Advies Raad van State inzake het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en de generieke digitale infrastructuur (Wet digitale overheid)

Nader Rapport

Directie CZW

Aan de Koning

Nader rapport inzake het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en de generieke digitale infrastructuur (Wet digitale overheid)

Blijkens de mededeling van de Directeur van Uw kabinet van 21 december 2017, no. 2017002224, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 3 mei 2018, nr. W04.17.0400/I, bied ik u hierbij aan.

1. Inzake de verantwoordelijkheid voor het stelsel als geheel wijst de Afdeling, vanuit het burgerperspectief, op het belang van standaardisatie en synchronisatie van bij de generieke digitale infrastructuur (hierna: gdi) aangesloten (overheids)organisaties, bij deze en volgende tranches van de Wet digitale overheid. De Afdeling acht het daarom van belang dat de minister van BZK over voldoende bevoegdheden beschikt om de standaardisatie in technisch opzicht en de synchronisatie van dit proces ook daadwerkelijk te kunnen realiseren. In dat verband doet de Afdeling een aantal aanbevelingen.

In de eerste plaats zou in het wetsvoorstel een bevoegdheid moeten worden opgenomen om besluiten van overheidsorganisaties over standaarden en andere technische specificaties die een snelle en betrouwbare aansluiting op de gdi in de weg staan te schorsen of te vernietigen, alsmede een bevoegdheid om op deze punten bindende aanwijzingen te geven en zo nodig werkzaamheden zelf te doen uitvoeren op kosten van de betreffende organisatie.

In reactie hierop wordt opgemerkt dat, mede gelet op de verantwoordelijkheid van de minister van BZK voor de gdi, hij ingevolge artikel 3 van het wetsvoorstel bij algemene maatregel van bestuur (technische) standaarden kan voorschrijven teneinde interoperabiliteit te bewerkstelligen. In aansluiting op het advies van de Afdeling is het afdwingen van daadwerkelijke toepassing van de voorgeschreven standaarden nader gereguleerd. Artikel 3 is aangevuld met de bevoegdheid voor de minister van BZK om (bindende) aanwijzingen te geven aan overheden en organisaties die concurrerende (dat wil zeggen met ingevolge artikel 3 vastgestelde interfererende) open standaarden hanteren. Tevens is voorzien in de mogelijkheid om inzake de aanwijzing van standaarden nadere regels te stellen, waaronder de mogelijkheid om de toepassing van de voorgeschreven standaarden aan een periodieke audit te onderwerpen en regels te stellen over het rapporteren van bevindingen terzake.

Vanuit het burgerperspectief is het van belang er op te wijzen, dat wanneer een voorgeschreven standaard niet wordt toegepast, deze – gerelateerd aan een besluit of feitelijk handelen – in rechte kan worden ingeroepen jegens de desbetreffende overheidsorganisatie. Voor een succesvol beroep door een burger of bedrijf op een onrechtmatige overheidsdaad (artikelen 6:162–163 BW) zijn toerekenbaarheid, relativiteit (strekt de standaard mede tot bescherming van het belang van burgers en bedrijven), aantoonbare schade en causaliteit vereist.

Voorts adviseert de Afdeling de vormgeving van het bestuurlijk toezicht nogmaals te doordenken en de minister van BZK in dit verband passende bevoegdheden te geven. Het valt de Afdeling op dat geen bevoegdheden worden toegekend die toegesneden zijn op een digitaal stelsel, zoals toegang tot geautomatiseerde programma’s en gegevens. De Afdeling adviseert het voorstel nader uit te werken en toe te lichten, met daarbij jegens bedrijven als uitgangspunt dat er een passend instrumentarium moet zijn om te kunnen ingrijpen, vergezeld van passende waarborgen.

In reactie hierop zij opgemerkt dat bestuursorganen en aangewezen organisaties, aanbieders van een toegelaten identificatiemiddel en op grond van artikel 11 erkende middelenuitgevers en diensten met het wetsvoorstel worden verplicht om mij desgevraagd en uit eigen beweging de gegevens en inlichtingen te verstrekken die ik nodig heb om maatregelen te kunnen nemen om inbreuk op de veilige en betrouwbare toegang tot elektronische dienstverlening te voorkomen of beëindigen. Bezien wordt of daarnaast de inzage in programmatuur een passend instrument is om te controleren of de aanbieder van een toegelaten privaat identificatiemiddel voldoet aan de terzake krachtens de eIDAS-verordening vastgestelde technische specificaties en procedures. Zo nodig wordt deze bevoegdheid deel van de overeenkomst die ik sluit als resultaat van de aanbesteding van een privaat authenticatiemiddel c.q. authenticatiedienst.

In reactie op het advies om de vormgeving van het bestuurlijk toezicht nogmaals te doordenken wordt opgemerkt, dat het wetsvoorstel op het gebied van toezicht op de naleving aansluit bij de bestaande systematiek, verantwoordelijkheidsverdeling en instrumenten. Daarnaast wordt inzake informatieveiligheid een auditplicht jegens de minister van BZK ingevoerd en krijgt de minister van BZK noodbevoegdheden bij (dreigende) calamiteiten. Dit samenstel van verantwoordelijkheden, taken en bevoegdheden maakt dat de effectiviteit van de regels inzake de toegang tot dienstverlening wordt versterkt en dat op dit punt nadere regulering voorshands (dat wil zeggen: tot aan de geplande evaluatie) niet opportuun is.

In aansluiting op de zienswijze van de Afdeling dat de verdere uitbouw van de digitale overheid noopt tot voldoende bevoegdheden van de minister van BZK, wordt het volgende opgemerkt. De in artikel 5, eerste lid, van het wetsvoorstel opgenomen zorgplicht van de minister van BZK omvat de inrichting, beschikbaarstelling, instandhouding, werking en beveiliging van de generieke digitale infrastructuur. Vervolgens reguleert het wetsvoorstel primair hetgeen nodig is in het kader van de toegang tot elektronische dienstverlening (eID). Zoals in de memorie van toelichting wordt opgemerkt, wordt beoogd in de toekomst meer generieke voorzieningen en functionaliteiten (dus: los van eID) onder het regime van de Wet digitale overheid te brengen indien dit, gezien hun aard en reikwijdte, nuttig en noodzakelijk is. Hiertoe kunnen te zijner tijd nieuwe tranches van de wet worden ingediend.

Om, aansluitend bij hetgeen de Afdeling adviseert, synchronisatie van dit proces daadwerkelijk en voortvarend te kunnen realiseren, passend bij de beleids- en systeemverantwoordelijkheid van de minister van BZK, is het wetsvoorstel aangevuld. Er is een grondslag opgenomen voor het bij algemene maatregel van bestuur stellen van regels met het oog op de inrichting, beschikbaarstelling, instandhouding, werking en beveiliging van de generieke digitale infrastructuur, waaronder inzake andere gdi-voorzieningen en verplichte aansluiting hierop door – tevens bij amvb te bepalen – (overheids)organisaties. Hierdoor kan snel worden ingespeeld op nieuwe ontwikkelingen. Indien deze uitvoeringsregels worden vastgesteld, worden ook de kosten samenhangend met de uitvoering doorberekend. Beoogd wordt de kosten voor het gebruik van de verplichte gdi-voorzieningen naar rato van gebruik door te belasten aan aangesloten organisaties. In het geval een organisatie, anders dan wordt voorgeschreven, geen gebruik maakt van de gdi-voorziening zal desalniettemin een forfaitair bedrag in rekening worden gebracht.

Voorts adviseert de Afdeling te voorzien in meer bevoegdheden voor de minister van BZK bij calamiteiten. Anders dan de Afdeling veronderstelt, bevat het wetsvoorstel wel bijzondere bevoegdheden in relatie tot het overheidsgedeelte van de digitale infrastructuur, met als ultieme bevoegdheid het afsluiten van de toegang tot elektronische dienstverlening van een bestuursorgaan of aangewezen organisatie. Met de Afdeling ben ik van mening dat het wetsvoorstel verduidelijkt kan worden op het punt van bevoegdheden bij dreiging van een ernstige storing of aantasting (preventief optreden); het wetsvoorstel is op dit punt aangepast.

Tot slot adviseert de Afdeling de verantwoordelijkheid van de minister van BZK voor de aanpak van identiteitsfraude te verankeren. Terecht wijst de Afdeling op de in het wetsvoorstel vervatte bevoegdheid van de minister van BZK in het geval van (vermoed) misbruik van het identificatiemiddel. Met de Afdeling ben ik van mening dat de problemen, waar slachtoffers van identiteitsfraude mee te maken krijgen, aandacht behoeven. In dat verband zij gewezen op het Centraal Meldpunt Identiteitsfraude (CMI), onderdeel van mijn ministerie, dat advies en ondersteuning biedt aan slachtoffers van identiteitsfraude. Momenteel wordt door mij de opportuniteit van een wettelijke verankering van de rol van de minister van BZK bij de aanpak van identiteitsfraude nader onderzocht. Gelet op de reikwijdte van het onderhavige wetsvoorstel en het feit, dat identiteitsfraude een complex geheel is en een bredere portee heeft dan digitale identificatie, ligt regulering in de Wet digitale overheid niet in de rede.

2. Inzake publieke en private identificatiemiddelen heeft de Afdeling begrip voor de keuze voor een gemengd stelsel. Bij de voorgestelde vormgeving heeft de Afdeling een aantal vragen.

In de eerste plaats is de Afdeling van mening dat toegang van burgers (en bedrijven) tot en communicatie met de overheid een basisrecht en een publieke verantwoordelijkheid is, dat niet afhankelijk mag worden van private partijen. In reactie hierop zij er op gewezen dat voor burgers de overheid zelf middelen op diverse betrouwbaarheidsniveaus zal uitgeven, los van het eventueel toelaten van private middelen. Deze verantwoordelijkheid voor de invoering van publieke middelen is verankerd in artikel 5, eerste lid, onder a, juncto artikel 9, eerste lid, van het wetsvoorstel, waarin een zorgplicht voor de minister van BZK is vervat. Dit is anders voor bedrijven, waar niet wordt voorzien in een publiek middel. Het stelsel terzake met louter private middelen (het huidige e-Herkenning) functioneert reeds jaren naar tevredenheid en zal, met het oog op de veiligheid en betrouwbaarheid, worden doorontwikkeld door marktpartijen. Nut en noodzaak van een publiek middel ontbreken hier. Met het onderhavige wetsvoorstel wordt het stelsel evenwel publiekrechtelijk ingekaderd. Dit betekent dat voor private middelen nodig is dat deze, teneinde toegang tot overheidsdienstverlening mogelijk te maken, erkend zijn door de minister van BZK op basis van vooraf gesteld eisen.

Overigens ben ik met de Afdeling van mening dat er een recht op toegang tot en communicatie met de overheid bestaat. Bezien zal worden of en op welke wijze dit principiële uitgangspunt, dat een bredere werkingssfeer heeft dan het onderhavige wetsvoorstel, in de wetgeving kan worden opgenomen.

De Afdeling is voorts van mening dat inloggen door de overheid bij de overheid ook met publieke middelen zou moeten kunnen geschieden. In reactie hierop zij, onder verwijzing naar het voorgaande punt, opgemerkt dat het wetsvoorstel er in voorziet dat publieke middelen worden gebruikt door burgers (natuurlijke personen). Ondernemingen (bedrijven) en (publiekrechtelijke en privaatrechtelijke) rechtspersonen gebruiken private middelen. Er zijn voor rechtspersonen geen publieke middelen beschikbaar. Dat is ook niet problematisch, want de voor hen beschikbare private middelen moeten door de minister van BZK erkend zijn. Hoewel niet van overheidswege uitgegeven, is er daarbij sprake van publiekrechtelijke inkadering. Het gegevensverkeer is, met het oog op betrouwbaarheid en veiligheid, ook bij het gebruik van erkende private middelen aan strenge eisen en toezicht onderworpen.

Tot slot adviseert de Afdeling duidelijkheid vooraf te scheppen waar het gaat om (het proces van) toelating van private identificatiemiddelen voor burgers alsmede aandacht te besteden aan de regels voor (bestaande) private authenticatiediensten die middelen voor burgers aanbieden. In reactie hierop wordt opgemerkt, dat transparantie wordt verschaft door het samenstel van het in artikel 9 van het wetsvoorstel bepaalde, de krachtens de eIDAS-verordening vastgestelde (toelatings)eisen, de vergelijkende toets en de hiertoe vooraf bekendgemaakte eisen en criteria (aanbesteding). In dit verband zij benadrukt dat bestaande private authenticatiediensten geen preferente positie hebben; zij moeten, om kans te maken op toelating van het door hen aangeboden middel, de door de minister vastgestelde procedure doorlopen en bij de gunning uiteindelijk worden geselecteerd.

3. Inzake het gebruik van het burgerservicenummer (bsn) buiten de overheid adviseert de Afdeling, mede gelet op de koppeling tussen bsn gebruikende organisaties en de – in dit wetsvoorstel gereguleerde – toegang tot hun elektronische dienstverlening, wettelijke criteria te ontwikkelen voor het mogen gebruiken van bsn door organisaties buiten de overheid, zoals zorginstellingen. In reactie hierop zij opgemerkt dat de relevantie van dit punt wordt onderkend, maar dat dit buiten de werkingssfeer van het onderhavige wetsvoorstel valt. Immers, het wetsvoorstel haakt slechts aan bij organisaties die het bsn al mogen verwerken op grond van bestaande wetgeving. Bezien zal worden of het opportuun is om bij gelegenheid de Wet algemene bepalingen burgerservicenummer aan te passen.

4. Inzake de bescherming van persoonsgegevens heeft de Afdeling twee aandachtspunten.

In de eerste plaats adviseert de Afdeling aan te geven in hoeverre er onder het regime van de AVG nog ruimte is om nadere regels te stellen die verband houden met de verwerking van persoonsgegevens. In aansluiting hierop is de memorie van toelichting aangevuld met een passage met de strekking dat nationale regels met betrekking tot onder meer grondslagen, doelen, waarborgen en beveiliging noodzakelijk zijn, juist om een goede uitvoering van de AVG te bewerkstelligen.

Voorts vraagt de Afdeling aandacht voor het gebruik van een publiek middel binnen interne systemen. Anders dan de Afdeling veronderstelt, is in dat geval geen sprake van een burger die zijn middel uit handen geeft, maar van de situatie dat de houder van een publiek middel zijn eigen middel intern gebruikt als zorgverlener. Dit punt zal in de toelichting worden verduidelijkt.

5. Inzake machtiging en elektronische handtekening adviseert de Afdeling aanpassing van het voorstel op de volgende punten.

In de eerste plaats stelt de Afdeling dat het voorstel geen eisen stelt aan de betrouwbaarheid van machtigingen; het betrouwbaarheidsniveau van een machtiging zou gekoppeld moeten zijn aan dat van het identificatiemiddel.

In reactie hierop wordt het volgende opgemerkt. Primair van belang is de mate van zekerheid over de identiteit van de machtiginggever op het moment van registratie van de machtiging (betrouwbaarheid bevoegdheidsverklaring). De te registreren gegevens over de gemachtigde moeten dan juist zijn, opdat het bestaan van een betrouwbare relatie aannemelijk is. Hoe complexer het registratieproces, des te betrouwbaarder de machtiging. Het is, met inachtneming van de te op te stellen ministeriële regeling terzake, aan de desbetreffende publieke dienstverlener (bestuursorgaan of aangewezen organisatie) om te bepalen op welk betrouwbaarheidsniveau een gebruiker zich moet identificeren om toegang te krijgen tot een elektronische dienst. Dit geldt eveneens voor de toegang voor gemachtigden. Met andere woorden: de dienstverlener bepaalt in beginsel ook het betrouwbaarheidsniveau van een machtiging. Het lijkt logisch dat dienstverleners de betrouwbaarheidsniveaus altijd zullen koppelen. Dit is echter niet zonder meer het geval. Reden hiervoor is dat hoogbetrouwbare machtiging, en dus een complex registratieproces terzake, afbreuk doet aan het gebruiksgemak voor degene die een elektronische dienst wil afnemen; hij/zij ervaart dan een hoge drempel om te machtigen. Dienstverleners willen dat voorkomen en zullen, afhankelijk van de aard van hun dienstverlening en de gebruikers, de betrouwbaarheidsniveaus niet koppelen door inlogmiddelen van eenzelfde betrouwbaarheidsniveau te vereisen. Dit hoeft niet problematisch te zijn. Op basis van een risicoafweging kan de dienstverlener na het moment van machtiging nog een andere technische of fysieke vorm van controle laten plaatsvinden. Van belang is dat de identiteitsvaststelling bij het registeren van de machtigingsrelatie op een vergelijkbaar betrouwbaarheidsniveau plaatsvindt als het vereiste niveau voor afname van de dienst. Die identiteitsvaststelling dient met voldoende waarborgen te zijn omkleed, gegeven het betrouwbaarheidsniveau waarop de dienstverlening moet plaatsvinden. De op te stellen ministeriële regeling terzake verschaft de kaders daarvoor.

Het wetsvoorstel en de toelichting zijn op dit punt aangepast en verduidelijkt.

Voorts adviseert de Afdeling te onderzoeken welke aanvullende eisen er moeten gelden ter bescherming van de gemachtigde. In reactie hierop zij er op gewezen, dat hierover voorschriften zijn opgenomen in de Regeling voorzieningen gdi, onder meer met betrekking tot reikwijdte en geldigheid van de machtiging bij dienstverlening aan een natuurlijke persoon (burger). Ook op basis van dit wetsvoorstel (artikel 10, tweede lid) zijn hierover regels voorzien. De toelichting is op dit punt verduidelijkt.

Tot slot adviseert de Afdeling het gebruik van elektronische identificatiemiddelen als elektronische handtekening wettelijk te verankeren. In reactie hierop wordt het volgende opgemerkt. Ik onderken het door de Afdeling gestelde dat het huidige DigiD in de praktijk niet alleen als elektronisch identificatiemiddel wordt gebruikt, maar feitelijk ook als elektronische handtekening. Het gaat hierbij om verschillende rechtsfiguren met een eigen functie en rechtsgevolgen (identificatie/authenticatie respectievelijk wilsuiting), zoals ook blijkt uit de eidas-verordening. Voorzover DigiD aan de (veiligheids- en betrouwbaarheids)eisen voor een elektronische handtekening voldoet, is een dergelijk gebruik echter niet bezwaarlijk of verboden, noch is voor dit gebruik een specifieke wettelijke grondslag vereist. Primair van belang is dat een dienstverlener, bijvoorbeeld de Belastingdienst, gebruikers informeert wanneer bij het gebruik van DigiD sprake is van identificatie en wanneer van het plaatsen van een handtekening.

Het bieden van meer duidelijkheid over het gebruik van elektronische identificatiemiddelen als elektronische handtekening valt buiten de werkingssfeer van dit wetsvoorstel. Mogelijk bestaat in de toekomst behoefte aan nadere regulering. Overwogen zal dan worden of opname in latere wijziging (uitbreiding) van de voorgestelde wet opportuun is.

6. Inzake de verhouding tussen wet en uitvoeringsregelingen gaat de Afdeling in op twee punten.

In de eerste plaats adviseert de Afdeling om in het wetsvoorstel, dat techniekonafhankelijk is geformuleerd, de centrale onderdelen van de gdi op te nemen. In reactie hierop zij opgemerkt dat ik met de Afdeling van mening ben dat te abstracte formulering afbreuk doet aan de duidelijkheid en rechtszekerheid. Om die reden bevat het wetsvoorstel de functionaliteiten van een aantal belangrijke voorzieningen (centrale onderdelen), waarbij concretisering, waaronder de begrippen, en uitwerking in algemene maatregelen van bestuur en ministeriële regelingen plaatsvindt. De grondslagen hiervoor worden in het wetsvoorstel ingekaderd en begrensd. Middels deze systematiek wordt een zekere mate van toekomstbestendigheid en flexibiliteit bewerkstelligd.

Voorts adviseert de Afdeling de verantwoordelijkheid van de minister van BZK voor de uitgifte van publieke identificatiemiddelen wettelijk te regelen. In dit verband zij er op gewezen dat artikel 5 eerste lid, onder a, van het wetsvoorstel de zorgplicht voor de minister van BZK bevat voor infrastructuur voor de uitgifte aan en het gebruik van publieke identificatiemiddelen op verschillende betrouwbaarheidsniveaus. Deze verantwoordelijkheid wordt uitgewerkt in lagere regelgeving.

7. Aan de redactionele opmerkingen is voor een deel gevolg gegeven.

8. Bij gelegenheid van dit nader rapport zijn tevens enkele wijzigingen, zowel van inhoudelijke als technische aard, in het wetsvoorstel aangebracht. Deze hebben primair betrekking op de artikelen aangaande de bedrijfs- en organisatiemiddelen. Bij de voorbereiding van de nadere uitwerking bij algemene maatregel van bestuur is namelijk gebleken dat een aantal aanpassingen wenselijk is om het stelsel goed te laten functioneren. Zo is het wetsvoorstel aangevuld met kaders voor het intrekken van een erkenning op verzoek van de erkende partij en is een grondslag opgenomen om bij de erkenning gebruik te kunnen maken van een certificerende instantie. Tevens is, mede naar aanleiding van de redactionele opmerking van de Afdeling inzake registers met attributen, besloten de erkenning van attributendiensten te vervangen door een bevoegdheid van de minister om attributen aan te wijzen. Dit past beter bij de omstandigheid dat de attributen die van belang kunnen zijn voor de betrouwbare toegang van ondernemingen en rechtspersonen, voornamelijk gevat zijn in publiekrechtelijke registers, zoals een beroepsregister. Voorts is artikel 7 van het wetsvoorstel aangevuld met een bepaling inzake de acceptatie van een erkend bedrijfs- en organisatiemiddel ingeval dienstverlening aan een natuurlijke persoon (burger) plaatsvindt door tussenkomst (machtiging) van een bedrijf. Tot slot is het overgangsrecht inzake het gebruik van een middel met een lager betrouwbaarheidsniveau verplaatst naar artikel 6.

Ik moge U hierbij verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops.

Advies Raad van State

No.W04.17.0400/I

Aan de Koning

Bij Kabinetsmissive van 21 december 2017, no.2017002224, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid), met memorie van toelichting.

Samenleving en overheid digitaliseren. Dit vereist regels over wat wordt genoemd de (generieke) digitale infrastructuur.1 Dit wetsvoorstel geeft regels voor de meest urgente onderdelen daarvan: elektronisch verkeer van en met de overheid (inbegrepen elektronische identificatiemiddelen), informatieveiligheid, toegang tot publieke dienstverlening voor burgers, en verantwoordelijkheidsverdeling voor infrastructuur en voorzieningen.

De Afdeling advisering van de Raad van State onderschrijft ten volle de noodzaak om op de kortst mogelijke termijn burgers, bedrijven en overheidsorganisaties elektronische identificatiemiddelen op een hoog beveiligd niveau te verschaffen. Betrouwbare toegang van burgers tot de overheid (‘inloggen’) en tot publieke voorzieningen (zorg, onderwijs, werk en inkomen, persoonsregistraties, enzovoorts) en het veilig en ongestoord functioneren van overheidsorganisaties zijn hiervan afhankelijk. Daartoe is standaardisatie in de generieke digitale infrastructuur die overheidsorganisaties gebruiken een noodzakelijke voorwaarde. Om deze voorwaarde te realiseren moet één verantwoordelijk bewindspersoon deze technische standaarden vaststellen en aan overheidsorganen (centraal en decentraal) dwingend kunnen voorschrijven, met bevoegdheden van toezicht en ingrijpen. Het wetsvoorstel regelt zulks op zijn best halfslachtig. Dat is onwerkbaar2 en gegeven het cruciale belang van standaardisatie niet verantwoord.

Met het oog op toegang van de burger tot de overheid, stelt het wetsvoorstel niet alleen regels voor publieke identificatiemiddelen maar ook voor private. De Afdeling onderschrijft dat een stelsel van private naast publieke middelen nuttig is. Toegang van burgers tot de overheid is een basisrecht dat evenwel niet afhankelijk mag worden van private partijen. Dit uitgangspunt is niet onomwonden en consequent in het wetsvoorstel neergelegd; daarnaast is de precieze verhouding tussen publieke en private middelen onvoldoende inzichtelijk vormgegeven en toegelicht.

De Afdeling advisering van de Raad van State adviseert dit wetsvoorstel pas naar de Tweede Kamer te sturen nadat het op genoemde punten wezenlijk is aangepast.

1. Verantwoordelijkheid voor het stelsel als geheel

Het wetsvoorstel definieert en reguleert een deel van de generieke digitale infrastructuur: een stelsel dat burgers en bedrijven in staat stelt zich te identificeren3 om toegang te krijgen tot elektronische diensten van de overheid of van ‘aangewezen organisaties’ van buiten de overheid (zoals pensioenfondsen, zorgverleners, zorgverzekeraars en instellingen voor hoger onderwijs). Het stelsel wordt bij en krachtens4 de wet ingesteld en vormgegeven; de Minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) krijgt een zorgplicht voor het inrichten en in stand houden van het stelsel.5

Het wetsvoorstel vormt de eerste tranche van de Wet digitale overheid. Het regelt de meest urgente onderwerpen en biedt de basis voor verdere uitbreiding en modernisering, maar gaat daar overigens in de toelichting niet nader op in.

Deze generieke digitale infrastructuur is organisatorisch complex: het stelsel wordt gebruikt door honderden bestuursorganen (zoals provincies, gemeenten en zelfstandige bestuursorganen), rechterlijke organen en door organisaties buiten de overheid. Aan al deze bestuursorganen en organisaties worden in het wetsvoorstel eisen gesteld.

  • Zij worden verplicht om alle inlogmiddelen die door de minister van BZK zijn toegelaten (naast het bekende DigiD en varianten daarvan ook een of meer private inlogmiddelen) te accepteren.6

  • Zij moeten ervoor zorgen dat de toegang tot hun elektronische diensten goed werkt en betrouwbaar en veilig is; zij rapporteren daarover aan de Minister.7 Zij moeten tevens bepalen voor welke diensten zij authenticatie op een bepaald betrouwbaarheidsniveau gaan voorschrijven.8

  • Zodra Nederland zijn eigen stelsel voor identificatiemiddelen heeft aangemeld bij de Europese Commissie moeten bestuursorganen ook alle buitenlandse identificatiemiddelen die bij de Commissie zijn aangemeld accepteren.

De generieke digitale infrastructuur beoogt burgers en bedrijven in staat te stellen op een veilige en gebruikersvriendelijke manier elektronisch contact te onderhouden met de overheid. Burgers hebben zelden goed zicht op het grote aantal organisaties waarover de overheidstaak is verdeeld en op die taakverdeling. Het is voor hen moeilijk te begrijpen en te hanteren wanneer elke organisatie, belast met een deel van de overheidstaak, de digitale communicatie met burgers in een ander tempo en op een andere manier aanpakt.

Dit burgerperspectief betekent dat de organisaties die worden aangesloten op de generieke digitale infrastructuur hun communicatie op een gestandaardiseerde en voorspelbare manier dienen aan te bieden; en dat de invoering en modernisering van de elektronische communicatie niet teveel in de tijd moet uiteenlopen. Het belang van standaardisatie en synchronisatie speelt niet alleen bij deze eerste tranche, maar is ook van belang bij volgende tranches van de Wet digitale overheid.

De Afdeling acht het dan ook van belang dat de minister van BZK over voldoende bevoegdheden beschikt om de standaardisatie in technisch opzicht en de synchronisatie van dit proces daadwerkelijk te kunnen realiseren – niet alleen op basis van dit voorstel, maar ook voor de verdere uitbouw van de digitale overheidscommunicatie. Standaardisatie gaat immers niet vanzelf.

Vanuit dit belang en perspectief acht de Afdeling het wetsvoorstel op de navolgende onderdelen onvoldoende.9

  • Bevoegdheden. De verhouding tussen de minister die verantwoordelijk is voor het beheer van de generieke digitale infrastructuur en andere ministers, bestuursorganen en andere overheden is op het punt van de technische standaardisatie onduidelijk. De minister ‘bevordert’ de interoperabiliteit tussen infrastructuren, diensten en organisaties,10 maar kan deze niet dwingend voorschrijven. Zo ontbreekt in het voorstel een bevoegdheid om besluiten van overheidsorganisaties over standaarden en andere technische specificaties die een snelle en betrouwbare aansluiting op de generieke digitale infrastructuur in de weg staan te schorsen of te vernietigen, alsmede een bevoegdheid om op deze punten bindende aanwijzingen te geven en zo nodig in laatste instantie werkzaamheden zelf te doen uitvoeren, op kosten van de betreffende organisatie.

  • Bestuurlijk toezicht.11 De minister van BZK krijgt geen bijzondere toezichtsbevoegdheden. Volgens de toelichting geldt het reguliere toezicht (aangevuld met een jaarlijkse audit, uit te brengen aan de minister). Meer concreet: elke vakminister oefent toezicht uit op de eigen uitvoeringsorganisaties, en op de zelfstandige bestuursorganen en de aangewezen organisaties die op zijn beleidsterrein liggen. En: decentrale overheden zijn zelf verantwoordelijk voor de naleving van de wet. De minister heeft alleen de bevoegdheden van het zogenoemde generiek interbestuurlijk toezicht: van rijk op provincies, van provincies op gemeenten. Dat toezicht is bedoeld als sober en terughoudend en in hoofdzaak gericht op bestuurlijke en financiële verhoudingen. Het is bedoeld noch ingericht voor technische, organisatorische en uitvoerende kwesties, zoals die zich voordoen in de digitale (overheids-)infrastructuur. De vormgeving van het bestuurlijk toezicht moet om die reden opnieuw worden doordacht en het voorstel moet vervolgens worden aangepast.

  • Toezicht op naleving van voorschriften. Het voorstel maakt het mogelijk om toezichthouders aan te wijzen, die de beschikking krijgen over de klassieke toezichtsbevoegdheden. Zo kunnen zij plaatsen betreden, inzage vorderen van zakelijke gegevens en bescheiden, zaken onderzoeken en daarvan monsters nemen. Zij kunnen toezicht houden op organisaties die zijn aangesloten op de generieke digitale infrastructuur, op bedrijven die private identificatiemiddelen verschaffen en op bedrijven die worden ingeschakeld bij de identificatie.12 Deze fysieke vorm van toezicht past niet goed in de verhouding met bestuursorganen. Waar het gaat om toezicht op genoemde bedrijven is dat wel voorstelbaar. Het valt echter op dat geen bevoegdheden worden toegekend die toegesneden zijn op een digitaal stelsel, zoals toegang tot geautomatiseerde programma’s en gegevens. Het voorstel verdient nadere uitwerking en toelichting, met daarbij jegens bedrijven als uitgangspunt dat er een passend instrumentarium moet zijn om te kunnen ingrijpen, vergezeld van passende waarborgen.

  • Calamiteiten. Bij een ernstige storing of ernstige aantasting van de werking, beveiliging of betrouwbaarheid van de elektronische dienstverlening, of bij misbruik of oneigenlijk gebruikt van de toegang tot elektronische dienstverlening, kan de Minister de toegang tot elektronische dienstverlening van een bestuursorgaan of aangewezen organisatie onderbreken.13 Het valt op dat de minister pas kan ingrijpen wanneer een storing of aantasting zich al voordoet, en niet al bij een ernstige dreiging daarvan. Verder is de samenhang met andere wetgeving van belang. In het voorstel van een Cybersecuritywet, waarin de EU-richtlijn over beveiliging van netwerk- en informatiesystemen wordt geïmplementeerd, worden instanties aangewezen met een coördinerende taak bij het beveiligen van vitale infrastructuren (‘bevoegde autoriteiten’). De minister van Economische Zaken en Klimaat wordt aangewezen als bevoegde autoriteit voor de digitale infrastructuur.14 Ook in het stelsel van de Telecommunicatiewet komen noodbevoegdheden (bevoegdheden die alleen toegepast mogen worden onder buitengewone omstandigheden) toe aan de minister van Economische Zaken en Klimaat.15 Dit roept de vraag op waarom de Minister van BZK geen bijzondere bevoegdheden heeft voor het overheidsgedeelte van de digitale infrastructuur, dat onderwerp is van het voorliggende wetsvoorstel.

  • Identiteitsfraude. In de toelichting wordt terecht ingegaan op de groei van het probleem van identiteitsfraude.16 Dit probleem hangt nauw samen met de uitgifte van identificatiemiddelen, maar ook met het inloggen met zulke middelen bij de overheid. De minister krijgt de plicht om maatregelen te treffen bij een vermoeden van misbruik van een identificatiemiddel.17 Wat in het voorstel ontbreekt is een duidelijk belegde verantwoordelijkheid voor het oplossen van de problemen waar slachtoffers van identiteitsfraude mee te maken krijgen. Zo is niet geregeld welk orgaan daarvoor verantwoordelijk is, waar het slachtoffer zich kan melden en hoe hij op een eenvoudige manier een identificatiemiddel tijdelijk kan onderbreken, bijvoorbeeld bij zoekgeraakte of gestolen documenten.18

De Afdeling adviseert het voorstel aan te passen aan de hand van de hiervoor genoemde punten.

2. Publieke en private identificatiemiddelen

Het voorstel beoogt te regelen dat burgers, bedrijven en organisaties op een betrouwbare manier kunnen inloggen bij bestuursorganen en aangewezen organisaties (met name zorginstellingen, zorgverleners, instellingen voor hoger onderwijs en pensioenfondsen).

Voor burgers komen er door de overheid gecreëerde identificatiemiddelen op drie ‘betrouwbaarheidsniveaus’ (deze betrouwbaarheidsniveaus – laag, substantieel en hoog – zijn gedefinieerd in de ‘eIDAS-verordening’ van de Europese Unie).19 Het huidige DigiD, dat al sinds 2005 in gebruik is, heeft betrouwbaarheidsniveau ‘laag’. Het zal worden aangevuld met ‘Versterkt DigiD’ op niveau ‘substantieel’.20 Verder komt er een identificatiemiddel via een chip op de identiteitskaart en het rijbewijs, op betrouwbaarheidsniveau ‘hoog’. De burger betaalt voor de verstrekking van deze middelen leges.21 Daarnaast komen er voor burgers private identificatiemiddelen, die door de minister van BZK worden toegelaten. De eIDAS-verordening biedt de mogelijkheid om zulke private middelen toe te laten (die dan moeten voldoen aan de betrouwbaarheidseisen van de verordening), maar verplicht daar niet toe.

Bedrijven en organisaties kunnen uitsluitend inloggen met een zogeheten bedrijfs- en organisatiemiddel, dat via publiek-private samenwerking is ontwikkeld en door de Minister van BZK wordt erkend.22 De inlogmethode voor bedrijven en organisaties zal ook gelden voor overheidsorganisaties.

Een burger die, om toegang tot de overheid krijgen, een privaat identificatiemiddel gebruikt, bijvoorbeeld door het hanteren van een bankpas voorzien van een elektronische identificatie, moet zich realiseren dat hij daarmee juridisch gezien een overeenkomst afsluit met de onderneming die dat middel verschaft (in dit voorbeeld, zijn bank), de voorwaarden die die onderneming hanteert accepteert en voor deze dienstverlening betaalt.

Het voorstel kiest aldus voor een gemengd publiek en privaat stelsel. De Afdeling begrijpt de keuze om naast publieke, ook private identificatiemiddelen toe te staan. Economische ontwikkeling, innovatie en keuzevrijheid van burgers en bedrijven worden immers bevorderd indien het stelsel meerdere identificatiemiddelen toelaat. Het is bovendien van wezenlijk belang dat de eenzijdige afhankelijkheid van één middel in de digitale infrastructuur (‘single points of failure’) wordt verkleind door voor eenzelfde doel, in dit geval identificatie en inloggen, meer middelen (instrumenten) beschikbaar te doen zijn. De Afdeling merkt evenwel op dat de vormgeving van een stelsel van private naast publieke middelen ook de navolgende vragen oproept die in het wetsvoorstel nadere toelichting of aanpassing behoeven.

  • Basisrecht. Toegang van burgers (en bedrijven) tot en communicatie met de overheid is een basisrecht, een publieke verantwoordelijkheid en mag niet afhankelijk worden van private partijen. Daarom moet de overheid zelf, met eigen middelen, waarborgen – niet alleen juridisch, maar ook feitelijk – dat burgers elektronische toegang tot de overheid hebben op een voldoende hoog betrouwbaarheidsniveau. Dit principiële uitgangspunt is in de toelichting bij het wetsvoorstel niet onomwonden verwoord en in het voorstel en de toelichting evenmin consequent doorgevoerd. Er is bijvoorbeeld een risico dat het toelaten van private middelen de invoering van publieke middelen op verschillende betrouwbaarheidsniveaus vertraagt of hindert; het Bureau ICT-toetsing heeft op dit risico gewezen.23

  • Inloggen door de overheid bij de overheid. Het voorstel bepaalt dat overheidsorganisaties alleen met (private) bedrijfs- en organisatiemiddelen kunnen inloggen bij bestuursorganen als zij elkaar beveiligde gegevens willen toesturen (dat wil zeggen: als de gegevensuitwisseling plaatsvindt op betrouwbaarheidsniveau substantieel of hoog).24 Het is de Afdeling niet duidelijk waarom vertrouwelijk gegevensverkeer tussen overheden onderling alleen mogelijk zou moeten zijn via private middelen. Het ligt juist meer in de rede dat de overheid door middel van door de overheid gecreëerde identificatiemiddelen zoveel mogelijk controle heeft over zulke gegevensuitwisseling om haar verantwoordelijkheid voor een veilig verloop te kunnen waarmaken.

  • Marktordening en gelijk speelveld. De minister kan ingevolge dit wetsvoorstel25 het gebruik van private identificatiemiddelen voor toegang tot de overheid toelaten. Hij bepaalt op dat moment hoeveel private middelen hij toelaat en de duur van de toelating.26 Het wetsvoorstel gaat uit van een situatie van schaarste en kiest voor een stelsel met een vergelijkende toets op basis van vooraf bekendgemaakte criteria.27 De veronderstelde schaarste en de keuze voor dit stelsel wordt slechts summier toegelicht. Er is met andere woorden niet gekozen voor een open stelsel, waarbij iedere aanbieder van een identificatiemiddel die aan bepaalde eisen voldoet tot de markt wordt toegelaten.28 Bij de verdeling van schaarse rechten, het in het wetsvoorstel gekozen stelsel, dient evenwel een gelijk speelveld te bestaan. Dat houdt in dat een passende mate van openbaarheid moet zijn verzekerd over het aantal toelatingen en de duur daarvan, de selectieprocedure, het aanvraagtijdvak en de toe te passen criteria. De minister moet hierover tijdig voorafgaand aan de start van de procedure duidelijkheid scheppen. Die duidelijkheid bevatten het wetsvoorstel en de toelichting nog niet. Er wordt in het wetsvoorstel evenmin bijzondere aandacht besteed aan (bestaande) private authenticatiediensten die ook gebruikt (kunnen) worden door burgers om zich te identificeren bij overheidsdiensten, en aan de vraag welke regels daarvoor (gaan) gelden dan wel hoe deze bestaande private authenticatiemiddelen zich (gaan) verhouden tot het in het wetsvoorstel beoogde stelsel van toelating van private middelen.

De Afdeling adviseert de hiervoor genoemde punten nader te bezien en waar nodig het voorstel aan te passen.

3. Gebruik Burgerservicenummer buiten de overheid

Het wetsvoorstel stelt regels voor elektronische dienstverlening door de overheid, maar is mede van toepassing op organisaties buiten de overheid die nu al gebruik maken van het Burgerservicenummer (BSN) en DigiD: instellingen voor hoger onderwijs, pensioenfondsen, zorgaanbieders en zorgverzekeraars. Ook andere organisaties die het BSN mogen gebruiken kunnen – bij algemene maatregel van bestuur of bij ministerieel besluit – onder het stelsel worden gebracht.29 Zulke organisaties kunnen dan gebruik maken van het stelsel van publieke en private identificatiemiddelen, dat in het voorstel wordt neergezet. Zij worden dan aangesloten op de generieke digitale infrastructuur en komen onder het toezicht te staan van de minister van BZK.30

De Wet algemene bepalingen burgerservicenummer bepaalt weliswaar dat organisaties buiten de overheid het BSN alleen mogen gebruiken als zij daar bij of krachtens de wet toestemming voor hebben gekregen, maar bevat zelf geen criteria. Het voorliggende wetsvoorstel bevat die criteria evenmin. Dat betekent dat de reikwijdte van het wetsvoorstel bij bijzondere wet kan worden uitgebreid en dat er geen algemene criteria zijn om te bepalen welke organisaties daarvoor in aanmerking komen.31 De Afdeling acht het van belang dat het gebruik van publieke identificatiemiddelen en het BSN alleen wordt uitgebreid tot organisaties buiten de overheid op basis van duidelijke, wettelijke criteria. Zij adviseert dergelijke criteria op te nemen in dit wetsvoorstel of in de Wet algemene bepalingen burgerservicenummer.

4. Bescherming van persoonsgegevens

Het wetsvoorstel brengt met zich mee dat een groot aantal persoonsgegevens op diverse plaatsen zal worden verwerkt. De bevoegdheid om persoonsgegevens, waaronder het BSN, te verwerken wordt toegekend aan de minister van BZK, bestuursorganen, aangewezen organisaties, uitgevers van private identificatiemiddelen en erkende diensten die betrokken zijn bij authenticatie. De enige beperking aan deze verwerkingsbevoegdheid is dat verwerking noodzakelijk moet zijn voor de uitvoering van de wet of voor de werking van het identificatiemiddel. Bij algemene maatregel van bestuur worden nadere regels gesteld.32 De Afdeling heeft twee aandachtspunten.

a. Daadwerkelijke bescherming

De Afdeling constateert dat de toelichting op het wetsvoorstel terecht uitgebreid en adequaat ingaat op de verhouding met de Algemene Verordening Gegevensbescherming (AVG).33 Daarbij is van belang dat de AVG, anders dan de privacyrichtlijn34, een verordening is die rechtstreekse werking in de Nederlandse rechtsorde heeft. Dit brengt met zich dat de wetgever slechts ruimte heeft om nadere regels te stellen voor zover de AVG dat uitdrukkelijk toelaat. De vraag is daarom in hoeverre er onder het regime van de AVG nog bevoegdheid is om bij algemene maatregel van bestuur nadere regels te stellen voor de afzonderlijke in de toelichting aangesneden onderwerpen.35 Daarop gaat de toelichting niet in. Voor zover de AVG wel ruimte biedt voor dergelijke regels gaat de Afdeling er van uit dat in dat kader passende aandacht zal worden geschonken aan de vraag hoe burgers begrijpelijk en nauwkeurig worden geïnformeerd over keuzes, toestemmingen en machtigingen die zij worden geacht te maken en te geven.

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan en het wetsvoorstel zo nodig aan te passen.

b. Inloggen door een ander dan de burger

De Afdeling vraagt voorts aandacht voor het fenomeen van inloggen door een ander dan de burger zelf. Bij ministeriële regeling kan worden bepaald dat een publiek inlogmiddel kan worden gebruikt om aangewezen organisaties toegang te geven tot een systeem voor de elektronische uitwisseling van gegevens. Volgens de toelichting kan het gaan om de uitwisseling van patiëntgegevens binnen en tussen zorginstellingen. Gebruik van een publiek identificatiemiddel is van belang om zeker te weten dat het om de juiste persoon gaat, aldus de toelichting.36

Het artikel en de toelichting zijn niet duidelijk waar het gaat om de rol van de burger. Indien de bepaling inhoudt dat het identificatiemiddel (en de gegevens die met een identificatiemiddel kunnen worden gegenereerd) niet wordt gebruikt door de burger zelf maar door een zorginstelling, zonder dat de burger daarvan op de hoogte is, dan staat dat haaks op het stelsel. Een identificatiemiddel is immers een middel in handen van de burger, die met dat middel toegang krijgt tot een elektronische systeem van een bestuursorgaan of bijvoorbeeld een zorginstelling. Hij is de unieke gebruiker van dat middel. Om diezelfde reden mogen burgers ook niet toestaan dat een ander een fotokopie maakt van hun paspoort of identiteitskaart. De Afdeling adviseert de bepaling te heroverwegen of nauwkeuriger te formuleren.

5. Machtiging en elektronische handtekening

a. Betrouwbaarheidsniveaus bij machtiging

Natuurlijke personen, bedrijven en organisaties kunnen elektronisch gemachtigd worden om in te loggen namens een natuurlijk persoon, bedrijf of organisatie.37 Het voorstel stelt geen eisen aan de betrouwbaarheid van zulke machtigingen. Dit contrasteert sterk met de regels voor inloggen zelf, die gebaseerd zijn op een uitgewerkt stelsel van betrouwbaarheidsniveaus.

  • Een stelsel van machtigingen zal tenminste aan dezelfde betrouwbaarheidseisen moeten voldoen als het stelsel van identificatiemiddelen: als een bestuursorgaan alleen elektronische identificatie op betrouwbaarheidsniveau substantieel of hoog accepteert, zal ook identificatie via machtiging op dat niveau moeten plaatsvinden.

  • Daarnaast zal onderzocht moeten worden welke aanvullende eisen zullen moeten gelden ter bescherming van de persoon die de machtiging verleent. Zo kan worden bepaald dat een machtiging alleen betrekking heeft op nauwkeurig omschreven handelingen en dat de machtiging voor een beperkte periode geldt.38

De Afdeling adviseert het voorstel op deze punten aan te passen.

b. Gebruik van DigiD als elektronische handtekening

DigiD wordt in sommige gevallen gebruikt als elektronische handtekening, bij voorbeeld om de elektronische aangifte inkomstenbelasting te ondertekenen. Bovendien wordt DigiD Machtigen in sommige gevallen gebruikt om namens de gemachtigde een elektronische handtekening te zetten. Voor deze toepassingen lijkt onvoldoende wettelijke grondslag te bestaan.39 Indien het de bedoeling is dat DigiD en andere identificatiemiddelen en middelen voor elektronische machtiging, ook in de toekomst, zullen worden gebruikt als elektronische handtekening, acht de Afdeling het van belang dit wettelijk te regelen.

De Afdeling adviseert het voorstel met dit punt aan te vullen.

6. Verhouding tussen wet en uitvoeringsregelingen

a. Algemeen

In haar advies over het voorstel van Wet modernisering elektronisch bestuurlijk verkeer heeft de Afdeling opgemerkt dat is beoogd het voorstel techniekonafhankelijk vorm te geven, maar dat in dat wetsvoorstel onder de abstracte, moeilijk te begrijpen formuleringen in feite concrete begrippen worden aangeduid. Het gaat dan om begrippen als MijnOverheid, berichtenbox en contact- of webformulieren. De Afdeling adviseerde die begrippen in het voorstel zelf uitdrukkelijk te noemen en de abstracte termen achterwege te laten.40

Het nu voorliggende voorstel is eveneens abstract en techniekonafhankelijk geformuleerd. De uitwerking van de abstracte begrippen wordt gedelegeerd aan lagere regelgeving. Zo zijn begrippen als DigiD, MijnOverheid, DigiD Machtigen en het BSN-Koppelregister geregeld in de (ministeriële) Regeling voorzieningen GDI, die – met aanpassingen – onder het wetsvoorstel zal komen te hangen. Het is aannemelijk dat MijnOverheid en het BSN-Koppelregister, die een centrale plaats innemen in de communicatie tussen overheid en burger, de komende jaren zullen blijven bestaan. Het is meer passend om deze centrale onderdelen van de generieke digitale infrastructuur in de wet zelf te regelen.

De Afdeling adviseert de hoofdzaken van de Regeling voorzieningen GDI in de wet zelf op te nemen.

b. Uitgifte van identificatiemiddelen

De minister van BZK is verantwoordelijk voor de uitgifte van DigiD op niveau laag, en op termijn voor de uitgifte van DigiD op hogere niveaus. Het voorstel geeft hem wel de verantwoordelijkheid voor de generieke digitale infrastructuur, maar niet voor de uitgifte van deze publieke identificatiemiddelen. In lijn met punt 1 van dit advies, waarin wordt benadrukt dat de minister voldoende bevoegdheden moet hebben om zijn verantwoordelijkheid voor het stelsel waar te maken, adviseert de Afdeling de verantwoordelijkheid voor dit centrale onderdeel van het stelsel wettelijk te regelen.

7. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet niet te zenden aan de Tweede Kamer der Staten-Generaal dan nadat met het vorenstaande rekening zal zijn gehouden.

De vice-president van de Raad van State, J.P.H. Donner.

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no. W04.17.0400/I

  • In het wetsvoorstel zelf tot uitdrukking brengen dat het voorstel een eerste tranche van regelgeving voor digitalisering van de overheid bevat (de citeertitel wekt een verwachting die nu nog niet wordt waargemaakt). In de toelichting uitvoeriger ingaan op de volgende tranches dan nu gebeurt (paragraaf I.1 (Aanleiding)).

  • In artikel 1 het begrip ‘elektronische dienstverlening’ vervangen door een neutralere term (bijvoorbeeld elektronische communicatie of elektronisch berichtenverkeer), om te voorkomen dat handelingen zoals het intrekken van een vergunning, het opleggen van een last onder bestuursdwang en het opleggen van een bestuurlijke boete worden gekwalificeerd als dienstverlening.

  • In artikel 1 een definitie opnemen van ‘de voorziening, bedoeld in artikel 5, eerste lid, onderdeel b,’, bijvoorbeeld: elektronische machtiging. Die term kan dan gebruikt worden in de artikelen 8, eerste, tweede en derde lid, en 10, tweede lid.

  • Eén begrip introduceren en definiëren dat zowel bestuursorganen als aangewezen organisaties omvat; de term ‘bestuursorgaan’ niet gebruiken in een betekenis die afwijkt van die in de Algemene wet bestuursrecht (artikel 2, eerste lid).

  • Punt 3 van het advies van de Afdeling advisering van 12 februari 2018 over het Tijdelijk besluit digitale toegankelijkheid overheid, zaak W04.18.0021, in acht nemen bij het aanwijzen van standaarden op basis van artikel 3. Voorts de afbakening van organisaties in artikel 3 afstemmen op artikel 1 van dat Tijdelijk besluit.

  • Artikel 3 onderbrengen in een afzonderlijk hoofdstuk: het artikel regelt een apart onderwerp en betreft een grotere groep organisaties dan de rest van het voorstel.

  • Artikel 4 overbrengen naar en combineren met artikel 6. In het tweede lid regelen aan welke eisen een auditor moet voldoen (de in de wetgeving meeste gebruikelijke betekenis – controleur van jaarrekeningen – zal hier niet zijn bedoeld).

  • De regels voor authenticatiediensten, attributendiensten, machtigingsdiensten en ontsluitende diensten niet opnemen in § 4.3 (Elektronische dienstverlening aan bedrijven), nu die diensten (blijkens de definities in artikel 1) ook gaan over identificatie van of namens natuurlijke personen.

  • Artikel 11, negende lid, uitbreiden tot registers waarin natuurlijke personen zijn opgenomen, nu het blijkens de toelichting op het artikel mede gaat om het BIG-register.

  • In artikel 25 verduidelijken dat bij een experiment alleen kan worden afgeweken van het verbod om andere dan toegelaten middelen te accepteren, nu dat blijkens de toelichting de bedoeling is. Voorts aanwijzing 2.42, tweede lid, met toelichting, van de Aanwijzingen voor de regelgeving (Ar) in acht nemen.

  • Artikel 26 achterwege laten, nu dit al is geregeld (artikel XI, derde lid, van de Wet elektronisch berichtenverkeer belastingdienst).

  • Te zijner tijd de verwijzing naar artikel X van de Wet elektronisch berichtenverkeer belastingdienst in artikel 2:17, tweede lid, van het voorstel van Wet modernisering elektronisch bestuurlijk verkeer vervangen door een verwijzing naar artikel 5 van de Wet digitale overheid.

  • De Regeling voorzieningen GDI omhangen. Voorts een bepaling opnemen waarin de zelfstandige algemene maatregel van bestuur ter implementatie van EU-richtlijn 2016/2102 wordt omgehangen naar artikel 3, tweede en derde lid.

  • Artikel 29, derde lid, zo aanpassen dat het tijdstip waarop de acceptatieplicht (artikelen 7 en 13) ingaat voor de verschillende bestuursorganen en aangewezen organisaties blijkt uit een Staatsblad of de Staatscourant (kenbaarheidsvereiste, vergelijk aanwijzing 4.15 Ar), bijvoorbeeld door te bepalen dat het aansluitschema wordt gepubliceerd in de Staatscourant.

Tekst zoals toegezonden aan de Raad van State: Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben, dat het wenselijk is algemene regels te stellen met het oog op de verdere digitalisering van het openbaar bestuur en daartoe standaarden voor elektronisch verkeer verplicht te stellen, algemene regels te stellen over informatieveiligheid en tevens regels te stellen over de generieke digitale infrastructuur, waaronder elektronische dienstverlening in het publieke en semipublieke domein aan burgers en bedrijven;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goed vinden en verstaan bij deze:

HOOFDSTUK 1. ALGEMEEN

Artikel 1. Definities

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

aangewezen organisatie:

organisatie als bedoeld in artikel 2, tweede lid;

attributen:

kenmerken of gegevens van een natuurlijke persoon, onderneming of rechtspersoon aan de hand waarvan die natuurlijke persoon, onderneming of rechtspersoon ten behoeve van bepaalde elektronische dienstverlening kan worden geïdentificeerd;

attributendienst:

partij die ten behoeve van elektronische dienstverlening een verklaring afgeeft over de kenmerken en gegevens van een natuurlijke persoon, een onderneming of een rechtspersoon;

authenticatie:

elektronisch proces voor de verificatie en bevestiging van de identiteit van een natuurlijke persoon, onderneming of rechtspersoon;

authenticatiedienst:

partij die op basis van een identificatiemiddel een authenticatieverklaring afgeeft;

bedrijfs- en organisatiemiddel:

identificatiemiddel dat wordt uitgegeven aan een onderneming of rechtspersoon als bedoeld in artikel 5 onderscheidenlijk 6 van de Handelsregisterwet 2007 of een op grond van artikel 8, aanhef en onderdeel a, van die wet aangewezen rechtspersoon en waarmee deze onderneming of rechtspersoon toegang kan krijgen tot elektronische dienstverlening;

betrouwbaarheidsniveau:

mate waarin vertrouwen kan worden gesteld in het identificatiemiddel en waarbij wordt voldaan aan de bij of krachtens deze wet en de bij of krachtens de eidas-verordening gestelde criteria aan het betrouwbaarheidsniveau, te onderscheiden in het niveau laag, substantieel en hoog;

eidas-verordening:

Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (Pb EU 2014, L 257) en de krachtens deze verordening vastgestelde uitvoeringshandelingen;

elektronische dienstverlening:

verlening van elektronische diensten aan natuurlijke personen, ondernemingen of rechtspersonen ter uitoefening van een publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt, door een bestuursorgaan als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht of een aangewezen organisatie, waarvoor ingevolge artikel 6, tweede lid, authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is;

identificatiemiddel:

elektronisch middel dat persoonsidentificatiegegevens bevat en gebruikt wordt voor de authenticatie van een natuurlijke persoon, rechtspersoon of onderneming die toegang wenst tot elektronische dienstverlening;

machtigingsdienst:

partij die ten behoeve van toegang tot dienstverlening een elektronische verklaring afgeeft waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon optreedt namens een andere natuurlijke persoon, onderneming of rechtspersoon;

middelenuitgever:

partij die zorg draag voor de uitgifte van erkende bedrijfs- en organisatiemiddelen aan rechtspersonen of ondernemingen;

ontsluitende dienst:

partij die het elektronisch verkeer tussen een bestuursorgaan of aangewezen organisatie en erkende authenticatiediensten, machtigingsdiensten en attributendiensten routeert teneinde toegang tot elektronische dienstverlening te faciliteren;

Onze Minister:

Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties;

privaat identificatiemiddel:

niet van rijkswege uitgegeven aan een natuurlijke persoon, onderneming of rechtspersoon verstrekt identificatiemiddel;

publiek identificatiemiddel:

van rijkswege uitgegeven aan een natuurlijke persoon verstrekt identificatiemiddel;

toegelaten identificatiemiddel:

identificatiemiddel voor een natuurlijke persoon dat is aangewezen ingevolge artikel 9.

Artikel 2. Reikwijdte
  • 1. Voor zover in deze wet, uitgezonderd artikel 3, wordt verwezen naar bestuursorganen, wordt hieronder verstaan bestuursorganen als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht.

  • 2. Voor zover in deze wet wordt verwezen naar aangewezen organisaties, wordt gedoeld op:

    • a. de organisaties behorende tot een in de bijlage bij deze wet aangewezen categorie, en

    • b. de organisaties die bij besluit, als bedoeld in het zesde lid, zijn aangewezen.

  • 3. Voor de toepassing van deze wet worden rechterlijke instanties gelijkgesteld met bestuursorganen en aangewezen organisaties, tenzij bij of krachtens deze wet anders is bepaald. Onder rechterlijke instanties wordt verstaan:

  • 4. Op de voordracht van Onze Minister in overeenstemming met Onze Minister die het mede aangaat, kunnen bij algemene maatregel van bestuur categorieën van organisaties aan de bijlage, bedoeld in het tweede lid onderdeel a, worden toegevoegd indien die categorie elektronische diensten verleent waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is.

  • 5. Op de voordracht van Onze Minister in overeenstemming met Onze Minister die het mede aangaat, kunnen bij algemene maatregel van bestuur categorieën van organisaties van de bijlage, bedoeld in het tweede lid onderdeel a, worden verwijderd indien die categorie niet langer elektronische diensten verleent waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is.

  • 6. Bij besluit van Onze Minister in overeenstemming met Onze Minister die het mede aangaat kan een organisatiedie elektronische diensten verleent waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, voor de toepassing van deze wet worden aangewezen.

  • 7. Bij besluit van Onze Minister in overeenstemming met Onze Minister die het mede aangaat kan de aanwijzing van een organisatie worden ingetrokken indien die organisatie niet langer elektronische diensten verleent waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is.

  • 8. Van een besluit tot aanwijzing of intrekking wordt mededeling gedaan door plaatsing in de Staatscourant.

HOOFDSTUK 2. ALGEMENE REGELS

Artikel 3. Standaarden
  • 1. De volgende organen passen de ingevolge het tweede lid aangewezen standaarden voor elektronisch verkeer toe, voor zover die standaard ingevolge het derde lid op hen van toepassing is:

    • a. bestuursorganen;

    • b. organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Algemene wet bestuursrecht;

    • c. rechtspersonen met een wettelijke taak als bedoeld in artikel 1.1 van de Comptabiliteitswet 2016.

  • 2. Bij algemene maatregel van bestuur kan een standaard worden aangewezen, indien:

    • a. aanwijzing van die standaard noodzakelijk en proportioneel is gelet op de goede werking, de veiligheid, de betrouwbaarheid, de duurzame toegankelijkheid of de doelmatigheid van het elektronische verkeer, dan wel noodzakelijk is ter uitvoering van verdragen of bindende besluiten van volkenrechtelijke organisaties;

    • b. de standaard tot stand is gekomen volgens een voor eenieder toegankelijke procedure, en

    • c. de standaard openbaar toegankelijk en kosteloos bruikbaar is en over de specificaties ervan blijvend vrijelijk kan worden beschikt of waarvan de specificaties blijvend kunnen worden verkregen tegen een redelijke vergoeding.

  • 3. Bij algemene maatregel van bestuur wordt bepaald:

    • a. het functionele toepassingsbereik van een aangewezen standaard,

    • b. de organen waarvoor de verplichting tot toepassing van een aangewezen standaard geldt, en

    • c. de datum waarop de verplichting tot toepassing van een aangewezen standaard ingaat.

Artikel 4. Informatieveiligheid
  • 1. Bestuursorganen en aangewezen organisaties voldoen aan bij of krachtens algemene maatregel van bestuur te stellen regels met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische diensten op verschillende betrouwbaarheidsniveaus.

  • 2. Bestuursorganen en aangewezen organisaties overleggen aan Onze Minister een verklaring van een auditor waaruit blijkt of zij voldoen aan de in het eerste lid bedoelde regels.

  • 3. Bij of krachtens algemene maatregel van bestuur worden regels gesteld over de wijze waarop bestuursorganen en aangewezen organisaties aantonen dat zij aan de regels, bedoeld in het eerste lid, voldoen.

HOOFDSTUK 3. DE GENERIEKE DIGITALE INFRASTRUCTUUR

Artikel 5. Verantwoordelijkheid voor het beheer
  • 1. Teneinde burgers en bedrijven te faciliteren draagt Onze Minister zorg voor de inrichting, beschikbaarstelling, instandhouding, werking en beveiliging van de generieke digitale infrastructuur, waaronder infrastructuur:

    • a. voor de uitgifte aan natuurlijke personen die beschikken over een burgerservicenummer en het gebruik door die personen van publieke identificatiemiddelen op verschillende betrouwbaarheidsniveaus;

    • b. die het mogelijk maakt dat een elektronische verklaring wordt afgegeven waaruit blijkt dat een natuurlijke persoon of rechtspersoon gemachtigd is namens een natuurlijke persoon op te treden bij de toegang tot elektronische dienstverlening;

    • c. die het mogelijk maakt dat identificatiemiddelen door natuurlijke personen worden gebruikt voor de toegangsverlening tot de elektronische diensten van bestuursorganen en aangewezen organisaties;

    • d. die het mogelijk maakt dat een natuurlijke persoon, onderneming of rechtspersoon die een elektronische dienst afneemt bij een bestuursorgaan of aangewezen organisatie aan de hand van een uniek identificerend nummer geïdentificeerd kan worden;

    • e. voor elektronisch berichtenverkeer met en informatieverschaffing aan natuurlijke personen, ondernemingen en rechtspersonen;

    • f. die het mogelijk maakt het stelsel voor identificatie van ondernemingen en rechtspersonen te beheren.

    Onze Minister bevordert de interoperabiliteit tussen deze infrastructuur en de diensten en bedrijfs- en organisatiemiddelen, bedoeld in artikel 11, eerste en tweede lid.

  • 2. Onze Minister draagt zorg voor een voorziening:

    • a. die het mogelijk maakt identificatiemiddelen voor natuurlijke personen, ondernemingen en rechtspersonen, die behoren tot een door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel, op een voor bestuursorganen en aangewezen organisaties toegankelijke wijze te ontsluiten;

    • b. die het mogelijk maakt identificatiemiddelen voor natuurlijke personen, ondernemingen en rechtspersonen, die behoren tot een door Nederland ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel, op een voor openbare instanties als bedoeld in artikel 3 van de eidas-verordening, in andere lidstaten toegankelijke wijze te ontsluiten.

  • 3. Onder toegankelijke wijze van ontsluiten, bedoeld in het tweede lid onder a, wordt mede verstaan toevoeging aan de met de authenticatie van het betrokken identificatiemiddel ontvangen set persoonsidentificatiegegevens van een burgerservicenummer of andere aan de natuurlijke persoon, onderneming of rechtspersoon gekoppelde gegevens, voor zover die gegevens noodzakelijk zijn om de betrokken natuurlijke persoon, onderneming of rechtspersoon ten behoeve van het verrichten van de elektronische dienstverlening in hun systemen te herkennen en voor zover die gegevens niet middels een andere voorziening op betrouwbare wijze toegevoegd kunnen worden aan de bij de toegang met identificatiemiddelen, bedoeld in het tweede lid, onderdeel a, verkregen persoonsidentificatiegegevens.

  • 4. De Dienst Wegverkeer, bedoeld in artikel 4a van de Wegenverkeerswet 1994, draagt namens Onze Minister zorg voor het plaatsen van een publiek identificatiemiddel op betrouwbaarheidsniveau hoog op het rijbewijs. Aan de Dienst Wegverkeer kunnen bij ministeriële regeling overige taken worden opgedragen die samenhangen met het plaatsen van een publiek identificatiemiddel op het rijbewijs.

HOOFDSTUK 4. TOEGANG TOT ELEKTRONISCHE DIENSTVERLENING

§ 4.1 Algemeen
Artikel 6. Betrouwbaarheidsniveaus
  • 1. Bij elektronische dienstverlening waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, verlenen bestuursorganen en aangewezen organisaties uitsluitend toegang tot de dienstverlening indien gebruik wordt gemaakt van identificatiemiddelen die ten minste het voor de betreffende dienstverlening vereiste betrouwbaarheidsniveau hebben.

  • 2. Bestuursorganen en aangewezen organisaties bepalen volgens bij ministeriële regeling te stellen regels voor welke door hen te verlenen elektronische diensten authenticatie op een bepaald betrouwbaarheidsniveau vereist is.

§ 4.2 Elektronische dienstverlening aan burgers
Artikel 7. Acceptatie
  • 1. Bestuursorganen accepteren bij hun elektronische dienstverlening aan natuurlijke personen waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, uitsluitend:

    • a. alle toegelaten identificatiemiddelen,

    • b. elektronische verklaringen als bedoeld in artikel 5, eerste lid, onderdeel b, en

    • c. alle identificatiemiddelen die behoren tot een door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel.

  • 2. Aangewezen organisaties en rechterlijke instanties accepteren bij hun elektronische dienstverlening aan natuurlijke personen waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is uitsluitend:

    • a. alle toegelaten identificatiemiddelen,

    • b. elektronische verklaringen als bedoeld in artikel 5, eerste lid, onderdeel b, en

    • c. onverminderd het bepaalde in artikel 6 van de eidas-verordening, alle identificatiemiddelen die behoren tot een door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel indien dit is bepaald bij besluit van Onze Minister in overeenstemming met Onze Minister die het mede aangaat.

  • 3. Een bestuursorgaan, aangewezen organisatie of rechterlijke instantie kan volgens bij ministeriële regeling te stellen regels voor een welbepaalde doelgroep afwijken van het gestelde in het eerste lid, onderdeel a, respectievelijk het tweede lid onderdeel a, indien acceptatie van niet-toegelaten identificatiemiddelen onder uitsluiting van toegelaten identificatiemiddelen noodzakelijk is gelet op de aard van de dienstverlening of de aard van de doelgroep.

  • 4. Bestuursorganen en aangewezen organisaties accepteren bij hun elektronische dienstverlening aan natuurlijke personen in de uitoefening van beroep of bedrijf waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, ook een toegelaten identificatiemiddel indien en voor zover dit bij regeling van Onze Minister in overeenstemming met Onze Ministers die het aangaat is bepaald.

Artikel 8. Gebruik in publieke domein
  • 1. Een publiek identificatiemiddel en de voorziening, bedoeld in artikel 5, eerste lid, onderdeel b, worden uitsluitend gebruikt voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties.

  • 2. Bij ministeriële regeling kan worden bepaald dat een publiek identificatiemiddel en de voorziening, bedoeld in artikel 5, eerste lid, onderdeel b, tevens voor de toegang tot daarbij bepaalde elektronische diensten, anders dan diensten ter uitoefening van een publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt, van aangewezen organisaties kan worden gebruikt.

  • 3. Bij ministeriële regeling kan Onze Minister in overeenstemming met Onze Minister die het aangaat bepalen dat een publiek identificatiemiddel en de voorziening, bedoeld in artikel 5, eerste lid, onderdeel b, tevens ten behoeve van aangewezen organisaties kan worden gebruikt voor het verlenen van toegang tot een systeem voor de elektronische uitwisseling van gegevens waarbij het burgerservicenummer wordt verwerkt, anders dan een systeem voor elektronische dienstverlening.

Artikel 9. Toelaten van identificatiemiddelen
  • 1. Onze Minister wijst publieke identificatiemiddelen aan als toegelaten identificatiemiddelen op de betrouwbaarheidsniveaus substantieel of hoog indien deze identificatiemiddelen voldoen aan de daartoe gestelde regels ten aanzien van werking, beveiliging en betrouwbaarheid.

  • 2. Onze Minister kan een privaat identificatiemiddel aanwijzen als toegelaten identificatiemiddel op het betrouwbaarheidsniveau substantieel of hoog, indien:

    • a. dit noodzakelijk is voor de beschikbaarheid en toegankelijkheid van elektronische dienstverlening aan natuurlijke personen,

    • b. het identificatiemiddel voldoet aan de hiervoor geldende regels ten aanzien van werking, beveiliging en betrouwbaarheid, en

    • c. de geschiktheid van dit identificatiemiddel in het voorkomende geval is gebleken in een vergelijkende toets op basis van vooraf bekendgemaakte criteria.

  • 3. Een besluit als bedoeld in het tweede lid bevat een omschrijving van het betrouwbaarheidsniveau van het identificatiemiddel en de duur waarvoor de toelating is verleend, de voorschriften die aan de toelating zijn verbonden en, indien van toepassing, de prijs die de houder van de toelating betaalt.

  • 4. Onze Minister is bevoegd tot het wijzigen, schorsen of intrekken van een toelating als bedoeld in het tweede lid.

  • 5. Van een besluit op grond van het eerste, tweede of vierde lid wordt mededeling gedaan door plaatsing in de Staatscourant waarbij het betrouwbaarheidsniveau van het betreffende identificatiemiddel wordt vermeld.

  • 6. Onze Minister stelt beleidsregels vast met betrekking tot de uitoefening van de hem bij of krachtens dit artikel toekomende bevoegdheden.

Artikel 10. Regels ten aanzien van gebruik
  • 1. De gebruiker van een toegelaten identificatiemiddel neemt alle nodige maatregelen om misbruik, diefstal, verlies of verspreiding van zijn identificatiemiddel te voorkomen.

  • 2. Bij ministeriële regeling worden regels gesteld met betrekking tot het gebruik van publieke identificatiemiddelen en de voorzieningen, bedoeld in artikel 5, eerste lid.

§ 4.3 Elektronische dienstverlening aan bedrijven
Artikel 11. Erkenning bedrijfs- en organisatiemiddel en bijbehorende diensten
  • 1. Onze Minister erkent een middelenuitgever met betrekking tot een door die dienst uit te geven bedrijfs- en organisatiemiddel, indien de dienst en het middel voldoen aan de daartoe bij of krachtens algemene maatregel van bestuur gestelde regels.

  • 2. Onze Minister erkent een authenticatiedienst met betrekking tot een door die dienst uit te geven bedrijfs- en organisatiemiddel ofwel met betrekking tot een door een erkend middelenuitgever, waarmee de authenticatiediensten afspraken over het betrokken bedrijfs- en organisatiemiddel heeft gemaakt, uit te geven bedrijfs- en organisatiemiddel, indien de dienst en het middel voldoen aan de daartoe bij of krachtens algemene maatregel van bestuur gestelde regels.

  • 3. Onze Minister erkent een ontsluitende dienst, een machtigingsdienst of een attributendienst indien de dienst voldoet aan de met betrekking tot die dienst bij of krachtens algemene maatregel van bestuur gestelde regels.

  • 4. De regels, bedoeld in het eerste tot en met derde lid, hebben betrekking op de werking, beveiliging en betrouwbaarheid van de diensten of het bedrijfs- en organisatiemiddel en maken waar nodig een onderscheid in de regels voor het betrouwbaarheidsniveau laag, substantieel of hoog. Daarbij kunnen tevens regels worden gesteld over de interoperabiliteit tussen de diensten en bedrijfs- en organisatiemiddelen, bedoeld in het eerste en tweede lid, en de infrastructuur, bedoeld in artikel 5, eerste lid, de voorzieningen, bedoeld in artikel 5, tweede lid, of de toegelaten middelen.

  • 5. Bij of krachtens algemene maatregel van bestuur worden regels gesteld aan de aanvraag om erkenning en de procedure van verlening van erkenning.

  • 6. Bij een aanvraag van een middelenuitgever of een authenticatiedienst om erkenning vermeldt de uitgever of dienst in elk geval met betrekking tot welk bedrijfs- en organisatiemiddel of -middelen hij erkend wil worden en of met dat middel of die middelen authenticatie op het betrouwbaarheidsniveau laag, substantieel of hoog plaatsvindt.

  • 7. Aan een erkenning kunnen voorschriften of beperkingen worden verbonden.

  • 8. Onze Minister kan een aanvraag tot erkenning weigeren indien zwaarwegende redenen zich tegen erkenning verzetten. Van dergelijke zwaarwegende redenen is in elk geval sprake in geval ernstig gevaar bestaat dat de erkenning mede zal worden gebruikt om strafbare feiten te plegen of uit strafbare feiten verkregen of te verkrijgen voordelen te benutten of anderszins de betrouwbaarheid en veiligheid van het Nederlandse stelsel voor elektronische dienstverlening in gevaar komt.

  • 9. In geval een register, dat berust op een wettelijk voorschrift, attributen bevat die van belang zijn voor de identificatie van ondernemingen of rechtspersonen als bedoeld in artikel 13, eerste lid, ten behoeve van bepaalde elektronische dienstverlening op het niveau substantieel of hoog, kan Onze Minister, in overeenstemming met Onze Minister die het mede aangaat, de voor dat register verantwoordelijke dienst aanwijzen als erkende attributendienst.

  • 10. In geval een register, dat berust op een wettelijk voorschrift, van belang is voor elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is namens een onderneming of rechtspersoon als bedoeld in artikel 13, eerste lid, op te treden bij de toegang tot elektronische dienstverlening kan Onze Minister, in overeenstemming met Onze Minister die het mede aangaat, de voor dat register verantwoordelijke dienst aanwijzen als erkende machtigingsdienst.

  • 11. Aan een aanwijzing als bedoeld in het negende en tiende lid, kunnen voorschriften worden verbonden voor zover deze noodzakelijk zijn voor de interoperabiliteit tussen op grond van dit artikel erkende diensten en bedrijfs- en organisatiemiddelen.

Artikel 12. Rechten en plichten voor erkende diensten
  • 1. Een krachtens artikel 11 erkende middelenuitgever of dienst voldoet aan de voor een middelenuitgever of de betrokken dienst bij of krachtens algemene maatregel van bestuur gestelde regels en aan de aan de erkenning of aanwijzing verbonden voorschriften en beperkingen. Een erkende middelenuitgever of authenticatiedienst draagt er bovendien zorg voor dat een door hem uitgegeven erkend bedrijfs- en organisatiemiddel voldoet aan de voor erkende bedrijfs- en organisatiemiddelen bij of krachtens algemene maatregel van bestuur gestelde regels. Artikel 11, vierde lid, is van overeenkomstige toepassing op de te stellen regels.

  • 2. Een erkende ontsluitende dienst ontsluit alle erkende bedrijfs- en organisatiemiddelen, alle door erkende machtigingsdiensten afgegeven elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is namens de onderneming of rechtspersoon, bedoeld in artikel 13, eerste lid, op te treden bij de toegang tot elektronische dienstverlening en alle door een erkende attributendienst verstrekte attributen ter identificatie van de betrokken onderneming of rechtspersoon, bedoeld in artikel 13, eerste lid. Een erkende middelenuitgever, erkende authenticatiedienst, erkende machtigingsdienst en erkende attributendienst verlenen aan een erkende ontsluitende dienst alle benodigde medewerking die voor een goede ontsluiting van een erkend bedrijfs- en organisatiemiddel en een betrouwbare toegang tot de gewenste elektronische dienstverlening noodzakelijk is.

  • 3. Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld over de ontsluiting en medewerking, bedoeld in het tweede lid. Deze regels kunnen in elk geval betrekking hebben op de door de diensten te hanteren tarieven.

  • 4. Een verleende erkenning kan worden ingetrokken of voor een bij dat besluit te bepalen periode worden geschorst indien niet wordt voldaan aan het bepaalde bij of krachtens het eerste, tweede of derde lid.

Artikel 13. Acceptatie bedrijfs- en organisatiemiddelen
  • 1. Dit artikel is van toepassing op elektronische dienstverlening, waarvoor ingevolge de regels, bedoeld in artikel 6, tweede lid, authenticatie op het betrouwbaarheidsniveau substantieel of hoog is vereist, aan ondernemingen of rechtspersonen die ingevolge de Handelsregisterwet 2007 worden of kunnen worden ingeschreven in het handelsregister.

  • 2. Onverminderd de plicht voor bestuursorganen en aangewezen organisaties om toegelaten identificatiemiddelen te accepteren in geval van elektronische dienstverlening aan natuurlijke personen, voor zover zij een onderneming drijven, accepteren bestuursorganen en aangewezen organisaties bij de toegang tot hun elektronische dienstverlening tevens alle en uitsluitend door erkende middelenuitgevers en erkende authenticatiediensten uitgegeven bedrijfs- en organisatiemiddelen, door erkende machtigingsdiensten afgegeven elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is namens de onderneming of rechtspersoon op te treden bij de toegang tot elektronische dienstverlening en alle door een erkende attributendienst verstrekte attributen ter identificatie van de betrokken onderneming of rechtspersoon. Bestuursorganen en aangewezen organisaties accepteren in elk geval een van de op grond van artikel 11, derde lid, erkende ontsluitende diensten.

  • 3. De plicht, bedoeld in het tweede lid, om uitsluitend de daar genoemde identificatiemiddelen, verklaringen en attributen te accepteren, is niet van toepassing ten aanzien van:

    • a. het aanmaken van en de toegang tot een beveiligde elektronische postbus die deel uitmaakt van de elektronische omgeving van het centraal loket, bedoeld in artikel 1 van de Dienstenwet, voor een dienstenverrichter als bedoeld in artikel 1 van de Dienstenwet, die niet in Nederland gevestigd is;

    • b. elektronische dienstverlening die plaatsvindt via het centraal loket, bedoeld in artikel 1 van de Dienstenwet, mits de voor deze dienstverlening benodigde elektronische gegevens door de dienstverrichter zijn voorzien van een elektronische handtekening.

  • 4. Een bestuursorgaan of aangewezen organisatie kan, in afwijking van artikel 7, eerste lid, onderdeel a, onderscheidenlijk tweede lid, onderdeel a, een natuurlijk persoon die een onderneming drijft en bij de toegang tot elektronische dienstverlening gebruik maakt van een toegelaten identificatiemiddel, de toegang tot elektronische dienstverlening weigeren, indien aan dat middel het voor de dienstverlening noodzakelijke nummer ter identificatie van de onderneming niet is verbonden.

  • 5. In geval ten behoeve van elektronische dienstverlening door een bestuursorgaan of aangewezen organisatie aan een specifieke doelgroep het gebruik van een ander bedrijfs- of organisatiemiddel dan een erkend bedrijfs- of organisatiemiddel gewenst is, gelet op de aard van de dienstverlening of de aard van het door de doelgroep uitgeoefende bedrijf of beroep, kan Onze Minister een bedrijfs- of organisatiemiddel aanwijzen dat voor een bij dat besluit te bepalen periode tevens voor de toegang tot die dienstverlening gebruikt mag worden.

  • 6. Bij het besluit, bedoeld in het vijfde lid, wordt bepaald op welke dienstverlening, beroepsgroep en bestuursorganen of aangewezen organisaties de aanwijzing betrekking heeft. Aan het besluit kunnen voorschriften worden verbonden.

  • 7. Een besluit als bedoeld in het vijfde lid wordt niet genomen ten aanzien van een bedrijfs- of organisatiemiddel dat niet voldoet aan de voor het betrouwbaarheidsniveau substantieel of hoog gestelde eisen ten aanzien van veiligheid en betrouwbaarheid.

  • 8. Dit artikel laat onverlet de plicht, bedoeld in artikel 6 van de eidas-verordening, tot wederzijdse erkenning van een identificatiemiddel dat behoort tot een door een andere lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld stelsel, voor zover een bestuursorgaan of aangewezen organisatie is aan te merken als openbare instantie als bedoeld in artikel 3, onderdeel 7, van de eidas-verordening.

HOOFDSTUK 5. BESCHERMING VAN PERSOONSGEGEVENS

Artikel 14. Bescherming persoonsgegevens
  • 1. Onze Minister, alsmede bestuursorganen en aangewezen organisaties verwerken persoonsgegevens, waaronder het burgerservicenummer, voor zover dit noodzakelijk is voor de goede uitvoering van hun taken en verplichtingen ingevolge deze wet, in het bijzonder het bieden van goede en veilige toegang tot elektronische dienstverlening en het voorkomen van misbruik of oneigenlijk gebruik van de toegang tot elektronische dienstverlening.

  • 2. Voor zover dit noodzakelijk is voor de werking van het private identificatiemiddel dat ingevolge artikel 9, tweede lid, is toegelaten en goede en veilige toegang met dat middel tot elektronische dienstverlening, verwerkt een houder van een toelating persoonsgegevens, waaronder het burgerservicenummer.

  • 3. Voor zover dit noodzakelijk is voor de werking van het bedrijfs- en organisatiemiddel en goede en veilige toegang met dat middel tot elektronische dienstverlening, verwerkt een erkende middelenuitgever, een erkende authenticatiedienst, een erkende ontsluitende dienst, een erkende machtigingsdienst of een erkende attributendienst persoonsgegevens, waaronder het burgerservicenummer.

  • 4. Bij algemene maatregel van bestuur worden regels gesteld over de persoonsgegevens die worden verwerkt, aan wie deze gegevens worden verstrekt en hoe lang deze worden bewaard.

HOOFDSTUK 6. NALEVING

Artikel 15. Toezicht op de naleving
  • 1. Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 3 door overheidsorganen op het niveau van het Rijk en van het bepaalde bij of krachtens de artikelen 6, 7, 8, eerste lid, en 13 door bestuursorganen op het niveau van het Rijk en door de aangewezen organisaties zijn belast de bij besluit van Onze Minister die het aangaat aangewezen ambtenaren.

  • 2. Met het toezicht op de naleving van het bepaalde bij of krachtens de artikelen 3, 6, 7, 8, eerste lid en 13 door bestuursorganen op het niveau van de provincies zijn belast de bij besluit van Onze Minister aangewezen ambtenaren.

  • 3. Gedeputeerde staten verstrekken aan Onze Minister gegevens en inlichtingen over de naleving van het bepaalde bij of krachtens de artikelen 3, 6, 7, 8, eerste lid, en 13 door bestuursorganen op het niveau van de gemeenten en de waterschappen.

  • 4. Met het toezicht op de naleving van de krachtens artikel 9, derde lid, aan de houder van een toelating opgelegde verplichtingen zijn belast de bij besluit van Onze Minister aangewezen ambtenaren.

  • 5. Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 12 zijn belast de bij besluit van Onze Minister aangewezen ambtenaren.

  • 6. Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 4 en de regels, gesteld bij of krachtens artikel 8, tweede en derde lid, zijn belast de bij besluit van Onze Minister aangewezen ambtenaren.

  • 7. Van een besluit als bedoeld in het eerste, tweede, vierde en vijfde lid wordt mededeling gedaan door plaatsing in de Staatscourant.

  • 8. Onze Minister is bevoegd tot het opleggen van een last onder bestuursdwang ter handhaving van de krachtens artikel 9 derde lid opgelegde verplichtingen. Onze Minister kan degene die handelt in strijd met het bepaalde bij of krachtens artikel 9 derde lid een bestuurlijke boete opleggen van ten hoogste het bedrag dat is vastgesteld voor de vijfde categorie, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht, per overtreding die is begaan.

  • 9. Onze Minister is bevoegd tot het opleggen van een last onder bestuursdwang ter handhaving van het bepaalde bij of krachtens artikel 12, eerste, tweede en derde lid.

  • 10. Onze Minister kan degene die handelt in strijd met het bepaalde bij of krachtens artikel 12, eerste, tweede of derde lid, daartoe opdracht heeft gegeven of feitelijk leiding geeft aan de rechtspersoon die in strijd met het bepaalde bij of krachtens artikel 12, eerste, tweede of derde lid, een bestuurlijke boete opleggen van ten hoogste het bedrag dat is vastgesteld voor de vijfde categorie, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht, per overtreding die is begaan.

Artikel 16. Bijzondere bevoegdheden
  • 1. Onze Minister kan de toegang tot elektronische dienstverlening van een bestuursorgaan of een aangewezen organisatie onderbreken of doen onderbreken indien sprake is van:

    • a. een ernstige storing of ernstige aantasting van de werking, beveiliging of betrouwbaarheid van de elektronische dienstverlening,

    • b. misbruik of oneigenlijk gebruik van de toegang tot elektronische dienstverlening, of

    • c. ernstige niet-naleving door het betrokken bestuursorgaan of de betrokken aangewezen organisatie van het bij of krachtens de artikelen 4, 7, 8, 13 en 19 bepaalde.

  • 2. Een bestuursorgaan of een aangewezen organisatie stelt Onze Minister onverwijld in kennis van een inbreuk op de beveiliging of de integriteit van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening. Het bestuursorgaan of de aangewezen organisatie verstrekt daarbij alle benodigde informatie.

  • 3. De desbetreffende toezichthouder stelt Onze Minister onverwijld in kennis van ernstige niet-naleving door een bestuursorgaan of aangewezen organisatie van het bij of krachtens de artikelen 4, 7, 8 en 13 bepaalde. De toezichthouder verstrekt daarbij alle benodigde informatie.

  • 4. Onze Minister kan de toegang tot elektronische dienstverlening via een welbepaald toegelaten identificatiemiddel onderbreken of doen onderbreken bij het vermoeden van misbruik of oneigenlijk gebruik van het desbetreffende middel.

  • 5. Onze Minister kan de toegang tot elektronische dienstverlening via een bij dat besluit te bepalen erkend bedrijfs- en organisatiemiddel onderbreken bij het vermoeden van misbruik of oneigenlijk gebruik van het desbetreffende middel.

Artikel 17. Informatieverstrekking
  • 1. Bestuursorganen en aangewezen organisaties, aanbieders van een toegelaten identificatiemiddel en op grond van artikel 11 erkende middelenuitgevers en diensten verstrekken aan Onze Minister desgevraagd de gegevens en inlichtingen die hij nodig heeft om maatregelen te kunnen nemen om inbreuk op de veilige en betrouwbare toegang tot elektronische dienstverlening te voorkomen of beëindigen.

  • 2. Onze Minister verstrekt gegevens en inlichtingen aan bestuursorganen en aangewezen organisaties, aan de aanbieder van een toegelaten identificatiemiddel of aan een ingevolge artikel 11 erkende middelenuitgever of dienst over de inbreuk op de veilige en betrouwbare toegang tot elektronische dienstverlening voor zover dit noodzakelijk is voor een goede uitoefening van hun taken of te verlenen diensten in het kader van deze wet.

HOOFDSTUK 7. FINANCIËLE BEPALINGEN

Artikel 18. Leges voor verstrekking publiek identificatiemiddel
  • 1. De kosten die het Rijk maakt samenhangend met de productie en de verstrekking van een publiek identificatiemiddel worden door het Rijk ten laste gebracht van de verkrijger van dit middel.

  • 2. Bij ministeriële regeling wordt, voor zover deze vergoeding niet krachtens een andere wet wordt vastgesteld, per publiek identificatiemiddel het bedrag ter vergoeding van de kosten, bedoeld in het eerste lid, vastgesteld en kan de wijze van betaling worden vastgesteld.

Artikel 19. Doorberekening kosten

De kosten die het Rijk maakt samenhangend met de uitvoering van de artikelen 5 en 9 worden door Onze Minister ten laste gebracht van de bestuursorganen en aangewezen organisaties. Bij ministeriële regeling worden hierover regels gesteld.

Artikel 20. Doorberekening aanvraag erkenning en toezicht op naleving erkenningseisen
  • 1. Onze Minister kan een heffing opleggen ter vergoeding van kosten overeenkomstig een door hem vastgesteld tarief ter zake van de volgende handelingen:

    • a. de behandeling van een aanvraag tot erkenning als bedoeld in artikel 11;

    • b. het toezicht op de naleving van het bepaalde bij of krachtens artikel 12.

  • 2. Bij of krachtens algemene maatregel van bestuur worden regels gesteld over de hoogte en het opleggen van de heffing.

HOOFDSTUK 8. SLOTBEPALINGEN

Artikel 21. Evaluatie

Onze Minister zendt binnen vijf jaar na de inwerkingtreding van deze wet aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk. In het bijzonder wordt hierbij aandacht geschonken aan de getroffen maatregelen op het gebied van beveiliging en privacybescherming.

Artikel 22. Overgangsrecht bedrijfs- en organisatiemiddel
  • 1. Een bedrijfs- en organisatiemiddel dat onmiddellijk voor inwerkingtreding van deze wet behoorde tot een privaat stelsel van afspraken aangaande elektronische toegangsdiensten en dat wordt uitgegeven door een middelenuitgever of authenticatiedienst die ten behoeve van deelname aan dat stelsel voor inwerkingtreding van deze wet contractuele afspraken heeft gemaakt met de Staat, wordt gedurende een periode van 18 maanden, gerekend van de dag na inwerkingtreding van deze wet, geacht erkend te zijn op grond van artikel 11, eerste, onderscheidenlijk tweede lid.

  • 2. Een ontsluitende dienst, een machtigingsdienst of een attributendienst die voor inwerkingtreding van deze wet behoorde tot een privaat stelsel van afspraken aangaande elektronische toegangsdiensten en die daartoe voor inwerkingtreding van deze wet contractuele afspraken heeft gemaakt met de Staat, wordt gedurende een periode van 18 maanden, gerekend van de dag na inwerkingtreding van deze wet, geacht erkend te zijn op grond van artikel 11, derde lid.

  • 3. Een bedrijfs- of organisatiemiddel dat voor inwerkingtreding van artikel 11 werd gebruikt voor elektronische dienstverlening door een bestuursorgaan of aangewezen organisatie aan een specifieke doelgroep, gelet op de aard van de dienstverlening of de aard van het door de doelgroep uitgeoefende bedrijf of beroep, wordt geacht op grond van artikel 13, vijfde lid, aangewezen te zijn gedurende een periode van ten hoogste 18 maanden, gerekend van de dag na inwerkingtreding van deze wet. Deze erkenning van rechtswege vervalt na 18 maanden, gerekend van de dag na inwerkingtreding van deze wet, of zoveel eerder als Onze Minister dat middel op grond van artikel 13, vijfde lid, heeft aangewezen.

Artikel 23. Overgangsrecht toegelaten privaat middel

Een voor inwerkingtreding van artikel 9 tot stand gekomen overeenkomst inzake de toelating van een privaat identificatiemiddel die door Onze Minister als zodanig is aangemerkt, wordt voor de toepassing van deze wet aangemerkt als een besluit tot toelating als bedoeld in artikel 9, tweede lid. Artikel 9, vijfde lid, is van overeenkomstige toepassing.

Artikel 24. Overgangsrecht betrouwbaarheidsniveaus

Tot vier jaar respectievelijk zeven jaar, of een bij koninklijk besluit te bepalen eerder tijdstip na de inwerkingtreding van artikel 6 van deze wet, is het toegestaan voor elektronische dienstverlening waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, toegang tot die dienstverlening toe te staan indien gebruik wordt gemaakt van door Onze Minister aangewezen identificatiemiddelen die het betrouwbaarheidsniveau laag respectievelijk substantieel hebben. Artikel 9, vijfde en zesde lid, zijn van overeenkomstige toepassing. Bij ministeriële regeling kunnen ter zake nadere regels worden gesteld.

Artikel 25. Innovatie
  • 1. Bij algemene maatregel van bestuur kan bij wijze van experiment, met het oog op het onderzoeken van nieuwe methoden waarmee authenticatie doeltreffender en veiliger kan plaatsvinden, worden afgeweken van het bepaalde in artikel 7, eerste lid, onderdeel a.

  • 2. Bij toepassing van het eerste lid wordt geregeld door welke bestuursorganen of aangewezen organisaties, op welke wijze en gedurende welke periode van de wet wordt afgeweken.

  • 3. Een experiment als bedoeld in het eerste lid duurt ten hoogste vier jaar.

HOOFDSTUK 9. WIJZIGING ANDERE WETTEN EN REGELINGEN

Artikel 26. Vervallen artikel X van de Wet Elektronisch berichtenverkeer Belastingdienst

Artikel X van de Wet Elektronisch berichtenverkeer Belastingdienst vervalt.

Artikel 27. Wijziging Wegenverkeerswet 1994

De Wegenverkeerswet 1994 wordt als volgt gewijzigd:

A

Artikel 107, derde lid, komt te luiden:

  • 3. Op het rijbewijs wordt, indien de aanvrager:

    • a. als ingezetene is ingeschreven in de basisregistratie personen:

      • 1°. het in de basisregistratie opgenomen burgerservicenummer, bedoeld in artikel 1, onderdeel b, van de Wet algemene bepalingen burgerservicenummer, vermeld op de bij ministeriële regeling vastgestelde wijze, en

      • 2°. overeenkomstig bij ministeriële regeling gegeven regels een publiek identificatiemiddel als bedoeld in artikel 5, vierde lid, van de Wet digitale overheid geplaatst, dan wel

    • b. niet als ingezetene is ingeschreven in de basisregistratie personen een bij ministeriële regeling vastgestelde aanduiding vermeld.

B

1. In artikel 111, vijfde lid, tweede volzin, wordt na ‘tarief’ ingevoegd: , dat in die gevallen mede betrekking heeft op de door de Dienst Wegverkeer gemaakte kosten met betrekking tot het publieke identificatiemiddel, bedoeld in artikel 5, vierde lid, van de Wet digitale overheid.

2. In artikel 111 wordt na het zesde lid een lid ingevoegd, luidende:

  • 7. Aan de houder van een publiek identificatiemiddel op een rijbewijs dat is uitgegeven voor inwerkingtreding van de Wet digitale overheid en dat geactiveerd wordt na inwerkingtreding daarvan, wordt een bij ministeriële regeling te bepalen tarief in rekening gebracht.

C

In artikel 121, eerste lid, wordt na ‘aflevering van rijbewijzen’ ingevoegd: en het publieke identificatiemiddel, bedoeld in artikel 5, vierde lid, van de Wet digitale overheid.

D

In artikel 126 wordt na het derde lid een lid ingevoegd, luidende:

  • 3a. In het kader van het register verwerkt de Dienst Wegverkeer voorts gegevens omtrent de op het rijbewijs geplaatste publieke identificatiemiddel als bedoeld in artikel 5, vierde lid, van de Wet digitale overheid.

Artikel 28. Omhangen

Na de inwerkingtreding van deze wet berust het Besluit verwerking persoonsgegevens generieke digitale infrastructuur op artikel 14, vierde lid, van deze wet.

Artikel 29. Inwerkintreding
  • 1. Onder toepassing van artikel 12, eerste lid, van de Wet raadgevend referendum treden de artikelen 3 en 18 van deze wet in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin zij wordt geplaatst.

  • 2. De overige artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. In dat besluit wordt zo nodig toepassing gegeven aan artikel 12, eerste lid, van de Wet raadgevend referendum.

  • 3. Onverminderd de inwerkingtreding van de artikelen 7 en 13 op grond van een koninklijk besluit, bedoeld in het tweede lid, zijn de in die artikelen opgenomen acceptatieplichten voor een bestuursorgaan of aangewezen organisatie niet eerder van toepassing dan nadat dat bestuursorgaan of die aangewezen instantie kan worden aangesloten op de in artikel 5, eerste en tweede lid bedoelde infrastructuur en voorzieningen overeenkomstig het bij regeling van Onze Minister, gehoord onze Ministers die het mede aangaat, op te stellen aansluitschema. Het aansluitschema kan erin voorzien dat de acceptatieplichten voor verschillende diensten van een bestuursorgaan of aangewezen organisatie op verschillende momenten van toepassing worden.

Artikel 30. Citeertitel

Deze wet wordt aangehaald als: Wet digitale overheid.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,

Bijlage bij artikel 2, tweede lid, onder a, van de Wet digitale overheid

  • 1. Instellingen voor hoger onderwijs in de zin van artikel 1.1, onderdeel e, van de Wet op het hoger onderwijs en wetenschappelijk onderzoek.

  • 2. De pensioenuitvoerders, bedoeld in artikel 1 van de Pensioenwet

  • 3. De categorieën van zorgaanbieders, categorieën van indicatieorganen en categorieën van zorgverzekeraars die vallen onder de Wet gebruik burgerservicenummer in de zorg, voor de handelingen die verband houden met zorg in de zin van die wet, of uitvoerders of verzekeraars die krachtens bedoelde wet zijn aangewezen als zorgaanbieders, respectievelijk zorgverzekeraars in de zin van deze wet, voor handelingen die krachtens bedoelde wet zijn aangewezen als zorg in de zin van die wet.

MEMORIE VAN TOELICHTING

1. Inleiding

1.1. Aanleiding

Nederland digitaliseert. Steeds meer diensten worden via online transacties geleverd. Ook de overheid moet moderniseren en gaat mee in deze ontwikkeling. Het Regeerakkoord 2017 – 2021 benadrukt dat aanpassing aan de digitale samenleving van de overheid niet alleen noodzakelijk is, maar dat het ook mogelijkheden biedt voor een betere dienstverlening. Het kabinet ontwikkelt daartoe een ambitieuze, brede agenda voor de verdere digitalisering van het openbaar bestuur op verschillende niveaus. Het onderhavige wetsvoorstel past in die ambitie en legt de basis voor die verdere digitalisering, waaronder regulering van de digitale overheid en meer in het bijzonder de generieke digitale voorzieningen in een gemeenschappelijke infrastructuur van de overheid. Dit wetsvoorstel vormt een eerste tranche van regelgeving ten behoeve van de verdere digitalisering van de overheid op de verschillende niveaus. Het wetsvoorstel bevat de meest urgente onderwerpen van regelgeving, te weten:

  • de bevoegdheid om bepaalde standaarden te verplichten in het elektronisch verkeer van de overheid;

  • het stellen van regels over informatieveiligheid;

  • de verantwoordelijkheid voor het beheer van de voorzieningen en diensten binnen de generieke digitale overheidsinfrastructuur (GDI);

  • de digitale toegang tot publieke dienstverlening voor burgers (natuurlijke personen) en bedrijven (rechtspersonen en ondernemingen).

Het wetsvoorstel bevat kaders voor verdere ontwikkeling op basis van de hiervoor genoemde, thans meest noodzakelijke maatregelen, maar biedt nadrukkelijk de basis voor verdere uitbreiding en verdere modernisering. Daarvoor bevat het wetsvoorstel vooral kaders die kunnen worden uitgewerkt in nadere regelgeving, die snel aangepast kan worden om ruimte te bieden voor verdere ontwikkeling van de digitale overheid en biedt ruimte voor innovatie.

Standaarden

Alhoewel in de praktijk in het elektronisch verkeer reeds veelvuldig gebruik wordt gemaakt van open standaarden en hierover ook instructies en afspraken bestaan, acht de regering het, nu op dit moment de mogelijkheid bestaat om van deze standaarden af te wijken, gewenst dat de overheden in bepaalde gevallen verplicht kunnen worden om deze standaarden te gebruiken. Het wetsvoorstel bevat een grondslag om bij algemene maatregel van bestuur open standaarden aan te wijzen die overheden dienen te hanteren in het elektronisch verkeer met andere overheden, met burgers en met bedrijven. De aanwijzing van een standaard kan plaatsvinden indien dit noodzakelijk en proportioneel is gelet op de goede werking, veiligheid, betrouwbaarheid of de doelmatigheid van het elektronisch verkeer, of dit voortvloeit uit verdragen of besluiten van volkenrechtelijke organisaties. De grondslag is mede noodzakelijk ter implementatie van de Europese richtlijn inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties.1

Informatiebeveiliging

Door de vergaande digitalisering van processen in de samenleving, waaronder processen bij de rijksoverheid en medeoverheden, is de beveiliging van (digitale) informatie en ICT-systemen van essentieel belang. Informatiestromen beperken zich daarbij niet tot de eigen organisaties; er is sprake van ketens. Burgers, bedrijven, bestuursorganen en aangewezen organisaties moeten er op kunnen vertrouwen dat partijen in de keten hun informatiebeveiliging goed op orde hebben en beschikbaarheid, integriteit en vertrouwelijkheid (klassieke informatiebeveiliging) alsmede authenticiteit, onweerlegbaarheid, transparantie en flexibiliteit borgen. De stand van zaken met betrekking tot de informatiebeveiliging moet daarnaast controleerbaar of auditbaar zijn, zodat zo nodig passende maatregelen kunnen worden getroffen of verantwoording kan worden afgelegd.

Informatiebeveiliging staat bij de op grond van dit wetsvoorstel vast te stellen uitvoeringsregelgeving en bij het (functioneel) ontwerp van de toegang tot elektronische dienstverlening centraal. De publieke voorzieningen en identificatiemiddelen dienen dan ook te voldoen aan strenge eisen ten aanzien van werking, veiligheid en betrouwbaarheid. Dit betekent dat de minister terzake een beheersbaar risico moet realiseren en moet kunnen aantonen dat hij redelijkerwijs passende maatregelen heeft genomen om de risico’s te beperken.

Ook bestuursorganen en aangewezen organisaties moeten voldoen aan eisen voor de beveiliging van de eigen onderliggende systemen, teneinde veilige toegang tot elektronische diensten mogelijk te maken. Bij informatiebeveiliging gaat het om het managen van risico’s in geautomatiseerde en onderling afhankelijke processen en ketens. Informatiebeveiliging behelst een samenstel van strategische, tactische en operationele maatregelen om processen en ketens zodanig in te richten dat de goede werking, beschikbaarheid, veiligheid, vertrouwelijkheid en betrouwbaarheid zoveel mogelijk is gewaarborgd, alsmede het afleggen van verantwoording over de genomen maatregelen. De maatregelen worden door de dienstverleners getroffen en onderhouden op basis van een daartoe door hen vast te stellen informatiebeveiligingsbeleid en daaruit voortvloeiende informatiebeveiligingsplannen. De informatiebeveiligingsmaatregelen (zoals technische toegangsbeveiliging en scheiding van verantwoordelijkheden) worden opgenomen in de genoemde plannen en worden op basis van risicoanalyse geselecteerd en geïmplementeerd om de doelmatigheid en proportionaliteit van de maatregelen te realiseren. Teneinde de veiligheid, betrouwbaarheid en continuïteit te borgen kunnen de maatregelen tussentijds worden aangepast indien daartoe aanleiding bestaat. Doel is inbreuken op en aantastingen van de (technische) beveiliging dan wel de processen ten behoeve van deze toegang te voorkomen. Om dit te realiseren wordt bij het stellen van nadere regels op basis van het wetsvoorstel in ieder geval aansluiting gezocht bij de geldende rijksbrede informatieveiligheidsnormen en bij de (open) standaarden die op grond van het wetsvoorstel bij algemene maatregel van bestuur zullen worden aangewezen.

1.2. Het beheer van de GDI

Het wetsvoorstel verankert de verantwoordelijkheid van de Minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) voor het beheer van het geheel van voorzieningen inzake de generieke digitale infrastructuur (GDI). Het gaat hierbij om (ICT-)voorzieningen die overheden,(semi)publieke organisaties en bepaalde organisaties die het burgerservicenummer verwerken in staat stellen hun primaire (digitale) processen doelmatig in te richten. De GDI is naar zijn aard niet organisatie-, sector- of domeinspecifiek. De GDI is een dynamisch geheel dat continu wordt doorontwikkeld, aangepast en uitgebreid. Het wetsvoorstel geeft een niet-limitatieve opsomming van voorzieningen die functioneren binnen de context van de overige bepalingen van dit wetsvoorstel, inzake veiliger en betrouwbaarder elektronische publieke dienstverlening en de elektronische toegang daartoe. In het wetsvoorstel is de GDI (functioneel) omschreven welke taken de Minister in dit verband in ieder geval heeft. De GDI zal op basis van technologische ontwikkelingen of nieuwe inzichten gewijzigd worden door het toevoegen van nieuwe (functionaliteiten van) generieke voorzieningen of door het uitfaseren van bestaande voorzieningen.2 Op termijn kunnen ook andere onderdelen van de GDI in deze wet worden geregeld. De intentie is dat de komende jaren voorzieningen worden (door)ontwikkeld of afgebouwd, en dat nieuwe functionaliteiten aan de voorzieningen worden toegevoegd.3

1.3. Elektronische identificatie (eID)

Elektronische dienstverlening vergt (de beschikbaarheid van) oplossingen om de identiteit van natuurlijke personen, ondernemingen en rechtspersonen op een betrouwbare wijze digitaal vast te kunnen stellen. Dit wetsvoorstel codificeert de huidige verantwoordelijkheden van de minister van BZK ten behoeve van de werking van de infrastructuur voor authenticatie in het publieke domein door burgers en bedrijven. De minister draagt onder meer zorg voor de beschikbaarheid van inlogmiddelen voor burgers, op een hoger betrouwbaarheidsniveau dan het huidige DigiD, zodat diensten die een hoge of zeer hoge mate van betrouwbaarheid vereisen ook digitaal kunnen worden verleend. De voorgestelde wet bevat het instumentarium om te bevorderen dat in 2020 alle actieve DigiD gebruikers – thans ruim 13,5 miljoen burgers – beschikken over een elektronisch identificatiemiddel op het betrouwbaarheidsniveau substantieel of hoog. Dit wetsvoorstel verplicht bestuursorganen en aangewezen organisaties, vanwege het feit dat een groot deel ervan een publieke taak uitoefent in het spraakgebruik ook wel aangeduid als ‘(semi)publieke dienstverleners’ of kortweg ‘dienstverleners’, voor hun elektronische diensten waarvoor, gelet op de aard ervan veilige toegang in de rede ligt, het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ gebruiken. De verplichtingen gelden ook voor daartoe aangewezen private organisaties, die elektronische diensten verlenen aan burgers of bedrijven waarvoor een veilige en betrouwbare authenticatie essentieel is, zoals bij zorgverzekeraars en pensioenuitvoerders.

Dit wetsvoorstel strekt er tevens toe dat de digitale toegang tot dienstverlening van bestuursorganen en aangewezen organisaties generiek wordt ingericht zodat burgers en bedrijven met één of meer generieke identificatiemiddelen overheidsbreed en op een passend betrouwbaarheidsniveau toegang kunnen krijgen tot elektronische diensten.

2. Standaarden

2.1. Inleiding

Standaardisering is randvoorwaardelijk om te kunnen communiceren.4 In de fysieke wereld wordt bijvoorbeeld door middel van het Internationale Stelsel van Eenheden overal ter wereld hetzelfde verstaan onder bepaalde maten, waardoor een meter overal even lang is. Net zoals bij de fysieke infrastructuur is het essentieel om afspraken te maken waar de gebruikers van de digitale infrastructuur zich aan moeten houden. ICT-standaarden zijn afspraken vastgelegd in een specificatiedocument. Ze beschrijven hoe gegevens eruitzien, wat ze betekenen en hoe ze kunnen worden uitgewisseld. Door standaarden te gebruiken, begrijpen communicerende partijen hoe gegevens moeten worden geïnterpreteerd, zodat applicaties of andere softwarecomponenten elkaars gegevens volledig en correct kunnen verwerken. Zonder afspraken in de vorm van standaarden loopt het digitale verkeer vast, is het verkeer minder veilig en kost het deelnemen aan het verkeer onnodig veel geld.

Overheidsverkeer langs de elektronische weg moet veilig, betaalbaar en betrouwbaar zijn. Het elektronische verkeer kan zich van en naar burgers en ondernemers begeven of richting andere overheidsorganisaties. Voor elektronisch verkeer over de organisatiegrenzen heen is het noodzakelijk dat de ICT-systemen van samenwerkende overheidsorganisaties elkaar kunnen verstaan en probleemloos op elkaar aansluiten, ook al zijn de ICT-systemen afkomstig van verschillende leveranciers. Hiervoor zijn ICT-standaarden noodzakelijk.

Standaardiseren reduceert de kosten voor communicatie, doordat overheidsorganisaties in verschillende ketens met elkaar samen kunnen werken en elkaars gegevens kunnen hergebruiken, zonder burgers en bedrijven met uitvragen naar dezelfde informatie te belasten en daarmee verminderen de administratieve lasten. Door overheidsbreed dezelfde standaarden toe te passen, wordt het aantal koppelvlakken van ICT-systemen en daarmee de kosten voor communicatie beperkt. Het niet standaardiseren door slechts enkele overheidsorganisaties, jaagt andere organisaties onevenredig op kosten. Het kostenbesparend effect van standaardisering blijkt bijvoorbeeld uit het feit dat het bij de Kamer van Koophandel deponeren van de jaarrekening met Standard Business Reporting in gegevensformaat XBRL, een open standaard, op jaarbasis tientallen miljoenen euro’s bespaart.5

2.2. De noodzaak van het gebruik van open standaarden

Standaardiseren zonder meer levert echter nieuwe problemen op, zoals leveranciersafhankelijkheid en het gebrek aan kostenbeheersing. Om de kosten te kunnen beheersen, moeten overheidsorganisaties bij het aanschaffen van nieuwe software of ICT-systemen over keuzevrijheid beschikken. Het gebruik van open standaarden draagt bij aan keuzevrijheid voor de ICT-gebruiker, doordat de implementatie van deze standaarden het eenvoudiger maakt om over te stappen op een andere producent met een ander softwareproduct als daar aanleiding toe is hetgeen de mededinging ten goede komt. De specificaties van open standaarden zijn vrij of eventueel tegen een redelijke vergoeding opvraagbaar. Deze standaarden worden ontwikkeld en beheerd op een open en toegankelijke manier en zijn vrij van licentierechten te gebruiken. Daarentegen kan de toepassing van gesloten standaarden – naast mogelijke kosten voor gebruik in verband met octrooien – met zich meebrengen dat de gebruiker min of meer gedwongen is om producten van dezelfde producent af te nemen, omdat alleen op die wijze opgeslagen data bruikbaar blijft of het uitwisselen van gegevens dan op de minste problemen stuit. Overstappen op een andere producent kan gepaard gaan met hoge kosten om deze problemen op te lossen voor zover dat mogelijk is, waardoor overstappen op een beter of goedkoper softwareproduct niet vanzelfsprekend is. Uit het rapport ‘Meting Open Standaardenbeleid Onderwijs’ blijkt bijvoorbeeld dat veel instellingen knelpunten ervaren met betrekking tot de afhankelijkheid van leveranciers en de gegevensuitwisseling.6

Het opslaan van overheidsinformatie in open standaarden maakt het waarschijnlijker dat de informatie in de toekomst nog beschikbaar zal zijn, omdat de ICT-gebruiker daardoor niet op een specifieke leverancier is aangewezen om de documenten na een softwarewijziging raadpleegbaar te houden. Applicaties worden namelijk slechts een beperkte tijd door de producent ondersteund en als de oude applicatie op een gesloten standaard is gebaseerd, hangt het van de ICT-leverancier af of de data, die bij deze applicatie horen, in de toekomst bruikbaar zal zijn. Het gebruik van gesloten standaarden door overheidsorganisaties draagt niet bij een doelmatige informatiehuishouding, waarin digitale documenten die ten behoeve van wettelijke eisen7, administratieve eisen of maatschappelijke behoeften bewaard moeten worden, op een zodanige wijze worden vastgelegd, dat deze ook na verloop van tijd raadpleegbaar, authentiek zijn en gedeeld kunnen worden met overheidsorganisaties, burgers of bedrijven als dat vereist is. Naast duurzame toegankelijkheid8 van overheidsinformatie biedt het overheidsbrede gebruik van open standaarden burgers, bedrijven en bestuursorganen de zekerheid dat communicatie slaagt zonder dat zij via de software van één of een beperkte groep softwareleveranciers moeten communiceren met de overheid. Het kabinet voert vanwege de bovengenoemde voordelen sinds 2007 een op open standaarden gericht beleid.9

Het kabinet stimuleert het overheidsbrede gebruik van open ICT-standaarden door middel van de plaatsing van bepaalde open standaarden op de zogeheten ‘pas toe of leg uit’-lijst. Ter aanvulling op dit beleid voorziet dit wetsvoorstel in de bevoegdheid om bij algemene maatregel van bestuur een open standaard aan te wijzen die verplicht moet worden toegepast. Een standaard kan worden aangewezen indien dit noodzakelijk en proportioneel is voor de werking, de veiligheid, de betrouwbaarheid, de duurzame toegankelijkheid of de doelmatigheid van het elektronische verkeer met of tussen bestuursorganen of indien dit voortvloeit uit internationale verplichtingen. Bij een dergelijke aanwijzing wordt per standaard bepaald welke bestuursorganen, rechtspersonen met een wettelijke taak en organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Algemene wet bestuursrecht (Awb) de standaard dienen toe te passen.

2.3. Het ‘pas toe of leg uit’-beleid

De ‘Instructie rijksdienst inzake de aanschaf van ICT-diensten en ICT-producten’ schrijft voor dat overheidsorganisaties binnen het Rijk bij aanschaf of (ver)bouw van ICT-systemen de open standaarden, die op de zogeheten ‘pas toe of leg uit’-lijst staan, hanteren (‘pas toe’).10 Afwijken van deze verplichting mag alleen in geval van zwaarwegende redenen; verantwoording hierover moet worden afgelegd in het jaarverslag (‘leg uit’). Deze rapportageverplichting is opgenomen in de Rijksbegrotingsvoorschriften. De Rijksbegrotingsvoorschriften bevatten de voorschriften voor de verantwoording over de begroting, de uitvoering van de begroting en de begroting. De verplichting om te vragen naar de open standaarden op de ‘pas toe of leg uit’-lijst geldt alleen bij de inkoop van ICT-systemen en -diensten vanaf € 50.000,– (exclusief BTW).

De standaarden die op de ‘pas toe of leg uit’-lijst staan, zijn open standaarden waarvoor breed draagvlak bestaat. De standaarden op deze lijst hebben een procedure doorlopen om te toetsen of aan de criteria voor openheid is voldaan. In deze procedure wordt onder andere getoetst of de standaard toepasbaar is voor elektronische gegevensuitwisseling tussen overheidsorganisaties en of er geen hindernissen zijn op het terrein van intellectueel eigendomsrecht. Het Forum Standaardisatie beheert de lijst met verplichte (‘pas toe of leg uit’) en aanbevolen open standaarden. In het kader van het programma i-NUP is in 2011 afgesproken dat het Rijk en de medeoverheden in 2015 de open standaarden, zoals vastgesteld door het College Standaardisatie, gebruiken en hierbij werken volgens het principe ‘pas toe of leg uit’.11 Gemeenten hebben zich aan deze resultaatverplichting gecommitteerd door middel van het Bestuursakkoord 2011–2015.12 Op 18 mei 2015 is in het Nationaal Beraad Digitale Overheid, waarin alle overheden zijn vertegenwoordigd, de afspraak verlengd tot eind december 2017.

2.4. Noodzaak van wetgeving

Diverse instrumenten zijn ingezet om overheidsbreed gebruik van open standaarden te realiseren, zoals het actieplan Nederland Open in Verbinding13, de Rijksbegrotingsvoorschriften, de Instructie rijksdienst inzake de aanschaf van ICT-diensten en ICT-producten, het i-NUP en het Bestuursakkoord 2011–2015. Het effect van deze instrumenten is beperkt. Het Forum Standaardisatie publiceert ieder jaar een Monitor Open Standaarden Beleid, die het uitvragen van open standaarden door de overheid meet en evalueert. Uit de 1-meting informatieveiligheidstandaarden en de Monitor Open Standaarden Beleid over de jaren 2012, 2013, 2014, 2015 en2016, blijkt dat het adoptietempo van open standaarden laag is en dat er in de jaarverslagen zelden wordt uitgelegd waarom een open standaard niet wordt toegepast. Dit heeft nadelige gevolgen voor de interoperabiliteit, veiligheid en kosten(beheersing) van ICT-systemen.

In 2011 concludeerde de Algemene Rekenkamer in het rapport ‘Open standaarden en opensourcesoftware bij de rijksoverheid’14 dat het open standaardenbeleid te vrijblijvend is. Dat constateerde ook de Tijdelijke Commissie ICT (Commissie Elias) in oktober 2014 in haar eindrapportage. De Commissie Elias beval aan dat de overheid voortaan daadwerkelijk toeziet op naleving van haar ‘pas toe of leg uit’-beleid rondom open standaarden.15 De Commissie Elias sloot zich aan bij het rapport ‘Geen goede overheidsdienstverlening zonder een uitstekende generieke digitale infrastructuur’16 om een wettelijke basis te creëren waarmee het gebruik van standaarden kan worden verplicht. In de kabinetsreactie op het rapport van de Commissie Elias wordt ten aanzien van het gebruik van open standaarden verwezen naar dit wetsvoorstel.17 In 2016 verzocht de Tweede Kamer het kabinet om het gebruik van open standaarden bij wet te verplichten. Daaraan lag de overweging ten grondslag dat het gebruik van open standaarden essentieel is in het actief beschikbaar stellen van informatie aan burgers en daarnaast zorgt voor meer keuzevrijheid in ICT-leveranciers, bevordering van de rechtszekerheid, administratieve lastenverlichting en het efficiënt en in ketens kunnen werken als één overheid.18

Een gemengde aanpak van wetgeving en voorlichtingsacties, die plaatsvinden in het kader van het ‘pas toe of leg uit’-beleid, is nodig om de overheid doelmatiger en veiliger te laten functioneren met behulp van open standaarden. Het ‘pas toe of leg uit’-principe blijft voor bepaalde open standaarden het meest proportionele instrument. Echter, voor sommige standaarden is het bevorderen van het gebruik onvoldoende en moeten overheidsorganisaties de standaard eenvoudigweg toepassen.

De gevolgen van het niet toepassen van een bepaalde standaard kunnen te ernstig zijn. Dit doet zich voor wanneer het gebrek aan tempo bij de invoering van bepaalde standaarden het publieke belang schaadt, bijvoorbeeld omdat de betrouwbaarheid en veiligheid van gegevens, de leveranciersonafhankelijkheid of de toegankelijkheid van overheidsinformatie in het geding is. Bij bepaalde open standaarden is geen rechtvaardiging voor uitzondering mogelijk of is het belang van de toepassing ervan zo groot dat het moment van een volgende ICT-aanschaf van € 50.000,– (exclusief BTW) of meer niet kan worden afgewacht.

Dit wetsvoorstel biedt daarom een grondslag om bij algemene maatregel van bestuur een verplicht toe te passen open standaard aan te wijzen. Een bij algemene maatregel van bestuur verplichte standaard zal van de ‘pas toe of leg uit’-lijst worden verwijderd. De minister zal het Forum Standaardisatie betrekken bij de voorbereiding van een algemene maatregel van bestuur en zal deze voorts aan een brede consultatie onderwerpen. Het gebruik van de verplichte standaarden zal vervolgens jaarlijks worden gemonitord.

2.5. De toegankelijkheidstandaard

Het is van groot belang dat de diensten van de overheid toegankelijk zijn voor eenieder. Het internet is voor burgers en bedrijven een essentieel middel geworden om toegang te krijgen tot informatie en diensten van de overheid. Om de kwaliteit en de toegankelijkheid van websites te garanderen heeft het ‘World Wide Web Consortium’ (W3C) internationale standaarden ontwikkeld voor het ontwerpen, bouwen en beheren van websites. Een website die voldoet aan de Web Content Accessibility Guidelines (WCAG) is toegankelijk voor iedereen, inclusief personen met een visuele, auditieve of lichamelijke beperking of personen die taalkundig of digitaal minder vaardig zijn.

Op 14 juli 2016 is het Verdrag van de Verenigde Naties van 13 december 2006 inzake de rechten van personen met een handicap46 (hierna: het verdrag) in werking getreden. Het doel van dit verdrag is onder meer dat personen met een handicap al bestaande mensenrechten effectief en op voet van gelijkheid met anderen kunnen uitoefenen. Het verdrag roept geen nieuwe rechten in het leven, maar geeft verdere uitwerking aan bestaande mensenrechten en verplichtingen uit andere verdragen. Op grond van het eerste lid van artikel 9 van het verdrag nemen Verdragstaten passende maatregelen om personen met een handicap op voet van gelijkheid met anderen de toegang te garanderen tot onder andere informatie en communicatie, met inbegrip van informatie-en communicatietechnologieën en -systemen, en tot andere voorzieningen en diensten die openstaan voor, of verleend worden aan het publiek. Op grond van het tweede lid van artikel 9 van het verdrag nemen Verdragsstaten passende maatregelen om de toegang voor personen met een handicap tot nieuwe informatie en communicatietechnologieën en -systemen, met inbegrip van het internet, te bevorderen.

De regering heeft de toegankelijkheid van websites in de publieke sector bevorderd door de nationale standaard die daarin voorziet, de Webrichtlijnen, op te nemen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie. De ‘pas toe of leg uit’-verplichting geldt voor alle overheidsorganisaties. Tevens werd in de Overheidsbrede implementatieagenda voor dienstverlening en e-overheid (i-NUP) het toepassen van de Webrichtlijnen als resultaatverplichting opgenomen.

De regering is voornemens om bij algemene maatregel van bestuur krachtens dit wetsvoorstel de Europese toegankelijkheidsnorm EN 301 549 aan te wijzen als een verplicht toe te passen standaard. Het voornemen om de toepassing van deze Europese standaard te verplichten, is noodzakelijk ter implementatie van Richtlijn 2016/2102/EU betreffende de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties. Deze richtlijn heeft tot doel te bereiken dat websites en mobiele applicaties van overheidsinstanties toegankelijker worden voor gebruikers, in het bijzonder voor personen met een beperking. Daartoe dienen lidstaten ervoor te zorgen dat websites en mobiele applicaties van overheidsinstanties voldoen aan de toegankelijkheidseisen van artikel 4 van de richtlijn. Daaraan kunnen websites en mobiele applicaties van overheidsinstanties voldoen, indien ze de in artikel 6 van de richtlijn aangewezen Europese standaard voor toegankelijkheid toepassen. Dit is de Europese norm EN 301 549. Deze Europese norm is gebaseerd op de wereldwijd toegepaste internationale standaard ‘Web Content Accessibility Guidelines’ (WCAG) versie 2, waarop ook Webrichtlijnen versie 2 is gebaseerd. Om eenduidigheid te realiseren is Webrichtlijnen versie 2 van de ‘pas toe of leg uit’-lijst afgehaald en wordt EN 301 549 bij algemene maatregel van bestuur verplicht ter implementatie van Richtlijn 2016/2102/EU.

2.6. Informatieveiligheid

De uitwisseling van informatie langs de elektronische weg door overheden dient zo veilig mogelijk te geschieden, te meer omdat aan de berichten rechtsgevolgen kunnen zijn verbonden. Het gebruik van verschillende standaarden zorgt dat meer koppelvlakken19 nodig zijn, hetgeen leidt tot een verhoogd veiligheidsrisico. Elk koppelvlak dient gebouwd of gekocht te worden en dient vervolgens te worden beheerd. De kans op fouten, variërend van systemen die niet werken tot systemen die de verkeerde beslissingen nemen, neemt hiermee toe en de integriteit van gegevens en van systemen die ze gebruiken neemt af. Het overheidsbrede gebruik van dezelfde standaarden leidt tot minder koppelvlakken, wat de veiligheid van ICT-systemen ten goede komt.

Naast de bovengenoemde wijze om informatieveiligheid te vergroten, zijn er specifieke standaarden ten behoeve van informatieveiligheid. Het toepassen van bijvoorbeeld de standaard TLS beveiligt de netwerkverbinding waarover gegevens worden uitgewisseld en de toepassing van de standaard HTTPS beveiligt interactieve websites. De standaarden DKIM en SPF zorgen voor e-mailauthenticatie; hiermee wordt het mogelijk dat een internetprovider of een ontvanger de identiteit van de afzender deels controleert, waardoor mogelijkheden van fraude en misbruik, zoals ‘phishing’ of ‘spoofing’ worden bestreden. Daarbij worden valse e-mails in naam van onder andere de overheid verstuurd en dan is het voor burgers en bedrijven niet eenvoudig om te ontdekken of een e-mail met een verwijzing naar een website daadwerkelijk afkomstig is van een bestuursorgaan.

Het niet toepassen van specifieke veiligheidstandaarden kan schade toebrengen aan de belangen van burgers, bedrijven of andere overheden. Indien inloggegevens in handen vallen van kwaadwillenden, kan dit burgers geld kosten of kunnen gegevens misbruikt worden voor identiteitsfraude. De overheidsbrede toepassing van bepaalde veiligheidstandaarden is noodzakelijk om veiligheidsrisico’s te beperken, te meer omdat sommige standaarden pas functioneren als deze aan beide kanten van de communicerende partijen worden toegepast. Indien bijvoorbeeld één overheidsorganisatie besluit om een veiligheidsstandaard zoals SAML niet toe te passen, wordt het alle partijen die met deze organisatie communiceren onmogelijk gemaakt om deze veiligheidsstandaard toe te passen in de communicatie met die ene organisatie. Hierdoor is de informatieveiligheid van overheidsorganisaties, die wel hebben geïnvesteerd in het implementeren van de veiligheidsstandaard, evenmin geborgd.

Brede adoptie van de standaard Digikoppeling is wenselijk vanuit veiligheidsoogpunt en omdat de financiële baten exponentieel afnemen naarmate er registraties afhaken. Op jaarbasis kan met de brede toepassing van Digikoppeling meer dan € 78 miljoen worden bespaard op kosten die overheidsorganisaties dienen te maken om te kunnen communiceren met andere overheidsorganisaties, zo blijkt uit de business case naar de potentiële besparingen van de voorzieningen voor het stelsel van basisregistraties.20

Gezien het belang van informatieveiligheid is het toepassen van bepaalde standaarden niet vrijblijvend voor de overheid. Derhalve komen – naast de toegankelijkheidstandaard – informatieveiligheidstandaarden zoals HTTPS en TLS, die reeds op de ‘pas toe of leg uit’-lijst staan, in aanmerking te worden verplicht bij algemene maatregel van bestuur op grond van dit wetsvoorstel. Daarmee vormt het voldoen aan de verplichte informatieveiligheidstandaarden een wettelijke ondergrens voor overheidsorganisaties om informatie met burgers, bedrijven en onderling veilig te kunnen uitwisselen en hergebruiken. Informatieveiligheid is essentieel voor het vertrouwen in de digitale overheid.

3. Elektronische identificatie (eID)

3.1. Inleiding

De afgelopen decennia is het gebruik van de elektronische weg in de contacten tussen burgers enbedrijven met de overheid toegenomen en breed geaccepteerd. In bijzondere wetten is soms al de elektronische weg met uitsluiting van de papieren weg voorgeschreven.21 Hierbij zijn er sterke verschillen tussen de elektronische wegen. Dit hangt onder meer samen met verschillen in tempo waarop bestuursorganen digitaliseren en de invloed van nieuwe technologische ontwikkelingen. Van de overheid mag echter worden verwacht dat zij organisatieoverstijgend opereert, zodat informatie makkelijk vindbaar is en transacties eenvoudig uitvoerbaar zijn. Zo blijkt bijvoorbeeld uit onderzoek dat burgers en bedrijven bijvoorbeeld één overheidsportaal prettig vinden.22 Om burgers en bedrijven een uniforme en veilige wijze van inloggen te bieden en om organisaties die handelen ter uitoefening van een publieke taak, in het algemeen belang of die het burgerservicenummer verwerken (hierna ook wel aangeduid als ‘dienstverleners’), te faciliteren, biedt de rijksoverheid al jaren generieke elektronische authenticatie- en machtigingsdiensten aan voor burgers, te weten het huidige DigiD en DigiD Machtigen23. Voor bedrijven is eHerkenning ontwikkeld. Dit is een publiek-private samenwerking, waarbij in tegenstelling tot DigiD de inlogmiddelen uitsluitend door toegelaten private partijen worden uitgereikt. Door middel van deze generieke identificatiemiddelen kan een dienstverlener de identiteit en bevoegdheid van de burger of het bedrijf vaststellen alvorens persoons- of bedrijfsgebonden informatie uit te wisselen. Het gaat daarbij om een antwoord op de vragen ‘Wie ben je?’, ‘Ben je wie je zegt dat je bent?’ en ‘Wat mag je?’ Hierbij wordt gebruik gemaakt van elektronische authenticatiediensten en in voorkomende gevallen ook van elektronische machtigings- of attributendiensten. Met de twee laatstgenoemde diensten wordt de bevoegdheid van degene die inlogt vastgesteld (Wat mag je?). Elektronische identificatie vormt de sleutel voor de toegang van burgers en bedrijven tot de elektronische dienstverlening door de overheid en andere dienstverleners.

3.2. Noodzaak van wetgeving

Dit wetsvoorstel codificeert de huidige taken en verantwoordelijkheden, die nodig zijn om de infrastructuur voor identificatie en authenticatie in het publieke domein te doen functioneren. De minister van BZK krijgt in dit wetsvoorstel taken en verantwoordelijkheden toebedeeld betreffende identificatie door bedrijven. Hij draagt in dit verband zorg voor het beheer van het stelsel voor identificatie van ondernemingen en rechtspersonen en voor een (knooppunt)voorziening met functionaliteiten om identificatie en soepele dienstverlening binnen de EU mogelijk te maken.

De minister heeft daarnaast een zorgplicht voor generieke digitale infrastucturele voorzieningen zoals onder meer het BSN-koppelregister en een machtigingsvoorziening. De minister is – naast het ontwikkelen en in stand houden van (voorzieningen van) de generieke digitale infrastructuur voor de (semi)publieke sector – verantwoordelijk voor het ontwikkelen van publieke identificatiemiddelen voor burgers op een voldoende hoog betrouwbaarheidsniveau.

Beschikbaarheid van publieke middelen met een hoger betrouwbaarheidsniveau

Voor een goede digitale dienstverlening is het noodzakelijk dat de brede basisinfrastructuur robuust en toekomstbestendig is.24 Het aantal diensten dat digitaal kan worden afgenomen neemt in de loop der tijd toe en dat vergt het treffen van maatregelen om elektronische identificatie ook in de toekomst goed geborgd te hebben. Het huidige publieke identificatiemiddel DigiD heeft voor een deel van de dienstverlening adequate mate van veiligheid door onder meer eisen, die worden gesteld aan de wachtwoorden van burgers, en de beschikbaarheid van een bijzonder veilige infrastructuur. Het betrouwbaarheidsniveau van het huidige DigiD25is niet toereikend voor diensten met betekenisvolle rechtsgevolgen of waarbij uiterst vertrouwelijke informatie (zoals medische gegevens) wordt uitgewisseld. Dienstverleners moeten om bepaalde diensten digitaal te kunnen aanbieden, met meer zekerheid dan het huidige DigiD biedt, kunnen vaststellen of zij met de juiste (natuurlijke- of rechts)persoon te maken hebben. De beschikbaarheid van de hoogste betrouwbaarheid van de authenticatie zou onder andere in de zorgsector en in de strafrechtketen nieuwe vormen van digitale dienstverlening mogelijk maken, zodat innovaties kunnen worden gerealiseerd, conform de doelstellingen van Digitaal 2017, de Digitale agenda gemeenten 2020 en de eHealth agenda van de minister van VWS.26

Burgers kunnen in de toekomst de beschikking krijgen over publieke identificatiemiddelen op een hoger betrouwbaaheidsniveau dan het huidige DigiD. Reden voor het ontwikkelen van deze publieke middelen is dat de regering wil dat uiteindelijk voor iedere burger een betrouwbaar en veilig identificatiemiddel beschikbaar is en dat burgers niet afhankelijk zijn van de beschikbaarheid van private middelen voor het verkijgen van toegang tot digitale dienstverlening in het publieke domein. De kosten, die het Rijk maakt samenhangend met de verstrekking van een publiek identificatiemiddel en de kosten van dit identificatiemiddel zelf, worden ten laste gebracht van de burger. Dit wetsvoorstel voorziet in de grondslag voor het heffen van de leges en regelt dat de (variabele) kosten van het gebruik van de identificatiemiddelen ten laste komen van dienstverleners.

Aanvraag en uitgifte van publieke identificatiemiddelen

Ingevolge dit wetsvoorstel worden nadere eisen gesteld aan de uitgifte van identificatiemiddelen op de verschillende betrouwbaarheidsniveaus. Hiervoor gelden de relevante bepalingen uit de Europese eidas-verordening27 inzake de betrouwbaarheid en het uitgifteproces. De in deze verordening opgenomen classificatie van identificatiemiddelen naar betrouwbaarheidsniveau (‘laag’, ‘substantieel’ en ‘hoog’) wordt hierbij gevolgd. Aanvullende nationale regelgeving is noodzakelijk voor de aanvraag en de uitgifte van Nederlandse publieke identificatiemiddelen. Bij wettelijk voorschrift zal onder meer worden bepaald wie in aanmerking komt voor een publiek identificatiemiddel, hoe het middel wordt uitgegeven, hoe daarbij gebruik moet worden gemaakt van wettelijke registraties, dat er voor het middel dient te worden betaald en wanneer het middel vervalt of wordt ingetrokken.

Authenticatie op een bij de digitale dienstverlening passend betrouwbaarheidsniveau

Betrouwbare toegang tot digitale dienstverlening en de continuïteit van deze dienstverlening is een publiek belang dat overheidsinterventie rechtvaardigt. Bij digitale contacten kan het wenselijk zijn uiterst vertrouwelijke informatie (zoals medische gegevens of bepaalde bedrijfsgegevens) uit te wisselen tussen de dienstverlener en de burger of het bedrijf. Alvorens de dienstverlener deze informatie kan vrijgeven of aanvaarden, moet met voldoende mate van zekerheid worden vastgesteld aan wie die informatie wordt verstrekt of van wie de informatie afkomstig is. Dit vereist adequate elektronische identificatie en authenticatie. Op basis van de voorgestelde wet zullen bestuursorganen en aangewezen organisaties (‘diernstverleners’) verplicht worden voor hun elektronische diensten waarvoor, gelet op de aard ervan, veilige toegang in de rede ligt, het betrouwbaarheidsniveau substantieel (inclusief ‘twee factor authenticatie’28) of hoog te gebruiken. Deze verplichting borgt dat de wijze van inloggen is toegesneden op de vertrouwelijkheid van de gegevens die worden uitgewisseld met de overheid. Bij het bepalen van het bij de dienstverlening passende betrouwbaarheidsniveau zullen dienstverleners zich moeten houden aan de krachtens dit wetsvoorstel te stellen regels. Deze uitvoeringsregelgeving zal het kader bieden voor dienstverleners om het vereiste betrouwbaarheidsniveau bij hun dienstverlening te bepalen.

Continuïteit van dienstverlening

Anders dan voor bedrijven, is er voor burgers op dit moment slechts één publiek identificatiemiddel: DigiD. Dit heeft bovendien slechts het betrouwbaarheidsniveau laag. In het verleden is het voorgekomen dat DigiD stilgelegd moest worden omdat er kwetsbaarheden aan het licht kwamen in de voor DigiD gebruikte software. Op zo’n moment ligt alle digitale dienstverlening van de overheid aan burgers stil. De toegang tot digitale dienstverlening voor burgers in het publieke domein is immers afhankelijk van één authenticatievoorziening.29 Indien DigiD door een ernstige storing of inbraak in het informatiesysteem (tijdelijk) niet gebruikt kan worden, lopen bepaalde vormen van digitale dienstverlening aan burgers vast, met alle maatschappelijke gevolgen van dien. De regering biedt met dit wetsvoorstel de minister de mogelijkheid om één of meerdere door private partijen uitgegeven identificatiemiddelen te laten fungeren als een gelijkwaardige elektronische toegangsvoorziening bij dienstverlening van de overheid.30 Deze aanpak maakt deze dienstverlening – met name het inlogproces – minder kwetsbaar, waardoor de continuïteit van de dienstverlening beter is geborgd.

Het is van groot belang dat burgers en bedrijven met een toegelaten of erkend middel hun zaken met waarborgen voor de privacy digitaal kunnen afhandelen. Dat veronderstelt dat de minister bij een besluit tot toelating van een privaat middel terzake eisen stelt.

Om als reëel alternatief voor publieke middelen te kunnen fungeren is naast privacywaarborging toegankelijkheid van het private middel voor natuurlijke personen in Nederland vereist; in dit verband is onder andere de betaalbaarheid voor burgers en enstverleners van belang. Indien de minister besluit een privaat middel toe te laten, vindt de uitgifte ervan aan de gebruiker plaats door een private partij. Deze bepaalt in beginsel de kring van rechthebbenden van het middel, waarbij het in ieder geval zal gaan om burgers die over een bsn en een wettig identiteitsdocument beschikken. Met inachtneming daarvan is het is aan de desbetreffende partij om te bepalen aan welke categorie burgers hij dit middel wil uitgeven, waarbij onder meer het aantal burgers dat over het private middel kan beschikken, mee zal wegen in de afweging om dit middel al dan niet toe te laten voor authenticatie in het publieke domein.

Voor bedrijven zullen naar verwachting meerdere (private) identificatiemiddelen beschikbaar zijn; deze behoeven erkenning door de minister. Het stellen van afdwingbare eisen en het in het leven roepen van een systeem van erkenning, toezicht en handhaving maken een regeling bij of krachtens de wet noodzakelijk.

Verplichte acceptatie voor dienstverleners

De regering ziet digitalisering als een belangrijk middel om een betere dienstverlening aan burgers en bedrijven te kunnen leveren, zo mogelijk in combinatie met een hogere efficiëntie en minder administratieve lasten. Breed gebruik van de GDI-voorzieningen voorkomt versnippering in de dienstverlening en voorzieningen worden kosteneffectiever. Bij breed gebruik daalt de prijs per transactie en hoeven alternatieve voorzieningen niet meer doorontwikkeld en beheerd te worden. Er ontstaan op macroniveau efficiencyvoordelen. Burgers en bedrijven kunnen bij breed gebruik erop vertrouwen dat zij met een toegelaten respectievelijk erkend identificatiemiddel in het publieke domein terecht kunnen. Met name vanuit het belang van het faciliteren van burgers en bedrijven en het belang van een veilige en betrouwbare identificatie- en authenticatieketen, verplicht dit wetsvoorstel a-bestuursorganen en aangewezen organisaties om bij elektronische dienstverlening de toegelaten identificatiemiddelen, erkende middelen en voor wat betreft bestuursorganen tevens de bij de Europese Commissie genotificeerde31 middelen te accepteren, voor zover de middelen minimaal het voor de af te nemen dienst vereiste betrouwbaarheidsniveau hebben. Zonder wettelijke regeling zouden dienstverleners zelf kunnen bepalen welke identificatiemiddelen zij accepteren. In dat geval zou niet geborgd zijn dat burgers en bedrijven met één of enkele middelen bij alle dienstverleners terecht kunnen, wat de (wild)groei van hun digitale sleutelbos tot gevolg kan hebben.

Dienstverleners kunnen volgens bij ministeriële regeling te stellen regels voor een welbepaalde doelgroep afwijken van de acceptatieplicht, indien de acceptatie van andere identificatiemiddelen onder uitsluiting van toegelaten of erkende identificatiemiddelen nodig is om redenen van op die doelgroep gerichte elektronische dienstverlening. Authenticatie door middel van generieke identificatiemiddelen kan namelijk in voorkomende gevallen onwenselijk zijn. Het kan bijvoorbeeld nodig zijn om meer voorwaarden te verbinden aan de toegang tot bepaalde elektronische systemen voor berichtenverkeer dan enkel de vaststelling van de identiteit van een natuurlijke persoon of rechtspersoon. Zo hebben bijvoorbeeld advocaten of gemachtigden een advocatenpas nodig om in te kunnen loggen bij elektronische diensten van zowel de Nederlandse Orde van Advocaten (NOvA) als de Rechtspraak. Met deze inlogmethode wordt de rechtsgang beschermd tegen handelingen door personen die de titel van advocaat (al dan niet tijdelijk) niet mogen voeren, aangezien de NOvA als houder van het advocatentableau de advocatenpassen en de daaraan verbonden bevoegdheden beheert.

Daarnaast kan bij algemene maatregel van bestuur, met het oog op het onderzoeken van nieuwe methoden waarmee authenticatie doeltreffender kan plaatsvinden, worden afgeweken van de plicht om alleen generiek toegelaten en erkende middelen te accepteren. Deze grondslag om te experimenteren is noodzakelijk om redenen van innovatie of doorontwikkeling van de toegang tot elektronische dienstverlening.32

Bovengenoemde uitzonderingen op de acceptatieplicht gelden voor bestuursorganen niet met betrekking tot de acceptatie van een identificatiemiddel dat behoort tot een door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel.

Verwerking persoonsgegevens

Wettelijke grondslag is tenslotte noodzakelijk vanwege het feit, dat in het kader van authenticatie sprake is van de verwerking van persoonsgegevens, waaronder het bsn, door publieke en private partijen.

3.3. Reikwijdte: bestuursorganen

De acceptatieplicht met betrekking tot toegelaten en erkende middelen (en daarmee verband houdende verplichtingen) geldt op grond van dit wetsvoorstel in de eerste plaats voor zogenaamde ‘a-bestuursorganen’, voor zover zij elektronische diensten ter uitvoering van een publieke taak (ook wel aangeduid met ‘publieke diensten’) verlenen aan natuurlijke personen, ondernemingen of rechtspersonen waarvoor elektronische authenticatie op het betrouwbaarheidsniveau substantieel of hoog in de zin van de eidas-verordening noodzakelijk is.33 Dit betekent dus dat niet alle a-bestuursorganen onder de reikwijdte van dit onderdeel van het wetsvoorstel vallen, en dat voor de bestuursorganen die er wel onder vallen, dit slechts een gedeelte van hun dienstverlening kan betreffen.

Bestuursorganen

Met de term ‘a-bestuursorganen’ wordt gedoeld op organen als bedoeld in artikel 1:1, eerste lid, onder a, van de Algemene wet bestuursrecht (hierna: Awb). Het betreft organen van rechtspersonen die krachtens publiekrecht zijn ingesteld, en die niet zijn uitgezonderd in artikel 1.1, tweede lid, van de Awb. Dit betekent dat het gaat om organen van de Staat (mits niet uitgezonderd), provincies, gemeenten of waterschappen, en om andere rechtspersonen die krachtens publiekrecht zijn ingesteld. Bij organen van de Staat valt onder meer te denken aan de Belastingdienst (Minister van Financiën) en de Dienst Uitvoering Onderwijs (Minister van Onderwijs, Cultuur en Wetenschap). Bestuursorganen met een eigen rechtspersoonlijkheid zijn bijvoorbeeld de Sociale Verzekeringsbank en het Uitvoeringsinstituut werknemersverzekeringen. Publiekrechtelijke organen die in artikel 1.1, tweede lid, van de Awb van het begrip ‘bestuursorgaan’ zijn uitgezonderd en daarmee niet als bestuursorgaan worden aangemerkt, kunnen onder de reikwijdte van het wetsvoorstel vallen, als ze daartoe worden aangewezen, hetzij in de bijlage bij het wetsvoorstel, hetzij bij afzonderlijk besluit (zie de volgende paragraaf).

Bestuursorganen met een privaatrechtelijke grondslag, de zogenaamde ‘b-bestuursorganen’ (daarbij verwijzende naar artikel 1:1, eerste lid, onder b, van de Awb), vallen in dit wetsvoorstel niet onder het begrip ‘bestuursorgaan’. Hetzelfde geldt voor rechtspersonen met een wettelijke taak die niet als bestuursorgaan kunnen worden aangemerkt. In beginsel vallen deze organisaties dus niet onder het wetsvoorstel. Zij kunnen evenwel onder de reikwijdte van het wetsvoorstel worden gebracht door ze aan te wijzen.

Publieke diensten aan natuurlijke personen, ondernemingen en rechtspersonen

De acceptatieplicht geldt voor bestuursorganen alleen indien sprake is van elektronische diensten door een bestuursorgaan aan natuurlijke personen, ondernemingen of rechtspersonen. Het begrip ‘diensten’ dient breed te worden uitgelegd en ziet op de hele taakuitoefening van het bestuursorgaan, mits het gaat om taakuitoefening ter uitvoering van een publieke taak en in direct verkeer met een natuurlijk persoon, onderneming of rechtspersoon. Van dienstverlening in de zin van dit wetsvoorstel is dus zowel sprake als een uitkering wordt aangevraagd of verstrekt of aangifte van een geboorte of overlijden wordt gedaan, als bij de aangifte voor de belasting, of de aanvraag voor een bijzondere vergunning.

Dat sprake dient te zijn van diensten aan natuurlijke en rechtspersonen en ondernemingen, betekent dat bestuursorganen die dergelijke diensten niet verlenen, bijvoorbeeld omdat ze uitsluitend onderzoek verrichten, niet onder de werkingsfeer van dit onderdeel van het wetsvoorstel vallen. Bestuursorganen wier taakuitoefening slechts gedeeltelijk dienstverlenend is, vallen ook slechts gedeeltelijk onder het wetsvoorstel.

Het karakter van dienstverlening aan natuurlijke personen en rechtspersonen betekent tevens dat het wetsvoorstel niet ziet op interne processen binnen een bestuursorgaan. Zo heeft het wetsvoorstel geen betrekking op de (elektronische) toegang van bij het bestuursorgaan werkzaam personeel tot bepaalde netwerken of informatie, dan wel tot zijn eigen personeelsdossier.

Evenmin heeft dit onderdeel van het wetsvoorstel betrekking op contacten tussen bestuursorganen onderling34, dan wel op contacten met zakelijke partners van het bestuursorgaan. De acceptatieplicht geldt derhalve niet voor zakelijke diensten aan vaste ketenpartners. Zo is de acceptatieplicht niet van toepassing op de elektronische toegang van notarissen op de systemen van de Koninklijke Nederlandse Beroepsorganisatie, of op de elektronische toegang op de systemen van de Rijksdienst voor het Wegverkeer door zijn zakelijke partners. In dat geval is sprake van verlening van diensten die uitsluitend binnen gesloten systemen gebruikt worden tussen een welbepaalde groep deelnemers, en die geen (directe) gevolgen hebben voor derden. Dit is in lijn met de eidas-verordening. De acceptatieplicht ziet voor wat betreft bestuursorganen niet op privaatrechtelijke rechtsverhoudingen, ook niet als deze privaatrechtelijke rechtsverhoudingen worden ingezet voor de taakuitoefening van bestuursorganen. Zo is dit onderdeel van het wetsvoorstel bijvoorbeeld niet van toepassing op elektronische facturering voor aan bestuursorganen geleverde diensten of producten.

3.4. Reikwijdte: aangewezen organisaties

Naast a-bestuursorganen vallen onder de reikwijdte van de hoofdstukken 3 tot en met 7 de organisaties behorende tot een in de bijlage bij deze wet aangewezen categorie, de organisaties die bij gezamenlijk besluit van de minister van BZK en de betrokken vakminister zijn aangewezen alsmede rechterlijke instanties.

Bij de aan te wijzen organisaties gaat het om (categorieën van) instanties die elektronische diensten verlenen ter uitvoering van een publieke taak,in het algemeen belang of of waarbij het burgerservicenummer (bsn) wordt verwerkt, waarvoor, gelet op de aard en kenmerken van deze diensten, veilige en betrouwbare authenticatie noodzakelijk is. Het gaat hier in feite om organisaties die elektronische diensten verlenen waarvoor een elektronische authenticatie op het betrouwbaarheidsniveau substantieel of hoog als bedoeld in de eidas-verordening noodzakelijk zou zijn, indien sprake zou zijn van een openbare dienst in de zin van deze verordening. Deze organisaties zijn thans veelal toegankelijk via het huidig beschikbare publieke middel (DigiD laag). Bij de aanwijzing van organisaties is niet doorslaggevend of de betrokken organisatie onderdeel is van de (semi)publieke sector. Een groot deel van de organisaties dat krachtens wettelijk voorschrift gerechtigd is het burgerservicenummer te gebruiken voor de uitvoering van een specifieke taak, behoort evenwel tot de (semi)publieke sector. Echter, ook terzake van van bepaalde private organisaties zoals zorgaanbieders, kan het vanwege de aard en kenmerken van hun werkzaamheden, in de rede liggen om hen aan te wijzen. Kortweg worden de onder de reikwijdte van dit wetsvoorstel vallende bestuursorganen en aangewezen organisaties ook wel aangeduid als ‘dienstverleners’.

Individuele organisaties

De aanwijzing van individuele organisaties geschiedt bij besluit van de minister van BZK, in overeenstemming met de ministers die het, gezien het desbetreffende beleidsdomein, aangaat. Aanwijzing geschiedt al dan niet op verzoek van en in overleg met de betrokken instanties, zodat maatwerk kan worden gerealiseerd. Indien de aard en kenmerken van de elektronische dienstverlening van een organisatie van dien aard is, dat voor de toegang ter zake niet langer hoogbetrouwbare authenticatie nodig is, zal het desbetreffende aanwijzingsbesluit worden ingetrokken.

Wanneer aanwijzen?

In welke gevallen worden (categorieën) van organisaties aangewezen? Bepalend is de aard van de dienstverlening die wordt verricht. Zo komt een deel van de organisaties die het bsn gebruiken niet voor aanwijzing op grond van onderhavig wetsvoorstel in aanmerking, omdat zij überhaupt geen elektronische diensten aan burgers verlenen, danwel weliswaar elektronische diensten verlenen, maar geen diensten waarvoor elektronische authenticatie op het niveau ‘substantieel’ of ‘hoog’ noodzakelijk is. Ook is het mogelijk dat een sector of een organisatie al een eigen systeem van betrouwbare en veilige authenticatie kent, waardoor er geen noodzaak tot aanwijzing bestaat.

Voor aanwijzing komen daarmee primair in aanmerking organisaties die:

  • a. elektronische diensten verlenen waarbij inzicht kan worden gegeven in de (huidige of toekomstige) financiële (inkomens)situatie van betrokkene;

  • b. elektronische diensten verlenen met periodieke financiële aanspraken;

  • c. elektronisch diensten verlenen met betrekking tot medische gegevens en/of medicijnen, of de ingediende declaraties voor zorg of medicijnen.

De bijlage

Voor de vaststelling van de bijlage is als vertrekpunt genomen de lijst van organisaties die thans het bsn verwerken en diensten verlenen waartoe toegang met gebruik making van DigiD mogelijk is. Per saldo heeft dit opgeleverd, dat in de bijlage vooralsnog de volgende categorieën van instanties zijn aangewezen: de pensioenuitvoerders, zorgaanbieders, de ziektekostenverzekeraars, indicatieorganen en de universiteiten en hogescholen.

Consequentie van aanwijzing en niet aanwijzing.

De belangrijkste consequentie van de aanwijzing is dat de organisaties alle toegelaten en erkende middelen, zowel publiek als privaat, moeten accepteren voor hun elektronische dienstverlening op betrouwbaarheidsniveau substantieel en hoog. Het is echter in principe aan deze organisaties zelf om te bepalen of zij diensten elektronisch aanbieden, tenzij uit een wettelijk voorschrift voortvloeit dat zij hiertoe verplicht zijn. Uit de aanwijzing in de zin van de onderhavige wet vloeit derhalve geen verplichting tot het aanbieden van elektronische diensten voort. Aan de andere kant zullen slechts organisaties worden aangewezen die elektronisch diensten op het betrouwbaarheidsniveau substantieel of hoog aanbieden.

Andere uit dit wetsvoorstel voortvloeiende consequenties van de aanwijzing zijn, dat de betrokken organisaties voor hun diensten moeten bepalen wat het betrouwbaarheidsniveau is, dat zij moeten voldoen aan bij of krachtens algemene maatregel van bestuur te stellen regels met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de elektronische dienstverlening en dat ze dit moeten laten auditen. Ook kunnen ze de (toegelaten en erkende) publieke en private middelen accepteren voor dienstverlening waarvoor een laag betrouwbaarheidsniveau geldt.

Dat een organisatie niet wordt aangewezen, betekent niet dat deze helemaal geen toegelaten identificatiemiddelen kan gebruiken bij de (toegang tot haar) dienstverlening. Toegelaten publieke middelen mogen uitsluitend gebruikt worden voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties. Voor toegelaten private middelen geldt deze beperking echter niet.

3.5. Identificatiemiddelen voor burgers
Elektronische dienstverlening vs toegang daartoe

Het verlenen van elektronische diensten als zodanig behoort tot de verantwoordelijkheid van het desbetreffende bestuursorgaan of de desbetreffende aangewezen organisatie. In dat verband kan in beleid en regelgeving worden voorzien door de ministers wie het aangaat. De minister van Binnenlandse Zaken en Koninkrijksrelaties heeft hiermee inhoudelijk geen bemoeienis. Dit wetsvoorstel moet derhalve worden onderscheiden van sectorale ontwikkelingen op het gebied van digitalisering; het wetsvoorstel als zodanig verplicht niet tot elektronische dienstverlening op bepaalde beleidsterreinen en verplicht burgers niet tot elektronische afname van diensten. Het wetsvoorstel geeft slechts regels voor het geval diensten – al dan niet onder uitsluiting van de schriftelijke weg – elektronisch worden aangeboden door bestuursorganen of aangewezen organisaties. Met andere woorden: dit wetsvoorstel maakt het mogelijk dat elektronische dienstverlening op verschillende betrouwbaarheidsniveaus wordt ontsloten. Primair van belang hierbij is dat Onze Minister voorziet in veilige en betrouwbare toegang tot die elektronische dienstverlening. Het is om die reden dat hij onder meer verantwoordelijk is voor de uitgifte van publieke identificatiemiddelen en voor de toelating van eventuele private identificatiemiddelen. Dit brengt met zich, dat ernaar wordt gestreefd vanaf het moment van inwerkingtreding van dit wetsvoorstel een zo breed mogelijke beschikbaarheid van (publieke én private) elektronische identificatiemiddelen gerealiseerd te hebben, opdat toegang tot – sectoraal aangeboden – elektronische dienstverlening gewaarborgd is.

Gelet op het voorgaande, alsmede op de trend om steeds vaker in contacten met dienstverleners elektronische communicatie verplicht te stellen, is het van belang een zo ruim mogelijke kring van rechthebbenden op de publieke identificatiemiddelen te realiseren. Hierbij is sprake van een groeimodel. Er worden op dit moment twee publieke middelen op een hoog betrouwbaarheidsniveau ontwikkeld waarbij de Nederlandse identiteitskaart (NIK) en het rijbewijs de drager zijn. De bestaande chip in deze dragers wordt uitgerust met de daarvoor noodzakelijke functionaliteit (applet) om elektronische authenticatie mogelijk te maken. Inherent aan de keuze om de NIK en het rijbewijs als drager te nemen is dat de beschikbaarheid van de publieke middelen op het betrouwbaarheidsniveau hoog is beperkt tot de groep burgers die in het bezit is van dan wel recht heeft op een NIK of een Nederlands rijbewijs. Naast deze twee middelen op betrouwbaarheidsniveau hoog, zal een publiek middel op betrouwbaarheidsniveau substantieel beschikbaar komen, dat niet geplaatst is op een fysieke drager maar dat een versterkte versie van het huidige DigiD behelst. Hiervoor is wel een elektronisch uitleesbaar identiteitsdocument (WID) noodzakelijk.

Het streven is er op gericht dat in de toekomst voor alle personen met een bsn35 een elektronisch identificatiemiddel op de betrouwbaarheidsniveaus substantieel en hoog beschikbaar komt. Voor burgers die niet de beschikking kunnen hebben over een geschikt identiteitsdocument, wordt onderzocht op welke andere wijze(n) zij een middel op de betrouwbaarheidsniveaus substantieel en hoog kunnen verkrijgen.

Bij het beschikbaar komen voor de afzonderlijke groepen spelen beleidsmatige, juridische, technische en financiële overwegingen een rol. Hoewel hiermee voor een bepaalde periode een zekere ongelijkheid ontstaat, is het feit dat een groep personen nog geen toegang heeft tot een publiek middel op een hoger betrouwbaarheidsniveau, geen reden om dit middel te onthouden aan personen die wel in het bezit zijn van de benodigde identiteitsdocumenten respectievelijk een NIK of rijbewijs kunnen aanschaffen. Bovendien is het aan de beleidsverantwoordelijke minister om in voorkomende, sectorspecifieke, gevallen de digitale weg niet verplicht te stellen, danwel met een beroep op de noodzaak van een alternatieve inlogmethode de minister te verzoeken een afwijkende regeling terzake vast te stellen ingevolge artikel 7, derde lid, van het wetsvoorstel.36

Gelet op de dynamiek van de bovenstaande ontwikkelingen bevat dit wetsvoorstel zelf geen regeling over de categorieën van personen die in aanmerking komen voor de publieke elektronische identificatiemiddelen. Voor wat betreft deze middelen zal dit – analoog aan de wijze waarop dit reeds met betrekking tot DigiD is geregeld – worden bepaald in op grond van dit wetsvoorstel bij ministeriële regeling vast te stellen (gebruiks)voorschriften. Deze kunnen relatief eenvoudig worden aangepast aan de ontwikkelingen met betrekking tot het uitgifteproces en de in dat verband te verifiëren identiteitsdocumenten.

Gebruik publiek middel in publieke domein

Het behoort niet tot de taak van de rijksoverheid om publieke middelen te ontwikkelen en uit te geven die ook voor strikt commerciële transacties als het online kopen van kleding, boeken of meubelen gebruikt kunnen worden. De regering acht het onwenselijk indien de rijksoverheid zich zou mengen in deze markt. Het uitgangspunt dat publieke middelen niet buiten het publieke of semipublieke domein worden gebruikt, is daarom in het wetsvoorstel opgenomen. Wel is bij wijze van uitzondering onder stricte voorwaarden gecombineerde elektronische dienstverlening door welbepaalde aangewezen organisaties mogelijk (artikel 8, tweede lid) alsmede het gebruik van een publiek middel ten behoeve van welbepaalde aangewezen organisaties voor het verlenen van toegang tot een (intern) systeem voor de elektronische uitwisseling van gegevens (artikel 8, derde lid).

BSN Koppelregister

Het BSN-Koppelregister (BSN-K) is een voorziening in het kader van de GDI. De minister van BZK is verantwoordelijk voor de werking, betrouwbaarheid en veiligheid ervan. Het BSN-K speelt een rol in het identificatieproces door een koppeling te leggen tussen een elektronisch identificatiemiddel en het bsn van de houder. Het BSN-K stelt een authenticatiedienst hierdoor in staat om een dienstverlener op een veilige en betrouwbare manier het burgerservicenummer (bsn) te leveren van een gebruiker van een identificatiemiddel. Het BSN-K stelt daarnaast de burger in staat om met behulp van een inzagefunctie informatie te krijgen over zijn identificatiemiddelen. Een burger kan aldus vaststellen of zijn identificatiemiddel actief is of is geweest binnen het publieke domein. De inzagefunctie biedt alleen de desbetreffende burger inzicht in de status van het identificatiemiddel (bijvoorbeeld: actief, inactief of ingetrokken).

3.6. Identificatiemiddelen voor bedrijven

Ddienstverlening door bestuursorganen en aangewezen organisaties richt zich zowel op burgers (natuurlijke personen) als op bedrijven (ondernemingen en rechtspersonen). Wel zijn er enkele verschillen tussen de mogelijkheden voor authenticatie voor de dienstverlening aan burgers en aan bedrijven. Publieke middelen zijn bedoeld om als burger in contact te komen met bestuursorganen en aangewezen organisaties. Indien een KvK nummer[1] of RSIN nummer[2] vereist is voor authenticatie, kan niet met een publiek middel worden ingelogd. En daar waar burgers normaal gesproken volledig bevoegd zijn om namens zichzelf te handelen, is dat voor handelen door of namens een bedrijf (niet zijnde de eigenaar van een eenmanszaak) veelal niet het geval. Voor het handelen als bedrijf is destijds het stelsel voor eHerkenning ontwikkeld. Het aantal op eHerkenning aangesloten overheidsorganisaties en het aantal transacties groeit gestaag. In 2016 was al meer dan de helft van de gemeenten aangesloten op eHerkenning naast een dertigtal toepassingen bij de Rijksoverheid waaronder het Omgevingsloket online en de VOG-verklaring. Medio 2017 hebben enkele grote uitvoeringsorganisaties, waaronder Belastingdienst en UWV, een intentie-overeenkomst getekend waarin zij aangeven vanaf eind 2017 gefaseerd een deel of al hun digitale diensten met eHerkenning te ontsluiten.

Vanaf 1 januari 2015 is het verplicht om met eHerkenning in te loggen bij de Rijksdienst voor Ondernemend Nederland. Dit heeft in dat jaar geleid tot een toename van 200% in gebruik ten opzichte van het jaar daarvoor, resulterend in een aantal van bijna 6 miljoen authenticaties in 2016. In 2013 was dit aantal nog circa een miljoen. Het aantal uitgegeven eHerkenningsmiddelen steeg eind 2016 tot ca. 275.000. Ultimo 2013 waren er 94.000 eHerkenningsmiddelen uitgegeven. Van de eHerkenningsmiddelen wordt inmiddels de helft gebruikt voor meer dan één toepassing. Er waren eind 2016 ongeveer 200.000 ondernemers, die een of meer inlogmiddelen van eHerkenning hadden aangeschaft, tegen 81.000 ultimo 2013. De eHerkenningsmiddelen die thans worden gebruikt, zullen op grond van dit wetsvoorstel erkend moeten worden door de minister van BZK om ook in de toekomst in het publieke domein gebruikt te kunnen worden.

In de op grond van dit wetsvoorstel vast te stellen uitvoeringsregelgeving zullen aan de middelen voor bedrijven eisen worden gesteld. Daarbij is sprake van dezelfde betrouwbaarheidsniveaus als voor de middelen voor burgers. In wezen zijn het vergelijkbare middelen. Maar daar waar een middel voor burgers wordt gekoppeld aan een bsn, wordt dit bij middelen voor bedrijven gekoppeld aan een KvK- of RSIN-nummer. En waar een burger in beginsel voor alles wat hemzelf betreft bevoegd is, zal, net als nu al het geval is, bij een middel voor een bedrijf vastgelegd worden waarvoor de betreffende gemachtigde medewerker bevoegd is. Die bevoegdheid kan volledig zijn, bijvoorbeeld wanneer het een middel voor een algemeen directeur of een eigenaar van een eenmanszaak betreft, maar het kan ook beperkt zijn tot een of enkele diensten. Zo kan de ene medewerker als bevoegdheid krijgen om digitaal rapporten aan een inspectiedienst aan te leveren, of om met die inspectiedienst te communiceren, terwijl een andere medewerker bevoegd wordt om de omzetbelasting aan te geven.

Bij de uitgifte van middelen voor bedrijven zal een vergelijkbare procedure gehanteerd gaan worden, als bij uitgifte van middelen voor burgers. Tevens wordt bij de verstrekking vastgelegd voor welke zaken de houder van dit middel bevoegd is namens het bedrijf. Die bevoegdheid kan uiteenlopen van een enkele dienst tot volledig bevoegd. Deze bevoegdheid kan overigens later altijd gewijzigd worden. Op deze manier is er geen noodzaak een nieuw middel aan te schaffen als een medewerker andere taken krijgt. Men hoeft alleen de bevoegdheden van die medewerker te wijzigen. Wanneer een middel voor bedrijven wordt uitgegeven, moet de authenticatiedienst vaststellen dat degene, die het middel aanvraagt namens een medewerker en laat koppelen aan het KvK- of RSIN-nummer, daartoe bevoegd is. Dat wordt gedaan op basis van de bevoegdheden die zijn vastgelegd in het Handelsregister. Het staat private authenticatiediensten vrij om middelen voor bedrijven en burgers of alleen voor bedrijven of alleen voor burgers uit te geven. Publieke authenticatiediensten geven alleen middelen voor natuurlijke personen uit.

3.7. Samenloop van identificatiemiddelen

Ten aanzien van ondernemingen die toebehoren aan een natuurlijk persoon (er is dan sprake van een natuurlijk persoon in de uitoefening van beroep of bedrijf), is er voor de dienstverlener ten aanzien van die ondernemingen in beginsel de keuze om bij zijn dienstverlening een bedrijfs- en organisatiemiddel te verlangen dan wel om tevens toe te staan dat een identificatiemiddel voor burgers wordt gebruikt. Deze vrijheid van dienstverleners om hun dienstverlening naar eigen inzicht in te richten, kan echter vanuit het oogpunt van de ondernemer in de praktijk tot ondoelmatige werkwijzen leiden. Met name als er binnen een bepaalde sector geen eenduidige keuze wordt gemaakt. Dan kan het met het oog op het voorkomen van onnodige kosten voor verschillende middelen voor één ondernemer en rompslomp in de uitvoering door het steeds moeten wisselen van verschillende soorten middelen door één ondernemer, wenselijk zijn dat de betrokken bestuursorganen en aangewezen organisaties worden verplicht ook een identificatiemiddel voor burgers (toegelaten middel) te accepteren. Om die reden bevat het wetsvoorstel de mogelijkheid om dit te reguleren in overeenstemming met de betrokken ministers die verantwoordelijk zijn voor de beleidsterreinen waarop de betrokken dienstverleners respectievelijk de betrokken ondernemingen werkzaam zijn.

4. Privacy

Het wetsvoorstel bevat tevens regels om de bescherming van de persoonlijke levenssfeer te waarborgen. De in dit wetsvoorstel genoemde adressaten (ministers, bestuursorganen en aangewezen organisaties, private partijen) verwerken ten behoeve van goede toegang tot elektronische dienstverlening en, in het verlengde daarvan, het voorkomen van misbruik of oneigenlijk gebruik van de toegang tot elektronische dienstverlening, persoonsgegevens en dienen derhalve aan geldende privacy wet- en regelgeving te voldoen. Teneinde de persoonlijke levenssfeer te beschermen beoogt het wetsvoorstel daarom tevens eisen te stellen inzake verwerking, beveiliging en betrouwbaarheid van persoonsgegevens. Deze eisen, waarin privacybeginselen zijn vervat, zullen in het functioneel ontwerp van de identificatiemiddelen, publieke voorzieningen en interne systemen en werkprocessen moeten worden verdisconteerd en door de betrokken adressaten moeten worden meegenomen. Daardoor kan ‘privacy by design’ worden gerealiseerd. De volgende beginselen komen daarin naar voren:

  • I. Dataminimalisatie. Elke partij verwerkt voor het verlenen van toegang slechts die persoonsgegevens die nodig zijn voor de taak die hij uitvoert.

  • II. Het zoveel mogelijk vermijden van grote concentraties van persoonsgegevens (hotspots). De uitvoeringsregelgeving en het functioneel ontwerp dient zodanig te worden ingericht, dat het niet nodig of mogelijk is om identificatie en vertrouwelijke informatie bij één adressaat te beleggen.

  • III. Het gebruik van privacy enhancing technologies. De bescherming van persoonsgegevens wordt in (uitvoerings)regelgeving voorgeschreven en waar mogelijk systeemtechnisch afgedwongen. Het feitelijk onherleidbaar maken van gegevens tot personen is een adequatere waarborg dan vertrouwen op procedurele afspraken.

  • IV. Incident impact beperking. Alhoewel er met (uitvoerings)regelgeving en (technische) maatregelen naar wordt gestreefd om beveiligingsincidenten en misbruik zoveel mogelijk te voorkomen, zijn deze niet geheel uit te sluiten. Er wordt daarom in maatregelen voorzien waardoor de impact van een eventueel beveiligingsincident beperkt blijft en het adequaat kan worden afgehandeld.

Rond deze beginselen zullen de benodigde gegevensverwerkingen verder worden gekaderd in de uitvoeringsregelgeving. Deze zullen voorts in het functioneel ontwerp van de systemen (techniek en processen) hun beslag krijgen, conform het wettelijk kader inzake de bescherming van persoonsgegevens. Op dit moment is de Wet bescherming persoonsgegevens (hierna: Wbp) primair van belang. Binnen afzienbare tijd zal de Algemene verordening gegevensbescherming (hierna: AVG) het voornaamste kader vormen.37

De Algemene verordening gegevensbescherming (AVG)

De AVG zal op 25 mei 2018 rechtstreeks toepasselijk zijn. Met het in voorbereiding zijnde wetsvoorstel ter uitvoering van de AVG en ter implementatie van de hoofdstukken VI, VII en VIII van de richtlijn gegevensbescherming opsporing en vervolging, zal de Wet bescherming persoonsgegevens worden ingetrokken.

Privacybepalingen in dit wetsvoorstel in relatie tot de AVG

Dit wetsvoorstel bevat bepalingen die een aanvulling zijn op de waarborgen van de AVG. Er worden taken, verantwoordelijkheden en bevoegdheden voor de betrokken ministers vastgelegd. Ook bevat het verplichtingen voor bestuursorganen en aangewezen organisaties en voor private partijen. De grondslag om persoonsgegevens te verwerken vloeit voort uit deze bepalingen, in samenhang met artikel 6, eerste lid, onder e, van de AVG. In het wetsvoorstel zijn grondslagen neergelegd voor de verwerking van persoonsgegevens door de genoemde adressaten voorzover dat noodzakelijk is voor de uitvoering en het verlenen van veilige toegang tot elektronische dienstverlening. Krachtens het wetsvoorstel zullen nadere regels worden gesteld, waaronder over de verstrekking van persoonsgegevens en de bewaartermijnen die in acht moeten worden genomen. In dit verband zal het Besluit verwerking persoonsgegevens GDI worden uitgebreid en gewijzigd. Reden voor het regelen van de verwerking van persoonsgegevens bij algemene maatregel van bestuur is het feit, dat het wetsvoorstel het karakter heeft van een kaderwet waarin hoofdzaken zijn geregeld en het om redenen van flexibiliteit opportuun is gedetailleerde (technische) uitwerking waaronder cryptografische maatregelen bij lagere regelgeving vorm te geven. In dit verband kan tevens worden aangesloten bij hetgeen reeds is neergelegd in bestaande regelgeving op het gebied van de verwerking van persoonsgegevens terzake van GDI-voorzieningen, te weten voornoemd Besluit. Bij de nadere uitwerking zullen onder meer de beginselen van proportionaliteit en subsidiariteit leidend zijn. Het wetsvoorstel en de daarop gebaseerde algemene maatregel van bestuur werken, waar mogelijk, nodig en passend, de normen van de AVG uit. Voor alles wat dit wetsvoorstel en het daarop gebaseerde besluit niet regelt over de verwerking van persoonsgegevens in het kader van de toegang tot elektronische dienstverlening, gelden de bepalingen van de AVG.

Toepassing materiële beginselen voor gegevensverwerking

De AVG introduceert ter bevordering van gegevensbescherming een aantal nieuwe instrumenten. De AVG bepaalt dat daarmee rekening dient te worden gehouden in het ontwerp van gegevensverwerkingen en door standaardinstellingen (artikel 25 AVG, privacy by design and by default). Tevens bepaalt artikel 35 AVG dat een gegevensbeschermingseffectbeoordeling (PIA)38 voorafgaand aan de verwerking dient te worden uitgevoerd. In het onderstaande wordt ingegaan op de wijze waarop hiermee bij de toegang tot elektronische dienstverlening rekening is gehouden.

Privacy-by-design en uitvoering gegevensbeschermingseffectbeoordeling

Bij de voorbereiding van dit wetsvoorstel is een aantal maatregelen getroffen om een effectieve toepassing van de AVG te borgen. Belangrijk is het gedurende de voorbereiding meermalen uitvoeren van een PIA, het meenemen van de uitkomsten en daaruit voortvloeiende eisen in op te stellen regelgeving en het verdisconteren van deze eisen bij de inrichting van het ontwerp van de betrokken voorzieningen. Ter zake zij verwezen naar de rapportage van de PIA inzake het eID-stelsel van 28 juni 2017.39 Daarnaast is ervoor gezorgd dat de (technische) inrichting plaatsvindt volgens de privacyeisen die voortvloeien uit de AVG, waaronder het vormgeven van een functionaliteit ten behoeve van inzage voor de houder van een identificatiemiddel waarvan gegevens worden verwerkt. De belangrijkste aanpassingen als gevolg van de uitgevoerde PIA’s betreffen de functionaliteit die de houder van een toegelaten identificatiemiddel inzage biedt in de status van dit middel en het feit, dat de gegevensverwerking (technisch) zodanig wordt ingericht, dat geen van de bij authenticatie betrokken partijen (inclusief dienstverleners) kan zien welke andere websites door de houder van het middel worden bezocht. Dit is niet alleen belangrijk voor de bescherming van persoonsgegevens als zodanig, maar doet tevens recht aan de wens dat de betrokken partijen geen inzicht in of bemoeienis moeten kunnen hebben met zaken die gebruikers in het publieke domein afwikkelen. De PIA’s hebben ook input geleverd voor de nog op te stellen uitvoeringsregelgeving bij dit wetsvoorstel en onderschrijving van verwerkingsgrondslagen in het wetsvoorstel voor het gebruik van het bsn door private partijen. Bij de verdere inrichting en ontwikkeling zullen er regulier PIA’s worden uitgevoerd. De uitkomsten hiervan beogen doorlopende en blijvende expliciete aandacht voor privacybescherming, waaronder technische, procedurele, beleidsmatige en juridische maatregelen.

Transparantie

In hoofdstuk III van de AVG, waarin de rechten van burgers worden geregeld, zijn transparantievoorschriften opgenomen. Artikel 12 AVG stelt regels aan de begrijpelijkheid van informatie en communicatie over de verwerkingen van persoonsgegevens zodat burgers daadwerkelijk in staat worden gesteld om hun rechten uit te oefenen. Daarbij wordt een onderscheid gemaakt tussen het geval dat de verkrijging van de gegevens bij de burger zelf plaatsvindt (artikel 13 AVG) en dat waarbij de gegevens niet bij hem zijn verkregen (artikel 14 AVG). Ingevolge dit wetsvoorstel en de bijbehorende uitvoeringsregelgeving vindt het verkrijging van de gegevens op beide wijzen plaats. Bij aanvraag en registratie van identificatiemiddelen gaat het bijvoorbeeld om de gegevens die de burger zelf moet verstrekken op het moment dat hij een middel of registratie van een machtiging aanvraagt. Daarnaast is sprake van informatie die in het kader van de toegang tot elektronische dienstverlening buiten de burger om wordt verkregen, bijvoorbeeld gegevens die nodig zijn om de juistheid van gegevens te controleren, zoals de controle van de identiteit door het BSN-K. De minister en de andere betrokkenen bij de toegang tot elektronische dienstverlening zullen uitvoering (moeten) geven aan de transparantieverplichtingen door een privacyverklaring op hun website te plaatsen. Hierin staat onder andere wie de verantwoordelijke is voor de verwerking van persoonsgegevens en met welk doel de persoonsgegevens worden verwerkt. Ook zal op de websites een link worden opgenomen naar de bijbehorende wet- en regelgeving, waaronder deze wet en bijbehorende uitvoeringsregelgeving.

Het recht van inzage en rectificatie

Op grond van artikel 15 AVG heeft een burger het recht om te weten welke persoonsgegevens door de verantwoordelijke worden verwerkt, onder meer voor welke doeleinden en aan welke personen of instanties deze gegevens zijn verstrekt. Op grond van de artikelen 16 tot en met 18 AVG heeft hij het recht de verantwoordelijke te verzoeken hem betreffende gegevens te rectificeren, gegevens te wissen, of de verwerking te beperken. De wijze waarop uitvoering wordt gegeven aan deze rechten, zal worden vastgelegd in uitvoeringsregelgeving op basis van dit wetsvoorstel en in de op te stellen privacyverklaringen die op de betrokken websites zullen worden geplaatst.

Grondslagen en beginselen voor verwerking van persoonsgegevens

Uit de AVG volgt dat de verzameling en verwerking van persoonsgegevens plaatsvindt op een rechtmatige en behoorlijke wijze (artikel 5, eerste lid AVG). Voorts dienen de doeleinden waarvoor verzameling en verwerking plaatsvindt gerechtvaardigd, welbepaald en uitdrukkelijk omschreven te zijn (doelbinding). De verwerkingen worden uitgevoerd door de betrokken ministers en door bestuursorganen en aangewezen organisaties in het kader van de hen toegekende taken, en door specifiek genoemde private partijen indien dit noodzakelijk is voor de goede uitvoering van de wet. De verwerkingen vinden plaats teneinde veilige en betrouwbare toegang tot elektronische dienstverlening te realiseren. De verwerkingsdoelen worden beslagen door de onderscheiden artikelen in het wetsvoorstel. Hiermee wordt voorzien in een rechtsgrond, als bedoeld in artikel 6, lid 3, onder b, AVG, waardoor de rechtmatigheid van de verwerkingen kan worden gebaseerd op artikel 6, lid 1, onder e (verwerking noodzakelijk voor de vervulling van een taak van algemeen belang). Het wetsvoorstel bevat voorts de grondslag voor nadere regelgeving; hierin zullen de beginselen zoals hieronder aangegeven worden uitgewerkt.

Verwerking BSN

De AVG kent enkele bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking, waaronder de verwerking van het nationaal identificatienummer. De verwerking van het bsn speelt bij de toegang tot elektronische dienstverlening een belangrijke rol. Artikel 87 AVG geeft een grondslag om bij nationaal recht specifieke voorwaarden te stellen voor de verwerking van een nationaal identificatienummer. De Uitvoeringswet AVG regelt het gebruik van wettelijk voorgeschreven nummers, overeenkomend met het huidige artikel 24 van de Wbp. Dit betekent dat voor de verwerking van het bsn dient te worden voorzien in een wettelijke grondslag. Om deze reden is in het wetsvoorstel opgenomen dat het bsn door de genoemde betrokkenen mag worden verwerkt voorzover dat noodzakelijk is voor de goede uitvoering van hun taken en verplichtingen ingevolge deze wet (artikel 14 lid 1; ministers), voor een goede elektronische dienstverlening (artikel 14 lid 1; dienstverleners), voor de goede uitvoering van deze wet (artikel 14 lid 2; private partijen) en voor de goede werking van het bedrijfs- en organisatiemiddel en goede toegang met dat middel tot elektronische dienstverlening (artikel 14 lid 3; private partijen). Daarbij geldt dat gebruik van het bsn tot een minimum wordt beperkt en zoveel mogelijk wordt gewerkt met pseudonimisering en versleuteling.

Dataminimalisatie

De gegevens die voor de toegang tot elektronische dienstverlening worden verwerkt moeten toereikend en terzake dienend zijn. Daarbij gaat het om proportionaliteit en subsidiariteit, waardoor een minimum aan verwerking van persoonsgegevens wordt gerealiseerd (artikel 5, lid 1, onder c, AVG). In de uitvoeringsregelgeving zal dit nader worden ingevuld.

Juistheid van persoonsgegevens

Tevens moet worden voorzien in maatregelen om te zorgen dat persoonsgegevens ten behoeve van de toegang tot elektronische dienstverlening op een juiste wijze worden verwerkt en dat maatregelen worden getroffen om te zorgen dat gegevens die niet (meer) juist worden verwerkt, gerectificeerd of verwijderd worden (artikel 5, lid 1, onder d, AVG). In de uitvoeringsregelgeving zullen regels worden gesteld over de wijze waarop hieraan invulling wordt gegeven.

Opslagbeperking (bewaartermijnen)

Een belangrijk uitgangspunt is dat persoonsgegevens niet langer worden verwerkt dan voor een termijn die voor de realisatie van het verlenen van toegang tot elektronische dienstverlening noodzakelijk en daarmee te rechtvaardigen is (artikel 5 lid 1, onder f, AVG). In de uitvoeringsregelgeving zullen bewaartermijnen worden vastgelegd.

Beveiliging van persoonsgegevens

Bij de verwerking van persoonsgegevens voor toegang tot elektronische dienstverlening moeten technische en organisatorische maatregelen worden getroffen, zodanig dat een passende beveiliging gewaarborgd is (artikel 5, lid 1, onder f, AVG). Ten aanzien van de beveiliging van persoonsgegevens werkt artikel 32 van de AVG dit uit. Bepaald wordt dat, waar passend, pseudonimisering en versleuteling dienen te worden ingezet. Ook wordt aangegeven dat maatregelen moeten worden genomen om te zorgen dat op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen kan worden gegarandeerd, en dat de beveiligingsmaatregelen op gezette tijden getest en geëvalueerd worden. Voorts volgt uit dit artikel dat dient te worden voorzien in maatregelen om, bij een fysiek of technisch incident, de beschikbaarheid van en de toegang tot persoonsgegevens tijdig te kunnen herstellen. Genoemde technische en organisatorische maatregelen worden doorgevoerd in de (ICT-) systemen en processen die ingevolge dit wetsvoorstel noodzakelijk zijn. De AVG bevat in artikel 33 tot slot de verplichting om melding te maken van een inbreuk in verband met persoonsgegevens. Deze regeling komt op hoofdlijnen overeen met de meldplicht datalekken zoals deze thans in de Wbp is opgenomen.

Verantwoordingsplicht

De AVG legt in artikel 5, tweede lid, aan de verwerkingsverantwoordelijke een verplichting op om te zorgen dat de naleving van de hiervoor besproken beginselen kan worden aangetoond.

5. Misbruik van de GDI

5.1. Inleiding

In 201340 is becijferd dat de omvang van de fraude bij de overheid in 2013 7,3 miljard euro bedroeg. Over identiteitsfraude waarbij overheidsgeld betrokken is, volgt uit de monitor Identiteit in cijfers dat het gaat om bijna dertig duizend zaken op jaarbasis. Zoals in het jaarverslag van het ministerie van BZK over 2015 is vermeld, zijn in dat jaar 15.000 DigiD’s geblokkeerd, waarvan een groot aantal overigens preventief, waarmee misbruik lijkt te zijn voorkomen.41 Ramingen zijn vermoedelijk aan de lage kant.

Recentelijk is uit het Cybersecuritybeeld Nederland 2016 naar voren gekomen dat beroepscriminelen een steeds groter gevaar vormen voor digitale veiligheid in Nederland. Beroepscriminelen organiseren zich steeds beter en maken gebruik van geavanceerde digitale aanvalsmethoden. Het afgelopen jaar vonden verschillende grootschalige aanvallen plaats met een hoge organisatiegraad, gericht op diefstal van geld en kostbare informatie. Naast de overheid waren bedrijven en burgers hiervan in toenemende mate het slachtoffer.42

Echter niet alleen de financiële omvang van fraude is van belang. Minstens zo belangrijk zijn de maatschappelijke consequenties zoals ondermijning van het gevoel van betrouwbaarheid van en vertrouwen in de (digitale) overheid en in het algemeen het effect ervan op mensen en instituties. Fraude heeft bovendien een aanzuigende werking op personen die van de klaarblijkelijke gelegenheid om te frauderen, gebruik willen maken. Zo is fraude de laatste jaren een thema geworden dat met enige regelmaat politieke aandacht heeft gekregen.

5.2. Aanpak van misbruik en identiteitsfraude

Dit wetsvoorstel, de bijbehorende uitvoeringsregelgeving en de voorschriften die aan private aanbieders van toegelaten en erkende identificatiemiddelen en – diensten zullen worden opgelegd, zijn gericht op realisering van een betrouwbaar proces bij de inrichting van de toegang tot elektronische dienstverlening door de (semi)overheid. Daarbij gaat het om kaderstellende informatiebeveiliging, dat wil zeggen beveiliging gericht op het treffen van maatregelen vooraf. Misbruikbestrijding is in die relatie te beschouwen als ‘actieve informatiebeveiliging’. Daarmee wordt bedoeld dat gedurende het gebruik van de systemen actief op zoek wordt gegaan naar bestaande en mogelijk nieuwe dreigingen, waarbij ook proactief maatregelen getroffen worden om negatieve gevolgen te voorkomen of te minimaliseren. Uiteraard moet ook de houder (gebruiker) van een uitgegeven identificatiemiddel zelf maatregelen nemen om misbruik, diefstal, verlies of verspreiding van zijn elektronisch identificatiemiddel te voorkomen.

Er zijn twee hoofdtaken bij misbruikbestrijding. In de eerste plaats moet misbruik worden ontdekt en herkend. Daaronder kan actieve monitoring, detectie, analyse en proactieve kennisopbouw worden verstaan. Ten tweede is er de taak om, indien het resultaat van de herkenning daartoe aanleiding geeft, herstel- en noodmaatregelen te treffen om snel en adequaat dreigingen weg te nemen en de veiligheid en de betrouwbaarheid borgen. Het nemen van maatregelen door de aanbieders van toegelaten of erkende identificatiemiddelen en van erkende diensten en door bestuursorganen en aangewezen organisaties om compromittering van de toegang tot elektronische diensten te voorkomen en te beëindigen maakt onderdeel uit van de zorg voor de betrouwbaarheid en beveiliging, alsmede door de minister te nemen (nood)maatregelen, bijvoorbeeld het onderbreken van de toegang tot elektronische dienstverlening via een welbepaald middel bij het vermoeden van misbruik of oneigenlijk gebruik en het onderbreken (afsluiten) van de toegang tot dienstverlening van een bestuursorgaan of aangewezen organisatie, op het moment dat daar sprake is van een ernstige verstoring. Door te voorzien in deze maatregelen wordt beoogd om de betrouwbaarheid en de veiligheid van de toegang te kunnen blijven borgen dan wel vlot en gericht te kunnen herstellen en worden burgers, bedrijven en overheden beschermd.

5.3. Herstel- en noodmaatregelen

In geval van herkend (geconstateerd) misbruik of waarschijnlijke mogelijkheid daartoe zal een toegelaten of erkende private partij, of de minister als verantwoordelijke voor betrouwbare toegang in het publieke domein, herstellend op moeten treden om het misbruik dan wel het vastgestelde risico per direct weg te nemen. Dit betekent dat voor de misbruikmaker de mogelijkheid tot misbruik wordt weggenomen en de betrokken burgers of bedrijven in hun belang worden beschermd. Al naar gelang de situatie zullen herstel- en noodmaatregelen op maat moeten worden getroffen. Gelet op de mogelijke impact die dergelijke maatregelen kunnen hebben zal bij de (risico)afweging advies worden ingewonnen bij ter zake kundigen.

Voor de volledigheid wordt opgemerkt dat de hieronder beschreven maatregelen een reparerend en beschermend karakter hebben. Zij dienen geen punitief (bestraffend) doel.

Onderstaand worden herstel- en noodmaatregelen besproken. Een maatregel kan een tijdelijk (preventief) of permanent effect beogen, afhankelijk van de situatie. Maatregelen kunnen zich richten tot gebruikers (burgers en bedrijven), dienstverleners, toegelaten of erkende private partijen, danwel kunnen gericht zijn op bescherming van de toegang tot elektronische dienstverlening zelf.

In het wetsvoorstel wordt erin voorzien dat de minister, om zijn taken en verantwoordelijkheden voor een veilige en betrouwbare elektronische authenticatie in het publieke domein waar te maken, beschikt over voldoende bevoegdheden om (bijzondere) maatregelen te nemen.

Maatregelen ten behoeve van- en gericht tot gebruikers

In de wet wordt gesproken over ‘onderbreken’ om aan te geven dat het om een tijdelijke maatregel gaat die zich richt op tijdelijke onbruikbaarheid van een identificatiemiddel. Bij onderbreking is ‘deblokkering’ van een middel mogelijk, waardoor het gebruik kan worden voortgezet. Van ‘intrekking’ of ‘revocatie’ wordt gesproken om aan te geven dat een gebruik van een identificatiemiddel definitief onbruikbaar wordt gemaakt. Voor hernieuwd gebruik of toegang dient opnieuw een middel te worden aangevraagd.

Onderbreking van een identificatiemiddel voor een gebruiker

Een herstelmaatregel gericht op burgers en bedrijven kan zijn het tijdelijk blokkeren van een welbepaald identificatiemiddel. Dit kan worden ingezet op het moment dat er aanwijzingen zijn dat bijvoorbeeld een identificatiemiddel gecompromitteerd (gestolen) is en misbruikt wordt, maar dat dit nog niet onomstotelijk is vastgesteld. Op dat moment wordt het door blokkering van het middel onmogelijk gemaakt om het te gebruiken voor elektronische authenticatie. Indien na nader onderzoek blijkt dat geen sprake is van misbruik, kan het middel worden gedeblokkeerd, waarna het wordt vrijgegeven aan de gebruiker. Voor de gebruiker geeft blokkering binnen de context de minste hinder, omdat de maatregel een tijdelijk karakter heeft. Ook wordt de gebruiker preventief beschermd. Bij onterechte blokkering ondervindt de gebruiker weliswaar ongemak, maar deze hoeft na vrijgave geen nieuw middel aan te vragen. Overigens is het ook mogelijk dat blokkering vooraf gaat aan een permanente maatregel, waarbij na gebleken misbruik een identificatiemiddel uiteindelijk wordt ingetrokken.

Intrekken van identificatiemiddelen wegens misbruik43

Hierbij moet gedacht worden aan het intrekken van identificatiemiddelen of het intrekken van elektronische registratie van machtigingen, op het moment dat misbruik wordt vermoed of gesignaleerd. Dit kan bijvoorbeeld nodig zijn als middelen worden gestolen, of wachtwoorden onderschept, waardoor de betrouwbaarheid van het middel niet meer kan worden gegarandeerd. Voorbeelden waarin dergelijke maatregelen in het verleden zijn getroffen zijn identiteitsfraudes met DigiD waarbij DigiD codes van gebruikers uit brievenbussen zijn gehengeld en vervolgens misbruikt.44

Onderbreking van de toelating of erkenning

In het wetsvoorstel is de mogelijkheid voorzien om als tijdelijke maatregel een toegelaten of erkende partij te onderbreken (uit de lucht te halen, schorsen), als deze niet aan de hem opgelegde (veiligheids)eisen voldoet.

Onderbreking van toegang tot dienstverlening

Ten slotte is het voor Onze Minister mogelijk om voor een of meer dienstverleners hun toegang tot de dienstverlening te onderbreken als er bij de betreffende dienstverleners ernstige en acute beveiligingsgebreken blijken te zijn, die direct van invloed zijn op de beveiliging van de toegang tot elektronische dienstverlening. Dit is bijvoorbeeld gebeurd naar aanleiding van de gebleken beveiligingsgebreken bij verscheidene afnemers van DigiD tijdens Lektober, waarbij Logius een groot aantal gemeenten acuut heeft afgesloten. Door het geconstateerde lek bleek het mogelijk om in de systemen van op DigiD aangesloten dienstverleners DigiD-gegevens van burgers te bemachtigen. Deze situatie heeft de aanleiding gevormd voor het instellen van de beveiligingsassessments, waarmee is beoogd om deze situaties zoveel mogelijk te voorkomen.

5.4. Ketensamenwerking en toezicht bij misbruikbestrijding

Voor bovenstaande activiteiten voor misbruikbestrijding is randvoorwaardelijk dat door de verschillende verantwoordelijken voor de toegang tot elektronische dienstverlening wordt samengewerkt. Immers misbruik van toegang tot elektronische dienstverlening zal zich kunnen manifesteren tussen en over losse componenten van de keten heen.

Elk onderdeel voor toegang tot elektronische dienstverlening (de toegelaten en erkende partijen alsmede de bestuursorganen en aangewezen organisaties) vervult een deel van een bovenliggend proces. Misbruik en de misbruikmaker kunnen in feite dezelfde route volgen, waarbij misbruik in een schakel, bijvoorbeeld een gecompromitteerd identificatiemiddel, kan uitwaaieren naar misbruik bij diverse andere schakels en organisaties binnen – en buiten – de toegang tot elektronische dienstverlening.

Om misbruik effectief te kunnen aanpakken en ‘uit de keten’ te kunnen halen is daarom samenwerking en informatie-uitwisseling noodzakelijk. Om te voorkomen dat door onduidelijkheid in verantwoordelijkheidsverdeling misbruik niet of slechts ten dele wordt opgepakt, is voorts regievoering daarop noodzakelijk.

In het wetsvoorstel is voor de minister de mogelijkheid opgenomen om bij bestuursorganen en aangewezen organisaties en bij (private) aanbieders van een toegelaten identificatiemiddel en een erkend identificatiemiddel of erkende dienst informatie op te vragen om maatregelen te kunnen nemen om compromittering van de veilige en betrouwbare toegang tot elektronische dienstverlening te voorkomen of beëindigen. Daarmee wordt, naast de zorgplicht voor ‘zijn’ voorzieningen, ook een rol beoogd voor de minister voor integrale misbruikbestrijding binnen de toegang tot elektronische dienstverlening. Om zijn rol adequaat te kunnen invullen is het belangrijk dat informatie over beveiligings- en integriteitsinbreuken, misbruik of oneigenlijk gebruik, snel ter beschikking komt van de minister. Daarom is in het wetsvoorstel de verplichting opgenomen voor bestuursorganen en aangewezen organisaties om de minister uit eigen beweging en onverwijld in kennis te stellen van een inbreuk op de beveiliging of de integriteit van een eigen voorziening voor elektronische dienstverlening, of als misbruik of oneigenlijk gebruik ervan wordt geconstateerd. Daarbij dient alle benodigde informatie te worden meegeleverd. Deze verplichting maakt het voor de minister mogelijk om snel en adequaat te reageren.

Voor het effectief tegengaan van misbruik, is het van belang dat de minister niet alleen informatie ontvangt en maatregelen kan nemen om een veilige en betrouwbare toegang te borgen of te herstellen, maar ook bestuursorganen, aangewezen organisaties en private aanbieders van toegelaten middelen of erkende diensten op de hoogte stelt van compromittering van de toegang tot elektronische dienstverlening, zodat zij voor zichzelf maatregelen kunnen nemen. De verplichting voor de minister om dergelijk informatie te verstrekken is geregeld in het wetsvoorstel.

Misbruikbestrijding wordt in het onderhavige wetsvoorstel vormgegeven als een operationele beheertaak. Dit betekent dat herkenning van misbruik en het treffen van herstel- en noodmaatregelen de verantwoordelijkheid is van alle betrokkenen in de keten. Het toezicht op de naleving van de wet bestaat er in dit verband uit dat de toezichthouder controleert of misbruikbestrijding als beheertaak is ingericht. De toezichthouder houdt zich nadrukkelijk zelf niet bezig met het herkennen van misbruik en het treffen van herstel of noodmaatregelen. De toezichthouder controleert derhalve of processen zijn ingericht en of de organisatie operationeel in staat is om misbruik te bestrijden. Dit houdt overigens in dat de organisatie informatie moet kunnen verschaffen waaruit dit aantoonbaar blijkt.

6. Toezicht en handhaving

6.1. Inleiding

Het toezicht op de naleving van de verplichtingen in dit wetsvoorstel richt zich niet rechtstreeks op burgers. Burgers bepalen zelf of ze toegelaten publiek of privaat inlogmiddel willen gebruiken. De minister kan op verzoek van een burger diens DigiD laten blokkeren of opheffen. Voorts kan de minister de toegang tot elektronische dienstverlening via een bepaald middel onderbreken bij het vermoeden van misbruik of oneigenlijk gebruik van het desbetreffende middel. Indien een privaat middel is toegelaten worden signalen van fraude of misbruik gedeeld met de verantwoordelijke aanbieder van een privaat inlogmiddel teneinde het middel in de voorkomende gevallen te laten blokkeren.

6.2. Toezicht op bestuursorganen en aangewezen organisaties

De digitale dienstverlening van bestuursorganen en aangewezen organisaties is allereerst een aangelegenheid van de desbetreffende organen en organisaties zelf. Een goede taakuitvoering door hen vergt ook naleving van de aan hen gestelde normen, zoals de acceptatieplicht en het voldoen aan de eisen met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de elektronische dienstverlening. Voorts geldt voor bestuursorganen (en eventueel rechtspersonen met een wettelijke taak) het verplicht gebruik van bij algemene maatregel van bestuur voorgeschreven standaarden. Voor wat betreft de naleving van deze wet door bestuursorganen, aangewezen organisaties (en rechtspersonen met een wettelijke taak waar het de open standaarden betreft) geldt het reguliere toezicht en de reguliere ministeriële verantwoordelijkheid. Voor de overheidsorganen op niveau van het rijk en de aangewezen organisaties is daarbij voorzien in het aanwijzen van toezichthouders. In deze paragraaf zal worden ingegaan op wat dat betekent voor de verschillende dienstverleners.

De centrale overheid

Waar de ministeries zelf als dienstverlener uitvoering geven aan het wetsvoorstel, is het aan de betrokken ministers er voor zorg te dragen dat de eigen uitvoeringsorganisaties, zoals de belastingdienst, dit wetsvoorstel naleven. Voor de zelfstandige bestuursorganen op het niveau van de centrale overheid, zoals het Uitvoeringsinstituut werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB), geldt dat de naleving van het wetsvoorstel (eveneens) in eerste instantie een eigen verantwoordelijkheid van deze bestuursorganen zelf betreft. Dit wetsvoorstel creëert geen nieuwe, formele toezichtsbevoegdheden ten aanzien van deze zelfstandige bestuursorganen. Dit betekent dat de minister, ook al is deze overheidstaak op afstand gezet, vanuit zijn algemene ministeriële verantwoordelijkheid de betrokken zelfstandige bestuursorganen zo nodig tot naleving dient te bewegen.

De aangewezen organisaties

Het streven is om het toezicht op de aangewezen organisaties en overheidsorganen op het niveau van het rijk ook zo veel als mogelijk binnen de bestaande toezichtstructuren en met gebruik van bestaande instrumenten te laten plaatsvinden. Om dit te kunnen realiseren, is de vakminister op grond van dit wetsvoorstel gehouden om personen aan te wijzen die belast zijn met het toezicht op de naleving van dit wetsvoorstel door deze aangewezen organisaties. De vakminister kan hier reeds bestaande toezichthouders dan wel nieuwe toezichthouders aanwijzen.

De decentrale overheden

In lijn met de Wet revitalisering generiek toezicht is het toezicht van de hogere overheid op de naleving van het wetsvoorstel door de lagere overheid (interbestuurlijk toezicht) sober en terughoudend. Decentrale overheden zijn zelf verantwoordelijk voor de naleving van de wet en er wordt op vertrouwd dat de taken op het niveau waarop deze zijn belegd toereikend worden opgepakt. Het primaat voor de controle op de naleving ligt bij de horizontale verantwoording binnen een bestuurslaag. Het gaat dan om het toezicht op een juiste en toereikende naleving. In de tweede plaats komt pas het interbestuurlijk toezicht op de decentrale overheden, conform het beginsel dat slechts één bestuurslaag – de naast hoger gelegen bestuurslaag – toezicht houdt. In lijn met dit beginsel houdt de Minister toezicht op overheidsorganen op het niveau van de provincies en houden provincies toezicht op overheidsorganen op het niveau van gemeenten. Dit wetsvoorstel verplicht het provincies om de minister te informeren over de (mate van) naleving door overheidsorganen op het niveau van gemeenten. Het interbestuurlijk toezicht biedt de naast hoger gelegen bestuurslaag (uitsluitend) de mogelijkheden tot repressief ingrijpen, te weten schorsing en vernietiging bij handelen in strijd met het recht of het algemeen belang (door de Kroon) en in uiterste gevallen indeplaatsstelling (bij taakverwaarlozing).

Toezicht op informatieveiligheid bij dienstverleners door middel van audits

Een kwetsbaarheid in de ICT-systemen die de toegang tot de elektronische diensten verzorgen, vormt niet alleen een risico voor het desbetreffende bestuursorgaan of aangewezen organisatie, maar vormt een risico voor de gehele authenticatieketen. Om die reden kent het toezicht op de naleving van de eisen aan de werking, betrouwbaarheid en beveiliging van de toegang van de elektronische dienstverlening van de bestuursorganen en aangewezen organisaties, naast de bestaande toezichtstructuren, een aanvullende verplichting. In aanvulling op het generiek toezicht moet het bestuursorgaan of de aangewezen organisatie regulier een verklaring van een auditor aan de minister overleggen. Deze auditor toetst of de dienstverlener aan de eisen voldoet. De verklaring van de auditor sluit aan bij de systematiek die thans gehanteerd wordt bij de aansluiting op DigiD. Op grond van de DigiD-aansluitvoorwaarden dienen alle afnemers (deze groep komt naar verwachting goeddeels overeen met de bestuursorganen en aangewezen organisaties in de zin van dit wetsvoorstel) jaarlijks een audit te laten uitvoeren en de auditverklaring aan de minister te doen toekomen. In lijn met de huidige praktijk bieden de auditverklaringen allereerst een handvat voor gesprek en verdere afspraken over de benodigde verbeteringen. Wanneer uit de rapporten van de auditor gebrekkige naleving blijkt of bestuurlijke afspraken stelselmatig niet nagekomen worden, kan de minister tegen medeoverheden optreden, met indeplaatsstelling als uiterste middel.

Noodmaatregel

Als uit de te overleggen auditverklaringen blijkt, dat de informatieveiligheid in het geding is ten gevolge van een ernstige storing of aantasting danwel misbruik of ongeoorloofd gebruik van de toegang tot elektronische dienstverlening en ook na aanmaningen de benodigde verbeteringen niet worden aangebracht, zal als uiterste middel de bevoegdheid tot het (doen) onderbreken van de toegang tot elektronische dienstverlening van een bestuursorgaan of een aangewezen organisatie uitkomst bieden. Ook het stelselmatig niet overleggen van een auditverklaring of anderszins gebrekkig naleven van de bij of krachtens algemene maatregel van bestuur te stellen regels met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische dienstverlening, in stand houden, kan aanleiding vormen om bestuursorganen of aangewezen organisaties af te sluiten van het gebruik van een publiek identificatiemiddel of een toegelaten privaat middel.

6.3. Toezicht op de houder(s) van een toelating

Indien een privaat middel door de minister wordt toegelaten voor authenticatie in het publieke domein, bevat het besluit tot toelating een omschrijving van het betrouwbaarheidsniveau van het identificatiemiddel, de duur waarvoor de toelating is verleend, de verplichtingen van de houder van de toelating en, indien van toepassing, de prijs die de houder betaalt of de subsidie die de minister aan de houder verstrekt.

Aanwijzing toezichthoudende ambtenaren

Met het toezicht op de naleving van de verplichtingen voor de houder, worden belast de bij besluit van de minister aangewezen ambtenaren. Nader bezien zal worden of het opportuun is om ambtenaren van het Agentschap Telecom danwel van een andere Rijksinspectie aan te wijzen. Wanneer werkzaamheden, die worden gereguleerd door het wetsvoorstel, door de houder van een toelating worden uitbesteed aan onderaannemers, zijn deze onderaannemers net als de houder verplicht aan de toezichthoudende ambtenaren de benodigde medewerking te verlenen. De aangewezen ambtenaren geven invulling aan de rol van toezichthouder met inachtneming van de Aanwijzingen inzake Rijksinspecties45 zodat de onafhankelijke informatieverzameling, oordeelsvorming en interventie verzekerd is. De toezichthouder zoekt bij de invulling van zijn taak afstemming met andere toezichthouders die op dit taakveld eigenstandige taken en bevoegdheden kennen.46 Ratio hierachter is onder andere de vermindering van de toezichtlast voor bedrijven.

De toezichthouder heeft op grond van de Algemene wet bestuursrecht de bevoegdheid om te allen tijde zelf een inspectie of audit uit te voeren. De toezichthouder stelt niet alleen vast of (management)processen bestaan, maar kent waar nodig een focus op de inhoud van processen en de werking van die processen in de praktijk. De ervaringen met het incident DigiNotar benadrukken de noodzaak hiervan. Zie het Onderzoeksrapport van de Raad voor de Veiligheid, het DigiNotarincident, Waarom digitale veiligheid de bestuurstafel te weinig bereikt, 2012.47

Wanneer de daartoe aangewezen ambtenaren vaststellen dat de houder van een toelating een of meer van de regels niet (meer) naleeft, zullen zij in beginsel eerst met de betrokken partij in contact treden om deze alsnog binnen een bepaalde termijn in overeenstemming met de gestelde regels te laten handelen. Als het gewenste resultaat uitblijft of te lang op zich laat wachten, zullen de daartoe aangewezen ambtenaren overgaan tot het initiëren van formele handhaving door de minister, wat tot gevolg heeft dat de toelating van een privaat middel als zodanig of de aansluiting van de systemen van de private aanbieder op het BSN-koppelregister (al dan niet tijdelijk) feitelijk wordt beëindigd. Dit laat echter onverlet dat de toezichthouder, indien de aard en de ernst van de overtreding dit vereist, zonder voorafgaand overleg met de betrokken private partij het nemen van deze maatregelen kan initiëren. Indien de aangewezen ambtenaren van oordeel zijn dat een houder de verplichtingen in het besluit tot toelating niet (langer) naleeft, kunnen zij de minister adviseren om tot schorsing of intrekking van de erkenning over te gaan. Uiteindelijk is het de minister die hierover beslist, aangezien het intrekken of schorsen van de toelating van middel een instrument is waarvan de aard zich tegen mandatering verzet.

6.4. Toezicht op de erkende diensten en bedrijfs- en organisatiemiddelen

Als bedrijven inloggen in het publieke domein, zijn daarbij authenticatiediensten, machtigingsdiensten, attributendiensten en ontsluitende diensten betrokken. Deze – private – diensten moeten,naast de identificatiemiddelen zelf,aan eisen voldoen om erkend te worden door de minister van BZK alvorens ze in het publieke domein hun diensten mogen aanbieden. Om erop toe te zien dat de betrokken partijen ook na hun erkenning aan de gestelde eisen blijven voldoen, is de aanwijzing van een toezichthouder onontbeerlijk. De minister van BZK wijst bij besluit ambtenaren aan om toezicht te houden op de naleving van de verplichtingen, die gelden voor de erkende diensten. Het Agentschap Telecom is de logische keuze voor de taak van toezichthouder op erkende diensten, gezien de (technische) expertise en de ervaring op het gebied van elektronische communicatie en – netwerken, in het bijzonder in relatie tot de EU-verordening over het grensoverschrijdend gebruik van elektronische middelen en vertrouwensdiensten tussen lidstaten (eIDAS). Thans vervult het Agentschap Telecom de secretariaatsfunctie voor de Commissie van Deskundigen voor het toezicht op het Elektronische Toegangsdiensten-stelsel.

Instrumentarium

De eerste waarborg om conformiteit af te dwingen, is dat middelen en diensten gecertificeerd moeten zijn. Een erkende dienst is gebonden aan de bij algemene maatregel van bestuur te stellen regels en de aan de erkenning verbonden voorschriften en beperkingen. Conformiteitsbeoordeling van de erkende dienst door een hiertoe geaccrediteerde instelling speelt niet alleen een rol in het kader van de procedure van aanvraag van een erkenning. Onderdeel van het conformiteitsbeoordelingsschema is een periodieke herbeoordeling van de normconformiteit, die in opdracht van de erkende partij wordt uitgevoerd door een hiertoe geaccrediteerde instelling.

De door de minister van BZK aan te wijzen toezichthouder kan bij de uitoefening van zijn toezicht gebruik maken van de rapportages die de erkende partij in dit verband laat vervaardigen. Deze rapportages en verklaringen die door conformiteit beoordelende instellingen op basis daarvan worden afgegeven, ontslaan de toezichthouder echter nooit van zijn eigenstandige verantwoordelijkheid om waar nodig op basis van eigen informatie en eigen onderzoek een oordeel te vormen over de mate van normconformiteit. Hiermee sluit dit wetsvoorstel aan bij het kabinetsstandpunt inzake certificering in relatie tot toezicht.48 Wanneer uit constatering van de toezichthouder blijkt dat niet (langer) wordt voldaan aan de bij algemene maatregel van bestuur gestelde regels en de aan de erkenning verbonden voorschriften en beperkingen, kan de minister van BZK de verleende erkenning voor een bij dat besluit te bepalen periode schorsen of intrekken. De minister van BZK is tevens bevoegd tot het opleggen van een last onder bestuursdwang.

6.5. Veiligheidsinbreuk

Het nemen van maatregelen, die tot doel hebben de veiligheid van aangeboden diensten in de authenticatieketen op passende wijze te waarborgen, kunnen het risico op veiligheidsinbreuken of verlies van integriteit verminderen, maar niet volledig uitsluiten. Indien zich een incident met diensten in de authenticatieketen voordoet, dient vertrouwen zoveel mogelijk behouden te blijven of te worden hersteld. Een bestuursorgaan of een aangewezen organisatie is verplicht de minister onverwijld in kennis te stellen van een inbreuk op de beveiliging of de integriteit van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening. Bestuursorganen en aangewezen organisaties zijn verplicht een veiligheidsinbreuk of integriteitsverlies van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening, zo spoedig mogelijk, na ontdekking te melden bij de minister.

Indien het algemeen belang daarmee wordt gediend, kan het nodig zijn om het publiek te informeren over een veiligheidsinbreuk of integriteitsverlies. Doel hiervan is het bevestigen en waar nodig herstellen van het vertrouwen van het publiek, de klanten, de markt, de overheid en de toezichthouders in de desbetreffende instelling of het desbetreffende bedrijf en in elektronische identificatie en authenticatie bij de overheid in het algemeen.

Ten algemene dient niet te snel te worden aangenomen dat een melding op grond van deze wetgeving achterwege kan blijven. Gelet op de ernst en omvang van de gevolgen die een incident bij een bestuursorgaan of aangewezen organisatie in de authenticatieketen kan veroorzaken, dient deze plicht ruim opgevat te worden. Dat wil zeggen dat ook sprake is van aanzienlijke gevolgen indien een incident aanzienlijke gevolgen voor de verleende dienst kan hebben, ongeacht of het zeker is dat die zullen intreden. En in geval van gerede twijfel over de vraag hoe groot de gevolgen daadwerkelijk zouden kunnen zijn, dient eveneens tot melding te worden overgegaan. Indien daarentegen vaststaat dat een veiligheidsinbreuk of integriteitsverlies slechts beperkte impact heeft en de inbreuk snel en adequaat kan worden hersteld, kan een melding achterwege blijven.

Ook de eidas-verordening (artikel 19 lid 2) kent een meldplicht. Deze geldt voor verleners van vertrouwensdiensten, welke veelal zullen samenvallen met private aanbieders van erkende diensten en middelen (bedrijven) en van toegelaten middelen (burgers). Met dit wetsvoorstel wordt de meldplicht ook toepasselijk voor bestuursorganen en aangewezen organisaties. De meldplicht uit de eidas-verordening en uit dit wetsvoorstel zijn, mede ter beperking van administratieve lasten, gelijksoortig vormgegeven.

Verstrekken inlichtingen op verzoek

Naast de informatie, die de minister op grond van de meldplicht krijgt, ontvangt hij desgevraagd gegevens en inlichtingen van bestuursorganen, aangewezen organisaties, de minister van BZK, aanbieders van een toegelaten identificatiemiddel of erkend identificatiemiddel of erkende dienst. Het betreft inlichtingen die de minister nodig heeft om maatregelen te kunnen nemen om inbreuk op de veilige en betrouwbare toegang tot elektronische dienstverlening te voorkomen of beëindigen. De minister verstrekt op zijn beurt aan deze partijen inlichtingen over een inbreuk op de veilige en betrouwbare toegang tot elektronische dienstverlening voor zover dit noodzakelijk is voor een goede uitoefening van hun taken of te verlenen diensten in het kader van deze wet.

7. Financiële bepalingen en -gevolgen

7.1. Inleiding

Voorop staat dat alle bij dit wetsvoorstel betrokken partijen financiële gevolgen zullen ondervinden van het wetsvoorstel. De ontwikkeling van deze gevolgen in de tijd is van een aantal variabelen afhankelijk, zoals de mate waarin gebruik wordt gemaakt van de diverse identificatiemiddelen, de individuele inrichting van de interne ICT-voorzieningen en de mate waarin partijen de komende jaren bij aanpassing van hun ICT-voorzieningen (kunnen) voorsorteren op de nieuwe situatie.

De belangrijkste kostencomponenten van dit wetsvoorstel zijn:

  • De kosten van de infrastructuur, waaronder de kosten van instandhouding, beheer en exploitatie van publieke voorzieningen zoals het BSN-Koppelregister49, de machtigingsvoorziening en de routeringsvoorziening50

  • De kosten van ontwikkeling, instandhouding, beheer en exploitatie van de publieke authenticatiedienst en de uitgifte van publieke middelen,

  • De kosten die dienstverleners maken om aan te sluiten zodat burgers en bedrijven met de toegelaten en erkende identificatiemiddelen toegang tot hun elektronische dienstverlening kunnen krijgen.

  • De kosten als gevolg van het gebruik van het identificatiemiddel door burgers en bedrijven.

7.2. Financiële bepalingen
Grondslag voor doorberekening aan dienstverleners

De kosten die het Rijk maakt samenhangend met het realiseren van publieke identificatiemiddelen en voorzieningen, en het eventueel toelaten van private middelen en toezicht op de naleving van toelatingseisen, worden door de minister ten laste gebracht van de bestuursorganen en aangewezen organisaties. Bij ministeriële regeling worden hierover nadere regels gesteld. Op dit moment is het nog niet goed mogelijk om de totale kosten in beeld te brengen. De ontwikkeling van de kosten van de infrastructuur voor authenticatie is van een aantal factoren afhankelijk. Kosten van publieke middelen en de infrastructuur hangen grotendeels samen met de mate van gebruik van alle publieke middelen (ook in verhouding tot elkaar), wat nog onvoorspelbaar is.51 Het gebruik evenals exogene technologische ontwikkelingen zullen periodiek nieuwe en aanvullende eisen stellen aan de infrastructuur. Kosten van beheer, exploitatie en doorontwikkeling zullen daarom pas gedurende de rit volledig duidelijk worden. Het uitgangspunt is dat de kosten van het gebruik van het publieke authenticatiemiddel naar rato van gebruik worden doorbelast aan dienstverleners. Er is wel een redelijk beeld van de kosten die op korte termijn gepaard gaan met een stapsgewijze uitrol van een robuuste infrastructuur voor authenticatie en identificatie, inclusief eventuele toelating en toezicht. Het gaat dan om de kosten van de basisinrichting en, onder bepaalde veronderstellingen, voor het gebruik. De kosten van de uitrol zullen via de begroting worden gedekt en departementen dragen hieraan naar rato bij. Daarbij is het uitgangspunt uiteraard dat de uitrol zo doelmatig mogelijk wordt uitgevoerd en budgetten disciplinerend werken, zonder daarbij uit het oog te verliezen dat een toekomstbestendige financieringsstrategie moet kunnen mee-ademen met de implicaties van meergebruik en nieuwe technologische eisen.

Grondslag voor het heffen van leges

Het kabinet wil de aanschafkosten van de publieke middelen verbonden aan e-rijbewijs en e-NIK via het heffen van leges bij de gebruiker in rekening brengen.52 Via de leges worden de kosten van het identificatiemiddel zelf en de verstrekking ervan in rekening gebracht bij degenen die het middel aanschaffen. Voor het heffen van de leges voor de kosten van het plaatsen van de chip op de NIK bestaat reeds een wettelijke basis in de Paspoortwet. Dit wetsvoorstel bevat een voorstel tot wijziging van de Wegenverkeerswetgeving voor het creëren van een wettelijke grondslag voor het heffen van leges, die de kosten van het plaatsen van de chip op het e-rijbewijs dekken. Ten slotte voorziet het wetsvoorstel in een grondslag voor het vaststellen van een tarief voor publieke middelen, waarvan het tarief niet in een ander wettelijk voorschrift wordt geregeld. Of hiervoor daadwerkelijk een tarief wordt gesteld is afhankelijk van de daadwerkelijke kosten van uitgifte van dit middel.

Doorberekening kosten van erkenning en toezicht op naleving erkenningseisen

Het wetsvoorstel regelt dat de minister van BZK de kosten voor het behandelen van een erkenningsaanvraag, alsmede voor het toezicht op de naleving van de aan de erkende dienst opgelegde eisen, kan doorberekenen aan de erkende private dienst. Voor wat betreft de doorberekening van de kosten van toezicht is de uitgebrachte voorlichting van de Afdeling advisering van de Raad van State van belang. Uitgangspunt hierin is dat de kosten van toezicht in beginsel uit de algemene middelen moeten worden voldaan, omdat het belang van het (doen) naleven van regels de gemeenschap in haar geheel dient. Bij de vaststelling van de uitvoeringsregelgeving zal belang worden gehecht aan het feit dat het voorzien in identificatiemiddelen, of een ontsluitende dienst of machtigings- of attributendienst geen (klassieke) overheidstaak betreft en het derhalve niet vereist is dat de kosten van toezicht uit de algemene middelen worden voldaan. Voorts gaat de regering ervanuit dat het aantal partijen waarop op grond van dit wetsvoorstel toezicht zal worden gehouden overzichtelijk zal zijn, zodat er geen pragmatische redenen zijn om deze kosten niet door te belasten.

7.3. Financiële gevolgen
Voor de gebruikers (burgers en bedrijven)

In de nieuwe situatie zal de gebruiker verschillende middelen kunnen afnemen om zich bij dienstverleners elektronisch te kunnen identificeren. Bij de publieke identificatiemiddelen op het hoogste niveau, het e-rijbewijs en de e-NIK, wordt een gedeelte van de kosten die het Rijk maakt al gedekt doordat bij het uitgifteproces gebruik gemaakt wordt van het uitgifteproces van de fysieke documenten en vindt er via het heffen van leges een verplichte doorberekening van de extra kosten voor de vervaardiging van deze documenten plaats aan de burgers, die het middel aanschaffen. Ingevolge het wetsvoorstel wordt per publiek identificatiemiddel de hoogte van het bedrag vastgesteld en de wijze van betaling worden vastgesteld voor zover deze vergoeding niet krachtens een andere wet wordt vastgesteld. De kosten van het gebruik van de publieke identificatiemiddelen zijn niet voor rekening van de gebruiker; deze worden doorbelast aan de dienstverlener.

De door de minister van BZK erkende private partijen zijn op grond van dit wetsvoorstel vrij om bedrijven te laten betalen voor de aanschaf- of het gebruik van het identificatiemiddel, dat zij aanbieden. Er zullen naar verwachting verschillende authenticatiediensten worden erkend, waardoor bedrijven kunnen kiezen met welk identificatiemiddel zij willen inloggen in het publieke domein. Indien de private partijen, die een identificatiemiddel voor bedrijven aanbieden, te hoge tarieven zullen stellen voor de gebruiker voor de aanschaf of het gebruik van het middel, zullen zij zichzelf vanzelf uit de markt prijzen en zijn hun ontwikkelingskosten voor niets geweest. Prijsstelling kan daarom worden overgelaten aan de marktwerking.

Voor dienstverleners

Uitgangspunt is dat de dienstverleners (zoals de belastingdienst, het Uitvoeringsinstituut werknemersverzekeringen, de Sociale Verzekeringsbank, gemeenten, ziektekostenverzekeraars etc.) bij de verlening van hun diensten de kosten dragen voor het identificeren van burgers en bedrijven. Dit geldt evenzeer bij digitale identificatie en authenticatie, waarbij toegelaten of erkende middelen worden gebruikt. Dienstverleners worden niet door het Rijk gecompenseerd voor het feit dat zij – voor zover zij diensten verlenen op betrouwbaarheidsniveau substantieel of hoog – als gevolg van dit wetsvoorstel hun digitale infrastructuur moeten aanpassen om de toegelaten en erkende identificatiemiddelen te kunnen accepteren. Naast kosten zullen dienstverleners baten genereren door het gebruik van een generieke, betrouwbare infrastructuur voor het digitaal inloggen. Zij zullen meer diensten aan burgers of bedrijven digitaal kunnen verlenen en door de hogere betrouwbaarheid van de inlogmethoden minder risico’s lopen. Het is niet goed mogelijk om de precieze kosten van aansluiting en het gebruik van de identificatiemiddelen, en de baten hiervan vooraf te kwantificeren. De kostencomponenten zijn helder. Deze worden hieronder uiteengezet.

Voor rekening van de dienstverleners komen in de eerste plaats de kosten voor het aansluiten op de routeringsvoorziening in het geval dat sprake is van digitale dienstverlening (op betrouwbaarheidsniveau substantieel of hoog) aan burgers. Indien sprake is van digitale dienstverlening aan bedrijven zijn er kosten voor aansluiting op de ontsluitende dient. Ook zal de interne digitale infrastructuur geschikt gemaakt moeten worden om met de berichten van de routeringsvoorziening en/of ontsluitende dienst te kunnen werken en (zo nodig) om aan de regels inzake de betrouwbaarheid en beveiliging van de toegang tot elektronische diensten te voldoen. Eventuele kosten zijn sterk afhankelijk zijn van de specifieke, individuele, ICT-voorziening van die dienstverlener. Het aansluiten op de routeringsvoorziening brengt mee dat de dienstverlener op grond van dit wetsvoorstel regulier een audit moeten laten uitvoeren door een auditor om te toetsen of de digitale infrastructuur van de dienstverlener voldoet aan de hiervoor bedoelde regels. Verwacht wordt dat de kosten van deze audit liggen in de orde van grootte van de huidige DigiD-assesments die reeds jaarlijks plaatsvinden.

Daarnaast zullen de dienstverleners betalen naar rato van gebruik van de identificatiemiddelen en, indien aan de orde, voor het inschakelen van de machtigingsdienst of attributendienst.

In het geval dat de minister een of meerdere private identificatiemiddelen toelaat ten behoeve van authenticatie in het publieke domein, zal de tariefstelling voor het gebruik van het middel centraal geschieden op basis van afspraken, die aan de toelating worden verbonden. Gekozen is om centraal afspraken te maken met een aanbieder van een privaat middel, omdat een dienstverlener verplicht is de toegelaten middelen te accepteren, waardoor zijn onderhandelingsvrijheid bij het maken van prijsafspraken voor deze dienstverlening afwezig tot (zeer) beperkt is. Op voorhand valt de prijsstelling niet te bepalen. De marktconsultatie, die vooraf gaat aan het stellen van toelatingseisen, verschaft de minister de benodigde informatie over een redelijke prijsstelling. Van potentiële aanbieders van een privaat middel is de benodigde infrastructuur al voor een aanzienlijk deel bekostigd (bijvoorbeeld in het kader van de bancaire dienstverlening), terwijl dit bij andere potentiële aanbieders mogelijk niet het geval is.

Dit wetsvoorstel brengt voor overheidsinstanties voorts de verplichting mee om bepaalde bij algemene maatregel van bestuur aan te wijzen open standaarden te hanteren voor het elektronisch verkeer. Voor wat betreft de financiële gevolgen van deze verplichting is relevant dat ervanuit wordt gegaan dat open standaarden worden aangewezen die doorgaans nu al door de bestuursorganen (moeten) worden gehanteerd. Dit betekent dat bestuursorganen in beginsel geen financiële gevolgen ondervinden van het verplicht stellen van een standaard. Voor het geval de bestuursorganen de standaarden nog niet hanteerden, zullen de implementatiekosten hiervan per te verplichten open standaard worden ingeschat. Dit zal plaatsvinden bij de voorbereiding van de algemene maatregel van bestuur waarbij de betreffende open standaard wordt aangewezen. Voor wat betreft een aantal informatieveiligheidstandaarden is reeds een indicatie gemaakt van de ordegrote van de implementatie, omdat het voornemen bestaat om deze standaarden bij algemene maatregel te verplichten. De indicatie is tot stand gekomen door consultatie van onder andere het Platform Internet Standaarden, en – voor wat betreft TLS en DNSSEC – de impactanalyse van VNG/KING. Hieruit blijkt dat voor een bestuursorgaan die de standaard nog niet toepast, de eenmalige implementatiekosten per standaard variëren van enkele honderden tot maximaal tienduizend euro.53 De jaarlijkse kosten variëren per standaard van ongeveer zevenhonderd tot vijfduizend euro.

Voor het Rijk

Het zorg dragen voor de beschikbaarheid en de werking van de infrastructuur voor het gebruik van identificatiemiddelen brengt voor het Rijk uiteenlopende kosten met zich mee. Het gaat om de volgende kostenposten:

  • De kosten van (door)ontwikkelingen en beheer van de middelen e-NIK, e-rijbewijs, DigiD op het betrouwbaarheidsniveau substantieel en het in de lucht houden van de huidige versies van DigiD (inclusief de kosten voor de authenticatiedienst);

  • De kosten van ontwikkeling, instandhouding, beheer en onderhoud van de voorzieningen, die deel uitmaken van de infrastructuur voor authenticatie in het publieke domein (zoals de routeringsvoorziening, het BSN-Koppelregister en het eidas-knooppunt);

  • De kosten van de inzagefunctie bij het BSN-Koppelregister;

  • De kosten voor instandhouding en gebruik van de publieke machtigingsdienst;

  • De kosten gemoeid met het erkennen van de diverse diensten;

  • De kosten van toezicht op de erkende diensten, erkende- en toegelaten authenthicatiemiddelen;

  • De kosten, die als gevolg van het gebruik van identificatiemiddelen bij bepaalde dienstverleners (bijv. de Belastingdienst) ten laste van de rijksbegroting komen.

Hiertegenover staan de volgende inkomsten:

  • Inkomsten door het doorberekenen van de kosten van de vervaardiging en de uitgifte van publieke middelen;

  • Inkomsten door het doorbelasten van de kosten van het gebruik van het publieke middel;

  • Inkomsten als erkenningsinstantie voor het erkennen van de diverse diensten;

  • Inkomsten door het doorbelasten van kosten voor exploitatie en beheer van de algemene voorzieningen van het Rijk aan bestuursorganen en aangewezen organisaties;

  • Inkomsten uit het doorbelasten van het toezicht op erkende diensten, erkende- en toegelaten authenthicatiemiddelen.

8. Verhouding tot andere wetgeving

8.1. Algemene wet bestuursrecht

Het onderhavige wetsvoorstel heeft een relatie met het wetsvoorstel tot wijziging van de Awb inzake modernisering elektronisch bestuurlijk verkeer. Ingevolge dat wetsvoorstel krijgen burgers en bedrijven het recht op elektronisch zakendoen met de overheid. Op grond van de huidige Awb (afdeling 2.3) is het gebruik van de elektronische weg alleen toegestaan als zowel de burger of het bedrijf, als het bestuursorgaan met het gebruik hiervan hebben ingestemd. Op grond van genoemd wetsvoorstel kunnen burgers en bedrijven ook eenzijdig kiezen om hun berichten, die onderdeel uitmaken van een procedure inzake een besluit, een voorgeschreven melding of een klacht, digitaal aan een bestuursorgaan te doen toekomen. De instemming van het bestuursorgaan is dus voor dit soort berichten niet langer vereist. Bestuursorganen kunnen echter indien het gaat om berichten, die tot één of meer geadresseerden zijn gericht, niet eenzijdig besluiten tot de elektronische weg.54 In deze gevallen zal een bestuursorgaan (tevens) de schriftelijke weg moeten openstellen ten behoeve van burgers en bedrijven die hieraan de voorkeur geven. Dit is alleen anders indien burgers en bedrijven bij of krachtens de wet verplicht zijn om bepaalde zaken op elektronische wijze met een bestuursorgaan af te wikkelen. Voor die zaken bevat het wetsvoorstel tot wijziging van de Awb de verplichting voor bestuursorganen om personen voor wie de voorgeschreven elektronische weg onredelijk bezwarend is, ondersteuning aan te bieden.

Indien een burger of een bedrijf er in de toekomst voor kiest om via elektronische weg met een bestuursorgaan zaken te doen, is het vervolgens de vraag op welke elektronische wijze hij dit kan doen. Het nieuwe artikel 2:15 Awb verplicht het bestuursorgaan een kanaal (specifiek webformulier, een algemeen contactformulier, een app of een e-mail) voor het type bericht aan te wijzen. Op grond van dit wetsvoorstel zal het bestuursorgaan, voor zover het gaat om dienstverlening waarvoor het betrouwbaarheidsniveau substantieel of hoog geldt, deze dienstverlening alleen kunnen aanbieden met gebruik van toegelaten identificatiemiddelen. Het is op grond van dit wetsvoorstel aan het bestuursorgaan om, volgens bij ministeriële regeling te stellen regels, te bepalen voor welke elektronische diensten ten minste dit betrouwbaarheidsniveau substantieel of hoog geldt. Verwacht mag worden dat bestuursorganen de aanwijzing van het kanaal en de bijbehorende betrouwbaarheidsniveaus in hetzelfde besluit vastleggen. Het aanwijzen van een betrouwbaarheidsniveau kan worden aangemerkt als een invulling van de bevoegdheid van artikel 2:15, tweede lid, Awb om aan het gebruik van een kanaal nadere eisen te stellen.

8.2. Paspoortwet

Voor de invoering van een publiek middel op betrouwbaarheidsniveau hoog, is wijziging van de Paspoortwet nodig. In artikel 3 van de Paspoortwet is namelijk limitatief omschreven welke gegevens op een reisdocument zijn vermeld en waarvan een reisdocument is voorzien. Geregeld wordt het plaatsen van een chip op de identiteitskaart (‘drager’) met daarin de versleutelde persoonsgegevens van de houder van het document. Hierdoor wordt van de NIK een elektronische identiteitskaart (eNIK) gemaakt. De Paspoortwet creëert derhalve de grondslag om de chip op de NIK aan te vullen met gegevens die elektronische authenticatie mogelijk maken. Ook zal de Paspoortwet gaan voorzien in de instelling van een centraal systeem voor de opslag van reisdocumentengegevens dat als bron dient voor het verstrekken van de gegevens ten behoeve van het functioneren van de e-NIK. Voor deze verwerking van persoonsgegevens, inclusief het BSN, is een wettelijke grondslag vereist. Aangezien de Paspoortwet een rijkswet is, kan deze wijziging niet worden meegenomen met dit wetsvoorstel, doch zal worden opgenomen in een eigenstandig wetsvoorstel tot wijziging van de Paspoortwet.

8.3. Wegenverkeerswet

In dit wetsvoorstel is een wijziging van de Wegenverkeerswet opgenomen die regelt dat de zogenoemde rijkskostencomponent van het rijbewijs ook het identificatiemiddel omvat. Dit betekent dat gemeenten bij de uitgifte van het e-rijbewijs aan het Rijk extra kosten zullen moeten afdragen in verband met de authenticatiefunctie van het rijbewijs. Dit extra bedrag zal door de gemeenten vervolgens worden doorberekend in de hoogte van de door de burger voor het rijbewijs te betalen leges. De modellen voor het rijbewijs en de gegevens waarvan het rijbewijs wordt voorzien, worden geregeld in de Regeling vaststelling modellen rijbewijzen en daarmee verband houdende formulieren. Aan de introductie van het e-rijbewijs zal derhalve tevens een wijziging van deze regeling vooraf moeten gaan. Hierin zal geregeld worden welke chip op het rijbewijs zal worden opgenomen.

8.4. Wet op de identificatieplicht

In de Wet op de identificatieplicht (WID) zijn de documenten aangewezen waarmee in bij de wet aangewezen gevallen de identiteit van personen kan worden vastgesteld. De documenten die zijn aangewezen zijn onder meer het Nederlandse paspoort en het Nederlandse rijbewijs. De vraag is of in de WID ook elektronische identificatiemiddelen aangewezen moeten worden, voor de gevallen waarin de identiteit langs elektronische weg wordt vastgesteld.

Een identiteitsbewijs als genoemd in de WID bevat in elk geval de naam, adres en woonplaats, een foto, het bsn indien dat is toegekend en verder de gegevens die nodig zijn voor het doel waarvoor het bewijs is uitgegeven. De aanwijzing van de documenten in de WID houdt primair verband met de algemene identificatieplicht, die ook in die wet is geregeld, van eenieder die de leeftijd van veertien jaar heeft bereikt om op de eerste vordering van bepaalde ambtenaren, militairen of toezichthouders, handelend in het kader van een redelijke taakuitoefening, een algemeen erkend identiteitsbewijs te tonen. Naast de algemene identificatieplicht in de WID is in een groot aantal specifieke wetten bijzondere identificatie- en controleplichten opgenomen waarin – voor het voldoen aan die verplichting – verwezen wordt naar een of meer documenten genoemd in de WID. Bij de in de verschillende wetten geregelde identificatieplichten gaat het steeds om de fysieke controle van de identiteit van de betrokkene.

De WID en de verschillende wetten waarin identificatieplichten zijn opgenomen en waarin verwezen wordt naar een of meer documenten genoemd in de WID, gaan uit van identiteitsbewijzen ten behoeve van fysieke controle van de identiteit of waarvan een afschrift kan worden gemaakt. In deze systematiek past het niet om ook elektronische identificatiemiddelen in de WID aan te wijzen, voor de gevallen waarin de identiteit langs elektronische weg wordt vastgesteld. De regering kiest er daarom voor om niet de WID aan te passen maar te zijner tijd de verschillende wetten waarin identificatieplichten zijn opgenomen te wijzigen indien de dienstverlening op het desbetreffende terrein (volledig) wordt gedigitaliseerd. Dit biedt ook de mogelijkheid per dienst te bepalen welk betrouwbaarheidsniveau (substantieel of hoog) voor de dienst tenminste is vereist. Bovendien kan dan – voor zover nodig – bepaald worden dat naast de authenticatie aan de hand van een elektronisch identificatiemiddel ook bepaalde attributen (aanvullende gegevens zoals de nationaliteit of leeftijd) aan de betrokken dienstverlener verstrekt moeten worden.

8.5. Wet elektronisch berichtenverkeer Belastingdienst

De Wet elektronisch berichtenverkeer Belastingdienst (EBV) schept het wettelijk kader voor het verplichten van elektronisch berichtenverkeer in het contact met de Belastingdienst. In artikel X van deze wet is bovendien een grondslag opgenomen voor voorzieningen voor elektronisch berichtenverkeer, elektronische authenticatie en elektronische registratie van machtigingen en het raadplegen ervan, alsmede voor de in dat verband noodzakelijke verwerking van persoonsgegevens. De zorg voor deze voorzieningen wordt aan de minister van BZK opgedragen. Tevens is bepaald dat hij persoonsgegevens verwerkt, waaronder het BSN, voorzover dit noodzakelijk is voor de goede vervulling van zijn taken. Met de Wet EBV, in werking getreden op 1 november 2015, is een eerste fundament gelegd onder de GDI, met het oog op de reeds in de praktijk functionerende voorzieningen MijnOverheid, DigiD en DigiD Machtigen. Ook het BSN-Koppelregister, essentieel voor het functioneren van identificatiemiddelen in het publieke domein, is nader gereguleerd. Conform hetgeen in de memorie van toelichting bij de Wet EBV is vermeld, zal artikel X komen te vervallen wanneer een specifieke wet in werking treedt. Hiervan is sprake met het onderhavige wetsvoorstel. Voor wat betreft de onder de Wet EBV tot stand gekomen uitvoeringsregelgeving geldt dat het Besluit verwerking persoonsgegevens GDI zal worden gebaseerd op dit wetsvoorstel. Ook de Regeling voorzieningen GDI, waarin onder meer gebruik(ers) voorschriften terzake van authenticatie en machtigen zijn opgenomen zal worden aangevuld en gewijzigd naar aanleiding van dit wetsvoorstel.

8.6. Eidas-verordening en -uitvoeringsverordeningen

Dit wetsvoorstel bevat regels voor de toegang door burgers en bedrijven tot elektronische diensten van dienstverleners in Nederland. Voor grensoverschrijdende elektronische authenticatie door burgers en bedrijven gelden rechtstreeks werkende (minimum)eisen die bij en krachtens de eidas-verordening zijn gesteld. Deze eisen betreffen onder andere de betrouwbaarheid van elektronische identificatiemiddelen en uitgifteprocessen op de betrouwbaarheidsniveaus laag, substantieel en hoog. Om redenen van veiligheid en betrouwbaarheid alsmede om grensoverschrijdend gebruik mogelijk te maken, vormen deze eisen tevens de basis voor regulering van nationale publieke diensten en de elektronische toegang daartoe. Voor de betrouwbaarheidsniveaus substantieel en hoog wordt in de verordening geregeld dat de lidstaten hun stelsels voor elektronische identificatie bij de Europese Commissie kunnen notificeren. Genotificeerde identificatiemiddelen moeten met ingang van medio september 2018 door dienstverleners in andere lidstaten geaccepteerd worden, mits tenminste passend bij het door hen in nationaal verband vereiste betrouwbaarheidsniveau van hun dienstverlening (interoperabiliteit/wederzijdse erkenning). Het ligt in de rede om de in Nederland toegelaten en erkende identificatiemiddelen op de niveaus substantieel en hoog bij de Commissie te notificeren, zodat deze ook in andere lidstaten gebruikt kunnen en moeten worden.

De eidas-verordening wordt uitgewerkt in een meerdere uitvoeringverordeningen van de Europese Commissie. Verordening 2015/1502 bevat technische normen, specificaties en procedures voor de identificatiemiddelen op de diverse betrouwbaarheidsniveaus, bijvoorbeeld inzake aanvraag, verificatie van identiteit (authenticatie), uitgifte en activering, blokkeren en reactiveren en informatiebeveiliging. Deze zullen de basis vormen voor de uitvoeringsregelgeving bij dit wetsvoorstel, alsmede voor de aan private partijen op te leggen voorschriften. Daarnaast geldt uitvoeringsverordening 2015/1501, die rechtstreeks werkende regels bevat over de in de lidstaten in te stellen knooppunten die interoperabiliteit oftewel interconnectie binnen de EU mogelijk moeten maken. Onze Minister van BZK draagt zorg voor deze infrastructurele voorziening,55 die het mogelijk maakt genotificeerde identificatiemiddelen uit andere lidstaten op toegankelijke wijze te ontsluiten voor dienstverleners in Nederland en vice versa. Dienstverlening die samenhangt met grensoverschrijdende authenticatie wordt dus via dit knooppunt afgehandeld.

9. Gevolgen voor burgers en bedrijven

9.1. Gevolgen voor burgers

Zoals in de visiebrief digitale overheid 201756 reeds is aangegeven, draagt dit wetsvoorstel bij aan de verbetering van de kwaliteit van digitale overheidsinformatie en overheidsdienstverlening. Het gebruik van onderdelen van de generieke digitale infrastructuur door zoveel mogelijk overheidsorganisaties draagt bij aan een efficiëntere overheid en uniforme dienstverlening. Het wetsvoorstel regelt het voor authenticatie relevante deel van de infrastructuur bij bestuursorganen en aangewezen organisaties, zodat burgers met een toegelaten identificatiemiddel van het juiste betrouwbaarheidsniveau toegang hebben tot de digitale dienstverlening van alle bestuursorganen en aangewezen organisaties waarop het voorstel ziet. Het wetsvoorstel beoogt een bijdrage te leveren aan vermindering van de regeldruk en administratieve lasten voor burgers, doordat de toegang tot digitale dienstverlening wordt geüniformeerd. De burger zal immers als gevolg van de plicht voor bestuursorganen en aangewezen organisaties om een door de minister toegelaten identificatiemiddel te accepteren met een dergelijk middel bij vele verschillende dienstverleners kunnen inloggen57.

Continuïteit en keuzevrijheid

Continuïteit van digitale dienstverlening betekent voor burgers en bedrijven 24/7 beschikbaarheid en locatie-onafhankelijke toegang.. Dit wetsvoorstel maakt het mogelijk dat een burger of bedrijf met verschillende (publieke en private) middelen kan inloggen. Hierdoor is de beschikbaarheid en bereikbaarheid van dienstverlening beter geborgd. Werkt het ene inlogmiddel niet, dan kan men ervoor kiezen in te loggen met een ander middel. Er is keuzevrijheid..

Veiligheid en aanbod van digitale dienstverlening

Bestuursorganen en aangewezen organisaties moeten, om bepaalde diensten digitaal te kunnen aanbieden, met meer zekerheid dan het huidige DigiD biedt, kunnen vaststellen of zij met de juiste (natuurlijke- of rechts)persoon te maken hebben (zie ook paragraaf 3.2). Het gaat hierbij onder meer om diensten in het domein van de zorg (eHealth) en bij gemeenten (wijkzorg, WMO, jeugdzorg). Dit wetsvoorstel regelt dat diensten op het betrouwbaarheidsniveau hoog of substantieel ook daadwerkelijk op een veilige en betrouwbare manier online afgenomen kunnen worden waar dat nu nog niet mogelijk is. Het betrouwbaarheidsniveau van het huidige DigiD is niet toereikend voor diensten met betekenisvolle rechtsgevolgen of waarbij uiterst vertrouwelijke informatie (zoals medische gegevens) wordt uitgewisseld. De beschikbaarheid van inlogmiddelen van een hoger betrouwbaarheidsniveau schept de mogelijkheid voor bestuursorganen en aangewezen organisaties om meer diensten digitaal aan te bieden, waardoor voor het afnemen van diensten minder vaak de fysieke aanwezigheid van burgers nodig zal zijn. Door het aanbod van digitale diensten te vergroten zijn burgers over het algemeen minder (reis- en/of wacht)tijd kwijt en kunnen diensten plaats- en tijdsonafhankelijk worden afgenomen.

Identiteitsfraude is strafbaar, ook in de digitale omgeving. Doordat als gevolg van dit wetsvoorstel de identiteit van de burger met een hogere mate van zekerheid kan worden vastgesteld, wordt het lastiger om identiteitsfraude te plegen.

Enkele voorbeelden van baten die voor burgers ontstaan:

  • Door met DigiD hoog een Nederlandse identiteitskaart of een rijbewijs digitaal aan te vragen hoeft een burger slechts één keer naar het gemeentehuis, namelijk om het af te halen (i.p.v. twee keer).

  • De processen jeugdzorg, WMO, medisch gerelateerde processen en (financiële) transacties vergen een hoger niveau van betrouwbaarheid en kunnen met DigiD hoog worden afgedaan.

  • Van eHealth worden grote voordelen verwacht, zoals het thuis uitvoeren van metingen waarvan de uitslag digitaal wordt doorgegeven aan de arts. De burger bespaart daarmee tijd en kosten van een reis naar de zorgverlener. Ook kunnen burgers elektronisch inzage krijgen in hun patiëntendossier.

  • Digitale inzage in gerechtelijke dossiers.

  • Minder gevallen van ID-fraude scheelt de burger veel tijd (en ergernis) en mogelijk ook geld.

Lasten

Het gebruik van betrouwbaarder inlogmiddelen verhoogt de betrouwbaarheid van overheidshandelen en veiliger communicatie met die overheid. Een hogere graad van veiligheid betekent doorgaans extra lasten in de vorm van investering in geld en/of tijd. Dat geldt voor fysieke veiligheid (bijvoorbeeld verscherpte toegangscontroles, poortjes e.d.) en evenzo in de digitale omgeving. Inloggen met een hogere betrouwbaarheid zal lasten veroorzaken in de vorm van tijd (activeren, heractiveren). Met het oog op deze lasten wordt niet per definitie voorgeschreven om de meest betrouwbare inlogmiddelen te hanteren. In uitvoeringsregelgeving zullen criteria worden opgenomen (‘classificatiemodel’) die relevant zijn voor het door de dienstverlener (kunnen) inschalen van het benodigde betrouwbaarheidsniveau zoals aard en rechtsgevolg van de desbetreffende dienst en wettelijke eisen betreffende ondertekening.

Dit wetsvoorstel verplicht dienstverleners om de toegelaten middelen te accepteren en biedt daarmee burgers en bedrijven de mogelijkheid om bestaande diensten af te nemen met inlogmiddelen van een hoger betrouwbaarheidsniveau. Het wetsvoorstel bevat geen verplichting tot het gebruiken van deze inlogmiddelen. Burgers kunnen voor bestaande diensten vooralsnog58 gewoon blijven inloggen met het hun vertrouwde DigiDof desgewenst via de papieren weg diensten van de overheid afnemen voor zover niet anders is bepaald in sectorale wetgeving. In het geval dat in sectorale wetgeving het gebruik van de elektronische weg verplicht wordt gesteld voor een dienst op het betrouwbaarheidsniveau substantieel of hoog, zullen burgers als indirect gevolg van dit wetsvoorstel diensten moeten afnemen met de inlogmiddelen die de minister op dat betrouwbaarheidsniveau heeft toegelaten. Hieronder een opsomming van (mogelijke) administratieve lasten voor burgers:

  • Een merkbaar effect op de lasten voor burgers kan ontstaan als gevolg van het doorberekenen (in leges) van kosten voor het identificatiemiddel op identiteitsdocumenten zoals het rijbewijs en de Nederlandse identiteitskaart.

  • De tijd die de burger nodig heeft om een inlogmiddel op het niveau DigiD substantieel en/of hoog te installeren, te activeren en te upgraden: over DigiD substantieel59 kan worden beschikt door het gratis downloaden van een applicatie en het (huidige) wettelijke identiteitsdocument tegen de telefoon te houden. Dat vergt een korte tijdsinvestering.

  • DigiD hoog is gekoppeld aan een wettelijk identiteitsdocument, dat afgehaald dient te worden op het gemeentehuis. Door gebruik te maken van het bestaande uitgifteproces van deze documenten, waarbij een fysieke controle van de persoon en zijn of haar identiteitsbewijs reeds plaatsvindt, zijn de lasten van het uitgifteproces van Digid hoog geminimaliseerd. Eenvoudigere methoden zijn niet mogelijk zonder afbreuk te doen aan het betrouwbaarheidsniveau van het publieke middel. Als alternatief komt er mogelijk eind 2018 een privaat middel waarmee ingelogd kan worden op het niveau substantieel. Dat zal voor zover mogelijk een middel zijn dat het overgrote deel van de DigiD-gebruikers al gebruikt.

  • Het periodiek heractiveren van publieke identificatiemiddelen met een hoger betrouwbaarheidsniveau dan het huidige Digid kost burgers tijd.

  • De tijd die het inloggen met publieke identificatiemiddelen op het betrouwbaarheidsniveau substantieel of hoog kost ten opzichte van het inloggen met het huidige DigiD. De techniek voor deze middelen is nog niet gereed. Inloggen kan straks meer of minder tijd kosten dan met het huidige DigiD (betrouwbaarheidsniveau laag).

  • Burgers die niet beschikken over een mobiele telefoon met een zogeheten Android besturingssysteem zullen voor het uitlezen van het wettelijke identiteitsdocument een cardreader moeten aanschaffen om op het betrouwbaarheidsniveau hoog in te kunnen loggen.

Ingroeitraject

Grootschalige introducties van nieuwe inlogmiddelen zoals DigiD substantieel en DigiD hoog kennen een meerjarig uitroltraject. DigiD wordt op dit moment gebruikt door ca. 13,6 miljoen Nederlanders, die in 2016 zo’n 280 miljoen keer inlogden bij overheidsdienstverleners. Het betreft dus een hele grote groep burgers die in een aantal jaren inlogmiddelen op een hoger betrouwbaarheidsniveau moeten gaan gebruiken. Dit zal een meerjarig uitgekiend uitrolprogramma vergen. DigiD hoog komt – in de loop van 2018 – als extra functie beschikbaar op rijbewijzen en de NIK’s. Gelet op de vervangingstermijn van wettelijke identiteitsdocumenten zal de volledige uitrol van DigiD hoog tien jaar vergen.

De berekening van de administratieve lasten voor burgers is niet anders dan met grove aannames en marges te maken. De techniek achter DigiD substantieel en DigiD hoog is nog niet uitontwikkeld en daarom nog niet uitgebreid getest onder groepen burgers. Het is dus niet mogelijk nu al te meten hoeveel tijd het kost om een middel aan te schaffen en te activeren en hoeveel meer of minder tijd het inloggen gaat kosten. Het is daarnaast onzeker in welke mate burgers de komende jaren feitelijk over een middel met hogere betrouwbaarheid gaan beschikken en welke dekkingsgraad wordt bereikt. Teneinde de continuïteit van de dienstverlening te borgen, wordt onderzocht of er een alternatief (privaat) identificatiemiddel kan dienen als achtervang bij uitval van DigiD. Eerst eind 2018 zal duidelijk zijn of er een privaat middel wordt toegelaten voor gebruik bij publieke dienstverlening en welke dekkingsgraad dat middel zal hebben. Vanwege deze onzekerheden is in deze fase niet aan te geven wanneer de verplichting, om elektronische identificatiemiddelen met een hogere betrouwbaarheid te gebruiken, in werking treedt. Het is dus nog niet mogelijk aan te geven vanaf welk jaar de administratieve last ontstaat. Met het oog op massale processen zoals het doen van belastingaangifte ligt het voor de hand de verplichting voor bestuursorganen en aangewezen organisaties om identificatiemiddelen van betrouwbaarheidsniveau substantieel of hoog te gebruiken niet eerder in werking te laten treden, dan nadat DigiD substantieel – in combinatie met een eventueel toegelaten privaat identificatiemiddel – een zeer hoge graad van dekkingsgraad heeft binnen de doelgroep van de 13,6 miljoen DigiD-gebruikers.60

Ook voor de baten geldt dat deze niet anders dan met grote aannames in te schatten zijn wegens onzekerheid met betrekking tot het feitelijk aanbod van nieuwe diensten, de uitrolstrategie, dekkingsgraad van de middelen e.d.

9.2. Gevolgen voor bedrijven

Het wetsvoorstel beoogt een bijdrage te leveren aan vermindering van de regeldruk en administratieve lasten voor bedrijven, doordat er verplichtingen voor dienstverleners worden geïntroduceerd waarmee de toegang tot elektronische dienstverlening wordt geüniformeerd en gestandaardiseerd. Het wetsvoorstel bevat regels voor de voor authenticatie relevante infrastructuur bij bestuursorganen en aangewezen organisaties, zodat bedrijven met een erkend middel van het juiste betrouwbaarheidsniveau toegang hebben tot de digitale dienstverlening van de bestuursorganen en aangewezen organisaties waarop het wetsvoorstel ziet. Het wetsvoorstel heeft vooral effect op bestuursorganen en aangewezen organisaties, oftewel dienstverleners, omdat de reikwijdte van het wetsvoorstel zich uitstrekt tot toegang tot hun dienstverlening. Voor bedrijven ontstaan geen nieuwe verplichtingen, tenzij het private rechtspersonen betreft die in de bijlage bij het wetsvoorstel of in een aanwijzingsbesluit worden aangewezen. Deze aangewezen organisaties kunnen privaatrechtelijke organisaties zoals pensioenfondsen of zorgverleners zijn. Met de acceptatieplicht terzake van de toegelaten en erkende middelen zijn kosten gemoeid voor de aangewezen organisaties. Daarnaast ontstaat voor hen een administratieve last, omdat zij periodiek een verklaring van een auditor moeten overleggen, waaruit blijkt of zij voldoen aan de ingevolge deze wet gestelde bepalingen over de werking, de betrouwbaarheid en de beveiliging van de toegang tot de elektronische diensten die zij in stand houden. Voor deze organisaties, die thans veelal gebruikmaken van DigiD, zijn die audits reeds verplicht ingevolge de huidige aansluitvoorwaarden voor DigiD. Het wetsvoorstel codificeert die verplichting.

Voor een specifieke categorie van bedrijven is er een regeldrukeffect, te weten bedrijven die erkende diensten aanbieden in de zin van dit wetsvoorstel. Deze bedrijven moeten een erkenning verkrijgen alvorens zij hun diensten mogen leveren in het publieke domein. Authenticatiediensten, ontsluitende diensten, machtigingsdiensten of attributendiensten moeten worden erkend door de minister van BZK, alvorens zij hun diensten mogen leveren. Hierbij is geen sprake van een marktverstorend effect omdat het iedereen vrij staat de erkenning aan te vragen. Voor deze erkenning kunnen leges in rekening worden gebracht. Het gaat hier om maximaal enkele tientallen bedrijven. De kosten van toezicht kunnen eveneens worden doorberekend aan de erkende diensten.

eHerkenning

De verwachting is dat eHerkenning erkend zal worden als bedrijfs- en organisatiemiddel. eHerkenning kent verschillende betrouwbaarheidsniveaus, waarbij de prijs van het inlogmiddel toeneemt naarmate het betrouwbaarheidsniveau oploopt. eHerkenning kent een systeem van machtigingen, waardoor bedrijfsmedewerkers kunnen worden gemachtigd voor één specifieke dienst of voor een deel van de overheidsdiensten. De regeldruk is dus ook afhankelijk van de vraag hoeveel bedrijven ervoor kiezen om meer dan één middel aan te schaffen. Overheidsorganisaties kunnen er ook voor kiezen om het papieren kanaal open te houden. Enkele grote uitvoeringsorganisaties staan ook toe dat eenmanszaken bij hen met DigiD inloggen en het is dus vraag hoeveel eenmanszaken een eHerkenningsmiddel zullen aanschaffen voor andere toepassingen. Een laatste onzekerheid is de vraag hoe snel betrouwbaarheidsniveau 3 (eIDAS: Substantieel) de standaard wordt en of in de toekomst meer dan incidenteel niveau 4 vereist zal worden.

Met zoveel onzekerheid is alleen in de vorm van een scenario aan te geven hoeveel regeldruk bedrijven zullen ondervinden. Dat scenario ziet er als volgt uit: Over ca. 5 jaar zullen alle bedrijven een of meer eHerkenningsmiddelen hebben aangeschaft, omdat zij altijd wel met een bestuursorgaan zakendoen die (a) alleen erkende middelen accepteert, (b) het eigen inlogmiddel heeft uitgefaseerd en (c) ook het gebruik van andere kanalen niet toestaat. Vanwege de tendens om hogere betrouwbaarheidsniveaus te vereisen zullen bedrijven een inlogmiddel op het vrij hoge niveau 3 moeten aanschaffen. In dit scenario wordt uitgegaan van 1,5 mln. bedrijven en organisaties, die een abonnement voor 3 jaar afsluiten, waarbij het huidige tarief voor inlogmiddelen op niveau 3 door de concurrentie daalt naar 30 euro per jaar. Omdat 96% van het bedrijfsleven uit ZZP’ers en microbedrijven bestaat, wordt hier afgezien van kosten die ontstaan doordat bedrijven (uit vrije wil) meer dan één middel aanschaffen, en daarbij medewerkers machtigen voor specifieke diensten. De regeldruk bestaat uit drie componenten: eenmalige kennisnamekosten, aanschafprocedure en abonnementstarief:

  • Kennisname: 1,3 mln. bedrijven (want 200.000 bedrijven en organisaties hebben al een eHerkenningsmiddel) zijn gemiddeld 1 uur kwijt om zich in de materie te verdiepen: 1,3 mln. x 1 uur x 37 euro per uur = 48,1 mln. euro.

  • Aanschafprocedure initieel: 1,3 mln. bedrijven doen een aanvraag, moeten een contract tekenen, evt. een machtigingenbeheerder aanstellen, een face-to-face controle doorlopen, etc.: 1,3 mln. x 2 uur x 37 euro per uur = 96,2 mln. euro.

  • Aanschafprocedure initieel bij verlengen van contract en upgraden naar hoger betrouwbaarheidsniveau: 0,2 mln. x 1 uur x 37 = 7,4 mln. euro.

De structurele kosten bedragen:

  • Aanschafprocedure bij elke 3 jaar verlengen: 1,5 mln. x 0,5 uur x 37 euro per uur x 1/3 = 9,25 mln. per jaar.

  • Aanschafkosten middel eens per 3 jaar op niveau 3: 1,5 mln. x 30 euro = 45 mln. per jaar.

De regeldruk voor het bedrijfsleven zal ook structureel dalen om de volgende redenen:

  • Door het hogere betrouwbaarheidsniveau zullen sommige bestuursorganen ervoor kiezen om diensten, waarvoor nu nog een bezoek aan een overheidsloket nodig is, of die op papier verlopen (al dan niet met tussenkomst van notaris), voortaan online te laten verlopen. Dat bespaart in sommige gevallen reiskosten, maar ook het online aanvragen kost minder tijd dan die op papier.

  • Een belangrijke besparing zit in de nieuwe functie van digitaal ondertekenen, waardoor voor het afsluiten van contracten geen bijeenkomsten noodzakelijk zijn, dan wel contracten op papier rondgestuurd hoeven te worden. Deze functie is alleen van belang voor bepaalde contracten, omdat de handtekening (nog) geen gekwalificeerde handtekening is. Ook het ondertekenen van meldingen, aanvragen, etc. kan met deze functie.

  • De mogelijkheid om een bedrijfsmedewerker te machtigen om bepaalde zaken namens het bedrijf online af te handelen bespaart directeuren en managers (met een hoog uurtarief) veel tijd.

  • Het feit dat er één enkel inlogmiddel beschikbaar is voor de gehele overheid, waardoor men niet meer aparte namen/wachtwoorden hoeft te onthouden, betekent gemak en een tijdsbesparing. Idem voor de mogelijkheid om papieren machtigingen te vervangen door online machtigingen en de mogelijkheid om overzicht te behouden op allerlei soorten machtigingen, ook voor de machtigingen die intermediairs krijgen van hun klanten.

Naast de lagere regeldruk bij het voldoen aan informatieverplichtingen vanuit de rijksoverheid, zullen zich soortgelijke kostenbesparingen voordoen bij het voldoen aan verplichtingen vanuit mede-overheden, die trouwens niet tot regeldruk worden gerekend. En in de contacten tussen bedrijven onderling zijn er nog andere voordelen, namelijk:

  • Een belangrijke besparing zit in het feit dat commerciële dienstverleners ook hun websites met eHerkenning kunnen ontsluiten als alle bedrijven en organisaties een middel van eHerkenning bezitten, omdat zij dat voor de overheid nodig hebben. Dit levert ook efficiencywinst op de B2B-markt. De mogelijkheid om ook bepaalde commerciële contracten online met een digitale handtekening van eHerkenning te ondertekenen bespaart potentieel ook veel reiskosten.

  • Het vrij hoge betrouwbaarheidsniveau verkleint ook het risico op fraude, maar dat voordeel slaat in contacten met overheidsorganisaties bij overheden neer. De kostenbesparing als gevolg van minder schade door identiteitsfraude doet zich ook voor op de B2B-markt.

  • Door de eidas-verordening ontstaat de mogelijkheid voor bedrijven om digitaal zaken te doen met uitvoeringsorganisaties in alle EU-lidstaten, voor zover die diensten aanbieden op een hoog of vrij hoog betrouwbaarheidsniveau (substantieel). Hierbij is onzeker of die uitvoeringsorganisaties nog aanvullende informatie-eisen stellen voordat zij Nederlandse bedrijven daadwerkelijk toegang geven, dan wel of zij ook toegang verlenen als met een inlogmiddel voor burgers wordt ingelogd.

Minder belastende alternatieven zijn overwogen en soms doorgevoerd. Zo is met enkele grote uitvoeringsorganisaties afgesproken dat zij voor hun digitale dienstverlening in de toekomst een middel op niveau 3 zullen vereisen. Dit maakt de keuze voor bedrijven, die een eHerkenningsmiddel moeten aanschaffen, een stuk eenvoudiger en kost de kennisname hen minder tijd. Bij de start van eHerkenning is er bewust voor gekozen om eHerkenning niet uit algemene belastinginkomsten te financieren, maar door de partijen te laten betalen die er voordeel bij hebben. Doordat er concurrentie tussen commerciële aanbieders van eHerkenning bestaat, heeft dit o.a. een gunstig effect op prijs. Verder is overwogen om face-to-face controles te vereenvoudigen, zodat dit bedrijven tijd scheelt. De eIDAS-verordening sluit dit uit op niveau Hoog, maar op niveau Substantieel is dit wel gerealiseerd.

9.3. Beoordeling door Adviescollege Toetsing Regeldruk

Het college constateert dat de memorie van toelichting na de consultatie op onderdelen is aangepast. De memorie van toelichting geeft invulling aan het advies om de noodzaak van wetgeving scherper te onderbouwen en daarbij aan te geven waarom voor de identificatiemiddelen nieuwe wetgeving noodzakelijk is. Tevens motiveert de toelichting waarom wordt gekozen om publieke en private middelen naast elkaar toe te laten. Het Adviescollege concludeert dat nut en noodzaak van het wetsvoorstel hiermee voldoende zijn toegelicht.

Aan de aanbeveling van het Adviescollege om de betrouwbaarheidsniveaus van eHerkenning te uniformeren en terug te brengen tot de drie niveaus wordt uitvoering gegeven. Aanbevolen is om in overleg met aanbieders van eHerkenningsmiddelen te komen tot een standaardisering van abonnementen en aanvullende diensten. Het is mogelijk dat een standaardisering tot minder kosten zal leiden, maar eHerkenning is een stelsel met concurrerende aanbieders van inlogmiddelen die zich juist moeten onderscheiden om keuzemogelijkheden voor klanten te bieden, zodat klanten optimaal bediend kunnen worden. Geadviseerd wordt het gebruik van machtigingsvoorzieningen bij eHerkenning te vereenvoudigen. Bij de uitwerking van de lagere regelgeving zal rekening gehouden worden met de behoefte aan gebruiksvriendelijke machtigingssystemen.

10. Overgangsrecht en inwerkingtreding

Vanaf de inwerkingtreding van het wetsvoorstel – de inwerkingtreding kan overigens voor de verschillende artikelen of onderdelen daarvan verschillend worden vastgesteld – geldt voor bestuursorganen en aangewezen organisaties de plicht om de toegelaten identificatiemiddelen (burgers) en de erkende identificatiemiddelen (bedrijven) op het niveau substantieel en hoog te accepteren. Bestuursorganen en aangewezen organisaties mogen middelen met betrouwbaarheidsniveau laag – die niet zullen worden toegelaten of erkend – na de inwerkingtreding van dit wetsvoorstel nog wel accepteren voor diensten waarvoor een laag betrouwbaarheidsniveau geldt. Hiervoor zal bij hen een tarief in rekening worden gebracht.

Voor bestuursorganen en aangewezen organisaties geldt voorts dat zij vanaf inwerkingtreding van het wetsvoorstel aan eisen inzake werking, beveiliging en betrouwbaarheid moeten voldoen. Dit is een verantwoord tijdspad, ervan uitgaande dat zij deze eisen reeds in de praktijk hanteren en zij bovendien vanaf het moment van de (internet)consultatie (eind 2016) konden beginnen met een eerste oriëntatie op hetgeen deze wet voor hen meebrengt, en hiermee rekening hebben kunnen houden bij beslissingen over hun toekomstige investeringen voor digitale voorzieningen.

Voor bedrijfs- en organisatiemiddelen en de terzake betrokken (private) diensten die, conform daartoe met de Staat gemaakte afspraken, reeds functioneerden voorafgaand aan inwerkingtreding van dit wetsvoorstel, geldt een overgangsperiode van 18 maanden.

Voorts wordt voorzien in overgangsrecht voor het geval dat een of meerdere private identificatiemiddelen vooruitlopend op de inwerkingtreding van de wet, – na markconsultatie en een daaropvolgend toelatingstraject – wordt toegelaten. In dat geval wordt de met de desbetreffende private authenticatiedienst gesloten overeenkomst, bedoeld om met private identificatiemiddelen overheidsbreed toegang te verkrijgen tot publieke elektronische dienstverlening, aangemerkt als een besluit tot toelating op grond van dit wetsvoorstel.

Tot slot wordt bij wijze van overgangsrecht het tijdelijke gebruik van identificatiemiddelen, die het betrouwbaarheidsniveau laag respectievelijk substantieel hebben, mogelijk gemaakt voor elektronische dienstverlening waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is.

11. Consultatie en advies Autoriteit Persoonsgegevens

11.1. Consultatie

In de periode van 21 december 2016 tot en met 31 maart 2017 is het voorontwerp van dit wetsvoorstel – met als titel ‘Wet generieke digitale infrastructuur’ – aan een brede consultatie onderworpen. Uit deze consultatie is breed draagvlak gebleken voor de centrale doelstellingen van het wetsvoorstel, te weten het verhogen van het betrouwbaarheidsniveau van de digitale toegang tot overheidsdienstverlening, het waarborgen van de continuïteit van het stelsel van elektronische identificatie en het kunnen verplichten van het gebruik van bepaalde standaarden. Uit de consultatie is voorts gebleken dat het nodig is om bij de verdere uitwerking het authenticatiestelsel op enkele onderdelen te vereenvoudigen om de uitvoerbaarheid beter te realiseren. Het wetsvoorstel is op basis daarvan aangepast.

Koppelvlakken en kosten

Het wetsontwerp ging uit van een aansluitplicht voor alle bestuursorganen en aangewezen organisaties van alle erkende identificatiemiddelen, met elk hun eigen, verschillende, technische koppelvlakken: dit zijn de verbindingen die volgens een bepaalde standaard de uitwisseling van gegevens tussen informatiesystemen mogelijk maken. Voor gemeenten en kleinere uitvoeringsorganisaties, zoals de eerstelijns zorgaanbieders, betekent dit een behoorlijke uitvoeringslast. Medeoverheden dringen aan op aansluiting op de identificatieketen met behulp van één koppelvlak. Het blijkt ook voor grote uitvoeringsorganisaties technisch onuitvoerbaar om een groot aantal technische koppelingen te moeten maken. Uit de consultatie blijkt dat met name ook kleine dienstverleners moeten worden ‘ontzorgd’, wat inhoudt dat het makkelijker wordt gemaakt in technisch opzicht om aan te sluiten op het stelsel en dat dit ook juridisch en administratief niet te veel rompslomp oplevert. Uit de consultatiereacties bleek ook een breed gedragen behoefte onder dienstaanbieders om helderheid te krijgen over de verwachte (aansluit)kosten. Partijen wijzen op meerdere koppelvlakken als belangrijke kostendrijver.

De minister wil het makkelijker maken voor dienstverleners om aan te sluiten op de nieuwe identificatiemiddelen voor burgers (natuurlijke personen): één koppelvlak, één contract en één factuur voor dienstverleners. Dit vermindert de complexiteit en drukt de aansluitkosten. De beoogde vereenvoudiging vereist nader onderzoek op een aantal punten, waaronder de relatie met de tijdige uitvoering van Europese regelgeving ter zake het gelijkelijk toelaten van Europees erkende identificatiemiddelen op het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’. De tijdige uitvoering van deze Europese regelgeving, die vanaf medio september 2018 van kracht zal zijn, dient gewaarborgd te zijn. Er is een (technische) voorziening noodzakelijk waardoor bestuursorganen en aangewezen organisaties eenvoudig kunnen aansluiten op de identificatiemiddelen die zij moeten accepteren. Aldus worden zij bij hun elektronische dienstverlening ‘ontzorgd’. Naar aanleiding van de consultatiereacties is in het wetsvoorstel opgenomen dat de minister verantwoordelijk is voor de inrichting en werking van een routeringsvoorziening, teneinde de toegang tot elektronische dienstverlening te faciliteren.

Multimiddelenaanpak

Uit de consultatie bleek voorts dat de opvattingen over de (uniforme) eisen aan private middelen sterk divergeren onder potentiële leveranciers van private identificatiemiddelen. Sommige potentiële leveranciers kunnen zich niet vinden in de eisen aan de identificatiemiddelen en stellen dat met andere oplossingen dezelfde mate van beveiliging tegen lagere kosten gerealiseerd kan worden. Zonder aanpassing van de eisen (maatwerk) zullen zij waarschijnlijk niet participeren in het publieke deel van het eID-stelsel. Andere partijen vinden dat de eisen uniform moeten worden opgelegd aan alle erkende leveranciers en verzoeken maatregelen te treffen om het commerciële perspectief van de multimiddelenaanpak voor private middelenleveranciers te vergroten, anders bestaat het risico dat er onvoldoende private middelen beschikbaar komen.

De erkenning van de verschillende identificatiemiddelen en gerelateerde diensten die aan uniforme eisen voldoen, onder uitsluiting van andere middelen, en het bijbehorende bestuursrechtelijk toezicht op die middelen, is komen te vervallen. In het wetsvoorstel is de mogelijkheid opgenomen van de toelating van een of meer private middelen, als alternatief naast publieke middelen, op basis van op de eidas-verordening gebaseerde eisen waarop gericht toezicht kan worden gehouden. Om de kosten te beheersen zal een brede (markt)verkenning worden uitgevoerd naar de wijze waarop het gebruik van private middelen op een financieel haalbare wijze is te realiseren. Op basis van de (markt)verkenning wordt bepaald op welke wijze een betaalbaar marktalternatief kan worden toegelaten. Uit de marktverkenning moet blijken of er inderdaad een alternatieve eisen mogelijk zijn, met gelijkwaardige waarborgen voor het niveau van beveiliging en privacybescherming.

Maatwerk

Verder is in de consultatie door organisaties naar voren gebracht dat maatwerk en uitzonderingen mogelijk moeten zijn, bijvoorbeeld op de regel dat uitsluitend toegang wordt verleend met toegelaten middelen. Het wetsvoorstel is aangepast zodat volgens bij lagere regelgeving te stellen regels dienstverleners mogen afwijken van de plicht om de toegelaten en erkende middelen accepteren. Dit kan slechts met het oog op innovatie of dienstverlening aan een welbepaalde doelgroep. Ten behoeve van maatwerk is ook artikel 3, dat het gebruik van open standaarden reguleert, hergeformuleerd. In de wetsbepaling is geëxpliciteerd dat bij de aanwijzing van de standaard het organisatorisch en functioneel toepassingsgebied van de standaard wordt omschreven. Zaken als voor welke (bestuurs)organen, colleges en rechtspersonen met een wettelijke taak, in welke gevallen en vanaf welk moment de standaard toepasselijk is, moeten worden omschreven in de algemene maatregel van bestuur. Het functionele en organisatorische toepassingsbereik zal per geval, dat wil zeggen per aan te wijzen standaard, worden geregeld. Een standaard kan bijvoorbeeld ongeschikt zijn om door de zogeheten b-bestuursorganen of door rechtspersonen met een wettelijke taak te worden toegepast. In dat geval biedt een beperkt organisatorisch of functioneel toepassingsgebied uitkomst.

Tijdens de consultatie en in de daaropvolgende periode is de uitvoerbaarheid van het wetsvoorstel beoordeeld. Het wetsvoorstel bevat een aantal delegatiebepalingen op basis waarvan (lagere) regelgeving tot stand zal komen. Ook deze regelgeving zal steeds worden getoetst op uitvoerbaarheid, opdat hiervan een volledig beeld ontstaat. De besluitvorming omtrent de vaststelling van deze regelgeving zal, nadat de departementen in de gelegenheid zijn gesteld de uitvoerbaarheid te (laten) toetsen, via de ministerraad verlopen, zodat de betrokkenheid van de verschillende departementen en daarmee de uitvoerbaarheid in alle beleidsdomeinen wordt bevorderd.

11.2. Advies Autoriteit Persoonsgegevens

Naar aanleiding van het advies van de Autoriteit Persoonsgegevens61 zijn het wetsvoorstel en de memorie van toelichting op een aantal punten aangevuld. In artikel 14, eerste lid, zijn de doelen voor de verwerking van persoonsgegevens aangescherpt, waardoor de beginselen van proportionaliteit en subsidiariteit beter kunnen worden uitgewerkt in de voorgenomen algemene maatregel van bestuur. In artikel 21 is gespecificeerd dat bij de evaluatie van de wet aandacht zal worden geschonken aan de vraag, of de getroffen (technische, organisatorische en juridische) maatregelen op het gebied van beveiliging en privacybescherming nog steeds voldoende zijn.

Voor wat betreft identificatiemiddelen op betrouwbaarheidsniveau laag is een overgangsbepaling in het wetsvoorstel opgenomen, die mogelijk maakt dat deze middelen tijdelijk gebruikt worden voor dienstverlening waarvoor authenticatie op een hoger betrouwbaarheidsniveau vereist is.

Gevolg gevend aan het advies van de Autoriteit Persoonsgegevens is nader toegelicht waarom de regels met betrekking tot de verwerking van persoonsgegevens niet worden uitgewerkt in de wet zelf maar bij algemene maatregel van bestuur en wordt benadrukt dat het wetsvoorstel en de daarop gebaseerde algemene maatregel van bestuur de normen van de AVG nader uitwerken (verdiepen). Ten aanzien van te nemen cryptografische maatregelen is in de toelichting aangegeven dat deze om redenen van techniek-onafhankelijkheid en toekomstbestendigheid niet in de wet worden opgenomen. Verduidelijkt is voorts op welke wijze in de voorziening BSN-K de functies authenticeren en informeren technisch van elkaar gescheiden zijn. Technische scheiding vormt een onderdeel van privacy by design; het geheel van privacyverhogende maatregelen waaraan al tijdens de ontwikkeling van producten en diensten aandacht wordt besteed. Toegelicht is dat nadere regulering van de door een bestuursorgaan of aangewezen organisatie te overleggen auditverklaring bij of krachtens algemene maatregel van bestuur zal geschieden.

II Artikelsgewijs

Artikel 1

Dit artikel bevat de begripsomschrijvigen. Deze spreken voor zich. Voor wat betreft terminologie wordt in deze wet zoveel mogelijk aangesloten bij de eidas-verordening en de op grond daarvan vastgestelde uitvoeringsverordeningen.

Authenticatie, identificatiemiddel en elektronische dienstverlening

Het woord ‘elektronisch’ ziet in onderhavig wetsvoorstel uitsluitend op dienstverlening via internet via elektronische authenticatie, dat wil zeggen de dienstverlening via internet waarbij de identiteit van de natuurlijke persoon of de rechtspersoon door een (elektronisch) identificatiemiddel wordt geverifieerd. Alhoewel het woord ‘elektronisch’ in andere wetgeving zoals in de Algemene wet bestuursrecht onderscheidenlijk in de praktijk ook wel een bredere betekenis heeft, en mede betrekking heeft op verkeer per fax of sms, of op een telefoongesprek, dan wel communicatie via internet die niet via elektronische authenticatie plaatsvindt, zoals het e-mailverkeer, betreft het in dit wetsvoorstel dus uitsluitend de online-communicatie waarvoor online-authenticatie is vereist. In de eidas-verordening wordt in dit verband gesproken over ‘het aanbieden van een onlinedienst waarvoor elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel vereist is’.

Gevolg is, dat deze wet niet van toepassing is voor dienstverlening waarvoor de elektronische weg sowieso niet openstaat. De elektronische weg staat onder meer niet open, als a. bij of krachtens de wet is bepaald dat een bericht niet langs elektronische weg kan worden verzonden of b. een vormvoorschrift zich tegen elektronische verzending verzet. Van dergelijke gevallen is bijvoorbeeld sprake als bij of krachtens de wet is bepaald dat een aanvraag in persoon dient te geschieden of dat het hieruit impliciet volgt. Zo dient betrokkene voor aanvraag van een Paspoort een vingerafdruk te geven. Dit laatste kan niet via internet. Daarnaast staat voor het bestuursorgaan in principe de elektronische weg niet open als de burger heeft aangegeven niet van de elektronische weg gebruik te willen maken.

In sommige gevallen is de elektronische weg expliciet bij wettelijk voorschrift voorgeschreven, zoals ingevolge de Wet elektronisch berichtenverkeer belastingdienst en de Omgevingswet. Voorts wordt op grond van het voorstel van wet modernisering elektronisch bestuurlijk verkeer (Awb) de beschikbaarheid (openstelling) van de elektronische weg verplicht gesteld bij berichten die onderdeel uitmaken van een procedure inzake een besluit, een voorgeschreven melding of een klacht, indien de desbetreffende burger de voorkeur geeft aan elektronische communicatie. Dit hoeft overigens niet te betekenen dat onderhavig wetsvoorstel van toepassing is op deze berichten. Dit is alleen het geval indien een elektronische authenticatie voor dit elektronisch verkeer vereist is, en wel op het betrouwbaarheidsniveau substantieel of hoog.

Betrouwbaarheidsniveaus

Acceptatie heeft betrekking op diensten via internet waarvoor een substantiële of hogere mate van vertrouwen vereist is terzake van de vraag, of degene die zich authenticiteert ook degene is die hij opgeeft of beweert te zijn.62 Dit is de terminologie die de eidas-verordening hanteert voor elektronische authenticatie op het niveau substantieel en hoog. Dit zal nader uitgewerkt worden. Op grond van dit wetsvoorstel zullen bij ministeriële regeling regels worden gesteld over het vereiste betrouwbaarheidsniveau. Aan de hand hiervan dienen bestuursorganen en aangewezen organisaties zelf hun diensten in te delen (classificeren). Het Forum Standaardisatie heeft een handreiking voor overheidsorganisaties ontwikkeld onder de titel ‘Betrouwbaarheidsniveaus voor digitale dienstverlening’. Deze handreiking zal mede als basis dienen voor de op te stellen ministeriële regeling. Zo zal voor de aanvraag van een reguliere omgevingsvergunning geen elektronische authenticatie op het betrouwbaarheidsniveau substantieel of hoog nodig zijn. Dit geldt bijvoorbeeld wel voor de aanvraag van een sociale uitkering of een toeslag, om aanvragen waarbij medische gegevens van de betrokkene een rol spelen of bij het doen van aangifte van bepaalde misdrijven. Bij voorgeschreven meldingen op het niveau substantieel of hoog gaat het bijvoorbeeld om de aangifte van een geboorte, huwelijk of overlijden, of om een belastingaangifte.

Artikel 2
Lid 1

Dit artikel regelt de reikwijdte van de wet, primair toegesneden op de publieke en semipublieke sectoren, die gebruik maken van de generieke digitale infrastructuur. Deze wet is toepasselijk wanneer het gaat om elektronische dienstverlening zoals gedefinieerd in artikel 1: verlening van elektronische diensten aan natuurlijke personen, ondernemingen of rechtspersonen ter uitoefening van een publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt, door een bestuursorgaan als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht of een aangewezen organisatie, waarvoor ingevolge artikel 6, tweede lid, authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is.

Waar in deze wet wordt gesproken over bestuursorganen, wordt gedoeld op bestuursorganen als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht. Bij deze zogeheten a-bestuursorganen gaat het om de organen van rechtspersonen die krachtens publiekrecht zijn ingesteld. Het gaat dan om alle organen van bijvoorbeeld de Staat, provincies, gemeenten en waterschappen. Aldus ziet de bepaling op bijvoorbeeld de Dienst Uitvoering Onderwijs (DUO), de Belastingdienst en zelfstandige bestuursorganen (ZBO’s) als de Sociale Verzekeringsbank (SVB), de Kamer van Koophandel (KvK), de Rijksdienst voor het Wegverkeer (RDW) en de Huurcommissie. 63 Bij de a-bestuursorganen kunnen aard en kenmerken van hun taken en werkzaamheden elektronische dienstverlening aan burgers en bedrijven met zich brengen. Daarom vallen deze bestuursorganen binnen de werkingssfeer van de hoofdstukken 3 tot en met 7 voorzover zij elektronische diensten verlenen waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is.

De zogenaamde b-bestuursorganen, organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Algemene wet bestuursrecht, alsmede rechtspersonen met een wettelijke taak, voorzover deze geen a-bestuursorgaan zijn, worden niet onder het eerste lid begrepen.

Lid 2–3

Naast a-bestuursorganen, vallen onder de reikwijdte van de hoofdstukken 3 tot en met 7 de organisaties behorende tot een in de bijlage bij deze wet aangewezen categorie alsmede de organisaties die bij besluit van de minister van BZK in overeenstemming met de minister(s) wie het mede aangaat zijn aangewezen. Het gaat hierbij om semipublieke of private organisaties die elektronische diensten verlenen ter uitoefening van een publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt, waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is. Deze organisaties hebben gemeen dat het hen (wettelijk) is toegestaan bij hun taken en werkzaamheden het burgerservicenummer te gebruiken. De door hen alsmede de door (a-) bestuursorganen gerealiseerde elektronische dienstverlening wordt kortheidshalve ook wel aangeduid met ‘publiek domein’. Bestuursorganen en aangewezen organisaties in de zin van de onderhavige wet worden ook wel aangeduid als ‘dienstverleners’.

Voorts zijn expliciet rechterlijke instanties opgenomen. Het betreft onafhankelijke, bij de wet ingestelde organen die met rechtspraak zijn belast. Voor hen gelden, tenzij anders is bepaald, dezelfde rechten en verplichtingen ingevolge deze wet als voor bestuursorganen en aangewezen organisaties. Benadrukt zij, dat deze wet de rechterlijke onafhankelijkheid niet doorkruist. De beslissingsvrijheid van de rechter en de toegang tot de rechter worden niet ondergraven door de bij of krachtens deze wet gestelde regels over de acceptatie van toegelaten en erkende identificatiemiddelen, de classificering van de betrouwbaarheidsniveaus en de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische diensten die zij verlenen, aangezien het hierbij gaat om de daaraan gerelateerde informatiesystemen (ICT) en bedrijfsvoering. Hierop wordt, voor wat betreft rechtbanken en hoven, toezicht gehouden door de Raad voor de Rechtspraak; voor wat betreft de Afdeling Bestuursrechtspraak en de Hoge Raad, zijn in dit verband de ministers van BZK respectievelijk Justitie en Veiligheid verantwoordelijk.

Lid 4–8

De in het vierde en vijfde de lid opgenomen criteria voor toevoeging respectievelijk verwijdering van categorieën aan de bijlage bij algemene maatregel van bestuur zijn ook de criteria die zijn gehanteerd bij de opstelling van de in dit wetsvoorstel opgenomen bijlage. Organisaties die niet in een categorie zijn onder te brengen, zullen op grond van dezelfde criteria bij een gezamenlijk besluit van de minister van BZK en de betrokken vakminister worden aangewezen. Het gaat hierbij om (categorieën van) instanties die handelen ter uitoefening van een (semi-)publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt; ze hebben gemeen dat ze krachtens wettelijk voorschrift gerechtigd zijn om het burgerservicenummer te gebruiken voor de uitvoering van hun taken en verlenen elektronische diensten aan natuurlijke personen en ondernemingen of rechtspersonen op het betrouwbaarheidsniveau hoog of substantieel. Deze organisaties zijn momenteel doorgaans toegankelijk via het huidig beschikbare publieke identificatiemiddel op betrouwbaarheidsniveau laag. Vooralsnog zijn op de bijlage de volgende categorieën van organisaties aangewezen:

Universiteiten en hogescholen

Er is een aantal organisaties dat op basis van de onderwijswetgeving het burgerservicenummer gebruikt en voor bepaalde diensten ook het beschikbare identificatiemiddel (DigiD) op betrouwbaarheidsniveau laag gebruikt. Dit zijn de onderwijsinstellingen vallend onder de Wet op het hoger onderwijs en wetenschappelijk onderzoek. Het gaat hier om de universiteiten, hogescholen, de Open Universiteit, de levensbeschouwelijke universiteiten, de rechtspersoon met volledige rechtsbevoegdheid die initiële opleidingen verzorgen en de instellingen of rechtspersonen met volledige rechtsbevoegdheid die postinitiële masteropleidingen verzorgen. Een deel van de universiteiten heeft een publiekrechtelijke grondslag, en valt daarom reeds onder onderhavig wetsvoorstel omdat zij a-bestuursorgaan zijn.

Pensioenuitvoerders

Onder ‘pensioenuitvoerders’ wordt in artikel 1 van de Pensioenwet verstaan een ondernemingspensioenfonds, een bedrijfstakpensioenfonds, een algemeen pensioenfonds, of een premiepensioeninstelling of (pensioen)verzekeraar die zetel heeft in Nederland. Hierbij gaat het zowel om organisaties die ouderdomspensioen en nabestaandenpensioen, als de organisaties die een arbeidsongeschiktheidpensioen aanbieden.

Zorgaanbieders, indicatieorganen en zorgverzekeraars

In 2008 en 2009 is de Wet gebruik burgerservicenummer in de zorg in werking getreden. De onder deze wet vallende organisaties en beroepsuitoefenaars zijn verplicht het burgerservicenummer van hun cliënten te gebruiken. Het betreft hier zorgaanbieders als bedoeld in de Wet kwaliteit, klachten en geschillen zorg,indicatieorganen en zorgverzekeraars; zij verlenen diensten aan private afnemers. Als zorgverzekeraars zijn aan te merken de uitvoerders als bedoeld in artikel 1.1.1 van de Wet langdurige zorg, zorgverzekeraars als bedoeld in artikel 1, onder b, van de Zorgverzekeringswet en verzekeringsondernemingen als bedoeld in de EU-richtlijn solvabiliteit II voorzover deze verzekeringen aanbieden of uitvoeren krachtens welke het verzekerde risico de behoefte aan zorg is waarop bij of krachtens de Algemene Wet Bijzondere Ziektekosten geen aanspraak bestaat en waarbij de verzekerde prestaties het bij of krachtens de Zorgverzekeringswet geregelde te boven gaat.

Naast de categorieën van organisaties, die in de bijlage bij deze wet zijn opgenomen, kunnen individuele organisaties worden aangewezen. Dit geschiedt bij besluit van Onze Minister in overeenstemming met de ministers die het, gezien het desbetreffende beleidsdomein, aangaat. Een dergelijk besluit wordt aangemerkt als een voor bezwaar en beroep vatbare beschikking in de zin van artikel 1: 3, tweede lid van de Awb. Aanwijzing geschiedt al dan niet op verzoek van en in overleg met de betrokken instanties, zodat maatwerk kan worden gerealiseerd. Indien de aangewezen organisatie niet langer elektronische diensten verleent waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist, zal het desbetreffende aanwijzingsbesluit worden ingetrokken.

De werkingssfeer, zoals hiervoor geschetst, sluit zoveel mogelijk aan bij de werkingssfeer van de eidas-verordening. Teneinde de wederzijdse erkenning van identificatiemiddelen op betrouwbaarheidsniveau substantieel en hoog te realiseren (artikel 6 eidas-verordening), hanteert deze verordening het begrip ‘openbare instantie’, dat gedefinieerd is als een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden (artikel 3, punt 7, eidasverordening).

Artikel 3
Lid 1

Dit artikel heeft een ruime reikwijdte. Het verplicht bestuursorganen als bedoeld in artikel 1:1, eerste lid, van de Algemene wet bestuursrecht (zogeheten a en b- bestuursorganen, inclusief ZBO’s), organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Algemene wet bestuursrecht (oa de Eerste en Tweede Kamer, de rechterlijke macht, de Raad van State en de Nationale ombudsman) en zogeheten rechtspersonen met een wettelijke taak (RWT)64 tot de toepassing van de ingevolge het tweede lid aangewezen standaarden.

Standaarden zijn afspraken over bijvoorbeeld elektronische gegevensuitwisseling, toegankelijkheid of beveiliging, vastgelegd in zogeheten specificatiedocumenten, die beschrijven hoe gegevens eruit zien, wat ze betekenen en hoe ze kunnen worden uitgewisseld. Aldus wordt het mogelijk om op efficiënte, veilige en betrouwbare wijze (administratieve) processen geautomatiseerd af te wikkelen en onafhankelijkheid van ICT-systeemleveranciers te bewerkstelligen. Van de publieke en semi-publieke sector wordt sinds 2008 verwacht dat deze de standaarden, die op de zogeheten 'pas toe of leg uit' lijst staan, bij aanschaf of (ver)bouw van ICT-systemen hanteren en toepassen in het elektronisch verkeer. 'Pas toe of leg uit'-standaarden zijn open, dat wil zeggen algemeen beschikbare, onbeperkt (her)bruikbare en via een transparant proces ontwikkelde en beheerde, standaarden waarvoor breed draagvlak bestaat.65 Afwijken mag alleen in geval van zwaarwegende redenen; verantwoording hierover moet worden afgelegd in het jaarverslag. In bepaalde gevallen kan echter de inherente afwijkingsmogelijkheid66 tot onwenselijke situaties leiden en ligt het niet in de rede dat bijvoorbeeld een bestuursorgaan – hoe geldig ook op het individuele niveau – zich kan onttrekken aan toepassing. De 'pas toe of leg uit' lijst richt zich tot de publieke en semi-publieke sector, waaronder bijvoorbeeld onderwijsinstellingen en academische ziekenhuizen (veelal zijn dit RWT’s die niet tevens ZBO zijn). Ook richt deze lijst zich op samenwerkingsverbanden, ingesteld bij een gemeenschappelijke regeling, bijvoorbeeld op belastinggebied, die gelet op hun taken en bevoegdheden bestuursorgaan zijn. De ruime werkingssfeer van dit artikel correspondeert hiermee. Zie evenwel de toelichting bij het derde lid.

Lid 2

Dit artikellid maakt het mogelijk om, bij algemene maatregel van bestuur op voordracht van de minister van BZK, een standaard dwingend voor te schrijven. Het voorziet in de bevoegdheid om indien dit noodzakelijk en proportioneel is voor de werking, de veiligheid, de betrouwbaarheid of de doelmatigheid van het elektronische verkeer of indien dit voortvloeit uit internationale verplichtingen (waaronder mede begrepen EU-regelgeving), een verplicht toe te passen standaard aan te wijzen. Van noodzakelijkheid is bijvoorbeeld sprake, wanneer er aantoonbaar een veiligheidsprobleem is in de informatie-uitwisseling met natuurlijke personen of rechtspersonen, tussen bestuursorganen of wanneer individuele bestuursorganen niet profiteren van standaardisatie maar de netwerkvoordelen neerslaan bij anderen of bij de samenleving als geheel (maatschappelijke baten). Verplichte toepassing moet proportioneel zijn; dat betekent dat voordien een afweging gemaakt wordt tussen het belang van interoperabiliteit en uitvoeringslasten.

Inherent aan de criteria, noodzakelijkheid en proportionaliteit in relatie tot werking, veiligheid, betrouwbaarheid en doelmatigheid van het elektronisch verkeer, is dat met de bevoegdheid tot aanwijzing terughoudend zal worden omgegaan en dat het niet de verwachting is dat de beschikbare lijst van open standaarden in zijn geheel en/of voor de gehele (semi)publieke sector verplichtend wordt. Ook brengen genoemde criteria mee, dat aanwijzing betrekking zal hebben op niet-domeinspecifieke, dus op bovensectorale oftewel generieke standaarden.

Het tweede lid maakt voorts duidelijk dat bij het gebruik van de bevoegdheid om bepaalde standaarden aan te wijzen een zorgvuldig en transparant proces wordt doorlopen. De ingerichte en beproefde procedure voor plaatsing op de ‘pas-toe-of-leg-uit’ lijst waarborgt brede en representatieve betrokkenheid vanuit diverse geledingen van de overheid, wetenschap en uitvoering.67 Aanwijzing zal doorgaans betrekking hebben op een standaard die reeds op de bestaande lijst van open standaarden is opgenomen danwel daarvoor is aangemeld; de punten a en b in het tweede lid corresponderen met criteria voor opname op de ‘pas-toe-of-leg-uit’ lijst. Voor nieuwe standaarden kan de procedure voor plaatsing op de lijst en de aanwijzing parallel lopen.

Lid 3

Bij de aanwijzing van een standaard zal het toepassingsbereik worden omschreven. Hierbij moeten zaken als voor welke (bestuurs)organen, colleges en RWT’s de standaard toepasselijk is, in welke gevallen en vanaf welk moment, duidelijk blijken in de algemene maatregel van bestuur. Hierbij kan het toepassingsbereik van de aangewezen standaard beperkter zijn, bijvoorbeeld ten aanzien van het soort berichtenverkeer en geadresseerde organen, dan het toepassingsbereik van dezelfde standaard op de lijst, die een ‘pas-toe-of-leg-uit-karakter’ heeft. Een standaard kan bijvoorbeeld niet geschikt zijn om door b-bestuursorganen of door RWT’s te worden toegepast. Het toepassingsbereik zal dus per geval, dat wil zeggen per aan te wijzen standaard, worden geregeld.

Benadrukt wordt dat de bevoegdheid om bij algemene maatregel van bestuur in bepaalde gevallen standaarden aan te wijzen, de mogelijkheid om in sectorregelgeving voor specifieke doelen standaarden aan te wijzen ongewijzigd laat. Sectorale standaarden mogen niet belemmerend of concurrerend werken in het bovensectorale verkeer; dat zou niet doelmatig zijn. De standaarden op de ‘pas-toe-of-leg-uit-lijst’ zijn naar hun aard sectoroverstijgend en interfereren niet onnodig met sectorale standaarden. Het open proces van totstandkoming van de lijst, waarbij sprake is van brede consultatie van betrokkenen en experts binnen en buiten de overheid alsmede breed samengestelde overleggremia, biedt hiervoor de waarborgen. Door aanwijzing van een standaard in een algemene maatregel van bestuur wordt vervolgens nogmaals brede interdepartementale afstemming bewerkstelligd in het voortraject.

Op basis van dit artikel zal in ieder geval de standaard inzake toegankelijkheid van overheidswebsites voor mensen met een functiebeperking worden aangewezen. Deze nationale open standaard incorporeert de internationale en in EU-verband ondersteunde Web Content Accessibility Guidelines (‘WCAG versie 2.0’) en betreft uitwerking van het uitgangspunt dat informatie op overheidswebsites waarneembaar, bedienbaar, begrijpelijk en consistent moet zijn.68Ook een aantal veiligheidsstandaarden zal worden aangewezen,69 alsmede de (koppelvlak)standaarden Digikoppeling.70 Benadrukt zij, dat het hierbij gaat om reeds bestaande standaarden. Inhoudelijk brengen deze derhalve niets nieuws; bij de toepassing ervan bestaat echter niet langer een inherente afwijkingsmogelijkheid.

Artikel 4
Lid 1

Dit artikel biedt de grondslag voor vaststelling van regels over de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische diensten door bestuursorganen en aangewezen organisaties. Bestuursorganen en aangewezen organisaties vormen een belangrijke schakel in de authenticatieketen waarin de processen op elkaar zijn aangesloten om erkende of toegelaten identificatiemiddelen te kunnen accepteren. Het zijn immers hun elektronische diensten die door burgers en bedrijven worden afgenomen; zij moeten zich daarvoor bij de bestuursorganen en aangewezen organisaties authenticeren met al dan niet toegelaten respectievelijk erkende middelen. Indien de ICT-systemen van de bestuursorganen en aangewezen organisaties de werking, betrouwbaarheid en beveiliging van de toegang tot hun eigen elektronische diensten onvoldoende zouden beschermen, zou daarmee een risico voor de gehele keten ontstaan. Om deze reden is het noodzakelijk aan bestuursorganen en aangewezen organisaties de benodigde regels te stellen. Gelet op de aard en de werkzaamheden van bestuursorganen en aangewezen organisaties, zullen de te stellen regels een algemeen karakter hebben. Ook zullen de regels aansluiten bij hetgeen reeds voor hen gebruikelijk is. Wat betreft de aangewezen organisaties laten de te stellen regels de eventuele regels op grond van sectorspecifieke voorschriften onverlet.

In de praktijk hanteren bestuursorganen thans reeds diverse documenten over beveiliging van ICT-voorzieningen van de overheid. Het betreft de zogeheten baselines informatiebeveiliging71 en normen (primair: NEN-ISO/IEC 27001/27002) en standaarden van de ‘pas-toe-of-leg-uit-lijst’ van het Forum Standaardisatie. Hieraan hebben alle overheden zich via zelfregulering (programma’s NUP en iNUP) verbonden. Ook aangewezen organisaties hanteren reeds (eigen) normenkaders informatieveiligheid. Genoemde documenten en kaders vormen de basis voor de ingevolge dit artikellid te stellen eisen aan bestuursorganen en aangewezen organisaties met betrekking tot de toegang tot hun elektronische dienstverlening. Bij het opstellen van deze eisen zal tevens, in samenspraak met de medebetrokken ministers, worden bezien welke relevante en toepasselijke (elementen van) standaarden zullen worden opgenomen en met ingang van welke datum verplichtstelling dan in de rede ligt. Verder kan gedacht worden aan specificaties en beschrijvingen zoals het maken en naleven van veiligheidsplannen, het nemen van maatregelen op basis van een risicoanalyse en risicowaardering van de geïdentificeerde risico’s (risicomanagement), het doen uitvoeren van audits, koppelvlakspecificaties, functionele (ontwerp)normen, technische procesbeschrijvingen en testbepalingen. Ingevolge deze bepaling dienen bestuursorganen en aangewezen organisaties aan die regels te voldoen. Het is aan de dienstverleners zelf om er zorg voor te dragen dat hun systemen daadwerkelijk aan de gestelde eisen voldoen.

Lid 2–3

Om te laten toetsen of de dienstverleners daadwerkelijk voldoen aan de eisen die op grond van het eerste lid zijn gesteld, voorziet het tweede lid in een verplichting voor bestuursorganen en aangewezen organisaties om regulier een verklaring van een auditor te overleggen aan Onze Minister. De verklaring van de auditor sluit aan bij de systematiek die in de praktijk reeds sinds 2011 functioneert (de zgn. DigiD-assessments). Indien uit de verklaring van de auditor blijkt dat een bepaald bestuursorgaan of een aangewezen organisatie niet (volledig) aan de gestelde regels voldoet, zal contact worden opgenomen met de betreffende dienstverlener en wordt, afhankelijk van aard en ernst van de niet-naleving, afgesproken welke maatregelen nodig zijn en op welke termijn die genomen worden. Indien uit de auditverklaringen zou blijken dat verbetering nodig is en na herhaaldelijke aanmaningen de benodigde en noodzakelijke verbeteringen niet worden aangebracht, en in ieder geval indien de informatieveiligheid in het geding is, kan ultimo de bijzondere bevoegdheid voor Onze Minister om een noodmaatregel te treffen, uitkomst bieden.

De te overleggen auditverklaringen bieden, naast een handvat voor gesprek en verdere afspraken, ook inzicht in de wijze waarop de bestuursorganen en aangewezen organisaties voldoen aan de krachtens deze bepaling gestelde regels. Dit biedt inzicht in de naleving daarvan en de stand van zaken omtrent informatieveiligheid bij de toegang tot elektronische dienstverlening. Bij de evaluatie van de wet kan op basis van die ontvangen verklaringen het functioneren van de wet in relatie tot de gewenste informatiebeveiliging bij authenticatie worden onderzocht en kunnen waar nodig voorstellen worden gedaan voor aanpassing van het systeem van auditverklaringen. Indien nodig kunnen dan ook stringentere handhavingsinstrumenten worden overwogen. Uitgangspunt is, dat de betrokken dienstverleners een eigenstandige verantwoordelijkheid hebben voor informatiebeveiliging. Dit sluit ook aan bij het kader van generiek interbestuurlijk toezicht, dat uitgaat van het vertrouwen dat betrokken overheden de wettelijke voorschriften naleven. Het ligt in de rede dat de reguliere rapporten van de auditors onderwerp zullen zijn van democratische controle door bijvoorbeeld de gemeenteraad. Ook ten aanzien van de aangewezen organisaties wordt van dit vertrouwen uitgegaan. Ten aanzien van die aangewezen organisaties ligt het voorts voor de hand dat, in geval er verbeteringen in de informatiebeveiliging nodig blijken te zijn, in overleg met het vakdepartement dat op het betrokken domein bevoegd is, al dan niet via de eigen inspectiediensten of toezichthouders actie wordt ondernomen en de betrokken organisatie wordt aangesproken. De voorgeschreven audit beslaat de regels die ingevolge het eerste lid vastgesteld worden. Echter: omdat deze regels voor bestuursorganen en aangewezen organisaties inhoudelijk niet nieuw zullen zijn en het moeten overleggen van een auditverklaring ook niet (dat geschiedt namelijk veelal reeds ingevolge de voor hen geldende veiligheidsvoorschriften, baselines en ISO-normen), is de lastendruk voor de bestuursorganen en aangewezen organisaties naar verwachting beperkt. Verantwoording afleggen over het naleven van de veiligheidseisen, het gehanteerde risicomanagement en de naleving van aanbevelingen en opvolging van opmerkingen van de controlerende accountant gebeurt nu feitelijk veelal (ingevolge zogeheten DigiD assessments of andere uitgevoerde audits) in de planning en control cyclus van bestuursorganen en aangewezen organisaties. Hierbij kan door bestuursorganen en aangewezen organisaties worden aangesloten in die zin, dat relevante informatie kan worden hergebruikt, bijvoorbeeld door het jaarverslag van een gemeente niet alleen aan de gemeenteraad toe te sturen, maar ook te gebruiken ter informering van Onze Minister.72 Over het uitvoeren van de audits (proces, periodiciteit etc.) worden nadere regels gesteld, waarbij zoveel mogelijk zal worden aangesloten bij de door de dienstverleners in de desbetreffende sectoren reeds gehanteerde systemen en gebruiken. De auditrapporten zijn om redenen van veilgheid in beginsel niet openbaar. Hierop zijn de geldende regels ten aanzien van openbaarheid, zoals neergelegd in de Wet openbaarheid van bestuur, van toepassing.

Artikel 5

Dit artikel betreft de ministeriële verantwoordelijkheid voor het beheer van de GDI.

Lid 1
Onderdeel a

Teneinde zorg te kunnen dragen voor veilige en betrouwbare toegang tot elektronische diensten van bestuursorganen en aangewezen organisaties, bevat onderdeel a de verantwoordelijkheid voor identificatiemiddelen waarmee natuurlijke personen (burgers) zich kunnen identificeren (‘wie ben je?’) en authenticeren (‘ben je wie je zegt te zijn?’) bij het afnemen van oftewel toegang verkrijgen tot online diensten zoals een vergunning of een toeslag. Op dit moment functioneert als publiek identificatiemiddel het van overheidswege uitgegeven middel met de merknaam ‘DigiD’, dat betrouwbaarheidsniveau laag heeft. Dit wordt om redenen van betrouwbaarheid en veiligheid uitgefaseerd. Het onderhavige wetsvoorstel heeft daarom primair betrekking op identificatiemiddelen met betrouwbaarheidsniveau substantieel en hoog. Het streven is erop gericht dat op het moment dat dit wetsvoorstel in werking treedt, sprake zal zijn van één of meerdere nieuw(e), hoogbetrouwbare publiek(e) elektronisch middel(en). Het gaat daarbij in de eerste plaats om een middel op betrouwbaarheidsniveau substantieel.73 In de tweede plaats worden een e-NIK (elektronische Nederlandse identiteitskaart) en een e-rijbewijs ontwikkeld. Dat zijn publieke identificatiemiddelen met betrouwbaarheidsniveau hoog. Voor het toevoegen van de extra functionaliteit (opname van data in een chip ten behoeve van elektronische authenticatie) op bestaande dragers is Onze Minister primair verantwoordelijk. De verantwoordelijkheid van de minister van Infrastructuur en Milieu voor de uitgifte van het rijbewijs wordt niet uitgebreid tot deze extra functionaliteit. Doordat de authenticatiefunctie op de NIK respectievelijk het rijbewijs wordt aangebracht, treden echter wel afhankelijkheden op met de processen die te maken hebben met de aanvraag, productie, uitreiking en intrekking van deze fysieke documenten. Dit betekent dat in de wet- en regelgeving betreffende de NIK (Paspoortwet) en het rijbewijs (Wegenverkeerswet) nieuwe taken en grondslagen voor gegevensverwerking zullen worden opgenomen die verband houden met het opnemen van de authenticatiefunctie op deze documenten.74

De zorg voor publieke middelen op de betrouwbaarheidsniveaus substantieel en hoog betreft elke natuurlijke persoon (burger) waaraan een burgerservicenummer is uitgegeven, die tevens houder is van een Nederlands paspoort, identiteitskaart of rijbewijs (ten behoeve van uitgifte van een middel op niveau substantieel), en elke houder van een voor elektronische authenticatie geschikt document als bedoeld in artikel 2, tweede lid, van de Paspoortwet en artikel 107, eerste lid, van de Wegenverkeerswet 1994 (ten behoeve van uitgifte van een middel op niveau hoog, dwz eNIK en eRijbewijs). Voor wat betreft deze publieke middelen is vooralsnog dus sprake van een beperktere groep rechthebbenden dan terzake van het huidige DigiD, dat beschikbaar is voor ingezetenen alsmede voor niet-ingezetenen met de Nederlandse nationaliteit. Er wordt evenwel toegewerkt naar een bredere kring rechthebbenden op een hoogbetrouwbaar publiek middel.

Onderdeel b

Zowel burgers als bedrijven (waaronder natuurlijke personen die een onderneming drijven) hebben behoefte om anderen (‘de gemachtigde’) te machtigen om voor hen overheidsdiensten te verrichten of af te nemen. Een machtiging is een verklaring of actie waarmee de bevoegdheid wordt verleend om in naam van de verlener van de machtiging een feitelijke handeling uit te voeren. De wens van zowel publieke als private organisaties om diensten in toenemende mate elektronisch aan te bieden brengt met zich mee dat burgers en bedrijven gebruik moeten kunnen maken van voorzieningen die hen in staat stellen om machtigingen elektronisch te (laten) registreren en te effectueren.

Teneinde bij te dragen aan een veilige en betrouwbare elektronische authenticatie in het verkeer met bestuursorganen en aangewezen organisaties, draagt Onze Minister zorg voor een voorziening die het mogelijk maakt dat een elektronische verklaring wordt afgegeven waaruit blijkt dat een natuurlijke persoon, al dan niet handelend als drijver van een onderneming, of rechtspersoon gemachtigd is namens een (andere) natuurlijke persoon op te treden bij de toegang tot elektronische dienstverlening. In deze voorziening, ook wel aangeduid als publieke machtigingsdienst, wordt vastgelegd dat de elektronische bevoegdheid (‘wat mag je’) is terug te voeren op de wil van de vertegenwoordigde om zich op die wijze te laten vertegenwoordigen. In dit verband functioneert op dit moment DigiD Machtigen. Met behulp van deze voorziening kan een machtiging voor een of meerdere elektronische dienst(en) worden geregistreerd als een natuurlijke persoon een ander (natuurlijke persoon of rechtspersoon) wil machtigen om zijn zaken met de overheid elektronisch te regelen. Veelvoorkomend is het machtigen van een familielid, belastingadviseur of accountant. Dit geschiedt op basis van vrijwilligheid; er is sprake van wilsovereenstemming tussen de volmachtgever (een natuurlijk persoon die zich ter behartiging van zijn belangen in het verkeer met dienstverleners laat vertegenwoordigen) en de gemachtigde (een andere natuurlijke persoon of rechtspersoon). Bij de vastlegging in elektronische vorm wordt de strekking van de vertegenwoordigingsbevoegdheid uitgedrukt in termen van de elektronische diensten (wat) die de gemachtigde namens de vertegenwoordigde mag uitvoeren. Hierbij moet bedacht worden, dat registratie geen voorwaarde is voor het ontstaan van een machtiging; het is een hulpmiddel voor een bestuursorgaan of aangewezen organisatie om te bepalen of iemand is gemachtigd, oftewel het vormt een aanwijzing op basis waarvan bestaan, aard en omvang van de machtiging bepaald kan worden.75 De machtigingsdienst controleert thans niet of de aan de registratie ten grondslag liggende volmacht in alle opzichten rechtsgeldig is, dus bijvoorbeeld of de vertegenwoordigde handelingsbekwaam was op het moment van afgeven van de machtiging en registratie ervan.

De publieke machtigingsdienst kan op den duur tevens een functionaliteit bevatten waarmee een burger als vertegenwoordiger van de wettelijke erfgenamen toegang heeft tot diensten van bestuursorganen en aangewezen organisaties en met behulp waarvan verkeer tussen de nabestaanden en bestuursorganen en aangewezen organisaties kan worden afgewikkeld met betrekking tot zaken die een overledene betreffen. Overwogen wordt deze machtigingsdienst verder door te ontwikkelen en uit te breiden met het elektronisch ontsluiten van registers of informatie inzake wettelijke vertegenwoordiging. Bezien zal onder meer worden of en onder welke voorwaarden het mogelijk is de bevoegdheden van bewindvoerders en curatoren met betrekking tot elektronische dienstverlening te verifiëren en inzichtelijk te maken.

De in onderdeel b bedoelde voorziening verschaft in ieder geval de mogelijkheid om de bevoegdheid tot het handelen namens natuurlijke personen te verifiëren. Daarnaast bestaat de noodzaak om vertegenwoordigingsbevoegdheid te kunnen verifiëren in een stelsel van authenticatie van rechtspersonen en natuurlijke personen die een onderneming drijven (handelen in de uitoefening van een beroep of bedrijf). Ook hier heeft Onze Minister een verantwoordelijkheid (zie onderdeel f en de artikelen 11–13). Veel bestuursorganen en aangewezen organisaties verlenen diensten aan burgers (natuurlijke personen) en bedrijven (rechtspersonen en natuurlijke personen die een onderneming drijven). Zij hebben derhalve van doen met authenticatie (‘ben je wie je zegt te zijn’) en autorisatie (‘wat mag je’) door of namens burgers en bedrijven. Vanuit de ambitie van het kabinet dat dienstverleners moeten kunnen vertrouwen op veilige en betrouwbare elektronische vastlegging (registratie) van authenticaties en bevoegdheden en ten bewijze hiervan geleverde kenmerken en gegevens van natuurlijke personen of rechtspersonen (attributen, zoals burgerservicenummer of Kamer van Koophandelnummer), kan worden bezien op welke wijze dienstverleners gefaciliteerd kunnen worden bij het verifiëren van vertegenwoordigingsbevoegdheid bij diverse typen machtigingsrelaties waarmee dienstverleners geconfronteerd worden. Mogelijk resulteert dit in een ontwerp van een stelsel van voorzieningen waarin diverse typen machtigingen geregistreerd, geëffectueerd en ingezien kunnen worden. De verdere ontwikkeling op het gebied van machtigen en attributen kan de ambitie vormen voor een volgende tranche.

Onderdeel c

Onze Minister is verantwoordelijk voor de inrichting en werking van een routeringsvoorziening, teneinde de toegang tot elektronische dienstverlening te faciliteren. In deze (technische) voorziening worden verschillende koppelvlakken (verbindingen die volgens een bepaalde standaard de uitwisseling van gegevens tussen informatiesystemen mogelijk maken) ontsloten, waardoor bestuursorganen en aangewezen organisaties eenvoudig kunnen aansluiten op de identificatiemiddelen die zij moeten accepteren. Aldus worden zij bij hun elektronische dienstverlening ‘ontzorgd’.

Onderdeel d

Om redenen van veiligheid en betrouwbaarheid draagt Onze Minister zorg voor een voorziening die het mogelijk maakt dat de identiteit van een natuurlijke persoon, onderneming of rechtspersoon die een elektronische dienst afneemt bij een bestuursorgaan of aangewezen organisatie op unieke wijze geïdentificeerd kan worden. Deze voorziening wordt ook wel het BSN-Koppelregister (BSN-K) genoemd. Via het BSN-K worden toegelaten identificatiemiddelen geschikt (gemaakt), zodat hiermee elektronische diensten kunnen worden afgenomen bij bestuursorganen en aangewezen organisaties. Het BSN-K speelt een rol bij het activeren van een middel en bij een daadwerkelijke authenticatie van een gebruiker ten behoeve van een specifiek(e) bestuursorgaan of aangewezen organisatie. Deze functies zijn zodanig ingericht, dat het BSN-K alleen bij de eenmalige activering van een nieuw middel kan herleiden tot een individuele gebruiker en zijn bsn. Bij de functies authenticeren en informeren is dit niet nodig en is herleiding vanuit privacy-overwegingen onmogelijk gemaakt door technische, maatregelen. Het gaat hierbij om feitelijke maatregelen die, om tegemoet te kunnen komen aan het benodigde beveiligings- en betrouwbaarheidsniveau (onder meer om herleiding tot een natuurlijke persoon te voorkomen) voortdurend in ontwikkeling zijn, zoals cryptografische maatregelen. De genomen maatregelen zullen regelmatig onderhevig zijn aan een privacy impact analyse, teneinde te bezien of ze uit een oogpunt van veiligheid en privacybescherming nog steeds voldoende zijn.

De verschillende functies van het BSN-K zijn vanuit het oogpunt van veiligheid en privacybescherming zoals gezegd technisch van elkaar gescheiden (onderdeel van privacy by design). Uit beveiligingsoogpunt wordt de gebruiker geïnformeerd over de status van zijn middelen; dit geschiedt met behulp van een inzagefunctie. Op deze wijze kan eveneens eventueel misbruik of oneigenlijk gebruik, bijvoorbeeld door een ander dan gebruiker (identiteitsfraude) worden gesignaleerd. Niet geregistreerd wordt welke transacties met welk(e) bestuursorgaan of aangewezen organisatie zijn verricht. Deze transacties worden geregistreerd bij de authenticatiedienst van het betreffende middel.

Onderdeel e

Onze Minister is voorts verantwoordelijk voor voorzieningen voor elektronisch berichtenverkeer met en informatieverschaffing aan natuurlijke personen, ondernemingen en rechtspersonen. Het gaat hierbij in de eerste plaats om hetgeen (tijdelijk, te weten in de opmaat naar het wetsvoorstel) was verankerd in artikel X, eerste lid, van de Wet Elektronisch Berichtenverkeer Belastingdienst (Wet EBV). Het bepaalde wordt nu, conform hetgeen in de Memorie van Toelichting bij de Wet EBV werd aangegeven, opgenomen in het onderhavige wetsvoorstel. Het betreft onder meer de functionaliteit die bekend staat als MijnOverheid, via welke burgers langs elektronische weg, en met gebruik van een publiek middel, toegang wordt geboden tot elektronische informatie en berichten van bestuursorganen op het gebied van hun dienstverlening. Naar verwachting zal deze functionaliteit in de toekomst onder meer worden uitgebreid met MijnOverheid voor bedrijven (ondernemingen en rechtspersonen).

Onderdeel f en slotzin

Dit onderdeel verankert de verantwoordelijkheid van Onze Minister voor het beheer van het stelsel voor identificatie van ondernemingen en rechtspersonen, zoals dit nader wordt uitgewerkt in de artikelen 11-13. Voorts wordt benadrukt dat, hoewel dit wetsvoorstel een onderdeel inzake elektronische dienstverlening aan burgers (natuurlijke personen) en een onderdeel inzake dienstverlening aan bedrijven (ondernemingen of rechtspersonen) bevat, er sprake is van samenhang. Zo geschiedt de beoordeling van toe te laten middelen (burgers) en te erkennen middelen (bedrijven) op vergelijkbare wijze, wordt deels van dezelfde voorzieningen gebruik gemaakt en gelden er gemeenschappelijke bepalingen, bijvoorbeeld op het gebied van (classificering van) betrouwbaarheidsniveaus en informatieveiligheid. Uitgangspunt is dat Onze Minister in het kader van zijn verantwoordelijkheid voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties aan burgers en bedrijven zorg draagt voor interoperabiliteit.

Lid 2 en 3

Tot slot heeft de Minister van BZK taken en verantwoordelijkheden op het gebied van de grensoverschrijdende toegang tot elektronische dienstverlening. Hij draagt in dit verband zorg voor een knooppunt als bedoeld in de verordening die op grond van artikel 12 van de eidas-verordening is vastgesteld76 Deze voorziening maakt het mogelijk dat Nederlandse bestuursorganen en aangewezen organisaties de in andere EU-lidstaten ingevolge de eidas-verordening genotificeerde middelen kunnen accepteren (wederzijdse erkenning). In geval Nederlandse toegelaten of erkende elektronische identificatiemiddelen zijn genotificeerd, vindt routering van de authenticatie met dat Nederlandse middel naar een andere lidstaat ook via dat knooppunt plaats.77 Ten behoeve van grensoverschrijdend inloggen door de houder van een in Nederland toegelaten en bij de Europese Commissie genotificeerd middel, wordt een via het BSN-K verkregen versleuteld pseudoniem omgezet in een Europees bruikbare UniquenessID. Dit UniquenessID is weliswaar gebaseerd op het burgerservicenummer, maar publieke dienstverleners in andere EU-lidstaten, die ingevolge de eidas-verordening verplicht zijn om de door Nederland genotificeerde en op de Commissielijst geplaatste identificatiemiddelen te accepteren teneinde toegang te verlenen tot hun elektronische diensten, ontvangen dus zelf het betrokken burgerservicenummer niet.78

Uit het derde lid volgt dat het knooppunt, aan de uit een andere lidstaat ontvangen set gegevens een burgerservicenummer of andere aan de natuurlijke persoon of rechtspersoon gekoppelde gegevens, toe te voegen voor zover die gegevens noodzakelijk zijn voor bestuursorganen en aangewezen organisaties om de betrokken natuurlijke persoon of rechtspersoon ten behoeve van het verrichten van de elektronische dienstverlening in hun systemen te herkennen. In geval toevoeging van het burgerservicenummer aan het setje eidas-gegevens door een andere voorziening reeds mogelijk is, bijvoorbeeld middels het eerdergenoemde BSN-k, zal het knooppunt zelf het nummer niet toevoegen en ook niet in kunnen zien.

Het hier bedoelde knooppunt maakt deel uit van een netwerk van knooppunten in de lidstaten dat wordt gerealiseerd om grensoverschrijdende authenticatie mogelijk te maken wordt. De uitvoering van de eidas-verordening wordt toegelicht in de Kamerstukken bij de wetgeving terzake.79

Lid 4

Tot slot heeft ook de Dienst Wegverkeer (Ministerie van Infrastructuur en Milieu) een verantwoordelijkheid, zoals reeds toegelicht onder a. Voor de authenticatiefunctionaliteit (opname van data in een chip ten behoeve van elektronische authenticatie) op de bestaande drager (rijbewijs) is niet deze dienst maar de Minister van BZK verantwoordelijk. De verantwoordelijkheid van de Dienst Wegverkeer betreft de uitgifte van het rijbewijs. Doordat echter de authenticatiefunctie op het rijbewijs wordt aangebracht, treden afhankelijkheden op met de processen die te maken hebben met de aanvraag, productie, uitreiking en intrekking van deze fysieke documenten. Dit betekent dat in de Wegenverkeerswet nieuwe taken en grondslagen voor gegevensverwerking zullen worden opgenomen die verband houden met het opnemen van de authenticatiefunctie op deze documenten.

Artikel 6
Lid 1

Bij dienstverlening waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, dient gebruik gemaakt te worden van middelen die ten minste het voor de betreffende dienstverlening vereiste betrouwbaarheidsniveau hebben: ‘wie het meerdere mag, mag het mindere’. Een gebruiker kan derhalve voor alle diensten met een middel op betrouwbaarheidsniveau hoog terecht, ook als het bestuursorgaan of de aangewezen organisatie voor de desbetreffende dienst slechts een middel met een lager betrouwbaarheidsniveau vereist en een publiek middel op niveau laag wordt geaccepteerd door het bestuursorgaan of de aangewezen organisatie.

Middelen op een lager betrouwbaarheidsniveau dan substantieel of hoog, zullen niet worden toegelaten. Echter, het huidige publieke middel (DigiD) op betrouwbaarheidsniveau laag kan door bestuursorganen en aangewezen organisaties geaccepteerd blijven voor diensten waarvoor een laag betrouwbaarheidsniveau geldt. En wanneer een publiek identificatiemiddel op niveau laag wordt geaccepteerd, moeten ook de toegelaten identificatiemiddelen met betrouwbaarheidsniveaus substantieel en hoog voor die diensten aanvaard worden. Het is niet aan burgers en bedrijven uit te leggen dat zij voor toegang tot de ene dienst met behulp van een middel substantieel dan wel hoog moeten verkrijgen, en dat zij dat middel dan niet voor diensten op niveau laag mogen gebruiken. De eidas-verordening brengt dan weer met zich mee, dat wanneer voor diensten van niveau laag ook middelen van niveau substantieel of hoog aanvaard worden, alle identificatiemiddelen die behoren tot een door een lidstaat van de Europese Unie ingevolge deze verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel, moeten worden aanvaard. Het is dan ook logisch om voor deze diensten ook alle toegelaten dan wel erkende middelen te moeten accepteren.

Een middelenuitgever of authenticatiedienst die op grond van artikel 11 erkend is, kan ook bedrijfs- of organisatiemiddelen met het betrouwbaarheidsniveau laag uitgeven. Het voordeel hiervan is dat deze middelen op betrouwbaarheidsniveau laag via de overige erkende diensten dan makkelijk ontsloten kunnen worden.

Lid 2

Het in dit artikellid bepaalde betreft hetgeen nodig is om veilige en betrouwbare toegang tot elektronische diensten van bestuursorganen en aangewezen organisaties mogelijk te maken. Een bestuursorgaan of aangewezen organisatie bepaalt in beginsel zelf welk betrouwbaarheidsniveau hij passend acht voor welke soort dienstverlening. Bij het bepalen van het betrouwbaarheidsniveau moeten dienstverleners zich evenwel houden aan de bij ministeriële regeling te stellen criteria inzake betrouwbaarheidsniveaus voor authenticatie bij elektronische diensten; er zullen regels worden gesteld op basis waarvan een bestuursorgaan of aangewezen organisatie kan vaststellen voor welke elektronische dienst tenminste het betrouwbaarheidsniveau substantieel of hoog geldt. Doel van deze regeling, die in lijn zal zijn met de eidas-verordening en de in de praktijk reeds gehanteerde Handreiking betrouwbaarheidsniveaus80, is dienstverleners te helpen een eenduidige, efficiënte en bewuste keuze te maken in de betrouwbaarheidsniveaus van hun digitale diensten. In de regeling zullen criteria worden opgenomen (‘classificatiemodel’) die relevant zijn voor het door de dienstverlener (kunnen) inschalen van het benodigde betrouwbaarheidsniveau zoals aard en rechtsgevolg van de desbetreffende dienst en wettelijke eisen betreffende ondertekening. Ook zal worden voorgeschreven dat bestuursorganen en aangewezen organisaties het betrouwbaarheidsniveau voor hun diensten (onderbouwd) bekend maken en dat zij in het proces van toegang kenbaar maken wat het betrouwbaarheidsniveau van de betrokken dienstverlening is. Dit schept ook voor gebruikers van identificatiemiddelen duidelijkheid en rechtszekerheid. Naar verwachting betekent het bovenstaande dat het aantal diensten, waarbij met authenticatie op betrouwbaarheidsniveau laag kan worden volstaan, sterk zal afnemen.

Artikel 7
Lid 1–2

Bestuursorganen mogen uitsluitend toegelaten middelen accepteren en moeten met toegelaten middelen toegang verlenen tot hun elektronische dienstverlening. Burgers die houder zijn van een toegelaten middel hebben aldus een aanspraak op het gebruik ervan. Aldus kan het recht op elektronisch zakendoen met de overheid, zoals neergelegd in afdeling 2.3 van de Algemene wet bestuursrecht inzake elektronisch bestuurlijk verkeer, geëffectueerd worden. Op deze wijze worden bovendien middelen uit andere EU-lidstaten, terzake waarvan immers een europeesrechtelijke plicht tot wederzijdse erkenning bestaat (b) en nationaal toegelaten middelen (a) non discriminatoir behandeld. Vanzelfsprekend geldt ook het omgekeerde: in Nederland toegelaten middelen, die bij de Europese Commissie succesvol zijn genotificeerd, moeten door overheidsorganisaties in de andere lidstaten worden geaccepteerd.81

De toegelaten identificatiemiddelen worden bij besluit van Onze Minister aangewezen (artikel 9). Het gaat hierbij om identificatiemiddelen voor natuurlijke personen ten behoeve van authenticatie in het publieke domein. In dit verband zullen primair publieke middelen op de betrouwbaarheidsniveaus substantieel en hoog worden aangewezen. De formulering laat ruimte voor het in de toekomt eventueel toelaten van een of meerdere privaat uitgegeven (i.e. niet door de overheid verstrekte) identificatiemiddelen. Naar verwachting zal dienstverlening, waarvoor het bsn wordt gebruikt, over het algemeen op betrouwbaarheidsniveau substantieel of hoog worden geclassificeerd aan de hand van de ministeriële regeling zoals bedoeld in artikel 6, tweede lid, van dit wetsvoorstel. In het proces van totstandkoming van deze ministeriële regeling zal duidelijker worden in welke mate er diensten, waarvoor het bsn wordt gebruikt, op betrouwbaarheidsnivau laag overblijven. In aansluiting op het voorgaande geldt de acceptatieplicht ook voor een elektronische verklaring cq machtiging afgegeven in het kader van de voorziening als bedoeld in artikel 5, eerste lid, onderdeel b (machtiging).

Benadrukt zij, dat de acceptatieplicht terzake van toegelaten middelen voor rechterlijke instanties zal gelden; artikel 3 onder c van het Besluit digitalisering burgerlijk procesrecht en bestuursprocesrecht, dat een beslissingsbevoegdheid van de rechterlijke instanties bevat, zal worden aangepast. Voor aangewezen organisaties en rechterlijke instanties geldt evenals voor bestuursorganen dat zij bij hun elektronische dienstverlening aan natuurlijke personen waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, alle toegelaten identificatiemiddelen en elektronische verklaringen als bedoeld in artikel 5, eerste lid, onderdeel b, moeten accepteren. De wederzijdse erkenning van identificatiemiddelen, die behoren tot een door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel, vloeit voort uit artikel 6 van de eidasverordening. Deze acceptatieplicht geldt alleen voor openbare instanties als bedoeld in de eidas-verordening. Voor zover aangewezen organisaties of rechterlijke instanties niet zijn aan te merken als openbare instantie geldt deze plicht tot wederzijdse erkenning in principe dus niet. Voor die organisaties en instanties geldt dat de genotificeerde eidas-middelen uitsluitend geaccepteerd hoeven te worden indien dit is bepaald bij besluit van Onze Minister in overeenstemming met Onze Minister die het mede aangaat.

Lid 3

Bestuursorganen, aangewezen organisaties en rechterlijke instanties kunnen volgens bij – door Onze Minister in nauwe samenspraak met de minister wie het mede aangaat te formuleren – ministeriële regeling vast te stellen regels voor welbepaalde, dus afgebakende, groepen afwijken van het eerste respectievelijk tweede lid onder a en kunnen dus in plaats van een toegelaten middel een alternatief middel hanteren, indien dit noodzakelijk is om redenen van op die doelgroep gerichte elektronische dienstverlening, gelet op de specifieke aard van die diensten. Gedacht kan bijvoorbeeld worden aan bepaalde onderwijsinstellingen, die om technische redenen voor bepaalde groepen studenten een eigen identificatiemiddel hanteren. Het bepaalde zal terughoudend worden toegepast; er wordt geen algemene ontsnappingsmogelijkheid geboden voor bestuursorganen, aangewezen organisaties en rechterlijke instanties die de acceptatieplicht in het eerste of tweede lid bezwaarlijk vinden. Vanzelfsprekend kunnen bestuursorganen niet van de plicht tot wederzijdse erkenning afwijken. Het betreft immers een Europeesrechtelijke verplichting.

Consequentie van het bepaalde is dat in overeenstemming met bij ministeriële regeling vast te stellen regels domeinspecifieke of door dienstverleners gehanteerde ‘eigen’ identificatiemiddelen (bijvoorbeeld voor mensen die niet kunnen beschikken over een burgerservicenummer, waaronder die afkomstig zijn van buiten de EU) mogen worden toegepast. Door de toenemende beschikbaarheid van toegelaten middelen – waarbij gewaarborgd is dat die aan de terzake gestelde (eidas) eisen voldoen – is evenwel de verwachting, dat op termijn het gebruik van niet-toegelaten middelen zal afnemen voor dienstverlening aan natuurlijke personen.

Lid 4

Hoewel in het vierde lid van artikel 13 voor bestuursorganen en aangewezen organisaties de bevoegdheid is opgenomen om met betrekking tot natuurlijke personen die een onderneming drijven (dwz natuurlijke personen in de uitoefening van beroep of bedrijf) voor het gebruik van een bedrijfsmiddel te kiezen (en daarmee een toegelaten middel te weigeren), geldt dit niet indien en voorzover bij ministeriële regeling anders is bepaald. Het vierde lid hanteert het begrip ‘in de uitoefening van beroep of bedrijf’ om te expliciteren dat het aanbieden van elektronische diensten door een ZZP’er of beroepsbeoefenaar onder deze formulering wordt begrepen. In het voorkomende geval wordt de desbetreffende persoon geaccommodeerd; hij kan dan – in een specifieke sector – ook een toegelaten identificatiemiddel gebruiken.

Artikel 8
Lid 1

Een publiek middel en de (machtigings)voorziening, bedoeld in artikel 5, eerste lid, onderdeel b, worden uitsluitend gebruikt voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties. Authenticatie in het elektronische verkeer met commerciële dienstaanbieders (ook wel aangeduid als ‘het private domein’) bijvoorbeeld webwinkels, valt niet onder de werkingssfeer van deze wet.82 Het gebruik van (al dan niet toegelaten) private identificatiemiddelen in dit verband is dus geen onderwerp van regulering. Het gebruiken van een publiek middel voor commerciële dienstverlening is niet toegestaan, teneinde de markt niet te verstoren. Uitgangspunt is dat publieke middelen en publieke voorzieningen bedoeld zijn voor de toegang tot de dienstverlening door bestuursorganen en aangewezen organisaties voorzover het de uitoefening van hun publieke (openbare) taken betreft. Dat betekent bijvoorbeeld dat een gemeente voor de elektronische verkoop van kaartjes voor een concert in het gemeentehuis of bij de elektronische aankoop van een bloemstuk niet om het gebruik van een publiek middel mag verzoeken.

Lid 2:

Bij ministeriële regeling kan worden bepaald, dat een publiek middel tevens voor de toegang tot welbepaalde private elektronische diensten van deze dienstverleners kan worden gebruikt. Het zal hierbij gaan om nader omschreven aangewezen organisaties, voor nader omschreven diensten anders dan diensten ter uitoefening van een publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt. Gedacht kan bijvoorbeeld worden aan zorgverzekeraars en zorgverleners. Vanzelfsprekend gelden in dit voorkomende geval alle regels van het wetsvoorstel, waaronder die met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de desbetreffende private diensten, op de naleving waarvan wordt toegezien door Onze Minister.

Lid 3

Bij ministeriële regeling kan worden bepaald dat een publiek identificatiemiddel tevens ten behoeve van aangewezen organisaties kan worden gebruikt voor het verlenen van toegang tot een systeem voor de elektronische uitwisseling van gegevens waarbij het burgerservicenummer wordt verwerkt, anders dan een systeem voor elektronische dienstverlening. Gedacht kan hierbij worden aan het gebruik binnen gesloten (‘interne’) systemen zoals dat bijvoorbeeld binnen en tussen zorginstellingen bestaat voor het – binnen de grenzen van de wet – onderling digitaal uitwisselen van patiëntgegevens. Zorginstellingen zijn private organisaties die ten behoeve van hun dienstverlening de identiteit van patiënten moeten vaststellen. Het is van belang dat deze identiteitsvaststelling bij zorgverlening, indicatiestelling en zorgverzekering plaatsvindt. Het gebruik van persoonsgegevens, inclusief het bsn, in de zorg is om die reden nadrukkelijk wettelijk geregeld. In aansluiting daarop geldt ingevolge het onderhavige wetsvoorstel voor zorginstellingen een acceptatieplicht, opdat patiënten met hun publieke identificatiemiddel bij hen terecht kunnen. Wat betreft de interne bedrijfsvoering en uitwisseling van medische gegevens binnen het zorgdomein is het voorts van belang dat gegevens aan de juiste persoon gekoppeld worden en dat alleen bevoegd zorgpersoneel de individuele medische gegevens kan verwerken. Zekerheid omtrent de identiteit van degenen die met die privacygevoelige gegevens omgaan, zoals zorgverleners, is daarbij van groot belang. Om die reden bevat het derde lid de mogelijkheid om een publiek middel tevens voor een gesloten systeem te gebruiken. Vanzelfsprekend gelden in dit voorkomende geval alle regels van het wetsvoorstel, waaronder die met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de desbetreffende diensten en met betrekking tot toezicht.

Artikel 9
Lid 1

Ingevolge artikel 5, eerste lid onder a, jo artikel 9, eerste lid, draagt Onze Minister zorg voor de beschikbaarheid van publieke middelen op de betrouwbaarheidsniveaus substantieel en hoog. De regels waaraan deze middelen moeten voldoen zijn primair de eisen ten aanzien van werking, veiligheid en betrouwbaarheid die voortvloeien uit de eidas-verordening. Op onderdelen worden, om redenen van veiligheid en pricacybescherming, voor in Nederland toe te laten middelen de Europese eisen ingevuld en ‘vertaald’ naar de nationale situatie en daarmee toetsbaar gemaakt. Dit is ingevolge de eidas-verordening toegestaan. Deze regels, alsmede hoe deze zich verhouden tot de eidas-verordening (transponeringstabel) worden gepubliceerd. Het gaat hier derhalve om eisen die Onze Minister terzake van de door hemzelf uitgegeven (= publieke) identificatiemiddelen hanteert en die aan voortdurende (technische) ontwikkeling onderhevig zijn.

Lid 2

Onze Minister kan besluiten om een of meerdere privaat uitgegeven middelen op de betrouwbaarheidsniveaus substantieel en hoog toe te laten voor gebruik in het publieke domein. Op deze manier wordt burgers de mogelijkheid geboden over meerdere identificatiemiddelen te beschikken voor gebruik in de richting van bestuursorganen en aangewezen organisaties (keuzevrijheid) en is sprake van een minder kwetsbaar stelsel van identificatiemiddelen in het publieke domein. Om deze terugvaloptie te realiseren, is de aanbieder van een door Onze Minister toegelaten privaat identificatiemiddel verplicht diensten aan te bieden aan derden in het openbaar belang, voor eigen rekening en risico.

Vanwege het ontbreken van een daadwerkelijke markt voor identificatiemiddelen ten behoeve van gebruik in het publieke domein, alsmede vanwege het bestaan van een ongelijk speelveld, wordt niet voorzien in een regulier vergunningenstelsel (waarbij een vergunning wordt verkregen als aan de eisen wordt voldaan), maar wordt marktordening op centraal niveau noodzakelijk geacht. Hiertoe dient het tweede lid e.v. Er is sprake van de verdeling van schaarse rechten. Het verlenen van het (bijzondere) recht om – voor eigen rekening en risico – een privaat middel uit te geven ten behoeve van de toegang tot publieke dienstverlening dient gepaard te gaan met uitvoering van de verplichtingen door de houder van dat recht.

De uitoefening van de in het tweede lid gegeven bevoegdheid van Onze Minister is genormeerd. Toelating geschiedt in de eerste plaats slechts indien dit noodzakelijk is voor de beschikbaarheid en toegankelijkheid van identificatiemiddelen voor natuurlijke personen in Nederland, waardoor stabiliteit en continuïteit van de toegang tot elektronische dienstverlening gewaarborgd kan worden. Voorts dient het middel te voldoen aan de – in het verlengde van de eidas-verordening, zie toelichting bij het eerste lid – gestelde regels ten aanzien van werking, veiligheid en betrouwbaarheid. Met betrekking tot de toelating van private middelen wordt vanzelfsprekend – en voortbordurend op de eidas-verordening – hetzelfde veiligheids- en betrouwbaarheidsniveau gehanteerd als voor de publieke middelen. Tot slot moet de geschiktheid van het middel zijn gebleken in een vergelijkende toets op basis van vooraf bekendgemaakte criteria. Van belang is immers dat sprake is van objectieve en vooraf algemeen kenbare toepassingsnormen; deze bieden waarborgen aan de gegadigden en zijn toetsbaar door de rechter. Indien er slechts een gegadigde is, wordt een vergelijkende toets achterwege gelaten.

Lid 3–4

Voorafgaand aan de verdeling als bedoeld in het tweede lid moet kenbaar zijn aan welke regels de aanvrager moet voldoen. In dat verband zullen ook aan een toelatingsbesluit voorschriften worden verbonden, die vanzelfsprekend zullen uitgaan van hetzelfde veiligheids- en betrouwbaarheidsniveau als terzake van publieke identificatiemiddelen (zie toelichting bij lid 1), en die onder meer betrekking zullen hebben op verplichte uitvoering, beveiliging, prijsstelling, privacybescherming (bijvoorbeeld te nemen technische en organisatorische maatregelen, zoals regels inzake de integriteit van het bij de dienstverlening betrokken personeel en intrekking of schorsing van het identificatiemiddel) en geldigheidsduur. De houder van de toelating is verplicht te voorzien in de beschikbaarheid en werking van het toegelaten identificatiemiddel volgens de aan het besluit tot toelating verbonden voorschriften. Een toegelaten middel kan gewijzigd, geschorst of ingetrokken worden. Aanleiding kan bijvoorbeeld zijn het in gevaar komen van de betrouwbaarheid van de grensoverschrijdende authenticatie (artikel 10 van de eidas-verordening). Op de genoemde besluiten staat rechtsbescherming open ingevolge de Algemene wet bestuursrecht.

Lid 5–6

Zoals gesteld is duidelijkheid vooraf omtrent inhoudelijke aspecten inzake toelating, wijziging, schorsing en intrekking van belang, gelet op het bieden van rechtszekerheid omtrent de toelating van publieke en, in voorkomend geval, private identificatiemiddelen, de wijze van toetsing door Onze Minister, de gronden voor (verlenen, wijzigen, schorsen en intrekken van) toelating en de hieraan te verbinden voorschriften en beperkingen. Hiertoe worden beleidsregels vastgesteld en kenbaar gemaakt (lid 6). Van een besluit tot toelating, wijzigen, schorsen of intrekking wordt mededeling gedaan door plaatsing in de Staatscourant (lid 5).

Artikel 10

Hoewel deze wet vooral regels bevat voor de overheid zelf, bevat dit artikel in het tweede lid de grondslag voor regels met betrekking tot het gebruik door natuurlijke personen van de publieke middelen en de voorzieningen, bedoeld in artikel 5, eerste lid. Het betreft regels die betrekking hebben op de publieke middelen en de voorzieningen die van belang zijn voor danwel een directe relatie hebben met natuurlijke personen (gebruikers), zoals de eisen inzake aanvraag, activatie, uitgifte, blokkeren en beëindiging van publieke middelen, aanvraag, registratie en intrekken van een machtiging in relatie tot de vertegenwoordigde en beoogd gemachtigde, het zorgvuldig gebruik van de inzagefunctie en van MijnOverheid. Voorheen waren deze primair vindbaar in (privaatrechtelijke) gebruiksvoorwaarden die golden in de relatie Onze Minister – gebruiker.83 Om redenen van duidelijkheid en rechtszekerheid ligt het echter in de rede algemeen verbindende voorschriften te stellen. De gebruik(ers)voorschriften met betrekking tot een eventueel ingevolge artikel 8, tweede lid, toe te laten privaat identificatiemiddel dienen door de aanbieder van dat middel in een gebruiksovereenkomst met de houder te worden vastgelegd.

Een essentiële plicht voor de rechtmatige houder van een elektronisch identificatiemiddel is opgenomen in deze wet, te weten in het eerste lid van dit artikel. De burger die in het bezit is van een elektronisch identificatiemiddel heeft een aantal verplichtingen ter bescherming van zijn elektronische identificatiemiddel. Hij moet zorgen dat hij het middel onder zijn exclusieve controle houdt, wat onder meer inhoudt dat wachtwoorden en pincodes strikt geheim moeten worden gehouden. Hij moet alle nodige maatregelen nemen om diefstal, verlies of verspreiding van zijn elektronisch identificatiemiddel te voorkomen en om ingeval van diefstal, verlies of verspreiding zijn elektronisch identificatiemiddel onmiddellijk te laten intrekken.

De artikelen 231 e.v. van het Wetboek van Strafrecht (Sr.) stellen verschillende vormen van identiteitsfraude strafbaar. In dit verband wordt opgemerkt dat het gebruik van een elektronisch identiteitsmiddel van een ander verboden is. Ook het gebruik van een (fysiek) reisdocument of identiteitsbewijs van een ander om daarmee een elektronisch ID-middel van die ander te verkrijgen, is wederrechtelijk en strafbaar ingevolge artikel 231, tweede lid, Sr. Daarbij kan gedacht worden aan het op naam van iemand anders aanvragen van een eID middel en/of het gebruik van het middel van een ander bij een overheidsorganisatie, zoals het doen van een aangifte of het aanvragen van een subsidie of toeslag voor iemand anders met gebruik van het elektronisch identificatiemiddel van diegene. Ook het vervalsen van een identificatiemiddel met de kennelijke intentie om zich met een andere identiteit voor te doen en daarmee fraude mogelijk te maken/te vergemakkelijken, kan hieronder worden begrepen.

Artikel 11

Paragraaf 4.3 heeft betrekking op een stelsel voor authenticatie (‘ben je wie je zegt te zijn’) en autorisatie (‘wat mag je’) van ondernemingen en rechtspersonen die zich ingevolge de Handelsregisterwet moeten of kunnen inschrijven in het handelsregister. Het betreft onder meer eenmanszaken, CV’s, VOF’s en maatschappen, maar ook verenigingen en bijvoorbeeld kerkgenootschappen. Deze authenticatie en autorisatie vindt plaats via erkende door private partijen uitgegeven middelen. Aangezien dit stelsel op punten afwijkt van de bepalingen aangaande de toegelaten middelen (voor natuurlijke personen/burgers), en teneinde verwarring met de daarin gehanteerde termen te voorkomen, is een apart begrip voor deze identificatiemiddelen geïntroduceerd (zie ook artikel 1). De term bedrijfs- en organisatiemiddel maakt duidelijk dat het middel zowel bestemd is voor bedrijven, oftewel ondernemingen, als voor het handelen door (onderdelen) van publieke organisaties, zoals Rijkswaterstaat. Dit laatste betreft uiteraard het handelen van deze organisatie in de hoedanigheid van afnemer van elektronische dienstverlening bij een bestuursorgaan of aangewezen organisatie.

Ten behoeve van de verankering van het stelsel voor identificatie, authenticatie en autorisatie van ondernemingen en rechtspersonen heeft de Minister van BZK de bevoegdheid om niet alleen de betrokken identificatiemiddelen, maar ook de voor het stelsel (en deugdelijke toegang tot elektronische dienstverlening) benodigde andere diensten te erkennen. Anders dan bij authenticatie door burgers, terzake waarvan in dit wetsvoorstel de focus ligt op het van overheidswege uitgeven van identificatiemiddelen, worden de bedrijfs- en organisatiemiddelen niet door de overheid zelf uitgegeven en worden die diensten niet door de overheid geleverd. Private partijen kunnen een aanvraag indienen om erkend te worden. Teneinde te verzekeren dat de middelen en diensten worden verricht met een voldoende veiligheids- en betrouwbaarheidsniveau worden bij of krachtens algemene maatregel van bestuur nadere regels gesteld. Deze betrouwbaarheids- en veiligheidsregels zullen in elk geval overeenkomen met de krachtens de eidas-verordening gestelde kaders. Maar ook aan de partijen zelf kunnen regels worden gesteld, teneinde de betrouwbare werking te borgen. Te denken valt aan financiële gezondheid van de partij, de governance, etc. Voorts is voor een deugdelijke toegang van een ondernemer tot de elektronische dienstverlening van belang dat de verschillende onderdelen waar nodig goed op elkaar aan sluiten. Te meer daar waar meerdere ontsluitende diensten of bijvoorbeeld attributendiensten worden erkend. Daarom worden ook ten behoeve van die interoperabiliteit regels gesteld.

Een authenticatiedienst kan zelf een bedrijfs- en organisatiemiddel uitgeven. De dienst wordt dan ten behoeve van het uit te geven middel als middelenuitgever erkend, maar ook als authenticatiedienst. Tegelijkertijd kan een partij die een middel uitgeeft de authenticatie daarvan overlaten aan een derde partij, een authenticatiedienst. Een authenticatiedienst kan dan erkend worden voor de authenticatie met een middel dat door een andere erkende middelenuitgever wordt uitgegeven. Bij de aanvraag tot erkenning moet dan duidelijk zijn dat de betrokken authenticatiedienst inderdaad gerechtigd is om authenticatiediensten te verlenen ten aanzien van het erkende en door een erkende middelenuitgever uitgegeven bedrijfs- en organisatiemiddel.

De ontsluitende dienst draagt zorg voor de ontsluiting van alle andere diensten. Wanneer een gebruiker een dienst wil afnemen bij een dienstverlener met een authenticatiemiddel van een erkende authenticatiedienst zorgt de ontsluitende dienst dat de authenticatie van de gebruiker bij de juiste erkende authenticatiedienst wordt opgehaald. Wanneer er ook een machtiging nodig is haalt de ontsluitende dienst de benodigde machtiging op bij een machtigingsdienst indien deze machtiging aanwezig is. Ook kan de ontsluitende dienst attributen ophalen bij een attributendienst indien dat gewenst is. De ontsluitende dienst draagt de opgehaalde gegevens over aan de dienstverlener die daarmee de dienstverlening kan voortzetten.

In aanvulling op de interoperabiliteitsregels voor het stelsel voor een bedrijfs- en organisatiemiddel kan ervoor worden gekozen om ook regels te stellen op basis waarvan interoperabiliteit tussen het stelsel voor het bedrijfs- en organisatiemiddel en de toegelaten middelen voor natuurlijke personen geborgd kan worden. Een dergelijke interoperabiliteit kan tegemoetkomen aan een effectieve toegang tot elektronische dienstverlening en een efficiënt gebruik van beschikbare voorzieningen en middelen. Op die manier kan bijvoorbeeld geborgd worden dat een burger een ondernemer kan machtigen namens hem of haar te handelen richting de overheid en andersom.84

De procedure aangaande het indienen en behandelen van een aanvraag om erkenning zal bij of krachtens algemene maatregel van bestuur nader worden uitgewerkt. Het gaat daarbij bijvoorbeeld om de bij de aanvraag te overleggen documenten. In dit kader zal waarschijnlijk een certificaat van een certificerende instelling overgelegd moeten worden, waaruit kan worden opgemaakt dat de dienst aan de gestelde eisen voldoet.

Hoewel het wetsvoorstel betrekking heeft op elektronische dienstverlening waarvoor authenticatie op het betrouwbaarheidsniveau hoog of substantieel is vereist, is het ook mogelijk dat een middelenuitgever of een authenticatiedienst middelen op niveau laag uitgeeft. De algemene maatregel van bestuur zal ook voor dergelijke middelen eisen bevatten, die mede betrekking hebben op de interoperabiliteit met de andere diensten in het stelsel. Het voordeel hiervan is dat het lage middel aansluit op de overige erkende diensten. Een bestuursorgaan dat de erkende bedrijfs- en organisatiemiddelen op het niveau substantieel of hoog accepteert via een erkende ontsluitende dienst, zal ook op gemakkelijke wijze een erkend bedrijfs- en organisatiemiddel op het niveau laag kunnen accepteren. Hoewel die acceptatie dus niet verplicht wordt, zal in de praktijk het effect zijn dat het middel voor de toegang tot elektronische dienstverlening gemakkelijk beschikbaar is.

Een aanvraag wordt in principe afgewezen indien niet aan de gestelde regels wordt voldaan. Op grond van de te stellen regels zal evenwel ook een tijdelijke erkenning mogelijk zijn in geval nog niet aan alle gestelde regels is voldaan. Dit kan bijvoorbeeld aan de orde zijn in geval aan vrijwel alle eisen wordt voldaan en nog enige tijd nodig is om aan alle eisen te voldoen. Ook kan het zijn dat strikt genomen niet aan de gestelde regel wordt voldaan, maar dat op een andere wijze de betrouwbaarheid en veiligheid van het stelsel is geborgd. In deze gevallen kan de erkenning toch verleend worden in geval een afwijzing naar het oordeel van de Minister onredelijk moet worden geacht, bijvoorbeeld omdat anders de toegang tot digitale dienstverlening onvoldoende beschikbaar is. Van belang is te allen tijde dat de betrouwbaarheid en veiligheid van het stelsel en de privacy als gevolg van een dergelijke erkenning niet in geding is. In voorkomende gevallen zal middels een voorschrift aan de erkenning worden verzekerd dat binnen een te bepalen periode alsnog aan de eisen wordt voldaan of dat aan de alternatieve inrichting van veiligheid en betrouwbaarheid wordt voldaan.

Voorts wordt niet uitgesloten dat een dienst wel aan alle eisen voor erkenning voldoet, maar dat verlenen van een erkenning om zwaarwegende redenen niet gewenst wordt geacht. Het gaat daarbij om situaties waarin de betrouwbaarheid en veiligheid van het stelsel mogelijk in gedrang komt. Te denken valt aan de situatie dat bij de te verlenen dienst betrokken personen verdacht worden van of veroordeeld zijn van ernstige strafbare feiten. In dit kader kan gedacht worden aan dezelfde maatstaf als ook wordt gebruikt in het kader van de Wet bevordering integriteitsbeoordeling door het openbaar bestuur. Maar ook kan worden gedacht aan de situatie dat de dienst in handen is van een bedrijf dat gevestigd is in een vreemde mogendheid en beïnvloeding van het stelsel door die vreemde mogendheid wordt gevreesd.

Binnen het huidig wettelijk kader zijn er verschillende registers voorhanden, die attributen bevatten aan de hand waarvan een onderneming of rechtspersoon kan worden geïdentificeerd. Te denken valt aan het BIG-register in de zorg. Deze attributen kunnen van belang zijn voor de toegang tot bepaalde elektronische dienstverlening. Datzelfde geldt voor bestaande machtigingsregisters. Het tiende en elfde lid bevatten de bevoegdheid voor de Minister van BZK om de diensten die voor deze wettelijke registers verantwoordelijk zijn aan te wijzen als erkende attributendienst respectievelijk erkende machtigingsdienst. Op die manier kan worden verzekerd dat binnen het stelsel van toegang tot elektronische dienstverlening voor ondernemers en rechtspersonen van de gegevens in deze wettelijke registers gebruik kan worden gemaakt daar waar dit voor de elektronische dienstverlening van belang is. Een dergelijke aanwijzing geschiedt in overeenstemming met de betrokken vakminister. Aan de aanwijzing kunnen voorschriften worden verbonden daar waar dit voor de interoperabiliteit binnen het stelsel en en betrouwbare toegang noodzakelijk is. Uiteraard worden deze voorschriften in nauw overleg met de betrokken dienst vormgegeven en zal een dergelijke aanwijzing uitsluitend aan de orde zijn daar waar de privacyregels kunnen worden geborgd.

Artikel 12

Dit artikel bevat een aantal verplichtingen ten behoeve van het stelsel voor bedrijfs- en organisatiemiddelen erkende diensten. Het eerste lid bevat een grondslag voor het stellen van regels waaraan erkende middelenuitgevers en erkende diensten na erkenning blijvend aan moeten voldoen. Deze regels kunnen overlappen met de op grond van artikel 10 te stellen toelatingseisen.

Verder dient elke ontsluitende dienst alle erkende bedrijfs- en organisatiemiddelen en in dat kader alle door een erkende machtigingsdienst afgegegeven machtigingen en door een erkende attributendienst verstrekte attributen te ontsluiten. Dit is van belang voor het ontzorgen van de bestuursorganen en aangewezen organisaties. Zij hoeven als gevolg van deze plicht voor ontsluitende diensten maar met één ontsluitende dienst een contract te sluiten teneinde toch met alle erkende bedrijfs- en organisatiemiddelen toegang tot hun elektronische dienstverlening te kunnen accepteren. Een ontsluitende dienst kan aan deze plicht alleen voldoen als de erkende middelenuitgever en andere erkende diensten daar hun medewerking aan verlenen. Daaronder wordt mede verstaan dat redelijke tarieven worden gerekend aan de ontsluitende dienst en geen misbruik wordt gemaakt van die afhankelijkheid van de ontsluitende dienst. Mocht het voor de goede samenwerking nodig zijn, kunnen regels gesteld worden, ook ten aanzien van de door de erkende diensten te hanteren of door ontsluitende dienst aan bestuursorganen en aangewezen organisaties door te rekenen tarieven.

Artikel 13

Het stelsel voor de authenticatie en autorisatie van ondernemingen is bedoeld voor de toegang van die onderneming tot elektronische dienstverlening die zij nodig hebben voor de uitoefening van hun beroep of bedrijf. Voor deze dienstverlening wordt in het algemeen gebruik gemaakt van het KvK- of RSIN nummer van de betrokken onderneming. Met het eerste lid wordt benadrukt dat de acceptatieplicht die met dit artikel wordt vormgegeven uitsluitend van toepassing is op dienstverlening aan ondernemingen en rechtspersonen die over een dergelijk nummer kunnen beschikken. Daartoe wordt verwezen naar ondernemingen en rechtspersonen als bedoeld in de Handelsregisterwet. Dit betekent dat een onderneming die niet is aan te merken als onderneming als bedoeld in artikel 5 van de Handelsregisterwet, niet door een bestuursorgaan of aangewezen organisatie de toegang tot online dienstverlening kan worden ontzegd enkel vanwege de omstandigheid dat hij niet over een erkend bedrijfs- en organisatiemiddel beschikt. Het staat bestuursorganen en aangewezen organisaties in deze gevallen vrij om de toegang middels andere methoden te verlenen, bijvoorbeeld middels een eigen inlogsysteem. Uiteraard moet bij deze vrijheid wel de Europeesrechtelijke kaders aangaande de interne markt, zoals bijvoorbeeld verankerd in de Dienstenrichtlijn, in acht worden genomen.

In geval van elektronische dienstverlening aan ondernemers en rechtspersonen, bedoeld in het eerste lid, moeten bestuursorganen en aangewezen organisaties in ieder geval alle erkende bedrijfs- en organisatiemiddelen en erkende diensten accepteren. Bovendien mogen zij uitsluitend toegang verlenen tot hun dienstverlening in geval gebruik wordt gemaakt van een erkend bedrijfs- en organisatiemiddel. Dit laatste is uiteraard onverminderd het bepaalde in artikel 7 van dit wetsvoorstel, waaruitvolgt dat zij tevens (alle) toegelaten middelen moeten accepteren. Aan laatstgenoemde middelen, die uitsluitend aan natuurlijke personen worden uitgegeven, is doorgaans (uitsluitend) een bsn gekoppeld.

Voor een efficiënte dienstverlening is het uitgangspunt dat een onderneming gebruik maakt van zijn bedrijfs- en organisatiemiddel daar waar hij voor de uitoefening van zijn beroep of bedrijf verzoekt om dienstverlening door bestuursorganen of aangewezen organisaties. Maar een natuurlijk persoon die een onderneming drijft kan in beginsel kiezen of hij gebruik wil maken van een toegelaten middel of van een erkend bedrijfs- en organisatiemiddel in de toegang tot de voor hem in de uitoefening van zijn onderneming gewenste dienstverlening. In geval hij kiest voor gebruik van een toegelaten middel, betekent dit dus dat uitsluitend een bsn meegeleverd wordt aan het betrokken bestuursorgaan of aangewezen organisatie. Zou een zelfstandige met zijn toegelaten middel, bedoeld voor natuurlijke personen, inloggen dan ontvangt het betrokken bestuursorgaan of de aangewezen organisatie uitsluitend een bsn, terwijl voor de dienstverlening over het algemeen het KvK-nummer of RSIN noodzakelijk is. Een dienstverlener moet de onderneming immers als zodanig in zijn eigen systemen kunnen herkennen. Om bestuursorganen en aangewezen organisaties in deze dienstverlening te ontzorgen, wordt hen de mogelijkheid geboden om, daar waar naar hun oordeel voor de dienstverlening toch een KvK-nummer of RSIN noodzakelijk is, de toegang met een toegelaten middel, gekoppeld aan het bsn, te weigeren en te verlangen dat gebruik wordt gemaakt van een erkend bedrijfs- of organisatiemiddel. Dat betekent dat bijvoorbeeld een café-eigenaar, die inlogt met zijn publieke identificatiemiddel wanneer hij een terrasvergunning aanvraagt, de toegang tot die dienstverlening door de betrokken gemeente mag worden geweigerd. Tenzij de gemeente in staat is om de onderneming ook als zodanig te herkennen indien gebruik wordt gemaakt van een toegelaten middel voor natuurlijke personen en alleen de ontvangst van alleen een bsn niet in de weg staat aan de gewenste dienstverlening. In dat geval is er immers geen noodzaak voor de gemeente om de café-eigenaar te weigeren. Een aantal bestuursorganen, waaronder de Belastingdienst, vraagt in zo’n geval zelf een KvK-nummer op of kan het betreffende dossier ook op basis van het bsn uit de eigen bestanden selecteren. Daar waar een bestuursorgaan of een aangewezen organisatie daartoe in staat is, kan derhalve de toegang met een toegelaten middel (gebaseerd op bsn) worden toegestaan en is er geen reden om van de weigeringsbevoegdheid gebruik te maken. Dat laat onverlet dat de betreffende persoon er ook voor kan kiezen om met een erkend bedrijfs- of organisatiemiddel in te loggen. Dat mag niet geweigerd worden door het bestuursorgaan of aangewezen organisatie. Zie in dit verband tevens artikel 7, vierde lid.

In een aantal situaties is sprake van een min of meer gesloten systeem van elektronische dienstverlening tussen bepaalde bestuursorganen of aangewezen organisaties en bepaalde beroepsgroepen. Te denken valt aan de elektronische communicatie met de rechterlijke macht door advocaten. In dergelijke min of meer gesloten systemen wordt nogal eens gebruik gemaakt van een ander, specifiek voor die dienst of die doelgroep bedoeld identificatiemiddel. Zo maken advocaten gebruik van de advocatenpas. Voor deze situaties biedt het zesde lid de bevoegdheid aan de Minister van BZK om dat andere specifieke identificatiemiddel aan te wijzen. Dit middel mag dan in afwijking van de plicht om uitsluitend toegang te verlenen in geval gebruik wordt gemaakt van erkende bedrijfs- en organisatiemiddelen (of van toegelaten middelen) ook worden geaccepteerd in de toegang tot de bij dat aanwijzingsbesluit bepaalde elektronische dienstverlening. Van belang is uiteraard dat daarbij eenduidig wordt bepaald om welke dienstverlening het gaat en welke ondernemers en rechtspersonen daar gebruik van kunnen maken. Voorts is van belang dat ook dit specifieke middel op betrouwbaarheidsniveau substantieel of hoog kan worden gebruikt en ook aan de daarvoor geldende eisen voldoet. Is dat niet het geval, dan wordt het middel niet aangewezen. Bovendien mag van dat middel dan, zonder die aanwijzing, geen gebruik worden gemaakt bij de elektronische dienstverlening op niveau substantieel of hoog. Dat laatste volgt uit artikel 7, eerste lid. Daarin is bepaald dat een bestuursorgaan of aangewezen organisatie bij de toegang tot zijn elektronische dienstverlening op het niveau substantieel of hoog uitsluitend middelen van ten minste datzelfde niveau accepteert.

Aangezien uit artikel 6 van de eidas-verordening voor openbare instanties een plicht toterkenning volgt van alle bij de Europese Commissie genotificeerde en geaccepteerde middelen, is expliciet bepaald dat het bepaalde in artikel 13 die plicht tot wederzijdse erkenning onverlet laat. Het uitgangspunt dat uitsluitend erkende en toegelaten middelen worden geaccepteerd, laat dus onverlet dat bestuursorganen en aangewezen organisaties, voor zover zij zijn aan te merken als openbare instantie, ook de genotificeerde en geaccepteerde eidas-middelen moeten erkennen. Ook in een min of meer gesloten stelsel zal een eidas-middel dus geaccepteerd moeten worden.

Tot slot volgt uit de Dienstenrichtlijn dat een bedrijf de gelegenheid moet hebben om via één loket alle procedures en formaliteiten af te wikkelen die nodig zijn voor de toegang tot zijn activiteiten en via dat één loket ook vergunningaanvragen af moet kunnen wikkelen die nodig zijn voor de uitoefening van de activiteit. Gelet op de doelstellingen van de Dienstenrichtlijn dient dit eenvoudig, op afstand en elektronisch te kunnen plaatsvinden. Dat geldt ook voor een Europees bedrijf dat middels het in Nederland hiertoe vormgegeven Centraal Loket procedures wenst af te wikkelen waarvoor het betrouwbaarheidsniveau hoog of substantieel geldt. In geval een Europese dienstverlener zich ingevolge de Handelsregisterwet niet kan inschrijven in het handelsregister, zal de in dit artikel vormgegeven acceptatieplicht niet belemmerend werken. Die is dan immers niet van toepassing.

Niet uitgesloten is echter, dat er bedrijven uit andere lidstaten zijn die zich wel kunnen inschrijven in het handelsregister, maar waarvoor het lastig of onmogelijk is om op eenvoudige wijze en op afstand te kunnen beschikken over een erkend middel. Om te verzekeren dat deze bedrijven de formaliteiten en vergunningaanvragen via het Centraal Loket te allen tijde in overeenstemming met de Dienstenrichtlijn kunnen afwikkelen, is in het vierde lid bepaald dat de acceptatieplicht niet geldt voor het aanmaken van en de toegang tot een elektronische postbus in het Centraal loket en niet voor de dienstverlening die via die postbus plaatsvindt. Bij dit laatste is wel de voorwaarde opgenomen dat de gegevens in het kader van die dienstverlening telkens van een elektronische handtekening is voorzien. Wat de betrouwbaarheid van de handtekening betreft wordt in dit kader gewezen op artikel 2:16 van de Algemene wet bestuursrecht. Voorts is van belang dat bij het al dan niet accepteren van een elektronische handtekening niet in strijd wordt gehandeld met het bepaalde in artikel 14, vijfde lid, van de Dienstenwet.

Artikel 14
Lid 1

De in dit wetsvoorstel genoemde ministers, alsmede bestuursorganen en aangewezen organisaties verwerken persoonsgegevens, waaronder het burgerservicenummer (bsn), voor zover dit noodzakelijk is voor de goede uitvoering van hun taken en verplichtingen ingevolge deze wet. Het gaat hierbij om gegevensverwerking in het kader van authenticatie en de in dat verband betrokken voorzieningen (zie artikel 5, eerste lid), en in het kader van de toegangsverlening tot cq het ontsluiten van elektronische diensten op de betrouwbaarheidsniveaus substantieel en hoog. Ook om activiteiten in het kader van voorkomen, herkennen en herstellen van misbruik en oneigenlijk gebruik adequaat te kunnen uitvoeren is het noodzakelijk om persoonsgegevens te verwerken. Gegevensverwerking in het kader van de elektronische dienstverlening als zodanig wordt niet onder dit artikellid begrepen. Het verlenen van elektronische diensten behoort tot het beleidsdomein en de verantwoordelijkheid van het desbetreffende bestuursorgaan of aangewezen organisatie en valt buiten de werkingssfeer van deze wet.

Lid 2

De aanbieder van een toegelaten privaat middel moet burgers in staat stellen toegang te verkrijgen tot elektronische diensten van bestuursorganen en aangewezen organisaties. Voorwaarde voor dit functioneren is de verwerking van persoonsgegevens en derhalve een wettelijke grondslag terzake. Core business van dergelijke partijen, ook wel authenticatiediensten genoemd, is het authenticeren van gebruikers. In het kader van deze wet oefenen zij functies uit die onlosmakelijk verband houden met het functioneren van de voorziening bedoeld in artikel 5, eerste lid, onderdeel d. De goede werking van deze voorziening is namelijk afhankelijk van de aanlevering van bepaalde persoonsgegevens over de gebruiker van een identificatiemiddel, die dit wil gebruiken voor de afname van diensten in het publieke domein. Het bsn wordt eenmalig aangeleverd aan Onze Minister als beheerder van de voorziening BSN-K. Om de verkregen gegevens te controleren op juistheid, vraagt hij gegevens op uit de basisregistratie personen; verificatie geschiedt door de opgegeven gegevens van de aanvrager (burger) te controleren aan de hand van de hierin opgenomen gegevens.85 De authenticatiedienst controleert deze gegevens aan de hand van het overlegde identificatiemiddel en bewaart geen integrale kopie, maar een kopie waarop de gelaatsfoto en het bsn zijn verwijderd. Hierdoor ontstaat er bij de authenticatiediensten geen verzameling van persoonsgegevens (hotspot), waardoor de privacy van de gebruikers wordt beschermd.86 Voor het bsn als basis voor de uit te voeren controle is gekozen omdat alleen op basis hiervan de grootst mogelijke zekerheid wordt verkregen omtrent de identiteit van de gebruiker. Als alternatief is overwogen om het nummer van het document als bedoeld in artikel 1 van de Wet op de Identificatieplicht te hanteren. Op zichzelf is een WID-documentnummer geschikt als basis voor de controle. Het bsn is echter een meer betrouwbare en persistente manier om uniciteit te verzekeren. Hiermee is voldaan aan de eisen van doelbinding, noodzaak, proportionaliteit en dataminimalisatie, zoals deze volgen uit artikel 8 EVRM en de artikelen 7 – 11 van de Wet bescherming persoonsgegevens.87

Lid 3

Ook voor een aantal specifieke partijen dat betrokken is bij de goede werking van het stelsel inzake elektronische authenticatie van ondernemingen en rechtspersonen is een wettelijke grondslag gerealiseerd voor de verwerking van persoonsgegevens. Authenticatie is in dit verband een samenspel tussen publieke en private partijen. Te denken valt aan het controleren van het bsn bij de uitgifte van een bedrijfs- en organisatiemiddel en het ten behoeve van authenticatie verkrijgen van een polymorfpseudoniem voor dat bsn, vast te stellen door het BSN-K. De uitgever van het bedrijfs- en organisatiemiddel baseert zich bij de uitgifte op hetgeen aan kenmerken en gegevens beschikbaar wordt gesteld (bijvoorbeeld KvK-nummer, RSIN, OIN, bsn) door een partij die hiertoe een verklaring afgeeft. Een machtigingsdienst verwerkt gegevens om betrouwbaar de koppeling tussen vertegenwoordiging en bedrijvenmiddel te maken. Een ontsluitende dienst verwerkt tot slot (versleutelde) gegevens bij het routeren van het elektronisch verkeer tussen een bestuursorgaan of aangewezen organisatie en erkende aanbieders van een bedrijvenmiddel, machtigingsdiensten en attributendiensten in het kader van het ‘ontzorgen’ van dienstverleners.

Lid 4

Bij algemene maatregel van bestuur zullen regels worden gesteld over de precieze persoonsgegevens die gelet op de voorgaande leden worden verwerkt, het doel van de verwerking, aan wie deze gegevens worden verstrekt en hoe lang deze worden bewaard. Aan de eisen van doelbinding, subsidiariteit en proportionaliteit alsmede aan de uitgangspunten van kenbaarheid, voorzienbaarheid en transparantie voor degenen wiens gegevens het betreft, zal aldus verder invulling worden gegeven. Het Besluit verwerking persoonsgegevens GDI zal hiertoe worden gewijzigd en aangevuld.

Artikel 15
Lid 1

Het toezicht op de naleving van de toe te passen standaarden, van de plicht tot acceptatie en classificering en van het gebruik van publieke middelen in het publieke domein door decentrale overheden loopt via reguliere (interbestuurlijke) lijnen. Er wordt voor die niveau’s dus geen afzonderlijke toezichthouder aangewezen; terzake gelden de Gemeente- en Provinciewet. Voor de naleving door overheidsorganen op het niveau van het Rijk respectievelijk bestuursorganen op het niveau van de Rijksoverheid (ministeries en zelfstandige bestuursorganen) en door de aangewezen organisaties geldt dat de minister, op wiens beleidsterrein het betreffende overheidsorgaan of het desbetreffende zelfstandige bestuursorgaan of aangewezen organisatie werkzaam is, een toezichthouder aanwijst. Het daarbij in de regel gaan om het terzake van de desbetreffende organisaties reeds functionerende toezicht. Voor wat betref het toezicht op de ministeries zelf, dient onder ‘Onze Minister wie het aangaat’ Onze Minister te worden verstaan.

Lid 2

Met het toezicht op de naleving van de artikelen 3, 6, 7, 8, eerste lid, en 13 door bestuursorganen op het niveau van de provincies zijn belast de bij besluit van Onze Minister aangewezen ambtenaren. In lijn met het reguliere interbestuurlijke toezicht houdt de minister toezicht op provincies en bestuursorganen op het niveau van provincies (gemeenschappelijke regelingen waaraan provincies deelnemen).

Lid 3

In lijn met het reguliere interbestuurlijke toezicht houden de provincies toezicht op de naleving van de artikelen 3, 6, 7, 8, eerste lid, en 13 door gemeenten en waterschappen alsmede de bestuursorganen op het niveau van gemeenten en waterschappen, zoals gemeenschappelijke regelingen. Het provinciebestuur informeert de minister over de (mate van) naleving zodat de minister zijn rol als stelselverantwoordelijke kan vervullen.

Lid 4

Met het toezicht op de naleving van de voorschriften als bedoeld in het derde lid van artikel 9, zijn belast de bij besluit van Onze Minister aangewezen ambtenaren. Het gaat hierbij om toezicht op een of meerdere private partij(en) die een toegelaten privaat middel aanbiedt. Nader bezien zal worden of het opportuun is om ambtenaren van het Agentschap Telecom danwel van een andere Rijksinspectie aan te wijzen. Hiervan wordt mededeling gedaan in de Staatscourant.

Lid 5

Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 12 zijn belast de bij besluit van Onze Minister van BZK aangewezen ambtenaren. Het gaat hierbij om toezicht op private partijen die erkend zijn in het stelsel voor elektronische authenticatie van ondernemingen en rechtspersonen. Naar verwachting worden hiertoe ambtenaren van het Agentschap Telecom aangewezen. Hiervan wordt mededeling gedaan in de Staatscourant.

Lid 6

Op de naleving door bestuursorganen en aangewezen organisaties van de eisen inzake informatieveiligheid en de in dit verband opgelegde auditverklaring alsmede van de regels inzake gebruik buiten het publieke domein wordt toezicht gehouden door Onze Minister.

Lid 8–9

Onze Minister heeft de bevoegdheid tot het opleggen van een last onder bestuursdwang of een bestuurlijke boete ter handhaving van de voorschriften met betrekking tot de houder van een toegelaten privaat identificatiemiddel. Tevens kan de Minister een verleende erkenning opschorten of intrekken indien niet wordt voldaan aan het bepaalde bij of krachtens artikel 12 eerste, tweede of derde lid, en is hij bevoegd om terzake een last onder bestuursdwang op te leggen. In aanvulling daarop is ook de bevoegdheid opgenomen tot het opleggen van een bestuurlijke boete.

Artikel 16
Lid 1

Teneinde veilige en betrouwbare elektronische authenticatie in het publieke domein te kunnen realiseren, is het nodig dat Onze Minister beschikt over de mogelijkheid om maatregelen te nemen om compromittering van de veilige en betrouwbare toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties te voorkomen of beëindigen. Dit artikellid biedt hem bevoegdheden indien andere instrumenten (afspraken, waarschuwing, bestuurlijk overleg) niet toereikend blijken om veilige en betrouwbare toegang tot publieke dienstverlening te realiseren.

Het bepaalde dient in de eerste plaats te worden gelezen in samenhang met artikel 4, op basis waarvan eisen worden gesteld aan werking, betrouwbaarheid en beveiliging van de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties, waaronder het regulier overleggen van een auditverklaring. Zoals ook in de toelichting bij dat artikel is aangegeven, is het uitgangspunt dat de betrokken bestuursorganen en aangewezen organisaties een eigenstandige verantwoordelijkheid hebben voor informatiebeveiliging en dat erop mag worden vertrouwd dat zij de eisen terzake naleven. Indien echter uit de auditverklaringen zou blijken, dat de informatieveiligheid in het geding is en ook na herhaaldelijke aanmaningen de benodigde verbeteringen niet worden aangebracht (escalatieladder), kan als uiterste middel de in het onderhavige artikel opgenomen bevoegdheid tot het treffen van noodmaatregelen uitkomst bieden. Ook het stelselmatig niet overleggen van een auditverklaring of anderszins niet nakomen van bestuurlijke afspraken kan een aanleiding vormen voor het nemen van een noodmaatregel. Voorts kan Onze Minister noodmaatregelen nemen bij ernstige storingen, ernstige aantasting van de werking beveiliging of betrouwbaarheid van de elektronische dienstverlening, of misbruik of oneigenlijk gebruik van de toegang terzake. Onder ‘misbruik of oneigenlijk gebruik’ wordt begrepen zowel aantastingen van, en inbreuken op de (technische) beveiliging (hacken, DDoS-aanvallen, dat wil zeggen pogingen om een computer, computernetwerk onbeschikbaar te maken voor gebruik) als bewuste inbreuken op de processen voor dienstverlening en systemen van bestuursorganen en aangewezen organisaties, waarvan burgers, bedrijven en de overheid zelf het slachtoffer kunnen worden. Tot slot kan een noodmaatregel bij ernstige niet naleving door het betrokken bestuursorgaan of de betrokken aangewezen organisatie van het bij of krachtens de artikelen 7, 13 (acceptatie) en 8 (publiek middel in publiek domein) bepaalde gerechtvaardigd zijn, omdat door niet-naleving hiervan de goede werking van de generieke infrastructuur, in het bijzonder van publieke middelen en voorzieningen als bedoeld in artikel 5, eerste lid, kan worden verstoord. Het voordien informeren van de betreffende toezichthouder is hierbij opportuun. Teneinde de veiligheid en betrouwbaarheid van de toegang tot elektronische dienstverlening te waarborgen, misbruik of oneigenlijk gebruik en ernstige niet naleving zoveel mogelijk te voorkomen, is het nodig dit te kunnen herkennen, vroegtijdig te signaleren en, bij constatering daarvan, herstel- en noodmaatregelen te kunnen nemen. Onze Minister heeft hierbij doorzettingsmacht. Onze Minister onderkent het onder a–c genoemde veelal vroegtijdig; een acuut risico kan vervolgens worden weggenomen door middel van het tijdelijk (doen) onderbreken van de toegang tot dienstverlening (afsluiten van authenticatie).

Operationele uitwerking van misbruikbestrijding geschiedt op basis van een – door Onze Minister in afstemming met de dienstverleners op te stellen – plan van aanpak, waarbij een risico-gerichte benadering en heldere afwegingskaders terzake van de betrokken belangen en de te nemen maatregelen voorop staan.

Het eerste lid faciliteert, mits proportioneel, maatregelen van Onze Minister om in het kader van vermoede of manifeste integriteits- of beveiligingsinbreuken maatregelen te treffen die zich richten op de dienstverlening van bestuursorganen en aangewezen organisaties met als doel de borging of het herstel van de betrouwbare toegang tot hun elektronische diensten. Dit betekent dat de genoemde bevoegdheden hun grens kennen. Wanneer bijvoorbeeld een burger met gebruik van zijn publieke middel een frauduleuze aanvraag voor toeslagen indient door bewust verkeerde posten in te vullen om meer toeslag te verkrijgen dan waar hij recht op heeft, is er geen sprake van aantasting van de betrouwbaarheid van de toegang tot publieke diensten. Het is immers de burger die misbruik pleegt, met andere woorden het gebruik van zijn middel is frauduleus. In dat geval bestaat voor de minister geen wettelijke grondslag om uit eigen beweging dergelijke (vermoedens van) fraude te onderzoeken en hiervan melding te doen aan betrokken bestuursorganen. Tot de in dit artikel bedoelde taak behoort ook niet opsporing ten behoeve van strafvorderlijke vervolging. Wel kunnen politie, justitie en daartoe bevoegde dienstverleners zoals de Belastingdienst, de desbetreffende minister of het desbetreffende bestuursorgaan om informatie en gebruik(er)sgegevens verzoeken. Alsdan zal afgewogen worden of de relevante informatie kan worden aangeleverd overeenkomstig de daarvoor geldende wettelijke kaders. Ook binnen de voorzieningen als bedoeld in artikel 5, eerste lid, is ten behoeve van het operationeel beheer (goede werking, probleemanalyse etc.) sprake van (technische) controlemaatregelen met betrekking tot persoonsgegevens en digitale identiteit, logging en het bijhouden van een audittrail, bijvoorbeeld over (afwijkend) gedrag van gebruikers van een publiek middel, dat gebruikt kan worden voor het herkennen van misbruik.

Ernstige, waaronder voortdurende, niet nakoming van de plicht tot het betalen van de (oa aansluit) kosten bedoeld in artikel 19 kan tot slot ook aanleiding vormen voor door Onze Minister te nemen maatregelen.

Lid 2–3

Teneinde vast te (kunnen) stellen of sprake is van een situatie als bedoeld in het eerste lid, is het van belang dat Onze Minister op de hoogte is. Een bestuursorgaan of een aangewezen organisatie moet daarom Onze Minister onverwijld in kennis stellen van een inbreuk op de beveiliging of de integriteit van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening. Het bestuursorgaan of de aangewezen organisatie verstrekt daarbij alle benodigde informatie. Hetzelfde geldt voor een (interbestuurlijke) toezichthouder die ernstige niet naleving door een bestuursorgaan of aangewezen organisatie van het bij of krachtens de artikelen 7, 8 en 13 bepaalde constateert.

Voor de goede orde wordt opgemerkt, dat melding in de zin van dit artikel onderscheiden moet worden van de meldplicht datalekken; ingevolge artikel 33 AVG moet het lekken van persoonsgegevens als gevolg van beveiligingsproblemen, met nadelige gevolgen voor de bescherming van de persoonsgegevens (diefstal, verlies of misbruik) worden gemeld aan de Autoriteit Persoonsgegevens. Voorts kan in de toekomst eventueel de jegens het Nationaal Cyber Security Centrum geldende meldplicht voor ernstige ICT-inbreuken toepasselijk zijn. Deze meldplicht geldt alleen voor (nader aan te wijzen) aanbieders van diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving.88

Lid 4–5

Ook bij het vermoeden van misbruik of oneigenlijk gebruik van een individueel middel dat gebruikt wordt voor elektronische dienstverlening (dus: in het publieke domein), heeft de minister van BZK de mogelijkheid om snel en doeltreffend te handelen en het desbetreffend middel ‘uit de roulatie’ te halen. Het kan hierbij gaan om een welbepaald toegelaten middel van hetzij publieke aard, hetzij (ingevolge artikel 9, tweede lid) private aard of om een (ingevolge artikel 11) erkend middel. Benadrukt wordt dat deze acute maatregel is gericht tot een individueel middel en dat deze bevoegdheid toekomt aan de minister en niet aan dienstverleners. Bestuursorganen en aangewezen organisaties hebben, gezien hun verantwoordelijkheid voor (bescherming van hun) bedrijfsvoering, ingeval van door hen geconstateerde integriteitsproblemen vanzelfsprekend wel de mogelijkheid om hun dienstverlening op te schorten.

Het (tijdelijk) onderbreken door de minister betekent dat de toelating van het type middel in beginsel ongemoeid wordt gelaten (zie evenwel artikel 9, vierde lid, respectievelijk artikel 12, vierde lid). Het is niet wenselijk om bij het nemen van acute maatregelen afhankelijk te zijn van de medewerking van de desbetreffende private aanbieder; het is immers de verantwoordelijkheid van de betrokken minister om te zorgen voor veilige en betrouwbare toegang tot elektronische dienstverlening. Hij moet indien nodig zelf maatregelen kunnen nemen om dit te borgen. Indien nodig zullen hiertoe technische aanpassingen binnen de infrastructuur plaatsvinden.

Als blijkt dat een EU-genotificeerd middel gecompromitteerd is en de betrouwbaarheid van de grensoverschrijdende authenticatie in gevaar komt, geldt ingevolge artikel 10, eerste lid, van de eidas-verordening dat de aanmeldende lidstaat onverwijld de grensoverschrijdende authenticatie of de delen waarvan de integriteit geschonden is, moet opschorten of intrekken, en de andere lidstaten en de Commissie hiervan op de hoogte moet stellen.

Artikel 17
Lid 1–2

Alleen indien hij over juiste en volledige informatie beschikt, kan Onze Minister zijn taken en verantwoordelijkheden voor een veilige en betrouwbare toegang tot elektronische dienstverlening waarmaken. Naast het monitoren, onderzoeken en analyseren zoals dat in het kader van het operationeel beheer gebeurt, is wederzijdse informatieverschaffing (uit eigen beweging en op verzoek) door betrokkenen in de authenticatieketen nodig. Dit artikel voorziet daarin. Alle benodigde informatie – over de werking van de toegang en dus niet over de inhoud van de in het kader van de dienstverlening uitgewisselde berichten – moet daarbij worden verstrekt, zodat Onze Minister kan beoordelen of er maatregelen moeten worden getroffen. Een wederzijds afgestemde aanpak ligt daarbij om redenen van effectiviteit en doelmatigheid in de rede; van bestuursorganen en aangewezen organisaties kan, gezien het belang om veiligheid ketenbreed op te pakken, bijvoorbeeld medewerking verlangd worden op het moment dat mogelijk misbruik (bijvoorbeeld een integriteits- of beveiligingsinbreuk) wordt geconstateerd.

Omgekeerd moet Onze Minister gegevens en inlichtingen verstrekken aan betrokken partijen over de compromittering van de veilige en betrouwbare toegang elektronische dienstverlening voor zover dit noodzakelijk is voor een goede uitoefening van hun taken respectievelijk te verlenen diensten. Welke gegevens in het concrete geval moeten worden uitgewisseld is afhankelijk van de omstandigheden van het geval. Om die redenen kan niet op voorhand een inperking worden aangebracht in de gegevens die dienen te worden verstrekt en verwerkt. De gegevensverwerking kan daarmee in potentie ieder gegeven betreffen dat beschikbaar is binnen de autheticatieketen. Vanzelfsprekend gelden daarbij de uitgangspunten van noodzakelijkheid, doelbinding, proportionaliteit en subsidiariteit. Ook gegevensverwerking in het kader van veilige en betrouwbare authenticatie omvat immers (mede) de verwerking van persoonsgegevens, zodat aan de bepalingen van de Wet bescherming persoonsgegevens (Wbp) en de EU Verordening gegevensbescherming moet worden voldaan.

Artikel 18
Lid 1

Dit lid verankert het algemene uitgangspunt dat de burger zal moeten betalen voor de aanschaf van een publiek identificatiemiddel en voor het middel zelf. De hoogte van deze leges is nog niet bekend en kan per publiek middel verschillen.

Lid 2

Het tweede lid biedt een grondslag voor het bij ministeriële regeling vaststellen van een tarief voor publieke middelen waarvan het tarief niet in een ander wettelijk voorschrift wordt geregeld. De kosten voor de extra functie van authenticatie op de e-NIK zullen worden verdisconteerd in het tarief voor de NIK. Hiertoe zal het Besluit Paspoortgelden worden aangepast. De kosten die de RDW maakt worden aan de hand van de rijkskostencomponent ingevolge artikel 121, eerste lid, Wegenverkeerswet via gemeenten bij de burger in rekening gebracht, dan wel via het tarief van de RDW voor een door de RDW afgegeven e-rijbewijs. Op basis van de voorgestelde bepaling zal een tarief kunnen worden geheven voor een publiek middel op betrouwbaarheidsniveau substantieel.

Artikel 19

De kosten die het Rijk maakt samenhangend met de uitvoering van de artikelen 5 (realiseren van publieke middelen en voorzieningen) en 9 (toelaten van private middelen) worden door de minister ten laste gebracht van de bestuursorganen en aangewezen organisaties. Op dit moment is het nog niet goed mogelijk om de totale kosten en de componenten daarvan in beeld te brengen. Evenmin is bekend in welke mate er gebruik zal worden gemaakt van de voorzieningen. In de methode van doorberekening kan daarom nog geen inzicht worden geven. Zodra daarover meer duidelijkheid bestaat, worden hierover bij ministeriële regeling nadere regels gesteld.

Artikel 20

Dit artikel biedt voor de Minister van BZK de grondslag om de kosten door te berekenen voor het behandelen van een erkenningsaanvraag, alsmede voor het toezicht op de naleving van de aan de erkende dienst opgelegde eisen.

Hoewel identificatiemiddelen op een lager betrouwbaarheidsniveau dan substantieel of hoog niet ingevolge deze wet zullen worden toegelaten, zullen ze om praktische redenen voorshands beschikbaar blijven; ze kunnen worden geaccepteerd door bestuursorganen en aangewezen organisaties voor diensten waarvoor een laag betrouwbaarheidsniveau geldt.

Artikel 21

Binnen vijf jaar na de inwerkingtreding van deze wet zal deze worden geëvalueerd, teneinde de doeltreffendheid en de effecten ervan in kaart te brengen. In het bijzonder wordt hierbij – mede naar aanleiding van gehouden privacy impact analyses – aandacht geschonken aan de vraag, of de getroffen (technische, organisatorische en juridische) maatregelen op het gebied van beveiliging en privacybescherming nog steeds voldoende zijn. Ook zaken als het systeem van de wet, de werking van de voorzieningen, de mate waarin behoefte bestaat aan nieuwe of andere functionaliteiten en interoperabiliteit komen bij gelegenheid van de evaluatie aan de orde.

Artikel 22

Dit artikel voorziet in overgangsrecht voor bedrijfs- en organisatiemiddelen en diensten die al, conform daartoe met de Staat gemaakte afspraken,89 functioneerden voorafgaand aan inwerkingtreding van deze wet.

Artikel 23

Dit artikel voorziet in overgangsrecht terzake van een vooruitlopend op inwerkingtreding van de wet toegelaten privaat middel. Thans wordt ten behoeve van toelating van een of meerdere private middelen een marktconsultatie voorbereid. Voorzover deze in de aanloop naar inwerkingtreding van de wet zijn beslag krijgt, en leidt tot een voor inwerkingtreding van deze wet van kracht geworden overeenkomst van Onze Minister met een private authenticatiedienst, heeft een dergelijke toelating het rechtskarakter van een overeenkomst naar burgerlijk recht. Deze wordt voor de duur van die overeenkomst voor de toepassing van dit wetsvoorstel gelijkgesteld met een toelatingsbesluit op grond van deze wet. Op een zodanige overeenkomst en de rechtsverhouding tussen partijen zijn de bepalingen van het Burgerlijk Wetboek van kracht.

Artikel 24

Naar aanleiding van het advies van de Autoriteit Persoonsgegevens is in het wetsvoorstel een overgangsregeling opgenomen. De duur ervan is in dit stadium lastig in te schatten. Dit hangt af van het tempo van de uitgifte van publieke middelen op de niveaus substantieel en hoog, alsmede de beschikbaarheid van toe te laten private middelen en de dekkingsgraad daarvan. Indien de aard van de dienstverlening noopt tot toepassing van een identificatiemiddel op een bepaald betrouwbaarheidsniveau, het middel beschikbaar is en de dekkingsgraad op een adequaat niveau is, ligt het niet in de rede om de acceptatie van een lager betrouwbaarheidsniveau door bestuursorganen en aangewezen organisaties tijdelijk toe te staan. Zolang de dekkingsgraad niet op een adequaat niveau is, is het echter nog niet mogelijk te eisen dat de dienstverlening voldoet aan de krachtens de wet gestelde eisen. Het tijdelijk toestaan van een lager betrouwbaarheidsniveau dan eigenlijk gewenst, is daarom noodzakelijk. Terzake van niveau substantieel geldt een termijn van uiterlijk 4 jaar. Terzake van niveau hoog is een langere termijn, te weten uiterlijk 7 jaar, gewenst, ervan uitgaande dat in 2018 met de eerste uitgifte van het e-rijbewijs en in 2019 met de e-NIK wordt gestart. In de ministeriële regelingen kunnen bepaalde (nieuwe) vormen van dienstverlening op niveau hoog worden uitgesloten van het overgangsrecht, bijvoorbeeld omdat dit de ontwikkeling van die diensten zou kunnen belemmeren of wegens de hoge risico’s van het toelaten van identificatiemiddelen op het lagere niveau.

In het wetsvoorstel, zoals voorgelegd ter consultatie, was een overgangsbepaling van drie jaar opgenomen terzake van DigiD op niveau laag. Op basis van de huidige bepaling is het mogelijk om de uitfasering van het niveau laag in de dienstverlening gefaseerd te laten plaatsvinden. Daarbij zal rekening kunnen worden gehouden met de wenselijkheid dat voor dienstverlening waarvoor niveau laag tijdelijk is toegestaan, dan ten minste 2-factor authenticatie wordt gebruikt; dit mede naar aanleiding van de op 21 juni jl. ingediende motie van het lid Van Engelshoven inzake het bevorderen van inloggen met 2-staps identificatie.90

Artikel 25

Dit artikel voorziet in de mogelijkheid dat in een lagere regeling bij wijze van experiment van de acceptatieplicht in dit wetsvoorstel wordt afgeweken. Voor welbepaalde gevallen en dienstverleners kan bij algemene maatregel van bestuur worden bepaald dat, onder afwijking van artikel 7, eerste lid onder a, toegelaten en erkende middelen niet worden geaccepteerd met het oog op het onderzoeken van nieuwe methoden waarmee authenticatie doeltreffender kan plaatsvinden. Het betref de realisering van een innovatieve toepassing of het in het kader van de doorontwikkeling testen van een nieuw publiek middel bij specifieke bestuursorganen of aangewezen organisaties. Hierdoor kan proefondervindelijk worden vastgesteld of een een (door)ontwikkeld publiek of privaat middel een bijdrage kan leveren aan efficiënte, betrouwbare en gebruiksvriendelijke authenticatie in het publieke domein. Overheidsregie voeren met behulp van wettelijke kaders hoeft immers niet te betekenen dat geen ruimte wordt gegeven aan de improviserende, innoverende en proberende samenleving.91 Hierbij geldt overigens dat van de (europeesrechtelijke) plicht tot wederzijdse erkenning van bij de Europese Commissie genotificeerde middelen niet kan worden afgeweken (zie de toelichting bij artikel 7).

Artikel 26

Tot op heden gold artikel X, eerste lid, van de Wet Elektronisch berichtenverkeer Belastingdienst (WEBV) als grondslag voor de taken en verantwoordelijkheden van onze Minister terzake van voorzieningen voor elektronisch berichtenverkeer en informatieverschaffing en elektronische authenticatie, inclusief elektronische registratie van machtigen. Dit vormde de opmaat naar de onderhavige wet; met de inwerkingtreding komt artikel X van de WEBV te vervallen. De onderdelen en leden van artikel X krijgen een plek in deze wet.92 Ook wordt het Besluit verwerking persoonsgegevens GDI ‘omgehangen’ (artikel 28).

Artikel 27

In verband met de ontwikkeling en afgifte van een e-rijbewijs is het van belang een grondslag te scheppen voor de door gemeenten aan de RDW te vergoeden kosten. Ook wordt, in aansluiting op diens verantwoordelijkheid voor de uitgifte van het rijbewijs, de verantwoordelijkheid van de Dienst Wegverkeer (RDW) gespecificeerd voor wat betreft het plaatsen van een publiek identificatiemiddel op betrouwbaarheidsniveau hoog op het rijbewijs.

A

Artikel 107, tweede en derde lid, van de Wegenverkeerswet 1994 regelt de verschijningsvorm van het rijbewijs. Teneinde het onderdeel te maken van het rijbewijs voorziet A in de toevoeging aan artikel 107, derde lid, dat het rijbewijs een publiek identificatiemiddel als bedoeld in artikel 1 van dit wetsvoorstel bevat. Omdat artikel 5, eerste lid, van dit wetsvoorstel bepaalt dat een publiek identificatiemiddel slechts kan worden afgegeven aan een natuurlijke persoon die beschikt over een burgerservicenummer is in het voorgestelde artikel 107, derde lid, van de Wegenverkeerswet 1994 als voorwaarde voor het plaatsen gesteld dat de aanvrager over een burgerservicenummer beschikt. Degene die een rijbewijs aanvraagt, maar niet beschikt over een burgerservicenummer krijgt derhalve een rijbewijs zonder publiek middel. Voor de volledigheid wordt er op gewezen dat degene die als niet-ingezetene beschikt over een burgerservicenummer toch geen rijbewijs met een publiek middel krijgt. De eisen die de eidas-verordening en de daarop gebaseerde bepalingen stellen aan identificatiemiddelen op het betrouwbaarheidsniveau hoog staan daaraan in het geval van het rijbewijs in de weg, aangezien niet-ingezetene niet altijd in persoon hoeven te verschijnen om een rijbewijs aan te vragen (zie artikel 49, derde lid, van het Reglement rijbewijzen). Het rijbewijs bevat reeds een chip, waarop het publieke identificatiemiddel kan worden geplaatst. Richtlijn 2006/126/EG van het Europees Parlement en de Raad van 20 december 2006 betreffende het rijbewijs (PbEU 2006, L 403) laat ruimte voor andere functionaliteiten op die chip dan die strekkende tot uitvoering van de die richtlijn op voorwaarde dat die uitvoering niet gehinderd wordt. Van dergelijke hinder is geen sprake en overeenkomstig artikel 1, derde lid, van richtlijn 2006/126/EG heeft afstemming plaatsgevonden met de Europese Commissie.

B

Op grond van artikel 5, vierde lid, van het wetsvoorstel heeft de RDW tot taak een publiek identificatiemiddel op het rijbewijs te plaatsen en af te geven. Omdat dat op het rijbewijs wordt geplaatst en daarmee onderdeel is van het verloopt de aanvraag en afgifte van dat middel op dezelfde wijze als voor het rijbewijs. Desondanks zijn er kosten gemoeid met het plaatsen en afgeven van een publiek identificatiemiddel. Daarbij gaat het om enerzijds de productiekosten van het middel, inclusief het personaliseren, en anderzijds de bijkomende handelingen als registratie van de gegevens van het middel en het na afgifte van het rijbewijs aan de aanvrager aanmaken en toezenden van een pincode voor het bewuste middel.

Die kosten hebben geen betrekking op het rijbewijs als zodanig, daarom wordt in artikel 111, vijfde lid, Wegenverkeerswet 1994 toegevoegd dat de kosten met betrekking tot het publieke identificatiemiddel gedekt worden uit het tarief.

Zoals aangegeven worden de kosten voor het publieke identificatiemiddel doorbelast via de leges voor het rijbewijs. Naar verwachting is het productieproces van het rijbewijs reeds voor de inwerkingtreding van de Wet digitale overheid afgestemd op de plaatsing van het publieke identificatiemiddel. Het kan dus zijn, dat een houder van een publiek middel op een rijbewijs dat is uitgegeven voor inwerkingtreding van de wet dit, teneinde het te kunnen gebruiken als elektronisch identificatiemiddel, pas wil activeren na inwerkingtreding van de wet. Alsdan wordt een bij ministeriële regeling te bepalen tarief in rekening gebracht.

C

Op grond van artikel 5, vierde lid, van het wetsvoorstel heeft de RDW tot taak een publiek identificatiemiddel op het rijbewijs te plaatsen en af te geven. Omdat dat middel op het rijbewijs wordt geplaatst en daarmee onderdeel is van het rijbewijs, verloopt de aanvraag en afgifte van dat middel op dezelfde wijze als voor het rijbewijs. Desondanks zijn er kosten gemoeid met het plaatsen en afgeven van een publiek identificatiemiddel. Daarbij gaat het om enerzijds de productiekosten van het middel, inclusief het personaliseren, en anderzijds de bijkomende handelingen als registratie van de gegevens van het middel en het na afgifte van het rijbewijs aan de aanvrager aanmaken en toezenden van een pincode voor het bewuste publieke identificatiemiddel. Die kosten hebben geen betrekking op het rijbewijs als zodanig, daarom wordt in artikel 121, eerste lid, van de Wegenverkeerswet 1994 toegevoegd dat de kosten met betrekking tot het publieke identificatiemiddel gedekt worden uit de zogenoemde rijkskostencomponent.

D

Met deze toevoeging wordt expliciet gemaakt dat de RDW in het rijbewijzenregister gegevens verwerkt omtrent de op rijbewijzen geplaatste publieke identificatiemiddelen.

Artikel 29

Onverwijlde inwerkingtreding van dit wetsvoorstel is nodig met het oog op de voor implementatie van richtlijn (EU) 2016/2102 inzake de toegankelijkheid van overheidswebsites benodigde grondslag (artikel 3) en de voor kostendoorberekening benodigde grondslag (artikel 18), alsmede de goede uitvoering van de eidas-verordening, in het bijzonder terzake van de benodigde infrastructuur. Voor het overige wordt gestreefd naar inwerkingtreding van de wet met ingang van 1 januari 2019. Het daadwerkelijke tijdstip van inwerkingtreding zal bij koninklijk besluit worden bepaald, mede aan de hand van het tijdstip waarop technische randvoorwaarden gerealiseerd kunnen zijn, waaronder voorzieningen zoals de routeringsvoorziening en aansluiting door de bestuursorganen en aangewezen organisaties op die voorzieningen. Door in dit verband een aansluitschema op te stellen, worden zij in staat gesteld om hun elektronische dienstverlening en de toegang daartoe technisch en organisatorisch op orde te brengen; dit is nodig om gevolg te kunnen geven aan de acceptatieplichten. Het schema zal erop gericht zijn zo snel mogelijk na inwerkingtreding van de overige bepalingen van de wet alle in artikel 2 genoemde bestuursorganen en aangewezen instanties voor hun diensten aangesloten te hebben. Op basis van dit schema kunnen koninklijke besluiten als bedoeld in het tweede lid worden voorbereid. De betrokkenen dragen er zorg voor dat zij op het desbetreffende tijdstip daadwerkelijk en volledig uitvoering kunnen geven aan de wet.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,


X Noot
1

De generieke digitale infrastructuur bestaat uit standaarden, producten en digitale basisvoorzieningen die gezamenlijk gebruikt worden door overheden, publieke organisaties en in een aantal gevallen ook private partijen. Hierdoor is het mogelijk om primaire processen doelmatig in te richten en te blijven ontwikkelen.

X Noot
2

Belangrijke redenen dat grote ICT projecten in de overheid vastlopen, zoals recent de Basisregistratie personen en het KEI-project voor de rechtspraak, zijn het gebrek aan daadwerkelijke standaardisatie en aan éénduidige sturing. Rapport van de commissie Parlementair onderzoek naar ICT-projecten bij de overheid (commissie-Elias), Kamerstukken II 2014/15, 33 326, nr. 5, blz. 72–73.

X Noot
3

Het voorstel maakt onderscheid tussen identificatie (opgeven van de identiteit) en authenticatie (controleren van de juistheid van de opgegeven identiteit). De vragen in dit advies gaan over identificatie, huiselijk verwoord als ‘inloggen’.

X Noot
4

Artikel 3; bij algemene maatregel van bestuur worden nadere regels gesteld over standaarden en het functionele toepassingsbereik.

X Noot
5

Artikel 5.

X Noot
6

Artikelen 7, eerste lid, en 13, tweede lid.

X Noot
7

Artikel 4.

X Noot
8

Artikel 6, tweede lid.

X Noot
9

Onverlet artikel 3, tweede en derde lid. De bepaling dat bij algemene maatregel van bestuur standaarden kunnen worden aangewezen en bepaald, neemt de kanttekeningen bij de hierna genoemde onderdelen niet weg. Die bevoegdheid is immers beperkt tot het aanwijzen van open standaarden voor software.

X Noot
10

Artikel 5.

X Noot
11

Artikel 15.

X Noot
12

Artikel 15 in combinatie met titel 5.2 van de Algemene wet bestuursrecht.

X Noot
13

Artikel 16.

X Noot
14

Artikel 4, eerste lid, van het voorstel van een Cybersecuritywet, Kamerstukken II 2017/18, 34 883, nr. 2.

X Noot
15

Hoofdstuk 14 van de Telecommunicatiewet.

X Noot
16

Toelichting, paragraaf 5.2 (Aanpak van misbruik en identiteitsfraude).

X Noot
17

Artikel 16, vierde lid.

X Noot
18

Advies van de commissie evaluatie pilots publieke en private authenticatiemiddelen (commissie-Kuipers), 31 mei 2016, Kamerstukken II 2015/16, 26 643, nr. 419, bijlage, blz. 30.

X Noot
19

Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB 2014, L 257).

X Noot
20

Artikel 3, derde lid, van de Regeling voorzieningen GDI. Bij het inloggen met DigiD wordt een extra controle uitgevoerd aan de hand van een niet-zichtbare chip in een bestaand paspoort, identiteitskaart of rijbewijs. De chip kan worden uitgelezen met een kaartlezer of met een smartphone. Nadere uitleg is te vinden in Stcrt. 2017, Nr. 59901, en in Evaluatierapport pilot DigiD-RDA, DigiD versterkt met controle van het identiteitsbewijs van de RDW, 23 mei 2016, Kamerstukken II 2015/16, 26 643, nr. 419, bijlage.

X Noot
21

Artikel 18.

X Noot
22

Artikel 7, tweede lid, aanhef en onderdeel a, in combinatie met artikel 11, eerste lid. Zie ook de definities van ‘publiek identificatiemiddel’ en ‘privaat identificatiemiddel’ in artikel 1.

X Noot
23

Advies van 13 mei 2016, kenmerk 20 16-0000282302, blz. 6.

X Noot
24

Artikel 13, eerste lid, in combinatie met artikel 6, tweede lid, van de Handelsregisterwet 2007; toelichting op artikel 11. Zie ook de toelichting op artikel 13, waar gesteld wordt: ‘Bovendien mogen [bestuursorganen en aangewezen organisaties] uitsluitend toegang verlenen tot hun dienstverlening in geval gebruik wordt gemaakt van een erkend bedrijfs- en organisatiemiddel.’

X Noot
25

Artikel 9, tweede lid.

X Noot
26

Artikel 9, tweede en derde lid.

X Noot
27

Artikel 9, tweede lid, aanhef en onderdeel c.

X Noot
28

Toelichting op artikel 9, tweede lid.

X Noot
29

Artikel 2.

X Noot
30

Artikel 15.

X Noot
31

Zie bijvoorbeeld artikel 8, tweede lid, en de toelichting op dit artikellid. Deze bepaling is, ook met de toelichting erbij, niet zonder meer duidelijk. Zorgverzekeraars en zorgverleners hebben immers het recht het BSN te gebruiken. Daar komt bij dat de bepaling zelf een onbepaalde, en daardoor onbeperkte, mogelijkheid biedt om – bij ministeriële regeling – te bepalen dat publieke identificatiemiddelen kunnen worden gebruikt buiten de publieke sector.

X Noot
32

Artikel 14.

X Noot
33

Verordening (EU) 2016/679 van het Europees Parlement en de Raad, 27 april 2016, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, PB 2016, L 119. De verordening treedt in werking op 25 mei 2018.

X Noot
34

Richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 23 november 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Pb 1995, L 281).

X Noot
35

Zie de onderwerpen besproken in paragraaf 4 (Privacy) van de toelichting.

X Noot
36

Artikel 8, derde lid, en de toelichting op dat artikel.

X Noot
37

Artikelen 5, eerste lid, onderdeel b, en 11, tiende lid.

X Noot
38

Vergelijk artikel 5, tweede en zesde lid, van de Regeling voorzieningen GDI.

X Noot
39

DigiD wordt alleen geregeld in de Regeling voorzieningen GDI en daar gedefinieerd als een middel voor de toegang tot elektronische dienstverlening (artikel 1). Daar wordt aan toegevoegd dat DigiD alleen mag worden gebruikt voor het doel waarvoor het is bestemd (artikel 3, zevende lid).

X Noot
40

Advies no. W04.17.0190 van 15 maart 2018, punt 4.

X Noot
1

Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad van 26 oktober 2016 inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties, Pb EU, L 327/1.

X Noot
2

Voor een overzicht van de GDI-voorzieningen zie https://www.digicommissaris.nl/

X Noot
4

Illustratief hiervoor zijn lucht- en ruimtevaartincidenten als gevolg van het door elkaar gebruiken van Britse en metrieke eenheden, zoals het communiceren van volume in gallons en het interpreteren in liters.

X Noot
5

Kamerstukken II 2014/15, 34 262, nr. 3.

X Noot
6

Kamerstukken II 2013/14, 26 643 nr. 295, blg-269959, p. 5.

X Noot
7

Zoals artikel 3 Archiefwet 1995.

X Noot
8

Duurzame toegankelijkheid houdt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is; dat wil zeggen dat informatie vanaf het moment van ontstaan beschikbaar en bruikbaar is voor iedereen die daar recht op heeft, voor zolang als noodzakelijk is.

X Noot
9

Kamerstukken II 2007/08, 26 643, nr. 98.

X Noot
10

Stcrt. 2008, nr. 227, bijlage, art. 3.

X Noot
11

Kamerstukken II 2010/11, 26 643, nr. 182, blg-116878. De resultaatverplichtingen van het i-NUP werden gekoppeld aan de opzet van een ondersteuningsprogramma, dat deels door het Rijk is gefinancierd, voor gemeenten.

X Noot
12

Kamerstukken II 2010/11, 32 749, nr. 1, blg-110123, p. 52 en p. 53.

X Noot
13

Kamerstukken II 2007/08, 26 643, nr. 98.

X Noot
14

Kamerstukken II 2010/11, 32 679, nr. 2.

X Noot
15

Kamerstukken II 2014/15, 33 326, nr. 5, p. 21.

X Noot
16

Kamerstukken II 2013/14, 26 643, nr. 314.

X Noot
17

Kamerstukken II 2014/15, 33 326, nr. 13, p. 15.

X Noot
18

Kamerstukken II 2016/17, 32 802, nr. 31 (motie Oosenbrug).

X Noot
19

Een koppelvlak is het geheel van afspraken (over het proces, de betekenis, de schrijfwijze en de techniek) die nodig zijn om twee partijen elektronisch te laten samenwerken.

X Noot
20

Daarnaast illustreert de business case dat het niet meedoen van enkele overheidsorganisaties de andere overheidsorganisaties onevenredig op kosten jaagt. Als bijvoorbeeld slechts 6 van de 13 basisregistraties standaardiseren op Digikoppeling, dalen de totale baten van 78 miljoen naar 11 miljoen euro. Bron: ‘Verfijning en herijking kosten-batenanalyse voor investeringen in gemeenschappelijke voorzieningen in het stelsel van basisregistraties: Grip op centrale en decentrale investeringen en kosten maximaliseert de businesscase’, PriceWaterhouseCoopers, 23 februari 2010 (gepubliceerd op www.rijksoverheid.nl/documenten).

X Noot
21

Bijvoorbeeld de Wet elektronisch berichtenverkeer Belastingdienst waarin enkele wijzigingen worden aangebracht in de formele belastingwetgeving om een wettelijk kader te scheppen voor het verplichten van elektronisch berichtenverkeer met de Belastingdienst (Stb. 2015, 378).

X Noot
22

Zie het rapport De kwaliteit van overheidsdienstverlening 2015, https://www.rijksoverheid.nl/documenten/rapporten/2016/05/02/de-kwaliteit-van-de-overheidsdienstverlening-2015.

X Noot
23

Om mogelijk te maken dat gemachtigden kunnen inloggen, registreert DigiD machtigen op een betrouwbare wijze dat een persoon een andere persoon heeft gemachtigd namens hem of haar diensten af te nemen bij een dienstverlener. DigiD machtigen is nu geregeld in op artikel X van de Wet elektronisch berichtenverkeer Belastingdienst gebaseerde uitvoeringsregelgeving. Op grond van voorliggend wetsvoorstel zullen onder meer gebruiksvoorschriften voor de publieke machtigingsdienst vastgesteld worden, waarbij bezien zal worden in hoeverre de huidige bepalingen wijziging behoeven.

X Noot
24

Zie ook het advies ‘Geen goede overheidsdienstverlening zonder een uitstekende generieke digitale infrastructuur’, opgesteld door drs. R.IJ.M. Kuipers, ABD TopConsultants, d.d. 15 januari 2014. Raadpleegbaar via www.tweedekamer.nl

X Noot
25

DigiD Basis bestaat uit een gebruikersnaam en wachtwoord; bij DigiD Midden wordt daarnaast ook een code ingevoerd, die de gebruiker via een sms heeft ontvangen. In dit verband wordt, aansluitend bij Europese kaders ter zake, gesproken over middelen met een laag betrouwbaarheidsniveau.

X Noot
26

Onderzoek naar het betrouwbaarheidsniveau voor patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg wijst uit dat voor inlogmiddelen, die gebruikt worden in de zorg, minimaal niveau substantieel nodig is. Als het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust is het hoogste betrouwbaarheidsniveau nodig. Betrouwbaardere identificatiemiddelen zijn derhalve nodig voor het realiseren van de eHealthdoelstellingen (die onder meer inhouden dat een groter aantal chronisch zieken digitale toegang tot bepaalde medische gegevens gaat krijgen) en het op termijn vervangen van de UZI-pas voor zorgverleners.

X Noot
27

De verificatie van de identiteit van de aanvrager is voor deze betrouwbaarheidsniveaus van groot belang; identificatiemiddelen worden niet verstrekt dan nadat de identiteit van de aanvrager is geverifieerd. Dit geldt zowel voor de publieke als de private middelen. Verificatie geschiedt in ieder geval door de opgegeven gegevens van de aanvrager te controleren aan de hand van in de BRP opgenomen gegevens, maar ook aan de hand van andere methodes om er zeker van te zijn dat de aanvrager ook daadwerkelijk is wie hij zegt te zijn, bijvoorbeeld een face to face controle.

Verordening (EU) nr. 910/2014 van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt, PB L 257 van 28.8.2014, blz. 73.

X Noot
28

De Tweede Kamer verzocht bij motie van het lid Van Engelshoven (Kamerstukken II 2016/2017, 34 725 VII, nr. 9) de regering actief te bevorderen dat mensen met 2-staps identificatie inloggen binnen het eID-stelsel. Deze vorm van authenticatie vereist dat de gebruiker niet alleen iets weet (een wachtwoord), maar ook ergens over beschikt (zoals de code in een sms-bericht, dat naar de telefoon van de gebruiker wordt verzonden).

X Noot
29

Voor bedrijvenzijn al meerdere middelen van verscheidene leveranciers, onder de naam eHerkenning, beschikbaar.

X Noot
30

Zie onder meer de brief van de minister aan de Tweede Kamer van 25 augustus 2016, Kamerstukken II 2015/16, 26 643, nr. 419.

X Noot
31

Burgers en bedrijven uit EU-lidstaten moeten bij overheidsinstanties kunnen inloggen met door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel. De acceptatie van deze identificatiemiddelen uit EU-lidstaten draagt bij aan de internationale economische positie van Nederland als digitaal aantrekkelijk land om zaken mee te doen. Aangewezen organisaties en rechterlijke instanties hoeven in tegenstelling tot a-bestuursorganen alleen alle identificatiemiddelen die behoren tot een door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel te accepteren, indien dit is bepaald bij besluit van de minister van BZK in overeenstemming met de minister, die het mede aangaat.

X Noot
32

Bijvoorbeeld de innovatieve toepassing of het in het kader van de doorontwikkeling testen van een nieuw publiek middel bij specifieke dienstverleners. De uitzonderingsbepaling maakt het mogelijk om pilots te doen waarbij erkende identificatiemiddelen gedurende een bepaalde tijd niet hoeven te worden geaccepteerd door dienstverleners.

X Noot
33

Zie de definitiebepaling in het wetsvoorstel.

X Noot
34

Zoals bijvoorbeeld het inloggen in elektronische systemen van de RDW door garages die gerechtigd zijn APK te keuren.

X Noot
35

Dit zijn: de ingeschrevenen in de BRP, ongeacht of deze als ingezetene of niet-ingezetene zijn ingeschreven. Met het bsn als uniek persoonsgebonden nummer kan onder andere met de (semi)overheid gecommuniceerd worden.

X Noot
36

Deze situatie moet worden onderscheiden van de situatie dat burgersrechthebbende op een publiek middel zijn, maar ondersteuning nodig hebben bij hun digitale communicatie met de overheid. Hiertoe kan machtiging uitkomst bieden. Zie ook het voorgestelde artikel 2.13 Awb.

X Noot
37

Verordening (EU) 2016/679 van het Europees Parlement en de Raad, 27 april 2016, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

X Noot
38

PIA staat voor Privacy Impact Assessment. Het betreft een hulpmiddel bij de ontwikkeling van beleid, wetgeving en de bouw van ICT-systemen. Hiermee kunnen privacyrisico’s op een gestructureerde en heldere wijze in kaart worden gebracht, aanbevelingen worden gedaan om deze risico’s te elimineren of te mitigeren en maatregelen worden genomen in (technische) architectuur, processen en regelgeving.

X Noot
39

Bijlage bij Kamerstukken II 2016/2017, 26 643 nr. 481.

X Noot
40

Naar een fraudebeeld Nederland; Inzicht in fraude draagt bij aan bewustwording en effectieve prioriteitstelling in de aanpak. Position paper van PricewaterhouseCoopers. http://www.pwc.nl/nl/assets/documents/pwc-naar-een-fraudebeeld-nederland.pdf

X Noot
42

Cybersecuritybeeld Nederland, csbn 2016 van het Nationaal Cybersecurity Centrum.

https://www.ncsc.nl/actueel/Cybersecuritybeeld+Nederland/cybersecuritybeeld-nederland-2016.html

X Noot
43

Intrekking van een middel kan ook om andere redenen plaatsvinden, zoals bij overlijden van een gebruiker. In deze paragraaf wordt revocatie voor misbruikbestrijding bedoeld.

X Noot
46

Hierbij valt de denken aan afstemming met De Nederlandsche Bank in het geval ook inlogmiddelen van banken een rol gaan vervullen bij authenticatie voor elektronische dienstverlening van de overheid.

X Noot
48

Vergaderjaar 2015–2016, Kamerstuk 29 304 nr. 6

X Noot
49

Het BSN-koppelregister is een voorziening, die het mogelijk maakt dat de identiteit van een natuurlijke persoon die een elektronische dienst afneemt bij een bestuursorgaan of aangewezen organisatie op unieke wijze geïdentificeerd kan worden.

X Noot
50

De routeringsvoorziening faciliteert de toegang tot elektronische dienstverlening. In deze (technische) voorziening worden verschillende koppelvlakken (verbindingen die volgens een bepaalde standaard de uitwisseling van gegevens tussen informatiesystemen mogelijk maken) ontsloten, waardoor bestuursorganen en aangewezen organisaties eenvoudig kunnen aansluiten op de identificatiemiddelen, die zij moeten accepteren.

X Noot
51

Burgers kunnen kiezen welk toegelaten middel zij gebruiken. Dit betekent dat in de aanvangsfase moeilijk is in te schatten hoe vaak een bepaald middel gebruikt gaat worden. De kosten voor authenticatie met een bepaald middel zijn sterk gerelateerd aan het totale aantal authenticaties met dat middel. Bij hogere aantallen nemen de kosten significant af. Het is dus voor een authenticatiedienst in de beginperiode lastig in te schatten tegen welke prijs een middel moet worden aangeboden.

X Noot
52

Kamerstukken II, 2015/16, 26 643, nr. 419, blz. 5.

X Noot
53

Het implementeren van TLS en DNSSEC ter bestrijding van websitefraude kost eenmalig ongeveer € 400 en jaarlijks ongeveer € 700. Het implementeren van DKIM en SPF ter bestrijding van email-fraude kost eenmalig € 2.500 tot € 10.000, en kost jaarlijks € 1.250 tot € 5.000.

X Noot
54

Een bestuursorgaan kan op grond van het voorstel van wet modernisering elektronisch bestuurlijk verkeer wel eenzijdig besluiten tot de elektronische weg indien het gaat om berichten die niet zijn gericht aan één of meer geadresseerden.

X Noot
55

Zie MvT bij de Uitvoeringswet eidas-verordening, p. 32–38.

X Noot
56

Kamerstukken II 2012/13, 26 643, nr. 280.

X Noot
57

Er zijn enkele dienstverleners waar niet met DigiD kan worden ingelogd.

X Noot
58

Voor elektronische dienstverlening waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, wordt het dienstverleners toegestaan om tot uiterlijk vier jaar of een bij koninklijk besluit te bepalen eerder tijdstip na de inwerkingtreding van artikel 6 toegang tot die dienstverlening te verlenen indien gebruik wordt gemaakt van door Onze Minister aangewezen identificatiemiddelen, die het betrouwbaarheidsniveau laag respectievelijk substantieel hebben.

X Noot
59

Regeling voorzieningen GDI, Stcrt. 2017, nr 59901.

X Noot
60

Het ingevolge artikel 29, derde lid, op te stellen aansluitschema kan erin voorzien dat de acceptatieplichten voor verschillende diensten van een bestuursorgaan of aangewezen organisatie op verschillende momenten van toepassing worden.

X Noot
61

Advies van 13 oktober 2017, nr Z2017-06920.

X Noot
62

Zie artikel 8, tweede lid, onderdelen b en c, van de eidas-verordening.

X Noot
64

Voor een register met RWT’s zie: www.algemenerekenkamer.nl

X Noot
65

Via onder meer rijksinstructies, begrotingsvoorschriften en bestuursakkoorden wordt bestuursorganen dringend aanbevolen dan wel hebben zij zichzelf verplicht om de open standaarden van de lijst na te leven. Het betreft standaarden die al breed gedragen of bruikbaar zijn en waarvan het vanzelfsprekend zou moeten zijn deze te gebruiken.

X Noot
66

Niet alle standaarden worden breed toegepast, zo blijkt uit de jaarlijkse monitor van het Forum Standaardisatie aan de hand van overlegde jaarverslagen en aanbestedingen.

X Noot
67

Het Forum Standaardisatie, een door het kabinet ingesteld adviesplatform van (technische) experts vanuit de overheid, wetenschap en bedrijfsleven, adviseert het Nationaal Beraad Digitale Overheid over (door)ontwikkeling van standaarden, de toepassing van open standaarden binnen de overheid, het (her)toetsen van (bovensectorale) open standaarden, het monitoren van de adoptie van open standaarden, de internationale aansluiting binnen Europa en het signaleren van ‘witte vlekken’. Op basis van deze pre-advisering adviseert het Nationaal Beraad vervolgens aan de minister. Zie: www.forumstandaardisatie.nl.

X Noot
68

ISO/IEC-standaard 40500:2012 en EU/EN-standaard 301 549 V1.1.1 (2014-02). Tevens: richtlijn (EU) 2016/2102 van 26 oktober 2016 inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties, geïmplementeerd in het Besluit digitale toegankelijkheid overheid (zelfstandige amvb, welke zal worden gebaseerd op de onderhavige wet wanneer deze in werking treedt).

X Noot
69

DNSSEC, TLS (ter vervanging van SSL 2.0), DKIM, SPF. Zie het algemeen deel van deze memorie voor een toelichting op de werking van deze standaarden.

X Noot
71

Zo geldt voor de Rijksoverheid de Baseline Informatiebeveiliging Rijksoverheid (BIR), voor de gemeenten de (op de BIR gebaseerde) Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en voor waterschappen de Baseline Informatieveiligheid Waterschappen (BIWA).

X Noot
72

Het is wenselijk om het aantal auditverplichtingen zo beperkt mogelijk te houden en deze zoveel mogelijk te stroomlijnen, teneinde een effectievere en efficiëntere verantwoordingssystematiek te realiseren. Hiertoe dient het project ENSIA van de VNG, gemeenten, de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Sociale Zaken & Werkgelegenheid en Infrastructuur & Milieu (www.ensia.nl).

X Noot
73

Authenticatie op niveau substantieel werkt als volgt. Een burger bevestigt eenmalig zijn identiteit door met zijn reguliere DigiD in te loggen op de website van DigiD en daar aan te tonen dat hij in bezit is van een geldig Nederlands identiteitsdocument, te weten een paspoort, identiteitskaart of rijbewijs. Dat doet hij door zijn identiteitsdocument te laten lezen met een kaartlezer. De kaartlezer communiceert hiertoe met de contactloze chip in het reisdocument en stelt via cryptografische processen vast dat de chip authentiek en onveranderd is en toebehoort aan de persoon die inlogt. Tijdens dit proces wordt gecontroleerd of het betreffende identiteitsdocument nog in omloop is. Na deze eenmalige bevestiging van de identiteit is DigiD ‘opgewaardeerd’ in die zin, dat het betrouwbaarheidsniveau substantieel wordt afgegeven aan het bestuursorgaan of de aangewezen organisatie waarbij de betreffende burger inlogt.

X Noot
74

Vanzelfsprekend mogen de nieuwe data niet interfereren met de informatie die (ingevolge Europese regelgeving) op rijbewijzen moet worden opgenomen.

X Noot
75

Voor de volledigheid wordt er op gewezen, dat in het kader van de publieke machtigingsdienst ook telefonische helpdesk functies worden ondersteund.

X Noot
76

Eidas-uitvoeringsverordening inzake het interoperabiliteitskader, (EU) 2015/1501, Pb EU 2015, L 235/1.

X Noot
77

Eidas-uitvoeringsverordening inzake het interoperabiliteitskader, (EU) 2015/1501, Pb EU 2015, L 235/1.

X Noot
78

Zie hierover uitgebreid de Kamerstukken bij Uitvoeringswet eIDAS-verordening.

X Noot
79

Wijziging van de Telecommunicatiewet, de Boeken 3 en 6 van het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende wijzigingen van andere wetten in verband met de uitvoering van de EU-verordening elektronische identiteiten en vertrouwensdiensten, Stb. 2016....

X Noot
81

Elke EU-lidstaat kan zijn nationaal toegelaten middelen bij de Europese Commissie aanmelden (notificatie). Na het doorlopen van de aanmeldingsprocedure, waarin wordt getoetst of de middelen aan de normenkaders voor betrouwbaarheid voldoen, en de publicatie op een lijst door de Commissie, moeten alle (publieke dienstverleners in de) lidstaten die middelen uit de desbetreffende lidstaat accepteren. Naar verwachting zal Nederland de ingevolge deze wet toegelaten middelen aanmelden. Een lidstaat kan ervoor kiezen geen middelen aan de Commissie te melden, met als gevolg dat andere lidstaten niet verplicht zijn de in die lidstaat fungerende middelen te accepteren.

X Noot
82

In de praktijk worden er privaatrechtelijk afspraken inzake werking, betrouwbaarheid en veiligheid gehanteerd tussen commerciële dienstaanbieders en leveranciers van private middelen.

X Noot
83

Zie ook: Regeling voorzieningen GDI, Stcrt. 2015 nr 37158.

X Noot
84

Een burger kan reeds een toegelaten middel in bezit hebben voordat hij een machtigingsrelatie aan gaat. De uitgifte aan hem van een bedrijfsmiddel kan dan mede gebaseerd worden op hetgeen al aan gegevens beschikbaar is, bijvoorbeeld het bsn. Voor de alsdan te verwerken persoonsgegevens door de private authenticatiedienst (uitgever bedrijfsmiddel) en de machtigingsdienst (die persoonsgegevens verwerkt om betrouwbaar de koppeling tussen vertegenwoordiging en gebruiker te maken) wordt een wettelijke basis gerealiseerd.

X Noot
85

Dit kan via het geheel van onder de verantwoordelijkheid van Onze Minister ressorterende voorzieningen dat zorgt voor het genereren, distribueren, beheren en raadplegen van het bsn, bijvoorbeeld de toegang tot de identificerende gegevens in de achterliggende authentieke registraties van persoonsgegevens (GBA/BRP). www.digitaleoverheid.nl/voorzieningen/gegevens/beheervoorziening-bsn/

X Noot
86

Niettemin is hierbij sprake van verwerking van persoonsgegevens door de authenticatiedienst.

X Noot
87

De Privacy Impact Assessment inzake de introductie van eID van 31 juli 2015 concludeert in dit verband dat het gebruik van bsn zoveel mogelijk wordt beperkt en alleen wordt gebruikt voor het doel waarvoor dit nodig is, te weten verificatie van de identiteit van de houder van een identificatiemiddel die dit middel wil gebruiken in het publieke domein. Om uniciteit van de houder te kunnen vaststellen is de set gegevens (attributen) zo effectief en minimaal mogelijk gehouden, aldus de PIA.

X Noot
88

TK 34 388, Wet gegevensverwerking en meldplicht cybersecurity.

X Noot
89

Zie ook: Instellingsbesluit besturing (afsprakenstelsel) elektronische toegangsdiensten Stcrt. 2015, 10829.

X Noot
90

Kamerstukken 34 725 VII, nr. 8.

X Noot
91

Zie het signalenrapport ‘Mobiliteit en elektriciteit in het digitale tijdperk. Publieke waarden onder spanning’, waarin het Planbureau voor de Leefomgeving pleit voor een proces van kleine stappen en voortdurende bijsturing op basis van evaluatie: ‘Juist experimenten – die later eventueel nog kunnen worden teruggedraaid – verdienen intensieve aandacht van de Rijksoverheid om zo de innovaties te steunen en richting te geven die vanuit publieke belangen gunstig uitpakken. Ze maken ook tijdig ingrijpen mogelijk als nieuwe ontwikkelingen onze publieke waarden onder druk zetten’.

X Noot
92

Zie MvT, Stb. 2015, 378.

Naar boven