Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over het ontwerpbesluit digitale overheid (Kamerstuk 34972-45)

De vaste commissie voor Binnenlandse Zaken heeft enkele vragen en opmerkingen over
het Ontwerpbesluit houdende wijziging van het Besluit verwerking persoonsgegevens
generieke digitale infrastructuur in verband met het stellen van de kaders voor informatieveiligheid
en persoonsgegevensverwerking (Besluit digitale overheid), dat de Minister van Binnenlandse
Zaken en Koninkrijksrelaties bij brief van 17 maart 2020 (Kamerstuk 34 972 B, nr. 45 herdruk) aan de Kamer heeft voorgelegd.

De voorzitter van de commissie, Ziengs

De adjunct-griffier van de commissie, Hendrickx

Inhoudsopgave

blz.

I.

Algemeen

2

1.

Inleiding

2

2.

Hoofdlijnen

2

3.

Verhouding tot andere regelgeving

3

4.

Inhoud

3

5.

Privacy en verhouding tot algemene verordening gegevensbescherming

4

6.

Consultatie

4

7.

Evaluatie

5

II

Artikelsgewijze toelichting

5

I. Algemeen

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit
Digitale overheid. Dit is de eerste uitvoeringsregelgeving op basis van de Wet digitale
overheid. Dat wetsvoorstel is onlangs door de Tweede Kamer aanvaard. Graag willen
de leden van de VVD-fractie de regering een aantal vragen voorleggen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit
houdende wijziging van het Besluit verwerking persoons-gegevens generieke digitale
infrastructuur in verband met het stellen van de kaders voor informatieveiligheid
en persoonsgegevensverwerking (Besluit digitale overheid). Deze leden hebben daarover
enkele vragen.

De leden van de D66-fractie hebben kennisgenomen van het genoemde ont-werpbesluit
en willen de regering nog enkele vragen voorleggen. Voor de leden van de D66-fractie
is het van groot belang dat informatieveiligheid bij publieke dienstverleners gewaarborgd
is.

De leden van de GroenLinks-fractie hebben kennisgenomen van het ontwerpbesluit digitale
overheid. Zij hebben hierover een aantal vragen aan de rege-ring. Allereerst begrijpen
deze leden dat er niet één AMvB of Ministeriële regeling komt waarin de Wet digitale
overheid nader in wordt uitgewerkt. Het voorliggende Ontwerpbesluit is één van de
onderliggende regelgevende documenten. Kan de regering in een schematisch overzicht
alle onderliggende regelgevende documenten – die voortvloeien uit artikel 4 en artikel
16 van de Wet digitale overheid – weergeven met daarbij wat deze regelingen in hoofdzaak
regelen?

De leden van de ChristenUnie-fractie hebben met interesse kennisgenomen van het Ontwerpbesluit
digitale overheid. Zij hebben behoefte aan het stellen van een beperkt aantal vragen.

2. Hoofdlijnen

In de regeling wordt gesproken over erkende private partijen. De leden van de GroenLinks-fractie
vinden het van groot belang dat deze partijen effectief worden gecontroleerd aangezien
zij potentieel privacygevoelige informatie van burgers in handen kunnen krijgen. Kan
de regering nader ingaan op de vraag hoe controle en handhaving plaatsvindt. En kan
de regering daarbij specifiek ook ingaan op de volgende twee aspecten. Hoe is het
gesteld met de capaciteit van het ministerie en de Autoriteit Persoonsgegevens? Hebben
zij straks voldoende capaciteit om effectieve naleving van de wet en onder-liggende
regels te waarborgen?

Op welke wijze worden burgers straks actief geïnformeerd over hun rechten en over
de vraag hoe zij eventueel misbruik van hun gegevens kunnen melden en tegengaan? Is
het, zo vragen deze leden, wellicht een mogelijkheid om bij ieder privaat digitaal
inlogmiddel een duidelijke disclaimer verplicht in beeld te laten brengen met daarin
heldere informatie over hoe omgegaan wordt met de gegevens van de burger en de rechten
die deze burger heeft (bijvoorbeeld het recht op inzage van het gebruik van zijn/haar
gegevens) die gebruik maakt van het inlogmiddel?

3. Verhouding tot andere regelgeving

de leden van de GroenLinks-fractie hebben nog twee vragen n.a.v. moties ingediend
bij de behandeling van de Wet digitale overheid. Allereerst vernemen zij graag of,
en zo ja hoe, gewerkt wordt aan het waarborgen dat bij (private) authenticatiediensten
zoveel mogelijk gebruik wordt gemaakt van open source? En daarnaast vernemen deze
leden graag een actuele stand van zaken over het vraagstuk rondom het feit dat ondernemers
problemen ervaren met het doen van aangiften (eHerkenningsproblemen en de kosten voor
het doen van belastingaangiften

4. Inhoud

4.1 Verwerking persoonsgegevens

De leden van de D66-fractie vragen zich af of de regering voorbeelden kan schetsen
waarin het wenselijk zou zijn dat artikel 5b, lid 3 en artikel 5c, lid 3 het mogelijk
maken om ook gegevens over de gezondheid in niet versleutelde vorm te verwerken?

Bovengenoemde leden horen graag van de regering hoe kan worden voorkomen dat gegevens,
conform artikel 5e, op basis van andere verwerkings-gronden dan de goede werking van
identificatiemiddelen en de goede en veilige toegang met die middelen of via machtiging
tot elektronische dienstverlening worden gebruikt.

De leden van deze fractie zouden graag horen wat wordt verstaan onder «overige gegevens
die bij het account horen» in artikel 5b sub c.

De leden van de D66-fractie vragen zich af waarom de eis tot het scheiden van de opslag
van gegevens over de gebruiker van het private identificatiemiddel enerzijds, en de
gegevens over het gebruik van het middel anderzijds niet wordt vastgelegd in artikel
5e.

De leden van de D66-fractie ontvangen graag een nadere toelichting over hoe met de
genoemde specifieke, zichtbare en toegankelijke verklaring voldoende uitvoering wordt
gegeven aan het recht van inzage en rectificatie van persoonsgegevens. Deze leden
ontvangen graag een nadere toelichting waarom in paragraaf 4.1.2. van de nota van
toelichting wordt gekozen voor een opt-out mechanisme en niet een opt-in mechanisme
om automatisch berichten te ontvangen.

4.1.3 Persoonsgegevens toegelaten privaat middel voor burgers

Kan de regering nader toelichten waarom ook private identificatiemiddelen worden toegelaten
voor overheidsdienstverlening. Bestaat er kans dat dit extra risico’s met zich meebrengt
op het gebied van phishing of toegang voor statelijke actoren tot overheidsinstellingen?
Zo ja hoe worden deze risico’s ondervangen? Hoe wordt voorkomen dat data, gerelateerd
aan overheidsdienstverlening, door een private partij voor commerciële doeleinden
worden gebruikt?

4.1.4. Persoonsgegevens bedrijfs- en organisatiemiddel

De leden van de VVD-fractie begrijpen dat de algemene maatregel van bestuur (AMvB)
ook betrekking heeft op bedrijfs- en organisatiemiddelen. Zijn er op basis van deze
AMvB gevolgen voor de huidige bedrijfs- en organisatiemiddelen (e-herkenning)? Zo
ja, welke zijn dat? Graag krijgen de leden van de VVD-fractie een reactie van de regering.

4.1.5. Persoonsgegevens BSN-K

De leden van de VVD-fractie lezen dat de afgeleide vorm van het BSN in het private
domein wordt gebruikt bij diensten waarvoor geen BSN verwerkt mag worden. De afgeleide
vorm bevat geen BSN. Graag krijgen deze leden een verduidelijking van deze passage,
want deze AMvB heeft toch geen betrekking op de private sector, met uitzondering van
die delen die het BSN moeten gebruiken, zoals zorgverzekeraars? Wat zijn de gevolgen
van het «zoveel mogelijk werken met pseudonomisering en polymorfe identiteiten» voor
de uitwerking van de motie-Middendorp over het gebruik van identificatiemiddelen in
niet-publieke overige sectoren? (TK 34 972, nr. 29)? Graag krijgen de leden van de VVD-fractie een reactie van de regering.

De leden van de CDA-fractie vragen wat precies de functie is van het BSN-Koppelregister
in de rollen die de Wet digitale overheid heeft gedefinieerd. Op grond waarvan komt
de voorziening tot stand? Het BSN-Koppelregister wordt niet genoemd in de definities
van de Wet digitale overheid. Vervult deze voorziening een centrale rol in het stelsel?
Communiceren alle middelen via deze voorziening? Zo ja, is deze voorziening niet in
strijd met het doel van de Wet digitale overheid, namelijk ervoor zorgen dat wij op
het gebied van online identificatie en authenticatie niet afhankelijk zijn van unieke
voorzieningen? Ten slotte vragen deze leden wat de noodzaak is van het gebruik van
pseudonieme identiteiten in het BSN-domein.

5. Privacy en verhouding tot algemene verordening gegevensbescherming

De leden van de GroenLinks-fractie hebben een vraag over de uit de AVG voortvloeiende
verplichte dataminimalisatie. Zoals ook in het debat over de Wet digitale overheid
gewisseld, hebben de aan het woord zijnde leden zorgen over de mogelijkheid van private
organisaties om een digitaal identificatiemiddel in te stellen. Kan de regering –
zo mogelijk met een concreet voorbeeld van een fictief bedrijf – aangeven hoe de dataminimalisatie
moet worden bereikt en hoe dit door zowel de overheid als voor burgers te controleren
is of aan de AVG wordt voldaan?

6. Consultatie

De leden van de ChristenUnie-fractie vinden het van belang dat het nieuwe besluit
ook voor zorgpartijen goed uitvoerbaar is en tot zo min mogelijk meerkosten leidt.
Op welke manier kan de terughoudendheid van zorgpartijen verder worden weggenomen
ten aanzien van de zorgen die zij hebben ten gevolge van dit besluit? Hoe wordt ook
bij het toelaten van identificatiemiddelen rekening gehouden met de uitvoerbaarheid
voor zorgpartijen en overige aangewezen organisaties om de eigen systemen op de verschillende
soorten identificatiemiddelen af te stemmen? Hoe gaat er rekening worden gehouden
met door zorginstellingen reeds gehanteerde methodieken? Is de regering bereid om
zorginstellingen actief te betrekken bij de nadere uitwerking van het besluit?

De leden van de ChristenUnie-fractie lezen dat «Uitgangspunt is evenwel alle dienstverleners
op eenduidige wijze te (kunnen) beoordelen; hierdoor is de ruimte voor eigen vormgeving
van audits en rapportage beperkt.» Is hierin het gemak voor het Ministerie leidend,
of is het streven om waar dat kan maximaal ruimte te bieden aan zorgpartijen om regelarm
te kunnen rapporteren?

7. Evaluatie

De Wet digitale overheid bevat een evaluatiebepaling. De leden van de VVD-fractie
nemen aan dat de toelichting op dit punt nog wordt aangepast in verband met het aangenomen
amendement Middendorp en Van der Molen (TK 34 972, nr. 21) waardoor de termijn voor de evaluatie van vijf jaar is veranderd in drie jaar. Ook
is vastgelegd dat de toegankelijkheid van elektronische dienstverlening voor mensen
die digitaal minder vaardig zijn nadrukkelijk bij de evaluatie wordt meegenomen.

In paragraaf 8 van de nota van toelichting, over evaluatie van de Wet digitale overheid
en het Besluit digitale overheid, wordt een termijn van vijf jaar genoemd. De leden
van de CDA-fractie constateren dat in artikel 23 van het wetsvoorstel sprake is van
een termijn van drie jaar. In dit verband herinneren deze leden de regering aan het
met algemene stemmen aangenomen amendement-Middendorp/Van der Molen (TK 34 972, nr. 21).

II Artikelsgewijze toelichting

Artikel I

Onderdeel F

Artikelen 5b en 5b

De leden van de VVD-fractie constateren dat de onderhavige AMvB een grotere dataset
definieert dan de minimale dataset van de eIDAS-Verordening. Waarom is hiervoor gekozen?
Zou hier niet moeten worden verwezen naar de Verordening zelf? Behoren alle aan te
leveren gegevens strikt genomen tot de taak van de middelenleverancier? Graag krijgen
de leden van de VVD-fractie een reactie van de regering op de hier gestelde vragen.

De leden van de CDA-fractie constateren, dat het ontwerpbesluit een grotere dataset
definieert dan de eIDAS-verordening (art.5). Deze leden vragen hoe dit zich verhoudt
tot het uitgangspunt van de regering om geen aanvullende eisen te stellen aan bestaande
Europese regels en principes, zoals de Minister tijdens de plenaire behandeling van
het wetsvoorstel stelde. Verder vragen deze leden naar de rolverdeling bij het aanleveren
van die data. Zijn middelenleveranciers bijvoorbeeld wel in staat om het IP-adres
en sessie-gegevens, waaronder cookies, van gebruikers aan te leveren? Hoe verhoudt
dit zich tot de principes van dataminimalisatie?

Artikel 5d

De leden van de VVD-fractie merken op dat Artikel 5d de term «eIDAS-voorziening» introduceert.
Is dit een andere benaming voor het «eIDAS-koppelpunt»? Waarom wordt in deze AMvB
niet duidelijker aangesloten bij de bestaande terminologie, diensten en begrippen
uit de eIDAS-Verordening zelf. Gaarne krijgen de leden van de VVD-fractie een reactie
van de regering.

Onderdelen K, L, M, N en O

Bij een aantal onderdelen, zoals K, L, M, N en O, zo stellen de leden van de VVD-fractie
vast, is er sprake van een bewaartermijn van persoonsgegevens van vijf jaar. Waarop
is de periode van vijf jaar gebaseerd? In hoeverre is de termijn van vijf jaar noodzakelijk?
Graag krijgen de leden van de VVD-fractie een reactie van de regering.

De leden van de D66-fractie vragen een toelichting of de bewaartermijnen in het kader
van misbruikbestrijding van 5 jaar, zoals genoemd in artikel 14e, bovenop de genoemde
bewaartermijnen van de in artikel 11 tot en met 14d genoemde bewaartermijnen van 5
jaar komt.

Artikel 18 en 24

De leden van de D66-fractie vragen zich af waarom onder artikel 18 wel fysieke- en
personele beveiligingseisen worden gesteld aan het informatie-veiligheidsbeleid, maar dat fysieke- en personele beveiliging volgens artikel
24 vervolgens niet onderdeel uitmaken van de vereiste audit voor dienstverleners.