Een internet waarop niemand jouw data hoeft te onthouden.

De gemiddelde Europeaan staat in honderden klantendatabases. Elke keer opnieuw vul je hetzelfde formulier in. Elke keer opnieuw vertrouw je dat dat bedrijf jouw gegevens veilig bewaart, niet doorverkoopt, en netjes verwijdert wanneer je het vraagt.

In de praktijk gebeurt geen van die drie dingen consequent. En als er één bedrijf gehackt wordt, ben jij het slachtoffer — niet zij.

Stel je voor dat je nooit meer een adres hoeft in te vullen. Je portemonnee weet wie je bent, en geeft per bestelling exact wat nodig is — niet meer, niet minder, en alleen voor zo lang als nodig.

De webshop krijgt jouw bestelling. Niet jouw leven.

Vandaag staat jouw adres op twee plekken per bestelling: bij de webshop én bij de koerier. Bestel je 50 keer per jaar bij 20 verschillende winkels? Dan staat je adres in 20 webshop-databases plus bij de koeriers. Eén lek = adres op straat.

PrivNest schrapt de eerste kopie. Bij checkout stuurt jouw wallet het adres rechtstreeks naar de koerier (bpost, PostNL, DPD…) via een eenmalig token. De webshop krijgt alléén een tracking-ID terug — nooit je adres in zijn database. Track & trace verloopt via je wallet, niet via een mail met "Beste Jan, je adres Hoofdstraat 12…".

Een telefoon valt. Een batterij sterft. Een tas wordt gestolen. Voor een wallet die belooft dat alles op jóuw toestel staat is dit dé spanningsvraag: als de sleutel weg is, ben je dan alles kwijt? Het korte antwoord: nee. Je eID is altijd genoeg om opnieuw te beginnen.

PrivNest leunt op het beste authenticatiemiddel dat Europa heeft — je eID, itsme, of straks de EUDI-wallet. Datzelfde middel waarmee je vandaag je belastingaangifte indient en je bank opent, is ook de weg terug naar je PrivNest-wallet. Geen 24-woorden-zin om jaren te bewaren. Geen vijf vrienden om wakker te bellen.

Drie scenario's, één principe

"Maar wat als iemand mijn eID + pincode steelt?"

Een eerlijke vraag. Door eID centraal te zetten verschuift de aanvalsvector daarheen. PrivNest verzwakt dat niet — iemand met jouw eID + pincode kan vandaag al je belastingaangifte doen, je itsme gebruiken en bij je bank inloggen. Wat we wél anders doen is dit zichtbaar en omkeerbaar maken in plaats van onzichtbaar en definitief.

• Notificatie-trail. Zodra een nieuw toestel geactiveerd wordt op jouw handle, gaan er onmiddellijk meldingen naar (a) het oude toestel als dat nog leeft, (b) je vertrouwenspersonen uit hoofdstuk 11, en (c) je geregistreerde e-mail/SMS. "Iemand heeft op tijdstip Y een nieuw toestel geactiveerd — was jij dit niet, klik hier."
• Cooldown op gevoelige acties. Een nieuw toestel kan onmiddellijk lezen en standaard-routes gebruiken, maar voor 24 uur zijn high-risk acties geblokkeerd: bulk-export van data, vertrouwenspersonen wijzigen, recovery-instellingen aanpassen, andere actieve toestellen revoken. Genoeg tijd voor de echte eigenaar om te reageren op de notificatie.
• Eén-tik-terugdraai. Klik op "ik was het niet" in de notificatie en het zojuist geïnstalleerde toestel wordt onmiddellijk gerevoked. De aanvaller is buitengesloten voordat zijn cooldown afloopt.

Het resultaat: een gestolen eID + pincode wordt detecteerbaar en omkeerbaar. Niet onzichtbaar, niet definitief. En nooit erger dan wat dezelfde diefstal vandaag al kan veroorzaken bij andere eID-gebonden diensten.

Elke site ziet voor jou een unieke handle — een bijnaam die alleen voor die ene site geldig is. De webshop herkent je terug bij volgende bestellingen. Loyalty-punten, ordergeschiedenis, "welkom terug" werken gewoon.

Maar bol.com en Coolblue kunnen jouw handles niet aan elkaar koppelen, ook niet als ze hun databases zouden samenvoegen. Voor hen ben je twee verschillende, onbekende mensen.

"Je bestelling is verstuurd." "Je betaling is binnen." "Je pakket arriveert vandaag." De webshop wil je dat soort dingen kunnen vertellen, en terecht. PrivNest biedt drie manieren om die berichten bij jou te krijgen — zonder dat de webshop jouw persoonlijke contactgegevens leert kennen.

Jij kiest per webshop welk kanaal je toestaat. Stop je met die webshop? Eén klik en alle drie de kanalen zijn dicht.

Voor tweedehands-platforms en marktplaatsen: koper en verkoper kunnen direct met elkaar chatten via PrivNest, beiden onder hun site-handle. De berichten zijn versleuteld zodat zelfs het platform ze niet kan lezen.

Krijg je vervelende berichten? Eén tik en die tegenpartij is geblokkeerd — voor altijd, ook als ze een nieuw bericht proberen. Hetzelfde geldt voor een anoniem mailadres dat je voor een verkoper had aangemaakt: dichtzetten kost één seconde.

Een aankoop loopt mis. De verkoper reageert niet. Het bestelde artikel komt kapot aan. Wat dan? PrivNest kent drie nette stappen om er samen uit te komen — zonder dat het platform op voorhand toegang krijgt tot privé-chats.

1. Wallet-bewijs. Beide partijen hebben lokaal de versleutelde berichten en handtekeningen op de transactie. Jouw wallet exporteert op één tik een ondertekende bewijs-bundel — leesbaar voor mensen, controleerbaar door machines.
2. Platform-bemiddeling. Beide partijen leveren vrijwillig hun bewijs aan moderatie. Het platform kan niet vooraf meelezen; het krijgt alleen wat jullie zelf delen.
3. Escalatie naar Justitie. Bij een vermoeden van fraude of een misdrijf. Volgt dezelfde strenge dual-key procedure als hoofdstuk 13 — geen shortcut voor platforms.

Eén keer verifieer je jezelf bij PrivNest met een erkend identificatie­middel uit jouw land. Daarna kan jouw wallet aan elke website bewijzen dat je een uniek geverifieerd persoon bent — zonder te onthullen welke persoon.

Vergelijk het met de stempel op je hand bij een festival. De stempel bewijst dat je betaald hebt, maar onthult niet je naam. PrivNest doet hetzelfde, maar wiskundig.

Per land, het beste beschikbare middel: In België met itsme of de eID-kaart. In Nederland met iDIN via je bank (DigiD valt af — dat is voorbehouden aan organisaties met een wettelijke publieke taak). In andere EU-landen tot eind 2026 met video-identificatie van een gespecialiseerde partner. Vanaf eind 2026 ook met de Europese EUDI Wallet als universele ingang.

De verificatie-partner bewaart één versleutelde regel die zegt "deze wallet hoort bij een echt persoon". Die regel is alleen leesbaar via een gerechtelijk bevel, en alleen als twee onafhankelijke partijen samen hun sleutel afgeven. Hoe dat werkt: zie hoofdstuk 13.

Het hoofdstuk hierna gaat over wat er ná je dood gebeurt — een wachttijd van 30 dagen om data zorgvuldig over te dragen. Maar voor sommige situaties is dertig dagen onbruikbaar lang. Een ambulance heeft minuten. Een uitvaartverzekeraar moet uitkeren vóór de begrafenis. Je partner staat op spoed en moet weten welke medicatie je gebruikt.

Daarom maakt PrivNest onderscheid tussen drie scenario's, met drie verschillende snelheden. In alle drie geldt hetzelfde principe: jij bepaalt vooraf wie wat mag. We voegen geen achterdeuren toe — we maken het mogelijk dat jij zelf nood-routes opent.

Vertrouwenspersonen aanwijzen

In je wallet wijs je één of meerdere vertrouwde personen aan — je partner, een kind, een ouder, je huisarts. Per persoon kies jij welke rol ze krijgen, welke data ze mogen zien, en wat de trigger is om die toegang te activeren.

De vertrouwenspersoon wijs jij zelf aan in je wallet, gekoppeld aan hun PrivNest-handle. Geen e-mail-uitnodiging die te kapen valt — beide partijen bevestigen de koppeling. Bij activering krijgt de vertrouwenspersoon een scoped, tijdelijke wallet-view — alleen wat jij hen voor dat scenario hebt toegekend, niets meer.

Spoedprocedure bij overlijden — 24 uur

Een begrafenis kan niet wachten. Een uitvaartverzekeraar moet uitkeren. Lopende incasso's moeten stoppen vóór er weer geld wordt afgeschreven van een rekening die niemand meer beheert. Daarom werkt PrivNest met twee snelheden naast elkaar:

Het verschil zit hem in uitvoering versus overdracht. Stoppen, pauzeren en één rouwbericht versturen vraagt geen 30-dagen-bezwaartermijn — daar wordt niemand iets afgenomen, alleen wordt voorkomen dat er nog meer wordt afgeboekt. Data overdragen aan erfgenamen wel — dat is definitief.

Op straat gevonden — medische noodkaart

Het hardste scenario: een ambulance vindt iemand bewusteloos zonder ID. Niemand kan toestemming geven, en toch moet het ziekenhuis weten of er een dodelijke allergie is. Hoe los je dat op zonder een achterdeur te bouwen die ook kwaadwillenden kunnen gebruiken?

Het antwoord: een opt-in noodkaart die jij zelf aanmaakt en bij je draagt. Een fysieke kaart in je portemonnee met een QR-code (of een NFC-armband, of een medisch profiel op je telefoon-vergrendelscherm). De QR linkt naar een ophaal-pagina waar alleen geregistreerde ziekenhuizen — geverifieerd via hun eigen zorginstellings-eID (RIZIV in BE, vergelijkbare registers elders) — jouw medische noodscope kunnen opvragen.

Standaard staat de noodkaart uit. Pas wanneer jij actief beslist er een aan te maken, bestaat er een ophaal-route. Privacy-by-default — wie het niet wil, hoeft niets te doen. Wie het wil, krijgt het in eigen hand.

Elke ophaling wordt gelogd, en je vertrouwenspersonen krijgen een notificatie ("ziekenhuis X heeft jouw medische noodscope opgehaald om Y uur"). Misbruik valt onmiddellijk op — niet pas maanden later in een transparantierapport, maar direct, via de mensen die jij vertrouwt.

Wat gebeurt er met jouw wallet als je er niet meer bent? Je hebt lopende abonnementen, openstaande bestellingen, misschien een tweedehands-account met onafgeronde verkopen. Erfgenamen moeten daar iets mee kunnen — zonder dat het een achterdeur wordt waarmee een levende gebruiker uitgelezen kan worden.

Vergelijk het met vandaag. Een familielid komt bij de bank met een overlijdensakte en krijgt jouw volledige transactiehistoriek mee. Bij Google ontsluit één e-mail met de juiste documenten complete inboxen. Jij hebt bij leven niets te zeggen gehad over wat zichtbaar wordt na je dood. Bij PrivNest draait dat om.

Belangrijk: de wachttijd van 30 dagen hieronder geldt alleen voor de overdracht van data aan erfgenamen. Het stoppen van lopende contracten, het bevriezen van de wallet en het inlichten van een uitvaartverzekeraar gebeuren binnen 24 uur — zie hoofdstuk 11 hierboven voor de spoedprocedure.

Jij beslist nu, wij voeren straks uit

In je wallet vind je één pagina, "Nalatenschap". Daar kies je per categorie wat er met je data gebeurt:

• Identiteit en contact — wissen, of overdragen aan een aangewezen erfgenaam.
• Lopende contracten (abonnementen, bestellingen) — automatisch opzeggen, of overdragen aan een erfgenaam.
• Berichten en geschiedenis — versleuteld vernietigen, of overdragen aan een erfgenaam.
• Aangewezen erfgenaam — naam, relatie, contactgegevens.

Stel je niets in? Dan geldt de standaard: alles wordt gewist na 30 dagen. Privacy-by-default, ook voorbij het graf.

Hoe erfgenamen zich melden

1. Aanmelding bij de notaris. De erfgenaam levert de overlijdensakte en de verklaring van erfrecht (in NL en EU-breed: de Europese erfrechtverklaring) bij dezelfde onafhankelijke custodian-notaris die ook bij de Justitie-procedure betrokken is.
2. Verificatie volgens beroepsregels. De notaris toetst de stukken. Geen self-service portaaltje, geen e-mail-verificatie.
3. Wachttijd van 30 dagen. Het verzoek verschijnt op een publieke log (zonder identiteit), zodat mede-erfgenamen of betwisters bezwaar kunnen maken.
4. Dual-key release. Pas daarna geven notaris én PrivNest beide hun sleutel vrij — exact volgens de keuzes die jij bij leven hebt vastgelegd.
5. Aflevering. Wat overgedragen wordt, gaat naar een tijdelijke wallet voor de erfgenaam, eenmalig op te halen. Wat gewist wordt, is écht weg — ook bij ons.

De notaris controleert alleen óf je erfgenaam bent. Niet wát je krijgt. Dat heb jij bepaald, toen je nog leefde. En omdat het dual-key blijft, kan PrivNest alleen niets ontsleutelen — ook niet voor erfgenamen, ook niet voor onszelf.

We zijn realistisch. Volledige anonimiteit zou PrivNest aantrekkelijk maken voor de verkeerde mensen. Daarom is er een procedure voor lawful access — maar wel zo gebouwd dat sleepnetten en self-service-portaaltjes voor opsporing onmogelijk blijven.

Eén sleutel ligt bij een onafhankelijke notaris of advocaat — bij voorkeur in een andere jurisdictie dan waar PrivNest gevestigd is, en onder beroepsgeheim. Die persoon geeft de sleutel alleen vrij na een rechterlijk bevel met concrete verdenking.

De andere sleutel ligt in de PrivNest-kluis — een gehard apparaat (een zogenaamde HSM) dat fysiek en logisch losstaat van onze gewone systemen. Geen enkele PrivNest-medewerker heeft daar in zijn eentje toegang toe.

PrivNest alleen kan niets ontsleutelen. De notaris alleen kan niets ontsleutelen. Pas samen, en alleen op gerechtelijk bevel met rechterlijke toets, kan een identiteit achter een handle worden onthuld.

Elk verzoek wordt gelogd en gerapporteerd in een halfjaarlijks transparantierapport. Daarnaast publiceren we elke maand een verklaring dat we geen geheime bevelen hebben ontvangen. Verdwijnt die verklaring, dan weet je dat er iets aan de hand is.

Dit is een conceptueel ontwerp. We hebben een werkende strategie, een uitgewerkte architectuur en een pilot-partner in zicht. Maar we starten de bouw pas als we drie dingen hebben:

• Pers en mediaaandacht — schrijf erover, deel het verhaal
• Partners — webshops, marktplaatsen, dienstverleners die met ons in gesprek willen
• Investeerders — die geloven dat Europa eigen identiteits-infrastructuur verdient