Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over het fiche: Verordening Raamwerk Europese Digitale Identiteit (Kamerstuk 22112-3161)

Nr. 3241 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 30 november 2021

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen
voorgelegd aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de brief
van 9 juli 2021 over het Fiche: Verordening Raamwerk Europese Digitale Identiteit
(Kamerstuk 22 112, nr. 3161).

De vragen en opmerkingen zijn op 23 september 2021 aan de Minister van Binnenlandse
Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 29 november 2021 zijn de vragen
beantwoord.

De fungerend voorzitter van de commissie, Bosma

De adjunct-griffier van de commissie, Verhoev

Inhoudsopgave

blz.

 
 
 

I

Vragen en opmerkingen vanuit de fracties

2

 

Vragen en opmerkingen van de leden van de VVD-fractie

2

 

Vragen en opmerkingen van de leden van de D66-fractie

0

 

Vragen en opmerkingen van de leden van de PVV-fractie

0

 

Vragen en opmerkingen van de leden van de CDA-fractie

0

 

Vragen en opmerkingen van de leden van de SP-fractie

0

 
 
 

II

Antwoord/ reactie van de Minister

0

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het fiche
inzake Verordening Raamwerk Europese Digitale Identiteit. Graag willen deze leden
een aantal opmerkingen maken en het kabinet een aantal vragen stellen. Met het kabinet
zijn zij positief over het initiatief van de Europese Commissie om de digitale interne
markt te versterken met het voorstel voor elektronische identiteiten en elektronische
vertrouwensdiensten. Het is een goede zaak, zo menen zij, dat burgers straks hun identiteit
kunnen bewijzen en elektronische documenten vanuit hun Europese digitale portemonnees
voor digitale identiteit kunnen delen via hun smartphone. Hierbij moet nadrukkelijk
ook aandacht zijn voor diegenen die digitaal niet zo vaardig zijn, zo menen deze leden.
Hoe zorgt Nederland ervoor dat ook zij aangesloten blijven? Wat is daarbij de inzet
van het kabinet? Gaarne krijgen zij hierop een reactie.

De gevolgen van de Europese Digitale Identiteit voor de uitvoeringsorganisaties en
de medeoverheden zullen groot zijn. Deze organisaties zullen vele aanpassingen in
hun systemen moeten doen. In hoeverre zijn deze hierbij betrokken?

Met betrekking tot de aangeboden e-wallets hebben de leden van de VVD-fractie de volgende
vragen. Hoe ver is de techniek om vanuit de Basisregistratie Personen (BRP) de e-wallet
te kunnen laden? Zullen e-wallets door private partijen én ook de overheid worden
aangeboden? Wat zegt het voorstel van de Commissie daarover? Waar gaat de voorkeur
van het kabinet naar uit? Wil het kabinet alleen door private partijen aangeboden
e-wallets? Als dat het geval is, hoe verhoudt dat zich dan tot het wetsvoorstel Wet
digitale overheid dat momenteel in de Eerste Kamer in behandeling is? Daarin staat
namelijk dat de wet verplicht tot een publiek eID-middel, naast eventuele private
eID-middelen? Ingevolge dat wetsvoorstel moet er altijd een publiek middel zijn. Graag
krijgen deze leden een reactie van het kabinet.

Voor de leden van de VVD-fractie zijn ook de veiligheids-en de privacyaspecten belangrijk.
Die aspecten moeten in het algemeen goed zijn geregeld. In dat kader vragen deze leden
of straks ook e-wallets van buiten de EU/EER kunnen c.q. mogen worden aangeboden.
Hoe wordt dan toegezien op de veiligheids- en privacyaspecten, zo vragen zij.

Het kabinet verwelkomt het voorstel, zo valt te lezen in het fiche, maar is terughoudend
wat betreft de reikwijdte, impact en uitvoerbaarheid van het voorstel. Waarom is het
kabinet terughoudend wat betreft de reikwijdte van het voorstel, zo vragen de leden
van de VVD-fractie. De uitvoerbaarheid van het voorstel, zeker in relatie tot het
tijdpad, lijkt deze leden niet eenvoudig. Het zal voor de lidstaten van de EU niet
gemakkelijk zijn om dit voor elkaar te krijgen. Hoe ziet het kabinet dat? Gaarne krijgen
deze leden een reactie.

Wat zijn de gevolgen van het voorstel voor bedrijven, zo vragen de leden van de VVD-fractie.

Het kabinet geeft aan het toezicht op aanbieders van middelen en gegevens en op dienstverleners
in de publieke en private sector te harmoniseren. Hoe ziet het kabinet dat voor zich?
Welke eisen worden daaraan vanuit Europa gesteld? Welke kosten worden verwacht met
betrekking tot het toezicht? Gaarne krijgen de leden van de VVD-fractie een reactie
van het kabinet.

De invoering van het Europese systeem voor Digitale identiteit gaat gepaard met hoge
kosten. Wanneer wordt daar in de diverse begrotingen rekening mee gehouden en worden
daar gelden voor gereserveerd? Gaarne krijgen de leden van de VVD-fractie een reactie.
Los van deze vraag krijgen deze leden graag meer inzicht in de kosten van het ontwikkelen
van de e-wallet. Voor wiens rekening komen die kosten, zo vragen zij.

De invoering vraagt daarnaast van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
(BZK) om de generieke digitale infrastructuur die nodig is voor deze digitale identiteit
te ontwikkelen, beheren en exploiteren. Kan het kabinet aangeven in hoeverre het ministerie
hier klaar voor is of wat het nodig heeft om dit te realiseren?

Met deze wetswijziging worden browserleveranciers verplicht om Europese standaarden
voor betrouwbaarheid te accepteren. In beginsel snappen de leden van de VVD-fractie
deze wijziging en verplichting. Hoe ziet het kabinet dit voor zich in geval van een
opdoemend veiligheidsrisico waarbij snel handelen wellicht gewenst is om de veiligheid
van het internet te garanderen? Hoe ziet het kabinet het afdwingen van Europese standaarden
voor zich bij open source browsers?

Tot slot vragen de leden van de VVD-fractie hoe, na de introductie van de e-wallet,
wordt omgegaan met nieuwe technische ontwikkelingen die leiden tot nieuwe e-wallets.
Hoe lang zal het duren voordat een private aanbieder een nieuwe e-wallet daadwerkelijk
mag aanbieden? Moet binnen een bepaalde termijn toestemming door de Europese Commissie
worden gegeven? Graag krijgen deze leden meer inzicht in dit proces.

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben kennisgenomen van de BNC-fiches met betrekking
tot de Verordening Raamwerk Europese Digitale Identiteit. Deze leden hebben nog enkele
vragen.

De leden van de D66-fractie lezen dat de herziening van de verordening een verplichting
voor browserleveranciers stelt om gekwalificeerde certificaten van websiteauthenticatie
te accepteren. Deze leden vragen het kabinet toe te lichten hoe dit in de praktijk
gecontroleerd gaat worden. Acht het kabinet dat dit effectief mogelijk is?

De leden van de D66-fractie verwelkomen het expliciete verbod in artikel 6a voor het
onnodig verzamelen van gegevens over het gebruik van de wallet. Is de scheiding tussen
het gebruik van gegevens voortkomend uit het gebruik van de wallet en gegevens voortkomend
uit de gebruikmakende diensten zelf volgens het kabinet scherp genoeg vastgelegd?

De leden van de D66-fractie lezen dat de Europese Commissie het verplicht wil stellen
om eID-middelen te gebruiken voor authenticatie op grote platformen. Deze leden vragen
het kabinet toe te lichten welke maatstaf de commissie gaat gebruiken voor de definitie
van grote platformen. Wat acht het kabinet wenselijk?

Zij vragen het kabinet op welke manier het gebruik van een elektronisch grootboek
voldoet aan de eisen van het niet zomaar delen van gegevens buiten de Europese Unie.

De leden van de D66-fractie constateren dat de eIDAS-verordening op bepaalde punten
raakt aan de huidige Wet Digitale Overheid (Wdo), die nu in behandeling is in de Eerste
Kamer. Deze leden vragen het kabinet toe te lichten hoe eventuele conflicten, zoals
over het aanbieden van publieke identificatiemiddelen, tussen de Wdo en het EU-voorstel
opgelost kunnen worden, en of op welke wijze de Wdo verwacht aangepast te moeten worden.
Wat zijn de gevolgen voor DigiD en eHerkenning?

De leden van de D66-fractie constateren dat de uitvoering van deze verordening in
een hoog tempo wordt voorgesteld. Deze leden vragen het kabinet toe te lichten of
er voldoende ruimte wordt gegeven om deze nieuwe regelgeving binnen nationale digitaliseringstrajecten
te realiseren. Daarnaast vragen zij zich af of de interoperabiliteit tussen dit voorstel
en de systemen van de uitvoeringsorganisaties, zoals bijvoorbeeld het stel van basisregistraties,
in Nederland voldoende wordt bekeken. Welke onderdelen ziet het kabinet hier als grootste
uitdagingen?

De leden van de D66-fractie constateren dat nationale certificering op basis van Europese
standaarden mogelijk wordt. Deze leden vragen het kabinet hoe het toezicht er volgens
hen uit moet gaan zien.

De leden van de D66-fractie lezen dat de verordening van de Commissie constateert
dat elke lidstaat de plicht krijgt om tenminste een «European Digital Identity Wallet»
te introduceren. Daarnaast constateren deze leden dat de verordening voorstelt een
aantal digitale attributen via elektronische attestaties in de wallet beschikbaar
te maken. Zij horen graag of het kabinet ook graag ziet dat, naast de elektronische
identificatie, gelinkte attributen, zoals kwalificaties, bevoegdheden en digitale
documenten mogelijk in de toekomst aan de wallet kunnen worden gekoppeld. Zijn er
al concrete voorstellen welke onderdelen straks bij de wallet moeten kunnen? Welke
attributen ziet het kabinet het liefst terug? Zijn er ook onderdelen die het kabinet
geen onderdeel wil laten zijn van de wallet maar andere lidstaten wel?

De leden van de D66-fractie constateren dat de verordening inhoudt dat elke lidstaat
verplicht een European Digital Identity Wallet moet introduceren. Deze leden vragen
het kabinet toe te lichten of dit impact zal hebben op ons huidige systeem van gegevensuitwisseling
binnen de overheid. Zo ja, op welke manier precies en om welke systemen gaat het hier?
Zij maken zich zorgen over de uitvoerbaarheid voor bijvoorbeeld gemeenten. Hoe worden
gemeenten en andere organisaties hierbij ondersteund?

De leden van de D66-fractie horen graag van het kabinet waarom de wallet straks enkel
via een app op smartphones kan werken, nu dit ertoe kan leiden dat mensen vastzitten
aan een beperkte keuze in besturingssystemen, veelal van Amerikaanse techreuzen. Hoe
kijkt het kabinet hier tegen aan? Zijn er andere opties mogelijk? Wat betekent de
introductie van de e-ID voor mensen die geen e-ID willen? Hoe wordt gewaarborgd dat
deze mensen geen nadelige behandeling krijgen?

De leden van de D66-fractie vragen het kabinet hoe gekeken wordt naar het feit dat
iedere lidstaat op een andere manier de ontwikkelingen van de digitale identiteit
organiseert, zoals het alleen toelaten van publieke ontwikkeling, of door middel van
het aanwijzen van één specifieke sector in de ontwikkeling. Voorziet het kabinet problemen
bij de uiteenlopende benadering van lidstaten?

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van de stukken en willen het kabinet
nog enkele vragen voorleggen.

De leden van de PVV-fractie vragen het kabinet uit welke gegevens, onderzoeken of
enquêtes blijkt dat de meerderheid van de Nederlanders zit te wachten op dit EU-voorstel
inzake een Europees kader voor digitale identiteit of op een Europese Digitale Identiteit.

De leden van de PVV-fractie vragen het kabinet op welke wijze de Europese Unie de
privacy van de Nederlander kan schaden door via de invoering van de Europese Digitale
Identiteit persoonlijke gegevens te kunnen inzien.

De leden van de PVV-fractie vragen het kabinet hoe er sprake kan zijn van een Europese
Digitale Identiteit, als er niet eens sprake is van een Europese identiteit.

De leden van de PVV-fractie vragen het kabinet of het direct of indirect verplicht
zal gaan worden gebruik te gaan maken van de Europese Digitale Identiteit. Blijft
dit optioneel, of vervangt dit binnenkort andere dienstverlening waardoor men hier
wel gebruik van zal gaan moeten maken?

De leden van de PVV-fractie vragen het kabinet of zij van mening is dat de Europese
Commissie de macht van de grote techreuzen wil verkleinen, zodat zij zelf die macht
op zich kan nemen.

De leden van de PVV-fractie vragen het kabinet wat de implementatie van de Europese
Digitale Identiteit Nederland zal gaan kosten.

De leden van de PVV-fractie vragen het kabinet of er enige relatie met het vaccinatiepaspoort
bestaat, zoals ingevoerd met het oog op corona.

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de fiche:
Verordening Raamwerk Europese Digitale Identiteit. Deze leden hebben over deze fiche
een aantal vragen.

De leden van de CDA-fractie constateren dat de regering al van plan was onderwerpen
als een eID-wallet te regelen in de tweede tranche van de Wet digitale overheid. Die
wet ziet echter alleen op het verkeer tussen burgers en overheden en het verkeer tussen
bedrijven en overheden. De aanpassing van de verordening zorgt voor een verbreding
van de reikwijdte naar transacties in het private domein. Voor dat laatste is aanvullende
nationale uitvoeringsregelgeving nodig. Zal de private sector in de tweede tranche
onder de kaders van de Wdo worden gebracht of wordt hierin voorzien met een afzonderlijke
wet, zo vragen deze leden.

De leden van de CDA-fractie constateren dat elke lidstaat de plicht krijgt om tenminste
één European Digital Identity Wallet te introduceren. Deze leden vragen of dat niet
tot enorme wildgroei aan wallets gaat leiden die allemaal met elkaar verbonden moeten
worden. Welke voordelen heeft het apart introduceren van digitale wallets per lidstaat
ten opzichte van het introduceren van één systeem, zo vragen deze leden.

De leden van de CDA-fractie constateren dat de Wdo al de toelating van private eID-middelen
regelt. De wallet is daarmee onlosmakelijk verbonden. Deze leden vragen of de toelating
van private eID-wallets kan plaatsvinden onder dezelfde regels als vastgelegd in de
Wdo. Zo niet, welke onderwerpen dienen aanvullend in een tweede tranche geregeld te
worden? Wat is de impact van de wallet op de veertien onderliggende besluiten en regelingen
bij de eerste tranche van de Wdo?

De leden van de CDA-fractie constateren dat de eIDAS-verordening eisen bevat voor
persoonsidentificatiemiddelen. Deze leden vragen in hoeverre ingrijpende wijzigingen
in de uitvoeringsrichtlijnen zijn te verwachten wanneer de set van attributen, bevoegdheden,
kwalificaties, enzovoort wordt uitgebreid. Is er een begrenzing aan de data die onderdeel
kunnen zijn van een wallet of zouden in theorie ook medische gegevens hiervan onderdeel
kunnen uitmaken?

De leden van de CDA-fractie vragen hoe de eIDAS-verordening moet worden bezien in
verband met de al vigerende Algemene verordening gegevensbescherming (AVG) en de nog
vast te stellen verordening over kunstmatige intelligentie. Beide verordeningen zullen
van grote invloed zijn op alle digitale toepassingen, waaronder digitale «wallets»,
zo signaleren deze leden. In hoeverre wordt bij andere verordeningen rekening gehouden
met de ophanden zijnde verordening over kunstmatige intelligentie, zo vragen zij.

De leden van de CDA-fractie constateren dat de aanpassing van de verordening ziet
op een verbreding van het gebruik naar het private domein. Deze leden vragen hoe dit
zich verhoudt tot het nog bij novelle te regelen verhandelsverbod. Wordt het delen
van persoonsgegevens in ruil voor de levering van digitale inhoud of diensten, waarvoor
consumentenbescherming wordt vastgelegd in de Implementatiewet richtlijnen verkoop
goederen en levering digitale inhoud (Kamerstukken 35 734), gezien als verhandeling?

De fiche vermeldt dat het onduidelijk is hoe het voorstel uitpakt voor bedrijven alsmede
dat het publiek-private stelsel eHerkenning voor bedrijven reeds erkend is voor het
gebruik over de grens. De leden van de CDA-fractie vragen hoe zeker het voortbestaan
van dat stelsel is, nu BZK daarin niet langer participeert, zoals blijkt uit de brief
van de Staatssecretaris van BZK over de aanpak uitvoering publiek middel in het bedrijvendomein
(34 972, nr. 53). Zijn er voornemens of afspraken gemaakt over de invoering van een wallet voor bedrijven
of is dit aan de private partijen zelf overgelaten? Zal het nieuwe publiek middel
voor bedrijven voorzien in de functie van een wallet? Zal er een publieke wallet worden
uitgegeven of zal er uitsluitend in een publiek eID worden voorzien?

Het kabinet geeft aan te werken aan een nationale referentie-architectuur voor een
toekomstig eID-stelsel en het digitaal delen van gegevens, evenals een vertrouwensraamwerk
om principes, randvoorwaarden, eisen en standaarden uit te werken. De leden van de
CDA-fractie vragen wat het kabinet hiermee beoogt mogelijk te maken.

De leden van de CDA-fractie constateren dat het delen van gegevens niet ophoudt bij
de landsgrenzen. Het Once Only Principle, zoals vastgelegd in de Single Digital Gateway-verordening,
voorziet in en stuurt aan op het grensoverschrijdend delen van persoonsgegevens waarbij
de wallet een hulpmiddel kan zijn. Deze leden vragen wat de noodzaak is van een nationale
uitwerking van een referentie-architectuur in het licht van het Once Only Principle.
Wat is de noodzaak van een nationale uitwerking van een vertrouwensraamwerk in het
licht van de Toolbox voor de implementatie van het raamwerk voor een Europese Digitale
Identiteit, waarin o.a. een technische architectuur, referentieraamwerk, gemeenschappelijke
standaarden, technische specificaties en gemeenschappelijke richtlijnen worden opgesteld?

De leden van de CDA-fractie constateren dat het kabinet terughoudend is wat betreft
de reikwijdte, impact en uitvoerbaarheid van het voorstel en het voorgestelde tijdspad.
Het kabinet stelt dat er voldoende ruimte moet zijn om de nodige maatregelen en regelgeving
tijdig door te voeren binnen de context van nationale uitvoeringsagenda’s. Deze leden
vragen het kabinet een planning te geven voor de Nederlandse implementatie van de
voorzieningen die mogelijk zijn onder de verordening. Wat zijn hierbij de knelpunten?
Waar loopt Nederland eventueel al voor op de implementatie?

De leden van de CDA-fractie constateren dat elke lidstaat in het voorstel de plicht
krijgt om tenminste één «European Digital Identity Wallet» te introduceren. De wallet
kunnen lidstaten in eigen beheer of onder mandaat uitgeven of ze kunnen een onafhankelijk
uitgegeven wallet erkennen. De Vereniging van Nederlandse Gemeenten (VNG) waarschuwt
ervoor dat deze wallet niet ook verplicht moet worden toegepast bij de gegevensuitwisseling
binnen de overheid. De VNG stelt dat het stelsel van basisregistraties en de gegevensuitwisseling
binnen de overheid in stand moet blijven, zodat het bijvoorbeeld mogelijk blijft om
fraude op te sporen. Deze leden vragen het kabinet nader in te gaan op deze waarschuwing.
De VNG waarschuwt ook voor uitvoerbaarheid van een algemene verplichting van de wallet.
Klopt het dat alle systemen van gemeenten, waarmee informatie wordt uitgewisseld tussen
bijvoorbeeld de gemeente en de Sociale Verzekeringsbank of de politie, zouden moeten
worden aangepast?

Vragen en opmerkingen van de leden van de SP-fractie

De leden van de fractie van de SP hebben de plannen voor een Europees identificatiesysteem
gelezen en hebben hierover nog vele zorgen. Zij hebben nog vele vragen en opmerkingen.

De leden van de fractie van de SP hebben zich al eerder uitgesproken tegen private
identificatiemiddelen die ook gebruikt kunnen worden door overheidsinstanties. De
gegevens van mensen dienen goed beschermd te zijn en voor zo min mogelijk mensen toegankelijk
te zijn. Daarbij is democratisch toezicht van belang. Dit toezicht is er niet of minder
bij private middelen. Deze leden lezen dat de weg vrij is voor de innovatiekracht
van de markt. Kan het kabinet aangeven hoe het toezicht en de zeggenschap is geborgd
als er een Europees privaat middel verplicht wordt gesteld? Kan het kabinet aangeven
waarom DigiD nog altijd geschikt is? Kan het kabinet daarbij reflecteren op de vraag
waarom de markt wel een goed systeem zou kunnen ontwikkelen maar dat de overheid blijkbaar
niet voldoende ICT-kennis in huis heeft? Kan het kabinet aangeven hoe de wenselijke
verhouding is tussen nationale identificatiemiddelen en Europese? Hoe is de Nederlandse
autonomie gewaarborgd?

De leden van de fractie van de SP maken zich grote zorgen over hoe de privacy gewaarborgd
wordt in dit voorstel. Kan het kabinet aangeven hoe mensen die geen gebruik willen
of kunnen maken van deze middelen niet worden uitgesloten? Kan het kabinet op een
rij zetten welke waarborgen er zijn om de privacy van mensen te waarborgen en of het
kabinet dit voldoende acht? Kan het kabinet ingaan op de zorgen die er leven dat grote
Amerikaanse techbedrijven door deze voorstellen juist meer toegang hebben tot de gegevens
van burgers? Hoe wordt de macht van deze bedrijven door dit voorstel volgens het kabinet
ingeperkt?

II Antwoord/ Reactie van de Minister

Inleiding

Mede namens de Minister van Economische Zaken en Klimaat dank ik de leden voor de
gestelde vragen en gemaakte opmerkingen en voor de mogelijkheid om nadere toelichting
te geven.

De vragen en opmerkingen heb ik geclusterd in acht onderwerpen: 1) inclusie, 2) publieke
en private aanbieders van middelen en de gevolgen voor bestaande middelen, 3) juridische
aspecten, met name de relatie met de Wet digitale overheid (Wdo) en bescherming van
(persoons)gegevens, 4) grote platforms, 5) de uitgifte van de wallet door de lidstaten
afzonderlijk en de daarin op te nemen attributen, 6) de relatie met de uitwerking
van mijn beleid voor «Regie op Gegevens» en de «Single Digital Gateway», 7) de kosten
en de uitvoering en 8) overige vragen.

Inclusie

De leden van de VVD-fractie menen dat het een goede zaak is dat burgers straks hun
identiteit kunnen bewijzen en elektronische documenten vanuit hun Europese digitale
portemonnees voor digitale identiteit kunnen delen via hun smartphone. Hierbij moet
nadrukkelijk ook aandacht zijn voor diegenen die digitaal niet zo vaardig zijn. Graag
krijgen deze leden een reactie op de vragen hoe Nederland ervoor zorgt dat ook zij
aangesloten blijven en wat daarbij de inzet is van het kabinet.

De leden van de D66-fractie horen graag wat de introductie van de eID betekent voor
mensen die geen eID willen. Hoe wordt gewaarborgd dat deze mensen geen nadelige behandeling
krijgen?

Ook de leden van de SP-fractie vragen het kabinet aan te geven hoe mensen die geen
gebruik willen of kunnen maken van deze middelen niet worden uitgesloten.

De leden van de PVV-fractie vragen of het direct of indirect verplicht zal gaan worden
gebruik te gaan maken van de Europese Digitale Identiteit. Blijft dit optioneel of
vervangt dit binnenkort andere dienstverlening waardoor men hier wel gebruik van zal
gaan moeten maken?

De leden van de D66-fractie horen graag van het kabinet waarom de wallet straks enkel
via een app op smartphones kan werken, nu dit ertoe kan leiden dat mensen vastzitten
aan een beperkte keuze in besturingssystemen, veelal van Amerikaanse Techreuzen. Hoe
kijkt het kabinet hiertegen aan? Zijn er andere opties mogelijk?

De in lidstaten te introduceren wallet dient te werken op mobiele apparaten. Het voorstel
van de Commissie lijkt daarbij uit te gaan van het gebruik van App Store van Apple
en Play Store van Google om applicaties te kunnen installeren. Hoewel zulke oplossingen
voor adoptie en gebruiksgemak belangrijk zijn, zet het kabinet in op technologie-
en leveranciersonafhankelijke oplossingen en het bevorderen van open standaarden en
open software. Ik verken dan ook meer opties dan alleen digitale marktplaatsen van
grote bedrijven en meer dan alleen mobiele applicaties. Daaraan geef ik in de praktijk
al uitwerking, bijvoorbeeld door desktopoplossingen voor DigiD.

Ik zie er tevens op toe dat de oplossingen voldoen aan de eisen voor toegankelijkheid
en te gebruiken zijn voor mensen met minder digitale vaardigheden en/of mogelijkheden.1 Ik besef goed dat er mensen zijn die niet of niet makkelijk mee kunnen of niet mee
willen met digitale vernieuwingen. Ik vind het belangrijk dat altijd speciale aandacht
is voor die groep mensen die niet over voldoende digitale vaardigheden of middelen
beschikken. Daarom breng ik in kaart wie er niet mee kunnen en mee willen doen en
hoe we hiervoor oplossingen kunnen bieden. Voor burgers die niet bij machte zijn om
digitaal te participeren of die dat uit principiële overwegingen niet wensen en bijvoorbeeld
geen eID willen, blijft de analoge wijze beschikbaar.2 Immers, burgers en bedrijven zullen niet verplicht zijn een eID of een wallet aan
te vragen en te gebruiken, noch onder mijn voorstel voor de Wet digitale overheid
(Wdo) noch onder het voorstel van de Commissie voor een raamwerk voor een Europese
Digitale Identiteit (EDI). Mensen die geen eID en/of wallet wensen, zullen op een
goede, analoge wijze gebruik moeten kunnen maken van de dienstverlening in het publieke
domein. Daar sta ik voor.

Publieke en private middelenaanbieders, gevolgen voor bestaande eID-middelen

De leden van de VVD-fractie vragen wat de gevolgen zijn van het voorstel voor bedrijven
en of e-wallets door private partijen én ook de overheid kunnen worden aangeboden
en wat het voorstel van de Commissie daarover zegt. De leden vragen waar de voorkeur
van het kabinet naar uit gaat. Wil het kabinet alleen door private partijen aangeboden
e-wallets en, als dat het geval is, hoe verhoudt dat zich dan tot het voorstel Wet
digitale overheid dat momenteel in de Eerste Kamer in behandeling is? Graag krijgen
deze leden een reactie van het kabinet of het voorstel voor de Wdo verplicht tot een
publiek eID-middel, naast eventuele private eID-middelen.

Het voorstel van de Commissie verplicht elke lidstaat tot introductie van ten minste
één «European Digital Identity Wallet». Volgens het voorstel kunnen wallets op drie
manieren worden uitgegeven: door de lidstaat, onder mandaat van de lidstaat en onafhankelijk,
maar erkend door de lidstaat. Dit brengt mee dat wallets altijd onder regie en beheer
van overheden worden uitgegeven, die zorgdragen voor toetsing op het voldoen aan Europees
en nationaal gestelde normen en eisen en die toezicht dienen te houden op werking
en gebruik. Dit geldt zowel voor eIDs en wallets die uitgegeven worden door overheden,
in publiek-private samenwerking als door bedrijven. Daarnaast dienen wallets door
een toezichthoudend orgaan, zoals het Agentschap Telecom, gecertificeerd te worden
overeenkomstig de eisen van de cyberbeveiligingsverordening.3

Lidstaten kunnen dus meer dan één wallet introduceren en wallets kunnen zowel door
overheden, door bedrijven als in publiek-private samenwerking uitgegeven worden. Ik
verken op dit moment de mogelijkheden en ik heb hierin nog geen keuze gemaakt. Zoals
u weet, beoog ik met mijn voorstel voor de Wdo een regime van «open toelating» te
introduceren, waarbij marktwerking wordt ingezet binnen het digitale domein. Ik ben
ervan overtuigd dat veilige en betrouwbare digitale interactie met inachtneming van
de privacy gewaarborgd kan worden, ook bij door de markt uitgegeven digitale middelen
die erkend en gecertificeerd zijn door de overheid, die bovendien toeziet op werking
en gebruik.

De leden van de fractie van de SP hebben zich al eerder uitgesproken tegen private
identificatiemiddelen die ook gebruikt kunnen worden door overheidsinstanties. De
gegevens van mensen dienen goed beschermd te zijn en voor zo min mogelijk mensen toegankelijk
te zijn. Daarbij is democratisch toezicht van belang. Dit toezicht is er niet of minder
bij private middelen. Deze leden lezen dat de weg vrij is voor de innovatiekracht
van de markt. Kan het kabinet aangeven hoe het toezicht en de zeggenschap is geborgd
als er een Europees privaat middel verplicht wordt gesteld? Kan het kabinet aangeven
waarom DigiD nog altijd geschikt is? Kan het kabinet daarbij reflecteren op de vraag
waarom de markt wel een goed systeem zou kunnen ontwikkelen, maar dat de overheid
blijkbaar niet voldoende ICT-kennis in huis heeft? Kan het kabinet aangeven hoe de
wenselijke verhouding is tussen nationale identificatiemiddelen en Europese? Hoe is
de Nederlandse autonomie gewaarborgd?

Ik herken niet het beeld «dat de overheid blijkbaar niet voldoende ICT-kennis in huis
heeft». De keuze voor een stelsel van open toelating waarbinnen publiek en privaat
uitgegeven middelen naast elkaar beschikbaar kunnen zijn, is niet ingegeven door het
feit dat de overheid geen ICT zou kunnen ontwikkelen. Het is ingegeven door de gedachte
dat een stelsel van open toelating inherente voordelen heeft en zal leiden tot innovatie,
kostenreductie, versterking van de marktpositie van Nederlandse bedrijven en vermindering
van het risico van een «single point of failure». Binnen een stelsel waarin private
en publieke partijen deelnemen, kan de overheid de regie houden en kaders en normen
stellen om de risico's op fraude, misbruik en oneigenlijk gebruik tot het minimum
te beperken.

Ik wijs erop dat het voorstel van de Commissie niet gericht is op de introductie van
een nieuw of centraal Europees middel. Het voorstel verplicht lidstaten nationale
eIDs en minstens één wallet te introduceren en deze nationaal te doen certificeren
voor gebruik binnen de Europese Unie. De Commissie beoogt het grensoverschrijdend
gebruik te bevorderen door daarvoor een Europees raamwerk te bieden, dat verder technisch
en organisatorisch zal worden uitgewerkt door de lidstaten. De zeggenschap over en
het toezicht op de nationale eIDs en wallets zal, binnen het kader van de Europese
verordening, blijven bij de lidstaten, die in de uitgifte en erkenning van hun nationale
digitale middelen autonoom zijn. In die zin verandert het voorstel niets voor de huidige
digitale inlogmiddelen DigiD en eHerkenning, die al zijn erkend voor grensoverschrijdend
gebruik en waarvoor ook nu al de kaders van de eIDAS-verordening gelden. Deze middelen
zullen, ook na herziening van deze verordening, gebruikt kunnen blijven worden.

De leden van D66 vragen wat de gevolgen zijn voor DigiD en eHerkenning. De leden van
de CDA-fractie wijzen erop dat het fiche vermeldt dat het onduidelijk is hoe het voorstel
uitpakt voor bedrijven alsmede dat het publiek-private stelsel eHerkenning voor bedrijven
reeds erkend is voor het gebruik over de grens. Deze leden vragen hoe zeker het voortbestaan
van dat stelsel is, nu BZK daarin niet langer participeert, zoals blijkt uit de brief
van de Staatssecretaris van BZK over de aanpak uitvoering publiek middel in het bedrijvendomein
(Kamerstuk 34 972, nr. 53). Zijn er voornemens of afspraken gemaakt over de invoering van een wallet voor bedrijven
of is dit aan de private partijen zelf overgelaten? Zal het nieuwe publieke middel
voor bedrijven voorzien in de functie van een wallet? Zal er een publieke wallet worden
uitgegeven of zal er uitsluitend in een publiek eID worden voorzien?

Specifiek ten aanzien van het voortbestaan van het stelsel voor eHerkenning is van
belang dat mijn voorstel voor de Wdo regelt dat er meer aanbieders en middelen voor
bedrijven kunnen worden toegelaten. Binnen dit regime past niet dat ik met een groep
aanbieders voor bepaalde middelen een aparte publiek-private samenwerking heb. Deze
zal ik daarom ontvlechten. Vanzelfsprekend zie ik daarbij toe op een goede transitie
en borging van de continuïteit. Zoals gezegd, heb ik nog geen keuze noch afspraken
gemaakt welke wallet of wallets van welke partijen ik zou willen toelaten en of het
hier om publieke en/of private aanbieders gaat, ook niet als het gaat om partijen
die nu zorgen voor DigiD, eHerkenning of een nieuw publieke middel voor bedrijven.
Dit publieke inlogmiddel voor vertegenwoordigers voor bedrijven wordt, evenals eHerkenning,
gebruikt om de identiteit van vertegenwoordiger en bedrijf bij digitale transacties
te kunnen vaststellen met identificerende gegevens, zoals het BSN en het KvK-nummer.
Dit is niet te beschouwen als een invulling van een wallet.

Juridische aspecten

De leden van de CDA-fractie constateren dat de Wdo al de toelating van private eID-middelen
regelt. De wallet is daarmee onlosmakelijk verbonden. Deze leden vragen of de toelating
van private eID-wallets kan plaatsvinden onder dezelfde regels als vastgelegd in de
Wdo. Zo niet, welke onderwerpen dienen aanvullend in een tweede tranche geregeld te
worden?

De leden van de CDA-fractie constateren tevens dat de regering al van plan was onderwerpen
als een eID-wallet te regelen in de tweede tranche van de Wet digitale overheid. Die
wet ziet echter alleen op het verkeer tussen burgers en overheden en het verkeer tussen
bedrijven en overheden. De aanpassing van de verordening zorgt voor een verbreding
van de reikwijdte naar transacties in het private domein. Voor dat laatste is aanvullende
nationale uitvoeringsregelgeving nodig. Zal de private sector in de tweede tranche
onder de kaders van de Wdo worden gebracht of wordt hierin voorzien met een afzonderlijke
wet?

Voor wallets zullen niet dezelfde regels gelden als die gelden voor eID-middelen onder
de eerste tranche van de Wdo. Het gaat immers om andere functionaliteiten. Nieuwe
functionaliteiten van wallets zullen daarom aanvullend geregeld worden, binnen het
kader dat in de eerste tranche wordt vastgelegd.

Het is inderdaad zo dat de eerste tranche van de Wdo een scheiding kent tussen burgerdomein
en bedrijvendomein. Dit onderscheid zal in de tweede tranche van de Wdo komen te vervallen,
zodat een middel in beide domeinen kan functioneren. Ook zal de reikwijdte van de
Wdo uitgebreid moeten worden naar bijvoorbeeld transacties in het private domein.

In mijn beantwoording van 10 september 2021 van de vragen daarover van de leden van
de Eerste Kamer der Staten-Generaal van 16 juli 2021, ben ik ingegaan op de onderwerpen
die op basis van huidige voorstel geregeld zouden moeten worden. Het gaat onder meer
om het gebruik van wallets in het private domein en vraagstukken op het terrein van
toezicht, aansprakelijkheid en zorgplicht van lidstaten voor transacties tussen burgers
en bedrijven.4 Een afzonderlijke wet voor het gebruik in de private sector is niet voorzien en onnodig.

De leden van de D66-fractie constateren dat de eIDAS-verordening op bepaalde punten
raakt aan het voorstel voor de Wdo. Deze leden vragen het kabinet toe te lichten hoe
eventuele conflicten, zoals over het aanbieden van publieke identificatiemiddelen,
tussen de Wdo en het voorstel van de Commissie opgelost kunnen worden, en op welke
wijze de Wdo verwacht aangepast te moeten worden. De leden van de CDA-fractie vragen
wat de impact is van de wallet op de veertien onderliggende besluiten en regelingen
bij de eerste tranche van de Wdo. Deze leden vragen tevens in hoeverre ingrijpende
wijzigingen in de uitvoeringsrichtlijnen zijn te verwachten wanneer de set van attributen,
bevoegdheden, kwalificaties, enzovoort wordt uitgebreid.

In mijn antwoord van 10 september 2021 op de vraag over mogelijke conflicten tussen
het voorstel van de Commissie en voor de Wdo die door de leden van de Eerste Kamer
der Staten-Generaal is gesteld, heb ik gemeld dat beide voorstellen niet conflicteren.
Het voorstel van de Commissie regelt echter wel meer dan de voorgenomen eerste tranche
van de Wdo. In hoofdlijnen ziet het voorstel van de Commissie op meer functionaliteiten
en heeft het een bredere reikwijdte. Daar waar de huidige elDAS-verordening en, in
lijn daarmee, de eerste tranche van de Wdo voorschriften bevat voor het veilig en
betrouwbaar gebruik van elDs bij overheidsdiensten, regelt het voorstel van de Commissie
het gebruik van elDs en attributen met een verplicht te introduceren wallet bij overheden
en in de private sector onder regie van burgers en bedrijven.5

De introductie van de wallet zal nieuwe functionaliteiten en daarbij horende gegevensverwerking
met zich meebrengen. Hiervoor zal nationale regelgeving gewijzigd of opgesteld moeten
worden. Voor wat betreft de impact op de uitvoeringsregelgeving bij de eerste tranche
van de Wdo verwacht ik dat het Besluit digitale overheid dat de gegevensverwerkingen
regelt, gewijzigd zal moeten worden, en mogelijk ook de Regeling voorzieningen, die
regels stelt aan het gebruik van middelen en voorzieningen. Ook zullen er regels opgesteld
moeten worden voor het toelaten van wallets. Of dit gaat via een aanvulling op uitvoeringsregelgeving
onder de eerste tranche van de Wdo of via een nieuwe regeling, kan ik u op dit moment
nog niet zeggen.

De leden van de fractie van de SP maken zich grote zorgen over hoe de privacy gewaarborgd
wordt in dit voorstel. Kan het kabinet op een rij zetten welke waarborgen er zijn
om de privacy van mensen te waarborgen en of het kabinet dit voldoende acht?

De leden van de PVV-fractie vragen op welke wijze de Europese Unie de privacy van
de Nederlander kan schaden door via de invoering van de Europese Digitale Identiteit
persoonlijke gegevens te kunnen inzien.

De leden van de CDA-fractie vragen hoe de eIDAS-verordening moet worden bezien in
verband met de al vigerende Algemene verordening gegevensbescherming (AVG) en de nog
vast te stellen verordening over kunstmatige intelligentie. Beide verordeningen zullen
van grote invloed zijn op alle digitale toepassingen, waaronder digitale «wallets»,
zo signaleren deze leden. In hoeverre wordt bij andere verordeningen rekening gehouden
met de ophanden zijnde verordening over kunstmatige intelligentie?

Voor het beschermen van persoonsgegevens biedt de AVG het kader en de waarborgen.
De AVG geldt onverkort voor dit voorstel van de commissie. De invoering en werking
van eIDs en wallets zullen hier altijd aan moeten voldoen. Verder heb ik op nationaal
niveau middels de novelle (thans aanhangig bij uw Kamer) extra eisen ter bescherming
van privacy gesteld: een verhandelverbod van gegevens en «privacy by design».6

Ten aanzien van de vraag over de verordening over kunstmatige intelligentie geldt
dat de Europese Unie dient te zorgen voor samenhang in haar wetgeving. Ik zal daarop
blijven aandringen in de onderhandelingen.

De leden van de D66-fractie verwelkomen het expliciete verbod in artikel 6a voor het
onnodig verzamelen van gegevens over het gebruik van de wallet en vragen het kabinet
of de scheiding tussen het gebruik van gegevens voortkomend uit het gebruik van de
wallet en gegevens voortkomend uit de gebruikmakende diensten zelf, scherp genoeg
is vastgelegd. De leden van de CDA-fractie constateren dat de aanpassing van de verordening
ziet op een verbreding van het gebruik naar het private domein. Deze leden vragen
hoe dit zich verhoudt tot het nog bij novelle te regelen verhandelverbod en of het
delen van persoonsgegevens in ruil voor de levering van digitale inhoud of diensten,
waarvoor consumentenbescherming wordt vastgelegd in de Implementatiewet richtlijnen
verkoop goederen en levering digitale inhoud (Kamerstuk 35 734), gezien wordt als verhandeling.

In het voorstel van de Commissie is de scheiding tussen het gebruik van gegevens voortkomend
uit het gebruik van de wallet en gegevens voortkomend uit de gebruikmakende diensten
zelf, niet zo scherp vastgelegd als in mijn voorstel voor de Wdo is gedaan. In de
Wdo is geregeld dat het toegelaten aanbieders van inlogmiddelen niet is toegestaan
om persoonsgegevens, die zijn verkregen voor het doel van online authenticatie en
toegang tot dienstverlening, te gebruiken voor andere doeleinden (verhandelverbod).
In het kader van de voorhangprocedure heeft uw Kamer een concept ontvangen van de
algemene maatregel van bestuur waarin deze regel wordt opgenomen (artikel 20 van het
ontwerpbesluit identificatiemiddelen voor burgers Wdo).7 Het toetsingscriterium in de novelle dient ter ondersteuning van dat verbod.

De richtlijnen waarnaar u verwijst, passen de bestaande regels over consumentenkoop
aan en staan los van de bovenstaande regelgeving voor het verhandelverbod. Mocht op
basis van het voorstel van de Commissie of de Wdo een toegelaten eID of wallet gebruikt
worden in het private domein, dan zal daarvoor hetzelfde verhandelverbod gelden. Ook
in dat domein mogen persoonsgegevens niet verwerkt worden voor andere doelen dan online
authenticatie.

Grote platforms

De leden van de D66-fractie lezen dat de Europese Commissie het verplicht wil stellen
om eID-middelen te gebruiken voor authenticatie op grote platformen. Deze leden vragen
het kabinet toe te lichten welke maatstaf de commissie gaat gebruiken voor de definitie
van grote platformen en aan te geven wat het wenselijk acht.

De leden van de PVV-fractie vragen het kabinet of het van mening is dat de Europese
Commissie de macht van de grote Techreuzen wil verkleinen, zodat zij zelf die macht
op zich kan nemen.

De leden van de fractie van de SP vragen het kabinet in te gaan op de zorgen die er
leven dat grote Amerikaanse techbedrijven door deze voorstellen juist meer toegang
hebben tot de gegevens van burgers. Hoe wordt de macht van deze bedrijven door dit
voorstel volgens het kabinet ingeperkt?

De Commissie hanteert in dit voorstel de definitie van «zeer grote platforms» zoals
omschreven in het voorstel voor een verordening voor digitale diensten, en de daarin
opgenomen maatstaf, zijnde «online platforms die hun diensten aanbieden aan een gemiddeld
aantal maandelijks actieve afnemers van de dienst in de EU dat gelijk aan of groter
dan 45 miljoen is».8Dit voorstel voor digitale diensten regelt de zogenaamde «tussenhandeldiensten», zoals
online platforms, en geeft voorschriften voor een veilige, transparante en betrouwbare
online omgeving. Ik juich het toe dat de Commissie regels gaat stellen voor grote
platforms ter bescherming van de gegevens van Europese burgers en bedrijven. Daarbij
vind ik het een logische keuze om dit primair te doen in het voorstel voor een verordening
voor digitale diensten en daarnaar te verwijzen in het voorstel voor een raamwerk
voor een Europese Digitale Identiteit, dat alleen specifieke regelingen treft voor
het gebruik van eIDs en wallets op zulke platforms. Ik ben positief over de daarin
opgenomen voorschriften. Deze regelen dat zeer grote online platforms gecertificeerde
wallets van lidstaten dienen te accepteren als authenticatiemiddel voor toegang tot
onlinediensten, naast de middelen van de platforms zelf, mits op vrijwillig verzoek
van de gebruiker en mits uitsluitend de minimaal benodigde attributen voor de specifieke
onlinedienst, zoals een bewijs van leeftijd, worden gevraagd. Op deze manier treft
de Commissie met inachtneming van het Europese recht een regeling voor wat nu nog
niet geregeld is maar wel zou moeten zijn. Ik zie hierbij niet in dat de Commissie
«de macht van de grote Techreuzen wil verkleinen, zodat zij zelf die macht op zich
kan nemen.» Ook deel ik de zorgen niet «dat grote Amerikaanse techbedrijven door deze
voorstellen juist meer toegang hebben tot de gegevens van burgers». De voorstellen
voor digitale diensten en voor een raamwerk voor een Europese Digitale Identiteit
beogen juist de veiligheid, transparantie en betrouwbaarheid van online omgevingen
en de gegevens van burgers en bedrijven te beschermen. Ze geven burgers en bedrijven
de mogelijkheid, niet de plicht, om in te loggen met een Europees erkende eID of wallet
en zo te komen tot veilige, transparante en betrouwbare authenticatie met gebruikmaking
van dataminimalisatie.

Autonome uitgifte wallet en opname attributen per lidstaat

De leden van de CDA-fractie vragen of de verplichting om ten minste één «European
Digital Identity Wallet» te introduceren, niet tot enorme wildgroei aan wallets gaat
leiden die allemaal met elkaar verbonden moeten worden. Welke voordelen heeft het
apart introduceren van digitale wallets per lidstaat ten opzichte van het introduceren
van één systeem? De leden van de D66-fractie vragen het kabinet hoe gekeken wordt
naar het feit dat iedere lidstaat op een andere manier de ontwikkelingen van de digitale
identiteit organiseert, zoals het alleen toelaten van publieke ontwikkeling of door
middel van het aanwijzen van één specifieke sector in de ontwikkeling. Voorziet het
kabinet problemen bij de uiteenlopende benadering van lidstaten?

Het voorstel van de Commissie herziet de huidige eIDAS-verordening, die ook nu al
de lidstaten autonome ruimte laat om binnen de kaders van de verordening zelf eIDs
uit te geven die na Europese erkenning binnen een geharmoniseerde Europese infrastructuur
grensoverschrijdend kunnen worden gebruikt, en zelf de technische voorzieningen te
treffen om ervoor te zorgen dat nationale dienstverleners erkende eIDs uit andere
lidstaten kunnen toelaten tot hun onlinediensten. Dezelfde systematiek zal gaan gelden
voor wallets en daarin op te nemen attributen.

Het kabinet constateert in het BNC-fiche dat de onder de huidige eIDAS-verordening
ingerichte infrastructuur weliswaar verdere ontwikkeling behoeft, maar in het algemeen
wel werkt om eIDs uit diverse lidstaten grensoverschrijdend te kunnen gebruiken. Als
alle lidstaten worden verplicht om minstens één eID, waaronder minstens één wallet,
te laten erkennen en bovendien in de lidstaten meer dienstverleners en diensten verplicht
moeten aansluiten op de Europese infrastructuur, zal de noodzaak en de behoefte om
de interoperabiliteit te blijven verbeteren, groeien. Ik verwacht dat, na inwerkingtreding
van de herziene verordening, de lidstaten de komende jaren gezamenlijk zullen komen
tot een steeds beter geharmoniseerde infrastructuur, waarbij wel voldoende ruimte
blijft voor nationale invulling en innovatie van de eigen identiteitsinfrastructuur.

Ik verwacht dat de lidstaten gezamenlijk zullen kunnen besluiten en organiseren dat
met bepaalde attributen uit bepaalde sectoren zal worden gestart en dat er onderling
afspraken zullen worden gemaakt over gefaseerde uitbreiding van de in wallets op te
nemen attributen. Dit heeft mijn voorkeur in tegenstelling tot het centraal organiseren
en uitrollen van één Europese eID of wallet dan wel één Europees systeem waarop alle
publieke en private dienstverleners en alle aanbieders van eIDs, wallets en attributen
uit alle lidstaten zouden moeten aansluiten.

De leden van de D66-fractie constateren dat de Commissie voorstelt een aantal digitale
attributen via elektronische attestaties in de wallet beschikbaar te maken. Zij horen
graag of het kabinet ook graag ziet dat, naast de elektronische identificatie, gelinkte
attributen, zoals kwalificaties, bevoegdheden en digitale documenten mogelijk in de
toekomst aan de wallet kunnen worden gekoppeld. Zijn er al concrete voorstellen welke
onderdelen straks bij de wallet moeten kunnen? Welke attributen ziet het kabinet het
liefst terug? Zijn er ook onderdelen die het kabinet geen onderdeel wil laten zijn
van de wallet maar andere lidstaten wel?

De leden van de CDA-fractie vragen of er een begrenzing is aan de data die onderdeel
kunnen zijn van een wallet of dat in theorie ook medische gegevens hiervan onderdeel
zouden kunnen uitmaken.

In het voorstel heeft de Commissie in Bijlage VI opgenomen een minimale lijst van
attributen die lidstaten uit authentieke bronnen ter beschikking zouden moeten stellen
voor gebruik in wallets. Dit betreffen adres, leeftijd, geslacht, burgerlijke staat,
gezinssamenstelling, nationaliteit, onderwijskwalificaties, -titels en -diploma’s,
beroepskwalificaties, -titels en -licenties, openbare vergunningen en licenties en
financiële en bedrijfsgegevens. Het kabinet zal zich dienen te beraden welke van deze
attributen in welke volgorde in de Nederlandse wallet(s) dienen te worden opgenomen
en op welke wijze.

In de minimale lijst van attributen die lidstaten volgens het voorstel uit authentieke
bronnen ter beschikking zouden moeten stellen voor gebruik in wallets, zijn medische
gegevens niet opgenomen. Het beschikbaar stellen van data voor gebruik in een wallet
is in theorie onbegrensd en ook medische gegevens zouden hiervan deel kunnen uitmaken,
waarbij uiteraard voldaan moet worden aan geldende wet- en regelgeving, onder meer
op het gebied van gegevensbescherming.

Vooralsnog heb ik geen aanleiding of reden om te veronderstellen dat het kabinet andere
dan de door de Commissie voorgestelde attributen aan de al lange lijst zou willen
toevoegen. Integendeel, in het BNC-fiche heeft het kabinet vermeld terughoudend te
zijn wat betreft de impact en uitvoerbaarheid en het daarbij voorgestelde tijdpad,
van de grote hoeveelheid attributen die volgens de Commissie minimaal in de wallet(s)
zouden moeten worden opgenomen.

Relatie met Regie op Gegevens en Single Digital Gateway

De leden van de CDA-fractie vragen wat het kabinet beoogt mogelijk te maken met een
nationale referentie-architectuur voor een toekomstig eID-stelsel en het digitaal
delen van gegevens, evenals een vertrouwensraamwerk om principes, randvoorwaarden,
eisen en standaarden uit te werken.

De leden van de CDA-fractie constateren dat het delen van gegevens niet ophoudt bij
de landsgrenzen. Het «Once Only Principle», zoals vastgelegd in de Single Digital
Gateway-verordening, voorziet in en stuurt aan op het grensoverschrijdend delen van
persoonsgegevens waarbij de wallet een hulpmiddel kan zijn. Deze leden vragen wat
de noodzaak is van een nationale uitwerking van een referentie-architectuur in het
licht van het Once Only Principle. Wat is de noodzaak van een nationale uitwerking
van een vertrouwensraamwerk in het licht van de «Toolbox» voor de implementatie van
het raamwerk voor een Europese Digitale Identiteit, waarin o.a. een technische architectuur,
referentieraamwerk, gemeenschappelijke standaarden, technische specificaties en gemeenschappelijke
richtlijnen worden opgesteld?

Het kabinet vindt het belangrijk dat burgers eenvoudig digitaal zaken kunnen regelen.
Daarom werk ik aan een nationale referentie-architectuur voor het toekomstig eID-stelsel
en het digitaal delen van gegevens, in lijn met de beleidsdoelstellingen die worden
beoogd met het programma Regie op Gegevens.9 Een belangrijk onderdeel van deze architectuur is een vertrouwensraamwerk, waarin
overheidsorganisaties samenwerken om principes, randvoorwaarden, standaarden en eisen
uit te werken. Samen beschrijven ze wat er nodig is om burgers op een veilige, betrouwbare,
transparante en gebruiksvriendelijke wijze in publieke en private gegevensuitwisselingen
regie te voeren over de gegevens die de overheid bezit. Hierbij gaat het om thema’s
als gegevensbescherming, dataminimalisatie, informatieveiligheid en het toezicht daarop,
conform mijn beleid voor digitale identiteit.10

Europese voorstellen, zoals voor de «Single Digital Gateway» en het daarin vervatte
«Once Only Principle» (de eenmalige vastlegging en het meervoudige gebruik van gegevens),
en voor het «Raamwerk voor een Europese Digitale Identiteit», worden telkens meegenomen
bij de uitwerking van de nationale referentie-architectuur en het vertrouwensraamwerk.
Deze instrumenten geven richtlijnen en inzichten om de Nederlands positie te kunnen
bepalen in de onderhandelingen over de op te leveren «Toolbox» met lidstaten en de
Commissie. Daarnaast is dit instrumentarium nodig om nationaal uitwerking te geven
aan wat Europees wordt vastgesteld.

Uitvoering en kosten

De leden van de VVD-fractie en de CDA-fractie constateren dat het kabinet terughoudend
is wat betreft de reikwijdte, impact en uitvoerbaarheid van het voorstel en het voorgestelde
tijdspad. Het kabinet stelt dat er voldoende ruimte moet zijn om de nodige maatregelen
en regelgeving tijdig door te voeren binnen de context van nationale uitvoeringsagenda’s.
De leden van de VVD-fractie vragen waarom het kabinet terughoudend is. Graag krijgen
deze leden een reactie op de uitvoerbaarheid van het voorstel, die, zeker in relatie
tot het tijdpad, niet eenvoudig lijkt. Het zal voor de lidstaten niet gemakkelijk
zijn om dit voor elkaar te krijgen.

Het kabinet beoordeelt de proportionaliteit en subsidiariteit van het voorstel als
positief, maar vraagt wel aandacht voor een beheersbare uitvoering, zeker in relatie
tot het beoogde tijdspad. Het zal immers niet makkelijk zijn om snel de door de Commissie
voorgestelde hoeveelheid attributen uit authentieke bronnen betrouwbaar en veilig
ter beschikking te stellen voor gebruik in één of meer wallets. Evenmin zal het makkelijk
zijn om één of meer wallets betrouwbaar en veilig beschikbaar te stellen voor gebruik
in zowel de publieke sector als het private domein. Daarnaast dient de certificering
van en het toezicht op de wallets en de daarin opgenomen eIDs en attributen georganiseerd
en geregeld te worden. Voorts is nationale uitvoeringsregelgeving nodig, ook op sectoraal
niveau.

De leden van de CDA-fractie vragen het kabinet een planning te geven voor de Nederlandse
implementatie van de voorzieningen die mogelijk zijn onder de verordening. Wat zijn
hierbij de knelpunten? Waar loopt Nederland eventueel al voor op de implementatie?

Een planning voor de implementatie van de herziene eIDAS-verordening en inzicht in
mogelijke knelpunten daarin kunnen op dit moment niet afgegeven worden. Dit hangt
af van de uiteindelijke inhoud van de verordening, het moment van adoptie daarvan
en de in het voorstel opgenomen termijnen voor inwerkingtreding.

Nederland loopt voorop, omdat we al voldoen aan de in het voorstel opgenomen plicht
voor elke lidstaat om een eID Europees te laten erkennen en omdat we al aangesloten
zijn op de Europese infrastructuur voor grensoverschrijdend gebruik van eIDs. Echter,
voor veilige en betrouwbare opname en gebruik van attributen in één of meer wallets
zal ik uitvoeringbeleid, regelgeving en voorzieningen moeten laten ontwikkelen en
realiseren.

De leden van de VVD-fractie menen dat de gevolgen van de Europese Digitale Identiteit
groot zullen zijn voor de uitvoeringsorganisaties en de medeoverheden, die vele aanpassingen
in hun systemen zullen moeten doen, en vragen in hoeverre deze organisaties hierbij
betrokken zijn. De leden van de VVD-fractie wijzen er verder op dat de invoering van
het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vraagt om de generieke
digitale infrastructuur die nodig is voor deze digitale identiteit te ontwikkelen,
beheren en exploiteren en vragen in hoeverre het ministerie hier klaar voor is of
wat het nodig heeft om dit te realiseren.

De leden van de D66-fractie constateren dat de uitvoering van deze verordening in
een hoog tempo wordt voorgesteld. Deze leden vragen het kabinet toe te lichten of
er voldoende ruimte wordt gegeven om deze nieuwe regelgeving binnen nationale digitaliseringstrajecten
te realiseren. Daarnaast vragen zij zich af of de interoperabiliteit tussen dit voorstel
en de systemen van de uitvoeringsorganisaties, zoals bijvoorbeeld het stelsel van
basisregistraties, in Nederland voldoende wordt bekeken. Welke onderdelen ziet het
kabinet hier als grootste uitdagingen? De leden van de D66-fractie constateren voorts
dat het voorstel voor de verordening inhoudt dat elke lidstaat verplicht een European
Digital Identity Wallet moet introduceren. Deze leden vragen het kabinet toe te lichten
of dit impact zal hebben op ons huidige systeem van gegevensuitwisseling binnen de
overheid. Zo ja, op welke manier precies en om welke systemen gaat het hier? Zij maken
zich zorgen over de uitvoerbaarheid voor bijvoorbeeld gemeenten. Hoe worden gemeenten
en andere organisaties hierbij ondersteund?

De gevolgen voor uitvoeringsorganisaties, de gemeenten en andere medeoverheden en
de door hen gebruikte ICT-systemen zal ik nader in kaart brengen. Deze organisaties
zullen hierbij betrokken worden en, zoals nu ook het geval is bij de implementatie
van de huidige eIDAS-verordening, in de implementatie worden ondersteund binnen de
«Generieke Digitale Infrastructuur» (GDI), onder meer in de aanpassing van hun systemen.
Wellicht ten overvloede vermeld ik dat de voorzieningen die ter uitvoering van de
huidige eIDAS-verordening binnen het Ministerie van BZK zijn ontwikkeld, deel uitmaken
van de GDI die dienstverleners in het (semi-)publieke domein ondersteunt in hun onlinedienstverlening.
Ook naar aanleiding van de herziening van de eIDAS-verordening nieuw te ontwikkelen
voorzieningen zullen voor publieke dienstverleners worden ontwikkeld binnen de GDI.

Inzet is om de benodigde aanpassingen gefaseerd door te voeren, aansluitend op reguliere
trajecten voor doorontwikkeling van digitalisering binnen deze organisaties. Daarbij
zal in het bijzonder gelet worden op het gebruik van sectorale uitwisselingssystemen
en de basisregistraties die al werken of in een vergevorderd stadium van ontwikkeling
zijn. Onnodige investeringen en concurrentie tussen systemen zullen daarbij voorkomen
moeten worden. Ook is uitgangspunt dat de huidige systematiek van gegevensuitwisseling
binnen de overheid in stand blijft.

De leden van de CDA-fractie constateren dat elke lidstaat in het voorstel de plicht
krijgt om ten minste één «European Digital Identity Wallet» te introduceren. De wallet
kunnen lidstaten in eigen beheer of onder mandaat uitgeven of ze kunnen een onafhankelijk
uitgegeven wallet erkennen. De Vereniging van Nederlandse Gemeenten (VNG) waarschuwt
ervoor dat deze wallet niet ook verplicht moet worden toegepast bij de gegevensuitwisseling
binnen de overheid. De VNG stelt dat het stelsel van basisregistraties en de gegevensuitwisseling
binnen de overheid in stand moet blijven, zodat het bijvoorbeeld mogelijk blijft om
fraude op te sporen. Deze leden vragen het kabinet nader in te gaan op deze waarschuwing.
De VNG waarschuwt ook voor uitvoerbaarheid van een algemene verplichting van de wallet.
Klopt het dat alle systemen van gemeenten, waarmee informatie wordt uitgewisseld tussen
bijvoorbeeld de gemeente en de Sociale Verzekeringsbank of de politie, zouden moeten
worden aangepast?

Zodra een wallet uit een lidstaat Europees is erkend en deze door een Europese burger
of bedrijf wordt gebruikt, zal deze volgens het voorstel van de Commissie in de dienstverlening
van Nederlandse overheden moeten worden geaccepteerd, ook bij gemeenten. Dit betekent
echter niet dat het stelsel van basisregistraties en bestaande gegevensuitwisseling
binnen de overheid daarmee overbodig worden. Dit blijft noodzakelijk voor een rechtmatige,
doelmatige en gebruiksvriendelijke dienstverlening van de overheid en is ook van belang
voor het opsporen van fraude en misbruik. Ik koester dit stelsel en ik ben het op
dit punt dus eens met de VNG. De veronderstelling dat alle systemen van gemeenten
waarmee informatie wordt uitgewisseld tussen bijvoorbeeld de gemeente en de Sociale
Verzekeringsbank of de politie, zouden moeten worden aangepast, is onjuist. Wel is
het zo dat bepaalde systemen van gemeenten heringericht zullen moeten worden op het
gebruik van wallets door burgers en bedrijven.

De leden van de VVD-fractie krijgen graag een reactie op de vraag wanneer in de diverse
begrotingen rekening wordt gehouden met de hoge kosten die gepaard gaan met de invoering
van het Europese systeem voor digitale identiteit en waar daar gelden voor worden
gereserveerd. Los van deze vraag krijgen deze leden graag meer inzicht in de kosten
van het ontwikkelen van de e-wallet en vragen zij voor wiens rekening die kosten komen.
Ook de leden van de PVV-fractie vragen het kabinet wat de implementatie van de Europese
Digitale Identiteit Nederland zal gaan kosten.

De kosten voor de invoering van een raamwerk voor een Europese Digitale Identiteit
zullen worden opgenomen in de begrotingen, zodra deze geraamd kunnen worden op basis
van een geadopteerd voorstel. De hoogte van de uiteindelijke kosten zijn nu niet in
te schatten en zijn afhankelijk van de uiteindelijke inhoud van de verordening en
het tijdpad van inwerkingtreding.

Overige vragen

De leden van de VVD-fractie hebben de vraag hoe ver de techniek is om vanuit de Basisregistratie
Personen (BRP) de e-wallet te kunnen laden.

De techniek om vanuit de Basisregistratie Personen (BRP) de wallet te kunnen laden,
is vergevorderd. Voor de implementatie van de huidige eIDAS-verordening zijn voorzieningen
gerealiseerd die zorgen voor een betrouwbare koppeling van identiteiten en uitwisseling
van gegevens via de BRP. Dit zou kunnen worden uitgebreid ten behoeve van de opname
in een wallet, hetgeen zou aansluiten op mijn visie op digitale identiteit en de digitale
bronidentiteit.11

Deze leden van de VVD-fractie vragen of straks ook e-wallets van buiten de EU/EER
kunnen c.q. mogen worden aangeboden en hoe wordt toegezien op de veiligheids- en privacyaspecten.

Het is niet ondenkbaar dat walletoplossingen die buiten de Europese Unie of Europese
Economische Ruimte zijn ontwikkeld, in een lidstaat worden erkend en gecertificeerd.
Ook voor deze wallet gelden dan de eisen op het gebied van veiligheid en privacy die
neergelegd zijn in de herziene eIDAS-verordening en andere Europese regelgeving, zoals
de AVG en de cyberbeveiligingsverordening.

Tevens vragen de leden van de VVD-fractie hoe, na de introductie van de e-wallet,
wordt omgegaan met nieuwe technische ontwikkelingen die leiden tot nieuwe e-wallets.
Hoe lang zal het duren voordat een private aanbieder een nieuwe e-wallet daadwerkelijk
mag aanbieden? Moet binnen een bepaalde termijn toestemming door de Europese Commissie
worden gegeven? Graag krijgen deze leden meer inzicht in dit proces.

Lidstaten krijgen in het voorstel van de Commissie de verplichting om binnen een bepaalde
termijn na adoptie van het voorstel ten minste één wallet te introduceren die, na
onafhankelijke certificering in de lidstaat, Europees kan worden erkend voor grensoverschrijdend
gebruik. Wallets die voldoen aan de in de verordening gestelde voorwaarden, zullen
als erkende Europese digitale identiteit worden gepubliceerd op een door de Commissie
bijgehouden lijst, zodat overheden en bedrijven weten met welke wallets burgers en
bedrijven grensoverschrijdend kunnen handelen. Lidstaten kunnen ook meerdere wallets
laten certificeren en erkennen. De formats en procedures waarmee wallets kunnen worden
aangemeld, zullen binnen zes maanden na adoptie van het voorstel bij uitvoeringshandelingen
worden vastgesteld.

De leden van de PVV-fractie vragen het kabinet uit welke gegevens, onderzoeken of
enquêtes blijkt dat de meerderheid van de Nederlanders zit te wachten op dit EU-voorstel
inzake een Europees kader voor digitale identiteit of op een Europese Digitale Identiteit.
De leden van de PVV-fractie vragen het kabinet daarnaast hoe er sprake kan zijn van
een Europese Digitale Identiteit, als er niet eens sprake is van een Europese identiteit.
De leden van de PVV-fractie vragen het kabinet of er enige relatie met het vaccinatiepaspoort
bestaat, zoals ingevoerd met het oog op corona.

In antwoord op de vragen van de PVV-fractie kan ik mededelen dat er geen onderzoeken
of enquêtes zijn waaruit blijkt dat de meerderheid van de Nederlanders zit te wachten
op dit voorstel of op een Europese Digitale Identiteit, dat het voorstel voor een
raamwerk voor een Europese Digitale Identiteit geen regeling beoogt van een Europese
identiteit, en dat er geen relatie is met het vaccinatiepaspoort, zoals ingevoerd
met het oog op corona.

De leden van de VVD-fractie krijgen graag een reactie op de ambitie van het kabinet
om het toezicht op aanbieders van middelen en gegevens en op dienstverleners in de
publieke en private sector te harmoniseren. Hoe ziet het kabinet dat voor zich? Welke
eisen worden daaraan vanuit Europa gesteld? Welke kosten worden verwacht met betrekking
tot het toezicht?

De leden van de D66-fractie constateren dat nationale certificering op basis van Europese
standaarden mogelijk wordt. Deze leden vragen het kabinet hoe het toezicht er volgens
hen uit moet gaan zien.

Het kabinet heeft in het fiche vermeld dat, als voor eIDs het stelsel van notificatie
door lidstaten onderling wordt vervangen door een stelsel van certificering binnen
de lidstaten, het noodzakelijk is te komen tot harmonisering. Dit is nodig om veiligheid
en betrouwbaarheid van het grensoverschrijdende digitale verkeer en een gelijk speelveld
binnen de interne markt te borgen. Concreet betekent dit dat de toezichthouders in
de lidstaten met dezelfde maat moeten meten en dus onderling afspreken wat de gemeenschappelijke
normen voor toezicht moeten zijn. Deze uitwerking vindt plaats in lijn met de certificering
onder de cybersecurityverordening, hetgeen het kabinet een goede basis acht om dit
idee van de Commissie verder te verkennen. Hoe dit toezicht er precies uit zou moeten
gaan zien en wat de kosten daarvan zijn, valt nu nog niet te zeggen.

Met deze wetswijziging worden browserleveranciers verplicht om Europese standaarden
voor betrouwbaarheid te accepteren. In beginsel snappen de leden van de VVD-fractie
deze wijziging en verplichting. Hoe ziet het kabinet dit voor zich in geval van een
opdoemend veiligheidsrisico waarbij snel handelen wellicht gewenst is om de veiligheid
van het internet te garanderen? Hoe ziet het kabinet het afdwingen van Europese standaarden
voor zich bij open source browsers?

De leden van de D66-fractie lezen dat de herziening van de verordening een verplichting
voor browserleveranciers stelt om gekwalificeerde certificaten van websiteauthenticatie
te accepteren. Deze leden vragen het kabinet toe te lichten hoe dit in de praktijk
gecontroleerd gaat worden. Acht het kabinet dat dit effectief mogelijk is?

Mede namens de Minister van Economische Zaken en Klimaat antwoord ik u dat ik een
verbetering zie ten opzichte van de huidige situatie. De standaarden waaraan gekwalificeerde
certificaten voor websiteauthenticatie nu moeten voldoen, garanderen een hoog beveiligingsniveau.
Juist door verplichte acceptatie van deze certificaten zal de veiligheid van websites
groter worden. In elk geval verhindert het verplicht accepteren van deze certificatenbrowserleveranciers
niet om in geval van een opdoemend veiligheidsrisico snel gepaste maatregelen te nemen,
zoals het intrekken van het certificaat. Ten aanzien van open source browsers ziet
het kabinet geen verschil in vergelijking met de verplichte acceptatie van deze certificaten
door niet open source browsers. Onafhankelijk van het type browser zullen in de praktijk
de Europese certificaten voor websiteauthenticatie automatisch terecht komen in de
«Certificate Store» van de browser.

Het voorstel regelt wel de verplichte acceptatie van gekwalificeerde certificaten
van websiteauthenticatie, maar geeft geen effectieve sanctie in het geval browserleveranciers
hieraan niet voldoen. Hier vraag ik aandacht voor in de onderhandelingen.

De leden van de D66-fractie vragen het kabinet op welke manier het gebruik van een
elektronisch grootboek voldoet aan de eisen van het niet zomaar delen van gegevens
buiten de Europese Unie.

De relevante wetgeving voor het delen van gegevens buiten de Europese Unie, zoals
de Algemene verordening gegevensbescherming (AVG),12 blijft van toepassing.