Besluit van 7 maart 2024, houdende vaststelling van regels inzake de erkenning van bedrijfs- en organisatiemiddelen en bijbehorende diensten (Besluit bedrijfs- en organisatiemiddel Wdo)

NOTA VAN TOELICHTING

Algemeen deel

1. Aanleiding en uitgangspunten

Burgers en bedrijven moeten te allen tijde veilig en betrouwbaar met de overheid kunnen communiceren, ook digitaal. De minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister) is verantwoordelijk voor de veilige toegang voor burgers en bedrijven tot digitale dienstverlening van de overheid. In de Wdo is deze verantwoordelijkheid vastgelegd. Daarbij is ook geregeld dat in nadere regelgeving normen worden gesteld waaraan publieke en private identificatiemiddelen die gebruikt kunnen worden bij het verlenen van toegang tot publieke dienstverlening, in het publieke domein moeten voldoen. Dit besluit bevat de nadere regels die worden gesteld aan bedrijfs- en organisatiemiddelen. Deze middelen worden gebruikt door bedrijven (ondernemingen en rechtspersonen) om toegang te krijgen tot elektronische overheidsdienstverlening. Met dit besluit wordt verzekerd dat deze toegang voor bedrijven veilig en betrouwbaar kan plaatsvinden.

Dit besluit geeft uitvoering aan de artikelen 11, eerste, tweede, derde en vijfde lid, en 13, eerste, vierde en vijfde lid, van de Wdo. Op grond van die artikelen zijn regels gesteld inzake de erkenning van partijen die elektronische identificatiemiddelen leveren en daarbij betrokken diensten aanbieden. Op grond van dit besluit zijn meer gedetailleerde regels gesteld bij ministeriële regeling.

Uitgangspunt van de regels: eIDAS-verordening en AVG

Het uitgangpunt voor deze nadere regels is de eIDAS-verordening en de daarop gebaseerde Uitvoeringsverordening (EU) 2015/1502 (hierna: de Uitvoeringsverordening). Deze bevat eisen voor (stelsels van) identificatiemiddelen indien lidstaten deze, ten behoeve van wederzijdse erkenning en grensoverschrijdende elektronische authenticatie, wensen te notificeren. Deze eisen betreffen onder andere de betrouwbaarheid van elektronische identificatiemiddelen en uitgifteprocessen op de betrouwbaarheidsniveaus laag, substantieel en hoog. Om veiligheid en betrouwbaarheid van ons stelsel te garanderen alsmede om notificatie, en daarmee grensoverschrijdend gebruik van erkende bedrijfs- en organisatiemiddelen mogelijk te maken, vormen deze eisen de basis voor dit besluit.

Daarnaast vormen de privacy-eisen uit de AVG, de Nederlandse implementatiewet UAVG en nationale privacyregelgeving zoals BSN-wetgeving, een belangrijk uitgangspunt voor de eisen die in dit besluit aan aanbieders van inlogmiddelen worden gesteld.

Ten slotte zijn in dit besluit de eisen uitgewerkt zoals deze naar aanleiding van het debat over de Wdo in de Eerste Kamer, door middel van een novelle (Kamerstukken II 2020–2021, 35 868) expliciet in de Wdo zijn opgenomen. Het betreft eisen over privacy by design, het verbod voor erkende partijen om gegevens van burgers te verhandelen en de inzet van open source licenties door erkenningshouders. Gezien het belang van deze eisen zijn deze eisen in de wet zelf vastgelegd, en in onderhavig besluit nader uitgewerkt. De inhoud van de eisen in dit besluit komt overeen met het spiegelbeeldige besluit identificatiemiddelen voor natuurlijke personen Wdo.

Privacy by design

Met dit besluit wordt van aanvragers van een erkenning gevraagd om bij een erkenningsaanvraag te onderbouwen dat is voldaan aan artikel 25 van de AVG (privacy by design). Voor de beoordeling of dit het geval is worden de richtsnoeren gebruikt die de European Data Protection Board hanteert.

Verhandelverbod van gegevens

In dit besluit is het verhandelverbod van gegevens ten eerste uitgewerkt door middel van de verplichting tot een gescheiden opslag van gebruiks- en gebruikersgegevens, waardoor de koppeling ervan niet meer of alleen geclausuleerd mogelijk is. Verder zijn erkende partijen verplicht openbaar te maken op welke wijze zij inkomsten genereren met een erkenning, en zijn zij verplicht om waar mogelijk met versleutelde gegevens te werken. Gebruikers moeten verder de mogelijkheid krijgen om het verstrekken van gegevens te beëindigen zonder verlies van functionaliteiten en zonder nadelige financiële gevolgen.

Open source

Dit besluit heeft als doel de inzet van open source software als onderdeel van de toegelaten inlogmiddelen op een verantwoorde manier mogelijk te maken, zonder dat dit ten koste gaat van de mogelijkheden voor gebruikers om op veilig wijze toegang te krijgen tot elektronische dienstverlening. Zoals in de nadere memorie van antwoord bij het wetsvoorstel voor de Wet digitale overheid wordt vermeld is open source de weg die we opgaan. Om dat einddoel te bereiken wordt in diezelfde memorie aangekondigd dat een groeimodel wordt gehanteerd. Met dit besluit wordt dit groeimodel mogelijk gemaakt.

In dit besluit is namelijk voorgeschreven dat een aanbieder van een identificatiemiddel voor bepaalde componenten van dat inlogmiddel software moet gebruiken waarvan de broncode openbaar is. Bij ministeriële regeling wordt bepaald welke componenten het betreft. Daarbij worden componenten aangewezen die persoonsgegevens verwerken, omdat bij die componenten het risico bestaat op ongewenst datagebruik. In beginsel moeten deze componenten worden aangewezen, tenzij dat aanwijzen onaanvaardbare gevolgen heeft voor de veiligheid in inlogmiddelen, de continuïteit van middelen die al worden gebruikt, of de beschikbaarheid van een breed aanbod. Daarmee wordt met dit besluit het principe «open, tenzij» vastgelegd, en wordt uitvoering gegeven aan de motie van kamerlid Dekker-Abdulaziz over dit onderwerp.

Wanneer een component is aangewezen moet daarvoor software worden gebruikt die onder een open source licentie is gepubliceerd (openbaarmaking van de broncode is een onderdeel van deze licenties) of waarvan de broncode op andere wijze openbaar is gemaakt. Op grond van dit besluit kunnen nadere regels worden gesteld aan de wijze waarop de broncode openbaar wordt gemaakt, bijvoorbeeld wanneer openbaarmaking op andere wijze dan via een open source-licentie plaatsvindt.

Verder wordt met dit besluit geregeld dat voor de aangewezen componenten een mogelijkheid moet bestaan voor derden om kwetsbaarheden van de software te melden en om voorstellen te doen voor aanpassing van die software. Daarmee wordt geborgd dat de community die gericht is op het monitoren en verbeteren van de software altijd een kanaal heeft om bevindingen te rapporteren. De aanbieder van een authenticatiedienst of machtigingsdienst is vervolgens gehouden om op deze inbreng te reageren en om terugkoppeling te geven over de gevolgen die daaraan zijn gegeven.

Met deze eisen wordt de weg naar open source ingezet, met als doel transparantie te verkrijgen over de inzet van open source software in de processen van de aanbieders van identificatiemiddelen.

Toezicht op naleving

Aanbieders van private inlogmiddelen worden hier niet alleen bij de toelating op bovenstaande eisen gecontroleerd, maar ook tussentijds, als onderdeel van het doorlopende toezicht op de inlogmiddelen. Zo zijn partijen verplicht een onafhankelijke audit uit te voeren. Verder zijn zij verplicht om mee te werken aan het toezicht. Bij overtreding van de regels in dit besluit kan in voorkomende gevallen worden overgegaan tot schorsing, en uiteindelijk ook uitsluiting van de dienstverlening, waarbij de toelating wordt ingetrokken en de aanbieder zijn dienstverlening moet stoppen.

Daarnaast zijn er nog extra waarborgen ingebouwd in de vorm van de meldingsplicht. Wanneer het middel wijzigt moet in beginsel ook de verleende erkenning worden gewijzigd. Soms is geen wijziging van de erkenning nodig. In dat geval is het doen van een melding verplicht.

eHerkenning en de Wdo: overgangstermijn

In de Wdo is de veilige toegang voor bedrijven tot de digitale overheid publiekrechtelijk geregeld. De minister is eindverantwoordelijk en heeft bevoegdheden om deze verantwoordelijkheid waar te te kunnen maken. Ook regelt de Wdo dat publiekrechtelijk toezicht op de middelen worden gehouden, door de Rijksinspectie Digitale Infrastructuur.

Eerder is door de Minister van Economische Zaken en later de minister, het bedrijfsmiddel eHerkenning ontwikkeld in de vorm van een publiek-private samenwerking. Met de inwerkingtreding van de Wdo is dit veranderd. Voor eHerkenning betekent dit dat de op dit moment beschikbare bedrijfs- en organisatiemiddelen onder het publiekrechtelijke Wdo-regime vallen.

Voor hen betekent dat een wijziging op een aantal punten, waaronder governance, en op een aantal punten ook inhoudelijke eisen. Hierop passen de partijen hun bedrijfsvoering aan. Aangezien het belangrijk is continuïteit van de inlogmiddelen voor bedrijven te verzekeren, is voorzien in een overgangsperiode van 18 maanden.

2. Veilig inloggen voor bedrijven: inzet markt, rollen en samenwerking

Het kabinet heeft met het programma Digitaal 2017 de ambitie uitgesproken om alle dienstverlening van overheden digitaal beschikbaar te stellen. Bedrijven en organisaties kunnen bij de overheid steeds meer zaken digitaal regelen, bijvoorbeeld een vergunning aanvragen of Btw-aangifte indienen. Vanzelfsprekend kan dat alleen als de toegang tot die diensten veilig en betrouwbaar is.

Marktinzet en terugvalopties

Een belangrijke reden om te kiezen voor een systeem waarbij meerdere partijen worden erkend om inlogmiddelen te leveren, is dat op deze manier de afhankelijkheid van één enkele mogelijkheid (single point of failure) voorkomen wordt. Door ervoor te kiezen private partijen te erkennen, wordt er gebruik gemaakt van een marktmechanisme, dat zorgt voor een continue verbeterslag van inlogmiddelen en inzet van innovatieve beschermingsmogelijkheden. Door de mogelijkheid om private middelen ook buiten de overheid te gebruiken, kunnen bedrijven zich ook buiten de overheid en in onderlinge relaties met deze middelen identificeren. Uiteraard zien de eisen in dit besluit en het toezicht dat daarop wordt gehouden niet op gebruik buiten het overheidsdomein.

Maatschappelijke belang staat voorop

De keuze voor de inzet van private partijen is bewust, en sluit ook aan bij keuzes die andere lidstaten maken binnen de eIDAS-verordening. De keus om private partijen in te zetten betekent echter ook dat marktbelangen een rol zullen gaan spelen bij de digitale toegang tot de overheid. Het fundamentele uitgangspunt bij de veilige digitale toegang tot de overheid is echter dat het maatschappelijk belang te allen tijde prevaleert. Dat is ook de reden dat de Wdo voorziet in een publiekrechtelijk kader, waarin veiligheid, betrouwbaarheid en privacybescherming voorop staat.

Stelsel toegang en bedrijfs- en organisatiemiddelen

Ten behoeve van de veilige toegang tot de overheid voor bedrijven en organisaties zijn verschillende rollen voorzien die worden erkend. Deze rollen zullen zowel onderling moeten samenwerken als met de randvoorwaardelijke voorzieningen van de overheid voor digitale toegang. Door middel van regels over interoperabiliteit wordt gezorgd dat al deze onderdelen in een stelsel kunnen samenwerken. Daarbij worden ook regels gesteld om te zorgen dat het stelsel verantwoord kan doorontwikkelen en de interoperabiliteit geborgd blijft. Hieronder wordt dit toegelicht.

Erkenning van authenticatiedienst en machtigingsdienst

Voor de beschikbaarheid van veilige toegang tot de digitale overheid zijn in het bedrijvendomein twee rollen voorzien, te weten de authenticatiedienst, die de identiteit vaststelt, en de machtigingsdienst, die de bevoegdheid om namens een bedrijf of organisatie te handelen koppelt aan de identiteit.

Aan deze rollen worden eisen gesteld die volgen uit de eIDAS verordening, de AVG, nationale privacyregelgeving en de gemaakte politiek-beleidsmatige keuzes, die in de Wdo zijn opgenomen.

In dit besluit zijn de verantwoordelijkheden die bij deze rollen horen vastgelegd. In het hiernavolgende wordt op de verschillende rollen ingegaan.

De authenticatiedienst

De authenticatiedienst is verantwoordelijk voor de uitgifte, het beheer en de intrekking van het bedrijfs- en organisatiemiddel waarvoor hij erkend is, en voor het zorgvuldig vastleggen van alle daarvoor geregistreerde gegevens in een administratie. De authenticatiedienst identificeert hiertoe een natuurlijke persoon en levert een verklaring waarin staat dat het inlogmiddel hoort bij die natuurlijke persoon. De activiteit die de authenticatiedienst hier verricht, is vergelijkbaar met het uitgifteproces van een identiteitsbewijs. In plaats van een fysiek document krijgt de natuurlijke persoon een elektronisch bewijs.

De authenticatiedienst is voorts verantwoordelijk voor het authenticeren van personen op basis van hun middel. Door deze diensten wordt vastgesteld of de identiteit van de persoon die wil inloggen overeenkomt met de identiteit van de persoon aan wie het middel is uitgegeven. Als deze authenticatie is gelukt, stelt de authenticatiedienst een elektronische authenticatieverklaring op.

De machtigingsdienst

De machtigingsdienst registreert en ontsluit de informatie over de bevoegdheid van de desbetreffende persoon om namens een onderneming of organisatie handelingen te verrichten («Wat mag je»). De kern van de machtigingsdienst bestaat eruit dat deze de interne vertegenwoordigingsstructuur van een organisatie up-to-date houdt en dat deze digitaal beschikbaar is.

Verder stelt de machtigingsdienst in samenwerking met de authenticatiedienst de verklaring samen over de koppeling tussen identiteit en bevoegdheid en zorgt dat deze verklaring aan de dienstverlener wordt gecommuniceerd.

Interoperabiliteit tussen diensten

Bedrijfs- en organisatiemiddelen dienen onderling samen te werken. Om te zorgen dat dit kan, en ook te zorgen dat andere partijen die erkend willen worden aan de samenwerking kunnen deelnemen, worden op basis van dit besluit bij ministeriële regeling regels gesteld om interoperabiliteit tussen de verschillende rollen te borgen.

Samenwerking met randvoorwaardelijke toegangsvoorzieningen binnen de overheid

Naast de bovenstaande onderlinge relaties tussen de erkende diensten bestaat er ook een relatie met een aantal generieke publieke voorzieningen als bedoeld in artikel 5 van de Wdo. Het stelsel heeft onder meer een verbinding met de infrastructuur die nodig is om grensoverschrijdende toegang tot elektronische dienstverlening mogelijk te maken (artikel 5, tweede en derde lid, van de Wdo). Ook maakt het stelsel gebruik van het BSN-koppelregister (artikel 5, eerste lid, onderdeel d, van de Wdo) die het mogelijk maakt dat de identiteit van een onderneming of rechtspersoon die een elektronische dienst afneemt bij een bestuursorgaan of aangewezen organisatie op unieke wijze geïdentificeerd kan worden. Het BSN-koppelregister verstrekt namelijk een versleutelde identiteit die zowel door authenticatiediensten als machtigingsdiensten wordt gebruikt in het machtigingsproces.

Ontwikkelingen van het stelsel

Het stelsel toegang functioneert in een snel innoverende digitale omgeving. Het stelsel zal daarin moeten kunnen meegroeien. In het geval dat veranderingen worden doorgevoerd in het netwerk, door een of meer erkende diensten, of in de infrastructuur van de overheid, is het van belang dat het stelsel als zodanig goed blijft werken en interoperabel en veilig en betrouwbaar blijft.

3. De erkenning

Een authenticatiedienst of een machtigingsdienst moet door de minister erkend zijn om diensten ten behoeve van veilige digitale toegang voor bedrijven en organisaties te mogen aanbieden. Het proces van erkenning start wanneer een partij daartoe een aanvraag indient bij de minister.

Om erkend te kunnen worden moet een partij bewijsstukken aanleveren die aantonen dat hij voldoet aan de door de minister gestelde eisen. Deze bewijsstukken worden beoordeeld, waarbij eventueel additioneel onderzoek kan plaatsvinden om het bewijs te verifiëren en aan te vullen. Indien de aanvrager en het door hem aangeboden identificatiemiddel voldoen aan de daarin in dit besluit en de daarop gebaseerde regeling gestelde regels wordt de aanvrager erkend. Met de erkenning wordt de aanvrager toegestaan om de rol te vervullen waarop de aanvraag ziet, zolang dat gebeurt voor het identificatiemiddel waarop de aanvraag ziet.

Certificaat van conformiteit

Bij de aanvraag dient in elk geval een certificaat van conformiteit inclusief het bijbehorende auditrapport te worden overgelegd van een conformiteit-beoordelende instantie (CBI). Deze CBI toetst op grond van de norm ISO 27001, die ziet op informatiebeveiliging. Verder kunnen op grond van dit besluit aanvullende rapportages worden voorgeschreven, die bij de aanvraag moeten worden overgelegd. Die aanvullende eisen worden gesteld in de ministeriële regeling waarvoor dit besluit een basis biedt.

De certificering door de CBI vindt, voorafgaand aan de aanvraag van een erkenning, plaats in opdracht – en op kosten – van de partij die erkend wil worden. Ook na het verlenen van een erkenning moet de erkende partij gecertificeerd zijn. Het certificaat is drie jaar geldig, maar moet op grond van dit besluit ten minste ieder jaar worden herbevestigd.

In dit besluit worden nadere eisen gesteld aan de CBI. In elk geval dient de instantie te zijn geaccrediteerd door de Raad van Accreditatie voor het certificeren op grond van ISO 27001. De Raad houdt toezicht op de kwaliteit van het werk van de geaccrediteerde CBI.

Verwerken van persoonsgegevens

Een erkenning heeft in ieder geval tot gevolg dat de door de erkende partij aangeboden dienst moet worden geaccepteerd door instanties die publieke diensten verlenen. Het Besluit digitale overheid regelt welke persoonsgegevens een erkende dienst mag verwerken. In de toelichting bij dat besluit wordt nader ingegaan op de relatie tot de AVG en verwerkingsverantwoordelijkheid van partijen. In dit besluit zijn de verantwoordelijkheden voor de verschillende partijen uitgebreid uitgewerkt. Daardoor is duidelijk welke handelingen deze partijen uitvoeren en wat daarvan de onderlinge samenhang is, ook in relatie tot de verantwoordelijkheid van de minister van Binnenlandse Zaken en Koninkrijksrelaties. Hierdoor wordt duidelijk dat partijen telkens onafhankelijk van elkaar verwerkingshandelingen uitvoeren en dat van gezamenlijke verwerking en gezamenlijke verwerkingsverantwoordelijkheid geen sprake is.

Toepasselijkheid Algemene wet bestuursrecht en rechtsbescherming

Een erkenning is een besluit in de zin van de Algemene wet bestuursrecht. Tegen het verlenen, weigeren, schorsen of intrekken daarvan staan bezwaar en beroep open op grond van die wet. De overige procedurele bepalingen, bijvoorbeeld over het in behandeling nemen van een aanvraag en het tijdig nemen van een besluit, zijn ook van toepassing op een erkenning. Als gevolg daarvan kan bijvoorbeeld een aanvraag buiten toepassing worden gelaten wanneer daarbij niet de voorgeschreven documenten zijn gevoegd.

4. Heffingen

Op grond van artikel 22 van de wet kunnen heffingen in rekening worden gebracht voor het behandelen van een erkenningsaanvraag en voor het toezicht dat wordt gehouden op toegelaten partijen. In dit besluit zijn dergelijke heffingen niet opgenomen. Wanneer dat wenselijk is wordt in een separate AMvB vastgelegd dat een dergelijke heffing voor toelating en toezicht verschuldigd is en zijn de hoofdelementen voor de berekenings- en inningswijze bepaald.

5. Handhaving en uitvoering

In artikel 17, vijfde lid, is bepaald dat de Rijksinspectie Digitale Infrastructuur is belast met toezicht op de naleving van de verplichtingen die voor erkende partijen gelden op grond van de wet. De toezichthouder ziet binnen de kaders van de Wdo en de daarop berustende bepalingen toe op de eisen die met en op grond van dit besluit worden gesteld aan erkende diensten. De toezichthouder vormt een oordeel over de mate waarin een partij met betrekking tot de erkende dienst alle regels naleeft die door de Wdo, dit besluit en de gebaseerde ministeriële regeling worden gesteld. Dit doet de toezichthouder onder meer door zelf inspecties uit te voeren.

Zowel in de erkenningsfase als in de fase waarin toezicht wordt gehouden op een verleende erkenning spelen externe onderzoeken een belangrijke rol. Bij het toetsen van een aanvraag wordt de minister bij het vormen van zijn oordeel ondersteund door de bevindingen van de CBI en andere overgelegde rapportages.

6. Regeldruk en administratieve lasten

Kosten voor de erkende partijen

Het certificaat voor erkenning wordt op grond van een audit door een geaccrediteerde auditpartij afgegeven. Die auditpartij doet dit in opdracht en op kosten van de partij die zijn diensten wil laten erkennen. De kosten van een audit bestaan uit de kosten van de uitvoering van de audit en de kosten van de partij die erkend wil worden voor de voorbereiding van de audit. Deze voorbereidingskosten zijn voor de eerste keer dat de audit wordt uitgevoerd een factor 2 tot 4 hoger dan voor de herhaalaudits, omdat voor de eerste audit het bewijs dat aan de eisen wordt voldaan en het ophalen daarvan nog voor het eerst moet worden gestructureerd. Het ervaringsniveau van de te erkennen partij ten aanzien van het ondergaan van audits en de voorbereiding daarop is in dit kader bepalend voor de omvang van de benodigde voorbereiding.

De totale kosten voor een partij om erkend te worden en erkend te blijven worden vooral bepaald door het aantal en type diensten dat de partij wil laten erkennen. Een partij die zich voor zowel authenticatiedienst als machtigingsdienst wil laten erkennen heeft uiteraard meer kosten dan een partij die slecht voor een van beide diensten erkend wil worden, omdat aan de auditor en de toezichthouder aangetoond moet worden dat aan alle eisen wordt voldaan. Een deel van de eisen is echter generiek voor beide diensten en de naleving ervan hoeft uiteraard niet steeds voor elke dienst opnieuw worden aangetoond. Bijvoorbeeld de eisen aan de organisatie.

Dit besluit vereist het bezit van een ISO 27001-certificaat met betrekking tot informatiebeveiliging. Naar verwachting hebben veel potentiele aanvragers reeds een dergelijk certificaat, waardoor de kosten voor het doorvoeren van de noodzakelijke wijzigingen voor het verkrijgen van een dergelijk certificaat laag relatief zullen zijn. De verlaging is mogelijk op voorwaarde dat de operationele infrastructuur, waaronder technische infrastructuur en generieke bedrijfsprocessen, waarop de te erkennen dienst draait in zijn geheel of deels in de scope van het genoemde certificaat is opgenomen. Een ISO 27001-certificaat is in beginsel passend voor alle te erkennen partijen en diensten.

Tot slot zal een te erkennen dienst om aan te tonen dat aan specifieke eisen wordt voldaan, een technische beveiligingstest moeten uitvoeren en deze tweejaarlijks moeten herhalen. Deze beveiligingstest vloeit voort uit de eIDAS-eisen. Deze test wordt beschouwd als normale «productiekosten» van een dienst, de kosten daarvan worden in dit kader niet beschouwd als «additioneel» ten gevolge van deze regelgeving. Naar schatting zal een dergelijke test plusminus 25.000 euro bedragen al naar gelang de complexiteit van de dienst. Hier geldt dat bij beperkte wijziging van de dienst, in de regel, een herhaalde audit minder kosten met zich meebrengt dan bij een fundamentelere wijziging van de dienst.

Concluderend zijn de kosten van een erkenning afhankelijk van:

• – Het aantal diensten dat erkend moet worden;

• – De specifieke technische infrastructuur van de erkende of te erkennen dienst of diensten;

• – Het al dan niet reeds in bezit zijn van een certificering zoals ISO 27001;

• – De technische complexiteit van de dienst;

• – De aard, omvang en frequentie van wijzigingen die in de tijd worden aangebracht aan de dienst.

Een compleet beeld van de eisen waaraan een aanvrager of een erkende partij moet voldoen, en de daarbij behorende kosten, ontstaat in combinatie met de ministeriële regeling, waarin de meer gedetailleerde eisen voor deze partijen worden ingevuld.

7. Delegatie naar ministeriële regeling

Dit besluit ressorteert onder de Wdo (de artikelen 11 tweede, derde en vijfde lid, en 13, eerste, vierde en vijfde lid).

Op grond van dit besluit wordt een ministeriële regeling opgesteld waarbij de volgende elementen worden geregeld:

Artikel besluit	Onderwerp
4, eerste tot en met derde lid	Norm voor het gebruik van open source software en berekeningswijze
7, tweede lid	Aanvullende eisen erkende diensten en door hen aangeboden identificatiemiddelen
7, derde lid	Regels over interoperabiliteit met de generieke digitale infrastructuur
7, vierde lid	Gebruikersvoorwaarden erkende diensten
7, vijfde lid	Regels over onderlinge interoperabiliteit van erkende diensten
7, zesde lid	Minimale niveau van dienstverlening
8, derde lid	Nadere regels meldingsplicht
9, derde lid	Nadere regels over auditverplichting
12, derde lid	Nadere regels indienen aanvraag
13, derde lid	Nadere regels verklaring van conformiteit
14, vierde lid	Termijn leveringsplicht
17, vierde lid	Nadere regels met betrekking tot aanvraag beëindiging erkenning

De noodzaak om deze onderwerpen nader uit te werken in een ministeriële regeling volgt uit de aard van de betrokken bepalingen. Zij lenen zich niet goed voor uitwerking in dit besluit omdat zij een grote mate van detaillering bevatten, veelal technische, beheersmatige en operationele eisen stellen en mogelijk met enige regelmaat worden gewijzigd. In het artikelsgewijze deel van deze toelichtingen wordt bij de desbetreffende artikelen zoveel mogelijk een voorbeeld gegeven van de praktische uitwerking van deze grondslagen.

8. Consultatie

Het ontwerpbesluit is in de zomer van 2018 voorgelegd aan Agentschap Telecom (deze organisatie heet sinds januari 2023 Rijksinspectie digitale infrastructuur) en aan de uitvoeringsorganisatie Logius. Deze reacties hebben geleid tot aanpassing van dit oorspronkelijke concept. Omdat het concept mede in samenwerking met deze organisaties tot stand is gekomen gaat het om beperkte aanpassingen om de uitvoerbaarheid te borgen.

Vervolgens is op 17 juni 2019 het aangepaste ontwerpbesluit via internetconsultatie opengesteld voor reacties. Daar hebben zes partijen gebruik van gemaakt, al dan niet ten behoeve van diverse aangesloten partijen. Ook is het ontwerpbesluit voorgelegd aan de Autoriteit Persoonsgegevens en het Adviescollege toetsing regeldruk.

Uit de reacties is gebleken dat het besluit in zijn algemeenheid op steun kan rekenen, maar dat er op onderdelen vragen en opmerkingen zijn geplaatst. De vragen en opmerkingen van al deze partijen hebben op diverse plaatsen geleid tot aanpassing van het besluit en de Nota van Toelichting.

De Autoriteit Persoonsgegevens (hierna: AP) heeft op 19 september 2019 over een concept van dit besluit geadviseerd. De AP adviseert keuze voor delegatie van de diverse onderwerpen en de keuze voor bepaalde vormen van centrale opslag van gegevens nader te toe te lichten. Dit advies is opgevolgd. Op verschillende punten wordt in de aangepaste toelichting uitgebreider ingegaan op de regels die op grond van dit besluit kunnen worden gesteld en op de keuze voor centrale opslag van gegevens. Verder adviseert de AP in de nota van toelichting in te gaan op de verhouding van het gekozen betrouwbaarheidsniveau «laag» als basis tot de tendens om hogere betrouwbaarheidsniveaus te eisen. Dit advies is ook opgevolgd. In de toelichting is de tekst verduidelijkt, waardoor de onduidelijkheid die de AP constateert wordt weggenomen.

De AP adviseert verder om in de nota van toelichting in te gaan op concrete maatregelen met het oog op het vertrouwelijk behandelen van de persoonsgegevens, dan wel, zo nodig, het concept aan te passen. Dit advies is ook overgenomen. In de toelichting wordt ingegaan op de verplicht te nemen maatregelen om persoonsgegevens te beschermen, zoals het scheiden van gegevens en het gebruik van open source-software.

De AP adviseert ook om gelet op de voorgestelde samenwerkingsplicht te duiden in hoeverre sprake is van gezamenlijke verwerkingsverantwoordelijkheid en hoe deze zich verhoudt tot de verantwoordelijkheid van de minister van BZK. Dit advies is ook overgenomen. De in het voor advies voorgelegde concept opgenomen samenwerkingsplicht is geschrapt en in de toelichting is verduidelijkt dat partijen onafhankelijk van elkaar gegevens verwerken in afzonderlijke handelingen. Verder is uiteengezet dat niet dit besluit maar het Besluit digitale overheid de verwerking van persoonsgegevens regelt.

Tot slot zijn de artikelen met betrekking tot gebruiksvoorwaarden en meldingsplicht en de daarbij behorende toelichtingen aangepast aan de hand van opmerkingen van de AP.

Het advies van het Adviescollege toetsing regeldruk heeft er onder meer toe geleid dat de regeldrukgevolgen beter en conform de Rijksbrede methodiek in kaart zijn gebracht.

Artikelsgewijs

Artikel 2 Algemene eisen erkende diensten

Deze bepaling bevat de eisen waaraan alle erkende diensten, ongeacht hun rol in het stelsel, moeten voldoen.

De bepaling bevat onder meer eisen aangaande de financiële gezondheid van de erkende dienst. Dit is van belang om te zorgen dat een aanzienlijke mate van zekerheid bestaat dat de middelen, waarvan bedrijven immers afhankelijk zijn voor de toegang tot de digitale dienstverlening van de overheid, beschikbaar zullen zijn en blijven.

Verder is een aantal eisen opgenomen aangaande de organisatie en werkwijze van de erkende diensten. Zo is van belang dat erkende diensten ervoor zorgen dat zij alle gegevens die hen ter kennis komen, vertrouwelijk behandelen. Een betrouwbare toegang van ondernemingen en rechtspersonen tot elektronische dienstverlening valt of staat immers met een organisatie die de haar ter beschikking staande gegevens van derden vertrouwelijk behandelt (tweede lid, onderdeel c). Verder is opgenomen dat de opslag van gegevens van de gebruiker gescheiden wordt van de opslag van gebruiksgegevens (tweede lid, onderdeel d). Op deze wijze wordt de privacy van gebruikers beter beschermd en kunnen de gebruiksgegevens bij een eventuele inbreuk op de beveiliging niet worden gekoppeld aan een bepaalde gebruiker. Dit besluit schrijft voor dat de scheiding met een specifieke handeling moet worden doorbroken, tenzij dat doorbreken plaatsvindt op verzoek van de minister. Het moment waarop een dergelijke handeling wordt verricht moet worden geregistreerd (tweede lid, onderdeel h) en een erkende dienst moet een gebruiker inzage geven in de momenten waarop de scheiding is doorbroken (tweede lid, onderdeel i). Dat maakt zelfcontrole door gebruikers mogelijk.

Tot slot dienen alle erkende diensten te voldoen aan de eisen aangaande beheer en organisatie die zijn opgenomen in paragraaf 2.4 van de bijlage bij de Uitvoeringsverordening (artikel 2, derde lid) en aan de regels die daaromtrent in de ministeriële regeling worden gesteld. Het gaat dan bijvoorbeeld om eisen aangaande informatiebeveiliging, informatievoorziening aan de afnemers van hun diensten of aan de kwaliteit en beschikbaarheid van hun personeel. De eisen in de Uitvoeringsverordening zijn uitgewerkt voor de betrouwbaarheidsniveaus laag, substantieel en hoog. Daarbij worden eerst de eisen benoemd voor betrouwbaarheidsniveau laag; deze eisen worden waar nodig met aanvullende eisen uitgebreid voor niveau substantieel of hoog. Aangezien een authenticatiedienst telkens wordt erkend in relatie met het aangeboden bepaald bedrijfs- en organisatiemiddel, gelden voor deze diensten uitsluitend de in voornoemde paragraaf 2.4 opgenomen eisen te voldoen voor zover die op het betrouwbaarheidsniveau van het betrokken bedrijfs- en organisatiemiddel van toepassing zijn. De uitwerking van de eisen uit de Uitvoeringsverordening in de ministeriële regeling bevat dan ook met betrekking tot betrouwbaarheid voornamelijk regels die noodzakelijk zijn voor het daadwerkelijk toepassen van de bijlage van de Uitvoeringsverordening in Nederland.

Artikel 3 Inkomsten uit het verstrekken van gegevens of authenticatie

Artikel 2, tweede lid, onderdeel c, bevat een strikte regeling om handel in gegevens te voorkomen. Mocht blijken dat aanbieders gegevens verwerken die naar de letter van de regels geen overtreding van de gestelde regels inhoudt, maar die de gebruiker desondanks niet wenselijk vindt, dan wordt gebruikers een middel in handen gegevens om zelf in te grijpen om deze gegevensverwerking te beëindigen. Artikel 3 schrijft namelijk voor dat aan gebruikers altijd een mogelijkheid moet worden geboden om levering van gegevens te beëindigen zonder dat sprake is van nadelige financiële gevolgen of verlies van functionaliteiten van het inlogmiddel. Een erkenningshouder moet deze optie expliciet opnemen in een met de gebruiker te sluiten overeenkomst. Die overeenkomst wordt in het kader van de aanvraagprocedure overgelegd.

Artikel 4 Toepassing van software met openbare broncode

Artikel 5 Eisen erkende authenticatiedienst

Dit artikel legt vast welke rol een authenticatiedienst vervult en bevat de belangrijkste eisen voor het uitoefenen van die rol. Ook hier zijn de eisen uit de Uitvoeringsverordening het uitgangspunt. Het gaat dan om de eisen opgenomen in de in het tweede lid genoemde paragrafen uit de bijlage, voor zover die betrekking hebben op de uitgifte, het ontwerp (inclusief de productie en de distributie) en het authenticatiemechanisme van het bedrijfs- en organisatiemiddel met betrekking waartoe de betrokken authenticatiedienst erkend is (of wenst te worden). Aangezien de betrouwbaarheid van een middel vooral wordt bepaald door de uitgifte en het ontwerp van dat middel, zijn de aan die uitgifte, aan het ontwerp en aan het authenticatiemechanisme gerelateerde eisen uit de Uitvoeringsverordening op hem en zijn middel van toepassing. Ook hier geldt dat een authenticatiedienst aan deze eisen moet voldoen op het betrouwbaarheidsniveau van het bedrijfs- en organisatiemiddel waarvoor hij erkend is.

Paragraaf 2.3 van de Uitvoeringsverordening ziet op het authenticatiemechanisme. Ook met betrekking tot die eisen kunnen bij ministeriële regeling nadere eisen worden gesteld. Het gaat daarbij bijvoorbeeld om eisen voor de beveiliging van het authenticatiemechanisme.

Bij ministeriële regeling worden op grond van artikel 7, tweede lid, van dit besluit nadere eisen gesteld aan de uitgifte en het ontwerp van de bedrijfs- en organisatiemiddelen en het authenticatiemechanisme dat het middel gebruikt.

Artikel 6 Eisen erkende machtigingsdienst

Een erkende machtigingsdienst is het aanspreekpunt voor dienstverleners. Een machtigingsdienst ontvangt een verzoek om een machtigingsverklaring van een dienstverlener. In een dergelijke verklaring wordt bevestigd dat een natuurlijk persoon bevoegd is namens een onderneming of rechtspersoon toegang te krijgen tot door die onderneming of rechtspersoon bepaalde elektronische dienstverlening. Om een dergelijk verzoek te kunnen afhandelen vraagt de machtigingsdienst een authenticatiedienst om de identiteit van de gebruiker te bevestigen. De machtigingsdienst koppelt deze informatie aan de informatie in het machtigenregister over de bevoegdheden van de desbetreffende persoon om te handelen namens een bedrijf of organisatie.

Eerste lid, onderdeel a

Het is aan de machtigingsdienst om op verzoek een machtiging vast te leggen van natuurlijke persoon om te handelen namens een onderneming of rechtspersoon. Een verzoek om een dergelijke machtiging te registreren kan in beginsel uitsluitend worden gedaan door een ingevolge het handelsregister aangegeven wettelijke vertegenwoordiger van de onderneming of rechtspersoon.

Eerste lid, onderdeel b

Een machtigingsdienst verzoekt een authenticatiedienst om een authenticatieverklaring om de identiteit te bevestigen van degene op wie het machtingsverzoek ziet. Dat is een taak van de machtigingsdienst. De machtigingsdienst die het verzoek heeft gedaan ontvangt ook de authenticatieverklaring van de authenticatiedienst.

Eerste lid, onderdeel c

Op basis van de informatie die de machtigingsdienst heeft geregistreerd over bevoegdheden en de authenticatieverklaring wordt de machtigingsverklaring opgesteld en verzonden aan de dienstverlener. Een alternatief is het geval waarin een bedrijf handelt namens een ander bedrijf. In dat geval kan het nodig zijn dat de machtigingsdienst aan een andere machtigingsdienst een machtingsverklaring moet vragen om te bevestigen dat de organisatie waarvoor de gebruiker handelt inderdaad gemachtigd is om te handelen namens het bedrijf waarvoor de handeling moet worden verricht.

Artikel 7 Aanvullende eisen erkende diensten en bedrijfs- en organisatiemiddelen

Eerste lid

In het eerste lid van dit artikel zijn algemene eisen opgenomen die gelden voor bedrijfs- en organisatiemiddelen. Onderdeel a van dit artikellid bepaalt dat een middel voor zover nodig moet functioneren met de generieke digitale infrastructuur. Voor zover een specifiek middel ook gebruikt maakt van andere voorzieningen moet ook daarvan kunnen worden aangetoond dat het middel met die voorziening kan functioneren.

Op grond van artikel 11, achtste lid, onderdeel b en d, van de wet wordt een aanvraag afgewezen wanneer niet is voldaan aan het vereiste van «privacy by design» en wanneer voor aangewezen onderdelen van een identificatiedienst, machtigingsdienst of identificatiemiddel geen gebruik wordt gemaakt van software die onder een open source licentie is gepubliceerd of waarvan de broncode openbaar is. Uit onderdeel c van het eerste lid van artikel 7 van dit besluit volgt dat deze eisen niet enkel van toepassing zijn tijdens de toelatingsprocedure, maar ook na verlening van een erkenning.

Uit artikel 2, 5 en 6 van dit besluit volgt dat op erkende diensten de bij de Uitvoeringsverordening gestelde eisen ook van toepassing zijn binnen het Nederlandse stelsel. Deze eisen kunnen worden aangevuld bij ministeriële regeling, het tweede lid van dit artikel biedt daarvoor een grondslag.

Het tweede lid

In het tweede lid zijn de onderwerpen genoemd ten aanzien waarvan in ieder geval bij ministeriële regeling nadere regels worden gesteld. De onderdelen a tot en met h maken het mogelijk aanvullende regels op te stellen over de onderwerpen waarop de Uitvoeringsverordening ziet. Onderdeel i ziet op de beveiliging van die processen.

j. Periodieke controle van gegevens

Voor een betrouwbaar authenticatiesysteem zijn actuele gegevens van belang. Op grond van dit onderdeel kunnen regels worden gesteld over periodieke controles. Gedacht kan worden aan een verplichting om periodiek na te gaan of een gebruiker nog in leven is. Een dergelijke verplichting kan misbruik van en fraude met identificatiemiddelen tegengaan.

k. Te gebruiken voorzieningen

Op grond van dit onderdeel kunnen erkende diensten bijvoorbeeld worden verplicht gebruik te maken van bepaalde technologie, bijvoorbeeld voor het herkennen en herleiden van misbruik.

l. Integriteit en kwalificaties van personeel en bestuur

Op grond van dit onderdeel kan bijvoorbeeld worden voorgeschreven dat personeel dat betrokken is bij processen waarbij persoonsgegevens kunnen worden herleid, moet beschikken over een verklaring omtrent het gedrag.

m. Bestrijding misbruik

In dit kader kan aan verschillende vormen van misbruik worden gedacht. Daarbij kan gedacht worden aan identiteitsfraude, waarbij een legitiem middel door iemand wordt gebruikt die niet gerechtigd is om met dat middel toegang tot elektronische dienstverlening te verkrijgen.

Teneinde dergelijk misbruik zoveel mogelijk te voorkomen en de gevolgen daarvan voor de gebruiker zoveel mogelijk te beperken is het bijvoorbeeld van belang dat gebruik dat kan duidelijk op mogelijk misbruik kan worden herkend en hersteld. Dit is het herstelvermogen. Bij ministeriële regeling worden daaromtrent nadere regels gesteld. Voorbeelden van deze regels zijn een verplichting om faciliteiten in te richten ten behoeve van het monitoren van afwijkende gebruikspatronen die erop wijzen dan gebruikers slachtoffer zijn van identiteitsfraude en het nemen van maatregelen om het te stoppen, een meldingsplicht voor vermoedens van misbruik, en een verplichting om mee te werken aan een onderzoek naar misbruik.

n. Verwerking van persoonsgegevens

Bij regels rond de verwerking van persoonsgegevens, waarvoor onderdeel n een basis biedt, kan bijvoorbeeld ook worden gedacht aan nadere eisen, zoals verwijderen van verwerkte gegevens als het bewaren daarvan niet meer nodig is voor de doeleinden zoals beschreven in het Besluit digitale overheid, of de verplichte versleuteling waardoor bijvoorbeeld het BSN van gebruikers zoveel mogelijk versleuteld wordt verwerkt. Dergelijke eisen zullen ook gebaseerd zijn op open standaarden en ondersteund worden door gangbare, open softwarebibliotheken.

o. Gebruiksvriendelijkheid

Behalve betrouwbaarheid is het noodzakelijk dat de middelen in dat stelsel gebruiksvriendelijk zijn. Onderdeel o biedt een basis voor het stellen van regels over dit onderwerp, bijvoorbeeld over de mogelijkheid om een identificatiemiddel op eenvoudige wijze te registreren, door een reeds verstrekt middel te gebruiken om daarvan een ander middel af te leiden.

Het derde lid

Interoperabiliteit met en aansluiten op GDI-voorzieningen

Op grond van artikel 5, eerste en tweede lid, van de wet is de minister verantwoordelijk voor het verzorgen van de in die leden genoemde voorzieningen. Een aantal van die voorzieningen is noodzakelijk voor de goede werking van het stelsel. Op grond van artikel 2, tweede lid, onderdeel f, van dit besluit kunnen regels worden gesteld over het verplicht aansluiten op en de interoperabiliteit met deze voorzieningen.

Zo wordt in artikel 5, eerste lid, onderdeel d, van de Wdo een voorziening genoemd die het mogelijk maakt dat de identiteit van een natuurlijke persoon, onderneming of rechtspersoon die een elektronische dienst afneemt bij een bestuursorgaan of aangewezen organisatie op unieke wijze geïdentificeerd kan worden. Deze voorziening wordt ook wel het BSN-Koppelregister (BSN-K) genoemd. Bij de uitgifte van een bedrijfs- en organisatiemiddel aan een natuurlijk persoon kan het wenselijk zijn dat ook van dit BSN-k gebruik kan worden gemaakt. In dat geval is het wenselijk dat regels kunnen worden gesteld aan de erkende diensten die van dat BSN-k gebruik maken, bijvoorbeeld aangaande het door hen te hanteren koppelvlak. Dit derde lid biedt daar de grondslag voor.

Een ander voorbeeld is de voorziening die dient ter implementatie van de eIDAS-verplichtingen. Ingevolge artikel 5, tweede lid, van de Wdo draagt de minister zorg voor een voorziening die het uitgaande en inkomende elektronisch verkeer tussen Europese lidstaten mogelijk maakt, voor zover daarbij gebruik wordt gemaakt van elektronische identificatiemiddelen die onderdeel zijn van een bij de Europese Commissie aangemeld en goedgekeurd stelsel. Elke lidstaat dient ingevolge de eIDAS-verordening deze genotificeerde elektronische identificatiemiddelen in beginsel te accepteren. De interoperabiliteit van erkende diensten met deze voorziening kan ook op grond van het derde lid van artikel 7 worden geregeld.

Het vierde lid

Het vierde lid betreft de gebruiksvoorwaarden van de authenticatiedienst en de machtigingsdienst die zij hanteren bij de afnemers van hun diensten. Alleen authenticatiediensten en machtigingsdiensten zullen dergelijke gebruiksvoorwaarden gebruiken, omdat zij een commerciële relatie met hun afnemers (de gebruikers) zullen hebben. Bij ministeriële regeling wordt bepaald welke inhoud in deze gebruiksvoorwaarden in ieder geval moet worden opgenomen.

Het zesde lid

Tot slot bevat de bepaling een grondslag om bij ministeriële regeling regels te stellen over het minimale niveau van dienstverlening door de erkende diensten. In dit kader kan gedacht worden aan niet-functionele eisen zoals beschikbaarheid en responsetijden waarin de gebruikerservaring centraal staat. Het moet bijvoorbeeld niet 10 minuten duren om in te loggen bij een dienstverlener doordat een authenticatiedienst onvoldoende is toegerust.

Het zevende lid

Een houder van een erkenning en de door die partij ingeschakelde derde moet ook na het verlenen van de erkenning blijven voldoen aan de erkenningseisen. Wanneer de toelatingseisen worden gewijzigd zullen ook toegelaten partijen aan de nieuwe eisen moeten voldoen, omdat het hanteren van verschillende regimes binnen een stelsel niet werkbaar is. Wel zal het veelal redelijk zijn om tijdelijk voor reeds toegelaten partijen de eerder geldende norm te blijven hanteren. Het zevende lid van artikel 7 maakt dat mogelijk.

Artikel 8 Meldingsplicht

Eerste lid, onderdeel a

Een erkenning wordt verleend voor de dienst en het identificatiemiddel waarop de aanvraag ziet. Wanneer de werking van de dienst ingrijpend wordt gewijzigd is een wijziging van de erkenning nodig. Met dit onderdeel wordt geregeld dat in andere gevallen een melding moet worden gedaan van de door te voeren wijzigingen.

Eerste lid, onderdeel b

Op grond van de wet kan een Bibob-advies worden gevraagd over een aanvraag. Bij een dergelijke toets wordt onder meer de zeggenschapsstructuur van de aanvrager getoetst. Indien na het verlenen van een erkenning wijzigingen optreden in die zeggenschapsstructuur moet daarvan een melding plaatsvinden op grond van dit onderdeel.

Eerste lid, onderdeel c

Een incident of storing bij een erkende dienst kan de betrouwbaarheid van het gehele stelsel in het geding brengen. Het is dan ook van belang dat een erkende dienst een incident of verstoring die van zodanige aard is dat deze betrouwbaarheid in het geding komt, dient te melden bij de minister. Daartoe verplicht onderdeel c van het eerste lid van artikel 8. De minister kan dan waar nodig gebruik maken van zijn wettelijke bevoegdheden om de gevolgen in te perken.

Tweede lid

Daar waar een incident of storing zeer waarschijnlijk negatieve gevolgen heeft voor andere erkende diensten of gebruikers van het betrokken bedrijfs- en organisatiemiddel, brengt de erkende dienst ook die erkende dienst(en) en/of gebruikers op de hoogte. Dit is vergelijkbaar met de omvang van de meldplicht uit artikel 19 van de eIDAS-verordening voor vertrouwensdiensten. Het is dus niet per sé nodig om alle erkende diensten of gebruikers te informeren. Dit zal van het incident of de verstoring af hangen (artikel 8, tweede lid).

Derde lid

Bij ministeriële regeling worden nadere regels gesteld over de incidenten of verstoringen die in elk geval op grond van dit artikel gemeld moeten worden, de wijze waarop en de termijn waarbinnen een melding moet worden gedaan.

Artikel 9 Uitvoeren van onafhankelijk onderzoek

Dit artikel maakt het mogelijk dat de minister aan een erkende partij een verplichting oplegt om een externe audit te laten uitvoeren. Met die audit geeft een onafhankelijke deskundige een oordeel over de conformiteit van een erkende partij met de eisen die voor die partij gelden. Daarbij kan het ook specifiek gaan over een boekhoudkundig onderzoek om te bepalen of sprake is geweest van overtreding van het verbod om persoonsgegevens te gebruiken voor een ander doel dan authenticatie. Bij het opleggen van een dergelijke verplichting zal telkens rekening moeten worden gehouden met de kosten die het uitvoeren van een degelijke audit met zich brengt en moet een afweging worden gemaakt tussen die kosten en de efficiënte inzet van toezichtscapaciteit en bij de toezichthouder beschikbare kennis.

Artikel 11 Beschrijving van de dienstverlening

Op grond van artikel 11 is een houder van een erkenning gehouden om een beschrijving openbaar te maken van de dienstverlening die met de erkenning aan gebruikers wordt aangeboden en het gebruik van software met een openbare broncode. Deze maatregel is onderdeel van een breder pakket aan maatregelen die wordt ingezet om het gebruik van open source software te doen toenemen.

Artikel 12 De erkenning en de aanvraag om erkenning

Bij de aanvraag voegt de aanvrager in principe alle bewijsstukken toe die nodig zijn om te beoordelen dat aan de gestelde eisen voldaan wordt of kan worden voldaan. Bij ministeriële regeling kunnen nadere eisen gesteld worden aan de bij de aanvraag te voegen bewijsstukken. Te denken valt aan het voorschrijven van specifieke documenten, zoals een bankverklaring of een afschrift van een aansprakelijkheidsverzekeraar. Maar ook kunnen bij ministeriële regeling bijvoorbeeld regels worden gesteld aangaande de actualiteit van te overleggen gegevens, of kan juist worden bepaald dat in sommige situaties bepaalde bewijsstukken niet overgelegd hoeven te worden. Het overleggen van bijvoorbeeld een afschrift van een aansprakelijkheidsverzekering is dan onnodig indien een dergelijk afschrift al bij een eerder verzoek om erkenning is overgelegd en van voldoende recente datum is. Aangezien de ministeriële regeling voor wat betreft de procedure van het indienen van een aanvraag tot erkenning vooral een uitwerking betreft van administratieve voorschriften, is delegatie aan de minister mogelijk.

Gelet op de technische aard van de eisen die nader zullen worden uitgewerkt bij ministeriële regeling, is ervoor gekozen ook een conformiteitsbeoordeling te eisen. De aanvrager moet een certificaat en het onderliggende auditrapport overleggen. Het certificaat levert in combinatie met andere bij de aanvraag aan te leveren rapportages een bewijsvermoeden op dat voldaan wordt aan een aantal van de gestelde eisen. Uiteindelijk is het aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om te bepalen of de erkenning kan worden verleend.

Ook de uit het Besluit digitale overheid voor de erkende diensten volgende eisen aangaande gegevensbescherming kunnen bij ministeriële regeling als te auditen eisen worden aangewezen. Te denken valt aan eisen aan de organisatie of aan de bedrijfsprocessen, waarmee moet worden geborgd dat aan de uit het Besluit digitale overheid volgende bewaartermijnen wordt voldaan.

Voorts is vereist dat bij de aanvraag inzicht wordt verschaft in de wijze waarop de zeggenschap in de rechtspersoon is georganiseerd. Dit houdt verband met de in artikel 11, achtste lid, van de Wdo opgenomen mogelijkheid voor de minister om in geval van zwaarwegende redenen de erkenning te weigeren. Daarvan kan sprake zijn indien de zeggenschap in handen is bij natuurlijke of rechtspersonen ten aanzien waarvan het gerechtvaardigde vermoeden is ontstaan dat zij de erkenning voor oneigenlijke doelstellingen zullen gebruiken. Het kan daarbij gaan om strafbare activiteiten, maar ook om zeggenschap die in handen is bij vreemde mogendheden.

Artikel 15 Beslistermijn

Eerste lid

Dit artikel regelt de beslistermijn de termijn waarbinnen een erkenningsaanvraag moet worden afgehandeld. Daarvoor geldt in het algemeen aan termijn van twaalf weken. Die termijn is gekozen vanwege de complexiteit van de materie, de aard en omvang van de documentatie bij een aanvraag, de noodzaak van fysieke inspecties en het belang van het toelatingsproces voor een veilig en betrouwbaar stelsel.

Tweede lid

Aanvragen voor erkenningen voor identificatiemiddelen voor natuurlijke personen worden gelijktijdig en door dezelfde personen behandeld, omdat de materie overeenkomt. In de eerste periode waarin aanvragen kunnen worden ingediend worden veel aanvragen verwacht. Het gaat dan om de periode vanaf het moment waarop aanvragen kunnen worden ingediend, tot het moment waarop de termijn bedoeld in artikel 24 van de wet afloopt. De laatstgenoemde termijn bepaalt dat partijen die op het moment van het inwerkingtreden van artikel 24 van de wet deel uitmaken van het huidige eHerkenningsafsprakenstelsel vanaf dat moment van inwerkingtreding gedurende 18 maanden worden beschouwd als erkende partijen. De termijn is bedoeld om een soepele overgang te borgen voor huidige aanbieders die hun activiteiten onder de Wdo willen blijven voortzetten. De 18 maanden kunnen worden gebruikt om een erkenning te verkrijgen via de aanvraagprocedure. In de periode vanaf het inwerkingtreden van de artikelen over de aanvraagprocedure en het aflopen van de overgangstermijn kunnen zowel nieuwe aanbieders als bestaande partijen een erkenningsaanvraag indienen. Gelet op de grote hoeveelheid te verwachten aanvragen, de nieuwe materie, regelgeving en procedure en het feit dat de kennis die nodig is voor het afhandelen van deze aanvragen voor een aanzienlijk deel niet tijdelijk kan worden aangetrokken, wordt voor deze periode een langere behandeltermijn gehanteerd van 18 weken.

Derde lid

Op grond van artikel 28 van de Dienstenwet wordt een erkenning na het verstrijken van de beslistermijn in beginsel verleend, tenzij bij wettelijk voorschrift anders is bepaald.

Deze regel zou zonder nadere regeling ook gelden voor de erkenning van een privaat identificatiemiddel voor burgers. Met het uitvoeren van een beoordeling van een identificatiemiddel voor burgers worden burgers beschermd. Met het van rechtswege verlenen van de erkenning, zonder die beoordeling, wordt het belang van burgers op onaanvaardbare wijze geschaad. Daarom wordt met artikel 15, derde lid, bepaald dat de vergunning niet van rechtswege wordt verleend.

Artikel 16 Certificaat van conformiteit

Zoals bij artikel 12 van dit besluit is toegelicht moet bij de aanvraag om erkenning een certificaat van conformiteit, inclusief het daarbij behorende auditrapport worden overgelegd. Het is in dat kader dan ook van belang dat erkende diensten te allen tijde beschikken over een geldig certificaat van conformiteit (artikel 10). In hoofdstuk 3 van het algemene deel van deze toelichting wordt uitgebreid ingegaan op het vereiste certificaat.

Artikel 17 Intrekking van een erkenning op verzoek van erkenninghouder

Een houder van een erkenning is gehouden het middel daadwerkelijk aan te bieden en te borgen dat het middel beschikbaar is voor gebruikers. Deze verplichtingen gelden zolang de erkenning geldt. Een houder van een erkenning die het middel niet langer wil blijven aanbieden zal daarom om beëindiging van de erkenning moeten verzoeken. Een dergelijke beëindiging heeft gevolgen voor gebruikers. Daarom wordt met dit besluit vastgelegd dat de beëindigingsprocedure de noodzakelijke waarborgen heeft om te zorgen dat gebruikers voldoende tijdig op de hoogte worden gebracht en dat hun gegevens waar nodig beschikbaar blijven zonder afbreuk te doen aan de veiligheidseisen die daarmee gepaard gaan.

Een houder van een erkenning zal in een aanvraag om beëindiging moeten aangeven wat hij een redelijke termijn voor beëindiging vindt. Daarbij wordt hij geacht rekening te houden met de noodzaak om gebruikers te informeren en informatie elders onder te brengen. Dit voorstel wordt getoetst. Als op de aanvraag positief kan worden beslist, wordt een moment bepaald waarop de houder niet meer gebonden is aan de leveringsplicht. Dat is het moment waarop het intrekkingsbesluit wordt genomen. De minister van Binnenlandse Zaken en Koninkrijksrelaties bepaalt dit moment en houdt daarbij rekening met het voorstel van de aanvrager.

De intrekking van de erkenning gaat in op een moment dat wordt bepaald aan de hand van het intrekkingsverzoek. Verder wordt aan de houder van de erkenning door middel van een voorschrift een verplichting opgelegd om de gegevens voor een bepaald moment over te dragen overeenkomstig het voorstel. De daadwerkelijke einddatum van de erkenning wordt bepaald op een zodanig moment dat kan worden getoetst of de houder aan zijn verplichtingen heeft voldaan. Deze datum moet tevens ruimte bieden om eventueel handhavend op te treden.

Artikel 18 Ambtshalve intrekking of schorsing

He belang van een stelsel voor veilige en betrouwbare identificatie is afhankelijk van alle deelnemers aan dat stelsel. Op grond van artikel 18, eerste en vierde lid, van de wet kan de minister ingrijpen indien er een ernstige storing of aantasting is van de veiligheid of betrouwbaarheid van het stelsel of wanneer wordt vermoed dat met erkende identificatiemiddelen misbruik wordt gepleegd of dat deze oneigenlijk worden gebruikt.

Verder wordt toezicht gehouden op de naleving van de aan erkende partijen opgelegde eisen. Dit toezicht kan afhankelijk zijn van volledige en tijdige medewerking van een erkende partij. Wanneer deze medewerking niet plaatsvindt kan de minister op grond van artikel 18 de aan die partij verleende erkenning intrekken of schorsen om het belang van veilig en betrouwbare toegang tot publieke dienstverlening te borgen.

Artikel 19 Wijziging van een erkenning

Een erkenning kan worden gewijzigd, bijvoorbeeld wanneer de houder van een erkenning ingrijpende wijzigingen wil doorvoeren in de werking van het middel waarop de erkenning ziet. In dat geval zou de erkenning niet meer zien op het gewijzigde middel. Dit artikel regelt dat een wijziging wordt beoordeeld op wijze waarop een eerste aanvraag ook wordt behandeld.

Als gevolg van artikel 9 kan een aanvraag slechts worden ingediend door een onderneming binnen de Europese Unie of de Europese Economische zone. Het tweede lid regelt dat een erkenning door middel van een wijziging niet kan worden overgezet naar een rechtspersoon buiten de Europese Unie of de Europese Economische Ruimte.

Artikel 20 Advies Bureau Bibob over wijziging, schorsing of intrekking

Artikel 14, derde lid, van de wet bevat een grondslag om een erkenning te wijzigen, schorsen of in te trekken vanwege zwaarwegende redenen als bedoeld in artikel 9, zesde lid, van de wet. Niet is geregeld dat het Landelijk Bureau Bibob om een advies kan worden gevraagd, aangezien dat uitsluitend is geregeld voor de fase van aanvraag van een erkenning. Artikel 11, vijfde lid, van de wet biedt een delegatiegrondslag om nadere regels te stellen over de procedure van erkenning, wijziging, schorsing of intrekking. Op grond van dat lid wordt in dit artikel geregeld dat ook over wijziging, schorsing of intrekking van de erkenning advies kan worden gevraagd aan het Landelijk Bureau Bibob.

Artikel 21 Eisen voor partijen tijdens overgangstermijn

Artikel 24 van de wet bepaalt dat de partijen die op het moment van inwerkingtreding van dat artikel deelnemen aan het publiek/private stelsel eHerkenning gedurende 18 maanden geacht worden te zijn erkend. Deze overgangstermijn is bedoel om de continuïteit van de bruikbaarheid van de desbetreffende middelen te faciliteren. Dat gebeurt enerzijds door partijen in de gelegenheid te stellen om het aanvraagproces te doorlopen terwijl de middelen nog kunnen worden gebruikt en anderzijds door partijen tijdens die periode in de gelegenheid te stellen om te voldoen aan de eisen die op grond van de wet gelden voor erkende partijen.

Als gevolg van artikel 24 van de wet zijn de rechten en plichten die de wet aan een erkenning verbindt ook op die partijen van toepassing. Zo mogen deze partijen bijvoorbeeld op grond van artikel 24 van de wet in combinatie met artikel 16, derde lid van de wet persoonsgegevens, waaronder het burgerservicenummer, verwerken voor zover dat noodzakelijk is voor de goede werking van een bedrijfs- en organisatiemiddel. Dit artikel maakt het mogelijk om bij ministeriële regeling een fasering mogelijk te maken, waarbij bepaalde eisen gedurende de overgangstermijn van 18 maanden voor de desbetreffende partijen gaan gelden.

Gedurende de overgangstermijn worden de partijen waarop artikel 24 van de wet ziet van rechtswege geacht te zijn erkend. In het kader van een deugdelijke regie op het stelsel is het noodzakelijk zicht te hebben op de partijen die hun diensten aanbieden binnen het stelsel. Daarom wordt het mogelijk gemaakt om aan deze partijen nadere eisen op te leggen. Gedacht kan worden aan een meldingsplicht waarmee kan worden geborgd dat duidelijk is welke partijen hun van rechtswege ontstane erkenning actief zullen gaan gebruiken.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen