Czym jest eIDAS 2.0 i jaką rolę odgrywa cyfrowa weryfikacja tożsamości?

Ostateczna propozycja eIDAS 2.0 została opublikowana 3 czerwca 2021 r. Jej celem było skorygowanie różnych niedociągnięć i ustanowienie środków umożliwiających obywatelom Europy uzyskanie oficjalnie uznanej tożsamości cyfrowej z większą skutecznością.

eIDAS 2.0 przynosi ogromne możliwości dzięki wprowadzeniu Europejskiego Portfela Tożsamości Cyfrowej (EUDI). Poszerza koncepcję tożsamości o fizyczne usługi i transakcje, które są dostępne z dowolnego miejsca na świecie. Jednocześnie umożliwiają użytkownikowi wyłączną kontrolę nad danymi osobowymi i informacjami.
W tym artykule przyjrzymy się, w jaki sposób weryfikacja tożsamości cyfrowej odgrywa kluczową rolę.

Cele i korzyści eIDAS 2.0

Pierwotne rozporządzenie eIDAS dotyczyło wyłącznie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych oraz wzajemnego uznawania bezpiecznych interakcji elektronicznych między obywatelami, organizacjami i organami publicznymi. Celem było i nadal jest zwiększenie efektywności publicznych i prywatnych usług online, podkreślając znaczenie bezpieczeństwa usług elektronicznych. Usługi te obejmują podpisy elektroniczne, pieczęcie elektroniczne i znaczniki czasu. Jedną z najważniejszych zmian wprowadzonych przez eIDAS 2.0 jest rozszerzenie zakresu rozporządzenia o nowe rodzaje elektronicznych usług zaufania.

eIDAS 2.0 poszerza zakres o usługi rejestrowanego doręczenia elektronicznego, elektroniczne certyfikaty uwierzytelniające i pieczęcie elektroniczne dla dokumentów elektronicznych.

Rozwój koncepcji „kwalifikowanych dostawców usług zaufania” (QTSP) jest kolejną kluczową zmianą wprowadzoną przez rozporządzenie eIDAS 2.0. QTSP odgrywają dużą rolę w zaktualizowanym rozporządzeniu. Będą odpowiedzialni za zapewnienie, że autoryzowane tożsamości cyfrowe są zgodne ze zaktualizowanym rozporządzeniem. Rozporządzenie eIDAS 2.0 definiuje kwalifikowaną usługę zaufania (QTS) i kwalifikowanego dostawcę usług zaufania (QTSP) w celu wykazania zgodności z wysokimi standardami bezpieczeństwa i obowiązkami eIDAS. Kwalifikowane usługi zaufania mogą być oferowane wyłącznie przez kwalifikowanego dostawcę usług zaufania, takiego jak np. Eurocert lub GlobalSign.

QTSP są zobowiązani do spełnienia szeregu warunków bezpieczeństwa jako wyspecjalizowani dostawcy zapewniający bezpieczne transakcje elektroniczne, takie jak podpisy elektroniczne, pieczęcie elektroniczne, certyfikaty cyfrowe lub usługi znakowania czasem. Te warunki wstępne obejmują silne algorytmy kryptograficzne, metody uwierzytelniania, indywidualne ścieżki audytu transakcji i bezpieczną architekturę systemu.

QTSP to dostawca usług zaufania, któremu przyznano status kwalifikowany i który jest nadzorowany przez krajowy organ nadzorczy.

eIDAS 2.0 ma na celu rozszerzenie koncepcji tożsamości na usługi fizyczne, do których można uzyskać dostęp z dowolnego miejsca na świecie. Umożliwi to każdemu Europejczykowi posiadanie zestawu cyfrowych poświadczeń tożsamości (takich jak dowody tożsamości, paszporty, certyfikaty zawodowe i prawa jazdy), które są uznawane w całej UE – inaczej zwanych portfelami europejskiej tożsamości cyfrowej (EUDI). Te „portfele” to aplikacje mobilne lub usługi w chmurze, które gromadzą i przechowują cyfrowe dane uwierzytelniające, umożliwiając ich prywatne i bezpieczne wykorzystanie w różnych przypadkach zastosowań rządowych i pozarządowych.
Rozwój ten wymaga ustanowienia bezpiecznego, zaufanego i skutecznego procesu identyfikacji, który oferuje klientom płynne doświadczenie podczas dokonywania zakupów, rejestracji lub korzystania z usług.

Bezpieczne transakcje elektroniczne między obywatelami, biznesem i organami publicznymi

Celem eIDAS 2.0 jest realizacja celu określonego w europejskiej inicjatywie „Droga do cyfrowej dekady”, która ma umożliwić 80% obywateli UE korzystanie z identyfikacji cyfrowej do 2030 roku.

Obejmuje to możliwość:

• uwierzytelniania swojej tożsamości poza granicami,
• wyrażania wyraźnej zgody na udostępnianie określonych danych osobowych,
• posiadania jasnej wiedzy na temat odbiorców i celów udostępnianych informacji.

Ta legislacja wprowadza koncepcję portfela EUDI i dokonuje transformacji w unijnych ramach tożsamości cyfrowej.
Do tej pory dyskusje wokół zmiany ram eIDAS koncentrowały się głównie na potencjalnych zagrożeniach i korzyściach dla obywateli i konsumentów. Aby jednak nowe europejskie ramy tożsamości cyfrowej mogły się rozwijać, ważne jest, aby ich wdrożenie uwzględniało również odrębne wymagania identyfikacyjne przedsiębiorstw.

Tożsamość cyfrowa

Tożsamość cyfrowa to szeroki termin, który obejmuje różne rozwiązania w zakresie tożsamości. Niezależnie od konkretnego typu rozwiązania tożsamościowego, we wszystkich scenariuszach zaangażowane są trzy strony:

• podmiot wydający lub dostawca tożsamości,
• użytkownik (lub posiadacz tożsamości),
• strona zaufania (która wykorzystuje tożsamość dostarczoną przez podmiot wydający).

Posiadanie tożsamości cyfrowej, takiej jak cyfrowy dowód osobisty, umożliwia osobom fizycznym ustalenie ich tożsamości. Nie dostarcza jednak informacji o ich kwalifikacjach lub uprawnieniach. Dostęp do usług cyfrowych często wymaga jednak takich atrybutów. Są to: cecha, charakterystyka lub zdolność osoby fizycznej lub prawnej lub podmiotu w formie elektronicznej. W rezultacie dodatkowe atrybuty, jak np. zaświadczenia lekarskie, kwalifikacje zawodowe lub prawa jazdy, stały się kluczowymi elementami systemów tożsamości cyfrowej. Atrybuty te są powiązane z tożsamością cyfrową i weryfikowane przez kwalifikowanego dostawcę usług zaufania. Kwalifikowane usługi zaufania umożliwiają dostarczanie kwalifikowanych elektronicznych poświadczeń atrybutów powiązanych z zaufanymi źródłami i egzekwowalnych transgranicznie. Wspiera to z kolei wiele przypadków użycia, które opierają się na wymogu weryfikacji atrybutów tożsamości powiązanych z daną osobą.

Weryfikacja tożsamości cyfrowej – sposób udostępniania informacji za wyraźną zgodą

Jednym z kluczowych aspektów eIDAS 2.0 jest to, że użytkownik ma wyłączną kontrolę nad wszystkimi danymi osobowymi. Portfel EUDI opracowano w celu uproszczenia procesu dostępu osób fizycznych i firm do usług online, przeprowadzania bezpiecznych transakcji i nawigacji w operacjach transgranicznych i podróżach. Dzięki scentralizowanej lokalizacji, przechowującej identyfikację elektroniczną oraz usługi zaufania, takie jak podpisy elektroniczne i certyfikaty cyfrowe, użytkownicy mogą łatwo uzyskiwać dostęp do swoich danych i certyfikatów oraz korzystać z nich według potrzeb.
To usprawnione podejście zwiększa dostępność dla użytkowników i ułatwia efektywne korzystanie z tych usług.

Prywatność danych

Portfel EUDI gromadzi tylko niezbędne informacje dotyczące użytkowania, ograniczając je do minimum potrzebnego do świadczenia usług. Europejski Portfel Tożsamości Cyfrowej nie będzie łączyć danych osobowych ani innych informacji związanych z nim z danymi osobowymi pochodzącymi z innych usług świadczonych przez emitenta. Nie będzie także łączyć danych z niepowiązanych usług stron trzecich, chyba że użytkownik wyraźnie wyrazi takie żądanie. Prywatność w fazie projektowania i selektywne ujawnianie atrybutów będą egzekwowane w ramach Portfela EUDI. Priorytetowo traktuje się prywatność użytkowników i ochrona danych.

Dodatkowe zasady świadczenia usług elektronicznego poświadczania atrybutów

1. Dostawcy kwalifikowanych i niekwalifikowanych usług elektronicznego poświadczania atrybutów nie mogą łączyć danych osobowych związanych ze świadczeniem tych usług z danymi osobowymi pochodzącymi z innych ich usług.
2. Dane osobowe związane ze świadczeniem usług elektronicznego poświadczania atrybutów są logicznie oddzielone od innych przechowywanych danych.
3. Dane osobowe związane ze świadczeniem usług kwalifikowanego elektronicznego poświadczenia atrybutów są fizycznie i logicznie oddzielone od wszelkich innych przechowywanych danych.
4. Podmioty świadczące usługi kwalifikowanego elektronicznego poświadczenia atrybutów świadczą takie usługi w ramach odrębnego podmiotu prawnego.

Rozwiązania zgodne z eIDAS

eIDAS 2.0 ustanawia ustandaryzowane przepisy dotyczące tożsamości elektronicznej (eID) i usług zaufania na rynku wewnętrznym. Przepisy te kładą nacisk zarówno na zachowanie zaufania, jak i na kontrolę użytkowników nad ich danymi osobowymi. Stanowi to znaczący postęp w zakresie prywatności, bezpieczeństwa i autonomii użytkownika, oznaczając znaczący krok naprzód w zakresie ochrony praw do prywatności i zwiększenia ogólnej kontroli użytkownika.

W SIGNIUS doskonale rozumiemy, jak ważne jest bycie na bieżąco z aktualnymi przepisami, w tym eIDAS. Istnieje wiele sposobów, w jaki możemy pomóc organizacjom w przestrzeganiu rozporządzenia eIDAS. Są to m.in. podpisy kwalifikowane i kwalifikowane pieczęcie elektroniczne, uwierzytelnianie, znakowanie czasem. Skontaktuj się z nami i sprawdź, jak możemy wesprzeć Twoją firmę.

Zachęcamy do zapoznania się z naszymi usługami: podpis elektroniczny, pieczęć elektroniczna, weryfikacja tożsamości online, znacznik czasu, podpis kwalifikowany.

Sprawdź nasze produkty również dla innych branży:

• Podpis elektroniczny dla bankowości
• Podpis elektroniczny dla HR
• Podpis elektroniczny dla ubezpieczeń
• Podpis elektroniczny dla małych i średnich przedsiębiorstw
• Podpis elektroniczny dla telekomunikacji
• Podpis elektroniczny dla retail
• Podpis elektroniczny dla opieki medycznej
• Podpis elektroniczny dla nieruchomości

Czym jest eIDAS 2.0?

eIDAS 2.0 to aktualizacja unijnych ram dotyczących identyfikacji elektronicznej i usług zaufania. Jej celem jest usprawnienie korzystania z oficjalnie uznanej tożsamości cyfrowej w Europie oraz rozszerzenie zakresu usług zaufania, m.in. o rozwiązania związane z Europejskim Portfelem Tożsamości Cyfrowej.

Co zmienia eIDAS 2.0 w porównaniu z wcześniejszym rozporządzeniem eIDAS?

eIDAS 2.0 rozszerza dotychczasowe przepisy o nowe rodzaje usług zaufania i większy nacisk na cyfrową tożsamość użytkownika. Aktualizacja obejmuje m.in. Europejski Portfel Tożsamości Cyfrowej, elektroniczne poświadczenia atrybutów, usługi rejestrowanego doręczenia elektronicznego, certyfikaty uwierzytelniające oraz nowe zasady dotyczące kontroli użytkownika nad danymi.

Czym jest Europejski Portfel Tożsamości Cyfrowej?

Europejski Portfel Tożsamości Cyfrowej, czyli EUDI Wallet, to rozwiązanie umożliwiające przechowywanie i wykorzystywanie cyfrowych danych uwierzytelniających. Może obejmować m.in. dowód tożsamości, prawo jazdy, paszport, certyfikaty zawodowe czy inne poświadczenia potrzebne przy korzystaniu z usług publicznych i prywatnych.

Do czego będzie służyć portfel EUDI?

Portfel EUDI ma umożliwiać bezpieczne potwierdzanie tożsamości, korzystanie z usług online, przeprowadzanie transakcji elektronicznych oraz obsługę procesów transgranicznych. Użytkownik będzie mógł udostępniać wybrane dane konkretnym podmiotom, zachowując kontrolę nad zakresem przekazywanych informacji.

Jak eIDAS 2.0 wpływa na kontrolę użytkownika nad danymi?

Jednym z założeń eIDAS 2.0 jest zapewnienie użytkownikowi większej kontroli nad danymi osobowymi. Oznacza to możliwość świadomego decydowania, jakie informacje są udostępniane, komu i w jakim celu. Portfel EUDI ma wspierać selektywne ujawnianie danych, czyli przekazywanie wyłącznie tych informacji, które są potrzebne w danym procesie.

Czym jest tożsamość cyfrowa?

Tożsamość cyfrowa to zestaw danych, które pozwalają potwierdzić, kim jest dana osoba, organizacja lub podmiot w środowisku elektronicznym. Może obejmować podstawowe dane identyfikacyjne, ale także dodatkowe atrybuty, takie jak kwalifikacje zawodowe, uprawnienia, certyfikaty, zaświadczenia czy prawo jazdy.

Czym są elektroniczne poświadczenia atrybutów?

Elektroniczne poświadczenia atrybutów to cyfrowe potwierdzenia określonych cech, uprawnień lub kwalifikacji osoby albo organizacji. Mogą dotyczyć m.in. wykształcenia, prawa wykonywania zawodu, uprawnień do prowadzenia pojazdów czy zaświadczeń wymaganych przy korzystaniu z określonych usług.

Jaką rolę pełni weryfikacja tożsamości cyfrowej w eIDAS 2.0?

Weryfikacja tożsamości cyfrowej pozwala potwierdzić, że osoba lub organizacja korzystająca z usługi jest tym podmiotem, za który się podaje. W eIDAS 2.0 ma ona szczególne znaczenie, ponieważ umożliwia bezpieczne korzystanie z portfela EUDI, elektronicznych poświadczeń atrybutów oraz usług zaufania w różnych krajach Unii Europejskiej.

Kim jest kwalifikowany dostawca usług zaufania?

Kwalifikowany dostawca usług zaufania, czyli QTSP, to podmiot, który uzyskał status kwalifikowany i podlega nadzorowi właściwego organu krajowego. QTSP może świadczyć kwalifikowane usługi zaufania, takie jak podpisy elektroniczne, pieczęcie elektroniczne, znaczniki czasu, certyfikaty cyfrowe czy usługi związane z poświadczaniem atrybutów.

Czym są kwalifikowane usługi zaufania?

Kwalifikowane usługi zaufania to usługi elektroniczne spełniające wysokie wymagania bezpieczeństwa określone w przepisach eIDAS. Mogą obejmować m.in. kwalifikowane podpisy elektroniczne, kwalifikowane pieczęcie elektroniczne, kwalifikowane znaczniki czasu, certyfikaty cyfrowe oraz kwalifikowane elektroniczne poświadczenia atrybutów.

Jakie znaczenie ma eIDAS 2.0 dla firm?

eIDAS 2.0 może ułatwić firmom obsługę procesów cyfrowych, identyfikację klientów, podpisywanie dokumentów, potwierdzanie uprawnień oraz prowadzenie transakcji transgranicznych. Dla przedsiębiorstw oznacza to większą spójność zasad w UE, wyższy poziom bezpieczeństwa oraz możliwość sprawniejszej obsługi klientów i partnerów biznesowych.

Jakie znaczenie ma eIDAS 2.0 dla administracji publicznej?

Dla administracji publicznej eIDAS 2.0 oznacza możliwość rozwijania bezpiecznych usług cyfrowych dostępnych dla obywateli w całej Unii Europejskiej. Dzięki tożsamości cyfrowej i portfelowi EUDI obywatele będą mogli łatwiej potwierdzać swoją tożsamość oraz korzystać z usług publicznych także poza krajem zamieszkania.

Czy portfel EUDI będzie mógł być używany poza krajem zamieszkania?

Tak. Jednym z założeń eIDAS 2.0 jest transgraniczne uznawanie tożsamości cyfrowej i poświadczeń w Unii Europejskiej. Dzięki temu użytkownik będzie mógł korzystać z wybranych usług i potwierdzać swoje dane także poza krajem, w którym wydano jego cyfrową tożsamość.

Jak eIDAS 2.0 chroni prywatność użytkowników?

eIDAS 2.0 zakłada ograniczenie zakresu przetwarzanych danych do informacji niezbędnych do wykonania danej usługi. Portfel EUDI ma wspierać prywatność już na etapie projektowania oraz selektywne ujawnianie atrybutów. Dane związane z elektronicznym poświadczaniem atrybutów mają być oddzielone od innych danych przetwarzanych przez dostawców usług.

Czy portfel EUDI będzie łączyć dane z różnych usług?

Zgodnie z założeniami opisanymi w artykule portfel EUDI nie powinien łączyć danych osobowych z innymi usługami emitenta ani z niepowiązanymi usługami stron trzecich, chyba że użytkownik wyraźnie tego zażąda. Ma to wzmacniać ochronę prywatności i ograniczać niepotrzebne przetwarzanie danych.

Jakie usługi SIGNIUS wspierają zgodność z eIDAS?

SIGNIUS oferuje rozwiązania wspierające organizacje w spełnianiu wymagań eIDAS, m.in. podpisy kwalifikowane, kwalifikowane pieczęcie elektroniczne, uwierzytelnianie, znakowanie czasem oraz weryfikację tożsamości online. Dzięki temu firmy mogą bezpiecznie digitalizować procesy i korzystać z usług zaufania zgodnych z unijnymi regulacjami.