Staatsblad van het Koninkrijk der Nederlanden

Datum publicatieOrganisatieJaargang en nummerRubriekDatum ondertekening
Ministerie van Binnenlandse Zaken en KoninkrijksrelatiesStaatsblad 2004, 584AMvB

Besluit van 8 november 2004, houdende voorlopige voorzieningen inzake het gebruik van persoonsnummers ten behoeve van de elektronische toegang tot de overheid

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties van 9 juni 2004, nummer IIOS2004/69201, DGMOS/DIIOS/II, gedaan mede namens Onze Minister van Justitie;

Gelet op artikel 24, tweede lid, van de Wet bescherming persoonsgegevens;

De Raad van State gehoord (advies van 30 augustus 2004, no. W04.04.0344/I);

Gezien het nader rapport van Onze Minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties van 12 oktober 2004, nr. 2004-0000013570, uitgebracht mede namens Onze Minister van Justitie;

Hebben goedgevonden en verstaan:

Artikel 1

In dit besluit wordt verstaan onder:

a. sociaal-fiscaalnummer: het nummer, bedoeld in artikel 2, derde lid, onderdeel j, van de Algemene wet inzake rijksbelastingen;

b. administratienummer: het administratienummer, bedoeld in artikel 50 van de Wet gemeentelijke basisadministratie persoonsgegevens;

c. overheidstoegangsvoorziening: de centrale voorziening die ondersteuning biedt bij het verifiëren van de identiteit van personen die langs elektronische weg toegang zoeken tot een bij de voorziening aangesloten bestuursorgaan;

d. verantwoordelijke voor de overheidstoegangsvoorziening: het bestuursorgaan dat de verantwoordelijke is ten aanzien van de verwerking van persoonsgegevens binnen de overheidstoegangsvoorziening.

Artikel 2

  • 1. Het sociaal-fiscaalnummer kan bij de verwerking van persoonsgegevens door de verantwoordelijke voor de overheidstoegangsvoorziening worden gebruikt met het oog op het verifiëren van de identiteit van degene die met behulp van de voorziening toegang zoekt tot elektronisch bestuurlijk verkeer met een bestuursorgaan dat is aangesloten bij de voorziening.

  • 2. Artikel 6 van het Besluit gebruik sofi-nummer Wbp is van overeenkomstige toepassing.

Artikel 3

  • 1. Het administratienummer kan bij de verwerking van persoonsgegevens door de verantwoordelijke voor de overheidstoegangsvoorziening en door de bij die voorziening aangesloten bestuursorganen worden gebruikt met het oog op het verifiëren van de identiteit van degene die met behulp van de voorziening toegang zoekt tot elektronisch bestuurlijk verkeer met een bestuursorgaan dat is aangesloten bij de voorziening.

  • 2. De verantwoordelijke voor de overheidstoegangsvoorziening en de bij die voorziening aangesloten bestuursorganen kunnen daarbij van het administratienummer gebruik maken in het verkeer met andere personen en instanties voor zover deze zelf gemachtigd zijn tot het gebruik van het administratienummer.

Artikel 4

Dit besluit wordt aangehaald als: Tijdelijk besluit nummergebruik overheidstoegangsvoorziening.

Artikel 5

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin het wordt geplaatst en vervalt op een bij koninklijk besluit te bepalen tijdstip.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

histnoot

's-Gravenhage, 8 november 2004

Beatrix

De Minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties,

Th. C. de Graaf

De Minister van Justitie,

J. P. H. Donner

Uitgegeven de achttiende november 2004

De Minister van Justitie,

J. P. H. Donner

NOTA VAN TOELICHTING

1. Algemeen

1.1. Inleiding

In de eerste actielijn van het Actieprogramma «Andere Overheid» kondigt het kabinet aan dat «(...) nog in 2004 een authenticatievoorziening (zal) worden ingericht, die overheidsbreed ter beschikking zal komen. Deze voorziening is een eerste aanzet tot een volwaardige infrastructuur voor elektronische beveiliging en identificatie (...)».1

De bedoelde infrastructuur omvat een algemene voorziening voor elektronische toegang tot de overheid, die ondersteuning biedt bij het identificeren van de (natuurlijke of rechts) persoon die toegang zoekt tot de overheid en bij het plaatsen door die persoon van een elektronische handtekening. In deze toelichting wordt die voorziening aangeduid als de overheidstoegangsvoorziening, of afgekort OTV. De OTV zal in stappen groeien naar een dergelijke algemene voorziening.

De eerste stap om te komen tot een OTV is gezet door een aantal uitvoeringsorganisaties in het domein van belastingen, werk en inkomen. Zij hebben in een manifest aangekondigd dat zij een gezamenlijke voorziening ten behoeve van authenticatie van personen tot stand gaan brengen.2 Deze gezamenlijke voorziening, door hen genoemd de Nieuwe authenticatievoorziening (NAV), is in zijn eerste fase sinds juni 2004 in werking. Waar in deze toelichting wordt gesproken over de OTV wordt daaronder mede begrepen de eerste fase daarvan: de NAV.

De OTV kent in de aanvang een beperkte opzet. Zo wordt begonnen met een enkel authenticatiemiddel: een combinatie van gebruikersnaam en wachtwoord. In een volgend stadium zal de OTV met meer middelen te benaderen zijn. Naast beperkingen met een beheersmatige achtergrond zijn er ook juridische beperkingen. Die vloeien onder meer voort uit de grenzen die artikel 24 van de Wet bescherming persoonsgegevens (Wbp) stelt ten aanzien van het gebruik van persoonsnummers. De OTV wordt aanvankelijk slechts ingezet met het oog op dienstverlening waarbij gebruik gemaakt kan worden van het sociaalfiscaal-nummer (sofi-nummer).

Het is de verwachting dat de OTV wordt geregeld in een wet in formele zin. In die wet wordt dan bijvoorbeeld de zorg voor de instandhouding van de OTV geregeld, worden rechten en verplichtingen vastgelegd van bestuursorganen die zijn aangesloten bij de voorziening en wordt het gebruik van persoonsnummers voor de OTV bepaald. De wet regelt een OTV zonder de hiervoor bedoelde beperkingen. Het wetsvoorstel is in voorbereiding en zal naar verwachting begin 2005 aan de Tweede Kamer worden aangeboden. De beoogde datum van inwerkingtreding van de wet is 1 januari 2007.

Wachten met het in gebruik nemen van een toegangsvoorziening tot na die datum zou betekenen dat de doelen die zijn gesteld voor de verbetering van de elektronische dienstverlening niet (tijdig) worden gehaald.3 Daarom wordt, parallel aan het tot stand brengen van een wettelijke regeling, de OTV feitelijk ontwikkeld en wordt deze zoveel als mogelijk reeds in bedrijf gesteld. Eén van de beperkingen die daarbij optreedt is – zoals gezegd – de huidige regeling van het gebruik van persoonsnummers in artikel 24 Wbp. Het onderhavige besluit strekt er toe om vooruitlopend op een wettelijke regeling, een tijdelijke voorziening tot stand te brengen op grond van artikel 24, tweede lid, Wbp. Op grond van het besluit zal de OTV niet beperkt blijven tot ondersteuning van elektronische overheidsdiensten waarvoor het sofi-nummer kan worden gebruikt. Na inwerkingtreding van het besluit kan het bereik van de OTV belangrijk uitgebreid worden met overheidsdiensten die van het A-nummer gebruik maken.4

In het bovenstaande is in enkele zinnen het doel geschetst van het Tijdelijk besluit nummergebruik overheidstoegangsvoorziening. In de volgende onderdelen van het algemeen deel van deze toelichting wordt nader ingegaan op het vaststellen van de identiteit, de werking van de OTV, de huidige regels ten aanzien van het gebruik van persoonsnummers, het verband met het burgerservicenummer en de verantwoordelijkheid voor en ontwikkeling van de OTV. Hoewel het onderhavige besluit slechts het gebruik van persoonsnummers in de context van de OTV betreft, wordt in de toelichting een breder beeld geschetst. Dat bredere beeld is tot nu toe wel naar buiten gebracht, maar in meer algemene termen. De toelichting geeft aan hoe het besluit werkzaam is als tijdelijke regeling ten behoeve van de ontwikkeling van een algemeen stelsel voor elektronische toegang tot de overheid.

Over het ontwerp van dit besluit is op 1 juni 2004 overeenkomstig artikel 51, tweede lid, van de Wbp advies van het College bescherming persoonsgegevens gevraagd. Het college heeft op 18 juni 2004, kenmerk z2004-0694, advies uitgebracht. Het college overweegt dat voor zover gesteld zou kunnen worden dat bij het verwerken van persoonsnummers ten behoeve van de OTV er sprake is van verwerking van het sofi-nummer buiten de sofi-sector, deze uitbreiding gerechtvaardigd is op grond van het feit dat daarmee slechts wordt vooruitgelopen op de aanstaande invoering van een op het huidige sofi-nummer gebaseerd burgerservicenummer.5 Het ontwerp geeft het college geen aanleiding voor commentaar. Het wijst er daarbij nadrukkelijk op dat dit oordeel beperkt is tot de voorgestelde basis voor het gebruik van persoonsnummers door de OTV en dat daarmee geen uitspraak is gedaan over andere aspecten van de OTV.

1.2. Identificatie

Er zijn vormen van dienstverlening door de overheid, waarbij het vaststellen van de identiteit van de burger maar een beperkte betekenis heeft. Zo zal een bestuursorgaan in veel gevallen een informatiefolder zenden naar het door de burger opgegeven adres – zonder dat daar een nadere verificatie van de identiteit van de betrokkene en de «juistheid» van het adres aan vooraf gaat. Deze gedragslijn zal zo blijven bij een elektronische vraag aan het bestuursorgaan, bijvoorbeeld als gebruik gemaakt wordt van een webdienst van het bestuursorgaan of als de vraag in een e-mail is verzonden. De Wbp schrijft voor dat een bestuursorgaan niet méér gegevens opvraagt en verwerkt dan noodzakelijk. Als het mogelijk is om de zaak anoniem af te doen, is dat ook de aangewezen weg.

In veel andere gevallen is er wel behoefte aan het vaststellen van de identiteit van de betrokkene. Een bestuursorgaan zal bijvoorbeeld een vraag van een burger om inzage in persoonsgegevens in het algemeen alleen toe willen staan voor zover het de gegevens van de betrokkene zelf betreft. Ook bij uitwisselingen tussen overheid en burger waarbij (financiële) rechten en plichten van de burger aan de orde zijn (belastingen, subsidie, uitkering) zal het vaststellen van de identiteit van de betrokkene belangrijk zijn – enerzijds voor een goede dienstverlening en anderzijds om misbruik te voorkomen.

Er zijn nu al veel mogelijkheden voor elektronische communicatie met de overheid. Vrijwel ieder overheidsorganisatie heeft een website met informatie. Gegevensuitwisseling met behulp van e-mail wordt al toegepast. De Algemene wet bestuursrecht schept een (verdere) grondslag voor dergelijke communicatie.6

In veel gevallen heeft de elektronische communicatie echter een algemeen karakter (het verstrekken van algemene informatie) of omvat slechts het begin van de uitwisselingsketen (een formulier elektronisch opvragen). Gegevensuitwisseling die is toegesneden op de desbetreffende burger, waarbij het contact ook elektronisch afgewikkeld kan worden, komt veel minder voor.7

Voor zover deze laatstgenoemde wijze van elektronische uitwisseling mogelijk is, bieden overheidsorganisaties ieder hun eigen manier om de identiteit vast te stellen van de burger die contact zoekt. De Belastingdienst heeft zijn manier, voor het opvragen van de status van een aanvraag om individuele huursubsidie wordt een andere methode gebruikt en verschillende gemeenten bieden diensten aan met behulp van (ieder) hun eigen stelsel.

Juist hier is veel te winnen met een gezamenlijke aanpak. Het is voor een bestuursorgaan makkelijker om mee te doen met een gezamenlijk initiatief dan om zelf het wiel uit te vinden. Met een gezamenlijke aanpak kan de diversiteit van toegangsvormen voor de burger (de «digitale sleutelbos») worden beperkt. Een gezamenlijke aanpak maakt bovendien een grotere doelmatigheid mogelijk.

Vanuit een meer automatiseringstechnisch perspectief bezien, blijken veel overheidsorganisaties automatisering te hebben toegepast enerzijds ten behoeve van de opslag en verwerking van gegevens, nodig voor de uitvoering van hun taken (automatisering van de «back-offices») en anderzijds ten behoeve van informatievoorziening in hun contacten met burgers (automatisering van de «front-offices»).

Er is een belangrijke doelmatigheidswinst te boeken met het door automatisering (verder) ontlasten van de front-offices en het leggen van de koppeling tussen front-office en back-office. Bij het leggen van die koppeling is het van belang dat de back-office «weet» wie de burger is die langs elektronische weg via de front-office contact zoekt. Het leggen van de koppeling is een (automatiserings)stap die bij veel overheidsorganisaties gezet moet worden. Een gedeelde ondersteuning, zoals de OTV die biedt, kan voor veel organisaties behulpzaam zijn.

1.3. De werking van de OTV

De voorgaande, in meer algemene termen gegeven beschouwing, kan concreter gemaakt worden met een korte beschrijving van de werking van de OTV in de eerste fase.

Bestuursorganen die met behulp van het Internet webdiensten8 aanbieden, kunnen verzoeken om een aansluiting bij de OTV. De OTV biedt het aangesloten bestuursorgaan ondersteuning bij het vaststellen van de identiteit van de burger die de dienst vraagt. Dat kan bijvoorbeeld als volgt gaan. De burger die voor de eerste keer elektronisch aangifte inkomstenbelasting wil doen, meldt zich bij de website van de Belastingdienst. Van daar wordt hij doorgeleid naar een aanmeldpagina van de website van de OTV. Hij vult op die pagina enkele gegevens in (zijn sofi-nummer en enkele andere gegevens als geboortedatum, postcode en huisnummer). Vervolgens wordt door de OTV bij de gemeentelijke basisadministratie persoonsgegevens (GBA/LRD) gecontroleerd of deze gegevens met elkaar overeenstemmen. Als dat zo is, krijgt de burger op zijn (GBA) woonadres een brief met zijn wachtwoord. De gebruikersnaam, het wachtwoord en het sofi-nummer van de betrokkene worden (in versleutelde vorm) in de OTV opgeslagen.

Vervolgens kan de burger elektronisch aangifte doen door contact te leggen met de website van de Belastingdienst en zich te identificeren met zijn gebruikersnaam en wachtwoord. Vanuit de Belastingdienst worden deze gegevens doorgeleid naar de OTV, die deze gegevens op consistentie controleert. Bij een positief bericht van de OTV aan de Belastingdienst kan de aangifte door de dienst worden ontvangen en verwerkt.

Alle volgende keren dat de burger elektronisch aangifte wil doen kan hij voor de identificatie volstaan met het opgeven van zijn gebruikersnaam en wachtwoord.9 Maar de burger heeft nu een ruimere elektronische toegang tot de overheid ontsloten dan alléén de Belastingdienst.

Hij kan – nu de OTV in het bezit is van zijn verificatiegegevens – op dezelfde wijze toegang krijgen tot andere bestuursorganen die bij de OTV zijn aangesloten. Zo zal de betrokkene na het opgeven van zijn gebruikersnaam en wachtwoord bijvoorbeeld bij een aangesloten gemeente de WOZ-waarde van zijn huis op kunnen vragen, of zich aan kunnen melden voor een parkeervergunning.

In het hiervoor beschreven voorbeeld wordt de OTV voor de eerste maal gevuld met gegevens op basis van een contact met de Belastingdienst. Het systeem werkt op dezelfde wijze als een burger die nog niet bij de OTV is geregistreerd, toegang zoekt tot een ander bij de OTV aangesloten bestuursorgaan.

Om de toetreding van burgers tot de OTV te stimuleren wordt overwogen om meer initiatief te leggen bij enkele bestuursorganen die aansluiten bij de OTV. Zo is het bijvoorbeeld denkbaar dat de Belastingdienst aan de OTV doorgeeft welke burgers reeds elektronisch aangifte inkomstenbelasting doen. Deze personen krijgen dan spontaan op hun GBA-adres een activeringscode – voor zover ze niet reeds bij de OTV bekend zijn. Een betrokkene kan nu binnen een bepaalde (korte) tijd met deze code bij de OTV een gebruikersnaam en wachtwoord kiezen. Doet hij dat niet, dan vervallen zijn gegevens bij de OTV. Op deze wijze kan de mogelijkheid van elektronische toegang onder de aandacht van de burger worden gebracht, terwijl anderzijds het uitgangspunt gehandhaafd blijft dat de betrokkene zelf moet kiezen voor deze wijze van toegang tot de overheid.

1.4. Het persoonsnummerbeleid, sofi-nummer, A-nummer en het burgerservicenummer

Het uitwisselen van gegevens door de OTV met de GBA/LRD en met de bestuursorganen die zijn aangesloten bij de OTV kan alleen efficiënt en betrouwbaar geschieden als daarbij gebruik wordt gemaakt van persoonsnummers. Het gebruik van een landelijk uniek persoonsnummer is nodig, omdat andere methoden als een beschrijving van de betrokkene met naam en adres vaak niet uniek zijn en erg vatbaar zijn voor (spel)fouten. Voor de OTV wordt gebruik gemaakt van het landelijk unieke overheidsnummer dat het meest bekend is bij de burger: het sofi-nummer. Aan alle ingezetenen van Nederland wordt een sofi-nummer toegekend.10 De burger kent zijn sofi-nummer bijvoorbeeld omdat dit is vermeld op zijn aangiftebiljet voor de inkomstenbelasting, op zijn paspoort of zijn rijbewijs. Het sofi-nummer is ook opgenomen in de GBA/LRD.

Het sofi-nummer wordt, zoals blijkt uit de hiervoor gegeven beschrijving, gebruikt bij de volgende uitwisselingen.

• Als een burger nog niet bekend is bij de OTV geeft hij – naast andere gegevens – zijn sofi-nummer door. De OTV gebruikt dit nummer in de uitwisseling met de GBA/LRD.

• Als een burger die bekend is bij de OTV contact zoekt, geeft de OTV na controle van gebruikersnaam en wachtwoord het resultaat van die controle en het sofi-nummer door aan het bestuursorgaan waarmee de burger contact zoekt.

Onder het regime van artikel 24 van de Wbp is het gebruik van het sofi-nummer beperkt tot gebruik ter uitvoering van de wet waarin het nummer is voorgeschreven, gebruik voor doeleinden bij wet bepaald en gebruik dat is toegestaan op grond van een algemene maatregel van bestuur op grond van het tweede lid van artikel 24 (zie het Besluit gebruik sofi-nummer Wbp). Dit regime beperkt het gebruik van het sofi-nummer (althans vóór de inwerkingtreding van het onderhavige besluit) tot bepaalde sectoren of gevallen. Op de eerste plaats kan het nummer gebruikt worden ter uitvoering van de fiscale en sociale zekerheidswetgeving. Verder zijn er gevallen waarin bij wet het gebruik van het sofi-nummer is voorgeschreven (bijvoorbeeld de Wet studiefinanciering 2000). Tenslotte zijn in het Besluit gebruik sofi-nummer Wbp onder meer met het oog op de bestrijding en het tegengaan van fraude met overheidsgelden gevallen aangewezen waarbij van het nummer gebruik gemaakt kan worden. Deze beperking tot bepaalde sectoren en gevallen kan kort aangeduid worden als het «sofi-domein».

Gelet op deze gebruiksbeperking kan de OTV, zonder nadere voorziening, niet buiten het sofi-domein worden gebruikt. De OTV zou echter geen domeingebonden, maar een algemene voorziening voor elektronische toegang tot de overheid moeten worden. Het onderhavige besluit maakt daarom, specifiek voor de OTV, een ruimer gebruik van het sofi-nummer mogelijk.

Dit ruimer gebruik van het sofi-nummer sluit aan bij het nieuwe beleidskader voor het gebruik van persoonsnummers, zoals dat aan de Tweede Kamer is geschetst.11 Het beleidskader introduceert het burgerservicenummer voor contacten tussen burger en overheid waarbij het gebruik van een persoonsnummer nodig is (gebruik in de front-offices). Het sofi-nummer is de basis voor het burgerservicenummer. Voor zover aan burgers een sofi-nummer is toegekend wordt dit nummer het burgerservicenummer.

In overeenstemming met het beoogde gebruik van het burgerservicenummer, bewerkstelligt het onderhavige besluit dat het sofi-nummer gebruikt kan worden in de contacten tussen de burger en de OTV, ook in die gevallen waarin de burger contact zoekt in verband met diensten buiten het sofi-domein. De OTV kan vervolgens het nummer gebruiken voor het verifiëren van de identiteit van de betrokkene, zoals de verificatie bij de GBA/LRD.

Voor de uitvoering van haar taken zal de overheid persoonsnummers gebruiken bij de opslag en verwerking van gegevens (gebruik in de back-offices). Het beleidskader kent voor dit nummergebruik twee opties: men kan ook hier gebruik maken van het burgerservicenummer, of er wordt een eigen sectornummer gehanteerd. In dit laatste geval moet voorzien worden in een vertaalslag om de burger (die ten behoeve van de identificatie zijn burgerservicenummer gebruikt) te verbinden met zijn gegevens (die opgeslagen zijn onder zijn sectornummer).

Vooralsnog zal naar verwachting slechts een beperkt aantal sectoren gebruik gaan maken van een eigen sectornummer.

In de besluitvorming rond het persoonsnummerbeleid en de wetgeving ten aanzien van het burgerservicenummer zullen in dit verband de nodige keuzen gemaakt worden. Het onderhavige besluit wil daar niet op vooruit lopen. Het neemt de bestaande verspreiding van het sofi-nummer binnen de overheid als uitgangspunt. Het sofi-nummer mag alleen uitgewisseld worden tussen de OTV en de daarbij aangesloten bestuursorganen, voor zover deze laatsten zelf reeds gemachtigd zijn tot het gebruik van het nummer. Dit betekent dat als de OTV een controle heeft uitgevoerd («geeft de burger een juiste combinatie van gebruikersnaam en wachtwoord op?»), de terugmelding van het resultaat van die controle alleen met behulp van het sofi-nummer mag geschieden voor zover het bestuursorgaan waar de burger contact mee zoekt het sofi-nummer mag gebruiken. De terugmelding is daarmee gebonden aan het sofi-domein.

Naast de gevallen waarin bij de opslag en verwerking van gegevens gebruik wordt gemaakt van het sofi-nummer zijn er in de huidige praktijk ook veel gevallen waarin niet het sofi-nummer, maar het A-nummer van de betrokken personen in de bestanden is opgenomen (gebruik in de back-offices van het A-nummer). Dit is met name het geval als het bestuursorgaan voor de uitvoering van taken buiten het sofi-domein (mede) gebruik maakt van de gegevens uit de gemeentelijke basisadministraties persoonsgegevens. Terugmelding van het resultaat van de controle met behulp van het sofi-nummer – als dit al zou zijn toegestaan – is dan minder zinvol. Ook het gebruik van het A-nummer valt onder de werking van artikel 24 van de Wbp. Het besluit biedt voor die gevallen de mogelijkheid dat het A-nummer wordt gebruikt. De OTV verkrijgt met de verificatie bij de GBA/LRD ook het A-nummer van de betrokkene. Het resultaat van de controle kan dan vervolgens met behulp van dat nummer worden doorgegeven aan het aangesloten bestuursorgaan waar de burger contact mee zoekt.

Kort samengevat bewerkstelligt het onderhavige besluit dus slechts een beperkte uitbreiding van het gebruik van het sofi-nummer ten behoeve van de OTV. Het nummer kan buiten het bestaande sofi-domein door de OTV gebruikt worden in het contact met de burger en bij de controle van de identiteit van de betrokkene.

Terugmelding van het resultaat van de controle door de OTV geschiedt slechts met behulp van het sofi-nummer voor zover het desbetreffende bestuursorgaan reeds zelf gemachtigd is tot het gebruik van het sofi-nummer (gebruik binnen het sofi-domein). In andere gevallen waarin het bestuursorgaan in het bezit is van het A-nummer kan dat nummer worden teruggemeld.

1.5. De verantwoordelijkheid voor en de ontwikkeling van de OTV

Het vaststellen van de identiteit van de burger staat niet op zichzelf. De werkzaamheden passen binnen het bestuurlijk verkeer tussen een bestuursorgaan en een burger. Dat verkeer heeft vele verschijningsvormen. Het kan een verzoek zijn om inzage in gegevens, het aanvragen van een vergunning, het verstrekken van inlichtingen en zo meer. Niet in alle gevallen is een elektronische afhandeling mogelijk of wenselijk, noch ligt in alle gevallen het gebruik van de OTV in de rede.

Het is op de eerste plaats de burger die bepaalt of hij contact zoekt met het bestuursorgaan via de elektronische weg.

Het bestuursorgaan bepaalt zelf of het van zijn kant de elektronische weg open wil stellen (artikel 2:15, eerste lid, Algemene wet bestuursrecht). Daarbij is het aan het bestuursorgaan om te bepalen of en voor welke diensten de inzet van de OTV gewenst is. Het bestuursorgaan beslist of de (wijze van) verificatie van de identiteit in het algemeen voor een bepaalde dienst en in een concreet geval, voldoet aan (onder meer) de eisen van betrouwbaarheid en vertrouwelijkheid zoals bedoeld in artikel 2:15 van de Algemene wet bestuursrecht.12

Naast de verschillende bestuursorganen die zijn aangesloten bij de OTV, rust de zorg voor de OTV zelf eveneens in de handen van een bestuursorgaan. Dat orgaan is op zijn beurt verantwoordelijk voor de goede werking van de OTV als zodanig. De door dat orgaan in het kader van de OTV te verrichten werkzaamheden zijn – om de verantwoordelijkheidsverdeling zo helder mogelijk te maken – ingericht als een zelfstandige taak van het orgaan. Het orgaan is de verantwoordelijke in de zin van de Wbp voor de verwerking van persoonsgegevens binnen de OTV. Als verantwoordelijke draagt het zorg voor een behoorlijke en zorgvuldige wijze van verwerking, overeenkomstig de Wbp. Zo kan de burger die is geregistreerd bij de OTV zijn rechten (correctierecht, recht op mededeling omtrent verwerking) jegens de verantwoordelijke uitoefenen.

De OTV zal in de eerste fase alleen het eerder geschetste stelsel van gebruikersnaam en wachtwoord als authenticatiemiddel kennen. Dit middel heeft niet het hoogste betrouwbaarheidsniveau. Hogere niveau’s kunnen bijvoorbeeld worden bereikt met het uitgeven van software-certificaten, met vraag-en-antwoord-systemen zoals die gebruikt worden bij «Internetbankieren» en met het uitgeven van smartcards met certificaten overeenkomstig de PKI-overheid.13 Het is de bedoeling om in de loop der tijd een uitbreiding aan de middelen te geven, zodanig dat er drie betrouwbaarheidsniveau’s komen met voor ieder niveau (ten minste) één middel. Waar naar verwachting veel overheidsdiensten vooralsnog uit de voeten kunnen met gebruikersnaam-wachtwoord-verificatie, zal het dienstenaanbod verder uit kunnen breiden als ook de betrouwbaarder middelen aanwezig zijn.

De OTV is in eerste aanleg opgezet om de elektronische toegang tot de overheid te bevorderen van natuurlijke personen aan wie een sofi-nummer is toegekend. Hoewel het begrip burger in de Algemene wet bestuursrecht ook de bedrijven omvat, wordt in deze toelichting met de term «burger» gedoeld op deze natuurlijke personen. Het is van groot belang dat een vergelijkbare toegangsvoorziening voor bedrijven tot stand wordt gebracht. Een uitbreiding van de OTV tot het bedrijvendomein ligt in het verschiet.

Daarbij kan gewezen worden op het verband met de overheidstransactiepoort, kortweg OTP. De OTP ondersteunt en bevordert de elektronische communicatie tussen bedrijfsleven en overheden. Eén van de belangrijkste doelen die de OTP dichterbij moet brengen is dat bedrijven een bericht dat zij aan de overheid moeten leveren slechts één keer behoeven te leveren, omdat vervolgens alle overheidsorganisaties die dat bericht nodig hebben, het doorgeleverd krijgen. Als de OTP een bericht ontvangt, moet verificatie plaats vinden van de «identiteit» van het bedrijf: kan het bericht inderdaad beschouwd worden als afkomstig van het bedrijf. De OTV voor bedrijven kan juist deze functie gaan vervullen ten behoeve van de OTP.

De NAV is voortgekomen uit een initiatief van een aantal uitvoeringsorganisaties in het domein van belastingen, werk en inkomen.14 Zij hebben de ontwikkeling opgedragen aan het Bureau Keteninformatisering Werk en Inkomen (BKWI). Het BKWI is een onderdeel van de Centrale organisatie werk en inkomen (CWI). In deze eerste fase is vooralsnog de CWI/BKWI belast met de zorg voor de OTV.15 Er is in het begin slechts sprake van een beperkt aantal bestuursorganen dat mee doet.

Als deze eerste fase succesvol verloopt, komen meer bestuursorganen in aanmerking voor aansluiting. Er is dan een zwaardere beheersmatige inzet nodig om bestuursorganen en burgers bij het gebruik te ondersteunen. Het CWI/BKWI als ontwikkelorganisatie is daar niet op ingericht en is daar ook niet de aangewezen organisatie voor. De Staatssecretaris van Financiën heeft de bereidheid uitgesproken om de OTV – in afwachting van de uiteindelijke wettelijke voorziening – tijdelijk onder te brengen bij de Belastingdienst.

De OTV wordt naar verwachting op termijn geregeld in een daarop toegesneden wet. In die wet zal – onder meer – de zorg voor de instandhouding van de OTV aan een bestuursorgaan worden opgedragen. Op dit moment is nog niet bepaald welk orgaan met die zorg belast zal worden. Deze wettelijke regeling zal naar verwachting niet voor 2007 in werking kunnen treden. Tot dat moment zal, zoals hierboven vermeld, de zorg voor de OTV eerst bij de CWI/BKWI en vervolgens bij de Belastingdienst berusten.

Tijdens de fasen van ontwikkeling van de OTV zal de werking voortdurend bezien worden. De ervaringen die daarbij worden opgedaan kunnen sturend werken voor het eerder bedoelde wetgevingstraject. Bovendien zal er meer duidelijkheid komen over de vraag aan welke authenticatiemiddelen in de praktijk de meeste behoefte is.

1.6. Beveiliging

Een belangrijk punt van aandacht is de beveiliging van de OTV. De Wbp vereist ter zake passende technische en organisatorische maatregelen (artikel 13 Wbp). Op deze plaats wordt volstaan met het bij wijze van voorbeeld schetsen van enkele voorzieningen, zoals deze in de eerste fase ter voorkoming van misbruik worden ingezet.

• De burger die nog niet bekend is bij de OTV, geeft bij zijn aanmelding een aantal gegevens (waaronder zijn sofi-nummer) op. Deze gegevens worden op consistentie gecontroleerd bij de GBA/LRD. Op deze wijze wordt onder meer bereikt dat aanmelding van de betrokkene bij de OTV alleen kan slagen als het verband tussen zijn sofi-nummer en andere gegevens overeenstemmen met de gegevensverzameling die bij uitstek is bedoeld voor het verstrekken van persoonsgegevens over ingezetenen aan overheidsorganen: de gemeentelijke basisadministratie persoonsgegevens.16

• De gegevens worden versleuteld in de OTV opgeslagen.

• De betrokkene kan niet on-line de beschikking krijgen over zijn wachtwoord. Als de controle bij de GBA/LRD een positief resultaat heeft, wordt het (eerste) wachtwoord per post toegezonden aan het adres waarop hij is ingeschreven bij de GBA/LRD.

• Als een burger zijn wachtwoord heeft ontvangen en op een later moment weet of vermoedt dat zijn wachtwoord misbruikt is of misbruikt kan worden, kan hij onmiddellijk het gebruik blokkeren.

• De OTV en de daarbij aangesloten bestuursorganen dragen er zorg voor dat de gegevensuitwisseling, zowel de uitwisseling onderling als de uitwisseling met de burgers, over beveiligde verbindingen verloopt.

Zoals reeds werd betoogd in paragraaf 1.5, beslist het bestuursorgaan waar de burger contact mee zoekt of de verificatie van de identiteit voldoet aan de in dat verband te stellen eisen. De terugmelding van de OTV is hierbij behulpzaam, maar niet in laatste instantie doorslaggevend. Het is aan het desbetreffende bestuursorgaan om zo nodig het controleproces aan te vullen, daarbij ook andere gegevens te gebruiken of anderszins de betrouwbaarheid en de vertrouwelijkheid van de communicatie te verzekeren.

De ondersteuning die de OTV biedt bij het verifiëren van de identiteit vangt aan met een stelsel van gebruikersnaam en wachtwoord als authenticatiemiddel. Door het opnemen van andere (betrouwbaarder) authenticatiemiddelen in de OTV zal deze ondersteuning worden uitgebreid.

1.7. Financiële aspecten

Het onderhavige besluit verplicht overheidsorganisaties niet tot aansluiten bij de OTV. Overheidsorganisaties zullen aansluiten als de baten die zij verwerven door aansluiting, per saldo naar verwachting groter zullen zijn dan de kosten (zowel initieel als structureel) die aansluiting met zich brengt.

Voor het overige legt het besluit geen extra beslag op de rijksbegroting.

Voor burgers betekent de verbetering van de elektronische toegang een potentiële besparing in kosten die samenhangen met het contact opnemen met de overheid.

2. Artikelsgewijs

Artikel 1

In dit artikel worden enkele in het besluit gehanteerde begrippen nader bepaald.

In brede zin kan de overheidstoegangsvoorziening gezien worden als het geheel van voorzieningen dat de burger in staat stelt om elektronisch toegang te krijgen tot het bestuursorgaan waar hij contact mee zoekt, dus inclusief de voorzieningen die hiertoe bij het bestuursorgaan zelf aanwezig zijn en inclusief alle voorzieningen die voor de verbindingen zorgen. In dit besluit is het begrip OTV niet zo breed bedoeld. Onderdeel c bepaalt daarom de OTV als: de centrale voorziening die ondersteuning biedt bij het verifiëren van de identiteit van de burgers die langs elektronische weg toegang zoeken tot een bij de voorziening aangesloten bestuursorgaan. Het betreft de centrale voorziening waar bijvoorbeeld de gebruikersnamen en wachtwoorden zijn opgeslagen en die het bestuursorgaan waar de burger contact mee zoekt in kennis stelt van het resultaat van de door de voorziening verrichte controlewerkzaamheden.

Het verifiëren van de identiteit betreft het geheel van werkzaamheden (zowel bij de eerste aanmelding van een bij de OTV nog onbekende persoon als bij latere contacten) dat door de OTV en het bij de OTV aangesloten bestuursorgaan wordt verricht om te controleren of degene die langs elektronische weg toegang zoekt met het laatstgenoemde bestuursorgaan de identiteit heeft die hij opgeeft.

Het begrip verantwoordelijke in onderdeel d, is het begrip, bedoeld in artikel 1, onderdeel d, van de Wbp.

Artikel 2

Het eerste lid bepaalt dat het de verantwoordelijke voor de OTV is toegestaan om het sofi-nummer te gebruiken met het oog op het verifiëren van de identiteit van degene die met behulp van de OTV toegang zoekt tot elektronisch bestuurlijk verkeer met een bij de OTV aangesloten bestuursorgaan. Dat kan ook gebruik zijn in verband met bestuurlijk verkeer buiten het fiscale domein of het domein van werk en inkomen.

Het tweede lid van dit artikel maakt artikel 6 van het Besluit gebruik sofi-nummer Wbp van overeenkomstige toepassing. Dit heeft tot gevolg dat het gebruik in die zin beperkt wordt dat de OTV het nummer alleen uit kan wisselen met de betrokkene zelf en met (personen of) instanties die zelf gemachtigd zijn om het nummer te gebruiken.

Met de in paragraaf 1.3 van het algemeen deel van deze toelichting geschetste werking van de OTV in gedachten, heeft het artikel tot gevolg dat de OTV het sofi-nummer uit kan wisselen met:

• de GBA/LRD, in het geval van een bij de OTV nog onbekende persoon;

• bij de OTV aangesloten bestuursorganen voor zover die zelf reeds gemachtigd waren om het sofi-nummer te gebruiken, in het geval van een terugmelding van het resultaat van de controle door de OTV.

De terugmelding van het resultaat met behulp van het sofi-nummer beperkt zich kort gezegd tot het sofi-domein.

Aan het slot van paragraaf 1.3 van het algemeen deel van deze toelichting is nog een derde uitwisseling beschreven. Het betreft het doorgeven van gegevens door bijvoorbeeld de Belastingdienst aan de OTV, waarna de burger de gelegenheid heeft om elektronische toegang tot bij de OTV aangesloten bestuursorganen met behulp van de OTV te activeren. Deze gegevensuitwisseling wordt overwogen om een goede start van de OTV te bevorderen.

Ook in dat geval zal de OTV de sofi-nummers van de betrokkenen verwerken met het oog op het verifiëren van de identiteit van degenen die elektronisch toegang (gaan) zoeken.

Artikel 3

Het eerste lid bepaalt dat het de verantwoordelijke voor de OTV en de bij de OTV aangesloten bestuursorganen is toegestaan om het A-nummer te gebruiken met het oog op het verifiëren van de identiteit van degene die met behulp van de OTV toegang zoekt tot elektronisch bestuurlijk verkeer met een bij de OTV aangesloten bestuursorgaan. Zie verder de toelichting bij artikel 2.

Het tweede lid sluit aan op het eerste lid door te bepalen dat bij de in dat lid bedoelde verwerking, verkeer met anderen plaats kan vinden waarbij van het A-nummer gebruik wordt gemaakt. Dit verkeer is echter beperkt tot personen en instanties voor zover deze zelf gemachtigd zijn tot het gebruik van het A-nummer. Deze beperking stemt overeen met de bewoording van artikel 6, eerste lid, onderdeel b, van het Besluit gebruik sofi-nummer Wbp. Omdat het A-nummer in de context van de OTV niet gebruikt wordt in het verkeer met de burger, is geen bepaling opgenomen die overeen stemt met onderdeel a van het genoemde artikel 6, eerste lid.

Op een vergelijkbare wijze als bij de toelichting bij artikel 2 kan de conclusie getrokken worden dat de OTV het A-nummer uit kan wisselen met de GBA/LRD en met de bij de OTV aangesloten bestuursorganen. De terugmelding van het resultaat van de controle door de OTV met behulp van het A-nummer kent echter in vergelijking met artikel 2 een lichtere beperking. Het eerste lid stelt immers alle bij de OTV aangesloten bestuursorganen in staat om het A-nummer te gebruiken met het oog op het verifiëren van de identiteit van degene die toegang zoekt tot het aangesloten bestuursorgaan. Een terugmelding door de OTV aan een aangesloten bestuursorgaan kan dus in alle gevallen met behulp van het A-nummer plaats vinden. Dit verschil reflecteert het verschil in verspreidingsgebied van de twee nummers: het sofi-nummer als nummer binnen het sofi-domein, het A-nummer als nummer voor alle bestuursorganen.17

Artikel 5

In het algemeen deel van deze toelichting wordt het tijdelijke karakter van het besluit beschreven. Het is de verwachting dat de OTV wordt geregeld in een wet in formele zin. Aan het onderhavige besluit is dan geen behoefte meer.

Het wetsvoorstel is in voorbereiding en zal naar verwachting begin 2005 aan de Tweede Kamer worden aangeboden. De beoogde datum van inwerkingtreding van de wet is 1 januari 2007.

Omdat niet op voorhand bepaald kan worden wanneer de inwerkingtreding van de wet precies plaats zal vinden, wordt het tijdstip waarop het besluit kan vervallen te zijner tijd bij koninklijk besluit vastgesteld.

De Minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties,

Th. C. de Graaf


XHistnoot

Het advies van de Raad van State is openbaar gemaakt door terinzagelegging bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Tevens zal het advies met de daarbij ter inzage gelegde stukken worden opgenomen in het bijvoegsel bij de Staatscourant van 14 december 2004, nr. 241.

XNoot
1

Kamerstukken 2, 2003–2004, 29 362, nr. 1.

XNoot
2

Het betreft de volgende uitvoeringsorganisaties: de Belastingdienst, het Uitvoeringsinstituut werknemersverzekeringen, de Centrale organisatie werk en inkomen, het College voor zorgverzekeringen, de Informatie Beheer Groep en de Sociale verzekeringsbank. Het manifest «Innovatie in uitvoering, betere dienstverlening, meer efficiency, effectiever beleid», is verschenen op 21 augustus 2003.

XNoot
3

Het kabinet streeft er naar dat in 2007 65% van de publieke dienstverlening (van rijk, provincies en gemeenten) plaats kan vinden via het Internet (zie het Actieprogramma «Andere Overheid»).

XNoot
4

Het A-nummer is het administratienummer, bedoeld in artikel 50 van de Wet gemeentelijke basisadministratie persoonsgegevens.

XNoot
5

Zie hierover met name paragraaf 1.4 van het algemeen deel van deze toelichting.

XNoot
6

Door de Wet elektronisch bestuurlijk verkeer (Stb. 2004, 214) is een nieuwe afdeling opgenomen in de Algemene wet bestuursrecht. Deze afdeling 2.3 bevat bepalingen omtrent het verkeer langs elektronische weg.

XNoot
7

Een voorbeeld van gegevensuitwisseling die wel is toegesneden op de burger en die ook elektronisch afgewikkeld wordt is de elektronische aangifte voor de inkomstenbelasting.

XNoot
8

Het bestuursorgaan maakt het mogelijk dat een burger met behulp van zijn computer (met webbrowser) via het Internet contact legt met (de webserver van) het bestuursorgaan voor de afwikkeling van bestuurlijk verkeer, zoals het inzien van gegevens, het opvragen van informatie, het aanvragen van een vergunning of een subsidie, en dergelijke.

XNoot
9

Dit is vergelijkbaar met het huidige gebruik van het sofi-nummer en de code van de Belastingdienst voor het doen van elektronische aangifte.

XNoot
10

De kring van personen aan wie een sofi-nummer wordt toegekend is ruimer. Sofi-nummers worden bijvoorbeeld ook toegekend aan niet-ingezetenen die in Nederland belasting betalen.

XNoot
11

Brief van de Ministers van Binnenlandse Zaken en Koninkrijksrelaties, van Justitie, voor Vreemdelingenzaken en Integratie en de Staatssecretarissen van Sociale Zaken en Werkgelegenheid en van Financiën van 20 november 2002 (kamerstukken II, 2002–2003, 28 600 VII, nr. 21). Nadere informatie over de implementatie van het burgerservicenummer en de relatie met het Zorg Identificatie Nummer is neergelegd in de brief van de Ministers voor Bestuurlijke Vernieuwing en Koninkrijksrelaties en van Volksgezondheid, Welzijn en Sport van 14 mei 2004 (kamerstukken II, 2003–2004, 29 362, nr. 15).

XNoot
12

Een overeenkomstige opmerking kan gemaakt worden voor het geval dat door de OTV ondersteund verkeer, het zetten van een elektronische handtekening omvat. Dit zal in de fase waarbij gebruik gemaakt wordt van naam en wachtwoord geen gekwalificeerde, maar een «gewone» elektronische handtekening zijn. Artikel 2:16 Awb bepaalt daarvoor dat aan het vereiste van ondertekening is voldaan indien de methode die daarbij voor authentificatie is gebruikt voldoende betrouwbaar is, gelet op de aard en de inhoud van het elektronische bericht en het doel waarvoor het wordt gebruikt. Dit is in eerste instantie ter beoordeling aan het desbetreffende bestuursorgaan.

XNoot
13

Ook door het uitgifteproces van een authenticatiemiddel met meer waarborgen te omkleden, kan de betrouwbaarheid worden verhoogd (bijvoorbeeld door slechts tot uitgifte over te gaan na controle van het identiteitsbewijs).

XNoot
14

Zie voetnoot 2.

XNoot
15

De taak van de CWI in verband met de zorg voor de OTV is neergelegd in een besluit van de CWI dat is goedgekeurd door de Minister van Sociale Zaken en Werkgelegenheid (zie artikel 13 van de Wet structuur uitvoeringsorganisatie werk en inkomen).

XNoot
16

Zie in dit verband ook artikel 94 van de Wet gemeentelijke basisadministratie persoonsgegevens.

XNoot
17

Zie in dit verband artikel 1 van de Wet gemeentelijke basisadministratie persoonsgegeven, waarin het begrip «afnemer», is gedefinieerd als: een bestuursorgaan. Bij de systematische verstrekking van gegevens uit de basisadministraties aan «afnemers» wordt het A-nummer gebruikt. Slechts in enkele bijzondere gevallen wordt het A-nummer ook door derden gebruikt (zie artikel 108 Wet gemeentelijke basisadministratie persoonsgegevens). Een algemene maatregel van bestuur op grond van artikel 24 Wbp, waarin gegevensuitwisseling op basis van het A-nummer tussen afnemers in het algemeen wordt toegestaan, is in voorbereiding.