Het Digital Product Passport is geen circulariteitsinstrument — het is Europa's eerste decentrale data governance framework

Het Digital Product Passport (DPP) wordt meestal geframed als circulariteitsinstrument, een digitale paspoort voor producten zodat we weten waar batterijen, textiel en elektronica vandaan komen en hoe ze te recyclen. Die framing klopt, maar mist het punt.

Wat de CIRPASS-2 D4.1 referentiearchitectuur, 97 pagina's, 25 architectuuraanbevelingen, 6 risicocategorieën, gepubliceerd op 10 juni 2026, onthult, is dat het DPP in de kern een data governance framework is. En niet zomaar één: het is Europa's eerste grootschalige, decentrale, identity-native data-infrastructuur die verplicht wordt voor elke producent die producten in de EU verkoopt.

De architectuur is gebouwd door TNO, met TU Delft en Scantrust BV als Nederlandse consortiumpartners in een team van 49 organisaties uit 15+ landen. De lead author is Huib van Nieuwenhuijze. Dit is geen Brussels beleidsstuk, dit is Nederlandse technische architectuur die de digitale infrastructuur van de EU vormgeeft.

Wat de architectuur écht beschrijft

De DPP-architectuur definieert zes rollen in een decentraal ecosysteem: de Responsible Economic Operator (producent/importeur), Public Authorities (markttoezicht), DPP Service Providers (IT-dienstverleners), End Users en Independent Operators (consumenten, reparateurs), Credentials Agencies (eIDAS 2.0 trusted issuers), en Supply Chain Actors.

Geen centrale database. Geen EU-portaal waar alle productdata in verdwijnt. In plaats daarvan: een identity-native, cryptografisch geborgd netwerk van interoperabele componenten waarin elke producent zijn eigen DPP-data beheert, toegang verleent via Verifiable Credentials, en integriteit borgt via immutable append-only records met JOSE proofs.

De 25 aanbevelingen vallen in vier domeinen:

Interoperabiliteit (3.1-3.5). JSON-LD als default exchange format. Modulaire DPP templates voor semantische interoperabiliteit. De prEN-18222 lifecycle API als standaard voor DPP-beheer. .well-known endpoints voor machine-readable discovery. Verifiable links naar sub-DPP's in plaats van statische kopieën van componentdata.

Identity & Authorization (3.6-3.9). Verifiable Credentials voor organizational identity. eIDAS 2.0 Qualified Electronic Attestations of Attributes (QEAA) voor rol-gebaseerde toegang. RBAC als access control mechanisme. Role-specific protected data sets als aparte VC's, de publieke DPP is één credential, elke rol krijgt een eigen gecryptografeerde dataset.

DPP Integrity (3.10-3.15). DPP's als Verifiable Credentials met JOSE proofs. Immutable append-only records, wijzigingen worden nieuwe timestamped entries, nooit overschrijvingen van originele data. Update receipts bij elke wijziging door derden. Cryptographic evidence anchoring bij een independent trusted third party. Een DPP status system waarmee partijen incorrecte DPP's kunnen rapporteren. Backup providers die dezelfde access control afdwingen.

Data Management & Display (3.16-3.25). UPI-to-URI redirection, de data carrier op een product resolved naar een redirection service die naar de actuele DPP-data wijst. De EC moet een onafhankelijke, persistente UPI-to-URI redirection service opereren. Model-level data via .well-known endpoints, item-level data alleen via unguessable IDs. Gestandaardiseerde iconen en display templates voor eindgebruikers.

De zes risico's die de architectuur zelf benoemt

Het document bevat een openhartige risico-analyse. Zes categorieën:

1. General Security Baseline, HTTPS, secure development, rate limiting als verplichte basis. Maar: "DPP data should never be assumed to be correct solely because it is protected on a technical level." Cryptografie borgt integriteit, niet waarheid.

2. Malicious or Negligent Actors, Het systeem moet uitgaan van kwaadwillende én nalatige actoren. "Ignoring architectural recommendations undermines the security of the ecosystem."

3. Item-Level Data Exposure, Het breed delen van item-level DPP-data is "strongly discouraged." Risico's: tracking van individuele producten (privacy), onthulling van productievolumes (commercieel gevoelig), vandalisme van DPP's door partijen met update-rechten.

4. Reliance on External Data, Supply chain data is volatiel. "It is recommended to create and maintain local copies." Externe data kan verdwijnen door insolventie, juridische wijzigingen, of gewijzigd worden om advertenties of scams te bevatten.

5. Role Scope & Access Control, Generieke rollen zijn een risico. "Credentials that give access to large amounts of information should be protected, such that employees can not be paid or extorted to extract large amounts of information from the system."

6. Openness & Sensitivity, Geaggregeerde DPP-data kan "economic, political, or societal consequences" hebben. Voor kritische productgroepen moet publieke exposure beperkt worden.

Dit is geen circulariteitsdocument. Dit is een security- en governance-architectuur die toevallig over producten gaat.

Waarom dit ertoe doet voor Nederland

Drie redenen.

Ten eerste: TNO is de architect. Nederland levert niet alleen consortiumpartners, Nederland levert de technische architectuur van EU's digitale productinfrastructuur. Huib van Nieuwenhuijze en zijn team bij TNO hebben 97 pagina's geschreven die bepalen hoe elke producent in de EU data moet structureren, beveiligen, en toegankelijk maken. Dat is een strategische positie die verder reikt dan circulariteit.

Ten tweede: eIDAS 2.0 is de identity-laag van alle toekomstige EU-data-ecosystemen. De DPP-architectuur vereist QEAA's voor organizational identity en role-based access. Dit patroon, identity-native, decentraal, Verifiable Credentials, zal zich herhalen in AI Act conformity assessments, NIS2 incident reporting, en GDPR consent registers. De DPP is het eerste operationele voorbeeld van hoe de EU data-ecosystemen bouwt. Wat hier werkt, wordt het template.

Ten derde: Dit raakt direct aan BIO2, NIS2, en AVG. De zes risicocategorieën mappen één-op-één naar BIO2 controls: security baseline (H8, H9), access control (H11, H12), data integrity (H13, H14). Item-level data exposure is een AVG DPIA-trigger. De verplichting om DPP-systemen te beveiligen tegen malicious actors is een NIS2 artikel 21-maatregel. Nederlandse producenten en DPPSP's moeten deze compliance-laag implementeren, en vrijwel niemand in Nederland beheerst de combinatie van eIDAS 2.0, Verifiable Credentials, en BIO2/NIS2-mapping.

Het patroon dat niemand anders ziet

Wat me opviel bij het lezen van de D4.1: de architectuur is CC BY 4.0. Vrij te gebruiken, remixen, en commercieel exploiteren. De 25 aanbevelingen en 6 risicocategorieën zijn een kant-en-klaar audit framework. Je kunt ze direct vertalen naar een compliance checklist voor Nederlandse organisaties.

Het DPP is niet het eindpunt. Het is het eerste instantiatie van een EU-architectuurpatroon dat we terug gaan zien in elk toekomstig Europees data-ecosysteem: identity-native, decentraal, cryptografisch geborgd, immutable, interoperabel. De AI Act conformity database? NIS2 incident reporting? GDPR consent registers? Allemaal varianten op dit patroon.

De partij die dit patroon als eerste herkent en operationeel maakt voor de Nederlandse markt, heeft een voorsprong die niet meer in te halen is.

---

Dit artikel is gebaseerd op de CIRPASS-2 D4.1 Reference Architecture (v1.1, 10 juni 2026), DOI: 10.5281/zenodo.20698579, en de Recommendations Summary Sheet, DOI: 10.5281/zenodo.20670411. Beide documenten zijn CC BY 4.0 gelicenseerd. De architectuur is ontwikkeld door TNO (lead), CEA LIST, Tallinn University of Technology, maki Consulting, Innovalia, en ExtraRed, met 49 consortiumpartners.

Lees verder:

• Belastingdienst Digitale Autonomie, van Kamerbrief naar Uitvoering
• OWASP Agentic Security Initiative, van dreigingen naar controlefuncties