Beleidsregel tot vaststelling niveau DigiD voor inzage in GBA persoonsgegevens via MijnOverheid.nl

Toelichting

In dit besluit wordt in artikel 1 geregeld dat het toegangsniveau DigiD Basis vereist is voor inzage van alle eigen gegevens uit de gemeentelijke basisadministratie persoonsgegevens (GBA) die via de Persoonlijke internetpagina (PIP), inmiddels ook bekend onder de merknaam MijnOverheid.nl getoond worden. In de toekomst zullen burgers met MijnOverheid.nl virtueel via één portal kennis kunnen nemen van de over hem of haar bij de overheid beschikbare gegevens, waaronder de eigen persoonsgegevens uit de GBA.

In het Besluit beheer Persoonlijke internetpagina (Stcrt. 31 mei 2007, nr. 102, pag. 8) is geregeld dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) belast is met de zorg voor de ingebruikneming en instandhouding van de Persoonlijke internetpagina. Hiertoe kunnen aan de minister vanuit de GBA gegevens verstrekt worden, zodat burgers vervolgens via MijnOverheid.nl kennis kunnen nemen van gegevens zoals die in de GBA over hen zijn opgenomen. In de praktijk is de staatssecretaris van BZK belast met het dossier PIP. Voor de ingebruikneming en instandhouding van MijnOverheid.nl maakt de staatssecretaris (mede) gebruik van de bevoegdheden bedoeld in artikel 2:15 Awb inzake het openstellen van de elektronische weg. Dit besluit is het resultaat van een afweging van belangen inzake die toegang.

MijnOverheid.nl maakt gebruik van DigiD voor authentificatie. Binnen DigiD als toegangscode tot overheidsdiensten worden drie zekerheids- of betrouwbaarheidsniveaus gehanteerd, namelijk niveau Basis, Midden en Hoog. Op het basisniveau maakt DigiD gebruik van een gebruikersnaam met wachtwoord. Op het middenniveau maakt DigiD gebruik van een gebruikersnaam met wachtwoord én een transactiecode via sms (sms authentificatie). Het is de bedoeling dat het hoogste zekerheidsniveau in de toekomst wordt ingevuld door de elektronische Nederlandse Identiteitskaart (eNIK).

Een aantal overwegingen speelt een rol bij het besluit om DigiD Basis te gebruiken als niveau voor inzage van alle eigen gegevens uit de gemeentelijke basisadministratie die getoond worden via de Persoonlijke internetpagina:

– MijnOverheid.nl wordt gerealiseerd om te bevorderen dat burgers eenvoudiger inzage krijgen op de door de overheid vastgelegde gegevens over de eigen persoon en persoonlijke situatie. De vereenvoudiging van de inzage wordt het best bewerkstelligd als er niet meer drempels dan nodig worden opgeworpen om de desbetreffende informatie in te kunnen zien.

– Het gebruik van DigiD Basis past in het streven om de dienst aan te bieden met zo weinig mogelijk bijbehorende administratieve lasten.

– DigiD Basis biedt door middel van het gebruik van een gebruikersnaam en wachtwoord een besloten omgeving. DigiD is strikt persoonlijk, gebruikers worden bij gebruik erop geattendeerd hun DigiD gegevens niet aan derden te verstrekken.

– Voor elke sessie worden de gegevens uit de GBA opgehaald, maar niet opgeslagen.

– Een burger kan met gebruik van zijn of haar DigiD alleen de eigen persoonsgegevens inzien. Deze gegevens zijn geen bijzondere persoonsgegevens in de zin van de Wet op de bescherming pesoonsgegevens.

Het besluit heeft alleen betrekking op het niveau van de toegangsvoorziening DigiD voor de inzage in eigen persoonsgegevens in de GBA. Er wordt derhalve geen uitspraak gedaan over het gewenste niveau van DigiD ten behoeve van andere voorzieningen binnen MijnOverheid.nl. Uitgangspunt voor deze laatste groep is dat de desbetreffende overheidsinstelling zelf beslist welk niveau van DigiD gewenst is voor de diensten die zij aanbiedt. Toegezien zal worden op enige coördinatie opdat voor de burger een logische samenhang van het niveau van DigiD met de ter inzage aangeboden gegevens en transactiediensten ontstaat.

Vooralsnog biedt MijnOverheid.nl nog geen dusdanige combinatie van verschillende inzagen dat een hoger zekerheidsniveau voor de geheel Persoonlijke internetpagina noodzakelijk is. Periodiek zal een afhankelijkheids- en kwetsbaarheidsanalyse (A & K analyse) worden uitgevoerd om te bepalen of het geheel van de aangeboden diensten, in samenhang bezien, niet te risicovol is, waardoor het noodzakelijk wordt de totale toegangsvoorziening DigiD op een hoger niveau beschikbaar te stellen.

Bij de voorlichting over DigiD wordt veel aandacht besteed aan het belang om zorgvuldig om te gaan met gebruikersnaam en wachtwoord. Gebruikers worden erop geattendeerd dat deze gegevens strikt persoonlijk zijn en dat de inloggegevens niet bekend moeten worden bij anderen. Dit geldt vanzelfsprekend ook voor het gebruik van DigiD om toegang te krijgen tot MijnOverheid.nl. Uit de praktijk blijkt dat het voorkomt dat deze gegevens in sommige gevallen toch aan derden worden verstrekt, bijvoorbeeld aan een echtgeno(o)t(e) die de gezamenlijke belastingaangifte afhandelt. Gebruikers dienen zich ervan bewust te zijn dat anderen die over hun gebruikersnaam en DigiD beschikken in hun gegevens in MijnOverheid.nl kunnen kijken. Indien op een later moment (bijvoorbeeld na een scheiding) een gebruiker wil voorkomen dat zijn/haar gegevens nog bij die ander bekend zijn, zal hij/zij een nieuw wachtwoord kunnen aanvragen. Net als nu, zal in de toekomst uitgebreid aandacht worden gevraagd voor het zorgvuldig omgaan met DigiD.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,

A.Th.B. Bijleveld-Schouten