Regeling van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 23 oktober 2015, nr. 2015-609536, houdende regels met betrekking tot de werking, beveiliging en betrouwbaarheid van de voorzieningen voor elektronisch berichtenverkeer en informatieverschaffing alsmede van voorzieningen voor elektronische authenticatie en elektronische registratie van machtigingen (Regeling voorzieningen GDI)

Op grond van de Wet elektronisch berichtenverkeer Belastingdienst (hierna: de wet) vindt in beginsel alle berichtenverkeer tussen de belastingplichtige en de Belastingdienst uitsluitend nog elektronisch plaats. In de formele wetten voor de belastingen, toeslagen en de invordering zijn in de wet bepalingen opgenomen die het juridische kader scheppen voor het verder ontwikkelen van elektronisch berichtenverkeer. Om dit mogelijk te maken en het fiscale deel van de wet uitvoerbaar te laten zijn, is in artikel X, een wettelijke basis gerealiseerd voor de voorzieningen inzake de generieke digitale infrastructuur (GDI).

Het eerste lid van artikel X bepaalt dat Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties zorg draagt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van voorzieningen voor elektronisch berichtenverkeer en informatieverschaffing alsmede van voorzieningen voor elektronische authenticatie en elektronische registratie van machtigingen.

De GDI, die het mogelijk maakt dat overheidsinstanties digitaal gaan functioneren, is in de wet functioneel omschreven, teneinde nieuwe of geactualiseerde voorzieningen en (technische) ontwikkelingen te kunnen opvangen. In dit verband functioneren momenteel de voorzieningen MijnOverheid (met als primaire – onder meer door de Belastingdienst gebruikte – onderdeel de Berichtenbox), DigiD, DigiD Machtigen en het BSN-koppelregister.

Het derde lid van artikel X van de wet bepaalt dat Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties persoonsgegevens verwerkt, waaronder het burgerservicenummer, voor zover dit noodzakelijk is voor de goede vervulling van de taak, bedoeld in het eerste lid; bij algemene maatregel van bestuur wordt nader bepaald welke persoonsgegevens worden verwerkt, aan wie deze worden verstrekt en hoe lang deze worden bewaard. Hieraan zal uitvoering worden gegeven met het Besluit verwerking persoonsgegevens GDI.

Het tweede lid van artikel X van de wet bepaalt dat bij regeling van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties regels worden gesteld met betrekking tot de werking, beveiliging en betrouwbaarheid van de voorzieningen, bedoeld in het eerste lid. Ter uitvoering hiervan wordt met de onderhavige regeling beoogd duidelijkheid en rechtszekerheid te bieden aan gebruikers en afnemers (publieke dienstverleners) door te omschrijven welke eisen worden gesteld aan de werking, beveiliging en betrouwbaarheid van de betrokken GDI-voorzieningen teneinde inbreuken op de (technische) beveiliging en het proces zoveel mogelijk te voorkomen en te herstellen. Het betreft deels bepalingen van technische en administratieve aard, die bovendien regelmatig aan wijziging en actualisering onderhevig zijn. Voorts is sprake van bestaande, in de praktijk gehanteerde voorschriften en processen, die met deze regeling van een deugdelijke grondslag worden voorzien.

Het kabinet werkt toe naar het digitaal communiceren door en met de overheid en betere publieke dienstverlening. Dit is opgenomen in het Regeerakkoord 2012 en uitgewerkt in de Visiebrief Digitaal 2017 (TK 26 643, nr. 280). Deze regeling maakt derhalve onderdeel uit van een groter geheel; naast het wettelijk verankeren van de generieke digitale infrastructuur, maakt bijvoorbeeld ook de invoering van het eID-stelsel (private authenticatie op een hoog betrouwbaarheidsniveau, ontwikkeld door overheid en bedrijfsleven gezamenlijk; thans Idensys genaamd) en het doorontwikkelen van publieke authenticatie (thans: DigiD) hiervan deel uit. Genoemde ontwikkelingen komen samen in de wet- en regelgeving rond de elektronische overheid.

Deze regeling bevat bepalingen met betrekking tot werking, beveiliging en betrouwbaarheid van de genoemde GDI-voorzieningen. Het gaat daarbij primair om bestaande, in de praktijk reeds gehanteerde voorschriften, die thans een wettelijke basis krijgen. Hierdoor zijn de gevolgen van deze regeling beperkt. Adressaten van de regeling zijn burgers (voor wat betreft de bepalingen inzake gebruik van de voorzieningen) en de (Rijks)overheid zelf (voor wat betreft de bepalingen inzake werking en (informatie) veiligheid).

Met betrekking tot MijnOverheid, DigiD en DigiD Machtigen gold tot voor kort dat burgers, die deze voorzieningen wilden gebruiken, expliciet moesten instemmen met de betreffende gebruiksvoorwaarden; het gebruik van de voorzieningen vond immers plaats op basis van vrijwilligheid. Dit is niet langer het geval wanneer sprake is van verplicht gebruik van deze voorzieningen, zoals in het kader van verplichte digitale belastingaangifte, waarin de bovenliggende wet voorziet. In dat geval zijn algemeen verbindende voorschriften noodzakelijk. Vanwege de eveneens in de wet opgenomen basis voor de GDI, is voor wat betreft de gebruiksvoorwaarden gekozen voor een uniform regime, aangezien dat duidelijkheid en rechtszekerheid biedt. Bij gelegenheid van het opstellen van deze regeling zijn de gebruiksvoorwaarden gestroomlijnd en geactualiseerd. Met betrekking tot het BSN-Koppelregister is van belang, dat bij deze voorziening geen directe relatie met gebruikers bestaat. Het is de private authenticatiedienst, waarbij burgers een authenticatiemiddel aanvragen, die het BSN-Koppelregister inschakelt, namelijk wanneer de betreffende burger dit middel tevens wil gebruiken voor de afname van diensten in het publieke domein, bijvoorbeeld het aanvragen van een vergunning of een toeslag.

De gevolgen van deze regeling kunnen als volgt worden geschetst.

Voor wat betreft MijnOverheid, DigiD en DigiD Machtigen geldt, dat gebruikers niet langer toestemming hoeven te geven bij het gebruik van deze voorzieningen en zij dus minder handelingen gaan verrichten. Overigens is, nu de gebruiksvoorwaarden als zodanig zijn vervallen, ten behoeve van de duidelijkheid en kenbaarheid op mijn.overheid.nl en www.digid.nl een verwijzing naar de onderhavige regeling opgenomen. Mogelijk zullen de voorzieningen als aantrekkelijker (want: gebruiksvriendelijker en met een duidelijker status als publieke voorziening) worden beschouwd en zullen ze nieuwe afnemers aantrekken.

Voor wat betreft het BSN-Koppelregister geldt dat burgers van deze voorziening als zodanig niets zullen merken. Wel kunnen zij als voordeel ervaren dat zij, naast DigiD, nu ook met private authenticatiemiddelen in het publieke domein kunnen inloggen en publieke diensten kunnen afnemen. Voor private authenticatiediensten geldt dat zij meer handelingen gaan verrichten, te weten het aanleveren van persoonsgegevens aan het BSN-Koppelregister (zie voor een overzicht van de gegevens die door de Minister worden verwerkt in de voorzieningen voor de generieke digitale infrastructuur DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister: het Besluit verwerking persoonsgegevens GDI). Dit maakt echter deel uit van hun business case, met andere woorden: het weegt op tegen de te verwachten commerciële baten. Bovendien legt de onderhavige regeling aan private authenticatiediensten geen verplichting op om private authenticatiemiddelen voor het publieke domein te leveren; private authenticatiediensten mogen zich blijven toeleggen op het authenticatiemiddelen voor het private domein. Maar als ze het publieke domein willen bedienen, kan dit op veilige en betrouwbare wijze via het BSN-Koppelregister geschieden. Dit vormt de kern van de introductie van Idensys.

Op het toepasselijke regime inzake de beveiliging van de voorzieningen wordt hieronder nader ingegaan.

Informatieveiligheid van de onderhavige GDI-voorzieningen was in de voormalige gebruiksvoorwaarden ruim geformuleerd. De overheid committeerde zich ten opzichte van de gebruikers om adequate beveiligingsmaatregelen te treffen om inbreuken op en aantasting van de (technische) beveiliging en processen van de voorzieningen te voorkomen en te herstellen. In de praktijk werd en wordt dit ingevuld door middel van het uitvoeren van een risicoanalyse en vervolgens toepassen van de relevante overheidsbrede informatiebeveiligingsnormen, die zijn neergelegd in een aantal documenten over beveiliging van ICT-voorzieningen van de overheid.

Voor wat betreft de voorzieningen in deze regeling gaat het primair om de norm NEN-ISO/IEC 27002, de standaarden DNSSEC, TLS, SAML, SPF en DKIM, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de voorschriften informatiebeveiliging Rijksdienst (VIR en VIRBI). Met betrekking tot DigiD en DigiD Machtigen gelden daarnaast de normen inzake ICT-beveiligingsassessments DigiD. Voor het BSN-Koppelregister gelden daarnaast de eisen uit het afsprakenstelsel elektronische toegangsdiensten, die overigens voor een groot deel de hierboven genoemde normen en voorschriften omvatten.

Nu de betreffende GDI-voorzieningen een wettelijke basis krijgen, ligt het in de rede ook de in dat verband relevante beveiligingsnormen te verankeren. Dit geschiedt door naar deze normen te verwijzen. Artikel 6, eerste lid, bevat hiertoe een dynamische verwijzing, dat wil zeggen dat deze tevens nadien in werking getreden wijzigingen omvat. Aanpassingen van de desbetreffende (technische) normen werken dus automatisch door en behoeven toepassing. Op deze wijze wordt ingespeeld op toekomstige actualisering vanwege doorontwikkelende inzichten en wordt aangesloten bij hetgeen de overheid zichzelf heeft opgelegd. Immers: de overheid is reeds gehouden tot naleving van deze normen, (open) standaarden en specificaties, welke vervat zijn in beleidsregels, interne (overheids) besluiten en andere instrumenten van (zelf)regulering. Ingevolge het tweede lid van artikel 6 worden de – door de Minister/dienst Logius – te nemen veiligheidsmaatregelen getroffen en onderhouden op basis van daartoe na een risicoanalyse vastgestelde informatiebeveiligingsplannen. Met name zijn hierbij van belang (indicatief):

Maatregelen

De voormalige gebruiksvoorwaarden bij de voorzieningen kenden tevens bepalingen die ten doel strekten om als overheid maatregelen te kunnen nemen op het moment dat er, de reeds getroffen maatregelen ten spijt, een aantasting of inbreuk op de (technische) beveiliging of de betrouwbaarheid van de processen plaatsvindt. Het gaat daarbij om het uitvoeren van onderhoud op de voorzieningen (periodieke software updates, aanpassingen tbv doorontwikkeling) en om het treffen van (nood)maatregelen om de beveiliging en betrouwbaarheid snel te herstellen als zich een incident of calamiteit voordoet en om (verdere) schade voor burgers en overheid te voorkomen. Hiertoe behoren eveneens maatregelen als het onderbreken of beëindigen van de toegang als gebruikers risico lopen cq slachtoffer zijn van (vermoed) misbruik van hun accounts. Het bovenstaande is thans in de regeling opgenomen.

Dit artikel bevat de voor de gebruiker belangrijkste bepalingen uit de voormalige gebruiksvoorwaarden MijnOverheid: aangegeven wordt op welke wijze gebruik kan worden gemaakt van de voorziening MijnOverheid. Dit is een gepersonaliseerde elektronische voorziening waarmee voor burgers een persoonlijk domein beschikbaar komt dat geschikt is voor informatieverschaffing door overheidsorganen/afnemers en waardoor burgers hun post steeds vaker (uitsluitend) via het elektronische kanaal zullen ontvangen.

De gebruiksvoorwaarden zijn niet letterlijk overgenomen in de deze regeling. Bezien is welke gebruiksvoorwaarden geen plek in de regeling behoeven als gevolg van regulering elders. Zo wordt de verwerking van persoonsgegevens in het kader van het gebruik van MijnOverheid geregeld in het Besluit verwerking persoonsgegevens DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister. Voor wat betreft de rechtsgevolgen van het plaatsen van een bericht in de Berichtenbox is afdeling 2.3 van de Algemene wet bestuursrecht (Awb) van toepassing. Het sturen van notificaties (attenderingen) met betrekking tot plaatsing van berichten in de Berichtenbox naar het e-mailadres van een gebruiker, die hiervoor heeft gekozen bij activering van zijn MijnOverheid-account, is geen (onderdeel van de) bekendmaking in de zin van de Awb, maar een bestaande praktijk, die wordt gecontinueerd. Voorts zijn, bij gelegenheid van deze regeling, de bepalingen uit de voormalige gebruiksvoorwaarden geactualiseerd en gestroomlijnd. Werd in de gebruiksvoorwaarden bijvoorbeeld gesproken over het door de gebruiker “registreren” bij MijnOverheid, in de regeling wordt gesproken over “activeren’’.

Hiermee wordt het proces van ingebruikname accurater aangeduid.

MijnOverheid-accounts zullen standaard worden aangemaakt voor Nederlanders en ingezetenen vanaf 14 jaar. Reden hiervoor is dat dit de leeftijd is waarop men te maken krijgt met overheidsinstanties die voor het eerst (digitale) post toesturen; vanaf 14 jaar mag een jongere werken – en krijgt hij/zij dus te maken met de Belastingdienst – en vanaf die leeftijd geldt de identificatieplicht. In de nabije toekomst zal dus vanaf het 14e jaar voor ingezetenen en Nederlanders in het buitenland een account beschikbaar komen. Daarbij is niet langer sprake van het door gebruiker kunnen opzeggen of verwijderen van het MijnOverheid-account. Beëindigen van het ontvangen van berichten van een of meerdere afnemers kan wel (lid 4), met uitzondering van de situatie waarin het gebruik van MijnOverheid wettelijk verplicht is gesteld (lid 5), zoals bijvoorbeeld bij de Belastingdienst (vide artikel I van de wet). De gebruiker kan zich te allen tijde weer elektronisch bereikbaar verklaren voor een of meerdere afnemers door deze opnieuw aan te vinken. Als een burger zijn MijnOverheid-account in gebruik heeft genomen, wordt er van hem verwacht dat hij de Berichtenbox regelmatig raadpleegt om te kijken of er nieuwe berichten zijn geplaatst. Ook wordt van hem verwacht dat hij, om notificaties te kunnen ontvangen, een actueel e-mailadres doorgeeft en ook een eventuele wijziging van dat adres.

Aangenomen moet worden dat het door de Minister opheffen van een MijnOverheid-account (lid 8) een besluit is in de zin van de Awb, gelet op het feit dat dit is gericht op rechtsgevolg. Immers: er kan dan niet langer gebruik gemaakt worden van de voorziening MijnOverheid, er kunnen geen berichten meer in de Berichtenbox geplaatst worden etc. Dat betekent dat bezwaar open staat bij de Minister van Binnenlandse Zaken en Koninkrijksrelaties, en daarna eventueel beroep bij de rechtbank en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Een uitgebreide procesbeschrijving, de door gebruiker te nemen stappen, vragen en antwoorden, nuttige adressen en telefoonnummers etc. zijn te vinden op mijn.overheid.nl.

Dit artikel bevat de voor de gebruiker belangrijkste bepalingen uit de voormalige gebruiksvoorwaarden DigiD; aangegeven wordt op welke wijze gebruik kan worden gemaakt van DigiD.

De gebruiksvoorwaarden zijn niet letterlijk overgenomen in de onderhavige regeling. Bezien is welke bepalingen hier geen regulering behoeven als gevolg van het elders regelen van bepaalde onderdelen van de gebruiksvoorwaarden; zo zal de verwerking van persoonsgegevens in het kader van het gebruik van DigiD geregeld worden in het Besluit verwerking persoonsgegevens GDI. Ook zijn, bij gelegenheid van de onderhavige regeling, de bepalingen uit de voormalige gebruiksvoorwaarden geactualiseerd en gestroomlijnd.

Omdat de informatie, die gebruiker met DigiD bij de afnemers kan raadplegen, aanvragen en bewerken/wijzigen vaak privacygevoelig, vertrouwelijk en persoonlijk is, is het voor gebruiker van belang zijn DigiD strikt geheim te houden. Wanneer bij de gebruiker het vermoeden bestaat van identiteitsfraude, dan kan hij zijn DigiD laten blokkeren (opschorten) of opheffen. Dit kan via de Helpdesk (servicecentrum) van de dienst Logius (zie: www.digid.nl). Om weer diensten te kunnen afnemen bij afnemers, moet hij zijn DigiD laten deblokkeren respectievelijk een nieuwe DigiD aanvragen. Zie ook de toelichting bij artikel 7 (misbruik of oneigenlijk gebruik).

Een uitgebreide beschrijving van het aanvraagproces, de door gebruiker te nemen stappen, vragen en antwoorden, nuttige adressen en telefoonnummers etc. zijn te vinden op www.digid.nl en www.svb.nl.

Aangenomen moet worden, dat het toekennen (en dus ook: blokkeren en opheffen) van DigiD een besluit is in de zin van de Awb, gelet op het feit dat dit is gericht op rechtsgevolg. Immers: met dit authenticatiemiddel (‘sleutel’) wordt beoogd toegang te krijgen tot (onder meer) GDI-voorzieningen. Dat betekent dat bezwaar open staat bij de Minister van Binnenlandse Zaken en Koninkrijksrelaties, en daarna eventueel beroep bij de rechtbank en hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Voorafgaand aan dit koppelproces maakt de gebruiker aan de private authenticatiedienst, van wie hij het desbetreffende authenticatiemiddel verkrijgt (bijv. een telecombedrijf of bedrijf dat digitale producten levert) kenbaar dat hij dit middel wil gebruiken voor de afname van diensten in het publieke domein, bijvoorbeeld voor het aanvragen van een vergunning of toeslag. De private authenticatiedienst die de mogelijkheid hiertoe biedt, schakelt vervolgens het BSN-Koppelregister in. De private authenticatiedienst levert hiertoe, met toestemming van de gebruiker, eenmalig een set persoonsgegevens aan bij het BSN-Koppelregister. Deze set bestaat uit (op basis van toestemming door gebruiker verkregen) naam, geboortedatum, het pseudo-ID op het authenticatiemiddel en (op basis van artikel X van de wet) het bsn. Terzake van het bsn dient de private authenticatiedienst een bewerkersovereenkomst te sluiten met de Minister als verantwoordelijke.

Nadat de initiële koppeling tussen privaat middel en bsn succesvol in het BSN-Koppelregister is geregistreerd, is het bsn voor het regulier inloggen bij de publieke dienstaanbieder niet meer nodig. Voor publieke dienstaanbieders (= afnemers van MijnOverheid cs) geldt dan, dat zij naast een publiek authenticatiemiddel (DigiD) ook – via het BSN-Koppelregister gevalideerde – private authenticatiemiddelen moeten accepteren.

Benadrukt zij, dat sprake is van vrijwillige deelname in het kader van de introductie van het eID-stelsel. De tussenkomst van het BSN-Koppelregister is alleen relevant, indien de desbetreffende publieke dienstverlener en leverancier van private authenticatiemiddelen hebben aangegeven het gebruik van een privaat authenticatiemiddel in het publieke domein mogelijk te willen maken.

In het BSN-Koppelregister worden, zoals reeds aangegeven, persoonsgegevens verwerkt. De regels terzake worden opgenomen in het Besluit verwerking persoonsgegevens GDI.

Niet alleen de direct betrokkene kan (via de GDI) zaken met de overheid regelen, dat kan ook een ander voor hem/haar doen. Dat kan door die ander, bijvoorbeeld een familielid of een zogenoemde Huba-medewerker (hulp bij aangifte inkomstenbelasting), te machtigen via DigiD Machtigen. Dit artikel bevat de voor de vertegenwoordigde en gemachtigde belangrijkste bepalingen uit de voormalige gebruiksvoorwaarden DigiD Machtigen; aangegeven wordt door wie en op welke wijze gebruik kan worden gemaakt van DigiD Machtigen. Voor de gemachtigde zijn ook de bepalingen met betrekking tot DigiD (artikel 3) relevant.

De gebruiksvoorwaarden zijn niet letterlijk overgenomen in de onderhavige regeling. Bezien is welke hun relevantie hebben verloren als gevolg van het elders regelen van bepaalde onderdelen van de gebruiksvoorwaarden; zo zal de verwerking van persoonsgegevens in het kader van het gebruik van DigiD Machtigen geregeld worden in het Besluit verwerking persoonsgegevens GDI. Ook zijn, bij gelegenheid van de onderhavige regeling, de bepalingen uit de voormalige gebruiksvoorwaarden geactualiseerd en gestroomlijnd.

Een uitgebreide procesbeschrijving, de door gebruiker te nemen stappen, vragen en antwoorden, nuttige adressen en telefoonnummers etc. zijn te vinden op www.digid.nl.

DigiD Machtiging biedt ook hulp aan niet-digitaalvaardige burgers, veelal vertegenwoordigden, die zelf geen gebruik kunnen maken van de website van DigiD Machtigen. Voor hen is er een telefonische Helpdesk waar een aanvraag voor of intrekking van een machtiging kan worden gedaan, of waar een schriftelijk overzicht met machtigingsaanvragen en machtigingen kan worden opgevraagd.

Dit artikel betreft kaderstellende informatiebeveiliging en geeft aan welke normen worden gehanteerd om te komen tot een set (beveiligings)maatregelen om risico’s het hoofd te kunnen bieden. Zie hetgeen hierover is opgemerkt in het algemeen deel onder punt 4.

Voor de volledigheid wordt opgemerkt, dat de veiligheid van de voorzieningen ook samenhangt met het gebruik dat er door afnemers van wordt gemaakt. Om die reden moeten ook afnemers, zoals gemeenten, aan diverse overheidsbrede voorschriften inzake informatiebeveiliging voldoen. Het toepasselijke kader behelst onder meer de Baselines informatieveiligheid en de normen en standaarden van de ‘pas-toe-of-leg-uit-lijst’, waaraan alle overheden zich via zelfregulering (programma’s NUP en iNUP) hebben verbonden. Daarnaast moeten afnemers voldoen aan de contractvoorwaarden zoals die worden gehanteerd tussen de Minister van Binnenlandse Zaken en Koninkrijksrelaties (opdrachtnemer) en de afnemers (opdrachtgever/publieke dienstaanbieder). Deze relatie wordt gekenmerkt door een uitgebreide contractstructuur tussen Logius, de dienst digitale overheid van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, en (mede)overheden, in het kader van de levering van GDI-voorzieningen.

In het kader van informatiebeveiliging zijn met name de aansluitvoorwaarden relevant; dit zijn de voorschriften waaronder een afnemer kan aansluiten op de desbetreffende voorziening en waarmee hij moet instemmen als hij deze voorziening wil afnemen. Doel ervan is wederzijds duidelijkheid te scheppen over de verplichtingen waaraan zowel de afnemer als de Minister als beheerder van de voorziening moeten voldoen. Het betreft bijvoorbeeld de beveiligingseisen waaraan de afnemers – die verantwoordelijk zijn voor de beveiliging van hun eigen infrastructuur – moeten voldoen (oa het maken en naleven van veiligheidsplannen en het doen uitvoeren van audits), geheimhouding van te verwerken (indicatief opgesomde) gegevens door de afnemer, beheer en onderhoud. De meest actuele versies van de aansluitvoorwaarden zijn te vinden op www.logius.nl.

Dit artikel betreft (re)actieve informatiebeveiliging, dat wil zeggen de maatregelen die zijn bedoeld om te kunnen handelen ingeval er, ondanks de eerder getroffen maatregelen, toch inbreuken of aantastingen op de voorzieningen optreden. Het artikel behelst het door de beheersorganisatie treffen van maatregelen bij beveiligingsincidenten, storingen en onderhoud en maatregelen bij misbruik of oneigenlijk gebruik. Teneinde de veiligheid en betrouwbaarheid van de voorzieningen te waarborgen en misbruik of oneigenlijk gebruik ervan zoveel mogelijk te voorkomen, is het nodig dit te kunnen signaleren en, bij constatering daarvan, adequaat te beëindigen.

Deze regeling voorziet in op dat moment te treffen maatregelen, om het (acute) risico weg te nemen. Gedacht kan worden aan het blokkeren (= opschorten) van een DigiD, het intrekken van een machtiging of het beëindigen van de toegang tot een MijnOverheid account.

In het kader van zijn beheerstaak kan de Minister controles uitvoeren op de gegevens die beschikbaar zijn binnen de voorzieningen, om concrete maatregelen te kunnen treffen.1 Zo kunnen ongebruikelijke patronen worden onderkend die mogelijk duiden op misbruik of oneigenlijk gebruik. Ook kan gecontroleerd worden of gebruikers geen slachtoffer worden van reeds bekende, dwz zich eerder voorgedane, vormen van misbruik van de voorziening. Bij (het vermoeden van) misbruik of oneigenlijk gebruik, bijvoorbeeld het al dan niet met instemming van de rechtmatige eigenaar door een ander gebruiken van een DigiD activeringscode, hetgeen in strijd is met artikel 3 van deze regeling, kan de voorziening (al dan niet tijdelijk) worden geblokkeerd. De gebruiker wordt dan uitgesloten van toegang en verder gebruik van de voorziening.

Bij het BSN-Koppelregister, waar controle plaatsvindt op de unieke match tussen BSN en de andere aangeleverde persoonsgegevens, de geldigheid van het gebruikte identificatiedocument en de geldigheid van het private authenticatiemiddel, heeft eea tot gevolg dat een aangevraagde koppeling niet tot stand wordt gebracht of een tot stand gebrachte koppeling wordt beëindigd en de private authenticatiedienst terzake van het desbetreffende authenticatiemiddel geen gebruik (meer) van het BSN-Koppelregister kan maken cq het middel niet (langer) bruikbaar is in het publieke domein.

Bedacht moet worden dat artikel X van de wet betrekking heeft op de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de bedoelde GDI-voorzieningen. Deze zorgplicht, die zich vertaalt in de geschetste beheersmaatregelen, is in het bijzonder van belang ter bescherming van de belangen van burgers; zij hebben immers recht op goede – digitale – dienstverlening door de overheid. Dat betekent dat zij ingeval van problemen, die verband houden met de voorzieningen, geholpen moeten en kunnen worden.

Het bovenstaande betekent, dat de (beheers)taak ook haar grens kent. Wanneer bijvoorbeeld een burger met gebruik van zijn DigiD overeenkomstig de bepalingen van art. 3 een frauduleuze aanvraag voor toeslagen indient, door bewust verkeerde posten in te vullen om meer toeslag te verkrijgen dan waar hij recht op heeft, is er geen sprake van aantasting van de betrouwbaarheid van de voorzieningen. Het is immers de burger die misbruik pleegt, met andere woorden het gebruik van de voorziening is frauduleus. In dat geval bestaat voor Logius geen wettelijke grondslag om uit eigen beweging dergelijke (vermoedens van) fraude te onderzoeken en hiervan melding te doen aan betrokken bestuursorganen. Tot de beheerstaak behoort, onverminderd artikel 162 van het Wetboek van Strafvordering, niet de opsporing ten behoeve van strafvorderlijke vervolging. Politie, justitie en daartoe bevoegde afnemers, zoals de Belastingdienst, kunnen aan Logius om informatie en gebruik(er)sgegevens verzoeken. Alsdan zal de relevante informatie worden aangeleverd overeenkomstig de daarvoor geldende wettelijke kaders.

Ook binnen het BSN-Koppelregister is ten behoeve van het operationeel beheer (goede werking, probleemanalyse etc.) sprake van (technische) controlemaatregelen met betrekking tot persoonsgegevens en digitale identiteit, logging en het bijhouden van een audittrail, waaruit op verzoek van politie en justitie gegevens opgeleverd kunnen worden, bijvoorbeeld over (afwijkend) gedrag van private authenticatiediensten.

Gelet op aard en inhoud van deze regeling, is het niet opportuun om het Besluit inzake de vaststelling van de aansluitvoorwaarden en gebruiksvoorwaarden MijnOverheid (Scrt. 2007, 249) langer te handhaven. Dit besluit is bij de start van de website MijnOverheid.nl als proef, vastgesteld om afnemers en gebruikers transparantie te bieden. Destijds, en binnen die context, is toen vooralsnog gekozen voor het instrument van een ministerieel besluit dat afnemers en gebruikers duidelijkheid moest verschaffen over de te hanteren contractsvoorwaarden. Het ligt thans in de rede om dit besluit in te trekken. De gebruiksvoorwaarden gaan op in de deze regeling. De aansluitvoorwaarden zijn en blijven, zoals ook bij artikel 6 is aangegeven, van belang in de contractsrelatie tussen de Minister en de afnemer van de voorziening en zijn mede kenbaar en raadpleegbaar via de website van Logius.

Ook het Besluit persoonlijke internetpagina (Scrt. 2007, 102) waarin de zorgplicht van de Minister voor de voorloper van de voorziening MijnOverheid (Persoonlijke Internetpagina) is opgenomen, dient te vervallen. Artikel X, eerste lid, van de wet Elektronisch Berichtenverkeer verankert immers nu de zorg voor voorzieningen voor elektronisch berichtenverkeer en informatieverschaffing. Tenslotte is ook het Besluit beheer DigiD (Scrt. 2006, 160) overbodig geworden, nu de zorgplicht van de Minister voor de in dat besluit opgenomen overheidstoegangsvoorziening DigiD is opgegaan in de zorgplicht voor voorzieningen voor elektronische authenticatie als bedoeld in artikel X, eerste lid, van de wet Elektronisch Berichtenverkeer.