De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 9 juli 2021 over het Fiche: Verordening Raamwerk Europese Digitale Identiteit (Kamerstuk 22 112, nr. 3161).

De vragen en opmerkingen zijn op 23 september 2021 aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 29 november 2021 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie, Bosma

De adjunct-griffier van de commissie, Verhoev

Inhoudsopgave		blz.
I	Vragen en opmerkingen vanuit de fracties	2
	Vragen en opmerkingen van de leden van de VVD-fractie	2
	Vragen en opmerkingen van de leden van de D66-fractie	0
	Vragen en opmerkingen van de leden van de PVV-fractie	0
	Vragen en opmerkingen van de leden van de CDA-fractie	0
	Vragen en opmerkingen van de leden van de SP-fractie	0
II	Antwoord/ reactie van de Minister	0

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het fiche inzake Verordening Raamwerk Europese Digitale Identiteit. Graag willen deze leden een aantal opmerkingen maken en het kabinet een aantal vragen stellen. Met het kabinet zijn zij positief over het initiatief van de Europese Commissie om de digitale interne markt te versterken met het voorstel voor elektronische identiteiten en elektronische vertrouwensdiensten. Het is een goede zaak, zo menen zij, dat burgers straks hun identiteit kunnen bewijzen en elektronische documenten vanuit hun Europese digitale portemonnees voor digitale identiteit kunnen delen via hun smartphone. Hierbij moet nadrukkelijk ook aandacht zijn voor diegenen die digitaal niet zo vaardig zijn, zo menen deze leden. Hoe zorgt Nederland ervoor dat ook zij aangesloten blijven? Wat is daarbij de inzet van het kabinet? Gaarne krijgen zij hierop een reactie.

De gevolgen van de Europese Digitale Identiteit voor de uitvoeringsorganisaties en de medeoverheden zullen groot zijn. Deze organisaties zullen vele aanpassingen in hun systemen moeten doen. In hoeverre zijn deze hierbij betrokken?

Met betrekking tot de aangeboden e-wallets hebben de leden van de VVD-fractie de volgende vragen. Hoe ver is de techniek om vanuit de Basisregistratie Personen (BRP) de e-wallet te kunnen laden? Zullen e-wallets door private partijen én ook de overheid worden aangeboden? Wat zegt het voorstel van de Commissie daarover? Waar gaat de voorkeur van het kabinet naar uit? Wil het kabinet alleen door private partijen aangeboden e-wallets? Als dat het geval is, hoe verhoudt dat zich dan tot het wetsvoorstel Wet digitale overheid dat momenteel in de Eerste Kamer in behandeling is? Daarin staat namelijk dat de wet verplicht tot een publiek eID-middel, naast eventuele private eID-middelen? Ingevolge dat wetsvoorstel moet er altijd een publiek middel zijn. Graag krijgen deze leden een reactie van het kabinet.

Voor de leden van de VVD-fractie zijn ook de veiligheids-en de privacyaspecten belangrijk. Die aspecten moeten in het algemeen goed zijn geregeld. In dat kader vragen deze leden of straks ook e-wallets van buiten de EU/EER kunnen c.q. mogen worden aangeboden. Hoe wordt dan toegezien op de veiligheids- en privacyaspecten, zo vragen zij.

Het kabinet verwelkomt het voorstel, zo valt te lezen in het fiche, maar is terughoudend wat betreft de reikwijdte, impact en uitvoerbaarheid van het voorstel. Waarom is het kabinet terughoudend wat betreft de reikwijdte van het voorstel, zo vragen de leden van de VVD-fractie. De uitvoerbaarheid van het voorstel, zeker in relatie tot het tijdpad, lijkt deze leden niet eenvoudig. Het zal voor de lidstaten van de EU niet gemakkelijk zijn om dit voor elkaar te krijgen. Hoe ziet het kabinet dat? Gaarne krijgen deze leden een reactie.

Wat zijn de gevolgen van het voorstel voor bedrijven, zo vragen de leden van de VVD-fractie.

Het kabinet geeft aan het toezicht op aanbieders van middelen en gegevens en op dienstverleners in de publieke en private sector te harmoniseren. Hoe ziet het kabinet dat voor zich? Welke eisen worden daaraan vanuit Europa gesteld? Welke kosten worden verwacht met betrekking tot het toezicht? Gaarne krijgen de leden van de VVD-fractie een reactie van het kabinet.

De invoering van het Europese systeem voor Digitale identiteit gaat gepaard met hoge kosten. Wanneer wordt daar in de diverse begrotingen rekening mee gehouden en worden daar gelden voor gereserveerd? Gaarne krijgen de leden van de VVD-fractie een reactie. Los van deze vraag krijgen deze leden graag meer inzicht in de kosten van het ontwikkelen van de e-wallet. Voor wiens rekening komen die kosten, zo vragen zij.

De invoering vraagt daarnaast van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) om de generieke digitale infrastructuur die nodig is voor deze digitale identiteit te ontwikkelen, beheren en exploiteren. Kan het kabinet aangeven in hoeverre het ministerie hier klaar voor is of wat het nodig heeft om dit te realiseren?

Met deze wetswijziging worden browserleveranciers verplicht om Europese standaarden voor betrouwbaarheid te accepteren. In beginsel snappen de leden van de VVD-fractie deze wijziging en verplichting. Hoe ziet het kabinet dit voor zich in geval van een opdoemend veiligheidsrisico waarbij snel handelen wellicht gewenst is om de veiligheid van het internet te garanderen? Hoe ziet het kabinet het afdwingen van Europese standaarden voor zich bij open source browsers?

Tot slot vragen de leden van de VVD-fractie hoe, na de introductie van de e-wallet, wordt omgegaan met nieuwe technische ontwikkelingen die leiden tot nieuwe e-wallets. Hoe lang zal het duren voordat een private aanbieder een nieuwe e-wallet daadwerkelijk mag aanbieden? Moet binnen een bepaalde termijn toestemming door de Europese Commissie worden gegeven? Graag krijgen deze leden meer inzicht in dit proces.

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben kennisgenomen van de BNC-fiches met betrekking tot de Verordening Raamwerk Europese Digitale Identiteit. Deze leden hebben nog enkele vragen.

De leden van de D66-fractie lezen dat de herziening van de verordening een verplichting voor browserleveranciers stelt om gekwalificeerde certificaten van websiteauthenticatie te accepteren. Deze leden vragen het kabinet toe te lichten hoe dit in de praktijk gecontroleerd gaat worden. Acht het kabinet dat dit effectief mogelijk is?

De leden van de D66-fractie verwelkomen het expliciete verbod in artikel 6a voor het onnodig verzamelen van gegevens over het gebruik van de wallet. Is de scheiding tussen het gebruik van gegevens voortkomend uit het gebruik van de wallet en gegevens voortkomend uit de gebruikmakende diensten zelf volgens het kabinet scherp genoeg vastgelegd?

De leden van de D66-fractie constateren dat de eIDAS-verordening op bepaalde punten raakt aan de huidige Wet Digitale Overheid (Wdo), die nu in behandeling is in de Eerste Kamer. Deze leden vragen het kabinet toe te lichten hoe eventuele conflicten, zoals over het aanbieden van publieke identificatiemiddelen, tussen de Wdo en het EU-voorstel opgelost kunnen worden, en of op welke wijze de Wdo verwacht aangepast te moeten worden. Wat zijn de gevolgen voor DigiD en eHerkenning?

De leden van de D66-fractie constateren dat de uitvoering van deze verordening in een hoog tempo wordt voorgesteld. Deze leden vragen het kabinet toe te lichten of er voldoende ruimte wordt gegeven om deze nieuwe regelgeving binnen nationale digitaliseringstrajecten te realiseren. Daarnaast vragen zij zich af of de interoperabiliteit tussen dit voorstel en de systemen van de uitvoeringsorganisaties, zoals bijvoorbeeld het stel van basisregistraties, in Nederland voldoende wordt bekeken. Welke onderdelen ziet het kabinet hier als grootste uitdagingen?

De leden van de D66-fractie constateren dat nationale certificering op basis van Europese standaarden mogelijk wordt. Deze leden vragen het kabinet hoe het toezicht er volgens hen uit moet gaan zien.

De leden van de D66-fractie lezen dat de verordening van de Commissie constateert dat elke lidstaat de plicht krijgt om tenminste een «European Digital Identity Wallet» te introduceren. Daarnaast constateren deze leden dat de verordening voorstelt een aantal digitale attributen via elektronische attestaties in de wallet beschikbaar te maken. Zij horen graag of het kabinet ook graag ziet dat, naast de elektronische identificatie, gelinkte attributen, zoals kwalificaties, bevoegdheden en digitale documenten mogelijk in de toekomst aan de wallet kunnen worden gekoppeld. Zijn er al concrete voorstellen welke onderdelen straks bij de wallet moeten kunnen? Welke attributen ziet het kabinet het liefst terug? Zijn er ook onderdelen die het kabinet geen onderdeel wil laten zijn van de wallet maar andere lidstaten wel?

De leden van de D66-fractie constateren dat de verordening inhoudt dat elke lidstaat verplicht een European Digital Identity Wallet moet introduceren. Deze leden vragen het kabinet toe te lichten of dit impact zal hebben op ons huidige systeem van gegevensuitwisseling binnen de overheid. Zo ja, op welke manier precies en om welke systemen gaat het hier? Zij maken zich zorgen over de uitvoerbaarheid voor bijvoorbeeld gemeenten. Hoe worden gemeenten en andere organisaties hierbij ondersteund?

De leden van de D66-fractie horen graag van het kabinet waarom de wallet straks enkel via een app op smartphones kan werken, nu dit ertoe kan leiden dat mensen vastzitten aan een beperkte keuze in besturingssystemen, veelal van Amerikaanse techreuzen. Hoe kijkt het kabinet hier tegen aan? Zijn er andere opties mogelijk? Wat betekent de introductie van de e-ID voor mensen die geen e-ID willen? Hoe wordt gewaarborgd dat deze mensen geen nadelige behandeling krijgen?

De leden van de D66-fractie vragen het kabinet hoe gekeken wordt naar het feit dat iedere lidstaat op een andere manier de ontwikkelingen van de digitale identiteit organiseert, zoals het alleen toelaten van publieke ontwikkeling, of door middel van het aanwijzen van één specifieke sector in de ontwikkeling. Voorziet het kabinet problemen bij de uiteenlopende benadering van lidstaten?

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van de stukken en willen het kabinet nog enkele vragen voorleggen.

De leden van de PVV-fractie vragen het kabinet uit welke gegevens, onderzoeken of enquêtes blijkt dat de meerderheid van de Nederlanders zit te wachten op dit EU-voorstel inzake een Europees kader voor digitale identiteit of op een Europese Digitale Identiteit.

De leden van de PVV-fractie vragen het kabinet op welke wijze de Europese Unie de privacy van de Nederlander kan schaden door via de invoering van de Europese Digitale Identiteit persoonlijke gegevens te kunnen inzien.

De leden van de PVV-fractie vragen het kabinet hoe er sprake kan zijn van een Europese Digitale Identiteit, als er niet eens sprake is van een Europese identiteit.

De leden van de PVV-fractie vragen het kabinet of het direct of indirect verplicht zal gaan worden gebruik te gaan maken van de Europese Digitale Identiteit. Blijft dit optioneel, of vervangt dit binnenkort andere dienstverlening waardoor men hier wel gebruik van zal gaan moeten maken?

De leden van de PVV-fractie vragen het kabinet of zij van mening is dat de Europese Commissie de macht van de grote techreuzen wil verkleinen, zodat zij zelf die macht op zich kan nemen.

De leden van de PVV-fractie vragen het kabinet wat de implementatie van de Europese Digitale Identiteit Nederland zal gaan kosten.

De leden van de PVV-fractie vragen het kabinet of er enige relatie met het vaccinatiepaspoort bestaat, zoals ingevoerd met het oog op corona.

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de fiche: Verordening Raamwerk Europese Digitale Identiteit. Deze leden hebben over deze fiche een aantal vragen.

De leden van de CDA-fractie constateren dat de regering al van plan was onderwerpen als een eID-wallet te regelen in de tweede tranche van de Wet digitale overheid. Die wet ziet echter alleen op het verkeer tussen burgers en overheden en het verkeer tussen bedrijven en overheden. De aanpassing van de verordening zorgt voor een verbreding van de reikwijdte naar transacties in het private domein. Voor dat laatste is aanvullende nationale uitvoeringsregelgeving nodig. Zal de private sector in de tweede tranche onder de kaders van de Wdo worden gebracht of wordt hierin voorzien met een afzonderlijke wet, zo vragen deze leden.

De leden van de CDA-fractie constateren dat elke lidstaat de plicht krijgt om tenminste één European Digital Identity Wallet te introduceren. Deze leden vragen of dat niet tot enorme wildgroei aan wallets gaat leiden die allemaal met elkaar verbonden moeten worden. Welke voordelen heeft het apart introduceren van digitale wallets per lidstaat ten opzichte van het introduceren van één systeem, zo vragen deze leden.

De leden van de CDA-fractie constateren dat de Wdo al de toelating van private eID-middelen regelt. De wallet is daarmee onlosmakelijk verbonden. Deze leden vragen of de toelating van private eID-wallets kan plaatsvinden onder dezelfde regels als vastgelegd in de Wdo. Zo niet, welke onderwerpen dienen aanvullend in een tweede tranche geregeld te worden? Wat is de impact van de wallet op de veertien onderliggende besluiten en regelingen bij de eerste tranche van de Wdo?

De leden van de CDA-fractie constateren dat de eIDAS-verordening eisen bevat voor persoonsidentificatiemiddelen. Deze leden vragen in hoeverre ingrijpende wijzigingen in de uitvoeringsrichtlijnen zijn te verwachten wanneer de set van attributen, bevoegdheden, kwalificaties, enzovoort wordt uitgebreid. Is er een begrenzing aan de data die onderdeel kunnen zijn van een wallet of zouden in theorie ook medische gegevens hiervan onderdeel kunnen uitmaken?

De leden van de CDA-fractie vragen hoe de eIDAS-verordening moet worden bezien in verband met de al vigerende Algemene verordening gegevensbescherming (AVG) en de nog vast te stellen verordening over kunstmatige intelligentie. Beide verordeningen zullen van grote invloed zijn op alle digitale toepassingen, waaronder digitale «wallets», zo signaleren deze leden. In hoeverre wordt bij andere verordeningen rekening gehouden met de ophanden zijnde verordening over kunstmatige intelligentie, zo vragen zij.

De leden van de CDA-fractie constateren dat de aanpassing van de verordening ziet op een verbreding van het gebruik naar het private domein. Deze leden vragen hoe dit zich verhoudt tot het nog bij novelle te regelen verhandelsverbod. Wordt het delen van persoonsgegevens in ruil voor de levering van digitale inhoud of diensten, waarvoor consumentenbescherming wordt vastgelegd in de Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud (Kamerstukken 35 734), gezien als verhandeling?

De fiche vermeldt dat het onduidelijk is hoe het voorstel uitpakt voor bedrijven alsmede dat het publiek-private stelsel eHerkenning voor bedrijven reeds erkend is voor het gebruik over de grens. De leden van de CDA-fractie vragen hoe zeker het voortbestaan van dat stelsel is, nu BZK daarin niet langer participeert, zoals blijkt uit de brief van de Staatssecretaris van BZK over de aanpak uitvoering publiek middel in het bedrijvendomein (34 972, nr. 53). Zijn er voornemens of afspraken gemaakt over de invoering van een wallet voor bedrijven of is dit aan de private partijen zelf overgelaten? Zal het nieuwe publiek middel voor bedrijven voorzien in de functie van een wallet? Zal er een publieke wallet worden uitgegeven of zal er uitsluitend in een publiek eID worden voorzien?

Het kabinet geeft aan te werken aan een nationale referentie-architectuur voor een toekomstig eID-stelsel en het digitaal delen van gegevens, evenals een vertrouwensraamwerk om principes, randvoorwaarden, eisen en standaarden uit te werken. De leden van de CDA-fractie vragen wat het kabinet hiermee beoogt mogelijk te maken.

De leden van de CDA-fractie constateren dat het delen van gegevens niet ophoudt bij de landsgrenzen. Het Once Only Principle, zoals vastgelegd in de Single Digital Gateway-verordening, voorziet in en stuurt aan op het grensoverschrijdend delen van persoonsgegevens waarbij de wallet een hulpmiddel kan zijn. Deze leden vragen wat de noodzaak is van een nationale uitwerking van een referentie-architectuur in het licht van het Once Only Principle. Wat is de noodzaak van een nationale uitwerking van een vertrouwensraamwerk in het licht van de Toolbox voor de implementatie van het raamwerk voor een Europese Digitale Identiteit, waarin o.a. een technische architectuur, referentieraamwerk, gemeenschappelijke standaarden, technische specificaties en gemeenschappelijke richtlijnen worden opgesteld?

De leden van de CDA-fractie constateren dat het kabinet terughoudend is wat betreft de reikwijdte, impact en uitvoerbaarheid van het voorstel en het voorgestelde tijdspad. Het kabinet stelt dat er voldoende ruimte moet zijn om de nodige maatregelen en regelgeving tijdig door te voeren binnen de context van nationale uitvoeringsagenda’s. Deze leden vragen het kabinet een planning te geven voor de Nederlandse implementatie van de voorzieningen die mogelijk zijn onder de verordening. Wat zijn hierbij de knelpunten? Waar loopt Nederland eventueel al voor op de implementatie?

De leden van de CDA-fractie constateren dat elke lidstaat in het voorstel de plicht krijgt om tenminste één «European Digital Identity Wallet» te introduceren. De wallet kunnen lidstaten in eigen beheer of onder mandaat uitgeven of ze kunnen een onafhankelijk uitgegeven wallet erkennen. De Vereniging van Nederlandse Gemeenten (VNG) waarschuwt ervoor dat deze wallet niet ook verplicht moet worden toegepast bij de gegevensuitwisseling binnen de overheid. De VNG stelt dat het stelsel van basisregistraties en de gegevensuitwisseling binnen de overheid in stand moet blijven, zodat het bijvoorbeeld mogelijk blijft om fraude op te sporen. Deze leden vragen het kabinet nader in te gaan op deze waarschuwing. De VNG waarschuwt ook voor uitvoerbaarheid van een algemene verplichting van de wallet. Klopt het dat alle systemen van gemeenten, waarmee informatie wordt uitgewisseld tussen bijvoorbeeld de gemeente en de Sociale Verzekeringsbank of de politie, zouden moeten worden aangepast?

Vragen en opmerkingen van de leden van de SP-fractie

De leden van de fractie van de SP hebben de plannen voor een Europees identificatiesysteem gelezen en hebben hierover nog vele zorgen. Zij hebben nog vele vragen en opmerkingen.

De leden van de fractie van de SP hebben zich al eerder uitgesproken tegen private identificatiemiddelen die ook gebruikt kunnen worden door overheidsinstanties. De gegevens van mensen dienen goed beschermd te zijn en voor zo min mogelijk mensen toegankelijk te zijn. Daarbij is democratisch toezicht van belang. Dit toezicht is er niet of minder bij private middelen. Deze leden lezen dat de weg vrij is voor de innovatiekracht van de markt. Kan het kabinet aangeven hoe het toezicht en de zeggenschap is geborgd als er een Europees privaat middel verplicht wordt gesteld? Kan het kabinet aangeven waarom DigiD nog altijd geschikt is? Kan het kabinet daarbij reflecteren op de vraag waarom de markt wel een goed systeem zou kunnen ontwikkelen maar dat de overheid blijkbaar niet voldoende ICT-kennis in huis heeft? Kan het kabinet aangeven hoe de wenselijke verhouding is tussen nationale identificatiemiddelen en Europese? Hoe is de Nederlandse autonomie gewaarborgd?

De leden van de fractie van de SP maken zich grote zorgen over hoe de privacy gewaarborgd wordt in dit voorstel. Kan het kabinet aangeven hoe mensen die geen gebruik willen of kunnen maken van deze middelen niet worden uitgesloten? Kan het kabinet op een rij zetten welke waarborgen er zijn om de privacy van mensen te waarborgen en of het kabinet dit voldoende acht? Kan het kabinet ingaan op de zorgen die er leven dat grote Amerikaanse techbedrijven door deze voorstellen juist meer toegang hebben tot de gegevens van burgers? Hoe wordt de macht van deze bedrijven door dit voorstel volgens het kabinet ingeperkt?

II Antwoord/ Reactie van de Minister

Inleiding

Mede namens de Minister van Economische Zaken en Klimaat dank ik de leden voor de gestelde vragen en gemaakte opmerkingen en voor de mogelijkheid om nadere toelichting te geven.

De vragen en opmerkingen heb ik geclusterd in acht onderwerpen: 1) inclusie, 2) publieke en private aanbieders van middelen en de gevolgen voor bestaande middelen, 3) juridische aspecten, met name de relatie met de Wet digitale overheid (Wdo) en bescherming van (persoons)gegevens, 4) grote platforms, 5) de uitgifte van de wallet door de lidstaten afzonderlijk en de daarin op te nemen attributen, 6) de relatie met de uitwerking van mijn beleid voor «Regie op Gegevens» en de «Single Digital Gateway», 7) de kosten en de uitvoering en 8) overige vragen.

Inclusie

De in lidstaten te introduceren wallet dient te werken op mobiele apparaten. Het voorstel van de Commissie lijkt daarbij uit te gaan van het gebruik van App Store van Apple en Play Store van Google om applicaties te kunnen installeren. Hoewel zulke oplossingen voor adoptie en gebruiksgemak belangrijk zijn, zet het kabinet in op technologie- en leveranciersonafhankelijke oplossingen en het bevorderen van open standaarden en open software. Ik verken dan ook meer opties dan alleen digitale marktplaatsen van grote bedrijven en meer dan alleen mobiele applicaties. Daaraan geef ik in de praktijk al uitwerking, bijvoorbeeld door desktopoplossingen voor DigiD.

Ik zie er tevens op toe dat de oplossingen voldoen aan de eisen voor toegankelijkheid en te gebruiken zijn voor mensen met minder digitale vaardigheden en/of mogelijkheden.1 Ik besef goed dat er mensen zijn die niet of niet makkelijk mee kunnen of niet mee willen met digitale vernieuwingen. Ik vind het belangrijk dat altijd speciale aandacht is voor die groep mensen die niet over voldoende digitale vaardigheden of middelen beschikken. Daarom breng ik in kaart wie er niet mee kunnen en mee willen doen en hoe we hiervoor oplossingen kunnen bieden. Voor burgers die niet bij machte zijn om digitaal te participeren of die dat uit principiële overwegingen niet wensen en bijvoorbeeld geen eID willen, blijft de analoge wijze beschikbaar.2 Immers, burgers en bedrijven zullen niet verplicht zijn een eID of een wallet aan te vragen en te gebruiken, noch onder mijn voorstel voor de Wet digitale overheid (Wdo) noch onder het voorstel van de Commissie voor een raamwerk voor een Europese Digitale Identiteit (EDI). Mensen die geen eID en/of wallet wensen, zullen op een goede, analoge wijze gebruik moeten kunnen maken van de dienstverlening in het publieke domein. Daar sta ik voor.

Publieke en private middelenaanbieders, gevolgen voor bestaande eID-middelen

De leden van de VVD-fractie vragen wat de gevolgen zijn van het voorstel voor bedrijven en of e-wallets door private partijen én ook de overheid kunnen worden aangeboden en wat het voorstel van de Commissie daarover zegt. De leden vragen waar de voorkeur van het kabinet naar uit gaat. Wil het kabinet alleen door private partijen aangeboden e-wallets en, als dat het geval is, hoe verhoudt dat zich dan tot het voorstel Wet digitale overheid dat momenteel in de Eerste Kamer in behandeling is? Graag krijgen deze leden een reactie van het kabinet of het voorstel voor de Wdo verplicht tot een publiek eID-middel, naast eventuele private eID-middelen.

Het voorstel van de Commissie verplicht elke lidstaat tot introductie van ten minste één «European Digital Identity Wallet». Volgens het voorstel kunnen wallets op drie manieren worden uitgegeven: door de lidstaat, onder mandaat van de lidstaat en onafhankelijk, maar erkend door de lidstaat. Dit brengt mee dat wallets altijd onder regie en beheer van overheden worden uitgegeven, die zorgdragen voor toetsing op het voldoen aan Europees en nationaal gestelde normen en eisen en die toezicht dienen te houden op werking en gebruik. Dit geldt zowel voor eIDs en wallets die uitgegeven worden door overheden, in publiek-private samenwerking als door bedrijven. Daarnaast dienen wallets door een toezichthoudend orgaan, zoals het Agentschap Telecom, gecertificeerd te worden overeenkomstig de eisen van de cyberbeveiligingsverordening.3

Lidstaten kunnen dus meer dan één wallet introduceren en wallets kunnen zowel door overheden, door bedrijven als in publiek-private samenwerking uitgegeven worden. Ik verken op dit moment de mogelijkheden en ik heb hierin nog geen keuze gemaakt. Zoals u weet, beoog ik met mijn voorstel voor de Wdo een regime van «open toelating» te introduceren, waarbij marktwerking wordt ingezet binnen het digitale domein. Ik ben ervan overtuigd dat veilige en betrouwbare digitale interactie met inachtneming van de privacy gewaarborgd kan worden, ook bij door de markt uitgegeven digitale middelen die erkend en gecertificeerd zijn door de overheid, die bovendien toeziet op werking en gebruik.

De leden van de fractie van de SP hebben zich al eerder uitgesproken tegen private identificatiemiddelen die ook gebruikt kunnen worden door overheidsinstanties. De gegevens van mensen dienen goed beschermd te zijn en voor zo min mogelijk mensen toegankelijk te zijn. Daarbij is democratisch toezicht van belang. Dit toezicht is er niet of minder bij private middelen. Deze leden lezen dat de weg vrij is voor de innovatiekracht van de markt. Kan het kabinet aangeven hoe het toezicht en de zeggenschap is geborgd als er een Europees privaat middel verplicht wordt gesteld? Kan het kabinet aangeven waarom DigiD nog altijd geschikt is? Kan het kabinet daarbij reflecteren op de vraag waarom de markt wel een goed systeem zou kunnen ontwikkelen, maar dat de overheid blijkbaar niet voldoende ICT-kennis in huis heeft? Kan het kabinet aangeven hoe de wenselijke verhouding is tussen nationale identificatiemiddelen en Europese? Hoe is de Nederlandse autonomie gewaarborgd?

Ik herken niet het beeld «dat de overheid blijkbaar niet voldoende ICT-kennis in huis heeft». De keuze voor een stelsel van open toelating waarbinnen publiek en privaat uitgegeven middelen naast elkaar beschikbaar kunnen zijn, is niet ingegeven door het feit dat de overheid geen ICT zou kunnen ontwikkelen. Het is ingegeven door de gedachte dat een stelsel van open toelating inherente voordelen heeft en zal leiden tot innovatie, kostenreductie, versterking van de marktpositie van Nederlandse bedrijven en vermindering van het risico van een «single point of failure». Binnen een stelsel waarin private en publieke partijen deelnemen, kan de overheid de regie houden en kaders en normen stellen om de risico's op fraude, misbruik en oneigenlijk gebruik tot het minimum te beperken.

Ik wijs erop dat het voorstel van de Commissie niet gericht is op de introductie van een nieuw of centraal Europees middel. Het voorstel verplicht lidstaten nationale eIDs en minstens één wallet te introduceren en deze nationaal te doen certificeren voor gebruik binnen de Europese Unie. De Commissie beoogt het grensoverschrijdend gebruik te bevorderen door daarvoor een Europees raamwerk te bieden, dat verder technisch en organisatorisch zal worden uitgewerkt door de lidstaten. De zeggenschap over en het toezicht op de nationale eIDs en wallets zal, binnen het kader van de Europese verordening, blijven bij de lidstaten, die in de uitgifte en erkenning van hun nationale digitale middelen autonoom zijn. In die zin verandert het voorstel niets voor de huidige digitale inlogmiddelen DigiD en eHerkenning, die al zijn erkend voor grensoverschrijdend gebruik en waarvoor ook nu al de kaders van de eIDAS-verordening gelden. Deze middelen zullen, ook na herziening van deze verordening, gebruikt kunnen blijven worden.

De leden van D66 vragen wat de gevolgen zijn voor DigiD en eHerkenning. De leden van de CDA-fractie wijzen erop dat het fiche vermeldt dat het onduidelijk is hoe het voorstel uitpakt voor bedrijven alsmede dat het publiek-private stelsel eHerkenning voor bedrijven reeds erkend is voor het gebruik over de grens. Deze leden vragen hoe zeker het voortbestaan van dat stelsel is, nu BZK daarin niet langer participeert, zoals blijkt uit de brief van de Staatssecretaris van BZK over de aanpak uitvoering publiek middel in het bedrijvendomein (Kamerstuk 34 972, nr. 53). Zijn er voornemens of afspraken gemaakt over de invoering van een wallet voor bedrijven of is dit aan de private partijen zelf overgelaten? Zal het nieuwe publieke middel voor bedrijven voorzien in de functie van een wallet? Zal er een publieke wallet worden uitgegeven of zal er uitsluitend in een publiek eID worden voorzien?

Specifiek ten aanzien van het voortbestaan van het stelsel voor eHerkenning is van belang dat mijn voorstel voor de Wdo regelt dat er meer aanbieders en middelen voor bedrijven kunnen worden toegelaten. Binnen dit regime past niet dat ik met een groep aanbieders voor bepaalde middelen een aparte publiek-private samenwerking heb. Deze zal ik daarom ontvlechten. Vanzelfsprekend zie ik daarbij toe op een goede transitie en borging van de continuïteit. Zoals gezegd, heb ik nog geen keuze noch afspraken gemaakt welke wallet of wallets van welke partijen ik zou willen toelaten en of het hier om publieke en/of private aanbieders gaat, ook niet als het gaat om partijen die nu zorgen voor DigiD, eHerkenning of een nieuw publieke middel voor bedrijven. Dit publieke inlogmiddel voor vertegenwoordigers voor bedrijven wordt, evenals eHerkenning, gebruikt om de identiteit van vertegenwoordiger en bedrijf bij digitale transacties te kunnen vaststellen met identificerende gegevens, zoals het BSN en het KvK-nummer. Dit is niet te beschouwen als een invulling van een wallet.

Juridische aspecten

De leden van de D66-fractie constateren dat de eIDAS-verordening op bepaalde punten raakt aan het voorstel voor de Wdo. Deze leden vragen het kabinet toe te lichten hoe eventuele conflicten, zoals over het aanbieden van publieke identificatiemiddelen, tussen de Wdo en het voorstel van de Commissie opgelost kunnen worden, en op welke wijze de Wdo verwacht aangepast te moeten worden. De leden van de CDA-fractie vragen wat de impact is van de wallet op de veertien onderliggende besluiten en regelingen bij de eerste tranche van de Wdo. Deze leden vragen tevens in hoeverre ingrijpende wijzigingen in de uitvoeringsrichtlijnen zijn te verwachten wanneer de set van attributen, bevoegdheden, kwalificaties, enzovoort wordt uitgebreid.

In mijn antwoord van 10 september 2021 op de vraag over mogelijke conflicten tussen het voorstel van de Commissie en voor de Wdo die door de leden van de Eerste Kamer der Staten-Generaal is gesteld, heb ik gemeld dat beide voorstellen niet conflicteren. Het voorstel van de Commissie regelt echter wel meer dan de voorgenomen eerste tranche van de Wdo. In hoofdlijnen ziet het voorstel van de Commissie op meer functionaliteiten en heeft het een bredere reikwijdte. Daar waar de huidige elDAS-verordening en, in lijn daarmee, de eerste tranche van de Wdo voorschriften bevat voor het veilig en betrouwbaar gebruik van elDs bij overheidsdiensten, regelt het voorstel van de Commissie het gebruik van elDs en attributen met een verplicht te introduceren wallet bij overheden en in de private sector onder regie van burgers en bedrijven.5

De introductie van de wallet zal nieuwe functionaliteiten en daarbij horende gegevensverwerking met zich meebrengen. Hiervoor zal nationale regelgeving gewijzigd of opgesteld moeten worden. Voor wat betreft de impact op de uitvoeringsregelgeving bij de eerste tranche van de Wdo verwacht ik dat het Besluit digitale overheid dat de gegevensverwerkingen regelt, gewijzigd zal moeten worden, en mogelijk ook de Regeling voorzieningen, die regels stelt aan het gebruik van middelen en voorzieningen. Ook zullen er regels opgesteld moeten worden voor het toelaten van wallets. Of dit gaat via een aanvulling op uitvoeringsregelgeving onder de eerste tranche van de Wdo of via een nieuwe regeling, kan ik u op dit moment nog niet zeggen.

De leden van de D66-fractie verwelkomen het expliciete verbod in artikel 6a voor het onnodig verzamelen van gegevens over het gebruik van de wallet en vragen het kabinet of de scheiding tussen het gebruik van gegevens voortkomend uit het gebruik van de wallet en gegevens voortkomend uit de gebruikmakende diensten zelf, scherp genoeg is vastgelegd. De leden van de CDA-fractie constateren dat de aanpassing van de verordening ziet op een verbreding van het gebruik naar het private domein. Deze leden vragen hoe dit zich verhoudt tot het nog bij novelle te regelen verhandelverbod en of het delen van persoonsgegevens in ruil voor de levering van digitale inhoud of diensten, waarvoor consumentenbescherming wordt vastgelegd in de Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud (Kamerstuk 35 734), gezien wordt als verhandeling.

Grote platforms

De Commissie hanteert in dit voorstel de definitie van «zeer grote platforms» zoals omschreven in het voorstel voor een verordening voor digitale diensten, en de daarin opgenomen maatstaf, zijnde «online platforms die hun diensten aanbieden aan een gemiddeld aantal maandelijks actieve afnemers van de dienst in de EU dat gelijk aan of groter dan 45 miljoen is».8Dit voorstel voor digitale diensten regelt de zogenaamde «tussenhandeldiensten», zoals online platforms, en geeft voorschriften voor een veilige, transparante en betrouwbare online omgeving. Ik juich het toe dat de Commissie regels gaat stellen voor grote platforms ter bescherming van de gegevens van Europese burgers en bedrijven. Daarbij vind ik het een logische keuze om dit primair te doen in het voorstel voor een verordening voor digitale diensten en daarnaar te verwijzen in het voorstel voor een raamwerk voor een Europese Digitale Identiteit, dat alleen specifieke regelingen treft voor het gebruik van eIDs en wallets op zulke platforms. Ik ben positief over de daarin opgenomen voorschriften. Deze regelen dat zeer grote online platforms gecertificeerde wallets van lidstaten dienen te accepteren als authenticatiemiddel voor toegang tot onlinediensten, naast de middelen van de platforms zelf, mits op vrijwillig verzoek van de gebruiker en mits uitsluitend de minimaal benodigde attributen voor de specifieke onlinedienst, zoals een bewijs van leeftijd, worden gevraagd. Op deze manier treft de Commissie met inachtneming van het Europese recht een regeling voor wat nu nog niet geregeld is maar wel zou moeten zijn. Ik zie hierbij niet in dat de Commissie «de macht van de grote Techreuzen wil verkleinen, zodat zij zelf die macht op zich kan nemen.» Ook deel ik de zorgen niet «dat grote Amerikaanse techbedrijven door deze voorstellen juist meer toegang hebben tot de gegevens van burgers». De voorstellen voor digitale diensten en voor een raamwerk voor een Europese Digitale Identiteit beogen juist de veiligheid, transparantie en betrouwbaarheid van online omgevingen en de gegevens van burgers en bedrijven te beschermen. Ze geven burgers en bedrijven de mogelijkheid, niet de plicht, om in te loggen met een Europees erkende eID of wallet en zo te komen tot veilige, transparante en betrouwbare authenticatie met gebruikmaking van dataminimalisatie.

Autonome uitgifte wallet en opname attributen per lidstaat

De leden van de CDA-fractie vragen of de verplichting om ten minste één «European Digital Identity Wallet» te introduceren, niet tot enorme wildgroei aan wallets gaat leiden die allemaal met elkaar verbonden moeten worden. Welke voordelen heeft het apart introduceren van digitale wallets per lidstaat ten opzichte van het introduceren van één systeem? De leden van de D66-fractie vragen het kabinet hoe gekeken wordt naar het feit dat iedere lidstaat op een andere manier de ontwikkelingen van de digitale identiteit organiseert, zoals het alleen toelaten van publieke ontwikkeling of door middel van het aanwijzen van één specifieke sector in de ontwikkeling. Voorziet het kabinet problemen bij de uiteenlopende benadering van lidstaten?

Het voorstel van de Commissie herziet de huidige eIDAS-verordening, die ook nu al de lidstaten autonome ruimte laat om binnen de kaders van de verordening zelf eIDs uit te geven die na Europese erkenning binnen een geharmoniseerde Europese infrastructuur grensoverschrijdend kunnen worden gebruikt, en zelf de technische voorzieningen te treffen om ervoor te zorgen dat nationale dienstverleners erkende eIDs uit andere lidstaten kunnen toelaten tot hun onlinediensten. Dezelfde systematiek zal gaan gelden voor wallets en daarin op te nemen attributen.

Het kabinet constateert in het BNC-fiche dat de onder de huidige eIDAS-verordening ingerichte infrastructuur weliswaar verdere ontwikkeling behoeft, maar in het algemeen wel werkt om eIDs uit diverse lidstaten grensoverschrijdend te kunnen gebruiken. Als alle lidstaten worden verplicht om minstens één eID, waaronder minstens één wallet, te laten erkennen en bovendien in de lidstaten meer dienstverleners en diensten verplicht moeten aansluiten op de Europese infrastructuur, zal de noodzaak en de behoefte om de interoperabiliteit te blijven verbeteren, groeien. Ik verwacht dat, na inwerkingtreding van de herziene verordening, de lidstaten de komende jaren gezamenlijk zullen komen tot een steeds beter geharmoniseerde infrastructuur, waarbij wel voldoende ruimte blijft voor nationale invulling en innovatie van de eigen identiteitsinfrastructuur.

Ik verwacht dat de lidstaten gezamenlijk zullen kunnen besluiten en organiseren dat met bepaalde attributen uit bepaalde sectoren zal worden gestart en dat er onderling afspraken zullen worden gemaakt over gefaseerde uitbreiding van de in wallets op te nemen attributen. Dit heeft mijn voorkeur in tegenstelling tot het centraal organiseren en uitrollen van één Europese eID of wallet dan wel één Europees systeem waarop alle publieke en private dienstverleners en alle aanbieders van eIDs, wallets en attributen uit alle lidstaten zouden moeten aansluiten.

In het voorstel heeft de Commissie in Bijlage VI opgenomen een minimale lijst van attributen die lidstaten uit authentieke bronnen ter beschikking zouden moeten stellen voor gebruik in wallets. Dit betreffen adres, leeftijd, geslacht, burgerlijke staat, gezinssamenstelling, nationaliteit, onderwijskwalificaties, -titels en -diploma’s, beroepskwalificaties, -titels en -licenties, openbare vergunningen en licenties en financiële en bedrijfsgegevens. Het kabinet zal zich dienen te beraden welke van deze attributen in welke volgorde in de Nederlandse wallet(s) dienen te worden opgenomen en op welke wijze.

Relatie met Regie op Gegevens en Single Digital Gateway

Het kabinet vindt het belangrijk dat burgers eenvoudig digitaal zaken kunnen regelen. Daarom werk ik aan een nationale referentie-architectuur voor het toekomstig eID-stelsel en het digitaal delen van gegevens, in lijn met de beleidsdoelstellingen die worden beoogd met het programma Regie op Gegevens.9 Een belangrijk onderdeel van deze architectuur is een vertrouwensraamwerk, waarin overheidsorganisaties samenwerken om principes, randvoorwaarden, standaarden en eisen uit te werken. Samen beschrijven ze wat er nodig is om burgers op een veilige, betrouwbare, transparante en gebruiksvriendelijke wijze in publieke en private gegevensuitwisselingen regie te voeren over de gegevens die de overheid bezit. Hierbij gaat het om thema’s als gegevensbescherming, dataminimalisatie, informatieveiligheid en het toezicht daarop, conform mijn beleid voor digitale identiteit.10

Europese voorstellen, zoals voor de «Single Digital Gateway» en het daarin vervatte «Once Only Principle» (de eenmalige vastlegging en het meervoudige gebruik van gegevens), en voor het «Raamwerk voor een Europese Digitale Identiteit», worden telkens meegenomen bij de uitwerking van de nationale referentie-architectuur en het vertrouwensraamwerk. Deze instrumenten geven richtlijnen en inzichten om de Nederlands positie te kunnen bepalen in de onderhandelingen over de op te leveren «Toolbox» met lidstaten en de Commissie. Daarnaast is dit instrumentarium nodig om nationaal uitwerking te geven aan wat Europees wordt vastgesteld.

Uitvoering en kosten

De leden van de VVD-fractie en de CDA-fractie constateren dat het kabinet terughoudend is wat betreft de reikwijdte, impact en uitvoerbaarheid van het voorstel en het voorgestelde tijdspad. Het kabinet stelt dat er voldoende ruimte moet zijn om de nodige maatregelen en regelgeving tijdig door te voeren binnen de context van nationale uitvoeringsagenda’s. De leden van de VVD-fractie vragen waarom het kabinet terughoudend is. Graag krijgen deze leden een reactie op de uitvoerbaarheid van het voorstel, die, zeker in relatie tot het tijdpad, niet eenvoudig lijkt. Het zal voor de lidstaten niet gemakkelijk zijn om dit voor elkaar te krijgen.

Het kabinet beoordeelt de proportionaliteit en subsidiariteit van het voorstel als positief, maar vraagt wel aandacht voor een beheersbare uitvoering, zeker in relatie tot het beoogde tijdspad. Het zal immers niet makkelijk zijn om snel de door de Commissie voorgestelde hoeveelheid attributen uit authentieke bronnen betrouwbaar en veilig ter beschikking te stellen voor gebruik in één of meer wallets. Evenmin zal het makkelijk zijn om één of meer wallets betrouwbaar en veilig beschikbaar te stellen voor gebruik in zowel de publieke sector als het private domein. Daarnaast dient de certificering van en het toezicht op de wallets en de daarin opgenomen eIDs en attributen georganiseerd en geregeld te worden. Voorts is nationale uitvoeringsregelgeving nodig, ook op sectoraal niveau.

De leden van de CDA-fractie vragen het kabinet een planning te geven voor de Nederlandse implementatie van de voorzieningen die mogelijk zijn onder de verordening. Wat zijn hierbij de knelpunten? Waar loopt Nederland eventueel al voor op de implementatie?

Een planning voor de implementatie van de herziene eIDAS-verordening en inzicht in mogelijke knelpunten daarin kunnen op dit moment niet afgegeven worden. Dit hangt af van de uiteindelijke inhoud van de verordening, het moment van adoptie daarvan en de in het voorstel opgenomen termijnen voor inwerkingtreding.

Nederland loopt voorop, omdat we al voldoen aan de in het voorstel opgenomen plicht voor elke lidstaat om een eID Europees te laten erkennen en omdat we al aangesloten zijn op de Europese infrastructuur voor grensoverschrijdend gebruik van eIDs. Echter, voor veilige en betrouwbare opname en gebruik van attributen in één of meer wallets zal ik uitvoeringbeleid, regelgeving en voorzieningen moeten laten ontwikkelen en realiseren.

De gevolgen voor uitvoeringsorganisaties, de gemeenten en andere medeoverheden en de door hen gebruikte ICT-systemen zal ik nader in kaart brengen. Deze organisaties zullen hierbij betrokken worden en, zoals nu ook het geval is bij de implementatie van de huidige eIDAS-verordening, in de implementatie worden ondersteund binnen de «Generieke Digitale Infrastructuur» (GDI), onder meer in de aanpassing van hun systemen. Wellicht ten overvloede vermeld ik dat de voorzieningen die ter uitvoering van de huidige eIDAS-verordening binnen het Ministerie van BZK zijn ontwikkeld, deel uitmaken van de GDI die dienstverleners in het (semi-)publieke domein ondersteunt in hun onlinedienstverlening. Ook naar aanleiding van de herziening van de eIDAS-verordening nieuw te ontwikkelen voorzieningen zullen voor publieke dienstverleners worden ontwikkeld binnen de GDI.

Inzet is om de benodigde aanpassingen gefaseerd door te voeren, aansluitend op reguliere trajecten voor doorontwikkeling van digitalisering binnen deze organisaties. Daarbij zal in het bijzonder gelet worden op het gebruik van sectorale uitwisselingssystemen en de basisregistraties die al werken of in een vergevorderd stadium van ontwikkeling zijn. Onnodige investeringen en concurrentie tussen systemen zullen daarbij voorkomen moeten worden. Ook is uitgangspunt dat de huidige systematiek van gegevensuitwisseling binnen de overheid in stand blijft.

De leden van de CDA-fractie constateren dat elke lidstaat in het voorstel de plicht krijgt om ten minste één «European Digital Identity Wallet» te introduceren. De wallet kunnen lidstaten in eigen beheer of onder mandaat uitgeven of ze kunnen een onafhankelijk uitgegeven wallet erkennen. De Vereniging van Nederlandse Gemeenten (VNG) waarschuwt ervoor dat deze wallet niet ook verplicht moet worden toegepast bij de gegevensuitwisseling binnen de overheid. De VNG stelt dat het stelsel van basisregistraties en de gegevensuitwisseling binnen de overheid in stand moet blijven, zodat het bijvoorbeeld mogelijk blijft om fraude op te sporen. Deze leden vragen het kabinet nader in te gaan op deze waarschuwing. De VNG waarschuwt ook voor uitvoerbaarheid van een algemene verplichting van de wallet. Klopt het dat alle systemen van gemeenten, waarmee informatie wordt uitgewisseld tussen bijvoorbeeld de gemeente en de Sociale Verzekeringsbank of de politie, zouden moeten worden aangepast?

Zodra een wallet uit een lidstaat Europees is erkend en deze door een Europese burger of bedrijf wordt gebruikt, zal deze volgens het voorstel van de Commissie in de dienstverlening van Nederlandse overheden moeten worden geaccepteerd, ook bij gemeenten. Dit betekent echter niet dat het stelsel van basisregistraties en bestaande gegevensuitwisseling binnen de overheid daarmee overbodig worden. Dit blijft noodzakelijk voor een rechtmatige, doelmatige en gebruiksvriendelijke dienstverlening van de overheid en is ook van belang voor het opsporen van fraude en misbruik. Ik koester dit stelsel en ik ben het op dit punt dus eens met de VNG. De veronderstelling dat alle systemen van gemeenten waarmee informatie wordt uitgewisseld tussen bijvoorbeeld de gemeente en de Sociale Verzekeringsbank of de politie, zouden moeten worden aangepast, is onjuist. Wel is het zo dat bepaalde systemen van gemeenten heringericht zullen moeten worden op het gebruik van wallets door burgers en bedrijven.

De leden van de VVD-fractie krijgen graag een reactie op de vraag wanneer in de diverse begrotingen rekening wordt gehouden met de hoge kosten die gepaard gaan met de invoering van het Europese systeem voor digitale identiteit en waar daar gelden voor worden gereserveerd. Los van deze vraag krijgen deze leden graag meer inzicht in de kosten van het ontwikkelen van de e-wallet en vragen zij voor wiens rekening die kosten komen. Ook de leden van de PVV-fractie vragen het kabinet wat de implementatie van de Europese Digitale Identiteit Nederland zal gaan kosten.

De kosten voor de invoering van een raamwerk voor een Europese Digitale Identiteit zullen worden opgenomen in de begrotingen, zodra deze geraamd kunnen worden op basis van een geadopteerd voorstel. De hoogte van de uiteindelijke kosten zijn nu niet in te schatten en zijn afhankelijk van de uiteindelijke inhoud van de verordening en het tijdpad van inwerkingtreding.

Overige vragen

De leden van de VVD-fractie hebben de vraag hoe ver de techniek is om vanuit de Basisregistratie Personen (BRP) de e-wallet te kunnen laden.

De techniek om vanuit de Basisregistratie Personen (BRP) de wallet te kunnen laden, is vergevorderd. Voor de implementatie van de huidige eIDAS-verordening zijn voorzieningen gerealiseerd die zorgen voor een betrouwbare koppeling van identiteiten en uitwisseling van gegevens via de BRP. Dit zou kunnen worden uitgebreid ten behoeve van de opname in een wallet, hetgeen zou aansluiten op mijn visie op digitale identiteit en de digitale bronidentiteit.11

Deze leden van de VVD-fractie vragen of straks ook e-wallets van buiten de EU/EER kunnen c.q. mogen worden aangeboden en hoe wordt toegezien op de veiligheids- en privacyaspecten.

Het is niet ondenkbaar dat walletoplossingen die buiten de Europese Unie of Europese Economische Ruimte zijn ontwikkeld, in een lidstaat worden erkend en gecertificeerd. Ook voor deze wallet gelden dan de eisen op het gebied van veiligheid en privacy die neergelegd zijn in de herziene eIDAS-verordening en andere Europese regelgeving, zoals de AVG en de cyberbeveiligingsverordening.

Tevens vragen de leden van de VVD-fractie hoe, na de introductie van de e-wallet, wordt omgegaan met nieuwe technische ontwikkelingen die leiden tot nieuwe e-wallets. Hoe lang zal het duren voordat een private aanbieder een nieuwe e-wallet daadwerkelijk mag aanbieden? Moet binnen een bepaalde termijn toestemming door de Europese Commissie worden gegeven? Graag krijgen deze leden meer inzicht in dit proces.

Lidstaten krijgen in het voorstel van de Commissie de verplichting om binnen een bepaalde termijn na adoptie van het voorstel ten minste één wallet te introduceren die, na onafhankelijke certificering in de lidstaat, Europees kan worden erkend voor grensoverschrijdend gebruik. Wallets die voldoen aan de in de verordening gestelde voorwaarden, zullen als erkende Europese digitale identiteit worden gepubliceerd op een door de Commissie bijgehouden lijst, zodat overheden en bedrijven weten met welke wallets burgers en bedrijven grensoverschrijdend kunnen handelen. Lidstaten kunnen ook meerdere wallets laten certificeren en erkennen. De formats en procedures waarmee wallets kunnen worden aangemeld, zullen binnen zes maanden na adoptie van het voorstel bij uitvoeringshandelingen worden vastgesteld.

De leden van de PVV-fractie vragen het kabinet uit welke gegevens, onderzoeken of enquêtes blijkt dat de meerderheid van de Nederlanders zit te wachten op dit EU-voorstel inzake een Europees kader voor digitale identiteit of op een Europese Digitale Identiteit. De leden van de PVV-fractie vragen het kabinet daarnaast hoe er sprake kan zijn van een Europese Digitale Identiteit, als er niet eens sprake is van een Europese identiteit. De leden van de PVV-fractie vragen het kabinet of er enige relatie met het vaccinatiepaspoort bestaat, zoals ingevoerd met het oog op corona.

In antwoord op de vragen van de PVV-fractie kan ik mededelen dat er geen onderzoeken of enquêtes zijn waaruit blijkt dat de meerderheid van de Nederlanders zit te wachten op dit voorstel of op een Europese Digitale Identiteit, dat het voorstel voor een raamwerk voor een Europese Digitale Identiteit geen regeling beoogt van een Europese identiteit, en dat er geen relatie is met het vaccinatiepaspoort, zoals ingevoerd met het oog op corona.

Het kabinet heeft in het fiche vermeld dat, als voor eIDs het stelsel van notificatie door lidstaten onderling wordt vervangen door een stelsel van certificering binnen de lidstaten, het noodzakelijk is te komen tot harmonisering. Dit is nodig om veiligheid en betrouwbaarheid van het grensoverschrijdende digitale verkeer en een gelijk speelveld binnen de interne markt te borgen. Concreet betekent dit dat de toezichthouders in de lidstaten met dezelfde maat moeten meten en dus onderling afspreken wat de gemeenschappelijke normen voor toezicht moeten zijn. Deze uitwerking vindt plaats in lijn met de certificering onder de cybersecurityverordening, hetgeen het kabinet een goede basis acht om dit idee van de Commissie verder te verkennen. Hoe dit toezicht er precies uit zou moeten gaan zien en wat de kosten daarvan zijn, valt nu nog niet te zeggen.

Mede namens de Minister van Economische Zaken en Klimaat antwoord ik u dat ik een verbetering zie ten opzichte van de huidige situatie. De standaarden waaraan gekwalificeerde certificaten voor websiteauthenticatie nu moeten voldoen, garanderen een hoog beveiligingsniveau. Juist door verplichte acceptatie van deze certificaten zal de veiligheid van websites groter worden. In elk geval verhindert het verplicht accepteren van deze certificatenbrowserleveranciers niet om in geval van een opdoemend veiligheidsrisico snel gepaste maatregelen te nemen, zoals het intrekken van het certificaat. Ten aanzien van open source browsers ziet het kabinet geen verschil in vergelijking met de verplichte acceptatie van deze certificaten door niet open source browsers. Onafhankelijk van het type browser zullen in de praktijk de Europese certificaten voor websiteauthenticatie automatisch terecht komen in de «Certificate Store» van de browser.

Het voorstel regelt wel de verplichte acceptatie van gekwalificeerde certificaten van websiteauthenticatie, maar geeft geen effectieve sanctie in het geval browserleveranciers hieraan niet voldoen. Hier vraag ik aandacht voor in de onderhandelingen.

De leden van de D66-fractie vragen het kabinet op welke manier het gebruik van een elektronisch grootboek voldoet aan de eisen van het niet zomaar delen van gegevens buiten de Europese Unie.

De relevante wetgeving voor het delen van gegevens buiten de Europese Unie, zoals de Algemene verordening gegevensbescherming (AVG),12 blijft van toepassing.