Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 16 december 2021
Hierbij bied ik u nieuwe ontwerpversies aan van het Besluit bedrijfs- en organisatiemiddelen en het Besluit identificatiemiddelen voor natuurlijke personen Wdo, en de nog resterende beantwoording van de vragen en opmerkingen van de vaste commissie voor Binnenlandse Zaken van de Tweede Kamer over het laatstgenoemde ontwerpbesluit1.
De aanbieding van de vernieuwde integrale versies van deze besluiten kondigde ik onlangs aan bij de Nota naar aanleiding van het verslag bij de novelle (kamerstuk 35 868, nr. 6) bij de Wet digitale overheid (Wdo). De aanbieding dient om een uitgebreid beeld te geven van de uitvoeringsregelgeving en daarmee, met oog op de behandeling van de novelle, het inzicht van beide Kamers over het ter instemming voorliggende wetsvoorstel te vergroten.
De novelle beoogt immers naar wens daartoe van de Eerste Kamer een aantal onderwerpen op wetsniveau te regelen die in het oorspronkelijke wetsvoorstel voorzien waren voor regeling in algemene maatregelen van bestuur. Als gevolg daarvan en van de verdere inzichten die zijn opgedaan in de continue dialoog met de uitvoerders rondom de verdere uitwerking van de voorstellen, zijn ook andere aanpassingen in deze algemene maatregelen van bestuur aangebracht. De ontwerpen zullen nog aan de Afdeling advisering van de Raad van State worden voorgelegd. Volledigheidshalve zij vermeld dat er reeds een schriftelijk overleg heeft plaatsgevonden over het voorgenomen Besluit digitale overheid. Het verslag hiervan is te vinden in Kamerstukken 34 972, nr. 46.
De aanpassingen betreffen op hoofdlijnen het volgende: de eisen en procedures uit de beide ontwerpbesluiten zijn zoveel mogelijk geüniformeerd. Hierbij is een regeling opgenomen die invulling geeft aan het wetsbegrip van het «voldoende beschikbaar» zijn van open source. Ook is geregeld wat privacy by design betekent voor de erkenningsprocedure en hoe het verhandelverbod van gegevens in de procedure van erkenning uitwerkt.
Meer inzet van open source software
Ik onderschrijf met de Eerste Kamer het belang van open source software en de belangrijke rol die deze software kan hebben voor de transparante werking en de veiligheid van deze inlogmiddelen. De regeling in deze ontwerpbesluiten heeft als doel de inzet van open source software als onderdeel van de toegelaten inlogmiddelen en het publieke middel DigiD op een verantwoorde manier mogelijk te maken, zonder dat dit ten koste gaat van de mogelijkheden voor burgers om op veilige wijze toegang te krijgen tot elektronische dienstverlening. Hierbij houd ik onder meer rekening met de continuïteit en de beschikbaarheid van voldoende veilige inlogmiddelen voor gebruikers.
Daarom wordt in deze ontwerpbesluiten uitgegaan van een minimumnorm die wordt vastgesteld voor open source, waaraan toegelaten partijen en potentiële toetreders moeten voldoen. Deze norm maakt het mogelijk om de relevante belangen te wegen en daarop te sturen. Het gebruik van open source zal naar verloop van tijd, afhankelijk van de mate waarin meer open source wordt verlangd, steeds verder toenemen. Dit komt omdat de norm hierop wordt bijgesteld.
Verhandelverbod van gegevens
In de wet is geregeld dat met de erkenning geen inkomsten worden verkregen uit het verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers. In het besluit is dit ten eerste uitgewerkt door middel van de verplichting tot een gescheiden opslag van gebruiks- en gebruikersgegevens, waardoor de koppeling niet meer of alleen geclausuleerd mogelijk is. Verder is dit uitgewerkt door de eis openbaar te maken op welke wijze een erkende partij inkomsten genereert met een erkenning, en de verplichting om waar mogelijk met versleutelde gegevens te werken. Gebruikers moeten verder de mogelijkheid krijgen om het verstrekken van gegevens te beëindigen zonder verlies van functionaliteiten en zonder nadelige financiële gevolgen. Aanbieders van private inlogmiddelen worden hier niet alleen bij de toelating op gecontroleerd, maar ook tussentijds, als onderdeel van het doorlopende toezicht op de inlogmiddelen. Bij overtreding van deze regels kan in voorkomende gevallen worden overgegaan tot schorsing, en uiteindelijk ook uitsluiting van de dienstverlening, waarbij de toelating wordt ingetrokken en de aanbieder zijn dienstverlening moet stoppen.
Privacy by design
In de wet is bepaald dat een erkenning niet wordt verleend indien het ontwerp van het identificatiemiddel of de ontsluitende dienst naar de stand der techniek en andere redelijkerwijs beschikbare mogelijkheden op het moment van aanvraag onvoldoende voorziet in de bescherming van gegevens, privacy by design dus. Met dit besluit wordt van aanvragers van een erkenning gevraagd om bij een erkenningsaanvraag te onderbouwen dat is voldaan aan artikel 25 van de AVG. Voor de beoordeling of dit het geval is worden de richtsnoeren gebruikt die de koepel van Europese privacy toezichthouders hanteert.
De mogelijkheden tot toetsing en toezicht zijn uitgebreid met een verplichting aan partijen een onafhankelijke audit uit te voeren. Verder zijn toegevoegd de eis mee te werken aan het toezicht en een afwijzingsgrond en een intrekkingsgrond die kunnen worden toegepast in geval partijen onvoldoende kunnen aantonen dat zij voldoen aan de eisen. Daarnaast zijn er nog extra waarborgen ingebouwd in de vorm van de meldingsplicht voor wijzigingen in de werking van het middel, waarvoor geen wijziging van de erkenning nodig is.
Erkenning van authenticatiedienst en machtigingsdienst
Het wetsartikel dat het bedrijvendomein regelt, kent meerdere rollen die voor erkenning in aanmerking komen. Gebleken is dat formele erkenning niet voor alle rollen nodig is. Volstaan kan worden met de erkenning van de rollen van machtigingsdienst en van authenticatiedienst. In de praktijk is het de authenticatiedienst die de identiteit van de gebruiker vaststelt en is het de machtigingsdienst waar de machtigingsregistratie plaatsvindt en die vervolgens de verklaring over identiteit en bevoegdheid samenstelt en deze aan de dienstverlener doorgeeft.
De overige rollen kunnen door leveranciers worden ingevuld op basis van onderlinge afspraken, zonder formele erkenning. Deze vereenvoudigde procedure is in het besluit opgenomen. Deze manier van regelen sluit overigens aan op de huidige praktijk en hiermee wordt het erkenningsproces aanzienlijk vereenvoudigd en worden de daarbij horende administratieve lasten verminderd.
De Wdo schrijft voor dat regels moeten worden gesteld over het tarief. Gebleken is dat een dergelijke regeling ter bescherming van gebruikers in de praktijk niet nodig is, aangezien er altijd de terugvaloptie is van het gratis publieke middel. Daarom is de regeling voor ingrijpen bij niet marktconforme tarieven niet ingevuld en vervangen door een de facto regeling: bij hanteren van een hoog tarief prijst een aanbieder zichzelf uit de markt. Voor een uitgebreidere toelichting op de besluiten zij verwezen naar de nota’s van toelichting.
Een gelijkluidende brief heb ik gezonden aan de voorzitter van de Eerste Kamer der Staten-Generaal.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops