34 972 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

Nr. 10 NOTA NAAR AANLEIDING VAN HET NADER VERSLAG

Ontvangen 13 juni 2019

Inhoudsopgave

I

Algemeen

1

     

1.

Inleiding

1

2.

Standaarden

8

3.

Elektronische identificatie (eID)

10

4.

Privacy

18

5.

Misbruik van de GDI

18

6.

Toezicht en handhaving

18

7.

Financiële bepalingen en -gevolgen

19

8.

Verhouding tot andere wetgeving

19

9.

Gevolgen voor burgers en bedrijven

19

10.

Overgangsrecht en inwerkingtreding

20

11.

Consultatie en advies Autoriteit Persoonsgegevens

20

     

II

Artikelsgewijs

21

I ALGEMEEN

1. Inleiding

De leden van de VVD-fractie, de CDA-fractie, de D66-fractie en de GroenLinks-fractie hebben kennisgenomen van de nota naar aanleiding van het verslag bij het Wetsvoorstel digitale overheid. Zij hebben hierover diverse nadere vragen en opmerkingen. Ik bedank de fracties voor hun bijdrage en ga in deze nota graag in op de gestelde vragen. Bij de beantwoording is zoveel mogelijk de indeling en volgorde van het verslag aangehouden, met dien verstande dat vergelijkbare vragen zijn samengenomen.

De leden van de VVD-fractie vragen de regering in te gaan op de vraag hoe dit wetsvoorstel, los van de cyberveiligheid, bij kan dragen aan de economische ontwikkeling in Nederland, daarbij ook betrekkende hoe in de multi-middelenstrategie de overheid als grote klant innovatie bij niet-publieke middelen kan stimuleren.

Er zijn verschillende manieren waarop dit wetsvoorstel bijdraagt aan economische ontwikkeling. In de eerste plaats doordat met digitalisering administratieve lasten voor burgers en bedrijven worden verminderd. In de tweede plaats doordat het nationale eID-beleid onderdeel uitmaakt van de Europese ontwikkelingen om het concurrentievermogen van Europa te versterken door een beter werkende interne digitale markt te realiseren (o.a. EU-verordeningen eIDAS en Single Digital Gateway). In de derde plaats zal naar verwachting de komst en ontwikkeling van bedrijven op de eID markt, anders gezegd: aanbieders van private middelen, worden gestimuleerd en daarmee ook innovaties.

De VVD-fractie vraagt of nader beargumenteerd kan worden waarom er geen publiek inlogmiddel voor bedrijven komt en of dit op termijn uitgesloten wordt.

In het verleden is een publiek middel voor bedrijven ontwikkeld (DigiD bedrijven). Dit werd weinig gebruikt en is uitgefaseerd. Er is toen voor gekozen om gebruik te maken van kennis en voorzieningen die in het bedrijfsleven al aanwezig waren en – middels publiek-private samenwerking (pps) – aan te sluiten bij het sinds 2008 functionerende eHerkenning. Dit stelsel van private inlogmiddelen voor bedrijven heeft zich sinds die tijd bewezen. Momenteel zijn er ruim 400 dienstverleners aangesloten met 1300 diensten en zijn er bijna 300.000 inlogmiddelen verstrekt aan bedrijven. Hoewel ik voor de toekomst niets uitsluit, is er op dit moment geen reden om hiervan af te wijken en een publiek middel voor bedrijven in te voeren. Wel wordt dit stelsel met het wetsvoorstel publiekrechtelijk ingekaderd; deze middelen behoeven erkenning door de Minister van BZK op basis van vooraf gestelde veiligheids- en betrouwbaarheidseisen, alvorens ze door bedrijven kunnen worden gebruikt om overheidsdiensten af te nemen. Ook wordt terzake toezicht ingericht en gelden er bepalingen met betrekking tot privacybescherming en misbruikbestrijding. Het voorgaande laat onverlet dat de erkende middelen ook buiten het overheidsdomein (dus: bij de toegang tot commerciële dienstverlening) kunnen worden gebruikt.

De leden van de VVD-fractie en de CDA-fractie vragen om een nadere onderbouwing van het gestelde, dat publieke middelen niet gebruikt mogen worden in het private/commerciële domein, maar dat dit op termijn, op basis van bij consumenten gebleken behoeften, niet uitgesloten wordt. Op basis van welke criteria zou een publiek middel in de private sector met private aanbieders kunnen concurreren? Hoe wordt geborgd dat de multi-middelenstrategie niet verstoord wordt door oneerlijke concurrentie door het publieke middel? Op welke wijze wordt de behoefte van consumenten gemeten? En waarom kunnen private middelen niet universeel worden gebruikt bij de overheid?

Het meerjarige beleidsdoel, zoals eerder verwoord in brieven aan uw Kamer, is dat burgers in de toekomst voor één of meerdere elektronische identificatiemiddelen kunnen kiezen en daarmee overal (dus: zowel bij de overheid als bij bedrijven) veilig en betrouwbaar zaken kunnen doen. Primaire doel is dat burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de overheid; de beschikbaarheid van meerdere inlogmiddelen is een middel om dat doel te bereiken. Naar genoemd doel wordt beheerst en stapsgewijs toe gewerkt, met in achtneming van bestaande structuren, (ICT-)voorzieningen en dienstverlening (dus geen big bang). Voor nu betekent dit, dat het gebruik van publieke middelen wordt beperkt tot het publieke domein. Reden hiervoor is in de eerste plaats dat het huidige publieke middel DigiD, dat de basis vormt voor doorontwikkeling naar hogere betrouwbaarheidsniveaus, functioneert op basis van het BSN (een gevoelig persoonsgegeven) en, daaruit voortvloeiend, vanwege de aard van de betrokken dienstverlening, is bedoeld voor gebruik door de overheid.

Er zijn op dit moment veiligheids,- technische, juridische en organisatorische belemmeringen om dit anders in te richten. In de tweede plaats mag ingevolge de Wet markt en overheid geen sprake zijn van oneerlijk concurrentievoordeel. Een publiek middel, dat in feite wordt betaald door de belastingbetaler, mag niet gratis worden «hergebruikt» in het commerciële domein, d.w.z. concurreren met private middelen. Uitgangspunt van het kabinet is vooralsnog, dat het inloggen buiten het publieke domein zoveel mogelijk aan de markt moet worden overgelaten en de overheid hier momenteel geen rol heeft; het is van belang deze markt niet te verstoren en het groeipotentieel van marktpartijen niet te belemmeren. Dat dit nu niet aan de orde is, wil niet zeggen dat het gebruik van publieke middelen in het commerciële domein op voorhand wordt uitgesloten. Het op een hoger betrouwbaarheidsniveau brengen van het publieke middel heeft echter de komende jaren prioriteit. Bovendien biedt het wetsvoorstel de ruimte om private middelen, die worden gebruikt bij toegang tot de overheid, ook in te zetten in het commerciële domein. Op die manier wordt de digitale sleutelbos voor burgers verkleind en werkt door de overheid geborgde zekerheid door ten nutte van het commerciële domein. Daarnaast wordt gekeken naar de mogelijkheid van het gebruik van afgeleide middelen. In plaats van het ter beschikking stellen van een publiek middel neemt de overheid in dat geval een stap in het uitgifteproces van (private) middelen voor haar rekening door zekerheid over de identiteit van de gebruiker te bieden. De inlogmethode wordt dan technisch en organisatorisch van overheidswege gefaciliteerd, hetgeen mogelijk ook voordelen biedt op het punt van bekostiging. Voorts kan hierop in de toekomst worden voortgebouwd door private middelenaanbieders, zodat de overheid stimuleert dat generieke inlogmiddelen in het commerciële domein worden gerealiseerd. Op deze manier krijgt de burger de beschikking over meerdere methoden om in te loggen in beide domeinen, waarbij wetsaanpassing mogelijk niet nodig is. Ik onderzoek deze mogelijkheden thans in samenwerking met gemeenten, zoals ik u heb bericht bij brief van 14 mei jl. op het IRMA-manifest.

In hoeverre het bedrijfsleven en de burger – naast eventuele private middelen – behoefte heeft aan een breed inzetbaar publiek middel en bereid is hiervoor te betalen, is op dit moment onzeker en zal de komende jaren moeten blijken. Voor een beschouwing over de vraag naar het (universele) gebruik van private burgermiddelen bij de overheid verwijs ik naar paragraaf 3.

De leden van de VVD-fractie vragen aandacht voor de initiatiefnota over online identiteit en regie op persoonsgegevens van de leden Middendorp en Verhoeven, waarin een digitale kluis wordt voorgesteld (TK 34 993). De leden vragen zich af in hoeverre de regering mogelijkheden ziet om dat idee in het onderhavige wetsvoorstel te verankeren. De leden vragen hoe de regering aan kijkt tegen het gebruik van één bron voor (bepaalde) persoonsgegevens. Refererend aan de nota naar aanleiding van het verslag, waarin wordt verwezen naar extra benodigde informatie over de precieze intenties en de mogelijke realisatiewijze van de ideeën in de initiatiefnota, vragen de leden van wie die informatie moet komen en of het zoeken naar deze informatie onderdeel is van de uitvoering van de motie van de leden Koerhuis en Den Boer.

Conform de motie van de leden Koerhuis en Den Boer heeft het kabinet onderzoek gedaan naar online identiteit en regie op gegevens; uw Kamer zal hierover naar verwachting binnen enkele weken worden geïnformeerd. Ik acht het onwenselijk om op de uitkomsten vooruit te lopen door het idee van een digitale kluis in het onderhavige wetsvoorstel te verankeren. In algemene zin zij echter opgemerkt, zoals ook aangegeven in het nota-overleg van 26 november 2018, dat de basisregistraties reeds als zodanig fungeren en verplicht gebruik hiervan door de overheid reeds wettelijk verankerd is. Voorts is de bedoelde informatieverschaffing inderdaad onderdeel van de uitvoering van de motie van de leden Koerhuis en Den Boer.

De leden van de VVD-fractie zien dat de regering verschillende middelen voor verschillende rollen dan wel doelgroepen wil houden. Is de regering het met de leden van de VVD-fractie eens dat dit onderscheid ertoe leidt dat (persoons)gegevens exclusief worden gekoppeld aan een elektronisch identificatiemiddel? Zo ja, wat voor invloed heeft die binding van (persoons)gegevens aan een middel op initiatieven die persoonsgegevens juist aan burgers willen koppelen, zoals digitale datakluizen, en elektronische identificatiemiddelen? Wat is de invloed van het erkennen van aparte middelen voor burgers, bedrijven en/of sectoren op het initiatief van de digitale datakluis?

Zoals hiervoor aangegeven, heeft het kabinet onderzoek gedaan naar online identiteit en regie op gegevens, op welke uitkomsten ik niet vooruit wil lopen. Ik kan dus nog niet concreet ingaan op de vraag. Op deze plaats volsta ik met erop te wijzen, dat de koppeling van (persoons)gegevens aan een elektronisch identificatiemiddel los staat van c.q. niet in de weg staat aan eventuele initiatieven op het punt van online identiteit in breder verband.

De leden van de CDA-fractie vragen om een nadere onderbouwing van het in de nota naar aanleiding van het verslag gestelde, dat het huidige stelsel van private middelen voor bedrijven naar tevredenheid functioneert. Wanneer is dit geëvalueerd en wie heeft de classificatie daarvan als goed vastgesteld; waren dat de bedrijven of de leveranciers van de middelen? De CDA-fractie vraagt in dit verband of een overzicht kan worden gegeven van de actuele stand van zaken van de bedrijfsmiddelen per authenticatieniveau en het gebruik.

De kwalificatie baseer ik op de manier waarop eHerkenning is ingericht en op de monitoring daarvan door beheerorganisatie Logius. eHerkenning is onderdeel van het ETD-stelsel, waarbinnen meerdere marktaanbieders met elkaar concurreren. De aanbieders staan onder toezicht van Agentschap Telecom, dat toetst of partijen aan de gestelde eisen per betrouwbaarheidsniveau voldoen, zoals op het gebied van beveiliging en privacybescherming. Ook is een Taskforce eHerkenning in het leven geroepen om verbeterpunten bij de implementatie van eHerkenning op te pakken. eHerkenning is aangemeld bij de Europese Commissie (notificatie). eHerkenning is bewust als netwerk ontworpen om zo de kans op verstoringen te minimaliseren. Op deze manier is er geen «single point of failure». Het feit dat private partijen de middelen uitgeven en met elkaar concurreren drukt de prijs per middel en is daarmee in het voordeel van de gebruiker. Voor twee van de leveranciers worden klantenervaringen verzameld door een extern bureau. De meeste aspecten scoren vier van de vijf sterren. Ik heb afspraken met de overige vier marktpartijen gemaakt om dit op korte termijn ook voor hen in beeld te brengen. Zie ook: https://www.eherkenning.nl/inloggen-met-eherkenning/leveranciers/leveranciersoverzicht/

De stand per eind 2018 is dat er 403 overheidsdienstverleners zijn aangesloten op eHerkenning. Er zijn 286.000 middelen uitgegeven en afgelopen jaar 5,5 miljoen logins gefaciliteerd. Op dit moment is ongeveer 90% van de middelen aan te merken als niveau laag (waarvan de helft met twee-factor authenticatie) en 10% als niveau substantieel. Het aandeel op niveau hoog bedraagt nog slechts 0,1%.

De leden van de CDA-fractie vragen of in de afweging, om een apart stelsel voor bedrijven in stand te houden, ook de toekomstige wijzigingen zijn meegewogen die het voorliggende wetsvoorstel met zich meebrengt voor bedrijven en organisaties, zoals bijvoorbeeld dat een groot aantal bedrijven meer middelen zal moeten aanvragen en dat een groot aantal bedrijven hoger gekwalificeerde middelen zal moeten aanvragen wanneer de acceptatieplicht wordt ingevoerd en huidige alternatieve voorzieningen worden beëindigd. Het CDA vraagt wat de te verwachten wijzigingen voor bedrijven en organisaties zijn als gevolg van het wetsvoorstel en of de effecten en kosten daarvan juist en volledig zijn doorgerekend in de lastenparagraaf in de memorie van toelichting.

De kosten en effecten zoals opgenomen in de lastenparagraaf van de memorie van toelichting zijn juist. Er is gerekend met (gemiddeld) één aan te schaffen middel per bedrijf. Dit is gedaan omdat het in principe niet nodig is om meerdere middelen per bedrijf te kopen en 96% van het bedrijfsleven bestaat uit kleine bedrijven, waaronder ZZP’ers. Daarbij verwacht ik wel dat bepaalde grotere bedrijven meerdere middelen zullen willen aanschaffen om zaken met de overheid te kunnen doen omdat binnen deze bedrijven taken en bevoegdheden over meer mensen zijn verdeeld. Daartegenover staat echter weer een aanzienlijke groep bedrijven (groot en klein) die een intermediair heeft, waardoor het bedrijf zelf geen middel hoeft aan te schaffen. Een machtiging is dan voldoende. Er is verder uitgegaan van de prijs voor een middel op niveau substantieel. Zo is ook rekening gehouden met de bedrijven die een upgrade moeten kopen naar het niveau dat ingevolge deze wet is vereist.

De leden van de CDA-fractie hebben een aantal vragen over samenloop van elektronische identificatiemiddelen. Zij vragen zich in de eerste plaats af, of het creëren van de mogelijkheid van samenloop niet in strijd is met de uitgangspunten van de eIDAS-verordening, die juist aanstuurt op meer universeel gebruik van vertrouwde elektronische identificatiemiddelen, zowel binnen als tussen lidstaten.

De eIDAS-verordening maakt veilig en betrouwbaar inloggen bij de overheid door burgers en bedrijven mogelijk en voorziet hiertoe in beperkte harmonisatie. Lidstaten zijn ingevolge de verordening niet verplicht om een eigen stelsel van eID-middelen in te voeren, noch zijn ze verplicht dit te notificeren. Kern van de verordening is artikel 6, dat verplicht tot erkenning van genotificeerde middelen op de betrouwbaarheidsniveaus substantieel en hoog in het geval sprake is van grensoverschrijdende identificatie om toegang te krijgen tot een elektronische overheidsdienst, en de dienstverlener in kwestie het betrouwbaarheidsniveau substantieel of hoog voor de toegang tot die dienst gebruikt. Dit beginsel van wederzijdse erkenning, te hanteren bij grensoverschrijdende overheidsdienstverlening, is ook opgenomen in het wetsvoorstel. De eIDAS-verordening maakt geen onderscheid tussen een burger- en bedrijvendomein, maar staat hieraan ook niet in de weg; het binnen een lidstaat beperken van de gebruiksmogelijkheid, zoals voorshands in Nederland – en bijvoorbeeld ook in Duitsland en Italië – gebeurt, is toegestaan. Niettemin heb ik het voornemen beheerst en stapsgewijs toe te werken naar een meer geïntegreerd gebruik. Dit wetsvoorstel biedt hiertoe ruimte.

De leden van de CDA-fractie vragen zich voorts af, hoe willekeur voorkomen zal worden, bijvoorbeeld dat de Advocatenpas niet gebruikt mag worden om in te loggen bij de Belastingdienst en de UZI-pas wel.

In het door de CDA-fractie genoemde voorbeeld wordt gesproken van het gebruik van identificatiemiddelen voor professionals bij publieke dienstverlening. Het gaat hierbij om identificatiemiddelen die thans in min of meer gesloten (interne) systemen functioneren, zoals de Unieke Zorgverlener Identificatie (UZI) pas in het zorgdomein of de Advocatenpas binnen de rechtspleging. Dit betreft niet het inloggen voor (semi)publieke dienstverlening en valt in beginsel buiten de werkingssfeer van het wetsvoorstel. Echter, bij wijze van uitzondering kan, in samenspraak met de Minister die het mede aangaat, ingevolge artikel 8, derde lid, worden bepaald dat een door BZK toegelaten publiek identificatiemiddel kan worden gebruikt voor het verlenen van toegang tot gesloten/interne systemen. Een dergelijke regeling zou het gebruik van DigiD ter vervanging van de UZI-pas mogelijk kunnen maken, maar niet het gebruik van de UZI-pas of de Advocatenpas bij publieke dienstverlening van bijvoorbeeld de Belastingdienst. De toepassing van artikel 8, derde lid, van het wetsvoorstel is, om redenen van zijn algemene verantwoordelijkheid voor de generieke digitale infrastructuur, waaronder voorzieningen voor elektronische identificatie door burgers en bedrijven, voorbehouden aan de Minister van BZK. De voorbereiding van afgewogen en samenhangende regels terzake zal geschieden in samenspraak met de Minister die het mede aangaat. Op deze wijze wordt willekeur voorkomen.

De CDA-fractie vraagt zich af welke samenlopen nu al zijn onderkend, naast de zzp’er en of daar reeds overleg over is gevoerd met de desbetreffende vakministers. De leden van de CDA-fractie denken aan het volgende voorbeeld: over hoeveel gereguleerde elektronische identificatiemiddelen moet een arts beschikken in het onlineverkeer met de publieke sector, als die arts bestuurder is van een praktijkmaatschap, tevens bestuurder is van het stichtingsbestuur van de beroepsgroep en ook patiënt is in dat ziekenhuis?

Met name met de zorgsector en het Ministerie van VWS wordt intensief overlegd over de reikwijdte en de gebruiksmogelijkheden van het eID-stelsel. Dit heeft erin geresulteerd, dat het wetsvoorstel – dat de toegang tot elektronische dienstverlening in het publieke domein betreft – zich mede richt tot zorgaanbieders, zorgverzekeraars en indicatieorganen. In beginsel kan het nodig zijn dat een arts over meerdere middelen beschikt: vooralsnog is de UZI-pas nodig om in te loggen binnen het gesloten (interne) zorgsysteem, een bedrijfs-en organisatiemiddel ten behoeve van beroepsmatig (extern) verkeer met de overheid en een publiek middel (DigiD op een hoger betrouwbaarheidsniveau) om als patiënt in te loggen. Ook hier geldt echter, dat wordt toegewerkt naar een meer geïntegreerd en universeel gebruik. Voorbeeld in dit verband is dat het wetsvoorstel de ruimte biedt om bij ministeriële regeling te bepalen dat een publiek identificatiemiddel tevens kan worden gebruikt in gesloten systemen zoals dat binnen en tussen zorginstellingen bestaat voor het onderling digitaal uitwisselen van patiëntgegevens (artikel 8, derde lid). De zorgmedewerker gebruikt in dat geval zijn publieke middel (niet dat van de patiënt) om in te loggen in het gesloten systeem. Wat betreft de interne bedrijfsvoering en uitwisseling van medische gegevens binnen het zorgdomein is het van belang dat gegevens aan de juiste persoon gekoppeld worden en dat alleen bevoegd zorgpersoneel de individuele medische gegevens kan verwerken. Zekerheid omtrent de identiteit van degenen die met die privacygevoelige gegevens omgaan is daarbij van groot belang. Het wetsvoorstel biedt voorts ruimte om natuurlijke personen in de uitoefening van hun beroep op bedrijf (zzp’ers) te faciliteren. Zie hetgeen hierover bij de volgende vraag wordt opgemerkt.

De leden van de CDA-fractie vragen in paragraaf 3 van dit verslag naar de samenloop van een burgermiddel om in te loggen bij de overheid en een bedrijfsmiddel om in te loggen bij de overheid en de betekenis daarvan voor zzp’ers. De leden van de CDA-fractie begrijpen dat het hanteren van beide middelen geen recht is, maar afhankelijk van de optie die de dienstverlener aanbiedt en vraagt terzake naar nadere onderbouwing.

Het is dienstverleners toegestaan beide inlogmethoden door zzp’ers te laten gebruiken. Of dienstverleners dit daadwerkelijk doen is afhankelijk van de inrichting van hun interne systeem. Als zij bedrijven alleen herkennen aan de hand van het KvK- of RSIN-nummer, kan een publiek middel (op basis van het BSN) geweigerd worden. Indien blijkt dat in de praktijk bij zzp’ers behoefte bestaat aan keuzevrijheid en dit voor overheden technisch en financieel uitvoerbaar is, dan is het mogelijk gebruik te maken van de bevoegdheid in artikel 7, vijfde lid, van het wetsvoorstel om bij ministeriële regeling dienstverleners tot het aanbieden van beide inlogmethoden te verplichten. Voor de zzp’er bestaat dan ook de mogelijkheid met zijn publieke middel in te loggen.

De leden van de CDA-fractie lezen in de nota naar aanleiding van het verslag, dat het sinds het van kracht worden van de eIDAS-verordening voor Duitsers mogelijk is om met hun eID-middel bij Nederlandse dienstverleners in te loggen, dienstverleners hard werken aan het gereed maken van hun eigen dienstverlening hiervoor en dat een gestage groei in het aantal inlogpogingen daar blijk van geeft. De leden vragen in dat verband of ze het goed begrijpen, dat Duitsers in de praktijk niet met hun eID-middel kunnen inloggen bij Nederlandse dienstverleners, omdat er tot nu toe alleen sprake is van «inlogpogingen».

Burgers uit andere EU-lidstaten kunnen met genotificeerde middelen wel degelijk inloggen en diensten afnemen bij steeds meer Nederlandse dienstverleners. Het Duitse (burger)middel is genotificeerd en bruikbaar in Nederland bij onder meer de SVB, het Omgevingsloket en het digitaal loket van de Afdeling bestuursrechtspraak van de Raad van State.

De leden van de CDA-fractie constateren, dat de huidige oplossingen voor DigiD substantieel thans niet de totale gewenste doelgroep bereiken. Dit hangt samen met het feit dat een aanzienlijk deel van de doelgroep niet beschikt over een smartphone met een Android besturingssysteem met NFC-lezer. De leden vragen of kan worden aangeven hoeveel van de ruim 13,5 miljoen actieve DigiD-gebruikers beschikken over een smartphone met een Android besturingssysteem met NFC-lezer.

Uit onderzoek is gebleken dat ongeveer de helft van het aantal DigiD-gebruikers beschikt over een smartphone met een geschikt Android besturingssysteem met NFC-lezer.

De regering stelt, dat zij op korte termijn een aanbesteding start voor een privaat middel op niveau substantieel, om een groot deel van de doelgroep snel een alternatief identificatiemiddel op niveau substantieel te kunnen bieden. De leden van de CDA-fractie vragen, waarom de regering niet heeft gekozen voor een systeem van accreditatie, juist met het oog op bereik en snelheid.

Bij de beantwoording van de vragen in paragraaf 3 zal ik ingaan op de verwerving van een alternatief privaat middel. Op deze plek volsta ik met een algemene toelichting op het instrument accreditatie. Hierbij gaat het om conformiteitsbeoordeling: het proces waarin wordt aangetoond of voldaan is aan de vooraf vastgestelde eisen voor een product of dienst, uitmondend in een certificaat van conformiteit. Het betreft een privaat (zelfregulerings)instrument, dat wil zeggen ontwikkeld buiten de overheid. Niettemin wordt het in bepaalde gevallen ook ingezet door de overheid, te weten bij wijze van hulpmiddel bij vergunningverlening, toelating of erkenning. Conformiteitsvermoeden en vergunningverlening zijn dus verschillende zaken. Gelet op de betrokken publieke belangen en verantwoordelijkheden is besluitvorming (eindoordeel) voorbehouden aan het bevoegd gezag; ook kan conformiteitsbeoordeling overheidstoezicht niet vervangen. Het kabinetsstandpunt inzake accreditatie en het gebruik ervan in het overheidsbeleid bevat de geldende kaders (Kamerstukken 2015–2016, 29 304, nr 6). Van belang is te benadrukken, dat het toepassen van accreditatie op zichzelf niets zegt over het bereik van middelen en snelle beschikbaarheid ervan. Zowel in een aanbestedingsprocedure als bij andere manieren van verwerving gelden de eIDAS-eisen en kan er voor gekozen worden om conformiteit met die eisen te laten aantonen via accreditatie (zie voorts paragraaf 3.2).

De leden van de D66-fractie lezen in de nota naar aanleiding van het verslag dat dit wetsvoorstel een eerste tranche is van meerdere voorstellen rondom de digitale overheid en vragen toe te lichten welke tranches nog volgen en wat de inhoud van deze wetsvoorstellen zal zijn.

Dit wetsvoorstel geeft richting aan wat voor realisering van de digitale overheid op dit moment het meest nodig is: voorzieningen en eisen voor veilige en betrouwbare overheidsdienstverlening. De wet biedt een zekere mate van toekomstbestendigheid, maakt innovatie mogelijk en kan inspelen op ontwikkelingen, in het bijzonder binnen het kader van eID. Voor zover ontwikkelingen de reikwijdte van het huidige wetsvoorstel te buiten gaan of omdat herijking van gemaakte keuzes nodig is, liggen vervolgtranches in de rede. Er kan nog niet goed worden aangegeven hoeveel tranches van de wet zullen volgen en wat deze precies zullen regelen. Dit hangt af van de aard van de ontwikkelingen, alsmede van nut en noodzaak van verankering in formele wetgeving. Wel is duidelijk dat voor de tweede tranche primair wordt gedacht aan functionaliteiten rondom de verbetering van de persoonlijke informatiepositie van burgers, zoals ook aangegeven in NL Digibeter: persoonlijk datamanagement, waaronder inzage in eigen gegevens in overheidsregistraties en verstrekkingen, correctie, bepalen aan wie gegevens worden verstrekt, voorkomen van onnodig uitvragen in ketens van dienstverlening (once only). Ook tweezijdigheid van de berichtenbox, integratie van MijnOverheid voor burgers & voor bedrijven en realisering van een berichtenoverzicht zullen naar verwachting een plek krijgen in en op basis van de tweede tranche. Over deze onderwerpen vindt de gedachtenvorming momenteel plaats, op basis van nadere analyses, gesprekken met medeoverheden en uitvoeringsorganisaties en overleg over de samenhang met andere, bestaande regelgeving.

2. Standaarden

De leden van de D66-fractie lezen in de nota naar aanleiding van het verslag dat het open standaardenbeleid overheidsorganisaties de vrijheid geeft om hun eigen afweging te maken over het al dan niet gebruiken van een standaard die is opgenomen op de «pas toe of leg uit» lijst. Zij vragen op welke wijze artikel 3 deze vrijblijvendheid verandert en of de regering de intentie heeft deze vrijblijvendheid te veranderen. De leden vragen ook of er snel zal worden toegewerkt naar volledige open standaarden middels te de introduceren wettelijke basis.

Het beleid inzake open standaarden biedt overheidsorganisaties de mogelijkheid zelf het investeringsmoment te bepalen waarbij zij de open standaarden van de «pas toe of leg uit lijst» toepassen. Helemaal niet toepassen kan, bij investeringen van meer dan € 50.000, slechts in geval van zwaarwegende redenen. Die redenen moeten bovendien worden opgenomen in het jaarverslag van de organisatie. In de praktijk is gebleken dat in sommige gevallen die vrijheid en het drempelbedrag niet aansluiten bij de urgentie om bepaalde standaarden toe te passen of bij de noodzaak om als gehele overheid dezelfde standaarden toe te passen op hetzelfde moment. Informatieveiligheidstandaarden zijn hiervan een goed voorbeeld. Artikel 3 van het wetsvoorstel biedt de grondslag om bij algemene maatregel van bestuur een verplicht toe te passen open standaard aan te wijzen. In dat geval kunnen organisaties niet meer van toepassing afwijken en vervalt de ruimte om zelf een moment te kiezen om als organisatie te standaard te gaan gebruiken. Het «pas toe of leg uit»-principe blijft echter voor bepaalde open standaarden het meest proportionele instrument, omdat dit dienstverleners de gelegenheid geeft om zelf het investeringsmoment te bepalen waarbij zij de standaarden toepassen; dit helpt om desinvesteringen bij de verschillende organisaties te voorkomen. De intentie is open standaarden niet per definitie verplicht te stellen, maar alleen wanneer dat noodzakelijk en proportioneel is voor de werking, de veiligheid, de betrouwbaarheid, de duurzame toegankelijkheid of de doelmatigheid van het elektronische verkeer met of tussen bestuursorganen of indien dit voortvloeit uit internationale verplichtingen. Dit wordt per geval bezien.

De leden van de D66-fractie lezen dat na verplichtstelling van een open standaard door middel van een amvb, toezicht op de naleving plaatsvindt binnen de eigen beleidskolom door toezichthoudende ambtenaren. De leden vragen of toegelicht kan worden of hier sprake is van een slager die eigen vlees keurt en op welke wijze de Minister van Binnenlandse Zaken het overzicht houdt op naleving van de open standaard die middels amvb verplicht is gesteld.

Het toezicht op de naleving vindt plaats binnen de eigen beleidskolom. Dit is niet problematisch, mede gelet op het feit dat in aanvulling daarop monitoring van de naleving plaatsvindt door het Forum Standaardisatie. Het Forum adviseert aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de Ministers van Economische Zaken en Klimaat en Justitie en Veiligheid, al dan niet via het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). Deze monitor wordt jaarlijks behandeld in het OBDO en toegezonden aan uw Kamer. Door de adoptie van ook wettelijk verplichte standaarden te laten meelopen in een jaarlijkse monitor wordt transparant welke specifieke organisaties niet voldoen. Daarnaast zal ik per verplichtstelling op grond van artikel 3, van een standaard of groep van standaarden, in de nota van toelichting bij de betreffende AmvB aandacht besteden aan de vraag of aanvullende monitoring en/of toezichtsmaatregelen noodzakelijk zijn. Voorshands zie ik geen meerwaarde in het organiseren van een overkoepelend separaat toezicht op de naleving van wettelijk verplichte standaarden, omdat het bereik van elke algemene maatregel van bestuur waarmee standaarden verplicht worden gesteld anders kan zijn. Een standaard verplichten is immers pas aan de orde als dit noodzakelijk en proportioneel is voor de werking, de veiligheid, de betrouwbaarheid, de duurzame toegankelijkheid of de doelmatigheid van het elektronische verkeer met of tussen bestuursorganen of indien dit voortvloeit uit internationale verplichtingen.

De leden van de D66-fractie lezen dat op 1 juli 2018 de Europese toegankelijkheidsnorm EN301549 verplicht is geworden. Op deze manier moeten overheidsinstanties de noodzakelijke maatregelen treffen om hun websites en mobiele applicaties toegankelijker te maken. Dit wordt door de Minister van Binnenlandse Zaken gemonitord. De leden vragen of toegelicht kan worden wat de uitkomst is van deze monitor is en of alle websites en mobiele applicaties van de overheid aan deze standaard voldoen.

Het Tijdelijk besluit digitale toegankelijkheid, waarin wordt gerefereerd aan EN 301 549, is op 1 juli 2018 in werking getreden. Het besluit wordt gefaseerd van toepassing: op 23 september 2019 voor websites die vanaf 23 september 2018 zijn gepubliceerd, op 23 september 2020 voor websites die vóór 23 september 2018 zijn gepubliceerd en op 23 juni 2021 voor mobiele applicaties. Over de naleving van het besluit en de mate waarin websites en mobiele applicaties van overheidsinstanties voldoen aan de standaard dient uiterlijk op 23 december 2021 voor de eerste keer te worden gerapporteerd aan de Europese Commissie en daarna elke drie jaar, zo is bepaald in de Europese webtoegankelijkheidsrichtlijn 2016/2102. Vooruitlopend daarop wordt een nulmeting uitgevoerd naar de toegankelijkheid van websites van overheidsinstanties, op basis van de in oktober 2018 door de Europese Commissie vastgestelde toezichtsmethodiek. De resultaten van deze nulmeting zullen in de tweede helft van 2019 worden gedeeld met uw Kamer.

De leden van de GroenLinks-fractie ontvangen graag een nadere toelichting op het voornemen om de open standaard HTTPS te verplichten. Ook vragen ze wanneer de verplichting van open documentstandaarden wordt ingesteld, waar één van de grootste afhankelijkheden van leveranciers bestaat, met alle door meerdere instanties en onderzoek en genoemde nadelen en risico’s op gebied van kosten, informatieveiligheid, archivering, rechtszekerheid, leveranciersafhankelijkheid.

De verplichting HTTPS toe te passen – deze zal in een amvb op basis van het wetsvoorstel worden opgenomen – is het sluitstuk van gevoerd beleid. Voor HTTPS geldt sinds 2017 de zogenaamde «pas toe of leg uit»-regel. Aanvullend is bestuurlijk een streefbeeldafspraak gemaakt om de standaard voor het einde van 2018 bij alle overheidswebsites toegepast te hebben. Hoewel het gebruik de afgelopen jaren fors is toegenomen, is het streven van 100% toepassing niet gehaald. De voorgenomen wettelijke verplichting dwingt partijen, die de standaard nog niet toepassen, dit alsnog te doen. Voor documentstandaarden geldt al dat overheidsorganisaties de open standaard kunnen toepassen naast de gesloten variant, maar dit gebeurt momenteel onvoldoende. Daarom zet ik in op een vergelijkbare aanpak, met verplichting als sluitstuk. Het Forum Standaardisatie zal dit jaar een streefbeeldafspraak voorbereiden over open documentstandaarden waarvoor momenteel het «pas toe of leg uit» regime geldt. Als blijkt dat dit onvoldoende effect heeft, wordt verplichte toepassing overwogen.

3. Elektronische identificatie (eID)

De leden van de VVD-fractie en de CDA-fractie hebben vragen gesteld die zich concentreren rond de thema’s accreditatie en verwerving van een privaat burgermiddel. De vragen, die mede lijken ingegeven door de wens tot zoveel mogelijk universeel gebruik bij de overheid, zoveel mogelijk (en gelijke) kansen voor aanbieders van private middelen en gelijkwaardigheid van publieke en private (burger)middelen, worden hieronder themagewijs behandeld. Voorafgaand daaraan ga ik, bij wijze van inleiding, kort in op de beleidsmatige uitgangspunten.

1. Inloggen bij de overheid

Dit wetsvoorstel regelt hetgeen nodig is om burgers en bedrijven veilig en betrouwbaar bij de (semi) overheid te kunnen laten inloggen. Om dit doel te bereiken is het wenselijk dat voor burgers, naast de beschikbaarheid van publieke middelen op verschillende betrouwbaarheidsniveaus, één of meerdere private alternatieven met een hoge dekkingsgraad beschikbaar komen. Het beschikbaar komen van meerdere middelen noch het creëren van een markt zijn doelen op zich, maar zijn ondersteunend aan het primaire beleidsdoel: veilig en betrouwbaar inloggen. Belangrijk daarbij is dat de burger gebruiksvriendelijk kan beschikken over meerdere inlogmethoden. In dit verband wordt voor bedrijven volstaan met private middelen; in de praktijk bestaat een over het algemeen naar tevredenheid werkend en dekkend stelsel, dat gecontinueerd wordt. Digitale transacties in de commerciële sector vallen buiten de werkingssfeer van dit wetvoorstel.

Het wetsvoorstel sluit aan bij de feitelijke situatie en bestaande digitale voorzieningen, waarbij ruimte wordt gelaten voor doorontwikkeling, innovatie en harmonisatie. Ik ga hierbij beheerst en stapsgewijs te werk, met oog voor risico’s, gebleken behoeften en marktwerking. Uiteindelijke doel is dat burgers en bedrijven veilig, betrouwbaar en eenvoudig transacties kunnen verrichten in de hele digitale wereld. De route daarnaartoe is een meerjarig traject, dat blijvend zal moeten anticiperen op (innovatieve) ontwikkelingen. Zo bestaat de mogelijkheid dat in de toekomst inloggen mogelijk zal zijn zonder gebruikmaking van fysieke kaarten. Belangrijk is dat de te nemen stappen moeten passen binnen het langere termijnbeeld, zoals verwoord in de beleidsvisie over overheidsdienstverlening NL DIGIbeter en de recente eID voortgangsrapportage, die aan uw Kamer zijn gezonden.

Dit wetsvoorstel vormt de eerste stap en heeft het veilig, betrouwbaar en gebruiksvriendelijk inloggen bij de overheid tot doel. Hierbij heeft het voor burgers breed beschikbaar komen van – publieke en private – inlogmiddelen op hogere betrouwbaarheidsniveaus de hoogste prioriteit. In dit verband wordt sinds mei 2018 geleidelijk een publiek middel op betrouwbaarheidsniveau hoog geïntroduceerd via de uitgifte van rijbewijzen met een (na vaststelling van dit wetsvoorstel te activeren) e-functionaliteit. In reactie op de vragen van de CDA-fractie naar het tijdstip van geschiktheid van alle rijbewijzen voor DigiD hoog, alsmede naar welk deel van de totale gewenste doelgroep daarmee wordt bereikt merk ik op, dat rijbewijzen worden uitgegeven via de natuurlijke cyclus van 10 jaar, waardoor invoering van voor eID geschikte rijbewijzen naar verwachting een aantal jaren in beslag zal nemen. Hiermee kan uiteindelijk een groot deel van de Nederlandse bevolking worden bereikt, maar voor volledige dekking zal inzet van meerdere methoden nodig zijn. Tevens worden voorbereidingen getroffen voor het beschikbaar komen van DigiD hoog op de Nederlandse identiteitskaart. Hiertoe is bij uw Kamer het voorstel tot wijziging van de Paspoortwet (Kamerstukken 2018/2019, 35 047 (R2108) ingediend.

2. Accreditatie; betekenis en functie

Door beide fracties worden vragen gesteld over de aard en functie van accreditatie, in het bijzonder waarom het wetsvoorstel hierin alleen bij het bedrijfs- en organisatiemiddel voorziet en nut en noodzaak om accreditatie ook bij het burgermiddel te gaan hanteren. Ter verduidelijking ga ik in op het instrument accreditatie en de rol die dit bij overheidsbeleid kan spelen.

Accreditatie is het door een onafhankelijke, deskundige (geaccrediteerde private) instantie uitgevoerde, proces waarin wordt aangetoond of voldaan is aan vooraf vastgestelde (kwaliteits)eisen voor een product of dienst. Het wordt ook wel aangeduid als conformiteitsbeoordeling. Accreditatie kan door de overheid bijvoorbeeld worden ingezet in het kader van aanbesteding, inkoop, beoordeling van een aanvraag voor het nemen van een besluit of bij wijze van toezichtsondersteuning. Accreditatie en aanbesteding sluiten elkaar dus niet uit. Wanneer publieke belangen in het geding zijn en sprake is van regelgeving en wettelijke eisen waaraan moet worden voldaan, fungeert (verplicht voorgeschreven) conformiteitsbeoordeling als hulpmiddel voor het bevoegde gezag bij het verlenen of weigeren van een vergunning/toelating/erkenning. De eisen waarop wordt getoetst, zijn dan voordien door de overheid gesteld in wet- of regelgeving. De overlegging van een certificaat van conformiteit levert een vermoeden op dat de betrokken partij voldoet aan de gestelde eisen.

Deze systematiek is in het wetsvoorstel opgenomen terzake van het bedrijfs- en organisatiemiddel (artikel 11). Hierbij is sprake van een «open» stelsel, dat wil zeggen voor alle partijen toegankelijk; als een private aanbieder van een bedrijfs- en organisatiemiddel kan aantonen dat hij aan de (op de Europese eIDAS-verordening gebaseerde) veiligheids- en betrouwbaarheidseisen voldoet, wordt hij in beginsel door de Minister van BZK erkend. Erkenning van het bedrijvenmiddel komt dus niet alleen door accreditatie tot stand, oftewel een certificaat sec creëert geen recht en is geen synoniem voor toelating. Voor de verkrijging van een erkenning is een besluit van het bevoegd gezag nodig, te weten een beschikking waarbij wordt vastgesteld dat aan bepaalde eisen wordt voldaan.

Door een «open stelsel» wordt ruimte aan de markt gelaten, is er sprake van concurrentie en is er ruimte innovatieve middelen toe te laten, vooral indien de eisen doelgericht geformuleerd zijn. Nadeel is dat er bij een erkenning geen leveringsverplichting is – duidelijk is slechts dat aan de eisen wordt voldaan –, waardoor in theorie de kans bestaat dat er geen middelen beschikbaar zijn. In reactie op het door de leden van de CDA-fractie gestelde is het, mede gezien de ervaringen op dit terrein (zie ook paragraaf 1), niet de verwachting dat private leveranciers van bedrijfsmiddelen investeren in accreditatie en het doorlopen van een erkenningsprocedure om vervolgens niet te leveren. Bij private burgermiddelen is dit nog onzeker, reden waarom in het wetsvoorstel gekozen is voor een verwervingsstrategie waarbij sprake is van leveringszekerheid. In antwoord op de VVD-fractie merk ik op, dat in dat verband is overwogen om bij de voorbereiding van de aanbesteding accreditatie/certificering een rol te laten spelen; om reden van efficiëncy is er echter voor gekozen de te kwaliteits- en veiligheidseisen deel te laten uitmaken van het bestek, waarbij de aanbestedende instantie (de Minister van BZK) de conformiteit integraal beoordeelt. Overigens is het zo, dat de kwaliteits- en veiligheidscriteria voor publieke en private burgermiddelen gelijk zijn; bij beide wordt uitgegaan van de eIDAS-eisen. Er is sprake van gelijkwaardige middelen, waarmee een gebruiker in de richting van de overheid hetzelfde kan. Een privaat middel kan daarnaast ook in het commerciële domein worden gebruikt. Nogmaals: het voorgaande staat los van een eventuele rol die accreditatie/certificeren kan vervullen.

Uit de vragen van de VVD-fractie en de CDA-fractie maak ik op, dat de beschikbaarheid van meerdere middelen en een level playing field voor hen belangrijk zijn. Zij vragen naar de mogelijkheden van zoveel mogelijk (en gelijke) kansen voor aanbieders van private middelen en daarmee van toelating van private burgermiddelen indien deze aan de eisen voldoen. De keuze voor dergelijk «open» stelsel kan leiden tot de toelating van een veelvoud aan private middelen, hetgeen gevolgen heeft voor de benodigde ontzorging van dienstverleners en daarmee de uitvoerbaarheid. Dit klemt in het burgerdomein omdat het burgermiddel functioneert op basis van het bsn. Dit stelt systeemtechnisch en organisatorisch zware eisen aan de beveiliging. Anderzijds zou door een meer «open» stelsel, met name indien de betrokken eisen techniekonafhankelijk worden geformuleerd, ruimte worden gelaten aan de markt en aan innovatie. Zoals gezegd kan er daarbij voor gekozen worden om conformiteit met die eisen te laten aantonen via accreditatie/certificering, dat hoeft echter niet.

3. Verwervingsstrategie privaat burgermiddel

Het is wenselijk dat, naast de beschikbaarheid van publieke middelen op verschillende betrouwbaarheidsniveaus, private alternatieven met een hoge dekkingsgraad op deze niveaus beschikbaar komen. Burgers kunnen dan ook een privaat middel als hun primaire inlogmiddel gebruiken. Om dat te realiseren maakt het wetsvoorstel het op dit moment mogelijk om een of meerdere private identificatiemiddelen toe te laten. Beoogd was dit via een aanbestedingsprocedure te realiseren. Hiervoor is gekozen om redenen van beheersbaarheid; bij een of enkele private partijen kan de overheid direct sturen op zaken als veiligheid, betrouwbaarheid, privacybescherming en communicatie. Bovendien is sprake van – voor een hoge dekkingsgraad relevante – leveringszekerheid; de gegunde partijen zijn verplicht een middel te leveren tegen een vooraf bepaalde prijs. Burgers weten dan waar zij aan toe zijn. Onderkend werd, dat de overheid zich bij een aanbesteding voor een langere periode vastlegt op een beperkt aantal oplossingen; er is na gunning gedurende een aantal jaren minder ruimte voor innovatie en concurrentie door de markt.

Dit was ten tijde van de indiening van dit wetsvoorstel geen doorslaggevend argument, omdat toen sprake was van een beperkt aantal gegadigden en weinig ontwikkeling op de markt. De voorbereidingen voor een aanbesteding zijn gestart; publicatie kan nog in 2019 plaatsvinden. Daarna duurt het nog enkele maanden totdat een voorlopige gunning is afgerond. Hierbij is niet de verwachting dat de aanbesteding geen enkel identificatiemiddel zal opleveren. Het aanbestedingstraject kan parallel aan het wetstraject plaatsvinden.

Inmiddels zijn echter de feiten en omstandigheden significant gewijzigd; het tempo waarmee innovatie zich voltrekt is het afgelopen jaar sterk toegenomen, de ontwikkeling van inlogmiddelen versnelt en het aantal gegadigden in de markt groeit. Hierbij past een meer wendbare en daarmee toekomstvaste toelatingssystematiek; aanbesteden ligt dan minder voor de hand. Dit vormt voor mij de aanleiding om een andere verwervingsstrategie te overwegen, onverminderd het doel om zo snel mogelijk private alternatieven en een hoge dekkingsgraad te realiseren. Mogelijk kan dat tevens, en beter, via een meer open toelatingssysteem (erkenning).

Vanuit de wens te kunnen inspelen op nieuwe ontwikkelingen ben ik voornemens innovatie te bevorderen en meer gebruik te maken van wat de markt te bieden heeft. Vanzelfsprekend zonder daarbij concessies te doen aan de kernwaarden toegankelijkheid, veiligheid, betrouwbaarheid en gebruiksvriendelijkheid, zoals verankerd in de agenda NLDIGIbeter. Momenteel oriënteer ik mij daarom op de haalbaarheid en vormgeving van een open toelatingssysteem. Ik ben tevens in gesprek met de markt om alle consequenties van een andere toelatingssystematiek in beeld te brengen alvorens definitief te beslissen over het toelatingssysteem. Hierbij wordt gekeken naar financiële- en beheersaspecten (mede in relatie tot de bekostiging van het publieke middel en publieke voorzieningen), continuïteit, uitvoerbaarheid, snelheid/doorlooptijd, toekomstbestendigheid en coherentie met het bedrijvendomein. Met deze heroverweging wordt tevens tegemoetgekomen aan de vragen en opmerkingen van de leden van de VVD-fractie en de CDA-fractie, waarin de wens doorklinkt tot zoveel mogelijk gelijke kansen voor private partijen, ruimte voor private burgermiddelen en het toestaan van middelen indien aan de (op eIDAS gebaseerde) eisen wordt voldaan. Ik ben voornemens Uw Kamer binnen enkele weken nader te informeren over deze heroverweging. Indien een ander stelsel van toelating opportuun blijkt, zal ik een nota van wijziging indienen.

Met het bovenstaande zijn de door de VVD-fractie en de CDA-fractie gestelde vragen naar de door mij voorgestane koers en het al dan niet maximeren van het aantal private partijen beantwoord.

4. Vervolgstappen verwervingsstrategie privaat burgermiddel en samenvoeging domeinen

De verwervingsstrategie ten aanzien van private inlogmiddelen voor burgers wordt heroverwogen met als doel om de uitkomst van deze oriëntatie nog in de eerste tranche mee te nemen. In dit verband worden momenteel aspecten als beheersbaarheid, financiering en doorlooptijd bij zowel beperkte als open toelating bezien. Wanneer deze oriëntatie is afgerond en ik op basis daarvan een afweging heb gemaakt, zal ik uw Kamer berichten.

Daarnaast is het van belang dat het burger- en bedrijvendomein op termijn naar elkaar kunnen toegroeien. Op dit punt maak ik daarmee een start door de mogelijkheden te benutten die de eerste tranche biedt om deze domeinen in uitvoeringsregelgeving inhoudelijk naar elkaar te laten toegroeien. Het doel op de lange termijn is om de domeinen naar elkaar toe te laten groeien, maar dat niet overhaast te doen. De prioriteit – en daarmee de eerste stap – is dat overheidsdienstverleners spoedig en beheerst veiligere inlogmiddelen implementeren. Het tegelijkertijd opheffen van de scheiding tussen het burger- en bedrijvendomein verhoogt de complexiteit aanzienlijk. Zo zullen de materiële eisen aan de leveranciers van private middelen moeten worden geüniformeerd. De samenvoeging voor beide domeinen zal, zowel voor overheidsorganisaties, als voor de middelenleveranciers, consequenties hebben en op uitvoerbaarheid moeten worden bezien. Ik zal met de overheid en markt in gesprek gaan om het draagvlak voor een volledige opheffing van deze scheiding te onderzoeken. Desgewenst kan de WDO in een volgende tranche worden aangepast.

Tevens is van belang dat in de toekomst de rol van de overheid in het commerciële/private domein wordt gedefinieerd. Ik acht het van belang om als overheid ook daar een rol te gaan spelen, en de vraag is hoe zo’n rol het best wordt ingevuld. Daartoe wordt naast het inzetten van het publieke middel teneinde een faciliterende rol te vervullen in het commerciële domein ook gekeken naar andere inlogmethoden die binnen de huidige tranche van dit wetsvoorstel passen. Zo wordt, zoals ik al op 14 mei vermelde in mijn reactie (TK 26 643–609) op het IRMA-manifest, onderzoek gedaan naar de methodiek en bruikbaarheid van afgeleide middelen waarbij de overheid bij de uitgifte van (private) middelen een rol neemt door digitale zekerheid over identiteitsvaststelling te bieden waarop wordt voortgebouwd.

5. Overige vragen

De leden van de VVD-fractie vragen of de multi-middelenstrategie gericht is op één markt met meerdere private middelen en één publiek middel, die alle vanuit concurrentieperspectief gelijk zijn, of dat de multi-middelenstrategie gericht is op enerzijds één markt waar afnemers, niet zijnde de overheid, private middelen gebruiken en anderzijds één andere markt waar één afnemer, zijnde de overheid, gebruik maakt van het publieke middel en één privaat middel.

Beoogd wordt – ongeacht de uiteindelijke verwervingsstrategie – overheidsdienstverlening voor burgers op verschillende betrouwbaarheidsniveaus mogelijk te maken via publieke en private middelen. Digitale transacties buiten de overheid vallen buiten de werkingssfeer van dit wetvoorstel.

Met het publieke middel kan een burger alleen bij de (semi)overheid terecht; overheidsdienstverleners herkennen burgers aan de hand van hun bsn.

De leden van de VVD-fractie vragen in hoeverre er bij de huidige multi-middelenstrategie sprake is van gelijke kansen voor alle middelen en of de behandeling van de publieke middelen anders zal zijn. Ook vragen zij zich af in hoeverre is gekeken naar de staatssteunaspecten bij de totstandkoming van publieke middelen. Ook vraagt de VVD-fractie of een aanbesteding gescheiden wordt van de DigiD-operatie en of de overheid haar middelen in één keer voor alle diensten aanbesteedt.

De aan de toelating van publieke en private middelen ten grondslag liggende eisen zijn dezelfde, te weten in ieder geval de aan de eIDAS-verordening ontleende eisen. Bij een openbare aanbesteding kunnen alle private partijen meedingen, in die zin is sprake van gelijke kansen. Op basis van de mate waarin voldaan wordt aan de aanbestedingscriteria kan een middel uiteindelijk worden aangewezen. Bij een open stelsel (erkenning systematiek) kunnen alle private partijen die aan de eisen voldoen worden toegelaten. Dan is er, nog meer dan bij aanbesteding, sprake van gelijke kansen. Toepasselijkheid van de staatssteunregels en de aanbestedingsregels is niet aan de orde bij publieke middelen; deze worden – onder de verantwoordelijkheid van de Minister van BZK – door de overheid zelf ontwikkeld.

De (door)ontwikkeling van publieke middelen (DigiD) hangt inhoudelijk samen met de verwervingsstrategie terzake van private middelen; ze moeten immers aan dezelfde eisen voldoen. Procesmatig staan beide echter los van elkaar. Bij een aanbesteding wordt in één keer aanbesteed. Bij een open stelsel is dit naar zijn aard anders. Aanvragen voor een toelating (erkenning) kunnen vanaf inwerkingtreding van de WDO en bijbehorende uitvoeringsregelgeving ingediend worden; private partijen kunnen daarna op ieder moment instappen.

De leden van de VVD-fractie vragen naar de werkwijze bij de overige geaccrediteerde eIDAS-vertrouwensdiensten op de TSL-lijst (Trusted Services List) van Nederland, bijvoorbeeld de diensten rond het gebruik van een elektronische handtekening. Voorts vragen zij op welke wijze de overige eIDAS-vertrouwensdiensten samenhangen met de erkenning van private elektronische identificatiemiddelen voor burgers door een aanbesteding en hoe die koppeling is geborgd. Ook vragen de leden van de VVD-fractie of erkenning van het burgermiddel door middel van een aanbesteding te combineren is met een stelsel waarin alle overige vertrouwensdiensten, inclusief het bedrijvenmiddel, door accreditatie tot stand komen.

Voor de eIDAS-vertrouwensdiensten geldt een systeem van open toelating: de Minister van EZK kan ze – na accreditatie – de status «gekwalificeerd» toekennen. Dit wordt niet door het onderhavige wetsvoorstel geregeld, maar is sinds 2016 separaat geregeld door de Telecommunicatiewet juncto de eIDAS-verordening. Marktpartijen en ook overheidsinstanties kunnen gekwalificeerde vertrouwensdiensten inkopen. Overheidsinstanties zijn daarbij aanbesteding plichtig. De toelating van overige eIDAS-vertrouwensdiensten hangt niet samen met de toelating van private identificatiemiddelen; koppeling is dus niet nodig. De eIDAS-verordening kent namelijk een verschillend regime voor (toelating van) vertrouwensdiensten en diensten/middelen voor identificatie, en staat niet in de weg aan de combinatie van aanbesteding van een privaat burgermiddel en open toelating van overige vertrouwensdiensten (incl. bedrijvenmiddel). Voor de duidelijkheid zij benadrukt, dat het bedrijvenmiddel ook niet door accreditatie sec tot stand komt (zie hierboven paragraaf 3.2).

Met betrekking tot private inlogmiddelen vragen de leden van de VVD-fractie of gekeken is hoe in andere landen de prijsvorming voor private en publieke middelen gaat. Hetzelfde geldt voor de financiering van en investeringen in private en publieke middelen. Is er sprake van accreditatie of aanbesteding? Zijn er in het buitenland voorbeelden die kunnen helpen bij een echte multi-middelenstrategie? In hoeverre is er gekeken naar alternatieven in België?

De ontwikkelingen en bekostigingssystematiek in andere Europese landen zijn onderling verschillend. Zo is in het Verenigd Koninkrijk sprake van open toelating van private middelen; het stelsel wordt gefinancierd door de overheid. Vanwege de onbeheersbaarheid van de kosten wordt nu aanbesteding overwogen. In België is sprake van enkele preferred suppliers, die een vergoeding van de overheid ontvangen. Voorts zal ik, in het licht van mijn voornemen een andere verwervingsstrategie voor private burgermiddelen te gaan hanteren, de situatie in Denemarken en Duitsland nog nader bezien. Hoewel het nuttig is van ervaringen van andere lidstaten te leren, geldt de kanttekening dat elders sprake is van een andere context, waardoor het lastig is zaken 1 op 1 over te nemen. Zo kennen veel lidstaten, anders dan Nederland, geen van overheidswege uitgegeven (dus: publieke) middelen, waardoor men meer afhankelijk is van de markt.

Voorts vragen de leden van de VVD-fractie of de financiering van DigiD marktconform zal geschieden, alsmede in hoeverre is of wordt overwogen in plaats van een eigen publiek middel te ontwikkelen een middel in het buitenland te kopen.

Momenteel werk ik aan de bekostiging van het stelsel. De kosten van DigiD worden thans integraal doorbelast aan de overheidsdienstverleners op basis van een prijs per inlog. De financiering van DigiD zal in de toekomst dusdanig zijn, dat toegelaten private middelen ook financieel een reëel alternatief vormen voor het publieke middel. Vanzelfsprekend zullen de uitgangspunten van de Wet markt en overheid in acht worden genomen. Het van overheidswege ontwikkelen van een middel voor burgers is, gelet op de betrokken publieke belangen, staand kabinetsbeleid. DigiD wordt sinds jaar en dag en op grote schaal door burgers gehanteerd bij hun toegang tot overheidsdienstverlening; het publieke middel wordt momenteel doorontwikkeld tot een nog veiliger en betrouwbaarder middel. Uw Kamer verzocht in 2016, bij motie van het lid de Caluwé, om de ontwikkeling van in ieder geval een publiek middel. Mijn verantwoordelijkheid terzake is daarom verankerd in het wetsvoorstel.

De leden van de CDA-fractie constateren, naar aanleiding van de aanbeveling van het Adviescollege Toetsing Regeldruk (ATR) over standaardisering bij eHerkenning, dat de keuzemogelijkheden voor klanten niet bepaald worden door de markt, maar door de overheid. De leden vragen de regering hierop nader in te gaan.

Het klopt dat de overheid eisen stelt aan toe te laten bedrijfs- en organisatiemiddelen en aan het betrouwbaarheidsniveau van dienstverlening. Bij en krachtens het onderhavige wetsvoorstel worden immers kaders gesteld, bijvoorbeeld over de classificering van de betrouwbaarheidsniveaus. Echter: binnen deze wettelijke kaders zijn nog wel degelijk keuzes door de markt mogelijk. Zo stel ik geen eisen aan de prijs; de private aanbieders van de middelen concurreren met elkaar op prijs en gebruiksvriendelijkheid, hetgeen in het voordeel uitpakt van de gebruiker die het middel aanschaft.

De CDA-fractie constateert dat voor de toelating van private identificatiemiddelen voorschriften worden gesteld, en heeft diverse vragen gesteld over de specifieke invulling daarvan dan wel de verplichting van functionaliteiten (BSNk) of specifieke (pseudonimiserings)technieken door het wetsvoorstel en hoe invulling is gegeven aan gesignaleerde risico’s (zoals het voorkomen van hotspots) in de eerder uitgevoerde gegevensbeschermingseffectbeoordeling op het stelsel.

Gezien het onderlinge verband pak ik deze vragen samen tot de kern, namelijk de vraag of en in hoeverre concrete (technische) maatregelen door het wetsvoorstel worden verlangd.

Het is onwenselijk en ongebruikelijk om op wetsniveau concrete (technische) maatregelen voor te schrijven. Het wetsvoorstel beoogt techniek-onafhankelijke inrichting van privacybeschermende maatregelen mogelijk te maken en te houden. Welke specifieke privacybeschermende technieken worden gebruikt, in samenhang met organisatorische en operationele maatregelen, wordt bepaald door de wijze waarop invulling wordt gegeven aan privacybescherming door de verwerkingsverantwoordelijke. Deze dient een adequaat beschermingsniveau te realiseren. Dat kan op verschillende manieren en zal bovendien, door voortschrijding van technische ontwikkelingen, door de tijd kunnen veranderen. Het wetsvoorstel staat er overigens ook niet aan in de weg dat specifieke technieken worden ingezet, als resultaat van onderbouwde keuzes bij de implementatie.

Ik merk in algemene zin ten aanzien van privacybescherming nog op dat een (te) sterke, vaak technische focus, zoals op het voorkomen van verzamelingen van persoonsgegevens (ook wel hotspots genoemd) en daaraan gerelateerde risico’s, in zichzelf het gevaar draagt dat risico’s in het stelsel verschuiven, bijvoorbeeld een gebrek aan herstelvermogen als er binnen het stelsel onverhoopt iets misgaat. Privacywetgeving biedt een kader om verwerkingen van persoonsgegevens veilig en verantwoord te realiseren. Dat is ook het doel van het eID stelsel. Ik benader daarom de inrichting van privacybescherming voor het stelsel integraal, als een samenstel van samenhangende en elkaar aanvullende maatregelen. Voorkomen moet worden dat we ons blindstaren op een aantal technische maatregelen. Daarbij is privacybescherming geen eenmalige activiteit. Het blijft een continu proces waarbij door de tijd risico’s en maatregelen herijkt moeten worden en maatregelen zo nodig moeten worden bijgesteld.

De leden van de CDA-fractie vragen welke gevolgen de aanvullende eisen mogelijk zullen hebben voor het resultaat van de aanbesteding en of de regering het mogelijk acht, dat aanbesteding geen enkel privaat identificatiemiddel zal opleveren.

De eisen die worden gesteld aan inlogmiddelen dienen te voldoen aan de vereisten die gelden op basis van de eIDAS-verordening en terzake geldende privacywetgeving, en dienen ertoe burgers adequaat te beschermen. Dat vormt de basis voor het stellen van eisen, niet de inschatting van de resultaten van een verwerving.

De leden van de CDA-fractie vragen, welke randvoorwaarden in het kader van de aanbesteding (of accreditatie) kunnen worden gesteld aan buitenlandse partijen, voor zover mogelijk op basis van Europese wetgeving, om aanbieder te kunnen worden van een identificatiemiddel in Nederland.

Het uitgangspunt is dat partijen die aanbieden aantoonbaar aan de eisen die worden gesteld moeten kunnen voldoen. Deze eisen zijn niet anders dan voor binnen de EU gevestigde partijen. Voor buiten de EU gevestigde partijen geldt reeds – op grond van de AVG – dat zij moeten kunnen aantonen dat een sprake is van gelijkwaardig beschermingsniveau voor persoonsgegevens.

De leden van de CDA-fractie vragen, welke randvoorwaarden in het kader van de aanbesteding (of toelating) kunnen worden gesteld aan buitenlandse partijen, voor zover mogelijk op basis van Europese wetgeving, om aanbieder te kunnen worden van een identificatiemiddel in Nederland. De leden van de CDA-fractie vragen voorts of elektronische toegang tot overheidsdienstverlening naar de opvatting van de regering tot de vitale infrastructuur behoort en zo ja, welke eisen op grond daarvan aan aanbieders kunnen worden gesteld.

De wettelijke eisen aan nationale en buitenlandse aanbieders zijn hetzelfde; de eisen worden in beginsel non discriminatoir toegepast. Het door mij nemen of opleggen van maatregelen om acute veiligheidsproblemen aan te pakken, is ingevolge het wetsvoorstel mogelijk. Vanzelfsprekend dient dit op basis van een zorgvuldige weging, inschatting van de dreiging en een risicoanalyse te geschieden. Ook is in 2017 de vitaliteit van DigiD vastgesteld. Dit betekent dat een meldplicht bij het Nationaal Cyber Security Centrum (NCSC) geldt ingeval van ernstige digitale veiligheidsincidenten. De aanwijzing als «vitaal» heeft geen gevolgen voor de eisen die in het kader van dit wetsvoorstel worden gesteld.

De leden van de CDA-fractie vragen of zij goed hebben begrepen dat de betrouwbaarheidsniveaus substantieel en hoog moeten bereikt worden met het huidige DigiD als fundament en of dat fundament technisch toereikend is om op voort te bouwen. De leden vragen voorts of het wetsvoorstel ook vormen van afgeleide identificatie mogelijk maakt.

De betrouwbaarheidsniveaus substantieel en hoog kunnen bereikt worden met het huidige DigiD als fundament; dat is hiervoor geschikt en bedoeld. Afgeleide identificatie, waaronder de situatie dat een privaat middel de aanvraag baseert op DigiD, is mogelijk en toegestaan. Het wetsvoorstel laat, in aansluiting op de eIDAS uitvoeringsverordening 1502, ruimte om bij het proces van uitgifte van middelen te steunen op een eerder uitgevoerde controle, vaak de verificatiestap van identiteit, die doorgaans verhoudingsgewijs veel inspanning van de gebruiker vraagt en voor de middelenuitgever een relatief groot deel van de kosten bepaalt. Onder een afgeleid identificatiemiddel wordt verstaan een identificatiemiddel dat voor een controlestap steunt op een eerder uitgevoerde controle. Overigens zullen, om afleiding van middelen op een veilige en betrouwbare manier mogelijk te maken, daaraan voorwaarden worden verbonden.

4. Privacy

De D66-fractieleden vragen toe te lichten op welke wijze de regering uitvoering geeft aan artikel 15 tot en met 18 AVG aangaande het recht van inzage en rectificatie.

Het wetsvoorstel en voorgenomen uitvoeringsregelgeving zullen de juridische kaders bevatten die gelden voor verwerkingen van persoonsgegevens die plaatsvinden in het kader van het eID stelsel. Dit geldt niet voor de artikelen 15 tot en met 18 AVG (rechten van inzage en rectificatie voor gebruikers). Opname van deze rechten in het wetsvoorstel is niet nodig en, vanwege de rechtstreekse toepasselijkheid van de AVG, zelfs niet toegestaan. Wel werken deze rechten door in de technische en organisatorische inrichting en vormgeving van de voorzieningen in het stelsel. De wijze waarop dit wordt gerealiseerd staat beschreven in de Privacyvisie eID, zoals u die bij gelegenheid van de Voortgangsrapportage eID eind januari jl. is toegestuurd.

5. Misbruik van de GDI

Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.

6. Toezicht en handhaving

De leden van de VVD-fractie vragen of het toezicht op de private middelen, die straks in het publieke domein worden gebruikt, wordt belegd bij de door de Minister aan te wijzen ambtenaren. Voorts vragen de leden welke rol Logius en de Rijksdienst voor identiteitsgegevens in dezen hebben. De leden van de CDA-fractie constateren dat het Ministerie van BZK een breed pakket van taken en verantwoordelijkheden krijgt, en vragen te onderbouwen waarom het Ministerie van BZK niet alleen de aanbesteding uitvoert, maar ook toezicht houdt, audits verricht en zelf als leverancier van DigiD optreedt.

Het private alternatief voor het publieke middel en het publieke middel zelf, zijn gelijkwaardig en uitwisselbaar waar het overheidsdienstverlening betreft. Vanwege die sterke publieke component is er in het wetsvoorstel voor gekozen het toezicht op de private burgermiddelen tot mijn verantwoordelijkheid te rekenen. Ik constateer met u dat het eID-stelsel een groot aantal taken met zich brengt. Dat is op zichzelf geen probleem, het past in mijn stelselverantwoordelijkheid voor de digitale overheid, maar een vervolgvraag is dan hoe ongewenste samenval van taken wordt voorkomen en toezicht adequaat en onafhankelijk wordt ingericht.

Vooropgesteld moet daarbij worden, dat een toezichtsrol voor Logius als beheerorganisatie en RVIG als nauw betrokkene bij de ontwikkeling van DigiD hoog (eNIK) niet is voorzien (Chinese walls). Gelet op de opgedane kennis en ervaring met het toezicht op DigiD en het feit, dat een aanbesteding hooguit slechts tot een of enkele extra middelen leidt, was het opportuun het toezicht – in dat geval in feite contractbeheer – te beleggen bij door mij aan te wijzen ambtenaren, met gebruik van interne controlemechanismen, mogelijk ondersteund door ambtenaren van het Agentschap Telecom en (externe) auditdiensten.

Nu ik mij beraad op een andere verwervingsstrategie (zie paragraaf 3.3), die naar verwachting leidt tot een groter aantal middelen, waardoor meer wordt gevergd aan beheersbaarheid, past het om in het verlengde daarvan de inrichting van het toezicht te heroverwegen en dit meer in lijn te brengen met het toezicht op het bedrijvenmiddel (checks and balances). Ik bericht u hierover binnen enkele weken, wanneer ik uw Kamer informeer over mijn bevindingen inzake een andere verwervingsstrategie.

7. Financiële bepalingen en gevolgen

De leden van de VVD-fractie vragen waarom de kosten, die voor rekening van de overheidsorganen en aangewezen organisaties komen, nog niet bekend zijn en wanneer die kosten wel bekend zullen zijn. Voorts vragen zij, hoe de kosten van deze organen en aangewezen organisaties worden bepaald en hoe deze organisaties daarover geïnformeerd worden en op welke termijn.

De leden van de D66-fractie verzoeken de regering om een geheel beeld te schetsen van de kosten voor de overheid voor «het inloggen in het BSN-domein». Zij verzoeken dit schematisch weer te geven en hierbij ook een schatting mee te nemen van de kosten die voor rekening komen van de bestuursorganen en aangewezen organisaties.

Zoals in de toelichting bij het wetsvoorstel is vermeld zullen de kosten van exploitatie en doorontwikkeling pas de komende tijd, bij de voorbereiding van de uitvoering van het programma, volledig duidelijk worden. Uitgangspunt is en blijft dat de overheidsdienstverleners de kosten van het inloggen betalen naar rato van gebruik; dit geldt zowel voor het publieke inlogmiddel (DigiD), als voor de (nog te verwerven) private middelen. Daarbij kunnen burgers kiezen van welk middel ze gebruik maken; ze loggen in met DigiD of met een privaat middel. In de toelichting bij het wetsvoorstel (paragraaf 7.3) zijn de financiële gevolgen voor de gebruikers (burgers en bedrijven), de dienstverleners en het Rijk geschetst. Kortheidshalve verwijs ik u hiernaar. Op dit moment is het niet mogelijk de exacte kosten te berekenen van het stelsel. De bekostigingssystematiek, die zal worden neergelegd in een uitvoeringsregeling bij dit wetsvoorstel, zal interdepartementaal worden afgestemd en aan een uitvoeringstoets worden onderworpen.

8. Verhouding tot andere wetgeving

De leden van de GroenLinks-fractie zouden graag een nadere toelichting ontvangen over de verhouding tussen deze wet en de regelgeving op de BES-eilanden. Ook hebben deze leden de vraag hoe de relatie is tussen de voorgestelde wet en de Wet gebruik Friese taal.

Voor de betekenis van deze wet voor het Caribische deel van het Koninkrijk moge ik u verwijzen naar de toelichting bij de voorgestelde wijziging van de Paspoortwet, welk voorstel van Rijkswet bij uw kamer is ingediend (Kamerstukken 2018/2019, 35 047-R2108).

Het onderhavige wetsvoorstel laat de toepasselijkheid van de Wet gebruik Friese taal, die regels bevat met betrekking tot het gebruik van de Friese taal in het bestuurlijk verkeer en in het rechtsverkeer, onverlet.

9. Gevolgen voor burgers en bedrijven

De leden van de D66-fractie vragen of verduidelijkt kan worden wanneer iedereen in Nederland, die nu gebruik maakt van DigiD, op de hogere betrouwbaarheidsniveaus zou moeten kunnen inloggen en wat de planning is. Voorts vragen zij op welke wijze hier zorg voor wordt gedragen wanneer personen alleen een paspoort hebben en geen ID-kaart of rijbewijs. Ook vragen zij of er al meer bekend is over het totaalplaatje van de kosten die bij de burger komen te liggen voor het realiseren van DigiD niveau hoog en substantieel en of de regering hierbij ook de kosten van bijvoorbeeld de externe kaartlezer meeneemt. Voorts vragen de leden van de D66-fractie of de regering een maximumprijs zal hanteren die burgers moeten betalen aan een private partij voor het aanschaffen van een privaat middel.

Iedereen in Nederland kan inloggen op de hogere betrouwbaarheidsniveaus, als identificatiemiddelen op de niveaus substantieel en hoog breed beschikbaar zijn. DigiD-substantieel is reeds beschikbaar voor gebruikers van smartphones met NFC-lezer. Maatregelen om middelen op betrouwbaarheidsniveau substantieel breder toegankelijk te maken komen naar verwachting in de loop van 2020 beschikbaar. Verschillende maatregelen worden momenteel onderzocht, om te vermijden dat kaartlezers nodig zullen zijn. De kosten van de plaatsing van de chip met de betreffende functionaliteit op het e-rijbewijs en eNIK worden verrekend met de leges. De kosten van het gebruik van het middel worden niet doorberekend aan de burger. Daarnaast wordt gestreefd om een of meer private inlogmiddelen te verwerven die eveneens in de loop van 2020 beschikbaar komen. Bij een aanbod van verschillende inlogmiddelen hebben burgers vrijheid om de kosten van deze middelen mee te laten wegen bij hun keuze. Vooralsnog lijkt het daarom niet noodzakelijk om maximumprijzen te hanteren die burgers moeten betalen aan een private partij.

Het streven is ook om DigiD-hoog in 2020 beschikbaar te hebben op de nieuwe e-NIK. De bij uw kamer ingediende wijziging van de Paspoortwet biedt hiervoor de grondslag. Dit inlogmiddel werkt alleen in combinatie met een NFC-lezer (smartphone en desktop) en een nieuwe eNIK-kaart of nieuw e-rijbewijs en komt daarom vooralsnog niet breed beschikbaar. Vanwege het beperkte bereik kan slechts op kleinere schaal gestart worden met een lerende uitrol van middelen op niveau hoog. Het kabinet kiest er dan ook voor om middelen op niveau hoog in te zetten in de gebieden waar het noodzakelijk wordt geacht en de maatschappelijke en financiële baten daarvan opwegen tegen aanloopproblemen. Daarnaast wordt rekening gehouden met de beperkte beschikbaarheid doordat de diensten in die gebieden, die op de lange termijn nog uitsluitend toegankelijk zullen zijn met een middel op niveau hoog (zoals het zorgdomein), op basis van het wetsvoorstel voorlopig ook toegankelijk zijn met middelen op niveau substantieel, zodat gedurende deze periode maatregelen kunnen worden genomen om de beschikbaarheid uit te breiden.

10. Overgangsrecht en inwerkingtreding

Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.

11. Consultatie en advies Autoriteit Persoonsgegevens

Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.

II ARTIKELSGEWIJS

Artikel 9, tweede lid

De leden van de CDA-fractie constateren, naar aanleiding van het aspect betaalbaarheid, dat de burger zowel voor het publieke als het private middel moet betalen. De leden vragen of het juist is, dat die laatste prijsvorming door aanbesteding plaatsvindt en niet door marktwerking.

Zoals in paragraaf 9 is aangegeven, zullen burgers een privaat middel kunnen aanschaffen bij een private partij. Het staat deze partij vrij om burgers hiervoor te laten betalen. Bezien zal worden of het, om redenen van betaalbaarheid en brede beschikbaarheid voor burgers, opportuun is om een maximumprijs te hanteren als voorwaarde voor toelating van een privaat middel. Het is een mogelijkheid dat de overheid deze kosten (deels) voor haar rekening neemt om de aanschafprijs te matigen. Prijsstelling kan zowel in een aanbestedingsprocedure als in een systeem van open toelating (naar welke verwervingsstrategie mijn voorkeur uitgaat, zie paragraaf 3.3) van toepassing zijn; alsdan wordt de prijsvorming van private middelen niet volledig aan de markt overgelaten, maar worden er (maximum) tariefvoorschriften gesteld.

De leden van de CDA-fractie vragen of de ervaringen met de pilots, die hebben bijgedragen aan de keuze om in het wetsvoorstel de mogelijkheid van toelating van private middelen op te nemen en de toegang tot overheidsdienstverlening niet louter door publieke middelen te laten geschieden, betekenen dat de multi-middelenstrategie is losgelaten.

Zoals eerder in deze nota (zie onder meer de paragrafen 3.1 en 3.3) is aangegeven, is het wenselijk dat voor burgers, naast de beschikbaarheid van publieke middelen op verschillende betrouwbaarheidsniveaus, private alternatieven met een hoge dekkingsgraad beschikbaar komen. Dat is het doel, dat als effect zal hebben dat meerdere (multi)middelen beschikbaar zullen zijn.

De leden van de D66-fractie vragen of de noodzaak tot toelating van een privaat middel nu al bestaat vanwege het feit dat er slechts één identificatiemiddel is, en of, indien er één privaat middel is toegelaten, de noodzaak voor nóg een privaat middel dan niet meer aanwezig is.

Ik acht het, om redenen van brede beschikbaarheid, keuzeruimte voor burgers en inspelen op ontwikkelingen in de markt, gewenst dat naast publieke middelen tevens private middelen kunnen worden gebruikt om overheidsdiensten af te nemen. Ik ben daarom voornemens om niet langer een of enkele, maar zoveel mogelijk private middelen toe te laten en mijn verwervingsstrategie terzake aan te passen (zie paragraaf 3.3). Vanzelfsprekend mag en zal dit niet ten koste gaan van de veiligheids- en betrouwbaarheidseisen.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops

Naar boven