Brief regering : Andere toelatingssystematiek inlogmiddelen voor burgers

Nr. 11 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 juli 2019

Op 12 juni jl. heb ik u de nota naar aanleiding van het nader verslag bij het wetsvoorstel
digitale overheid toegezonden. (Kamerstuk 34 972, nr. 10)

Uw kamer heeft onder meer vragen gesteld die zich concentreren op de verwerving van
een privaat inlogmiddel voor burgers. De leden vroegen waarom de regering niet heeft
gekozen voor een systeem van accreditatie (toelating). Dit met het oog op bereik en
snelheid en gelijke kansen voor alle (private aanbieders van) inlogmiddelen. Kort
en goed gaat het daarbij om de vraag of de wijze van verwerving niet zou moeten worden
gewijzigd van aanbesteding naar een systeem van meer open toelating.

Ik heb u ten aanzien van deze vraag in de nota naar aanleiding van het nader verslag
aangegeven dat ik op het punt van verwerving inderdaad overweeg om te kiezen voor
een systematiek van open toelating. Ik heb u daarbij gemeld dat ik u over de definitieve
keuze binnen enkele weken nader bericht. Ik heb met de betrokken partijen (zowel marktpartijen
als overheden) gesproken en de ervaringen in de landen om ons heen bezien. Ook heb
ik de (beheersmatige) consequenties en daarmee de haalbaarheid en vormgeving van de keuze voor open toelating voldoende in beeld.

Op basis van de uitkomsten daarvan kies ik er ervoor om private inlogmiddelen voor burgers via een systeem van open toelating (erkenning) te gaan verwerven.
Deze keuze leidt tot een nota van wijziging op het wetsvoorstel. Ik bereid deze op
dit moment voor, en stuur deze na advisering door de Afdeling Advisering van de Raad
van State zo spoedig mogelijk aan uw kamer toe.

Ik licht u de keuze voor open toelating en de redenen daarvoor hieronder graag toe.
Ook schets ik de sturingsprincipes bij de inrichting daarvan en de stappen die nodig
zijn om deze keuze (operationeel en juridisch) mogelijk te maken. Ik neem de gelegenheid
te baat om – nu het wetsvoorstel ten behoeve van open toelating gewijzigd dient te
worden – tevens de mogelijkheid van een eventuele inzet van private makelaars te regelen.
Ik zet dat vervolgens uiteen.

Ik besluit met een planning die ik volg om de wetswijziging bij uw Kamer te kunnen
indienen. Deze is erop gericht om het vervolg van de behandeling van het wetsvoorstel
zo spoedig mogelijk te kunnen vervolgen.

Redenen en overwegingen voor open toelating voor inlogmiddelen voor burgers

De feiten en omstandigheden waarbinnen een middel verworven moet worden zijn in het
afgelopen jaar significant gewijzigd. De markt is op gang gekomen en lijkt niet meer
afhankelijk van (start)subsidiering zoals eerder de verwachting was. Het innovatietempo
ligt zeer hoog, de ontwikkeling van inlogmiddelen versnelt en het aantal partijen
dat innovatieve oplossingen aanbiedt neemt toe. Hierbij past een meer wendbare en
daarmee meer toekomstvaste toelatingssystematiek.

Immers zoals ik tijdens het AO eID eind vorig jaar heb toegelicht, juist door slim
gebruik te maken van de technologische ontwikkelingen, kunnen meer mogelijkheden benut
worden om burgers aan de steeds complexer wordende maatschappij deel te kunnen laten
nemen.

Mede daarom is voor mij doorslaggevend dat met open toelating innovatie beter gefaciliteerd
wordt. Dit zorgt ervoor dat burgers en medeoverheden beter en sneller gebruik kunnen
maken van wat de markt hen aan nieuwe mogelijkheden te bieden heeft. Een systeem van
open toelating is toekomstbestendiger dan aanbesteding omdat beter meebewogen kan
worden met de ontwikkelingen in de markt. Tevens kan een groter deel van de markt
benut worden, doordat geen partijen uitgesloten hoeven te worden. Voor burgers heeft
dit als voordeel dat zij gebruik kunnen maken van bij hen bekende inlogmiddelen. Tevens
is de burger beter uit met continuïteit omdat de burger niet graag wisselt van middel.
Daarbij maakt open toelating het mogelijk om partijen toe te laten die zich kunnen
of willen gaan richten op ondersteuning van specifieke doelgroepen. Voor burgers die
nu nog geen of lastig digitaal zaken kunnen doen met de overheid is dit winst (inclusie).

Van belang is verder dat in de ons omringende landen overwegend gekozen wordt voor
open toelating. Er is een aantal aansprekende voorbeelden waarin dit snel tot een
goede dekkingsgraad van betrouwbare authenticatiemiddelen heeft geleid die bovendien
voor een aantrekkelijke prijs worden aangeboden. Nederland doet er goed aan om mee
te liften op deze ontwikkeling, zodat ook Nederland middelen kan gaan toelaten die
zich nu «bewijzen» in het buitenland. Een bijkomend voordeel is dat de overstap naar
dit systeem de toekomstige integratie van het burger en bedrijvendomein – zoals ik
dat in de nota naar aanleiding van het nader verslag heb aangekondigd – vergemakkelijkt.

Tot slot worden landspecifieke inlogmiddelen door EU-lidstaten conform de eIDAS-vereisten
genotificeerd en daarmee Europabreed ontsloten. Deze in andere landen toegelaten en
tevens eIDAS genotificeerde inlogmiddelen, zijn na notificatie ook in Nederland te
gebruiken voor toegang tot de digitale overheid. Deze markt van genotificeerde middelen
ontwikkelt zich snel. In 1,5 jaar na inwerkingtreding van de verordening zijn er nu
11 landen met een 1 of meerdere genotificeerde middelen en komen er per kwartaal in
de EU ongeveer 3 nieuwe middelen bij.

Ik realiseer mij terdege dat de overstap op dit moment naar een andere wijze van verwerving
extra inspanningen vergt aan de zijde van mijn ministerie. Met name de inrichting
van het beheer kan tot vertraging leiden in het moment waarmee middelen beschikbaar
komen. Dat komt omdat – los van de benodigde inspanning waar ik zelf op kan en zal
inzetten – voor open toelating tevens nadere wet- en regelregelgeving met vastgestelde
consultatieronden en doorlooptijden nodig is. Mijn inschatting is dat deze vertraging
(enkele maanden) afgezet tegen de middellange termijn verantwoord is en de benodigde
korte termijn-inspanning voor de inrichting opweegt tegen de inspanningen en profijt
op de langere termijn. De lasten gaan voor de baten uit.

Overigens zal ik al het mogelijke doen om vertraging te voorkomen of te minimaliseren.
Indien burgers gedupeerd dreigen te raken omdat specifieke dienstverlening waarvan
zij direct afhankelijk zijn spaak loopt doordat middelen op adequate betrouwbaarheidsniveau
nog niet beschikbaar zijn, zal ik met betrokken partijen in overleg treden om tot
een al dan niet tijdelijke oplossing te komen.

Ontwerpsturing systeem voor toelating

Ik merk op dat het primaire (beleids)doel is dat burgers en bedrijven veilig, betrouwbaar,
gebruiksvriendelijk kunnen inloggen zodat zij transacties kunnen verrichten in de
digitale wereld. Ik beschouw de beschikbaarheid of het laten ontstaan van een markt
daarvoor van meerdere (private) inlogmiddelen («multimiddelen») – anders dan voorheen
– derhalve niet als doel of strategie in zichzelf. Dat is veeleer een positief neveneffect
bij het bereiken van mijn primaire doel. Voor de inrichting van een systeem voor toelating
voor de verwerving van inlogmiddelen zijn de kernwaarden toegankelijkheid, veiligheid,
betrouwbaarheid en gebruiksvriendelijkheid, zoals verankerd in de agenda NLDIGIbeter,
leidend. Dat geldt tevens voor financieel-beheersmatige – aspecten en continuïteit.

Dit betekent dat naast inhoudelijke veiligheids- en privacy- en betrouwbaarheidseisen,
gezien de te beschermen publieke belangen, marktordeningsmaatregelen zoals prijsregulering,
leveringsverplichtingen of dekkingsgraadeisen als sturingsmiddelen kunnen worden ingezet.
Het spreekt daarbij voor zich dat ik bij de inzet daarvan rekening houd met, en de
balans zal zoeken om de innovatiekracht van partijen niet onbedoeld of onnodig te
remmen.

Inrichting en vormgeving systeem voor toelating

Het aantal partijen dat met open toelating inlogmiddelen kan leveren, is bij een open
toelating groter dan bij verwerving door aanbesteding. De verwachting is evenwel dat
door de gestelde (eIDAS-)eisen in zichzelf een drempel zullen vormen tegen bovenmatige
toestroom van partijen. De (extra) beheerlast ten opzichte van de huidige situatie
zal in die zin dan ook beperkt zijn.

Wel vergt het beheer van een stelsel van open toelating als zodanig meer inspanning,
met name in de aanloop daar naartoe. In de komende periode zal de systematiek van
open toelating, zoals de formulering van toelatingseisen voor (leveranciers van) inlogmiddelen,
processen voor erkenning, het toezicht op de middelen en het beheer van het stelsel
worden uitgewerkt en worden ingericht. Voor zover opportuun wordt uiteraard gebruik
gemaakt van elementen zoals deze in het bedrijvendomein reeds zijn uitgewerkt en operationeel
zijn.

Borging van het systeem voor toelating in de Wet digitale overheid (nota van wijziging)

De koerswijziging naar open toelating betekent, naast operationele inrichting en vormgeving,
ook dat het wetsvoorstel digitale overheid moet worden aangepast, als grondslag voor
de open toelating. Het betekent met name dat het huidige artikel 9 van het wetsvoorstel,
dat geënt is op verwerving door aanbesteding, moet worden gewijzigd. In het verlengde
daarvan zal ook de huidige toezichtsystematiek voor inlogmiddelen zoals neergelegd
in artikel 17, moeten worden aangepast en verbreed moeten worden naar (private) inlogmiddelen
voor burgers.

In de wetsartikelen zullen grondslagen worden opgenomen om in uitvoeringsregelgeving
onder meer toelatingseisen te kunnen stellen (met eisen aan leveranciers van inlogmiddelen,
veiligheids- en privacy- en beheersmatige eisen aan middelen), erkenningssystematiek,
het toezicht en de besturing van het toelatingssysteem. Dit geldt overigens niet alleen
voor inlogmiddelen voor burgers. Voor de bedrijfs- en organisatiemiddelen voorziet
het wetsvoorstel hier reeds in; hiervoor geldt dat het huidige afsprakenstelsel publiekrechtelijk
moet worden ingericht. Waar mogelijk zullen uiteraard synergievoordelen worden gezocht
en benut. Bij uitvoeringsregelgeving moet onder meer gedacht worden aan een algemene
maatregel van bestuur en ministeriële regeling, waarin de systematiek van open toelating
via erkenningverlening wordt uitgewerkt (waaronder het inbedden van een systeem van
accreditatie). Ook is een aanwijzigingsbesluit voor toezichthoudende ambtenaren nodig.
Ten slotte moet de juridische borging van de (beheer)organisatie en de financiering/doorbelasting
van deze activiteiten worden geregeld.

Toelaten van private makelaars ten behoeve van aansluiting overheidspartijen

Hoewel dit niet per definitie voortvloeit uit de keuze voor toelating van inlogmiddelen,
wordt bij gelegenheid van de wijziging van artikel 9 van de WDO als gevolg van de
voorgaande punten, gebruik gemaakt om in de wet de mogelijkheid te creëren om private
partijen ook een rol te bieden bij het ontsluiten van overheidsdienstaanbieders, en
daartoe te kunnen besluiten als dat nodig mocht blijken. Het is niet uitgesloten dat
dit met het oog op het vergroten van de «aansluitcapaciteit» noodzakelijk zal blijken
om overheidsorganisaties tijdig te kunnen aansluiten. Alsdan betekent het ook dat
deze private partijen moeten worden gereguleerd. Gelet op de verwerking van persoonsgegevens
(waaronder mogelijk het BSN) die deze partijen mogelijk verwerken moet grondslag voor
verwerking (art 16, bescherming van persoonsgegevens) aangepast worden. Datzelfde
geldt voor de onderliggende regelgeving (concept-besluit digitale overheid). Daartoe
zal op korte termijn een privacy impact analyse (PIA) worden uitgevoerd, waarbij naast
de grondslagen ook zal worden bezien of, en zo ja welke (extra) privacybeschermende
maatregelen benodigd zijn.

Planning/tijdpad

Gelet op de aard en strekking van de wijziging van het wetsvoorstel zal ik het voor
advies aan de Raad van State voorleggen. Ik streef ernaar om de nota van wijziging
begin juli aan de Raad van State te zenden, opdat de toezending aan uw Kamer kort
na het zomerreces kan plaatsvinden, en de behandeling van het wetsvoorstel spoedig
vervolgd kan worden.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops