Regeling van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 8 mei 2023, nr 2023-0000244781, houdende regels met betrekking tot het gebruik van publieke identificatiemiddelen en de voorzieningen, bedoeld in artikel 5, eerste lid, van de Wet digitale overheid (Regeling voorzieningen Wdo)

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties;

Gelet op artikel 10, tweede lid, van de Wet digitale overheid en artikel 20, vijfde lid, van de Bekendmakingswet;

Besluit:

HOOFDSTUK 1. ALGEMENE BEPALINGEN

Artikel 1. Definities

In deze regeling wordt verstaan onder:

afnemer:

een bestuursorgaan als bedoeld in artikel 2 van de wet dat, of een aangewezen organisatie die voor elektronische berichtenverkeer met en informatieverschaffing aan natuurlijke personen, ondernemingen en rechtspersonen gebruik maakt van MijnOverheid of voor elektronische dienstverlening gebruik maakt van DigiD respectievelijk DigiD Machtigen;

betrouwbaarheidsniveau laag, substantieel en hoog:

betrouwbaarheidsniveau als bedoeld in artikel 8 van de Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende de elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van de Richtlijn 1999/93/EG (Pb EU 2014, L 257/73);

DigiD:

een via de DigiD-voorziening aan gebruiker verstrekt publiek identificatiemiddel voor de toegang tot elektronische dienstverlening, waarbij kan worden onderscheiden tussen de betrouwbaarheidsniveaus laag, substantieel en hoog;

DigiD Machtigen, MijnOverheid:

hetgeen onder deze voorzieningen wordt verstaan in het Besluit digitale overheid;

DigiD-voorziening:

de voorziening voor uitgifte of activatie van publieke identificatiemiddelen, waarbij onderscheiden kan worden tussen de betrouwbaarheidsniveaus laag, substantieel en hoog, en die bereikbaar is via het webadres www.digid.nl;

gebruiker:

een natuurlijk persoon die DigiD, DigiD Machtigen of MijnOverheid gebruikt;

gemachtigde of vertegenwoordiger:

een natuurlijke persoon of rechtspersoon die met een in DigiD Machtigen geregistreerde machtiging toegang heeft tot elektronische diensten zoals berichten, ten behoeve van de vertegenwoordigde;

machtinggever of vertegenwoordigde:

een natuurlijk persoon die zich ter behartiging van zijn belangen laat vertegenwoordigen en daartoe met een in DigiD Machtigen geregistreerde machtiging een gemachtigde toegang verleent tot elektronische diensten zoals berichten, voor zover deze vallen binnen de reikwijdte van de machtiging;

Minister:

de Minister van Binnenlandse Zaken en Koninkrijksrelaties;

wet:

de Wet digitale overheid.

Artikel 2. Onderbreking toegang en informatieverschaffing

De Minister kan zonder voorafgaande bekendmaking de toegang tot of de beschikbaarheid van DigiD, DigiD Machtigen en MijnOverheid onderbreken, indien sprake is van een storing of aantasting van de betrouwbaarheid van de voorziening, misbruik of oneigenlijk gebruik of een beveiligingsincident. Indien mogelijk wordt voorafgaand informatie verstrekt over de aard en verwachte duur van de onderbreking via www.digid.nl, www.machtigen.digid.nl respectievelijk www.mijnoverheid.nl.

HOOFDSTUK 2. VOORZIENINGEN VOOR IDENTIFICATIEMIDDELEN

Artikel 3. Gebruik DigiD

  • 1. Een rechthebbende kan, als beoogde gebruiker, DigiD aanvragen. Dit geschiedt op de volgende manier:

    • a. Een aanvraag voor DigiD op betrouwbaarheidsniveau laag geschiedt via www.digid.nl of, indien het tweede lid, onder c, van toepassing is, via www.svb.nl.

    • b. Een aanvraag voor DigiD op betrouwbaarheidsniveau substantieel geschiedt via www.digid.nl, via de DigiD app of, indien het tweede lid, onder c, van toepassing is, via www.svb.nl. De beoogde gebruiker gebruikt daarbij een apparaat dat digitaal met een document als bedoeld in het derde lid kan communiceren.

    • c. Een aanvraag voor DigiD op betrouwbaarheidsniveau hoog, verband houdend met een Nederlandse identiteitskaart of een Nederlands rijbewijs waarop een elektronisch identificatiemiddel is geplaatst, geschiedt volgens het aanvraagproces voor het desbetreffende document.

  • 2. DigiD op betrouwbaarheidsniveau laag wordt slechts verstrekt aan een beoogde gebruiker die:

    • a. als ingezetene is ingeschreven in de basisregistratie personen, een burgerservicenummer heeft en zijn telefoonnummer en zijn e-mailadres verstrekt;

    • b. als niet-ingezetene is ingeschreven in de basisregistratie personen, een burgerservicenummer heeft, de nationaliteit van een lidstaat van de Europese Economische Ruimte heeft en zijn telefoonnummer en e-mailadres verstrekt; of

    • c. als niet-ingezetene is ingeschreven in de basisregistratie personen, een burgerservicenummer heeft, een AOW-pensioen ontvangt, klant is van de Sociale Verzekeringsbank en zijn telefoonnummer en e-mailadres verstrekt.

  • 3. DigiD op betrouwbaarheidsniveau substantieel wordt slechts verstrekt aan een beoogde gebruiker die zijn telefoonnummer en e-mailadres verstrekt en die houder is van:

    • a. een geldig Nederlands paspoort, Nederlandse identiteitskaart of Nederlands rijbewijs, waarmee digitaal gecommuniceerd kan worden, of

    • b. een geldig identiteitsdocument afgegeven in een lidstaat van de Europese Economische Ruimte, waarmee digitaal gecommuniceerd kan worden.

  • 4. DigiD op betrouwbaarheidsniveau hoog, verband houdend met een Nederlands identiteitskaart of een Nederlands rijbewijs waarop een elektronisch identificatiemiddel is geplaatst, wordt slechts verstrekt aan de rechthebbende op het desbetreffende document en na verstrekking van zijn telefoonnummer en e-mailadres.

  • 5. De Minister verstrekt DigiD na verificatie van de verstrekte gegevens door de aanvrager.

  • 6. De gebruiker kan met de verstrekte DigiD toegang verkrijgen tot een dienst van een afnemer zodra hij DigiD op het desbetreffende betrouwbaarheidsniveau heeft geactiveerd.

  • 7. DigiD is strikt persoonlijk en niet overdraagbaar.

  • 8. DigiD wordt alleen gebruikt voor het doel waarvoor het is bestemd.

  • 9. DigiD:

    • a. op betrouwbaarheidsniveau laag of substantieel vervalt drie jaar nadat deze voor het laatst is gebruikt;

    • b. op betrouwbaarheidsniveau hoog, verband houdend met een Nederlandse identiteitskaart of een Nederlands rijbewijs waarop een elektronisch authenticatiemiddel is geplaatst, vervalt wanneer het desbetreffende document zijn geldigheid verliest.

  • 10. De gebruiker kan de Minister verzoeken om zijn DigiD te laten blokkeren of op te heffen.

  • 11. De gebruiker kan de eigen gebruikshistorie inzien via www.digid.nl.

  • 12. De gebruiker meldt verlies, diefstal, misbruik of oneigenlijk gebruik via digid.nl.

  • 13. DigiD op betrouwbaarheidsniveau laag en substantieel is een jaar na overlijden van de gebruiker niet meer bruikbaar. DigiD op betrouwbaarheidsniveau hoog is meteen na overlijden van de gebruiker niet meer bruikbaar.

HOOFDSTUK 3. VOORZIENINGEN VOOR ELEKTRONISCHE REGISTRATIE VAN MACHTIGINGEN

Artikel 4. Gebruik DigiD Machtigen

  • 1. Een vertegenwoordigde of beoogd gemachtigde kan een aanvraag tot registratie van een machtiging doen via www.machtigen.digid.nl of via een afnemer die het aanvragen faciliteert.

  • 2. De aanvraag en registratie van een machtiging kunnen betrekking hebben op een of meerdere diensten van een of meerdere afnemers en kennen een vooraf bepaalde geldigheidsduur.

  • 3. De Minister keurt de aanvraag goed na verificatie van de verstrekte gegevens, waaronder hun respectievelijke e-mailadressen, door de vertegenwoordigde en beoogd gemachtigde.

  • 4. De vertegenwoordigde geeft de ontvangen machtigingscode en zijn burgerservicenummer aan de beoogde gemachtigde of selecteert de beoogde gemachtigde in de lijst van door hem eerder gemachtigden.

  • 5. De gemachtigde accepteert de machtiging door de registratie van de machtiging te activeren via www.machtigen.digid.nl, via een afnemer die dat faciliteert of, indien hij eerder gemachtigd was, door de machtiging te gebruiken.

  • 6. De bruikbaarheid van een machtiging eindigt door het intrekken van de geregistreerde machtiging of na het verstrijken van de geldigheidsduur.

  • 7. De machtiging kan worden ingetrokken via www.machtigen.digid.nl of via een afnemer die dat faciliteert.

HOOFDSTUK 4. VOORZIENINGEN VOOR ELEKTRONISCH BERICHTENVERKEER EN INFORMATIEVERSCHAFFING

Artikel 5. Gebruik MijnOverheid

  • 1. Rechthebbende op een door de Minister aangemaakt MijnOverheid-account is een ieder die:

    • a. de leeftijd van 14 jaar heeft bereikt;

    • b. beschikt over een burgerservicenummer;

    • c. diensten afneemt van de Nederlandse overheid; en

    • d. beschikt of kan beschikken over een erkend elektronisch identificatiemiddel.

  • 2. De gebruiker neemt door het activeren van zijn MijnOverheid-account dit account in gebruik. Hij maakt tevens kenbaar dat hij langs elektronische weg bereikbaar is voor het ontvangen van berichten in de Berichtenbox van door hem geselecteerde afnemers en verstrekt zijn e-mailadres voor de ontvangst van een kennisgeving dat voor hem een bericht toegankelijk is geworden, tenzij hij heeft laten weten een dergelijke kennisgeving niet te willen ontvangen.

  • 3. De gebruiker heeft toegang tot zijn MijnOverheid-account door gebruikmaking van een erkend elektronisch identificatiemiddel.

  • 4. De gebruiker kan de selectie van afnemers, waarvan hij berichten in zijn Berichtenbox wil ontvangen, wijzigen.

  • 5. Het tweede lid, tweede zin, en het vierde lid zijn niet van toepassing met betrekking tot afnemers voor wie het gebruik van MijnOverheid wettelijk is voorgeschreven.

  • 6. Het MijnOverheid-account is strikt persoonlijk en niet overdraagbaar.

  • 7. Het MijnOverheid-account wordt alleen gebruikt voor het doel waarvoor het is bestemd.

  • 8. De Minister kan het MijnOverheid-account opheffen na het overlijden van de gebruiker of ingeval de gebruiker niet langer voldoet aan een of meer van de in het eerste lid genoemde criteria.

HOOFDSTUK 5. SLOTBEPALINGEN

Artikel 6. Intrekking

De Regeling voorzieningen GDI wordt ingetrokken.

Artikel 7. Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 juli 2023.

Artikel 8. Citeertitel

Deze regeling wordt aangehaald als: Regeling voorzieningen Wdo.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties A.C. van Huffelen

TOELICHTING

Algemeen deel

1. Aanleiding

De Wet digitale overheid (hierna: de wet of de Wdo) legt de basis voor de verdere digitalisering van het openbaar bestuur, in het bijzonder het gebruik van elektronische identificatiemiddelen en de generieke digitale voorzieningen in een gemeenschappelijke infrastructuur van de overheid.

De Regeling voorzieningen Digitale Overheid geeft uitvoering aan artikel 10, tweede lid, van de Wdo, op grond waarvan regels moeten worden vastgesteld met betrekking tot het gebruik van publieke identificatiemiddelen en de voorzieningen, bedoeld in artikel 5, eerste lid, van de wet. De regeling wijzigt en actualiseert het bepaalde in de Regeling voorzieningen GDI1, trekt voornoemde regeling in en voorziet het bepaalde – gelet op de grondslag in de Wdo – van een nieuwe naam; een en ander met ingang van 1 juli 2023.

De Regeling voorzieningen GDI stelde, vooruitlopend op de Wdo en op grond van artikel X, derde lid van de Wet elektronisch berichtenverkeer Belastingdienst (hierna: Wet EBV) regels met betrekking tot het gebruik van publieke identificatiemiddelen en voorzieningen.2 Deze regeling beoogde om redenen van duidelijkheid en rechtszekerheid de tot dan toe gehanteerde (privaatrechtelijke) gebruikersvoorwaarden te vervangen door (publiekrechtelijke) algemeen verbindende voorschriften. De onderhavige Regeling voorzieningen Digitale Overheid zet die lijn voort; grondslag voor de gebruiksvoorschriften is artikel 10, tweede lid, van de Wdo.

Artikel 10, eerste lid, van de wet verplicht de gebruiker die in het bezit is van een elektronisch identificatiemiddel om alle mogelijke maatregelen te nemen ter bescherming van dat middel. Dergelijke verplichte maatregelen zijn essentieel om misbruik, diefstal, verlies of verspreiding van het elektronisch identificatiemiddel te voorkomen. In de onderhavige regeling worden aanvullende regels met betrekking tot het gebruik van de elektronische publieke identificatiemiddelen gesteld; ook worden de publieke voorzieningen, bedoeld in artikel 5, eerste lid, van de wet, uitgewerkt. Het gaat om regels die van belang zijn voor, danwel een directe relatie hebben met burgers cq de gebruikers van het identificatiemiddel DigiD (onderdeel a), de voorziening DigiD Machtigen (onderdeel b) en de voorziening voor elektronisch berichtenverkeer en informatieverschaffing MijnOverheid (onderdeel f), zoals eisen inzake aanvraag, activatie, (on)overdraagbaarheid, inzage, blokkeren en beëindigen. De andere in artikel 5, eerste lid van de wet genoemde voorzieningen, zoals de routeringsvoorziening (onderdeel c) en het BSN-koppelregister (onderdeel d), worden niet door burgers gebruikt; terzake worden geen gebruiksvoorschriften opgesteld.

2. Reikwijdte

De onderhavige regeling stelt, conform artikel 10, tweede lid van de Wdo, voorschriften voor het gebruik door burgers van publieke identificatiemiddelen en publieke voorzieningen. Er worden dus geen gebruiksvoorschriften gesteld terzake van voorzieningen die zich niet richten tot burgers (de routeringsvoorziening en het BSN-koppelregister zijn gericht tot publieke dienstverleners/ afnemers) en terzake van private identificatiemiddelen; private aanbieders van deze middelen dienen zelf gebruiksvoorschriften op te stellen. Ook identificatiemiddelen die zijn uitgegeven in andere EU-lidstaten vallen buiten de reikwijdte van deze regeling.

De volgende WDO-voorzieningen worden door burgers gebruikt:

  • DigiD: de publieke voorziening voor elektronische authenticatie in het verkeer met de overheid cq publieke instanties die elektronische diensten verlenen aan burgers. Deze voorziening voorziet in de uitgifte of activatie van publieke elektronische identificatiemiddelen op verschillende betrouwbaarheidsniveaus. In het maatschappelijk verkeer wordt de term ‘DigiD’ gehanteerd om zowel de voorziening als het identificatiemiddel aan te duiden. Met DigiD kan toegang worden verkregen tot onder meer de Belastingdienst, het UWV en gemeenten, publieke digitale voorzieningen als MijnOverheid en semi-publieke dienstverleners als zorgverleners en pensioenverzekeraars. DigiD wordt uitgegeven op drie betrouwbaarheidsniveaus: laag, substantieel en hoog. Deze sluiten aan bij de niveaus die worden gehanteerd in Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (hierna: de eIDAS-verordening).

    * Identificatie op betrouwbaarheidsniveau laag vindt plaats via gebruikersnaam en wachtwoord, via gebruikersnaam, wachtwoord en sms-code en via de DigiD app in combinatie met een persoonlijke pincode.

    * Identificatie op betrouwbaarheidsniveau substantieel vindt plaats via een geldig Nederlands paspoort, Nederlandse identiteitskaart, Nederlands rijbewijs of een geldig identiteitsdocument afgegeven in een EER-lidstaat waarmee digitaal gecommuniceerd kan worden. De houder van het identiteitsdocument moet met de DigiD app via de NFC-lezer op een smartphone een eenmalige ID-check van het identiteitsdocument uitvoeren. Hierna is de DigiD app geschikt om in te loggen op betrouwbaarheidsniveau substantieel.

    * Identificatie op betrouwbaarheidsniveau hoog vindt plaats via een geldige Nederlandse identiteitskaart of Nederlands rijbewijs waarop een elektronisch authenticatiemiddel is geplaatst.1 De houder van het identiteitsdocument (ook wel eNIK of eRijbewijs genoemd) moet met de DigiD app via de NFC-lezer op een smartphone een bij elke identificatiepoging terugkerende ID-check van het identiteitsdocument uitvoeren. Hierna is de DigiD app geschikt om in te loggen op niveau hoog.

    X Noot
    1

    Zie ook wijziging van de Paspoortwet in verband met de invoering van elektronische identificatie met een publiek identificatiemiddel en het uitbreiden van het basisregister reisdocumenten (Stb. 2020, 104).

  • DigiD Machtigen: de voorziening voor elektronische registratie van machtigingen. De voorziening maakt het mogelijk voor vertegenwoordigden (oftewel machtiginggevers) om elektronische machtigingen te registreren. De machtiging kan gebruikt worden door de vertegenwoordiger (oftewel de gemachtigde) om namens degene die hij vertegenwoordigt digitaal zaken te regelen met de (semi)overheid.

  • MijnOverheid: een gepersonaliseerde elektronische voorziening waarmee voor burgers een persoonlijk domein beschikbaar komt dat geschikt is voor informatieverschaffing door de overheid. Deze voorziening bestaat uit de dienst voor elektronisch berichtenverkeer, de Berichtenbox, en de diensten voor informatieverschaffing Lopende Zaken en Persoonlijke gegevens.

Bovenstaande voorzieningen functioneren onder de verantwoordelijkheid van de Minister van Binnenlandse Zaken en Koninkrijksrelaties en worden beheerd door Logius, de dienst digitale overheid, onderdeel van het Ministerie van BZK. De verwerking, bescherming en beveiliging van persoonsgegevens in deze voorzieningen wordt gereguleerd in het Besluit digitale overheid, op basis van artikel 16 van de wet.

3. Relatie tot EU-recht

De onderhavige regeling behelst uitvoering van de Wdo. De materie raakt echter tevens aan het EU-recht. Relevant in dit verband zijn de eIDAS-verordening, die de drie betrouwbaarheidsniveaus van identificatiemiddelen definieert, en de bijbehorende uitvoeringsverordening (EU) 2015/1502.3 De uitvoeringsverordening bevat technische specificaties en procedures voor de betrouwbaarheidsniveaus, die primair gericht zijn tot de leveranciers (aanbieders) van identificatiemiddelen. Het betreft voor hen rechtstreeks toepasselijke voorschriften; sprake is immers van een verordening. Niettemin moeten zij deze voorschriften, die onder meer betrekking hebben op uitgifte, uitreiking en activering, ‘vertalen’ naar gebruiksvoorschriften, opdat de gebruikers tijdig en op betrouwbare wijze worden geïnformeerd over de dienst, de toepasselijke voorwaarden, gebruiksbeperkingen en informatieverschaffing (punt 2.4.2 Bijlage).

Het voorgaande brengt met zich, dat private aanbieders van identificatiemiddelen en aanbieders uit andere EU-lidstaten – die, zoals in par. 2 aangegeven, buiten de reikwijdte van deze regeling vallen – zelf gebruiksvoorschriften dienen op te stellen, met inachtneming van de uitvoeringsverordening. Voor de publieke identificatiemiddelen, die door de Minister van BZK worden uitgegeven, geschiedt dit in de onderhavige regeling. Informatief in dit verband is ook www.digid.nl

4. Gevolgen en uitvoering

Deze regeling heeft een waarborgfunctie voor burgers, zijnde de gebruikers van DigiD, DigiD Machtigen en MijnOverheid. De regeling biedt duidelijkheid en rechtszekerheid inzake de kring van rechthebbenden, hun rechten en plichten, kortom het gebruik van de betreffende voorzieningen. Het bepaalde komt in belangrijke mate overeen met de Regeling voorzieningen GDI – sprake is van actualisatie en stroomlijning – die met de inwerkingtreding van de Wdo is komen te vervallen.

De gevolgen van deze regeling zijn om die reden beperkt; aangesloten wordt bij de bestaande praktijk. Het feit, dat sprake is van publiekrechtelijke verankering van de gebruiksvoorschriften en gebruikers hiermee niet hoeven in te stemmen alvorens zij gebruik kunnen maken van DigiD, DigiD Machtigen en MijnOverheid, wordt het aantal handelingen voor de burger gereduceerd; dit bevordert de gebruiksvriendelijkheid. De regeling wordt door Logius (uitvoeringsorganisatie die in producten en diensten voor de digitale overheid voorziet) uitvoerbaar geacht.

5. (Internet)consultatie en Adviescollege toetsing regeldruk

Op de regeling zijn enkele consultatiereacties binnen gekomen. Deze hebben eenzelfde strekking en moeten worden gezien in samenhang met het geheel aan WDO-regelgeving. Hieronder wordt er samengevat op ingegaan.

In de eerste plaats wordt gewezen op het feit, dat in veel gevallen identificatie op beveiligingsniveau substantieel of hoog vereist zal worden voor de afname van elektronische publieke diensten. Dit brengt de verplichting met zich mee van een elektronisch te benaderen identiteitsbewijs (NIK, paspoort, rijbewijs). Daar deze pas per 2018 zijn uitgegeven, zal dit de komende 6 jaar leiden tot hogere kosten.

In reactie hierop wordt opgemerkt, dat het inderdaad zo is dat in de toekomst voor de afname van veel elektronische diensten een elektronisch uitleesbaar identificatiebewijs nodig zal zijn. Doordat de geldigheidsduur hiervan 10 jaar is, kan het zo zijn dat mensen met een ‘ouder’ identiteitsbewijs zich genoodzaakt voelen eerder dan na het verlopen daarvan een nieuw aan te schaffen, met de aanschafkosten van dien. Aangetekend zij, dat het voor het afnemen van (semi)overheidsdiensten veelal niet verplicht is om de elektronische weg te volgen; ingevolge de Algemene wet bestuursrecht moet een bestuursorgaan eveneens de papieren weg blijven aanbieden. Hierdoor, alsmede door andere toekomstige waarborgen en ondersteuning4 worden burgers gefaciliteerd bij het afnemen van publieke diensten en wordt de menselijke maat behouden.

In de tweede plaats wordt gesteld dat het moeilijker wordt om zaken voor naasten te regelen. Er bestaat weliswaar de mogelijkheid van DigiD Machtigen, maar de procedure om machtigen te regelen wordt mede door de AVG niet meer realiseerbaar geacht.

In reactie hierop wordt opgemerkt, dat de publieke machtigingsvoorziening voortdurend wordt verbeterd in termen van toegankelijkheid, werkbaarheid en gebruiksvriendelijkheid. Doorontwikkeling van DigiD Machtigen is een continue aandachtspunt en prioriteit, waarbij wordt aangesloten bij de praktijk en behoeften van burgers en waarbij de privacy wordt beschermd indien en voorzover nodig. Het recent gewijzigde Besluit GDI alsmede de Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening geven hier blijk van.

Tenslotte wordt gewezen op het feit dat bij gebruik van DigiD substantieel gebruik moet worden gemaakt van een smartphone met een NFC-lezer, hetgeen betekent dat Apple of Google OS moet worden gebruikt en ingestemd moet worden met de desbetreffende algemene voorwaarden; als je het daar niet mee eens bent kun je de DigiD app niet gebruiken en geen digitale overheidsdiensten afnemen. Gepleit wordt voor de beschikbaarheid van een authenticatiemethode die niet afhankelijk is van een commercieel bedrijf.

In reactie hierop wordt in de eerste plaats opgemerkt, dat de algemene voorwaarden van Apple en Google conform de AVG worden geacht en daar, in relatie tot de DigiD app, veilig mee kan worden ingestemd. Voorts kan een burger die niet beschikt over een smartphone met NFC-lezer gebruik maken van CheckID: iemand die wel een smartphone heeft met NFC-lezer downloadt de CheckID-app, waarmee het identiteitsbewijs wordt gescand van de persoon die geholpen wil worden. Vervolgens wordt via een beveiligde verbinding de ID-check toegevoegd aan de DigiD-app van deze persoon. De telefoon van de helper wordt alleen als kaartlezer gebruikt. Deze persoon hoeft dus niet in te loggen met zijn eigen DigiD en er worden ook geen gegevens opgeslagen via de app. Ook is het mogelijk op betrouwbaarheidsniveau hoog zonder telefoon in te loggen op MijnDigiD vanaf een laptop of computer met behulp van een separaat aan te schaffen NFC kaartlezer en een identiteitskaart die is afgegeven vanaf 13 maart 2021. Er zijn dus meerdere mogelijkheden om digitale overheidsdiensten af te nemen zonder gebruik te hoeven maken van een smartphone met een NFC-lezer.

Het Adviescollege toetsing regeldruk (hierna: ATR) heeft in zijn advies gewezen op de volgende aandachtspunten.

In de eerste plaats adviseert ATR nut en noodzaak te verduidelijken van de meldplicht bij verlies, diefstal, misbruik of oneigenlijk gebruik van een DigiD en van de verkorte vervaltermijn van een DigiD na overlijden.

In reactie hierop is de toelichting aangevuld met de notie, dat de meldplicht bij verlies, diefstal, misbruik of oneigenlijk gebruik een uitwerking is van de zorgvuldigheidsnorm voor gebruik(er)van een identificatiemiddel, welke in artikel 10 van de Wdo is opgenomen. De meldplicht terzake vloeit voort uit overwegingen van veiligheid en betrouwbaarheid en heeft als doel om verder en toekomstig nadeel voor gebruiker te voorkomen of te beperken of de schade te herstellen. In dit verband is, in aansluiting op het advies van ATR om tevens te verduidelijken wanneer sprake is van een gestolen of verloren DigiD en daarmee wanneer de meldplicht van toepassing is, in de toelichting opgenomen dat de meldplicht van toepassing is op het moment dat een burger het vermoeden heeft of weet dat hij niet langer, of niet als enige, de controle heeft over zijn identificatiemiddel. Het verlies van een telefoon hoeft niet per definitie te beteken dat dit het geval is, zolang er geen reden is om te veronderstellen dat een mogelijke dief het wachtwoord of de toegangscode tot de app kent of kan gebruiken.

De toelichting is op het punt van de vervaltermijn aangevuld met de notie, dat een vervaltermijn van het DigiD account na overlijden is ingegeven door het feit dat DigiD persoonsgebonden is. Gekozen is voor een vervaltermijn van 1 jaar om nabestaanden de mogelijkheid te geven nog zaken af te handelen met de DigiD van de overledene. Deze periode zou moeten volstaan om alle zaken af te handelen. Het bepaalde komt tegemoet aan een maatschappelijke behoefte; in casu is in feite sprake van codificatie van een gegroeide praktijk. Overigens wordt door de Belastingdienst een zogenoemde nabestaandenmachtiging gebruikt die het mogelijk maakt dat een vertegenwoordiger van de erfgenamen met een eigen inlogmiddel (belasting)zaken kan afhandelen. Gelet op het voorgaande adviseert ATR tevens te monitoren of de vervaltermijn van DigiD na overlijden tot knelpunten leidt voor nabestaanden en in het geval die knelpunten zich voordoen tijdig maatregelen te treffen. Dit advies wordt overgenomen.

Voorts adviseert ATR de voor- en nadelen van een verlaagde leeftijd voor een MijnOverheid-account te onderzoeken en op basis daarvan onderbouwd te besluiten over de leeftijdsgrens voor een MijnOverheid-account.

In reactie hierop wordt opgemerkt, dat de leeftijd van 14 jaar is geënt op het feit dat dit de leeftijd is vanaf welke jongeren doorgaans berichten van de overheid ontvangen, bijvoorbeeld van de Belastingdienst of de gemeente (Burgerzaken). In aansluiting op het advies zal evenwel worden bezien of het (op verzoek) aanmaken van een MijnOverheid-account op jongere leeftijd opportuun is.

In het advies van ATR, om een gebruiksvriendelijke manier aan te bieden om een gecompromitteerd DigiD te herstellen, de DigiD-app te blokkeren en een nieuw DigiD aan te vragen in het geval van verlies, diefstal, misbruik of oneigenlijk gebruik en in de toelichting dit proces uit te werken, herken ik mij niet. Ik acht het huidige proces voor het (her)aanvragen van een DigiD-account niet gebruiksonvriendelijk; er zijn terzake ook geen klachten bekend. In het geval van diefstal, verlies, misbruik of oneigenlijk gebruik is het niet altijd nodig om een nieuwe DigiD-account aan te vragen. Een burger kan via een goed lopend, geautomatiseerd, proces een DigiD-account herstellen en weer veilig gebruik maken van zijn DigiD (DigiD | Inloggen met DigiD lukt niet). Daarbij heeft hij de mogelijkheid om via een uitgebreid aantal communicatiekanalen (brief, sms, e-mail en DigiD-app) het account te herstellen. Indien gekozen wordt voor de sms, mail of app-oplossing dan kan de burger direct het wachtwoord wijzigen en gebruik maken van zijn of haar DigiD-account. Pas op het moment dat een burger zijn of haar gebruikersnaam is vergeten, dient een nieuw DigiD-account aangemaakt te worden (via het reguliere proces). Vanzelfsprekend wordt doorlopend door uitvoeringsdienst Logius in samenspraak met gebruikerspanels onderzoek gedaan naar mogelijkheden om het gebruik van DigiD voor gebruikers te vergemakkelijken zonder in te boeten op de betrouwbaarheid van het middel.

ATR adviseert voorts te onderzoeken wat de voornaamste oorzaken zijn van DigiDs die opnieuw worden aangevraagd en op basis hiervan maatregelen te treffen om dit te beperken. In reactie zij opgemerkt, dat er nu geen zicht bestaat op welk deel van de heraanvragen voor DigiD veroorzaakt wordt door een vergeten wachtwoord en welk deel door het vervallen van DigiD. In het laatste geval zou gerichte actie, bijvoorbeeld in de vorm van een extra rappel, mogelijk kunnen voorkomen dat burgers opnieuw DigiD moeten aanvragen. Dit advies wordt overgenomen.

Het college adviseert tot slot de regeldrukeffecten van de wijzigingen in het voorstel in kaart te brengen conform de Rijksbrede methodiek. Dit advies wordt niet overgenomen. De onderhavige regeling behelst actualisering van reeds bestaande bepalingen; nieuw is de meldplicht bij verlies en diefstal van DigiD. Het betreft een in het kader van de door burgers te betrachten zorgvuldigheid gebruikelijke, eenvoudige en weinig tijdrovende handeling, die aansluit bij hetgeen bij verlies en diefstal van fysieke identificatiemiddelen (paspoort, NIK, rijbewijs) als logisch en noodzakelijk wordt gezien.

Artikelsgewijs

Artikel 1. Definities

De definities zijn geactualiseerd en afgestemd op de definities in de Wdo en de andere uitvoeringsregelgeving bij de wet, primair het Besluit digitale overheid en de Regeling betrouwbaarheidsniveaus Wdo.

Artikel 2. Onderbreking toegang en informatieverschaffing

Dat de Minister bij een incident de toegang tot of de beschikbaarheid van DigiD, DigiD Machtigen en MijnOverheid kan onderbreken en daarover informatie dient te verstrekken, geldt reeds ingevolge de Regeling voorzieningen GDI.

Artikel 3. DigiD

Inhoudelijk wijkt dit artikel weinig af van artikel 3 van de Regeling voorzieningen GDI, die door deze regeling is vervangen. In het artikel wordt voor DigiD per betrouwbaarheidsniveau geregeld hoe een aanvraag kan worden ingediend (eerste lid) en aan wie DigiD kan worden verstrekt (tweede tot en met vierde lid). De Minister van BZK verstrekt het identificatiemiddel, nadat de bij de aanvraag verstrekte gegevens zijn geverifieerd. Het zesde lid en volgende leden betreffen de gebruiksfase, dus nadat DigiD is verstrekt. Het negende en tiende lid bevatten bepalingen over beëindiging van DigiD door verval van rechtswege (negende lid) of op verzoek van de gebruiker (tiende lid). Vanuit service-overwegingen wordt 30 dagen voor verval van DigiD aan de gebruiker een herinnering verstuurd.5 Nieuw is het inzagerecht met betrekking tot de gebruikshistorie (elfde lid) en de meldplicht bij verlies, diefstal en misbruik of oneigenlijk gebruik (twaalfde lid). Nieuw is ook het bepaalde inzake het vervallen van DigiD na overlijden van de gebruiker (dertiende lid). Hierbij geldt dat DigiD laag en substantieel niet langer bruikbaar zijn een jaar nadat uitvoeringsdienst Logius het bericht van overlijden uit de Basisregistratie personen heeft ontvangen. Hoewel DigiD strikt persoonlijk is, sluit het bepaalde aan bij praktische behoeften van nabestaanden om openstaande zaken met overheidsdienstverleners af te handelen. Gekozen is voor een vervaltermijn van 1 jaar om nabestaanden de mogelijkheid te geven nog zaken af te handelen met de DigiD van de overledene. Deze periode zou moeten volstaan om alle zaken af te handelen. Het bepaalde komt tegemoet aan een maatschappelijke behoefte; in casu is in feite sprake van codificatie van een gegroeide praktijk. DigiD hoog is meteen na overlijden van de gebruiker niet meer bruikbaar; dit houdt verband met het betrokken veiligheids- en privacybeschermingsniveau. Dit levert geen problemen op, daar in de praktijk DigiD hoog slechts voor enkele zeer persoonsgebonden (medische) diensten noodzakelijk is en nabestaanden hiermee niet van doen hebben. Overigens wordt door de Belastingdienst een zogenoemde nabestaandenmachtiging gebruikt die het mogelijk maakt dat een vertegenwoordiger van de erfgenamen met een eigen inlogmiddel (belasting)zaken kan afhandelen.

De in het twaalfde lid opgenomen meldplicht bij verlies, diefstal, misbruik of oneigenlijk gebruik is een uitwerking van de zorgvuldigheidsnorm voor gebruik(er)van een identificatiemiddel, welke in artikel 10 van de Wdo is opgenomen. De meldplicht terzake vloeit voort uit overwegingen van veiligheid en betrouwbaarheid en heeft als doel om verder en toekomstig nadeel voor gebruiker te voorkomen of te beperken of de schade te herstellen. De meldplicht is van toepassing op het moment dat een burger het vermoeden heeft of weet dat hij niet langer, of niet als enige, de controle heeft over zijn identificatiemiddel. Het verlies van een telefoon hoeft niet per definitie te beteken dat dit het geval is, zolang er geen reden is om te veronderstellen dat een mogelijke dief het wachtwoord of de toegangscode tot de app kent of kan gebruiken.

Artikel 4. Digid Machtigen

Inhoudelijk wijkt dit artikel weinig af van het bepaalde inzake machtigen in de Regeling voorzieningen GDI, die door deze regeling is vervangen.

Artikel 5. MijnOverheid

Inhoudelijk wijkt dit artikel weinig af van het bepaalde inzake MijnOverheid in de Regeling voorzieningen GDI, die door deze regeling is vervangen. Geregeld worden de doelgroep – omwille van de duidelijkheid wordt, evenals bij DigiD, de term ‘rechthebbende’ gebruikt –, het aanvraag- en activeringsproces en het gebruik. De gebruiker geeft bij het activeren van zijn MijnOverheid-account aan van welke afnemers (publieke dienstverleners, zoals de Belastingdienst en de gemeente) hij berichten in de Berichtenbox wil ontvangen (tweede lid) en kan deze keuze nadien altijd wijzigen (vierde lid). Vermelding verdient dat een van de te selecteren afnemers de Minister van BZK is, voor zijn taak om een ieder elektronische berichten te zenden over bekendmakingen, mededelingen en kennisgevingen op de omgeving van het adres van inschrijving van de ontvanger in de basisregistratie personen (artikel 20 Bekendmakingswet). Ingevolge het Besluit elektronische publicaties6 wordt aan personen met een geactiveerd MijnOverheid-account, die in dat kader een e-mailadres hebben opgegeven, de bedoelde elektronische berichten toegezonden. Als zij deze berichten niet willen ontvangen, melden zij zich af in hun MijnOverheid-account (artikelen 6.1 – 6.2 van voornoemd besluit). Artikel 5 sluit aan bij de voorgenomen wijziging van Algemene wet bestuursrecht inzake modernisering elektronisch bestuurlijk verkeer.7 In de toekomst zal via MijnOverheid ook inzage in de eigen elektronische identificatiemiddelen mogelijk zijn (inzagefunctionaliteit).

Artikelen 6 (intrekking) en 7 (inwerkingtreding)

De Regeling voorzieningen GDI, die wordt vervangen door de onderhavige regeling, is gebaseerd op artikel X van de Wet elektronisch berichtenverkeer Belastingdienst (Wet EBV). Artikel X van de Wet EBV komt bij Koninklijk Besluit te vervallen met ingang van het tijdstip waarop de Wdo in werking treedt.8 Daardoor vervalt de grondslag van de Regeling voorzieningen GDI en vervalt die regeling op dat moment dus van rechtswege. Echter, om onduidelijkheid over de juridische status van de Regeling voorzieningen GDI te voorkomen, is de intrekking ervan expliciet geregeld in artikel 6. Inwerkingtreding van de onderhavige regeling geschiedt op 1 juli 2023.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties A.C. van Huffelen

X Noot
1

Stcrt. 2015, 37158, zoals laatstelijk gewijzigd bij Stcrt. 2020, 45255.

X Noot
2

Stb. 2015, 379. Het relevante artikel uit de Wet EBV, artikel X, komt met inwerkingtreding van de Wdo te vervallen, en daarmee ook de hierop gebaseerde uitvoeringsregelgeving.

X Noot
3

Pb EU 2015, L 235.

X Noot
4

Wijziging van de Algemene wet bestuursrecht in verband met de herziening van afdeling 2.3 van die wet (Wet modernisering elektronisch bestuurlijk verkeer), Kamerstukken II/I nr 35 261.

X Noot
6

Stb. 2021, 175.

X Noot
7

Kamerstukken 35 261.

X Noot
8

Zie artikel XI, derde lid, van de Wet EBV.

Naar boven