35 885 EU-voorstel voor een verordening inzake de Europese digitale identiteit

F VERSLAG VAN EEN NADER SCHRIFTELIJK OVERLEG

Vastgesteld 8 april 2022

De vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning1 heeft in haar vergadering van jongstleden dinsdag 21 december beraadslaagd over het verslag van een nader schriftelijk overleg van 29 november over het Voorstel voor een verordening inzake Europese digitale identiteit COM(2021)281 en haar leden de gelegenheid gegeven tot het stellen van nadere vragen. De leden van de fracties van GroenLinks en PvdA gezamenlijk, en de leden van de fracties van PVV en PvdD hebben van de geboden mogelijkheid gebruikgemaakt.

Naar aanleiding hiervan is op 23 december 2021 een brief gestuurd aan de toenmalige Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.

De huidige Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties heeft op 7 april 2022 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde nader schriftelijk overleg.

De griffier van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning, Bergman

BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR BINNENLANDSE ZAKEN EN DE HOGE COLLEGES VAN STAAT / ALGEMENE ZAKEN EN HUIS DER KONING

Aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties

Den Haag, 23 december 2021

De vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning heeft in haar vergadering van jongstleden dinsdag 21 december beraadslaagd over het verslag van een nader schriftelijk overleg van 29 november over het Voorstel voor een verordening inzake Europese digitale identiteit COM(2021)281 en haar leden de gelegenheid gegeven tot het stellen van nadere vragen. De leden van de fracties van GroenLinks en PvdA gezamenlijk, en de leden van de fracties van PVV en PvdD hebben van de geboden mogelijkheid gebruikgemaakt.

Vragen en opmerkingen van de leden van de fracties van GroenLinks en PvdA gezamenlijk

In het verslag van een nader schriftelijk overleg2 schrijft u dat het risico bestaat dat partijen gegevens verwerken op een wijze die niet is toegestaan, maar dit risico wordt door de voorgestelde voorschriften in het voorstel van de Commissie of in de Wet digitale overheid niet groter of kleiner. Kunt u dit nader duiden, gezien juist door middel van nationale en Europese wetgeving nieuwe digitale identificatiemiddelen in het leven worden geroepen en daarmee het risico kan worden verhoogd? En betekent de uitwisselbaarheid inzake toelating dat in de Europese verordening alle in de lidstaten ontwikkelde en toegelaten inlogmiddelen, toegang moeten geven tot overheidsdiensten of is het mogelijk om restrictiever te zijn als het gaat om overheidsdiensten?

Doelbinding en dataminimalisatie zijn en blijven uitgangspunten, schrijft u. Heeft Nederland dezelfde interpretatie inzake doelbinding en dataminimalisatie als de EU? Gaat de regering deze uitgangspunten ook materialiseren in de implementatie van de Europese verordening en aanpalend de Wet digitale overheid? En zo ja, hoe wordt er gecontroleerd dat dit ook daadwerkelijk gebeurt bij de private aanbieders?

U geeft aan dat er momenteel alleen wordt gewerkt aan een systeem van toegang (inloggen/identificatie) en autorisatie (vertegenwoordiging/machtiging), maar dat we uiteindelijk naar een systeem toe moeten waarin ook de overige waarborgen, zoals veilige attributen en gegevensdeling geborgd moeten zijn. Onder andere de eIDAS-revisie ziet hierop toe. Kunt u uitgebreider ingaan op waarom deze keus is gemaakt? Hadden de overige waarborgen niet al in het initiële voorstel moeten zitten, zoals dat ook in het Europese voorstel het geval is? Waarom is dit niet meteen gedaan? Zijn volgens de regering veilige attributen en gegevensdeling inherent aan identificatie en autorisatie en een veilige werking daarvan?

U schrijft dat lidstaten meer dan één wallet kunnen introduceren en dat deze wallets volgens het voorstel zowel door overheden, door bedrijven als in publiek-private samenwerking kunnen worden uitgegeven. «Ik verken op dit moment de mogelijkheden en ik heb hierin nog geen keuze gemaakt», zo schrijft u.3 Hoe verhoudt deze uitspraak zich tot de behandeling van de Wet digitale overheid en de novelle? Wanneer verwacht u een reactie van de Raadswerkgroep Telecom inzake het verhandelverbod van (meta)data?

Vragen en opmerkingen van de leden van de fractie van PVV

In uw beantwoording in het verslag van een nader schriftelijk overleg stelt u: «Echter een verplichting om daarvan gebruik te maken bevat het voorstel niet. Ditzelfde geldt voor het gebruik maken van publieke dienstverlening in Nederland: voor wie dat niet digitaal kan of liever niet wil, blijft een niet digitaal alternatief voorhanden.».4 Kunt u nader duiden op welke wijze een niet digitaal alternatief vorm zal krijgen?

Verder stelt u in de beantwoording: «Het voorstel voor een raamwerk voor een Europese Digitale Identiteit beoogt geen regeling van het coronatoegangsbewijs. In het voorstel heeft de Commissie in Bijlage VI opgenomen een minimale lijst van attributen die lidstaten uit authentieke bronnen ter beschikking zouden moeten stellen voor gebruik in wallets. In deze lijst zijn medische gegevens niet opgenomen.».5 In een presentatie over het European Digital Identity Framework voor het Beneluxparlement gaf de Policy Officer at European Commission (DG CONNECT), de heer Stefan Bogdan, onlangs desgevraagd aan dat het gebruik van het coronatoegangsbewijs in het eID bij uitstek «the purpose» is.6 Kunt u aangeven hoe de beantwoording over het gebruik van het coronatoegangsbewijs in het eID zich verhoudt tot de uitspraak van deze direct bij de ontwikkeling betrokken spreker namens de Europese Commissie? Kunt u uitsluiten dat het coronatoegangsbewijs in een latere fase alsnog onderdeel kan worden van het eID, bevat het voorstel daartoe (wettelijke) waarborgen?

Op de website van de Europese Commissie over de Europese digitale identiteit wordt gesteld dat deze ook kan worden ingezet voor medische certificaten: «The European Digital Identity can be used for any number of cases, for example: public services such as requesting birth certificates, medical certificates, reporting a change of address.».7 Kunt u aangeven hoe de beantwoording dat de Europese digitale identiteit niet gericht is op medische gegevens zich verhoudt tot deze door de Europese Commissie aangeduide inzet op «medical certificates»? Kunt u tevens aangeven in hoeverre zulke «medical certificates» dan ook het coronatoegangsbewijs en het Europees coronacertificaat betreffen?

Vragen en opmerkingen van de leden van de fracties van PvdD

In het verslag van een nader schriftelijk overleg stelt u op pagina 6 het volgende: «Er is een toenemende maatschappelijke behoefte om digitaal met elkaar zaken te doen. Zowel burgers en bedrijven met de overheid, als burgers en bedrijven onderling. Dat is de primaire reden waarom de behoefte aan digitale identificatie toeneemt en bedrijven daarom zullen vragen. Tevens bestaat de behoefte om dat veilig en betrouwbaar te kunnen doen. De digitale identiteit vult deze behoefte in. En op het moment dat een veilige digitale identiteit ter beschikking wordt gesteld, zal dat vermoedelijk in zichzelf ook een aanjager zijn om meer zaken digitaal met elkaar te regelen. Dat is ook nadrukkelijk het doel dat met digitale identiteit voor ogen staat.».8

Kunt u uitleggen waar nu de problemen zich voordoen in het digitaal met elkaar zaken doen? Waar gaat het mis? En wie hebben aan de bel getrokken en gevraagd om een digitale identiteit, zo vragen de leden van de fractie van PvdD.

In Follow the money is een artikel verschenen onder de titel «Wetenschappers waarschuwen voor een nieuwe digitale identiteit». 9

Wat is de reactie van de regering op de inhoud van dat artikel? Kunt u in uw reactie in het bijzonder ingaan op de waarschuwing van de directeur van Privacy First dat «het einde van anonimiteit een ramp zou zijn» voor journalisten en activisten. En de in dat artikel betrokken stelling: «eigenlijk moet iedere burger zich anoniem in de openbare ruimte kunnen begeven, kunnen winkelen, zijn mening kunnen uiten. Anders krijg je het «chilling effect», een onbewust psychologisch gevoel dat optreedt wanneer mensen zich bespied wanen, als ze niet langer vrij en anoniem transacties kunnen doen, naar de horeca kunnen gaan, kunnen reizen.»

Is de regering nagegaan in hoeverre er een lobby heeft plaatsgevonden voor het ontwikkelen van een digitale identiteit? Zo nee, ziet u na lezing van het artikel in Follow the money aanleiding om dat alsnog te laten onderzoeken? Zo nee, op welke gronden oordeelt de regering dat dat niet nodig is? Zo ja, op welke termijn kunt u de Kamer informeren omtrent de resultaten van het onderzoek?

De commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning ziet met belangstelling uit naar uw reactie en ontvangt deze graag binnen vier weken na dagtekening van deze brief.

Voorzitter van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis der Koning, B.O. Dittrich

BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 7 april 2022

Hierbij bied ik u aan de beantwoording van de vragen van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning, naar aanleiding van het Voorstel voor een verordening inzake Europese digitale identiteit COM(2021)281, die zijn ingediend bij brief van 23 december 2021.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties, A.C. van Huffelen

Beantwoording door de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van de vragen van 23 december 2021 van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning van de Eerste Kamer der Staten-Generaal naar aanleiding van het voorstel van de Europese Commissie voor een verordening inzake Europese digitale identiteit (COM(2021)281).

Vragen en opmerkingen van de leden van de fracties van GroenLinks en PvdA gezamenlijk

De leden van de GroenLinks- en PvdA-fracties vragen mij of ik nader kan duiden of nieuwe digitale identificatiemiddelen die in het leven worden geroepen door middel van nationale en Europese wetgeving het risico verhogen dat partijen gegevens verwerken op een wijze die niet is toegestaan. Tevens vragen de leden of de uitwisselbaarheid inzake toelating betekent dat in de Europese verordening alle in de lidstaten toegelaten inlogmiddelen toegang moeten geven tot overheidsdiensten. Daarnaast vragen deze leden of Nederland dezelfde interpretatie heeft inzake doelbinding en dataminimalisatie als de Europese Unie. Gaat de regering deze uitgangspunten ook materialiseren in de implementatie van de Europese verordening en aanpalend de Wet digitale overheid? En zo ja, hoe wordt er gecontroleerd dat dit ook daadwerkelijk gebeurt bij de private aanbieders?

Zoals ook in de hoofdlijnenbrief digitalisering aangegeven zie ik het als een cruciale voorwaarde voor een sterk digitaal fundament in onze samenleving dat burgers in de digitale wereld autonoom kunnen zijn en zelf kunnen beschikken over hun eigen data en identiteit.10 Om dit mogelijk te maken hebben we aangegeven te werken aan een breed bruikbare digitale identiteit die burgers kunnen gebruiken om zich veilig te identificeren en meer regie te voeren over de eigen gegevens zonder dat er iemand over de schouders meekijkt, vergelijkbaar met het gebruik van een paspoort in de fysieke wereld. Dit maatschappelijke doel zal wat mij betreft vorm krijgen in de vorm van een digitale identiteit wallet die alle Nederlanders kunnen, maar niet hoeven, gebruiken. Over de voortgang van dit streven en de Nederlandse inzet op het Europese digitale identiteit raamwerk zal ik voor de zomer de Tweede Kamer der Staten-Generaal informeren.

Dan uw vragen. Allereerst geldt de Algemene Verordening Gegevensbescherming (AVG)11 voor iedere organisatie, publiek of privaat, die gegevens verwerkt en dus ook voor aanbieders van inlogmiddelen en wallets. Daarnaast beogen zowel het voorstel Wet digitale overheid (Wdo) als het voorstel van de Commissie genoemd risico te beperken dat partijen gegevens verwerken op een wijze die niet is toegestaan. In beide voorstellen zijn voorschriften opgenomen die zien op een verhandelverbod van gegevens en op «privacy by design».12 Het verhandelverbod regelt dat aanbieders van middelen de persoonsgegevens die zijn verkregen voor het doel van online authenticatie en toegang tot dienstverlening niet mogen gebruiken voor andere doeleinden. Privacy by design houdt in dat aanbieders van middelen bij het ontwerpen van informatiesystemen en nieuwe producten zoveel mogelijk rekening houden met de bescherming van persoonsgegevens. Door deze voorschriften in de voorstellen op te nemen kan hierop expliciet gecontroleerd worden. Het regelen van toezicht op naleving van de aankomende herziening van de eIDAS verordening, zal plaatsvinden in de tweede tranche van de Wdo.

De herziene eIDAS verordening gaat uit van het principe van wederzijdse erkenning. Dit houdt in dat gecertificeerde inlogmiddelen uit andere lidstaten in de hele EU, zonder onderscheid, gebruikt moeten kunnen worden bij alle diensten, publiek en privaat, die onder de verordening vallen. Dit verschilt niet van de huidige eIDAS verordening, waarin dit principe reeds gehanteerd wordt.

De leden van de GroenLinks- en PvdA-fracties vragen mij ook waarom de keuze is gemaakt om momenteel eerst te werken aan een systeem van toegang en autorisatie, terwijl we uiteindelijk toe moeten naar een systeem waarin ook andere waarborgen, zoals veilige attributen en gegevensdeling, geborgd moeten zijn. Ook wijzen zij erop of deze waarborgen niet in het initiële voorstel hadden moeten zitten en waarom dit niet meteen is gedaan. Aansluitend vragen zij of veilige attributen en gegevensdeling inherent zijn aan identificatie en autorisatie en een veilige werking daarvan.

Het voorstel Wet digitale overheid dat tevens uitvoering geeft aan de eIDAS verordening (910/2014) regelt veilig inloggen door burgers en bedrijven bij publieke dienstverleners. Ik hanteer in dit domein een benadering waarin we zaken stap voor stap organiseren. Na het regelen van inloggen is de volgende stap het veilig delen van geverifieerde gegevens (attributen) onder regie van burgers en bedrijven. Dit is onderdeel van de voorgestelde eIDAS-revisie en van de beoogde tweede tranche van de Wdo. In zowel de eerste tranche Wdo als in de tweede tranche wordt geregeld dat gegevens (attributen) langs veilige weg verstrekt kunnen worden. Het verschil zit niet in de wijze waarop de waarborgen geregeld zijn, deze worden altijd geborgd, maar in de reikwijdte van de mogelijkheden die er zijn om, onder eigen regie, langs digitale weg zaken te regelen.

Veilige attributen en gegevensdeling zijn uiteraard verbonden aan veilige identificatie en autorisatie. In die zin dat zonder dat duidelijk is dat iemand echt is wie hij zegt dat hij is (identificatie) en dat hij mag wat hij zegt dat hij mag (autorisatie) ook geen sprake kan zijn van veilige gegevensdeling van betrouwbare attributen door die persoon.

De leden van de GroenLinks- en PvdA-fracties vragen mij hoe de nog te maken keuze voor het uitgeven van (een) wallet(s) door overheden, bedrijven of in publiek-private samenwerking zich verhoudt tot de behandeling van de Wet digitale overheid en de novelle. De leden vragen eveneens wanneer ik een reactie verwacht van de Raadswerkgroep Telecom inzake het verhandelverbod van (meta)data.

De te maken keuze zal in lijn behoren te zijn met de Wdo die alle bovengenoemde opties voor het uitbrengen van een wallet toestaat. De uiteindelijke wijze waarop de wallet wordt uitgegeven is een (aparte) beleidskeuze die gemaakt zal worden na nader onderzoek en consultatie van stakeholders. Verder heeft het Franse voorzitterschap de lidstaten in de Raadswerkgroep Telecom in de gelegenheid gesteld om schriftelijk commentaar te leveren op het voorstel van de Commissie. De door mij gewenste formulering van het verhandelverbod is ambtelijk ingebracht.

Vragen en opmerkingen van de leden van de fractie PVV

De leden van de PVV hebben mij gevraagd te duiden op welke wijze een niet digitaal alternatief van de wallet vorm zal krijgen. Ook vragen zij of ik kan aangeven hoe de beantwoording over het gebruik van het coronatoegangsbewijs in het eID zich verhoudt tot de uitspraak van een spreker van de EC dat «»het gebruik van het coronatoegangsbewijs in het eID bij uitstek het doel is.»» Daarnaast vragen de leden van de fractie van de PVV mij of ik kan uitsluiten dat het coronatoegangsbewijs in een latere fase alsnog onderdeel kan worden van het eID, en of ik kan aangeven hoe de beantwoording dat de Europese Digitale Identiteit niet gericht is op medische gegevens zich verhoudt tot de door de EC aangeduide inzet op «medical certificates».

Voor mensen die niet willen of onvoldoende in staat zijn om online transacties te verrichten met publieke dienstverleners, zal een niet-digitaal alternatief beschikbaar blijven.

In mijn beantwoording ga ik uit van het voorstel zelf dat nu in onderhandeling is en niet op uitspraken van medewerkers van de Commissie of op communicatie op de website van de Commissie. Het voorstel voor herziening van de eIDAS verordening beoogt dat burgers de digitale wallet kunnen gebruiken om zich veilig en betrouwbaar, online en offline, te kunnen identificeren en authenticeren in diverse sectoren, waaronder de gezondheidszorg. Het voorstel bevat een minimale lijst van attributen die in de wallet opgenomen zouden moeten worden. Deze minimale lijst bevat geen attributen met medische gegevens. Het is aan de lidstaten zelf om te bepalen of medische gegevens opgenomen zullen kunnen worden in de minimale lijst bij het voorstel of in een nationale wallet.

Vragen en opmerkingen van de leden van de fractie PvdD

De leden van de fractie van PvdD vragen mij of ik kan uitleggen waar de problemen zich voordoen in het digitaal met elkaar zaken doen. Ook vragen zij mij wie aan de bel hebben getrokken en hebben gevraagd om een digitale identiteit. Daarnaast vragen zij wat de reactie van de regering is op de inhoud van het Follow the Money artikel met de titel «Wetenschappers waarschuwen voor een nieuwe digitale identiteit», en of ik kan ingaan op de waarschuwingen in het artikel.

Op 12 oktober 2021 informeerde ik de Tweede Kamer der Staten-Generaal uitgebreid over de voortgang op het domein digitale toegang.13 Hierin heb ik eveneens de ontwikkelingen op het domein digitale identiteit meegenomen. Belangrijk is voor mijn beleid dat ik zorgdraag voor een toegankelijke digitale overheid, voor burgers en bedrijven in Nederland en in de EU. Voor burgers die niet digitaal zaken kunnen of willen doen, blijft analoge dienstverlening beschikbaar via de balie of telefoon. Voor een uitgebreidere visie op dit domein verwijs ik ook naar de visiebrief digitale identiteit die in februari 2021 naar de Tweede Kamer is gestuurd14. Deze geeft inzicht in de stappen die ik wil zetten op dit terrein in aanvulling op de ontwikkelingen in Europa.

Mij is niet medegedeeld wie allemaal aan de bel zou hebben getrokken en gevraagd hebben om een digitale identiteit. In elk geval heeft de Europese Raad in haar conclusies van 2 oktober 2020 de Commissie gevraagd om te komen met een voorstel zoals de Commissie dit heeft gepubliceerd. Ik verwijs verder naar mijn uitgebreide reactie op het artikel van «Follow the Money» aan de Tweede Kamer der Staten-Generaal.15 Kern hiervan is dat persoonsgegevens van burgers geen handelswaar mogen zijn van aanbieders van digitale identiteitsmiddelen en dat daarvoor afdoende waarborgen getroffen zijn en worden in de Wet digitale overheid en in de herziening van de eIDAS-verordening. Daarin is opgenomen dat gebruiks- en gebruikersgegevens niet gebruikt mogen worden voor andere doeleinden dan voor de veilige uitgifte van inlogmiddelen en het inloggen daarmee.

De leden van de fractie van PvdD vragen mij tot slot of de regering is nagegaan in hoeverre er een lobby heeft plaatsgevonden voor het ontwikkelen voor een digitale identiteit, en of ik een aanleiding zie om dat te laten onderzoeken.

Ik zie geen aanleiding om een eventuele lobby te laten onderzoeken. De Europese Commissie heeft het voorstel ingediend in lijn met haar agenda 2030 op verzoek van de Raad van Ministers [Raadsconclusies, 1 en 2 oktober 202016]. In mijn antwoord aan de Tweede Kamer der Staten-Generaal heb ik voorts vermeld dat in het opstellen van de Nederlandse lijn ten aanzien van het voorstel voor het Raamwerk voor een Europese digitale identiteit op onafhankelijke wijze is gebeurd.


X Noot
1

Samenstelling:

Kox (SP), Ganzevoort (GL), De Boer (GL), Van Hattem (PVV), Pijlman (D66), Rombouts (CDA), Schalk (SGP), Koole (PvdA), Klip-Martin (VVD), Baay-Timmerman (50PLUS), Bezaan (VVD), Van den Berg (VVD), Crone (PvdA), Dittrich (D66) (voorzitter), Doornhof (CDA), Frentrop (Fractie-Frentrop), Meijer (VVD), Nicolaï (PvdD) (ondervoorzitter), Rietkerk (CDA), Rosenmöller (GL), De Vries (Fractie-Otten), Keunen (VVD), Van der Linden (Fractie-Nanninga), Van Pareren (Fractie-Nanninga), Raven (OSF) en Talsma (CU).

X Noot
2

Kamerstukken I 2021/22, 35 885, E .

X Noot
3

Kamerstukken I 2021/22, 35 885, E, p. 8.

X Noot
4

Kamerstukken I 2021/22, 35 885, E, p. 9.

X Noot
5

Idem.

X Noot
6

Hoorzitting over «Digitale Benelux – online identiteit» in de commissie «Grensoverschrijdende Samenwerking» van 26 november 2021.

X Noot
8

Kamerstukken I 2021/22, 35 885, E, p. 6.

X Noot
9

Via www.ftm.nl

X Noot
10

Kamerstukken II, 2021–2022, «Hoofdlijnenbrief beleid voor digitalisering» (verzonden 8 maart 2022).

X Noot
11

Verordening (EU) 2016/679

X Noot
12

In de novelle die nu behandeld wordt in de Staten-Generaal, heb ik in lijn met het voorstel van de Commissie, eisen gesteld ter bescherming van privacy, zoals een verhandelverbod van gegevens en regeling van «privacy by design». Zie: Kamerstukken I, 2020–2021, 35 868 (Novelle wet digitale overheid). Het toetsingscriterium in de novelle dient ter versterking van dit verbod op wetsniveau. Zie ook: Kamerstukken II, 2020–2021, 26 643, nr. 745 (Ontwerpbesluit identificatiemiddelen voor burgers Wdo).

X Noot
13

Kamerstukken II, 2020–2021, 26 643, nr. 788 (Voortgangsrapportage Domein Toegang)

X Noot
14

Kamerstukken II, 2020–2021, 26 643, nr. 743 (Visiebrief Digitale Identiteit)

X Noot
15

Kamerstukken II, 2021–2022, 1641 (Antwoord Staatssecretaris van BZK op vragen lid Leijten)

Naar boven