Vragen van het lid Van Haga (Groep Van Haga) aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over het ontwikkelen van een Europese digitale identiteit in het algemeen en in het bijzonder in relatie tot het coronatoegangsbewijs (ingezonden 14 maart 2022).

Antwoord van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 7 april 2022).

Vraag 1

Sinds wanneer is de Europese Unie (EU) bezig met de ontwikkeling van een Europese digitale identiteit?

Antwoord 1

De Europese Commissie heeft op 3 juni 2021 een wetsvoorstel ingediend voor een «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet.1 Dit voorstel heeft de Commissie ingediend conform het verzoek daartoe van de Europese Raad.2

Vraag 2

Klopt het dat de EU in juni 2021 constateert dat de implementatie van de Europese digitale identiteit niet goed loopt, getuige de passage: «Vanaf de inwerkingtreding van het e-ID-deel van de verordening in september 2018 hebben slechts 14 lidstaten ten minste één e-ID-regeling aangemeld (...). Er zijn maar 7 regelingen die volledig mobiel zijn (...).»3

Antwoord 2

Dit klopt niet, omdat de Commissie het in uw quote heeft over de eIDAS verordening van 2014 en niet over het wetsvoorstel van 3 juni 2021 voor een «raamwerk voor een Europese Digitale Identiteit» dat die eerdere eIDAS verordening herziet.

De Commissie heeft geconstateerd, evenals het kabinet, dat de implementatie van de eIDAS-verordening uit 2014 onvoldoende resultaten opgeleverd heeft. De digitale interne markt is nog steeds te versnipperd om als burger en bedrijf eenvoudig en veilig online diensten af te kunnen nemen in een ander Europees land. Het aantal elektronische transacties in andere lidstaten is laag, het aantal erkende eID's is beperkt tot 14 lidstaten en 59% van de EU-populatie, en het aantal online diensten dat beschikbaar is voor grensoverschrijdend gebruik is te beperkt. Dit pakt het nieuwe wetsvoorstel aan.

Ook hebben we te maken met een veranderende maatschappelijke context waarin steeds meer digitaal gedaan wordt en is de technologische ontwikkeling zich meer gaan richten op oplossingen waarbij eID's (inlogmiddelen) gelinkt kunnen worden aan attributen. Online (social media) platformen bieden accounts aan en worden steeds dominanter in Europa, terwijl deze accounts en de online transacties ermee, onvoldoende zekerheid bieden voor betrouwbaar en veilig gebruik en bescherming van gegevens van gebruikers.

Het voorstel van de Commissie beoogt de werking van de eIDAS-verordening te bevorderen door lidstaten te verplichten eID's te erkennen voor Europees gebruik én de functionaliteiten van eID-middelen te vergroten in de vorm van een nationaal te introduceren digitale identiteit wallet. De wallet kunnen lidstaten in eigen beheer of onder mandaat uitgeven of ze kunnen een onafhankelijk uitgegeven wallet erkennen. Deze wallet dient burgers en bedrijven die dit willen, de mogelijkheid te bieden om onder een hoog beveiligingsniveau hun elektronische identiteit én daaraan gelinkte attributen, zoals kwalificaties, bevoegdheden en digitale documenten, zelf ter beschikking te stellen.4

Vraag 3

Klopt het dat de EU in oktober 2021 stelt dat: «… het digitale EU-COVID-certificaat [heeft] aangetoond dat het mogelijk is op een toegankelijke manier een veilig en beveiligd systeem te ontwikkelen dat privacy en persoonsgegevens beschermt. Het is een belangrijke testcase voor de ontwikkeling van een «toolbox voor digitale identiteit» van de EU.»?5

Antwoord 3

Het klopt dat de Commissie dit gesteld heeft over de technologie die het EU Digitaal COVID certificaat mogelijk maakt. Het EU Digitaal COVID Certificaat staat inhoudelijk los van de ontwikkeling van de «toolbox voor een digitale identiteit». De lessen die we geleerd hebben door in Nederland op een privacybeschermende manier om te gaan met digitale middelen in de bestrijding van de COVID-19 pandemie, nemen wij mee in de uitwerking van het Europese digitale identiteit raamwerk. Ook het risico op overbevraging van de wallet, waarbij burgers onnodig gevraagd worden gegevens uit een digitale wallet te bewijzen, nemen wij zeer serieus.

Vraag 4

Op welke manier is het EU-COVID-certificaat een testcase voor de ontwikkeling van de «toolbox voor een digitale identiteit» van de EU?

Antwoord 4

Zoals ook in het commissiedebat van 9 maart jl. is benoemd, wordt het EU DCC enkel ingezet in het kader van de huidige COVID-19 pandemie. De inrichting van het «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet, en de ontwikkeling van de «toolbox voor een digitale identiteit» van de EU staan hier dan ook los van. Als vanzelfsprekend zullen de lessen die we geleerd hebben tijdens het gebruik van het digitale COVID-certificaat wel meegenomen worden in de ontwikkeling van deze toolbox.

Vraag 5

Is de techniek en de software voor de corona-app en voor de scanner voor het controleren van de vaccinatiestatus, te gebruiken voor de verdere ontwikkeling van de Europese digitale identiteit? Wordt de techniek voor de corona-app en de scanner op enige manier doorontwikkeld ten behoeve van de bredere Europese digitale identiteit? Kunt u een gedetailleerd overzicht geven van de technische mogelijkheden en onmogelijkheden voor deze doorontwikkeling?

Antwoord 5

CoronaCheck (zowel de app voor de burger als de app voor de controleur) is ontwikkeld met als doel om een betrouwbaar bewijs te kunnen verstrekken van een testresultaat en/of een vaccinatie, waarbij eenieder dat bewijs kan controleren zonder dat er meer persoonsgegevens worden overlegd dan strikt noodzakelijk. Deze privacy-by-design filosofie heeft geleid tot diverse keuzes in de architectuur, en de gebruikte software en cryptografie. Deze staan open beschreven op de GitHub van het Ministerie van VWS.6 Iedereen die dat wil kan deze technologie checken en hergebruiken, omdat het open inzichtelijk is. De specifieke software voor de CoronaCheck app wordt door de overheid niet doorontwikkeld tot een breder inzetbare EU digitale identiteit wallet.

Vraag 6

Kunt u een nadere toelichting geven op de uitspraken van u en van de Minister van Buitenlandse Zaken dat Nederland al is aangesloten op de Europese infrastructuur voor grensoverschrijdend gebruik van e-ID’s? Kunt u een gedetailleerde beschrijving geven van wat deze Europese infrastructuur inhoudt en hoe en door wie die momenteel gebruikt wordt? Wat houdt de aansluiting van Nederland concreet in?7 8

Antwoord 6

Zoals in de beantwoording van vraag 2 is benoemd, betreft deze aansluiting de eIDAS verordening uit 2014. De huidige verordening beoogt te zorgen voor een goede werking van de digitale interne markt door met wederzijdse erkenning van elektronische identificatiemiddelen (eID's) en met harmonisatie van vertrouwensdiensten veilige en betrouwbare elektronische transacties tussen burgers, bedrijven en overheden te bevorderen. De eIDAS-verordening stelt de voorwaarden vast waaronder lidstaten elkaars eID's voor burgers en bedrijven wederzijds moeten erkennen. «Openbare instanties» (overheden en organisaties met publiekrechtelijke taken) dienen erkende eID's op betrouwbaarheidsniveaus «substantieel» en «hoog» kosteloos toe te laten bij grensoverschrijdende transacties in het publieke domein. Om grensoverschrijdend gebruik van elektronische identificatie en authenticatie mogelijk te maken, is Nederland aangesloten op het Europese eIDAS-netwerk. Daarnaast heeft Nederland zowel het publieke middel DigiD voor burgers als het publiek-private stelsel eHerkenning voor bedrijven, doen erkennen voor gebruik over de grens.

Een overzicht van de Europees aangemelde eID stelsels kunt u vinden op de openbare website van de Europese eID User Community.9 Ik ontvang maandelijks een overzicht van het huidige gebruik van Europese eID's bij Nederlandse dienstverleners met een publiekrechtelijke taak. Het betreft op dit moment maandelijks ongeveer 10.000 authenticaties met eID-middelen uit andere EU-landen met als koplopers België, Duitsland, Italië, Spanje en Portugal. De dienstverleners met de meeste bevragingen zijn de Belastingdienst, de SVB, het UWV, DUO en het pensioenregister.10

Vraag 7

Kunt u aangeven of en hoe het parlement betrokken werd bij de besluitvorming over de aansluiting van Nederland op de Europese infrastructuur voor grensoverschrijdend gebruik van e-ID’s?

Antwoord 7

De Kamer heeft in 2016 ingestemd met Wijziging van de Telecommunicatiewet, de Boeken 3 en 6 van het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende wijzigingen van andere wetten in verband met de uitvoering van EU-verordening elektronische identiteiten en vertrouwensdiensten (uitvoering EU-verordening elektronische identiteiten en vertrouwensdiensten, eIDAS).11

Vraag 8

Is de software die gebruikt is voor het EU-COVID-certificaat te gebruiken binnen de Europese infrastructuur voor grensoverschrijdend gebruik van e-ID’s?

Antwoord 8

Ja. De CoronaCheck en CoronaCheck Scanner apps zijn beide ontwikkeld ter ondersteuning van zowel het reizen met een DCC als het binnenlands gebruik van het coronatoegangsbewijs (CTB). De CoronaCheck-app is niet meer dan een digitaal ondertekend certificaat inzake de test-, vaccinatie-, en/of herstelstatus van de burger. Met de CoronaCheck Scanner app kan vervolgens de geldigheid van dit certificaat of bewijs gecontroleerd worden. Het checken van de geldigheid van ondertekende certificaten is standaard technologie die opnieuw te gebruiken valt.

Vraag 9

Bent u ervan op de hoogte dat de Nederlandse zorgsector sinds 2016 een «voorloper en kwartiermaker» is voor het e-ID-stelsel van de EU?12

Antwoord 9

Medische persoonsgegevens zijn gevoelige gegevens. Daarom is het belangrijk dat patiënten veilig kunnen inloggen om hun eigen gegevens te raadplegen en dat professionals veilig kunnen inloggen om gegevens van hun patiënten te raadplegen. Een goed werkend e-ID-stelsel is daarom belangrijk voor de zorg. Het Ministerie van VWS heeft daarom voor de invoering van het e-ID-stelsel in de zorg intensief overleg met zowel het Ministerie van BZK als het zorgveld. De afgelopen jaren heeft het Ministerie van VWS daarin ook geïnvesteerd; denk aan de ontwikkeling van de benodigde technische infrastructuur zoals de Toegangsverleningsservice (voor de efficiënte afhandeling van de verschillende inlogmiddelen) en de ondersteuning bij het aansluiten hierop. Dit kan als vooroplopen gekwalificeerd worden.

Vraag 10

Is er een relatie tussen de zorgsector als «voorloper en kwartiermaker» voor het e-ID en de persoonlijke gezondheidsomgevingen (PGO’s)? Zo ja, welke?

Antwoord 10

Nee. Wel is het belangrijk dat mensen op een veilige manier kunnen inloggen om hun medische gegevens in hun PGO op te halen. Daarom volgt de ontwikkeling van PGO’s de door het Ministerie van BZK toegelaten eID middelen om patiënten veilig te laten inloggen.

Vraag 11

Is de techniek die gebruikt wordt voor PGO’s, zoals websites en apps voor online toegang tot medische gegevens, waarop Nederlandse huisartsen via het Huisarts Informatie Systeem (HIS) zijn aangesloten en waarmee patiënten hun gegevens kunnen delen met zorginstellingen, afgestemd op de (bestaande c.q. door te ontwikkelen) Europese infrastructuur voor grensoverschrijdend gebruik van e-ID’s?

Antwoord 11

Nee. Zie ook het antwoord op vraag 10.

Vraag 12

Zijn er behalve de zorgsector nog meer sectoren in Nederland die nu en/of in het recente verleden een rol hebben bij de ontwikkeling van de Europese digitale identiteit? Welke sectoren zijn/waren dat en wat waren de resultaten?

Antwoord 12

Voor de ontwikkeling van het Europese digitale identiteit raamwerk is het noodzakelijk om verschillende sectoren te betrekken. De Europese Commissie heeft voorzieningen beschikbaar gesteld voor een open consultatie waarbij alle partijen hun positie ten opzichte van dit voorstel en de uitwerking kunnen uiten. Dit gebeurt op een zo open mogelijke wijze. In antwoorden op vragen van het lid Jansen (FvD) gaf ik reeds aan dat het Kabinet zich zo breed mogelijk laat adviseren voor de invulling van het de Nederlandse implementatie van het Europese digitale identiteit raamwerk.13 Hierbij zijn diverse sectoren betrokken zoals het onderwijs, de mobiliteit sector, werkgelegenheid, de financiële sector en de zorg.

Vraag 13

Is de proef in de Tweede Kamer met gezichtsherkenning bij de toegangspoorten met behulp van een camera en de toegangspas op de een of andere manier een onderdeel van de (bestaande c.q. door te ontwikkelen) Europese infrastructuur voor grensoverschrijdend gebruik van e-ID’s? Is de techniek die daarbij wordt gebruikt afgestemd op de (bestaande c.q. door te ontwikkelen) Europese infrastructuur voor grensoverschrijdend gebruik van e-ID’s? Zo ja hoe? Zo nee, waarom niet?

Antwoord 13

Deze proef is bij mij niet bekend, dus hier is geen afstemming tussen.

Vraag 14, 15, 16

Kunt u bevestigen dat het opslaan van de persoonskenmerken adres, leeftijd, geslacht, burgerlijke staat, gezinssamenstelling, nationaliteit, onderwijskwalificaties, -titels en -diploma’s,«beroepskwalificaties, -titels en -licenties, openbare vergunningen en licenties en financiële en bedrijfsgegevens door de EU als minimale eis is gesteld voor de Europese digitale identiteit? Zo ja, onderschrijft u het verplicht toegankelijk maken van minimaal al deze persoonsgegevens via de Europese digitale identiteit? Wat gaat er mis als één van deze persoonsgegevens niet verplicht toegankelijk is via de Europese digitale identiteit?14

Kan het kabinet zich nog uitspreken tegen deze minimale eis van de EU? Zo ja, bent u daartoe bereid?

Kan het parlement zich nog uitspreken tegen deze minimale eis van de EU? Zo ja, hoe?

Antwoord 14, 15, 16

Ja, dat kan ik bevestigen. Annex VI van de voorgestelde verordening voor het Europese digitale identiteit raamwerk (revisie van de eIDAS verordening) omschrijft de minimale set van attributen die lidstaten uit authentieke bronnen ter beschikking moeten stellen voor gebruik in wallets.15

Deze gegevens worden echter nooit «door de EU» ergens opgeslagen. De burger kiest er altijd zelf in vrijwilligheid voor om attributen (geverifieerde gegevens) in een zelf gekozen wallet op te nemen. Het zal aan de burgers zelf zijn welke attributen ze in hun wallet willen opnemen en vervolgens onder eigen regie deze gegevens te gebruiken om gemakkelijk en met behoud van privacy zaken te doen.

Dit voorstel geeft mensen juist meer autonomie en regie over eigen gegevens dan de huidige situatie waarin de burger niet over deze attributen kan beschikken en deze vaak op onveilige wijze overgedragen worden. Denk hierbij aan kopietjes paspoort, gescande handtekeningen of minder veilige cloud of sociale media platformen.

Ik onderschrijf de noodzaak om Europees af te spreken welke gegevens of liever attributen op welk moment in Europees verband minimaal uitgewisseld moeten kunnen worden. Daarbij merk ik op dat het kabinet op dit moment in de onderhandelingen nog geen positie ingenomen heeft ten aanzien van de definitieve invulling van Annex VI. U weet dat ik gemandateerd ben in het BNC-fiche, waaraan ik me ook voor Annex VI houdt, en ik u geen antwoord kan geven ten aanzien van de onderhandelingen. Het parlement, zoals u weet, beoordeelt voorstellen van de Commissie niet inhoudelijk en heeft tegen de subsidiariteit en proportionaliteit van het voorstel geen bezwaren geuit.16

Wel merk ik op dat het kabinet terughoudend is wat betreft de reikwijdte, impact en uitvoerbaarheid van het voorstel en het voorgestelde tijdspad. De hoge ambitie kan alleen gerealiseerd worden met een daarbij passend, realistisch tijdspad. Het voorstel vraagt om een beheersbare, gefaseerde implementatie op basis van gezamenlijke prioritering door de lidstaten, vooral op het terrein van de verplicht op te nemen attributen. Er moet daarbij ook voldoende ruimte zijn om de nodige maatregelen en regelgeving tijdig door te voeren binnen de context van nationale uitvoeringsagenda's en beleidsontwikkelingen en van beheersbare implementatie en realistische effectuering in de uitvoering. Zo staat dit ook in het BNC-fiche.17

Vraag 17

Klopt het dat de EU alle lidstaten wil verplichten tot het erkennen van een Europese digitale identiteit? Klopt het dat het kabinet hier een groot voorstander van is? Heeft het parlement de mogelijkheid deze verplichting tegen te houden? Zo ja, hoe?

Antwoord 17

Zie antwoorden op vraag 2 en 14–16. Het klopt dat de herziening van de eIDAS-verordening lidstaten verplicht tot het ontwikkelen van minstens één digitale identiteit wallet. Zoals in het coalitieakkoord is benoemd krijgen burgers een eigen «online» identiteit. Centraal hierin is de regie op eigen data.

Vraag 18, 19

Kunt u een toelichting geven op de passage «Voor een ruime beschikbaarheid en bruikbaarheid van Europese portemonnees voor digitale identiteit is aanvaarding door particuliere dienstverleners vereist. Particuliere vertrouwende partijen die diensten verlenen op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie moeten het gebruik van Europese portemonnees voor digitale identiteit aanvaarden voor de verlening van diensten waarvoor op grond van nationale of Uniewetgeving of contractuele verbintenis sterke gebruikersauthenticatie voor online identificatie vereist is.»?18

Klopt het dat er behalve de genoemde minimale eisen (zie vraag 14) het in de bedoeling ligt dat ook gegevens op bovengenoemde terreinen (zie vraag 18), dus inclusief gezondheidszorg, toegankelijk worden via de Europese digitale identiteit? Is het denkbaar dat de door te ontwikkelen Europese digitale identiteit op termijn ook gebruikt gaat worden om de vaccinatiestatus op te slaan en te controleren? Kunt u dit toekomstig gebruik uitsluiten?

Antwoord 18, 19

Dit is een overweging die ten grondslag ligt aan de voorgestelde verordening. Geen onderdeel van de wettekst.

Gebruikers moeten niet verplicht worden de portemonnee of wallet te gebruiken, zoals de overweging die u aanhaalt enkele zinnen later stelt.19 In het voorstel is aangegeven dat de beoogde middelen ook gebruikt zouden kunnen worden in de gezondheidszorg; bijvoorbeeld voor de identificatie en authenticatie van zorgverleners én patiënten. In het voorstel is een minimale lijst opgenomen van attributen die in de wallet (kunnen) zitten wanneer de gebruiker deze wil toevoegen. Deze minimale lijst bevat op dit moment geen attributen met medische gegevens en dus ook geen COVID-certificaten en/of bewijzen.

Vraag 20

Is het document EU 2016/679, d.d. 27 april 2016 nog steeds de vigerende verordening voor gegevensbescherming? Zo ja, hoe verhoudt zich het doel van gegevensminimalisatie uit deze verordening tot de voorgenomen opeenstapeling van persoonsgegevens en andere gegevens in de Europese digitale identiteit? Zo nee, wat is de huidige verordening van de EU over gegevensbescherming en wat is daarin geregeld over gegevensminimalisatie?20

Antwoord 20

Leidend is inderdaad de Algemene Verordening Gegevensbescherming (AVG).21 Het concept «dataminimalisatie» omschrijft dat wanneer persoonsgegevens worden verwerkt, er niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het omschreven doel. De Europese Digitale Identiteit wallet zal deze gegevens niet «stapelen», maar de burger de mogelijkheid bieden om deze vanuit diens eigen omgeving te ontsluiten aan publieke of private partijen waarmee de burger zaken wil doen.

Vraag 21

Kunt u deze vragen beantwoorden voor 22 maart 2022 in verband met het geplande commissiedebat Digitale overheid, datagebruik en algoritmen, digitale identiteit?

Antwoord 21

Nee. Vanwege de noodzakelijke interdepartementale afstemming was het helaas niet mogelijk om uw vragen te beantwoorden vóór 22 maart 2022.


X Noot
3

Zie: Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit, d.d. 3 juni 2021, pagina 1

X Noot
4

Kamerstuk 22 112, nr. 3161

X Noot
5

Zie: VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD krachtens artikel 16, lid 1, van Verordening (EU) 2021/953 van het Europees parlement en de Raad van 14 juni 2021 betreffende een kader voor de afgifte, verificatie en aanvaarding van interoperabele COVID-19-vaccinatie-, test- en herstelcertificaten (digitaal EU-COVID-certificaat) teneinde het vrije verkeer tijdens de COVID-19- pandemie te faciliteren, pagina 4.

X Noot
7

Kamerstuk 22 112, nr. 3241

X Noot
8

Kamerstuk 20 112, nr. 3161

X Noot
11

Kamerstuk 34 413

X Noot
12

Zie o.a. het rapport «Het nieuwe eID-stelsel; een introductie voor de zorgsector», Nictiz, 22 mei 2017

X Noot
13

Aanhangsel Handelingen, vergaderjaar 2021-2022, nr. 2142

X Noot
14

Zie Bijlage VI uit BIJLAGE bij het voorstel voor een Verordening van het Europees parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

X Noot
16

Zie artikel 12 Verdrag betreffende de Europese Unie

X Noot
17

Kamerstuk 34 413, nr. 2

X Noot
18

COM (2021) 281 final, d.d. 3 juni 2021, pag. 20

X Noot
19

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016, overweging 28.

X Noot
20

Zie: VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), artikel 5.1c

X Noot
21

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016

Naar boven