2022D47220 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om enkele vragen en opmerkingen voor te leggen aan de Staatssecretaris voor Binnenlandse Zaken en Koninkrijksrelaties over de brief Voortgangsrapportage domein Toegang (Kamerstuk 26 643, nr. 914), over de brief Ministeriële Regeling met eisen aan inlogmiddelen voor burgers en bedrijven (Kamerstuk 35 868, nr. 17), over de brief interbestuurlijk toezicht onder de Wet digitale overheid (Wdo) (Kamerstuk 35 868, nr. 16).

De voorzitter van de commissie, Kamminga

De adjunct-griffier van de commissie, Van Tilburg

Inhoudsopgave

blz.

     

I

Vragen en opmerkingen vanuit de fracties

2

 

Vragen en opmerkingen van de leden van de VVD-fractie

2

 

Vragen en opmerkingen van de leden van de D66-fractie

3

 

Vragen en opmerkingen van het lid van de CDA-fractie

4

 

Vragen en opmerkingen van het lid van de SP-fractie

5

     

II

Antwoord / Reactie van de Staatssecretaris

5

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de stukken die staan geagendeerd voor het schriftelijk overleg «Toegang, toezicht en eisen inlogmiddelen onder de Wet digitale overheid (Wdo)» en hebben hierover nog enkele vragen en opmerkingen.

Ministeriële regeling

De leden van de VVD-fractie lezen dat wordt gewerkt met voorschriften voor het versturen van burgerservicenummers door aanbieders van inlogmiddelen. Deze voorschriften bestaan uit het werken op basis van pseudoniemen. Deze leden vragen waarom niet is gekozen voor end-to-end encryptie. Ziet de Staatssecretaris dit net als deze leden als veiligere optie? Zo ja, waarom is dan niet voor deze optie gekozen? Zo nee, waarom niet?

De leden van de VVD-fractie lezen dat aanbieders van inlogmiddelen moeten borgen dat de wijze waarop informatie aan de burger wordt getoond niet door een derde partij kan worden gemanipuleerd. Op welke manier moeten deze aanbieders de veiligheid borgen? Welke veiligheidseisen worden gesteld aan deze aanbieders? Deze leden lezen dat aan aanbieders van inlogmiddelen de verplichting wordt opgelegd om mogelijk misbruik te kunnen herstellen en herkennen. Op welke manier wordt dit getoetst? Wanneer kan een aanbieder misbruik in voldoende mate herkennen?

De leden van de VVD-fractie lezen dat de Staatssecretaris gaat aansturen op dat er daadwerkelijk een community komt voor open source. Op welke manier gaat de Staatssecretaris dit aansturen? Wat als het niet lukt om een community te krijgen voor open source? Aan welke criteria moet een community doen? Kan de Staatssecretaris hierbij onder andere ingaan op het kennisniveau van de community, uit hoeveel mensen de community moet bestaan en wanneer een community goed genoeg is?

De leden van de VVD-fractie lezen dat per component van de inlogdienstverlening besloten wordt of en wanneer een component open source moet zijn. Hiervoor is een redelijke termijn nodig om de software om te zetten in open source. Hoe ziet deze overgangstermijn eruit? Op welke manier wordt voorkomen dat burgers en bedrijven zonder hun middelen komen te zitten als gevolg van deze overgang?

De leden van de VVD-fractie lezen in artikel 4.5 dat beveiligingsincidenten gemeld moeten worden bij de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Is overwogen om beveiligingsincidenten te melden bij zowel de Minister als het Agentschap Telecom? Zo nee, waarom niet?

Voortgangsrapportage domein toegang

De leden van de VVD-fractie lezen dat sms-authenticatie voorlopig behouden blijft. In welke gevallen blijft het mogelijk om middels sms-authenticatie in te loggen bij de overheid? Denkt het kabinet na over andere mogelijkheden dan sms-authenticatie gezien de risico’s die daaraan verbonden zijn?

De leden van de VVD-fractie weten dat het voor veel wettelijk vertegenwoordigers belangrijk is om digitaal zaken te doen namens een ander. De planning is erop gericht om dit in het jaar 2024 gereed te hebben. Wanneer in 2024 zal dit het geval zijn? Het zou mooi zijn als dit begin 2024 zo ver kan zijn en niet pas aan het einde van 2024, want dat is nog twee jaar van nu. Graag krijgen deze leden een reactie. Deze leden hebben tenslotte kennisgenomen van het besluit van het kabinet om de compensatieregeling voor ondernemers voor het gebruik van het inlogmiddel eHerkenning met ingang van 1 oktober 2022 met twee jaar te verlengen. Deze leden vragen of de Staatssecretaris voornemens is om deze compensatieregeling te handhaven na twee jaar, als er na deze twee jaar nog steeds geen gratis publiek alternatief is.

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben met interesse kennisgenomen van de stukken over de uitvoering van Wet digitale overheid (Wdo) en hebben vragen over de uitvoering van de extra eisen die opgenomen zijn in de novelle.

Regeling nadere eisen identificatiemiddelen, authenticatiediensten en machtigingsdiensten Wdo

Artikel 1.1 Begripsbepalingen

De leden van de D66-fractie vragen waarom het begrip open source niet hier gedefinieerd is.

Artikel 2.5 Gebruik van software met openbare broncode

De leden van de D66-fractie merken op dat de begrippen openbare broncode en open source hier door elkaar worden gebruikt. Sterker nog, het lijkt alsof het hier om hetzelfde gaat. Deze leden zijn het hier niet mee eens. Open source is iets anders dan openbare broncode. Hoe heeft de Staatssecretaris in deze regeling invulling gegeven aan de motie-Dekker-Abdulaziz over een «open source, tenzij»-principe opnemen in de Wet digitale overheid (Kamerstuk 35 868, nr. 11)?

Artikel 3.1

De leden van de D66-fractie hechten veel waarde aan de «privacy bij design»-eis die in de novelle van de wet is toegevoegd. Bij de toelichting van artikel 3.1 derde lid op pagina 66 staat dat een Data protection impact assessment (DPIA) wordt geëist in de ministeriële regeling. Deze leden vinden dit een goed plan, maar vragen de Staatssecretaris waarom dit niet gewoon in deze bewoording ook in de ministeriële regeling staat.

Verhandelverbod (novelle)

Zowel in brief en verschillende toelichtingen komen de leden van de D66-fractie het verhandelverbod tegen. Dit sluit goed aan bij het debat en bij de wet. Echter zien deze leden ook hier geen woord over de ministeriële regeling. Er wordt geschreven dat het verder uitgewerkt wordt, maar die uitwerking ontbreekt. Kan de Staatssecretaris toelichten waar en hoe het verhandelverbod uitgewerkt wordt? Hoe gaat deze eis bijvoorbeeld uitzien bij een aanbesteding?

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie hebben kennisgenomen van de verschillende kabinetsbrieven die zien op de toegang tot, toezicht op en eisen aan inlogmiddelen onder de Wet digitale overheid (Wdo). Deze leden hebben hierover nog enkele vragen.

De leden van de CDA-fractie hechten eraan om te blijven benadrukken dat onder de Wet digitale overheid de burger niet verplicht zijn om digitaal zaken te doen met de overheid, maar dat burgers en bedrijven het recht hebben om digitaal zaken te doen met de overheid en dat het belangrijk is dat dit veilig, betrouwbaar en gebruiksvriendelijk gebeurt. Deze leden lezen in de brief over de Voortgangsrapportage Domein Toegang dat de aansluiting van alle overheidsorganisaties op het nieuwe stelsel naar verwachting in de tweede helft van 2026 volledig afgerond zal zijn. Deze leden vragen of deze zinsnede ziet op het volledige nieuwe stelsel, of dat dit alleen ziet op het deel van het stelsel dat ziet op de toegang via een machtiging. Deze leden vragen of de Staatssecretaris nader kan toelichten waarom het tot 2026 duurt voordat de volledige aansluiting is afgerond.

De leden van de CDA-fractie lezen in de brief de passage: «Concreet betekent de invoering van het Stelsel Toegang dat een burger of bedrijf naast respectievelijk DigiD of eHerkenning zelf kan kiezen wat voor middel (publiek of privaat) gebruikt wordt om bij verschillende overheidsdienstverleners in te loggen.» Deze leden vragen de Staatssecretaris in hoeverre er op dit moment keuzevrijheid is voor bedrijven, met name tussen een privaat of een publiek middel. Deze leden vragen of de Staatssecretaris kan aangeven of er een publiek inlogmiddel voor bedrijven komt, en hoe zij bovengenoemde keuzevrijheid voor bedrijven waarborgt.

De leden van de CDA-fractie vragen of de Staatssecretaris nadenkt over een minimum en/of een maximum aan het aantal publieke en private inlogmiddelen, vanuit het oogpunt van eenvoud voor burgers en bedrijven en effectief en efficiënt toezicht vanuit het Agentschap Telecom.

De leden van de CDA-fractie vragen hoe vaak sms-authenticatie nog wordt gebruikt als tweefactorauthenticatie bij het inloggen met DigiD. Deze leden vragen of de Staatssecretaris kan toelichten voor welke overheidsdiensten inloggen via sms-authenticatie naar verwachting straks niet meer mogelijk is. Deze leden vragen ook of het niet omslachtig is om deze groep op termijn gebruik te laten maken van een machtiging, en of het niet veel effectiever is om ervoor te zorgen dat nog veel meer mensen de ID-check toevoegen en welke stappen de Staatssecretaris hiertoe zet.

De leden van de CDA-fractie hebben nog enkele vragen over de brief Ministeriële regeling met eisen aan inlogmiddelen voor burgers en bedrijven. Deze leden vragen in het kader van het verhandelverbod of de Staatssecretaris een voorbeeld kan geven van een situatie waarin een partij via andere (commerciële) dienstverlening kan beschikken over persoonsgegevens van een gebruiker. Deze leden vragen bovendien hoe de mogelijkheid voor een gebruiker om verstrekking aan derden te beëindigen er precies uit komt te zien en wat een gebruiker daar zelf voor moet doen.

De leden van de CDA-fractie constateren dat nog niet duidelijk wordt hoe de Staatssecretaris wil omgaan met het vormen van communities die meekijken op de software. Deze leden vragen of de Staatssecretaris, zoals ook gevraagd in het debat van 1 juni 2022, wil verduidelijken of en hoe zij dergelijke communities gaat stimuleren, en welke concrete stappen zij hiertoe in de komende periode zet.

Vragen en opmerkingen van de leden van de SP-fractie

De leden van de SP-fractie hebben de voornemens over het digitale toegangstelsel gelezen en hebben hierover nog enkele opmerkingen en vragen. Deze leden lezen dat de sms-authenticatie blijft bestaan, maar lezen tevens dat voor meerdere toepassingen dit straks onbruikbaar zal zijn. Mensen kunnen dan gebruik maken van de app, waarbij ook een controle van een identificatiebewijs gevraagd kan worden. Indien zij dit niet willen of kunnen, kunnen zij een ander digitaal machtigen. Deze leden vinden dit een grote achteruitgang in de zelfredzaamheid van mensen; mensen die de app niet veilig genoeg achten of niet werkbaar genoeg verliezen zo immers de mogelijkheid om zelf digitaal zaken te kunnen doen met de overheid. Deze leden lezen tevens dat nog niet helemaal helder is waar een fysiek alternatief niet meer mogelijk is. Zou dat niet eerst helemaal duidelijk moeten zijn, alvorens mensen die de app niet willen of kunnen gebruiken uit te sluiten van deze toepassingen? Hoe verhoudt zich het voornemen om mensen zelf regie te laten voeren op hun digitale gegevens tot het advies iemand te machtigen?

De leden van de SP-fractie lezen dat er wordt ingezet op een eventuele verbreding van een publiek inlogmiddel voor bedrijven. Waarvoor wordt hiervoor gekozen, nu het stelsel nog niet volledig functioneert en de wet nog niet in werking is getreden?

De leden van de SP-fractie lezen voorts dat er per ministeriële regeling wordt geregeld dat er verplichte digitale inzage en correctie is bij aanbieders van inlogmiddelen. Als een ministeriële regeling bedoeld is om snel iets te kunnen wijzigen, wat wordt hier dan voorzien dat snel gewijzigd dient te worden? Deze leden zien dit als een fundamentele waarborg voor het functioneren van een dergelijk inlogmiddel en de juiste bescherming van mensen. Waarom is ervoor gekozen om dit niet in de wet op te nemen maar per ministeriële regeling op te nemen? Dezelfde vragen stellen zij over het herstelvermogen, de bescherming bij het inloggen en de beperking van het verwerken van het burgerservicenummer.

II Antwoord / Reactie van de Staatssecretaris

Naar boven