34 972 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

35 868 Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

AF1 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 17 maart 2023

De leden van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning2 hebben kennisgenomen van de brief van 3 maart 2023 met de juridische analyses van de Landsadvocaat inzake de reikwijdte van de eIDAS-verordening en inzake de open source-eis.3De leden van de fracties van GroenLinks en de PvdA hebben hierover nog een aantal vragen.

Naar aanleiding hiervan is op 17 maart 2023 een brief gestuurd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.

De Staatssecretaris heeft op 17 maart 2023 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning, Bergman

BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR BINNENLANDSE ZAKEN EN DE HOGE COLLEGES VAN STAAT / ALGEMENE ZAKEN EN HUIS DER KONING

Aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties

Den Haag, 17 maart 2023

De leden van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning hebben kennisgenomen van uw brief van 3 maart met de juridische analyses van de Landsadvocaat inzake de reikwijdte van de eIDAS-verordening en inzake de open source-eis.4De leden van de fracties van GroenLinks en de PvdA gezamenlijk hebben met belangstelling kennisgenomen van de brief en hebben hierover enkele vragen.

In het advies van de Landsadvocaat wordt omstandig aangegeven dat het toepassingsbereik van de eIDAS-verordening nadrukkelijk beperkt is tot gevallen van grensoverschrijdende authenticatie. Dat is naar het oordeel van deze leden toch een slag anders dan het door u hierover ingenomen standpunt in het recente debat in de Eerste Kamer, waarin u stelde dat de eIDAS-verordening er om vraagt dat internationale middelen zouden moeten worden toegelaten voor het contact tussen de Nederlandse burger en de Nederlandse overheid. Op welke wijze heeft het juridisch advies van de Landsadvocaat uw zienswijze doen veranderen inzake de werking van de eIDAS-verordening en welke gevolgen heeft dit voor de Wet digitale overheid?

Die beperking tot grensoverschrijdende gevallen was ook uitdrukkelijk de bedoeling van de Europese Commissie die, zoals het advies op pagina’s 5 en 6 aangeeft, van oordeel is dat «het uitreiken van identificatiemiddelen een nationale aangelegenheid is» en daarom ook «niet op dezelfde generieke manier [kan] worden behandeld als andere elektronische vertrouwensdiensten».

Kunt u de Landadvocaat vragen hoe dit zich verhoudt tot de door hem ingenomen stelling op pagina 10 dat hij vanuit het perspectief van gelijke behandeling zelfs in een «zuiver interne situatie» (waarin een Nederlandse burger over een erkend buitenlands elektronisch identificatiemiddel (hierna: EIM) beschikt, zonder dat zich een grensoverschrijdend element voordoet) zich kan voorstellen dat Nederlandse burgers op dezelfde wijze wordt toegestaan gebruik te maken van erkende buitenlandse EIM’s als dat moet worden toegestaan voor EU-burgers in gevallen van grensoverschrijdende authenticatie? Waarom zou op basis van het gelijkheidsbeginsel moeten worden geconcludeerd dat de Nederlandse overheid ook in een «zuiver interne situatie» een elders erkend EIM zou moeten accepteren, terwijl de Europese Commissie bij de vormgeving van de verordening het toepassingsbereik nadrukkelijk beperkte tot grensoverschrijdende gevallen?

Een ander argument van de Landsadvocaat om het gebruik van buitenlandse EIM’s door Nederlandse burgers toe te staan is de praktische uitvoerbaarheid. Kunt u de Landsadvocaat vragen of hij daarmee eigenlijk concludeert dat de nadrukkelijk door de Europese Commissie in artikel 6 eIDAS opgenomen beperking van verplichte acceptatie van buitenlandse EIM’s tot «grensoverschrijdende authenticatie» in feite onmogelijk is? En is de Landsadvocaat daarmee van oordeel is dat er sprake is van slechte Europese regelgeving, aangezien deze niet uitvoerbaar is? Of moet het advies volgens de Landsadvocaat zo worden gelezen dat het beperken van verplichte acceptatie van buitenlandse EIM’s tot «grensoverschrijdende authenticatie», weliswaar meer uitvoeringskosten met zich kan brengen, maar niet onmogelijk is?

Bent u bereid om – in lijn met de bedoeling van de Europese Commissie – de verplichte acceptatie van het gebruik van buitenlandse EIM’s door Nederlanders bij grensoverschrijdende authenticatie, zodanig te beperken dat die niet geldt bij een «zuiver interne situatie»? Kunt u dan voorbeelden geven van wat wel en wat niet tot een «zuiver interne situatie» kan worden gerekend? Kunt u tevens aangeven hoe u, met de juridische duidelijkheid over de dwingende verplichting van toelating in Nederland, aankijkt tegen nut en noodzaak van het toelaten van private aanbieders? Bent u bereid om deze keuze van de regering te heroverwegen?

In artikel 6 lid 1 onder b van de eIDAS-verordening (aangehaald in het advies op pagina 4) staat dat acceptatie van een EIM ten behoeve van grensoverschrijdende onlineauthenticatie verplicht is mits is voldaan aan de volgende voorwaarde: het betrouwbaarheidsniveau van het EIM is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor onlinetoegang tot openbare diensten in eigen land. In de novelle wordt een aantal eisen gesteld aan EIM dat de voorwaarden in de eIDAS-verordening te boven gaat. Eén daarvan is de open source-eis. Die eis draagt bij aan veiligheid en betrouwbaarheid van het inlogmiddel. De regering wil dat deze eis uiterlijk over vijf jaar volledig geldt. Dat betekent dat de door Nederland erkende inlogmiddelen een hoger betrouwbaarheidsniveau zullen hebben dan buitenlandse EIM’s waarvoor de eis van open source niet geldt. Betekent dit dat vanaf het moment dat de open source-eis in Nederland volledig geldt, Nederland nieuwe buitenlandse EIM’s die niet zijn gebaseerd op open source niet zal erkennen? En kan Nederland de eerdere erkenning van buitenlandse EIM’s zonder open source dan intrekken? Graag hierover het onafhankelijk advies van de Landsadvocaat, alsmede uw reactie daarop.

Ten aanzien van de tweede vraag over het onderscheid maken tussen verschillende aanbieders stelt de Landsadvocaat terecht dat het doel van het onderscheid duidelijk, legitiem, passend en noodzakelijk moet zijn. Dat ligt allemaal voor de hand. Ongeoorloofd onderscheid moet worden voorkomen en niet alleen omdat dat tot consequentie kan hebben dat de regeling door de rechter onverbindend wordt verklaard en dat de open source-eis (tijdelijk) niet zou kunnen worden toegepast. Ongeoorloofd is ongeoorloofd, zo stellen de aan het woord zijnde leden. De bedoeling van deze vraag was natuurlijk om te bezien of er geoorloofde gronden voor het maken van onderscheid kunnen zijn. Daarover ontbreekt advies van de Landsadvocaat. Uit de wetsvoorstellen en uit het parlementaire debat hadden die mogelijke gronden kunnen worden gedistilleerd. Het is immers de uitdrukkelijke bedoeling van de regering om uiterlijk over vijf jaar de situatie te bereiken dat alle aanbieders van inlogmiddelen volledig voldoen aan de open source-eis. Dit doel zou kunnen worden doorkruist door het tijdelijk toelaten van nieuwe aanbieders die op basis van closed source werken, daarmee een clientèle opbouwen, maar niet tijdig de transitie doormaken naar open source. De druk zal dan groot worden om ten behoeve van de burgers die klant zijn van die aanbieders de overgangstermijn (mogelijk: aanzienlijk) te verlengen. Daarmee wordt dan niet alleen een uitdrukkelijk door de regering aangegeven termijn doorkruist, maar ook een periode verlengd waarin de betrouwbaarheid en veiligheid van inlogmiddelen lager is dan door de wetgever (in de novelle) verlangd wordt. De vraag aan de Landsadvocaat is dan ook of in deze realistische verwachting geen juridische gronden te vinden zijn om onderscheid tussen bestaande en nieuwe aanbieders te maken. De bestaande aanbieders, zoals DigiD, leveren reeds inlogmiddelen en die kunnen niet zomaar worden stopgezet zonder grote maatschappelijke gevolgen. Dat geldt natuurlijk niet bij nieuwe aanbieders, die wellicht nog enige tijd nodig hebben om volledig aan de open source-eis te voldoen. Het dringende verzoek van de leden van de fracties van de PvdA en GroenLinks aan u is dan ook om de Landsadvocaat te vragen zijn advies (ook) op dit punt nader uit te werken en dat via u aan de Kamer te doen toekomen, met daarbij uw reactie.

De commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning ziet met belangstelling uit naar uw reactie en ontvangt deze graag uiterlijk vrijdag 17 maart 2023, 16.00 uur, in verband met de aangehouden stemmingen over het voorstel Wet digitale overheid en de novelle Wet digitale overheid op 21 maart 2023.

Voorzitter van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis der Koning, B.O. Dittrich

BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 17 maart 2023

Met belangstelling heb ik kennisgenomen van de reacties en vragen van de leden van de fracties GroenLinks en PvdA gezamenlijk naar aanleiding van het advies van de Landsadvocaat inzake de reikwijdte van de eIDAS-verordening en de open source-eis en mijn brief daarover. Een aantal van de vragen betreft het advies van de Landsadvocaat. Het is niet gebruikelijk ter behandeling van wetgeving vragen door te geleiden voor extern advies. Ten behoeve van deze wetsbehandeling kom ik evenwel graag tegemoet aan het verzoek van de leden en heb ik nader advies aan de Landsadvocaat gevraagd. U treft het advies in de bijlage. In het onderstaande geef ik antwoord op de aan de regering gestelde vragen, mede op basis van de uitgebrachte adviezen.

De leden geven aan dat in het advies van de Landsadvocaat omstandig wordt aangegeven dat het toepassingsbereik van de eIDAS-verordening nadrukkelijk beperkt is tot gevallen van grensoverschrijdende authenticatie. Dat is naar het oordeel van deze leden toch een slag anders dan het door mij hierover ingenomen standpunt in het recente debat in de Eerste Kamer, waarin ik stelde dat de eIDAS-verordening er om vraagt dat internationale middelen zouden moeten worden toegelaten voor het contact tussen de Nederlandse burger en de Nederlandse overheid.

De leden vragen mij of het juridisch advies van de Landsadvocaat mijn zienswijze heeft veranderd inzake de werking van de eIDAS-verordening en welke gevolgen dit heeft voor de Wet digitale overheid?

Tijdens de plenaire behandeling van de Wdo op 21 februari jl., heb ik aangegeven hoe de eIDAS-verordening in de praktijk uitwerkt. Voor mij is de centrale vraag of het mogelijk is dat een Nederlandse burger met een Europees erkend inlogmiddel dat niet erkend is door de Nederlandse toezichthouder in Nederland zaken kan doen.

Het eerste advies van de Landsadvocaat geeft aan dat de eIDAS-verordening juridisch gezien beperkt is tot grensoverschrijdende authenticatie. De Landsadvocaat schat daarbij in, mede op basis van Europese jurisprudentie, dat in de huidige praktijk al snel sprake zal kunnen zijn van grensoverschrijdende authenticatie als een Nederlands burger beschikt over een Europees erkend inlogmiddel. De Landsadvocaat merkt op dat het overigens in de praktijk niet eenvoudig zal zijn om vast te stellen of er sprake is van grensoverschrijdende situatie (of niet). De Landsadvocaat besluit met de opmerking dat het om die reden voorstelbaar is dat het in de rede ligt om de eIDAS-verordening breed toe te passen met als gevolg dat ook Nederlandse burgers in Nederland het recht hebben om gebruik te maken van erkende inlogmiddelen uit een andere EU lidstaat.

In dit advies kan zowel steun voor het standpunt van het lid Ganzevoort als voor mijn beleidskeuzes worden gelezen. Bij mij leidt het advies tot de conclusie dat in de praktijk een Nederlandse burger met een Europees erkend inlogmiddel zaken moet kunnen doen bij de Nederlandse overheid. Deze constatering heeft verder geen gevolgen voor het wetsvoorstel.

De leden geven aan dat de beperking tot grensoverschrijdende gevallen ook uitdrukkelijk de bedoeling was van de Europese Commissie die, zoals het advies van de Landsadvocaat op p. 5 en 6 aangeeft, van oordeel is dat «het uitreiken van identificatiemiddelen een nationale aangelegenheid is» en daarom ook «niet op dezelfde generieke manier [kan] worden behandeld als andere elektronische vertrouwensdiensten».

De leden verzoeken mij om de Landsadvocaat te vragen hoe dit zich verhoudt tot de ingenomen stelling op p. 10 dat hij zich vanuit het perspectief van gelijke behandeling zelfs in een «zuiver interne situatie» (waarin een Nederlandse burger over een erkend buitenlands EIM beschikt zonder dat zich een grensoverschrijdend element voordoet) kan voorstellen dat Nederlandse burgers op dezelfde wijze wordt toegestaan gebruik te maken van erkende buitenlandse EIM’s als dat moet worden toegestaan voor EU-burgers in gevallen van grensoverschrijdende authenticatie?

Waarom, zo vragen de leden, zou op basis van het gelijkheidsbeginsel moeten worden geconcludeerd dat de Nederlandse overheid ook in een «zuiver interne situatie» een elders erkend Europees inlogmiddel zou moeten accepteren, terwijl de Europese Commissie bij de vormgeving van de verordening nadrukkelijk het toepassingsbereik beperkte tot grensoverschrijdende gevallen?

Voor het nadere advies van de Landsadvocaat op dit punt, verwijs ik naar de beantwoording van vraag 1 in de bijlage.

Een ander argument van de Landsadvocaat om het gebruik van buitenlandse EIM’s door Nederlandse burgers toe te staan is de praktische uitvoerbaarheid.

De leden vroegen mij de Landsadvocaat voor te leggen of deze hiermee eigenlijk concludeert dat de nadrukkelijk door de Europese Commissie in artikel 6 eIDAS opgenomen beperking van verplichte acceptatie van buitenlandse EIM’s tot «grensoverschrijdende authenticatie» in feite onmogelijk is, of dat bedoeld wordt dat het beperken van verplichte acceptatie van buitenlandse EIM’s tot «grensoverschrijdende authenticatie», weliswaar meer uitvoeringskosten met zich mee kan brengen, maar niet onmogelijk is?

Voor het nadere advies van de Landsadvocaat op dit punt, verwijs ik naar het antwoord op vraag 2 in de bijlage. De Landsadvocaat geeft hier aan dat het hem praktisch gezien niet (altijd) eenvoudig lijkt een onderscheid te maken tussen situaties van grensoverschrijdende authenticatie en zuiver interne situaties. De Landsadvocaat kan geen beoordeling geven van de uitvoeringskosten die het maken van dat onderscheid zou opleveren. Dit ligt meer op mijn weg. Op de praktische uitwerking ga ik hieronder nader in.

De leden hebben tevens gevraagd naar het oordeel van de Landsadvocaat over de kwaliteit van deze Europese regelgeving, in relatie tot de uitvoerbaarheid.

Omdat het niet aan de Landsadvocaat is de kwaliteit van Europese wetgeving te beoordelen, beantwoord ik deze vraag graag zelf. De eIDAS verordening is zeker geen eenvoudige regeling. Gelet op het grote belang van veilige inlogmiddelen en de toepasbaarheid in veel lidstaten is dat echter begrijpelijk. Voor de vraag waarover wij met elkaar van gedachten wisselen is de verordening een gegeven.

De leden vragen mij of de regering bereid is om – in lijn met de bedoeling van de Europese Commissie – de verplichte acceptatie van het gebruik van buitenlandse EIM’s door Nederlanders bij grensoverschrijdende authenticatie, zodanig te beperken dat die niet geldt bij een «zuiver interne situatie». En in het verlengde daarvan of de regering voorbeelden kan geven van wat wel en wat niet tot een «zuiver interne situatie» kan worden gerekend? De leden verzoeken mij om aan te geven hoe ik, met de juridische duidelijkheid over de dwingende verplichting van toelating in Nederland, aankijk tegen nut en noodzaak van het toelaten van private aanbieders, en of ik bereid ben om deze keuze van de regering te heroverwegen?

Zoals ik hiervoor heb aangegeven, leidt het advies van de Landsadvocaat niet tot een ander inzicht, en is een heroverweging met betrekking tot het toelaten van private aanbieders niet aan de orde. Dat heeft niet te maken met onduidelijkheid of onenigheid over de correcte juridische interpretatie van het begrip grensoverschrijdende authenticatie, maar met de praktische uitwerking van de door de verordening vereiste wederzijdse erkenning zoals ook in het eerste advies van de Landsadvocaat wordt onderkend. De feitelijke situatie is, en zal zijn, dat er inlogmiddelen (zowel publiek als privaat) uit andere lidstaten gebruikt kunnen worden in Nederland. Door andere EU-burgers, maar ook door Nederlanders. Ook kan het gebruik van een buitenlands middel binnen of buiten Nederland technisch niet gemakkelijk worden onderscheiden. Voor de gebruiker is het wenselijk een eenmaal door hem gekozen middel te kunnen gebruiken ongeacht waar hij of zij zich op dat moment bevindt.

Ik verwacht overigens dat een Nederlander om de praktische reden van gemakkelijke verkrijgbaarheid zal kiezen voor een in Nederland erkend middel. Dat zal slechts anders zijn als hij of zij een bijzondere band met een andere lidstaat heeft, bijvoorbeeld omdat hij of zij daar werkt of daar een huis heeft of studeert. Deze persoon zal waarschijnlijk dat inlogmiddel ook gebruiken om bij de overheid en bijvoorbeeld banken actief in die lidstaat te kunnen inloggen.

In dat licht bezien vind ik het – nog afgezien van de praktische uitwerking – nog steeds een goede keuze dat wij private partijen de mogelijkheid bieden om in Nederland toe te treden, tegen de in Nederland geldende eisen. Dit geeft burgers de kans om gebruik te maken van middelen die gecontroleerd zijn tegen de hoge eisen die op verzoek van uw Kamer in de novelle zijn geformuleerd.

De leden wijzen op artikel 6 lid 1 onder b van de eIDAS-verordening (aangehaald in het advies van de Landsadvocaat op p. 4), waarin staat dat acceptatie van een Europees erkend inlogmiddel ten behoeve van grensoverschrijdende onlineauthenticatie verplicht is mits is voldaan aan de volgende voorwaarde: het betrouwbaarheidsniveau van het inlogmiddel is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor onlinetoegang tot openbare diensten in eigen land.

De leden refereren aan de novelle waarin een aantal eisen wordt gesteld aan inlogmiddelen die de voorwaarden in de eIDAS-verordening te boven gaan. De leden noemen expliciet de open source-eis, die bijdraagt bij aan veiligheid en betrouwbaarheid van het inlogmiddel. De regering wil dat deze eis uiterlijk over vijf jaar volledig geldt, zo geven de leden aan.

De leden vragen of deze situatie betekent dat de door Nederland erkende inlogmiddelen een hoger betrouwbaarheidsniveau zullen hebben dan buitenlandse inlogmiddelen waarvoor de eis van open source niet geldt, en in het verlengde daarvan, of dat betekent dat vanaf het moment dat de open source-eis in Nederland volledig geldt, Nederland nieuwe buitenlandse EIM’s die niet zijn gebaseerd op open source niet zal erkennen, en een eerdere erkenning van buitenlandse inlogmiddelen zonder open source dan intrekken. De leden verzoeken mij dit aan de Landsadvocaat voor te leggen en daarop te reflecteren.

Voor het nadere advies van de Landsadvocaat op dit punt, verwijs ik naar het antwoord op vraag 3 in de bijlage.

In aanvulling daarop geef ik het volgende mee: de eIDAS-verordening stelt minimumeisen aan inlogmiddelen. Als aan deze eisen wordt voldaan, voldoen inlogmiddelen aan het minimum om gekwalificeerd te worden op het betrouwbaarheidsniveau substantieel of hoog. Inlogmiddelen uit andere lidstaten mogen niet geweigerd worden voor gebruik in Nederland (wederzijdse erkenning), ook al zijn de eisen die Nederland stelt aan inlogmiddelen die zij zelf erkent hoger. Elke lidstaat is zelf verantwoordelijk voor inlogmiddelen die hij notificeert, en ook aansprakelijk, ook buiten de landsgrenzen, als met die inlogmiddelen zaken mis gaan. Dat is de reden waarom wij de eisen stellen zoals wij deze stellen, inclusief de novelle eisen.

Ten aanzien van de tweede vraag over het onderscheid maken tussen verschillende aanbieders stelt de Landsadvocaat terecht, zo geven de leden aan, dat het doel van het onderscheid duidelijk, legitiem, passend en noodzakelijk moet zijn. De leden vinden dat voor de hand liggen. Ongeoorloofd onderscheid moet worden voorkomen. Niet alleen omdat dat tot consequentie kan hebben dat de regeling door de rechter onverbindend wordt verklaard en dat de Ministers de open source-eis (tijdelijk) niet zou kunnen toepassen. Ongeoorloofd is ongeoorloofd, zo besluiten de leden.

De leden lichten hun vraag nader toe, en geven aan dat de bedoeling van deze vraag was om te bezien of er geoorloofde gronden voor het maken van onderscheid kunnen zijn. De leden missen dat in het advies van de Landsadvocaat.

De leden halen daarbij de wetsvoorstellen aan en het parlementaire debat, waaruit volgens de leden die mogelijke gronden hadden kunnen worden gedistilleerd. Zij wijzen op de uitdrukkelijke bedoeling van de regering om uiterlijk over vijf jaar de situatie te bereiken dat alle aanbieders

van inlogmiddelen volledig voldoen aan de open source-eis. De leden menen dat dit zou kunnen worden doorkruist door het tijdelijk toelaten van nieuwe aanbieders die op basis van closed source werken, daarmee een clientèle opbouwen, maar niet tijdig de transitie doormaken naar open source. De druk, zo waarschuwen de leden, zal dan groot worden om ten behoeve van de burgers die klant zijn van die aanbieders de overgangstermijn (mogelijk: aanzienlijk) te verlengen. Daarmee wordt dan niet alleen een uitdrukkelijk door de regering aangegeven termijn doorkruist, maar ook een periode verlengd waarin de betrouwbaarheid en veiligheid van inlogmiddelen lager is dan door de wetgever (in de novelle) verlangd wordt, zo besluiten de leden.

De leden vragen mij om tegen deze achtergrond de Landsadvocaat te vragen om te bezien of er gelet deze, wat de leden betreft realistische verwachting, geen juridische gronden te vinden zijn om onderscheid tussen bestaande en nieuwe aanbieders te maken. De leden merken daarbij nog op dat de bestaande aanbieders, zoals DigiD, reeds inlogmiddelen leveren en dat die niet zomaar kunnen worden stopgezet zonder grote maatschappelijke gevolgen. De leden geven nog aan dat dit niet geldt voor nieuwe aanbieders, die wellicht nog enige tijd nodig hebben om volledig aan de open source-eis te voldoen.

De leden verzoeken mij ook op dit punt om de Landsadvocaat te vragen zijn advies (ook) nader uit te werken en dat via regering aan de Kamer te doen toekomen, met mijn reactie daarop.

Voor het nadere advies van de Landsadvocaat op dit punt, verwijs ik naar het antwoord op vraag 4 in de bijlage.

In reactie op dit advies meld ik het volgende. Op dit moment zijn er naast DigiD ook private middelen (eHerkenning). Deze inlogmiddelen, waarvan burgers en bedrijven afhankelijk zijn voor hun contact met de overheid, zijn op dit moment nog niet open source, maar groeien daar wel naar toe. Dat gaat stapsgewijs.

Zo is een eerste deel van DigiD (de app) inmiddels open source beschikbaar gemaakt, maar het volledig open source maken van DigiD kost meer tijd.

Naar mijn inschatting is het niet mogelijk om op deze eis onderscheid te maken tussen andere aanbieders van inlogmiddelen, om welke reden dan ook. Dat is juridisch niet houdbaar. Op dat punt stelt de Landsadvocaat dat hij zich moeilijk kan voorstellen dat er omstandigheden denkbaar zijn waaronder het onderscheid tussen huidige en nieuwe aanbieders gerechtvaardigd kan worden op basis van het in de vraag geschetste scenario. Het betekent ook dat door het maken van onderscheid het juridische risico van onverbindend verklaring van de open source eis blijft bestaan. Dat zou betekenen dat ik de open source eis helemaal niet kan stellen.

Juist door geen onderscheid te maken, maar voor open source een ruime termijn te bieden, wordt reeds nu aan aanbieders van inlogmiddelen, en aan hun gebruikers, duidelijkheid geboden. Juist die duidelijkheid in combinatie met een redelijke termijn maakt de juridische positie naar mijn oordeel sterker en dus makkelijk om daarna een streep te trekken. Voor de goede orde: de termijn van 5 jaar, die ik in het debat als een realistische termijn heb genoemd, begint vanaf moment van inwerkingtreding van de Wdo te lopen. Voor aanbieders die over 3 jaar toetreden geldt dan dat zij nog 2 jaar de tijd hebben om open source te worden. Ten overvloede merk ik op dat de specifieke termijnen voor onderdelen van inlogmiddelen in de regeling worden vastgesteld. Waar die termijnen korter kunnen zal ik die ook korter stellen.

Doordat ik ook heb afgesproken om de voortgang ten aanzien van open source te rapporteren, zal ook breed inzichtelijk worden, niet in de laatste plaats voor de potentiële klanten van inlogmiddelen, welk middel aan de eisen voldoet. Naar mijn verwachting zal dit daarom juist eerder als een positieve stimulans werken, omdat klanten niet zullen kiezen voor een middel waarvan te verwachten valt dat het op termijn niet open source, en daarmee niet meer bruikbaar is.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen


X Noot
1

De letters AF hebben alleen betrekking op 34 972.

X Noot
2

Samenstelling:

Kox (SP), Ganzevoort (GL), De Boer (GL), Van Hattem (PVV), Pijlman (D66), Rombouts (CDA), Schalk (SGP), Koole (PvdA), Klip-Martin (VVD), Baay-Timmerman (50PLUS), Bezaan (VVD), Van den Berg (VVD), Crone (PvdA), Dittrich (D66) (voorzitter), Doornhof (CDA), Frentrop (Fractie-Frentrop), Meijer (VVD), Nicolaï (PvdD) (ondervoorzitter), Rietkerk (CDA), Rosenmöller (GL), De Vries (Fractie-Otten), Keunen (VVD), Van der Linden (Fractie-Nanninga), Van Pareren (Fractie-Nanninga), Raven (OSF), Talsma (CU) en Dessing (FVD).

X Noot
3

Kamerstukken I 2022/23, 34 972, AE.

X Noot
4

Kamerstukken I 2022/23, 34 972, AE.

Naar boven