Besluit van 22 februari 2017, houdende vaststelling van eisen inzake verlening van vertrouwensdiensten, tot intrekking van het Besluit elektronische handtekeningen en tot aanpassing van enige andere besluiten (Besluit vertrouwensdiensten)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Economische Zaken, in overeenstemming met de Staatssecretaris van Veiligheid en Justitie en Onze Minister van Infrastructuur en Milieu, van 15 december 2016, nr. WJZ 16081159;

Gelet op de artikelen 16, eerste lid, 18.15a en 18.17a, tweede en zesde lid van de Telecommunicatiewet, artikel 6a, vierde en zesde lid, van de Instellingswet Autoriteit Consument en Markt, artikel 4.12, eerste lid, van de Aanbestedingswet 2012, artikel 3.1, eerste lid, van de Aanbestedingswet op defensie- en veiligheidsgebied, artikel 18, vijfde lid, van Boek 1 van het Burgerlijk Wetboek, artikel 8:40a, tweede lid, van de Algemene wet bestuursrecht, artikel 17, eerste lid, aanhef en onder a, van de Handelsregisterwet 2007 en artikel 5, tweede en derde lid, van de Wet kenbaarheid publiekrechtelijke beperkingen onroerende zaken;

De Afdeling advisering van de Raad van State gehoord (advies van 25 januari 2017, nr. W15.16.0420/IV);

Gezien het nader rapport van Onze Minister van Economische Zaken van 20 februari 2017, nr. WJZ/17017060, uitgebracht in overeenstemming met de Staatssecretaris van Veiligheid en Justitie en Onze Minister van Infrastructuur en Milieu;

Hebben goedgevonden en verstaan:

HOOFDSTUK 1. BEGRIPSBEPALINGEN

Artikel 1

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:

eidas-verordening:

verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn (PbEU 2014, L 257);

elektronische handtekening:

elektronische handtekening als bedoeld in artikel 3, onderdeel 10, van de eidas-verordening;

elektronisch zegel:

elektronisch zegel als bedoeld in artikel 3, onderdeel 25, van de eidas-verordening;

gekwalificeerde elektronische handtekening:

gekwalificeerde elektronische handtekening als bedoeld in artikel 3, onderdeel 12, van de eidas-verordening;

verlener van een vertrouwensdienst:

verlener van vertrouwensdiensten als bedoeld in artikel 3, onderdeel 19, van de eidas-verordening;

wet:

Telecommunicatiewet.

HOOFDSTUK 2. INHOUDELIJKE BEPALINGEN INZAKE VERTROUWENSDIENSTEN

Artikel 2 Kennisgeving inbreuk veiligheid of verlies integriteit

  • 1. Dit artikel is van toepassing op een verlener van een vertrouwensdienst die op grond van artikel 19, tweede lid, van de eidas-verordening een kennisgeving doet van een inbreuk op de veiligheid of het verlies van integriteit.

  • 2. Bij een kennisgeving meldt de verlener van een vertrouwensdienst aan Onze Minister, aan Onze Minister van Veiligheid en Justitie en, voor zover het persoonsgegevens betreft, aan het College bescherming persoonsgegevens in ieder geval:

    • a. de aard en omvang van de veiligheidsinbreuk of het integriteitsverlies;

    • b. het vermoedelijke tijdstip van de aanvang van de inbreuk of het verlies;

    • c. het tijdstip, of een benadering daarvan, waarop de verlener van de vertrouwensdienst de inbreuk of het verlies heeft ontdekt;

    • d. de gevolgen of mogelijke gevolgen van de inbreuk of het verlies;

    • e. een prognose van de tijd nodig om de inbreuk of het verlies te onderzoeken en van de benodigde hersteltijd;

    • f. zo mogelijk de door de verlener van vertrouwensdiensten genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen;

    • g. de contactgegevens van de verlener van de vertrouwensdiensten en van de functionaris die verantwoordelijk is voor het doen van de kennisgeving;

    • h. welke andere lidstaten van de Europese Unie dan Nederland door het verlies of de inbreuk zijn of kunnen worden getroffen, voor zover van toepassing, en

    • i. de inhoud van de kennisgeving die, in overeenstemming met het derde lid, aan degene aan wie de betrokken vertrouwensdienst is verleend, is of zal worden gedaan.

  • 3. De kennisgeving aan degene aan wie de betrokken vertrouwensdienst is verleend wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de gevolgen daarvan en de kring van betrokkenen, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.

  • 4. De kennisgeving aan Onze Minister, aan Onze Minister van Veiligheid en Justitie en, voor zover het persoonsgegevens betreft, aan het College bescherming persoonsgegevens wordt gedaan met gebruik making van een door Onze Minister, Onze Minister van Veiligheid en Justitie respectievelijk het College bescherming persoonsgegevens ter beschikking gesteld middel.

Artikel 3 Aanwijzing certificerende instellingen gekwalificeerde middelen aanmaken elektronische handtekeningen

  • 1. Een instelling die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.17a, eerste lid, van de wet dient daartoe een aanvraag in en voldoet aan de volgende eisen:

    • a. zij hanteert een toetsingskader dat waarborgt dat de beoordeelde gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of elektronische zegels voldoen aan de daaraan in of op grond van de eidas-verordening gestelde eisen;

    • b. zij is op basis van de norm ISO/IEC 17065:2012 geaccrediteerd, welke accreditatie het vakgebied gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of elektronische zegels omvat, door de Raad voor Accreditatie of een andere accreditatie-instantie in de zin van artikel 4 van verordening (EG) nr. 765/2008;

    • c. zij maakt gebruik van testlaboratoria, die geaccrediteerd zijn volgens de norm NEN-EN-ISO 17025, voor het testen van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of elektronische zegels volgens de norm ISO/IEC 15408, bestaande uit ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 en ISO/IEC 15408-3:2008, en volgens de norm ISO/IEC 18045:2008.

  • 2. De instelling die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.17a, eerste lid, van de wet voldoet, onverminderd het eerste lid, aan de volgende eisen:

    • a. zij houdt zich niet bezig met activiteiten die een bedreiging kunnen vormen voor de onafhankelijkheid van haar oordeel en de integriteit bij de uitoefening van haar taak;

    • b. zij voldoet aan de volgende onafhankelijkheidseisen:

      • 1°. zij is onafhankelijk van organisaties die betrokken zijn bij het ontwerpen, de fabricage, de verkoop en de levering, de installatie, het onderhoud of het beheer van gekwalificeerde middelen, alsmede van verleners van vertrouwensdiensten en de gebruikers voor zover zij zich bedienen van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of elektronische zegels;

      • 2°. zij is financieel onafhankelijk van de betrokken partijen;

      • 3°. de directeur en het personeel dat met de beoordeling van de overeenstemming is belast, zijn geen ontwerper, fabrikant, leverancier of installateur van gekwalificeerde middelen, noch verlener van een vertrouwensdienst, noch gemachtigden van een van die partijen;

      • 4°. zij wordt niet rechtstreeks betrokken bij het ontwerp, de fabricage, de verkoop of het onderhoud van gekwalificeerde middelen, noch treedt zij op als gemachtigde van de hierbij betrokken partijen.

    • c. zij heeft personeel in dienst dat:

      • 1°. voldoende bekwaamheid bezit om met een hoge mate van beroepsintegriteit de overeenstemming vast te stellen van de gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of elektronische zegels met de bij de eidas-verordening gestelde eisen voor deze gekwalificeerde middelen, en

      • 2°. betrouwbare procedures hanteert;

    • d. zij beoordeelt de overeenstemming op transparante wijze, stelt alle relevante informatie op schrift, zorgt ervoor dat alle geïnteresseerde partijen gebruik kunnen maken van haar diensten en past haar procedures zonder enige vorm van discriminatie toe;

    • e. zij beschikt over voldoende personeel en de nodige voorzieningen om de technische en administratieve werkzaamheden die uit haar taken voortvloeien, naar behoren en snel te kunnen verrichten;

    • f. het personeel dat belast is met de beoordeling van de overeenstemming van de gekwalificeerde middelen met de eisen:

      • 1°. heeft een adequate opleiding genoten, met name op het gebied van technologieën voor elektronische handtekeningen of elektronische zegels en de daaraan verbonden aspecten van de veiligheid van het gebruik van computers;

      • 2°. bezit een behoorlijke kennis van voorschriften inzake de te verrichten overeenstemmingsbeoordelingen en heeft voldoende ervaring met dergelijke beoordelingen;

    • g. zij waarborgt de onpartijdigheid van het personeel, onder meer door de bezoldiging niet afhankelijk te stellen van het aantal uitgevoerde overeenstemmingbeoordelingen of van de resultaten van deze beoordelingen;

    • h. zij houdt voldoende financiële middelen ter beschikking om in overeenstemming met de eisen van de wet en de bij of op grond van de eidas-verordening gestelde eisen te kunnen functioneren;

    • i. zij behandelt de gegevens die haar ter kennis komen vertrouwelijk, en

    • j. zij staat in voor de overeengekomen activiteiten van de instellingen door welke zij een deel van de overeenstemmingbeoordeling laat uitvoeren en kan aantonen dat deze instelling in staat is de betrokken dienst te verlenen.

  • 3. De instelling die deel uitmaakt van een organisatie die zich bezighoudt met andere activiteiten dan de beoordeling van de overeenstemming van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of elektronische zegels met de eisen, bedoeld in bijlage II van de eidas-verordening, is binnen die organisatie herkenbaar als aangewezen instelling als bedoeld in artikel 18.17a, eerste lid, van de wet, en scheidt haar werkzaamheden zodanig van de andere activiteiten, dat daardoor de correcte beoordeling van overeenstemming van gekwalificeerde middelen is gewaarborgd.

  • 4. Bij ministeriële regeling worden regels gesteld met betrekking tot de wijze waarop en bij wie een aanvraag tot aanwijzing als instelling als bedoeld in artikel 18.17a, eerste lid, van de wet geschiedt, de informatie die daarbij wordt overgelegd en het verlenen van medewerking terzake van een ingediende aanvraag.

  • 5. Aan een aanwijzing kunnen voorschriften worden verbonden die betrekking hebben op de duur van de aanwijzing, de kwaliteit van de organisatie en het verstrekken van informatie.

HOOFDSTUK 3. INTREKKING EN WIJZIGING ANDERE BESLUITEN

Artikel 4 Intrekking Besluit elektronische handtekeningen

Het Besluit elektronische handtekeningen wordt ingetrokken.

Artikel 5 Wijziging Aanbestedingsbesluit

Het Aanbestedingsbesluit wordt als volgt gewijzigd:

1. Artikel 1 komt te luiden:

Artikel 1

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:

eidas-verordening:

verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn; 1999/93/EG (PbEU 2014, L 257);

elektronische handtekening:

elektronische handtekening als bedoeld in artikel 3, onderdeel 10, van de eidas-verordening;

geavanceerde elektronische handtekening:

elektronische handtekening als bedoeld in artikel 3, onderdeel 11, van de eidas-verordening;

wet:

de Aanbestedingswet 2012.

2. Artikel 5 wordt als volgt gewijzigd:

a. In het tweede lid wordt «elektronische tijdstempels» vervangen door: elektronische tijdstempels als bedoeld in artikel 3, onderdeel 33, van de eidas-verordening.

b. In het vierde lid, onderdeel a, wordt «gebaseerd zijn op een gekwalificeerd certificaat als bedoeld in artikel 1.1 van de Telecommunicatiewet, uitgegeven door een certificatiedienstverlener» vervangen door: gebaseerd zijn op een gekwalificeerd certificaat voor elektronische handtekeningen als bedoeld in artikel 3, onderdeel 15 van de eidas-verordening, uitgegeven door een verlener van vertrouwensdiensten als bedoeld in artikel 3, onderdeel 19, van de eidas-verordening.

Artikel 6 Wijziging Aanbestedingsbesluit op defensie- en veiligheidsgebied

Het Aanbestedingsbesluit op defensie- en veiligheidsgebied wordt als volgt gewijzigd:

1. Artikel 1 komt te luiden:

Artikel 1

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:

eidas-verordening:

verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257);

wet:

de Aanbestedingswet 2012.

2. Artikel 5 wordt als volgt gewijzigd:

a. Het derde lid komt te luiden:

  • 3. Een aanbestedende dienst of speciale-sectorbedrijf kan met inachtneming van artikel 25 van de eidas-verordening eisen dat bij elektronische inschrijvingen gebruik wordt gemaakt van een gekwalificeerde elektronische handtekening als bedoeld in artikel 3, onderdeel 12, van de eidas-verordening.

b. Het vijfde lid, onderdeel a, komt te luiden:

  • a. met betrekking tot het gebruik van elektronische handtekeningen als bedoeld in artikel 3, onderdeel 10, van de eidas-verordening, bij inschrijvingen en verzoeken tot deelneming voldaan wordt aan de eidas-verordening,.

3. Artikel 6 vervalt.

Artikel 7 Wijziging Besluit doorberekening kosten ACM

Het Besluit doorberekening kosten ACM wordt als volgt gewijzigd:

1. In artikel 3, eerste lid, wordt «beschikkingen, bedoeld in artikel 4, eerste lid, onderdelen a, b en c» vervangen door: beschikkingen, bedoeld in artikel 4, eerste lid, onderdelen a en b.

2. Artikel 4 wordt als volgt gewijzigd:

a. Onderdeel b vervalt;

b. Onderdeel c wordt geletterd b.

3. In artikel 5, tweede lid, wordt «de beschikkingen, bedoeld in artikel 4, eerste lid, onderdelen b en c» vervangen door: een beschikking als bedoeld in artikel 4, eerste lid, onderdeel b.

4. In artikel 6 en artikel 7, tweede lid, wordt telkens «een beschikking als bedoeld in artikel 4, eerste lid, onderdelen b en c» vervangen door: een beschikking als bedoeld in artikel 4, eerste lid, onderdeel b.

5. In artikel 8, tweede lid, onderdeel b, wordt «de artikelen 11.5b en 11.10» vervangen door: artikel 11.10.

6. Artikel 10, tweede lid, onderdeel c, onder 3, vervalt.

7. Artikel 12, zesde lid, vervalt.

Artikel 8 Wijziging Besluit elektronische dienstverlening burgerlijke stand

In artikel 4 van het Besluit elektronische dienstverlening burgerlijke stand wordt «een gekwalificeerde elektronische handtekening, overeenkomstig artikel 15a, tweede lid, van Boek 3 van het Burgerlijk Wetboek» vervangen door: een gekwalificeerde elektronische handtekening als bedoeld in artikel 3, onderdeel 12, van verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257).

Artikel 9 Wijziging Besluit elektronisch verkeer met de bestuursrechter

Artikel 2 van het Besluit elektronisch verkeer met de bestuursrechter wordt als volgt gewijzigd:

1. «artikel 2:16 van de Algemene wet bestuursrecht» wordt vervangen door: artikel 2:16, eerste lid, van de Algemene wet bestuursrecht.

2. «authentificatie» wordt vervangen door: ondertekening.

Artikel 10 Wijziging Besluit vergoedingen Telecommunicatiewet

Artikel 4, eerste lid, van het Besluit vergoedingen Telecommunicatiewet wordt als volgt gewijzigd:

1. Onderdeel c vervalt.

2. Onderdeel d wordt geletterd c.

3. In onderdeel c (nieuw) wordt «artikel 18.17, tweede lid» vervangen door: artikel 18.17a, eerste lid.

Artikel 11 Wijziging Handelsregisterbesluit 2008

In artikel 1, tweede lid, onderdeel a, van het Handelsregisterbesluit 2008, wordt «als bedoeld in artikel 15a, vierde lid, van Boek 3 van het Burgerlijk Wetboek» vervangen door: als bedoeld in artikel 3, onderdelen 10, 11 en 12, van verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257).

Artikel 12 Wijziging Uitvoeringsbesluit Wet kenbaarheid publiekrechtelijke beperkingen onroerende zaken

Artikel 6 van het Uitvoeringsbesluit Wet kenbaarheid publiekrechtelijke beperkingen onroerende zaken komt te luiden:

Artikel 6

Indien een beperkingenbesluit, een daarop betrekking hebbende beslissing in administratief beroep of rechterlijke uitspraak, dan wel een vervallenverklaring als bedoeld in artikel 7, vierde lid, van de wet, in elektronische vorm in het gemeentelijke beperkingenregister wordt ingeschreven, geschiedt de ondertekening door burgemeester en wethouders, bedoeld in de artikelen 3 en 5, derde lid, door middel van een elektronische handtekening als bedoeld in artikel 3, onderdeel 10, 11 of 12, van verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257).

HOOFDSTUK 4. SLOTBEPALINGEN

Artikel 13 Inwerkingtreding

  • 1. Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Het besluit kan of de verschillende artikelen of onderdelen daarvan kunnen terugwerken tot en met een in dat koninklijk besluit te bepalen tijdstip.

  • 2. Indien de Europese Commissie uitvoeringshandelingen inzake het definiëren van de formaten en procedures, met inbegrip van termijnen, vaststelt op grond van artikel 19, vierde lid, aanhef en onder b, van de eidas-verordening, vervalt artikel 2, of onderdelen daarvan, op een bij koninklijk besluit te bepalen tijdstip.

  • 3. Indien de Europese Commissie uitvoeringshandelingen inzake de criteria waaraan de certificeringsinstellingen voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen moeten voldoen, vaststelt op grond van artikel 30, vierde lid, van de eidas-verordening, vervalt artikel 3, of vervallen onderdelen daarvan, op een bij koninklijk besluit te bepalen tijdstip.

Artikel 14 Citeertitel

Dit Besluit wordt aangehaald als: Besluit vertrouwensdiensten.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.histnoot

Wassenaar, 22 februari 2017

Willem-Alexander

De Minister van Economische Zaken, H.G.J. Kamp

Uitgegeven de achtste maart 2017

De Minister van Veiligheid en Justitie, S.A. Blok

NOTA VAN TOELICHTING

I. Algemeen

1. Inleiding

Met dit besluit wordt het Besluit elektronische handtekeningen ingetrokken en een nieuw besluit aangaande vertrouwensdiensten en de verleners van vertrouwensdiensten vormgegeven. De aanleiding hiervan is gelegen in de inwerkingtreding van de Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwens-diensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PbEU 2014, L 257) (hierna verder genoemd: de eidas-verordening).

De eidas-verordening vervangt richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PbEG 2000, L 13) (hierna: de richtlijn of de Richtlijn elektronische handtekeningen).

De eidas-verordening is ten uitvoer gelegd door middel van een wijziging van de Telecommunicatiewet en andere wetten1 (hierna: Uitvoeringswet eIDAS). In die wijzigingswet is voorzien in enkele delegatiegrondslagen die nadere uitwerking behoeven. Het betreft:

  • een nadere duiding van de bij de kennisgeving van een veiligheidsinbreuk of integriteitsverlies te melden gegevens (het voorgestelde artikel 18.15a van de te wijzigen Telecommunicatiewet);

  • de kaders voor aanwijzing van certificerende instellingen van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en zegels (artikel 18.17a).

Het onderhavige besluit stelt voor deze onderwerpen nadere regels vast, die hierna in paragraaf 2 van deze nota van toelichting inhoudelijk zullen worden toegelicht.

In de Uitvoeringswet eIDAS is tevens, in het voorgestelde artikel 18.15 van de Telecommunicatiewet, een delegatiegrondslag voor het vaststellen van zogenoemde referentienummers opgenomen, voor zover dit voor een goede uitvoering van de eidas-verordening vereist is. De eidas-verordening kent een groot aantal grondslagen voor vaststelling van referentienummers door de Europese Commissie. Het betreft regels waarmee een rechtsvermoeden kan worden gecreëerd dat aan de in de eidas-verordening gestelde eisen wordt voldaan. Vooralsnog wordt ervan afgezien om overeenkomstig die delegatiegrondslag in dit besluit nadere regels vast te stellen met betrekking tot dergelijke referentienummers.

Tot dusverre zijn nog geen uitvoeringshandelingen met dergelijke referentienummers door de Europese Commissie vastgesteld. Op nationaal niveau heeft een analyse plaatsgevonden in hoeverre in afwachting van door de Europese Commissie vast te stellen uitvoeringshandelingen, het noodzakelijk of wenselijk is om dergelijke technische normen in nationale wettelijke kaders vast te leggen. Op dit moment wordt vaststelling van dergelijke normen, ten behoeve van het creëren van een rechtsvermoeden, niet noodzakelijk geacht voor de controleerbaarheid en toetsbaarheid van de bij of op grond van de eidas-verordening gestelde eisen. De analyse is dat het ontbreken van dergelijke normen het toezicht op de veiligheid en integriteit van de vertrouwensdiensten op dit moment niet in geding brengt. Daarbij wordt onder meer van belang geacht dat gekwalificeerde verleners van vertrouwensdiensten bij aanvang, en vervolgens ten minste elke 24 maanden beoordeeld worden door een geaccrediteerde conformiteitsbeoordelingsinstantie. De conformiteitsbeoordeling ziet zowel op de verlener van vertrouwensdiensten zelf als op diens producten.

Als gevolg van de rechtstreeks werkende en uitputtende regels uit de eidas-verordening kunnen de meeste zaken die tot dusverre geregeld waren in het Besluit elektronische handtekeningen komen te vervallen.

In het Besluit elektronische handtekeningen waren eisen opgenomen voor:

  • de vertrouwensdiensten en de door hen te verlenen certificaten (artikelen 2 en 3 van dat besluit).

  • conformiteitsbeoordelingsinstanties (artikelen 3a en 3b van dat besluit)

  • veilige middelen voor het aanmaken van elektronische handtekeningen.

Hoofdstuk III van de eidas-verordening bevat eisen voor zowel gekwalificeerde vertrouwensdiensten als voor de door hen te verlenen diensten. Ook voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen zijn in de eidas-verordening eisen opgenomen (zie artikel 29 van de eidas-verordening). Als gevolg van deze rechtstreeks werkende bepalingen uit de eidas-verordening, die beoogt de kaders voor vertrouwensdienstverleners en hun vertrouwensdiensten uitputtend te regelen, kan geen sprake meer zijn van nationale eisen aan gekwalificeerde vertrouwensdienstverleners, de door hen uit te geven certificaten of aan gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of zegels. Dit betekent dat de artikelen 2, 3 en 5 van het Besluit elektronische handtekeningen niet langer aan de orde zijn en niet terug komen in dit Besluit vertrouwensdiensten.

Ook het stellen van eisen voor de aanwijzing van conformiteitsbeoordelingsinstanties is als gevolg van de inwerkingtreding van de eidas-verordening niet langer aan de orde. Het betreft instanties die bevoegd zijn certificatiedienstverleners te toetsen op overeenstemming met in de eidas-verordening gestelde eisen. De in artikel 18.16 van de Telecommunicatiewet opgenomen bevoegdheid om dergelijke instanties aan te wijzen, vervalt met de Uitvoeringswet eIDAS, omdat de eidas-verordening zelf eisen stelt aan dergelijke instellingen. In het artikelsgewijze deel van de memorie van toelichting bij de Uitvoeringswet eIDAS is dit nader uiteen gezet2. Met het vervallen van de bevoegdheid tot aanwijzing, is er voor kaders ten behoeve van die aanwijzing – zoals thans opgenomen in de artikelen 3a en 3b van het Besluit elektronische handtekeningen – geen plaats meer.

Om recht te doen aan de gewijzigde kaders voor vertrouwensdiensten en vertrouwensdienstverleners als gevolg van de rechtstreeks werkende eidas-verordening, is een nieuw Besluit vertrouwensdiensten vormgegeven en zal het Besluit elektronische handtekeningen worden ingetrokken. Daarnaast dienen als gevolg van de totstandkoming van de eidas-verordening tevens een aantal andere algemene maatregelen van bestuur te worden aangepast. Deze aanpassingen worden met dit besluit vormgegeven.

2. Inhoud van het Besluit Vertrouwensdiensten

2.1 Kennisgeving van een veiligheidsinbreuk of integriteitsverlies

Ingevolge artikel 19, tweede lid, van de eidas-verordening dienen verleners van vertrouwensdiensten kennisgeving te doen van een veiligheidsinbreuk of een integriteitsverlies met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee beheerd worden. De kennisgeving moet worden gedaan aan het Agentschap Telecom (hierna: AT) en, waar passend, aan het Nationaal Cyber Security Centrum (hierna: NCSC) en het College bescherming persoonsgegevens (hierna: het Cbp)3. In de paragrafen 5.3 en 5.4 van de memorie van toelichting bij de Uitvoeringswet eIDAS4 is deze meldplicht uit de eidas-verordening toegelicht en is het effect van deze meldplicht op de Nederlandse praktijk nader uiteengezet. Daarbij is ook aandacht besteed aan de verhouding van deze meldplicht tot andere meldplichten. In dat kader is ook reeds aangekondigd dat de huidige meldplicht voor certificatiedienstverleners in artikel 2, eerste lid, aanhef en onder t, van het Besluit elektronische handtekeningen zal komen te vervallen.

Wat de inhoud en de bij de kennisgeving te verstrekken informatie betreft kan de Europese Commissie op grond van artikel 19, vierde lid, van de eidas-verordening uitvoeringshandelingen vaststellen. Voor de situatie dat de Europese Commissie nog niet van die bevoegdheid gebruik heeft gemaakt, is in artikel 18.15a een grondslag opgenomen om bij algemene maatregel van bestuur regels vast te stellen inzake de bij de kennisgeving te verstrekken gegevens. Aangezien tot nu toe geen uitvoeringshandelingen op grond van artikel 19, vierde lid, van de eidas-verordening zijn voorzien, wordt van die delegatiegrondslag gebruik gemaakt.

In dit besluit wordt geregeld welke informatie in geval van een veiligheidsinbreuk of integriteitsverlies in ieder geval moet worden verstrekt aan AT, NCSC en, waar persoonsgegevens aan de orde zijn, aan het Cbp. Daarbij is zoveel mogelijk aangesloten bij de informatie die op grond van andere meldplichten van veiligheidsinbreuken en integriteitsverliezen, zoals de hiervoor gereeds genoemde meldplicht van artikel 2, aanhef en onder t, van het (huidige) Besluit elektronische handtekeningen, gemeld moet of moest worden.

Er is gekozen voor een basis set van te verstrekken informatie die voor de kennisgeving aan alle drie de betrokken instanties gelijk is. Het is mede gelet op het beperken van de administratieve lasten onwenselijk dat een vertrouwensdienstverlener dezelfde gegevens meerdere malen bij verschillende toezichthouders en het NCSC moet melden, tenzij daar goede redenen voor zijn. Deze goede redenen kunnen zijn gelegen in het feit dat de rollen van de beide toezichthouders en van het NCSC verschillen. In dat kader kan ook nadere uitvraag van uiteenlopende gegevens aan de orde zijn. Bij de opvolging van de melding kunnen de betrokken toezichthouders en het NCSC – voor zover hen daartoe bij of krachtens wettelijk voorschrift de bevoegdheid is verleend – individueel om nadere informatie vragen die voor de uitvoering van hun specifieke taken noodzakelijk is.

2.2 Certificerende instellingen

Artikel 30 van de eidas-verordening bevat de kaders voor de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en bepaalt dat de certificering plaats vindt door openbare of private organen. Dit artikel is ingevolge artikel 39 van de eidas-verordening van overeenkomstige toepassing op de certificatie van gekwalificeerde middelen voor het aanmaken van elektronische zegels. Het is aan de lidstaten om deze certificerende instellingen aan te wijzen. Ingevolge artikel 18.17a van de Telecommunicatiewet is de Minister van Economische Zaken het bevoegd gezag met betrekking tot de aanwijzing van de certificerende instellingen.

Artikel 30, vierde lid, bevat de bevoegdheid voor de Europese Commissie om middels uitvoeringshandelingen specifieke criteria vast te stellen waaraan de aan te wijzen certificeringsorganen moeten voldoen. Een dergelijke uitvoeringshandeling is tot op heden nog niet vastgesteld. Aangezien een toetsingskader voor aanwijzing wel gewenst is, wordt op grond van artikel 18.17a, tweede lid, van de Telecommunicatiewet een dergelijk toetsingskader in dit besluit opgenomen. Dit toetsingskader bevat onder meer eisen betreffende de deskundigheid en onafhankelijk van de certificerende instellingen. Het voorgestelde toetsingskader is nagenoeg identiek aan de eisen die zijn opgenomen in artikel 4 van het (huidige) Besluit elektronische handtekeningen.

3. Handhaafbaarheid en uitvoerbaarheid

Het Agentschap Telecom zal toezicht gaan houden op de naleving van de bepalingen van de eidas-verordening. In paragrafen 5.7 en 5.8 van de memorie van toelichting bij de Uitvoeringswet eIDAS is uitvoerig aandacht besteed aan de overgang van het toezicht en de uitvoering van ACM naar het Agentschap Telecom.

De voor het toezicht en de uitvoering benodigde middelen zullen door Onze Minister worden verstrekt. De vertrouwensdienstverleners blijven zelf de kosten dragen van conformiteitbeoordelingen als bedoeld in artikel 20 van de verordening. De tarieffinanciering van het toezicht wordt losgelaten. Deze financieringssystematiek is niet toepasbaar op vertrouwensdiensten die wel onder toezicht vallen maar niet zijn gebaseerd op certificaten. Voortzetting van de tarieffinanciering per certificaat zou betekenen dat verleners van gekwalificeerde vertrouwensdiensten wel moeten betalen voor het nalevingstoezicht en verleners van niet gekwalificeerde vertrouwensdiensten niet. Daarnaast is eenduidigheid in de wijze waarop toezicht van de Generieke Digitale Infrastructuur wordt gefinancierd wenselijk en draagt de beschreven wijze bij aan het beëindigen van de fragmentatie in deze.

4. Regeldruk

In paragraaf 10 van de Memorie van Toelichting van de uitvoeringswet eIDAS zijn gevolgen van de verordening en de uitvoeringswet voor de administratieve lasten voor het bedrijfsleven beschreven. Dit besluit creëert geen nieuwe lasten. De lasten die worden veroorzaakt door de meldplicht van artikel 19, tweede lid, van de verordening, worden zo veel mogelijk beperkt doordat dit besluit volstaat met een beperkt aantal te verstrekken gegevens. Deze basis set is gebaseerd op de set die thans in het Besluit elektronische handtekeningen is opgenomen voor meldingen voor incidenten met de gekwalificeerde handtekening. Zowel toezichthouders als het NCSC hebben belang bij een snelle melding. Omwille hiervan is de basis set beperkt gehouden. Het beantwoorden van deze vragen zal maximaal twee uur in beslag nemen. Bij een uurtarief van 50 Euro komen de administratieve lasten uit op maximaal 100 Euro per melding. Per aanbieder worden niet meer dan enkele meldingen per jaar verwacht. Veelal zal de melding worden opgevolgd door telefonisch contact tussen vertrouwensdienstverlener, toezichthouder(s) en het NCSC. Bij omvangrijke incidenten zullen de administratieve lasten hoger uitvallen vanwege de beantwoording van vervolgvragen van de betrokken toezichthouder(s) en het NCSC.

Op grond van de verordening kan het voorts noodzakelijk zijn om de gebruikers van vertrouwensdiensten of het publiek te informeren. De vertrouwensdienstverlener en de toezichthouder(s) zullen per geval beoordelen of deze noodzaak er is en wat de informatie en het medium waarvan gebruik wordt gemaakt, zal zijn. Daarbij zal ook het belang van deze informatieverstrekking worden afgewogen tegen de eventuele administratieve lasten die dit voor de verlener van de vertrouwensdienst met zich brengt.

II. Artikelsgewijze toelichting

Artikel 1 Begripsbepalingen

De eidas-verordening brengt een aantal nieuwe begrippen met zich. Voor een belangrijk deel zijn deze begrippen reeds opgenomen in artikel 1 van de Telecommunicatiewet. Deze begripsbepalingen werken door in dit besluit. Een aantal nieuwe begrippen uit de eidas-verordening komen pas bij dit besluit aan de orde en moet in dit besluit nader worden geduid. Bij deze begrippen is aansluiting gezocht bij de bijbehorende definities van deze begrippen in de eidas-verordening.

Artikel 2 Meldplicht

Dit artikel bevat de informatie die bij de kennisgeving gemeld moet worden aan in elk geval AT en NCSC en, in geval het persoonsgegevens betreft, ook aan het Cbp. Bij de beschrijving van de informatie die gemeld moet worden is zoveel mogelijk aansluiting gezocht bij de huidige melding van artikel 2, eerste lid, aanhef en onder t, van het Besluit elektronische handtekeningen, de meldplicht van artikel 34a van de Wet bescherming persoonsgegevens en ook bij de melding en de omschrijving in artikel 7, tweede lid, van het Besluit continuïteit openbare elektronische communicatienetwerken en -diensten. Dit laatste besluit ziet op de uitwerking van de meldplicht, opgenomen in artikel 11a.2 van de Telecommunicatiewet. Hoewel deze laatste twee meldplichten niet van toepassing zijn op verleners van vertrouwensdiensten, zijn deze meldplichten naar hun aard vergelijkbaar met de in de eidas-verordening opgenomen meldplicht.

In elk geval is het van belang dat bij de kennisgeving inzicht wordt gegeven in de aard en omvang van de inbreuk of van het verlies. Daar wordt ook onder verstaan dat, voor zover mogelijk, de vermoedelijke oorzaak wordt gemeld. Het spreekt voorts voor zich dat in geval van een melding aan het Cbp de te verschaffen informatie mede betrekking dient te hebben op de persoonsgegevens die bij de veiligheidsinbreuk of het integriteitsverlies zijn betrokken. Aldus moet bijvoorbeeld ook gemeld worden welke gevolgen de inbreuk of het verlies heeft voor de betrokken persoonsgegevens.

Verleners van een vertrouwensdienst dienen de veiligheidsinbreuk of het integriteitsverlies ingevolge artikel 19, tweede lid, van de eidas-verordening «zonder onnodige vertraging, maar in ieder geval binnen 24 uur nadat zij hiervan op de hoogte zijn geraakt» te melden. Ten behoeve van het toezicht op de naleving van deze spoedige melding, is het van belang dat bij de melding inzicht wordt verschaft in zowel het tijdstip waarop de inbreuk of het verlies is ontstaan als het tijdstip waarop de inbreuk of het verlies bij de verlener van de vertrouwensdienst kenbaar is geworden. Daar waar het exacte tijdstip niet kan worden gegeven wordt in elk geval een benadering daarvan vermeld.

In geval een verlener van vertrouwensdiensten terstond na het ontdekken van de veiligheidsinbreuk of het integriteitsverlies maatregelen heeft getroffen, bijvoorbeeld om de risico’s zo veel mogelijk te voorkomen, wordt dit ook bij de kennisgeving kenbaar gemaakt. Bij voorkeur wordt tevens vermeld welke maatregelen de verlener van vertrouwensdiensten voornemens is te treffen om de inbreuk of het verlies, en de effecten daarvan, ongedaan te maken. Dit is uiteraard slechts aan de orde, voor zover reeds voldoende inzicht bestaat bij de verlener van vertrouwensdiensten over deze maatregelen. Het kan zijn dat eerst nader onderzoek nodig is, om te kunnen duiden welke maatregelen passend zijn om de effecten ongedaan te maken. In het verlengde hiervan is daarom ook opgenomen dat een prognose wordt gegeven van zowel de tijd die nodig is om de veiligheidsinbreuk of het integriteitsverlies te onderzoeken als ook van de tijd die nodig is om dit te herstellen. Deze prognose kan mede een indicatie geven van de ernst van de inbreuk en de mogelijke impact op het maatschappelijke verkeer. Daarbij moet, voor zover mogelijk, onderscheid worden gemaakt tussen enerzijds de tijd die nodig is voor het herstel van de meest essentiële onderdelen van het bedrijfsproces met mogelijke alternatieve of tijdelijke noodvoorzieningen teneinde de continuïteit van de beschikbaarheid of betrouwbaarheid te garanderen, en anderzijds het volledig herstel van de bij de inbreuk betrokken informatiesystemen van de betrokken verlener van vertrouwensdiensten en het volledig hervatten van alle processen binnen de organisatie van deze verlener, met inbegrip van het wegwerken van eventueel opgelopen achterstanden.

Deze aldus te verstrekken set aan informatie moet de betrokken instanties in staat stellen om de omvang, impact en risico’s van de ontstane veiligheidsinbreuk of het integriteitsverlies te kunnen inschatten. Voor de beide toezichthoudende instanties is bijvoorbeeld van belang te kunnen onderzoeken welke maatregelen – aanvullend aan die de verlener van de vertrouwensdiensten reeds heeft getroffen of zal treffen – noodzakelijk zijn om de maatschappelijke gevolgen zoveel mogelijk te beperken. NCSC kan op basis van de verstrekte informatie hier ook een rol in spelen, door te adviseren over de te treffen maatregelen en bij de uitvoering te ondersteunen. Met behulp van genoemde gegevens kan eveneens worden bepaald of het incident binnen bestaande kaders kan worden afgehandeld of dat opschaling naar crisisniveau nodig is of moet worden voorbereid.

Voorts dient AT, als toezichthoudende instantie met betrekking tot de in de verordening gestelde eisen, er onder meer op toe te zien dat de verlener van vertrouwensdiensten, ingevolge artikel 19, eerste lid, van de eidas-verordening, passende maatregelen treft om risico’s te beheren. Een veiligheidsinbreuk of integriteitsverlies is bij uitstek een moment voor AT om inzicht te krijgen in de noodzakelijke maatregelen tot beheersing van risico’s. Niet alleen bij de betrokken vertrouwensdienstverlener, maar ook eventueel bij andere verleners van vertrouwensdiensten.

Tot slot moet de set van te verstrekken informatie AT in staat stellen om de taken, die voortvloeien uit de eidas-verordening, vorm te kunnen geven. Zo dient AT eenmaal per jaar aan Enisa een samenvatting te geven van inbreuken op beveiliging en integriteitsverliezen. Ook dient AT waar nodig het publiek over de inbreuk of het verlies te informeren, of dit te eisen van de betrokken verlener van vertrouwensdiensten, indien dit naar het oordeel van AT het algemeen belang dient. Voorts moet AT andere lidstaten van de veiligheidsinbreuk of het integriteitsverlies op de hoogte brengen, voor zover die lidstaten daardoor getroffen kunnen worden. Vanwege dit laatste is een eventueel effect voor lidstaten buiten Nederland aan de set van te verstrekken informatie toegevoegd.

Uit de eidas-verordening volgt dat een veiligheidsinbreuk of integriteitsverlies ook gemeld moet worden aan de betrokken natuurlijke persoon of rechtspersoon, indien de inbreuk of het verlies naar verwachting negatieve gevolgen voor die persoon zal hebben. Ook voor de betrokkene kan het van belang zijn inzicht te hebben in de aard en de omvang van de inbreuk of het verlies en in de te treffen maatregelen. Vergelijkbaar met artikel 34a van de Wet bescherming persoonsgegevens is bepaald dat een behoorlijke en zorgvuldige informatievoorziening moet worden verzorgd. Bij het bepalen van de te verstrekken informatie en wat als behoorlijke informatievoorziening moet worden gezien, moet de verlener van de vertrouwensdienst onder meer de voorziene gevolgen betrekken.

Ten behoeve van het toezicht op de naleving van deze kennisgeving aan betrokkene en ten behoeve van de volledigheid van informatievoorziening is voorts bepaald dat bij de kennisgeving aan de drie betrokken instanties moet worden vermeld in hoeverre de betrokkene van de veiligheidsinbreuk of het integriteitsverlies op de hoogte is of zal worden gebracht.

De kennisgeving zal plaatsvinden via een ter beschikking te stellen middel. Bij voorkeur zal de kennisgeving aan de drie instanties via één en dezelfde melding en met gebruikmaking van één en hetzelfde middel plaatsvinden. Zoals in paragraaf 5.4 van de memorie van toelichting van de Uitvoeringswet eIDAS is beschreven, werken deze instanties aan een samenwerkingsprotocol. In dat protocol kunnen hier afspraken over worden gemaakt. Voor het geval het noodzakelijk is om met afzonderlijke meldingen te werken, biedt dit artikel daar overigens ook de mogelijkheid toe.

Artikel 3 Certificerende instanties gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en elektronische zegels

De in dit artikel opgenomen kaders voor de aanwijzing van beoordelingsinstanties voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en elektronische zegels komen grotendeels overeen met de kaders uit het huidige artikel 4 van het Besluit elektronische handtekeningen. Vanwege de terminologie van de eidas-verordening is «veilige middelen» telkens gewijzigd in «gekwalificeerde middelen». Voorts ziet artikel 4 van het Besluit elektronische handtekeningen alleen op de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen. Met de eidas-verordening, worden ook eisen gesteld aan gekwalificeerde middelen voor het aanmaken van elektronische zegels. De aan te wijzen certificerende instellingen dienen ook tot certificering van die middelen in staat te zijn. Om die reden is waar nodig de duiding van elektronische zegels toegevoegd. Het testen en de certificering van gekwalificeerde middelen voor elektronische handtekeningen en zegels zal doorgaans onderdeel zijn van testen en certificering van ICT Beveiligingsproducten in het algemeen.

Daarnaast is van de gelegenheid gebruik gemaakt om de verwijzing naar een aantal normen te actualiseren. Zo blijkt uit informatie van de Raad van Accreditatie dat de norm NEN-EN 45011:1998 niet meer toegepast wordt en dat volstaan wordt met norm ISO/IEC 17065. Voorts is norm ISO/IEC 15408:2005 gewijzigd. Het betreft een standaard, bestaande uit drie delen. Deel 1 is laatstelijk in 2009 gewijzigd en de delen 2 en 3 in 2008. In verband met deze wijziging wordt in het eerste lid, onderdeel c verwezen naar de norm ISO/IEC 15408, met een duiding dat deze bestaat uit deel 1 uit 2009 en de delen 2 en 3 uit 2008. Tevens is de norm ISO/IEC 18045:2008 toegevoegd omdat hierin de testmethodiek op basis van de ISO/IEC 15408 is opgenomen.

Volledigheidshalve wordt overigens opgemerkt dat de genoemde normen moeten worden gezien als minimum eisen. Het staat een instantie uiteraard vrij om de genoemde normen in een breder kader toe te passen of in aanvulling op die normen gebruik te maken van andere beschikbare en relevante normen.

Artikel 4 Intrekking Besluit elektronische handtekeningen

Het huidige Besluit elektronische handtekeningen bevat een aantal eisen en kaders waar als gevolg van de inwerkingtreding van de rechtstreeks werkende eidas-verordening geen plaats meer voor is in nationale regelgeving. Daarnaast ziet het huidige besluit uitsluitend op elektronische handtekeningen, terwijl de eidas-verordening een breder kader heeft. Ook de in de Uitvoeringswet eIDAS opgenomen delegatiegrondslagen zien op meer dan alleen de elektronische handtekening. Gelet hierop wordt een nieuw Besluit vertrouwensdiensten vorm gegeven en kan het Besluit elektronische handtekeningen worden ingetrokken.

Artikel 5 Wijziging Aanbestedingsbesluiten

Het Aanbestedingsbesluit is recentelijk gewijzigd ter implementatie van de nieuwe Aanbestedingsrichtlijnen (richtlijnen 2014/23/EU, 2014/24/EU en 2014/25/EU). Teneinde te verzekeren dat het Aanbestedingsbesluit zowel aan de te implementeren aanbestedingsrichtlijnen als aan de eidas-verordening voldoet, wordt het Aanbestedingsbesluit met artikel 5 gewijzigd.

De geformuleerde aanpassingen zien met name op een nadere of gewijzigde duiding van de gehanteerde terminologie. Zo is met de inwerkingtreding van de eidas-verordening een eenduidige begripsbepaling van elektronische tijdstempels geïntroduceerd.

Artikel 6 Wijziging Aanbestedingsbesluit op defensie- en veiligheidsgebied

Het huidige Aanbestedingsbesluit op defensie- en veiligheidsgebied bevat regels inzake de mogelijkheid tot toezending elektronische ontvangst van inschrijvingen en verzoeken tot deelneming. Deze regels dienen ter implementatie van (artikel 36) van richtlijn 2009/81/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende de coördinatie van de procedures voor het plaatsen door aanbestedende diensten van bepaalde opdrachten voor werken, leveringen en diensten op defensie- en veiligheidsgebied, en tot wijziging van Richtlijnen 2004/17/EG en 2004/18/EG (PbEU 2009 L216).

Met de inwerkingtreding van de eidas-verordening zijn drie soorten elektronische handtekeningen geïntroduceerd, met een oplopend eisenpakket: de elektronische handtekening, de geavanceerde elektronische handtekening en de gekwalificeerde elektronische handtekening. De gekwalificeerde elektronische handtekening is ingevolge de begripsbepaling in de eidas-verordening een «geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die is gebaseerd op een gekwalificeerd certificaat voor elektronische handtekeningen. Aldus komt een gekwalificeerde elektronische handtekening overeen met de technische eisen van de geavanceerde elektronische handtekening als opgenomen in 36, vijfde lid, onderdeel b, van eerder genoemde richtlijn 2009/81/EG. Voorts wordt in artikel 25 van de eidas-verordening het rechtsgevolg van de elektronische handtekening gereguleerd en gelijk gesteld met een handgeschreven handtekening. Door te verwijzen naar artikel 25 van de eidas-verordening en te spreken van een «gekwalificeerde elektronische handtekening» in de zin van de eidas-verordening, wordt implementatie van richtlijn 2009/81/EG nog steeds verzekerd, terwijl tegelijkertijd wordt aangesloten bij de eidas-verordening.

Daarnaast kent het Aanbestedingsbesluit op defensie- en veiligheidsgebied de bevoegdheid voor aanbestedende diensten en speciale-sectorbedrijven om een certificeringsdienst van een hoger niveau te eisen. Dit artikel 6 gaat daarbij uit van de mogelijkheid tot vaststelling van vrijwillige accreditatieregelingen om tot dat hoger niveau te komen. De mogelijkheid om een veiligheidsniveau te bepalen door middel van vrijwillige accreditatie kent de eidas-verordening niet. Om die reden vervalt artikel 6.

Artikel 7 Wijziging Besluit doorberekening kosten ACM

De registratie van en het toezicht op certificatiedienstverleners en de bijbehorende uitvoeringsactiviteiten zijn thans taken van de ACM. De ACM verstrekt in dat kader ook, op grond van artikel 2.1, vijfde lid, van de Telecommunicatiewet, beschikkingen omtrent de registratie van certificatiedienstverleners. De kaders voor deze registratie van certificatiedienstverleners zijn opgenomen in hoofdstuk 2 van de Telecommunicatiewet. Met de eidas-verordening is een dergelijke registratie van verleners van vertrouwensdiensten door ACM niet langer aan de orde. In plaats daarvan is een nieuwe paragraaf vormgegeven (paragraaf 2.2) in de Telecommunicatiewet, waarin onder meer de aanvraag van een verlener van vertrouwensdiensten om toekenning van de status gekwalificeerd is gereguleerd. Het voornemen is om AT te belasten met de ontvangst en beoordeling van deze aanvragen. De nieuwe paragraaf 2.1, waarin de aangepaste regels inzake registratie zijn opgenomen, is uitsluitend nog van toepassing op openbare elektronische communicatienetwerken. Voor die registratie blijft de ACM de bevoegde autoriteit.

Samenhangend met de verschuiving van taken van de ACM naar AT, kan van doorberekening van kosten van beschikkingen en het nalevingstoezicht niet langer sprake zijn. Dit brengt met zich dat voorgesteld wordt artikel 4, eerste lid, onder b, van het Besluit doorberekening kosten ACM te schrappen. Bovendien zullen de kosten van het nalevingstoezicht niet langer worden doorberekend en wordt het besluit ook daarop aangepast. Als gevolg daarvan worden de artikelen van het Besluit doorberekening kosten ACM waarin verwezen wordt naar dat onderdeel ook aangepast.

Ook ten aanzien van het toezicht op de naleving van artikel 11.5b van de Telecommunicatiewet zal een verschuiving plaatsvinden. In plaats van de ACM zal, ingevolge het met de Uitvoeringswet eIDAS nieuw voorgestelde artikel 15.1, tweede lid, van de Telecommunicatiewet, het Cbp belast zijn met het toezicht op de naleving van die bepaling. Het betreft de regulering van verwerking van persoonsgegevens door verleners van vertrouwensdiensten. Uit artikel 8 van het Besluit doorberekening kosten ACM volgt dat de kosten van het toezicht daarop, in afwijking van andere onderdelen van hoofdstuk 11 van de Telecommunicatiewet, ten laste worden gebracht van marktorganisaties. Aangezien ACM niet langer toezicht zal houden op de naleving van artikel 11.5b van de Telecommunicatiewet kan van doorberekening van kosten ook niet langer sprake zijn. Artikel 8 wordt om die reden aangepast.

Voor een toelichting inzake de financiering van het nalevingstoezicht door AT, wordt verwezen naar paragraaf 3 van dit besluit.

Artikelen 8, 11 en 12

Met de Uitvoeringswet eIDAS is ook artikel 3:15a van het BW aangepast. In verschillende algemene maatregelen van bestuur, waar sprake is van elektronische handtekeningen, wordt verwezen naar artikel 3:15a BW om de aard en het rechtsgevolg van de elektronische handtekening aan te geven.

Als gevolg van de rechtstreeks werkende eidas-verordening en de daaruit voortvloeiende aanpassing van artikel 3:15a BW, dient in deze algemene maatregelen van bestuur niet langer te worden verwezen naar de omschrijvingen in artikel 3:15a, maar rechtstreeks naar de betrokken begripsbepaling in de eidas-verordening. Daarbij is waar nodig onderscheid gemaakt tussen de begrippen elektronische handtekening, geavanceerde elektronische handtekening en gekwalificeerde elektronische handtekening, afhankelijk van het soort of soorten elektronische handtekening dat met de totstandkoming van de betrokken bepaling was beoogd.

Artikel 9 Wijziging Besluit elektronisch verkeer met de bestuursrechter

Met de Uitvoeringswet eIDAS wordt artikel 2:16 van de Algemene wet bestuursrecht aangepast. Het artikel bestaat voortaan uit twee leden. In het eerste lid wordt buiten twijfel gesteld dat aan het vereiste van ondertekening ook kan worden voldaan door een elektronische handtekening en het tweede lid maakt het mogelijk het gebruik van een bepaald type elektronische handtekening voor te schrijven.

In artikel 2 van het Besluit elektronische verkeer met de bestuursrechter wordt verwezen naar artikel 2:16 van de Algemene wet bestuursrecht. Om deze verwijzing zorgvuldig aan te laten sluiten bij de wijziging van artikel 2:16 wordt in artikel 2 van dit besluit verwezen naar het eerste lid van artikel 2:16. Daarnaast is het woord «authentificatie» in artikel 2 van het Besluit elektronisch verkeer met de bestuursrechter vervangen door «ondertekening». Dit heeft te maken met de gewijzigde definitie van het begrip elektronische handtekening in de verordening.

Ten aanzien van deze wijziging wordt nog opgemerkt dat inwerkingtreding van de Wet van 13 juli 2016 tot wijziging van het Wetboek van Burgerlijke Rechtsvordering en de Algemene wet bestuursrecht in verband met vereenvoudiging en digitalisering van het procesrecht5 gefaseerd zal plaatsvinden en dat artikel 8:40a van de Algemene wet bestuursrecht uiteindelijk zal vervallen en daarmee ook het Besluit elektronisch verkeer met de bestuursrechter. Gedurende de periode dat laatstgenoemde wet gefaseerd in werking treedt, geldt artikel 8:40a en dus ook het Besluit elektronisch verkeer met de bestuursrechter nog voor dat deel van de zaken waarop het nieuwe procesrecht nog niet van toepassing is.

Artikel 10 Wijziging Besluit vergoedingen Telecommunicatiewet

Dit Besluit bevat, ter uitvoering van artikel 16.1 van de Telecommunicatiewet regels inzake de vergoeding ter dekking van de kosten van de werkzaamheden of diensten die ingevolge bij of krachtens die wet door de minister worden verricht. In artikel 4 wordt de aanwijzing van een certificatie-organisatie als bedoeld in artikel 18.16 van de Telecommunicatiewet aangewezen als categorie van werkzaamheden. Dat artikel 18.16 zal met de Uitvoeringswet eIDAS vervallen. Als gevolg van de inwerkingtreding van de eidas-verordening is aanwijzing van dergelijke certificatie-organisaties namelijk geen sprake meer. Zie voor een nadere toelichting hieromtrent paragraaf 5.6 van de memorie van toelichting, behorend bij de Uitvoeringswet eIDAS6.

Vanwege het vervallen van artikel 18.16 en de daarin gereguleerde aanwijzing van certificatie-organisaties, dient de verwijzing daarnaar in artikel 4 van het Besluit vergoedingen Telecommunicatiewet te worden geschrapt.

Van de gelegenheid is voorts gebruik gemaakt om een onjuiste verwijzing in het oude onderdeel d(het nieuwe onderdeel c) te repareren.

Artikel 13 Inwerkingtreding

Dit besluit treedt in werking op een bij Koninklijk Besluit te bepalen tijdstip. Daarbij kan onderscheid worden gemaakt in de afzonderlijke bepalingen. Voor deze mogelijkheid is gekozen omdat dit besluit nauw verband houdt met andere voorgenomen wijzigingen, zoals het wetsvoorstel Cybersecurity en het wetsvoorstel vereenvoudiging en digitalisering burgerlijk procesrecht en bestuursprocesrecht. Voorts is van belang dat het besluit dient ter uitvoering van de eidas-verordening, waarin verschillende grondslagen van uitvoeringshandelingen zijn opgenomen waar nog geen gebruik van is gemaakt. Ook in dat kader is flexibiliteit van inwerkingtreding van de verschillende onderdelen van dit besluit wenselijk.

Dit besluit stelt met artikel 2 en 3 regels ten aanzien van zaken waarvoor de Europese Commissie krachtens artikel 19, vierde lid, onder b, respectievelijk artikel 30, vierde lid, van de eidas-verordening de bevoegdheid heeft om bij uitvoeringshandeling nadere kaders vast te stellen. Op dit moment zijn deze uitvoeringshandelingen niet voorzien. In geval de Europese Commissie deze alsnog vaststelt, betreft het hoger recht en gaan de regels in de Uitvoeringshandeling voor de in dit besluit gestelde regels. Om die reden is in het tweede en derde lid bepaald dat, in geval de Europese Commissie van diens bevoegdheid tot vaststelling van de betrokken uitvoeringshandelingen gebruik maakt, artikel 2 respectievelijk artikel 3 of onderdelen daarvan vervallen op een bij Koninklijk Besluit te bepalen tijdstip. Bij dat tijdstip zal worden aangesloten bij het moment dat de betrokken (bepalingen uit de) uitvoeringshandeling van kracht wordt (worden). In dat kader wordt opgemerkt dat het wat artikel 2 betreft kan gaan om een uitvoeringshandeling die mede is gebaseerd op artikel 19, vierde lid, onderdeel a, van de eidas-verordening. Dat onderdeel a betreft niet de bij de kennisgeving te melden informatie. In geval dus een uitvoeringshandeling wordt vastgesteld die uitsluitend op dat onderdeel a is gebaseerd, is vervallen verklaring van artikel 2 niet aan de orde.

III. Implementatietabel

Verordening 2014/910/EU

Besluit Vertrouwensdiensten

Omschrijving beleidsruimte

Toelichting op keuze bij invulling beleidsruimte

19, tweede lid

2

nvt

Vaststellen van bij kennisgeving te verstrekken set van informatie is, voor de periode dat de Europese Commissie geen gebruik maakt van de bevoegdheid tot vaststelling van een uitvoeringshandeling hieromtrent, nodig voor een goede uitvoering van de eidas-verordening.

Zie ook paragraaf 2.1

30, eerste lid en 39, tweede lid.

3

Aanwijzing door lidstaten van «geschikte» openbare of private organen, ten behoeve van certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen of zegels.

Artikel 3 bevat het kader aan de hand waarvan getoetst wordt of de privaat of openbaar orgaan, die daartoe een aanvraag heeft ingediend, geschikt is als certificerende instelling voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en zegels.

Zie ook paragraaf 2.2

Zie voorts de implementatietabel, opgenomen in hoofdstuk III, van de bij de Uitvoeringswet eIDAS behorende Memorie van Toelichting7.

De Minister van Economische Zaken, H.G.J. Kamp


X Noot
1

Kamerstukken II 2015/16, 34 413

X Noot
2

Kamerstukken II 2015/16, 34 413, nr. 3, blz. 59.

X Noot
3

Ingevolge artikel 51, vierde lid, wordt het Cbp in het maatschappelijk verkeer aangeduid als Autoriteit persoonsgegevens.

X Noot
4

Kamerstukken II 2015/16, 34 413, nr. 3

X Noot
6

Kamerstukken II 2015/16, 34 413, nr. 3, blz.20

X Noot
7

Kamerstukken II 2015/16, 34 413, nr. 3, blz. 69

XHistnoot
histnoot

Het advies van de Afdeling advisering van de Raad van State wordt niet openbaar gemaakt op grond van artikel 26, zesde lid jo vijfde lid, van de Wet op de Raad van State, omdat het zonder meer instemmend luidt.

Naar boven