Nota van wijziging : Tweede nota van wijziging

Nr. 14
TWEEDE NOTA VAN WIJZIGING

Ontvangen 21 oktober 2019

Het voorstel van wet wordt als volgt gewijzigd:

A

Artikel 1 wordt als volgt gewijzigd:

1. In de omschrijving van «elektronische dienstverlening» wordt «of anderszins waarbij
het burgerservicenummer wordt verwerkt» vervangen door «of waarbij het burgerservicenummer
wordt verwerkt».

2. In de omschrijving van «erkende dienst» wordt «artikel 11» vervangen door «artikel
9 of 11».

3. In de omschrijving van «middelenuitgever» wordt «bedrijfs- en organisatiemiddelen
aan rechtspersonen of ondernemingen» vervangen door «identificatiemiddelen aan natuurlijke
personen, rechtspersonen of ondernemingen».

4. In de omschrijving van «ontsluitende dienst» wordt «erkende authenticatiediensten,
machtigingsdiensten en attributendiensten» vervangen door «erkende authenticatiediensten,
middelenuitgevers en machtigingsdiensten».

5. In de omschrijving van «toegelaten identificatiemiddel» wordt «identificatiemiddel
voor een natuurlijke persoon dat is aangewezen ingevolge artikel 9» vervangen door
«identificatiemiddel voor een natuurlijke persoon dat is aangewezen of erkend ingevolge
artikel 9».

B

Artikel 5 wordt als volgt gewijzigd:

1. In het eerste lid, onderdeel b, wordt «een natuurlijke persoon of rechtspersoon
gemachtigd is namens een natuurlijke persoon op te treden» vervangen door «een natuurlijke
persoon, onderneming of rechtspersoon gemachtigd is namens een andere natuurlijke
persoon, onderneming of rechtspersoon op te treden».

2. In het vijfde lid, wordt «bij algemene maatregel van bestuur» vervangen door «bij
of krachtens algemene maatregel van bestuur» en wordt «, bedoeld in artikel 5, eerste
lid, onderdeel f,» vervangen door «, bedoeld in het eerste lid, onderdeel f,».

C

Artikel 9 komt te luiden:

Artikel 9. Toelaten van identificatiemiddelen en diensten

1. Onze Minister wijst een publiek identificatiemiddel aan als toegelaten identificatiemiddel
indien dit middel voldoet aan de bij of krachtens algemene maatregel van bestuur gestelde
eisen met betrekking tot de werking, beveiliging en betrouwbaarheid. De eisen hebben
mede betrekking op uitgifte en beëindiging van de middelen.

2. Onze Minister laat een privaat identificatiemiddel toe door verlening van een erkenning,
indien dit middel en de middelenuitgever of de authenticatiedienst die het uitgeeft
voldoen aan de bij of krachtens algemene maatregel van bestuur gestelde eisen met
betrekking tot de werking, beveiliging en betrouwbaarheid. De eisen hebben in ieder
geval betrekking op uitgifte en beëindiging van de middelen.

3. Onze Minister laat een private ontsluitende dienst toe door verlening van een erkenning,
indien dit noodzakelijk is voor de continuïteit van de elektronische dienstverlening
door bestuursorganen en aangewezen organisaties en de dienst voldoet aan de voor hem
bij of krachtens algemene maatregel van bestuur gestelde eisen met betrekking tot
de werking, beveiliging en betrouwbaarheid. Hierbij kan ontsluiting van alle toegelaten
middelen worden opgelegd.

4. Een houder van een erkenning als bedoeld in het tweede of derde lid voldoet aan
de voor hem bij of krachtens algemene maatregel van bestuur gestelde eisen en aan
de aan de erkenning verbonden voorschriften en beperkingen. De eisen behelzen in ieder
geval een leveringsplicht en regels inzake te hanteren tarieven.

5. Bij de aanvraag voor een erkenning wordt een verklaring gevoegd van een geaccrediteerde
certificerende instelling, waaraan het vermoeden kan worden ontleend dat is voldaan
aan de eisen die gelden voor de betreffende houder van de erkenning of dat middel.

6. Onze Minister weigert een erkenning indien niet wordt voldaan aan de eisen bedoeld
in het tweede of derde lid. Hij weigert tevens indien zwaarwegende redenen zich tegen
erkenning verzetten. Hiervan is sprake in geval ernstig gevaar bestaat voor de cyberveiligheid
of staatsveiligheid of in geval ernstig gevaar bestaat dat de erkenning mede zal worden
gebruikt om strafbare feiten te plegen of uit strafbare feiten verkregen of te verkrijgen
voordelen te benutten of anderszins de betrouwbaarheid en veiligheid van het Nederlandse
stelsel voor elektronische dienstverlening in gevaar komt. Alvorens te beslissen op
een aanvraag kan het Bureau bevordering integriteitsbeoordelingen, bedoeld in artikel
8 van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur, om een
advies als bedoeld in artikel 9 van die wet worden gevraagd.

7. Onze Minister kan een erkenning wijzigen, schorsen of intrekken indien niet wordt
voldaan aan de eisen bedoeld in het tweede of derde lid, de eisen, voorschriften of
beperkingen bedoeld in het vierde lid, of in geval van zwaarwegende redenen als bedoeld
in het zesde lid. Bij schorsing en intrekking kan de houder worden verplicht zijn
activiteiten voort te zetten gedurende een door Onze Minister te bepalen periode,
voor zover dat nodig is om continuïteit van betrouwbare toegang tot elektronische
dienstverlening te borgen.

8. Een erkenning kan op verzoek van de houder worden ingetrokken. Onze Minister kan
bij dit besluit de houder verplichten zijn activiteiten voort te zetten gedurende
een door Onze Minister te bepalen periode, voor zover dat nodig is om continuïteit
van betrouwbare toegang tot elektronische dienstverlening te borgen.

9. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over
de procedure van erkenning, wijziging, schorsing of intrekking en de in dat verband
over te leggen gegevens en informatie.

D

In artikel 11, zevende lid, wordt na «Wet bevordering integriteitsbeoordelingen» ingevoegd
«door het openbaar bestuur».

E

In artikel 16, tweede lid, wordt «houder van een toelating» vervangen door «krachtens
artikel 9, tweede of derde lid, toegelaten houder van een erkenning».

F

Artikel 17 wordt als volgt gewijzigd:

1. In het vijfde lid wordt na «artikelen» ingevoegd «9,».

2. In het zevende lid wordt na «artikelen» ingevoegd «9, vierde lid,».

3. In het achtste lid wordt na «krachtens» ingevoegd «artikel 9, vierde lid, of».

G

Artikel 19 wordt als volgt gewijzigd:

1. In het eerste lid wordt «aanbieders van een toegelaten identificatiemiddel» vervangen
door «op grond van artikel 9, tweede of derde lid, toegelaten houders van een erkenning».

2. In het tweede lid wordt «de aanbieder van een toegelaten identificatiemiddel» vervangen
door «de ingevolge artikel 9, tweede of derde lid, toegelaten houder van een erkenning».

H

Artikel 22 wordt als volgt gewijzigd:

1. In het eerste lid, onderdeel a, wordt «artikel 11» vervangen door «de artikelen
9 en 11».

2. In het eerste lid, onderdeel b, wordt «artikel 13» vervangen door «de artikelen
9 en 13».

3. Aan het tweede lid wordt, voor de punt aan het slot van dat lid, toegevoegd «,
waarbij onderscheid kan worden gemaakt tussen verschillende categorieën handelingen
als bedoeld in het eerste lid».

I

Artikel 23a komt te vervallen.

J

Artikel 25 komt te luiden:

Artikel 25. Voorhangprocedure

Een voordracht voor een krachtens de artikelen 4, 9, 11, 13, 16 en 22 te stellen algemene
maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan
beide kamers der Staten-Generaal is overgelegd.

Toelichting

Algemeen

Deze nota van wijziging behelst enkele redactionele aanpassingen en verduidelijkingen,
alsmede aanpassingen van beleidsinhoudelijke aard, in het bijzonder onderdeel C en
de daarmee samenhangende bepalingen.

Aanleiding voor de aanpassing van het wetsvoorstel is de wijze waarop privaat uitgegeven
middelen worden toegelaten in het publieke domein. Het is wenselijk dat, naast de
beschikbaarheid van publieke middelen op verschillende betrouwbaarheidsniveaus, private
alternatieven op deze niveaus beschikbaar komen, zodat door deze middelen tezamen
een hoge dekkingsgraad op de hogere betrouwbaarheidsniveaus wordt bereikt en burgers
indien nodig een terugvalmogelijkheid hebben. Burgers kunnen dan ook een privaat middel
als inlogmiddel gebruiken. Bovendien is dan sprake van een minder kwetsbaar stelsel
van identificatiemiddelen. Om dat te realiseren maakt het wetsvoorstel het mogelijk
om een of meerdere private identificatiemiddelen toe te laten; beoogd was op initiatief
van de Minister van BZK binnen de kaders van de Aanbestedingswet 2012 een selectieprocedure
te doorlopen. Hiervoor is destijds gekozen om redenen van beheersbaarheid; bij een
of enkele private partijen kan de overheid direct sturen op zaken als veiligheid,
betrouwbaarheid, privacybescherming en communicatie. Bovendien is sprake van – voor
een hoge dekkingsgraad relevante – leveringszekerheid; de gegunde partijen zijn verplicht
een middel te leveren tegen een vooraf bepaalde prijs. Burgers weten dan waar zij
aan toe zijn. Onderkend werd, dat de overheid zich bij een aanbesteding voor een langere
periode vastlegt op een beperkt aantal oplossingen; er is na gunning gedurende een
aantal jaren minder ruimte voor innovatie en concurrentie door de markt. Dit was ten
tijde van de indiening van dit wetsvoorstel geen doorslaggevend argument, omdat toen
sprake was van een beperkt aantal gegadigden en weinig ontwikkeling op de markt.

Inmiddels zijn echter de feiten en omstandigheden significant gewijzigd; het tempo
waarmee innovatie zich voltrekt is het afgelopen jaar sterk toegenomen, de ontwikkeling
van inlogmiddelen versnelt en het aantal gegadigden in de markt groeit. Hierbij past
een meer wendbare en daarmee meer toekomstvaste toelatingssystematiek; aanbesteden
ligt dan minder voor de hand. Dit vormt de aanleiding om een andere toelatingssystematiek
te hanteren, onverminderd het doel om zo snel mogelijk private alternatieven en een
hoge dekkingsgraad te realiseren. Om die reden wordt thans een open systeem voorgesteld,
dat wil zeggen voor alle partijen toegankelijk; als een door een private partij aangeboden
middel aan nader te bepalen eisen voldoet kan het middel door de Minister van BZK
worden toegelaten. Hierdoor is niet langer sprake van het maximeren van het aantal
toegelaten private partijen, kan beter worden ingespeeld op nieuwe ontwikkelingen,
wordt meer gebruik gemaakt van wat de markt te bieden heeft en hebben partijen meer
gelijke kansen. Daarbij zullen geen concessies worden gedaan aan de kernwaarden toegankelijkheid,
veiligheid (waaronder privacybescherming), betrouwbaarheid en gebruiksvriendelijkheid.

De eisen voor erkenning van een middel worden bij of krachtens algemene maatregel
van bestuur vastgesteld. Deze eisen zullen worden gebaseerd op de Europese eIDAS-verordening
en zien zowel op de werking, betrouwbaarheid en veiligheid van het middel als op de
aanvragende partij.

Het voorgaande brengt met zich, dat er voor private partijen die erkende diensten
aanbieden in de zin van dit wetsvoorstel en die een toelating willen verkrijgen –
authenticatiediensten, middelenuitgevers en ontsluitende diensten – een regeldrukeffect
is. Deze bedrijven moeten een erkenning verkrijgen alvorens zij hun diensten mogen
leveren in het publieke domein; om de erkenning te verkrijgen moeten zij aan de gestelde
eisen voldoen, gecertificeerd worden en een aanvraagproces doorlopen. Hierbij is geen
sprake van een marktverstorend effect omdat het iedereen vrij staat de erkenning aan
te vragen. Voor deze erkenning kunnen leges in rekening worden gebracht. De kosten
van toezicht kunnen eveneens worden doorberekend aan de erkende diensten. Echter:
met de nieuwe toelatingssystematiek wordt voor private partijen meer ruimte gecreëerd
om hun diensten op de markt te brengen.

Artikelsgewijs

Onderdeel A

De definitie van «elektronische dienstverlening» wordt verduidelijkt. Hoewel bij het
verlenen van elektronische diensten ter uitoefening van een publieke taak of in het
algemeen belang, met name wanneer deze inloggen op betrouwbaarheidsniveau substantieel
of hoog vergen, naar zijn aard veelal sprake is van verwerking van het burgerservicenummer
(bsn), blijkt dit in de praktijk niet altijd het geval te zijn. Beoogd is dat deze
diensten wel onder de werkingssfeer van het wetsvoorstel worden begrepen. Om die reden
komt «anderszins» in de definitiebepaling te vervallen.

Aanpassing van de definities van «erkende dienst», «middelenuitgever» en «ontsluitende
dienst» en «toegelaten identificatiemiddel» houdt verband met de wijziging van artikel
9 (zie bij onderdeel C).

Onderdeel B

Het wetsvoorstel voorziet in de verantwoordelijkheid voor infrastructuur die het mogelijk
maakt dat een elektronische verklaring wordt afgegeven waaruit blijkt dat een natuurlijke
persoon of rechtspersoon gemachtigd is namens een natuurlijke persoon op te treden
bij de toegang tot elektronische dienstverlening. Bij de uitwerking van de regelgeving
over de functionaliteiten van de machtigingsvoorziening die wordt ontwikkeld, is gebleken
dat er behoefte bestaat te verduidelijken dat de machtigingsvoorziening ook bruikbaar
zal zijn om een onderneming of rechtspersoon te kunnen vertegenwoordigen en namens
deze te kunnen handelen. Aangezien het wetsvoorstel ziet op elektronische toegang
tot het publieke domein door burgers en bedrijven en om die reden ook elders in het
wetsvoorstel wordt gesproken over natuurlijke persoon, onderneming of rechtspersoon,
wordt artikel 5, eerste lid, onderdeel b, daarmee in lijn gebracht.

Bij de voorbereiding van de uitvoeringsregelgeving bij het wetsvoorstel is gebleken
dat er behoefte aan is om technische en operationele details, bijvoorbeeld bij de
uitwerking van infrastructuur inzake machtigen (artikel 5, eerste lid, onderdeel b)
en elektronisch berichtenverkeer (artikel 5, eerste lid, onderdeel f) op een lager
niveau dan bij algemene maatregel van bestuur te kunnen regelen. De voorgestelde wijziging
van artikel 5, vijfde lid, maakt dit mogelijk.

De voorgestelde wijziging is redactioneel van aard.

Onderdeel C

Deze wijziging houdt verband met het voorstel om een andere wijze van toelating te
hanteren met betrekking tot private identificatiemiddelen voor burgers (natuurlijke
personen). De aanleiding, gevolgen en rol van de overheid terzake zijn toegelicht
in het algemeen deel van deze memorie.

Artikel 9, eerste lid

Het eerste lid blijft inhoudelijk vrijwel ongewijzigd. De Minister van BZK wijst publieke
identificatiemiddelen aan als toegelaten identificatiemiddelen op de betrouwbaarheidsniveaus
substantieel of hoog indien deze identificatiemiddelen voldoen aan de terzake geldende
eisen. Het gaat hier derhalve om eisen die ten aanzien van de van overheidswege uitgegeven
(= publieke) identificatiemiddelen gehanteerd worden. Anders dan oorspronkelijk was
beoogd, zullen deze eisen – die gebaseerd zullen zijn op de krachtens de eIDAS-verordening
vastgestelde technische specificaties en procedures en de Algemene Verordening Gegevensbescherming
– in regelgeving worden opgenomen. Uit een oogpunt van rechtszekerheid en duidelijkheid/transparantie
zullen de eisen met betrekking tot de werking, beveiliging en betrouwbaarheid bij
of krachtens algemene maatregel van bestuur worden gesteld. Vanzelfsprekend zijn de
eisen gelijkwaardig aan de eisen die, ingevolge het tweede lid, aan private alternatieven
worden gesteld; met zowel publieke als private «burgermiddelen» moet immers kunnen
worden ingelogd in het publieke domein, ze hebben dezelfde functie. De lat voor toelating
ligt derhalve even hoog.

Artikel 9, tweede lid

Het tweede lid bevat de kern van de gewijzigde toelatingssystematiek. Anders dan oorspronkelijk
was beoogd, wordt geen aanbestedingsprocedure gevolgd om een of enkele private identificatiemiddelen
aan te wijzen op het betrouwbaarheidsniveau substantieel of hoog, maar wordt de grondslag
gerealiseerd voor een systeem van open toelating. Dit houdt in dat aan een private
middelenuitgever of private authenticatiedienst een erkenning terzake van een door
hem aangeboden respectievelijk gefaciliteerd privaat identificatiemiddel verleend
kan worden, indien aan de bij of krachtens algemene maatregel van bestuur gestelde
eisen met betrekking tot de werking, beveiliging en betrouwbaarheid van de partij
en het middel wordt voldaan.

Essentieel is, dat het stelsel voor private burgermiddelen voor alle private partijen
toegankelijk is, mits zij en de door hen aangeboden middelen aan de nader te stellen
eisen voldoen. Teneinde te verzekeren dat de middelen worden ontworpen en de diensten
worden verricht met een voldoende veiligheids- en betrouwbaarheidsniveau, worden deze
eisen bij of krachtens algemene maatregel van bestuur vastgelegd. Deze regels zullen
in elk geval overeenkomen met de krachtens de eIDAS-verordening gestelde kaders, technische
specificaties en proceduresen maken waar nodig een onderscheid tussen het betrouwbaarheidsniveau
substantieel en hoog. Bij werking, beveiliging en betrouwbaarheid in de authenticatieketen
gaat het om maatregelen om de betrouwbaarheid van processen, de ondersteunende informatiesystemen
en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijke incidenten.
Dit artikellid bevat daarom de basis voor het stellen van strategische, tactische,
operationele, organisatorische en technische eisen om processen en ketens zodanig
in te richten dat de goede werking, veiligheid en betrouwbaarheid van authenticatie
is gewaarborgd, daarover verantwoording kan worden afgelegd door partijen en hierop
toezicht kan worden gehouden. De volgende met elkaar onlosmakelijk verbonden elementen
zullen in dat verband worden gereguleerd:

Werking: maatregelen teneinde de beschikbaarheid en het gebruik van erkende middelen te kunnen
realiseren. Hierbij gaat het onder meer om het aanvraag- en uitgifteproces met betrekking
tot een middel, regels met betrekking tot beëindiging van de middelen, interoperabiliteit,
beheer en samenwerking tussen de partijen in de keten.

Beveiliging: dit ziet onder andere op het beschermen van informatie tegen kennisname en mutatie
door onbevoegden, door maatregelen voor privacybescherming, zoals versleuteling en
encryptie, door normen en standaarden inzake toegang tot gebouwen, ruimten en systemen,
alsmede het voorkomen, herkennen en herstellen van inbreuken op en aantasting van
de (technische) beveiliging en misbruik van processen (incidenten).

Betrouwbaarheid: hieronder wordt begrepen het waarborgen van de correctheid, volledigheid en tijdigheid
van de gerealiseerde authenticatie en de controleerbaarheid daarvan. Daarnaast betreft
het voorschriften omtrent de betrouwbaarheidsniveaus van de middelen en de integriteit
van betrokken partijen.

De eisen voor erkenning van een middel worden bij of krachtens algemene maatregel
van bestuur vastgesteld. Deze eisen zien zowel op de werking, betrouwbaarheid en veiligheid
van het middel als op de aanvragende partij.

Van belang is dat de systematiek van open toelating gepaard gaat met conformiteitsbeoordeling;
dit instrument wordt door de Minister van BZK gehanteerd bij het beoordelen van een
aanvraag om erkenning. Ingevolge het vijfde lid moet bij de aanvraag voor een erkenning
een verklaring worden gevoegd van een geaccrediteerde certificerende instelling, waaraan
het vermoeden kan worden ontleend dat aan de voor de betreffende houder van de erkenning
of dat middel geldende eisen is voldaan. Doel hiervan is door een onafhankelijke,
deskundige instantie te laten toetsen of voldaan is aan de bij of krachtens algemene
maatregel van bestuur gestelde eisen. De overlegging van een verklaring van conformiteit
levert een vermoeden op dat de betrokken partij voldoet aan de gestelde eisen. Als
een private partij op deze wijze kan aantonen dat hij aan de eisen voldoet, komt hij,
alsmede het door hem aangeboden middel, in aanmerking voor erkenning door de Minister
van BZK. Dit is anders indien zwaarwegende redenen zich daartegen verzetten (zesde
lid). Erkenning komt dus niet alleen door (externe) conformiteitsbeoordeling tot stand;
een certificaat sec creëert geen recht en is geen synoniem voor toelating. Voor de verkrijging van een
erkenning is een besluit van het bevoegd gezag, in casu de Minister van BZK, nodig,
namelijk een beschikking waarbij wordt vastgesteld dat aan bepaalde eisen wordt voldaan.
Het besluit tot weigering of verlening van een erkenning is een besluit in de zin
van artikel 1:3 Awb waartegen bezwaar en beroep open staat.

Artikel 9, derde lid

Dit lid biedt de grondslag voor het erkennen van een ontsluitende dienst; een private
partij – ook wel (herkennings)makelaar genoemd – die ten behoeve van het elektronisch
verkeer tussen een publieke dienstverlener en erkende authenticatiediensten de authenticatieverklaring
routeert. Meer concreet: wanneer een burger een elektronische dienst wil afnemen en
hij daarbij gebruik maakt van een bepaald middel, zorgt de ontsluitende dienst dat
de authenticatie van de gebruiker bij de authenticatiedienst, die met betrekking tot
dat middel is erkend, wordt «opgehaald». De ontsluitende dienst draagt de opgehaalde
gegevens over aan de publieke dienstverlener, die daarmee zijn elektronische dienstverlening
kan voortzetten. Een ontsluitende dienst faciliteert daarmee de publieke dienstverlener
en fungeert als alternatief voor een publieke routeringsvoorziening (artikel 5, eerste
lid, onder c).

Verschil met de private middelenuitgevers en authenticatiediensten (tweede lid) is,
dat de Minister van BZK pas overgaat tot toelating van ontsluitende diensten indien
dit noodzakelijk is om de continuïteit van de elektronische dienstverlening door bestuursorganen
en aangewezen organisaties te waarborgen. Indien bijvoorbeeld blijkt dat de publieke
routeringsvoorziening onvoldoende toegerust blijkt om publieke dienstverleners tijdig
of volledig te kunnen aansluiten, ligt aanvullende private dienstverlening in de rede
en kunnen ontsluitende diensten in aanmerking komen voor een erkenning (de markt als
vangnet). Ontsluitende diensten kunnen dus pas toegelaten worden, indien nut en noodzaak
van toelating zijn gebleken. Of deze voorwaarde is vervuld, is ter beoordeling van
de Minister van BZK. Een eventueel besluit hiertoe zal via de geëigende interdepartementale
governance worden voorbereid en in de Staatscourant worden gepubliceerd. Vanzelfsprekend zal
na besluitvorming sprake zijn van een bestendig systeem van open toelating; vanaf
dat moment kunnen private ontsluitende diensten een erkenning aanvragen en is routering
niet langer een louter publieke aangelegenheid.

Voor de in aanmerking komende private partijen gelden alsdan de aan hen gestelde eisen
met betrekking tot de werking, beveiliging en betrouwbaarheid. Voldoet de dienst daaraan,
dan wordt hij in beginsel erkend, tenzij zwaarwegende redenen zich daartegen verzetten
(zesde lid). Ook hier geldt dat sprake is van verplichte conformiteitsbeoordeling
(vijfde lid). Teneinde burgers en publieke dienstverleners optimaal te faciliteren,
kan bij of krachtens algemene maatregel van bestuur verplichte ontsluiting van alle
toegelaten middelen worden opgelegd.

Publieke dienstverleners kunnen, als zij niet voor de publieke routeringsvoorziening
kunnen of willen kiezen, zelf bepalen of zij gebruik maken van een erkende ontsluitende
dienst of niet. Zij zijn dus niet verplicht om voor een erkende ontsluitende dienst
te kiezen. Indien zij routering in eigen beheer realiseren, dient dat te geschieden
met inachtneming van de eisen die voor hen gelden ingevolge artikel 4 van het wetsvoorstel
(informatieveiligheid). Zij sluiten dan in feite zelf, onder eigen verantwoordelijkheid,
direct op de middelen aan. Vanzelfsprekend moeten deze publieke dienstverleners dan
aan een gelijkwaardig beschermingsniveau voldoen als wordt beoogd met de eisen die
terzake van (publieke en private) routering/ontsluiting gelden.

Artikel 9, vierde lid

Een krachtens het tweede of derde lid toegelaten houder van een erkenning voldoet
– vanzelfsprekend naast hetgeen de wet zelf eist – aan de voor hem en het middel bij
of krachtens algemene maatregel van bestuur gestelde eisen (dus: de regels bedoeld
in het tweede, derde en negende lid). Er zullen in ieder geval eisen worden gesteld
inzake een leveringsplicht met betrekking tot het middel (of de middelen) waarvoor
een erkenning wordt verleend. Reden voor het opleggen van een leveringsplicht is het
feit, dat zeker gesteld moet worden dat een verleende erkenning ook tot levering leidt;
alleen het recht om een middel op de markt te brengen wil immers niet zeggen dat dit
middel daadwerkelijk beschikbaar zal zijn. Leveringszekerheid is evenwel essentieel
voor het door burgers kunnen inloggen via publieke en private middelen en sluit aan
bij het feit, dat iedere burger er recht op heeft om in het publieke domein te kunnen
inloggen met een door hem aangeschaft erkend privaat middel. Om dit recht te kunnen
effectueren hebben publieke dienstverleners een acceptatieplicht en mogen zij alleen
toegang tot hun elektronische dienstverlening bieden indien gebruik wordt gemaakt
van erkende diensten en middelen (artikel 7). Om de stabiliteit en continuïteit van
de toegang tot elektronische dienstverlening te waarborgen, zullen voorts regels worden
gesteld over door de erkende partijen te hanteren (maximum)tarieven jegens publieke
dienstverleners en burgers.

Daarnaast moet de houder voldoen aan de door de Minister van BZK aan de erkenning
verbonden voorschriften en beperkingen. Op deze manier bestaat de mogelijkheid tot
maatwerk en kan een erkenning bijvoorbeeld voor een bepaalde tijd worden afgegeven.
Van belang is dat een erkende private partij blijvend moet voldoen aan de aan hem
gestelde regels en voorschriften. Op de naleving van deze regels en voorschriften
zijn toezicht en handhaving gericht (zie artikel 17).

Artikel 9, vijfde lid

Zoals bij het tweede en derde lid besproken, is het oordeel van de Minister van BZK
over een aanvraag tot erkenning mede gebaseerd op een conformiteitsverklaring van
een geaccrediteerde certificerende instelling. Een dergelijke instelling toetst in
opdracht van een private middelenuitgever, authenticatiedienst of ontsluitende dienst
of de betreffende partij danwel het betreffende middel voldoet aan de eisen die bij
of krachtens algemene maatregel van bestuur zijn gesteld. Indien dat het geval is,
dan wordt een conformiteitsverklaring afgegeven. Het is de Minister die beslist op
de aanvraag; de bij de aanvraag te voegen verklaring van de certificerende instelling
behelst een vermoeden dat aan de geldende eisen is voldaan. De voorgeschreven conformiteitsbeoordeling
fungeert dus als hulpmiddel bij het verlenen of weigeren van een erkenning. Om de
aanvraag voor een erkenning, waaronder de bijgevoegde verklaring, te kunnen beoordelen,
is het noodzakelijk dat voldoende deskundigheid en capaciteit beschikbaar is.

Het Ministerie van BZK zal de hiertoe benodigde organisatie inrichten, waarbij (technisch-)
inhoudelijke, procesmatige en juridische kennis en ervaring structureel worden belegd.

Artikel 9, zesde lid

Vanzelfsprekend dient een erkenning te worden geweigerd, indien niet wordt voldaan
aan de bij of krachtens amvb te stellen eisen. De Minister van BZK heeft voorts de
bevoegdheid om, zelfs wanneer wel aan de bij of krachtens amvb te stellen eisen wordt
voldaan, te besluiten niet tot erkenning over te gaan indien zwaarwegende redenen
zich daartegen verzetten. De reden hiervoor is dat de conformiteitsbeoordeling betrekking
heeft op de vraag of aan de eisen gesteld ingevolge de onderhavige wet is voldaan,
terwijl de Minister ook andere overwegingen een rol kan laten spelen, zoals cyberveiligheid
of staatsveiligheid. Verder kan een erkenning worden geweigerd wanneer ernstig gevaar
bestaat dat de erkenning mede zal worden gebruikt om strafbare feiten te plegen of
uit strafbare feiten verkregen of te verkrijgen voordelen te benutten De Minister
kan in dit verband een advies vragen aan het Landelijk Bureau bevordering integriteitsbeoordelingen
door het openbaar bestuur (Bibob). De artikelen 8 en 9 van de Wet Bibob zijn terzake
van overeenkomstige toepassing. Zelf kan de Minister geen strafrechtelijke gegevens
inzien; Bureau Bibob kan dat wel. Dit lid betreft belangen die van een andere orde
zijn dan de meer technische en functionele beoordeling van de eisen bedoeld in deze
wet. Indien advies wordt gevraagd aan het Bureau Bibob wordt de beslistermijn voor
het afhandelen van de aanvraag overeenkomstig artikel 31 van de Wet Bibob verlengd.

Artikel 9, zevende en achtste lid

De Minister van BZK is bevoegd tot het wijzigen, schorsen of intrekken van een erkenning,
indien niet wordt voldaan aan de gestelde eisen, aan de aan de erkenning verbonden
voorschriften of beperkingen of in geval van zwaarwegende redenen. Hij zal daartoe
vanzelfsprekend slechts overgaan, indien daar voldoende grond voor is. Zo mogelijk
zal de Minister voorafgaand overleg voeren met de betrokken partij; hierin wordt aangegeven
welke eisen of voorschriften er worden geschonden en kan, afhankelijk van de omstandigheden
van het geval en de betrokken belangen, een termijn worden gegeven om daar alsnog
aan te voldoen. Een zorgvuldige procedure is noodzakelijk, gelet op de ingrijpende
gevolgen voor de betreffende private partij, publieke dienstverleners en burgers,
met name als het gaat om de intrekking van een erkenning van een middelenuitgever
of authenticatiedienst; alsdan vervalt tevens de erkenning van de door hem aangeboden
middelen. In dat verband kan bij schorsing en intrekking de houder van de erkenning
worden verplicht zijn activiteiten nog gedurende een bepaalde periode voort te zetten,
voor zover dat nodig is om continuïteit van betrouwbare toegang tot elektronische
dienstverlening te borgen. Of daarvan gebruikt gemaakt zal worden hangt af van de
reden van schorsing of intrekking. Indien deze betrekking heeft op de veiligheid van
de middelen zal dit in de regel niet wenselijk zijn. Weliswaar zijn burgers dan voor
een korte periode onthand, dat is echter in dergelijke gevallen te verkiezen boven
continuering van gebruik van de (niet-veilige) middelen en blootstelling aan de daarmee
verbonden risico’s.

Een erkenning kan ook op verzoek van de houder worden ingetrokken. Evenals in de situatie
waarin de Minister van BZK een erkenning intrekt, is het van belang dat de gevolgen
van intrekking gemitigeerd kunnen worden. Om die reden heeft de Minister de bevoegdheid
de houder te verplichten om zijn activiteiten voort te zetten gedurende een door Onze
Minister te bepalen periode, voor zover dat nodig is om continuïteit van betrouwbare
toegang tot elektronische dienstverlening te borgen. Voor die periode heeft de desbetreffende
partij nog te gelden als erkende dienst en dient hij aan alle verplichtingen te voldoen.
Een erkende dienst die verzoekt om intrekking zal zorg moeten dragen voor een beëindigingsplan.
Een beëindigingsplan kan overigens ook door de Minister worden geëist indien de erkenning
door hem is ingetrokken wegens het niet naleven van de gestelde eisen.

Artikel 9, negende lid

Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over
de procedure van erkenning, wijziging, schorsing en intrekking en de in dat verband
te overleggen gegevens en informatie. Gedacht moet worden aan (administratieve) vereisten
inzake het indienen en behandelen van een aanvraag om erkenning, de procedure van
verlening van erkenning, te hanteren termijnen, de te overleggen documenten waaronder
de verklaring van conformiteit, de conformiteitstoetsing en de eisen waaraan een instantie
die een dergelijke toetsing uitvoert, moet voldoen.

Onderdeel E

Aanpassing van de grondslag voor gegevensverwerking door private partijen die een
rol spelen bij een erkend privaat middel voor burgers, zoals geregeld in artikel 16,
tweede lid, houdt verband met de wijziging van artikel 9 (zie de toelichting bij onderdeel
C). De formulering «houder van een toelating» dient gelet hierop te worden vervangen
door «krachtens artikel 9, tweede of derde lid, toegelaten houder van een erkenning».

Onderdeel F

Dit onderdeel behelst aanvulling van enkele toezichtbepalingen in artikel 17, verband
houdend met de wijziging van artikel 9 (zie toelichting bij onderdeel C). Introductie
van het systeem van open toelating/erkenning zal naar verwachting leiden tot een groter
aantal betrokken private partijen en – middelen. In het verlengde daarvan wordt de
inrichting van het toezicht in lijn gebracht met het toezicht zoals dat terzake van
het bedrijfs- en organisatiemiddel is voorzien.

De leden 5, 7 en 8 van artikel 17, zoals gewijzigd, voorzien in toezicht op en handhaving
van de regels en voorschriften die op grond van artikel 9 gesteld zijn aan de betrokken
partijen en middelen. Uitgangspunt is dat eventuele interventies primair gericht zijn
op herstel of op totstandkoming van de gewenste situatie. In situaties waarin dat
nodig is, kan ook direct en repressief worden ingegrepen. Na toelating is het noodzakelijk
om toezicht uit te oefenen op de naleving van de aan deze middelen en partijen gestelde
regels.

Het toezicht op de naleving van de regels die bij of krachtens algemene maatregel
van bestuur worden gesteld aan private partijen en -middelen, zal mogelijk worden
belegd bij (de ambtenaren van het) Agentschap Telecom, onderdeel van het Ministerie
van EZK. Reden hiervoor is de (technische) expertise en ervaring van Agentschap Telecom
op het gebied van elektronische communicatie en communicatienetwerken, waaronder het
toezicht op de naleving van de EU-verordening over het grensoverschrijdend gebruik
van elektronische middelen en vertrouwensdiensten tussen lidstaten (eIDAS). Voor zover
het de toegelaten publieke middelen betreft (artikel 9, eerste lid) zal nader worden
bezien welke toezichthoudende ambtenaren worden aangewezen.

Hoe de toezichthouder invulling geeft aan zijn taak wordt neergelegd in een in door
de Minister van BZK vastgesteld toezichtarrangement, dat mede gebaseerd is op een
strategisch toezichtplan en uitgaat van programmatisch handhaven. Bij de procedure
tot schorsing of intrekking van een erkenning (artikel 9, zevende lid) heeft de toezichthouder
geen formele rol. Dit staat er niet aan in de weg dat, indien de toezichthouder van
oordeel is dat een partij de eisen niet (langer) naleeft en schorsing of intrekking
van de erkenning moet worden overwogen, de toezichthouder in het kader van zijn toezichtstaak
de Minister van BZK gevraagd of ongevraagd kan adviseren om tot schorsing of intrekking
van de erkenning over te gaan. Uiteindelijk is het de Minister die hiertoe beslist.

Met het geschetste instrumentarium is een afgewogen toezicht- en handhavingssysteem
gecreëerd. De bevoegdheden voor de Minister van BZK op grond van artikel 9, zevende
lid, respectievelijk artikel 17, zevende en achtste lid, kunnen waar nodig in samenhang
worden toegepast. Zo kan de Minister, in een situatie dat een erkende partij een of
meer eisen niet naleeft, aan de desbetreffende partij sancties opleggen. Deze sancties
hebben geen gevolgen voor de erkenning van de betreffende partij of het betrokken
middel. Indien sprake is van een dusdanig ernstige inbreuk dat de erkenning als middelenuitgever
of authenticatiedienst wordt ingetrokken, dan is er ook aanleiding om de erkenning
van het middel in te trekken. De toezichts- en sanctiebevoegdheden en instrumenten
zijn gekozen vanuit een oogpunt van goede werking, veiligheid en betrouwbaarheid van
authenticatie in het publieke domein. De toepasselijke sancties zijn repressief; er
gaat niettemin een preventieve werking van uit.

Onderdeel G

De voorgestelde aanpassing van artikel 19, waarin wederzijdse informatieverstrekking
wordt geregeld, houdt verband met de wijziging van artikel 9 (zie toelichting bij
onderdeel C). Gespecificeerd wordt dat ook op de op grond van artikel 9, tweede of
derde lid, toegelaten houders van een erkenning een informatieplicht rust respectievelijk
dat zij van de Minister van BZK informatie verstrekt krijgen.

Onderdeel H

Analoog aan hetgeen met betrekking tot het bedrijfs- en organisatiemiddel geldt, wordt
in artikel 22 geregeld dat voor de erkenningen in artikel 9 leges in rekening kunnen
worden gebracht. De kosten van toezicht kunnen eveneens worden doorberekend aan de
erkende diensten. Met het derde lid wordt verduidelijkt dat de hoogte van een heffing
niet alleen kan verschillen voor verschillende soort handelingen die in het eerste
lid zijn genoemd, maar dat daarbinnen ook nader onderscheid kan worden gemaakt. Zo
is het mogelijk om onderscheid te maken tussen het behandelen van een aanvraag voor
een erkenning van een middel dat wordt aangeboden door een partij die al houder is
van een erkenning voor hetzelfde betrouwbaarheidsniveau. In dat geval ligt het niet
voor de hand dat de aanbiedende partij opnieuw uitvoerig wordt doorgelicht. Voor het
behandelen van een dergelijke aanvraag zijn derhalve minder uitvoeringshandelingen
nodig – de nadruk ligt dan op doorlichting van het te erkennen middel – en kan een
lagere heffing worden opgelegd.

Onderdelen I-J

Artikel 25 heeft zijn betekenis verloren nu er met betrekking tot private burgermiddelen
niet zal worden aanbesteed. De inhoud van dit artikel kan dus komen te vervallen.
Het vrijgevallen artikelnummer wordt gebruikt voor de portee van artikel 23a: voorhangprocedure.Het
nieuwe artikel 25 zal ook de ingevolge artikel 9 vast te stellen amvb’s omvatten.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops