Gepubliceerd: 22 juni 2021
Indiener(s): Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA)
Onderwerpen: bestuur organisatie en beleid
Bron: https://zoek.officielebekendmakingen.nl/kst-35868-4.html
ID: 35868-4

Nr. 4 ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1

Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 15 april 2021 en het nader rapport d.d. 18 juni 2021, aangeboden aan de Koning door de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Blijkens de mededeling van de Directeur van Uw kabinet van 19 maart 2021, no. 2021000512, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 15 april 2021, nr. W04.21.0081/I, bied ik u hierbij aan.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het bij de Tweede Kamer wordt ingediend.

Hieronder zijn opgenomen het voornoemde advies, in cursief weergegeven, en de reactie daarop.

Bij Kabinetsmissive van 19 maart 2021, no. 2021000512, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid), met memorie van toelichting.

Het voorstel betreft een novelle, die strekt tot wijziging van het wetsvoorstel inzake de Wet digitale overheid,2 indien dit voorstel tot wet wordt verheven. Aanleiding voor deze wijzigingen zijn de in de parlementaire behandeling bij de Eerste Kamer geuite zorgen inzake privacybescherming, in het bijzonder in relatie tot de positie van private technologieondernemingen. Om aan deze zorgen tegemoet te komen worden «privacy by design», het verhandelverbod inzake persoonsgegevens en «open source» als hoofdelementen wettelijk verankerd.

De Afdeling advisering van de Raad van State merkt in dit advies op dat de begrippen privacy by design en open source niet voldoende worden uitgewerkt. Datzelfde geldt voor het verbod voor private aanbieders om inloggegevens commercieel te benutten. Verder constateert de Afdeling dat het voorstel techniekonafhankelijk is opgezet en daardoor onvoldoende uitwerking geeft aan het primaat van de wetgever. In verband met die opmerkingen is aanpassing van het voorstel en de toelichting wenselijk.

1. Achtergronden en voorstel

De Wet digitale overheid bevat (een eerste tranche van) regels ten behoeve van de verdere digitalisering van de overheid. Het voorstel stelt onder meer regels over het verplichten van bepaalde standaarden, het beheer van diensten binnen de digitale infrastructuur van de overheid, informatieveiligheid en digitale toegang tot publieke dienstverlening. Het wetsvoorstel is op 18 februari 2020 door de Tweede Kamer aangenomen en ligt nu ter behandeling voor in de Eerste Kamer. De vaste commissie Binnenlandse Zaken en de Hoge Colleges van Staat/Algemene Zaken en Huis van de Koning van de Eerste Kamer heeft een hoorzitting gehouden met deskundigen, die daarin zorgen hebben geuit over de privacybescherming.3 Op basis daarvan heeft deze Kamercommissie prealabele vragen aan de regering gesteld.4 Dit heeft geleid tot de in de voorliggende novelle voorgestelde aanpassingen van het wetsvoorstel.

De geuite zorgen zien in het bijzonder op drie aspecten. In de eerste plaats is benadrukt om op het niveau van de wet te regelen dat bij het ontwerp van de inlogmiddelen rekening moet worden gehouden met de bescherming van persoonsgegevens («privacy by design»). In de tweede plaats is grote zorg geuit over de mogelijkheden die commerciële partijen krijgen door inloggegevens te koppelen en vervolgens gevoelige data te vergaren. In de derde plaats hebben verschillende partijen dringend geadviseerd om in de wet de verplichting vast te leggen om de identificatie- (of inlog)middelen «open source» aan te bieden, zodat de gebruiker kan controleren of de privacy en beveiliging goed zijn geregeld.

Op voornoemde drie aspecten wordt het wetsvoorstel aangepast met de voorliggende novelle. Daarnaast constateert de Afdeling dat de deskundigen ook in algemene zin hun zorg hebben uitgesproken dat de uitwerking van de wet, wetsbegrippen en waarborgen van proportionaliteit en subsidiariteit in belangrijke mate worden gedelegeerd naar lagere regelgeving, terwijl dit op het niveau van de wet moeten worden geregeld. Dit onderwerp wordt behandeld in punt 5 van dit advies.

2. Privacy by design

In het voorstel wordt geregeld dat erkenning van een privaat inlogmiddel wordt geweigerd indien «het ontwerp onvoldoende voorziet in de bescherming van persoonsgegevens».5 Volgens de toelichting zijn ontwikkelaars op grond van de Algemene verordening gegevensbescherming (AVG) al verplicht om bij het ontwerp van inlogmiddelen de beginselen van gegevensbescherming in acht te nemen. De AVG is als Europese verordening rechtstreeks toepasselijk in de lidstaten. Omzetting middels nationaal-wettelijke bepalingen is in beginsel niet toegestaan (het zogenoemde overschrijfverbod). Wel moet nog worden geregeld dat dit principe een grond is om een erkenningsaanvraag af te wijzen. Dat was eerder voorzien in een uitvoeringsregeling. De door leden van de Eerste Kamer geuite zorg is aanleiding om deze afwijzingsgrond op het niveau van de wet te verankeren.6

Het stelsel van inlogmiddelen berust op een andere verordening van de Europese Unie, de zogeheten eIDAS-verordening.7 Die verordening voorziet erin dat de Europese Commissie een interoperabiliteitskader opstelt, dat onder meer de toepassing van het beginsel van privacy by design dient te bevorderen. In het vastgestelde interoperabiliteitskader is daar echter niets over geregeld.8

Het is juist dat krachtens de AVG ontwikkelaars reeds zijn gehouden volgens het principe van privacy by design te werken. Dit laat echter onverlet dat privacy by design een breed begrip is, dat snel kan veranderen door veranderingen in de techniek, en dat door ontwikkelaars op verschillende wijzen en deels naar eigen inzicht kan – en moet – worden ingevuld. Tegelijkertijd moeten burgers erop kunnen vertrouwen dat inlogmiddelen die door de overheid zijn erkend veilig en betrouwbaar zijn en voldoen aan dit principe. Dit betekent dat de Minister alleen de inlogmiddelen mag erkennen, die, beoordeeld naar de jongste stand van de techniek, voldoen aan het principe van privacy by design. En voorts geldt dat indien een erkend middel nadien niet meer voldoet aan dit principe, de erkenning zal moeten worden ingetrokken.

De Afdeling acht het daarom van belang dat duidelijk is hoe bij de toetsing aan deze weigeringsgrond precies wordt beoordeeld of een middel aan het principe van privacy by design voldoet. In de toelichting wordt hier niet op ingegaan en evenmin is voorzien in een nadere precisering van deze eis bij algemene maatregel van bestuur. Dat ligt wel in de rede. Voor de goede orde merkt de Afdeling op dat een dergelijke precisering met het oog op de uitvoering – namelijk de erkenning van het inlogmiddel – niet in strijd hoeft te komen met het overschrijfverbod. Van belang is dat de algemene maatregel van bestuur de rechtstreekse werking van het principe van privacy by design niet belemmert en het communautaire karakter ervan niet verbergt.9 Dit kan in de algemene maatregel van bestuur tot uitdrukking worden gebracht, opdat de herkomst van de norm duidelijk is en geen twijfel kan bestaan dat de precisering in dat licht moet worden bezien.10

Gelet op het voorgaande adviseert de Afdeling het voorstel aan te passen.

In reactie op hetgeen de Afdeling adviseert merk ik op dat het wetsvoorstel zal worden aangepast conform het advies van de Afdeling, waardoor bij de invulling van privacy by design de actuele stand der techniek leidend is. Hiertoe zullen het zesde lid, onder b (weigeringsgrond), en het zevende lid (wijzigen, schorsen of intrekken van erkenning) van artikel 9, het achtste lid, onderdeel b (weigeringsgrond) van artikel 11 en het derde lid van artikel 14 (wijzigen, schorsen of intrekken van erkenning) worden aangevuld. Dit zal bij AMvB nader worden uitgewerkt, zoals de Afdeling adviseert. Op deze wijze kunnen gebruikers van identificatiemiddelen er op vertrouwen dat door de overheid erkende middelen optimaal veilig en betrouwbaar zijn, maar wordt ook aan aanbieders van middelen duidelijkheid en rechtszekerheid geboden.

3. Verhandelverbod

In het voorstel wordt geregeld dat een erkenning van een inlogmiddel wordt geweigerd, indien de aanvrager «niet aannemelijk heeft gemaakt dat geen inkomsten worden verkregen uit het verhandelen of verstrekken van gebruikersgegevens».11

Het doel van deze wijziging is te voorkomen dat gegevens van burgers commercieel worden uitgenut.12 In de voorgestelde weigeringsgrond wordt echter gekeken naar de inkomsten die worden verkregen uit het «verhandelen of verstrekken» van gebruikersgegevens. Met deze omschrijving staat niet vast dat elke vorm van commerciële uitnutting van persoonsgegevens wordt uitgesloten. Zo zijn er bijvoorbeeld websites die geld verdienen met het plaatsen van gerichte advertenties. Bij die methode komen er geen persoonsgegevens in handen van de adverteerders, tenzij de bezoeker van de website zelf op de advertentie klikt.

De Afdeling adviseert het verhandelverbod op een meer sluitende manier te omschrijven.

In reactie op hetgeen de Afdeling adviseert merk ik op dat het wetsvoorstel tot doel heeft private partijen te reguleren die inlogmiddelen voor de toegang tot overheidsdienstverlening op de markt willen brengen. De wetsbepalingen die betrekking hebben op erkenning en weigering zijn gericht tot deze doelgroep; zij mogen geen geld verdienen aan het verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers die bij het aanbieden van authenticatiedienstverlening bij publieke dienstverleners zijn verkregen.

Het in algemene zin reguleren van alle vormen van commerciële uitnutting van persoonsgegevens valt buiten de werkingssfeer van dit wetsvoorstel.

De toelichting zal op dit punt worden verduidelijkt.

4. Open source

In het voorstel wordt gekozen voor het uitgangspunt van «open source, tenzij». De Minister weigert een inlogmiddel te erkennen, indien bij de werking van het middel of de processen naar zijn oordeel «onvoldoende gebruik wordt gemaakt van software die onder open source licentie is gepubliceerd».13 In de deskundigenbijeenkomst is naar voren gekomen dat open source software in beginsel de beste garanties biedt dat de software veilig en betrouwbaar is,14 mits de gemeenschap die de software onder zijn hoede heeft voldoende groot en actief is.15

a. Keuze voor open source

Uit de toelichting blijkt dat het streven is om geleidelijk over te gaan op open source software. Als meer open source mogelijkheden beschikbaar komen, zullen – zo stelt de toelichting – ook aanbieders van wie closed software is toegelaten de beweging naar open source moeten maken. Tegen die tijd zullen nieuwe aanbieders open source moeten aanbieden.16

De Afdeling merkt op dat dit streven om geleidelijk over te gaan op open source software niet naar voren komt in de voorgestelde weigeringsgrond dat «onvoldoende gebruik wordt gemaakt van software die onder open source licentie is gepubliceerd». Bovendien biedt het wetsvoorstel niet met zoveel woorden de mogelijkheid om een erkenning in te trekken naarmate er meer aanbieders bij komen die open source software aanbieden.17

De Afdeling adviseert het voorstel aan te passen.

In reactie op hetgeen de Afdeling adviseert merk ik in de eerste plaats op, dat in de deskundigenbijeenkomst door enkele aanwezigen naar voren is gebracht dat open source software in beginsel de beste garanties biedt dat de software veilig en betrouwbaar is, mits de gemeenschap die de software onder zijn hoede heeft voldoende groot en actief is. In de Memorie van Antwoord heb ik daar enkele nuanceringen bij geplaatst, aangezien ik van mening ben dat – omwille van de veiligheid en betrouwbaarheid – telkens naar de omstandigheden van het geval moet worden gekeken. Bij de aanvraag om erkenning zal telkens worden bezien of open source redelijkerwijs mogelijk is, waarbij het geheel van door de aanvrager te nemen maatregelen wordt beoordeeld op veiligheid en proportionaliteit. In de toelichting bij de novelle wordt aangegeven hoe de weigeringsgrond terzake wordt toegepast en welke wegingsfactoren daarbij gelden, met andere woorden: hoe artikel 9, zesde lid, onder d en artikel 11, achtste lid, onder d worden ingevuld met de geleidelijkheidsnorm en daarmee de beweging naar open source wordt gemaakt. In aansluiting op hetgeen de Afdeling adviseert zullen het zevende lid van artikel 9 en het derde lid van artikel 14 worden aangevuld, ter verankering van de bevoegdheid om een verleende erkenning te wijzigen, schorsen of in te trekken naarmate open source meer gemeengoed is.

b. Nadere uitwerking

Het is niet duidelijk wat onder «open source software» moet worden verstaan. De regering lijkt hieronder slechts te verstaan dat de broncode van de software openbaar is, zodat iedereen de betrouwbaarheid kan onderzoeken.18 Onder open source kan echter ook worden verstaan dat de software door iedereen gratis te kopiëren, te gebruiken en te wijzigen is, en dat ontwikkelaars worden aangemoedigd om de software te verbeteren.

Het voorstel omschrijft het begrip als «software die onder een open source licentie is gepubliceerd» en laat de Minister een ruime beoordelingsvrijheid bij de vraag wat verder onder dat begrip moet worden verstaan. Dit leidt tot onduidelijkheid hoe deze weigeringsgrond moet worden uitgelegd.

In het licht van het voorgaande, adviseert de Afdeling de toelichting, en zo nodig het voorstel aan te passen.

In reactie op hetgeen de Afdeling adviseert, merk ik op dat de Afdeling terecht opmerkt dat open source meebrengt dat de software door iedereen gratis te gebruiken, te kopiëren en te wijzigen is, en dat ontwikkelaars worden aangemoedigd om de software te verbeteren. De betekenis van «open source software» staat evenwel los van de wijze waarop de weigeringsgrond wordt toegepast. De toelichting zal op dit punt worden aangepast.

5. Mate van delegatie

Bij de behandeling van het voorstel in de Eerste Kamer is uitvoerig aandacht besteed aan de vraag of het wetsvoorstel zelf voldoende regelt en er niet teveel wordt gedelegeerd naar het niveau van algemene maatregel van bestuur of ministeriële regeling. Bij de deskundigenbijeenkomst zijn er indringende vragen gesteld over het niveau van regelgeving. De regering heeft geen aanleiding gezien het voorstel uit te breiden of aan te vullen. In de memorie van antwoord gaat de regering uitgebreid in op de algemene uitgangspunten bij delegatie van regelgeving; daarna behandelt ze pagina’s lang de inhoud van het voorstel.19

In het deskundigenoverleg en het voorlopig verslag van de Eerste Kamer wordt de vraag gesteld of het advies van de Afdeling advisering op dit punt wel is opgevolgd.20 In dat advies stelde de Afdeling dat het voorstel abstract en techniekonafhankelijk was geformuleerd en dat de uitwerking van de abstracte begrippen werd gedelegeerd aan lagere regelgeving. Zo werden begrippen als DigiD, MijnOverheid, DigiD Machtigen en het BSN-Koppelregister geregeld in de (ministeriële) Regeling voorzieningen GDI. De Afdeling achtte het echter aannemelijk dat MijnOverheid en het BSN-Koppelregister, die een centrale plaats innemen in de communicatie tussen overheid en burger, de komende jaren zullen blijven bestaan. Daarom adviseerde zij deze centrale onderdelen van de generieke digitale infrastructuur in de wet zelf te regelen.21

In de memorie van antwoord stelt de regering nu dat het advies van de Afdeling is opgevolgd. Het wetsvoorstel bevat de taken, verantwoordelijkheden en functionaliteiten met betrekking tot een aantal belangrijke voorzieningen van de generieke digitale infrastructuur. Concretisering en uitwerking vindt plaats bij lagere regelgeving; de grondslagen hiervoor worden in het wetsvoorstel ingekaderd en begrensd. «Anders dan de fracties lijken te menen, zit er derhalve geen licht tussen de zienswijze van de Afdeling Advisering van de Raad van State en die van de regering,» zo stelt de regering.22

Het wetsvoorstel was echter niet gewijzigd op de punten die de Afdeling noemde. Het voorstel zoals destijds voorgelegd aan de Afdeling en de versie die nu bij de Eerste Kamer ligt zijn op het punt van de techniekonafhankelijkheid hetzelfde. In beide versies omschrijft het voorstel de functionele eisen waaraan de «generieke digitale infrastructuur» van de overheid moet voldoen, en wordt de techniekafhankelijke uitwerking overgelaten aan lagere regelgeving. Het gaat dan vooral om het Besluit digitale overheid, waarvan een conceptversie is voorgehangen bij de Eerste en Tweede Kamer. In die regeling worden de begrippen DigiD, MijnOverheid, DigiD Machtigen en het BSN-Koppelregister wel uitdrukkelijk geregeld.23

Zoals in de memorie van antwoord wordt vermeld, dient een wet de hoofdelementen van de regeling te bevatten. Het gevaar van techniekonafhankelijke wetgeving is dat de wet zo abstract wordt dat de hoofdelementen niet meer herkenbaar worden beschreven, zodat het parlement als medewetgever er zich geen voorstelling van kan maken waarmee het instemt. De wet dient man en paard te noemen en het niet te laten bij de algemene aanduiding dat het gaat om zoogdieren. Bij abstracte wettelijke regels is het nog wel mogelijk zich voor te stellen wat daar op dit moment concreet onder moet worden verstaan, maar niet welke betekenis zij in de toekomst kunnen krijgen.

Als het voorstel op die manier wordt versterkt, hoeft dat geen rem te zijn op technologische vernieuwingen. Het voorstel bevat immers al twee bepalingen die de regering de mogelijkheid geven om tijdelijk van onderdelen van de wet af te wijken om ruimte te geven aan innovatie.24

De Afdeling adviseert in de toelichting op het voorgaande in te gaan en het voorstel aan te vullen met techniekafhankelijke elementen uit het ontwerp-Besluit digitale overheid, of anders aan te geven waarom dat niet wenselijk is.

In reactie op hetgeen de Afdeling opmerkt over de mate van delegatie, merk ik in de eerste plaats op, dat de zorg van een aantal deskundigen – en deze zorg kwam terug in vragen van de Eerste Kamer – primair verband hield met privacybescherming en open source. Het wetsvoorstel is naar aanleiding van de deskundigenbijeenkomst en het voorlopig verslag van de Eerste Kamer juist op die punten aangevuld, waardoor privacy bij design, open source en het verhandelverbod naar het niveau van de formele wet zijn getild.

In de tweede plaats merk ik op, dat conform het verzoek van de Eerste Kamer in de Memorie van Antwoord artikelsgewijs is aangegeven hoe het wetsvoorstel zich verhoudt tot de uitgangspunten inzake delegatie van wetgeving. Hierbij is toegelicht op welke wijze de centrale onderdelen van de generieke digitale infrastructuur (gdi) in de wet zelf zijn geregeld. Sprake is van een functionele formulering, waarbij met betrekking tot de gdi-voorzieningen wordt omschreven wat doel en werking(ssfeer) ervan zijn; de wet bepaalt in artikel 5, eerste en tweede lid, waartoe de voorzieningen dienen en wat deze (moeten) kunnen.

Deze wettelijke kaders vormen de hoofdelementen van de materie, zijn normatief en concreet voor wat betreft werkingssfeer en begrenzing. Duidelijk is wat er onder moet worden volstaan en welke functionaliteit de Minister moet verzorgen; het is niet nodig en niet wenselijk om in de wet de voorzieningen met een door de techniek ingegeven benaming aan te duiden. Dit zou belemmerend zijn.

De nadere uitwerking geschiedt op het niveau van – aan het parlement voorgelegde – AMvB, waarbij de voorzieningen wel bij naam worden aangeduid. Op deze wijze is de wet niet abstract – dat zou afbreuk doen aan de duidelijkheid en rechtszekerheid – maar techniekonafhankelijk en daardoor tot op zekere hoogte toekomstbestendig en kan, op democratisch gelegitimeerde wijze, worden ingespeeld op (oa technische) ontwikkelingen. Dit sluit aan bij de eveneens tijdens de deskundigenbijeenkomst naar voren gebrachte opvatting dat bij dit type wetgeving delegatie alsmede betrokkenheid van het parlement (gecontroleerde delegatie) in de rede ligt.

Tot slot merk ik op, dat anders dan de Afdeling meent de door haar genoemde bepalingen, die de mogelijkheid bieden tot (tijdelijke) afwijking van de wet, geen soelaas bieden voor de toekomstbestendigheid van de gdi-voorzieningen.

De werkingssfeer van deze bepalingen is namelijk beperkt tot de toegang tot elektronische dienstverlening (inlogmiddelen) bij de overheid.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

De vice-president van de Raad van State,

Th.C. de Graaf

Ik moge U hierbij verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops