Brief regering : Ministeriële Regeling met eisen aan inlogmiddelen voor burgers en bedrijven

Nr. 17
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 10 oktober 2022

In het plenaire debat over de novelle bij het wetsvoorstel digitale overheid (hierna:
de Wdo) d.d. 1 juni jl. heb ik u toegezegd om uw Kamer het concept toe te zenden van
de ministeriële regeling nadere eisen identificatiemiddelen, authenticatiediensten
en machtigingsdiensten Wdo (hierna: de MR) (Handelingen II 2021/22, nr. 86, item 8). Met deze brief bied ik u de MR aan. Gelijktijdig met de toezending zal ik de internetconsultatie
starten, waardoor ook belanghebbenden hun reactie op de regeling kunnen geven.

De MR bevat, in combinatie met twee algemene maatregelen van bestuur die in het kader
van de voorhang aan Uw Kamer zijn voorgelegd, de eisen waaraan publieke en private
inlogmiddelen moeten voldoen voordat zij worden toegelaten onder de Wdo. Die eisen
borgen dat burgers en bedrijven deze inlogmiddelen kunnen gebruiken om veilig en betrouwbaar
in te loggen bij de (semi-)overheid. Na toelating dienen de eisen als basis voor het
doorlopend toezicht dat is ingeregeld, om te zorgen dat de inlogmiddelen veilig en
betrouwbaar blijven. Het Agentschap Telecom zal de toelating en het toezicht gaan
verzorgen.

Omdat de MR primair een juridisch document is – en ook moet zijn – hecht ik eraan
in deze brief vanuit de politieke context de achtergrond van deze regeling uiteen
te zetten. Daarbij stip ik de achtergrond van de regeling aan en leg ik uit wat er
geregeld wordt.

Daarnaast bied ik u, om het totaal aan regelingen onder de wet digitale overheid inzichtelijk
te maken, bij deze brief een overzichtsplaat aan van de uitvoeringsregelgeving die
onder de Wdo tot stand wordt gebracht. Daarbij geef ik aan welke onderwerpen worden
geregeld, waar die onderwerpen worden geregeld (wet, algemene maatregel van bestuur
of minsteriele regeling) en schets ik de (onderlinge) context.

Uitgangspunt: Europese eIDAS-verordening en de Algemene Verordening gegevensbescherming
(AVG)

Het uitgangspunt voor de betrouwbaarheidseisen in de MR vormen de Europese eIDAS-verordening,
en de bijbehorende uitvoeringsverordening 1502, die minimale eisen stelt aan de betrouwbaarheid
van inlogmiddelen die Europees worden genotificeerd. Daarbij gaat het om verplichte
controles die moeten worden uitgevoerd om te zorgen dat inlogmiddelen met zekerheid
aan de juiste (rechts)persoon worden uitgegeven en dat veilig kan worden ingelogd.
Daarnaast vormt de Algemene verordening gegevensbescherming (AVG) een belangrijk uitgangspunt
voor de bescherming van persoonsgegevens.

De MR, als uitwerking van de Wdo (waarvan de novelle deel gaat uitmaken), vertaalt
waar nodig deze eisen naar de Nederlandse context en stelt eisen die ik in deze context
beleidsmatig en politiek belangrijk vindt om burgers te beschermen. Een voorbeeld
daarvan zijn de eisen die zijn opgenomen in de novelle bij het wetsvoorstel digitale
overheid.

Voor de volledigheid schets ik kort de gelaagdheid van de regelgeving aan de hand
van voorbeelden. Zo worden op het niveau van de wet de waarborgen geregeld, zoals
privacybescherming, die in de AMvB nader worden uitgewerkt. Voorbeelden daarvan zijn
de verplichting om gegevens van burgers gescheiden op te slaan en digitale inzagerechten
voor burgers. In de onderliggende ministeriële regeling worden meer praktisch/technische
zaken geregeld die snel (moeten) kunnen wijzigen, of concrete detailvoorwaarden zoals
openingstijden van de helpdesk, onderhoudstijden (wanneer en hoe laat updates uitgevoerd
mogen worden), de vormvereisten voor een aanvraag (d.w.z. wat een bedrijf allemaal
aan informatie/stukken moet indienen om het middel te laten erkennen) en aanwijzen
van componenten waarvoor open source software moet worden ingezet. De zaken die in
de ministeriële regeling worden geregeld lenen zich vanwege hun praktische en vaak
gedetailleerde aard minder goed voor regeling op het niveau van algemene maatregel
van bestuur.

Hieronder licht ik de meest relevante eisen in de minsteriele regeling nader toe.

Privacybescherming en transparantie voor burgers

Beperking verwerking burgerservicenummer

In Nederland werkt de overheid in haar contact met burgers op basis van het burgerservicenummer.
Aan de verwerking daarvan worden specifieke regels gesteld. Om in te loggen bij de
overheid is het noodzakelijk dat overheden waar een burger inlogt, het burgerservicenummer
van de desbetreffende burger kunnen ontvangen. De MR bevat voorschriften die ervoor
zorgen dat het burgerservicenummer door aanbieders van inlogmiddelen te allen tijde
versleuteld wordt verwerkt, en dat gewerkt wordt op basis van pseudoniemen. Overheidsorganisaties
kunnen met een eigen sleutel uit het pseudoniem het burgerservicenummer herleiden.
Hierdoor wordt de verwerking van het BSN bij het inloggen beperkt tot slechts de overheidsorganisaties
die dit nummer daadwerkelijk nodig hebben. Dit heeft een belangrijke privacybeschermende
werking.

Transparantie: verplicht digitale inzage en correctie bij aanbieders van inlogmiddelen

Daarnaast verplicht de MR dat aanbieders van inlogmiddelen burgers en bedrijven digitaal
inzage moeten bieden in de (persoons)gegevens die worden verwerkt. Daarbij gaat het
zowel om gegevens die worden verwerkt om het inlogmiddel te kunnen aanbieden als om
gegevens over het gebruik van het middel. Ook wordt geregeld dat de burger een overzicht
wordt geboden van de inlogmiddelen waarover hij beschikt. De burger heeft hierdoor
een laagdrempelige toegang tot zijn gegevens. Dit past in de bredere ontwikkeling
om de burger meer regie te bieden op zijn gegevens. Bovendien stelt de laagdrempelige
beschikbaarheid van deze gegevens de burger in staat om aan te bel te trekken op het
moment dat er onverhoopt iets niet klopt en dat te laten corrigeren.

Bescherming bij inloggen

Ook regelt de MR dat burgers op het moment dat zij willen inloggen, voordat zij inloggen
te zien krijgen bij welke publieke dienstverlener zij inloggen, de specifieke dienst
waarvoor de authenticatie plaatsvindt en de gegevens die bij het inloggen worden verstrekt.
Aanbieders van inlogmiddelen moeten borgen dat de wijze waarop de informatie aan de
burger wordt getoond niet door een derde partij kan worden gemanipuleerd, zodat de
burger op de informatie kan vertrouwen. De burger kan zo goed geïnformeerd en bewust
de keus maken om in te loggen. Tijdens het authenticatieproces wordt een gebruiker
ten slotte in de gelegenheid gesteld het authenticatieproces af te breken tot het
moment waarop dit is voltooid.

Hulp aan burgers die in de knel komen: herstelvermogen

De eisen die in de MR worden gesteld beogen de kans op misbruik van inlogmiddelen
tot een minimum te beperken. Echter, het is nooit geheel uit te sluiten dat burgers
het slachtoffer worden van misbruik doordat anderen hun middel buiten hun medeweten
gebruiken of door onjuiste werking van processen. Daarom wordt in de MR aan aanbieders
van inlogmiddelen de verplichting opgelegd om mogelijk misbruik te kunnen herkennen
en te herstellen. Herstellen wil in dit kader zeggen dat ervoor dient te worden gezorgd
dat een middel wordt ingetrokken of wordt teruggebracht onder de controle van de gebruiker.

Voor de volledigheid merk ik op de MR niet gaat over de gegevens die voor de genoemde
specifieke dienst mogen worden gebruikt. Dat is gedetailleerd en per doel vastgelegd
in het Besluit digitale overheid, zoals dat aan de beide Kamers in het kader van de
voorhangprocedure is voorgelegd.

Beschikbaarheidseisen aan ondersteuning en bereikbaarheid: menselijk contact

Een burger of bedrijf moet voor vragen, instructies of meldingen over zijn inlogmiddel
terecht kunnen bij een helpdesk van de aanbieder waar goede en tijdige informatie
wordt verstrekt. Niettemin moet worden voorkomen dat de serviceverlening op enig moment
zodanig beperkt is dat de toegang tot publieke dienstverlening daardoor in gevaar
komt. Daarom bevat deze regeling minimumregels over de bereikbaarheid van zo’n helpdesk.

De regeling schrijft bijvoorbeeld voor dat een helpdesk ten minste 60 uur per week
telefonisch bereikbaar moet zijn voor burgers. Daarmee wordt geborgd dat burgers voldoende
mogelijkheden hebben om direct in contact te treden met de partij waarvan zij het
identificatiemiddel afnemen.

Privacy by design (novelle)

Het principe van privacy by design is primair verankerd in artikel105396625 AVG. Dat
is het reguliere kader voor toepassing van het privacy by design-principe. De AVG
kan echter niet dienen als afwijzingsgrond voor een erkenningsaanvraag of als grond
voor de intrekking van een verleende erkenning. Hiervoor is een nadere wettelijke
basis nodig. Daarom is met de novelle voorzien in een specifieke afwijzingsgrond voor
aanvragen die niet voorzien in «privacy by design». Ook wordt geregeld dat een reeds
verleende erkenning kan worden ingetrokken wanneer niet langer is voldaan aan het
principe van privacy by design. Bepalend is dat er een afweging wordt gemaakt tussen
de verschillende AVG-beginselen (doelbinding, transparantie, bewaartermijnen, dataminimalisatie
en veiligheid). Daarbij wordt aangehaakt bij de richtsnoeren die daarvoor door de
gezamenlijke Europese privacy toezichthouders zijn opgesteld. In de MR is geregeld
dat een aanvrager bij een aanvraag voor toelating van een inlogmiddel ter onderbouwing
van conformiteit met artikel105396625 AVG een gegevensbeschermingseffectbeoordeling
(DPIA) aanlevert als bedoeld in artikel105396635 AVG. De DPIA moet zien op de activiteiten
waarop de aanvraag ziet en een beschrijving bevatten van de wijze waarop de maatregelen
die zijn beschreven in de DPIA zijn opgenomen in de processen van de aanvrager die
voor de erkenning van belang zijn.

Verhandelverbod (novelle)

De Wdo regelt dat private partijen die een inlogmiddel willen aanbieden waarmee bij
de overheid ingelogd kan worden, slechts de beschikking hebben over persoonsgegevens
indien en voor zover nodig om het middel in gebruik te hebben. Enig ander gebruik
van deze gegevens is niet toegestaan. Hiermee is binnen de reikwijdte van de Wdo sluitend
geregeld dat deze partijen de gegevens waarover ze uit hoofde van die verhouding met
de burger en de overheid beschikken niet op een andere manier mogen worden gebruikt.

Het is mogelijk dat deze partijen nog op een andere manier over persoonsgegevens van
burgers kunnen beschikken. Bijvoorbeeld als zij die gegevens aan de personen om wie
het gaat hebben gevraagd, als onderdeel van (andere) commerciële dienstverlening.
Over het gebruik van op die manier verkregen gegevens gaat dit voorstel niet. Het
reguleren van dergelijke verstrekkingen gaat het bestek van deze wet te buiten. Wel
zorgt de regeling in de Wdo ervoor dat de gegevens die de aanbieder in het kader van
de inlogdienstverlening heeft verkregen, niet mogen worden gekoppeld aan deze gegevens
en krijgen gebruikers een mogelijkheid, als vangnet, om verstrekkingen aan derden
te beëindigen zonder dat daar financiële of functionele gevolgen aan verbonden zijn.

Open source (novelle)

Open source heeft een grote rol gespeeld in het debat over de novelle. Ik neem de
gelegenheid te baat om daarover een aantal zaken te verduidelijken1.

In de MR is de wijze waarop ik wil zorgen dat de inlogmiddelen open source worden
nader uitgewerkt. Het voornaamste doel dat mij in dit verband voor ogen staat is om
transparantie te realiseren over de werking van inlogmiddelen. Zo is voor eenieder
kenbaar hoe inlogmiddelen werken, en is daarmee controleerbaar hoe de verwerking van
persoonsgegevens plaatsvindt. Dit doel wordt bereikt door de broncode te publiceren.
Van belang is daarbij dat dit op een zodanige manier gebeurt dat deze ook daadwerkelijk
raadpleegbaar en controleerbaar is. Dat regelt de MR.

De MR regelt ook een groeimodel voor open source. Dit wordt vormgegeven door een proces
waarin stapsgewijs componenten van inlogmiddelen, die gebruikt worden voor de verwerking
van persoonsgegevens ten behoeve van inlogdienstverlening, worden aangewezen waarvan
de broncode gepubliceerd moet zijn. Deze lijst van componenten is in de bijlage bij
de MR opgenomen. De broncode van deze componenten dient door de aanbieder – dan wel
een derde, zoals de auteursrechthebbende – gepubliceerd te zijn. Het is goed denkbaar
dat een aanzienlijk deel van de componenten al bij de toetreding tot het stelsel open
source is. Daarom dient de aanbieder ten behoeve van die toetreding tevens een overzicht
van zijn functionele componenten en een overzicht van de software die daarvoor wordt
gebruikt aan het Agentschap Telecom te verstrekken.

De aanwijzingen en ingangsdatums voor open source zullen worden vastgelegd in de bijlage
bij de ministeriële regeling2. In deze consultatieversie zijn de componenten nog niet voorzien van een ingangsdatum.
Om te zorgen dat met deze aanwijzing zal worden voldaan aan de vereisten van veiligheid,
continuïteit en een breed beschikbaar aanbod van inlogmiddelen is het nodig om hierover
tevoren kennis in te winnen bij experts. Ook wil ik hiervoor de internetconsultatie
van de MR benutten, die ik gelijktijdig met de toezending van de regeling aan uw Kamer
zal starten.

Open source en een community

In het debat over de wet digitale overheid hebben wij uitgebreid van gedachten gewisseld
over de rol en aanwezigheid van een gemeenschap die zich bezighoudt met het controleren
en verbeteren van de open source software. Zoals ik eerder heb aangegeven hecht ik
grote waarde aan het bestaan van gemeenschappen die meekijken. Dit stelt iedereen
die dat wil in staat om de broncode te onderzoeken, kwetsbaarheden te melden en eventueel
verbetervoorstellen te doen. Dit veel-ogen-principe is een aanvullende waarborg voor
de veiligheid en betrouwbaarheid van inlogmiddelen. Een belangrijk voordeel van open
source.

Om deze voordelen te behalen is het regelen van transparantie als verplichting voor
de aanbieders alleen niet voldoende. Het is, zoals ik tijdens de plenaire behandeling
van novelle op de wet digitale overheid heb aangegeven, belangrijk dat er een community
is of komt die daadwerkelijk meekijkt op de software.

Ik ga zelf stimuleren dat er een community komt. Hoe en in welke mate of vorm stimulering
nodig is zal ik bezien in het licht van de ontwikkeling.

Ik hecht eraan te benadrukken dat dit los staat van de MR, in die zin dat in de MR
geen regels over communities worden opgenomen. Waar het in de kern om gaat, en waaraan
de MR wel regels stelt, is dat de software veilig is, onderhouden wordt, en beschikbaar
is en blijft. Vertaald naar de veiligheid van de inlogmiddelen, het doel van de Wdo,
gelden de eisen zoals die in de ministeriële regeling zijn opgenomen. De aanbieders
van inlogmiddelen moeten daaraan voldoen bij de toelating en ook daarna. Daarop wordt
toezicht gehouden gedurende de periode dat inlogmiddelen zijn toegelaten. De veiligheid
van de gebruikte softwarecomponenten maakt daarvan onderdeel uit. De primaire veiligheid
van de middelen borg ik door de aanbieders aan de toelatingseisen te houden en hen
daarop aan te spreken als dat nodig is.

In het geval van toegelaten inlogmiddelen zal het de leverancier van het inlogmiddel
in kwestie zijn die als onderdeel van zijn dienstverlening ervoor moet zorgen dat
de onderdelen van diens software op de bovenstaande manier worden beheerd en dat adequaat
wordt gereageerd op inbreng van de gemeenschap. Het vormt (bij zowel gesloten als
open software) onderdeel van de verantwoordelijkheid van leveranciers om te zorgen
voor een deugdelijk product. Het gebruiken van veilige en betrouwbare softwarecomponenten
maakt inherent onderdeel uit van de verantwoordelijkheid van de aanbieder om veilige
en betrouwbare dienstverlening aan te bieden binnen de eisen zoals gesteld in de MR.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen