34 972 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

Nr. 5 VERSLAG

Vastgesteld 23 oktober 2018

De vaste commissie voor Binnenlandse Zaken, belast met het voorbereidend onderzoek van dit wetsvoorstel, heeft de eer als volgt Verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de regering op de gestelde vragen en de gemaakte opmerkingen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.

Inhoudsopgave

blz.

     

I

ALGEMEEN

1

     

1.

Inleiding

1

2.

Standaarden

4

3.

Elektronische identificatie (eID)

6

4.

Privacy

9

5.

Misbruik van de GDI

10

6.

Toezicht en handhaving

10

7.

Financiële bepalingen en -gevolgen

11

8.

Verhouding tot andere wetgeving

12

9.

Gevolgen voor burgers en bedrijven

12

10.

Overgangsrecht en inwerkingtreding

12

11.

Consultatie en advies Autoriteit Persoonsgegevens

13

     

II

ARTIKELSGEWIJS

13

I ALGEMEEN

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur. Graag willen deze leden de regering hierover vragen stellen en diverse opmerkingen maken.

Het is onmiskenbaar dat Nederland digitaliseert en dat steeds meer diensten online worden geleverd. Ook de overheid in al zijn geledingen heeft daar mee te maken. Het is goed dat er nu een wetsvoorstel voorligt dat de digitale dienstverlening uniformeert.

Het wetsvoorstel regelt de bevoegdheid om bepaalde standaarden te verplichten in het elektronisch verkeer van de overheid; stelt regels over de informatieveiligheid; regelt de verantwoordelijkheid voor het beheer van de voorzieningen en diensten binnen de generieke digitale overheidsinfrastructuur en regelt de digitale toegang tot publieke dienstverlening voor burgers en bedrijven. In dat kader vragen de leden van de VVD-fractie waar de focus van het wetsvoorstel ligt. Het wetsvoorstel is vooral gericht op het opleggen van bepaalde standaarden in het elektronisch verkeer aan overheidsorganen en andere aangewezen instanties. Het wetsvoorstel is dus gericht op het standaardiseren van de huidige aanpak bij verschillende overheidsorganen, maar het zijn burgers en bedrijven die digitaal in contact met de overheid treden. Waar ligt nu de focus van het wetsvoorstel? In hoeverre is het wetsvoorstel gericht op de gebruikers van de digitale overheid? Wat betekent het wetsvoorstel voor de mensen? Wat betekent het voor bedrijven? Tot slot is er ook gekeken naar de invloed van het wetsvoorstel op de digitale economie en de cyberveiligheid? Hoe draagt dit wetsvoorstel bij aan de economische ontwikkeling in Nederland? Hoe draagt dit wetsvoorstel bij aan een gecoördineerde aanpak van de overheid om Nederland online veiliger te maken? Graag krijgen de leden van de VVD-fractie een reactie van de regering.

Als de leden van de VVD-fractie het goed zien komt er geen publiek inlogmiddel voor bedrijven. Waarom niet? De leden van de VVD-fractie achten het een goede zaak dat het wetsvoorstel verankert dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties verantwoordelijk is voor het beheer van het geheel van voorzieningen inzake de generieke digitale infrastructuur, met de Minister van Economische Zaken en Klimaat in een ondersteunende rol. Echter, de leden van de VVD-fractie missen in het geheel van voorzieningen, die voorzieningen die juist voor het bedrijfsleven van belang zijn. Is het mogelijk de digitale basisvoorzieningen die voor burgers worden geregeld, zoals «inloggen», in deze wet ook voor de digitale economie te regelen? Volgens de leden van de VVD-fractie is dat de manier om de vaak onnatuurlijke grens tussen digitale overheid en digitale economie te beslechten.

Zijn er nog andere manieren die bij het slechten van die grens behulpzaam zouden kunnen zijn? De leden van de VVD-fractie vragen de regering hier op in te gaan.

Het onderhavige wetsvoorstel is een eerste tranche. De leden van de VVD-fractie krijgen graag op hoofdlijnen inzicht in de volgende tranches. Hoeveel tranches zullen er, naar verwachting, nog volgen, wat zullen die regelen en welke tijdlijn hoort daarbij?

In artikel 30 van het wetsvoorstel staat dat deze wet wordt aangehaald als «Wet digitale overheid». Deze leden vragen de regering nader uiteen te zetten waarom er voor deze titel is gekozen. In hoeverre is de inhoud van de wet, na de wijziging naar aanleiding van de consultatie, in overeenstemming met de titel? Waarom is de titel van de wet gewijzigd ten opzichte van het wetsvoorstel dat ter inzage voor consultatie heeft gelegen? Is de oorspronkelijke titel «Wet generieke digitale infrastructuur» niet beter, zo vragen de leden van de VVD-fractie.

Tot slot van de inleiding vragen de leden van de VVD-fractie aandacht voor de Initiatiefnota van de leden Middendorp en Verhoeven over «Online identiteit en regie op persoonsgegevens» (TK 34 993). Daarin wordt een online identiteit bij de digitale overheid voorgesteld door het combineren van: 1) een veilig inlogsysteem, 2) het plaatsen van geselecteerde persoonsgegevens in een digitale kluis, 3) een digitaal contactadres voor iedere Nederlander. Met die drie componenten kan een online identiteit voor natuurlijke personen bij de digitale overheid worden gecreëerd. In hoeverre is het mogelijk om met het onderhavige wetsvoorstel de in de initiatiefnota voorgestelde digitale kluis te introduceren, inclusief de verplichting van bestuursorganen en andere organen om deze kluis ook daadwerkelijk te gebruiken? De leden van de VVD-fractie vragen de regering daar op in te gaan.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel digitale overheid. Deze leden onderschrijven het uitgangspunt, dat aanpassing aan de digitale samenleving van de overheid niet alleen noodzakelijk is, maar ook mogelijkheden biedt voor een betere dienstverlening.

Met de Afdeling advisering van de Raad van State zijn de leden van de CDA-fractie van mening dat toegang van burgers (en bedrijven) tot, en communicatie met de overheid, een basisrecht en een publieke verantwoordelijkheid is, die niet afhankelijk mogen worden van private partijen. Deze leden vragen de regering nader in te gaan op dit uitgangspunt. Ook vragen deze leden in dit verband aandacht voor de positie van organisaties die niet vallen in de categorie burger of de categorie bedrijf.

De strategische verkenning eID stelsel Nederland (2012) bepleitte één nationaal eID-stelsel, waarin overheid en bedrijfsleven samenwerken om burgers, consumenten en bedrijven zo goed, snel en veilig mogelijk elektronisch te kunnen bedienen. Hierdoor zou er geen onderscheid meer gemaakt hoeven worden in de digitale werelden van de burger: geen onderscheid tussen de digitale overheid en de digitale economie. Voldoet het voorliggende wetsvoorstel aan deze uitgangspunten, zo vragen de leden van de CDA-fractie.

Deze leden constateren, dat de beleidsverantwoordelijkheid van het Ministerie van BZK er niet toe heeft geleid dat het onderscheid tussen burger- en bedrijfs- en organisatiemiddelen qua online identiteit en universele oplossingen is opgeheven. Voor bedrijven en organisaties is er bijvoorbeeld nog steeds maar één privaat middel en publieke middelen kunnen niet privaat gebruikt worden en daarmee bijdragen aan een «digital single market», die juist beoogd wordt met de Europese eIDAS-verordening. De leden van de CDA-fractie vragen de regering hierop nader in te gaan.

Sluit de voorgestelde digitale infrastructuur aan bij de behoeften van de digitale samenleving, waarin de behoefte van de burger ook daadwerkelijk centraal wordt gesteld, waarbij de burger de generieke voorzieningen die hij al kent en gebruikt ook universeel kan gebruiken bij de overheid, zo vragen de leden van de CDA-fractie.

De Europese eIDAS-verordening bepaalt dat het vanaf september 2018 voor burgers en bedrijven mogelijk moet zijn om met de nationale, genotificeerde (door Europa erkende) middelen in te loggen bij alle overheidsorganisaties binnen de EU. Wat is de stand van zaken in de andere lidstaten, zo vragen de leden van de CDA-fractie. Wat is de stand van zaken met betrekking tot het grensoverschrijdend gebruik van eID-middelen?

De leden van de CDA-fractie constateren, dat er op het gebied van ICT en informatiebeveiliging reeds tal van audits bestaan. Deze leden vragen met welke externe audits op dit gebied medeoverheden op dit moment te maken hebben. Hoe verhoudt zich hiertoe de aankondiging, dat de stand van zaken met betrekking tot de informatiebeveiliging controleerbaar of auditbaar moet zijn?

De regering geeft aan, dat informatieveiligheid bij het ontwerp van de toegang tot elektronische dienstverlening centraal staat (MvT blz. 2). Verderop in de MvT (blz. 23) noemt de regering «privacy by design» als uitgangspunt. De leden van de CDA-fractie vragen in dit verband waar het «gebruikersgemak» is gebleven. Wordt de ontsluiting ook nog vormgegeven met het oog op de gebruiker, zo vragen deze leden.

De regering heeft de ambitie om te bevorderen dat in 2020 in beginsel alle actieve DigiD-gebruikers – thans ruim 13,5 miljoen burgers – kunnen beschikken over een elektronisch identificatiemiddel op het betrouwbaarheidsniveau substantieel of hoog. Welke stappen zet de regering om deze ambitie te verwezenlijken, zo vragen de leden van de CDA-fractie. Welke lasten brengt het voorliggende wetsvoorstel voor alle actieve DigiD-gebruikers mee, zo vragen deze leden.

Het voorliggende wetsvoorstel schept op verschillende punten de grondslag voor nadere uitwerking in een algemene maatregel van bestuur. De leden van de CDA-fractie vragen of hierop een voorhangprocedure van toepassing is en zo nee, waarom niet.

De leden van de D66-fractie hebben kennis genomen van het wetsvoorstel Digitale Overheid. Zij zijn positief over het introduceren van een wettelijke basis waarmee, door middel van een algemene maatregel van bestuur, overheden verplicht kunnen worden gesteld om bepaalde open standaarden te gebruiken. Daarnaast onderschrijven zij de wettelijke codificatie van het stelsel waarmee mensen online toegang krijgen tot elektronische diensten van de overheid, en de zorgplicht die de Minister van BZK hierbij krijgt. De leden van de D66-fractie willen de regering graag nog enkele vragen voorleggen.

De leden van de DENK-fractie hebben met belangstelling kennis genomen van het wetsvoorstel. Zij hebben daarover nog een aantal vragen.

Deze leden merken ten aanzien van de Elektronische identificatie (eID) op dat Estland al gebruik maakt van dit systeem. Maar zij weten dat Estland voorop loopt qua digitale ontwikkelingen. Is Nederland wel goed genoeg ontwikkeld om over te gaan op digitaal stemmen, zo vragen deze leden. Zij komen hier bij het thema informatieveiligheid op terug.

2. Standaarden

De leden van de VVD-fractie stellen vast dat het wetsvoorstel een grondslag bevat om bij algemene maatregel van bestuur open standaarden aan te wijzen die overheden dienen te hanteren in het elektronisch verkeer met andere overheden, met burgers en met bedrijven. Ingevolge artikel 3 lid 2 «kan» een standaard bij algemene maatregel van bestuur worden aangewezen. Dit is een niet-imperatieve bepaling. Als een generieke digitale infrastructuur wenselijk is, waarom is dan gekozen voor een niet-imperatieve bepaling, zo vragen de leden van de VVD-fractie. Als bij algemene maatregel van bestuur een verplichte standaard wordt aangewezen, geldt deze dan voor alle organen, zoals genoemd in artikel 2 of kan de standaard per orgaan verschillen? In hoeverre ligt dat laatste voor de hand vanuit het oogpunt van eenduidigheid en duidelijkheid van de generieke digitale infrastructuur? Wordt de Kamer geïnformeerd als wordt overgegaan tot het vaststellen van een algemene maatregel van bestuur? Wat regelt het wetsvoorstel met betrekking tot de overheidshuishouding als het gaat om persoonsgegevens? Wat kan de rijksoverheid met deze wet opleggen als het gaat om bronnen waar gegevens opgeslagen worden en bijvoorbeeld het gebruik van één bron voor (bepaalde) persoonsgegevens? Graag krijgen de leden van de VVD-fractie een reactie van de regering.

Overigens is het de leden van de VVD-fractie opgevallen dat veel zaken bij algemene maatregelen van bestuur worden bepaald. Ook is er sprake van ministeriële regelingen en beleidsregels. Kan er een overzicht worden gegeven van de onderwerpen die bij algemene maatregel van bestuur, ministeriële regeling dan wel beleidsregels nader worden uitgewerkt?

Overheidsorganisaties binnen het Rijk hanteren, zo lezen de leden van de CDA-fractie, bij aanschaf of (ver)bouw van ICT-systemen de open standaarden, die op de zogeheten «pas toe of leg uit»-lijst staan. Afwijken van deze verplichting mag alleen in geval van zwaarwegende redenen; verantwoording hierover moet worden afgelegd in het jaarverslag («leg uit»). De leden van de CDA-fractie vragen hoe deze verantwoording achteraf zich verhoudt tot de zorgplicht van de Minister. Deze leden vragen, of de bedoelde afweging niet gemaakt zou moeten worden in goed overleg. Deze leden stellen deze vraag mede in verband met de constatering (MvT blz. 7) dat rond de adoptie van open standaarden er in jaarverslagen onvoldoende verantwoord wordt waarom het tempo op dat vlak laag ligt.

De leden van de CDA-fractie vragen wat de stand van zaken is met betrekking tot de afspraken tussen overheden. Deze leden constateren, dat de afspraken in het kader van het Nationaal Beraad Digitale Overheid een geldigheid hadden tot eind december 2017.

De regering stelt, dat het «pas toe of leg uit»-principe voor bepaalde open standaarden het meest proportionele instrument blijft. Echter, voor sommige standaarden is het bevorderen van het gebruik onvoldoende en moeten overheidsorganisaties de standaard eenvoudigweg toepassen. Kan de regering dit onderscheid nader toelichten, zo vragen de leden van de CDA-fractie. Welke afweging maakt de regering bij het besluit om open standaarden op te leggen? Op welke termijn is de regering van plan gebruik te maken van deze mogelijkheid, zo vragen de leden van de CDA-fractie.

De regering kondigt aan, dat het gebruik van de verplichte standaarden jaarlijks zal worden gemonitord. Hoe, zo vragen de leden van de CDA-fractie.

De regering is voornemens om krachtens dit wetsvoorstel bij algemene maatregel van bestuur de Europese toegankelijkheidsnorm EN 301 549 aan te wijzen als een verplicht toe te passen standaard. De leden van de CDA-fractie onderschrijven dit voornemen, met het oog op de toegankelijkheid voor mensen met een beperking.

De leden van de D66-fractie onderschrijven dat het van groot belang is dat ICT-systemen van samenwerkende overheidsorganisaties elkaar moeten kunnen verstaan en probleemloos op elkaar moeten kunnen aansluiten. De onderhavige wet maakt mogelijk dat overheden verplicht kunnen worden om bepaalde open standaarden te gebruiken, en dat dit bij algemene maatregel van bestuur wordt vastgesteld. Deze leden zien in dat het níet gebruiken van dezelfde standaarden overheidsorganisaties op kosten kan jagen en gevolgen kan hebben voor de informatieveiligheid. Zij juichen toe dat de regering er voor kiest om hiervoor open standaarden te gebruiken. Zo wordt afhankelijkheid van de producent van een standaard vermeden, en dit creëert flexibiliteit om over te stappen naar andere en (na verloop van tijd) betere softwareproducten. De leden van de D66-fractie vragen de regering welke overheidsinformatie op dit moment vastgelegd is middels software dat gebruik maakt van gesloten standaarden (ondanks het «pas toe of leg uit»-beleid)? Is de regering van plan snel toe te werken naar volledige open standaarden middels deze te introduceren wettelijke basis? Voor welke standaarden in welke domeinen acht de regering dit onmogelijk? Kan het voorkomen dat indien bepaalde open standaarden verplicht worden, contracten met particuliere softwareverleners opgezegd moeten worden? Zo ja, welke kosten brengt dit met zich mee? Dit zou met name een probleem kunnen zijn bij overheidsinstanties die nog een slag te maken hebben wat open standaarden betreft, zoals waterschappen.

Verder vragen deze leden zich af op welke wijze besloten wordt om een open standaard verplicht te stellen? Wat zijn de voorwaarden waaraan moet worden voldaan? Hoe wordt vervolgens gecontroleerd of dit daadwerkelijk opgevolgd wordt door de overheidsinstanties?

De leden van de D66-fractie lezen dat de regering krachtens dit wetsvoorstel van plan is bij AMvB de Europese toegankelijkheidsnorm EN 201 549 toe te passen als standaard. Kan de regering toelichten op welke wijze dit websites in de publieke sector toegankelijker maakt?

Daarnaast zijn de aan het woord zijnde leden zeer positief over het verplichten van de HTTPS en TLS standaard op basis van de te creëren rechtsbasis van dit wetsvoorstel. Wanneer verwacht de regering aan dit voornemen gevolg te geven?

In par. 2.6 van de MvT lezen de leden van de DENK-fractie maatregelen om fraude te voorkomen. Uit nieuwsberichten bleek dat elektronisch stemmen niet perfect te beveiligen is. Al de maatregelen die genoemd worden zijn ook niet waterdicht. Is dit systeem nog niet te onveilig om gebruikt te worden?

Eerder werd er gebruik gemaakt van de programma Ondersteunde Software Verkiezingen (OSV). NOS berichtte dat de software sterk verouderd was en dat het zeer onveilig was. Hoe actueel is de software die gebruikt wordt in geval van elektronische verkiezingen en hoe veilig is die?

De leden van de DENK-fractie brengen naar voren dat volgens nieuwsberichten er een kans is op een cyberaanval op dat systeem, die een schending van de integriteit van de resultaten tot gevolg kan hebben. Hoe bestendig is de software tegen de mogelijke cyberaanvallen?

Volgens de bedrijf Milvum is Block-Chain-technologie de enige veilige manier om digitaal te stemmen. Maar om die technologie te kunnen gebruiken is er volgens Milvum nog 10 tot 20 jaar nodig. Is het niet verstandiger om op die technologie te wachten alvorens over te gaan op digitaal stemmen? De leden van de DENK-fractie ontvangen graag een reactie van de regering op deze punten.

3. Elektronische identificatie (eID)

Met het wetsvoorstel wordt de mogelijkheid gecreëerd, zo zien de leden van de VVD-fractie het, om één of meerdere door private partijen uitgegeven identificatiemiddelen te laten fungeren als een gelijkwaardige elektronische toegangsvoorziening bij dienstverlening van de overheid. De Minister van BZK kan namelijk een privaat uitgegeven inlogmiddel toelaten (art. 9). Het middel moet dan uiteraard wel voldoen aan het vereiste betrouwbaarheidsniveau. In hoeverre is er daarmee sprake van een «multimiddelenstrategie»? In hoeverre is het beleid erop gericht om privaat uitgegeven inlogmiddelen ook daadwerkelijk toe te laten, zodat er echt sprake is van een «multimiddelenstrategie»? Het komt de leden van de VVD-fractie voor dat er nu sprake is van een «overheidsmiddel plus terugvaloptie»-strategie. Naar de mening van deze leden zou er veel meer zekerheid moeten worden gegeven aan de private aanbieders. In hoeverre is dat in het onderhavige wetsvoorstel thans verankerd? Wat zou er in het wetsvoorstel moeten worden opgenomen om dat voor elkaar te krijgen? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering.

Overigens vragen de leden van de VVD-fractie hoe het aanwijzen van zo’n privaat identificatiemiddel als toegelaten identificatiemiddel gaat? Er zal accreditatie plaatsvinden. Waarom is gekozen voor aanbesteden via de Aanbestedingswet en niet voor accreditatie? In hoeverre wordt de onafhankelijke toezichthouder een certificerende instelling die een level playing field organiseert voor private en publieke middelen? Of is het meer een voorportaal voor een aanbestedingsprocedure? Is het net, zoals met «Ideal», de bedoeling dat mensen in de toekomst met een «dropdown-menu» uit private en publieke aanbieders kunnen kiezen om in te loggen bij de overheid? Hoe ver zijn private partijen overigens in het ontwikkelen van dergelijke middelen? Valt daar al iets over te zeggen? Gaarne krijgen de leden van de VVD-fractie een antwoord van de regering op de hier gestelde vragen.

Met betrekking tot de reikwijdte van de bestuursorganen waar het wetsvoorstel betrekking op heeft, zo lezen de leden van de VVD-fractie, geldt de wet in de eerste plaats voor zgn. «a-bestuursorganen», voor zover zij elektronische diensten ter uitvoering van een publieke taak, in het algemeen belang of anderszins, waarbij het Burgerservicenummer wordt verwerkt, verlenen. Daarnaast geldt de wet ook nog voor andere organen en bepaalde aangewezen organisaties. Kan gesteld worden dat het in alle gevallen gaat om organen en organisaties die een taak uitoefenen in het kader van het domein van het Burgerservicenummer, zo vragen de leden van de VVD-fractie. Zo neen, kan de regering één en ander verduidelijken.

In de bijlage bij het wetsvoorstel worden categorieën van instanties aangewezen waarvoor de wet straks geldt. In hoeverre wordt overwogen om daar categorieën aan toe te voegen? Aan welke categorieën wordt gedacht? Moet de wet worden gewijzigd als er daadwerkelijk categorieën aan worden toegevoegd? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering.

In de memorie van toelichting wordt gesteld dat toegelaten publieke middelen «in beginsel» uitsluitend worden gebruikt voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties. De leden van de VVD-fractie vragen in dezen naar de betekenis van de woorden «in beginsel».

DE leden van de VVD-fractie merken op dat in het hele proces het BSN-Koppelregister en de routeringsvoorziening een bepaalde rol hebben. De routeringsvoorziening wordt thans ingericht, zo staat in de memorie van toelichting. In dat kader wordt gesproken over «koppelvlakken». Graag krijgen de leden van de VVD-fractie een nadere verduidelijking van de functie van de routeringsvoorziening, inzicht in de kosten en de planning daarvan, alsmede een uitleg van het begrip «koppelvlak».

Op basis van het voorliggende wetsvoorstel zullen bestuursorganen en aangewezen organisaties verplicht worden voor hun elektronische diensten waarvoor, gelet op de aard ervan, veilige toegang in de rede ligt, het betrouwbaarheidsniveau substantieel of hoog te gebruiken. Kan de regering voorbeelden geven om dit onderscheid inzichtelijk te maken, zo vragen de leden van de CDA-fractie.

In het voorliggende wetsvoorstel is het uitgangspunt opgenomen, dat publieke middelen niet buiten het publieke of semipublieke domein worden gebruikt. De leden van de CDA-fractie hebben de indruk, dat de regering dit doet op grond van de vrees voor marktverstoring. Deze leden vragen, of de keuze van de consument in deze niet voorop zou moeten staan, zoals de Thuiswinkel.org en Detailhandel Nederland bepleiten. Deze leden vragen de regering deze principiële keuze nader uiteen te zetten.

De regering stelt, dat publieke middelen bedoeld zijn om als burger in contact te komen met bestuursorganen en aangewezen organisaties. Indien een KvK-nummer of RSIN-nummer vereist is voor authenticatie, kan niet met een publiek middel worden ingelogd. Wat is de (wettelijke) reden dat er geen publiek middel kan worden gebruikt in deze gevallen, zo vragen de leden van de CDA-fractie.

De leden van de CDA-fractie vragen de regering in dit verband ook in te gaan op de opmerkingen die het Adviescollege Toetsing Regeldruk (ATR) in zijn advies van 6 november 2017 maakt over de eHerkenningsmiddelen.

De regering constateert dat ondernemingen die op naam van een natuurlijk persoon staan, gebruik kunnen maken van dienstverlening (gericht op het bedrijf) waarbij het mogelijk is om te identificeren met DigiD en met eHerkenning. De regering beoordeelt dit als mogelijk ondoelmatig. Waarom treedt de regering in de keuze van de ondernemer, zo vragen de leden van de CDA-fractie. De regering geeft aan dat de wet de mogelijkheid biedt om de huidige situatie te reguleren. Is de conclusie gerechtvaardigd dat de regering deze bepaling invoert met het oog op het verbieden van digitale dienstverlening voor bedrijven waarbij de toegang op basis van identificatie met een publiek middel wordt verleend, zo vragen de leden van de CDA-fractie.

De leden van de D66-fractie lezen dat dit wetsvoorstel de huidige taken en verantwoordelijkheden voor de Minister van BZK, die nodig zijn om de infrastructuur voor identificatie en authenticatie in het publieke domein te doen functioneren, codificeert. Zij zijn van mening dat toegang tot elektronische diensten van de overheid betrouwbaar en veilig moet zijn. Het is goed dat deze wet dit vastlegt.

De Minister van BZK draagt de verantwoordelijkheid voor het ontwikkelen van publieke identificatiemiddelen voor Nederlanders op een voldoende hoog betrouwbaarheidsniveau. Dit laatste achten deze leden van groot belang: mensen moeten beschikking krijgen over publieke identificatiemiddelen op een hoger betrouwbaarheidsniveau dan het huidige DigiD. Deze leden verbazen zich enigszins over het feit dat de kosten die het Rijk maakt samenhangend met de verstrekking van een publiek identificatiemiddel met een hoger betrouwbaarheidsniveau, ten laste worden gebracht van de burger. Zij vragen de regering, hoe hangt dit samen met het basisrecht van burgers tot communicatie met de overheid, en het feit dat dit een publieke verantwoordelijkheid is? Is de regering het met de aan het woord zijnde leden eens dat de overheid zelf, met eigen middelen, zorg voor deze overheidscommunicatie dient te dragen, op een zo hoog mogelijk betrouwbaarheidsniveau? Is het een mogelijkheid andere modellen voor het bekostigen te onderzoeken?

De aan het woord zijnde leden zouden graag, net als de Afdeling Bestuursrechtspraak van de Raad van State, het basisrecht voor burgers tot communicatie met de overheid in het voorstel consequent doorgevoerd zien. Waarom is dit niet in onderhavig wetsvoorstel opgenomen? Het feit dat dit recht een bredere werkingssfeer heeft dan onderhavig voorstel hoeft de verwerking in dit voorstel niet te belemmeren.

Verder vragen de aan het woord zijnde leden toe te lichten hoe uitvoeringsorganisaties en dienstverleners kunnen bepalen wat het vereiste betrouwbaarheidsniveau is bij elektronische identificatie? Welke regels gelden hierbij? Is hier toezicht op?

Ook lezen zij dat Artikel 6 lid 4 ruimte biedt om tijdelijk een inlogmiddel met een lager betrouwbaarheidsniveau toe te staan, en af te wijken van het hogere betrouwbaarheidsniveau. Hoe lang mag dat, zo vragen deze leden? Zou het verstandig zijn hieraan een deadline te koppelen?

De leden van de D66-fractie begrijpen de overweging om ook één of meer door private partijen uitgegeven identificatiemiddelen te laten werken als elektronische toegangsvoorziening bij dienstverlening met de overheid. Op dit moment is alleen identificatie mogelijk met DigiD. Indien er problemen zijn met de software van DigiD kan het voorkomen dat de gehele digitale dienstverlening van de overheid stil komt te liggen. Dat moet voorkomen worden. Wel is vanzelfsprekend van groot belang dat dit middel veilig en toegankelijk is en de privacy van gebruikers waarborgt. De Minister van BZK is degene die besluit tot toelating van een privaat identificatiemiddel. Kan de regering toelichten welke technische voorschriften zijn verbonden aan het toelatingsbesluit en deze motiveren? Volgen deze uit de eIDAS richtlijn? Is de regering dan van mening dat deze eisen voldoende zijn? Kunnen en willen zij eventueel ook aanvullende eisen stellen?

Verder merken de leden van de D66-fractie op dat de Minister van BZK besluit welk privaatidentificatiemiddel kan worden toegelaten op basis van de voorschriften. Artikel 9 lid 2 bepaalt voorwaarden wanneer de Minister deze private middelen kan toelaten. Begrijpen deze leden hieruit dat niet elk middel dat aan de voorwaarden voldoet wordt toegelaten? Op welke wijze wordt dan een keuze gemaakt tussen aanbieders die aan de voorwaarden voldoen? Zij lezen tevens dat een privaat middel alleen wordt toegelaten wanneer een privaat middel noodzakelijk is voor de beschikbaarheid en toegankelijkheid van elektronische dienstverlening aan natuurlijke personen. Wanneer is deze noodzaak er, zo vragen deze leden?

De leden van de D66-fractie vragen in hoeverre het de bedoeling is om publieke middelen (zoals DigiD) buiten het publieke domein te gebruiken (artikel 8). Wordt dat breed inzetbaar?

De reikwijdte van organisaties die de plicht hebben om bij elektronische dienstverlening de toegelaten identificatiemiddelen te accepteren is vrij breed. Hier vallen naast de algemene overheidslagen ook pensioenuitvoerders, zorgaanbieders, ziektekostenverzekeraars, indicatieorganen en de universiteiten en hogescholen onder. Welke kosten brengt deze plicht met zich mee voor deze organisaties, aangezien universiteiten bijvoorbeeld nu nog geen gebruik maken van DigiD?

De leden van de D66-fractie lezen dat het streven is dat in de toekomst voor alle personen met een BSN een elektronisch identificatiemiddel op de betrouwbaarheidsniveaus substantieel en hoog beschikbaar komt. Dit wordt gekoppeld aan een rijbewijs of identiteitskaart. Deze leden lezen tevens dat voor een bepaalde periode ongelijkheid kan ontstaan tussen burgers die wel of niet een rijbewijs of identiteitskaart hebben. Zij die dit niet hebben, kunnen niet inloggen op betrouwbaarheidsniveau substantieel/hoog en derhalve geen toegang krijgen tot de elektronische dienst de overheid aanbiedt. Dit creëert ongelijkheid. Op welke wijze zal de regering er zorg voor dragen dat elk persoon met een BSN die dat wenst toegang kan krijgen tot een elektrische overheidsdienst die voor hem of haar zaken regelt waarbij het betrouwbaarheidsniveau voor identificatie substantieel of hoog is?

4. Privacy

De leden van de CDA-fractie vragen hoeveel punten het woord «gegevensbeschermingseffectbeoordeling» oplevert tijdens een potje Scrabble.

Voor de leden van de D66-fractie is de waarborging van privacy van groot belang. Zij zijn dan ook verheugd dat er diverse privacy impact assesments (PIA’s) zijn uitgevoerd om de effectieve toepassing van de AVG te waarborgen bij dit wetsvoorstel. Kan de regering deze PIA’s aan de Kamer doen toekomen?

Ook steunen zij het feit dat de technische inrichting van dit voorstel voortkomt uit de privacy-eisen die gesteld worden door de AVG, ook wel privacy by design genoemd. Deze leden vragen zich wel af waar in de wet is terug te vinden dat de gegevensverwerking zodanig wordt ingericht, dat geen van de bij authenticatie betrokken partijen (inclusief dienstverleners) kan zien welke andere websites door de houder van het middel worden bezocht? Daarnaast vragen deze leden waarom de regering er voor gekozen heeft om de uitwerking van artikel 15 tot en met 18 AVG (recht van inzage en rectificatie) niet in de wet op te nemen, maar dit in uitvoeringsregelgeving vast te leggen? Zou dit recht niet van fundamentelere betekenis zijn als het ook in de wet wordt vastgelegd en uitgewerkt met betrekking tot onderhavig voorstel? Hetzelfde geldt voor dataminimalisatie: de gegevens die voor de toegang tot elektronische dienstverlening worden verwerkt moeten toereikend en terzake dienend zijn, en proportionaliteit en subsidiariteit zijn hierbij leidend. Ook hier wordt in de memorie van toelichting niet op ingegaan, maar dit zal in uitvoeringsregelgeving worden ingevuld. Kan de regering schetsen hoe zij dit voor zich ziet? Hoe zal dataminimalisatie bewerkstelligd worden? Waarom behoeft dit principe geen plaats in de wet? Nu is nog geheel onduidelijk of (de uitwerking van) deze wet zal voldoen aan de AVG.

5. Misbruik van de GDI

Ingevolge het wetsvoorstel is het mogelijk een identificatiemiddel in te trekken. De leden van de VVD-fractie vragen zich af hoe de aansprakelijkheid dan is geregeld. Voor wie zijn de kosten: voor de burger of voor het orgaan dan wel de aangewezen organisatie? Gaarne krijgen zij een reactie van de regering.

6. Toezicht en handhaving

Ook al is een overheidstaak op afstand gezet, vanuit zijn algemene ministeriële verantwoordelijkheid dient de Minister de betrokken zelfstandige bestuursorganen zo nodig tot naleving van de wet te bewegen, zo lzen de leden van de CDA-fractie. Welke middelen staan de Minister(s) hierbij ter beschikking, zo vragen de leden van de CDA-fractie.

Het primaat voor de controle op de naleving ligt bij horizontale verantwoording binnen een bestuurslaag. Hier wordt onder andere gedoeld op medeoverheden. De leden van de CDA-fractie constateren, dat de praktijk uitwijst dat gemeenteraden, provinciale staten en algemeen besturen vaak de nodige informatie ontberen om als toezichthouder op te treden. Welke stappen zijn hierop ondernomen of overweegt de regering hierop te ondernemen, zo vragen deze leden. Wat is de positie van de burgemeester op het vlak van informatieveiligheid als verantwoordelijke voor openbare orde en veiligheid?

De regering stelt, dat het Agentschap Telecom de logische keuze is voor de taak van toezichthouder op erkende diensten. Thans vervult het Agentschap Telecom de secretariaatsfunctie voor de Commissie van Deskundigen voor het toezicht op het Elektronische Toegangsdienstenstelsel. Is het de bedoeling dat het Agentschap de volledige taak overneemt, zo vragen de leden van de CDA-fractie.

In de memorie van toelichting (blz. 36) wordt nader ingegaan op veiligheidsinbreuken. Uitgangspunt is transparantie aangaande risico’s (meldplicht). Bij veiligheidsinbreuken met «beperkte impact» ligt de plicht minder voor de hand, zo stelt de regering. Kan de regering aan de hand van voorbeelden schetsen wanneer de meldplicht achterwege kan blijven, zo vragen de leden van de CDA-fractie.

De leden van de D66-fractie lezen in de toelichting dat in 2015 alleen al 15.000 DigiD’s zijn geblokkeerd vanwege (een vermoeden van) fraude. Dit duidt op een serieus probleem. De Afdeling adviseert om in het voorstel een duidelijk belegde verantwoordelijkheid op te nemen voor het oplossen van de problemen waar slachtoffers van identiteitsfraude mee te maken krijgen. Dat ontbreekt nu. Ook is er niet geregeld welk orgaan hiervoor verantwoordelijk is en waar het slachtoffer zich kan melden, of hoe hij op een eenvoudige manier een identificatiemiddel tijdelijk kan onderbreken. Kan de regering uiteenzetten waarom de verankering van deze taken in deze wet niet opportuun is? De aan het woord zijnde leden zien identiteitsfraude als een serieus probleem waarbij hulp aan slachtoffers van groot belang is.

Verder lezen deze leden dat dienstverleners geacht worden jaarlijks een audit te laten uitvoeren om te toetsen op de naleving aan de eisen aan de werking, betrouwbaarheid en beveiliging van de toegang van de elektronische dienstverlening. Dit ondersteunen de aan het woord zijnde leden. Wordt deze audit-verklaring ook openbaar gemaakt, zo vragen zij de regering? Zo nee, waarom niet? Zo ja, is het dan opportuun dit in de wettekst op te nemen?

De leden van de D66-fractie merken op dat het wettelijk kader ook afgeleide identificatie mogelijk maakt. Dit zou betekenen dat bij de aanvraag voor eHerkenning kan worden gesteund op de identificatie van (bijvoorbeeld) DigiD. Is de regering van mening dat hieruit volgt dat het van belang is dat de veiligheidseisen voor het bedrijvenmiddel vergelijkbaar zijn met de veiligheidseisen van het burgermiddel (en andersom)? Wie of welke instantie houdt er toezicht op dat de eisen die gesteld worden aan de inlogmiddelen vergelijkbaar zijn? Klopt het dat op het bedrijvenmiddel het Agentschap Telecom toezicht houdt, en op het burgermiddel «aangewezen ambtenaren» (Art. 17)? Zijn deze twee verschillende toezichthouders wenselijk, gelet op de mogelijkheden tot afgeleide identificatie?

7. Financiële bepalingen en -gevolgen

Het wetsvoorstel zal de nodige kosten met zich meebrengen. De leden van de VVD-fractie vragen wat de kosten voor de overheid als gevolg van het wetsvoorstel zijn. Hoe ziet de business case eruit? Klopt het dat de business case voor inloggen bij de overheid met 300 miljoen euro is gestegen en nu uitgaat van een bedrag van één miljard euro? Welke kosten komen voor rekening van de bestuursorganen en de aangewezen organisaties die de diensten leveren? Hoe worden de kosten van deze diensten bepaald? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering.

De regering stelt dat alle bij het wetsvoorstel betrokken partijen financiële gevolgen zullen ondervinden van het wetsvoorstel. De leden van de CDA-fractie constateren, dat betrokken partijen niet consequent betrokken zijn bij de besluiten die worden genomen in het kader van digitale overheid. Deze leden verwijzen in dit verband naar vragen van universiteiten en hogescholen over het voorliggende wetsvoorstel. Universiteiten en hogescholen voeren aan, dat de kosten die gepaard zullen gaan met de implementatie en het beheer van de nieuwe generieke digitale infrastructuur en die grotendeels voor rekening zullen komen van de afnemers, volstrekt onduidelijk zijn, waardoor een betrouwbare impactanalyse onmogelijk is. Deze leden vragen de regering nader in te gaan op deze kritiek, die niet alleen universiteiten en hogescholen betreft, maar alle betrokken dienstverleners.

Kan de regering een exegese geven van de zinsnede «dat een toekomstbestendige financieringsstrategie moet kunnen meeademen met de implicaties van meer gebruik en nieuwe technologische eisen» (MvT blz. 38), zo vragen de leden van de CDA-fractie.

De leden van de D66-fractie vragen of de regering kan toelichten op welke wijze een privaat inlogmiddel gefinancierd wordt? Betaalt de burger dit zelf direct aan de private partij die het inlogmiddel aanbiedt? Hoe beziet de regering hier het basisrecht tot communicatie met de overheid en aldus de verantwoordelijkheid om met eigen middelen mogelijk te maken dat ook middels een privaat inlogmiddel ingelogd kan worden?

De leden van de D66-fractie lezen dat er geen inschatting gemaakt kan worden om de totale kosten van dit wetsvoorstel in beeld te brengen. Wel is dit mogelijk («er is een redelijk beeld») voor de kosten van het uitrollen van een robuuste infrastructuur voor authenticatie en identificatie, inclusief toelating en toezicht. Hier wordt verder echter niet op in gegaan. Kan de regering dit beeld schetsen?

Kan de regering verder een inschatting maken van de kosten voor gemeenten nu zij hun digitale infrastructuur zullen moeten aanpassen om het betrouwbaarheidsniveau substantieel of hoog te moeten toelaten?

8. Verhouding tot andere wetgeving

In de Europese Unie is de richtlijn e-privacy in voorbereiding. De leden van de VVD-fractie vragen hoe de Wet digitale overheid zich tot deze richtlijn verhoudt.

De regering kiest er niet voor om de Wet op de identificatieplicht aan te passen, maar te zijner tijd de verschillende wetten waarin identificatiemiddelen zijn opgenomen te wijzigen. Zou het niet logischer zijn geweest om de Wet op de identificatieplicht aan te passen? De leden van de VVD-fractie vragen de regering deze keuze nader te motiveren.

9. Gevolgen voor burgers en bedrijven

De leden van de CDA-fractie constateren, dat het voorliggende wetsvoorstel voor personen met een (digitale) beperking en voor (internationale) bedrijven buiten het BSN-domein tot lastenverzwaring kan leiden. Deelt de regering deze waarneming? Zo nee, waarom niet? Zo ja, welke maatregelen neemt de regering om de lastenverzwaring weg te nemen of tenminste te beperken?

In uitvoeringsregelgeving zullen criteria worden opgenomen («classificatiemodel») die relevant zijn voor het door de dienstverlener (kunnen) inschalen van het benodigde betrouwbaarheidsniveau zoals aard en rechtsgevolg van de desbetreffende dienst. Deze criteria bepalen naar de mening van de leden van de CDA-fractie in grote mate het kader waaraan eID-middelen moeten voldoen. Onderkent de regering, dat zolang deze criteria onbekend zijn, burgers en bedrijven in onzekerheid verkeren over welke eID-middelen in de toekomst zullen worden gehanteerd? Ook organisaties in het BSN-domein die een erkenningsplicht hebben, weten niet waar zij aan toe zijn. Onderkent de regering, dat dit ook leidt tot onzekerheid over investeringen in private eID-middelen, waardoor potentiële aanbieders van erkende private eID-middelen op het betrouwbaarheidsniveau hoog zich niet melden?

De leden van de D66-fractie hebben met belangstelling de baten gelezen die door dit voorstel voor burgers kunnen ontstaan. Echter wordt er ook gesproken over lasten. Eerder in deze inbreng is al gesproken over het feit dat Nederlanders zelf voor een deel de kosten dragen van de introductie van het betrouwbaarheidsniveau substantieel of hoog. Hier zijn vragen over gesteld. Kan de regering toelichten hoe hoog deze kosten zullen zijn per ID-kaart of rijbewijs? In de toelichting wordt gesteld dat het installeren van «DigiD niveau hoog» vrij eenvoudig kan zijn, maar dat het installeren van het niveau substantieel omslachtiger kan zijn. Kan de regering dit toelichten? Hoe gaat niveau substantieel eruit zien en waarom is dit omslachtiger voor mensen?

Daarnaast vragen zij ook graag naar wat het periodiek heractiveren van DigiD hoog betekent voor mensen? Kan de regering dit toelichten?

Tevens lezen deze leden dat mensen die niet over een Android telefoon beschikken een kaartlezer moeten aanschaffen voor DigiD hoog. Veel mensen in Nederland beschikken niet over een Android telefoon. Wat zijn de kosten van deze kaartlezer? Worden deze door de overheid gedekt? Is er geen mogelijkheid om DigiD Hoog ook mogelijk te maken voor mensen met een iPhone of zelfs zonder fysieke kaart?

10. Overgangsrecht en inwerkingtreding

Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.

11. Consultatie en advies Autoriteit Persoonsgegevens

De regering stelt, zo lezen de leden van de CDA-fractie, dat uit de consultatie breed draagvlak is gebleken voor de centrale doelstellingen van het wetsvoorstel. De regering stelt, dat voorts gebleken is dat het nodig is om bij de verdere uitwerking het authenticatiestelsel op enkele onderdelen te vereenvoudigen om de uitvoerbaarheid beter te realiseren en dat het wetsvoorstel op basis daarvan is aangepast. De leden van de CDA-fractie constateren dat bijvoorbeeld de Vereniging van Universiteiten en de Vereniging Hogescholen samen met DUO, Studielink en Surf een bijdrage hebben geleverd aan de consultatie, waarbij zij al direct hun zorgen hebben geuit over de technische en financiële gevolgen van het voorliggende wetsvoorstel. Kan de regering aangeven waarom de brede consultatie in twee bladzijden van de memorie van toelichting wordt samengevat en afgedaan? Welke organisaties hebben een bijdrage geleverd aan de consultatie en op welke wijze zijn hun commentaren verwerkt in het voorliggende wetsvoorstel?

Op welke wijze zijn pensioenuitvoerders betrokken geweest bij de vormgeving van het voorliggende wetsvoorstel, zo vragen de leden van de CDA-fractie. Deelt de regering de wens van de Pensioenfederatie om de gegevensuitwisseling tussen overheid en pensioenfondsen integraal te verbeteren om te voorkomen dat pensioendeelnemers pensioenopbouw en pensioenuitkeringen mislopen, zo vragen deze leden.

In de memorie van toelichting (blz. 54) reageert de Minister op het advies van de Autoriteit Persoonsgegevens (AP). Wanneer burgers gebruik maken van deze digitale dienstverlening van overheidsorganisaties, worden er persoonsgegevens van hen verwerkt. De AP stelt, dat dit een inbreuk oplevert op het recht op eerbiediging van de persoonlijke levenssfeer. Deelt de regering deze opvatting, zo vragen de leden van de CDA-fractie.

II ARTIKELSGEWIJS

Artikel 8

Het voorgestelde artikel 8 gaat over het gebruik van een publiek middel in het publieke domein. De leden van de VVD-fractie krijgen graag een nadere verduidelijking van de leden 2 en 3.

Artikel 9, tweede lid

Het voorgestelde artikel bepaalt dat de Minister na het volgen van een door hem vast te stellen procedure een of meerdere private identificatiemiddelen (voor burgers) kan aanwijzen. Uit de memorie van toelichting blijkt dat er binnen de kaders van de Aanbestedingswet 2012 een selectieprocedure doorlopen zal worden. De leden van de CDA-fractie vragen, of dit niet tegenstrijdig is, aangezien voor private bedrijfs- en organisatiemiddelen erkenning door middel van accreditatie plaatsvindt. Is het juist, dat het wetsvoorstel de mogelijkheid open laat dat een bedrijfs- en organisatiemiddel gebruikt kan worden als burgermiddel, maar een burgermiddel niet als bedrijfs- en organisatiemiddel?

De Minister kan een privaat middel toelaten als dit noodzakelijk is voor de beschikbaarheid en toegankelijkheid van elektronische dienstverlening aan natuurlijke personen. Is het juist dat toelating van een privaat middel daarmee afhankelijk is van de beoordeling van een ministerie, zo vragen de leden van de CDA-fractie. Waarom worden private middelen niet toegelaten, als zij voldoen aan Europese regelgeving (eIDAS), zo vragen deze leden.

De leden van de CDA-fractie vragen hoe de voorgestelde selectieprocedure zich verhoudt tot de intentieverklaring van oktober 2015 tussen de Belastingdienst, vijf banken en de Betaalvereniging Nederland, waarin de uitgangspunten voor samenwerking tussen partijen werden vastgelegd in de vorm van een pilot. Op welke wijze is de succesvolle pilot van inloggen met iDIN bij de Belastingdienst verwerkt in het voorliggende wetsvoorstel?

Artikel 12

Het voorgestelde artikel 12 gaat over het aanwijzen van «attributen». Het aanwijzen is een taak van de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Waarom is gekozen voor de Minister van Binnenlandse Zaken en Koninkrijksrelaties, terwijl eerder wel is gedacht aan een «attributendienst»? Wat zijn de voor- en nadelen van beide figuren? Wat zou dat voor een orgaan zijn geweest? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering.

Artikel 29

Onverwijlde inwerkingtreding van het wetsvoorstel is nodig met het oog op de eIDAS-verordening. Voor het overige wordt gestreefd naar gefaseerde inwerkingtreding van de wet met ingang van 1 januari 2019. De leden van de VVD-fractie vragen zich af hoe realistisch dat is.

De voorzitter van de commissie, Ziengs

De waarnemend griffier van de commissie, Hendrickx

Naar boven