De Europese Unie bouwt aan een door de overheid gecontroleerd, PKI-verankerd identiteitssysteem. Daarbij neemt het ook formeel dezelfde cryptografische en datastandaarden over die de gedecentraliseerde identiteitsgemeenschap jarenlang heeft ontwikkeld. Die twee dingen zijn niet tegenstrijdig.
Het grootste deel van het afgelopen decennium bestonden standaarden als Verifiable Credentials, Decentralized Identifiers en Selective Disclosure Protocols voornamelijk in een specifieke hoek van het internet: W3C-werkgroepen, zelf-soevereine identiteitsonderzoeksdocumenten, whitepapers over privacymunten en forums voor blockchain-ontwikkelaars. De reguliere instellingen negeerden ze grotendeels. Regeringen toonden weinig belangstelling.
Dat is aan het veranderen. Op grond van Verordening (EU) 2024/1183 — eIDAS 2.0 — elke EU-lidstaat is wettelijk verplicht om tegen eind 2026 een Europese Digitale Identiteit (EUDI) Portemonnee aan haar burgers te verstrekken. De technische specificaties die aan die portemonnee ten grondslag liggen, zijn rechtstreeks afgeleid van dezelfde normen die de gedecentraliseerde identiteitsgemeenschap heeft opgebouwd. De EU bouwt geen Web3-systeem. Maar het bevestigt op aanzienlijke institutionele schaal dat de cryptografische hulpmiddelen die voorstanders van de Web3-identiteit verdedigden, de juiste zijn voor deze taak.
Dat onderscheid is belangrijk en het is de moeite waard om uit te pakken.
De normen die de EU heeft gekozen – en waar ze vandaan komen
Het kernreferentieformaat van de EUDI Wallet is het W3C verifieerbare referentie (VC) standaard. Een verifieerbaar legitimatiebewijs is een gestructureerd, cryptografisch ondertekend gegevenspakket: een machinaal leesbare, manipulatiebestendige weergave van een bewering van de ene partij over de andere. De W3C Verifiable Credentials Data Model-specificatie werd in 2019 als formele aanbeveling gepubliceerd, na jarenlang werken in de gedecentraliseerde identiteitsgemeenschap. Projecten als uPort en Evernym onderzochten praktische VC-implementaties jaren voordat er een overheidsmandaat bestond.
De EU heeft deze inspanningen expliciet geëvalueerd. De Springer-hoofdstuk over de EUDI Wallet-architectuur merkt op dat er bij het definiëren van het EUDI Wallet-model rekening werd gehouden met proefprojecten voor zelf-soevereine identiteit en de standaardisatievoortgang van de W3C-werkgroep voor gedecentraliseerde identificatiemiddelen. Vroege projecten als uPort en Evernym hielpen aantonen dat de onderliggende concepten werkbaar waren, maar de directere invloed kwam van de W3C-standaarden en de grootschalige EU-proefprogramma’s die deze inspanningen hielpen opleveren. De architectuur leent van een traditie die de gedecentraliseerde identiteitsruimte heeft helpen opbouwen – via de standaardlaag, niet via de project-tot-project-afstamming.
Naast VC’s gebruikt de portemonnee Gedecentraliseerde identificatiegegevens (DID’s) – wereldwijd unieke identificatiegegevens waarmee instellingen digitaal kunnen worden vertegenwoordigd zonder afhankelijk te zijn van één centraal register. DID’s zijn ook een W3C-standaard, en ze kwamen voort uit dezelfde gemeenschap van onderzoekers en ontwikkelaars die zelf-soevereine identiteitssystemen bouwden voordat regeringen er aandacht aan schonken.
Dankzij de interoperabiliteitsprotocollen – OIDC4VC (OpenID for Verifiable Credentials) en OIDC4VP (OpenID for Verifiable Presentations) – kan de portemonnee specifieke kenmerken delen in plaats van hele documenten. Deze bouwen voort op OpenID Connect, een veelgebruikte authenticatiestandaard, en breiden deze uit om op VC gebaseerde interacties af te handelen. Het resultaat is een systeem waarbij het overhandigen van uw digitale rijbewijs aan een verhuurbedrijf niet vereist dat u uw volledige geboortedatum, woonadres of andere gegevens overhandigt die voor de transactie niet nodig zijn.
Selectieve openbaarmaking: de privacyprimitief die de overstap maakte
Bij selectieve openbaarmaking wordt de overlap met cryptografisch onderzoek van Web3 het meest zichtbaar. Het concept – een specifiek feit bewijzen zonder de gegevens te onthullen die dit ondersteunen – bevindt zich op het kruispunt van privacy-engineering en toegepaste cryptografie. Het is ook de basis voor enkele van de technisch meest interessante werkzaamheden op het gebied van blockchain.
Zero-Knowledge Proofs (ZKP’s), waarmee een bewijzer een verificateur ervan kan overtuigen dat een verklaring waar is zonder enige onderliggende informatie te onthullen, worden gebruikt in cryptovaluta die de privacy beschermen, zoals Zcash en in Ethereum Layer 2-schaling oplossingen zoals zkSync. De wiskundige technieken zijn dezelfde die nu worden onderzocht voor EUDI Wallet-implementaties.
Onderzoek gepubliceerd in januari 2026 stelt voor om ZKP’s te combineren met Trusted Execution Environments (TEE’s) om verifieerbare bewijzen te produceren zonder afhankelijk te zijn van gecentraliseerde derde partijen – en zonder inloggegevens bloot te stellen, zelfs niet aan het besturingssysteem van de telefoon. Het artikel is academisch en de auteurs merken op dat benchmarking en prototyping toekomstig werk blijven. Niet alle portemonnee-implementaties van lidstaten zullen vanaf dag één ZKP-ondersteuning bieden.
Maar de richting is duidelijk: de privacyprimitieven die de onderzoeksgemeenschap op het gebied van blockchain en cryptografie heeft ontwikkeld voor gedecentraliseerde, toestemmingsloze contexten worden nu – selectief, zorgvuldig, binnen een gereguleerd raamwerk – geïntegreerd in de identiteitsinfrastructuur van de overheid.
Voor een Web3-native reader, dat is een betekenisvol datapunt. Het suggereert dat de technische instincten van die gemeenschap niet verkeerd waren. De instrumenten waren goed. Wat regeringen nu bouwen is verschillend qua bestuur en doel, maar is gebouwd op dezelfde cryptografische basis.
EBSI: Waar een Blockchain daadwerkelijk verschijnt
De Europese Blockchaindiensteninfrastructuur (EBSI) is de meest directe blockchain-component in het EUDI-ecosysteem. Het is een geautoriseerd gedistribueerd grootboek dat wordt beheerd door alle 27 EU-lidstaten, Noorwegen, Liechtenstein en de Europese Commissie. Elk lid beheert ten minste één knooppunt.
De EBSI functioneert als een trustregister: een manipulatiebestendig, openbaar controleerbaar register van de DID’s en openbare sleutels van elke geautoriseerde uitgever van legitimatiegegevens in de EU. Wanneer iemand een digitaal diploma presenteert, controleert het verificatiesysteem de EBSI om te bevestigen dat de uitgevende universiteit een legitieme, geregistreerde autoriteit is. Geen telefoontje. Geen centrale masterdatabase. De blockchain is de referentielaag die grensoverschrijdende verificatie mogelijk maakt zonder de gegevens zelf te centraliseren.
In proefprojecten die de portemonnee in de onderwijssector testen, wordt EBSI in deze hoedanigheid al gebruikt. Het EBSI-VECTOR-project voert sinds 2024 productie-implementaties uit van het Verifiable Credentials-framework in het onderwijs, waarbij de sociale zekerheid gebruiksgevallen volgt in 2025.
EBSI is dat niet Ethereum. Het is niet zonder toestemming en ondersteunt geen willekeurige slimme contracten of open participatie. Het is een door de staat beheerd grootboek voor een specifieke, begrensde functie. Maar het is een blockchain, en de keuze ervan – boven alternatieven als een traditionele gecentraliseerde database of een federatieve directory – weerspiegelt een bewuste keuze om gedistribueerde grootboekarchitectuur te gebruiken voor een functie waarbij manipulatiebestendigheid en controleerbaarheid binnen meerdere soevereine overheden van belang zijn.
Die keuze was niet onvermijdelijk. Het weerspiegelt het opgebouwde vertrouwen in de aanpak.
Het pluralistische model: niet één stapel, maar meerdere
Een van de technisch meer genuanceerde aspecten van de EUDI-architectuur is dat er niet één enkele technologie wordt uitgekozen en overal wordt toegepast. Het DC4EU-project (Digital Credentials for Europe), dat begin 2026 de laatste rapportagefase afsloot, bevestigde dat de EU een pluralistisch vertrouwensmodel heeft aangenomen.
In de praktijk betekent dit dat verschillende typen credentials verschillende onderliggende technologieën gebruiken:
-
PKI behandelt traditionele overheidsdocumenten – paspoorten en nationale identiteitskaarten – waar reeds gevestigde wettelijke kaders en hardwarebeveiligingsmodules aanwezig zijn.
-
W3C verifieerbare referenties omgaan met de draagbare referentielaag: rijbewijzen, beroepskwalificaties, academische diploma’s.
-
DLT beheert intrekkingsregisters, zodat wanneer een legitimatie ongeldig wordt verklaard (een licentie opgeschort, een professionele certificering ingetrokken) die status in realtime over de grenzen heen kan worden gecontroleerd zonder dat een centrale autoriteit elke vraag verwerkt.
Voor iemand die de gedecentraliseerde identiteit nauwlettend heeft gevolgd, zal deze architectuur bekend voorkomen. Het weerspiegelt het gelaagde denken dat SSI-onderzoekers jaren voordat regeringen luisterden al voorstelden: gebruik het juiste hulpmiddel voor elke functie, behoud de controle van de gebruiker over wat wordt gedeeld en vermijd afzonderlijke punten van falen. De EU is niet zelfstandig tot deze architectuur gekomen. Er werd voortgebouwd op werk dat er al was.
Wat dit niet is
Hier nauwkeurig zijn is van belang, vooral voor een Web3-native publiek dat een te groot bereik zal opmerken.
De EU valideert de instrumenten, niet het ethos. Verifieerbare referenties, DID’s en ZKP’s worden aangenomen omdat ze technisch goed geschikt zijn voor de problemen van grensoverschrijdende interoperabiliteit en privacybehoudende verificatie. Deze acceptatie vertegenwoordigt geen goedkeuring van toestemmingloze financiering, gedecentraliseerd bestuur of de bredere filosofie van vertrouwenloze systemen.
Het overheidstoezicht blijft centraal staan. Inloggegevens worden uitgegeven door erkende, gereguleerde instellingen. De blockchain-component – EBSI – wordt beheerd door de staat en heeft toestemming. Burgers bepalen wat ze delen, maar het systeem opereert binnen een duidelijke wettelijke en regelgevende hiërarchie. AVG is van toepassing. Nationale gegevensbeschermingsautoriteiten zijn bevoegd.
Er is onderzoek gedaan naar de vraag of het eIDAS-vertrouwenskader zich uiteindelijk zou kunnen uitbreiden naar openbare EVM-compatibele ketens, waardoor instellingen mogelijk gekwalificeerde elektronische zegels kunnen koppelen aan slimme contracten op Ethereum of Polygon. Dit is een actief gebied van academisch onderzoek – zie Pourtalier & Lamberti (2026) – maar het heeft geen bevestigde beleidsondersteuning en geen implementatietijdlijn. Het moet worden gelezen als speculatief onderzoek, en niet als een signaal van waar het EU-beleid naartoe gaat.
Waarom de deadline van 2026 ingewikkelder is dan het lijkt
De wettelijke deadline is eind december 2026, verankerd in de uitvoeringsverordeningen die op 4 december 2024 zijn gepubliceerd. Het praktische beeld, vanaf april 2026, is aanzienlijk ongelijker. ENISA – het eigen cyberbeveiligingsagentschap van de EU – verklaarde in een recent ontwerp van certificeringsregeling dat er geen EUDI Wallet is ingezet of gecertificeerd, en dat er naar verwachting tegen het einde van het jaar geen beveiligingsstandaard beschikbaar zal zijn. Uit een recente interoperabiliteitstest bleek dat minder dan een kwart van de lidstaten deelnam met EUDI Wallet-compatibele applicaties.
De bereidheid varieert per land scherp. Frankrijk, Italië, Polen, Oostenrijk en Duitsland zijn de sterkste kandidaten – die elk een bestaand nationaal identiteitsplatform upgraden in plaats van helemaal opnieuw te bouwen. Aan de andere kant heeft Nederland aangegeven dat het onwaarschijnlijk is dat de deadline volledig zal worden gehaald, en Bulgarije is nog niet begonnen met het werken aan een door de staat ter beschikking gestelde portemonnee.
Het resultaat zal vrijwel zeker een gespreide uitrol zijn in plaats van een uniforme lancering. Sommige lidstaten zullen vóór de deadline een eenvoudige portemonnee leveren die aan de eisen voldoet; anderen komen te laat of met verminderde functionaliteit. De doelstelling van de Commissie van 80% actieve adoptie in 2030 zorgt voor nog meer druk – maar of burgers de portemonnee daadwerkelijk gaan gebruiken, zal afhangen van de bruikbaarheid, de acceptatie van diensten en het vertrouwen in door de overheid uitgegeven apps. Voorstanders van privacy hebben ook onopgeloste vragen opgeworpen over de bescherming van gegevens en profilering, die door de nationale uitvoeringswetten moeten worden aangepakt.
De langere kijk
Er is een versie van het EUDI Wallet-verhaal dat ronduit gaat over de modernisering van de digitale infrastructuur in de EU. En er is een smaller, specifieker verhaal dat de moeite waard is om te vertellen voor een technisch geïnformeerd publiek: een reeks cryptografische en datastandaarden ontwikkeld in open onderzoeksgemeenschappen, gedeeltelijk aangestuurd door blockchain- en gedecentraliseerde identiteitsonderzoekers, is nu formeel aangenomen als basis voor het grootste door de overheid gemandateerde digitale identiteitssysteem dat ooit is geprobeerd.
Dat betekent niet dat de EU Web3 heeft onderschreven. Het betekent dat de normen goed genoeg waren, en dat de technische argumenten erachter voldoende klinken, dat een zeer voorzichtige regelgevende instantie ze verkoos boven de alternatieven.
Voor de Web3-identiteit gemeenschap, dat is een vorm van validatie die de moeite waard is om duidelijk te begrijpen – niet overdreven geclaimd, maar ook niet afgewezen.