niet "ben jij het", maar "wat kan deze persoon aantoonbaar over zichzelf zeggen, en wat hoef ik daarvoor niet meer zelf op te vragen".
Dat verschil verandert jouw rol. Waar je nu zelf identiteitsdocumenten opvraagt, kopieert en bewaart, word je straks een vertrouwende partij: een organisatie die een door de overheid gecertificeerd bewijs uitleest en erop vertrouwt. Dat betekent je registreren als zo'n partij, je processen inrichten op selectieve openbaarmaking (de wallet deelt alleen het gevraagde attribuut, niet je hele identiteit), en nadenken over waar die geverifieerde gegevens straks landen en onder welke grondslag je ze mag bewaren. Dat is geen knop die je aanzet. Dat is een ontwerpkeuze.
Het werk zit in de koppeling, niet in de knop
De reden dat "vrijwillig" zo misleidend is, is dat de plicht maar de helft van het verhaal is. Zelfs als jouw organisatie formeel niets hoeft, verschuift de vraagkant onder je voeten. Zodra de overheid, je bank en je grotere klanten de wallet als normale manier gaan gebruiken om aan te tonen wie ze zijn, wordt het de standaard waar mensen naar reiken. Een onboarding die de wallet niet accepteert, voelt dan al snel als een formulier dat om een natte handtekening vraagt.
Het is hetzelfde mechanisme als bij de digitale euro, waar het Europees Parlement onderhandelingen opende over een acceptatieplicht die vrijwel elk bedrijf in de eurozone zou raken: eerst lijkt het een ver Brussels dossier, tot het ineens jouw kassa of je inlogscherm is. De koppeling, het registreren als vertrouwde partij, het testen tegen een echte wallet: dat is het werk, en dat werk verplaatst niet mee met de datum waarop de regel formeel ingaat.
Om eerlijk te zijn: veel kleine bedrijven zijn uitgezonderd
Nu de tegenwerping, want die is echt. Heb je een klein bedrijf, dan klopt het geruststellende verhaal grotendeels: artikel 5f van de eIDAS-verordening zondert micro- en kleinbedrijven expliciet uit van de acceptatieplicht. De harde verplichting mikt op sectoren waar sterke authenticatie sowieso al geldt: bankwezen, transport, energie, zorg, telecom, onderwijs en digitale infrastructuur. Een webshop met vier man personeel valt daar in de regel buiten. Wie zegt "dit gaat niet over mij", heeft juridisch vaak gelijk.
Maar daar zit precies de val. Ten eerste is de uitzondering smaller dan hij oogt: doe je aan sterke klantauthenticatie, verwerk je zorggegevens of lever je aan de overheid, dan word je alsnog naar binnen getrokken, ongeacht je omvang. Ten tweede, en belangrijker: een uitzondering op de plicht is geen uitzondering op de realiteit. De wallet wordt de rail waarover je klanten zich identificeren, of jij nu verplicht bent of niet. En ten derde verwart "ik hoef niet" met "ik heb er niets aan". Een wallet die in seconden een geverifieerd KvK-uittreksel of een leeftijd deelt, snijdt fraude, overtypwerk en frictie uit je onboarding. Dat is geen last die je afwacht, dat is een voordeel dat je laat liggen zolang je het als compliance blijft zien.
Vrijwillig voor de burger, onvermijdelijk voor de rest
Terug naar dat ene woord. "Vrijwillig" is waar, maar het beschrijft de vrijheid van je klant, niet die van jou. Voor de burger is de wallet een keuze; voor iedereen die de burger als klant, patiënt of gebruiker heeft, is het infrastructuur die eraan komt, met of zonder jouw voorbereiding.
En dat is uiteindelijk het punt dat verder reikt dan deze ene verordening. Regelgeving als deze is geen deadline die je op de valreep haalt, het is een architectuurkeuze die je nu al maakt, bewust of per ongeluk. Wie wacht tot de plicht formeel geldt, bouwt straks reactief, onder tijdsdruk, tegen een datum die eigenlijk al verstreken is. Wie de wallet nu als infrastructuur behandelt, kiest zelf hoe zijn klanten straks bewijzen wie ze zijn. Het verschil tussen die twee is niet de techniek. Het is of je de verandering ziet aankomen, of erdoor wordt ingehaald.
Veelgestelde vragen
Klaar voor de identiteitswallet?
Ik denk met je mee over wat de EUDI-wallet voor jouw processen betekent, ontwerp de koppeling naar je onboarding en inlog, en bouw hem end-to-end zodat je klaar bent voordat de acceptatieplicht gaat lopen.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
