Brief regering : Geactualiseerde versies van het Besluit bedrijfs- en organisatiemiddelen en het Besluit identificatiemiddelen voor natuurlijke personen Wdo

Nr. 7 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 december 2021

Hierbij bied ik u nieuwe ontwerpversies aan van het Besluit bedrijfs- en organisatiemiddelen
en het Besluit identificatiemiddelen voor natuurlijke personen Wdo, en de nog resterende
beantwoording van de vragen en opmerkingen van de vaste commissie voor Binnenlandse
Zaken van de Tweede Kamer over het laatstgenoemde ontwerpbesluit1.

De aanbieding van de vernieuwde integrale versies van deze besluiten kondigde ik onlangs
aan bij de Nota naar aanleiding van het verslag bij de novelle (kamerstuk 35 868, nr. 6) bij de Wet digitale overheid (Wdo). De aanbieding dient om een uitgebreid beeld
te geven van de uitvoeringsregelgeving en daarmee, met oog op de behandeling van de
novelle, het inzicht van beide Kamers over het ter instemming voorliggende wetsvoorstel
te vergroten.

De novelle beoogt immers naar wens daartoe van de Eerste Kamer een aantal onderwerpen
op wetsniveau te regelen die in het oorspronkelijke wetsvoorstel voorzien waren voor
regeling in algemene maatregelen van bestuur. Als gevolg daarvan en van de verdere
inzichten die zijn opgedaan in de continue dialoog met de uitvoerders rondom de verdere
uitwerking van de voorstellen, zijn ook andere aanpassingen in deze algemene maatregelen
van bestuur aangebracht. De ontwerpen zullen nog aan de Afdeling advisering van de
Raad van State worden voorgelegd. Volledigheidshalve zij vermeld dat er reeds een
schriftelijk overleg heeft plaatsgevonden over het voorgenomen Besluit digitale overheid.
Het verslag hiervan is te vinden in Kamerstukken 34 972, nr. 46.

De aanpassingen betreffen op hoofdlijnen het volgende: de eisen en procedures uit
de beide ontwerpbesluiten zijn zoveel mogelijk geüniformeerd. Hierbij is een regeling
opgenomen die invulling geeft aan het wetsbegrip van het «voldoende beschikbaar» zijn
van open source. Ook is geregeld wat privacy by design betekent voor de erkenningsprocedure
en hoe het verhandelverbod van gegevens in de procedure van erkenning uitwerkt.

Meer inzet van open source software

Ik onderschrijf met de Eerste Kamer het belang van open source software en de belangrijke
rol die deze software kan hebben voor de transparante werking en de veiligheid van
deze inlogmiddelen. De regeling in deze ontwerpbesluiten heeft als doel de inzet van
open source software als onderdeel van de toegelaten inlogmiddelen en het publieke
middel DigiD op een verantwoorde manier mogelijk te maken, zonder dat dit ten koste
gaat van de mogelijkheden voor burgers om op veilige wijze toegang te krijgen tot
elektronische dienstverlening. Hierbij houd ik onder meer rekening met de continuïteit
en de beschikbaarheid van voldoende veilige inlogmiddelen voor gebruikers.

Daarom wordt in deze ontwerpbesluiten uitgegaan van een minimumnorm die wordt vastgesteld
voor open source, waaraan toegelaten partijen en potentiële toetreders moeten voldoen.
Deze norm maakt het mogelijk om de relevante belangen te wegen en daarop te sturen.
Het gebruik van open source zal naar verloop van tijd, afhankelijk van de mate waarin
meer open source wordt verlangd, steeds verder toenemen. Dit komt omdat de norm hierop
wordt bijgesteld.

Verhandelverbod van gegevens

In de wet is geregeld dat met de erkenning geen inkomsten worden verkregen uit het
verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers.
In het besluit is dit ten eerste uitgewerkt door middel van de verplichting tot een
gescheiden opslag van gebruiks- en gebruikersgegevens, waardoor de koppeling niet
meer of alleen geclausuleerd mogelijk is. Verder is dit uitgewerkt door de eis openbaar
te maken op welke wijze een erkende partij inkomsten genereert met een erkenning,
en de verplichting om waar mogelijk met versleutelde gegevens te werken. Gebruikers
moeten verder de mogelijkheid krijgen om het verstrekken van gegevens te beëindigen
zonder verlies van functionaliteiten en zonder nadelige financiële gevolgen. Aanbieders
van private inlogmiddelen worden hier niet alleen bij de toelating op gecontroleerd,
maar ook tussentijds, als onderdeel van het doorlopende toezicht op de inlogmiddelen.
Bij overtreding van deze regels kan in voorkomende gevallen worden overgegaan tot
schorsing, en uiteindelijk ook uitsluiting van de dienstverlening, waarbij de toelating
wordt ingetrokken en de aanbieder zijn dienstverlening moet stoppen.

Privacy by design

In de wet is bepaald dat een erkenning niet wordt verleend indien het ontwerp van
het identificatiemiddel of de ontsluitende dienst naar de stand der techniek en andere
redelijkerwijs beschikbare mogelijkheden op het moment van aanvraag onvoldoende voorziet
in de bescherming van gegevens, privacy by design dus. Met dit besluit wordt van aanvragers
van een erkenning gevraagd om bij een erkenningsaanvraag te onderbouwen dat is voldaan
aan artikel 25 van de AVG. Voor de beoordeling of dit het geval is worden de richtsnoeren
gebruikt die de koepel van Europese privacy toezichthouders hanteert.

De mogelijkheden tot toetsing en toezicht zijn uitgebreid met een verplichting aan
partijen een onafhankelijke audit uit te voeren. Verder zijn toegevoegd de eis mee
te werken aan het toezicht en een afwijzingsgrond en een intrekkingsgrond die kunnen
worden toegepast in geval partijen onvoldoende kunnen aantonen dat zij voldoen aan
de eisen. Daarnaast zijn er nog extra waarborgen ingebouwd in de vorm van de meldingsplicht
voor wijzigingen in de werking van het middel, waarvoor geen wijziging van de erkenning
nodig is.

Erkenning van authenticatiedienst en machtigingsdienst

Het wetsartikel dat het bedrijvendomein regelt, kent meerdere rollen die voor erkenning
in aanmerking komen. Gebleken is dat formele erkenning niet voor alle rollen nodig
is. Volstaan kan worden met de erkenning van de rollen van machtigingsdienst en van
authenticatiedienst. In de praktijk is het de authenticatiedienst die de identiteit
van de gebruiker vaststelt en is het de machtigingsdienst waar de machtigingsregistratie
plaatsvindt en die vervolgens de verklaring over identiteit en bevoegdheid samenstelt
en deze aan de dienstverlener doorgeeft.

De overige rollen kunnen door leveranciers worden ingevuld op basis van onderlinge
afspraken, zonder formele erkenning. Deze vereenvoudigde procedure is in het besluit
opgenomen. Deze manier van regelen sluit overigens aan op de huidige praktijk en hiermee
wordt het erkenningsproces aanzienlijk vereenvoudigd en worden de daarbij horende
administratieve lasten verminderd.

De Wdo schrijft voor dat regels moeten worden gesteld over het tarief. Gebleken is
dat een dergelijke regeling ter bescherming van gebruikers in de praktijk niet nodig
is, aangezien er altijd de terugvaloptie is van het gratis publieke middel. Daarom
is de regeling voor ingrijpen bij niet marktconforme tarieven niet ingevuld en vervangen
door een de facto regeling: bij hanteren van een hoog tarief prijst een aanbieder
zichzelf uit de markt. Voor een uitgebreidere toelichting op de besluiten zij verwezen
naar de nota’s van toelichting.

Een gelijkluidende brief heb ik gezonden aan de voorzitter van de Eerste Kamer der
Staten-Generaal.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops