I. Smid-Woelders →
Lagen Impact Overheid AI
Overheid & Vertrouwen

De overheid is niet de vijand van dit systeem.

Hij is de reden dat het werkt. Een verhaal over territorium, vertrouwen, en wat een sterke staat eigenlijk is.

De beer

Er is een angst die steeds terugkomt als je praat over een systeem dat anoniem inloggen mogelijk maakt. Die angst ziet eruit als een grote beer. Groot, sterk, met tanden. De beer heet: misbruik door overheden.

Het beeld dat opkomt: een autoritair regime dat PrismPass gebruikt om burgers te controleren, of juist dat overheden PrismPass verbieden omdat het hen te weinig zicht geeft op wat er gebeurt. De beer maakt je bang. Dus je kijkt naar de tanden.

Maar een beer met grote tanden is niet per se gevaarlijk. Hij beschermt zijn territorium. Hij wil niet aangevallen worden. Hij wil rust, overzicht, en het gevoel dat de spelregels kloppen.

"De beer maakt je niet bang omdat hij slecht is. Hij maakt je bang omdat jij op zijn territorium staat en hij niet begrijpt wat jij daar doet."

De vraag is dus niet: hoe verdedigen we ons tegen de beer? De vraag is: wat wil de beer eigenlijk?

Wat de beer eigenlijk wil

Een overheid wil controle — maar niet op de manier die mensen vaak denken. Een overheid wil geen database van alles wat iedereen doet. Dat is een karikatuur. Wat een overheid wil is dit:

Hij wil weten dat de spelregels worden nageleefd. Hij wil een laatste veiligheidsklep als het echt misgaat. Hij wil niet verrast worden door een systeem dat buiten zijn bereik opereert. En hij wil het vertrouwen van zijn inwoners niet verliezen door een datalek dat hij niet kon voorkomen.

Kernvraag

Is PrismPass een systeem dat zich aan staatstoezicht onttrekt? Of is het een systeem dat staatstoezicht architectureel inbouwt, precies op het moment dat het echt telt?

Het antwoord is het tweede. PrismPass heeft een vierde hoek — een versleuteld anker bij een onafhankelijke instantie, alleen te openen bij rechterlijk bevel. De rechtsstaat is geen bedreiging voor PrismPass. Hij zit er al in.

De vierde hoek — de overheid als veiligheidsklep

De buitenste driehoek van PrismPass bestaat uit drie punten: biometrie, apparaat, wearable. Samen genereren ze een eenmalige sleutel die direct na gebruik verdwijnt. Server weet: bewijs was geldig, tijdstip, IP.

Maar dan is er de vierde hoek. Een versleuteld anker — een cryptografisch spoor dat alleen bestaat als het nodig is, en alleen leesbaar wordt bij een rechterlijk bevel aan een onafhankelijke bewaarder.

PrismPass — de vier punten
Vierde hoekRechterlijk bevel vereist
↕ alleen bij wet
BiometrieVerlaat apparaat niet via het protocol
ApparaatSecure Enclave
WearableTijdgebonden nonce

De server ziet alleen: geldig of ongeldig. De vierde hoek ziet alleen: wat de rechter toestaat.

Dit is niet privacy tegen de overheid. Dit is privacy binnen de overheid. De rechtsstaat bepaalt wanneer anonimiteit ophoudt. Niet het systeem, niet de gebruiker, niet het bedrijf — de rechter.

Dat is precies hoe het hoort te werken in een democratie.

Wie er écht inbreuk maakt op het territorium

Nu de omkering die pijn doet, maar waar is.

Het huidige systeem — centrale databases, wachtwoorden, gekoppelde logingeschiedenissen — is niet veiliger voor de overheid. Het is gevaarlijker. Voor iedereen.

✕ Het huidige systeem

Persoonsdata van miljoenen burgers ligt opgeslagen bij duizenden bedrijven. Elk bedrijf is een aanvalspunt. Elk datalek is een inbreuk op het territorium van de burger — en indirect op dat van de staat die hem moet beschermen.

Odido: 6,2 miljoen klanten. ChipSoft: patiëntdossiers. Gemeente Epe: betalingsgegevens. De staat kon ze niet beschermen. Niet omdat hij niet wilde — maar omdat het systeem lekken mogelijk maakt.

✓ PrismPass

Er is geen identiteitsdata te stelen. Geen centrale database. Geen wachtwoorden. Geen logingeschiedenis. De aanvaller vindt verlopen tokens — mathematisch waardeloos.

De overheid hoeft zijn inwoners niet te beschermen na een lek. Er is geen identiteitsdata die gelekt kan worden. Dat is geen belofte — het is een architectuurbeslissing.

PrismPass is niet het hek dat de overheid buitensluit. Het is het hek dat het territorium veiliger maakt. Voor de burger. En daarmee voor de staat die hem vertegenwoordigt.

De sterke staat durft los te laten

Er is een misverstand over wat staatsmacht betekent. Een zwakke staat controleert alles — omdat hij bang is de controle te verliezen. Hij houdt vast, registreert, koppelt, bewaart. Niet uit kwade wil, maar uit angst.

Een sterke staat durft los te laten. Omdat hij vertrouwen heeft in zijn inwoners. En omdat hij weet dat zijn gezag niet afhangt van wat hij weet over mensen — maar van de spelregels die hij stelt en handhaaft.

"Inwoners die bewust en verantwoordelijk omgaan met hun eigen data zijn geen bedreiging van het territorium. Het zijn goede burgers."

Nederland heeft die traditie. Het poldermodel is gebouwd op vertrouwen, niet op controle. De Autoriteit Persoonsgegevens handhaaft, maar geeft ook ruimte. DigiD bestaat omdat de overheid besloot digitale identiteit aan burgers te geven, niet af te nemen.

PrismPass past in die traditie. Het vraagt de overheid niet minder te zijn. Het vraagt hem meer te vertrouwen.

De overheid heeft dit al besloten

Dit is geen theorie. De Europese Unie heeft in mei 2024 eIDAS 2.0 van kracht laten worden. Dat is een wet die zegt:

eIDAS 2.0 — Regulation (EU) 2024/1183

"Data hoort bij de burger. Minimale data. Opgeslagen bij de gebruiker. Selectieve onthulling. Geen centrale opslag. Alle 27 lidstaten bieden voor eind 2026 een gecertificeerde digitale identiteitsoplossing aan."

Dat is de EU die zegt: het huidige systeem deugt niet. Burgers verdienen controle over hun eigen data. En de overheid is de garantie dat dat ook zo blijft.

PrismPass is niet een systeem dat vraagt om toestemming van de overheid. Het is de technische uitvoering van wat de overheid al als politieke wil heeft uitgesproken.

Mei 2024
eIDAS 2.0 treedt in werking. Privacy-by-design verankerd in EU-wet. Data bij de burger, niet bij het platform.
25 april 2026
PrismPass PoC bewezen. WebAuthn, ZKP-identiteitsbewijs en wearable-nonce aantoonbaar werkend. Architectuur compleet.
December 2026
Deadline eIDAS 2.0. Alle lidstaten moeten een gecertificeerde digitale identiteitsoplossing aanbieden. Nederland ontwikkelt de NL-Wallet.
December 2027
Verplichte acceptatie. Banken, overheidsportalen en verplichte diensten moeten de wallet accepteren voor authenticatie.
2030
EU-doelstelling: 80% actieve adoptie door Europese burgers.

De beer staat niet tegenover PrismPass. De beer heeft al ja gezegd — in de vorm van een Europese verordening met een juridisch afdwingbare deadline. PrismPass staat op zijn territorium omdat hij er thuis hoort.

Wat we de beer eigenlijk vragen

We vragen de overheid niet om controle op te geven. We vragen hem om te erkennen dat zijn inwoners die controle al hebben — en dat dat goed is.

We vragen hem niet om PrismPass te bouwen. We vragen hem om te verklaren dat een systeem dat structureel geen identiteitsdata opslaat, voldoet aan de wet die hij zelf heeft opgesteld.

En we vragen hem om te zien wat hij eigenlijk verdedigt: niet zijn eigen macht, maar het vertrouwen van de mensen die hem dat vertrouwen gegeven hebben.

Dat is geen kleine vraag. Maar het is wel de juiste.

Drie punten. Allemaal van jou. Nooit tegelijk ergens opgeslagen.
PrismPass — I. Smid-Woelders, Zwolle, april 2026

Verdieping — Adoptie

Adoptie ecosysteem

Scenario's, gemeenten en marktpotentieel

 Impact op de keten

Effect op datacenters, hosters en ontwikkelaars

 Adoptielagen

Drie instapniveaus: NFC-tag tot security-sieraad

 AI & adoptie

Authenticatie in een wereld van synthetische identiteiten

 Voortgezet onderwijs

PrismPass in VO: aanwezigheid, examens en MBO-doorstroom

 Zorg & dataminimalisatie

Privacy by design in zorgomgevingen