Regeling van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 23 oktober 2017, nr. 2017-0000433468, houdende wijziging van de Regeling voorzieningen GDI in verband met de invoering van een publiek middel voor de toegang tot elektronische dienstverlening op een hoger betrouwbaarheidsniveau (versterkt DigiD)

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

Gelet op artikel X, tweede lid, van de Wet elektronisch berichtenverkeer Belastingdienst;

Besluit:

ARTIKEL I

De Regeling voorzieningen GDI wordt als volgt gewijzigd:

A

In artikel 1 wordt de definitie van DigiD vervangen door:

DigiD:

een via de DigiD-voorziening aan gebruiker verstrekt middel voor de toegang tot elektronische dienstverlening, waarbij kan worden onderscheiden in twee betrouwbaarheidsniveaus;

B

Artikel 3 wordt als volgt gewijzigd:

1. In het eerste lid wordt aan het slot de volgende zin toegevoegd: Voor een aanvraag voor DigiD op een hoger betrouwbaarheidsniveau gebruikt de beoogde gebruiker daarnaast een apparaat dat digitaal met een document als bedoeld in het derde lid kan communiceren.

2. In het tweede lid, aanhef, wordt ‘DigiD’ vervangen door: DigiD op betrouwbaarheidsniveau laag als bedoeld in artikel 8 van de Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende de elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van de Richtlijn 1999/93/EG (Pb EU 2014, L 257/73).

3. Het derde tot en met achtste lid worden vernummerd tot vierde tot en met negende lid.

4. Er wordt een lid ingevoegd, luidende:

  • 3. DigiD op een hoger betrouwbaarheidsniveau wordt slechts verstrekt aan een beoogde gebruiker die houder is van een geldig Nederlands paspoort, Nederlandse identiteitskaart, Nederlands rijbewijs of ander Nederlands document als bedoeld in artikel 1, eerste lid, van de Wet op de identificatieplicht, waarmee digitaal gecommuniceerd kan worden.

4. Lid 5 komt te luiden:

  • 5. De gebruiker kan met de verstrekte DigiD toegang verkrijgen tot een dienst van een afnemer zodra hij DigiD op het desbetreffende betrouwbaarheidsniveau heeft geactiveerd.

ARTIKEL II

Deze regeling treedt in werking met ingang van 1 november 2017.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk

TOELICHTING

1. Aanleiding

De generieke digitale infrastructuur is aan doorontwikkeling onderhevig. Dit geldt ook voor voorzieningen voor elektronische authenticatie. Het is uit een oogpunt van veiligheid en betrouwbaarheid wenselijk om de toegang tot bepaalde elektronische diensten door de overheid, bijvoorbeeld die waarbij privacygevoelige gegevens worden uitgewisseld, te realiseren via een authenticatiemiddel met een hoger betrouwbaarheidsniveau dan het huidige DigiD. Het huidige DigiD heeft een betrouwbaarheidsniveau dat op grond van de criteria van de zogeheten eIDAS verordening1 gekwalificeerd moet worden als laag. Om bovenstaande reden wordt vanaf november 2017 tevens DigiD op een hoger betrouwbaarheidsniveau uitgegeven. Beoogd wordt dat dit publieke, dat wil zeggen van overheidswege uitgegeven, versterkte DigiD op termijn een betrouwbaarheidsniveau zal hebben dat volgens de criteria van de eIDAS verordening gekwalificeerd kan worden als substantieel. Hiermee wordt uitvoering gegeven aan de door de Tweede Kamer aangenomen motie inzake het in 2017 introduceren van in ieder geval één publiek authenticatiemiddel (Kamerstukken II 2015/2016, 26 643, nr. 376).

De onderhavige wijziging van de Regeling voorzieningen GDI dient er toe DigiD op een hoger betrouwbaarheidsniveau te reguleren waar nodig. Het betreft de aanduiding van de kring van rechthebbenden en een wijziging in de aanvraagprocedure.

2. Elektronische authenticatie

Inhoud en betekenis regeling

Veilige en betrouwbare elektronische toegang tot publieke dienstverlening, alsmede het hiertoe van overheidswege beschikbaar stellen van authenticatiemiddelen op verschillende betrouwbaarheidsniveaus, wordt beschouwd als een door de overheid te beschermen belang. Om die redenen is reeds wet- en regelgeving van kracht. De Regeling voorzieningen GDI voorziet in dit verband in regels omtrent het gebruik en de werking, beveiliging en betrouwbaarheid van het authenticatiemiddel DigiD. Deze regels behoeven thans aanpassing in verband met de introductie van DigiD op een hoger betrouwbaarheidsniveau. Normadressaten van deze regeling zijn burgers, voor wat betreft de bepalingen inzake gebruik van authenticatiemiddelen, alsmede de (rijks)overheid zelf, voor wat betreft de bepalingen inzake werking en (informatie)veiligheid.

Beoogde gebruikers

De kring van rechthebbenden op DigiD op een hoger betrouwbaarheidsniveau strekt zich uit tot houders (dus: ingezetenen en niet ingezetenen) van een Nederlands rijbewijs, een Nederlands paspoort of een Nederlandse identiteitskaart (NIK) die zijn uitgerust met een microchip met gegevens. Voor rijbewijzen uitgegeven na 14-11-2014 is dit het geval, en voor het paspoort en de NIK sinds 2006. Met deze microchip kan draadloos gecommuniceerd worden, namelijk door apparaten waarmee binnen een straal van tien centimeter via een frequentieband digitale data kunnen worden overgedragen.

Deze kring van rechthebbenden is een beperktere doelgroep dan die van DigiD op betrouwbaarheidsniveau laag, aangezien het gebruik daarvan (hoofdzakelijk) is gekoppeld aan het hebben van een burgerservicenummer (artikel 3, tweede lid). DigiD op een hoger betrouwbaarheidsniveau is technisch (nog) niet mogelijk op basis van andere identiteitsdocumenten dan de hiervoor genoemde, zodat het nog niet mogelijk is om ook de houders van deze andere documenten onder de kring van rechthebbenden op het nieuwe publieke middel te scharen. Het oogmerk is om in de toekomst ook de houders van andere identiteitsdocumenten te voorzien van een authenticatiemiddel op een hoger betrouwbaarheidsniveau. Hoewel hiermee voor een bepaalde periode een zekere ongelijkheid ontstaat, is het feit dat een groep personen nog geen toegang heeft tot DigiD op een hoger betrouwbaarheidsniveau, geen reden om dit middel te onthouden aan personen die wel in het bezit zijn van één van de hiervoor genoemde documenten.

Voor de aanvraag van DigiD op een hoger betrouwbaarheidsniveau is nodig dat door burgers eenmalig gebruik wordt gemaakt van een apparaat, zoals een mobiele telefoon of tablet, die een techniek bevat waarmee draadloos data kunnen worden overgedragen, de zogenoemde near field communication (NFC). Op dit moment zijn met NFC uitgeruste smartphones en tablets met het besturingssysteem Android, opengesteld voor NFC-applicaties. Smartphone en tablets op het besturingssysteem IOS van Apple zijn daarvoor nog niet opengesteld. Voor burgers die niet de beschikking hebben over de hiervoor bedoelde documenten en smartphones of tablets, wordt onderzocht op welke andere wijze(n) zij DigiD op een hoger betrouwbaarheidsniveau kunnen verkrijgen.

Hoe werkt het precies?

Het bestaande aanvraagproces van DigiD via www.digid.nl, www.svb.nl (de website van de Sociale Verzekeringsbank) of de zogenaamde (fysieke) buitenlandbalie wordt versterkt met een eenmalige online-controle van één van de drie genoemde documenten. Daarmee is er een groter vertrouwen dan bij DigiD op betrouwbaarheidsniveau laag dat degene die het authenticatiemiddel aanvraagt ook daadwerkelijk degene is die hij beweert te zijn. De controle geschiedt via een gepersonaliseerde applicatie (app) op een geschikte smartphone of tablet. De beoogde gebruiker dient hiertoe het desbetreffende document bij het desbetreffende apparaat te houden, waarmee met de microchip wordt gecommuniceerd. Voor het controleren van (de microchip op) het document zijn gegevens van het betreffende document uit de basisregistratie personen nodig of, ter vaststelling dat het rijbewijs bij de gebruiker hoort en authentiek is (dit zijn geen persoonsgegevens), het rijbewijsregister. De Minister van Binnenlandse Zaken en Koninkrijksrelaties verwerkt deze gegevens op basis van het Besluit verwerking persoonsgegevens GDI (artikel 2, onder c) en het Besluit houdende aanwijzing van Logius als belanghebbende in de zin van artikel 156, onderdeel k, van het Reglement rijbewijzen ten behoeve van het gebruik van het rijbewijs voor identiteitsverificatie.2

Bij een succesvolle controle volgt de melding ‘controle gelukt’ en gaat het proces verder. Anders volgt een foutmelding. Voor het inloggen bij een dienstverlener is het document daarna niet meer nodig.

Dienstverleners

Invoering van een middel op een hoger betrouwbaarheidsniveau heeft voor afnemers, ook wel dienstverleners genoemd, tot gevolg dat er veiliger toegang kan worden verkregen tot hun digitale dienstverlening. Hiertoe moesten zij wel interne systemen en werkprocessen aanpassen alsmede moest er voldoende voorbereidingstijd zijn. Zij zijn daarom tijdig en herhaaldelijk geïnformeerd over de benodigde (technische) wijziging van de koppelvlakspecificatie waarvoor aanpassingen in de software of configuratie nodig waren en zijn eveneens ondersteund bij het testen. Ingevolge de voor hen geldende aansluitvoorwaarden waren ze ook verplicht zich hieraan te conformeren. Uit een doorlichting in 2016 volgde dat destijds reeds 70% van de aansluitingen probleemloos voldeed; inmiddels zijn de interne (ICT-)processen breed op orde. Bij de invoering van het nieuwe middel zijn dienstverleners er op toegerust het te accepteren ten behoeve van de toegang tot hun dienstverlening en zijn zij in staat diensten op een hoger betrouwbaarheidsniveau aan te bieden (ze bepalen zelf het betrouwbaarheidsniveau van hun dienstverlening). De regeling is derhalve uitvoerbaar.

Wettelijk kader en relatie tot andere regelgeving

Het kabinet werkt toe naar het digitaal communiceren door en met de overheid en daarmee een betere publieke dienstverlening. Het doorontwikkelen van de generieke digitale infrastructuur (GDI), waaronder de invoering van authenticatie op een versterkt betrouwbaarheidsniveau, maakt hier deel van uit. Deze ontwikkelingen komen samen in de wet- en regelgeving rond de (toegang tot dienstverlening door de) digitale overheid. De Regeling voorzieningen GDI maakt dus onderdeel uit van een groter geheel. Deze regeling bevat onder meer regels omtrent het gebruik en de werking, beveiliging en betrouwbaarheid van publieke authenticatiemiddelen. Wettelijke grondslag hiervoor is artikel X van de Wet elektronisch berichtenverkeer (Wet EBV), dat in het eerste lid bepaalt dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties zorg draagt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van, onder meer, voorzieningen voor elektronische authenticatie. Ingevolge het tweede lid worden regels gesteld met betrekking tot de werking, beveiliging en betrouwbaarheid ter zake.

Voor invoering van DigiD op een hoger betrouwbaarheidsniveau is, zoals hierboven aangegeven, een wettelijke grondslag voorhanden. Ook het, op het derde lid van artikel X Wet EBV gebaseerde, Besluit verwerking persoonsgegevens GDI, is voldoende toegesneden op het nieuwe middel; de door de Minister van Binnenlandse Zaken en Koninkrijksrelaties te verwerken gegevens, bewaartermijnen etc. zijn dezelfde, ongeacht van welk betrouwbaarheidsniveau sprake is.

De Regeling voorzieningen GDI was reeds grotendeels bruikbaar met betrekking tot DigiD op een hoger betrouwbaarheidsniveau. Dit houdt verband met het feit dat het om een versterkte versie van DigiD gaat en dus aangesloten wordt bij bestaande processen; zaken als aanvraag- en uitgifteproces en gebruik zijn grotendeels hetzelfde. Op enkele onderdelen was de regeling onvoldoende toegesneden op de nieuwe situatie. De kring van rechthebbenden op het nieuwe middel is beperkter dan die ter zake van DigiD op betrouwbaarheidsniveau laag en de aanvraagprocedure bevat een extra stap. Deze aspecten worden in de onderhavige wijzigingsregeling verankerd. Waar wordt gesproken over ‘DigiD’ zijn de betreffende bepalingen onverkort van toepassing op beide betrouwbaarheidsniveaus.

Met betrekking tot authenticatie op een hoger betrouwbaarheidsniveau wordt toegewerkt naar conformiteit met de (technische en operationele) veiligheids- en betrouwbaarheidseisen in Verordening (EU) 2015/15023, opdat op termijn het versterkte DigiD ingevolge de eIDAS verordening aan de Commissie genotificeerd kan worden als middel op betrouwbaarheidsniveau substantieel.

Tot slot wordt opgemerkt dat de bovenstaande wet- en regelgeving de opmaat vormt naar integrale regulering van de toegang tot elektronische dienstverlening door middel van publiek en privaat uitgegeven authenticatiemiddelen, in de eerste tranche van de Wet generieke digitale infrastructuur (WGDI).

Artikelsgewijze toelichting

ARTIKEL I

A

In artikel 1 is de definitie van DigiD ‘een via de DigiD-voorziening aan gebruiker verstrekt middel voor de toegang tot elektronische dienstverlening’ aangevuld met de zinsnede dat daarbij kan worden onderscheiden in twee betrouwbaarheidsniveaus. De reikwijdte van de Regeling strekt zich aldus uit tot beide betrouwbaarheidsniveaus. Waar nodig wordt in de Regeling onderscheiden tussen de betrouwbaarheidsniveaus. Waar wordt gesproken over ‘DigiD’ zijn de betreffende bepalingen van toepassing op beide betrouwbaarheidsniveaus.

B

In artikel 3, eerste lid, wordt een extra stap toegevoegd in het aanvraagproces voor DigiD op een hoger betrouwbaarheidsniveau, te weten het gebruik van een apparaat waarmee met een document als bedoeld in het derde lid digitaal kan worden gecommuniceerd. De volzin is zoveel mogelijk techniekonafhankelijk geformuleerd. De apparaten kunnen zowel smartphones en tablets behelzen als andere apparaten; voorwaarde is dat ze near field communicatie techniek bevatten.

In artikel 3, tweede lid, wordt aangegeven welke burgers aanspraak kunnen maken op DigiD op betrouwbaarheidsniveau laag.

In het nieuwe derde lid van artikel 3 wordt aangegeven welke burgers aanspraak kunnen maken op DigiD op een hoger betrouwbaarheidsniveau; deze groep is minder ruim dan de doelgroep in het tweede lid. Beoogd wordt in de toekomst ook andere Nederlandse identiteitsdocumenten dan nationaal paspoort, NIK en rijbewijs geschikt te maken om digitaal mee te communiceren ten behoeve van elektronische authenticatie. De formulering van het derde lid is afgestemd op verwachte ontwikkelingen.

ARTIKEL II

Met het oog op spoedige invoering van DigiD op een hoger betrouwbaarheidsniveau is het gewenst dat deze ministeriële regeling spoedig in werking treedt. Daarom bepaalt artikel II dat de regeling op 1 november 2017 in werking treedt. Hiermee is afgeweken van het principe van de minimuminvoeringstermijn van twee maanden. Dit stuit niet op bezwaren aangezien de ICT-systemen van de betrokken organisaties reeds zijn aangepast en het nieuwe middel reeds ontwikkeld is.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk

X Noot
1

Verordening (EU) nr. 910/2014 van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (PbEU 2014, L 257).

X Noot
3

Ingevolge de eIDAS verordening vastgestelde Uitvoeringsverordening (EU) 2015/1502 van de Commissie tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen. PbEU 2015, L 235.

Naar boven