INLEIDING

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur. Het betreft hier een zogenaamde novelle. Graag willen deze leden de regering een aantal vragen stellen.

De leden van de D66-fractie hebben kennisgenomen van de wijziging van het voorstel Wet digitale overheid. Voor deze leden zijn basisprincipes van privacy by design, open source en het verhandelverbod belangrijke kernpunten voor een goed functionerende digitale overheid, echter hebben de aan het woord zijnde leden nog enkele vragen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van onderhavig wetsvoorstel. Deze leden menen dat een voortvarende behandeling van belang is.

De leden van de SP-fractie hebben kennisgenomen van de wijziging van de Wet digitale overheid en hebben hierover nog verscheidende vragen en opmerkingen.

De leden van de GroenLinks-fractie hebben kennisgenomen van de wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid). De leden hebben nog enkele vragen.

De leden van de Volt-fractie hebben met belangstelling kennisgenomen van het gewijzigde wetsvoorstel. Zij hebben hierover nog enkele vragen.

Het lid van de BBB-fractie heeft kennisgenomen van het voorliggende wetsvoorstel.

Algemeen

De leden van de VVD-fractie hebben gevraagd of, als het gaat om privacy by design, verhandelverbod en open source, in het onderhavige wetsvoorstel iets anders geregeld wordt dan in het wetsvoorstel dat in de Tweede Kamer is aanvaard en nu in de Eerste Kamer ligt of dat alleen voorgesteld wordt om deze punten bij wet te regelen in plaats van bij algemene maatregel van bestuur.

Inderdaad is het grote verschil met het oorspronkelijke wetsvoorstel dat de novelle voorziet in een sterkere verankering in de wet zelf van de door de leden van de fractie van de VVD genoemde punten. De uitwerking van deze onderwerpen vindt plaats in algemene maatregelen van bestuur en ministeriële regelingen die op het wetsvoorstel worden gebaseerd. De novelle zorgt voor een versteviging van de opensource-eis in de wet zelf. Het kader is op het niveau van de wet bepaald, waarmee de wijze waarop daar inhoudelijk mee wordt omgegaan, zoals gedeeld met uw Kamer, bij algemene maatregel van bestuur vorm kan krijgen.

Uitvoeringstoetsen

Daarnaast vroegen deze leden de regering inzicht te geven in de uitvoeringstoetsen. Welke uitvoeringstoetsen met betrekking tot de Wet digitale overheid zijn tot op heden gedaan? Zij vroegen wat de uitkomsten daarvan waren en wat de betrokkenheid van de Vereniging van Nederlandse Gemeenten (VNG) is geweest.

Om te beginnen hecht ik eraan te benadrukken dat uitvoeringstoetsing een proces is, en niet een invulformulier of momentopname. Ik heb daarom het voorbereidingsproces multidisciplinair ingericht, door wetgevers, beleid, uitvoerders en (ICT-)technici vroegtijdig en doorlopend te betrekken. De Wdo (incl. lagere regelgeving Wdo) is vanaf het begin zo vormgegeven dat alle betrokken departementen, uitvoeringsorganisaties, VNG, IPO, KvK etc. systematisch betrokken zijn bij de voorbereiding. Betrokkenheid was er op alle niveaus: bij de te maken beleidskeuzes en de inrichting van het stelsel (governance) en bij het ontwerpen van wetteksten. Daardoor kon het voorontwerp van het wetsvoorstel, dat begin 2017 in consultatie was, op breed draagvlak rekenen. Het wetsvoorstel is, alvorens dit bij uw Kamer werd ingediend, op basis van deze verkregen input nog op enkele onderdelen aangepast om redenen van uitvoerbaarheid. Vanuit de uitvoerders is erop gehamerd dat aansluiting op het stelsel eenvoudig moet zijn. Ik verwijs hiervoor naar paragraaf 11.1 van de memorie van toelichting.

Naast deze doorlopende betrokkenheid zijn ook meer formele afstemmomenten geweest. Zo zijn in het kader van de consultatie van het wetsvoorstel in 2017 en 2018 uitvoeringstoetsen gedaan door publieke dienstverleners, al dan niet in koepelverband, en door private organisaties. De reacties op deze consultatie zijn gepubliceerd op internetconsultatie.nl (www.internetconsultatie.nl/wetgdi/details).

Ook is in verband met het amendement Middendorp/Verhoeven (34 972-20) een afzonderlijke uitvoeringstoets gedaan door uitvoeringsorganisaties gezamenlijk. De uitvoerbaarheid van dit amendement inzake online identiteit/regie op gegevens bleek op dat moment in de eerste tranche problematisch. Naar aanleiding daarvan is met uw Kamer afgesproken vooruitlopend op de uitvoering wel alvast het wetsvoorstel hierop aan te passen (artikel 5, eerste lid, van het wetsvoorstel aangepast en aangevuld (onderdeel g)) en om dit artikel bij de volgende tranche van de Wdo in werking te laten treden en nader te regelen (zie Kamerstukken 2019–2020, 34 972, nr. 20).

Recentelijk zijn door de VNG, de UvW en het IPO aanvullende uitvoeringstoetsen uitgevoerd naar de impact van de nu beschikbare uitvoeringsregelgeving onder het wetsvoorstel.

Tot slot heb ik u in de nadere memorie van antwoord van 2 juni 2021 geïnformeerd dat voor de novelle geen afzonderlijke consultatieronde is gehouden bij marktpartijen. Wel heb ik de huidige aanbieders van inlogmiddelen, waaronder DigiD, binnen het publieke domein gevraagd een uitvoeringstoets te doen ter borging van de continuïteit van het aanbieden van diensten. Daaruit bleek dat de novelle uitvoerbaar is.

Toekomstbestendige wetgeving voorzien van waarborgen

De fracties van CDA, SP, GroenLinks en D66 stellen vragen over de manier waarop de regering in de wet en de daarop berustende regelgeving keuzes maakt ten aanzien van regelingen in de wet zelf of in de algemene maatregelen van bestuur. Zij zoeken hierin naar een goede balans tussen toekomstgericht kunnen zijn en waarborgen bieden. De fracties begrijpen dat uitwerking in lagere regelgeving nodig kan zijn, maar zoeken naar die balans.

Met oog op de ontwikkelingen die nu eenmaal snel gaan in het domein van digitalisering is het belangrijk voor de overheid om slagvaardig te kunnen handelen om burgers en bedrijven steeds betrouwbare overheidsvoorzieningen, goede toegang tot de overheid en een goede bescherming van hun rechten te kunnen blijven bieden. Dat vraagt dat er een snellere wetgevingsprocedure kan worden gevolgd voor de uitwerking van onderwerpen die niet de hoofdlijnen van die toegang en bescherming betreffen en dat ook die procedure voorzien is van parlementaire betrokkenheid. Aanvankelijk werd in het wetsvoorstel ingezet op een zuivere kaderwet waarin veel naar het niveau van de algemene maatregel van bestuur en ministeriële regelingen werd gedelegeerd. Op basis van de inbreng uit uw Kamer zijn er al diverse aanpassingen gedaan in het wetvoorstel waardoor meer op wetsniveau wordt ingekaderd. Naar aanleiding van opmerkingen van de Eerste Kamer is dat nog verder uitgebreid in de voorliggende novelle.

Bij de novelle die nu in Uw Kamer voorligt, verwees de Raad van State naar opmerkingen die gemaakt zijn tijdens een deskundigenbijeenkomst in aanloop van de behandeling van het wetsvoorstel in de Eerste Kamer. Tijdens die deskundigenbijeenkomst werd overigens eveneens de opvatting naar voren gebracht dat bij dit type wetgeving delegatie alsmede betrokkenheid van het parlement (gecontroleerde delegatie) in de rede ligt.

De zorg van een aantal deskundigen bij die bijeenkomst hield met name verband met de onderwerpen privacybescherming en open source. Het wetsvoorstel is naar aanleiding van de deskundigenbijeenkomst en het voorlopig verslag van de Eerste Kamer juist op die punten door middel van de voorliggende novelle aangevuld, waardoor waarborgen voor privacy by design, open source en het verhandelverbod naar het niveau van de formele wet zijn getild. Verder is als gevolg van het verzoek daartoe van de Eerste Kamer voor alle relevante artikelen van de wet in de Memorie van Antwoord aangegeven hoe het wetsvoorstel zich verhoudt tot de uitgangspunten inzake delegatie van wetgeving.

Niet alleen heeft er ten opzichte van het oorspronkelijke voorstel inkadering plaatsgevonden, maar daarnaast zijn ook de mogelijkheden van Uw Kamer door middel van gecontroleerde delegatie invloed uit te oefenen op de nadere invulling van die wettelijke regeling, vergroot. Alle algemene maatregelen van bestuur onder het voorstel kennen een voorhangprocedure, waardoor het parlement hierbij nauw betrokken kan zijn.

De onderwerpen waarover de leden van CDA-, SP-, GroenLinks- en D66-fracties wat dat betreft duidelijkheid wensen, zijn de keuze tussen een wet en algemene maatregel van bestuur als meest geschikte niveau van wetgeving en de wenselijkheid van de keuze voor techniekonafhankelijke formuleringen.

De leden van de D66-fractie geven aan dat privacy by design, open source en het verhandelverbod wat hen betreft belangrijke kernpunten zijn voor een goed functionerende digitale overheid. Deze leden constateren dat de regering in de wijziging van het voorstel meerdere keren kiest voor een delegatiebepaling door middel van algemene maatregelen van bestuur. Als voorbeelden vragen deze leden specifiek naar een concrete transitietermijn of handvatten over het al dan niet in voldoende mate gebruik maken van open source.

Ook de leden van de GroenLinks-fractie vragen of de regering het niet wenselijk acht dat begrippen zoals «voldoende gebruik» van open source in het voorstel zelf worden opgenomen als heldere criteria.

Ik begrijp de wensen van de fracties om bij de behandeling van de wet inzicht te hebben in het geheel aan regelgeving en onderschrijf de wens om heldere criteria te hanteren in de wet. Echter, de in te zetten beweging naar gebruik van meer open source software vraagt steeds nauwkeurig afstemmen op de huidige stand van de beschikbaarheid ervan. Het begrip «voldoende gebruik» wordt uitgewerkt in een algemene maatregel van bestuur. Bij de beantwoording van de vragen over open source wordt nader ingegaan op hoe mij de invulling van het begrip «voldoende gebruik» voor ogen staat op een manier dat de regeling van voldoende waarborgen is voorzien.

Techniekonafhankelijk wetgeven

De leden van de GroenLinks-fractie vragen in dit verband wat de verwachte omlooptijd is waarin dezelfde technieken worden gebruikt.

Juist omdat dit nooit op voorhand is te zeggen – innovatie laat zich niet sturen of plannen – is flexibiliteit nodig. Anders dan de leden van de GroenLinks-fractie noemen, wordt uitwerking van de voorzieningen niet overgelaten aan lagere overheden, maar wordt die op een lager niveau van regelgeving, te weten de algemene maatregel van bestuur, geregeld.

Die leden wijzen ook op de mogelijkheid om de regering tijdelijk de mogelijkheid te geven om op onderdelen van de wet af te wijken om ruimte te geven aan innovatie en vragen of de regering bij het standpunt blijft dat het onnodig is om in de wet de voorzieningen met een door de techniek ingegeven benaming aan te duiden.

De mogelijkheden omwille van de innovatie af te wijken van de wet ziet niet op de GDI- voorzieningen en dus niet op de onderwerpen die de Raad van State noemt in de discussie over het wel of niet noemen van de namen van de voorzieningen. Het noemen van begrippen als DigiD of MijnOverheid in de wet leidt niet tot een betere inkadering van de voorzieningen. Integendeel; door deze begrippen niet te benoemen moet in de wet zelf een beschrijving gegeven worden van welke functie deze voorzieningen hebben, hetgeen een grotere waarborg voor het in stand houden van een dergelijke functie garandeert.

Wdo in relatie tot de huidige eIDAS-verordening en de voorgenomen herziening

De leden van de D66-fractie horen graag van de regering welke gevolgen voorzien worden op de wijziging van het voorstel met de aankondiging van een herziening van de eIDAS-verordening door de Europese Commissie.

De herziening van de eIDAS-verordening raakt de novelle niet. De novelle stelt eisen aan inlogmiddelen die te zijner tijd – mocht de eIDAS-herziening in de huidige vorm van kracht worden – ook in die context gehanteerd kunnen worden.

De leden van de D66-fractie vragen ook of de regering problemen of oneerlijke concurrentie voorziet als er voor Nederlandse aanbieders andere eisen bestaan op het gebied van open source dan andere Europese aanbieders die toegang krijgen tot de Nederlandse markt.

De regering is het met de leden eens dat er waarborgen moeten zijn rondom digitalisering van de overheid. Ik hecht eraan te benadrukken dat de Wdo die ook bevat. De nu voorliggende novelle bevat diverse extra waarborgen ten aanzien van de privacy: eisen die worden gesteld aan publieke en private inlogmiddelen. Het betreft extra eisen in aanvulling op eisen die in de Wdo, de eIDAS-verordening en de AVG al gelden. De waarborgen die de Wdo als geheel biedt reiken verder dan de waarborgen die de Wdo specifiek stelt ten aanzien van publieke en private inlogmiddelen. De Wdo regelt namelijk ook waarborgen voor overheidsvoorzieningen die nodig zijn voor de toegang tot de digitale overheid en (veiligheids)eisen aan overheidsorganisaties om te zorgen dat de aansluiting op de digitale overheid veilig is.

De Wdo biedt ook de mogelijkheid om standaarden te verplichten, bijvoorbeeld om interoperabiliteit te borgen, waardoor systemen van verschillende organisaties beter kunnen samenwerken. Maar ook om standaarden voor informatiebeveiliging te verplichten. Een voorbeeld hiervan is de mogelijkheid om e-mailstandaarden te verplichten ter voorkoming van ransomware-aanvallen. De Wdo dwingt daarnaast af dat overheden de toegang tot hun dienstverlening op de hogere betrouwbaarheidsniveaus moeten ontsluiten. De wet biedt daarvoor een kader om de dienstverlening op een niveau in te schalen. Naast het feit dat dienstverlening daardoor over de volle breedte veiliger wordt, leidt het feit dat overheden dit kader gebruiken er ook toe dat gelijksoortige dienstverlening bij verschillende organisatie op hetzelfde betrouwbaarheidsniveau wordt ontsloten. Voor burgers biedt dit eenduidigheid in de toegang tot de digitale overheid.

De leden van de Volt-fractie vragen naar de noodzakelijkheid van de voorgestelde Wet digitale overheid. De leden geven aan dat de eIDAS-verordening zelfstandige regels bevat omtrent het aanbieden van (elektronische) authenticatiemiddelen bij overheidsinstellingen, en als EU-verordening rechtstreeks van toepassing is in de EU-lidstaten. De leden vragen daarom welke afwegingen gemaakt zijn ten aanzien van bepalingen in de voorliggende Wet digitale overheid tot al bestaande bepalingen in de eIDAS-verordening. De leden vragen hoe de regering de proportionaliteit en subsidiariteit in dit kader beoordeelt.

De leden van deze fractie vragen de regering voorts of en op welke manier zij kennis heeft genomen van hoe andere Europese lidstaten de toelating van private middelen als identificatiemiddelen (wettelijk) hebben geregeld en geïmplementeerd voor overheidsinstellingen. Voor zover de regering heeft gekozen voor een andere implementatiemethode dan andere Europese lidstaten, vragen de leden naar de onderbouwing daarvoor.

In algemene zin merk ik, ten opzichte van de noodzakelijkheid van de Wdo op, dat de Wdo meer zaken regelt dan de eIDAS-verordening. Dat geldt zowel voor de huidige als voor de herziene eIDAS-verordening, zoals het verplichten van standaarden, veiligheidseisen aan overheden én grondslagen en verantwoordelijkheden van de generieke digitale infrastructuur van de overheid. Dit biedt voor burgers bredere waarborgen. Deze noodzaak is er en staat los van de eIDAS-verordening. Daarnaast is het – ook in de herziene eIDAS-verordening – aan de lidstaten zelf om nadere regels te stellen aan het toelaten van inlogmiddelen, waarbij rekening kan worden gehouden met de nationale situatie, zoals voor Nederland bijvoorbeeld de regels ten aanzien van het BSN. Nationale lidstaten zijn en blijven verantwoordelijk voor het gebruik van onder hun verantwoordelijkheid toegelaten c.q. gecertificeerde inlogmiddelen. Ook de zaken die in de novelle geregeld worden, zoals het hanteren van privacy by design als toelatingseis, specifieke invulling van het verhandelverbod en de beweging naar open source zijn zaken die aanvullend op eIDAS worden geregeld. De regering is bekend met de wijze waarop andere lidstaten de eIDAS-verordening hebben geïmplementeerd. Daarbij zitten er verschillen in de systemen. Sommige landen kennen open toelating zoals de Wdo die beoogt; andere landen kiezen om inlogmiddelen in te kopen. Waar het in alle gevallen om gaat is dat de veiligheid en betrouwbaarheid van de middelen zijn geborgd. De eerste tranche van de Wdo legt – naast andere verplichtingen die buiten de werkingssfeer van eIDAS vallen – daarvoor de basis, en geeft waar nodig nationale invulling aan de (huidige) eIDAS-verordening. Met de gekozen systematiek in de Wdo kies ik voor een systematiek die de basis vormt waarop de eIDAS-revisie kan voortbouwen.

Toezicht en handhaving

De leden van de GroenLinks-fractie merken op dat uit antwoorden van de regering blijkt dat verschillende zaken in de Wet digitale overheid moeten worden gehandhaafd. De leden vragen de regering of er voor handhaving voldoende middelen zijn en zo ja, om dat nader toe te lichten.

Voor de toezichts- en handhavingstaken zoals geregeld in artikel 17 van het wetsvoorstel zijn door mij middelen gereserveerd. Het betreft toezicht op de naleving van de toelatingseisen door aanbieders van inlogmiddelen door het Agentschap Telecom, interbestuurlijk toezicht op het naleven van de Wdo en toezicht op naleving door bestuursorganen en aangewezen organisaties van de eisen inzake informatieveiligheid en de in dit verband opgelegde auditverklaring.

Wat betreft het toezicht door de Autoriteit Persoonsgegevens op de uitvoering van de Wdo, heb ik uw Kamer in de nadere memorie van antwoord van 2 juni 2021 geïnformeerd dat in lijn met het kabinetsbeleid (Kamerstukken 2020–2021, 25 268, nr. 192) middels een uitvoeringstoets inzichtelijk gemaakt zal worden wat de financiële gevolgen zijn van deze nieuwe wettelijke taak voor de AP. Financiële dekking zal worden geregeld.

Het lid van de BBB-fractie heeft kennisgenomen van het voorliggende wetsvoorstel. In het wetsvoorstel Wet digitale overheid is opgenomen dat de provincies het interbestuurlijk toezicht uitoefenen in het kader van deze wet op gemeenten en indien van toepassing op gemeenschappelijke regelingen. De provincies geven aan op zichzelf bereid te zijn om deze taak op zich te nemen, maar zij wensen op korte termijn duidelijkheid over de reikwijdte van het toezicht, welke eisen aan de taakuitvoering door gemeenten mogen worden gesteld, en de compensatie die het Rijk de provincies zal verschaffen voor deze nieuwe taak. Extra taken zonder budget is namelijk een resultaat voor mislukking. Op 18 augustus 2021 heeft Bureau Berenschot een kritisch rapport uitgebracht over de uitvoering van de Wdo. Eén van de eindconclusies luidt: «De specifieke toezichtstaak (artikel 17, lid 3) voor provincies op de naleving van de Wdo is nu niet uitvoerbaar. Er is wat ons betreft nog niet voldoende duidelijk wat van provincies wordt verwacht en het lijkt niet voldoende doordacht hoe deze taak zich verhoudt tot de generieke toezichtstaak van provincies». Het lid van de BBB-fractie vraagt de regering om aan te geven hoe zij deze eindconclusies weegt en hoe zij de compensatie voor extra taken vorm gaat geven.

Het klopt dat op dit moment gesproken wordt over de exacte invulling van de toezichthoudende taak door de provincies in relatie tot de Wdo. Ik ben hierover in gesprek met de provincies en het IPO en zal hier binnenkort samen met hen uitwerking aan geven. Mocht deze toezichthoudende taak aanleiding geven tot het bieden van compensatie, dan zal hier binnen de hiervoor geldende kaders gevolg aan worden gegeven.

Privacy by design

De leden van de D66-fractie halen de memorie van toelichting bij de novelle aan waarin staat dat voor het gebruik van privacy by design de actuele stand van processen en technieken leidend zal zijn. De leden vragen welke eisen hier momenteel aan voldoen en in hoeverre dit verschilt of aanvullend is aan de General Data Protection Regulation (GDPR). In het verlengde daarvan vragen de leden wanneer volgens de regering gegevens onvoldoende beschermd zijn en er dus reden tot het weigeren van toelating is.

Ik hecht eraan dat het voldoen aan privacy by design niet betekent dat een lijstje van specifieke maatregelen moet worden afgelopen. Privacy by design betreft de wijze waarop bij de inrichting van verwerkingen van persoonsgegevens die nodig zijn om een inlogmiddel aan te bieden een brede afweging wordt gemaakt en rekening wordt gehouden met het ontwerp van verwerkingen van persoonsgegevens. Daarbij zal het gaan het om het samenstel van verschillende maatregelen dat ervoor zorgt dat persoonsgegevens goed beschermd zijn en blijven. Dit kan techniek zijn, maar dit kunnen ook maatregelen van personele of organisatorische aard zijn.

Inhoudelijk verschilt de wijze waarop privacy by design wordt benaderd daarom niet van de wijze waarop dit in de AVG wordt geregeld. Ingevolge de EU-regels mag dat ook niet, omdat verordeningen direct gelden. Wat door de regels in de Wdo wordt toegevoegd is dat privacy by design expliciet als toelatingscriterium kan worden gehanteerd.

De leden van de Volt-fractie onderschrijven het belang van privacy by design en privacy by default uit de Algemene Verordening Gegevensbescherming (AVG). De leden lezen dat de wijzigingen in het gewijzigde voorstel ervoor moeten zorgen dat partijen nieuwe methoden en technieken (kunnen) toepassen, zonder dat daarbij de rechtszekerheid in het geding komt. De leden stellen de vraag wiens rechtszekerheid daarbij gediend is: die van de partijen die nieuwe methoden en technieken toepassen en reeds een erkenning hebben gekregen, of de rechtszekerheid van de gebruikers van de door die partijen aangeboden elektronische identificatiemethoden (burgers). De leden vragen welke afweging is gemaakt tussen de belangen van beide partijen.

Het doel om privacy by design in de novelle op te nemen is om de privacybelangen dan wel de rechtszekerheid van burgers te dienen bij het gebruik van inlogmiddelen. Om dat te bewerkstelligen wordt aan aanbieders van inlogmiddelen de verplichting opgelegd om maatregelen te treffen naar de stand van techniek, zodat de beschermingsmaatregelen adequaat zijn en blijven. Ten overvloede merk ik op dat het nadrukkelijk niet zo is dat partijen door de inzet van nieuwe methoden en technieken gegevens van burgers en bedrijven voor andere doelen zouden mogen gebruiken. De ratio achter de opname van privacy by design is bescherming van burgers. Daarnaast is het ook zo dat aan partijen die inlogmiddelen aanbieden zekerheid wordt geboden: zij weten waaraan hun inlogmiddelen dienen te voldoen. Van een afweging tussen belangen is in dit verband mijns inziens dan ook geen sprake.

De leden van de Volt-fractie vragen welk beoordelingskader de Minister van Binnenlandse Zaken en Koninkrijksrelaties aanhoudt bij het beslissen of de erkenning van de reeds erkende partijen in stand wordt gehouden of wordt gewijzigd, geschorst of ingetrokken.

Voordat een partij wordt erkend wordt getoetst of de partij en het middel dat die partij wil aanbieden voldoen aan de toelatingseisen. Die eisen blijven gelden nadat een partij is erkend. Verder gelden aanvullende eisen vanaf het moment dat een partij is erkend. Het gaat om eisen die niet vooraf kunnen worden getoetst, bijvoorbeeld een te behalen beschikbaarheidsniveau. Het totaal van toelatingseisen en aanvullende eisen aan toegelaten partijen is het toetsingskader. Wanneer in het kader van toezicht wordt geconstateerd dat niet langer aan de eisen wordt voldaan kan worden overgegaan tot het schorsen of intrekken van de erkenning, maar ook tot het opleggen van een bestuurlijke boete of een last onder dwangsom. Wijziging van een erkenning is mogelijk zonder een nieuwe aanvraag te doen en zal vooral plaatsvinden op verzoek van de houder, bijvoorbeeld wanneer deze wijzigingen wil doorvoeren in het authenticatieproces of in de organisatie. Een dergelijk verzoek wordt afgewezen wanneer de erkenningshouder met het doorvoeren van de wijziging niet langer voldoet aan de toelatingseisen. Intrekking van een erkenning kan ook op verzoek plaatsvinden. In dat geval wordt getoetst of partijen een exitplan hebben waarin de belangen van gebruikers voldoende zijn geborgd. Daarbij is van belang dat verwerkte persoonsgegevens worden vernietigd en of gebruikers voldoende tijdig worden geïnformeerd over de beëindiging.

Open source

Leden van verschillende fracties hebben vragen gesteld over het onderwerp open source. In de volgende antwoorden ga ik achtereenvolgens onder meer in op de mogelijke voordelen van open source, de noodzakelijke weging ten aanzien van andere relevante belangen, het groeimodel dat ik voornemens ben te hanteren en de wijze waarop ik voornemens bent te zorgen dat partijen weten waaraan zij moeten voldoen wanneer zij een aanvraag willen indienen. Doelstelling is om de beweging naar open source op een verantwoorde manier te maken.

De leden van de fractie van VVD vragen waarom ervoor is gekozen om een erkenning te weigeren als onvoldoende gebruik wordt gemaakt van software die onder een open source licentie is gepubliceerd.

Het gebruik van open source software heeft als voordeel dat gebruikers en andere geïnteresseerden de werking van deze software kunnen inzien. Deze transparantie geeft hen de mogelijkheid om te controleren of de software werkt zoals is voorgesteld en of deze veilig is. Meer ogen zorgen in dat geval voor toename van de veilige werking van de software en de mogelijkheid om bijvoorbeeld sneller beveiligingsproblemen te ontdekken. Open source kan daarmee een bijdrage leveren aan de veiligheid en innovatie.

De leden van de D66-fractie vragen wat de criteria zijn op basis waarvan een weging kan worden gemaakt over het wel of niet verplicht gebruiken van open source. Zij vragen verder of dit afhankelijk is van een bepaalde hoeveelheid aanbieders en of daar een limiet voor geldt.

Overigens hecht ik eraan om op deze plaats te benadrukken dat de inzet van open source, mits goed onderhouden en gedragen door een goede en kundige groep ontwikkelaars, juist ook kan bijdragen aan de veiligheid, doordat meer mensen meekijken en sneller beveiligingsproblemen kunnen worden ontdekt en opgelost.

Ten derde wordt meegewogen of het gebruik van open source software voor partijen uitvoerbaar is. Dit doe ik om te voorkomen dat een te snelle omschakeling naar open source tot continuïteitsrisico’s kan leiden, omdat de partijen die nog voor een belangrijk deel closed source werken, die niet kunnen opvangen. Een product van closed source als open source aanbieden heeft namelijk meer voeten in de aarde dan enkel de aanpassing van de licentie. Het raakt ook de manier waarop de aanbieders nu de beveiliging ingericht hebben. De maatschappij is er immers niet bij gebaat wanneer toepassing van dit criterium ertoe leidt dat er hierdoor geen inlogmiddelen beschikbaar zijn om toegang tot digitale dienstverlening te krijgen of deze niet meer veilig zijn.

Op deze factoren is ingegaan in de memorie van toelichting bij de novelle in de paragraaf «Open source». Daarin is tevens uiteengezet dat sprake is van een groeimodel, waarmee wordt toegewerkt naar inzet van meer open source software waar dat mogelijk is. Een dergelijk groeimodel is nodig om te voorkomen dat voor gebruikers geen inlogmiddelen beschikbaar zijn om toegang te krijgen tot digitale dienstverlening.

De leden van de VVD-fractie vragen of de regering de mening deelt dat het allerbelangrijkste is dat technische oplossingen aan de veiligheidseisen en -waarborgen voldoen, dat open source niet per definitie de veiligste optie is en dat closed source oplossingen niet uitgesloten mogen worden.

Kort en goed dient als voor een functionaliteit een in alle opzichten gelijkwaardige open source oplossing voorhanden is, deze te worden ingezet. Daarbij houd ik zoals hierboven aangegeven rekening met de continuïteit en veiligheid van huidige middelen en een redelijke toegroeitermijn.

De leden van de D66-fractie vragen een nadere toelichting over verschillende aspecten op het gebied van open source waaronder de transitietermijn richting open source. Deze leden vragen of dezelfde termijn ook geldt voor DigiD. Ook de leden van de Volt-fractie stellen vragen over de praktische uitwerking van dit toetsingscriterium.

Een termijn waarbinnen de transitie richting open source is voltooid, is dus niet te geven. Deze is onder meer afhankelijk van de ontwikkelingen op het gebied van open source software en de mate waarin deze wordt ondersteund.

Voor een publiek identificatiemiddel, DigiD, zal hetzelfde minimumniveau gelden als voor identificatiemiddelen van private aanbieders.

De leden van de D66-fractie vragen waarom de regering open source niet heeft verankerd in de wet in plaats van met een wegingsfactor.

Zoals in het antwoord op de vorige vraag is aangegeven is het wenselijk een door middelenaanbieders te halen minimumniveau vast te stellen van open source software of andere software waarvan de broncode openbaar is gemaakt. Daarbij heb ik beargumenteerd waarom een absolute verplichting om open source te gebruiken niet wenselijk is vanuit maatschappelijk perspectief. Het toetsingscriterium voor open source, zoals dat in de voorliggende novelle is opgenomen, maakt het mogelijk om een groeimodel te hanteren, waarbij de norm periodiek opnieuw wordt vastgesteld aan de hand van de stand der techniek en met inachtneming van de relevante belangen. Het ligt vervolgens voor de hand dat de norm niet bij wet, maar bij lagere regeling wordt vastgesteld.

De leden van de VVD-fractie vragen de regering nader op in te gaan op de rechtszekerheid voor aanvragers en op de vraag wanneer sprake is van voldoende gebruik van open source.

Naar mijn mening komt het systeem dat ik voor ogen heb, een minimumniveau dat door partijen moet worden gehaald, de uitvoerbaarheid en de rechtszekerheid ten goede. Potentiële aanvragers en deelnemende partijen kunnen op basis van het systeem dat in lagere regelgeving op grond van de wet wordt uitgewerkt concluderen aan welke norm zij op een bepaald moment moeten voldoen en wat zij moeten doen om die norm te halen.

De leden van de D66-fractie vragen op welke manier het gebruik van open source wordt gehandhaafd.

Aanvragers van een erkenning moeten in hun aanvraag aangeven welke van de door hen gebruikte softwarecomponenten open source zijn of waarvan de broncode openbaar is. Bij de aanvraag wordt getoetst of met die componenten het op dat moment geldende minimumniveau wordt gehaald. Wordt het minimumniveau niet gehaald, dan wordt de aanvraag afgewezen. Wanneer een erkenning wordt verleend is de erkende partij verplicht de in de aanvraag genoemde softwarecomponenten ook daadwerkelijk te gebruiken. Daarop vindt toezicht plaats en bij overtreding kunnen handhavingsinstrumenten worden ingezet.

Wanneer het minimumniveau wordt bijgesteld, krijgen reeds erkende partijen een termijn om aan de nieuwe norm te voldoen. Van partijen wordt gevraagd te onderbouwen op welke wijze zij aan die norm voldoen en zij zijn gehouden de in die onderbouwing genoemde softwarecomponenten ook daadwerkelijk te gebruiken.

De leden van de VVD-fractie vragen hoe het onderwerp open source is geregeld in het wetsvoorstel Wet digitale overheid dat nu in de Eerste Kamer ligt.

Het wetsvoorstel Wet digitale overheid dat nu bij de Eerste Kamer ligt bevat geen inhoudelijke erkenningseisen. Volgens de systematiek van dat wetsvoorstel worden die eisen vastgelegd in regelgeving die op dat wetsvoorstel wordt gebaseerd. Met deze novelle wordt beoogd om daar verandering in te brengen en wordt een aantal basiseisen, waaronder een toets op het gebruik van open source software, vastgelegd in de wet. De novelle zorgt aldus voor een formele/procesmatige versteviging van de open source eis. De wijze waarop daar inhoudelijk mee wordt omgegaan verandert niet.

De leden van de D66-fractie vragen of de regering problemen of oneerlijke concurrentie voorziet als er voor Nederlandse aanbieders andere eisen bestaan op het gebied van open source dan andere Europese aanbieders die toegang krijgen tot de Nederlandse markt.

De eIDAS-verordening stelt Europese lidstaten in de gelegenheid om een eigen stelsel in te richten voor toegang tot digitale overheidsdienstverlening. Daarbij kunnen lidstaten bepalen welke eisen zij hanteren voor eventuele private partijen die binnen hun stelsel diensten aanbieden. Het wetsvoorstel digitale overheid bevat de randvoorwaarden voor het Nederlandse stelsel, zoals de verplichting om open source software te gebruiken. Deze eisen zijn binnen de Nederlandse context gerechtvaardigd en noodzakelijk, in het geval van het gebruik van open source omdat dit bijdraagt aan de transparante werking en de veiligheid van de desbetreffende middelen. Partijen die willen worden toegelaten tot het Nederlandse stelsel moeten aan die verplichtingen voldoen.

Het gebruik van open standaarden staat los van het gebruik van open source software door aanbieders van inlogmiddelen. Open standaarden zijn bedoeld om ervoor te zorgen dat iedereen dezelfde taal spreekt en open source is ervoor bedoeld dat de broncode voor software die gebruikt wordt openbaar is.

De Wdo biedt zeker de mogelijkheid om standaarden te verplichten ter bevordering van interoperabiliteit en informatiebeveiliging. Een voorbeeld hiervan is het thans actuele vraagstuk ter voorkoming van ransomware-aanvallen. Op grond van de Wdo zouden bijvoorbeeld informatieveiligheidstandaarden voor e-mail kunnen worden verplicht, waarmee de veiligheid en betrouwbaarheid van e-mail van de overheid verhoogd wordt.

Overige onderwerpen

De leden van de CDA-fractie hebben gevraagd naar de uitwerking van de motie-Van der Molen2. Deze motie is gericht op het herstellen van een weeffout die is ontstaan in de aanloop van het gehele wetstraject. Deze leden vragen waarom de uitvoering van de motie niet nu al via deze novelle geregeld kan worden, en niet zoals ik de Kamer eerder heb bericht, pas in de tweede tranche van de Wet digitale overheid.

Ik heb in mijn brief van 14 juli 2021 uw Kamer geïnformeerd hoe ik uitvoering zal geven aan de motie-Van der Molen. Ik heb daarin aangegeven dat ik gefaseerd beheerst toewerk naar een duurzaam en integraal stelsel van toegang voor burgers en bedrijven met inachtneming van de huidige praktijk en de systematiek van de eerste tranche. Dat het burger- en bedrijvendomein gescheiden is in de eerste tranche betreft nadrukkelijk geen weeffout maar een bewuste keuze. Het realiseren van een geïntegreerd burger- en bedrijfsmiddel en organisatiemiddel is een proces dat tijd kost en impact heeft voor zowel partijen binnen het stelsel als voor burgers en bedrijven die van de diensten gebruikmaken, en is daarom een te grote wijziging om binnen het bestek van deze novelle verantwoord te kunnen doen.

In het rapport «Digitalisering in wetgeving en bestuursrechtspraak» doet de Raad van State zes aanbevelingen3, zo geven de leden van de SP-fractie aan. Deze zien onder andere op de gevolgen van automatisering voor burgers. Zo adviseert de Raad onder andere om «goede en inzichtelijke afspraken te maken over onderwerpen als verantwoordelijkheid, datagebruik, eigendom van data en techniek, onderhoud en knowhow.» Ziet de regering ook mogelijkheden om in deze wet ruimte te vinden voor de aanbevelingen van de Raad van State en hierover met een visie te komen, zo vragen deze leden.

De leden van de SP-fractie lezen dat het in algemene zin reguleren van alle vormen van commerciële uitnutting van persoonsgegevens buiten de werkingssfeer van dit wetsvoorstel valt. Zij vragen waarom daarvoor is gekozen en niet voor een ruimere definitie waarbij elke vorm van commerciële uitnutting van persoonsgegevens wordt uitgesloten.

Het wetsvoorstel regelt het inloggen bij (semi-)overheidsdiensten door burgers en bedrijven met publieke en private toegelaten inlogmiddelen en de randvoorwaarden die specifiek in die context gelden. Dit is waar de Minister van Binnenlandse Zaken bevoegd voor is. De definitie reikt daarmee zo breed als dat binnen diens bevoegdheid mogelijk is. Het regelen van de wijze waarop commerciële organisaties, die geen connectie hebben met het verlenen van digitale toegang tot de (semi-)overheid, met persoonsgegevens omgaan valt daarbuiten. De regels waaraan aanbieders van inlogmiddelen moeten voldoen zien daarom ook op het inloggen bij overheidsdiensten en niet bij commerciële diensten. Het gebruik van persoonsgegevens bij het inloggen bij commerciële diensten is elders geregeld, onder meer in de Algemene verordening gegevensbescherming.

De leden van de D66-fractie zien graag in een tijdslijn uiteengezet wat de novelle betekent voor de verdere behandeling en uitvoering van de Wet Digitale Overheid.

Ik begrijp de wens voor een tijdlijn. Deze is echter mede afhankelijk van de data waarop de novelle door uw Kamer zal worden behandeld en aangenomen, en de datum waarop vervolgens de behandeling van het oorspronkelijke wetsvoorstel met de novelle door de Eerste Kamer plaats zal vinden. In beginsel is het nog mogelijk dat het wetsvoorstel op 1 juli 2022 in werking kan treden, als uw Kamer de behandeling voor eind januari 2022 afrondt. Ik spreek de hoop uit dat dit mogelijk is. Daarmee kunnen de waarborgen die het wetsvoorstel samen met de novelle biedt, van kracht worden, kunnen hogere betrouwbaarheidsniveaus voor inloggen worden afgedwongen en wordt de overheidsdienstverlening veiliger. Ik zeg toe dat uw Kamer voor het einde van het jaar geactualiseerde concepten ontvangt van de, nu bij uw Kamer in voorhang zijnde, algemene maatregelen van bestuur over inlogmiddelen die uitwerking geven aan de novelle.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops