Besluit van 7 maart 2024, houdende vaststelling van regels inzake de aanwijzing en erkenning van publieke en private identificatiemiddelen (Besluit identificatiemiddelen voor natuurlijke personen Wdo)

Burgers en bedrijven communiceren steeds meer digitaal met de publieke en semipublieke organisaties. Hierbij kan bijvoorbeeld worden gedacht aan een burger die een vergunning aanvraagt of een dossier wil inzien. Bij deze communicatiemomenten zal telkens op betrouwbare wijze de identiteit moeten worden vastgesteld van degene die communiceert terwijl de privacy en de gegevens van die persoon worden beschermd en beveiligd. Burgers en bedrijven moeten erop kunnen vertrouwen dat anderen dan zij zelf geen toegang kunnen krijgen tot gegevens en diensten die voor hen bedoeld zijn. Een veilig en betrouwbaar identificatiesysteem is daarvoor cruciaal. Door dit besluit wordt dat verzekerd.

De Wet digitale overheid (hierna: de wet) regelt de manier waarop identificatie van burgers en ondernemingen bij publieke dienstverleners kan plaatsvinden. Voor natuurlijke personen bevat die wet in artikel 5, eerste lid, onderdeel a, een taak voor de minister van Binnenlandse Zaken en Koninkrijksrelaties om op verschillende betrouwbaarheidsniveaus identificatiemiddelen aan te bieden. Voor natuurlijke personen is daarom altijd een publiek identificatiemiddel beschikbaar. Dat middel moet voldoen aan eisen op het gebied van onder meer veiligheid en betrouwbaarheid.

De wet beoogt betrouwbare en veilige identificatie te borgen van zowel burgers als bedrijven in het kader van elektronische dienstverlening door publieke dienstverleners. In artikel 2 van de wet is geregeld welke dienstverleners onder de reikwijdte van de wet vallen. Artikel 6 van de wet regelt dat de dienstverlener waarbij wordt ingelogd bepaalt op welk betrouwbaarheidsniveau moet worden ingelogd. Die instantie, bepaalt op basis van een set met door de Minister van Binnenlandse Zaken en Koninkrijksrelaties vastgestelde criteria, welk niveau op de desbetreffende dienst van toepassing is.

Daarbij worden drie niveaus onderscheiden; laag, substantieel en hoog. Deze inschaling van deze niveaus voor publieke dienstverleners sluit aan bij de niveaus die worden gehanteerd voor identificatiemiddelen in Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (hierna: de eIDAS-verordening).

Op grond van artikel 7, eerste lid, aanhef en onderdeel a, van de wet mogen voor een dienst waarvoor betrouwbaarheidsniveau substantieel en hoog vereist is identificatiemiddelen worden geaccepteerd waarvan is vastgesteld dat deze voldoen aan de eisen die bij of krachtens algemene maatregel van bestuur worden gesteld aan een identificatiemiddel op het desbetreffende niveau.

De artikelen 9 en 11 van de wet regelen de Nederlandse toelating van middelen voor burgers en bedrijven. Een middel kan worden toegelaten als het voldoet aan de eisen die voor het desbetreffende betrouwbaarheidsniveau zijn gesteld. De inhoud van die eisen en het proces van toelating worden gedeeltelijk op wetsniveau en voor het overige in lagere regelgeving vastgelegd. Voor identificatiemiddelen voor burgers vindt invulling plaats met dit besluit en de ministeriële regeling die op dit besluit wordt gebaseerd.

Het kabinet streeft naar een stelsel waarmee burgers «veilig, betrouwbaar, gebruiksvriendelijk kunnen inloggen zodat zij transacties kunnen verrichten in de digitale wereld1». Tot het moment van inwerkingtreding van de wet en dit besluit kon identificatie door burgers slechts plaatsvinden met gebruik van het publieke identificatiemiddel DigiD en met middelen die in het kader van de Europese eIDAS-verordening zijn genotificeerd. De wettelijke taak voor de minister om zorg te dragen voor voorzieningen voor authenticatie was vastgelegd in artikel X van de Wet elektronisch berichtenverkeer Belastingdienst. Met de Wet digitale overheid wordt de positie van DigiD wettelijk verankerd in artikel 5, eerste lid, onderdeel a. Daarin is vastgelegd dat de minister van Binnenlandse Zaken en Koninkrijksrelaties een wettelijke taak heeft om publieke identificatiemiddelen aan te bieden op verschillende betrouwbaarheidsniveaus2. Daarmee is geborgd dat burgers gebruik kunnen maken van een publiek identificatiemiddel. Dit middel zal derhalve moet voldoen aan de daaraan gestelde eisen, zodat het op grond van artikel 9, eerste lid, van de wet kan worden toegelaten toe het Nederlandse stelsel.

Met de inwerkingtreding van de wet wordt het daarnaast voor private partijen mogelijk om een identificatiemiddel voor burgers aan te bieden voor de toegang tot publieke dienstverlening, indien zij voldoen aan eisen die onder meer de veiligheid en de betrouwbaarheid borgen. Veel mensen beschikken al over een identificatiemiddel dat in het commerciële domein wordt gebruikt. Gedacht kan worden aan identificatie bij webwinkels. Voor deze gebruikers kan het handig zijn als deze identificatiemiddelen ook kunnen worden gebruikt om in te loggen bij publieke dienstverleners. Die ruimte wordt geboden door deze identificatiemiddelen ook toe te laten, mits deze voldoen aan de in en op grond van dit besluit gestelde eisen.

Verder wordt met de keuze om ook private identificatiemiddelen toe te laten meer ruimte geboden voor de innovatieve kracht van de markt en te komen tot een systeem waarin gebruikers kunnen kiezen welk middel aansluit bij hun gebruikswensen3. Daarnaast is een systeem met meerdere voor burgers beschikbare middelen minder kwetsbaar voor uitval, hetgeen de stabiliteit van de toegang tot overheidsdienstverlening ten goede komt. Immers, indien een middel onverhoopt niet beschikbaar is, kan de gebruiker terugvallen op een ander middel. Daarmee wordt de kans dat die burgers geen toegang kunnen krijgen tot publieke dienstverlening verkleind. In dat licht is het tevens van belang dat de middelen die zijn toegelaten slechts zeer beperkte uitval vertonen en voldoende beschikbaar zijn voor gebruik.

Tegelijkertijd moet met deugdelijke randvoorwaarden worden geborgd dat private partijen zorgvuldig omgaan met gegevens van gebruikers en dat gebruikers van het stelsel zo gebruiksvriendelijk mogelijk zijn. Zo moet worden voorkomen dat de gegevens van burgers als handelswaar worden verkocht, moet vaststaan dat deze veilig worden bewaard en verzonden en moet er voor alle gebruikers een manier zijn om toegang te krijgen tot publieke diensten. Als deze randvoorwaarden zijn vervuld kunnen private partijen een rol spelen bij de identificatie van natuurlijke personen voor de toegang tot publieke dienstverlening.

In het licht van het voorgaande moeten de eisen voor toelating van identificatiemiddelen borgen dat toegelaten middelen voldoende veilig, betrouwbaar en gebruiksvriendelijk zijn, en laten deze ruimte voor nieuwe innovatieve mogelijkheden die de bescherming, en het gebruiksgemak of de keuzevrijheid voor burgers kunnen vergroten. In dit hoofdstuk wordt het beleid ten aanzien van deze waarborgen uitgebreid uiteengezet.

Onderdeel c van artikel 9, zesde lid, van de wet bepaalt dat een erkenning niet wordt verleend indien «de aanvrager niet aannemelijk heeft gemaakt dat met de erkenning geen inkomsten worden verkregen uit het verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers». Dat artikel is een onderdeel van een pakket aan waarborgen om het verhandelen van gebruikersdata tegen te gaan. In het hiernavolgende wordt ingegaan op het totaal van die maatregelen en specifiek op de toepassing van dit wettelijk afwijzingscriterium binnen die context.

Het kabinet vindt het bij identificatie in het publieke domein niet acceptabel dat gegevens die door private partijen worden verkregen voor inloggen bij de overheid, commercieel gebruikt worden. In dit besluit is daarom bepaald dat het niet is toegestaan om gegevens die zijn verkregen in verband met identificatie van gebruikers wordt gebruikt voor andere doeleinden dan authenticatie. Op deze zogenaamde doelbinding wordt ingegaan in paragraaf 6.1. In dit verband is ook de verplichte scheiding van gegevens van gebruikers en gebruik van belang. Wanneer gegevens over het gebruik zonder nadere handelingen niet herleidbaar zijn tot de desbetreffende gebruikers kunnen deze niet worden gebruikt voor commerciële doeleinden. Gebruikers krijgen vervolgens de mogelijkheid om in te zien op welke momenten deze scheiding is doorbroken, waardoor zelfcontrole mogelijk wordt. Deze eisen zijn een verdere explicitering van de eisen die al zijn opgenomen in artikel 16 van de wet en in artikel 5b en 5e van het Besluit digitale overheid.

Profilering of verkoop van de gegevens is door deze eisen nadrukkelijk verboden. Op overtreding daarvan staat in ultimo intrekking van een erkenning of een omzetgerelateerde boete op grond van de Uitvoeringswet AVG.

Door de bredere bruikbaarheid van inlogmiddelen voor de toegang elektronische overheidsdienstverlening zijn inlogmiddelen een aantrekkelijk doelwit voor kwaadwillenden die fraude of misbruik willen plegen, waardoor burgers en bedrijven slachtoffer kunnen worden. Door de genoemde maatregelen wordt ook het risico teruggedrongen dat gegevens die bijvoorbeeld als gevolg van een datalek worden verkregen bruikbaar zijn voor andere partijen is in dit besluit opgenomen dat private aanbieders van identificatiemiddelen gegevens over gebruikers gescheiden moeten opslaan van gegevens over het gebruik. Op deze eis wordt nader ingegaan in paragraaf 4.1.3. Dit besluit maakt het ook mogelijk om regels te stellen die tegengaan dat gebruikers worden omgeleid naar een andere website dan waar zij denken in te loggen.

Wanneer vermoeden bestaat dat het verhandelverbod voor persoonsgegevens wordt overtreden kan aan een houder van een erkenning worden gevraagd om een boekhoudkundig onderzoek te laten uitvoeren om te laten onderzoeken of sprake is van een overtreding. Dit instrument dient ter aanvulling van het bestaande toezichtsinstrumentarium dat de toezichthouder, de Rijksinspectie Digitale Infrastructuur, op grond van de Algemene wet bestuursrecht ter beschikking staat.

Het verhandelverbod bevat een strikte regeling om handel in gegevens te voorkomen. Mocht blijken dat aanbieders gegevens verwerken die naar de letter van de regels geen overtreding van de gestelde regels inhoudt, maar die de gebruiker desondanks niet wenselijk vindt, dan wordt gebruikers een middel in handen gegevens om zelf in te grijpen om deze gegevensverwerking te beëindigen. Dit besluit schrijft namelijk voor dat aan gebruikers altijd een mogelijkheid moet worden geboden om levering van gegevens aan derde partijen te beëindigen zonder dat sprake is van nadelige financiële gevolgen of verlies van functionaliteiten van het inlogmiddel. Een erkenninghouder moet deze optie expliciet opnemen in een met de gebruiker te sluiten overeenkomst. Die overeenkomst wordt in het kader van de aanvraagprocedure overgelegd.

Met de bovenstaande randvoorwaarden, te weten een verhandelsverbod, aanvullende toezichtsinstrumenten en een vangnet voor onvoorziene gevallen, is naar het oordeel van de regering voldoende voorzien in bescherming van gebruikers tegen datahandel. Onder deze voorwaarden is het voor bedrijven die hun verdienmodel hebben gebaseerd op datahandel niet aantrekkelijk om deel te nemen aan het stelsel. Wanneer een aanvrager van een erkenning aantoont dat aan deze voorwaarden is voldaan wordt aangenomen dat geen inkomsten worden verkregen uit de het verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers.

Artikel 9, zesde lid, onderdeel d, van de wet schrijft voor dat een erkenning niet wordt verleend indien naar het oordeel van de minister onvoldoende gebruik wordt gemaakt van software die onder een open source licentie is verleend. In de nota naar aanleiding van het verslag bij het wetsvoorstel waarmee dit criterium in de wet is genomen wordt uitgebreid ingegaan op de beleidsmatige achtergrond van dit toetsingscriterium7. In deze paragraaf wordt daarom kort op die achtergrond ingegaan.

Het gebruik van software met een open source licentie kan grote voordelen hebben. Zo is het, wanneer de software goed wordt ondersteund door een actieve gebruikersgemeenschap, voor gebruikers mogelijk om inzichtelijk te maken op welke wijze de aanboden dienst wordt uitgevoerd en of er ongewenste processen worden uitgevoerd bij het gebruik van deze software. Verder kunnen derde partijen een oordeel vormen over de kwaliteit van de beveiliging en de veiligheid van de software en daarmee ook van het identificatiemiddel waarvoor deze wordt gebruikt. Deze transparantie kan dus bijdragen aan de beleidsmatige doelen van het kabinet bij toegang tot overheidsdienstverlening. Er zijn uiteraard ook aandachtspunten. Zo kan inzicht in de broncode van software ook ten koste gaan van de veiligheid van de software, omdat het, in sommige gevallen, eenvoudiger wordt voor kwaadwillenden om de zwakke plekken van de beveiliging te vinden. Met deze aandachtspunten moet rekening worden gehouden om te zorgen dat toegang tot digitale overheidsdienstverlening mogelijk blijft en dat daarvoor een toenemend aanbod van identificatiemiddelen dat gebruik maakt van open source beschikbaar komt.

Zoals in de nadere memorie van antwoord bij het wetsvoorstel voor de Wet digitale overheid wordt vermeld is open source de weg die we opgaan. Om dat einddoel te bereiken wordt in diezelfde memorie aangekondigd dat een groeimodel wordt gehanteerd. Met dit besluit wordt dit groeimodel mogelijk gemaakt. Hierin is namelijk voorgeschreven dat een aanbieder van een identificatiemiddel voor bepaalde componenten van dat inlogmiddel software moet gebruiken waarvan de broncode openbaar is. Bij ministeriële regeling wordt bepaald welke componenten het betreft. Daarbij worden componenten aangewezen die persoonsgegevens verwerken, omdat bij die componenten het risico bestaat op ongewenst datagebruik. In beginsel moeten deze componenten worden aangewezen, tenzij dat aanwijzen onaanvaardbare gevolgen heeft voor de veiligheid in inlogmiddelen, de continuïteit van middelen die al worden gebruikt, of de beschikbaarheid van een breed aanbod. Daarmee wordt met dit besluit het principe «open, tenzij» vastgelegd, en wordt uitvoering gegeven aan de motie van kamerlid Dekker-Abdulaziz8 over dit onderwerp.

Wanneer een component is aangewezen moet daarvoor software worden gebruikt die onder een open source licentie is gepubliceerd (openbaarmaking van de broncode is een onderdeel van deze licenties) of waarvan de broncode op andere wijze openbaar is gemaakt. Op grond van dit besluit kunnen nadere regels worden gesteld aan de wijze waarop de broncode openbaar wordt gemaakt, bijvoorbeeld wanneer openbaarmaking op andere wijze dan via een open source-licentie plaatsvindt.

Verder wordt met dit besluit geregeld dat voor de aangewezen componenten een mogelijkheid moet bestaan voor derden om kwetsbaarheden van de software te melden en om voorstellen te doen voor aanpassing van die software. Daarmee wordt geborgd dat de community die gericht is op het monitoren en verbeteren van de software altijd een kanaal heeft om bevindingen te rapporteren. De aanbieder van een authenticatiedienst of machtigingsdienst is vervolgens gehouden om op deze inbreng te reageren en om terugkoppeling te geven over de gevolgen die daaraan zijn gegeven.

Met deze eisen wordt de weg naar open source ingezet, met als doel transparantie te verkrijgen over de inzet van open source software in de processen van de aanbieders van identificatiemiddelen.

Volledige veiligheid is nooit te garanderen, ook niet in de digitale systemen. Daarom wordt voorzien in een vangnet, herstelvermogen, dat ervoor zorgt dat misbruik zo snel mogelijk wordt herkend, en de gevolgen voor burgers en bedrijven zoveel mogelijk worden beperkt of zo spoedig mogelijk worden hersteld.

Op basis van dit besluit wordt geregeld dat partijen binnen het stelsel zelf een verantwoordelijkheid hebben om misbruik te herkennen en te herstellen. Over dit onderwerp kunnen nadere regels worden gesteld. Die nadere regels geven onder meer invulling aan de Europese eIDAS- en AVG-eisen over dit onderwerp.

Waar de eIDAS-regelgeving bijvoorbeeld eisen bevat voor de mate waarin het authenticatiemechanisme bestand moet zijn tegen aanvallen daarop, ligt het voor de hand om deze eis ook voor de andere noodzakelijke processen, zoals het aanvraag- en registratieproces, te stellen. Een aanvaller zal immers het meest kwetsbare onderdeel van het proces aanvallen om een inbreuk te forceren.

Misbruik en fraude kunnen met preventieve maatregelen gericht op veilige uitgifte en werking van middelen en toezicht daarop niet geheel worden voorkomen. Volledige zekerheid is, zeker ook met steeds wijzigende digitale dreigingen, niet haalbaar. Daarom is het noodzakelijk om ook het herstelvermogen van het stelsel te borgen. Daarmee wordt bedoeld het vermogen en de plicht van aanbieders van inlogmiddelen om fraude vroegtijdig te kunnen herkennen en de gevolgen ervan te herstellen en om daaruit lering te trekken om toekomstige gevallen te voorkomen. Dit besluit maakt het daarom tevens mogelijk om dat herstelvermogen voor te schrijven. Een voorbeeld is de eis dat gebruikers inzicht moet hebben in het gebruik van de middelen die op hun naam zijn geregistreerd, waardoor problemen door de gebruiker zelf kunnen worden opgemerkt. Dat maakt het mogelijk dat gebruikers frauduleuze identificatiepogingen herkennen en maatregelen nemen om verder gevolgen daarvan te voorkomen.

Om laagdrempelige toegang tot publieke diensten mogelijk te maken is het belangrijk dat het inlogproces en de daarin te maken keuzes voor burgers overzichtelijk zijn. Daarbij is bijzondere aandacht nodig voor kwetsbare groepen in de samenleving, zoals personen die minder digitaal vaardig zijn of personen die een beperking hebben, want voor hen is gebruik van digitale voorzieningen vaak lastiger of minder goed toegankelijk. Het kabinet vindt digitale inclusie, het zorgen dat iedereen ook digitaal kan meedoen, essentieel. Op grond van dit besluit kunnen eisen worden gesteld aan gebruiksgemak van identificatiemiddelen. Daarmee wordt vooraf getoetst of een middel voldoende gebruiksvriendelijk is voor eenieder. Deze eisen kunnen bij ministeriële regeling worden gesteld.

Verder wordt een doenvermogentoets uitgevoerd ten aanzien van de eisen die in de ministeriële regeling aan identificatiemiddelen worden gesteld. Ook daarbij wordt de mentale belasting beoordeeld van gestelde eisen op gebruikers.

In het kader van de consultatie is door verschillende partijen opgemerkt dat een gelijk speelveld behouden moet blijven tussen partijen die worden toegelaten tot het Nederlandse stelsel en partijen die in het kader van het Europese eIDAS-regelgevingscomplex worden geaccepteerd. Hierover wordt het volgende gemeld. Het Europese eIDAS-complex beoogt geen (minimum)harmonisatie tot stand te brengen, maar ziet op wederzijdse erkenning van nationale stelsels voor identificatie. Het uitgangspunt is daarbij dat EU-lidstaten hun eigen stelsels voor identificatie ontwikkelen. Identificatiemiddelen die behoren tot nationale stelsels kunnen op grond van de eIDAS-verordening ook in andere lidstaten worden gebruikt, wanneer deze stelsels voldoen aan minimumeisen en zijn genotificeerd bij de Europese Commissie. De notificerende lidstaat is vervolgens aansprakelijk voor het genotificeerde stelsel. Het doel van deze verordening is dus niet het creëren van een gelijk speelveld voor aanbieders van identificatiemiddelen, maar het vergemakkelijken van toegang tot publieke dienstverlening in andere EU-lidstaten doordat burgers en bedrijven de middelen die zij in hun land van herkomst gebruiken ook in andere landen kunnen gebruiken. Daarmee wordt het grensoverschrijdend digitaal zakendoen in den brede bevorderd.

Binnen deze context is het aan lidstaten om hun nationale stelsel zodanig in te richten dat gegevensbescherming, betrouwbaarheid en de verantwoordelijkheid daarvoor bij grensoverschrijdend gebruik zijn geborgd. Lidstaten kunnen daarbij aan identificatiemiddelen de eisen stellen die zij daarvoor nodig achten. Wanneer een lidstaat wil dat deze middelen ook in andere EU-lidstaten kunnen worden gebruikt zijn de eIDAS-eisen relevant.

Met dit besluit wordt een basis gelegd voor een Nederlands stelsel dat voldoet aan de kwaliteitsnormen die het kabinet wenselijk vindt. Zoals in paragraaf 3.2 uiteen is gezet zijn deze eisen gebaseerd op de eisen van het eIDAS-regelgevingscomplex en de AVG, maar is in bepaalde gevallen een aanvulling of invulling wenselijk. Op grond van dit besluit is het bijvoorbeeld mogelijk om aanbieders van een identificatiemiddel te verplichten om een actieve rol te nemen in het herkennen en herstellen van misbruik en bereikbaar te zijn voor gebruikers en voor de overheid, zodat burgers bijvoorbeeld bij geconstateerd misbruik zo efficiënt mogelijk kunnen worden geïnformeerd. Deze aanvullende eisen gelden alleen voor identificatiemiddelen die, door het verlenen van een erkenning door de minister van Binnenlandse Zaken en Koninkrijksrelaties, worden toegelaten in het kader van artikel 9 van de Wet digitale overheid. Alleen die middelen worden getoetst aan de eisen die worden gesteld op grond van deze wet. Met middelen die in een andere EU-lidstaat zijn toegelaten en die behoren tot een stelsel dat genotificeerd is volgens de eIDAS-verordening, kan ook worden ingelogd bij dienstverleners in Nederland. Die positie van deze genotificeerde middelen in het inlogproces wijkt wel af van de middelen in het Nederlandse stelsel. In paragraaf 2.3 is hier nader op ingegaan.

Gebruik van een identificatiemiddel door een burger vindt plaats in het kader van de digitale infrastructuur van de overheid. Een publieke dienstverlener laat een burger een authenticatieverzoek doen bij de aanbieder van het middel. De aanbieder beantwoordt met een authenticatierespons, waarbij gebruik wordt gemaakt van de uitgegeven middelen. Een publieke dienstverlener kan rechtstreeks aansluiten op de diensten van een middelenaanbieder of dit laten faciliteren via de zogenaamde routeringsvoorziening, die ervoor zorgt dat een dienstverlener alle toegelaten middelen kan accepteren. In het laatste geval richt de publieke dienstverlener het authenticatieverzoek aan de routeringsvoorziening die dit doorzet naar de aanbieder; de routeringsvoorziening zet vervolgens de authenticatierespons ook weer door naar de publieke dienstverlener.

Bij deze opzet is het van essentieel belang dat de middelenaanbieder hiervoor kan samenwerken met de overige onderdelen van de generieke digitale infrastructuur (GDI) zoals die nu binnen de overheid worden gebruikt en zoals uiteengezet in het eerste lid artikel 5 van de wet. Te denken valt aan een door de overheid beheerde routeringsvoorziening of een publiek machtigingenregister. Een aanvrager van een erkenning moet in zijn aanvraag uiteenzetten dat en op welke wijze het middel werkt binnen die infrastructuur. Als op basis van een aanvraag een erkenning wordt verleend moet de houder van die erkenning er vervolgens zorg voor dragen dat het middel blijft werken binnen de infrastructuur, ook als daaraan (technische) aanpassingen worden gedaan. Als gevolg van deze feitelijke omstandigheden zal de minister van Binnenlandse Zaken en Koninkrijksrelaties er zorg voor moeten dragen dat de technische specificaties voor aanvragers en houders van een erkenning niet verder gaan dan redelijkerwijs noodzakelijk is. Verder zullen de wijzigingen voldoende kenbaar worden gemaakt en dat wijzigingen daarin worden doorgevoerd met een voldoende tijdige aankondiging. Het ligt in de rede dat de specificaties bijvoorbeeld op een vaste website bekend worden gemaakt en dat ook aanpassingen daarvan op deze site worden aangekondigd.

Het is dus aan de aanvrager van een erkenning om in de aanvraag aan te tonen dat het middel waarvoor een erkenning wordt aangevraagd alle gewenste en vereiste functies heeft. Daarvoor zal de aanvrager in beginsel zelf moeten nagaan welke specificaties noodzakelijk zijn. Dit besluit voorziet met artikel 5, tweede lid, tevens in een mogelijkheid om regels te stellen met betrekking tot de interoperabiliteit. Dat artikel maakt het mogelijk om, bijvoorbeeld als dat in het kader van de rechtszekerheid gewenst is, specificaties voor te schrijven.

Artikel 9 van de wet bepaalt, voor zover in dit verband relevant, dat bij of krachtens algemene maatregel van bestuur:

• – eisen worden gesteld met betrekking tot de werking, beveiliging en betrouwbaarheid aan een publiek identificatiemiddel (eerste lid);

• – eisen worden gesteld met betrekking tot de werking, beveiliging en betrouwbaarheid aan een privaat identificatiemiddel, welke in ieder geval betrekking hebben op uitgifte en beëindiging (tweede lid);

• – eisen worden gesteld aan een houder van een erkenning, welke in ieder geval een leveringsplicht en regels inzake tarieven behelzen (vierde lid);

• – regels worden gesteld over de procedure van erkenning, wijziging, schorsing of intrekking en de in dat verband over te leggen gegevens en informatie (negende lid).

Deze artikelleden bieden een grondslag voor het stellen van regels ter uitvoering van het beleid voor het toelaten van identificatiemiddelen zoals dat in dit hoofdstuk uiteen is gezet. In dit besluit zijn de hoofdelementen van de toelatingsprocedure en de verplichtingen voor houders van een erkenning opgenomen. Zo is bijvoorbeeld vastgelegd dat gegevens van gebruikers en van het gebruik gescheiden moeten worden bewaard en dat gebruikers inzicht moeten krijgen in het doorbreken van die scheiding. Verder is vastgelegd dat de eisen die op grond van de eIDAS-verordening worden gesteld voor grensoverschrijdend gebruik ook gelden voor het toelaten van identificatiemiddelen tot het Nederlandse stelsel.

Uitwerking van deze hoofdelementen is noodzakelijk. Het detailniveau en technisch karakter van aanvullende specifieke toetsingscriteria is hoog. Te denken valt aan de specifieke en de technische specificaties van de verplicht te gebruiken koppelvlakken, de berekening van het beschikbaarheidsniveau of aan de wijze waarop een identificatiemiddel moet worden geactiveerd in de context van het Nederlandse stelsel. Het is mogelijk dat deze eisen door snelle technologische ontwikkelingen soms op korte termijn moeten worden gewijzigd. Door dit hoge technische karakter en de noodzaak van spoedige wijziging is ervoor gekozen de aanvullende eisen te stellen bij ministeriële regeling. Dit besluit biedt daarvoor een basis. In de paragrafen 4.1.2 en 6.6 van deze toelichting wordt uitgebreid uiteengezet op welke onderwerpen deze regels kunnen zien.

Dit besluit bevat een kader voor zowel de eisen die gelden voor een privaat als voor een publiek identificatiemiddel. Op grond van dit besluit zijn de eisen aan een privaat middel in beginsel van toepassing op een publiek middel tenzij dit expliciet anders is geregeld. In dit hoofdstuk wordt op dit systeem en op de eisen aan beide typen middelen nader ingegaan. Doordat een publiek middel ambtshalve wordt aangewezen is de procedure aanzienlijk eenvoudiger en dat heeft gevolgen voor de wijze waarop aan de gestelde eisen wordt getoetst.

In het hiernavolgende wordt deze procedure verder uiteengezet.

Een aanvraag kan slechts worden ingediend door een rechtspersoon, naar Nederlands recht of naar het recht van een andere EU-lidstaat of de Europese Economische Ruimte. Een aanvraag die bijvoorbeeld wordt ingediend door een natuurlijke persoon, niet handelend als onderneming, wordt buiten behandeling gelaten op grond van artikel 4:5 van de Algemene wet bestuursrecht. Verder wordt een aanvraag afgewezen als een aanvrager in staat van faillissement of liquidatie verkeert of als daarvoor een aanvraag is ingediend. Hetzelfde geldt in geval van surseance van betaling. Deze eisen zijn wenselijk om te borgen dat burgers niet worden geconfronteerd met een middel waarvan de werking kort na het beschikbaar worden vanwege financiële omstandigheden wordt beëindigd. Wanneer deze financiële omstandigheden bij het beoordelen van de aanvraag reeds kenbaar zijn wordt de aanvraag afgewezen.

Op grond van artikel 9, zesde en zevende lid, van de wet wordt een aanvraag verder afgewezen «in geval ernstig gevaar bestaat voor de cyberveiligheid of staatsveiligheid of in geval ernstig gevaar bestaat dat de erkenning mede zal worden gebruikt om strafbare feiten te plegen of uit strafbare feiten verkregen of te verkrijgen voordelen te benutten of anderszins de betrouwbaarheid en veiligheid van het Nederlandse stelsel voor elektronische dienstverlening in gevaar komt». Om invulling te geven aan deze afwijzingsgrond zal informatie over de aanvrager mede bepalend zijn.

In de eIDAS uitvoeringsverordening 1502 van 8 september 2015, worden vier aspecten van het middel en de organisatie van de aanbieder gereguleerd:

• 1. de identiteitscontrole voorafgaand aan de afgifte van een identificatiemiddel aan een burger door de aanbieder;

• 2. het beheer van identificatiemiddelen voor burgers (waaronder middel uitgifte, schorsing en intrekking);

• 3. het authentiseren van burgers voor publieke dienstverleners met behulp van middelen uitgegeven door de aanbieder;

• 4. beheersactiviteiten en de inrichting van de organisatie van de aanbieder voor zover deze relevant is voor de identificatiedienst.

De eisen die noodzakelijk zijn om deze verordening binnen de Nederlandse context vorm te geven zijn gedetailleerd van aard. De onderdelen a tot en met i van artikel 5 bieden derhalve een basis voor het vaststellen van eisen over deze onderwerpen bij ministeriële regeling. Met deze onderdelen kunnen de eIDAS-gerelateerde eisen bij ministeriele regeling worden vastgesteld. Dit besluit biedt verder de mogelijkheid om over een aantal andere onderwerpen regels te stellen. Deze regels kunnen worden beschouwd als aanvullingen of invullingen die strikt noodzakelijk zijn om uitvoering te geven aan de AVG of om de eIDAS-eisen in de Nederlandse context toe te passen.

Artikel 7, eerste lid, biedt daarom een basis om bij ministeriële regeling bijvoorbeeld de volgende nadere eisen te stellen:

• • Verplicht uit te voeren identiteitscontroles in de Basis Registratie Personen (BRP) aanvullend op de controles die de aanbieder zelf aanvoert (onderdeel a). Deze controles zijn bedoeld om het middel te kunnen laten werken met een afgeleide van het BSN.

• • Een verplichting om in de overeenkomst met gebruikers op te nemen om zorgvuldig met een verstrekt identificatiemiddel om te gaan, bijvoorbeeld door anderen geen toegang te geven tot het gebruik van het middel (onderdeel j).

• • Controles die, al dan niet periodiek, moeten worden uitgevoerd (onderdeel k). Gedacht kan worden aan een verplichting om periodiek na te gaan of een gebruiker nog in leven is. Een dergelijke verplichting kan misbruik van en fraude met identificatiemiddelen tegengaan.

• • Een verplichting dat een op gegevensverwerking gericht antecedentenonderzoek met positief resultaat moet zijn afgerond voor personeel en bestuurders die werken aan kritieke processen (onderdeel m).

• • De verplichte toepassing van bepaalde technologie, bijvoorbeeld voor het herkennen en herleiden van misbruik (onderdeel n).

• • Het borgen van herstelvermogen in geval van fraude en misbruik, waaronder proactief melden van incidenten of misbruik (onderdeel n);

• • De wijze waarop wordt omgegaan met versleutelde persoonsgegevens (onderdeel o).

Bij regels rond de verwerking van persoonsgegevens, waarvoor onderdeel o een basis biedt, kan bijvoorbeeld ook worden gedacht aan nadere eisen, zoals wissen van verwerkte gegevens als het bewaren daarvan niet meer nodig is, of de verplichte versleuteling waardoor bijvoorbeeld het BSN van gebruikers waar mogelijk alleen versleuteld wordt verwerkt. Dergelijke eisen zullen ook gebaseerd zijn op open standaarden en ondersteund worden door gangbare, open bibliotheken.

Zoals in paragraaf 3.10 uiteen is gezet is een aanvrager of een houder van een erkenning in beginsel verantwoordelijk voor de interoperabiliteit van het middel binnen het systeem waarbinnen dat middel werkt. Als gevolg daarvan is het aan de aanvrager of de houder om na te gaan welke specificaties het middel moet hebben om als authenticatiemiddel te kunnen functioneren. In beginsel worden derhalve geen eisen gesteld waarin specifieke techniek wordt voorgeschreven waaraan wordt getoetst.

Dit besluit bevat in artikel 5, tweede lid, een grondslag voor het stellen van nadere technische eisen bij ministeriële regeling. Deze eisen kunnen nodig zijn als de specifieke inrichting van de Nederlandse GDI daartoe noopt.

In een aantal van de reacties in het kader van de internetconsultatie wordt gesteld dat dit besluit in de weg staat aan het verlenen van een erkenning voor een identificatiemiddel met een decentrale architectuur. Met een decentrale architectuur wordt in de reacties gedoeld op een architectuur waarbij gegevens niet centraal worden opgeslagen, maar decentraal, bij de gebruiker.

Gepleit wordt voor een decentrale architectuur omwille van privacybescherming.

Bij ministeriële regeling worden nadere eisen vastgesteld voor private identificatiemiddelen. Ook ten aanzien van die eisen wordt met dit besluit vastgelegd dat deze in beginsel van toepassing zijn op een publiek identificatiemiddel. Op een aantal punten is het publieke middel echter wezenlijk anders dan een privaat middel. Zo wordt bijvoorbeeld met gebruikers geen overeenkomst gesloten voor gebruik. De rechten en plichten gelden op grond van publiekrecht. Dit besluit maakt het mogelijk om regels te stellen over de inhoud van de overeenkomst tussen aanbieder en gebruiker van een middel. Deze regels kunnen derhalve niet op het publieke middel van toepassing zijn. Dit besluit maakt het mogelijk om recht te doen aan dergelijke verschillen, doordat kan worden bepaald dat specifieke eisen niet van toepassing zijn op het publieke middel. Een dergelijke uitzondering wordt uiteraard gemotiveerd gemaakt. Daarbij wordt aan de materiele eisen, die zien op de betrouwbaarheid, de veiligheid en de bescherming van privacy, geen afwijking geregeld.

Voor een publiek middel geldt verder dat deze niet wordt erkend op basis van een aanvraag, maar dat daarvoor een ambtshalve aanwijzing plaatsvindt als het middel aan de eisen voldoet.

Degene die een erkenning voor een privaat identificatiemiddel aanvraagt moet met de aanvraag onderbouwen dat aan alle gestelde eisen is voldaan. Dit besluit regelt welke documenten bij een aanvraag in ieder geval moeten worden aangeleverd. Als een van deze documenten ontbreekt kan een aanvraag buiten behandeling worden gelaten.

Artikel 9, vijfde lid, van de wet schrijft voor dat bij een aanvraag in ieder geval een verklaring wordt overgelegd van een geaccrediteerde certificerende instelling. Op grond van het negende lid van dat artikel kunnen nadere regels worden gesteld over onder meer die verklaring. In dit hoofdstuk wordt nader ingegaan op de aanvraagprocedure.

Het indienen van een aanvraag vergt een investering, zowel in tijd als financieel. Voor zover de kosten voorvloeien uit dit besluit is gepoogd deze zo laag mogelijk te houden. Een aanvrager en een houder van een erkenning moet beschikken over een geldig certificaat. De inhoud van dat certificaat wordt bij ministeriële regeling vastgesteld. In dit besluit wordt vastgelegd dat een aanvrager op grond van ISO 27001 gecertificeerd moet zijn.

De kosten die een private partij moet maken om erkend te worden bestaan in ieder geval uit de kosten voor deze certificering. Het vereiste certificaat wordt op grond van een audit door een geaccrediteerde auditpartij afgegeven. Die auditpartij doet dit in opdracht en op kosten van de partij die zijn diensten wil laten erkennen. De kosten van een audit bestaan uit de kosten van de uitvoering van de audit en de kosten van de partij die erkend wil worden voor de voorbereiding van de audit. Deze voorbereidingskosten zijn voor de eerste keer dat de audit wordt uitgevoerd een factor 2 tot 4 hoger dan voor de herhaalaudits omdat voor de eerste audit het bewijs dat aan de eisen wordt voldaan en het ophalen van de daarvoor benodigde informatie voor het eerst moet worden gestructureerd. Het ervaringsniveau van de te erkennen partij ten aanzien van het ondergaan van audits en de voorbereiding daarop is in dit kader bepalend voor de omvang van de benodigde voorbereiding.

Verder zal een aanvrager moeten voldoen aan de eisen die op grond van dit besluit bij ministeriële regeling worden gesteld. In de toelichting bij die ministeriële regeling wordt ingegaan of de effecten van die eisen op de regeldruk.

Tot slot zal een te erkennen aanbieder van een identificatiemiddel in het kader van de productie van bewijs, dat aan specifieke eisen moet worden voldaan, een technische beveiligingstest moeten uitvoeren en deze driejaarlijks moet herhalen. Deze audit vloeit voort uit de eisen van de eIDAS-uitvoeringsverordening, die met dit besluit van toepassing worden verklaard. Deze audit wordt beschouwd als normale «productiekosten» van een dienst, de kosten daarvan worden in dit kader niet beschouwd als «additioneel» ten gevolge van deze regelgeving. Naar schatting zal een dergelijke test per identificatiemiddel en bijbehorend authenticatiemechanisme plusminus 25.000 euro bedragen al naar gelang de complexiteit van een middel en mechanisme. Hier geldt dat bij beperkte wijziging van een middel een herhaalde audit minder kosten met zich meebrengt dan bij een fundamentelere wijziging van middel en mechanisme.

De kosten van een erkenning zijn afhankelijk van:

• – De specifieke infrastructuur van de erkende of te erkennen dienst of diensten;

• – Het al dan niet reeds in bezit zijn van een certificering conform ISO 27001;

• – De complexiteit van het middel en het bijbehorende authenticatiemechanisme;

• – De aard, omvang en frequentie van wijzigingen die in de tijd worden aangebracht aan het middel en het authenticatiemechanisme.

Een compleet beeld van de eisen waaraan een aanvrager of een erkende partij moet voldoen ontstaat in combinatie met de ministeriële regeling, waarin de meer gedetailleerde eisen voor deze partijen worden ingevuld.

Een concept van dit besluit is voor advies voorgelegd aan het Adviescollege toetsing regeldruk. In het hiernavolgende wordt ingegaan op de punten uit het advies van dat college.

Ten eerste adviseert het college om duidelijk aan te geven of in de toekomst een publiek middel zal blijven bestaan en of dat kosteloos is. Naar aanleiding van dat advies is de toelichting uitgebreid. Hier wordt volstaan met de opmerking dat de wet de minister van Binnenlandse Zaken en Koninkrijksrelaties een wettelijke taak geeft om te zorgen dat er een publiek identificatiemiddel beschikbaar is op de verschillende betrouwbaarheidsniveaus. Daarbij is laagdrempelige toegang een uitgangspunt, ook vanuit financieel perspectief. Voor DigiD hoog is wel aangekondigd dat een beperkt bedrag zal moeten worden betaald voor het fysieke identificatiemiddel waarop dit wordt geplaatst.

Ten tweede wordt geadviseerd om toe te staan dat met een identificatiemiddel wordt ingelogd dat een hoger betrouwbaarheidsniveau heeft dan voor de desbetreffende publieke dienst is vereist. Dat is inderdaad mogelijk, en dat volgt uit de formulering van de relevante wetsartikelen. Daarin is vermeld dat toegang wordt verleend met gebruik van een middel dat «ten minste» het vereiste betrouwbaarheidsniveau heeft.

Ten derde adviseert het adviescollege het aantal private aanbieders en het aantal contractsvormen te limiteren of in de toelichting te motiveren waarom daarvoor niet is gekozen. In dit besluit is niet gekozen voor een beperkt aantal aanbieders of een beperking van de mogelijkheden om verschillende contractsvormen aan te bieden. Het aanbieden van een publiek middel is een wettelijke taak van de minister van Binnenlandse Zaken en koninkrijksrelaties. De voorwaarden waaronder dat publieke middel kan worden gebruikt worden door de minister bepaald. Daarbij zijn overzichtelijkheid en gebruiksgemak bepalend. In dit context acht het kabinet een systeem met schaarse erkenningen en een beperking van bedrijven om het verdienmodel te bepalen niet evenredig.

Ten vierde wordt geadviseerd om de wijze waarop burgers kunnen inloggen met een authenticatiemiddel per betrouwbaarheidsniveau te uniformeren. Hieraan wordt gehoor gegeven door het aanbod van middelen in het Nederlandse stelsel uniform te presenteren. Bij het inloggen wordt een gebruiker de keuze geboden tussen de verschillende identificatiemiddelen die zijn toegelaten tot het stelsel. Dit proces wordt voor alle middelen uniform ingericht. Daarna zal de gebruikers zijn middel moeten gebruiken, waardoor er onvermijdelijk verschillen optreden. Een middel dat werkt met het uitlezen van een identificatiedocument wordt immers anders gebruikt dan een middel dat bijvoorbeeld een vingerafdruk gebruikt. Deze beide processen passen in beginsel in de eIDAS-systematiek en deze ruimte voor verschillen is wenselijk.

Als laatste adviseert het Adviescollege toetsing regeldruk om een grondslag op te nemen om eisen te kunnen stellen aan het gebruiksgemak voor burgers van een middel. Daaraan is gehoor gegeven en het besluit is hierop aangepast. Hierop is in paragraaf 3.7 van deze toelichting ingegaan.

Bij brief van 6 augustus 2020 heeft de Autoriteit Persoonsgegevens een advies uitgebracht over een concept van dit besluit. Daarin wordt geadviseerd te onderzoeken of het wenselijk en haalbaar is om naast ISO 27001 ook ISO 27701 of een vergelijkbaar aantoonbaar beschermingsniveau verplicht te stellen.

Naar aanleiding van dit advies is onderzocht of het wenselijk is een dergelijke certificering voor te schrijven. Inhoudelijk sluit deze certificering aan bij de beleidsmatige wensen ten aanzien van het veilig en betrouwbaar inloggen bij overheidsdiensten. Het verkrijgen van een dergelijke certificering brengt ongeveer een verdubbeling van de certificeringskosten met zich, terwijl van partijen al zal worden gevraagd dat zij tijdens het aanvraagproces voor een erkenning op andere wijze aantonen dat zij de noodzakelijke randvoorwaarden zijn geborgd ten aanzien van management van privacygevoelige gegevens. Daarom is ervoor gekozen om de norm ISO 27701 niet te verplichten voor deze partijen.

Dit besluit is vanaf 1 april tot en met 13 mei 2020 voor reacties openbaar gemaakt op internetconsultatie.nl. Daarop zijn in totaal 13 reacties binnengekomen. Verschillende van deze reacties zien op de verhouding van het Nederlandse stelsel, waarop dit besluit ziet, tot stelsels in andere EU-lidstaten. Als gevolg van deze opmerkingen zijn de paragrafen 2.3 en 3.3 van deze toelichting aangevuld. Daarin wordt uitgebreid ingegaan op dit onderwerp. Ook naar aanleiding van opmerkingen over de mogelijkheid om middelen met een decentrale architectuur te erkennen en het verplichtstellen van open source is de toelichting uitgebreid.

Meerdere opmerkingen gaan in op artikel 3, eerste lid, onderdeel e, dat ziet op het verplicht scheiden van gegevens. Die opmerkingen hebben geleid tot het aanpassen van het artikelonderdeel en de daarbij behorende toelichting.

Een van de respondenten geeft aan dat het, behalve de erkenning van soorten middelen ook mogelijk moet zijn om stelsels te erkennen. Daarmee wordt gedoeld op een wettelijke goedkeuring waarbij wordt bewerkstelligd dat alle middelen die door een groep samenwerkende partijen wordt uitgegeven wordt geaccepteerd voor overheidsdienstverlening. Artikel 9 van de wet, maakt slechts het erkennen van soorten middelen mogelijk en koppelt deze aan toetsing van onderneming die deze uitgeeft. Een erkenning wordt verleend aan de aanvrager daarvan en anderen dan de houder van de erkenning kunnen daarvan geen gebruik maken. Daarvan kan met dit besluit niet worden afgeweken. Deze constructie maakt het wel mogelijk dat een erkenninghouder onderaannemers gebruikt voor de uitvoering van bepaalde werkzaamheden. Bij de aanvraag moet worden aangegeven of daarvan sprake is en eventuele wijzigingen moeten worden doorgegeven.

Verder wordt in een aantal reacties gesteld dat het wenselijk is dat de broncode van erkende identificatiemiddelen inzichtelijk moet zijn voor gebruikers. Dit besluit bevat de hoofdelementen voor een toetsingssysteem voor open source. Op dit onderwerp is in paragraaf 3.2.3 uitgebreid ingegaan.

Een respondent stelt voor slechts het betrouwbaarheidsniveau hoog te hanteren en daarmee een vereenvoudiging van het systeem te bewerkstelligen. Dat komt niet overeen met de keuzevrijheid die voor gebruikers wenselijk is en zal voor sommige gebruikers een lastenverzwaring tot gevolg hebben, omdat middelen met niveau hoog doorgaans duurder zijn dan op niveau substantieel. De eIDAS verordening maakt het ook om deze redenen mogelijk om te differentiëren, zodat kostenefficiënte authenticatie kan worden ingezet op een door de gebruiker te bepalen wijze.

Een respondent stelt dat voorkeur zou moeten worden gegeven aan aanvragers van een erkenning die zonder winstoogmerk opereren. Omdat het aantal erkenningen niet in aantal is beperkt is het verlenen van voorrang aan bepaalde aanvragers niet aan de orde. Het feit dat private partijen winst maken met het aanbieden van authenticatiedienstverlening is niet ten principale onwenselijk. Voorkomen moet worden dat gegevens van burgers die inloggen bij de overheid als handelswaar worden gebruikt door deze partijen. Daarvoor bevat het besluit de nodige waarborgen. Het zou disproportioneel zijn om vervolgens partijen met een winstoogmerk uit te sluiten van het verkrijgen van een erkenning. Bovendien wordt aan gebruikers daarmee mogelijk goede oplossingen of alternatieven onthouden.

In een van de ingediende reacties wordt verder voorgesteld om bij het hanteren van doelvoorschriften in de vorm van open normen richtlijnen openbaar te maken over de wijze waarop aan die open normen kan worden voldaan. Deze suggestie is overgenomen en daarop wordt in paragraaf 3.12 ingegaan.

Voor zover in de reacties wordt ingegaan op nadere eisen die op basis van dit besluit bij ministeriële regeling kunnen worden gesteld wordt daarop in deze toelichting niet nader ingegaan. Aan deze onderwerpen zal in de toelichting bij de regeling aandacht worden besteed.

In dit eisen zijn eisen opgenomen die zijn gericht op de aanvrager. Die eisen zien bijvoorbeeld op de wijze waarop de aanvrager processen heeft ingericht of de financiële positie van de aanvrager.

De organisatie van de aanvrager moet de eisen die aan gelaten partijen zijn gesteld kunnen uitvoeren. Dat principe is vastgelegd in onderdeel d van dit artikellid. Het gaat er dus om dat de aanvrager kan voldoen aan eisen die vanaf het moment van toelating van kracht worden. Gedacht kan bijvoorbeeld worden aan de eisen met betrekking tot beschikbaarheid, waaraan moet worden voldaan door erkende partijen. Een aanvraag van een partij die onvoldoende voorzieningen heeft getroffen om aan die eisen te voldoen, kan worden afgewezen.

Onderdeel e bevat de verplichting om gegevens over gebruikers en gebruik gescheiden te bewaren. Hierop wordt in paragraaf 4.1.3 uitgebreid ingegaan. Het gaat om gegevens die in het kader van de erkenning zijn verkregen. De verplichting geldt derhalve niet voor gegevens die voorafgaand aan de erkenning zijn verkregen, of die na het van kracht worden daarvan door de houder van de erkenning zijn verwerkt voor een ander doel dan authenticatie. Als gevolg van dit onderdeel kan een aanvraag worden afgewezen indien de aanvrager niet kan aantonen dat de gegevens over de gebruiker worden bewaard op zodanige wijze dat deze niet zijn te herleiden tot de gegevens over het gebruik door die gebruiker.

Met onderdeel f wordt voorgeschreven dat moet worden geregistreerd op welk moment en door wie gegevens over gebruiker en gebruik zijn gecombineerd. Dit voorschrift maakt het mogelijk om maatregelen te nemen tegen onbevoegde inzage in gebruiksgegevens. Verder maakt dit onderdeel het mogelijk om gebruikers inzage te geven in de momenten waarop de gegevens zijn gecombineerd. Daardoor kunnen gebruikers zelf controle uitoefenen op de momenten waarop gegevens zijn gecombineerd.

Onderdeel g van het eerste lid schrijft voor dat een aanvrager een vestiging moet hebben in Nederland. Niet vereist is dat de rechtspersoon in Nederland is gevestigd, maar om effectief toezicht mogelijk te maken moet de toezichthouder bij een Nederlandse vestiging inzicht kunnen krijgen in de vereiste gegevens en processen. Een dergelijke eis is niet verboden in artikel 14 van de Europese dienstenrichtlijn.

In onderdeel i is geregeld dat gebruikers inzage krijgen in de authenticatiehandelingen die met een middel zijn verricht en de momenten waarop persoonsgegevens over de gebruiker zijn gecombineerd met de gegevens over het gebruik door die gebruiker. Op dit eis is in paragraaf 4.1.3 van deze toelichting uitgebreid ingegaan.

Een identificatiemiddel werkt samen met verschillende onderdelen van het stelsel, zoals publieke ontsluitende diensten, het BSN-koppelregister en voorzieningen die gebruik in andere lidstaten mogelijk maken. In artikel 4, eerste lid, aanhef en onderdeel a, is de eis vervat dat een middel moet kunnen functioneren met de onderdelen die nodig zijn voor het functioneren daarvan. In het aanvraagproces wordt dit getoetst door middel van een uitvoerige praktijktoets waarover bij ministeriële regeling nadere regels worden gesteld.

Onderdeel b van het eerste lid regelt dat een identificatiemiddel moet kunnen functioneren in overeenstemming met de relevante verplichtingen uit het Besluit digitale overheid. Deze verplichtingen gelden uiteraard zelfstandig op grond van het Besluit digitale overheid, maar niet als afwijzingscriterium voor een aanvraag. Met dit onderdeel is geborgd dat een aanvraag kan worden afgewezen wanneer die artikelen niet kunnen worden nageleefd.

Onderdeel c van het eerste lid van dit artikel bepaalt dat een identificatiemiddel moet voldoen aan de eisen die gelden voor wederzijdse erkenning op grond van de Europese eIDAS-systematiek. In paragraaf 4.1.2 van deze toelichting wordt hierop uitgebreider ingegaan.

Met het tweede lid wordt vastgelegd dat een authenticatiedienst betrouwbare authenticatieverklaringen kan afgeven aan publieke dienstverleners.

Op grond van dit artikel worden componenten aangewezen waarvoor door aanvragers van een erkenning moet worden voorzien in software met gepubliceerde broncode. Op de beleidsmatige achtergrond wordt ingegaan in het algemene deel van deze toelichting. Dit artikel bepaalt dat voor aangewezen componenten van authenticatiediensten software moet worden gebruikt waarvan de broncode openbaar is. Het kan gaan om software die onder een open source licentie is gepubliceerd (openbaarmaking van de broncode is een onderdeel van deze licenties) of om software waarvan de broncode op andere wijze openbaar is gemaakt. Op grond van het vijfde lid kunnen nadere regels worden gesteld aan de wijze waarop de broncode openbaar wordt gemaakt, bijvoorbeeld wanneer openbaarmaking op andere wijze dan via een open source-licentie plaatsvindt.

Het derde lid regelt verder dat, ongeachte op welke wijze publicatie van de broncode plaatsvindt, voor de aangewezen componenten een mogelijkheid moet bestaan voor derden om kwetsbaarheden van de software te melden en om voorstellen te doen voor aanpassing van die software. Daarmee wordt geborgd dat de community die gericht is op het monitoren en verbeteren van de software altijd een kanaal heeft om bevindingen te rapporteren. De aanbieder van een authenticatiedienst of machtigingsdienst is vervolgens gehouden om op deze inbreng te reageren en om terugkoppeling te geven over de gevolgen die daaraan zijn gegeven.

Bij ministeriële regeling worden, op grond van artikel 7 van dit besluit, nadere toelatingseisen gesteld. Voor die eisen worden de stukken die ter onderbouwing moeten worden ingediend ook bij ministeriële regeling vastgesteld. Het tweede lid biedt daarvoor een basis. Te denken valt aan het voorschrijven van specifieke documenten, zoals een bankverklaring of een afschrift van een aansprakelijkheidsverzekeraar. Ook kunnen bij ministeriële regeling bijvoorbeeld regels worden gesteld aangaande de actualiteit van te overleggen gegevens, of kan juist worden bepaald dat in sommige situaties bepaalde bewijsstukken niet overgelegd hoeven te worden.

Verder kan op grond van het tweede lid onder meer het gebruik van een aanvraagformulier worden verplicht.

Het eerste lid van artikel 16 bepaalt dat een erkenning voor onbepaalde tijd wordt verleend. Verlening voor onbepaalde tijd is het uitgangspunt in gevallen waarin geen sprake is van schaarste.

Op grond van het tweede lid wordt bij het vaststellen van de ingangsdatum rekening gehouden met de handeling die nodig is om te zorgen dat het middel kan worden geaccepteerd. Een erkend middel moet worden geaccepteerd door een groot aantal publieke dienstverleners met een verschillende technische inrichting. Voorkomen moet worden dat een houder van een erkenning moet wachten voordat van die erkenning gebruik kan worden gemaakt omdat een publieke dienstverlener of een beperkt deel daarvan een langere implementatieperiode nodig heeft. Dit kan worden voorkomen door aan de erkenning een tijdelijke beperking te verbinden. Artikel 9, vierde lid, van de wet biedt daarvoor een mogelijkheid.

Dit artikel maakt het mogelijk dat de minister aan een erkende partij een verplichting oplegt om een externe audit te laten uitvoeren. Met die audit geeft een onafhankelijke deskundige een oordeel over de conformiteit van een erkende partij met de eisen die voor die partij gelden. Daarbij kan het ook specifiek gaan over een boekhoudkundig onderzoek om te bepalen of sprake is geweest van overtreding van het verbod om persoonsgegevens te gebruiken voor een ander doel dan authenticatie.

Bij het opleggen van een onderzoeksverplichting zal telkens rekening moeten worden gehouden met de kosten die het uitvoeren van een degelijke audit met zich brengt en moet een afweging worden gemaakt tussen die kosten en de efficiënte inzet van toezichtscapaciteit en bij de toezichthouder beschikbare kennis.

Met dit artikel wordt geregeld dat een houder van een erkenning ervoor moet zorgen dat alle gegevens die bij de houder ter kennis komen, vertrouwelijk behandelt. Een betrouwbare toegang van natuurlijke personen tot elektronische dienstverlening valt of staat immers met een organisatie die de haar ter beschikking staande gegevens van derden vertrouwelijk behandelt. Dit houdt onder meer in dat toegang tot de gegevens beperkt is tot daartoe gerechtigde personen en dat er technische en organisatorische beveiligingsmaatregelen zijn genomen. Daarbij past tevens dat de houder beschikt over een loket waar betrokkenen in de toegang van elektronische dienstverlening aan ondernemingen en rechtspersonen terecht kunnen in geval van vragen of ontstane problemen in die toegang, bijvoorbeeld in het geval van security-meldingen. Die verplichting wordt uitgewerkt op grond van artikel 25, eerste lid, onderdeel a.

Artikel 24, eerste lid, onderdeel b, regelt dat gegevens die door een houder van een erkenning worden verwerkt niet voor andere doeleinden mogen worden gebruikt dan voor authenticatie. Artikel 6, eerste lid, onderdeel a, van de Algemene verordening gegevensbescherming kan niet worden toegepast om de gegevens toch voor deze doeleinden te gebruiken als de gebruiker daarvoor toestemming heeft verleend. Dit artikel staat er niet aan in de weg dat erkende private inlogmiddelen kunnen worden gebruikt in het commerciële domein.

Een erkenning kan worden gewijzigd, bijvoorbeeld wanneer de houder van een erkenning ingrijpende wijzigingen wil doorvoeren in de werking van het middel waarop de erkenning ziet. In dat geval zou de erkenning niet meer zien op het gewijzigde middel. Dit artikel regelt dat een wijziging wordt beoordeeld op de wijze waarop een eerste aanvraag ook wordt behandeld.

Als gevolg van artikel 9 kan een aanvraag slechts worden ingediend door een onderneming binnen de Europese Unie of de Europese Economische Ruimte. Het tweede lid regelt dat een erkenning door middel van een wijziging niet kan worden overgezet naar een rechtspersoon buiten de Europese Unie of de Europese Economische Ruimte.

He belang van een stelsel voor veilige en betrouwbare identificatie is afhankelijk van alle deelnemers aan dat stelsel. Op grond van artikel 18, eerste en vierde lid, van de wet kan de minister ingrijpen indien er een ernstige storing of aantasting is van de veiligheid of betrouwbaarheid van het stelsel of wanneer wordt vermoed dat met erkende identificatiemiddelen misbruik wordt gepleegd of dat deze oneigenlijk worden gebruikt.

Verder wordt toezicht gehouden op de naleving van de aan erkende partijen opgelegde eisen. Dit toezicht kan afhankelijk zijn van volledige en tijdige medewerking van een erkende partij. Wanneer deze medewerking niet plaatsvindt kan de minister op grond van artikel 28 in combinatie met artikel 11 de aan die partij verleende erkenning intrekken of schorsen om het belang van veilig en betrouwbare toegang tot publieke dienstverlening te borgen.