Advies Raad van State inzake het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en de generieke digitale infrastructuur (Wet digitale overheid)

MEMORIE VAN TOELICHTING

1. Inleiding

1.1. Aanleiding

Het wetsvoorstel bevat kaders voor verdere ontwikkeling op basis van de hiervoor genoemde, thans meest noodzakelijke maatregelen, maar biedt nadrukkelijk de basis voor verdere uitbreiding en verdere modernisering. Daarvoor bevat het wetsvoorstel vooral kaders die kunnen worden uitgewerkt in nadere regelgeving, die snel aangepast kan worden om ruimte te bieden voor verdere ontwikkeling van de digitale overheid en biedt ruimte voor innovatie.

Standaarden

Alhoewel in de praktijk in het elektronisch verkeer reeds veelvuldig gebruik wordt gemaakt van open standaarden en hierover ook instructies en afspraken bestaan, acht de regering het, nu op dit moment de mogelijkheid bestaat om van deze standaarden af te wijken, gewenst dat de overheden in bepaalde gevallen verplicht kunnen worden om deze standaarden te gebruiken. Het wetsvoorstel bevat een grondslag om bij algemene maatregel van bestuur open standaarden aan te wijzen die overheden dienen te hanteren in het elektronisch verkeer met andere overheden, met burgers en met bedrijven. De aanwijzing van een standaard kan plaatsvinden indien dit noodzakelijk en proportioneel is gelet op de goede werking, veiligheid, betrouwbaarheid of de doelmatigheid van het elektronisch verkeer, of dit voortvloeit uit verdragen of besluiten van volkenrechtelijke organisaties. De grondslag is mede noodzakelijk ter implementatie van de Europese richtlijn inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties.1

Informatiebeveiliging

Door de vergaande digitalisering van processen in de samenleving, waaronder processen bij de rijksoverheid en medeoverheden, is de beveiliging van (digitale) informatie en ICT-systemen van essentieel belang. Informatiestromen beperken zich daarbij niet tot de eigen organisaties; er is sprake van ketens. Burgers, bedrijven, bestuursorganen en aangewezen organisaties moeten er op kunnen vertrouwen dat partijen in de keten hun informatiebeveiliging goed op orde hebben en beschikbaarheid, integriteit en vertrouwelijkheid (klassieke informatiebeveiliging) alsmede authenticiteit, onweerlegbaarheid, transparantie en flexibiliteit borgen. De stand van zaken met betrekking tot de informatiebeveiliging moet daarnaast controleerbaar of auditbaar zijn, zodat zo nodig passende maatregelen kunnen worden getroffen of verantwoording kan worden afgelegd.

1.2. Het beheer van de GDI

Het wetsvoorstel verankert de verantwoordelijkheid van de Minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) voor het beheer van het geheel van voorzieningen inzake de generieke digitale infrastructuur (GDI). Het gaat hierbij om (ICT-)voorzieningen die overheden,(semi)publieke organisaties en bepaalde organisaties die het burgerservicenummer verwerken in staat stellen hun primaire (digitale) processen doelmatig in te richten. De GDI is naar zijn aard niet organisatie-, sector- of domeinspecifiek. De GDI is een dynamisch geheel dat continu wordt doorontwikkeld, aangepast en uitgebreid. Het wetsvoorstel geeft een niet-limitatieve opsomming van voorzieningen die functioneren binnen de context van de overige bepalingen van dit wetsvoorstel, inzake veiliger en betrouwbaarder elektronische publieke dienstverlening en de elektronische toegang daartoe. In het wetsvoorstel is de GDI (functioneel) omschreven welke taken de Minister in dit verband in ieder geval heeft. De GDI zal op basis van technologische ontwikkelingen of nieuwe inzichten gewijzigd worden door het toevoegen van nieuwe (functionaliteiten van) generieke voorzieningen of door het uitfaseren van bestaande voorzieningen.2 Op termijn kunnen ook andere onderdelen van de GDI in deze wet worden geregeld. De intentie is dat de komende jaren voorzieningen worden (door)ontwikkeld of afgebouwd, en dat nieuwe functionaliteiten aan de voorzieningen worden toegevoegd.3

1.3. Elektronische identificatie (eID)

2. Standaarden

2.1. Inleiding

Standaardisering is randvoorwaardelijk om te kunnen communiceren.4 In de fysieke wereld wordt bijvoorbeeld door middel van het Internationale Stelsel van Eenheden overal ter wereld hetzelfde verstaan onder bepaalde maten, waardoor een meter overal even lang is. Net zoals bij de fysieke infrastructuur is het essentieel om afspraken te maken waar de gebruikers van de digitale infrastructuur zich aan moeten houden. ICT-standaarden zijn afspraken vastgelegd in een specificatiedocument. Ze beschrijven hoe gegevens eruitzien, wat ze betekenen en hoe ze kunnen worden uitgewisseld. Door standaarden te gebruiken, begrijpen communicerende partijen hoe gegevens moeten worden geïnterpreteerd, zodat applicaties of andere softwarecomponenten elkaars gegevens volledig en correct kunnen verwerken. Zonder afspraken in de vorm van standaarden loopt het digitale verkeer vast, is het verkeer minder veilig en kost het deelnemen aan het verkeer onnodig veel geld.

Overheidsverkeer langs de elektronische weg moet veilig, betaalbaar en betrouwbaar zijn. Het elektronische verkeer kan zich van en naar burgers en ondernemers begeven of richting andere overheidsorganisaties. Voor elektronisch verkeer over de organisatiegrenzen heen is het noodzakelijk dat de ICT-systemen van samenwerkende overheidsorganisaties elkaar kunnen verstaan en probleemloos op elkaar aansluiten, ook al zijn de ICT-systemen afkomstig van verschillende leveranciers. Hiervoor zijn ICT-standaarden noodzakelijk.

Standaardiseren reduceert de kosten voor communicatie, doordat overheidsorganisaties in verschillende ketens met elkaar samen kunnen werken en elkaars gegevens kunnen hergebruiken, zonder burgers en bedrijven met uitvragen naar dezelfde informatie te belasten en daarmee verminderen de administratieve lasten. Door overheidsbreed dezelfde standaarden toe te passen, wordt het aantal koppelvlakken van ICT-systemen en daarmee de kosten voor communicatie beperkt. Het niet standaardiseren door slechts enkele overheidsorganisaties, jaagt andere organisaties onevenredig op kosten. Het kostenbesparend effect van standaardisering blijkt bijvoorbeeld uit het feit dat het bij de Kamer van Koophandel deponeren van de jaarrekening met Standard Business Reporting in gegevensformaat XBRL, een open standaard, op jaarbasis tientallen miljoenen euro’s bespaart.5

2.2. De noodzaak van het gebruik van open standaarden

Standaardiseren zonder meer levert echter nieuwe problemen op, zoals leveranciersafhankelijkheid en het gebrek aan kostenbeheersing. Om de kosten te kunnen beheersen, moeten overheidsorganisaties bij het aanschaffen van nieuwe software of ICT-systemen over keuzevrijheid beschikken. Het gebruik van open standaarden draagt bij aan keuzevrijheid voor de ICT-gebruiker, doordat de implementatie van deze standaarden het eenvoudiger maakt om over te stappen op een andere producent met een ander softwareproduct als daar aanleiding toe is hetgeen de mededinging ten goede komt. De specificaties van open standaarden zijn vrij of eventueel tegen een redelijke vergoeding opvraagbaar. Deze standaarden worden ontwikkeld en beheerd op een open en toegankelijke manier en zijn vrij van licentierechten te gebruiken. Daarentegen kan de toepassing van gesloten standaarden – naast mogelijke kosten voor gebruik in verband met octrooien – met zich meebrengen dat de gebruiker min of meer gedwongen is om producten van dezelfde producent af te nemen, omdat alleen op die wijze opgeslagen data bruikbaar blijft of het uitwisselen van gegevens dan op de minste problemen stuit. Overstappen op een andere producent kan gepaard gaan met hoge kosten om deze problemen op te lossen voor zover dat mogelijk is, waardoor overstappen op een beter of goedkoper softwareproduct niet vanzelfsprekend is. Uit het rapport ‘Meting Open Standaardenbeleid Onderwijs’ blijkt bijvoorbeeld dat veel instellingen knelpunten ervaren met betrekking tot de afhankelijkheid van leveranciers en de gegevensuitwisseling.6

Het opslaan van overheidsinformatie in open standaarden maakt het waarschijnlijker dat de informatie in de toekomst nog beschikbaar zal zijn, omdat de ICT-gebruiker daardoor niet op een specifieke leverancier is aangewezen om de documenten na een softwarewijziging raadpleegbaar te houden. Applicaties worden namelijk slechts een beperkte tijd door de producent ondersteund en als de oude applicatie op een gesloten standaard is gebaseerd, hangt het van de ICT-leverancier af of de data, die bij deze applicatie horen, in de toekomst bruikbaar zal zijn. Het gebruik van gesloten standaarden door overheidsorganisaties draagt niet bij een doelmatige informatiehuishouding, waarin digitale documenten die ten behoeve van wettelijke eisen7, administratieve eisen of maatschappelijke behoeften bewaard moeten worden, op een zodanige wijze worden vastgelegd, dat deze ook na verloop van tijd raadpleegbaar, authentiek zijn en gedeeld kunnen worden met overheidsorganisaties, burgers of bedrijven als dat vereist is. Naast duurzame toegankelijkheid8 van overheidsinformatie biedt het overheidsbrede gebruik van open standaarden burgers, bedrijven en bestuursorganen de zekerheid dat communicatie slaagt zonder dat zij via de software van één of een beperkte groep softwareleveranciers moeten communiceren met de overheid. Het kabinet voert vanwege de bovengenoemde voordelen sinds 2007 een op open standaarden gericht beleid.9

Het kabinet stimuleert het overheidsbrede gebruik van open ICT-standaarden door middel van de plaatsing van bepaalde open standaarden op de zogeheten ‘pas toe of leg uit’-lijst. Ter aanvulling op dit beleid voorziet dit wetsvoorstel in de bevoegdheid om bij algemene maatregel van bestuur een open standaard aan te wijzen die verplicht moet worden toegepast. Een standaard kan worden aangewezen indien dit noodzakelijk en proportioneel is voor de werking, de veiligheid, de betrouwbaarheid, de duurzame toegankelijkheid of de doelmatigheid van het elektronische verkeer met of tussen bestuursorganen of indien dit voortvloeit uit internationale verplichtingen. Bij een dergelijke aanwijzing wordt per standaard bepaald welke bestuursorganen, rechtspersonen met een wettelijke taak en organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Algemene wet bestuursrecht (Awb) de standaard dienen toe te passen.

2.3. Het ‘pas toe of leg uit’-beleid

De ‘Instructie rijksdienst inzake de aanschaf van ICT-diensten en ICT-producten’ schrijft voor dat overheidsorganisaties binnen het Rijk bij aanschaf of (ver)bouw van ICT-systemen de open standaarden, die op de zogeheten ‘pas toe of leg uit’-lijst staan, hanteren (‘pas toe’).10 Afwijken van deze verplichting mag alleen in geval van zwaarwegende redenen; verantwoording hierover moet worden afgelegd in het jaarverslag (‘leg uit’). Deze rapportageverplichting is opgenomen in de Rijksbegrotingsvoorschriften. De Rijksbegrotingsvoorschriften bevatten de voorschriften voor de verantwoording over de begroting, de uitvoering van de begroting en de begroting. De verplichting om te vragen naar de open standaarden op de ‘pas toe of leg uit’-lijst geldt alleen bij de inkoop van ICT-systemen en -diensten vanaf € 50.000,– (exclusief BTW).

De standaarden die op de ‘pas toe of leg uit’-lijst staan, zijn open standaarden waarvoor breed draagvlak bestaat. De standaarden op deze lijst hebben een procedure doorlopen om te toetsen of aan de criteria voor openheid is voldaan. In deze procedure wordt onder andere getoetst of de standaard toepasbaar is voor elektronische gegevensuitwisseling tussen overheidsorganisaties en of er geen hindernissen zijn op het terrein van intellectueel eigendomsrecht. Het Forum Standaardisatie beheert de lijst met verplichte (‘pas toe of leg uit’) en aanbevolen open standaarden. In het kader van het programma i-NUP is in 2011 afgesproken dat het Rijk en de medeoverheden in 2015 de open standaarden, zoals vastgesteld door het College Standaardisatie, gebruiken en hierbij werken volgens het principe ‘pas toe of leg uit’.11 Gemeenten hebben zich aan deze resultaatverplichting gecommitteerd door middel van het Bestuursakkoord 2011–2015.12 Op 18 mei 2015 is in het Nationaal Beraad Digitale Overheid, waarin alle overheden zijn vertegenwoordigd, de afspraak verlengd tot eind december 2017.

2.4. Noodzaak van wetgeving

Diverse instrumenten zijn ingezet om overheidsbreed gebruik van open standaarden te realiseren, zoals het actieplan Nederland Open in Verbinding13, de Rijksbegrotingsvoorschriften, de Instructie rijksdienst inzake de aanschaf van ICT-diensten en ICT-producten, het i-NUP en het Bestuursakkoord 2011–2015. Het effect van deze instrumenten is beperkt. Het Forum Standaardisatie publiceert ieder jaar een Monitor Open Standaarden Beleid, die het uitvragen van open standaarden door de overheid meet en evalueert. Uit de 1-meting informatieveiligheidstandaarden en de Monitor Open Standaarden Beleid over de jaren 2012, 2013, 2014, 2015 en2016, blijkt dat het adoptietempo van open standaarden laag is en dat er in de jaarverslagen zelden wordt uitgelegd waarom een open standaard niet wordt toegepast. Dit heeft nadelige gevolgen voor de interoperabiliteit, veiligheid en kosten(beheersing) van ICT-systemen.

In 2011 concludeerde de Algemene Rekenkamer in het rapport ‘Open standaarden en opensourcesoftware bij de rijksoverheid’14 dat het open standaardenbeleid te vrijblijvend is. Dat constateerde ook de Tijdelijke Commissie ICT (Commissie Elias) in oktober 2014 in haar eindrapportage. De Commissie Elias beval aan dat de overheid voortaan daadwerkelijk toeziet op naleving van haar ‘pas toe of leg uit’-beleid rondom open standaarden.15 De Commissie Elias sloot zich aan bij het rapport ‘Geen goede overheidsdienstverlening zonder een uitstekende generieke digitale infrastructuur’16 om een wettelijke basis te creëren waarmee het gebruik van standaarden kan worden verplicht. In de kabinetsreactie op het rapport van de Commissie Elias wordt ten aanzien van het gebruik van open standaarden verwezen naar dit wetsvoorstel.17 In 2016 verzocht de Tweede Kamer het kabinet om het gebruik van open standaarden bij wet te verplichten. Daaraan lag de overweging ten grondslag dat het gebruik van open standaarden essentieel is in het actief beschikbaar stellen van informatie aan burgers en daarnaast zorgt voor meer keuzevrijheid in ICT-leveranciers, bevordering van de rechtszekerheid, administratieve lastenverlichting en het efficiënt en in ketens kunnen werken als één overheid.18

Een gemengde aanpak van wetgeving en voorlichtingsacties, die plaatsvinden in het kader van het ‘pas toe of leg uit’-beleid, is nodig om de overheid doelmatiger en veiliger te laten functioneren met behulp van open standaarden. Het ‘pas toe of leg uit’-principe blijft voor bepaalde open standaarden het meest proportionele instrument. Echter, voor sommige standaarden is het bevorderen van het gebruik onvoldoende en moeten overheidsorganisaties de standaard eenvoudigweg toepassen.

De gevolgen van het niet toepassen van een bepaalde standaard kunnen te ernstig zijn. Dit doet zich voor wanneer het gebrek aan tempo bij de invoering van bepaalde standaarden het publieke belang schaadt, bijvoorbeeld omdat de betrouwbaarheid en veiligheid van gegevens, de leveranciersonafhankelijkheid of de toegankelijkheid van overheidsinformatie in het geding is. Bij bepaalde open standaarden is geen rechtvaardiging voor uitzondering mogelijk of is het belang van de toepassing ervan zo groot dat het moment van een volgende ICT-aanschaf van € 50.000,– (exclusief BTW) of meer niet kan worden afgewacht.

Dit wetsvoorstel biedt daarom een grondslag om bij algemene maatregel van bestuur een verplicht toe te passen open standaard aan te wijzen. Een bij algemene maatregel van bestuur verplichte standaard zal van de ‘pas toe of leg uit’-lijst worden verwijderd. De minister zal het Forum Standaardisatie betrekken bij de voorbereiding van een algemene maatregel van bestuur en zal deze voorts aan een brede consultatie onderwerpen. Het gebruik van de verplichte standaarden zal vervolgens jaarlijks worden gemonitord.

2.5. De toegankelijkheidstandaard

Het is van groot belang dat de diensten van de overheid toegankelijk zijn voor eenieder. Het internet is voor burgers en bedrijven een essentieel middel geworden om toegang te krijgen tot informatie en diensten van de overheid. Om de kwaliteit en de toegankelijkheid van websites te garanderen heeft het ‘World Wide Web Consortium’ (W3C) internationale standaarden ontwikkeld voor het ontwerpen, bouwen en beheren van websites. Een website die voldoet aan de Web Content Accessibility Guidelines (WCAG) is toegankelijk voor iedereen, inclusief personen met een visuele, auditieve of lichamelijke beperking of personen die taalkundig of digitaal minder vaardig zijn.

Op 14 juli 2016 is het Verdrag van de Verenigde Naties van 13 december 2006 inzake de rechten van personen met een handicap⁴⁶ (hierna: het verdrag) in werking getreden. Het doel van dit verdrag is onder meer dat personen met een handicap al bestaande mensenrechten effectief en op voet van gelijkheid met anderen kunnen uitoefenen. Het verdrag roept geen nieuwe rechten in het leven, maar geeft verdere uitwerking aan bestaande mensenrechten en verplichtingen uit andere verdragen. Op grond van het eerste lid van artikel 9 van het verdrag nemen Verdragstaten passende maatregelen om personen met een handicap op voet van gelijkheid met anderen de toegang te garanderen tot onder andere informatie en communicatie, met inbegrip van informatie-en communicatietechnologieën en -systemen, en tot andere voorzieningen en diensten die openstaan voor, of verleend worden aan het publiek. Op grond van het tweede lid van artikel 9 van het verdrag nemen Verdragsstaten passende maatregelen om de toegang voor personen met een handicap tot nieuwe informatie en communicatietechnologieën en -systemen, met inbegrip van het internet, te bevorderen.

De regering heeft de toegankelijkheid van websites in de publieke sector bevorderd door de nationale standaard die daarin voorziet, de Webrichtlijnen, op te nemen op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie. De ‘pas toe of leg uit’-verplichting geldt voor alle overheidsorganisaties. Tevens werd in de Overheidsbrede implementatieagenda voor dienstverlening en e-overheid (i-NUP) het toepassen van de Webrichtlijnen als resultaatverplichting opgenomen.

De regering is voornemens om bij algemene maatregel van bestuur krachtens dit wetsvoorstel de Europese toegankelijkheidsnorm EN 301 549 aan te wijzen als een verplicht toe te passen standaard. Het voornemen om de toepassing van deze Europese standaard te verplichten, is noodzakelijk ter implementatie van Richtlijn 2016/2102/EU betreffende de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties. Deze richtlijn heeft tot doel te bereiken dat websites en mobiele applicaties van overheidsinstanties toegankelijker worden voor gebruikers, in het bijzonder voor personen met een beperking. Daartoe dienen lidstaten ervoor te zorgen dat websites en mobiele applicaties van overheidsinstanties voldoen aan de toegankelijkheidseisen van artikel 4 van de richtlijn. Daaraan kunnen websites en mobiele applicaties van overheidsinstanties voldoen, indien ze de in artikel 6 van de richtlijn aangewezen Europese standaard voor toegankelijkheid toepassen. Dit is de Europese norm EN 301 549. Deze Europese norm is gebaseerd op de wereldwijd toegepaste internationale standaard ‘Web Content Accessibility Guidelines’ (WCAG) versie 2, waarop ook Webrichtlijnen versie 2 is gebaseerd. Om eenduidigheid te realiseren is Webrichtlijnen versie 2 van de ‘pas toe of leg uit’-lijst afgehaald en wordt EN 301 549 bij algemene maatregel van bestuur verplicht ter implementatie van Richtlijn 2016/2102/EU.

2.6. Informatieveiligheid

De uitwisseling van informatie langs de elektronische weg door overheden dient zo veilig mogelijk te geschieden, te meer omdat aan de berichten rechtsgevolgen kunnen zijn verbonden. Het gebruik van verschillende standaarden zorgt dat meer koppelvlakken19 nodig zijn, hetgeen leidt tot een verhoogd veiligheidsrisico. Elk koppelvlak dient gebouwd of gekocht te worden en dient vervolgens te worden beheerd. De kans op fouten, variërend van systemen die niet werken tot systemen die de verkeerde beslissingen nemen, neemt hiermee toe en de integriteit van gegevens en van systemen die ze gebruiken neemt af. Het overheidsbrede gebruik van dezelfde standaarden leidt tot minder koppelvlakken, wat de veiligheid van ICT-systemen ten goede komt.

Naast de bovengenoemde wijze om informatieveiligheid te vergroten, zijn er specifieke standaarden ten behoeve van informatieveiligheid. Het toepassen van bijvoorbeeld de standaard TLS beveiligt de netwerkverbinding waarover gegevens worden uitgewisseld en de toepassing van de standaard HTTPS beveiligt interactieve websites. De standaarden DKIM en SPF zorgen voor e-mailauthenticatie; hiermee wordt het mogelijk dat een internetprovider of een ontvanger de identiteit van de afzender deels controleert, waardoor mogelijkheden van fraude en misbruik, zoals ‘phishing’ of ‘spoofing’ worden bestreden. Daarbij worden valse e-mails in naam van onder andere de overheid verstuurd en dan is het voor burgers en bedrijven niet eenvoudig om te ontdekken of een e-mail met een verwijzing naar een website daadwerkelijk afkomstig is van een bestuursorgaan.

Het niet toepassen van specifieke veiligheidstandaarden kan schade toebrengen aan de belangen van burgers, bedrijven of andere overheden. Indien inloggegevens in handen vallen van kwaadwillenden, kan dit burgers geld kosten of kunnen gegevens misbruikt worden voor identiteitsfraude. De overheidsbrede toepassing van bepaalde veiligheidstandaarden is noodzakelijk om veiligheidsrisico’s te beperken, te meer omdat sommige standaarden pas functioneren als deze aan beide kanten van de communicerende partijen worden toegepast. Indien bijvoorbeeld één overheidsorganisatie besluit om een veiligheidsstandaard zoals SAML niet toe te passen, wordt het alle partijen die met deze organisatie communiceren onmogelijk gemaakt om deze veiligheidsstandaard toe te passen in de communicatie met die ene organisatie. Hierdoor is de informatieveiligheid van overheidsorganisaties, die wel hebben geïnvesteerd in het implementeren van de veiligheidsstandaard, evenmin geborgd.

Brede adoptie van de standaard Digikoppeling is wenselijk vanuit veiligheidsoogpunt en omdat de financiële baten exponentieel afnemen naarmate er registraties afhaken. Op jaarbasis kan met de brede toepassing van Digikoppeling meer dan € 78 miljoen worden bespaard op kosten die overheidsorganisaties dienen te maken om te kunnen communiceren met andere overheidsorganisaties, zo blijkt uit de business case naar de potentiële besparingen van de voorzieningen voor het stelsel van basisregistraties.20

Gezien het belang van informatieveiligheid is het toepassen van bepaalde standaarden niet vrijblijvend voor de overheid. Derhalve komen – naast de toegankelijkheidstandaard – informatieveiligheidstandaarden zoals HTTPS en TLS, die reeds op de ‘pas toe of leg uit’-lijst staan, in aanmerking te worden verplicht bij algemene maatregel van bestuur op grond van dit wetsvoorstel. Daarmee vormt het voldoen aan de verplichte informatieveiligheidstandaarden een wettelijke ondergrens voor overheidsorganisaties om informatie met burgers, bedrijven en onderling veilig te kunnen uitwisselen en hergebruiken. Informatieveiligheid is essentieel voor het vertrouwen in de digitale overheid.

3. Elektronische identificatie (eID)

3.1. Inleiding

De afgelopen decennia is het gebruik van de elektronische weg in de contacten tussen burgers enbedrijven met de overheid toegenomen en breed geaccepteerd. In bijzondere wetten is soms al de elektronische weg met uitsluiting van de papieren weg voorgeschreven.21 Hierbij zijn er sterke verschillen tussen de elektronische wegen. Dit hangt onder meer samen met verschillen in tempo waarop bestuursorganen digitaliseren en de invloed van nieuwe technologische ontwikkelingen. Van de overheid mag echter worden verwacht dat zij organisatieoverstijgend opereert, zodat informatie makkelijk vindbaar is en transacties eenvoudig uitvoerbaar zijn. Zo blijkt bijvoorbeeld uit onderzoek dat burgers en bedrijven bijvoorbeeld één overheidsportaal prettig vinden.22 Om burgers en bedrijven een uniforme en veilige wijze van inloggen te bieden en om organisaties die handelen ter uitoefening van een publieke taak, in het algemeen belang of die het burgerservicenummer verwerken (hierna ook wel aangeduid als ‘dienstverleners’), te faciliteren, biedt de rijksoverheid al jaren generieke elektronische authenticatie- en machtigingsdiensten aan voor burgers, te weten het huidige DigiD en DigiD Machtigen23. Voor bedrijven is eHerkenning ontwikkeld. Dit is een publiek-private samenwerking, waarbij in tegenstelling tot DigiD de inlogmiddelen uitsluitend door toegelaten private partijen worden uitgereikt. Door middel van deze generieke identificatiemiddelen kan een dienstverlener de identiteit en bevoegdheid van de burger of het bedrijf vaststellen alvorens persoons- of bedrijfsgebonden informatie uit te wisselen. Het gaat daarbij om een antwoord op de vragen ‘Wie ben je?’, ‘Ben je wie je zegt dat je bent?’ en ‘Wat mag je?’ Hierbij wordt gebruik gemaakt van elektronische authenticatiediensten en in voorkomende gevallen ook van elektronische machtigings- of attributendiensten. Met de twee laatstgenoemde diensten wordt de bevoegdheid van degene die inlogt vastgesteld (Wat mag je?). Elektronische identificatie vormt de sleutel voor de toegang van burgers en bedrijven tot de elektronische dienstverlening door de overheid en andere dienstverleners.

3.2. Noodzaak van wetgeving

Beschikbaarheid van publieke middelen met een hoger betrouwbaarheidsniveau

Voor een goede digitale dienstverlening is het noodzakelijk dat de brede basisinfrastructuur robuust en toekomstbestendig is.24 Het aantal diensten dat digitaal kan worden afgenomen neemt in de loop der tijd toe en dat vergt het treffen van maatregelen om elektronische identificatie ook in de toekomst goed geborgd te hebben. Het huidige publieke identificatiemiddel DigiD heeft voor een deel van de dienstverlening adequate mate van veiligheid door onder meer eisen, die worden gesteld aan de wachtwoorden van burgers, en de beschikbaarheid van een bijzonder veilige infrastructuur. Het betrouwbaarheidsniveau van het huidige DigiD25is niet toereikend voor diensten met betekenisvolle rechtsgevolgen of waarbij uiterst vertrouwelijke informatie (zoals medische gegevens) wordt uitgewisseld. Dienstverleners moeten om bepaalde diensten digitaal te kunnen aanbieden, met meer zekerheid dan het huidige DigiD biedt, kunnen vaststellen of zij met de juiste (natuurlijke- of rechts)persoon te maken hebben. De beschikbaarheid van de hoogste betrouwbaarheid van de authenticatie zou onder andere in de zorgsector en in de strafrechtketen nieuwe vormen van digitale dienstverlening mogelijk maken, zodat innovaties kunnen worden gerealiseerd, conform de doelstellingen van Digitaal 2017, de Digitale agenda gemeenten 2020 en de eHealth agenda van de minister van VWS.26

Burgers kunnen in de toekomst de beschikking krijgen over publieke identificatiemiddelen op een hoger betrouwbaaheidsniveau dan het huidige DigiD. Reden voor het ontwikkelen van deze publieke middelen is dat de regering wil dat uiteindelijk voor iedere burger een betrouwbaar en veilig identificatiemiddel beschikbaar is en dat burgers niet afhankelijk zijn van de beschikbaarheid van private middelen voor het verkijgen van toegang tot digitale dienstverlening in het publieke domein. De kosten, die het Rijk maakt samenhangend met de verstrekking van een publiek identificatiemiddel en de kosten van dit identificatiemiddel zelf, worden ten laste gebracht van de burger. Dit wetsvoorstel voorziet in de grondslag voor het heffen van de leges en regelt dat de (variabele) kosten van het gebruik van de identificatiemiddelen ten laste komen van dienstverleners.

Aanvraag en uitgifte van publieke identificatiemiddelen

Ingevolge dit wetsvoorstel worden nadere eisen gesteld aan de uitgifte van identificatiemiddelen op de verschillende betrouwbaarheidsniveaus. Hiervoor gelden de relevante bepalingen uit de Europese eidas-verordening27 inzake de betrouwbaarheid en het uitgifteproces. De in deze verordening opgenomen classificatie van identificatiemiddelen naar betrouwbaarheidsniveau (‘laag’, ‘substantieel’ en ‘hoog’) wordt hierbij gevolgd. Aanvullende nationale regelgeving is noodzakelijk voor de aanvraag en de uitgifte van Nederlandse publieke identificatiemiddelen. Bij wettelijk voorschrift zal onder meer worden bepaald wie in aanmerking komt voor een publiek identificatiemiddel, hoe het middel wordt uitgegeven, hoe daarbij gebruik moet worden gemaakt van wettelijke registraties, dat er voor het middel dient te worden betaald en wanneer het middel vervalt of wordt ingetrokken.

Authenticatie op een bij de digitale dienstverlening passend betrouwbaarheidsniveau

Betrouwbare toegang tot digitale dienstverlening en de continuïteit van deze dienstverlening is een publiek belang dat overheidsinterventie rechtvaardigt. Bij digitale contacten kan het wenselijk zijn uiterst vertrouwelijke informatie (zoals medische gegevens of bepaalde bedrijfsgegevens) uit te wisselen tussen de dienstverlener en de burger of het bedrijf. Alvorens de dienstverlener deze informatie kan vrijgeven of aanvaarden, moet met voldoende mate van zekerheid worden vastgesteld aan wie die informatie wordt verstrekt of van wie de informatie afkomstig is. Dit vereist adequate elektronische identificatie en authenticatie. Op basis van de voorgestelde wet zullen bestuursorganen en aangewezen organisaties (‘diernstverleners’) verplicht worden voor hun elektronische diensten waarvoor, gelet op de aard ervan, veilige toegang in de rede ligt, het betrouwbaarheidsniveau substantieel (inclusief ‘twee factor authenticatie’28) of hoog te gebruiken. Deze verplichting borgt dat de wijze van inloggen is toegesneden op de vertrouwelijkheid van de gegevens die worden uitgewisseld met de overheid. Bij het bepalen van het bij de dienstverlening passende betrouwbaarheidsniveau zullen dienstverleners zich moeten houden aan de krachtens dit wetsvoorstel te stellen regels. Deze uitvoeringsregelgeving zal het kader bieden voor dienstverleners om het vereiste betrouwbaarheidsniveau bij hun dienstverlening te bepalen.

Continuïteit van dienstverlening

Anders dan voor bedrijven, is er voor burgers op dit moment slechts één publiek identificatiemiddel: DigiD. Dit heeft bovendien slechts het betrouwbaarheidsniveau laag. In het verleden is het voorgekomen dat DigiD stilgelegd moest worden omdat er kwetsbaarheden aan het licht kwamen in de voor DigiD gebruikte software. Op zo’n moment ligt alle digitale dienstverlening van de overheid aan burgers stil. De toegang tot digitale dienstverlening voor burgers in het publieke domein is immers afhankelijk van één authenticatievoorziening.29 Indien DigiD door een ernstige storing of inbraak in het informatiesysteem (tijdelijk) niet gebruikt kan worden, lopen bepaalde vormen van digitale dienstverlening aan burgers vast, met alle maatschappelijke gevolgen van dien. De regering biedt met dit wetsvoorstel de minister de mogelijkheid om één of meerdere door private partijen uitgegeven identificatiemiddelen te laten fungeren als een gelijkwaardige elektronische toegangsvoorziening bij dienstverlening van de overheid.30 Deze aanpak maakt deze dienstverlening – met name het inlogproces – minder kwetsbaar, waardoor de continuïteit van de dienstverlening beter is geborgd.

Voor bedrijven zullen naar verwachting meerdere (private) identificatiemiddelen beschikbaar zijn; deze behoeven erkenning door de minister. Het stellen van afdwingbare eisen en het in het leven roepen van een systeem van erkenning, toezicht en handhaving maken een regeling bij of krachtens de wet noodzakelijk.

Verplichte acceptatie voor dienstverleners

De regering ziet digitalisering als een belangrijk middel om een betere dienstverlening aan burgers en bedrijven te kunnen leveren, zo mogelijk in combinatie met een hogere efficiëntie en minder administratieve lasten. Breed gebruik van de GDI-voorzieningen voorkomt versnippering in de dienstverlening en voorzieningen worden kosteneffectiever. Bij breed gebruik daalt de prijs per transactie en hoeven alternatieve voorzieningen niet meer doorontwikkeld en beheerd te worden. Er ontstaan op macroniveau efficiencyvoordelen. Burgers en bedrijven kunnen bij breed gebruik erop vertrouwen dat zij met een toegelaten respectievelijk erkend identificatiemiddel in het publieke domein terecht kunnen. Met name vanuit het belang van het faciliteren van burgers en bedrijven en het belang van een veilige en betrouwbare identificatie- en authenticatieketen, verplicht dit wetsvoorstel a-bestuursorganen en aangewezen organisaties om bij elektronische dienstverlening de toegelaten identificatiemiddelen, erkende middelen en voor wat betreft bestuursorganen tevens de bij de Europese Commissie genotificeerde31 middelen te accepteren, voor zover de middelen minimaal het voor de af te nemen dienst vereiste betrouwbaarheidsniveau hebben. Zonder wettelijke regeling zouden dienstverleners zelf kunnen bepalen welke identificatiemiddelen zij accepteren. In dat geval zou niet geborgd zijn dat burgers en bedrijven met één of enkele middelen bij alle dienstverleners terecht kunnen, wat de (wild)groei van hun digitale sleutelbos tot gevolg kan hebben.

Verwerking persoonsgegevens

Wettelijke grondslag is tenslotte noodzakelijk vanwege het feit, dat in het kader van authenticatie sprake is van de verwerking van persoonsgegevens, waaronder het bsn, door publieke en private partijen.

3.3. Reikwijdte: bestuursorganen

De acceptatieplicht met betrekking tot toegelaten en erkende middelen (en daarmee verband houdende verplichtingen) geldt op grond van dit wetsvoorstel in de eerste plaats voor zogenaamde ‘a-bestuursorganen’, voor zover zij elektronische diensten ter uitvoering van een publieke taak (ook wel aangeduid met ‘publieke diensten’) verlenen aan natuurlijke personen, ondernemingen of rechtspersonen waarvoor elektronische authenticatie op het betrouwbaarheidsniveau substantieel of hoog in de zin van de eidas-verordening noodzakelijk is.33 Dit betekent dus dat niet alle a-bestuursorganen onder de reikwijdte van dit onderdeel van het wetsvoorstel vallen, en dat voor de bestuursorganen die er wel onder vallen, dit slechts een gedeelte van hun dienstverlening kan betreffen.

Bestuursorganen

Met de term ‘a-bestuursorganen’ wordt gedoeld op organen als bedoeld in artikel 1:1, eerste lid, onder a, van de Algemene wet bestuursrecht (hierna: Awb). Het betreft organen van rechtspersonen die krachtens publiekrecht zijn ingesteld, en die niet zijn uitgezonderd in artikel 1.1, tweede lid, van de Awb. Dit betekent dat het gaat om organen van de Staat (mits niet uitgezonderd), provincies, gemeenten of waterschappen, en om andere rechtspersonen die krachtens publiekrecht zijn ingesteld. Bij organen van de Staat valt onder meer te denken aan de Belastingdienst (Minister van Financiën) en de Dienst Uitvoering Onderwijs (Minister van Onderwijs, Cultuur en Wetenschap). Bestuursorganen met een eigen rechtspersoonlijkheid zijn bijvoorbeeld de Sociale Verzekeringsbank en het Uitvoeringsinstituut werknemersverzekeringen. Publiekrechtelijke organen die in artikel 1.1, tweede lid, van de Awb van het begrip ‘bestuursorgaan’ zijn uitgezonderd en daarmee niet als bestuursorgaan worden aangemerkt, kunnen onder de reikwijdte van het wetsvoorstel vallen, als ze daartoe worden aangewezen, hetzij in de bijlage bij het wetsvoorstel, hetzij bij afzonderlijk besluit (zie de volgende paragraaf).

Bestuursorganen met een privaatrechtelijke grondslag, de zogenaamde ‘b-bestuursorganen’ (daarbij verwijzende naar artikel 1:1, eerste lid, onder b, van de Awb), vallen in dit wetsvoorstel niet onder het begrip ‘bestuursorgaan’. Hetzelfde geldt voor rechtspersonen met een wettelijke taak die niet als bestuursorgaan kunnen worden aangemerkt. In beginsel vallen deze organisaties dus niet onder het wetsvoorstel. Zij kunnen evenwel onder de reikwijdte van het wetsvoorstel worden gebracht door ze aan te wijzen.

Publieke diensten aan natuurlijke personen, ondernemingen en rechtspersonen

De acceptatieplicht geldt voor bestuursorganen alleen indien sprake is van elektronische diensten door een bestuursorgaan aan natuurlijke personen, ondernemingen of rechtspersonen. Het begrip ‘diensten’ dient breed te worden uitgelegd en ziet op de hele taakuitoefening van het bestuursorgaan, mits het gaat om taakuitoefening ter uitvoering van een publieke taak en in direct verkeer met een natuurlijk persoon, onderneming of rechtspersoon. Van dienstverlening in de zin van dit wetsvoorstel is dus zowel sprake als een uitkering wordt aangevraagd of verstrekt of aangifte van een geboorte of overlijden wordt gedaan, als bij de aangifte voor de belasting, of de aanvraag voor een bijzondere vergunning.

Dat sprake dient te zijn van diensten aan natuurlijke en rechtspersonen en ondernemingen, betekent dat bestuursorganen die dergelijke diensten niet verlenen, bijvoorbeeld omdat ze uitsluitend onderzoek verrichten, niet onder de werkingsfeer van dit onderdeel van het wetsvoorstel vallen. Bestuursorganen wier taakuitoefening slechts gedeeltelijk dienstverlenend is, vallen ook slechts gedeeltelijk onder het wetsvoorstel.

Het karakter van dienstverlening aan natuurlijke personen en rechtspersonen betekent tevens dat het wetsvoorstel niet ziet op interne processen binnen een bestuursorgaan. Zo heeft het wetsvoorstel geen betrekking op de (elektronische) toegang van bij het bestuursorgaan werkzaam personeel tot bepaalde netwerken of informatie, dan wel tot zijn eigen personeelsdossier.

Evenmin heeft dit onderdeel van het wetsvoorstel betrekking op contacten tussen bestuursorganen onderling34, dan wel op contacten met zakelijke partners van het bestuursorgaan. De acceptatieplicht geldt derhalve niet voor zakelijke diensten aan vaste ketenpartners. Zo is de acceptatieplicht niet van toepassing op de elektronische toegang van notarissen op de systemen van de Koninklijke Nederlandse Beroepsorganisatie, of op de elektronische toegang op de systemen van de Rijksdienst voor het Wegverkeer door zijn zakelijke partners. In dat geval is sprake van verlening van diensten die uitsluitend binnen gesloten systemen gebruikt worden tussen een welbepaalde groep deelnemers, en die geen (directe) gevolgen hebben voor derden. Dit is in lijn met de eidas-verordening. De acceptatieplicht ziet voor wat betreft bestuursorganen niet op privaatrechtelijke rechtsverhoudingen, ook niet als deze privaatrechtelijke rechtsverhoudingen worden ingezet voor de taakuitoefening van bestuursorganen. Zo is dit onderdeel van het wetsvoorstel bijvoorbeeld niet van toepassing op elektronische facturering voor aan bestuursorganen geleverde diensten of producten.

3.4. Reikwijdte: aangewezen organisaties

Naast a-bestuursorganen vallen onder de reikwijdte van de hoofdstukken 3 tot en met 7 de organisaties behorende tot een in de bijlage bij deze wet aangewezen categorie, de organisaties die bij gezamenlijk besluit van de minister van BZK en de betrokken vakminister zijn aangewezen alsmede rechterlijke instanties.

Bij de aan te wijzen organisaties gaat het om (categorieën van) instanties die elektronische diensten verlenen ter uitvoering van een publieke taak,in het algemeen belang of of waarbij het burgerservicenummer (bsn) wordt verwerkt, waarvoor, gelet op de aard en kenmerken van deze diensten, veilige en betrouwbare authenticatie noodzakelijk is. Het gaat hier in feite om organisaties die elektronische diensten verlenen waarvoor een elektronische authenticatie op het betrouwbaarheidsniveau substantieel of hoog als bedoeld in de eidas-verordening noodzakelijk zou zijn, indien sprake zou zijn van een openbare dienst in de zin van deze verordening. Deze organisaties zijn thans veelal toegankelijk via het huidig beschikbare publieke middel (DigiD laag). Bij de aanwijzing van organisaties is niet doorslaggevend of de betrokken organisatie onderdeel is van de (semi)publieke sector. Een groot deel van de organisaties dat krachtens wettelijk voorschrift gerechtigd is het burgerservicenummer te gebruiken voor de uitvoering van een specifieke taak, behoort evenwel tot de (semi)publieke sector. Echter, ook terzake van van bepaalde private organisaties zoals zorgaanbieders, kan het vanwege de aard en kenmerken van hun werkzaamheden, in de rede liggen om hen aan te wijzen. Kortweg worden de onder de reikwijdte van dit wetsvoorstel vallende bestuursorganen en aangewezen organisaties ook wel aangeduid als ‘dienstverleners’.

Individuele organisaties

De aanwijzing van individuele organisaties geschiedt bij besluit van de minister van BZK, in overeenstemming met de ministers die het, gezien het desbetreffende beleidsdomein, aangaat. Aanwijzing geschiedt al dan niet op verzoek van en in overleg met de betrokken instanties, zodat maatwerk kan worden gerealiseerd. Indien de aard en kenmerken van de elektronische dienstverlening van een organisatie van dien aard is, dat voor de toegang ter zake niet langer hoogbetrouwbare authenticatie nodig is, zal het desbetreffende aanwijzingsbesluit worden ingetrokken.

Wanneer aanwijzen?

In welke gevallen worden (categorieën) van organisaties aangewezen? Bepalend is de aard van de dienstverlening die wordt verricht. Zo komt een deel van de organisaties die het bsn gebruiken niet voor aanwijzing op grond van onderhavig wetsvoorstel in aanmerking, omdat zij überhaupt geen elektronische diensten aan burgers verlenen, danwel weliswaar elektronische diensten verlenen, maar geen diensten waarvoor elektronische authenticatie op het niveau ‘substantieel’ of ‘hoog’ noodzakelijk is. Ook is het mogelijk dat een sector of een organisatie al een eigen systeem van betrouwbare en veilige authenticatie kent, waardoor er geen noodzaak tot aanwijzing bestaat.

De bijlage

Voor de vaststelling van de bijlage is als vertrekpunt genomen de lijst van organisaties die thans het bsn verwerken en diensten verlenen waartoe toegang met gebruik making van DigiD mogelijk is. Per saldo heeft dit opgeleverd, dat in de bijlage vooralsnog de volgende categorieën van instanties zijn aangewezen: de pensioenuitvoerders, zorgaanbieders, de ziektekostenverzekeraars, indicatieorganen en de universiteiten en hogescholen.

Consequentie van aanwijzing en niet aanwijzing.

De belangrijkste consequentie van de aanwijzing is dat de organisaties alle toegelaten en erkende middelen, zowel publiek als privaat, moeten accepteren voor hun elektronische dienstverlening op betrouwbaarheidsniveau substantieel en hoog. Het is echter in principe aan deze organisaties zelf om te bepalen of zij diensten elektronisch aanbieden, tenzij uit een wettelijk voorschrift voortvloeit dat zij hiertoe verplicht zijn. Uit de aanwijzing in de zin van de onderhavige wet vloeit derhalve geen verplichting tot het aanbieden van elektronische diensten voort. Aan de andere kant zullen slechts organisaties worden aangewezen die elektronisch diensten op het betrouwbaarheidsniveau substantieel of hoog aanbieden.

Andere uit dit wetsvoorstel voortvloeiende consequenties van de aanwijzing zijn, dat de betrokken organisaties voor hun diensten moeten bepalen wat het betrouwbaarheidsniveau is, dat zij moeten voldoen aan bij of krachtens algemene maatregel van bestuur te stellen regels met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de elektronische dienstverlening en dat ze dit moeten laten auditen. Ook kunnen ze de (toegelaten en erkende) publieke en private middelen accepteren voor dienstverlening waarvoor een laag betrouwbaarheidsniveau geldt.

Dat een organisatie niet wordt aangewezen, betekent niet dat deze helemaal geen toegelaten identificatiemiddelen kan gebruiken bij de (toegang tot haar) dienstverlening. Toegelaten publieke middelen mogen uitsluitend gebruikt worden voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties. Voor toegelaten private middelen geldt deze beperking echter niet.

3.5. Identificatiemiddelen voor burgers

Elektronische dienstverlening vs toegang daartoe

Het verlenen van elektronische diensten als zodanig behoort tot de verantwoordelijkheid van het desbetreffende bestuursorgaan of de desbetreffende aangewezen organisatie. In dat verband kan in beleid en regelgeving worden voorzien door de ministers wie het aangaat. De minister van Binnenlandse Zaken en Koninkrijksrelaties heeft hiermee inhoudelijk geen bemoeienis. Dit wetsvoorstel moet derhalve worden onderscheiden van sectorale ontwikkelingen op het gebied van digitalisering; het wetsvoorstel als zodanig verplicht niet tot elektronische dienstverlening op bepaalde beleidsterreinen en verplicht burgers niet tot elektronische afname van diensten. Het wetsvoorstel geeft slechts regels voor het geval diensten – al dan niet onder uitsluiting van de schriftelijke weg – elektronisch worden aangeboden door bestuursorganen of aangewezen organisaties. Met andere woorden: dit wetsvoorstel maakt het mogelijk dat elektronische dienstverlening op verschillende betrouwbaarheidsniveaus wordt ontsloten. Primair van belang hierbij is dat Onze Minister voorziet in veilige en betrouwbare toegang tot die elektronische dienstverlening. Het is om die reden dat hij onder meer verantwoordelijk is voor de uitgifte van publieke identificatiemiddelen en voor de toelating van eventuele private identificatiemiddelen. Dit brengt met zich, dat ernaar wordt gestreefd vanaf het moment van inwerkingtreding van dit wetsvoorstel een zo breed mogelijke beschikbaarheid van (publieke én private) elektronische identificatiemiddelen gerealiseerd te hebben, opdat toegang tot – sectoraal aangeboden – elektronische dienstverlening gewaarborgd is.

Gelet op het voorgaande, alsmede op de trend om steeds vaker in contacten met dienstverleners elektronische communicatie verplicht te stellen, is het van belang een zo ruim mogelijke kring van rechthebbenden op de publieke identificatiemiddelen te realiseren. Hierbij is sprake van een groeimodel. Er worden op dit moment twee publieke middelen op een hoog betrouwbaarheidsniveau ontwikkeld waarbij de Nederlandse identiteitskaart (NIK) en het rijbewijs de drager zijn. De bestaande chip in deze dragers wordt uitgerust met de daarvoor noodzakelijke functionaliteit (applet) om elektronische authenticatie mogelijk te maken. Inherent aan de keuze om de NIK en het rijbewijs als drager te nemen is dat de beschikbaarheid van de publieke middelen op het betrouwbaarheidsniveau hoog is beperkt tot de groep burgers die in het bezit is van dan wel recht heeft op een NIK of een Nederlands rijbewijs. Naast deze twee middelen op betrouwbaarheidsniveau hoog, zal een publiek middel op betrouwbaarheidsniveau substantieel beschikbaar komen, dat niet geplaatst is op een fysieke drager maar dat een versterkte versie van het huidige DigiD behelst. Hiervoor is wel een elektronisch uitleesbaar identiteitsdocument (WID) noodzakelijk.

Gelet op de dynamiek van de bovenstaande ontwikkelingen bevat dit wetsvoorstel zelf geen regeling over de categorieën van personen die in aanmerking komen voor de publieke elektronische identificatiemiddelen. Voor wat betreft deze middelen zal dit – analoog aan de wijze waarop dit reeds met betrekking tot DigiD is geregeld – worden bepaald in op grond van dit wetsvoorstel bij ministeriële regeling vast te stellen (gebruiks)voorschriften. Deze kunnen relatief eenvoudig worden aangepast aan de ontwikkelingen met betrekking tot het uitgifteproces en de in dat verband te verifiëren identiteitsdocumenten.

Gebruik publiek middel in publieke domein

Het behoort niet tot de taak van de rijksoverheid om publieke middelen te ontwikkelen en uit te geven die ook voor strikt commerciële transacties als het online kopen van kleding, boeken of meubelen gebruikt kunnen worden. De regering acht het onwenselijk indien de rijksoverheid zich zou mengen in deze markt. Het uitgangspunt dat publieke middelen niet buiten het publieke of semipublieke domein worden gebruikt, is daarom in het wetsvoorstel opgenomen. Wel is bij wijze van uitzondering onder stricte voorwaarden gecombineerde elektronische dienstverlening door welbepaalde aangewezen organisaties mogelijk (artikel 8, tweede lid) alsmede het gebruik van een publiek middel ten behoeve van welbepaalde aangewezen organisaties voor het verlenen van toegang tot een (intern) systeem voor de elektronische uitwisseling van gegevens (artikel 8, derde lid).

BSN Koppelregister

Het BSN-Koppelregister (BSN-K) is een voorziening in het kader van de GDI. De minister van BZK is verantwoordelijk voor de werking, betrouwbaarheid en veiligheid ervan. Het BSN-K speelt een rol in het identificatieproces door een koppeling te leggen tussen een elektronisch identificatiemiddel en het bsn van de houder. Het BSN-K stelt een authenticatiedienst hierdoor in staat om een dienstverlener op een veilige en betrouwbare manier het burgerservicenummer (bsn) te leveren van een gebruiker van een identificatiemiddel. Het BSN-K stelt daarnaast de burger in staat om met behulp van een inzagefunctie informatie te krijgen over zijn identificatiemiddelen. Een burger kan aldus vaststellen of zijn identificatiemiddel actief is of is geweest binnen het publieke domein. De inzagefunctie biedt alleen de desbetreffende burger inzicht in de status van het identificatiemiddel (bijvoorbeeld: actief, inactief of ingetrokken).

3.6. Identificatiemiddelen voor bedrijven

Ddienstverlening door bestuursorganen en aangewezen organisaties richt zich zowel op burgers (natuurlijke personen) als op bedrijven (ondernemingen en rechtspersonen). Wel zijn er enkele verschillen tussen de mogelijkheden voor authenticatie voor de dienstverlening aan burgers en aan bedrijven. Publieke middelen zijn bedoeld om als burger in contact te komen met bestuursorganen en aangewezen organisaties. Indien een KvK nummer[1] of RSIN nummer[2] vereist is voor authenticatie, kan niet met een publiek middel worden ingelogd. En daar waar burgers normaal gesproken volledig bevoegd zijn om namens zichzelf te handelen, is dat voor handelen door of namens een bedrijf (niet zijnde de eigenaar van een eenmanszaak) veelal niet het geval. Voor het handelen als bedrijf is destijds het stelsel voor eHerkenning ontwikkeld. Het aantal op eHerkenning aangesloten overheidsorganisaties en het aantal transacties groeit gestaag. In 2016 was al meer dan de helft van de gemeenten aangesloten op eHerkenning naast een dertigtal toepassingen bij de Rijksoverheid waaronder het Omgevingsloket online en de VOG-verklaring. Medio 2017 hebben enkele grote uitvoeringsorganisaties, waaronder Belastingdienst en UWV, een intentie-overeenkomst getekend waarin zij aangeven vanaf eind 2017 gefaseerd een deel of al hun digitale diensten met eHerkenning te ontsluiten.

Vanaf 1 januari 2015 is het verplicht om met eHerkenning in te loggen bij de Rijksdienst voor Ondernemend Nederland. Dit heeft in dat jaar geleid tot een toename van 200% in gebruik ten opzichte van het jaar daarvoor, resulterend in een aantal van bijna 6 miljoen authenticaties in 2016. In 2013 was dit aantal nog circa een miljoen. Het aantal uitgegeven eHerkenningsmiddelen steeg eind 2016 tot ca. 275.000. Ultimo 2013 waren er 94.000 eHerkenningsmiddelen uitgegeven. Van de eHerkenningsmiddelen wordt inmiddels de helft gebruikt voor meer dan één toepassing. Er waren eind 2016 ongeveer 200.000 ondernemers, die een of meer inlogmiddelen van eHerkenning hadden aangeschaft, tegen 81.000 ultimo 2013. De eHerkenningsmiddelen die thans worden gebruikt, zullen op grond van dit wetsvoorstel erkend moeten worden door de minister van BZK om ook in de toekomst in het publieke domein gebruikt te kunnen worden.

In de op grond van dit wetsvoorstel vast te stellen uitvoeringsregelgeving zullen aan de middelen voor bedrijven eisen worden gesteld. Daarbij is sprake van dezelfde betrouwbaarheidsniveaus als voor de middelen voor burgers. In wezen zijn het vergelijkbare middelen. Maar daar waar een middel voor burgers wordt gekoppeld aan een bsn, wordt dit bij middelen voor bedrijven gekoppeld aan een KvK- of RSIN-nummer. En waar een burger in beginsel voor alles wat hemzelf betreft bevoegd is, zal, net als nu al het geval is, bij een middel voor een bedrijf vastgelegd worden waarvoor de betreffende gemachtigde medewerker bevoegd is. Die bevoegdheid kan volledig zijn, bijvoorbeeld wanneer het een middel voor een algemeen directeur of een eigenaar van een eenmanszaak betreft, maar het kan ook beperkt zijn tot een of enkele diensten. Zo kan de ene medewerker als bevoegdheid krijgen om digitaal rapporten aan een inspectiedienst aan te leveren, of om met die inspectiedienst te communiceren, terwijl een andere medewerker bevoegd wordt om de omzetbelasting aan te geven.

Bij de uitgifte van middelen voor bedrijven zal een vergelijkbare procedure gehanteerd gaan worden, als bij uitgifte van middelen voor burgers. Tevens wordt bij de verstrekking vastgelegd voor welke zaken de houder van dit middel bevoegd is namens het bedrijf. Die bevoegdheid kan uiteenlopen van een enkele dienst tot volledig bevoegd. Deze bevoegdheid kan overigens later altijd gewijzigd worden. Op deze manier is er geen noodzaak een nieuw middel aan te schaffen als een medewerker andere taken krijgt. Men hoeft alleen de bevoegdheden van die medewerker te wijzigen. Wanneer een middel voor bedrijven wordt uitgegeven, moet de authenticatiedienst vaststellen dat degene, die het middel aanvraagt namens een medewerker en laat koppelen aan het KvK- of RSIN-nummer, daartoe bevoegd is. Dat wordt gedaan op basis van de bevoegdheden die zijn vastgelegd in het Handelsregister. Het staat private authenticatiediensten vrij om middelen voor bedrijven en burgers of alleen voor bedrijven of alleen voor burgers uit te geven. Publieke authenticatiediensten geven alleen middelen voor natuurlijke personen uit.

3.7. Samenloop van identificatiemiddelen

Ten aanzien van ondernemingen die toebehoren aan een natuurlijk persoon (er is dan sprake van een natuurlijk persoon in de uitoefening van beroep of bedrijf), is er voor de dienstverlener ten aanzien van die ondernemingen in beginsel de keuze om bij zijn dienstverlening een bedrijfs- en organisatiemiddel te verlangen dan wel om tevens toe te staan dat een identificatiemiddel voor burgers wordt gebruikt. Deze vrijheid van dienstverleners om hun dienstverlening naar eigen inzicht in te richten, kan echter vanuit het oogpunt van de ondernemer in de praktijk tot ondoelmatige werkwijzen leiden. Met name als er binnen een bepaalde sector geen eenduidige keuze wordt gemaakt. Dan kan het met het oog op het voorkomen van onnodige kosten voor verschillende middelen voor één ondernemer en rompslomp in de uitvoering door het steeds moeten wisselen van verschillende soorten middelen door één ondernemer, wenselijk zijn dat de betrokken bestuursorganen en aangewezen organisaties worden verplicht ook een identificatiemiddel voor burgers (toegelaten middel) te accepteren. Om die reden bevat het wetsvoorstel de mogelijkheid om dit te reguleren in overeenstemming met de betrokken ministers die verantwoordelijk zijn voor de beleidsterreinen waarop de betrokken dienstverleners respectievelijk de betrokken ondernemingen werkzaam zijn.

4. Privacy

Rond deze beginselen zullen de benodigde gegevensverwerkingen verder worden gekaderd in de uitvoeringsregelgeving. Deze zullen voorts in het functioneel ontwerp van de systemen (techniek en processen) hun beslag krijgen, conform het wettelijk kader inzake de bescherming van persoonsgegevens. Op dit moment is de Wet bescherming persoonsgegevens (hierna: Wbp) primair van belang. Binnen afzienbare tijd zal de Algemene verordening gegevensbescherming (hierna: AVG) het voornaamste kader vormen.37

De Algemene verordening gegevensbescherming (AVG)

De AVG zal op 25 mei 2018 rechtstreeks toepasselijk zijn. Met het in voorbereiding zijnde wetsvoorstel ter uitvoering van de AVG en ter implementatie van de hoofdstukken VI, VII en VIII van de richtlijn gegevensbescherming opsporing en vervolging, zal de Wet bescherming persoonsgegevens worden ingetrokken.

Privacybepalingen in dit wetsvoorstel in relatie tot de AVG

Dit wetsvoorstel bevat bepalingen die een aanvulling zijn op de waarborgen van de AVG. Er worden taken, verantwoordelijkheden en bevoegdheden voor de betrokken ministers vastgelegd. Ook bevat het verplichtingen voor bestuursorganen en aangewezen organisaties en voor private partijen. De grondslag om persoonsgegevens te verwerken vloeit voort uit deze bepalingen, in samenhang met artikel 6, eerste lid, onder e, van de AVG. In het wetsvoorstel zijn grondslagen neergelegd voor de verwerking van persoonsgegevens door de genoemde adressaten voorzover dat noodzakelijk is voor de uitvoering en het verlenen van veilige toegang tot elektronische dienstverlening. Krachtens het wetsvoorstel zullen nadere regels worden gesteld, waaronder over de verstrekking van persoonsgegevens en de bewaartermijnen die in acht moeten worden genomen. In dit verband zal het Besluit verwerking persoonsgegevens GDI worden uitgebreid en gewijzigd. Reden voor het regelen van de verwerking van persoonsgegevens bij algemene maatregel van bestuur is het feit, dat het wetsvoorstel het karakter heeft van een kaderwet waarin hoofdzaken zijn geregeld en het om redenen van flexibiliteit opportuun is gedetailleerde (technische) uitwerking waaronder cryptografische maatregelen bij lagere regelgeving vorm te geven. In dit verband kan tevens worden aangesloten bij hetgeen reeds is neergelegd in bestaande regelgeving op het gebied van de verwerking van persoonsgegevens terzake van GDI-voorzieningen, te weten voornoemd Besluit. Bij de nadere uitwerking zullen onder meer de beginselen van proportionaliteit en subsidiariteit leidend zijn. Het wetsvoorstel en de daarop gebaseerde algemene maatregel van bestuur werken, waar mogelijk, nodig en passend, de normen van de AVG uit. Voor alles wat dit wetsvoorstel en het daarop gebaseerde besluit niet regelt over de verwerking van persoonsgegevens in het kader van de toegang tot elektronische dienstverlening, gelden de bepalingen van de AVG.

Toepassing materiële beginselen voor gegevensverwerking

De AVG introduceert ter bevordering van gegevensbescherming een aantal nieuwe instrumenten. De AVG bepaalt dat daarmee rekening dient te worden gehouden in het ontwerp van gegevensverwerkingen en door standaardinstellingen (artikel 25 AVG, privacy by design and by default). Tevens bepaalt artikel 35 AVG dat een gegevensbeschermingseffectbeoordeling (PIA)38 voorafgaand aan de verwerking dient te worden uitgevoerd. In het onderstaande wordt ingegaan op de wijze waarop hiermee bij de toegang tot elektronische dienstverlening rekening is gehouden.

Privacy-by-design en uitvoering gegevensbeschermingseffectbeoordeling

Bij de voorbereiding van dit wetsvoorstel is een aantal maatregelen getroffen om een effectieve toepassing van de AVG te borgen. Belangrijk is het gedurende de voorbereiding meermalen uitvoeren van een PIA, het meenemen van de uitkomsten en daaruit voortvloeiende eisen in op te stellen regelgeving en het verdisconteren van deze eisen bij de inrichting van het ontwerp van de betrokken voorzieningen. Ter zake zij verwezen naar de rapportage van de PIA inzake het eID-stelsel van 28 juni 2017.39 Daarnaast is ervoor gezorgd dat de (technische) inrichting plaatsvindt volgens de privacyeisen die voortvloeien uit de AVG, waaronder het vormgeven van een functionaliteit ten behoeve van inzage voor de houder van een identificatiemiddel waarvan gegevens worden verwerkt. De belangrijkste aanpassingen als gevolg van de uitgevoerde PIA’s betreffen de functionaliteit die de houder van een toegelaten identificatiemiddel inzage biedt in de status van dit middel en het feit, dat de gegevensverwerking (technisch) zodanig wordt ingericht, dat geen van de bij authenticatie betrokken partijen (inclusief dienstverleners) kan zien welke andere websites door de houder van het middel worden bezocht. Dit is niet alleen belangrijk voor de bescherming van persoonsgegevens als zodanig, maar doet tevens recht aan de wens dat de betrokken partijen geen inzicht in of bemoeienis moeten kunnen hebben met zaken die gebruikers in het publieke domein afwikkelen. De PIA’s hebben ook input geleverd voor de nog op te stellen uitvoeringsregelgeving bij dit wetsvoorstel en onderschrijving van verwerkingsgrondslagen in het wetsvoorstel voor het gebruik van het bsn door private partijen. Bij de verdere inrichting en ontwikkeling zullen er regulier PIA’s worden uitgevoerd. De uitkomsten hiervan beogen doorlopende en blijvende expliciete aandacht voor privacybescherming, waaronder technische, procedurele, beleidsmatige en juridische maatregelen.

Transparantie

In hoofdstuk III van de AVG, waarin de rechten van burgers worden geregeld, zijn transparantievoorschriften opgenomen. Artikel 12 AVG stelt regels aan de begrijpelijkheid van informatie en communicatie over de verwerkingen van persoonsgegevens zodat burgers daadwerkelijk in staat worden gesteld om hun rechten uit te oefenen. Daarbij wordt een onderscheid gemaakt tussen het geval dat de verkrijging van de gegevens bij de burger zelf plaatsvindt (artikel 13 AVG) en dat waarbij de gegevens niet bij hem zijn verkregen (artikel 14 AVG). Ingevolge dit wetsvoorstel en de bijbehorende uitvoeringsregelgeving vindt het verkrijging van de gegevens op beide wijzen plaats. Bij aanvraag en registratie van identificatiemiddelen gaat het bijvoorbeeld om de gegevens die de burger zelf moet verstrekken op het moment dat hij een middel of registratie van een machtiging aanvraagt. Daarnaast is sprake van informatie die in het kader van de toegang tot elektronische dienstverlening buiten de burger om wordt verkregen, bijvoorbeeld gegevens die nodig zijn om de juistheid van gegevens te controleren, zoals de controle van de identiteit door het BSN-K. De minister en de andere betrokkenen bij de toegang tot elektronische dienstverlening zullen uitvoering (moeten) geven aan de transparantieverplichtingen door een privacyverklaring op hun website te plaatsen. Hierin staat onder andere wie de verantwoordelijke is voor de verwerking van persoonsgegevens en met welk doel de persoonsgegevens worden verwerkt. Ook zal op de websites een link worden opgenomen naar de bijbehorende wet- en regelgeving, waaronder deze wet en bijbehorende uitvoeringsregelgeving.

Het recht van inzage en rectificatie

Op grond van artikel 15 AVG heeft een burger het recht om te weten welke persoonsgegevens door de verantwoordelijke worden verwerkt, onder meer voor welke doeleinden en aan welke personen of instanties deze gegevens zijn verstrekt. Op grond van de artikelen 16 tot en met 18 AVG heeft hij het recht de verantwoordelijke te verzoeken hem betreffende gegevens te rectificeren, gegevens te wissen, of de verwerking te beperken. De wijze waarop uitvoering wordt gegeven aan deze rechten, zal worden vastgelegd in uitvoeringsregelgeving op basis van dit wetsvoorstel en in de op te stellen privacyverklaringen die op de betrokken websites zullen worden geplaatst.

Grondslagen en beginselen voor verwerking van persoonsgegevens

Uit de AVG volgt dat de verzameling en verwerking van persoonsgegevens plaatsvindt op een rechtmatige en behoorlijke wijze (artikel 5, eerste lid AVG). Voorts dienen de doeleinden waarvoor verzameling en verwerking plaatsvindt gerechtvaardigd, welbepaald en uitdrukkelijk omschreven te zijn (doelbinding). De verwerkingen worden uitgevoerd door de betrokken ministers en door bestuursorganen en aangewezen organisaties in het kader van de hen toegekende taken, en door specifiek genoemde private partijen indien dit noodzakelijk is voor de goede uitvoering van de wet. De verwerkingen vinden plaats teneinde veilige en betrouwbare toegang tot elektronische dienstverlening te realiseren. De verwerkingsdoelen worden beslagen door de onderscheiden artikelen in het wetsvoorstel. Hiermee wordt voorzien in een rechtsgrond, als bedoeld in artikel 6, lid 3, onder b, AVG, waardoor de rechtmatigheid van de verwerkingen kan worden gebaseerd op artikel 6, lid 1, onder e (verwerking noodzakelijk voor de vervulling van een taak van algemeen belang). Het wetsvoorstel bevat voorts de grondslag voor nadere regelgeving; hierin zullen de beginselen zoals hieronder aangegeven worden uitgewerkt.

Verwerking BSN

De AVG kent enkele bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking, waaronder de verwerking van het nationaal identificatienummer. De verwerking van het bsn speelt bij de toegang tot elektronische dienstverlening een belangrijke rol. Artikel 87 AVG geeft een grondslag om bij nationaal recht specifieke voorwaarden te stellen voor de verwerking van een nationaal identificatienummer. De Uitvoeringswet AVG regelt het gebruik van wettelijk voorgeschreven nummers, overeenkomend met het huidige artikel 24 van de Wbp. Dit betekent dat voor de verwerking van het bsn dient te worden voorzien in een wettelijke grondslag. Om deze reden is in het wetsvoorstel opgenomen dat het bsn door de genoemde betrokkenen mag worden verwerkt voorzover dat noodzakelijk is voor de goede uitvoering van hun taken en verplichtingen ingevolge deze wet (artikel 14 lid 1; ministers), voor een goede elektronische dienstverlening (artikel 14 lid 1; dienstverleners), voor de goede uitvoering van deze wet (artikel 14 lid 2; private partijen) en voor de goede werking van het bedrijfs- en organisatiemiddel en goede toegang met dat middel tot elektronische dienstverlening (artikel 14 lid 3; private partijen). Daarbij geldt dat gebruik van het bsn tot een minimum wordt beperkt en zoveel mogelijk wordt gewerkt met pseudonimisering en versleuteling.

Dataminimalisatie

De gegevens die voor de toegang tot elektronische dienstverlening worden verwerkt moeten toereikend en terzake dienend zijn. Daarbij gaat het om proportionaliteit en subsidiariteit, waardoor een minimum aan verwerking van persoonsgegevens wordt gerealiseerd (artikel 5, lid 1, onder c, AVG). In de uitvoeringsregelgeving zal dit nader worden ingevuld.

Juistheid van persoonsgegevens

Tevens moet worden voorzien in maatregelen om te zorgen dat persoonsgegevens ten behoeve van de toegang tot elektronische dienstverlening op een juiste wijze worden verwerkt en dat maatregelen worden getroffen om te zorgen dat gegevens die niet (meer) juist worden verwerkt, gerectificeerd of verwijderd worden (artikel 5, lid 1, onder d, AVG). In de uitvoeringsregelgeving zullen regels worden gesteld over de wijze waarop hieraan invulling wordt gegeven.

Opslagbeperking (bewaartermijnen)

Een belangrijk uitgangspunt is dat persoonsgegevens niet langer worden verwerkt dan voor een termijn die voor de realisatie van het verlenen van toegang tot elektronische dienstverlening noodzakelijk en daarmee te rechtvaardigen is (artikel 5 lid 1, onder f, AVG). In de uitvoeringsregelgeving zullen bewaartermijnen worden vastgelegd.

Beveiliging van persoonsgegevens

Bij de verwerking van persoonsgegevens voor toegang tot elektronische dienstverlening moeten technische en organisatorische maatregelen worden getroffen, zodanig dat een passende beveiliging gewaarborgd is (artikel 5, lid 1, onder f, AVG). Ten aanzien van de beveiliging van persoonsgegevens werkt artikel 32 van de AVG dit uit. Bepaald wordt dat, waar passend, pseudonimisering en versleuteling dienen te worden ingezet. Ook wordt aangegeven dat maatregelen moeten worden genomen om te zorgen dat op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen kan worden gegarandeerd, en dat de beveiligingsmaatregelen op gezette tijden getest en geëvalueerd worden. Voorts volgt uit dit artikel dat dient te worden voorzien in maatregelen om, bij een fysiek of technisch incident, de beschikbaarheid van en de toegang tot persoonsgegevens tijdig te kunnen herstellen. Genoemde technische en organisatorische maatregelen worden doorgevoerd in de (ICT-) systemen en processen die ingevolge dit wetsvoorstel noodzakelijk zijn. De AVG bevat in artikel 33 tot slot de verplichting om melding te maken van een inbreuk in verband met persoonsgegevens. Deze regeling komt op hoofdlijnen overeen met de meldplicht datalekken zoals deze thans in de Wbp is opgenomen.

Verantwoordingsplicht

De AVG legt in artikel 5, tweede lid, aan de verwerkingsverantwoordelijke een verplichting op om te zorgen dat de naleving van de hiervoor besproken beginselen kan worden aangetoond.

5. Misbruik van de GDI

5.1. Inleiding

In 201340 is becijferd dat de omvang van de fraude bij de overheid in 2013 7,3 miljard euro bedroeg. Over identiteitsfraude waarbij overheidsgeld betrokken is, volgt uit de monitor Identiteit in cijfers dat het gaat om bijna dertig duizend zaken op jaarbasis. Zoals in het jaarverslag van het ministerie van BZK over 2015 is vermeld, zijn in dat jaar 15.000 DigiD’s geblokkeerd, waarvan een groot aantal overigens preventief, waarmee misbruik lijkt te zijn voorkomen.41 Ramingen zijn vermoedelijk aan de lage kant.

Recentelijk is uit het Cybersecuritybeeld Nederland 2016 naar voren gekomen dat beroepscriminelen een steeds groter gevaar vormen voor digitale veiligheid in Nederland. Beroepscriminelen organiseren zich steeds beter en maken gebruik van geavanceerde digitale aanvalsmethoden. Het afgelopen jaar vonden verschillende grootschalige aanvallen plaats met een hoge organisatiegraad, gericht op diefstal van geld en kostbare informatie. Naast de overheid waren bedrijven en burgers hiervan in toenemende mate het slachtoffer.42

Echter niet alleen de financiële omvang van fraude is van belang. Minstens zo belangrijk zijn de maatschappelijke consequenties zoals ondermijning van het gevoel van betrouwbaarheid van en vertrouwen in de (digitale) overheid en in het algemeen het effect ervan op mensen en instituties. Fraude heeft bovendien een aanzuigende werking op personen die van de klaarblijkelijke gelegenheid om te frauderen, gebruik willen maken. Zo is fraude de laatste jaren een thema geworden dat met enige regelmaat politieke aandacht heeft gekregen.

5.2. Aanpak van misbruik en identiteitsfraude

Dit wetsvoorstel, de bijbehorende uitvoeringsregelgeving en de voorschriften die aan private aanbieders van toegelaten en erkende identificatiemiddelen en – diensten zullen worden opgelegd, zijn gericht op realisering van een betrouwbaar proces bij de inrichting van de toegang tot elektronische dienstverlening door de (semi)overheid. Daarbij gaat het om kaderstellende informatiebeveiliging, dat wil zeggen beveiliging gericht op het treffen van maatregelen vooraf. Misbruikbestrijding is in die relatie te beschouwen als ‘actieve informatiebeveiliging’. Daarmee wordt bedoeld dat gedurende het gebruik van de systemen actief op zoek wordt gegaan naar bestaande en mogelijk nieuwe dreigingen, waarbij ook proactief maatregelen getroffen worden om negatieve gevolgen te voorkomen of te minimaliseren. Uiteraard moet ook de houder (gebruiker) van een uitgegeven identificatiemiddel zelf maatregelen nemen om misbruik, diefstal, verlies of verspreiding van zijn elektronisch identificatiemiddel te voorkomen.

Er zijn twee hoofdtaken bij misbruikbestrijding. In de eerste plaats moet misbruik worden ontdekt en herkend. Daaronder kan actieve monitoring, detectie, analyse en proactieve kennisopbouw worden verstaan. Ten tweede is er de taak om, indien het resultaat van de herkenning daartoe aanleiding geeft, herstel- en noodmaatregelen te treffen om snel en adequaat dreigingen weg te nemen en de veiligheid en de betrouwbaarheid borgen. Het nemen van maatregelen door de aanbieders van toegelaten of erkende identificatiemiddelen en van erkende diensten en door bestuursorganen en aangewezen organisaties om compromittering van de toegang tot elektronische diensten te voorkomen en te beëindigen maakt onderdeel uit van de zorg voor de betrouwbaarheid en beveiliging, alsmede door de minister te nemen (nood)maatregelen, bijvoorbeeld het onderbreken van de toegang tot elektronische dienstverlening via een welbepaald middel bij het vermoeden van misbruik of oneigenlijk gebruik en het onderbreken (afsluiten) van de toegang tot dienstverlening van een bestuursorgaan of aangewezen organisatie, op het moment dat daar sprake is van een ernstige verstoring. Door te voorzien in deze maatregelen wordt beoogd om de betrouwbaarheid en de veiligheid van de toegang te kunnen blijven borgen dan wel vlot en gericht te kunnen herstellen en worden burgers, bedrijven en overheden beschermd.

5.3. Herstel- en noodmaatregelen

Onderstaand worden herstel- en noodmaatregelen besproken. Een maatregel kan een tijdelijk (preventief) of permanent effect beogen, afhankelijk van de situatie. Maatregelen kunnen zich richten tot gebruikers (burgers en bedrijven), dienstverleners, toegelaten of erkende private partijen, danwel kunnen gericht zijn op bescherming van de toegang tot elektronische dienstverlening zelf.

In het wetsvoorstel wordt erin voorzien dat de minister, om zijn taken en verantwoordelijkheden voor een veilige en betrouwbare elektronische authenticatie in het publieke domein waar te maken, beschikt over voldoende bevoegdheden om (bijzondere) maatregelen te nemen.

Maatregelen ten behoeve van- en gericht tot gebruikers

In de wet wordt gesproken over ‘onderbreken’ om aan te geven dat het om een tijdelijke maatregel gaat die zich richt op tijdelijke onbruikbaarheid van een identificatiemiddel. Bij onderbreking is ‘deblokkering’ van een middel mogelijk, waardoor het gebruik kan worden voortgezet. Van ‘intrekking’ of ‘revocatie’ wordt gesproken om aan te geven dat een gebruik van een identificatiemiddel definitief onbruikbaar wordt gemaakt. Voor hernieuwd gebruik of toegang dient opnieuw een middel te worden aangevraagd.

Onderbreking van een identificatiemiddel voor een gebruiker

Een herstelmaatregel gericht op burgers en bedrijven kan zijn het tijdelijk blokkeren van een welbepaald identificatiemiddel. Dit kan worden ingezet op het moment dat er aanwijzingen zijn dat bijvoorbeeld een identificatiemiddel gecompromitteerd (gestolen) is en misbruikt wordt, maar dat dit nog niet onomstotelijk is vastgesteld. Op dat moment wordt het door blokkering van het middel onmogelijk gemaakt om het te gebruiken voor elektronische authenticatie. Indien na nader onderzoek blijkt dat geen sprake is van misbruik, kan het middel worden gedeblokkeerd, waarna het wordt vrijgegeven aan de gebruiker. Voor de gebruiker geeft blokkering binnen de context de minste hinder, omdat de maatregel een tijdelijk karakter heeft. Ook wordt de gebruiker preventief beschermd. Bij onterechte blokkering ondervindt de gebruiker weliswaar ongemak, maar deze hoeft na vrijgave geen nieuw middel aan te vragen. Overigens is het ook mogelijk dat blokkering vooraf gaat aan een permanente maatregel, waarbij na gebleken misbruik een identificatiemiddel uiteindelijk wordt ingetrokken.

Intrekken van identificatiemiddelen wegens misbruik43

Hierbij moet gedacht worden aan het intrekken van identificatiemiddelen of het intrekken van elektronische registratie van machtigingen, op het moment dat misbruik wordt vermoed of gesignaleerd. Dit kan bijvoorbeeld nodig zijn als middelen worden gestolen, of wachtwoorden onderschept, waardoor de betrouwbaarheid van het middel niet meer kan worden gegarandeerd. Voorbeelden waarin dergelijke maatregelen in het verleden zijn getroffen zijn identiteitsfraudes met DigiD waarbij DigiD codes van gebruikers uit brievenbussen zijn gehengeld en vervolgens misbruikt.44

Onderbreking van de toelating of erkenning

In het wetsvoorstel is de mogelijkheid voorzien om als tijdelijke maatregel een toegelaten of erkende partij te onderbreken (uit de lucht te halen, schorsen), als deze niet aan de hem opgelegde (veiligheids)eisen voldoet.

Onderbreking van toegang tot dienstverlening

Ten slotte is het voor Onze Minister mogelijk om voor een of meer dienstverleners hun toegang tot de dienstverlening te onderbreken als er bij de betreffende dienstverleners ernstige en acute beveiligingsgebreken blijken te zijn, die direct van invloed zijn op de beveiliging van de toegang tot elektronische dienstverlening. Dit is bijvoorbeeld gebeurd naar aanleiding van de gebleken beveiligingsgebreken bij verscheidene afnemers van DigiD tijdens Lektober, waarbij Logius een groot aantal gemeenten acuut heeft afgesloten. Door het geconstateerde lek bleek het mogelijk om in de systemen van op DigiD aangesloten dienstverleners DigiD-gegevens van burgers te bemachtigen. Deze situatie heeft de aanleiding gevormd voor het instellen van de beveiligingsassessments, waarmee is beoogd om deze situaties zoveel mogelijk te voorkomen.

5.4. Ketensamenwerking en toezicht bij misbruikbestrijding

Voor bovenstaande activiteiten voor misbruikbestrijding is randvoorwaardelijk dat door de verschillende verantwoordelijken voor de toegang tot elektronische dienstverlening wordt samengewerkt. Immers misbruik van toegang tot elektronische dienstverlening zal zich kunnen manifesteren tussen en over losse componenten van de keten heen.

Elk onderdeel voor toegang tot elektronische dienstverlening (de toegelaten en erkende partijen alsmede de bestuursorganen en aangewezen organisaties) vervult een deel van een bovenliggend proces. Misbruik en de misbruikmaker kunnen in feite dezelfde route volgen, waarbij misbruik in een schakel, bijvoorbeeld een gecompromitteerd identificatiemiddel, kan uitwaaieren naar misbruik bij diverse andere schakels en organisaties binnen – en buiten – de toegang tot elektronische dienstverlening.

Om misbruik effectief te kunnen aanpakken en ‘uit de keten’ te kunnen halen is daarom samenwerking en informatie-uitwisseling noodzakelijk. Om te voorkomen dat door onduidelijkheid in verantwoordelijkheidsverdeling misbruik niet of slechts ten dele wordt opgepakt, is voorts regievoering daarop noodzakelijk.

In het wetsvoorstel is voor de minister de mogelijkheid opgenomen om bij bestuursorganen en aangewezen organisaties en bij (private) aanbieders van een toegelaten identificatiemiddel en een erkend identificatiemiddel of erkende dienst informatie op te vragen om maatregelen te kunnen nemen om compromittering van de veilige en betrouwbare toegang tot elektronische dienstverlening te voorkomen of beëindigen. Daarmee wordt, naast de zorgplicht voor ‘zijn’ voorzieningen, ook een rol beoogd voor de minister voor integrale misbruikbestrijding binnen de toegang tot elektronische dienstverlening. Om zijn rol adequaat te kunnen invullen is het belangrijk dat informatie over beveiligings- en integriteitsinbreuken, misbruik of oneigenlijk gebruik, snel ter beschikking komt van de minister. Daarom is in het wetsvoorstel de verplichting opgenomen voor bestuursorganen en aangewezen organisaties om de minister uit eigen beweging en onverwijld in kennis te stellen van een inbreuk op de beveiliging of de integriteit van een eigen voorziening voor elektronische dienstverlening, of als misbruik of oneigenlijk gebruik ervan wordt geconstateerd. Daarbij dient alle benodigde informatie te worden meegeleverd. Deze verplichting maakt het voor de minister mogelijk om snel en adequaat te reageren.

Voor het effectief tegengaan van misbruik, is het van belang dat de minister niet alleen informatie ontvangt en maatregelen kan nemen om een veilige en betrouwbare toegang te borgen of te herstellen, maar ook bestuursorganen, aangewezen organisaties en private aanbieders van toegelaten middelen of erkende diensten op de hoogte stelt van compromittering van de toegang tot elektronische dienstverlening, zodat zij voor zichzelf maatregelen kunnen nemen. De verplichting voor de minister om dergelijk informatie te verstrekken is geregeld in het wetsvoorstel.

Misbruikbestrijding wordt in het onderhavige wetsvoorstel vormgegeven als een operationele beheertaak. Dit betekent dat herkenning van misbruik en het treffen van herstel- en noodmaatregelen de verantwoordelijkheid is van alle betrokkenen in de keten. Het toezicht op de naleving van de wet bestaat er in dit verband uit dat de toezichthouder controleert of misbruikbestrijding als beheertaak is ingericht. De toezichthouder houdt zich nadrukkelijk zelf niet bezig met het herkennen van misbruik en het treffen van herstel of noodmaatregelen. De toezichthouder controleert derhalve of processen zijn ingericht en of de organisatie operationeel in staat is om misbruik te bestrijden. Dit houdt overigens in dat de organisatie informatie moet kunnen verschaffen waaruit dit aantoonbaar blijkt.

6. Toezicht en handhaving

6.1. Inleiding

Het toezicht op de naleving van de verplichtingen in dit wetsvoorstel richt zich niet rechtstreeks op burgers. Burgers bepalen zelf of ze toegelaten publiek of privaat inlogmiddel willen gebruiken. De minister kan op verzoek van een burger diens DigiD laten blokkeren of opheffen. Voorts kan de minister de toegang tot elektronische dienstverlening via een bepaald middel onderbreken bij het vermoeden van misbruik of oneigenlijk gebruik van het desbetreffende middel. Indien een privaat middel is toegelaten worden signalen van fraude of misbruik gedeeld met de verantwoordelijke aanbieder van een privaat inlogmiddel teneinde het middel in de voorkomende gevallen te laten blokkeren.

6.2. Toezicht op bestuursorganen en aangewezen organisaties

De digitale dienstverlening van bestuursorganen en aangewezen organisaties is allereerst een aangelegenheid van de desbetreffende organen en organisaties zelf. Een goede taakuitvoering door hen vergt ook naleving van de aan hen gestelde normen, zoals de acceptatieplicht en het voldoen aan de eisen met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de elektronische dienstverlening. Voorts geldt voor bestuursorganen (en eventueel rechtspersonen met een wettelijke taak) het verplicht gebruik van bij algemene maatregel van bestuur voorgeschreven standaarden. Voor wat betreft de naleving van deze wet door bestuursorganen, aangewezen organisaties (en rechtspersonen met een wettelijke taak waar het de open standaarden betreft) geldt het reguliere toezicht en de reguliere ministeriële verantwoordelijkheid. Voor de overheidsorganen op niveau van het rijk en de aangewezen organisaties is daarbij voorzien in het aanwijzen van toezichthouders. In deze paragraaf zal worden ingegaan op wat dat betekent voor de verschillende dienstverleners.

De centrale overheid

Waar de ministeries zelf als dienstverlener uitvoering geven aan het wetsvoorstel, is het aan de betrokken ministers er voor zorg te dragen dat de eigen uitvoeringsorganisaties, zoals de belastingdienst, dit wetsvoorstel naleven. Voor de zelfstandige bestuursorganen op het niveau van de centrale overheid, zoals het Uitvoeringsinstituut werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB), geldt dat de naleving van het wetsvoorstel (eveneens) in eerste instantie een eigen verantwoordelijkheid van deze bestuursorganen zelf betreft. Dit wetsvoorstel creëert geen nieuwe, formele toezichtsbevoegdheden ten aanzien van deze zelfstandige bestuursorganen. Dit betekent dat de minister, ook al is deze overheidstaak op afstand gezet, vanuit zijn algemene ministeriële verantwoordelijkheid de betrokken zelfstandige bestuursorganen zo nodig tot naleving dient te bewegen.

De aangewezen organisaties

Het streven is om het toezicht op de aangewezen organisaties en overheidsorganen op het niveau van het rijk ook zo veel als mogelijk binnen de bestaande toezichtstructuren en met gebruik van bestaande instrumenten te laten plaatsvinden. Om dit te kunnen realiseren, is de vakminister op grond van dit wetsvoorstel gehouden om personen aan te wijzen die belast zijn met het toezicht op de naleving van dit wetsvoorstel door deze aangewezen organisaties. De vakminister kan hier reeds bestaande toezichthouders dan wel nieuwe toezichthouders aanwijzen.

De decentrale overheden

In lijn met de Wet revitalisering generiek toezicht is het toezicht van de hogere overheid op de naleving van het wetsvoorstel door de lagere overheid (interbestuurlijk toezicht) sober en terughoudend. Decentrale overheden zijn zelf verantwoordelijk voor de naleving van de wet en er wordt op vertrouwd dat de taken op het niveau waarop deze zijn belegd toereikend worden opgepakt. Het primaat voor de controle op de naleving ligt bij de horizontale verantwoording binnen een bestuurslaag. Het gaat dan om het toezicht op een juiste en toereikende naleving. In de tweede plaats komt pas het interbestuurlijk toezicht op de decentrale overheden, conform het beginsel dat slechts één bestuurslaag – de naast hoger gelegen bestuurslaag – toezicht houdt. In lijn met dit beginsel houdt de Minister toezicht op overheidsorganen op het niveau van de provincies en houden provincies toezicht op overheidsorganen op het niveau van gemeenten. Dit wetsvoorstel verplicht het provincies om de minister te informeren over de (mate van) naleving door overheidsorganen op het niveau van gemeenten. Het interbestuurlijk toezicht biedt de naast hoger gelegen bestuurslaag (uitsluitend) de mogelijkheden tot repressief ingrijpen, te weten schorsing en vernietiging bij handelen in strijd met het recht of het algemeen belang (door de Kroon) en in uiterste gevallen indeplaatsstelling (bij taakverwaarlozing).

Toezicht op informatieveiligheid bij dienstverleners door middel van audits

Een kwetsbaarheid in de ICT-systemen die de toegang tot de elektronische diensten verzorgen, vormt niet alleen een risico voor het desbetreffende bestuursorgaan of aangewezen organisatie, maar vormt een risico voor de gehele authenticatieketen. Om die reden kent het toezicht op de naleving van de eisen aan de werking, betrouwbaarheid en beveiliging van de toegang van de elektronische dienstverlening van de bestuursorganen en aangewezen organisaties, naast de bestaande toezichtstructuren, een aanvullende verplichting. In aanvulling op het generiek toezicht moet het bestuursorgaan of de aangewezen organisatie regulier een verklaring van een auditor aan de minister overleggen. Deze auditor toetst of de dienstverlener aan de eisen voldoet. De verklaring van de auditor sluit aan bij de systematiek die thans gehanteerd wordt bij de aansluiting op DigiD. Op grond van de DigiD-aansluitvoorwaarden dienen alle afnemers (deze groep komt naar verwachting goeddeels overeen met de bestuursorganen en aangewezen organisaties in de zin van dit wetsvoorstel) jaarlijks een audit te laten uitvoeren en de auditverklaring aan de minister te doen toekomen. In lijn met de huidige praktijk bieden de auditverklaringen allereerst een handvat voor gesprek en verdere afspraken over de benodigde verbeteringen. Wanneer uit de rapporten van de auditor gebrekkige naleving blijkt of bestuurlijke afspraken stelselmatig niet nagekomen worden, kan de minister tegen medeoverheden optreden, met indeplaatsstelling als uiterste middel.

Noodmaatregel

Als uit de te overleggen auditverklaringen blijkt, dat de informatieveiligheid in het geding is ten gevolge van een ernstige storing of aantasting danwel misbruik of ongeoorloofd gebruik van de toegang tot elektronische dienstverlening en ook na aanmaningen de benodigde verbeteringen niet worden aangebracht, zal als uiterste middel de bevoegdheid tot het (doen) onderbreken van de toegang tot elektronische dienstverlening van een bestuursorgaan of een aangewezen organisatie uitkomst bieden. Ook het stelselmatig niet overleggen van een auditverklaring of anderszins gebrekkig naleven van de bij of krachtens algemene maatregel van bestuur te stellen regels met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische dienstverlening, in stand houden, kan aanleiding vormen om bestuursorganen of aangewezen organisaties af te sluiten van het gebruik van een publiek identificatiemiddel of een toegelaten privaat middel.

6.3. Toezicht op de houder(s) van een toelating

Indien een privaat middel door de minister wordt toegelaten voor authenticatie in het publieke domein, bevat het besluit tot toelating een omschrijving van het betrouwbaarheidsniveau van het identificatiemiddel, de duur waarvoor de toelating is verleend, de verplichtingen van de houder van de toelating en, indien van toepassing, de prijs die de houder betaalt of de subsidie die de minister aan de houder verstrekt.

Aanwijzing toezichthoudende ambtenaren

Wanneer de daartoe aangewezen ambtenaren vaststellen dat de houder van een toelating een of meer van de regels niet (meer) naleeft, zullen zij in beginsel eerst met de betrokken partij in contact treden om deze alsnog binnen een bepaalde termijn in overeenstemming met de gestelde regels te laten handelen. Als het gewenste resultaat uitblijft of te lang op zich laat wachten, zullen de daartoe aangewezen ambtenaren overgaan tot het initiëren van formele handhaving door de minister, wat tot gevolg heeft dat de toelating van een privaat middel als zodanig of de aansluiting van de systemen van de private aanbieder op het BSN-koppelregister (al dan niet tijdelijk) feitelijk wordt beëindigd. Dit laat echter onverlet dat de toezichthouder, indien de aard en de ernst van de overtreding dit vereist, zonder voorafgaand overleg met de betrokken private partij het nemen van deze maatregelen kan initiëren. Indien de aangewezen ambtenaren van oordeel zijn dat een houder de verplichtingen in het besluit tot toelating niet (langer) naleeft, kunnen zij de minister adviseren om tot schorsing of intrekking van de erkenning over te gaan. Uiteindelijk is het de minister die hierover beslist, aangezien het intrekken of schorsen van de toelating van middel een instrument is waarvan de aard zich tegen mandatering verzet.

6.4. Toezicht op de erkende diensten en bedrijfs- en organisatiemiddelen

Als bedrijven inloggen in het publieke domein, zijn daarbij authenticatiediensten, machtigingsdiensten, attributendiensten en ontsluitende diensten betrokken. Deze – private – diensten moeten,naast de identificatiemiddelen zelf,aan eisen voldoen om erkend te worden door de minister van BZK alvorens ze in het publieke domein hun diensten mogen aanbieden. Om erop toe te zien dat de betrokken partijen ook na hun erkenning aan de gestelde eisen blijven voldoen, is de aanwijzing van een toezichthouder onontbeerlijk. De minister van BZK wijst bij besluit ambtenaren aan om toezicht te houden op de naleving van de verplichtingen, die gelden voor de erkende diensten. Het Agentschap Telecom is de logische keuze voor de taak van toezichthouder op erkende diensten, gezien de (technische) expertise en de ervaring op het gebied van elektronische communicatie en – netwerken, in het bijzonder in relatie tot de EU-verordening over het grensoverschrijdend gebruik van elektronische middelen en vertrouwensdiensten tussen lidstaten (eIDAS). Thans vervult het Agentschap Telecom de secretariaatsfunctie voor de Commissie van Deskundigen voor het toezicht op het Elektronische Toegangsdiensten-stelsel.

Instrumentarium

6.5. Veiligheidsinbreuk

Het nemen van maatregelen, die tot doel hebben de veiligheid van aangeboden diensten in de authenticatieketen op passende wijze te waarborgen, kunnen het risico op veiligheidsinbreuken of verlies van integriteit verminderen, maar niet volledig uitsluiten. Indien zich een incident met diensten in de authenticatieketen voordoet, dient vertrouwen zoveel mogelijk behouden te blijven of te worden hersteld. Een bestuursorgaan of een aangewezen organisatie is verplicht de minister onverwijld in kennis te stellen van een inbreuk op de beveiliging of de integriteit van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening. Bestuursorganen en aangewezen organisaties zijn verplicht een veiligheidsinbreuk of integriteitsverlies van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening, zo spoedig mogelijk, na ontdekking te melden bij de minister.

Ook de eidas-verordening (artikel 19 lid 2) kent een meldplicht. Deze geldt voor verleners van vertrouwensdiensten, welke veelal zullen samenvallen met private aanbieders van erkende diensten en middelen (bedrijven) en van toegelaten middelen (burgers). Met dit wetsvoorstel wordt de meldplicht ook toepasselijk voor bestuursorganen en aangewezen organisaties. De meldplicht uit de eidas-verordening en uit dit wetsvoorstel zijn, mede ter beperking van administratieve lasten, gelijksoortig vormgegeven.

Verstrekken inlichtingen op verzoek

Naast de informatie, die de minister op grond van de meldplicht krijgt, ontvangt hij desgevraagd gegevens en inlichtingen van bestuursorganen, aangewezen organisaties, de minister van BZK, aanbieders van een toegelaten identificatiemiddel of erkend identificatiemiddel of erkende dienst. Het betreft inlichtingen die de minister nodig heeft om maatregelen te kunnen nemen om inbreuk op de veilige en betrouwbare toegang tot elektronische dienstverlening te voorkomen of beëindigen. De minister verstrekt op zijn beurt aan deze partijen inlichtingen over een inbreuk op de veilige en betrouwbare toegang tot elektronische dienstverlening voor zover dit noodzakelijk is voor een goede uitoefening van hun taken of te verlenen diensten in het kader van deze wet.

7. Financiële bepalingen en -gevolgen

7.1. Inleiding

Voorop staat dat alle bij dit wetsvoorstel betrokken partijen financiële gevolgen zullen ondervinden van het wetsvoorstel. De ontwikkeling van deze gevolgen in de tijd is van een aantal variabelen afhankelijk, zoals de mate waarin gebruik wordt gemaakt van de diverse identificatiemiddelen, de individuele inrichting van de interne ICT-voorzieningen en de mate waarin partijen de komende jaren bij aanpassing van hun ICT-voorzieningen (kunnen) voorsorteren op de nieuwe situatie.

7.2. Financiële bepalingen

Grondslag voor doorberekening aan dienstverleners

De kosten die het Rijk maakt samenhangend met het realiseren van publieke identificatiemiddelen en voorzieningen, en het eventueel toelaten van private middelen en toezicht op de naleving van toelatingseisen, worden door de minister ten laste gebracht van de bestuursorganen en aangewezen organisaties. Bij ministeriële regeling worden hierover nadere regels gesteld. Op dit moment is het nog niet goed mogelijk om de totale kosten in beeld te brengen. De ontwikkeling van de kosten van de infrastructuur voor authenticatie is van een aantal factoren afhankelijk. Kosten van publieke middelen en de infrastructuur hangen grotendeels samen met de mate van gebruik van alle publieke middelen (ook in verhouding tot elkaar), wat nog onvoorspelbaar is.51 Het gebruik evenals exogene technologische ontwikkelingen zullen periodiek nieuwe en aanvullende eisen stellen aan de infrastructuur. Kosten van beheer, exploitatie en doorontwikkeling zullen daarom pas gedurende de rit volledig duidelijk worden. Het uitgangspunt is dat de kosten van het gebruik van het publieke authenticatiemiddel naar rato van gebruik worden doorbelast aan dienstverleners. Er is wel een redelijk beeld van de kosten die op korte termijn gepaard gaan met een stapsgewijze uitrol van een robuuste infrastructuur voor authenticatie en identificatie, inclusief eventuele toelating en toezicht. Het gaat dan om de kosten van de basisinrichting en, onder bepaalde veronderstellingen, voor het gebruik. De kosten van de uitrol zullen via de begroting worden gedekt en departementen dragen hieraan naar rato bij. Daarbij is het uitgangspunt uiteraard dat de uitrol zo doelmatig mogelijk wordt uitgevoerd en budgetten disciplinerend werken, zonder daarbij uit het oog te verliezen dat een toekomstbestendige financieringsstrategie moet kunnen mee-ademen met de implicaties van meergebruik en nieuwe technologische eisen.

Grondslag voor het heffen van leges

Het kabinet wil de aanschafkosten van de publieke middelen verbonden aan e-rijbewijs en e-NIK via het heffen van leges bij de gebruiker in rekening brengen.52 Via de leges worden de kosten van het identificatiemiddel zelf en de verstrekking ervan in rekening gebracht bij degenen die het middel aanschaffen. Voor het heffen van de leges voor de kosten van het plaatsen van de chip op de NIK bestaat reeds een wettelijke basis in de Paspoortwet. Dit wetsvoorstel bevat een voorstel tot wijziging van de Wegenverkeerswetgeving voor het creëren van een wettelijke grondslag voor het heffen van leges, die de kosten van het plaatsen van de chip op het e-rijbewijs dekken. Ten slotte voorziet het wetsvoorstel in een grondslag voor het vaststellen van een tarief voor publieke middelen, waarvan het tarief niet in een ander wettelijk voorschrift wordt geregeld. Of hiervoor daadwerkelijk een tarief wordt gesteld is afhankelijk van de daadwerkelijke kosten van uitgifte van dit middel.

Doorberekening kosten van erkenning en toezicht op naleving erkenningseisen

Het wetsvoorstel regelt dat de minister van BZK de kosten voor het behandelen van een erkenningsaanvraag, alsmede voor het toezicht op de naleving van de aan de erkende dienst opgelegde eisen, kan doorberekenen aan de erkende private dienst. Voor wat betreft de doorberekening van de kosten van toezicht is de uitgebrachte voorlichting van de Afdeling advisering van de Raad van State van belang. Uitgangspunt hierin is dat de kosten van toezicht in beginsel uit de algemene middelen moeten worden voldaan, omdat het belang van het (doen) naleven van regels de gemeenschap in haar geheel dient. Bij de vaststelling van de uitvoeringsregelgeving zal belang worden gehecht aan het feit dat het voorzien in identificatiemiddelen, of een ontsluitende dienst of machtigings- of attributendienst geen (klassieke) overheidstaak betreft en het derhalve niet vereist is dat de kosten van toezicht uit de algemene middelen worden voldaan. Voorts gaat de regering ervanuit dat het aantal partijen waarop op grond van dit wetsvoorstel toezicht zal worden gehouden overzichtelijk zal zijn, zodat er geen pragmatische redenen zijn om deze kosten niet door te belasten.

7.3. Financiële gevolgen

Voor de gebruikers (burgers en bedrijven)

In de nieuwe situatie zal de gebruiker verschillende middelen kunnen afnemen om zich bij dienstverleners elektronisch te kunnen identificeren. Bij de publieke identificatiemiddelen op het hoogste niveau, het e-rijbewijs en de e-NIK, wordt een gedeelte van de kosten die het Rijk maakt al gedekt doordat bij het uitgifteproces gebruik gemaakt wordt van het uitgifteproces van de fysieke documenten en vindt er via het heffen van leges een verplichte doorberekening van de extra kosten voor de vervaardiging van deze documenten plaats aan de burgers, die het middel aanschaffen. Ingevolge het wetsvoorstel wordt per publiek identificatiemiddel de hoogte van het bedrag vastgesteld en de wijze van betaling worden vastgesteld voor zover deze vergoeding niet krachtens een andere wet wordt vastgesteld. De kosten van het gebruik van de publieke identificatiemiddelen zijn niet voor rekening van de gebruiker; deze worden doorbelast aan de dienstverlener.

De door de minister van BZK erkende private partijen zijn op grond van dit wetsvoorstel vrij om bedrijven te laten betalen voor de aanschaf- of het gebruik van het identificatiemiddel, dat zij aanbieden. Er zullen naar verwachting verschillende authenticatiediensten worden erkend, waardoor bedrijven kunnen kiezen met welk identificatiemiddel zij willen inloggen in het publieke domein. Indien de private partijen, die een identificatiemiddel voor bedrijven aanbieden, te hoge tarieven zullen stellen voor de gebruiker voor de aanschaf of het gebruik van het middel, zullen zij zichzelf vanzelf uit de markt prijzen en zijn hun ontwikkelingskosten voor niets geweest. Prijsstelling kan daarom worden overgelaten aan de marktwerking.

Voor dienstverleners

Uitgangspunt is dat de dienstverleners (zoals de belastingdienst, het Uitvoeringsinstituut werknemersverzekeringen, de Sociale Verzekeringsbank, gemeenten, ziektekostenverzekeraars etc.) bij de verlening van hun diensten de kosten dragen voor het identificeren van burgers en bedrijven. Dit geldt evenzeer bij digitale identificatie en authenticatie, waarbij toegelaten of erkende middelen worden gebruikt. Dienstverleners worden niet door het Rijk gecompenseerd voor het feit dat zij – voor zover zij diensten verlenen op betrouwbaarheidsniveau substantieel of hoog – als gevolg van dit wetsvoorstel hun digitale infrastructuur moeten aanpassen om de toegelaten en erkende identificatiemiddelen te kunnen accepteren. Naast kosten zullen dienstverleners baten genereren door het gebruik van een generieke, betrouwbare infrastructuur voor het digitaal inloggen. Zij zullen meer diensten aan burgers of bedrijven digitaal kunnen verlenen en door de hogere betrouwbaarheid van de inlogmethoden minder risico’s lopen. Het is niet goed mogelijk om de precieze kosten van aansluiting en het gebruik van de identificatiemiddelen, en de baten hiervan vooraf te kwantificeren. De kostencomponenten zijn helder. Deze worden hieronder uiteengezet.

Voor rekening van de dienstverleners komen in de eerste plaats de kosten voor het aansluiten op de routeringsvoorziening in het geval dat sprake is van digitale dienstverlening (op betrouwbaarheidsniveau substantieel of hoog) aan burgers. Indien sprake is van digitale dienstverlening aan bedrijven zijn er kosten voor aansluiting op de ontsluitende dient. Ook zal de interne digitale infrastructuur geschikt gemaakt moeten worden om met de berichten van de routeringsvoorziening en/of ontsluitende dienst te kunnen werken en (zo nodig) om aan de regels inzake de betrouwbaarheid en beveiliging van de toegang tot elektronische diensten te voldoen. Eventuele kosten zijn sterk afhankelijk zijn van de specifieke, individuele, ICT-voorziening van die dienstverlener. Het aansluiten op de routeringsvoorziening brengt mee dat de dienstverlener op grond van dit wetsvoorstel regulier een audit moeten laten uitvoeren door een auditor om te toetsen of de digitale infrastructuur van de dienstverlener voldoet aan de hiervoor bedoelde regels. Verwacht wordt dat de kosten van deze audit liggen in de orde van grootte van de huidige DigiD-assesments die reeds jaarlijks plaatsvinden.

Dit wetsvoorstel brengt voor overheidsinstanties voorts de verplichting mee om bepaalde bij algemene maatregel van bestuur aan te wijzen open standaarden te hanteren voor het elektronisch verkeer. Voor wat betreft de financiële gevolgen van deze verplichting is relevant dat ervanuit wordt gegaan dat open standaarden worden aangewezen die doorgaans nu al door de bestuursorganen (moeten) worden gehanteerd. Dit betekent dat bestuursorganen in beginsel geen financiële gevolgen ondervinden van het verplicht stellen van een standaard. Voor het geval de bestuursorganen de standaarden nog niet hanteerden, zullen de implementatiekosten hiervan per te verplichten open standaard worden ingeschat. Dit zal plaatsvinden bij de voorbereiding van de algemene maatregel van bestuur waarbij de betreffende open standaard wordt aangewezen. Voor wat betreft een aantal informatieveiligheidstandaarden is reeds een indicatie gemaakt van de ordegrote van de implementatie, omdat het voornemen bestaat om deze standaarden bij algemene maatregel te verplichten. De indicatie is tot stand gekomen door consultatie van onder andere het Platform Internet Standaarden, en – voor wat betreft TLS en DNSSEC – de impactanalyse van VNG/KING. Hieruit blijkt dat voor een bestuursorgaan die de standaard nog niet toepast, de eenmalige implementatiekosten per standaard variëren van enkele honderden tot maximaal tienduizend euro.53 De jaarlijkse kosten variëren per standaard van ongeveer zevenhonderd tot vijfduizend euro.

Voor het Rijk

8. Verhouding tot andere wetgeving

8.1. Algemene wet bestuursrecht

Het onderhavige wetsvoorstel heeft een relatie met het wetsvoorstel tot wijziging van de Awb inzake modernisering elektronisch bestuurlijk verkeer. Ingevolge dat wetsvoorstel krijgen burgers en bedrijven het recht op elektronisch zakendoen met de overheid. Op grond van de huidige Awb (afdeling 2.3) is het gebruik van de elektronische weg alleen toegestaan als zowel de burger of het bedrijf, als het bestuursorgaan met het gebruik hiervan hebben ingestemd. Op grond van genoemd wetsvoorstel kunnen burgers en bedrijven ook eenzijdig kiezen om hun berichten, die onderdeel uitmaken van een procedure inzake een besluit, een voorgeschreven melding of een klacht, digitaal aan een bestuursorgaan te doen toekomen. De instemming van het bestuursorgaan is dus voor dit soort berichten niet langer vereist. Bestuursorganen kunnen echter indien het gaat om berichten, die tot één of meer geadresseerden zijn gericht, niet eenzijdig besluiten tot de elektronische weg.54 In deze gevallen zal een bestuursorgaan (tevens) de schriftelijke weg moeten openstellen ten behoeve van burgers en bedrijven die hieraan de voorkeur geven. Dit is alleen anders indien burgers en bedrijven bij of krachtens de wet verplicht zijn om bepaalde zaken op elektronische wijze met een bestuursorgaan af te wikkelen. Voor die zaken bevat het wetsvoorstel tot wijziging van de Awb de verplichting voor bestuursorganen om personen voor wie de voorgeschreven elektronische weg onredelijk bezwarend is, ondersteuning aan te bieden.

Indien een burger of een bedrijf er in de toekomst voor kiest om via elektronische weg met een bestuursorgaan zaken te doen, is het vervolgens de vraag op welke elektronische wijze hij dit kan doen. Het nieuwe artikel 2:15 Awb verplicht het bestuursorgaan een kanaal (specifiek webformulier, een algemeen contactformulier, een app of een e-mail) voor het type bericht aan te wijzen. Op grond van dit wetsvoorstel zal het bestuursorgaan, voor zover het gaat om dienstverlening waarvoor het betrouwbaarheidsniveau substantieel of hoog geldt, deze dienstverlening alleen kunnen aanbieden met gebruik van toegelaten identificatiemiddelen. Het is op grond van dit wetsvoorstel aan het bestuursorgaan om, volgens bij ministeriële regeling te stellen regels, te bepalen voor welke elektronische diensten ten minste dit betrouwbaarheidsniveau substantieel of hoog geldt. Verwacht mag worden dat bestuursorganen de aanwijzing van het kanaal en de bijbehorende betrouwbaarheidsniveaus in hetzelfde besluit vastleggen. Het aanwijzen van een betrouwbaarheidsniveau kan worden aangemerkt als een invulling van de bevoegdheid van artikel 2:15, tweede lid, Awb om aan het gebruik van een kanaal nadere eisen te stellen.

8.2. Paspoortwet

Voor de invoering van een publiek middel op betrouwbaarheidsniveau hoog, is wijziging van de Paspoortwet nodig. In artikel 3 van de Paspoortwet is namelijk limitatief omschreven welke gegevens op een reisdocument zijn vermeld en waarvan een reisdocument is voorzien. Geregeld wordt het plaatsen van een chip op de identiteitskaart (‘drager’) met daarin de versleutelde persoonsgegevens van de houder van het document. Hierdoor wordt van de NIK een elektronische identiteitskaart (eNIK) gemaakt. De Paspoortwet creëert derhalve de grondslag om de chip op de NIK aan te vullen met gegevens die elektronische authenticatie mogelijk maken. Ook zal de Paspoortwet gaan voorzien in de instelling van een centraal systeem voor de opslag van reisdocumentengegevens dat als bron dient voor het verstrekken van de gegevens ten behoeve van het functioneren van de e-NIK. Voor deze verwerking van persoonsgegevens, inclusief het BSN, is een wettelijke grondslag vereist. Aangezien de Paspoortwet een rijkswet is, kan deze wijziging niet worden meegenomen met dit wetsvoorstel, doch zal worden opgenomen in een eigenstandig wetsvoorstel tot wijziging van de Paspoortwet.

8.3. Wegenverkeerswet

In dit wetsvoorstel is een wijziging van de Wegenverkeerswet opgenomen die regelt dat de zogenoemde rijkskostencomponent van het rijbewijs ook het identificatiemiddel omvat. Dit betekent dat gemeenten bij de uitgifte van het e-rijbewijs aan het Rijk extra kosten zullen moeten afdragen in verband met de authenticatiefunctie van het rijbewijs. Dit extra bedrag zal door de gemeenten vervolgens worden doorberekend in de hoogte van de door de burger voor het rijbewijs te betalen leges. De modellen voor het rijbewijs en de gegevens waarvan het rijbewijs wordt voorzien, worden geregeld in de Regeling vaststelling modellen rijbewijzen en daarmee verband houdende formulieren. Aan de introductie van het e-rijbewijs zal derhalve tevens een wijziging van deze regeling vooraf moeten gaan. Hierin zal geregeld worden welke chip op het rijbewijs zal worden opgenomen.

8.4. Wet op de identificatieplicht

In de Wet op de identificatieplicht (WID) zijn de documenten aangewezen waarmee in bij de wet aangewezen gevallen de identiteit van personen kan worden vastgesteld. De documenten die zijn aangewezen zijn onder meer het Nederlandse paspoort en het Nederlandse rijbewijs. De vraag is of in de WID ook elektronische identificatiemiddelen aangewezen moeten worden, voor de gevallen waarin de identiteit langs elektronische weg wordt vastgesteld.

Een identiteitsbewijs als genoemd in de WID bevat in elk geval de naam, adres en woonplaats, een foto, het bsn indien dat is toegekend en verder de gegevens die nodig zijn voor het doel waarvoor het bewijs is uitgegeven. De aanwijzing van de documenten in de WID houdt primair verband met de algemene identificatieplicht, die ook in die wet is geregeld, van eenieder die de leeftijd van veertien jaar heeft bereikt om op de eerste vordering van bepaalde ambtenaren, militairen of toezichthouders, handelend in het kader van een redelijke taakuitoefening, een algemeen erkend identiteitsbewijs te tonen. Naast de algemene identificatieplicht in de WID is in een groot aantal specifieke wetten bijzondere identificatie- en controleplichten opgenomen waarin – voor het voldoen aan die verplichting – verwezen wordt naar een of meer documenten genoemd in de WID. Bij de in de verschillende wetten geregelde identificatieplichten gaat het steeds om de fysieke controle van de identiteit van de betrokkene.

De WID en de verschillende wetten waarin identificatieplichten zijn opgenomen en waarin verwezen wordt naar een of meer documenten genoemd in de WID, gaan uit van identiteitsbewijzen ten behoeve van fysieke controle van de identiteit of waarvan een afschrift kan worden gemaakt. In deze systematiek past het niet om ook elektronische identificatiemiddelen in de WID aan te wijzen, voor de gevallen waarin de identiteit langs elektronische weg wordt vastgesteld. De regering kiest er daarom voor om niet de WID aan te passen maar te zijner tijd de verschillende wetten waarin identificatieplichten zijn opgenomen te wijzigen indien de dienstverlening op het desbetreffende terrein (volledig) wordt gedigitaliseerd. Dit biedt ook de mogelijkheid per dienst te bepalen welk betrouwbaarheidsniveau (substantieel of hoog) voor de dienst tenminste is vereist. Bovendien kan dan – voor zover nodig – bepaald worden dat naast de authenticatie aan de hand van een elektronisch identificatiemiddel ook bepaalde attributen (aanvullende gegevens zoals de nationaliteit of leeftijd) aan de betrokken dienstverlener verstrekt moeten worden.

8.5. Wet elektronisch berichtenverkeer Belastingdienst

De Wet elektronisch berichtenverkeer Belastingdienst (EBV) schept het wettelijk kader voor het verplichten van elektronisch berichtenverkeer in het contact met de Belastingdienst. In artikel X van deze wet is bovendien een grondslag opgenomen voor voorzieningen voor elektronisch berichtenverkeer, elektronische authenticatie en elektronische registratie van machtigingen en het raadplegen ervan, alsmede voor de in dat verband noodzakelijke verwerking van persoonsgegevens. De zorg voor deze voorzieningen wordt aan de minister van BZK opgedragen. Tevens is bepaald dat hij persoonsgegevens verwerkt, waaronder het BSN, voorzover dit noodzakelijk is voor de goede vervulling van zijn taken. Met de Wet EBV, in werking getreden op 1 november 2015, is een eerste fundament gelegd onder de GDI, met het oog op de reeds in de praktijk functionerende voorzieningen MijnOverheid, DigiD en DigiD Machtigen. Ook het BSN-Koppelregister, essentieel voor het functioneren van identificatiemiddelen in het publieke domein, is nader gereguleerd. Conform hetgeen in de memorie van toelichting bij de Wet EBV is vermeld, zal artikel X komen te vervallen wanneer een specifieke wet in werking treedt. Hiervan is sprake met het onderhavige wetsvoorstel. Voor wat betreft de onder de Wet EBV tot stand gekomen uitvoeringsregelgeving geldt dat het Besluit verwerking persoonsgegevens GDI zal worden gebaseerd op dit wetsvoorstel. Ook de Regeling voorzieningen GDI, waarin onder meer gebruik(ers) voorschriften terzake van authenticatie en machtigen zijn opgenomen zal worden aangevuld en gewijzigd naar aanleiding van dit wetsvoorstel.

8.6. Eidas-verordening en -uitvoeringsverordeningen

Dit wetsvoorstel bevat regels voor de toegang door burgers en bedrijven tot elektronische diensten van dienstverleners in Nederland. Voor grensoverschrijdende elektronische authenticatie door burgers en bedrijven gelden rechtstreeks werkende (minimum)eisen die bij en krachtens de eidas-verordening zijn gesteld. Deze eisen betreffen onder andere de betrouwbaarheid van elektronische identificatiemiddelen en uitgifteprocessen op de betrouwbaarheidsniveaus laag, substantieel en hoog. Om redenen van veiligheid en betrouwbaarheid alsmede om grensoverschrijdend gebruik mogelijk te maken, vormen deze eisen tevens de basis voor regulering van nationale publieke diensten en de elektronische toegang daartoe. Voor de betrouwbaarheidsniveaus substantieel en hoog wordt in de verordening geregeld dat de lidstaten hun stelsels voor elektronische identificatie bij de Europese Commissie kunnen notificeren. Genotificeerde identificatiemiddelen moeten met ingang van medio september 2018 door dienstverleners in andere lidstaten geaccepteerd worden, mits tenminste passend bij het door hen in nationaal verband vereiste betrouwbaarheidsniveau van hun dienstverlening (interoperabiliteit/wederzijdse erkenning). Het ligt in de rede om de in Nederland toegelaten en erkende identificatiemiddelen op de niveaus substantieel en hoog bij de Commissie te notificeren, zodat deze ook in andere lidstaten gebruikt kunnen en moeten worden.

De eidas-verordening wordt uitgewerkt in een meerdere uitvoeringverordeningen van de Europese Commissie. Verordening 2015/1502 bevat technische normen, specificaties en procedures voor de identificatiemiddelen op de diverse betrouwbaarheidsniveaus, bijvoorbeeld inzake aanvraag, verificatie van identiteit (authenticatie), uitgifte en activering, blokkeren en reactiveren en informatiebeveiliging. Deze zullen de basis vormen voor de uitvoeringsregelgeving bij dit wetsvoorstel, alsmede voor de aan private partijen op te leggen voorschriften. Daarnaast geldt uitvoeringsverordening 2015/1501, die rechtstreeks werkende regels bevat over de in de lidstaten in te stellen knooppunten die interoperabiliteit oftewel interconnectie binnen de EU mogelijk moeten maken. Onze Minister van BZK draagt zorg voor deze infrastructurele voorziening,55 die het mogelijk maakt genotificeerde identificatiemiddelen uit andere lidstaten op toegankelijke wijze te ontsluiten voor dienstverleners in Nederland en vice versa. Dienstverlening die samenhangt met grensoverschrijdende authenticatie wordt dus via dit knooppunt afgehandeld.

9. Gevolgen voor burgers en bedrijven

9.1. Gevolgen voor burgers

Zoals in de visiebrief digitale overheid 201756 reeds is aangegeven, draagt dit wetsvoorstel bij aan de verbetering van de kwaliteit van digitale overheidsinformatie en overheidsdienstverlening. Het gebruik van onderdelen van de generieke digitale infrastructuur door zoveel mogelijk overheidsorganisaties draagt bij aan een efficiëntere overheid en uniforme dienstverlening. Het wetsvoorstel regelt het voor authenticatie relevante deel van de infrastructuur bij bestuursorganen en aangewezen organisaties, zodat burgers met een toegelaten identificatiemiddel van het juiste betrouwbaarheidsniveau toegang hebben tot de digitale dienstverlening van alle bestuursorganen en aangewezen organisaties waarop het voorstel ziet. Het wetsvoorstel beoogt een bijdrage te leveren aan vermindering van de regeldruk en administratieve lasten voor burgers, doordat de toegang tot digitale dienstverlening wordt geüniformeerd. De burger zal immers als gevolg van de plicht voor bestuursorganen en aangewezen organisaties om een door de minister toegelaten identificatiemiddel te accepteren met een dergelijk middel bij vele verschillende dienstverleners kunnen inloggen57.

Continuïteit en keuzevrijheid

Continuïteit van digitale dienstverlening betekent voor burgers en bedrijven 24/7 beschikbaarheid en locatie-onafhankelijke toegang.. Dit wetsvoorstel maakt het mogelijk dat een burger of bedrijf met verschillende (publieke en private) middelen kan inloggen. Hierdoor is de beschikbaarheid en bereikbaarheid van dienstverlening beter geborgd. Werkt het ene inlogmiddel niet, dan kan men ervoor kiezen in te loggen met een ander middel. Er is keuzevrijheid..

Veiligheid en aanbod van digitale dienstverlening

Lasten

Het gebruik van betrouwbaarder inlogmiddelen verhoogt de betrouwbaarheid van overheidshandelen en veiliger communicatie met die overheid. Een hogere graad van veiligheid betekent doorgaans extra lasten in de vorm van investering in geld en/of tijd. Dat geldt voor fysieke veiligheid (bijvoorbeeld verscherpte toegangscontroles, poortjes e.d.) en evenzo in de digitale omgeving. Inloggen met een hogere betrouwbaarheid zal lasten veroorzaken in de vorm van tijd (activeren, heractiveren). Met het oog op deze lasten wordt niet per definitie voorgeschreven om de meest betrouwbare inlogmiddelen te hanteren. In uitvoeringsregelgeving zullen criteria worden opgenomen (‘classificatiemodel’) die relevant zijn voor het door de dienstverlener (kunnen) inschalen van het benodigde betrouwbaarheidsniveau zoals aard en rechtsgevolg van de desbetreffende dienst en wettelijke eisen betreffende ondertekening.

Ingroeitraject

Grootschalige introducties van nieuwe inlogmiddelen zoals DigiD substantieel en DigiD hoog kennen een meerjarig uitroltraject. DigiD wordt op dit moment gebruikt door ca. 13,6 miljoen Nederlanders, die in 2016 zo’n 280 miljoen keer inlogden bij overheidsdienstverleners. Het betreft dus een hele grote groep burgers die in een aantal jaren inlogmiddelen op een hoger betrouwbaarheidsniveau moeten gaan gebruiken. Dit zal een meerjarig uitgekiend uitrolprogramma vergen. DigiD hoog komt – in de loop van 2018 – als extra functie beschikbaar op rijbewijzen en de NIK’s. Gelet op de vervangingstermijn van wettelijke identiteitsdocumenten zal de volledige uitrol van DigiD hoog tien jaar vergen.

De berekening van de administratieve lasten voor burgers is niet anders dan met grove aannames en marges te maken. De techniek achter DigiD substantieel en DigiD hoog is nog niet uitontwikkeld en daarom nog niet uitgebreid getest onder groepen burgers. Het is dus niet mogelijk nu al te meten hoeveel tijd het kost om een middel aan te schaffen en te activeren en hoeveel meer of minder tijd het inloggen gaat kosten. Het is daarnaast onzeker in welke mate burgers de komende jaren feitelijk over een middel met hogere betrouwbaarheid gaan beschikken en welke dekkingsgraad wordt bereikt. Teneinde de continuïteit van de dienstverlening te borgen, wordt onderzocht of er een alternatief (privaat) identificatiemiddel kan dienen als achtervang bij uitval van DigiD. Eerst eind 2018 zal duidelijk zijn of er een privaat middel wordt toegelaten voor gebruik bij publieke dienstverlening en welke dekkingsgraad dat middel zal hebben. Vanwege deze onzekerheden is in deze fase niet aan te geven wanneer de verplichting, om elektronische identificatiemiddelen met een hogere betrouwbaarheid te gebruiken, in werking treedt. Het is dus nog niet mogelijk aan te geven vanaf welk jaar de administratieve last ontstaat. Met het oog op massale processen zoals het doen van belastingaangifte ligt het voor de hand de verplichting voor bestuursorganen en aangewezen organisaties om identificatiemiddelen van betrouwbaarheidsniveau substantieel of hoog te gebruiken niet eerder in werking te laten treden, dan nadat DigiD substantieel – in combinatie met een eventueel toegelaten privaat identificatiemiddel – een zeer hoge graad van dekkingsgraad heeft binnen de doelgroep van de 13,6 miljoen DigiD-gebruikers.60

Ook voor de baten geldt dat deze niet anders dan met grote aannames in te schatten zijn wegens onzekerheid met betrekking tot het feitelijk aanbod van nieuwe diensten, de uitrolstrategie, dekkingsgraad van de middelen e.d.

9.2. Gevolgen voor bedrijven

Het wetsvoorstel beoogt een bijdrage te leveren aan vermindering van de regeldruk en administratieve lasten voor bedrijven, doordat er verplichtingen voor dienstverleners worden geïntroduceerd waarmee de toegang tot elektronische dienstverlening wordt geüniformeerd en gestandaardiseerd. Het wetsvoorstel bevat regels voor de voor authenticatie relevante infrastructuur bij bestuursorganen en aangewezen organisaties, zodat bedrijven met een erkend middel van het juiste betrouwbaarheidsniveau toegang hebben tot de digitale dienstverlening van de bestuursorganen en aangewezen organisaties waarop het wetsvoorstel ziet. Het wetsvoorstel heeft vooral effect op bestuursorganen en aangewezen organisaties, oftewel dienstverleners, omdat de reikwijdte van het wetsvoorstel zich uitstrekt tot toegang tot hun dienstverlening. Voor bedrijven ontstaan geen nieuwe verplichtingen, tenzij het private rechtspersonen betreft die in de bijlage bij het wetsvoorstel of in een aanwijzingsbesluit worden aangewezen. Deze aangewezen organisaties kunnen privaatrechtelijke organisaties zoals pensioenfondsen of zorgverleners zijn. Met de acceptatieplicht terzake van de toegelaten en erkende middelen zijn kosten gemoeid voor de aangewezen organisaties. Daarnaast ontstaat voor hen een administratieve last, omdat zij periodiek een verklaring van een auditor moeten overleggen, waaruit blijkt of zij voldoen aan de ingevolge deze wet gestelde bepalingen over de werking, de betrouwbaarheid en de beveiliging van de toegang tot de elektronische diensten die zij in stand houden. Voor deze organisaties, die thans veelal gebruikmaken van DigiD, zijn die audits reeds verplicht ingevolge de huidige aansluitvoorwaarden voor DigiD. Het wetsvoorstel codificeert die verplichting.

Voor een specifieke categorie van bedrijven is er een regeldrukeffect, te weten bedrijven die erkende diensten aanbieden in de zin van dit wetsvoorstel. Deze bedrijven moeten een erkenning verkrijgen alvorens zij hun diensten mogen leveren in het publieke domein. Authenticatiediensten, ontsluitende diensten, machtigingsdiensten of attributendiensten moeten worden erkend door de minister van BZK, alvorens zij hun diensten mogen leveren. Hierbij is geen sprake van een marktverstorend effect omdat het iedereen vrij staat de erkenning aan te vragen. Voor deze erkenning kunnen leges in rekening worden gebracht. Het gaat hier om maximaal enkele tientallen bedrijven. De kosten van toezicht kunnen eveneens worden doorberekend aan de erkende diensten.

eHerkenning

De verwachting is dat eHerkenning erkend zal worden als bedrijfs- en organisatiemiddel. eHerkenning kent verschillende betrouwbaarheidsniveaus, waarbij de prijs van het inlogmiddel toeneemt naarmate het betrouwbaarheidsniveau oploopt. eHerkenning kent een systeem van machtigingen, waardoor bedrijfsmedewerkers kunnen worden gemachtigd voor één specifieke dienst of voor een deel van de overheidsdiensten. De regeldruk is dus ook afhankelijk van de vraag hoeveel bedrijven ervoor kiezen om meer dan één middel aan te schaffen. Overheidsorganisaties kunnen er ook voor kiezen om het papieren kanaal open te houden. Enkele grote uitvoeringsorganisaties staan ook toe dat eenmanszaken bij hen met DigiD inloggen en het is dus vraag hoeveel eenmanszaken een eHerkenningsmiddel zullen aanschaffen voor andere toepassingen. Een laatste onzekerheid is de vraag hoe snel betrouwbaarheidsniveau 3 (eIDAS: Substantieel) de standaard wordt en of in de toekomst meer dan incidenteel niveau 4 vereist zal worden.

Minder belastende alternatieven zijn overwogen en soms doorgevoerd. Zo is met enkele grote uitvoeringsorganisaties afgesproken dat zij voor hun digitale dienstverlening in de toekomst een middel op niveau 3 zullen vereisen. Dit maakt de keuze voor bedrijven, die een eHerkenningsmiddel moeten aanschaffen, een stuk eenvoudiger en kost de kennisname hen minder tijd. Bij de start van eHerkenning is er bewust voor gekozen om eHerkenning niet uit algemene belastinginkomsten te financieren, maar door de partijen te laten betalen die er voordeel bij hebben. Doordat er concurrentie tussen commerciële aanbieders van eHerkenning bestaat, heeft dit o.a. een gunstig effect op prijs. Verder is overwogen om face-to-face controles te vereenvoudigen, zodat dit bedrijven tijd scheelt. De eIDAS-verordening sluit dit uit op niveau Hoog, maar op niveau Substantieel is dit wel gerealiseerd.

9.3. Beoordeling door Adviescollege Toetsing Regeldruk

Het college constateert dat de memorie van toelichting na de consultatie op onderdelen is aangepast. De memorie van toelichting geeft invulling aan het advies om de noodzaak van wetgeving scherper te onderbouwen en daarbij aan te geven waarom voor de identificatiemiddelen nieuwe wetgeving noodzakelijk is. Tevens motiveert de toelichting waarom wordt gekozen om publieke en private middelen naast elkaar toe te laten. Het Adviescollege concludeert dat nut en noodzaak van het wetsvoorstel hiermee voldoende zijn toegelicht.

Aan de aanbeveling van het Adviescollege om de betrouwbaarheidsniveaus van eHerkenning te uniformeren en terug te brengen tot de drie niveaus wordt uitvoering gegeven. Aanbevolen is om in overleg met aanbieders van eHerkenningsmiddelen te komen tot een standaardisering van abonnementen en aanvullende diensten. Het is mogelijk dat een standaardisering tot minder kosten zal leiden, maar eHerkenning is een stelsel met concurrerende aanbieders van inlogmiddelen die zich juist moeten onderscheiden om keuzemogelijkheden voor klanten te bieden, zodat klanten optimaal bediend kunnen worden. Geadviseerd wordt het gebruik van machtigingsvoorzieningen bij eHerkenning te vereenvoudigen. Bij de uitwerking van de lagere regelgeving zal rekening gehouden worden met de behoefte aan gebruiksvriendelijke machtigingssystemen.

10. Overgangsrecht en inwerkingtreding

Vanaf de inwerkingtreding van het wetsvoorstel – de inwerkingtreding kan overigens voor de verschillende artikelen of onderdelen daarvan verschillend worden vastgesteld – geldt voor bestuursorganen en aangewezen organisaties de plicht om de toegelaten identificatiemiddelen (burgers) en de erkende identificatiemiddelen (bedrijven) op het niveau substantieel en hoog te accepteren. Bestuursorganen en aangewezen organisaties mogen middelen met betrouwbaarheidsniveau laag – die niet zullen worden toegelaten of erkend – na de inwerkingtreding van dit wetsvoorstel nog wel accepteren voor diensten waarvoor een laag betrouwbaarheidsniveau geldt. Hiervoor zal bij hen een tarief in rekening worden gebracht.

Voor bestuursorganen en aangewezen organisaties geldt voorts dat zij vanaf inwerkingtreding van het wetsvoorstel aan eisen inzake werking, beveiliging en betrouwbaarheid moeten voldoen. Dit is een verantwoord tijdspad, ervan uitgaande dat zij deze eisen reeds in de praktijk hanteren en zij bovendien vanaf het moment van de (internet)consultatie (eind 2016) konden beginnen met een eerste oriëntatie op hetgeen deze wet voor hen meebrengt, en hiermee rekening hebben kunnen houden bij beslissingen over hun toekomstige investeringen voor digitale voorzieningen.

Voor bedrijfs- en organisatiemiddelen en de terzake betrokken (private) diensten die, conform daartoe met de Staat gemaakte afspraken, reeds functioneerden voorafgaand aan inwerkingtreding van dit wetsvoorstel, geldt een overgangsperiode van 18 maanden.

Voorts wordt voorzien in overgangsrecht voor het geval dat een of meerdere private identificatiemiddelen vooruitlopend op de inwerkingtreding van de wet, – na markconsultatie en een daaropvolgend toelatingstraject – wordt toegelaten. In dat geval wordt de met de desbetreffende private authenticatiedienst gesloten overeenkomst, bedoeld om met private identificatiemiddelen overheidsbreed toegang te verkrijgen tot publieke elektronische dienstverlening, aangemerkt als een besluit tot toelating op grond van dit wetsvoorstel.

Tot slot wordt bij wijze van overgangsrecht het tijdelijke gebruik van identificatiemiddelen, die het betrouwbaarheidsniveau laag respectievelijk substantieel hebben, mogelijk gemaakt voor elektronische dienstverlening waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is.

11. Consultatie en advies Autoriteit Persoonsgegevens

11.1. Consultatie

In de periode van 21 december 2016 tot en met 31 maart 2017 is het voorontwerp van dit wetsvoorstel – met als titel ‘Wet generieke digitale infrastructuur’ – aan een brede consultatie onderworpen. Uit deze consultatie is breed draagvlak gebleken voor de centrale doelstellingen van het wetsvoorstel, te weten het verhogen van het betrouwbaarheidsniveau van de digitale toegang tot overheidsdienstverlening, het waarborgen van de continuïteit van het stelsel van elektronische identificatie en het kunnen verplichten van het gebruik van bepaalde standaarden. Uit de consultatie is voorts gebleken dat het nodig is om bij de verdere uitwerking het authenticatiestelsel op enkele onderdelen te vereenvoudigen om de uitvoerbaarheid beter te realiseren. Het wetsvoorstel is op basis daarvan aangepast.

Koppelvlakken en kosten

Het wetsontwerp ging uit van een aansluitplicht voor alle bestuursorganen en aangewezen organisaties van alle erkende identificatiemiddelen, met elk hun eigen, verschillende, technische koppelvlakken: dit zijn de verbindingen die volgens een bepaalde standaard de uitwisseling van gegevens tussen informatiesystemen mogelijk maken. Voor gemeenten en kleinere uitvoeringsorganisaties, zoals de eerstelijns zorgaanbieders, betekent dit een behoorlijke uitvoeringslast. Medeoverheden dringen aan op aansluiting op de identificatieketen met behulp van één koppelvlak. Het blijkt ook voor grote uitvoeringsorganisaties technisch onuitvoerbaar om een groot aantal technische koppelingen te moeten maken. Uit de consultatie blijkt dat met name ook kleine dienstverleners moeten worden ‘ontzorgd’, wat inhoudt dat het makkelijker wordt gemaakt in technisch opzicht om aan te sluiten op het stelsel en dat dit ook juridisch en administratief niet te veel rompslomp oplevert. Uit de consultatiereacties bleek ook een breed gedragen behoefte onder dienstaanbieders om helderheid te krijgen over de verwachte (aansluit)kosten. Partijen wijzen op meerdere koppelvlakken als belangrijke kostendrijver.

De minister wil het makkelijker maken voor dienstverleners om aan te sluiten op de nieuwe identificatiemiddelen voor burgers (natuurlijke personen): één koppelvlak, één contract en één factuur voor dienstverleners. Dit vermindert de complexiteit en drukt de aansluitkosten. De beoogde vereenvoudiging vereist nader onderzoek op een aantal punten, waaronder de relatie met de tijdige uitvoering van Europese regelgeving ter zake het gelijkelijk toelaten van Europees erkende identificatiemiddelen op het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’. De tijdige uitvoering van deze Europese regelgeving, die vanaf medio september 2018 van kracht zal zijn, dient gewaarborgd te zijn. Er is een (technische) voorziening noodzakelijk waardoor bestuursorganen en aangewezen organisaties eenvoudig kunnen aansluiten op de identificatiemiddelen die zij moeten accepteren. Aldus worden zij bij hun elektronische dienstverlening ‘ontzorgd’. Naar aanleiding van de consultatiereacties is in het wetsvoorstel opgenomen dat de minister verantwoordelijk is voor de inrichting en werking van een routeringsvoorziening, teneinde de toegang tot elektronische dienstverlening te faciliteren.

Multimiddelenaanpak

Uit de consultatie bleek voorts dat de opvattingen over de (uniforme) eisen aan private middelen sterk divergeren onder potentiële leveranciers van private identificatiemiddelen. Sommige potentiële leveranciers kunnen zich niet vinden in de eisen aan de identificatiemiddelen en stellen dat met andere oplossingen dezelfde mate van beveiliging tegen lagere kosten gerealiseerd kan worden. Zonder aanpassing van de eisen (maatwerk) zullen zij waarschijnlijk niet participeren in het publieke deel van het eID-stelsel. Andere partijen vinden dat de eisen uniform moeten worden opgelegd aan alle erkende leveranciers en verzoeken maatregelen te treffen om het commerciële perspectief van de multimiddelenaanpak voor private middelenleveranciers te vergroten, anders bestaat het risico dat er onvoldoende private middelen beschikbaar komen.

De erkenning van de verschillende identificatiemiddelen en gerelateerde diensten die aan uniforme eisen voldoen, onder uitsluiting van andere middelen, en het bijbehorende bestuursrechtelijk toezicht op die middelen, is komen te vervallen. In het wetsvoorstel is de mogelijkheid opgenomen van de toelating van een of meer private middelen, als alternatief naast publieke middelen, op basis van op de eidas-verordening gebaseerde eisen waarop gericht toezicht kan worden gehouden. Om de kosten te beheersen zal een brede (markt)verkenning worden uitgevoerd naar de wijze waarop het gebruik van private middelen op een financieel haalbare wijze is te realiseren. Op basis van de (markt)verkenning wordt bepaald op welke wijze een betaalbaar marktalternatief kan worden toegelaten. Uit de marktverkenning moet blijken of er inderdaad een alternatieve eisen mogelijk zijn, met gelijkwaardige waarborgen voor het niveau van beveiliging en privacybescherming.

Maatwerk

Verder is in de consultatie door organisaties naar voren gebracht dat maatwerk en uitzonderingen mogelijk moeten zijn, bijvoorbeeld op de regel dat uitsluitend toegang wordt verleend met toegelaten middelen. Het wetsvoorstel is aangepast zodat volgens bij lagere regelgeving te stellen regels dienstverleners mogen afwijken van de plicht om de toegelaten en erkende middelen accepteren. Dit kan slechts met het oog op innovatie of dienstverlening aan een welbepaalde doelgroep. Ten behoeve van maatwerk is ook artikel 3, dat het gebruik van open standaarden reguleert, hergeformuleerd. In de wetsbepaling is geëxpliciteerd dat bij de aanwijzing van de standaard het organisatorisch en functioneel toepassingsgebied van de standaard wordt omschreven. Zaken als voor welke (bestuurs)organen, colleges en rechtspersonen met een wettelijke taak, in welke gevallen en vanaf welk moment de standaard toepasselijk is, moeten worden omschreven in de algemene maatregel van bestuur. Het functionele en organisatorische toepassingsbereik zal per geval, dat wil zeggen per aan te wijzen standaard, worden geregeld. Een standaard kan bijvoorbeeld ongeschikt zijn om door de zogeheten b-bestuursorganen of door rechtspersonen met een wettelijke taak te worden toegepast. In dat geval biedt een beperkt organisatorisch of functioneel toepassingsgebied uitkomst.

Tijdens de consultatie en in de daaropvolgende periode is de uitvoerbaarheid van het wetsvoorstel beoordeeld. Het wetsvoorstel bevat een aantal delegatiebepalingen op basis waarvan (lagere) regelgeving tot stand zal komen. Ook deze regelgeving zal steeds worden getoetst op uitvoerbaarheid, opdat hiervan een volledig beeld ontstaat. De besluitvorming omtrent de vaststelling van deze regelgeving zal, nadat de departementen in de gelegenheid zijn gesteld de uitvoerbaarheid te (laten) toetsen, via de ministerraad verlopen, zodat de betrokkenheid van de verschillende departementen en daarmee de uitvoerbaarheid in alle beleidsdomeinen wordt bevorderd.

11.2. Advies Autoriteit Persoonsgegevens

Gevolg gevend aan het advies van de Autoriteit Persoonsgegevens is nader toegelicht waarom de regels met betrekking tot de verwerking van persoonsgegevens niet worden uitgewerkt in de wet zelf maar bij algemene maatregel van bestuur en wordt benadrukt dat het wetsvoorstel en de daarop gebaseerde algemene maatregel van bestuur de normen van de AVG nader uitwerken (verdiepen). Ten aanzien van te nemen cryptografische maatregelen is in de toelichting aangegeven dat deze om redenen van techniek-onafhankelijkheid en toekomstbestendigheid niet in de wet worden opgenomen. Verduidelijkt is voorts op welke wijze in de voorziening BSN-K de functies authenticeren en informeren technisch van elkaar gescheiden zijn. Technische scheiding vormt een onderdeel van privacy by design; het geheel van privacyverhogende maatregelen waaraan al tijdens de ontwikkeling van producten en diensten aandacht wordt besteed. Toegelicht is dat nadere regulering van de door een bestuursorgaan of aangewezen organisatie te overleggen auditverklaring bij of krachtens algemene maatregel van bestuur zal geschieden.

II Artikelsgewijs

Artikel 1

Dit artikel bevat de begripsomschrijvigen. Deze spreken voor zich. Voor wat betreft terminologie wordt in deze wet zoveel mogelijk aangesloten bij de eidas-verordening en de op grond daarvan vastgestelde uitvoeringsverordeningen.

Authenticatie, identificatiemiddel en elektronische dienstverlening

Het woord ‘elektronisch’ ziet in onderhavig wetsvoorstel uitsluitend op dienstverlening via internet via elektronische authenticatie, dat wil zeggen de dienstverlening via internet waarbij de identiteit van de natuurlijke persoon of de rechtspersoon door een (elektronisch) identificatiemiddel wordt geverifieerd. Alhoewel het woord ‘elektronisch’ in andere wetgeving zoals in de Algemene wet bestuursrecht onderscheidenlijk in de praktijk ook wel een bredere betekenis heeft, en mede betrekking heeft op verkeer per fax of sms, of op een telefoongesprek, dan wel communicatie via internet die niet via elektronische authenticatie plaatsvindt, zoals het e-mailverkeer, betreft het in dit wetsvoorstel dus uitsluitend de online-communicatie waarvoor online-authenticatie is vereist. In de eidas-verordening wordt in dit verband gesproken over ‘het aanbieden van een onlinedienst waarvoor elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel vereist is’.

Gevolg is, dat deze wet niet van toepassing is voor dienstverlening waarvoor de elektronische weg sowieso niet openstaat. De elektronische weg staat onder meer niet open, als a. bij of krachtens de wet is bepaald dat een bericht niet langs elektronische weg kan worden verzonden of b. een vormvoorschrift zich tegen elektronische verzending verzet. Van dergelijke gevallen is bijvoorbeeld sprake als bij of krachtens de wet is bepaald dat een aanvraag in persoon dient te geschieden of dat het hieruit impliciet volgt. Zo dient betrokkene voor aanvraag van een Paspoort een vingerafdruk te geven. Dit laatste kan niet via internet. Daarnaast staat voor het bestuursorgaan in principe de elektronische weg niet open als de burger heeft aangegeven niet van de elektronische weg gebruik te willen maken.

In sommige gevallen is de elektronische weg expliciet bij wettelijk voorschrift voorgeschreven, zoals ingevolge de Wet elektronisch berichtenverkeer belastingdienst en de Omgevingswet. Voorts wordt op grond van het voorstel van wet modernisering elektronisch bestuurlijk verkeer (Awb) de beschikbaarheid (openstelling) van de elektronische weg verplicht gesteld bij berichten die onderdeel uitmaken van een procedure inzake een besluit, een voorgeschreven melding of een klacht, indien de desbetreffende burger de voorkeur geeft aan elektronische communicatie. Dit hoeft overigens niet te betekenen dat onderhavig wetsvoorstel van toepassing is op deze berichten. Dit is alleen het geval indien een elektronische authenticatie voor dit elektronisch verkeer vereist is, en wel op het betrouwbaarheidsniveau substantieel of hoog.

Betrouwbaarheidsniveaus

Acceptatie heeft betrekking op diensten via internet waarvoor een substantiële of hogere mate van vertrouwen vereist is terzake van de vraag, of degene die zich authenticiteert ook degene is die hij opgeeft of beweert te zijn.62 Dit is de terminologie die de eidas-verordening hanteert voor elektronische authenticatie op het niveau substantieel en hoog. Dit zal nader uitgewerkt worden. Op grond van dit wetsvoorstel zullen bij ministeriële regeling regels worden gesteld over het vereiste betrouwbaarheidsniveau. Aan de hand hiervan dienen bestuursorganen en aangewezen organisaties zelf hun diensten in te delen (classificeren). Het Forum Standaardisatie heeft een handreiking voor overheidsorganisaties ontwikkeld onder de titel ‘Betrouwbaarheidsniveaus voor digitale dienstverlening’. Deze handreiking zal mede als basis dienen voor de op te stellen ministeriële regeling. Zo zal voor de aanvraag van een reguliere omgevingsvergunning geen elektronische authenticatie op het betrouwbaarheidsniveau substantieel of hoog nodig zijn. Dit geldt bijvoorbeeld wel voor de aanvraag van een sociale uitkering of een toeslag, om aanvragen waarbij medische gegevens van de betrokkene een rol spelen of bij het doen van aangifte van bepaalde misdrijven. Bij voorgeschreven meldingen op het niveau substantieel of hoog gaat het bijvoorbeeld om de aangifte van een geboorte, huwelijk of overlijden, of om een belastingaangifte.

Artikel 2

Lid 1

De zogenaamde b-bestuursorganen, organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Algemene wet bestuursrecht, alsmede rechtspersonen met een wettelijke taak, voorzover deze geen a-bestuursorgaan zijn, worden niet onder het eerste lid begrepen.

Lid 2–3

Lid 4–8

De in het vierde en vijfde de lid opgenomen criteria voor toevoeging respectievelijk verwijdering van categorieën aan de bijlage bij algemene maatregel van bestuur zijn ook de criteria die zijn gehanteerd bij de opstelling van de in dit wetsvoorstel opgenomen bijlage. Organisaties die niet in een categorie zijn onder te brengen, zullen op grond van dezelfde criteria bij een gezamenlijk besluit van de minister van BZK en de betrokken vakminister worden aangewezen. Het gaat hierbij om (categorieën van) instanties die handelen ter uitoefening van een (semi-)publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt; ze hebben gemeen dat ze krachtens wettelijk voorschrift gerechtigd zijn om het burgerservicenummer te gebruiken voor de uitvoering van hun taken en verlenen elektronische diensten aan natuurlijke personen en ondernemingen of rechtspersonen op het betrouwbaarheidsniveau hoog of substantieel. Deze organisaties zijn momenteel doorgaans toegankelijk via het huidig beschikbare publieke identificatiemiddel op betrouwbaarheidsniveau laag. Vooralsnog zijn op de bijlage de volgende categorieën van organisaties aangewezen:

Universiteiten en hogescholen

Er is een aantal organisaties dat op basis van de onderwijswetgeving het burgerservicenummer gebruikt en voor bepaalde diensten ook het beschikbare identificatiemiddel (DigiD) op betrouwbaarheidsniveau laag gebruikt. Dit zijn de onderwijsinstellingen vallend onder de Wet op het hoger onderwijs en wetenschappelijk onderzoek. Het gaat hier om de universiteiten, hogescholen, de Open Universiteit, de levensbeschouwelijke universiteiten, de rechtspersoon met volledige rechtsbevoegdheid die initiële opleidingen verzorgen en de instellingen of rechtspersonen met volledige rechtsbevoegdheid die postinitiële masteropleidingen verzorgen. Een deel van de universiteiten heeft een publiekrechtelijke grondslag, en valt daarom reeds onder onderhavig wetsvoorstel omdat zij a-bestuursorgaan zijn.

Pensioenuitvoerders

Onder ‘pensioenuitvoerders’ wordt in artikel 1 van de Pensioenwet verstaan een ondernemingspensioenfonds, een bedrijfstakpensioenfonds, een algemeen pensioenfonds, of een premiepensioeninstelling of (pensioen)verzekeraar die zetel heeft in Nederland. Hierbij gaat het zowel om organisaties die ouderdomspensioen en nabestaandenpensioen, als de organisaties die een arbeidsongeschiktheidpensioen aanbieden.

Zorgaanbieders, indicatieorganen en zorgverzekeraars

In 2008 en 2009 is de Wet gebruik burgerservicenummer in de zorg in werking getreden. De onder deze wet vallende organisaties en beroepsuitoefenaars zijn verplicht het burgerservicenummer van hun cliënten te gebruiken. Het betreft hier zorgaanbieders als bedoeld in de Wet kwaliteit, klachten en geschillen zorg,indicatieorganen en zorgverzekeraars; zij verlenen diensten aan private afnemers. Als zorgverzekeraars zijn aan te merken de uitvoerders als bedoeld in artikel 1.1.1 van de Wet langdurige zorg, zorgverzekeraars als bedoeld in artikel 1, onder b, van de Zorgverzekeringswet en verzekeringsondernemingen als bedoeld in de EU-richtlijn solvabiliteit II voorzover deze verzekeringen aanbieden of uitvoeren krachtens welke het verzekerde risico de behoefte aan zorg is waarop bij of krachtens de Algemene Wet Bijzondere Ziektekosten geen aanspraak bestaat en waarbij de verzekerde prestaties het bij of krachtens de Zorgverzekeringswet geregelde te boven gaat.

Naast de categorieën van organisaties, die in de bijlage bij deze wet zijn opgenomen, kunnen individuele organisaties worden aangewezen. Dit geschiedt bij besluit van Onze Minister in overeenstemming met de ministers die het, gezien het desbetreffende beleidsdomein, aangaat. Een dergelijk besluit wordt aangemerkt als een voor bezwaar en beroep vatbare beschikking in de zin van artikel 1: 3, tweede lid van de Awb. Aanwijzing geschiedt al dan niet op verzoek van en in overleg met de betrokken instanties, zodat maatwerk kan worden gerealiseerd. Indien de aangewezen organisatie niet langer elektronische diensten verleent waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist, zal het desbetreffende aanwijzingsbesluit worden ingetrokken.

De werkingssfeer, zoals hiervoor geschetst, sluit zoveel mogelijk aan bij de werkingssfeer van de eidas-verordening. Teneinde de wederzijdse erkenning van identificatiemiddelen op betrouwbaarheidsniveau substantieel en hoog te realiseren (artikel 6 eidas-verordening), hanteert deze verordening het begrip ‘openbare instantie’, dat gedefinieerd is als een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden (artikel 3, punt 7, eidasverordening).

Artikel 3

Lid 1

Dit artikel heeft een ruime reikwijdte. Het verplicht bestuursorganen als bedoeld in artikel 1:1, eerste lid, van de Algemene wet bestuursrecht (zogeheten a en b- bestuursorganen, inclusief ZBO’s), organen, personen en colleges als bedoeld in artikel 1:1, tweede lid, van de Algemene wet bestuursrecht (oa de Eerste en Tweede Kamer, de rechterlijke macht, de Raad van State en de Nationale ombudsman) en zogeheten rechtspersonen met een wettelijke taak (RWT)64 tot de toepassing van de ingevolge het tweede lid aangewezen standaarden.

Standaarden zijn afspraken over bijvoorbeeld elektronische gegevensuitwisseling, toegankelijkheid of beveiliging, vastgelegd in zogeheten specificatiedocumenten, die beschrijven hoe gegevens eruit zien, wat ze betekenen en hoe ze kunnen worden uitgewisseld. Aldus wordt het mogelijk om op efficiënte, veilige en betrouwbare wijze (administratieve) processen geautomatiseerd af te wikkelen en onafhankelijkheid van ICT-systeemleveranciers te bewerkstelligen. Van de publieke en semi-publieke sector wordt sinds 2008 verwacht dat deze de standaarden, die op de zogeheten 'pas toe of leg uit' lijst staan, bij aanschaf of (ver)bouw van ICT-systemen hanteren en toepassen in het elektronisch verkeer. 'Pas toe of leg uit'-standaarden zijn open, dat wil zeggen algemeen beschikbare, onbeperkt (her)bruikbare en via een transparant proces ontwikkelde en beheerde, standaarden waarvoor breed draagvlak bestaat.65 Afwijken mag alleen in geval van zwaarwegende redenen; verantwoording hierover moet worden afgelegd in het jaarverslag. In bepaalde gevallen kan echter de inherente afwijkingsmogelijkheid66 tot onwenselijke situaties leiden en ligt het niet in de rede dat bijvoorbeeld een bestuursorgaan – hoe geldig ook op het individuele niveau – zich kan onttrekken aan toepassing. De 'pas toe of leg uit' lijst richt zich tot de publieke en semi-publieke sector, waaronder bijvoorbeeld onderwijsinstellingen en academische ziekenhuizen (veelal zijn dit RWT’s die niet tevens ZBO zijn). Ook richt deze lijst zich op samenwerkingsverbanden, ingesteld bij een gemeenschappelijke regeling, bijvoorbeeld op belastinggebied, die gelet op hun taken en bevoegdheden bestuursorgaan zijn. De ruime werkingssfeer van dit artikel correspondeert hiermee. Zie evenwel de toelichting bij het derde lid.

Lid 2

Het tweede lid maakt voorts duidelijk dat bij het gebruik van de bevoegdheid om bepaalde standaarden aan te wijzen een zorgvuldig en transparant proces wordt doorlopen. De ingerichte en beproefde procedure voor plaatsing op de ‘pas-toe-of-leg-uit’ lijst waarborgt brede en representatieve betrokkenheid vanuit diverse geledingen van de overheid, wetenschap en uitvoering.67 Aanwijzing zal doorgaans betrekking hebben op een standaard die reeds op de bestaande lijst van open standaarden is opgenomen danwel daarvoor is aangemeld; de punten a en b in het tweede lid corresponderen met criteria voor opname op de ‘pas-toe-of-leg-uit’ lijst. Voor nieuwe standaarden kan de procedure voor plaatsing op de lijst en de aanwijzing parallel lopen.

Lid 3

Bij de aanwijzing van een standaard zal het toepassingsbereik worden omschreven. Hierbij moeten zaken als voor welke (bestuurs)organen, colleges en RWT’s de standaard toepasselijk is, in welke gevallen en vanaf welk moment, duidelijk blijken in de algemene maatregel van bestuur. Hierbij kan het toepassingsbereik van de aangewezen standaard beperkter zijn, bijvoorbeeld ten aanzien van het soort berichtenverkeer en geadresseerde organen, dan het toepassingsbereik van dezelfde standaard op de lijst, die een ‘pas-toe-of-leg-uit-karakter’ heeft. Een standaard kan bijvoorbeeld niet geschikt zijn om door b-bestuursorganen of door RWT’s te worden toegepast. Het toepassingsbereik zal dus per geval, dat wil zeggen per aan te wijzen standaard, worden geregeld.

Benadrukt wordt dat de bevoegdheid om bij algemene maatregel van bestuur in bepaalde gevallen standaarden aan te wijzen, de mogelijkheid om in sectorregelgeving voor specifieke doelen standaarden aan te wijzen ongewijzigd laat. Sectorale standaarden mogen niet belemmerend of concurrerend werken in het bovensectorale verkeer; dat zou niet doelmatig zijn. De standaarden op de ‘pas-toe-of-leg-uit-lijst’ zijn naar hun aard sectoroverstijgend en interfereren niet onnodig met sectorale standaarden. Het open proces van totstandkoming van de lijst, waarbij sprake is van brede consultatie van betrokkenen en experts binnen en buiten de overheid alsmede breed samengestelde overleggremia, biedt hiervoor de waarborgen. Door aanwijzing van een standaard in een algemene maatregel van bestuur wordt vervolgens nogmaals brede interdepartementale afstemming bewerkstelligd in het voortraject.

Op basis van dit artikel zal in ieder geval de standaard inzake toegankelijkheid van overheidswebsites voor mensen met een functiebeperking worden aangewezen. Deze nationale open standaard incorporeert de internationale en in EU-verband ondersteunde Web Content Accessibility Guidelines (‘WCAG versie 2.0’) en betreft uitwerking van het uitgangspunt dat informatie op overheidswebsites waarneembaar, bedienbaar, begrijpelijk en consistent moet zijn.68Ook een aantal veiligheidsstandaarden zal worden aangewezen,69 alsmede de (koppelvlak)standaarden Digikoppeling.70 Benadrukt zij, dat het hierbij gaat om reeds bestaande standaarden. Inhoudelijk brengen deze derhalve niets nieuws; bij de toepassing ervan bestaat echter niet langer een inherente afwijkingsmogelijkheid.

Artikel 4

Lid 1

Dit artikel biedt de grondslag voor vaststelling van regels over de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische diensten door bestuursorganen en aangewezen organisaties. Bestuursorganen en aangewezen organisaties vormen een belangrijke schakel in de authenticatieketen waarin de processen op elkaar zijn aangesloten om erkende of toegelaten identificatiemiddelen te kunnen accepteren. Het zijn immers hun elektronische diensten die door burgers en bedrijven worden afgenomen; zij moeten zich daarvoor bij de bestuursorganen en aangewezen organisaties authenticeren met al dan niet toegelaten respectievelijk erkende middelen. Indien de ICT-systemen van de bestuursorganen en aangewezen organisaties de werking, betrouwbaarheid en beveiliging van de toegang tot hun eigen elektronische diensten onvoldoende zouden beschermen, zou daarmee een risico voor de gehele keten ontstaan. Om deze reden is het noodzakelijk aan bestuursorganen en aangewezen organisaties de benodigde regels te stellen. Gelet op de aard en de werkzaamheden van bestuursorganen en aangewezen organisaties, zullen de te stellen regels een algemeen karakter hebben. Ook zullen de regels aansluiten bij hetgeen reeds voor hen gebruikelijk is. Wat betreft de aangewezen organisaties laten de te stellen regels de eventuele regels op grond van sectorspecifieke voorschriften onverlet.

In de praktijk hanteren bestuursorganen thans reeds diverse documenten over beveiliging van ICT-voorzieningen van de overheid. Het betreft de zogeheten baselines informatiebeveiliging71 en normen (primair: NEN-ISO/IEC 27001/27002) en standaarden van de ‘pas-toe-of-leg-uit-lijst’ van het Forum Standaardisatie. Hieraan hebben alle overheden zich via zelfregulering (programma’s NUP en iNUP) verbonden. Ook aangewezen organisaties hanteren reeds (eigen) normenkaders informatieveiligheid. Genoemde documenten en kaders vormen de basis voor de ingevolge dit artikellid te stellen eisen aan bestuursorganen en aangewezen organisaties met betrekking tot de toegang tot hun elektronische dienstverlening. Bij het opstellen van deze eisen zal tevens, in samenspraak met de medebetrokken ministers, worden bezien welke relevante en toepasselijke (elementen van) standaarden zullen worden opgenomen en met ingang van welke datum verplichtstelling dan in de rede ligt. Verder kan gedacht worden aan specificaties en beschrijvingen zoals het maken en naleven van veiligheidsplannen, het nemen van maatregelen op basis van een risicoanalyse en risicowaardering van de geïdentificeerde risico’s (risicomanagement), het doen uitvoeren van audits, koppelvlakspecificaties, functionele (ontwerp)normen, technische procesbeschrijvingen en testbepalingen. Ingevolge deze bepaling dienen bestuursorganen en aangewezen organisaties aan die regels te voldoen. Het is aan de dienstverleners zelf om er zorg voor te dragen dat hun systemen daadwerkelijk aan de gestelde eisen voldoen.

Lid 2–3

Artikel 5

Dit artikel betreft de ministeriële verantwoordelijkheid voor het beheer van de GDI.

Lid 1

Onderdeel a

Onderdeel b

De publieke machtigingsdienst kan op den duur tevens een functionaliteit bevatten waarmee een burger als vertegenwoordiger van de wettelijke erfgenamen toegang heeft tot diensten van bestuursorganen en aangewezen organisaties en met behulp waarvan verkeer tussen de nabestaanden en bestuursorganen en aangewezen organisaties kan worden afgewikkeld met betrekking tot zaken die een overledene betreffen. Overwogen wordt deze machtigingsdienst verder door te ontwikkelen en uit te breiden met het elektronisch ontsluiten van registers of informatie inzake wettelijke vertegenwoordiging. Bezien zal onder meer worden of en onder welke voorwaarden het mogelijk is de bevoegdheden van bewindvoerders en curatoren met betrekking tot elektronische dienstverlening te verifiëren en inzichtelijk te maken.

De in onderdeel b bedoelde voorziening verschaft in ieder geval de mogelijkheid om de bevoegdheid tot het handelen namens natuurlijke personen te verifiëren. Daarnaast bestaat de noodzaak om vertegenwoordigingsbevoegdheid te kunnen verifiëren in een stelsel van authenticatie van rechtspersonen en natuurlijke personen die een onderneming drijven (handelen in de uitoefening van een beroep of bedrijf). Ook hier heeft Onze Minister een verantwoordelijkheid (zie onderdeel f en de artikelen 11–13). Veel bestuursorganen en aangewezen organisaties verlenen diensten aan burgers (natuurlijke personen) en bedrijven (rechtspersonen en natuurlijke personen die een onderneming drijven). Zij hebben derhalve van doen met authenticatie (‘ben je wie je zegt te zijn’) en autorisatie (‘wat mag je’) door of namens burgers en bedrijven. Vanuit de ambitie van het kabinet dat dienstverleners moeten kunnen vertrouwen op veilige en betrouwbare elektronische vastlegging (registratie) van authenticaties en bevoegdheden en ten bewijze hiervan geleverde kenmerken en gegevens van natuurlijke personen of rechtspersonen (attributen, zoals burgerservicenummer of Kamer van Koophandelnummer), kan worden bezien op welke wijze dienstverleners gefaciliteerd kunnen worden bij het verifiëren van vertegenwoordigingsbevoegdheid bij diverse typen machtigingsrelaties waarmee dienstverleners geconfronteerd worden. Mogelijk resulteert dit in een ontwerp van een stelsel van voorzieningen waarin diverse typen machtigingen geregistreerd, geëffectueerd en ingezien kunnen worden. De verdere ontwikkeling op het gebied van machtigen en attributen kan de ambitie vormen voor een volgende tranche.

Onderdeel c

Onze Minister is verantwoordelijk voor de inrichting en werking van een routeringsvoorziening, teneinde de toegang tot elektronische dienstverlening te faciliteren. In deze (technische) voorziening worden verschillende koppelvlakken (verbindingen die volgens een bepaalde standaard de uitwisseling van gegevens tussen informatiesystemen mogelijk maken) ontsloten, waardoor bestuursorganen en aangewezen organisaties eenvoudig kunnen aansluiten op de identificatiemiddelen die zij moeten accepteren. Aldus worden zij bij hun elektronische dienstverlening ‘ontzorgd’.

Onderdeel d

Om redenen van veiligheid en betrouwbaarheid draagt Onze Minister zorg voor een voorziening die het mogelijk maakt dat de identiteit van een natuurlijke persoon, onderneming of rechtspersoon die een elektronische dienst afneemt bij een bestuursorgaan of aangewezen organisatie op unieke wijze geïdentificeerd kan worden. Deze voorziening wordt ook wel het BSN-Koppelregister (BSN-K) genoemd. Via het BSN-K worden toegelaten identificatiemiddelen geschikt (gemaakt), zodat hiermee elektronische diensten kunnen worden afgenomen bij bestuursorganen en aangewezen organisaties. Het BSN-K speelt een rol bij het activeren van een middel en bij een daadwerkelijke authenticatie van een gebruiker ten behoeve van een specifiek(e) bestuursorgaan of aangewezen organisatie. Deze functies zijn zodanig ingericht, dat het BSN-K alleen bij de eenmalige activering van een nieuw middel kan herleiden tot een individuele gebruiker en zijn bsn. Bij de functies authenticeren en informeren is dit niet nodig en is herleiding vanuit privacy-overwegingen onmogelijk gemaakt door technische, maatregelen. Het gaat hierbij om feitelijke maatregelen die, om tegemoet te kunnen komen aan het benodigde beveiligings- en betrouwbaarheidsniveau (onder meer om herleiding tot een natuurlijke persoon te voorkomen) voortdurend in ontwikkeling zijn, zoals cryptografische maatregelen. De genomen maatregelen zullen regelmatig onderhevig zijn aan een privacy impact analyse, teneinde te bezien of ze uit een oogpunt van veiligheid en privacybescherming nog steeds voldoende zijn.

De verschillende functies van het BSN-K zijn vanuit het oogpunt van veiligheid en privacybescherming zoals gezegd technisch van elkaar gescheiden (onderdeel van privacy by design). Uit beveiligingsoogpunt wordt de gebruiker geïnformeerd over de status van zijn middelen; dit geschiedt met behulp van een inzagefunctie. Op deze wijze kan eveneens eventueel misbruik of oneigenlijk gebruik, bijvoorbeeld door een ander dan gebruiker (identiteitsfraude) worden gesignaleerd. Niet geregistreerd wordt welke transacties met welk(e) bestuursorgaan of aangewezen organisatie zijn verricht. Deze transacties worden geregistreerd bij de authenticatiedienst van het betreffende middel.

Onderdeel e

Onze Minister is voorts verantwoordelijk voor voorzieningen voor elektronisch berichtenverkeer met en informatieverschaffing aan natuurlijke personen, ondernemingen en rechtspersonen. Het gaat hierbij in de eerste plaats om hetgeen (tijdelijk, te weten in de opmaat naar het wetsvoorstel) was verankerd in artikel X, eerste lid, van de Wet Elektronisch Berichtenverkeer Belastingdienst (Wet EBV). Het bepaalde wordt nu, conform hetgeen in de Memorie van Toelichting bij de Wet EBV werd aangegeven, opgenomen in het onderhavige wetsvoorstel. Het betreft onder meer de functionaliteit die bekend staat als MijnOverheid, via welke burgers langs elektronische weg, en met gebruik van een publiek middel, toegang wordt geboden tot elektronische informatie en berichten van bestuursorganen op het gebied van hun dienstverlening. Naar verwachting zal deze functionaliteit in de toekomst onder meer worden uitgebreid met MijnOverheid voor bedrijven (ondernemingen en rechtspersonen).

Onderdeel f en slotzin

Dit onderdeel verankert de verantwoordelijkheid van Onze Minister voor het beheer van het stelsel voor identificatie van ondernemingen en rechtspersonen, zoals dit nader wordt uitgewerkt in de artikelen 11-13. Voorts wordt benadrukt dat, hoewel dit wetsvoorstel een onderdeel inzake elektronische dienstverlening aan burgers (natuurlijke personen) en een onderdeel inzake dienstverlening aan bedrijven (ondernemingen of rechtspersonen) bevat, er sprake is van samenhang. Zo geschiedt de beoordeling van toe te laten middelen (burgers) en te erkennen middelen (bedrijven) op vergelijkbare wijze, wordt deels van dezelfde voorzieningen gebruik gemaakt en gelden er gemeenschappelijke bepalingen, bijvoorbeeld op het gebied van (classificering van) betrouwbaarheidsniveaus en informatieveiligheid. Uitgangspunt is dat Onze Minister in het kader van zijn verantwoordelijkheid voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties aan burgers en bedrijven zorg draagt voor interoperabiliteit.

Lid 2 en 3

Tot slot heeft de Minister van BZK taken en verantwoordelijkheden op het gebied van de grensoverschrijdende toegang tot elektronische dienstverlening. Hij draagt in dit verband zorg voor een knooppunt als bedoeld in de verordening die op grond van artikel 12 van de eidas-verordening is vastgesteld76 Deze voorziening maakt het mogelijk dat Nederlandse bestuursorganen en aangewezen organisaties de in andere EU-lidstaten ingevolge de eidas-verordening genotificeerde middelen kunnen accepteren (wederzijdse erkenning). In geval Nederlandse toegelaten of erkende elektronische identificatiemiddelen zijn genotificeerd, vindt routering van de authenticatie met dat Nederlandse middel naar een andere lidstaat ook via dat knooppunt plaats.77 Ten behoeve van grensoverschrijdend inloggen door de houder van een in Nederland toegelaten en bij de Europese Commissie genotificeerd middel, wordt een via het BSN-K verkregen versleuteld pseudoniem omgezet in een Europees bruikbare UniquenessID. Dit UniquenessID is weliswaar gebaseerd op het burgerservicenummer, maar publieke dienstverleners in andere EU-lidstaten, die ingevolge de eidas-verordening verplicht zijn om de door Nederland genotificeerde en op de Commissielijst geplaatste identificatiemiddelen te accepteren teneinde toegang te verlenen tot hun elektronische diensten, ontvangen dus zelf het betrokken burgerservicenummer niet.78

Uit het derde lid volgt dat het knooppunt, aan de uit een andere lidstaat ontvangen set gegevens een burgerservicenummer of andere aan de natuurlijke persoon of rechtspersoon gekoppelde gegevens, toe te voegen voor zover die gegevens noodzakelijk zijn voor bestuursorganen en aangewezen organisaties om de betrokken natuurlijke persoon of rechtspersoon ten behoeve van het verrichten van de elektronische dienstverlening in hun systemen te herkennen. In geval toevoeging van het burgerservicenummer aan het setje eidas-gegevens door een andere voorziening reeds mogelijk is, bijvoorbeeld middels het eerdergenoemde BSN-k, zal het knooppunt zelf het nummer niet toevoegen en ook niet in kunnen zien.

Het hier bedoelde knooppunt maakt deel uit van een netwerk van knooppunten in de lidstaten dat wordt gerealiseerd om grensoverschrijdende authenticatie mogelijk te maken wordt. De uitvoering van de eidas-verordening wordt toegelicht in de Kamerstukken bij de wetgeving terzake.79

Lid 4

Tot slot heeft ook de Dienst Wegverkeer (Ministerie van Infrastructuur en Milieu) een verantwoordelijkheid, zoals reeds toegelicht onder a. Voor de authenticatiefunctionaliteit (opname van data in een chip ten behoeve van elektronische authenticatie) op de bestaande drager (rijbewijs) is niet deze dienst maar de Minister van BZK verantwoordelijk. De verantwoordelijkheid van de Dienst Wegverkeer betreft de uitgifte van het rijbewijs. Doordat echter de authenticatiefunctie op het rijbewijs wordt aangebracht, treden afhankelijkheden op met de processen die te maken hebben met de aanvraag, productie, uitreiking en intrekking van deze fysieke documenten. Dit betekent dat in de Wegenverkeerswet nieuwe taken en grondslagen voor gegevensverwerking zullen worden opgenomen die verband houden met het opnemen van de authenticatiefunctie op deze documenten.

Artikel 6

Lid 1

Lid 2

Het in dit artikellid bepaalde betreft hetgeen nodig is om veilige en betrouwbare toegang tot elektronische diensten van bestuursorganen en aangewezen organisaties mogelijk te maken. Een bestuursorgaan of aangewezen organisatie bepaalt in beginsel zelf welk betrouwbaarheidsniveau hij passend acht voor welke soort dienstverlening. Bij het bepalen van het betrouwbaarheidsniveau moeten dienstverleners zich evenwel houden aan de bij ministeriële regeling te stellen criteria inzake betrouwbaarheidsniveaus voor authenticatie bij elektronische diensten; er zullen regels worden gesteld op basis waarvan een bestuursorgaan of aangewezen organisatie kan vaststellen voor welke elektronische dienst tenminste het betrouwbaarheidsniveau substantieel of hoog geldt. Doel van deze regeling, die in lijn zal zijn met de eidas-verordening en de in de praktijk reeds gehanteerde Handreiking betrouwbaarheidsniveaus80, is dienstverleners te helpen een eenduidige, efficiënte en bewuste keuze te maken in de betrouwbaarheidsniveaus van hun digitale diensten. In de regeling zullen criteria worden opgenomen (‘classificatiemodel’) die relevant zijn voor het door de dienstverlener (kunnen) inschalen van het benodigde betrouwbaarheidsniveau zoals aard en rechtsgevolg van de desbetreffende dienst en wettelijke eisen betreffende ondertekening. Ook zal worden voorgeschreven dat bestuursorganen en aangewezen organisaties het betrouwbaarheidsniveau voor hun diensten (onderbouwd) bekend maken en dat zij in het proces van toegang kenbaar maken wat het betrouwbaarheidsniveau van de betrokken dienstverlening is. Dit schept ook voor gebruikers van identificatiemiddelen duidelijkheid en rechtszekerheid. Naar verwachting betekent het bovenstaande dat het aantal diensten, waarbij met authenticatie op betrouwbaarheidsniveau laag kan worden volstaan, sterk zal afnemen.

Artikel 7

Lid 1–2

Bestuursorganen mogen uitsluitend toegelaten middelen accepteren en moeten met toegelaten middelen toegang verlenen tot hun elektronische dienstverlening. Burgers die houder zijn van een toegelaten middel hebben aldus een aanspraak op het gebruik ervan. Aldus kan het recht op elektronisch zakendoen met de overheid, zoals neergelegd in afdeling 2.3 van de Algemene wet bestuursrecht inzake elektronisch bestuurlijk verkeer, geëffectueerd worden. Op deze wijze worden bovendien middelen uit andere EU-lidstaten, terzake waarvan immers een europeesrechtelijke plicht tot wederzijdse erkenning bestaat (b) en nationaal toegelaten middelen (a) non discriminatoir behandeld. Vanzelfsprekend geldt ook het omgekeerde: in Nederland toegelaten middelen, die bij de Europese Commissie succesvol zijn genotificeerd, moeten door overheidsorganisaties in de andere lidstaten worden geaccepteerd.81

De toegelaten identificatiemiddelen worden bij besluit van Onze Minister aangewezen (artikel 9). Het gaat hierbij om identificatiemiddelen voor natuurlijke personen ten behoeve van authenticatie in het publieke domein. In dit verband zullen primair publieke middelen op de betrouwbaarheidsniveaus substantieel en hoog worden aangewezen. De formulering laat ruimte voor het in de toekomt eventueel toelaten van een of meerdere privaat uitgegeven (i.e. niet door de overheid verstrekte) identificatiemiddelen. Naar verwachting zal dienstverlening, waarvoor het bsn wordt gebruikt, over het algemeen op betrouwbaarheidsniveau substantieel of hoog worden geclassificeerd aan de hand van de ministeriële regeling zoals bedoeld in artikel 6, tweede lid, van dit wetsvoorstel. In het proces van totstandkoming van deze ministeriële regeling zal duidelijker worden in welke mate er diensten, waarvoor het bsn wordt gebruikt, op betrouwbaarheidsnivau laag overblijven. In aansluiting op het voorgaande geldt de acceptatieplicht ook voor een elektronische verklaring cq machtiging afgegeven in het kader van de voorziening als bedoeld in artikel 5, eerste lid, onderdeel b (machtiging).

Benadrukt zij, dat de acceptatieplicht terzake van toegelaten middelen voor rechterlijke instanties zal gelden; artikel 3 onder c van het Besluit digitalisering burgerlijk procesrecht en bestuursprocesrecht, dat een beslissingsbevoegdheid van de rechterlijke instanties bevat, zal worden aangepast. Voor aangewezen organisaties en rechterlijke instanties geldt evenals voor bestuursorganen dat zij bij hun elektronische dienstverlening aan natuurlijke personen waarvoor authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, alle toegelaten identificatiemiddelen en elektronische verklaringen als bedoeld in artikel 5, eerste lid, onderdeel b, moeten accepteren. De wederzijdse erkenning van identificatiemiddelen, die behoren tot een door een lidstaat van de Europese Unie ingevolge de eidas-verordening bij de Europese Commissie aangemeld en goedgekeurd stelsel, vloeit voort uit artikel 6 van de eidasverordening. Deze acceptatieplicht geldt alleen voor openbare instanties als bedoeld in de eidas-verordening. Voor zover aangewezen organisaties of rechterlijke instanties niet zijn aan te merken als openbare instantie geldt deze plicht tot wederzijdse erkenning in principe dus niet. Voor die organisaties en instanties geldt dat de genotificeerde eidas-middelen uitsluitend geaccepteerd hoeven te worden indien dit is bepaald bij besluit van Onze Minister in overeenstemming met Onze Minister die het mede aangaat.

Lid 3

Bestuursorganen, aangewezen organisaties en rechterlijke instanties kunnen volgens bij – door Onze Minister in nauwe samenspraak met de minister wie het mede aangaat te formuleren – ministeriële regeling vast te stellen regels voor welbepaalde, dus afgebakende, groepen afwijken van het eerste respectievelijk tweede lid onder a en kunnen dus in plaats van een toegelaten middel een alternatief middel hanteren, indien dit noodzakelijk is om redenen van op die doelgroep gerichte elektronische dienstverlening, gelet op de specifieke aard van die diensten. Gedacht kan bijvoorbeeld worden aan bepaalde onderwijsinstellingen, die om technische redenen voor bepaalde groepen studenten een eigen identificatiemiddel hanteren. Het bepaalde zal terughoudend worden toegepast; er wordt geen algemene ontsnappingsmogelijkheid geboden voor bestuursorganen, aangewezen organisaties en rechterlijke instanties die de acceptatieplicht in het eerste of tweede lid bezwaarlijk vinden. Vanzelfsprekend kunnen bestuursorganen niet van de plicht tot wederzijdse erkenning afwijken. Het betreft immers een Europeesrechtelijke verplichting.

Consequentie van het bepaalde is dat in overeenstemming met bij ministeriële regeling vast te stellen regels domeinspecifieke of door dienstverleners gehanteerde ‘eigen’ identificatiemiddelen (bijvoorbeeld voor mensen die niet kunnen beschikken over een burgerservicenummer, waaronder die afkomstig zijn van buiten de EU) mogen worden toegepast. Door de toenemende beschikbaarheid van toegelaten middelen – waarbij gewaarborgd is dat die aan de terzake gestelde (eidas) eisen voldoen – is evenwel de verwachting, dat op termijn het gebruik van niet-toegelaten middelen zal afnemen voor dienstverlening aan natuurlijke personen.

Lid 4

Hoewel in het vierde lid van artikel 13 voor bestuursorganen en aangewezen organisaties de bevoegdheid is opgenomen om met betrekking tot natuurlijke personen die een onderneming drijven (dwz natuurlijke personen in de uitoefening van beroep of bedrijf) voor het gebruik van een bedrijfsmiddel te kiezen (en daarmee een toegelaten middel te weigeren), geldt dit niet indien en voorzover bij ministeriële regeling anders is bepaald. Het vierde lid hanteert het begrip ‘in de uitoefening van beroep of bedrijf’ om te expliciteren dat het aanbieden van elektronische diensten door een ZZP’er of beroepsbeoefenaar onder deze formulering wordt begrepen. In het voorkomende geval wordt de desbetreffende persoon geaccommodeerd; hij kan dan – in een specifieke sector – ook een toegelaten identificatiemiddel gebruiken.

Artikel 8

Lid 1

Een publiek middel en de (machtigings)voorziening, bedoeld in artikel 5, eerste lid, onderdeel b, worden uitsluitend gebruikt voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties. Authenticatie in het elektronische verkeer met commerciële dienstaanbieders (ook wel aangeduid als ‘het private domein’) bijvoorbeeld webwinkels, valt niet onder de werkingssfeer van deze wet.82 Het gebruik van (al dan niet toegelaten) private identificatiemiddelen in dit verband is dus geen onderwerp van regulering. Het gebruiken van een publiek middel voor commerciële dienstverlening is niet toegestaan, teneinde de markt niet te verstoren. Uitgangspunt is dat publieke middelen en publieke voorzieningen bedoeld zijn voor de toegang tot de dienstverlening door bestuursorganen en aangewezen organisaties voorzover het de uitoefening van hun publieke (openbare) taken betreft. Dat betekent bijvoorbeeld dat een gemeente voor de elektronische verkoop van kaartjes voor een concert in het gemeentehuis of bij de elektronische aankoop van een bloemstuk niet om het gebruik van een publiek middel mag verzoeken.

Lid 2:

Bij ministeriële regeling kan worden bepaald, dat een publiek middel tevens voor de toegang tot welbepaalde private elektronische diensten van deze dienstverleners kan worden gebruikt. Het zal hierbij gaan om nader omschreven aangewezen organisaties, voor nader omschreven diensten anders dan diensten ter uitoefening van een publieke taak, in het algemeen belang of waarbij het burgerservicenummer wordt verwerkt. Gedacht kan bijvoorbeeld worden aan zorgverzekeraars en zorgverleners. Vanzelfsprekend gelden in dit voorkomende geval alle regels van het wetsvoorstel, waaronder die met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de desbetreffende private diensten, op de naleving waarvan wordt toegezien door Onze Minister.

Lid 3

Bij ministeriële regeling kan worden bepaald dat een publiek identificatiemiddel tevens ten behoeve van aangewezen organisaties kan worden gebruikt voor het verlenen van toegang tot een systeem voor de elektronische uitwisseling van gegevens waarbij het burgerservicenummer wordt verwerkt, anders dan een systeem voor elektronische dienstverlening. Gedacht kan hierbij worden aan het gebruik binnen gesloten (‘interne’) systemen zoals dat bijvoorbeeld binnen en tussen zorginstellingen bestaat voor het – binnen de grenzen van de wet – onderling digitaal uitwisselen van patiëntgegevens. Zorginstellingen zijn private organisaties die ten behoeve van hun dienstverlening de identiteit van patiënten moeten vaststellen. Het is van belang dat deze identiteitsvaststelling bij zorgverlening, indicatiestelling en zorgverzekering plaatsvindt. Het gebruik van persoonsgegevens, inclusief het bsn, in de zorg is om die reden nadrukkelijk wettelijk geregeld. In aansluiting daarop geldt ingevolge het onderhavige wetsvoorstel voor zorginstellingen een acceptatieplicht, opdat patiënten met hun publieke identificatiemiddel bij hen terecht kunnen. Wat betreft de interne bedrijfsvoering en uitwisseling van medische gegevens binnen het zorgdomein is het voorts van belang dat gegevens aan de juiste persoon gekoppeld worden en dat alleen bevoegd zorgpersoneel de individuele medische gegevens kan verwerken. Zekerheid omtrent de identiteit van degenen die met die privacygevoelige gegevens omgaan, zoals zorgverleners, is daarbij van groot belang. Om die reden bevat het derde lid de mogelijkheid om een publiek middel tevens voor een gesloten systeem te gebruiken. Vanzelfsprekend gelden in dit voorkomende geval alle regels van het wetsvoorstel, waaronder die met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de desbetreffende diensten en met betrekking tot toezicht.

Artikel 9

Lid 1

Ingevolge artikel 5, eerste lid onder a, jo artikel 9, eerste lid, draagt Onze Minister zorg voor de beschikbaarheid van publieke middelen op de betrouwbaarheidsniveaus substantieel en hoog. De regels waaraan deze middelen moeten voldoen zijn primair de eisen ten aanzien van werking, veiligheid en betrouwbaarheid die voortvloeien uit de eidas-verordening. Op onderdelen worden, om redenen van veiligheid en pricacybescherming, voor in Nederland toe te laten middelen de Europese eisen ingevuld en ‘vertaald’ naar de nationale situatie en daarmee toetsbaar gemaakt. Dit is ingevolge de eidas-verordening toegestaan. Deze regels, alsmede hoe deze zich verhouden tot de eidas-verordening (transponeringstabel) worden gepubliceerd. Het gaat hier derhalve om eisen die Onze Minister terzake van de door hemzelf uitgegeven (= publieke) identificatiemiddelen hanteert en die aan voortdurende (technische) ontwikkeling onderhevig zijn.

Lid 2

Onze Minister kan besluiten om een of meerdere privaat uitgegeven middelen op de betrouwbaarheidsniveaus substantieel en hoog toe te laten voor gebruik in het publieke domein. Op deze manier wordt burgers de mogelijkheid geboden over meerdere identificatiemiddelen te beschikken voor gebruik in de richting van bestuursorganen en aangewezen organisaties (keuzevrijheid) en is sprake van een minder kwetsbaar stelsel van identificatiemiddelen in het publieke domein. Om deze terugvaloptie te realiseren, is de aanbieder van een door Onze Minister toegelaten privaat identificatiemiddel verplicht diensten aan te bieden aan derden in het openbaar belang, voor eigen rekening en risico.

Vanwege het ontbreken van een daadwerkelijke markt voor identificatiemiddelen ten behoeve van gebruik in het publieke domein, alsmede vanwege het bestaan van een ongelijk speelveld, wordt niet voorzien in een regulier vergunningenstelsel (waarbij een vergunning wordt verkregen als aan de eisen wordt voldaan), maar wordt marktordening op centraal niveau noodzakelijk geacht. Hiertoe dient het tweede lid e.v. Er is sprake van de verdeling van schaarse rechten. Het verlenen van het (bijzondere) recht om – voor eigen rekening en risico – een privaat middel uit te geven ten behoeve van de toegang tot publieke dienstverlening dient gepaard te gaan met uitvoering van de verplichtingen door de houder van dat recht.

De uitoefening van de in het tweede lid gegeven bevoegdheid van Onze Minister is genormeerd. Toelating geschiedt in de eerste plaats slechts indien dit noodzakelijk is voor de beschikbaarheid en toegankelijkheid van identificatiemiddelen voor natuurlijke personen in Nederland, waardoor stabiliteit en continuïteit van de toegang tot elektronische dienstverlening gewaarborgd kan worden. Voorts dient het middel te voldoen aan de – in het verlengde van de eidas-verordening, zie toelichting bij het eerste lid – gestelde regels ten aanzien van werking, veiligheid en betrouwbaarheid. Met betrekking tot de toelating van private middelen wordt vanzelfsprekend – en voortbordurend op de eidas-verordening – hetzelfde veiligheids- en betrouwbaarheidsniveau gehanteerd als voor de publieke middelen. Tot slot moet de geschiktheid van het middel zijn gebleken in een vergelijkende toets op basis van vooraf bekendgemaakte criteria. Van belang is immers dat sprake is van objectieve en vooraf algemeen kenbare toepassingsnormen; deze bieden waarborgen aan de gegadigden en zijn toetsbaar door de rechter. Indien er slechts een gegadigde is, wordt een vergelijkende toets achterwege gelaten.

Lid 3–4

Voorafgaand aan de verdeling als bedoeld in het tweede lid moet kenbaar zijn aan welke regels de aanvrager moet voldoen. In dat verband zullen ook aan een toelatingsbesluit voorschriften worden verbonden, die vanzelfsprekend zullen uitgaan van hetzelfde veiligheids- en betrouwbaarheidsniveau als terzake van publieke identificatiemiddelen (zie toelichting bij lid 1), en die onder meer betrekking zullen hebben op verplichte uitvoering, beveiliging, prijsstelling, privacybescherming (bijvoorbeeld te nemen technische en organisatorische maatregelen, zoals regels inzake de integriteit van het bij de dienstverlening betrokken personeel en intrekking of schorsing van het identificatiemiddel) en geldigheidsduur. De houder van de toelating is verplicht te voorzien in de beschikbaarheid en werking van het toegelaten identificatiemiddel volgens de aan het besluit tot toelating verbonden voorschriften. Een toegelaten middel kan gewijzigd, geschorst of ingetrokken worden. Aanleiding kan bijvoorbeeld zijn het in gevaar komen van de betrouwbaarheid van de grensoverschrijdende authenticatie (artikel 10 van de eidas-verordening). Op de genoemde besluiten staat rechtsbescherming open ingevolge de Algemene wet bestuursrecht.

Lid 5–6

Zoals gesteld is duidelijkheid vooraf omtrent inhoudelijke aspecten inzake toelating, wijziging, schorsing en intrekking van belang, gelet op het bieden van rechtszekerheid omtrent de toelating van publieke en, in voorkomend geval, private identificatiemiddelen, de wijze van toetsing door Onze Minister, de gronden voor (verlenen, wijzigen, schorsen en intrekken van) toelating en de hieraan te verbinden voorschriften en beperkingen. Hiertoe worden beleidsregels vastgesteld en kenbaar gemaakt (lid 6). Van een besluit tot toelating, wijzigen, schorsen of intrekking wordt mededeling gedaan door plaatsing in de Staatscourant (lid 5).

Artikel 10

Hoewel deze wet vooral regels bevat voor de overheid zelf, bevat dit artikel in het tweede lid de grondslag voor regels met betrekking tot het gebruik door natuurlijke personen van de publieke middelen en de voorzieningen, bedoeld in artikel 5, eerste lid. Het betreft regels die betrekking hebben op de publieke middelen en de voorzieningen die van belang zijn voor danwel een directe relatie hebben met natuurlijke personen (gebruikers), zoals de eisen inzake aanvraag, activatie, uitgifte, blokkeren en beëindiging van publieke middelen, aanvraag, registratie en intrekken van een machtiging in relatie tot de vertegenwoordigde en beoogd gemachtigde, het zorgvuldig gebruik van de inzagefunctie en van MijnOverheid. Voorheen waren deze primair vindbaar in (privaatrechtelijke) gebruiksvoorwaarden die golden in de relatie Onze Minister – gebruiker.83 Om redenen van duidelijkheid en rechtszekerheid ligt het echter in de rede algemeen verbindende voorschriften te stellen. De gebruik(ers)voorschriften met betrekking tot een eventueel ingevolge artikel 8, tweede lid, toe te laten privaat identificatiemiddel dienen door de aanbieder van dat middel in een gebruiksovereenkomst met de houder te worden vastgelegd.

Artikel 11

Paragraaf 4.3 heeft betrekking op een stelsel voor authenticatie (‘ben je wie je zegt te zijn’) en autorisatie (‘wat mag je’) van ondernemingen en rechtspersonen die zich ingevolge de Handelsregisterwet moeten of kunnen inschrijven in het handelsregister. Het betreft onder meer eenmanszaken, CV’s, VOF’s en maatschappen, maar ook verenigingen en bijvoorbeeld kerkgenootschappen. Deze authenticatie en autorisatie vindt plaats via erkende door private partijen uitgegeven middelen. Aangezien dit stelsel op punten afwijkt van de bepalingen aangaande de toegelaten middelen (voor natuurlijke personen/burgers), en teneinde verwarring met de daarin gehanteerde termen te voorkomen, is een apart begrip voor deze identificatiemiddelen geïntroduceerd (zie ook artikel 1). De term bedrijfs- en organisatiemiddel maakt duidelijk dat het middel zowel bestemd is voor bedrijven, oftewel ondernemingen, als voor het handelen door (onderdelen) van publieke organisaties, zoals Rijkswaterstaat. Dit laatste betreft uiteraard het handelen van deze organisatie in de hoedanigheid van afnemer van elektronische dienstverlening bij een bestuursorgaan of aangewezen organisatie.

Ten behoeve van de verankering van het stelsel voor identificatie, authenticatie en autorisatie van ondernemingen en rechtspersonen heeft de Minister van BZK de bevoegdheid om niet alleen de betrokken identificatiemiddelen, maar ook de voor het stelsel (en deugdelijke toegang tot elektronische dienstverlening) benodigde andere diensten te erkennen. Anders dan bij authenticatie door burgers, terzake waarvan in dit wetsvoorstel de focus ligt op het van overheidswege uitgeven van identificatiemiddelen, worden de bedrijfs- en organisatiemiddelen niet door de overheid zelf uitgegeven en worden die diensten niet door de overheid geleverd. Private partijen kunnen een aanvraag indienen om erkend te worden. Teneinde te verzekeren dat de middelen en diensten worden verricht met een voldoende veiligheids- en betrouwbaarheidsniveau worden bij of krachtens algemene maatregel van bestuur nadere regels gesteld. Deze betrouwbaarheids- en veiligheidsregels zullen in elk geval overeenkomen met de krachtens de eidas-verordening gestelde kaders. Maar ook aan de partijen zelf kunnen regels worden gesteld, teneinde de betrouwbare werking te borgen. Te denken valt aan financiële gezondheid van de partij, de governance, etc. Voorts is voor een deugdelijke toegang van een ondernemer tot de elektronische dienstverlening van belang dat de verschillende onderdelen waar nodig goed op elkaar aan sluiten. Te meer daar waar meerdere ontsluitende diensten of bijvoorbeeld attributendiensten worden erkend. Daarom worden ook ten behoeve van die interoperabiliteit regels gesteld.

Een authenticatiedienst kan zelf een bedrijfs- en organisatiemiddel uitgeven. De dienst wordt dan ten behoeve van het uit te geven middel als middelenuitgever erkend, maar ook als authenticatiedienst. Tegelijkertijd kan een partij die een middel uitgeeft de authenticatie daarvan overlaten aan een derde partij, een authenticatiedienst. Een authenticatiedienst kan dan erkend worden voor de authenticatie met een middel dat door een andere erkende middelenuitgever wordt uitgegeven. Bij de aanvraag tot erkenning moet dan duidelijk zijn dat de betrokken authenticatiedienst inderdaad gerechtigd is om authenticatiediensten te verlenen ten aanzien van het erkende en door een erkende middelenuitgever uitgegeven bedrijfs- en organisatiemiddel.

De ontsluitende dienst draagt zorg voor de ontsluiting van alle andere diensten. Wanneer een gebruiker een dienst wil afnemen bij een dienstverlener met een authenticatiemiddel van een erkende authenticatiedienst zorgt de ontsluitende dienst dat de authenticatie van de gebruiker bij de juiste erkende authenticatiedienst wordt opgehaald. Wanneer er ook een machtiging nodig is haalt de ontsluitende dienst de benodigde machtiging op bij een machtigingsdienst indien deze machtiging aanwezig is. Ook kan de ontsluitende dienst attributen ophalen bij een attributendienst indien dat gewenst is. De ontsluitende dienst draagt de opgehaalde gegevens over aan de dienstverlener die daarmee de dienstverlening kan voortzetten.

In aanvulling op de interoperabiliteitsregels voor het stelsel voor een bedrijfs- en organisatiemiddel kan ervoor worden gekozen om ook regels te stellen op basis waarvan interoperabiliteit tussen het stelsel voor het bedrijfs- en organisatiemiddel en de toegelaten middelen voor natuurlijke personen geborgd kan worden. Een dergelijke interoperabiliteit kan tegemoetkomen aan een effectieve toegang tot elektronische dienstverlening en een efficiënt gebruik van beschikbare voorzieningen en middelen. Op die manier kan bijvoorbeeld geborgd worden dat een burger een ondernemer kan machtigen namens hem of haar te handelen richting de overheid en andersom.84

De procedure aangaande het indienen en behandelen van een aanvraag om erkenning zal bij of krachtens algemene maatregel van bestuur nader worden uitgewerkt. Het gaat daarbij bijvoorbeeld om de bij de aanvraag te overleggen documenten. In dit kader zal waarschijnlijk een certificaat van een certificerende instelling overgelegd moeten worden, waaruit kan worden opgemaakt dat de dienst aan de gestelde eisen voldoet.

Hoewel het wetsvoorstel betrekking heeft op elektronische dienstverlening waarvoor authenticatie op het betrouwbaarheidsniveau hoog of substantieel is vereist, is het ook mogelijk dat een middelenuitgever of een authenticatiedienst middelen op niveau laag uitgeeft. De algemene maatregel van bestuur zal ook voor dergelijke middelen eisen bevatten, die mede betrekking hebben op de interoperabiliteit met de andere diensten in het stelsel. Het voordeel hiervan is dat het lage middel aansluit op de overige erkende diensten. Een bestuursorgaan dat de erkende bedrijfs- en organisatiemiddelen op het niveau substantieel of hoog accepteert via een erkende ontsluitende dienst, zal ook op gemakkelijke wijze een erkend bedrijfs- en organisatiemiddel op het niveau laag kunnen accepteren. Hoewel die acceptatie dus niet verplicht wordt, zal in de praktijk het effect zijn dat het middel voor de toegang tot elektronische dienstverlening gemakkelijk beschikbaar is.

Een aanvraag wordt in principe afgewezen indien niet aan de gestelde regels wordt voldaan. Op grond van de te stellen regels zal evenwel ook een tijdelijke erkenning mogelijk zijn in geval nog niet aan alle gestelde regels is voldaan. Dit kan bijvoorbeeld aan de orde zijn in geval aan vrijwel alle eisen wordt voldaan en nog enige tijd nodig is om aan alle eisen te voldoen. Ook kan het zijn dat strikt genomen niet aan de gestelde regel wordt voldaan, maar dat op een andere wijze de betrouwbaarheid en veiligheid van het stelsel is geborgd. In deze gevallen kan de erkenning toch verleend worden in geval een afwijzing naar het oordeel van de Minister onredelijk moet worden geacht, bijvoorbeeld omdat anders de toegang tot digitale dienstverlening onvoldoende beschikbaar is. Van belang is te allen tijde dat de betrouwbaarheid en veiligheid van het stelsel en de privacy als gevolg van een dergelijke erkenning niet in geding is. In voorkomende gevallen zal middels een voorschrift aan de erkenning worden verzekerd dat binnen een te bepalen periode alsnog aan de eisen wordt voldaan of dat aan de alternatieve inrichting van veiligheid en betrouwbaarheid wordt voldaan.

Voorts wordt niet uitgesloten dat een dienst wel aan alle eisen voor erkenning voldoet, maar dat verlenen van een erkenning om zwaarwegende redenen niet gewenst wordt geacht. Het gaat daarbij om situaties waarin de betrouwbaarheid en veiligheid van het stelsel mogelijk in gedrang komt. Te denken valt aan de situatie dat bij de te verlenen dienst betrokken personen verdacht worden van of veroordeeld zijn van ernstige strafbare feiten. In dit kader kan gedacht worden aan dezelfde maatstaf als ook wordt gebruikt in het kader van de Wet bevordering integriteitsbeoordeling door het openbaar bestuur. Maar ook kan worden gedacht aan de situatie dat de dienst in handen is van een bedrijf dat gevestigd is in een vreemde mogendheid en beïnvloeding van het stelsel door die vreemde mogendheid wordt gevreesd.

Binnen het huidig wettelijk kader zijn er verschillende registers voorhanden, die attributen bevatten aan de hand waarvan een onderneming of rechtspersoon kan worden geïdentificeerd. Te denken valt aan het BIG-register in de zorg. Deze attributen kunnen van belang zijn voor de toegang tot bepaalde elektronische dienstverlening. Datzelfde geldt voor bestaande machtigingsregisters. Het tiende en elfde lid bevatten de bevoegdheid voor de Minister van BZK om de diensten die voor deze wettelijke registers verantwoordelijk zijn aan te wijzen als erkende attributendienst respectievelijk erkende machtigingsdienst. Op die manier kan worden verzekerd dat binnen het stelsel van toegang tot elektronische dienstverlening voor ondernemers en rechtspersonen van de gegevens in deze wettelijke registers gebruik kan worden gemaakt daar waar dit voor de elektronische dienstverlening van belang is. Een dergelijke aanwijzing geschiedt in overeenstemming met de betrokken vakminister. Aan de aanwijzing kunnen voorschriften worden verbonden daar waar dit voor de interoperabiliteit binnen het stelsel en en betrouwbare toegang noodzakelijk is. Uiteraard worden deze voorschriften in nauw overleg met de betrokken dienst vormgegeven en zal een dergelijke aanwijzing uitsluitend aan de orde zijn daar waar de privacyregels kunnen worden geborgd.

Artikel 12

Artikel 13

Het stelsel voor de authenticatie en autorisatie van ondernemingen is bedoeld voor de toegang van die onderneming tot elektronische dienstverlening die zij nodig hebben voor de uitoefening van hun beroep of bedrijf. Voor deze dienstverlening wordt in het algemeen gebruik gemaakt van het KvK- of RSIN nummer van de betrokken onderneming. Met het eerste lid wordt benadrukt dat de acceptatieplicht die met dit artikel wordt vormgegeven uitsluitend van toepassing is op dienstverlening aan ondernemingen en rechtspersonen die over een dergelijk nummer kunnen beschikken. Daartoe wordt verwezen naar ondernemingen en rechtspersonen als bedoeld in de Handelsregisterwet. Dit betekent dat een onderneming die niet is aan te merken als onderneming als bedoeld in artikel 5 van de Handelsregisterwet, niet door een bestuursorgaan of aangewezen organisatie de toegang tot online dienstverlening kan worden ontzegd enkel vanwege de omstandigheid dat hij niet over een erkend bedrijfs- en organisatiemiddel beschikt. Het staat bestuursorganen en aangewezen organisaties in deze gevallen vrij om de toegang middels andere methoden te verlenen, bijvoorbeeld middels een eigen inlogsysteem. Uiteraard moet bij deze vrijheid wel de Europeesrechtelijke kaders aangaande de interne markt, zoals bijvoorbeeld verankerd in de Dienstenrichtlijn, in acht worden genomen.

In een aantal situaties is sprake van een min of meer gesloten systeem van elektronische dienstverlening tussen bepaalde bestuursorganen of aangewezen organisaties en bepaalde beroepsgroepen. Te denken valt aan de elektronische communicatie met de rechterlijke macht door advocaten. In dergelijke min of meer gesloten systemen wordt nogal eens gebruik gemaakt van een ander, specifiek voor die dienst of die doelgroep bedoeld identificatiemiddel. Zo maken advocaten gebruik van de advocatenpas. Voor deze situaties biedt het zesde lid de bevoegdheid aan de Minister van BZK om dat andere specifieke identificatiemiddel aan te wijzen. Dit middel mag dan in afwijking van de plicht om uitsluitend toegang te verlenen in geval gebruik wordt gemaakt van erkende bedrijfs- en organisatiemiddelen (of van toegelaten middelen) ook worden geaccepteerd in de toegang tot de bij dat aanwijzingsbesluit bepaalde elektronische dienstverlening. Van belang is uiteraard dat daarbij eenduidig wordt bepaald om welke dienstverlening het gaat en welke ondernemers en rechtspersonen daar gebruik van kunnen maken. Voorts is van belang dat ook dit specifieke middel op betrouwbaarheidsniveau substantieel of hoog kan worden gebruikt en ook aan de daarvoor geldende eisen voldoet. Is dat niet het geval, dan wordt het middel niet aangewezen. Bovendien mag van dat middel dan, zonder die aanwijzing, geen gebruik worden gemaakt bij de elektronische dienstverlening op niveau substantieel of hoog. Dat laatste volgt uit artikel 7, eerste lid. Daarin is bepaald dat een bestuursorgaan of aangewezen organisatie bij de toegang tot zijn elektronische dienstverlening op het niveau substantieel of hoog uitsluitend middelen van ten minste datzelfde niveau accepteert.

Aangezien uit artikel 6 van de eidas-verordening voor openbare instanties een plicht toterkenning volgt van alle bij de Europese Commissie genotificeerde en geaccepteerde middelen, is expliciet bepaald dat het bepaalde in artikel 13 die plicht tot wederzijdse erkenning onverlet laat. Het uitgangspunt dat uitsluitend erkende en toegelaten middelen worden geaccepteerd, laat dus onverlet dat bestuursorganen en aangewezen organisaties, voor zover zij zijn aan te merken als openbare instantie, ook de genotificeerde en geaccepteerde eidas-middelen moeten erkennen. Ook in een min of meer gesloten stelsel zal een eidas-middel dus geaccepteerd moeten worden.

Tot slot volgt uit de Dienstenrichtlijn dat een bedrijf de gelegenheid moet hebben om via één loket alle procedures en formaliteiten af te wikkelen die nodig zijn voor de toegang tot zijn activiteiten en via dat één loket ook vergunningaanvragen af moet kunnen wikkelen die nodig zijn voor de uitoefening van de activiteit. Gelet op de doelstellingen van de Dienstenrichtlijn dient dit eenvoudig, op afstand en elektronisch te kunnen plaatsvinden. Dat geldt ook voor een Europees bedrijf dat middels het in Nederland hiertoe vormgegeven Centraal Loket procedures wenst af te wikkelen waarvoor het betrouwbaarheidsniveau hoog of substantieel geldt. In geval een Europese dienstverlener zich ingevolge de Handelsregisterwet niet kan inschrijven in het handelsregister, zal de in dit artikel vormgegeven acceptatieplicht niet belemmerend werken. Die is dan immers niet van toepassing.

Niet uitgesloten is echter, dat er bedrijven uit andere lidstaten zijn die zich wel kunnen inschrijven in het handelsregister, maar waarvoor het lastig of onmogelijk is om op eenvoudige wijze en op afstand te kunnen beschikken over een erkend middel. Om te verzekeren dat deze bedrijven de formaliteiten en vergunningaanvragen via het Centraal Loket te allen tijde in overeenstemming met de Dienstenrichtlijn kunnen afwikkelen, is in het vierde lid bepaald dat de acceptatieplicht niet geldt voor het aanmaken van en de toegang tot een elektronische postbus in het Centraal loket en niet voor de dienstverlening die via die postbus plaatsvindt. Bij dit laatste is wel de voorwaarde opgenomen dat de gegevens in het kader van die dienstverlening telkens van een elektronische handtekening is voorzien. Wat de betrouwbaarheid van de handtekening betreft wordt in dit kader gewezen op artikel 2:16 van de Algemene wet bestuursrecht. Voorts is van belang dat bij het al dan niet accepteren van een elektronische handtekening niet in strijd wordt gehandeld met het bepaalde in artikel 14, vijfde lid, van de Dienstenwet.

Artikel 14

Lid 1

De in dit wetsvoorstel genoemde ministers, alsmede bestuursorganen en aangewezen organisaties verwerken persoonsgegevens, waaronder het burgerservicenummer (bsn), voor zover dit noodzakelijk is voor de goede uitvoering van hun taken en verplichtingen ingevolge deze wet. Het gaat hierbij om gegevensverwerking in het kader van authenticatie en de in dat verband betrokken voorzieningen (zie artikel 5, eerste lid), en in het kader van de toegangsverlening tot cq het ontsluiten van elektronische diensten op de betrouwbaarheidsniveaus substantieel en hoog. Ook om activiteiten in het kader van voorkomen, herkennen en herstellen van misbruik en oneigenlijk gebruik adequaat te kunnen uitvoeren is het noodzakelijk om persoonsgegevens te verwerken. Gegevensverwerking in het kader van de elektronische dienstverlening als zodanig wordt niet onder dit artikellid begrepen. Het verlenen van elektronische diensten behoort tot het beleidsdomein en de verantwoordelijkheid van het desbetreffende bestuursorgaan of aangewezen organisatie en valt buiten de werkingssfeer van deze wet.

Lid 2

De aanbieder van een toegelaten privaat middel moet burgers in staat stellen toegang te verkrijgen tot elektronische diensten van bestuursorganen en aangewezen organisaties. Voorwaarde voor dit functioneren is de verwerking van persoonsgegevens en derhalve een wettelijke grondslag terzake. Core business van dergelijke partijen, ook wel authenticatiediensten genoemd, is het authenticeren van gebruikers. In het kader van deze wet oefenen zij functies uit die onlosmakelijk verband houden met het functioneren van de voorziening bedoeld in artikel 5, eerste lid, onderdeel d. De goede werking van deze voorziening is namelijk afhankelijk van de aanlevering van bepaalde persoonsgegevens over de gebruiker van een identificatiemiddel, die dit wil gebruiken voor de afname van diensten in het publieke domein. Het bsn wordt eenmalig aangeleverd aan Onze Minister als beheerder van de voorziening BSN-K. Om de verkregen gegevens te controleren op juistheid, vraagt hij gegevens op uit de basisregistratie personen; verificatie geschiedt door de opgegeven gegevens van de aanvrager (burger) te controleren aan de hand van de hierin opgenomen gegevens.85 De authenticatiedienst controleert deze gegevens aan de hand van het overlegde identificatiemiddel en bewaart geen integrale kopie, maar een kopie waarop de gelaatsfoto en het bsn zijn verwijderd. Hierdoor ontstaat er bij de authenticatiediensten geen verzameling van persoonsgegevens (hotspot), waardoor de privacy van de gebruikers wordt beschermd.86 Voor het bsn als basis voor de uit te voeren controle is gekozen omdat alleen op basis hiervan de grootst mogelijke zekerheid wordt verkregen omtrent de identiteit van de gebruiker. Als alternatief is overwogen om het nummer van het document als bedoeld in artikel 1 van de Wet op de Identificatieplicht te hanteren. Op zichzelf is een WID-documentnummer geschikt als basis voor de controle. Het bsn is echter een meer betrouwbare en persistente manier om uniciteit te verzekeren. Hiermee is voldaan aan de eisen van doelbinding, noodzaak, proportionaliteit en dataminimalisatie, zoals deze volgen uit artikel 8 EVRM en de artikelen 7 – 11 van de Wet bescherming persoonsgegevens.87

Lid 3

Ook voor een aantal specifieke partijen dat betrokken is bij de goede werking van het stelsel inzake elektronische authenticatie van ondernemingen en rechtspersonen is een wettelijke grondslag gerealiseerd voor de verwerking van persoonsgegevens. Authenticatie is in dit verband een samenspel tussen publieke en private partijen. Te denken valt aan het controleren van het bsn bij de uitgifte van een bedrijfs- en organisatiemiddel en het ten behoeve van authenticatie verkrijgen van een polymorfpseudoniem voor dat bsn, vast te stellen door het BSN-K. De uitgever van het bedrijfs- en organisatiemiddel baseert zich bij de uitgifte op hetgeen aan kenmerken en gegevens beschikbaar wordt gesteld (bijvoorbeeld KvK-nummer, RSIN, OIN, bsn) door een partij die hiertoe een verklaring afgeeft. Een machtigingsdienst verwerkt gegevens om betrouwbaar de koppeling tussen vertegenwoordiging en bedrijvenmiddel te maken. Een ontsluitende dienst verwerkt tot slot (versleutelde) gegevens bij het routeren van het elektronisch verkeer tussen een bestuursorgaan of aangewezen organisatie en erkende aanbieders van een bedrijvenmiddel, machtigingsdiensten en attributendiensten in het kader van het ‘ontzorgen’ van dienstverleners.

Lid 4

Bij algemene maatregel van bestuur zullen regels worden gesteld over de precieze persoonsgegevens die gelet op de voorgaande leden worden verwerkt, het doel van de verwerking, aan wie deze gegevens worden verstrekt en hoe lang deze worden bewaard. Aan de eisen van doelbinding, subsidiariteit en proportionaliteit alsmede aan de uitgangspunten van kenbaarheid, voorzienbaarheid en transparantie voor degenen wiens gegevens het betreft, zal aldus verder invulling worden gegeven. Het Besluit verwerking persoonsgegevens GDI zal hiertoe worden gewijzigd en aangevuld.

Artikel 15

Lid 1

Het toezicht op de naleving van de toe te passen standaarden, van de plicht tot acceptatie en classificering en van het gebruik van publieke middelen in het publieke domein door decentrale overheden loopt via reguliere (interbestuurlijke) lijnen. Er wordt voor die niveau’s dus geen afzonderlijke toezichthouder aangewezen; terzake gelden de Gemeente- en Provinciewet. Voor de naleving door overheidsorganen op het niveau van het Rijk respectievelijk bestuursorganen op het niveau van de Rijksoverheid (ministeries en zelfstandige bestuursorganen) en door de aangewezen organisaties geldt dat de minister, op wiens beleidsterrein het betreffende overheidsorgaan of het desbetreffende zelfstandige bestuursorgaan of aangewezen organisatie werkzaam is, een toezichthouder aanwijst. Het daarbij in de regel gaan om het terzake van de desbetreffende organisaties reeds functionerende toezicht. Voor wat betref het toezicht op de ministeries zelf, dient onder ‘Onze Minister wie het aangaat’ Onze Minister te worden verstaan.

Lid 2

Met het toezicht op de naleving van de artikelen 3, 6, 7, 8, eerste lid, en 13 door bestuursorganen op het niveau van de provincies zijn belast de bij besluit van Onze Minister aangewezen ambtenaren. In lijn met het reguliere interbestuurlijke toezicht houdt de minister toezicht op provincies en bestuursorganen op het niveau van provincies (gemeenschappelijke regelingen waaraan provincies deelnemen).

Lid 3

In lijn met het reguliere interbestuurlijke toezicht houden de provincies toezicht op de naleving van de artikelen 3, 6, 7, 8, eerste lid, en 13 door gemeenten en waterschappen alsmede de bestuursorganen op het niveau van gemeenten en waterschappen, zoals gemeenschappelijke regelingen. Het provinciebestuur informeert de minister over de (mate van) naleving zodat de minister zijn rol als stelselverantwoordelijke kan vervullen.

Lid 4

Met het toezicht op de naleving van de voorschriften als bedoeld in het derde lid van artikel 9, zijn belast de bij besluit van Onze Minister aangewezen ambtenaren. Het gaat hierbij om toezicht op een of meerdere private partij(en) die een toegelaten privaat middel aanbiedt. Nader bezien zal worden of het opportuun is om ambtenaren van het Agentschap Telecom danwel van een andere Rijksinspectie aan te wijzen. Hiervan wordt mededeling gedaan in de Staatscourant.

Lid 5

Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 12 zijn belast de bij besluit van Onze Minister van BZK aangewezen ambtenaren. Het gaat hierbij om toezicht op private partijen die erkend zijn in het stelsel voor elektronische authenticatie van ondernemingen en rechtspersonen. Naar verwachting worden hiertoe ambtenaren van het Agentschap Telecom aangewezen. Hiervan wordt mededeling gedaan in de Staatscourant.

Lid 6

Op de naleving door bestuursorganen en aangewezen organisaties van de eisen inzake informatieveiligheid en de in dit verband opgelegde auditverklaring alsmede van de regels inzake gebruik buiten het publieke domein wordt toezicht gehouden door Onze Minister.

Lid 8–9

Onze Minister heeft de bevoegdheid tot het opleggen van een last onder bestuursdwang of een bestuurlijke boete ter handhaving van de voorschriften met betrekking tot de houder van een toegelaten privaat identificatiemiddel. Tevens kan de Minister een verleende erkenning opschorten of intrekken indien niet wordt voldaan aan het bepaalde bij of krachtens artikel 12 eerste, tweede of derde lid, en is hij bevoegd om terzake een last onder bestuursdwang op te leggen. In aanvulling daarop is ook de bevoegdheid opgenomen tot het opleggen van een bestuurlijke boete.

Artikel 16

Lid 1

Teneinde veilige en betrouwbare elektronische authenticatie in het publieke domein te kunnen realiseren, is het nodig dat Onze Minister beschikt over de mogelijkheid om maatregelen te nemen om compromittering van de veilige en betrouwbare toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties te voorkomen of beëindigen. Dit artikellid biedt hem bevoegdheden indien andere instrumenten (afspraken, waarschuwing, bestuurlijk overleg) niet toereikend blijken om veilige en betrouwbare toegang tot publieke dienstverlening te realiseren.

Het eerste lid faciliteert, mits proportioneel, maatregelen van Onze Minister om in het kader van vermoede of manifeste integriteits- of beveiligingsinbreuken maatregelen te treffen die zich richten op de dienstverlening van bestuursorganen en aangewezen organisaties met als doel de borging of het herstel van de betrouwbare toegang tot hun elektronische diensten. Dit betekent dat de genoemde bevoegdheden hun grens kennen. Wanneer bijvoorbeeld een burger met gebruik van zijn publieke middel een frauduleuze aanvraag voor toeslagen indient door bewust verkeerde posten in te vullen om meer toeslag te verkrijgen dan waar hij recht op heeft, is er geen sprake van aantasting van de betrouwbaarheid van de toegang tot publieke diensten. Het is immers de burger die misbruik pleegt, met andere woorden het gebruik van zijn middel is frauduleus. In dat geval bestaat voor de minister geen wettelijke grondslag om uit eigen beweging dergelijke (vermoedens van) fraude te onderzoeken en hiervan melding te doen aan betrokken bestuursorganen. Tot de in dit artikel bedoelde taak behoort ook niet opsporing ten behoeve van strafvorderlijke vervolging. Wel kunnen politie, justitie en daartoe bevoegde dienstverleners zoals de Belastingdienst, de desbetreffende minister of het desbetreffende bestuursorgaan om informatie en gebruik(er)sgegevens verzoeken. Alsdan zal afgewogen worden of de relevante informatie kan worden aangeleverd overeenkomstig de daarvoor geldende wettelijke kaders. Ook binnen de voorzieningen als bedoeld in artikel 5, eerste lid, is ten behoeve van het operationeel beheer (goede werking, probleemanalyse etc.) sprake van (technische) controlemaatregelen met betrekking tot persoonsgegevens en digitale identiteit, logging en het bijhouden van een audittrail, bijvoorbeeld over (afwijkend) gedrag van gebruikers van een publiek middel, dat gebruikt kan worden voor het herkennen van misbruik.

Ernstige, waaronder voortdurende, niet nakoming van de plicht tot het betalen van de (oa aansluit) kosten bedoeld in artikel 19 kan tot slot ook aanleiding vormen voor door Onze Minister te nemen maatregelen.

Lid 2–3

Teneinde vast te (kunnen) stellen of sprake is van een situatie als bedoeld in het eerste lid, is het van belang dat Onze Minister op de hoogte is. Een bestuursorgaan of een aangewezen organisatie moet daarom Onze Minister onverwijld in kennis stellen van een inbreuk op de beveiliging of de integriteit van een eigen elektronische dienst of van misbruik of oneigenlijk gebruik van de toegang tot de eigen elektronische dienstverlening. Het bestuursorgaan of de aangewezen organisatie verstrekt daarbij alle benodigde informatie. Hetzelfde geldt voor een (interbestuurlijke) toezichthouder die ernstige niet naleving door een bestuursorgaan of aangewezen organisatie van het bij of krachtens de artikelen 7, 8 en 13 bepaalde constateert.

Voor de goede orde wordt opgemerkt, dat melding in de zin van dit artikel onderscheiden moet worden van de meldplicht datalekken; ingevolge artikel 33 AVG moet het lekken van persoonsgegevens als gevolg van beveiligingsproblemen, met nadelige gevolgen voor de bescherming van de persoonsgegevens (diefstal, verlies of misbruik) worden gemeld aan de Autoriteit Persoonsgegevens. Voorts kan in de toekomst eventueel de jegens het Nationaal Cyber Security Centrum geldende meldplicht voor ernstige ICT-inbreuken toepasselijk zijn. Deze meldplicht geldt alleen voor (nader aan te wijzen) aanbieders van diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving.88

Lid 4–5

Ook bij het vermoeden van misbruik of oneigenlijk gebruik van een individueel middel dat gebruikt wordt voor elektronische dienstverlening (dus: in het publieke domein), heeft de minister van BZK de mogelijkheid om snel en doeltreffend te handelen en het desbetreffend middel ‘uit de roulatie’ te halen. Het kan hierbij gaan om een welbepaald toegelaten middel van hetzij publieke aard, hetzij (ingevolge artikel 9, tweede lid) private aard of om een (ingevolge artikel 11) erkend middel. Benadrukt wordt dat deze acute maatregel is gericht tot een individueel middel en dat deze bevoegdheid toekomt aan de minister en niet aan dienstverleners. Bestuursorganen en aangewezen organisaties hebben, gezien hun verantwoordelijkheid voor (bescherming van hun) bedrijfsvoering, ingeval van door hen geconstateerde integriteitsproblemen vanzelfsprekend wel de mogelijkheid om hun dienstverlening op te schorten.

Het (tijdelijk) onderbreken door de minister betekent dat de toelating van het type middel in beginsel ongemoeid wordt gelaten (zie evenwel artikel 9, vierde lid, respectievelijk artikel 12, vierde lid). Het is niet wenselijk om bij het nemen van acute maatregelen afhankelijk te zijn van de medewerking van de desbetreffende private aanbieder; het is immers de verantwoordelijkheid van de betrokken minister om te zorgen voor veilige en betrouwbare toegang tot elektronische dienstverlening. Hij moet indien nodig zelf maatregelen kunnen nemen om dit te borgen. Indien nodig zullen hiertoe technische aanpassingen binnen de infrastructuur plaatsvinden.

Als blijkt dat een EU-genotificeerd middel gecompromitteerd is en de betrouwbaarheid van de grensoverschrijdende authenticatie in gevaar komt, geldt ingevolge artikel 10, eerste lid, van de eidas-verordening dat de aanmeldende lidstaat onverwijld de grensoverschrijdende authenticatie of de delen waarvan de integriteit geschonden is, moet opschorten of intrekken, en de andere lidstaten en de Commissie hiervan op de hoogte moet stellen.

Artikel 17

Lid 1–2

Alleen indien hij over juiste en volledige informatie beschikt, kan Onze Minister zijn taken en verantwoordelijkheden voor een veilige en betrouwbare toegang tot elektronische dienstverlening waarmaken. Naast het monitoren, onderzoeken en analyseren zoals dat in het kader van het operationeel beheer gebeurt, is wederzijdse informatieverschaffing (uit eigen beweging en op verzoek) door betrokkenen in de authenticatieketen nodig. Dit artikel voorziet daarin. Alle benodigde informatie – over de werking van de toegang en dus niet over de inhoud van de in het kader van de dienstverlening uitgewisselde berichten – moet daarbij worden verstrekt, zodat Onze Minister kan beoordelen of er maatregelen moeten worden getroffen. Een wederzijds afgestemde aanpak ligt daarbij om redenen van effectiviteit en doelmatigheid in de rede; van bestuursorganen en aangewezen organisaties kan, gezien het belang om veiligheid ketenbreed op te pakken, bijvoorbeeld medewerking verlangd worden op het moment dat mogelijk misbruik (bijvoorbeeld een integriteits- of beveiligingsinbreuk) wordt geconstateerd.

Omgekeerd moet Onze Minister gegevens en inlichtingen verstrekken aan betrokken partijen over de compromittering van de veilige en betrouwbare toegang elektronische dienstverlening voor zover dit noodzakelijk is voor een goede uitoefening van hun taken respectievelijk te verlenen diensten. Welke gegevens in het concrete geval moeten worden uitgewisseld is afhankelijk van de omstandigheden van het geval. Om die redenen kan niet op voorhand een inperking worden aangebracht in de gegevens die dienen te worden verstrekt en verwerkt. De gegevensverwerking kan daarmee in potentie ieder gegeven betreffen dat beschikbaar is binnen de autheticatieketen. Vanzelfsprekend gelden daarbij de uitgangspunten van noodzakelijkheid, doelbinding, proportionaliteit en subsidiariteit. Ook gegevensverwerking in het kader van veilige en betrouwbare authenticatie omvat immers (mede) de verwerking van persoonsgegevens, zodat aan de bepalingen van de Wet bescherming persoonsgegevens (Wbp) en de EU Verordening gegevensbescherming moet worden voldaan.

Artikel 18

Lid 1

Dit lid verankert het algemene uitgangspunt dat de burger zal moeten betalen voor de aanschaf van een publiek identificatiemiddel en voor het middel zelf. De hoogte van deze leges is nog niet bekend en kan per publiek middel verschillen.

Lid 2

Het tweede lid biedt een grondslag voor het bij ministeriële regeling vaststellen van een tarief voor publieke middelen waarvan het tarief niet in een ander wettelijk voorschrift wordt geregeld. De kosten voor de extra functie van authenticatie op de e-NIK zullen worden verdisconteerd in het tarief voor de NIK. Hiertoe zal het Besluit Paspoortgelden worden aangepast. De kosten die de RDW maakt worden aan de hand van de rijkskostencomponent ingevolge artikel 121, eerste lid, Wegenverkeerswet via gemeenten bij de burger in rekening gebracht, dan wel via het tarief van de RDW voor een door de RDW afgegeven e-rijbewijs. Op basis van de voorgestelde bepaling zal een tarief kunnen worden geheven voor een publiek middel op betrouwbaarheidsniveau substantieel.

Artikel 19

De kosten die het Rijk maakt samenhangend met de uitvoering van de artikelen 5 (realiseren van publieke middelen en voorzieningen) en 9 (toelaten van private middelen) worden door de minister ten laste gebracht van de bestuursorganen en aangewezen organisaties. Op dit moment is het nog niet goed mogelijk om de totale kosten en de componenten daarvan in beeld te brengen. Evenmin is bekend in welke mate er gebruik zal worden gemaakt van de voorzieningen. In de methode van doorberekening kan daarom nog geen inzicht worden geven. Zodra daarover meer duidelijkheid bestaat, worden hierover bij ministeriële regeling nadere regels gesteld.

Artikel 20

Dit artikel biedt voor de Minister van BZK de grondslag om de kosten door te berekenen voor het behandelen van een erkenningsaanvraag, alsmede voor het toezicht op de naleving van de aan de erkende dienst opgelegde eisen.

Hoewel identificatiemiddelen op een lager betrouwbaarheidsniveau dan substantieel of hoog niet ingevolge deze wet zullen worden toegelaten, zullen ze om praktische redenen voorshands beschikbaar blijven; ze kunnen worden geaccepteerd door bestuursorganen en aangewezen organisaties voor diensten waarvoor een laag betrouwbaarheidsniveau geldt.

Artikel 21

Binnen vijf jaar na de inwerkingtreding van deze wet zal deze worden geëvalueerd, teneinde de doeltreffendheid en de effecten ervan in kaart te brengen. In het bijzonder wordt hierbij – mede naar aanleiding van gehouden privacy impact analyses – aandacht geschonken aan de vraag, of de getroffen (technische, organisatorische en juridische) maatregelen op het gebied van beveiliging en privacybescherming nog steeds voldoende zijn. Ook zaken als het systeem van de wet, de werking van de voorzieningen, de mate waarin behoefte bestaat aan nieuwe of andere functionaliteiten en interoperabiliteit komen bij gelegenheid van de evaluatie aan de orde.

Artikel 22

Dit artikel voorziet in overgangsrecht voor bedrijfs- en organisatiemiddelen en diensten die al, conform daartoe met de Staat gemaakte afspraken,89 functioneerden voorafgaand aan inwerkingtreding van deze wet.

Artikel 23

Dit artikel voorziet in overgangsrecht terzake van een vooruitlopend op inwerkingtreding van de wet toegelaten privaat middel. Thans wordt ten behoeve van toelating van een of meerdere private middelen een marktconsultatie voorbereid. Voorzover deze in de aanloop naar inwerkingtreding van de wet zijn beslag krijgt, en leidt tot een voor inwerkingtreding van deze wet van kracht geworden overeenkomst van Onze Minister met een private authenticatiedienst, heeft een dergelijke toelating het rechtskarakter van een overeenkomst naar burgerlijk recht. Deze wordt voor de duur van die overeenkomst voor de toepassing van dit wetsvoorstel gelijkgesteld met een toelatingsbesluit op grond van deze wet. Op een zodanige overeenkomst en de rechtsverhouding tussen partijen zijn de bepalingen van het Burgerlijk Wetboek van kracht.

Artikel 24

Naar aanleiding van het advies van de Autoriteit Persoonsgegevens is in het wetsvoorstel een overgangsregeling opgenomen. De duur ervan is in dit stadium lastig in te schatten. Dit hangt af van het tempo van de uitgifte van publieke middelen op de niveaus substantieel en hoog, alsmede de beschikbaarheid van toe te laten private middelen en de dekkingsgraad daarvan. Indien de aard van de dienstverlening noopt tot toepassing van een identificatiemiddel op een bepaald betrouwbaarheidsniveau, het middel beschikbaar is en de dekkingsgraad op een adequaat niveau is, ligt het niet in de rede om de acceptatie van een lager betrouwbaarheidsniveau door bestuursorganen en aangewezen organisaties tijdelijk toe te staan. Zolang de dekkingsgraad niet op een adequaat niveau is, is het echter nog niet mogelijk te eisen dat de dienstverlening voldoet aan de krachtens de wet gestelde eisen. Het tijdelijk toestaan van een lager betrouwbaarheidsniveau dan eigenlijk gewenst, is daarom noodzakelijk. Terzake van niveau substantieel geldt een termijn van uiterlijk 4 jaar. Terzake van niveau hoog is een langere termijn, te weten uiterlijk 7 jaar, gewenst, ervan uitgaande dat in 2018 met de eerste uitgifte van het e-rijbewijs en in 2019 met de e-NIK wordt gestart. In de ministeriële regelingen kunnen bepaalde (nieuwe) vormen van dienstverlening op niveau hoog worden uitgesloten van het overgangsrecht, bijvoorbeeld omdat dit de ontwikkeling van die diensten zou kunnen belemmeren of wegens de hoge risico’s van het toelaten van identificatiemiddelen op het lagere niveau.

In het wetsvoorstel, zoals voorgelegd ter consultatie, was een overgangsbepaling van drie jaar opgenomen terzake van DigiD op niveau laag. Op basis van de huidige bepaling is het mogelijk om de uitfasering van het niveau laag in de dienstverlening gefaseerd te laten plaatsvinden. Daarbij zal rekening kunnen worden gehouden met de wenselijkheid dat voor dienstverlening waarvoor niveau laag tijdelijk is toegestaan, dan ten minste 2-factor authenticatie wordt gebruikt; dit mede naar aanleiding van de op 21 juni jl. ingediende motie van het lid Van Engelshoven inzake het bevorderen van inloggen met 2-staps identificatie.90

Artikel 25

Dit artikel voorziet in de mogelijkheid dat in een lagere regeling bij wijze van experiment van de acceptatieplicht in dit wetsvoorstel wordt afgeweken. Voor welbepaalde gevallen en dienstverleners kan bij algemene maatregel van bestuur worden bepaald dat, onder afwijking van artikel 7, eerste lid onder a, toegelaten en erkende middelen niet worden geaccepteerd met het oog op het onderzoeken van nieuwe methoden waarmee authenticatie doeltreffender kan plaatsvinden. Het betref de realisering van een innovatieve toepassing of het in het kader van de doorontwikkeling testen van een nieuw publiek middel bij specifieke bestuursorganen of aangewezen organisaties. Hierdoor kan proefondervindelijk worden vastgesteld of een een (door)ontwikkeld publiek of privaat middel een bijdrage kan leveren aan efficiënte, betrouwbare en gebruiksvriendelijke authenticatie in het publieke domein. Overheidsregie voeren met behulp van wettelijke kaders hoeft immers niet te betekenen dat geen ruimte wordt gegeven aan de improviserende, innoverende en proberende samenleving.91 Hierbij geldt overigens dat van de (europeesrechtelijke) plicht tot wederzijdse erkenning van bij de Europese Commissie genotificeerde middelen niet kan worden afgeweken (zie de toelichting bij artikel 7).

Artikel 26

Tot op heden gold artikel X, eerste lid, van de Wet Elektronisch berichtenverkeer Belastingdienst (WEBV) als grondslag voor de taken en verantwoordelijkheden van onze Minister terzake van voorzieningen voor elektronisch berichtenverkeer en informatieverschaffing en elektronische authenticatie, inclusief elektronische registratie van machtigen. Dit vormde de opmaat naar de onderhavige wet; met de inwerkingtreding komt artikel X van de WEBV te vervallen. De onderdelen en leden van artikel X krijgen een plek in deze wet.92 Ook wordt het Besluit verwerking persoonsgegevens GDI ‘omgehangen’ (artikel 28).

Artikel 27

In verband met de ontwikkeling en afgifte van een e-rijbewijs is het van belang een grondslag te scheppen voor de door gemeenten aan de RDW te vergoeden kosten. Ook wordt, in aansluiting op diens verantwoordelijkheid voor de uitgifte van het rijbewijs, de verantwoordelijkheid van de Dienst Wegverkeer (RDW) gespecificeerd voor wat betreft het plaatsen van een publiek identificatiemiddel op betrouwbaarheidsniveau hoog op het rijbewijs.

A

Artikel 107, tweede en derde lid, van de Wegenverkeerswet 1994 regelt de verschijningsvorm van het rijbewijs. Teneinde het onderdeel te maken van het rijbewijs voorziet A in de toevoeging aan artikel 107, derde lid, dat het rijbewijs een publiek identificatiemiddel als bedoeld in artikel 1 van dit wetsvoorstel bevat. Omdat artikel 5, eerste lid, van dit wetsvoorstel bepaalt dat een publiek identificatiemiddel slechts kan worden afgegeven aan een natuurlijke persoon die beschikt over een burgerservicenummer is in het voorgestelde artikel 107, derde lid, van de Wegenverkeerswet 1994 als voorwaarde voor het plaatsen gesteld dat de aanvrager over een burgerservicenummer beschikt. Degene die een rijbewijs aanvraagt, maar niet beschikt over een burgerservicenummer krijgt derhalve een rijbewijs zonder publiek middel. Voor de volledigheid wordt er op gewezen dat degene die als niet-ingezetene beschikt over een burgerservicenummer toch geen rijbewijs met een publiek middel krijgt. De eisen die de eidas-verordening en de daarop gebaseerde bepalingen stellen aan identificatiemiddelen op het betrouwbaarheidsniveau hoog staan daaraan in het geval van het rijbewijs in de weg, aangezien niet-ingezetene niet altijd in persoon hoeven te verschijnen om een rijbewijs aan te vragen (zie artikel 49, derde lid, van het Reglement rijbewijzen). Het rijbewijs bevat reeds een chip, waarop het publieke identificatiemiddel kan worden geplaatst. Richtlijn 2006/126/EG van het Europees Parlement en de Raad van 20 december 2006 betreffende het rijbewijs (PbEU 2006, L 403) laat ruimte voor andere functionaliteiten op die chip dan die strekkende tot uitvoering van de die richtlijn op voorwaarde dat die uitvoering niet gehinderd wordt. Van dergelijke hinder is geen sprake en overeenkomstig artikel 1, derde lid, van richtlijn 2006/126/EG heeft afstemming plaatsgevonden met de Europese Commissie.

B

Zoals aangegeven worden de kosten voor het publieke identificatiemiddel doorbelast via de leges voor het rijbewijs. Naar verwachting is het productieproces van het rijbewijs reeds voor de inwerkingtreding van de Wet digitale overheid afgestemd op de plaatsing van het publieke identificatiemiddel. Het kan dus zijn, dat een houder van een publiek middel op een rijbewijs dat is uitgegeven voor inwerkingtreding van de wet dit, teneinde het te kunnen gebruiken als elektronisch identificatiemiddel, pas wil activeren na inwerkingtreding van de wet. Alsdan wordt een bij ministeriële regeling te bepalen tarief in rekening gebracht.

C

Op grond van artikel 5, vierde lid, van het wetsvoorstel heeft de RDW tot taak een publiek identificatiemiddel op het rijbewijs te plaatsen en af te geven. Omdat dat middel op het rijbewijs wordt geplaatst en daarmee onderdeel is van het rijbewijs, verloopt de aanvraag en afgifte van dat middel op dezelfde wijze als voor het rijbewijs. Desondanks zijn er kosten gemoeid met het plaatsen en afgeven van een publiek identificatiemiddel. Daarbij gaat het om enerzijds de productiekosten van het middel, inclusief het personaliseren, en anderzijds de bijkomende handelingen als registratie van de gegevens van het middel en het na afgifte van het rijbewijs aan de aanvrager aanmaken en toezenden van een pincode voor het bewuste publieke identificatiemiddel. Die kosten hebben geen betrekking op het rijbewijs als zodanig, daarom wordt in artikel 121, eerste lid, van de Wegenverkeerswet 1994 toegevoegd dat de kosten met betrekking tot het publieke identificatiemiddel gedekt worden uit de zogenoemde rijkskostencomponent.

D

Met deze toevoeging wordt expliciet gemaakt dat de RDW in het rijbewijzenregister gegevens verwerkt omtrent de op rijbewijzen geplaatste publieke identificatiemiddelen.

Artikel 29

Onverwijlde inwerkingtreding van dit wetsvoorstel is nodig met het oog op de voor implementatie van richtlijn (EU) 2016/2102 inzake de toegankelijkheid van overheidswebsites benodigde grondslag (artikel 3) en de voor kostendoorberekening benodigde grondslag (artikel 18), alsmede de goede uitvoering van de eidas-verordening, in het bijzonder terzake van de benodigde infrastructuur. Voor het overige wordt gestreefd naar inwerkingtreding van de wet met ingang van 1 januari 2019. Het daadwerkelijke tijdstip van inwerkingtreding zal bij koninklijk besluit worden bepaald, mede aan de hand van het tijdstip waarop technische randvoorwaarden gerealiseerd kunnen zijn, waaronder voorzieningen zoals de routeringsvoorziening en aansluiting door de bestuursorganen en aangewezen organisaties op die voorzieningen. Door in dit verband een aansluitschema op te stellen, worden zij in staat gesteld om hun elektronische dienstverlening en de toegang daartoe technisch en organisatorisch op orde te brengen; dit is nodig om gevolg te kunnen geven aan de acceptatieplichten. Het schema zal erop gericht zijn zo snel mogelijk na inwerkingtreding van de overige bepalingen van de wet alle in artikel 2 genoemde bestuursorganen en aangewezen instanties voor hun diensten aangesloten te hebben. Op basis van dit schema kunnen koninklijke besluiten als bedoeld in het tweede lid worden voorbereid. De betrokkenen dragen er zorg voor dat zij op het desbetreffende tijdstip daadwerkelijk en volledig uitvoering kunnen geven aan de wet.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,