Verslag (initiatief)wetsvoorstel (nader) : Nader verslag
34 972 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)
Nr. 8 NADER VERSLAG
Vastgesteld 6 februari 2019
De vaste commissie voor Binnenlandse Zaken belast met het voorbereidend onderzoek
van dit wetsvoorstel heeft na kennisneming van de nota van wijziging nog behoefte
nadere vragen en opmerkingen aan de regering voor te leggen. Onder het voorbehoud
dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen zijn beantwoord,
acht de commissie de openbare behandeling van dit wetsvoorstel voldoende voorbereid
Inhoudsopgave
blz.
I
ALGEMEEN
1
1.
Inleiding
1
2.
Standaarden
5
3.
Elektronische identificatie (eID)
5
4.
Privacy
8
5.
Misbruik van de GDI
8
6.
Toezicht en handhaving
9
7.
Financiële bepalingen en -gevolgen
9
8.
Verhouding tot andere wetgeving
9
9.
Gevolgen voor burgers en bedrijven
9
10.
Overgangsrecht en inwerkingtreding
10
11.
Consultatie en advies Autoriteit Persoonsgegevens
10
II
ARTIKELSGEWIJS
10
I ALGEMEEN
1. Inleiding
De leden van de VVD-fractie danken de regering voor de antwoorden op de vragen, zoals
gesteld in het verslag bij het onderhavige wetsvoorstel. Graag willen zij de regering
nog een aantal nadere vragen stellen.
In het verslag hadden de leden van de VVD-fractie de regering gevraagd of er ook is
gekeken naar de invloed van het wetsvoorstel op de digitale economie en de cyberveiligheid.
Voorts was de vraag hoe dit wetsvoorstel bijdraagt aan de economische ontwikkeling
in Nederland. De regering stelt onder andere dat de regels in het wetsvoorstel over
cyberveiligheid bijdragen aan de versterking van de digitale economie. Dat is één
kant van de zaak. De leden van de VVD-fractie vragen de regering ook in te gaan op
de vraag hoe dit wetsvoorstel, los van de cyberveiligheid, bij kan dragen aan de economische
ontwikkeling in Nederland, daarbij ook betrekkende hoe in de multimiddelenstrategie
de overheid als grote klant innovatie bij niet-publieke middelen kan stimuleren.
Er wordt gesteld dat er geen publiek inlogmiddel voor bedrijven komt. De leden van
de VVD-fractie vragen de regering dat nader te beargumenteren. Wordt dat op termijn
ook uitgesloten?
De leden van de VVD-fractie begrijpen dat de regering op termijn niet uitsluit dat
publieke middelen bij economische transacties, dus buiten de publieke sector, worden
gebruikt. Van belang daarbij is of consumenten daar behoefte aan hebben, zo stelt
de regering. De leden van de VVD-fractie vragen naar de condities waaronder dat zou
kunnen gebeuren. Op basis van welke criteria zou een publiek middel (DigiD/eID) toestemming
krijgen om in de private sector met private aanbieders te concurreren? Daarbij vragen
zij hoe, als inderdaad blijkt dat consumenten daar behoefte aan hebben, geborgd is
dat de multimiddelenstrategie niet verstoord wordt door oneerlijke concurrentie door
het publieke middel?
De leden van de VVD-fractie vragen wederom aandacht voor de initiatiefnota over online
identiteit en regie op persoonsgegevens van de leden Middendorp en Verhoeven (TK 34
993). In die nota wordt een digitale kluis voorgesteld. In hoeverre ziet de regering
mogelijkheden om dat idee in het onderhavige wetsvoorstel te verankeren? Hoe kijkt
de regering aan tegen het gebruik van één bron voor (bepaalde) persoonsgegevens? In
de nota naar aanleiding van het verslag verwijst de regering naar extra benodigde
informatie over de precieze intenties en de mogelijke realisatiewijze van de ideeën
in de initiatiefnota. De leden van de VVD-fractie vragen van wie die informatie moet
komen en of het zoeken naar deze informatie onderdeel is van de uitvoering van de
motie van de leden Koerhuis en Den Boer (Kamerstuk 34 993, nr. 4).
De leden van de VVD-fractie zien dat de regering verschillende middelen voor verschillende
rollen dan wel doelgroepen wil houden. Bijvoorbeeld voor de rol van een natuurlijk
persoon (burger) versus rechtspersoon (bedrijf of medewerker van een organisatie).
Is de regering het met de leden van de VVD-fractie eens dat dit onderscheid ertoe
leidt dat (persoons)gegevens exclusief worden gekoppeld aan een elektronisch identificatiemiddel?
Zo ja, wat voor invloed heeft die binding van (persoons)gegevens aan een middel op
initiatieven die persoonsgegevens juist aan burgers willen koppelen, zoals digitale
datakluizen, zoals bijvoorbeeld genoemd in de initiatiefnota van de leden Middendorp
en Verhoeven, en elektronische identificatiemiddelen? Wat is de invloed van het erkennen
van aparte middelen voor burgers, bedrijven en/of sectoren op het initiatief van de
digitale datakluis? Gaarne krijgen de leden van de VVD-fractie een reactie van de
regering op de hier gestelde vragen.
De leden van de CDA-fractie hebben kennisgenomen van de nota naar aanleiding van het
verslag over het wetsvoorstel digitale overheid. Deze leden hebben nog een aantal
vragen voor het voorliggende wetsvoorstel.
De leden van de CDA-fractie herinneren aan de strategische verkenning eID-stelsel
Nederland (2012), waarin werd gepleit voor een nationaal stelsel waarin overheid en
bedrijfsleven samenwerken om burgers, consumenten en bedrijven goed, snel en veilig
elektronisch te kunnen bedienen. Deze leden constateren dat het voorliggende wetsvoorstel
de grenzen tussen digitale overheid en digitale economie juist in stand houdt. Het
ene publieke burgermiddel voor inloggen bij de overheid (DigiD) is niet bruikbaar
om in te loggen bij bedrijven en organisaties; private burgermiddelen voor inloggen
bij bedrijven worden op een enkele uitzondering na (door middel van aanbesteding)
niet toegelaten om in te loggen bij de overheid. Kan de regering deze keuze nader
onderbouwen?
De regering stelt dat, indien in de toekomst blijkt dat bij consumenten de behoefte
ontstaat om publieke middelen of andere basisvoorzieningen van de overheid te gebruiken
bij economische transacties, zal worden bezien op welke wijze dit mogelijk is met
inachtneming van de regels over verwerking van het bsn en de Wet markt en overheid
(nota naar aanleiding van het verslag, blz. 4; blz. 16). Op welke wijze wordt die
behoefte gemeten, zo vragen de leden van de CDA-fractie.
De regering stelt dat het huidige stelsel van private middelen voor bedrijven naar
tevredenheid functioneert (nota naar aanleiding van het verslag, blz. 5). Kan de regering
dit nader onderbouwen? Ten eerste, hoe functioneert het stelsel, wanneer is dit geëvalueerd
en wie heeft de classificatie daarvan als goed vastgesteld? Waren dat de bedrijven
of de leveranciers van de middelen? Zijn in de afweging om een apart stelsel voor
bedrijven in stand te houden ook de toekomstige wijzigingen meegewogen, die het voorliggende
wetsvoorstel met zich meebrengt voor bedrijven en organisaties? Zoals bijvoorbeeld
dat een groot aantal bedrijven meer middelen zal moeten aanvragen? Maar ook dat een
groot aantal bedrijven hoger gekwalificeerde middelen zal moeten aanvragen wanneer
de acceptatieplicht wordt ingevoerd en huidige alternatieve voorzieningen worden beëindigd?
Wat zijn de te verwachten wijzigingen voor bedrijven en organisaties als gevolg van
het voorliggende wetsvoorstel? Zijn de effecten en kosten daarvan juist en volledig
doorgerekend in de lastenparagraaf in de memorie van toelichting? Ten tweede, kan
de regering een overzicht geven van de actuele stand van zaken van de bedrijfsmiddelen
per authenticatieniveau en het gebruik?
In het verslag hebben de leden van de CDA-fractie gevraagd of de voorgestelde digitale
infrastructuur aansluit bij de behoeften van de digitale samenleving, waarin de behoefte
van de burger daadwerkelijk centraal wordt gesteld, waarbij de burger de generieke
voorzieningen die hij al kent en gebruikt, ook universeel kan gebruiken bij de overheid.
In de beantwoording (nota naar aanleiding van het verslag, blz. 6) noemt de regering
alleen DigiD en eHerkenning. Daarom vragen deze leden de regering of de burger de
generieke voorzieningen die hij al kent en gebruikt (zoals iDIN) ook universeel kan
gebruiken bij de overheid en zo nee, waarom niet.
Het gebruik van organisatiespecifieke inlogmethoden is niet langer toegestaan in het
(semi)publieke domein behoudens uitzonderingsgevallen (nota naar aanleiding van het
verslag, blz. 6). De leden van de CDA-fractie begrijpen, dat het voorliggende wetsvoorstel
het mogelijk maakt om naast middelen voor bedrijven en burgers ook sectorale middelen
te erkennen. De wet faciliteert daarmee doelbinding van elektronische identificatiemiddelen
aan een juridische hoedanigheid, een rol of de uitoefening van een beroep. Voorbeelden
hiervan zijn de in de memorie van toelichting genoemde Advocatenpas of de UZI-pas
voor medische professionals die door de Minister van VWS wordt uitgegeven. Voor alle
middelen geldt dat zij in het verkeer met de overheid moeten voldoen aan de specificaties
die de eIDAS-verordening voorschrijft voor het niveau substantieel en/of hoog. Dit
heeft als logische consequentie dat de verschillende middelen van verschillende uitgevende
instanties zowel technisch als qua veiligheid vergelijkbaar zijn, maar in hun gebruiksmogelijkheid
niet. Met de Advocatenpas mag bijvoorbeeld wel worden ingelogd voor het elektronisch
aanleveren van processtukken aan de rechtbank, maar niet bij de Belastingdienst ten
behoeve van de btw-aangifte. Dit terwijl het middel wel voldoet aan de eisen van de
eIDAS. De regering onderkent dat door doelbinding van een middel sprake kan zijn van
een samenloop van identificatiemiddelen. Ongewenste vormen van samenloop kunnen in
overleg met de vakministers bij regeling opgelost worden. Het faciliteren van samenloop
van elektronische identificatiemiddelen roept de volgende vragen op. Ten eerste, is
het creëren van de mogelijkheid van samenloop niet in strijd met de uitgangspunten
van de eIDAS-verordening, die juist aanstuurt op meer universeel gebruik van vertrouwde
elektronische identificatiemiddelen, zowel binnen als tussen lidstaten? Ten tweede,
hoe zal willekeur hierbij voorkomen worden? Bijvoorbeeld dat de Advocatenpas niet
gebruikt mag worden om in te loggen bij de Belastingdienst en de UZI-pas wel? Ten
derde, welke samenlopen heeft het ministerie nu al onderkend, naast de zzp’er? Is
daar reeds overleg over gevoerd met de desbetreffende vakministers? Zo nee, waarom
niet? Zo ja, wat waren daarvan de uitkomsten? De leden van de CDA-fractie denken onder
meer aan het volgende voorbeeld: over hoeveel gereguleerde elektronische identificatiemiddelen
moet een arts beschikken in het onlineverkeer met de publieke sector, als die arts
bestuurder is van een praktijkmaatschap, tevens bestuurder is van het stichtingsbestuur
van de beroepsgroep en ook patiënt is in dat ziekenhuis?
De leden van de CDA-fractie lezen, dat het sinds het van kracht worden van de eIDAS-verordening
op 29 september 2018 voor Duitsers mogelijk is om met hun eID-middel bij Nederlandse
dienstverleners in te loggen (nota naar aanleiding van het verslag, blz. 6). De regering
voegt daaraan toe, dat dienstverleners hard werken aan het gereed maken van hun eigen
dienstverlening hiervoor en dat een gestage groei in het aantal inlogpogingen daar
blijk van geeft. Begrijpen de leden van de CDA-fractie goed, dat Duitsers in de praktijk
niet met hun eID-middel kunnen inloggen bij Nederlandse dienstverleners, omdat er
tot nu toe alleen sprake is van «inlogpogingen»?
De leden van de CDA-fractie constateren, dat de huidige oplossingen voor DigiD substantieel
thans niet de totale gewenste doelgroep bereiken. Dit hangt samen met het feit dat
een aanzienlijk deel van de doelgroep niet beschikt over een smartphone met een Android
besturingssysteem met NFC-lezer (nota naar aanleiding van het verslag, blz. 7). Kan
de regering aangeven hoeveel van de ruim 13,5 miljoen actieve DigiD-gebruikers beschikken
over een smartphone met een Android besturingssysteem met NFC-lezer?
De regering stelt, dat zij op korte termijn een aanbesteding start voor een privaat
middel op niveau substantieel, om een groot deel van de doelgroep snel een alternatief
identificatiemiddel op niveau substantieel te kunnen bieden (nota naar aanleiding
van het verslag, blz. 7). De leden van de CDA-fractie vragen, waarom de regering niet
heeft gekozen voor een systeem van accreditatie, juist met het oog op bereik en snelheid.
De leden van de D66-fractie hebben kennisgenomen van de nota naar aanleiding van het
verslag en de nota van wijziging. Zij hebben hier nog enkele vragen over.
Ten eerste lezen deze leden dat dit wetsvoorstel een eerste tranche is van meerdere
voorstellen rondom Digitale overheid. Kan de regering toelichten welke tranches nog
volgen en wat de inhoud van deze wetsvoorstellen zal zijn?
De leden van de GroenLinks-fractie hebben met interesse kennisgenomen van het wetsvoorstel
en van de reactie van de regering in de nota naar aanleiding van het verslag. Deze
leden hebben nog enkele specifieke vragen.
2. Standaarden
De leden van de D66-fractie lezen op pagina 10 van de nota naar aanleiding van het
verslag dat het open standaardenbeleid overheidsorganisaties de vrijheid geeft om
hun eigen afweging te maken over het al dan niet gebruiken van een standaard die is
opgenomen op de «pas toe of leg uit» lijst. Dit klinkt nogal vrijblijvend Op welke
wijze verandert artikel 3 deze vrijblijvendheid? Heeft de regering de intentie deze
vrijblijvendheid te veranderen?
Deze leden vragen ook of er snel zal worden toegewerkt naar volledige open standaarden
middels te de introduceren wettelijke basis?
Daarnaast lezen de leden van de D66-fractie dat na verplichtstelling van een open
standaard door middel van een amvb, toezicht op de naleving plaatsvindt binnen de
«eigen beleidskolom.» Dit doen toezichthoudende ambtenaren. Kan de regering toelichten
of hier sprake is van een slager die eigen vlees keurt? Op welke wijze houdt de Minister
van Binnenlandse Zaken het overzicht op naleving van de open standaard die zij middels
amvb verplicht heeft gesteld?
De leden van de D66-fractie lezen dat op 1 juli 2018 de Europese toegankelijkheidsnorm
EN301549 verplicht is geworden. Op deze manier moeten overheidsinstanties de noodzakelijke
maatregelen treffen om hun websites en mobiele applicaties toegankelijker te maken.
Dit wordt door de Minister van Binnenlandse Zaken gemonitord. Kan de regering toelichten
wat de uitkomst is van deze monitor? Voldoen alle websites en mobiele applicaties
van de overheid aan deze standaard?
De regering stelt in de Nota naar aanleiding van het Verslag dat «De regering heeft
het voornemen om als eerste de open standaard HTTPS te verplichten.» Wanneer denkt
de regering de verplichting in te stellen van open documentstandaarden, waar één van
de grootste afhankelijkheden van leveranciers bestaat, met alle door meerdere instanties
en onderzoeken genoemde nadelen en risico’s op gebied van kosten, informatieveiligheid,
archivering, rechtszekerheid, leveranciersafhankelijkheid? De leden van de GroenLinks-fractie
ontvangen graag een nadere toelichting van de regering op dit punt.
3. Elektronische identificatie (eID)
Het wetsvoorstel maakt het mogelijk om één of meerdere private identificatiemiddelen
toe te laten. In de nota naar aanleiding van het verslag wordt gesteld dat een aanbesteding
voor een privaat middel wordt voorbereid. De leden van de VVD-fractie vragen of het
gaat om één privaat middel of meerdere private middelen? Waar koerst het ministerie
op af en waarom? In welke fase bevindt de aanbesteding zich? Hoe ziet het tijdpad
eruit? In hoeverre loopt de aanbesteding voor op de inwerkingtreding van de wet? Waarom
is er geen sprake van volgtijdelijkheid? Wat is uw reactie op de stelling dat één
privaatmiddel het overheidsmiddel duurder maakt? Is de multimiddelenstrategie gericht
op één markt met meerdere private middelen en één publiek middel, die alle vanuit
concurrentieperspectief gelijk zijn? Zo neen, is de multimiddelenstrategie dan gericht
op enerzijds één markt waar afnemers, niet zijnde de overheid, private middelen gebruiken
en anderzijds één andere markt waar één afnemer, zijnde de overheid, gebruik maakt
van het publieke middel en één privaat middel? In hoeverre is er bij de huidige multimiddelenstrategie
sprake van gelijke kansen voor alle middelen? Zo neen, op welke punten zal de behandeling
van de publieke middelen anders zijn? In hoeverre is gekeken naar de staatssteunaspecten
bij de totstandkoming van publieke middelen?
De regering wil de keuze voor een privaat middel via aanbesteding tot stand laten
komen. De leden van de VVD-fractie willen nader ingaan op het vraagstuk aanbesteden
dan wel accrediteren. Waarom kiest de regering niet voor accreditatie? In hoeverre
heeft de regering overwogen om eerst te accrediteren op criteria als kwaliteit en
veiligheid om vervolgens als overheid aan te besteden op prijs? De prijs is dan pas
bij de aanbesteding van belang. De leden van de VVD-fractie vinden dat een aantrekkelijke
optie, omdat de overheid dan een grote, maar normale klant wordt en omdat geaccrediteerde
middelen dan met elkaar kunnen concurreren en er aldus sprake is van een multimiddelenstrategie.
Voorts vragen de leden van de VVD-fractie aandacht voor het volgende. Er wordt vastgehouden
aan twee erkenningsregimes van verschillende middelen, te weten aanbesteding voor
het private burgermiddel en accreditatie voor het private bedrijfsmiddel. Waarom kan
aanbesteding van private burgermiddelen niet plaatsvinden nadat die middelen geaccrediteerd
zijn? Hoe doet de overheid dat voor de overige geaccrediteerde eIDAS-vertrouwensdiensten
op de TSL-lijst (Trusted Services List) van Nederland, bijvoorbeeld de diensten rond
het gebruik van een elektronische handtekening door een burger of bedrijf? Wordt het
medegebruik door de overheid van die dienst van een marktpartij aan burgers ook aanbesteed?
Op welke wijze hangen de overige eIDAS-vertrouwensdiensten samen met de erkenning
van private elektronische identificatiemiddelen voor burgers door een aanbesteding?
Hoe is die koppeling geborgd? Is erkenning van het burgermiddel door middel van een
aanbesteding te combineren met een stelsel waarin alle overige vertrouwensdiensten,
inclusief het bedrijvenmiddel, door accreditatie tot stand komen?
Zou het publieke middel (DigiD) niet ook geaccrediteerd moeten worden volgens dezelfde
criteria als private middelen, zo vragen de leden van de VVD-fractie. Door te kiezen
voor accreditatie in plaats van aanbesteding kunnen de kwaliteits- en veiligheidscriteria
voor alle middelen (publiek en privaat) gelijk zijn. Overigens menen de leden van
de VVD-fractie, dat de publieke middelen gebruiksvriendelijk moeten zijn en innovatie
niet in de weg mogen staan. Ook daarom zijn een multimiddelenstrategie en een level
playing field in dezen belangrijk. Wie zal straks beslissen over de aanbesteding van
de publieke middelen? Wordt deze aanbesteding gescheiden van de DigiD-operatie zelf?
Zal de overheid haar middelen in één keer voor alle diensten aanbesteden? Gaarne krijgen
de leden van de VVD-fractie een reactie van de regering op de gemaakte opmerkingen
en de gestelde vragen.
Met betrekking tot private inlogmiddelen vragen de leden van de VVD-fractie naar de
situatie in andere landen. Is gekeken hoe in andere landen de prijsvorming voor private
en publieke middelen gaat? Hetzelfde geldt voor de financiering van en investeringen
in private en publieke middelen. Zo ja, hoe is dat gegaan? Is er sprake van accreditatie
of aanbesteding? Zijn er in het buitenland voorbeelden die kunnen helpen bij een echte
multimiddelenstrategie? Gaarne krijgen de leden van de VVD-fractie een reactie van
de regering. Voorts hebben zij een vraag met betrekking tot de financiering van DigiD.
Zal de financiering van DigiD marktconform geschieden? Zo neen, waarom niet?
In hoeverre is overwogen dan wel wordt overwogen in plaats van een eigen publiek middel
te ontwikkelen een middel in het buitenland te kopen? In hoeverre is er gekeken naar
alternatieven in België? Gaarne krijgen de leden van de VVD-fractie een reactie van
de regering.
De leden van de CDA-fractie constateren dat private inlogmiddelen in het bedrijfs-
en organisatiedomein worden geaccrediteerd en dat de regering stelt dat er geen «nut
en noodzaak» is voor een publiek inlogmiddel voor bedrijven en organisaties. Private
inlogmiddelen in het burgerdomein worden echter aanbesteed omdat «de keuze voor accreditatie
zou meebrengen dat de private leverancier wel gerechtigd, maar niet verplicht is om
te leveren.» Kan de regering dit verschil nader toelichten? Wat is de economische
rationaliteit van die redenering, zo vragen deze leden. Hoe aannemelijk is het dat
private leveranciers investeren in accreditatie om vervolgens niet te leveren? Rust
die redenering op ervaring met de accreditatie van andere TSL-diensten uit de eIDAS-verordening?
Zijn er marktpartijen die geaccrediteerd zijn voor bijvoorbeeld de elektronische handtekening
of «time stamping» en die niet leveren aan burgers of bedrijven? Gebeurt dit nu reeds
in het stelsel van bedrijfsmiddelen die men op grond van deze wet zal accrediteren?
De regering stelt, dat de keuze voor accreditatie zou kunnen leiden tot de toelating
van een onbeperkt aantal private authenticatiemiddelen, wat de ontzorging van dienstverleners,
en daarmee de uitvoerbaarheid, niet ten goede komt (nota naar aanleiding van het verslag,
blz. 14). De leden van de CDA-fractie vragen, waarom een veelvoud van middelen voor
toegang tot online diensten van bijvoorbeeld de Belastingdienst in het burgerdomein
wel een probleem zou zijn en in het zakelijke domein niet? Waarom zijn voor een acceptant
als MijnOverheid voor Ondernemers (MOvO) tien verschillende bedrijvenmiddelen geen
probleem en waarom zijn tien burgermiddelen voor een acceptant als de Berichtenbox-app
van MijnOverheid wel een probleem? Wat verklaart dat verschil?
De regering stelt, dat de geleidelijke introductie van DigiD op betrouwbaarheidsniveau
hoog reeds is gestart met de uitgifte van daarvoor geschikte rijbewijzen (nota naar
aanleiding van het verslag, blz. 8). Wanneer zullen naar verwachting alle rijbewijzen
geschikt zijn voor DigiD op betrouwbaarheidsniveau hoog, zo vragen de leden van de
CDA-fractie. En welk deel van de totale gewenste doelgroep wordt daarmee bereikt?
Het Adviescollege Toetsing Regeldruk (ATR) doet de aanbeveling om in overleg met aanbieders
van eHerkenningsmiddelen te komen tot een standaardisering van abonnementen en aanvullende
diensten. De regering onderkent dat het mogelijk is dat een standaardisering tot minder
kosten zal leiden, maar voert aan dat eHerkenning een stelsel is met concurrerende
aanbieders van inlogmiddelen die zich juist moeten onderscheiden om keuzemogelijkheden
voor klanten te bieden, zodat klanten optimaal bediend kunnen worden (nota naar aanleiding
van het verslag, blz. 17). De leden van de CDA-fractie constateren, dat die keuzemogelijkheden
niet bepaald worden door de markt, maar door de overheid zelf. Welke opties nodig
zijn, is immers afhankelijk van de eisen die overheid stelt. Hetzelfde geldt voor
het betrouwbaarheidsniveau. Deze leden vragen de regering hierop nader in te gaan.
De leden van de CDA-fractie constateren, dat het onderscheid tussen een burgermiddel
om in te loggen bij de overheid en een bedrijfsmiddel om in te loggen bij de overheid
met name voor zzp’ers bijzonder onhandig is. De regering voert geen bepaling in die
dienstverleners verbiedt beide inlogmethoden aan te bieden aan ondernemers (nota naar
aanleiding van het verslag, blz. 17). Het gebruik van een publiek middel kan wel ondoelmatig
zijn omdat dienstverleners bedrijven in hun administratie herkennen aan de hand van
het KvK- of RSIN-nummer in plaats van het bsn. Alleen in het geval ondernemingen op
naam staan van een natuurlijke persoon, bestaat bij sommige dienstverleners de mogelijkheid
om zowel in te loggen met eHerkenning als met een publieke middel, zo stelt de regering.
De leden van de CDA-fractie begrijpen dat dit geen recht is, maar afhankelijk is van
de optie die de dienstverlener aanbiedt. Is dit juist, en zo ja, kan de regering deze
keuze nader onderbouwen?
Voor de toelating van private identificatiemiddelen worden voorschriften gesteld die
niet direct voortvloeien uit eIDAS-normen, maar die voor Nederland aanvullend zijn
en voortkomen uit nationale beleids- en inrichtingskeuzes, zoals het gebruik van pseudonimisering
voor privacybescherming en het gebruik van het zogeheten BSN-koppelregister (een publieke
voorziening die mogelijk maakt dat gebruikers centraal inzage kunnen krijgen in hun
middelen) (nota naar aanleiding van het verslag, blz. 19). Deze twee door de regering
genoemde onderwerpen roepen de volgende vragen op. Ten eerste, is het gebruik van
pseudonimisering niet reeds verplicht op grond van de AVG? Zo ja, wat voegt het voorliggende
wetsvoorstel dan concreet daaraan toe? Heeft dit wetsvoorstel ten doel een concrete,
technische standaard voor pseudonimisering, zijnde de polymorfe peudonimisering, te
kunnen voorschrijven en wordt dit een dwingende eis voor toelating? Ten derde, hoe
verhoudt het argument van privacybescherming zich tot het koppelregister? Op welke
wijze zijn de in de «Gegevensbeschermingseffectbeoordeling (GEB) eID-stelsel» van
28 juni 2017 aangemerkte risico’s van dit register opgelost, te weten de beschikbaarheids-
en gegevensconcentratierisico’s (single point of failure en privacy hotspot) van het
BSN-koppelregister? Waarom wordt dit register bij deze wet mogelijk gemaakt als die
privacyrisico’s er zijn? Ten vierde, is een centraal koppelregister niet in strijd
met het uitgangspunt van de multimiddelenstrategie, die juist dient om single points
of failure zoveel mogelijk te vermijden. Was dat laatste ook niet de uitkomst van
de dialoog over de Uniforme Set van Eisen, zo vragen de leden van de CDA-fractie.
De leden van de CDA-fractie vragen, welke gevolgen de aanvullende eisen mogelijk zullen
hebben voor het resultaat van de aanbesteding. Acht de regering het mogelijk, dat
aanbesteding geen enkel privaat identificatiemiddel zal opleveren?
Op grond van het voorliggende wetsvoorstel kan de Minister van BZK besluiten om een
of meerdere privaat uitgegeven middelen op de betrouwbaarheidsniveaus substantieel
en hoog toe te laten voor gebruik in het publieke domein. De leden van de CDA-fractie
vragen of de regering voornemens is een maximum te stellen aan het aantal private
aanbieders en zo ja, wat dat maximum dan is.
De leden van de CDA-fractie vragen, welke randvoorwaarden in het kader van de aanbesteding
(of accreditatie) kunnen worden gesteld aan buitenlandse partijen, voor zover mogelijk
op basis van Europese wetgeving, om aanbieder te kunnen worden van een identificatiemiddel
in Nederland. Behoort elektronische toegang tot overheidsdienstverlening naar de opvatting
van de regering tot de vitale infrastructuur en zo ja, welke eisen kunnen op grond
daarvan aan aanbieders worden gesteld?
Op grond van het voorliggende wetsvoorstel draagt de Minister van BZK onder meer zorg
voor de ontwikkeling van inlogmiddelen voor burgers, op een hoger betrouwbaarheidsniveau
dan het huidige DigiD basis, zodat diensten die een hoge of zeer hoge mate van betrouwbaarheid
vereisen ook digitaal kunnen worden verleend. De leden van de CDA-fractie vragen of
zij goed hebben begrepen dat de betrouwbaarheidsniveaus substantieel en hoog moeten
bereikt worden met het huidige DigiD als fundament? Is naar de opvatting van de regering
dat fundament technisch toereikend om op voort te bouwen?
De leden van de CDA-fractie vragen, of het voorliggende wetsvoorstel ook vormen van
afgeleide identificatie mogelijk maakt. Kan bijvoorbeeld een privaat inlogmiddel worden
aangeboden, dat de authenticatie baseert op DigiD, zo vragen deze leden.
4. Privacy
De leden van de D66-fractie vragen toe te lichten, aangezien dit in uitvoeringsregelgeving
zal worden vastgelegd, op welke wijze de regering in dit verband uitvoering geeft
aan Artikel 15 tot en met 18 AVG aangaande het recht van inzage en rectificatie.
5. Misbruik van de GDI
Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.
6. Toezicht en handhaving
Ambtenaren worden aangewezen om toe te zien op de naleving van de bepalingen van het
wetsvoorstel. Als het gaat om private partijen in het bedrijvendomein is het voornemen
om ambtenaren van het Agentschap Telecom het toezicht te laten uitoefenen. De leden
van de VVD-fractie vragen of een en ander betekent dat het toezicht op de private
middelen, die straks in het publieke domein worden gebruikt, wordt belegd bij de door
de Minister aan te wijzen ambtenaren? Welke rol heeft het agentschap Logius in dezen?
Welke rol heeft de Rijksdienst voor identiteitsgegevens in dezen?
De leden van de CDA-fractie constateren dat het Ministerie van BZK in het kader van
het voorliggende wetsvoorstel een breed pakket van taken en verantwoordelijkheden
krijgt. Kan de regering nader onderbouwen, waarom het Ministerie van BZK niet alleen
de aanbesteding uitvoert, maar ook toezicht houdt en audits verricht, en zelf als
leverancier van DigiD optreedt? Bevat het voorliggende wetsvoorstel op dit punt voldoende
checks and balances?
7. Financiële bepalingen en -gevolgen
De kosten die voor rekening van de overheidsorganen en aangewezen organisaties komen
zijn nog niet bepaald. De uitwerking hiervan zal neergelegd worden in nadere regelgeving,
zo stelt de regering. De leden van de VVD-fractie vragen waarom die kosten nog niet
bekend zijn? Wanneer zullen die kosten wel bekend zijn? Het streven is immers om de
wet medio 2019 in werking te laten treden. Hoe worden overigens de kosten van deze
organen en aangewezen organisaties bepaald? Hoe worden ze daarover geïnformeerd en
op welke termijn?
De leden van de D66-fractie verzoeken de regering om een geheel beeld te schetsen
van de kosten voor de overheid voor «het inloggen in het BSN domein». Zij verzoeken
dit schematisch weer te geven en hierbij ook een schatting mee te nemen van de kosten
die voor rekening komen van de bestuursorganen en aangewezen organisaties.
8. Verhouding tot andere wetgeving
De leden van de GroenLinks-fractie hebben nog enkele vragen over de verhouding tussen
deze wet en de regelgeving op de BES-eilanden. Deze leden zouden graag een nadere
toelichting van de regering hieromtrent ontvangen.
Ook hebben deze leden nog de vraag hoe de relatie is tussen deze voorgestelde wet
en de Wet gebruik Friese taal?
9. Gevolgen voor burgers en bedrijven
De leden van de D66-fractie lezen dat het wetsvoorstel voorziet in de mogelijkheid
tot gefaseerde inwerkingtreding en overgangsrecht als het gaat om de betrouwbaarheidsniveaus
substantieel en hoog. Kan de regering verduidelijken wanneer iedereen in Nederland
die nu gebruik maakt van DigiD op deze hogere niveaus zou moeten kunnen inloggen?
Wat is de planning? Op welke wijze wordt hier zorg voor gedragen wanneer personen
bijvoorbeeld alleen een paspoort hebben en geen ID-kaart of rijbewijs? Is er al meer
bekend over het totaalplaatje van de kosten die bij de burger komen te liggen voor
het realiseren van DigiD niveau Hoog en substantieel? Kan de regering hierbij ook
de kosten van bijvoorbeeld de externe kaartlezer meenemen?
Daarnaast vragen zij of de regering een maximumprijs zal hanteren (bij de aanbesteding)
die burgers moeten betalen aan een private partij voor het aanschaffen van een privaat
middel?
10. Overgangsrecht en inwerkingtreding
Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.
11. Consultatie en advies Autoriteit Persoonsgegevens
Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.
II ARTIKELSGEWIJS
Artikel 9, tweede lid
Bij de toelating van private burgermiddelen wordt mede geselecteerd op aspecten als
betaalbaarheid en dekkingsgraad (nota naar aanleiding van het verslag, blz. 32). De
leden van de CDA-fractie vragen, wat in dit verband wordt bedoeld met betaalbaarheid.
Het gaat hier enerzijds over de kosten die dienstverleners moeten betalen om het middel
te kunnen gebruiken, anderzijds over de kosten die de burger voor de aanschaf van
het middel moet betalen. Zowel voor het publieke als het private middel moet de burger
betalen. Is het juist, dat die laatste prijsvorming door aanbesteding plaatsvindt
en niet door marktwerking, zo vragen deze leden.
In het verslag hebben de leden van de CDA-fractie gevraagd hoe de voorgestelde selectieprocedure
zich verhoudt tot de intentieverklaring van oktober 2015 tussen de Belastingdienst,
vijf banken en de Betaalvereniging Nederland, waarin de uitgangspunten voor samenwerking
tussen partijen werden vastgelegd in de vorm van een pilot. De regering antwoordt
dat de ervaringen met de pilots hebben bijgedragen aan de keuze om in het wetsvoorstel
de mogelijkheid van toelating van private middelen op te nemen en de toegang tot overheidsdienstverlening
niet louter door publieke middelen te laten geschieden (nota naar aanleiding van het
verslag, blz. 33). De leden van de CDA-fractie vragen of daarmee de multimiddelenstrategie
is losgelaten.
De leden van de D66-fractie lezen in de wet dat een privaat middel alleen wordt toegelaten
wanneer een privaat middel noodzakelijk is voor de beschikbaarheid en toegankelijkheid
van elektronische dienstverlening aan natuurlijke personen (art 9 lid 2 onder a).
Wanneer is deze noodzaak er, zo vragen deze leden? Is deze er nu al vanwege het feit
dat er slechts één identificatiemiddel is? Indien er één privaat middel is toegelaten,
is de noodzaak voor nóg een privaat middel dan niet meer aanwezig?
De voorzitter van de commissie, Ziengs
De adjunct-griffier van de commissie, Kouwenhoven
Ondertekenaars
-
Eerste ondertekenaar
E. Ziengs, voorzitter van de vaste commissie voor Binnenlandse Zaken -
Mede ondertekenaar
S. Kouwenhoven, adjunct-griffier
Stemmingsuitslagen
Aangenomen met handopsteken
| Fracties | Zetels | Voor/Tegen |
|---|---|---|
| VVD | 32 | Voor |
| PVV | 20 | Tegen |
| CDA | 19 | Voor |
| D66 | 19 | Voor |
| GroenLinks | 14 | Tegen |
| SP | 14 | Tegen |
| PvdA | 9 | Tegen |
| ChristenUnie | 5 | Voor |
| 50PLUS | 4 | Tegen |
| PvdD | 4 | Tegen |
| DENK | 3 | Voor |
| SGP | 3 | Voor |
| FVD | 2 | Tegen |
| Van Haga | 1 | Voor |
| Van Kooten-Arissen | 1 | Tegen |
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.