26 643 Informatie- en communicatietechnologie (ICT)

32 761 Verwerking en bescherming persoonsgegevens

Nr. 810 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 17 december 2021

De vaste commissie voor Binnenlandse Zaken en Koninkrijksrelaties heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 9 februari 2021 over het ontwerpbesluit identificatiemiddelen voor burgers Wdo (Kamerstukken 26 643 en 32 761, nr. 745).

De vragen en opmerkingen zijn op 26 februari 2021 aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 16 december 2021 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie, Ziengs

De adjunct-griffier van de commissie, Hendrickx

Inleiding

De vaste commissie voor Binnenlandse Zaken heeft enkele vragen en opmerkingen over de brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 9 februari 2021 (Kamerstukken 26 643 en 32 671, nr. 745) houdende het Ontwerpbesluit identificatiemiddelen voor natuurlijke personen Wdo. De beantwoording van die vragen heeft in verband met de aanpassing van het ontwerpbesluit aan de novelle bij de Wdo enige vertraging opgelopen. In het onderstaande heb ik de vragen van de leden van de fracties weergegeven en daaronder steeds mijn antwoorden gecursiveerd.

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

VVD

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit identificatiemiddelen voor burgers Wdo. Graag willen zij de Staatssecretaris een paar vragen voorleggen. Het ontwerpbesluit heeft betrekking op identificatiemiddelen, zowel private als publieke. Het is de leden van de VVD-fractie opgevallen dat het besluit eerst artikelen wijdt aan private identificatiemiddelen en pas in tweede instantie aan publieke middelen. Wat zijn daarvan de redenen? Waarom wordt in het besluit niet eerst ingegaan op de publieke middelen en vervolgens op de private middelen?

In het verlengde van deze vraag hebben de leden van de VVD-fractie een andere vraag. In de toelichting staat dat op grond van dit besluit de eisen aan een privaat middel in beginsel ook van toepassing zijn op een publiek middel tenzij dit expliciet anders is geregeld. Welk middel is leidend? Dat lijkt het private middel te zijn. De leden van de VVD-fractie vragen de Staatssecretaris om een uitleg hiervan.

De systematiek van het conceptbesluit dient ter bevordering van de leesbaarheid en bruikbaarheid voor de diverse gebruikers ervan. In beginsel gelden dezelfde eisen voor de betrouwbaarheid, veiligheid en de werking van private en publieke identificatiemiddelen. In een beperkt aantal gevallen is het onwenselijk om een bepaalde eis voor een privaat middel ook te stellen aan een publiek identificatiemiddel, gelet op de publieke context. Te denken valt aan eisen met betrekking tot een verplichte verzekering. Het uitgangspunt is dat de Staat zich niet verzekert, maar eventuele gevolgen zelf draagt. De eisen met betrekking tot betrouwbaarheid en privacybescherming zijn gelijk.

In het licht van het voorgaande is ervoor gekozen om de leesbaarheid te optimaliseren voor private aanbieders. Daarmee gelden de generieke regels voor de meeste gebruikers en de uitzonderingen en aanvulling slechts voor een partij, de aanbieder van een publiek middel.

De volgorde waarin deze onderwerpen in het conceptbesluit worden behandeld staat dus los van het belang dat daaraan wordt gehecht. Geen van beide typen middelen, privaat of publiek, is leidend. Inhoudelijk is het om het even welk middel wordt gebruikt. Wel is het zo dat er te allen tijde een publiek middel beschikbaar is voor burgers.

Ook vragen de leden van de VVD-fractie de Staatssecretaris in te gaan op het volgende. Is er sprake van een «level playing field tussen private en publieke aanbieders»? Waar blijkt dat uit?

Het wetsvoorstel gaat uit van een stelsel voor identificatiemiddelen waarvan een publiek identificatiemiddel voor burgers deel uitmaakt. Er is voor gekozen om in ieder geval een publiek middel te hebben, als basisvoorziening, waarmee burgers toegang kunnen krijgen tot publieke dienstverlening. Een level playing field tussen het publieke middel enerzijds en private middelen anderzijds wordt niet beoogd, Voor wie dat wil is voor toepassing bij de overheid altijd een publiek middel beschikbaar. Het gebruik van het publieke middel is daartoe ook beperkt tot de overheid. Tussen de toegelaten private identificatiemiddelen bestaat wel onderlinge concurrentie, echter over een breder afzetgebied (zowel het publieke als het private domein). Deze concurrentie bestaat tussen hen reeds in het private domein (inloggen commerciële diensten). Doordat zij worden toegelaten, krijgen deze aanbieders de mogelijkheid om daarnaast hun diensten in het publieke domein aan te bieden. Zoals in de voorgaande antwoorden uiteen is gezet, zijn de eisen die worden gesteld aan publieke en private aanbieders van identificatiemiddelen in beginsel gelijk.

Voorts vragen de leden van de VVD-fractie aandacht voor de kosten voor gebruikers. In de toelichting staat dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties de publieke identificatiemiddelen als «nutsvoorziening» gratis of tegen beperkte kosten aanbiedt. In welke situatie zijn deze middelen gratis; in welke situatie tegen «beperkte» kosten beschikbaar? Aan welk bedrag moet dan worden gedacht?

Voor het gebruik van een publiek middel worden geen kosten in rekening gebracht. Ook zijn aan de aanschaf van het publieke middel op de niveaus laag en substantieel geen kosten verbonden. Wel zijn de tarieven van de Nederlandse identiteitskaarten vanwege de introductie van het publieke identificatiemiddel op niveau hoog verhoogd. Het aandeel in de leges hiervoor bedraagt in 2022 € 4,56 voor personen van 18 jaar en ouder en € 1,56 voor personen jonger dan 18 jaar. Deze bedragen worden jaarlijks geïndexeerd.

Ook is het straks mogelijk om gebruik te maken van private identificatiemiddelen. De Staatssecretaris stelt dat het voor private partijen mogelijk onvoldoende financieel aantrekkelijk kan zijn om tot het aanbieden daarvan over te gaan. Als dat het geval is kan van overheidswege een bijdrage worden gedaan om de business case voor partijen aantrekkelijker te maken. De leden van de VVD-fractie vragen de Staatssecretaris daar nader op in te gaan. Wanneer zal daartoe worden overgegaan? Hoe wordt dat gereglementeerd? Hoe wordt daar toezicht op gehouden, in die zin dat er voor alle partijen een gelijk speelveld ontstaat?

De in februari 2021 voorgehangen versie van het conceptbesluit maakt het mogelijk dat de overheid een bijdrage doet aan aanbieders om deelname aan het stelsel aantrekkelijker te maken. In de onderhavige versie heb ik deze mogelijkheid laten vervallen. Gelet op de huidige volwassenheid van de markt (de ruimte buiten het publieke domein, maar ook de verdere ontwikkeling van de eIDAS markt), lijkt het doen van een bijdrage niet nodig. Mocht in de praktijk blijken dat er toch onvoldoende partijen deelnemen, kan worden overwogen of een bijdrage alsnog wenselijk is. In dat geval wordt het besluit gewijzigd om een bijdrage mogelijk te maken.

Het besluit schrijft voor dat gegevens over gebruikers op zodanige wijze moeten worden bewaard dat gegevens over gebruikers niet herleidbaar zijn tot gegevens over het gebruik van het middel door die gebruikers. Verder kan een aanbieder van een identificatiemiddel zonder nadere handeling geen gegevens commercieel verhandelen. De leden van de VVD-fractie vragen de Staatssecretaris nader aan te geven wanneer en onder welke voorwaarden gegevens van gebruikers commercieel mogen worden verhandeld.

Gegevens van gebruikers die zijn verkregen voor authenticatie bij publieke dienstverleners mogen niet worden verwerkt of verstrekt voor aan ander doel dan authenticatie. Verhandelen van deze gegevens is onder geen enkele voorwaarde toegestaan. In de novelle die nu aanhangig is bij uw Kamer is opgenomen dat een aanvraag voor erkenning wordt afgewezen indien een aanvrager niet aannemelijk heeft gemaakt dat met de erkenning geen inkomsten worden verkregen uit het verhandelen of verstrekken van deze gegevens.

In de toelichting wordt ingegaan op de twee verschillende regimes voor identificatiemiddelen voor natuurlijke personen enerzijds en bedrijven en instellingen anderzijds. Er is eerder aangekondigd dat de twee regimes worden samengevoegd. De leden van de VVD-fractie vragen de Staatssecretaris daar nader op in te gaan. Wat wordt bedoeld en wat wordt hier beoogd?

Het wetsvoorstel digitale overheid bevat inderdaad twee regimes voor door publieke dienstverleners te accepteren identificatiemiddelen. Dit is eerder in de praktijk zo gegroeid. Samenvoeging is een ingrijpende wijziging, zowel voor de aanbieders van inlogmiddelen, en daarmee ook voor burgers, bedrijven en overheden die van deze inlogmiddelen afhankelijk zijn. Voor de korte termijn, ter borging van de continuïteit van middelen, wordt dit daarom niet gewijzigd. In de tweede tranche van de Wet digitale overheid zal de regering een voorstel doen voor samenvoeging van het burger- en bedrijvendomein. Hiermee wordt aangesloten op de eIDAS systematiek, waarbij op persoon wordt geauthentiseerd en hieraan vervolgens een bevoegdheid (bijvoorbeeld handelen namens een bedrijf) wordt gekoppeld. Om de samenvoeging voor deelnemers zo makkelijk mogelijk te laten verlopen, uniformeer ik de toelatingseisen en de toelatingsprocedure voor beide domeinen nu al in de uitvoeringsregelgeving.

De leden van de VVD-fractie vragen aandacht voor het punt van «open source». Is «open source» een vereiste voor publieke en private aanbieders? Is «open source» met deze AMvB verplicht? Wordt «open source» straks toegevoegd aan het toetsingskader voor toelating? Wat is daarover aan de Eerste Kamer toegezegd? Hoe verhoudt het wetsvoorstel Wet digitale overheid, dat momenteel nog in de Eerste Kamer in behandeling is, zich tot de onderhavige AMvB als het gaat om «open source»? Moet het wetsvoorstel Wet digitale overheid worden aangepast? Wordt overwogen om bij de Tweede Kamer daarvoor een novelle in te dienen? Wat zijn daarvan de gevolgen voor de onderhavige AMvB? Gaarne krijgen de leden van de VVD-fractie een reactie van de Staatssecretaris.

In antwoord op vragen van de Eerste Kamer over het wetsvoorstel digitale overheid is toegezegd om het principe van open source wettelijk te verankeren. Er is inmiddels een novelle aanhangig in de Tweede Kamer waarin dit is opgenomen. De in de novelle voorgestelde wijzigingen houden in dat in het toelatingsproces zal worden getoetst of open source in voldoende mate is toegepast. Daarbij wordt gekeken of voor functionaliteiten een open source alternatief voorhanden is, of dat voldoende wordt ondersteund gelet op de veilige inzet ervan en of dit de continuïteit van middelen voor burgers en bedrijven niet raakt. Na toelating vindt toezicht plaats. In de kern betekent dit dat ik, omdat ik de voordelen van open source zoals deze naar voren zijn gebracht onderschrijf, inzet op het open source maken van inlogmiddelen. Om uitvoering te geven aan dit nieuwe toetsingscriterium is het onderhavige besluit aangevuld. In dit besluit is vastgelegd dat een aanvrager van een erkenning uiteen moet zetten in welke mate de werking van de gebruikte software transparant is voor gebruikers, bijvoorbeeld door gebruik van open source software.

Voorts vragen de leden van de VVD-fractie wat de stand van zaken is met betrekking tot de AMvB’s die opgesteld moeten worden ingevolge de Wet digitale overheid en die al bij de Staten-Generaal zijn voorgehangen? Zijn deze inmiddels voorgelegd aan de Raad van State voor advies? Welke AMvB’s moeten nog bij de Staten-Generaal worden voorgehangen? Gaarne krijgen de leden van de VVD-fractie een reactie van de Staatssecretaris.

Behalve de onderhavige maatregel van bestuur, zijn nog twee algemene maatregelen van bestuur op grond van het wetsvoorstel digitale overheid aan de Staten-Generaal aangeboden in het kader van de voorhangprocedure: het Besluit digitale overheid en het Besluit bedrijfs- en organisatiemiddel. Voor al deze algemene maatregelen van bestuur heeft de Eerste Kamer de termijn gestuit. Bij memorie van antwoord is verzocht deze stuiting op te heffen. De Eerste Kamer heeft daarmee niet ingestemd. Daarom zijn deze conceptbesluiten nog niet voor advies aangeboden aan de Raad van State. De novelle bij het wetsvoorstel beoogt een aantal onderwerpen op wetsniveau te regelen die in het oorspronkelijke wetsvoorstel voorzien waren voor regeling in het Besluit bedrijfs- en organisatiemiddel en de onderhavige maatregel van bestuur. Als gevolg daarvan én van de verdere inzichten die worden opgedaan in de continue dialoog met de uitvoerders en de verdere uitwerking van de voorstellen, zijn er enkele aanpassingen in deze algemene maatregelen van bestuur aangebracht. Ter wille van de leesbaarheid zijn deze algemene maatregelen van bestuur integraal in vernieuwde versie aan de beide Kamers verzonden, waarbij de hoofonderwerpen van die wijzigingen zijn aangeduid in de aanbiedingsbrief bij die stukken. Dit om de beide Kamers hierover met oog op de behandeling van de novelle inzicht te bieden. Deze gewijzigde versies vervangen daarmee de eerdere versies in de voorhang.

De leden van de VVD-fractie stellen de volgende vragen over de Artikelsgewijze toelichting

Artikel 19

Artikel 19 gaat over de borging van marktconforme tarieven tussen erkende partijen. Ingevolge dat artikel kan de Minister een tarief vaststellen (...) indien het door de houder van een erkenning gehanteerde tarief hoger is dan marktconform. Wat wordt precies in dit artikel geregeld? Wie bepaalt wat «marktconform» is? Kan daar verschil van mening over bestaan? Wie beslist er dan? Gaarne krijgen de leden van de VVD-fractie een reactie van de Staatssecretaris.

Het wetsvoorstel digitale overheid bevat een grondslag voor het stellen van eisen aan de tarieven die aanbieders van inlogmiddelen in rekening brengen voor een inlogmiddel. Dergelijke eisen kunnen nodig zijn om te zorgen dat toegang tot overheidsdienstverlening toegankelijk blijft. Gezien de terugvaloptie van het gratis publieke identificatiemiddel voor burgers en, in de toekomst ook voor bedrijven, ligt het niet in de rede dat dit probleem in de praktijk aan de orde zal zijn. Bij een te hoog tarief zal een aanbieder zich immers uit de markt prijzen. Daarom worden met dit besluit geen eisen gesteld met betrekking tot het tarief en heb ik daarom een eerder opgenomen bepaling over dit onderwerp laten vervallen.

Artikel 31

Artikel 31 gaat over eisen aan erkende ontsluitende diensten. De leden van de VVD-fractie vragen zich af of artikel 31 lid goed geformuleerd is en dan met name de verbinding met sub a, b en c.

In artikel 9, derde lid van het wetsvoorstel is bepaald dat het mogelijk is om private ontsluitende diensten toe te laten wanneer dit noodzakelijk is «voor de continuïteit van de elektronische dienstverlening door bestuursorganen en aangewezen organisaties». Formele toelating van private ontsluitende diensten is niet nodig. Gebleken is dat ook zonder formele toelating private ontsluitende diensten hun functie kunnen vervullen. Daarom is artikel 31, dat ziet op eisen van de erkende ontsluitende dienst, komen te vervallen.

CDA

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het Ontwerpbesluit identificatiemiddelen voor natuurlijke personen Wdo. Deze leden hebben over het besluit een aantal vragen.

De leden van de CDA-fractie vragen, hoe het voorliggende Ontwerpbesluit zich verhoudt tot de visiebrief digitale identiteit die de Staatssecretaris onlangs naar de Kamer heeft gestuurd (Kamerstuk 26 643, nr. 743). Deze leden vragen in het bijzonder naar de digitale bronidentiteit, sectorale identiteitsmiddelen en het aangekondigde samenwerkings-platform rond wet- en regelgeving waaraan leveranciers van identificatiemiddelen kunnen deelnemen.

Dit besluit regelt de eisen voor toelating van inlogmiddelen voor de eerste tranche van de Wet digitale overheid. Dit besluit regelt niet de eisen voor toelating van sectorale identiteitsmiddelen zoals bijvoorbeeld een advocatenpas. Onder de Wdo zouden dergelijke inlogmiddelen, onder voorwaarden, ook toegelaten kunnen worden voor gebruik door een specifieke doelgroep (artikel 15, lid 5 Wdo). In het kader van het Europese digitale identiteit framework, de revisie van de eIDAS verordening, werk ik aan de daarvoor benodigde uitwerking van de digitale bronidentiteit. Ook werk ik aan het opzetten van een samenwerkingsplatform rond het onderwerp van dit Europese digitale identiteit framework waarin private partijen (waaronder leveranciers van identiteitsmiddelen), (semi)overheden en wetenschap open deel kunnen nemen aan de vorming van de toekomstige Nederlandse digitale identiteit infrastructuur.

De leden van de CDA-fractie constateren dat de Staatssecretaris beoogt in het Ontwerpbesluit zo weinig mogelijk technische aspecten vast te leggen. Het Ontwerpbesluit blijft techniekonafhankelijk en formuleert in plaats daarvan doelvoorschriften die gebaseerd zijn op de eIDAS en AVG. Omdat private aanbieders behoefte kunnen hebben aan duidelijkheid over hoe aan die doelvoorschriften kan worden voldaan, wordt in «good practices» uiteengezet welke praktische invulling van een doelvoorschrift zal leiden tot een conclusie dat voldaan is aan het voorschrift. Aan de hand van ervaringen in en signalen uit de uitvoeringspraktijk wordt bepaald of en in welke gevallen deze «good practices» worden opgesteld. Deze worden dan openbaar gemaakt. Zijn er al voorbeelden van deze «good practices», zo vragen de leden van de CDA-fractie.

Zoals door de vragenstellers aangeven wordt, zowel in het onderhavige besluit als in de ministeriële regeling waarmee de eisen nader worden ingevuld, zoveel mogelijk gebruik gemaakt van techniekneutrale eisen waarmee eisen worden gesteld aan het te bereiken doel en niet aan het middel waarmee dat doel wordt bereikt. Voor potentiële aanvragers heeft dat als voordeel dat zij meer ruimte hebben om op eigen wijze en met de techniek van het moment invulling te geven aan het gestelde doel.

Om potentiële aanvragers aan te geven op welke wijze in ieder geval invulling kan worden gegeven aan een doelvoorschrift, kunnen «good practices» worden opgesteld. Een invulling die in lijn is met «good practices» voldoet in ieder geval aan de gestelde eis, terwijl een andere invulling mogelijk blijft. Een voorbeeld is de inrichting van een rapportage waarmee een aanvrager van een erkenning inzichtelijk maakt dat een identificatiemiddel waarop de aanvraag ziet voldoet aan de betrouwbaarheids- en veiligheidseisen.

De leden van de CDA-fractie constateren dat de eisen aan publieke en private middelen in beginsel gelijk zijn, tenzij dit expliciet anders is geregeld (in ministeriële regelingen). Zo hoeven publieke middelen geen aanvraag te doen: deze worden ambtshalve aangewezen. Deze aanwijzing kan pas plaatsvinden wanneer is gebleken en kan worden gemotiveerd dat aan alle eisen is voldaan. De leden van de CDA-fractie vragen hoe wordt bepaald dat aan alle eisen is voldaan. Wordt deze motivering openbaar gemaakt?

Een aanwijzing voor een publiek middel wordt ambtshalve verleend en niet op aanvraag. Omdat de Minister van Binnenlandse Zaken en Koninkrijksrelaties verantwoordelijk is voor het verzorgen en voor het aanwijzen van publieke identificatiemiddelen zou het indienen van een aanvraag een overbodige stap zijn. De toelatingsprocedure verloopt verder op dezelfde wijze als bij een privaat middel. Een aanwijzing wordt gemotiveerd en gepubliceerd in de Staatscourant. Dat geldt ook voor een intrekking of wijziging van aanwijzing.

De leden van de CDA-fractie constateren, dat identificatiemiddelen die door EU-lidstaten aangemeld en eIDAS-genotificeerd zijn, niet het nationale toelatingstraject hoeven te doorlopen om te worden geaccepteerd, omdat deze middelen al op grond van artikel 7, eerste lid, onderdeel c, van de wet worden geaccepteerd. De verantwoordelijkheid voor dit middel ligt bij de lidstaat die dit heeft genotificeerd. De leden van de CDA-fractie vragen, of een aanbieder van een eIDAS-genotificeerd identificatiemiddel, die dit middel ook wil aanbieden aan Nederlandse burgers, dan niet het toelatingsproces hoeft te doorlopen, in tegenstelling tot andere middelenaanbieders. Leidt dit niet tot een mogelijk concurrentievoordeel, zo vragen deze leden.

Een identificatiemiddel wordt in het kader van eIDAS genotificeerd als onderdeel van een stelsel van een lidstaat. Wanneer een identificatiemiddel dat is genotificeerd voor een bepaald stelsel buiten de context van dat stelsel wordt aangeboden, bijvoorbeeld voor gebruik binnen het Nederlandse stelsel, geldt de notificatie niet. Genotificeerde middelen worden dus niet door die notificatie onderdeel van het Nederlandse eID-stelsel.

Een genotificeerd middel kan dus niet zonder toelating worden aangeboden aan Nederlandse burgers om rechtstreeks binnen het Nederlandse stelsel te worden gebruikt. Een Nederlandse burger kan een genotificeerd middel aanvragen, voor zover de inrichting van het genotificeerde stelsel dat toelaat. Veelal zijn die mogelijkheden voor anderen dan ingezetenen beperkt, omdat die stelsels zijn gericht op toegang tot dienstverlening in de desbetreffende lidstaat. Daarom zal in de regel een met het burgerservicenummer vergelijkbaar identificatienummer van de notificerende lidstaat nodig zijn.

Een Nederlandse burger kan een dergelijk middel vervolgens enkel gebruiken via het eIDAS-knooppunt. Voor gebruikers is het onderscheid merkbaar tussen een middel dat behoort tot het nationale stelsel en een middel dat behoort tot een stelsel van een andere EU-lidstaat. In het inlogproces krijgt een gebruiker eerst de keuze uit de middelen die behoren tot het nationale stelsel. Om te kiezen voor een middel dat behoort tot een stelsel van een andere lidstaat zal de gebruiker moeten kiezen voor de optie «eIDAS» waarna de verschillende genotificeerde stelsels kunnen worden gekozen. Identificatiemiddelen die in het kader van eIDAS zijn genotificeerd hebben dus een zodanig andere positie ten opzichte van door Nederland toegelaten middelen dat van concurrentievoordeel geen sprake zal zijn.

De leden van de CDA-fractie constateren dat verschillende artikelen of onderdelen daarvan op verschillende tijdstippen in werking kunnen treden (artikel 34). Deze leden vragen, of hiermee bijvoorbeeld de mogelijkheid ontstaat dat sommige middelen eerder worden toegelaten dan andere.

Zoals in het antwoord op de eerste vraag is aangegeven, zijn de eisen aan private middelen zelfstandig leesbaar, en verwijzen de artikelen over publieke middelen hiernaar. De inwerkingtreding van de eisen voor de private middelen is dus nodig voor de inwerkingtreding van de eisen aan publieke middelen, andersom niet. Door deze opzet zou het theoretisch mogelijk zijn om de toelating van een privaat middel eerder te verlenen dan voor een publiek middel. Gelet op het maatschappelijk nut van publieke identificatiemiddelen en de positie van die middelen in het wetsvoorstel ligt een dergelijke constructie niet in de rede. Ik ben niet voornemens de betreffende artikelen op verschillende tijdstippen in werking te laten treden.

Naar boven