Brief regering : Voortgangsrapportage Digitale Toegang

Nr. 711 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 september 2020

Met mijn brief van 29 januari 20201 berichtte ik u over mijn aanpak in het domein van digitale toegang. Dit domein omvat
alle voorzieningen waarmee burgers of bedrijven toegang krijgen tot digitale interactie
met de overheid en organisaties met een publieke taak. In deze brief rapporteer ik
over de tussentijdse resultaten.

De hoofddoelen die ik met mijn aanpak wil bereiken, zijn:

• Iedereen kan op een veilige, betrouwbare, toegankelijke, begrijpelijke, gebruiksvriendelijke
en persoonlijke wijze met de overheid interacteren.

• Steeds meer mensen kunnen in de almaar digitaler wordende maatschappij met de overheid
interacteren doordat de overheid intelligent en in samenwerking met burgers/bedrijven/belanghebbenden,
voortdurend optimaal gebruik maakt van de ontwikkelingen in het digitale domein.

• Wij beschermen daarbij de grondrechten en de publieke waarden.

In deze voortgangsrapportage rapporteer ik over de volgende onderdelen:

• Actielijnen en ontwikkelingen burgerdomein

• Actielijnen en ontwikkelingen bedrijvendomein

• Voortgang Machtigen

• Ontwikkeling stelsel

• Voortgang Wet- en regelgeving

• (Extern) onderzoek en opvolging daarvan.

Actielijnen en ontwikkelingen in het burgerdomein

Met mijn brief van 29 januari 20192 berichtte ik u over de start van actielijnen in het domein Toegang in het burger-
en bedrijvendomein. Deze actielijnen zijn erop gericht om stapsgewijs maatschappelijke
doelen, zoals op de eerste pagina geformuleerd, te realiseren, door belemmeringen
weg te nemen en het gebruik van hogere betrouwbaarheidsniveaus van DigiD en eHerkenning
te stimuleren. De actielijnen zijn met name gericht op die sectoren die als eerste
van de toegangsdiensten op de hogere eIDAS betrouwbaarheidsniveaus gebruik willen
en/of moeten maken. Denk dan bijvoorbeeld aan het UWV dat is gestart met eHerkenning
3 of de zorgsector die dit jaar naar verwachting op minimaal 2-factor en bij voorkeur
op substantieel overstapt. De opbrengst uit de actielijnen dient vervolgens structureel
geborgd te worden, en uiteindelijk te leiden tot een volledig werkend stelsel, gebouwd
op de waarden van betrouwbaarheid, veiligheid en privacy, en waarvan de voorzieningen
voldoen aan strenge eisen op die thema’s.

Met de inwerkingtreding van de wijziging van de Paspoortwet op 1 januari 2021 zal
een extra functionaliteit op de ID-kaart (eNIK) worden geplaatst. Hierdoor kan de
burger ook op niveau «hoog» bij de (semi)overheid inloggen. Naar verwachting zullen
er op korte termijn al uitvoeringsdiensten overgaan tot het gebruik ervan. Dit hoeft
echter nog niet. Pas na de inwerkingtreding van de WDO wordt inloggen op een hoger
betrouwbaarheidsniveau dan «laag» voor veel overheidsdiensten wettelijk verplicht.
Als een dienst wordt geclassificeerd op niveau hoog moet de burger inloggen met een
e-functionaliteit (op de eNIK en na 1 juli 2021 het eRijbewijs).

Door op 1 januari a.s. te beginnen met uitrol van de eNIK wordt stapsgewijs toegewerkt
naar een goede dekkingsgraad.3

1. Actielijn Bevorderen brede beweging naar 2-factor inloggen

Met deze actielijn stimuleren we, als tussenstap naar het implementeren van eIDAS-niveau
substantieel, het inloggen met de DigiD app of sms-code.

In de bovenstaande figuur is het aantal actieve DigiD accounts weergegeven. Dit betreft
het aantal burgers dat van DigiD gebruik kan maken en dus niet het daadwerkelijke
gebruik.

• Te zien is dat het aantal accounts met DigiD 2-factor (oranje lijn), gestaag toeneemt.

• Ook is vanaf eind vorig jaar een stijging te zien van het aantal accounts op het eIDAS
betrouwbaarheidsniveau substantieel (gele lijn).

• Tot slot is te zien dat het aantal accounts op het laagste betrouwbaarheidsniveau
DigiD basis (blauwe lijn) gestaag daalt. Dit niveau maakt gebruik van gebruikersnaam
en wachtwoord.

Hieronder vindt u een grafische weergave van het aantal authenticaties en daarmee
het gebruik van DigiD.

• De figuur geeft het aantal authenticaties weer op de betrouwbaarheidsniveaus 2-factor
DigiD SMS, 2-factor DigiD app en DigiD substantieel. Het aantal authenticaties op
het niveau DigiD basis (gebruikersnaam en wachtwoord) is in deze figuur niet weergegeven.

• Met onder andere communicatiecampagnes gericht op gezinnen met jonge kinderen en studenten,
is het gebruik van 2-factor de afgelopen periode verder gestegen naar bijna 50% van
het totaal aantal authenticaties.

• Voor factor 2 is het streven het gebruik van sms verder terug te dringen en burgers
te stimuleren de app te gebruiken, zodat de stap om vervolgens de app op te waarderen
naar DigiD Substantieel kleiner wordt.

2. Actielijn Aansluiting zorg

Deze actielijn is erop gericht om de dienstverleners in de zorg aan te sluiten op
inlogmiddelen op het eIDAS betrouwbaarheidsniveau Substantieel met 2-factor als tussenstap,
te beginnen met DigiD. Deze actielijn is gericht op het realiseren van de maatschappelijke
doelen in de zorg. Denk dan aan de eHealth ambitie van mijn collega van VWS, toegang
tot eigen patiëntendossiers of het faciliteren van veilige gegevensuitwisseling in
de zorg. Hierop is de afgelopen maanden ook goede voortgang geboekt: eind juli is
gestart met het kleinschalig aansluiten van zorgaanbieders op inlogmiddelen, te beginnen
met DigiD (2-factor en substantieel) via een routeringsvoorziening, die het mogelijk
maakt dat het tempo waarop dienstverleners in de zorg kunnen worden aangesloten flink
wordt opgevoerd. Met ruim 12.500 dienstverleners in de zorg is dat noodzakelijk. Afhankelijk
van de bevindingen in het kleinschalig aansluiten, kan vervolgens dit najaar gestart
worden met het grootschalig aansluiten op inlogmiddelen.

Actielijnen en ontwikkelingen in het bedrijvendomein

In het bedrijvendomein zijn de actielijnen de afgelopen periode gericht geweest op
het bevorderen van de verbeteringen in het eHerkennning-stelsel en een lerende uitrol
van eHerkenning 3 (eH3): het stimuleren van dienstverleners om toegangseisen te stellen
op niveau eH3 en het bevorderen van eH-middelen in het business to business segment.
Belangrijke stappen daarin zijn dat zowel het portaal van het UWV als dat van de Belastingdienst
nu ontsloten zijn voor eH3.

De resultaten zijn weergegeven in de bovenstaande figuur en geven het aantal accounts
weer van de verschillende niveaus van de eHerkenningsmiddelen.

Dit betreft het aantal bedrijven dat van eHerkenning gebruik kan maken, maar niet
het daadwerkelijke gebruik.

De niveaus 1, 2 en 2+ betreffen eIDAS-niveau Laag, niveau 3 eIDAS-niveau Substantieel
en niveau 4 eIDAS niveau Hoog. Het aantal accounts van eH 3 (oranje lijn) is vanwege
de ontsluiting door UWV en de Belastingdienst, fors toegenomen.

De komende tijd zal verkend worden wanneer de overige dienstverleners ook eH3 verplicht
kunnen gaan stellen, en onder welke condities dat dan moet. Dat geldt ook voor de
vraag wanneer eH1 (blauwe lijn) kan komen te vervallen en wat daar dan de impact van
is.

De komende periode zal het werk in deze actielijn zich ook gaan richten op het verder
stimuleren van het business to business segment.

Voor wat betreft de belangrijkste aanpassingen van het stelsel is uw Kamer bij brief
van 3 maart4 en 12 juni5 door mij en de Staatssecretaris van Financiën geïnformeerd over de aanpak voor organisaties
die geen eHerkenning kunnen aanschaffen. Naar aanleiding van de wens van uw Kamer
dat ondernemers die eHerkenning alleen nodig hebben voor het doen aangifte bij de
Belastingdienst hiervoor geen kosten maken is specifiek voor de Belastingdienst een
oplossing gerealiseerd, waardoor zij nu nog gecompenseerd worden voor aanschaf van
het eH3/BD middel dat alleen gebruikt kan worden voor aangifte bij de Belastingdienst
wanneer authenticatie op niveau substantieel verplicht is gesteld. Ook worden kosten
van een intermediair vergoed wanneer eHerkenning niet kan worden aangeschaft. Een
wijziging van de wet op het Handelsregister, zodat eHerkenning breder gebruikt kan
worden, wordt hiervoor samen met het Ministerie van EZK voorbereid. Tegelijkertijd
wordt door de Belastingdienst gewerkt aan de randvoorwaardelijke registraties van
overige rechtspersonen ten behoeve van de uitgifte van authenticatiemiddelen zoals
eHerkenning.

Gekozen is voor het stapsgewijs realiseren van maatschappelijke doelen. Voor wat betreft
eHerkenning betekent dit dat een groeimodel gehanteerd wordt. Dat heeft als gevolg
dat de eHerkenningsmiddelen pas op termijn door alle overheidsdienstverleners ontsloten
zijn en dat geldt evenzeer voor de ontsluiting in het business to business segment.

Zoals toegezegd bij brief van 3 maart 20206 zal ik u voor 1 december 2020 informeren over het in de motie van het lid Van der
Molen7 gevraagde onderzoek op welke wijze een publiek middel kan worden verschaft, dan wel
hoe de eID-ontwikkeling aangegrepen kan worden om een geïntegreerd burger- en bedrijfs-
en organisatiemiddel tot stand te brengen.

Voortgang Machtigen

In mijn brief van 18 juni 20208 informeerde ik u over de status van het programma Machtigen, en de vertraging die
zich daarin had voorgedaan. Ik heb bezien hoe we focus konden aanbrengen in het programma,
en waar de urgentie dan het hoogst is. In overleg met de Minister voor Medische Zorg
en Sport heb ik ervoor gekozen nu prioriteit te geven aan het aansluiten van de zorg
op de voorziening voor vrijwillig machtigen. De afgelopen maanden is er in nauwe samenwerking
met het Ministerie van VWS aan gewerkt om de eerste dienstverleners nog dit jaar aan
te sluiten op deze machtigingsvoorziening; we zetten alles op alles om dit te realiseren,
al moeten we nog een slag om de arm houden, zoals ik u ook gemeld heb in voornoemde
brief.

In de brief van 18 juni heb ik toegezegd u in deze rapportage te informeren over de
planning voor andere groepen dienstverleners. Die planning is nog niet beschikbaar.
Op basis van de bevindingen bij het aansluitproces op deze machtigingsvoorziening
in de zorg, bekijken we dan hoe we deze machtigingsvoorziening voor overige sectoren
kunnen realiseren. Ik zal u daarover in de volgende rapportage informeren.

Voor wat betreft de overige doelen binnen het programma Machtigen, is er samen met
een aantal belangrijke stakeholders gestart met de planning en voorbereidingen voor
het realiseren van de overige machtigingsoplossingen. Zo wordt er samen met de Raad
voor de Rechtspraak gekeken naar een machtigingsoplossing specifiek voor bewindvoering,
met de betrokken partijen in de jeugdzorg naar een oplossing voor ouder-kind machtigen
en met de Belastingdienst naar een mogelijkheid voor het machtigen van nabestaanden.

Ook over deze ontwikkelingen zal ik u in de volgende voortgangsrapportage nader informeren.

Ontwikkeling stelsel

De aanpak die in het domein toegang nu vooral gekenmerkt wordt door actielijnen, moet
uiteindelijk leiden tot een robuust en toekomstbestendig stelsel voor Digitale Toegang.
De vorm die we daarbij voor ogen hebben, en die als zodanig ook in de Wet Digitale
Overheid in wetgeving is opgenomen, betreft een duaal stelsel, met publieke en private
middelen. In het burgerdomein is nu alleen een publiek middel beschikbaar, maar wanneer
straks de WDO van kracht is, kunnen ook private partijen toegelaten worden. Over de
mogelijke integratie van het burger- en bedrijvendomein zal ik u met mijn brief naar
aanleiding van de motie van het lid Van der Molen informeren.

Met de WDO wordt op deze wijze een nieuwe stelselvorm geïntroduceerd, die de komende
tijd verder ingericht wordt. Zo zal de rol van bevoegd gezag moeten worden ingevuld,
alsmede de procedures voor de aanvraag van een erkenning en de voorwaarden die we
willen stellen aan publieke en private middelen om voor een toelating, dan wel erkenning
in aanmerking te komen. Dit zal een leerproces zijn, waarbij wij werkende weg bouwen.

Voortgang wet- en regelgeving

Om met het stelsel te kunnen starten is het van kracht worden van de Wet Digitale
Overheid en bijbehorende uitvoeringsregelgeving noodzakelijk. Hierin zijn de uitgangspunten,
verantwoordelijkheden en grondslagen voor de benodigde gdi-voorzieningen geregeld
om het stelsel te laten werken, en wordt geregeld dat private inlogmiddelen kunnen
worden toegelaten.

Het wetsvoorstel is sinds februari jl. in behandeling bij de Eerste Kamer. Ook een
aantal algemene maatregelen van bestuur (AMvB’s), die in concept aan beide Kamers
zijn voorgelegd («voorhang»), zijn aanhangig. Tot slot worden momenteel de benodigde
ministeriële regelingen voorbereid.

De Eerste Kamer behandelt het wetsvoorstel in samenhang met de voorgelegde AMvB’s.
Hierdoor worden deze AMvB’s nog niet aan de Afdeling Advisering van de Raad van State
voorgelegd en zullen na behandeling door de Eerste Kamer nog enkele maanden nodig
zijn voordat de AMvB’s in werking kunnen treden.

Vanzelfsprekend worden onverminderd voorbereidingen getroffen voor de uitrol van het
stelsel, in het bijzonder de toelating van private middelen.

Onderzoek en opvolging van aanbevelingen

Zoals dat gebruikelijk is voor programma’s, heb ik begin dit jaar door PWC een assurance-onderzoek
uit laten voeren naar de programma’s in het domein Toegang9; daarnaast heeft de CIO BZK onderzoek gedaan naar het programma Machtigen10.

Beide rapportages geven een kritisch en herkenbaar beeld van de programma’s. De geconstateerde
risico’s volgen uit de complexiteit en dynamiek die eigen zijn aan het domein. Die
betreffen de hoge (ook politieke) verwachtingen rond digitale dienstverlening en de
besturing van de programma’s, met een grote diversiteit aan stakeholders, die samen
verantwoordelijk zijn voor de realisatie van digitale toegang tot de overheid. Die
gezamenlijke verantwoordelijkheid leidt echter ook tot risico’s ten aanzien van een
gemeenschappelijke focus.

De complexiteit en de dynamiek worden verder gevoed door het tempo waarin de technologische
component van het domein zich ontwikkelt. Innovaties die zowel kansen als bedreigingen
bieden voor het domein, volgen elkaar in hoog tempo op.

De centrale aanbeveling is dan ook een herijking op de kortetermijnprioriteiten (<
1 jaar) van het programma. Andere aanbevelingen richten zich op het reduceren van
complexiteit, de deadlines, de beoogde resultaten en de relatie met de belanghebbenden.

De analyse en risico’s in het rapport zijn herkenbaar, evenals de aanbevelingen. Ik
ben dan ook meteen gestart om de aanbevelingen uit de onderzoeken op te volgen, en
aldus de risico’s te mitigeren. Hierbij staan de volgende drie acties centraal:

– De versterking van de regierol in het stelsel.

– Het beheersbaar maken van de complexiteit.

– De versterking van de architectuurfunctie binnen het domein.

Een uitgebreid overzicht van de aanbevelingen en mijn reactie daarop, vindt u in de
bijlagen bij deze rapportage11. Over de voortgang van de uitvoering van de acties zal ik u in een volgende voortgangsrapportage
informeren.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops