26 643 Informatie- en communicatietechnologie (ICT)

Nr. 456 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 april 2017

In het algemeen overleg (AO) van 18 januari jl. met de vaste commissie voor Binnenlandse Zaken van uw Kamer1 heb ik een brief toegezegd over de risicobeheersing van de Impuls eID, met name in de fase van voorbereiding op de eerste uitrol, in de aanloop naar nieuwe, generieke wetgeving (Wet generieke digitale infrastructuur). Het programma heeft tot doel op gecontroleerde en gefaseerde wijze het beleid voor veilig en betrouwbaar inloggen bij de overheid in te voeren en de brede uitrol via nieuwe wetgeving voor te bereiden.

1. Inleiding

Met de brief van 25 augustus 20162 heb ik de Kamer geïnformeerd over de beleidsvoornemens voor de ontwikkeling en realisatie van het nieuwe eID stelsel. In het Algemeen Overleg van 29 september 20163 heeft de Kamer deze voornemens besproken. De uitvoering ervan is intussen ter hand genomen en overeenkomstig de toezegging in het Algemeen Overleg heb ik in mijn brief van 21 december 20164 de Kamer geïnformeerd over de voortgang.

De belangrijkste maatregel die moet bijdragen aan het succes van de Impuls eID, is de beheerste aanpak en fasering: de stapsgewijze aanpak op weg naar brede uitrol zoals ik die heb uiteengezet in mijn brief van 21 december 2016.

2. Voorbereiding uitrol

In het Algemeen Overleg heeft de Kamer vragen gesteld over de uitrol van de Impuls eID en meer in het bijzonder de planning in 2017. De werkzaamheden voor dit jaar bestaan uit twee delen, waarop ik hieronder in ga.

• Continuering pilots

In 2017 worden de bestaande pilots (ook wel aangeduid met fase 0) voortgezet, met dien verstande dat binnen de eerder vastgestelde begrenzing het gebruik van eID-middelen in beperkte mate kan worden uitgebreid. In mijn brief van december 2016 (Kamerstuk 26 643, nr. 437) heb ik voortzetting van alle pilots geplaatst in de bredere context van de gefaseerde aanpak, waarin tot een maximum van in totaal 300.000 gebruikers van iDIN- en Idensysmiddelen kunnen worden toegelaten. Binnen die grens heeft de Belastingdienst afspraken gemaakt over de uitbreiding van het aantal gebruikers. Onder de geldende pilotvoorwaarden kunnen burgers nu naast DigiD met een bankmiddel of een Idensysmiddel inloggen op «mijn belastingdienst». Dit is nadrukkelijk nog steeds een in omvang beperkte pilot. Ook op het terrein van de zorg wordt uitbreiding van het aantal deelnemers voorbereid. Behalve door juridische voorwaarden, is de hiervoor genoemde begrenzing van 300.000 gebruikers voor het geheel van alle pilots ook technisch gerealiseerd in het BSN-koppelregister.

Mij is gerapporteerd dat op dit moment – met ongeveer tweederde van de belastingaangiftes gedaan – het aantal gebruikers van bankmiddelen nog blijft binnen de in 2016 bepaalde grens van 30.000 die ik eerder in de beantwoording van mondelinge vragen van mevrouw De Caluwé heb genoemd5. De ambitie is overigens om, zoals in mijn brief van 21 december 2016 (Kamerstuk 26 643, nr. 437) is genoemd, de omvang van het gebruik in 2017 te laten groeien en om zo spoedig mogelijk op basis van nadere afspraken over o.a. toelating (proces en eisen), toezicht en financiering naar een bredere uitrol in de volgende fase over te gaan. Die nadere afspraken zijn randvoorwaardelijk voor de overgang naar de bredere uitrol in fase 1.

• Voorbereidingen fase 1

De voorbereidingen voor fase 1 zijn erop gericht dat vanaf het eind van dit jaar met een aantal voorlopers (o.a. bij de Belastingdienst en in de zorg) een gecontroleerde uitrol gaat plaatsvinden van grotere aantallen eID-middelen. Dan moeten ook de versterkte maatregelen van kracht zijn om o.a. de veiligheids- en privacyrisico’s sterk terug te dringen. In concreto betekent dit dat thans wordt gewerkt aan:

  • De vaststelling van de versie van de Uniforme set van eisen, die gaat gelden voor fase 1. In deze versie worden de uitkomsten verwerkt van de internetconsultatie, die op 31 maart jl. is afgesloten;

  • De toelating van private middelen en de inrichting van toezicht op de naleving van de Uniforme Set van Eisen;

  • Het beheer van de Uniforme Set van Eisen, met name met het oog op het ordelijk kunnen doorvoeren van toekomstige wijzigingen;

  • Het tot stand brengen van de generieke infrastructurele voorziening voor het gebruik van het burgerservicenummer (BSN) d.m.v. een koppelregister;

  • Het realiseren van de (online) voorziening(en) die het burgers mogelijk maakt gegevens over hun eID-middelen in te zien (inzagefunctie);

  • De voorbereiding van de gecontroleerde uitrol van een publiek middel (DigiD) op een substantieel betrouwbaarheidsniveau en de voorbereiding van de introductie van publieke eID-middelen op een hoog betrouwbaarheidsniveau op het Nederlandse rijbewijs en de Nederlandse Identiteitskaart.

• Risico’s

Zoals elk programma van enige omvang en complexiteit, kent ook dit programma serieuze risico’s. In deze fase onderscheid ik een drietal typen risico’s:

  • Technologische risico’s

  • Financiële risico’s

  • Implementatierisico’s

In de onderstaande tabel vermeld ik de belangrijkste risico’s en de maatregelen om deze te beheersen.

Risico

Maatregel

Technologische risico’s

Er worden op onderdelen innovatieve mogelijkheden ingezet voor het ontwikkelen van eID. Dit brengt het risico mee dat de techniek niet (snel genoeg) gereed is voor breed gebruik.

Doorlopend proeven doen en testen in de gehele keten.

Zorgen dat op onderdelen alternatieve scenario’s voorhanden zijn met gebruikmaking van gelijkwaardige, meer gangbare technologie.

Het DigiD Hoog middel past op de smartcard bestaande, bewezen cryptografische technieken toe die echter op een nieuwe unieke manier worden gecombineerd. Dit kan kinderziektes met zich meebrengen.

Vroegtijdig deze technieken testen met specialistische deskundigen.

Vroegtijdig monitoren van de realisatie.

Financiële risico’s

Gebrek aan financiële dekking voor de kosten van het eID stelsel en de kosten van gebruik.

Een robuust arrangement ontwikkelen voor het beprijzen van de kosten van gebruik van publieke en private eID-middelen.

Kosten stijgen door niet-tijdige realisatie van de voorzieningen, zoals het BSN-koppelregister en de inzagefunctie.

Vroegtijdig en continu monitoren van het realisatietraject.

Professionele ambtelijke sturing op tijdige realisatie binnen de kaders van geld en kwaliteit.

Implementatierisico’s

Tegenstrijdige wensen van stakeholders noodzaken tot complexe juridische en organisatorische vormgeving.

Zorgvuldig doordenken en toetsen van het concept.

Heldere verantwoordelijkheden benoemen, stelsel waar mogelijk vereenvoudigen.

Frequente consultaties van stakeholders.

Gebrek aan draagvlak bij stakeholders, waardoor het programma vertraging oploopt.

Inrichten van een structurele dialoog over de multimiddelenstrategie, met private middelenaanbieders, uitvoeringsorganisaties en andere partijen, zoals consumenten- en cliëntenorganisaties.

Communicatie bij successen en mijlpalen, ook voor een breder publiek.

Communicatiestrategie voor een breder publiek.

Aandacht geven aan nieuwe mogelijkheden voor diensten op niveaus Substantieel en Hoog.

Externe partijen verwijten BZK vermenging van belangen (zowel verantwoordelijk voor het ontwikkelen van het eID Stelsel als leverancier van de publieke eID-middelen).

Transparantie over beleid(suitgangspunten) en herkenbare besluitvorming.

Separate ambtelijke aansturing van het programma eID en de realisatie van Publieke eID-middelen.

Zorgen voor een level playing field en een beprijzingsmodel dat de strategie ondersteunt.

Het niet (tijdig) kunnen voldoen aan de nieuwe en uitgebreide eisen in de uniforme set van eisen voor toetreding van het eID stelsel.

Zorg dragen voor flexibiliteit in de bouw en ontwerp, ruimte voor flexibiliteit in de eisen, zonder af te doen aan de noodzakelijke waarborgen voor privacy en beveiliging.

3. Risicomanagement

Binnen de Impuls eID wordt vanzelfsprekend doorlopend aandacht besteed aan risicomanagement en risicobeperking.

Over de risico’s met potentiële impact op de programmadoelstellingen en over passende tegenmaatregelen wordt periodiek gerapporteerd aan de door het kabinet ingestelde hoogambtelijke Stuurgroep. Voor afzonderlijke projecten binnen het programma worden de risico’s in een risicoregister bijgehouden. Verder worden in de bouw- en beheerfase kwaliteitsplannen toegepast en worden de infrastructurele voorzieningen in de bouwfase planmatig getest. Ook worden onafhankelijke waarborgen ingebouwd zoals externe audits en reviews.

Door het inbouwen van onafhankelijke waarborgen zoals externe audits en reviews zijn de grootste risico’s van de Impuls eID in kaart gebracht en worden de risico’s beheerst.

4. Ten slotte

Over de voortgang van het programma en de risicobeheersing bericht ik u, overeenkomstig de eveneens in het AO van 18 januari jl. gedane toezegging (Kamerstuk 26 643, nr. 443), medio 2017 opnieuw in de reguliere (halfjaarlijkse) voortgangsrapportage.

Het programma is om verschillende redenen – technisch, financieel, juridisch, en bestuurlijk – zeer complex en omvangrijk. Om die reden bied ik u graag aan om, eventueel voorafgaande aan de volgende voortgangsrapportage, de nieuwe Kamercommissie in een technische briefing nader over het programma te informeren.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk


X Noot
1

Kamerstuk 26 643, nr. 443.

X Noot
2

Kamerstuk 26 643, nr. 419.

X Noot
3

Kamerstuk 26 643, nr. 423.

X Noot
4

Kamerstuk 26 643, nr. 437.

X Noot
5

Handelingen II 2016/17, nr. 22, item 4.

Naar boven