Gedecentraliseerde identiteit bouwt voort op verifieerbare credentials, vertrouwensregistraties en walletgestuurde toestemmingsstromen en vormt daarmee een fundamentele koerswijziging ten opzichte van traditionele federaties. In plaats van opnieuw persoonsgegevens te bewaren bij iedere dienst, blijft de burger eigenaar van digitale bewijzen die cryptografisch aantonen wie hij is of welke bevoegdheden hij bezit. Microsoft Entra Verified ID implementeert de W3C-standaard voor verifieerbare credentials en volgt de specificaties van de Decentralized Identity Foundation, zodat Nederlandse overheidsorganisaties moderne identiteitsdiensten kunnen opzetten zonder zelf complexe blockchain-infrastructuur te beheren.
De Nederlandse Baseline voor Veilige Cloud, de BIO en de AVG leggen nadruk op dataminimalisatie, transparantie en aantoonbare governance. Klassieke identiteitsplatformen staan daarom onder druk: meervoudige opslag van identiteitsdocumenten vergroot het aanvalsoppervlak en burgers eisen inzicht in wie welke gegevens gebruikt. Door eenmalige verificatie te combineren met herbruikbare cryptografische bewijzen verdwijnen frictie en dubbele controles, terwijl selectieve openbaarmaking voorkomt dat onnodige attributen worden gedeeld. Dit sluit rechtstreeks aan op de Europese Digital Identity-wallet onder eIDAS 2.0, waar Nederland vanaf 2026 grootschalig op wil aansluiten.
Microsoft Entra Verified ID fungeert als managed verifiable-credential service boven op Azure en Microsoft Entra ID. Issuers beheren credentialtemplates, trust policies en integraties met backofficeprocessen, terwijl walletervaringen kunnen variëren van Microsoft Authenticator tot toekomstige Europese citizen wallets. Dankzij deze modulaire aanpak kan iedere overheidsorganisatie een eigen tempo kiezen en toch voldoen aan Europese interoperabiliteitsvereisten. Pilots variëren van diploma's voor toezichthouders tot vergunningstatussen voor ondernemers en leveren al snel waarde doordat bestaande registers niet langer bij iedere verificatie hoeven mee te kijken.
In dit artikel analyseren we de architectuurprincipes achter verifieerbare credentials, de cryptografische borging van vertrouwensketens, de governance rond trust registries en de praktische ontwerpen van uitgifte-, verificatie- en revocatiestromen. We plaatsen elk element expliciet in de context van de Nederlandse Baseline voor Veilige Cloud, de BIO en de beleidsdoelen rond veilige digitale burgerdiensten, zodat besluitvormers precies weten welke stappen nodig zijn voor verantwoord gebruik.
Dit artikel richt zich op digital-identitystrategen, innovatieofficieren, privacy officers en identity-architecten binnen Nederlandse overheidsorganisaties. We combineren technische componenten (DID's, wallets, trust registries) met het beleids- en compliancekader van de Nederlandse Baseline voor Veilige Cloud, zodat besluitvorming plaatsvindt op basis van een compleet risicobeeld.
Gebruik laagrisico-scenario's zoals leverancierspassen, tijdelijke projecttoegang of beroepsregistraties om uitgifteprocedures, wallet-ervaringen en helpdeskflows te testen. Leg leerpunten vast in governance-documenten voordat u verifieerbare credentials inzet voor missie- of burgerkritische diensten.
Architectuur van verifieerbare credentials: vertrouwen, privacy en controle
Een verifieerbare credential is een digitaal attest dat door een bevoegde instantie wordt ondertekend en daarna in beheer komt van de burger of medewerker. Omdat de handtekening kan worden gevalideerd met de publieke sleutel van de uitgever hoeft een verificateur niet telkens terug te koppelen naar het bronsysteem, wat de afhankelijkheid van centrale registers drastisch verlaagt. In crisissituaties, tijdens offline inspecties of bij ketens waarin beperkte connectiviteit beschikbaar is, blijven verificaties gewoon doorgaan zolang de verifier de relevante trust-anker informatie bezit. Voor Nederlandse overheidsorganisaties betekent dit dat de beschikbaarheidseisen uit de Baseline voor Veilige Cloud beter kunnen worden gehaald zonder dure redundante infrastructuur.
Decentrale identifiers (DID's) vormen het fundament van dit model. In plaats van een door een centrale identiteitsprovider uitgegeven identifier, creëert de houder zelf een DID op een ledger zoals ION, EBSI of een andere methode die door Microsoft Entra Verified ID wordt ondersteund. Het DID-document bevat publieke sleutels, endpoints en metadata die wallets gebruiken om interacties te authenticeren. Houders kunnen meerdere DID's naast elkaar beheren — bijvoorbeeld een zakelijk, een privaat en een opleidingsprofiel — waardoor koppeling van datasets wordt beperkt en het AVG-principe van dataminimalisatie beter wordt nageleefd. Sleutelrotatie en herstel na verlies worden onderdeel van het lifecyclebeleid en sluiten aan op bestaande BIO-maatregelen rondom cryptografisch beheer.
De vertrouwenslaag bovenop deze technologie bestaat uit trust registries. Daarin wordt vastgelegd welke organisaties credentials mogen uitgeven, welke schema's verplicht zijn, welke assurance-niveaus gelden en welke revocatieprocedures gevolgd moeten worden. Denk aan ministeries die inspectiebevoegdheden uitgeven, beroepsorganisaties die registraties beheren of gemeenten die digitale vergunningen verstrekken. Door het trust registry te koppelen aan bestaande governancefora, zoals het CIO-beraad of een informatiebeveiligingsraad, ontstaat toezicht dat zowel technisch als bestuurlijk is verankerd. Auditlogboeken kunnen met Microsoft Purview worden vastgelegd, terwijl Microsoft Sentinel real-time zicht geeft op gebruikspatronen en mogelijke anomalieën.
Privacybescherming is een onderscheidend kenmerk. Selectieve openbaarmaking maakt het mogelijk om alleen die attributen te delen die strikt noodzakelijk zijn: een bevestiging dat iemand ouder is dan achttien, dat een inspecteur specifiek bevoegd is of dat een leverancier ISO 27001-gecertificeerd is, zonder onderliggende persoonsgegevens prijs te geven. Microsoft Entra Verified ID ondersteunt daarvoor presentatieprotocollen met zero-knowledge proofs en BBS+-handtekeningen. Wallets tonen welke data wordt gedeeld, vragen expliciet consent en loggen iedere transactie zodat burgers en toezichthouders achteraf kunnen zien wie welke informatie heeft opgevraagd. Daarmee voldoet de oplossing aan de AVG-eisen rondom transparantie en doelbinding én aan de Baseline-verplichting om gegevensstromen herleidbaar te maken.
Herroepbaarheid en onveranderlijkheid zijn de laatste pijlers van de architectuur. Credentials zijn digitaal ondertekend en kunnen niet ongemerkt worden aangepast; statuswijzigingen lopen via revocatieregisters of status endpoints. Microsoft Entra Verified ID biedt meerdere patronen: klassieke lijsten, privacyvriendelijke accumulators en near-realtime statuschecks. Organisaties kiezen het patroon dat past bij hun gebruiksscenario en privacy-impact. Voor sectorbrede burgerdiensten verdient een privacyvriendelijk model de voorkeur, terwijl interne medewerkersbewijzen voldoende hebben aan een status endpoint binnen de tenant. Belangrijk is dat revocatieprocessen zijn geïntegreerd met bestaande HR- en vergunningenprocessen en dat auditdata beschikbaar is voor de Autoriteit Persoonsgegevens, de Algemene Rekenkamer of interne auditfuncties. Zo ontstaat een architectuur die niet alleen technisch robuust is, maar ook bestuurlijk uitlegbaar en aantoonbaar compliant.
Implementatiepatronen: uitgifteketens, verificatie en governance
Een succesvolle implementatie start bij het ontwerpen van het uitgifteproces. Iedere credential moet een duidelijk doel hebben, een benoemde eigenaar en een procedure voor identiteitsvaststelling. Voor hoogrisico credentials, zoals een bevoegdheid om kritieke infrastructuur te bedienen of toegangscodes tot politie-informatiesystemen, is een fysieke identiteitscontrole met documentvergelijking, biometrische bevestiging en afstemming met HR-dossiers noodzakelijk. Voor lage of middelhoge risico's kan een remote-proofingproces volstaan, bijvoorbeeld door een bestaande eHerkenning- of DigiD-inlog te hergebruiken en aanvullende bewijsstukken te laten uploaden. Documenteer per credentialtype de assurance level, vergelijkbaar met het ISO 29115-niveau, zodat auditors kunnen toetsen of de gekozen methode proportioneel is. Microsoft Entra Verified ID ondersteunt workflows waarin de uitgever na de controle een signaal krijgt in een organisatieportaal en de credential via een API naar de wallet van de houder pusht.
Het volgende ontwerpbesluit betreft de credential schema's. Een schema beschrijft welke attributen aanwezig zijn, welke datatypen worden gebruikt en hoe de verificateur de gegevens semantisch moet interpreteren. Wanneer meerdere overheidsorganisaties dezelfde credential willen uitgeven, bijvoorbeeld een "inspecteur gevaarlijke stoffen"-bewijs, is een gestandaardiseerd schema essentieel om interoperabiliteit te garanderen. Gebruik bestaande schema's van de Decentralized Identity Foundation waar mogelijk en dien voorstellen in voor Nederlandse uitbreidingen bij de community. Houd rekening met versiebeheer: introduceer een nieuw schema wanneer velden wijzigen en behoud backwards compatibility zolang bestaande credentials nog geldig zijn. Leg daarnaast in het gegevensbeschermingsregister vast welke persoonsgegevens in het schema voorkomen en welke grondslag uit de AVG dit dekt. Zo blijft het dataminimalisatieprincipe toetsbaar.
Uitgifte alleen levert geen waarde zonder een robuust beheer van de levenscyclus. In Microsoft Entra Verified ID kan de uitgever beleid instellen voor automatische expiratie, notificaties richting houders en periodieke heruitgifte. Koppel deze policies aan de processen voor personeelsmutaties, vergunningverlengingen en contractbeëindigingen zodat revocaties direct in gang worden gezet zodra de bevoegdheid wegvalt. Veel organisaties bouwen een koppeling met hun HR-systeem of zaaksysteem zodat een wijziging daar automatisch een webhook naar Entra Verified ID triggert. Logging van deze events moet naar het centrale SIEM worden verzonden, zodat informatiebeveiligingsteam kan aantonen dat toegang tijdig is ingetrokken, een verplichting uit zowel de BIO als NIS2.
Voor verificatie adviseert Microsoft om het OpenID for Verifiable Credential-protocol te gebruiken, omdat dit goed aansluit op bestaande OAuth- en OpenID Connect-kennis. Een relying party publiceert een verificatiebeleid waarin staat welke credentialtypen, assurance levels en attributen vereist zijn. De gebruiker scant een QR-code of klikt op een deep link, waarna de wallet de gevraagde gegevens toont en toestemming vraagt. Na akkoord levert de wallet een presentatie met cryptografische bewijzen. De verifier controleert handtekeningen, verloopdatums, binding met de DID van de houder en eventuele revocaties. Dit proces moet worden ingericht binnen maximaal vijftien seconden om gebruiksvriendelijk te blijven; caching van trust registry gegevens en het vooraf synchroniseren van public keys helpt om deze performance te halen.
Een ander implementatiepatroon is het integreren van verifieerbare credentials met bestaande toegangsbeheeroplossingen. Denk aan scenario's waar een credential als extra policy-ingang in Conditional Access dient: een medewerker krijgt pas toegang tot een bepaald dossier als hij een actuele beroepsregistratie presenteert. Dit vraagt om een policy-evaluatielaag die de uitkomst van een credentialverificatie kan doorgeven aan Entra ID of Intune. Microsoft biedt hiervoor referentiearchitecturen waarbij een verificatieservice draait in Azure Functions of App Service, de uitkomst in een claims-token wordt geplaatst en vervolgens real-time in het autorisatieproces wordt gebruikt. Zo kunnen organisaties Zero Trust-principes toepassen zonder nieuwe credentials in het HR-systeem te hoeven registreren.
Tot slot is governance cruciaal. Richt een multidisciplinair team in met vertegenwoordigers van identity, privacy, juridische zaken, informatiebeveiliging en operations. Dit team bepaalt welke use-cases prioriteit krijgen, welke wallets worden ondersteund en hoe support wordt ingericht. Documenteer in de transitieplannen hoe burgercommunicatie, helpdeskondersteuning en incidentafhandeling verlopen. Stel duidelijke KPI's vast, zoals het aandeel transacties waarin selectieve openbaarmaking is gebruikt, de gemiddelde doorlooptijd voor uitgifte en het aantal detecteerde misbruikpogingen. Koppel deze metrics aan de continue verbetering-cyclus uit de Nederlandse Baseline voor Veilige Cloud zodat lessons learned structureel leiden tot aangepaste policies, geüpdatete schema's of aanvullende controles. Zo ontstaat een iteratief programma dat begint met pilots en eindigt met productieklare, compliant identiteitsdiensten.
Microsoft Entra Verified ID laat zien dat gedecentraliseerde identiteit geen theoretisch concept meer is, maar een praktisch instrument waarmee Nederlandse overheden privacyvriendelijke en efficiënte burgerservices kunnen aanbieden. Door cryptografische borging te combineren met duidelijke governance en aansluiting op Europese trust frameworks ontstaat een ecosysteem waarin burgers zelf bepalen wanneer en met wie zij gegevens delen, terwijl organisaties aantoonbaar voldoen aan de Nederlandse Baseline voor Veilige Cloud, de BIO en eIDAS 2.0. De architectuurprincipes rondom DID's, selective disclosure, trust registries en logging vormen samen een robuust fundament dat storingen en cyberdreigingen beter weerstaat dan monolithische identiteitsdatabases.
Succesvolle implementaties vragen discipline in de operatie: identity proofing moet de juiste assurance leveren, schema's moeten gestandaardiseerd worden en verificatieprocessen moeten zowel beveiliging als privacy borgen. Revocatie en lifecyclebeheer horen net zo volwassen ingericht te zijn als traditionele IAM-processen, inclusief monitoring, incidentrespons en periodieke audits. Organisaties die klein beginnen met gecontroleerde pilots, leerervaringen documenteren en vervolgens stapsgewijs uitbreiden naar sectoroverschrijdende scenario's bouwen niet alleen technische capabilities op, maar ook vertrouwen bij burgers, toezichthouders en ketenpartners.
Door nu te investeren in verifieerbare credentials positioneren overheidsorganisaties zich voor de aankomende Europese digital-identity-ecosystemen, verminderen zij de administratieve last van meervoudige verificaties en geven zij burgers de regie terug over hun persoonsgegevens. Dat is precies het doel van de Nederlandse Baseline voor Veilige Cloud: digitale diensten die veilig, privacyvriendelijk en toekomstbestendig zijn.