Vastgesteld 19 augustus 2020
De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 19 juni 2020 over het ontwerpbesluit houdende vaststelling van regels inzake de erkenning van bedrijfs- en organisatiemiddelen en bijbehorende diensten (Besluit bedrijfs- en organisatiemiddel Wd0) (Kamerstuk 34 972, nr. 48).
De vragen en opmerkingen zijn op 13 juli 2020 aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 18 augustus 2020 zijn de vragen beantwoord.
De voorzitter van de commissie, Ziengs
Adjunct-griffier van de commissie, Hendrickx
Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon
VVD
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit bedrijfs- en organisatiemiddel Wet digitale overheid. Graag willen zij de Staatssecretaris daarover een aantal vragen stellen.
Allereerst vragen de leden van de VVD-fractie aandacht voor de prijsvorming van eHerkenning. Waarom is ingrijpen bij de prijsvorming voor het burgermiddel in de Wet digitale overheid zelf geregeld en wordt dit voor de bedrijfs- en organisatiemiddelen nu bij AMvB gedaan? Graag krijgen zij een reactie van de Staatssecretaris.
Anders dan de vragenstellers menen bestaat er op dit punt geen verschil tussen de wettelijke systematiek voor burgermiddelen en bedrijfs- en organisatiemiddelen. Zowel voor burgermiddelen (artikel 9, vierde lid) als voor bedrijfs- en organisatiemiddelen (artikel 13, eerste lid) regelt het wetsvoorstel dat bij of krachtens AMvB eisen worden gesteld aan een erkende partij. Deze eisen kunnen betrekking hebben op het tarief.
Zowel voor burgermiddelen als voor bedrijfsmiddelen worden regels over de prijsvorming derhalve bij of krachtens AMvB gesteld. Artikel 13, eerste lid is de basis voor de bevoegdheid in het onderhavige Besluit, op grond waarvan de Minister kan ingrijpen in de prijsvorming. Op deze wijze wordt voorkomen dat het door een erkende dienst gehanteerde tarief hoger dan marktconform is.
In artikel 9 is de samenwerkingsplicht vastgelegd. Daarbij wordt informatie uitgewisseld tussen de betrokken erkende diensten. Het is niet voorzien dat bij deze samenwerking ook persoonsgegevens van gebruikers worden verwerkt. Wat betekent »voorzien» in dezen? Wordt het verwerken van deze gegevens wel op de lange c.q. langere termijn verwacht? Wat kan daar de reden van zijn? Graag krijgen de leden van de VVD-fractie een reactie van de Staatssecretaris.
De samenwerkingsplicht als bedoeld in artikel 9 van dit Besluit heeft, zoals uiteengezet in de artikelsgewijze toelichting, betrekking op de interoperabiliteit en continuïteit van de diensten. Het betreft de technische aspecten die voor een goed functioneren van het stelsel noodzakelijk zijn. In deze artikelsgewijze toelichting is ook aangegeven dat deze samenwerking tussen de erkende diensten er niet toe leidt dat zij onderling persoonsgegevens van de gebruikers zullen uitwisselen, omdat de samenwerking geen betrekking heeft op individuele of groepen gebruikers. Met «niet voorzien» wordt derhalve bedoeld dat bij dit soort afspraken/samenwerking de verwerking van persoonsgegevens niet aan de orde is, niet op de korte noch op de lange(re) termijn.
In het (eveneens bij Uw Kamer voorgehangen) ontwerpbesluit digitale overheid, dat eveneens een uitvoeringsregeling van de voorgenomen Wet digitale overheid is, wordt voor onder meer de verwerking van persoonsgegevens bij het gebruik van een bedrijfs- en organisatiemiddel een omvattende regeling opgenomen (artikel 5c).
In dit Besluit is, in lijn met artikel 16 van genoemd wetsvoorstel, het verbod opgenomen om de persoonsgegevens voor een ander doel te gebruiken dan waarvoor zij zijn verkregen (artikel 5e) en gelden het beginsel van dataminimalisatie en de overige beginselen van de AVG (Algemene Verordening Gegevensbescherming) onverkort.
Tot slot vragen de aan het woord zijnde leden wat de relatie is tussen de toezichthouder en de conformiteitsbeoordelingsinstantie.
De conformiteitsbeoordelingsinstantie beoordeelt de aanvraag van een private partij die wil worden erkend als omschreven in artikel 11 van het wetsvoorstel. Deze instantie beoordeelt derhalve aan het begin van het proces of de aanvrager voldoet aan alle gestelde eisen voor erkenning. Partijen die een erkenning aanvragen moeten hiertoe een verklaring van conformiteit overleggen. De Minister van Binnenlandse Zaken besluit vervolgens, mede op basis van de beoordeling van de conformiteitsbeoordelingsinstantie, over de erkenning.
De toezichthouder houdt op basis van artikel 17, vijfde lid, van het wetsvoorstel toezicht op de naleving van de eisen van de artikelen 11 en 13 van het wetsvoorstel door de erkende diensten. Met andere woorden: de toezichthouder toetst de praktische uitvoering van de werkzaamheden van de erkende diensten.
D66
De leden van de D66-fractie hebben kennisgenomen van het genoemde ontwerpbesluit en willen de Staatssecretaris nog enkele vragen voorleggen.
De leden van de D66-fractie horen graag van de Staatssecretaris welke rol de Autoriteit Persoonsgegevens heeft bij de meldingsplicht in art. 8.
De meldingsplicht in artikel 8 ziet op de melding door erkende diensten van inbreuk op de veilige en betrouwbare elektronische dienstverlening. Het gaat hierbij om incidenten of verstoringen op technisch gebied, kortom operationele zaken, waardoor de continuïteit van de dienstverlening in het gedrang komt. Deze meldingsplicht richt zich niet op inbreuken op de verwerking van persoonsgegevens, waardoor het niet waarschijnlijk is dat de Autoriteit Persoonsgegevens (AP) bij dergelijke incidenten betrokken zal zijn. De AP heeft dus geen directe relatie met de onderhavige meldingsplicht.
Dit laat onverlet dat indien bij een situatie als bedoeld in artikel 8 persoonsgegevens (mogelijk) gelekt zijn, de AP op de hoogte moet worden gesteld op basis van de meldplicht in de AVG.
De leden van de D66-fractie horen graag van de Staatssecretaris hoe er gaat worden gezorgd dat de samenwerkingsplicht (art. 9) niet zal leiden tot afname van concurrentie en/of innovatie bij de authenticatiediensten.
De samenwerkingsplicht is noodzakelijk ten behoeve van de interoperabiliteit en continuïteit van de diensten. Samenwerking is randvoorwaardelijk om het stelsel te laten werken en te voorkomen dat private partijen de markt dicht zetten. De verplichting heeft betrekking op de technische aspecten van de dienstverlening, niet op commerciële aspecten, waardoor het onwaarschijnlijk is dat sprake is van afname van concurrentie. Commerciële, concurrentiegevoelige informatie is immers geen onderdeel van de samenwerking.
Het Besluit geeft algemene eisen waaraan de erkende diensten moeten voldoen, zonder in te vullen op welke wijze zij hun dienstverlening vormgeven. Dit biedt ruimte voor innovatie, waarbij vanzelfsprekend aan de eisen van betrouwbaarheid en privacybescherming moet worden voldaan.
De aan het woord zijnde leden horen graag nog verder van de Staatssecretaris welke aanvullende eisen de Staatssecretaris van plan is op te stellen om misbruik te voorkomen onder art. 3.
Erkende diensten moeten diverse beveiligings- en betrouwbaarheidsmaatregelen nemen om misbruik van en met identificatiemiddelen te herkennen en te voorkomen, alsmede om, wanneer van misbruik sprake is, herstelvermogen te realiseren.
Zo gelden er maatregelen bij de uitreiking van het middel, waardoor de middelenuitgever/authenticatiedienst weet aan wie hij het middel uitreikt. De gebruiker van een middel kan een melding doen als hij vermoedt dat er misbruik wordt gemaakt van zijn middel. In een dergelijk geval kan de authenticatiedienst het gebruik van het middel opschorten, blokkeren of beëindigen. Ook kan de gebruiker in een register inzien welk gebruik er is gemaakt van het middel (dus: waar is met het middel ingelogd), zodat kan worden ingegrepen bij onbekend gebruik. Om misbruik te herkennen gelden er voorts eisen ter zake van logging van gegevens, samenwerking en monitoring.
In de ministeriële regeling bij het Besluit burgermiddelen en het Besluit bedrijfsmiddelen zullen de te nemen maatregelen nader worden uitgewerkt.