Regeling van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 16 april 2018, nr. 2018-0000209479, houdende wijziging van de Regeling voorzieningen GDI in verband met de invoering van een publiek middel voor de toegang tot elektronische dienstverlening op een hoger betrouwbaarheidsniveau

TOELICHTING

1. Aanleiding

Het kabinet werkt stapsgewijs toe naar het digitaal communiceren door en met de overheid en daarmee een betere publieke dienstverlening. Het doorontwikkelen van de generieke digitale infrastructuur maakt hier deel van uit. Dit geldt ook voor voorzieningen voor elektronische identificatie (‘wie ben je’) en authenticatie (‘ben je wie je zegt te zijn’).1 Uit een oogpunt van veiligheid en betrouwbaarheid is het wenselijk om de toegang tot bepaalde elektronische diensten van de overheid en andere dienstverleners die het burgerservicenummer mogen of moeten gebruiken, bijvoorbeeld die waarbij zeer privacygevoelige gegevens worden uitgewisseld zoals in de zorg, te realiseren via een elektronisch authenticatiemiddel met een nog hoger betrouwbaarheidsniveau dan DigiD op de betrouwbaarheidsniveaus zoals die tot op heden beschikbaar zijn. Naast het sinds jaar en dag bestaande DigiD op betrouwbaarheidsniveau laag met een-factor authenticatie, is twee-factor authenticatie mogelijk gemaakt via sms of met een app (DigiD Midden) en is vanaf oktober 2017 via de app op het Android platform een versterkt DigiD beschikbaar, waarbij de chip van bepaalde identiteitsdocumenten kan worden uitgelezen.2 Op korte termijn komt daar een publiek, dat wil zeggen van overheidswege uitgegeven, middel op een nog hoger betrouwbaarheidsniveau bij en zal DigiD derhalve op verschillende hogere betrouwbaarheidsniveaus worden aangeboden. Het gebruik ervan door burgers en de acceptatie door (semi-) overheidsinstanties zal vooralsnog op vrijwillige basis zijn; in de toekomst zal voor bepaalde digitale overheidsdiensten toegang met DigiD op een hoog betrouwbaarheidsniveau verplicht worden gesteld.3

Beoogd wordt het nieuwe middel te plaatsen op bepaalde documenten als bedoeld in artikel 1 van de Wet op de identificatieplicht (hierna: WID-documenten), te beginnen met het rijbewijs. Door in de chip op de fysieke kaart een e-functionaliteit aan te brengen, krijgt deze tevens de functie van elektronisch authenticatiemiddel (zie voor de aanvraag en het gebruik van het desbetreffende rijbewijs onder 2). De onderhavige wijziging van de Regeling voorzieningen GDI dient er toe de verantwoordelijkheid van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (hierna: BZK) en de afbakening van de betrouwbaarheidsniveaus nader te duiden. Met betrekking tot elektronische authenticatie en de daartoe te gebruiken middelen wordt – als onderdeel van het Programma eID – toegewerkt naar conformiteit met de (technische en operationele) veiligheids- en betrouwbaarheidseisen in Verordening (EU) 2015/15024, ter uitvoering van de eIDAS-Verordening5 die vanaf 29 september 2018 volledig toepasselijk is. Beoogd wordt dat – op termijn – DigiD op het versterkte betrouwbaarheidsniveau daadwerkelijk aan de eIDAS-kwalificatie ‘substantieel’ voldoet en het nieuwe DigiD, dus DigiD verband houdend met een WID-document, aan de eIDAS kwalificatie ‘hoog’.

2. Inhoud en betekenis van de wijzigingsregeling

Veilige en betrouwbare elektronische toegang tot publieke dienstverlening, alsmede het hiertoe van overheidswege beschikbaar stellen van authenticatiemiddelen op verschillende betrouwbaarheidsniveaus, wordt beschouwd als een door de overheid te beschermen belang. Om die redenen is reeds wet- en regelgeving van kracht. De Regeling voorzieningen GDI voorziet in dit verband in regels omtrent het gebruik en de werking, beveiliging en betrouwbaarheid van het authenticatiemiddel DigiD. Deze regels behoefden aanpassing in verband met de introductie van een nieuw, dat wil zeggen hoger betrouwbaar, publiek middel. Adressaten van de wijzigingsregeling zijn burgers.

Doelgroep

De kring van rechthebbenden op het nieuwe DigiD strekt zich uit tot houders van een Nederlands WID-document waarop een chip met een e-functionaliteit, oftewel een elektronisch authenticatiemiddel, is geplaatst. Voorshands zal dat het rijbewijs zijn. De planning is dat deze vanaf juni met de nieuwe chip wordt uitgerust. Op termijn, vanaf 2019, wordt beoogd tevens de Nederlandse identiteitskaart met een nieuwe chip uit te rusten met het oog op authenticatie op het betrouwbaarheidsniveau ‘hoog’. De NIK met een e-functionaliteit zal echter pas onder het regime van nieuwe formele wetgeving worden ingevoerd.6 Houders van een rijbewijs met een e-functionaliteit kunnen hiermee op termijn inloggen bij alle dienstverleners met een DigiD-aansluiting, zoals gemeenten, de SVB en het UWV (herkenbaar aan het DigiD-logo). Gebruikers zullen hierover dan tijdig worden geïnformeerd.

Hoe werkt het; aanvraag en gebruik

Voor een aanvraag voor het nieuwe DigiD op het rijbewijs volgt de beoogde gebruiker het reguliere (bestaande) aanvraagproces van het rijbewijs. Volgens planning wordt vanaf juni daarop standaard een chip met een e-functionaliteit geplaatst. De uitrol van het nieuwe middel zal dus via de natuurlijke vervanging van rijbewijzen gaan plaatsvinden. Aanvraag geschiedt bij de gemeente, die de aanvraag na controle van de relevante gegevens doorzet naar de Dienst Wegverkeer (hierna: RDW). Deze produceert het document, personaliseert het en plaatst de chip met e-functionaliteit.7 In dat verband wordt de RDW door de Minister van BZK geautoriseerd het (versleutelde) burgerservicenummer te verwerken. Grondslag is artikel X, eerste en derde lid, van de Wet elektronisch berichtenverkeer Belastingdienst (WEBV) juncto artikel 2, onder c, van het Besluit verwerking persoonsgegevens GDI. Het document met daarop het elektronische authenticatiemiddel wordt vervolgens uitgereikt aan de burger. Die kan het middel activeren op de daartoe bepaalde wijze. Activering is niet verplicht. Na activering zal de burger op termijn in staat zijn het middel te gebruiken om digitaal toegang te krijgen tot overheidsinstanties voor dienstverlening waarvoor het hoogste niveau van betrouwbaarheid is vereist. Dit geschiedt door bij iedere inlog de chip op het rijbewijs te laten uitlezen door een apparaat dat met het rijbewijs kan communiceren: een mobiele telefoon, tablet of kaartlezer met near field communication technologie (NFC). Op dit moment zijn alleen met NFC uitgeruste apparaten met het besturingssysteem Android opengesteld voor NFC-applicaties en dus geschikt om in casu te gebruiken. De werking en gebruik van het nieuwe, hoogbetrouwbare DigiD is dus anders dan van DigiD op een versterkt betrouwbaarheidsniveau, waarbij het elektronisch uitlezen eenmalig, namelijk bij de aanvraag van het middel, plaatsvindt.

Uitvoerbaarheid

Het nieuwe middel heeft voor afnemers, ook wel (publieke) dienstverleners genoemd, tot gevolg dat er nog veiliger dan voorheen toegang kan worden verkregen tot hun digitale dienstverlening. Hiertoe is benodigd dat hun systemen en processen geschikt zijn, alsmede moet aan de zijde van BZK (dienst Logius) de techniek getest en gereed zijn voor aansluiting. In de zomer van 2018 zal op zeer beperkte schaal worden gepilot. In een later stadium kan brede toegang tot overheidsdiensten worden verleend met behulp van het rijbewijs met een e-functionaliteit. De inspanningen zijn er op gericht om dienstverleners die aangesloten zijn op DigiD technisch en organisatorisch toe te rusten om het nieuwe middel te accepteren en in staat te stellen diensten op meerdere betrouwbaarheidsniveaus aan te bieden, waardoor burgers in de toekomst met het nieuwe middel op alle (niveaus van) dienstverlening van de desbetreffende dienstverlener kunnen inloggen. Gelet op het voorgaande is het dus niet zo dat vanaf juni, wanneer de rijbewijzen met een e-functionaliteit voor het eerst worden uitgegeven, burgers het nieuwe middel al kunnen activeren en er bij dienstverleners mee kunnen inloggen; er is sprake van een overgangsperiode waarin de middelen wel worden uitgegeven, maar nog geen daadwerkelijk gebruik mogelijk is. Er zal op passende wijze worden gecommuniceerd over het tijdstip waarop het middel daadwerkelijk door houders van het rijbewijs geactiveerd en gebruikt kan worden.

Artikelsgewijze toelichting

Artikel I

A

In artikel 1 is de definitie van DigiD ‘een via de DigiD-voorziening aan gebruiker verstrekt middel voor de toegang tot elektronische dienstverlening’ aldus gewijzigd dat daarbij kan worden onderscheiden in drie betrouwbaarheidsniveaus. Waar nodig wordt in de regeling onderscheiden tussen de betrouwbaarheidsniveaus. Waar wordt gesproken over ‘DigiD’ zijn de betreffende bepalingen van toepassing op alle betrouwbaarheidsniveaus. Met de aangepaste definitie wordt nadere invulling gegeven aan de verantwoordelijkheid van de Staatssecretaris van BZK voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van voorzieningen voor elektronische authenticatie (artikel X, eerste lid, WEBV).

B

Met de aanvullingen in artikel 3 is de regeling op enkele onderdelen toegesneden op de nieuwe situatie. Het eerste lid onderscheidt tussen de verschillende aanvraagprocessen; deze verschillen naar gelang het betrouwbaarheidsniveau van het middel. Geëxpliciteerd is dat het aanvraagproces voor het nieuwe DigiD beduidend anders is dan dat voor DigiD op een laag en versterkt betrouwbaarheidsniveau. Omdat sprake is van een op een fysieke drager (WID-document, primair het rijbewijs) geplaatst authenticatiemiddel, moet de beoogd gebruiker het reguliere aanvraagproces terzake volgen. Het voorgaande maakt eveneens dat de kring van rechthebbenden op het nieuwe elektronische authenticatiemiddel is gekoppeld aan doelgroep van het WID-document waarop dit is geplaatst. Voorshands zijn dit burgers die een nieuw rijbewijs aanvragen.

Uit het (inhoudelijk ongewijzigde) tiende lid, inzake het blokkeren of opheffen van DigiD, volgt dat ongeacht het betrouwbaarheidsniveau ervan de burger hiertoe een verzoek aan de Minister van BZK (telefonische helpdesk/servicecentrum) kan doen. In geval van het nieuwe DigiD blijft dan het fysieke WID-document waarop het authenticatiemiddel was geplaatst (het rijbewijs) vanzelfsprekend gewoon geldig in het niet-digitale verkeer.

Artikel II

Met het oog op het, via een natuurlijk vervangingsproces, vanaf begin juni 2018 starten van de uitgifte van rijbewijzen met een e-functionaliteit, waardoor mogelijk wordt dat DigiD op een nog hoger betrouwbaarheidsniveau wordt gerealiseerd, zal deze regeling op 1 juni 2018 in werking treden. Hiermee is afgeweken van de uitgangspunten van een minimuminvoeringstermijn van drie maanden en van een vast verandermoment. Dit stuit niet op bezwaren. In de eerste plaats krijgen dienstverleners voldoende voorbereidingstijd voor het in gereedheid brengen van hun diensten voor authenticatie met deze middelen. In de tweede plaats worden burgers geaccommodeerd. Zij kunnen vanaf inwerkingtreding van deze regeling nog niet met het nieuwe middel bij de overheid inloggen; daadwerkelijk gebruik ervan zal pas later mogelijk zijn, wanneer de infrastructuur voor daadwerkelijke authenticatie gerealiseerd is. Echter: voordeel voor burgers is dat zij op een voor hen natuurlijk moment – het verlengen of voor het eerst aanvragen van een rijbewijs – al over het nieuwe DigiD kunnen beschikken. Zij hoeven niet 10 jaar (geldigheidsduur rijbewijs) te wachten op dan wel tussentijds kosten te maken voor de aanschaf van een hoogbetrouwbaar elektronisch authenticatiemiddel. Het is gewenst dat de uitgifte van deze nieuwe middelen onder de bevolking zo spoedig mogelijk start.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops