Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over het ontwerpbesluit houdende vaststelling van regels inzake de erkenning van bedrijfs- en organisatiemiddelen en bijbehorende diensten (Besluit bedrijfs- en organisatiemiddel Wdo)

Nr. 50
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 19 augustus 2020

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen
voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over
de brief van 19 juni 2020 over het ontwerpbesluit houdende vaststelling van regels
inzake de erkenning van bedrijfs- en organisatiemiddelen en bijbehorende diensten
(Besluit bedrijfs- en organisatiemiddel Wd0) (Kamerstuk 34 972, nr. 48).

De vragen en opmerkingen zijn op 13 juli 2020 aan de Staatssecretaris van Binnenlandse
Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 18 augustus 2020 zijn de vragen
beantwoord.

De voorzitter van de commissie, Ziengs

Adjunct-griffier van de commissie, Hendrickx

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

VVD

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit
bedrijfs- en organisatiemiddel Wet digitale overheid. Graag willen zij de Staatssecretaris
daarover een aantal vragen stellen.

Allereerst vragen de leden van de VVD-fractie aandacht voor de prijsvorming van eHerkenning.
Waarom is ingrijpen bij de prijsvorming voor het burgermiddel in de Wet digitale overheid
zelf geregeld en wordt dit voor de bedrijfs- en organisatiemiddelen nu bij AMvB gedaan?
Graag krijgen zij een reactie van de Staatssecretaris.

Anders dan de vragenstellers menen bestaat er op dit punt geen verschil tussen de
wettelijke systematiek voor burgermiddelen en bedrijfs- en organisatiemiddelen. Zowel
voor burgermiddelen (artikel 9, vierde lid) als voor bedrijfs- en organisatiemiddelen
(artikel 13, eerste lid) regelt het wetsvoorstel dat bij of krachtens AMvB eisen worden
gesteld aan een erkende partij. Deze eisen kunnen betrekking hebben op het tarief.

Zowel voor burgermiddelen als voor bedrijfsmiddelen worden regels over de prijsvorming
derhalve bij of krachtens AMvB gesteld. Artikel 13, eerste lid is de basis voor de
bevoegdheid in het onderhavige Besluit, op grond waarvan de Minister kan ingrijpen
in de prijsvorming. Op deze wijze wordt voorkomen dat het door een erkende dienst
gehanteerde tarief hoger dan marktconform is.

In artikel 9 is de samenwerkingsplicht vastgelegd. Daarbij wordt informatie uitgewisseld
tussen de betrokken erkende diensten. Het is niet voorzien dat bij deze samenwerking
ook persoonsgegevens van gebruikers worden verwerkt. Wat betekent »voorzien» in dezen?
Wordt het verwerken van deze gegevens wel op de lange c.q. langere termijn verwacht?
Wat kan daar de reden van zijn? Graag krijgen de leden van de VVD-fractie een reactie
van de Staatssecretaris.

De samenwerkingsplicht als bedoeld in artikel 9 van dit Besluit heeft, zoals uiteengezet
in de artikelsgewijze toelichting, betrekking op de interoperabiliteit en continuïteit
van de diensten. Het betreft de technische aspecten die voor een goed functioneren
van het stelsel noodzakelijk zijn. In deze artikelsgewijze toelichting is ook aangegeven
dat deze samenwerking tussen de erkende diensten er niet toe leidt dat zij onderling
persoonsgegevens van de gebruikers zullen uitwisselen, omdat de samenwerking geen
betrekking heeft op individuele of groepen gebruikers. Met «niet voorzien» wordt derhalve
bedoeld dat bij dit soort afspraken/samenwerking de verwerking van persoonsgegevens
niet aan de orde is, niet op de korte noch op de lange(re) termijn.

In het (eveneens bij Uw Kamer voorgehangen) ontwerpbesluit digitale overheid, dat
eveneens een uitvoeringsregeling van de voorgenomen Wet digitale overheid is, wordt
voor onder meer de verwerking van persoonsgegevens bij het gebruik van een bedrijfs-
en organisatiemiddel een omvattende regeling opgenomen (artikel 5c).

In dit Besluit is, in lijn met artikel 16 van genoemd wetsvoorstel, het verbod opgenomen
om de persoonsgegevens voor een ander doel te gebruiken dan waarvoor zij zijn verkregen
(artikel 5e) en gelden het beginsel van dataminimalisatie en de overige beginselen
van de AVG (Algemene Verordening Gegevensbescherming) onverkort.

Tot slot vragen de aan het woord zijnde leden wat de relatie is tussen de toezichthouder
en de conformiteitsbeoordelingsinstantie.

De conformiteitsbeoordelingsinstantie beoordeelt de aanvraag van een private partij
die wil worden erkend als omschreven in artikel 11 van het wetsvoorstel. Deze instantie
beoordeelt derhalve aan het begin van het proces of de aanvrager voldoet aan alle
gestelde eisen voor erkenning. Partijen die een erkenning aanvragen moeten hiertoe
een verklaring van conformiteit overleggen. De Minister van Binnenlandse Zaken besluit
vervolgens, mede op basis van de beoordeling van de conformiteitsbeoordelingsinstantie,
over de erkenning.

De toezichthouder houdt op basis van artikel 17, vijfde lid, van het wetsvoorstel
toezicht op de naleving van de eisen van de artikelen 11 en 13 van het wetsvoorstel
door de erkende diensten. Met andere woorden: de toezichthouder toetst de praktische
uitvoering van de werkzaamheden van de erkende diensten.

D66

De leden van de D66-fractie hebben kennisgenomen van het genoemde ontwerpbesluit en
willen de Staatssecretaris nog enkele vragen voorleggen.

De leden van de D66-fractie horen graag van de Staatssecretaris welke rol de Autoriteit
Persoonsgegevens heeft bij de meldingsplicht in art. 8.

De meldingsplicht in artikel 8 ziet op de melding door erkende diensten van inbreuk
op de veilige en betrouwbare elektronische dienstverlening. Het gaat hierbij om incidenten
of verstoringen op technisch gebied, kortom operationele zaken, waardoor de continuïteit
van de dienstverlening in het gedrang komt. Deze meldingsplicht richt zich niet op
inbreuken op de verwerking van persoonsgegevens, waardoor het niet waarschijnlijk
is dat de Autoriteit Persoonsgegevens (AP) bij dergelijke incidenten betrokken zal
zijn. De AP heeft dus geen directe relatie met de onderhavige meldingsplicht.

Dit laat onverlet dat indien bij een situatie als bedoeld in artikel 8 persoonsgegevens
(mogelijk) gelekt zijn, de AP op de hoogte moet worden gesteld op basis van de meldplicht
in de AVG.

De leden van de D66-fractie horen graag van de Staatssecretaris hoe er gaat worden
gezorgd dat de samenwerkingsplicht (art. 9) niet zal leiden tot afname van concurrentie
en/of innovatie bij de authenticatiediensten.

De samenwerkingsplicht is noodzakelijk ten behoeve van de interoperabiliteit en continuïteit
van de diensten. Samenwerking is randvoorwaardelijk om het stelsel te laten werken
en te voorkomen dat private partijen de markt dicht zetten. De verplichting heeft
betrekking op de technische aspecten van de dienstverlening, niet op commerciële aspecten,
waardoor het onwaarschijnlijk is dat sprake is van afname van concurrentie. Commerciële,
concurrentiegevoelige informatie is immers geen onderdeel van de samenwerking.

Het Besluit geeft algemene eisen waaraan de erkende diensten moeten voldoen, zonder
in te vullen op welke wijze zij hun dienstverlening vormgeven. Dit biedt ruimte voor
innovatie, waarbij vanzelfsprekend aan de eisen van betrouwbaarheid en privacybescherming
moet worden voldaan.

De aan het woord zijnde leden horen graag nog verder van de Staatssecretaris welke
aanvullende eisen de Staatssecretaris van plan is op te stellen om misbruik te voorkomen
onder art. 3.

Erkende diensten moeten diverse beveiligings- en betrouwbaarheidsmaatregelen nemen
om misbruik van en met identificatiemiddelen te herkennen en te voorkomen, alsmede
om, wanneer van misbruik sprake is, herstelvermogen te realiseren.

Zo gelden er maatregelen bij de uitreiking van het middel, waardoor de middelenuitgever/authenticatiedienst
weet aan wie hij het middel uitreikt. De gebruiker van een middel kan een melding
doen als hij vermoedt dat er misbruik wordt gemaakt van zijn middel. In een dergelijk
geval kan de authenticatiedienst het gebruik van het middel opschorten, blokkeren
of beëindigen. Ook kan de gebruiker in een register inzien welk gebruik er is gemaakt
van het middel (dus: waar is met het middel ingelogd), zodat kan worden ingegrepen
bij onbekend gebruik. Om misbruik te herkennen gelden er voorts eisen ter zake van
logging van gegevens, samenwerking en monitoring.

In de ministeriële regeling bij het Besluit burgermiddelen en het Besluit bedrijfsmiddelen
zullen de te nemen maatregelen nader worden uitgewerkt.