Antwoord schriftelijke vragen : Antwoord op vragen van het lid Van Haga over het ontwikkelen van een Europese digitale identiteit in het algemeen en in het bijzonder in relatie tot het coronatoegangsbewijs

Antwoord van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties)
(ontvangen 7 april 2022).

Vraag 1

Sinds wanneer is de Europese Unie (EU) bezig met de ontwikkeling van een Europese
digitale identiteit?

Antwoord 1

De Europese Commissie heeft op 3 juni 2021 een wetsvoorstel ingediend voor een «raamwerk
voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet.1 Dit voorstel heeft de Commissie ingediend conform het verzoek daartoe van de Europese
Raad.2

Vraag 2

Klopt het dat de EU in juni 2021 constateert dat de implementatie van de Europese
digitale identiteit niet goed loopt, getuige de passage: «Vanaf de inwerkingtreding
van het e-ID-deel van de verordening in september 2018 hebben slechts 14 lidstaten
ten minste één e-ID-regeling aangemeld (...). Er zijn maar 7 regelingen die volledig
mobiel zijn (...).»3

Antwoord 2

Dit klopt niet, omdat de Commissie het in uw quote heeft over de eIDAS verordening
van 2014 en niet over het wetsvoorstel van 3 juni 2021 voor een «raamwerk voor een
Europese Digitale Identiteit» dat die eerdere eIDAS verordening herziet.

De Commissie heeft geconstateerd, evenals het kabinet, dat de implementatie van de
eIDAS-verordening uit 2014 onvoldoende resultaten opgeleverd heeft. De digitale interne
markt is nog steeds te versnipperd om als burger en bedrijf eenvoudig en veilig online
diensten af te kunnen nemen in een ander Europees land. Het aantal elektronische transacties
in andere lidstaten is laag, het aantal erkende eID's is beperkt tot 14 lidstaten
en 59% van de EU-populatie, en het aantal online diensten dat beschikbaar is voor
grensoverschrijdend gebruik is te beperkt. Dit pakt het nieuwe wetsvoorstel aan.

Ook hebben we te maken met een veranderende maatschappelijke context waarin steeds
meer digitaal gedaan wordt en is de technologische ontwikkeling zich meer gaan richten
op oplossingen waarbij eID's (inlogmiddelen) gelinkt kunnen worden aan attributen.
Online (social media) platformen bieden accounts aan en worden steeds dominanter in
Europa, terwijl deze accounts en de online transacties ermee, onvoldoende zekerheid
bieden voor betrouwbaar en veilig gebruik en bescherming van gegevens van gebruikers.

Het voorstel van de Commissie beoogt de werking van de eIDAS-verordening te bevorderen
door lidstaten te verplichten eID's te erkennen voor Europees gebruik én de functionaliteiten
van eID-middelen te vergroten in de vorm van een nationaal te introduceren digitale
identiteit wallet. De wallet kunnen lidstaten in eigen beheer of onder mandaat uitgeven
of ze kunnen een onafhankelijk uitgegeven wallet erkennen. Deze wallet dient burgers
en bedrijven die dit willen, de mogelijkheid te bieden om onder een hoog beveiligingsniveau
hun elektronische identiteit én daaraan gelinkte attributen, zoals kwalificaties,
bevoegdheden en digitale documenten, zelf ter beschikking te stellen.4

Vraag 3

Klopt het dat de EU in oktober 2021 stelt dat: «… het digitale EU-COVID-certificaat
[heeft] aangetoond dat het mogelijk is op een toegankelijke manier een veilig en beveiligd
systeem te ontwikkelen dat privacy en persoonsgegevens beschermt. Het is een belangrijke
testcase voor de ontwikkeling van een «toolbox voor digitale identiteit» van de EU.»?5

Antwoord 3

Het klopt dat de Commissie dit gesteld heeft over de technologie die het EU Digitaal
COVID certificaat mogelijk maakt. Het EU Digitaal COVID Certificaat staat inhoudelijk
los van de ontwikkeling van de «toolbox voor een digitale identiteit». De lessen die
we geleerd hebben door in Nederland op een privacybeschermende manier om te gaan met
digitale middelen in de bestrijding van de COVID-19 pandemie, nemen wij mee in de
uitwerking van het Europese digitale identiteit raamwerk. Ook het risico op overbevraging
van de wallet, waarbij burgers onnodig gevraagd worden gegevens uit een digitale wallet
te bewijzen, nemen wij zeer serieus.

Vraag 4

Op welke manier is het EU-COVID-certificaat een testcase voor de ontwikkeling van
de «toolbox voor een digitale identiteit» van de EU?

Antwoord 4

Zoals ook in het commissiedebat van 9 maart jl. is benoemd, wordt het EU DCC enkel
ingezet in het kader van de huidige COVID-19 pandemie. De inrichting van het «raamwerk
voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet,
en de ontwikkeling van de «toolbox voor een digitale identiteit» van de EU staan hier
dan ook los van. Als vanzelfsprekend zullen de lessen die we geleerd hebben tijdens
het gebruik van het digitale COVID-certificaat wel meegenomen worden in de ontwikkeling
van deze toolbox.

Vraag 5

Is de techniek en de software voor de corona-app en voor de scanner voor het controleren
van de vaccinatiestatus, te gebruiken voor de verdere ontwikkeling van de Europese
digitale identiteit? Wordt de techniek voor de corona-app en de scanner op enige manier
doorontwikkeld ten behoeve van de bredere Europese digitale identiteit? Kunt u een
gedetailleerd overzicht geven van de technische mogelijkheden en onmogelijkheden voor
deze doorontwikkeling?

Antwoord 5

CoronaCheck (zowel de app voor de burger als de app voor de controleur) is ontwikkeld
met als doel om een betrouwbaar bewijs te kunnen verstrekken van een testresultaat
en/of een vaccinatie, waarbij eenieder dat bewijs kan controleren zonder dat er meer
persoonsgegevens worden overlegd dan strikt noodzakelijk. Deze privacy-by-design filosofie
heeft geleid tot diverse keuzes in de architectuur, en de gebruikte software en cryptografie.
Deze staan open beschreven op de GitHub van het Ministerie van VWS.6 Iedereen die dat wil kan deze technologie checken en hergebruiken, omdat het open
inzichtelijk is. De specifieke software voor de CoronaCheck app wordt door de overheid
niet doorontwikkeld tot een breder inzetbare EU digitale identiteit wallet.

Vraag 6

Kunt u een nadere toelichting geven op de uitspraken van u en van de Minister van
Buitenlandse Zaken dat Nederland al is aangesloten op de Europese infrastructuur voor
grensoverschrijdend gebruik van e-ID’s? Kunt u een gedetailleerde beschrijving geven
van wat deze Europese infrastructuur inhoudt en hoe en door wie die momenteel gebruikt
wordt? Wat houdt de aansluiting van Nederland concreet in?7 8

Antwoord 6

Zoals in de beantwoording van vraag 2 is benoemd, betreft deze aansluiting de eIDAS
verordening uit 2014. De huidige verordening beoogt te zorgen voor een goede werking
van de digitale interne markt door met wederzijdse erkenning van elektronische identificatiemiddelen
(eID's) en met harmonisatie van vertrouwensdiensten veilige en betrouwbare elektronische
transacties tussen burgers, bedrijven en overheden te bevorderen. De eIDAS-verordening
stelt de voorwaarden vast waaronder lidstaten elkaars eID's voor burgers en bedrijven
wederzijds moeten erkennen. «Openbare instanties» (overheden en organisaties met publiekrechtelijke
taken) dienen erkende eID's op betrouwbaarheidsniveaus «substantieel» en «hoog» kosteloos
toe te laten bij grensoverschrijdende transacties in het publieke domein. Om grensoverschrijdend
gebruik van elektronische identificatie en authenticatie mogelijk te maken, is Nederland
aangesloten op het Europese eIDAS-netwerk. Daarnaast heeft Nederland zowel het publieke
middel DigiD voor burgers als het publiek-private stelsel eHerkenning voor bedrijven,
doen erkennen voor gebruik over de grens.

Een overzicht van de Europees aangemelde eID stelsels kunt u vinden op de openbare
website van de Europese eID User Community.9 Ik ontvang maandelijks een overzicht van het huidige gebruik van Europese eID's bij
Nederlandse dienstverleners met een publiekrechtelijke taak. Het betreft op dit moment
maandelijks ongeveer 10.000 authenticaties met eID-middelen uit andere EU-landen met
als koplopers België, Duitsland, Italië, Spanje en Portugal. De dienstverleners met
de meeste bevragingen zijn de Belastingdienst, de SVB, het UWV, DUO en het pensioenregister.10

Vraag 7

Kunt u aangeven of en hoe het parlement betrokken werd bij de besluitvorming over
de aansluiting van Nederland op de Europese infrastructuur voor grensoverschrijdend
gebruik van e-ID’s?

Antwoord 7

De Kamer heeft in 2016 ingestemd met Wijziging van de Telecommunicatiewet, de Boeken
3 en 6 van het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende
wijzigingen van andere wetten in verband met de uitvoering van EU-verordening elektronische
identiteiten en vertrouwensdiensten (uitvoering EU-verordening elektronische identiteiten
en vertrouwensdiensten, eIDAS).11

Vraag 8

Is de software die gebruikt is voor het EU-COVID-certificaat te gebruiken binnen de
Europese infrastructuur voor grensoverschrijdend gebruik van e-ID’s?

Antwoord 8

Ja. De CoronaCheck en CoronaCheck Scanner apps zijn beide ontwikkeld ter ondersteuning
van zowel het reizen met een DCC als het binnenlands gebruik van het coronatoegangsbewijs
(CTB). De CoronaCheck-app is niet meer dan een digitaal ondertekend certificaat inzake
de test-, vaccinatie-, en/of herstelstatus van de burger. Met de CoronaCheck Scanner
app kan vervolgens de geldigheid van dit certificaat of bewijs gecontroleerd worden.
Het checken van de geldigheid van ondertekende certificaten is standaard technologie
die opnieuw te gebruiken valt.

Vraag 9

Bent u ervan op de hoogte dat de Nederlandse zorgsector sinds 2016 een «voorloper
en kwartiermaker» is voor het e-ID-stelsel van de EU?12

Antwoord 9

Medische persoonsgegevens zijn gevoelige gegevens. Daarom is het belangrijk dat patiënten
veilig kunnen inloggen om hun eigen gegevens te raadplegen en dat professionals veilig
kunnen inloggen om gegevens van hun patiënten te raadplegen. Een goed werkend e-ID-stelsel
is daarom belangrijk voor de zorg. Het Ministerie van VWS heeft daarom voor de invoering
van het e-ID-stelsel in de zorg intensief overleg met zowel het Ministerie van BZK
als het zorgveld. De afgelopen jaren heeft het Ministerie van VWS daarin ook geïnvesteerd;
denk aan de ontwikkeling van de benodigde technische infrastructuur zoals de Toegangsverleningsservice
(voor de efficiënte afhandeling van de verschillende inlogmiddelen) en de ondersteuning
bij het aansluiten hierop. Dit kan als vooroplopen gekwalificeerd worden.

Vraag 10

Is er een relatie tussen de zorgsector als «voorloper en kwartiermaker» voor het e-ID
en de persoonlijke gezondheidsomgevingen (PGO’s)? Zo ja, welke?

Antwoord 10

Nee. Wel is het belangrijk dat mensen op een veilige manier kunnen inloggen om hun
medische gegevens in hun PGO op te halen. Daarom volgt de ontwikkeling van PGO’s de
door het Ministerie van BZK toegelaten eID middelen om patiënten veilig te laten inloggen.

Vraag 11

Is de techniek die gebruikt wordt voor PGO’s, zoals websites en apps voor online toegang
tot medische gegevens, waarop Nederlandse huisartsen via het Huisarts Informatie Systeem
(HIS) zijn aangesloten en waarmee patiënten hun gegevens kunnen delen met zorginstellingen,
afgestemd op de (bestaande c.q. door te ontwikkelen) Europese infrastructuur voor
grensoverschrijdend gebruik van e-ID’s?

Antwoord 11

Nee. Zie ook het antwoord op vraag 10.

Vraag 12

Zijn er behalve de zorgsector nog meer sectoren in Nederland die nu en/of in het recente
verleden een rol hebben bij de ontwikkeling van de Europese digitale identiteit? Welke
sectoren zijn/waren dat en wat waren de resultaten?

Antwoord 12

Voor de ontwikkeling van het Europese digitale identiteit raamwerk is het noodzakelijk
om verschillende sectoren te betrekken. De Europese Commissie heeft voorzieningen
beschikbaar gesteld voor een open consultatie waarbij alle partijen hun positie ten
opzichte van dit voorstel en de uitwerking kunnen uiten. Dit gebeurt op een zo open
mogelijke wijze. In antwoorden op vragen van het lid Jansen (FvD) gaf ik reeds aan
dat het Kabinet zich zo breed mogelijk laat adviseren voor de invulling van het de
Nederlandse implementatie van het Europese digitale identiteit raamwerk.13 Hierbij zijn diverse sectoren betrokken zoals het onderwijs, de mobiliteit sector,
werkgelegenheid, de financiële sector en de zorg.

Vraag 13

Is de proef in de Tweede Kamer met gezichtsherkenning bij de toegangspoorten met behulp
van een camera en de toegangspas op de een of andere manier een onderdeel van de (bestaande
c.q. door te ontwikkelen) Europese infrastructuur voor grensoverschrijdend gebruik
van e-ID’s? Is de techniek die daarbij wordt gebruikt afgestemd op de (bestaande c.q.
door te ontwikkelen) Europese infrastructuur voor grensoverschrijdend gebruik van
e-ID’s? Zo ja hoe? Zo nee, waarom niet?

Antwoord 13

Deze proef is bij mij niet bekend, dus hier is geen afstemming tussen.

Vraag 14, 15, 16

Kunt u bevestigen dat het opslaan van de persoonskenmerken adres, leeftijd, geslacht,
burgerlijke staat, gezinssamenstelling, nationaliteit, onderwijskwalificaties, -titels
en -diploma’s,«beroepskwalificaties, -titels en -licenties, openbare vergunningen
en licenties en financiële en bedrijfsgegevens door de EU als minimale eis is gesteld voor de Europese digitale identiteit? Zo ja, onderschrijft u het verplicht
toegankelijk maken van minimaal al deze persoonsgegevens via de Europese digitale
identiteit? Wat gaat er mis als één van deze persoonsgegevens niet verplicht toegankelijk
is via de Europese digitale identiteit?14

Kan het kabinet zich nog uitspreken tegen deze minimale eis van de EU? Zo ja, bent
u daartoe bereid?

Kan het parlement zich nog uitspreken tegen deze minimale eis van de EU? Zo ja, hoe?

Antwoord 14, 15, 16

Ja, dat kan ik bevestigen. Annex VI van de voorgestelde verordening voor het Europese
digitale identiteit raamwerk (revisie van de eIDAS verordening) omschrijft de minimale
set van attributen die lidstaten uit authentieke bronnen ter beschikking moeten stellen
voor gebruik in wallets.15

Deze gegevens worden echter nooit «door de EU» ergens opgeslagen. De burger kiest
er altijd zelf in vrijwilligheid voor om attributen (geverifieerde gegevens) in een
zelf gekozen wallet op te nemen. Het zal aan de burgers zelf zijn welke attributen
ze in hun wallet willen opnemen en vervolgens onder eigen regie deze gegevens te gebruiken
om gemakkelijk en met behoud van privacy zaken te doen.

Dit voorstel geeft mensen juist meer autonomie en regie over eigen gegevens dan de
huidige situatie waarin de burger niet over deze attributen kan beschikken en deze
vaak op onveilige wijze overgedragen worden. Denk hierbij aan kopietjes paspoort,
gescande handtekeningen of minder veilige cloud of sociale media platformen.

Ik onderschrijf de noodzaak om Europees af te spreken welke gegevens of liever attributen
op welk moment in Europees verband minimaal uitgewisseld moeten kunnen worden. Daarbij
merk ik op dat het kabinet op dit moment in de onderhandelingen nog geen positie ingenomen
heeft ten aanzien van de definitieve invulling van Annex VI. U weet dat ik gemandateerd
ben in het BNC-fiche, waaraan ik me ook voor Annex VI houdt, en ik u geen antwoord
kan geven ten aanzien van de onderhandelingen. Het parlement, zoals u weet, beoordeelt
voorstellen van de Commissie niet inhoudelijk en heeft tegen de subsidiariteit en
proportionaliteit van het voorstel geen bezwaren geuit.16

Wel merk ik op dat het kabinet terughoudend is wat betreft de reikwijdte, impact en
uitvoerbaarheid van het voorstel en het voorgestelde tijdspad. De hoge ambitie kan
alleen gerealiseerd worden met een daarbij passend, realistisch tijdspad. Het voorstel
vraagt om een beheersbare, gefaseerde implementatie op basis van gezamenlijke prioritering
door de lidstaten, vooral op het terrein van de verplicht op te nemen attributen.
Er moet daarbij ook voldoende ruimte zijn om de nodige maatregelen en regelgeving
tijdig door te voeren binnen de context van nationale uitvoeringsagenda's en beleidsontwikkelingen
en van beheersbare implementatie en realistische effectuering in de uitvoering. Zo
staat dit ook in het BNC-fiche.17

Vraag 17

Klopt het dat de EU alle lidstaten wil verplichten tot het erkennen van een Europese
digitale identiteit? Klopt het dat het kabinet hier een groot voorstander van is?
Heeft het parlement de mogelijkheid deze verplichting tegen te houden? Zo ja, hoe?

Antwoord 17

Zie antwoorden op vraag 2 en 14–16. Het klopt dat de herziening van de eIDAS-verordening
lidstaten verplicht tot het ontwikkelen van minstens één digitale identiteit wallet.
Zoals in het coalitieakkoord is benoemd krijgen burgers een eigen «online» identiteit.
Centraal hierin is de regie op eigen data.

Vraag 18, 19

Kunt u een toelichting geven op de passage «Voor een ruime beschikbaarheid en bruikbaarheid
van Europese portemonnees voor digitale identiteit is aanvaarding door particuliere
dienstverleners vereist. Particuliere vertrouwende partijen die diensten verlenen
op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid,
gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs
of telecommunicatie moeten het gebruik van Europese portemonnees voor digitale identiteit
aanvaarden voor de verlening van diensten waarvoor op grond van nationale of Uniewetgeving
of contractuele verbintenis sterke gebruikersauthenticatie voor online identificatie
vereist is.»?18

Klopt het dat er behalve de genoemde minimale eisen (zie vraag 14) het in de bedoeling
ligt dat ook gegevens op bovengenoemde terreinen (zie vraag 18), dus inclusief gezondheidszorg,
toegankelijk worden via de Europese digitale identiteit? Is het denkbaar dat de door
te ontwikkelen Europese digitale identiteit op termijn ook gebruikt gaat worden om
de vaccinatiestatus op te slaan en te controleren? Kunt u dit toekomstig gebruik uitsluiten?

Antwoord 18, 19

Dit is een overweging die ten grondslag ligt aan de voorgestelde verordening. Geen
onderdeel van de wettekst.

Gebruikers moeten niet verplicht worden de portemonnee of wallet te gebruiken, zoals
de overweging die u aanhaalt enkele zinnen later stelt.19 In het voorstel is aangegeven dat de beoogde middelen ook gebruikt zouden kunnen
worden in de gezondheidszorg; bijvoorbeeld voor de identificatie en authenticatie
van zorgverleners én patiënten. In het voorstel is een minimale lijst opgenomen van
attributen die in de wallet (kunnen) zitten wanneer de gebruiker deze wil toevoegen.
Deze minimale lijst bevat op dit moment geen attributen met medische gegevens en dus
ook geen COVID-certificaten en/of bewijzen.

Vraag 20

Is het document EU 2016/679, d.d. 27 april 2016 nog steeds de vigerende verordening
voor gegevensbescherming? Zo ja, hoe verhoudt zich het doel van gegevensminimalisatie
uit deze verordening tot de voorgenomen opeenstapeling van persoonsgegevens en andere
gegevens in de Europese digitale identiteit? Zo nee, wat is de huidige verordening
van de EU over gegevensbescherming en wat is daarin geregeld over gegevensminimalisatie?20

Antwoord 20

Leidend is inderdaad de Algemene Verordening Gegevensbescherming (AVG).21 Het concept «dataminimalisatie» omschrijft dat wanneer persoonsgegevens worden verwerkt,
er niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het
omschreven doel. De Europese Digitale Identiteit wallet zal deze gegevens niet «stapelen»,
maar de burger de mogelijkheid bieden om deze vanuit diens eigen omgeving te ontsluiten
aan publieke of private partijen waarmee de burger zaken wil doen.

Vraag 21

Kunt u deze vragen beantwoorden voor 22 maart 2022 in verband met het geplande commissiedebat
Digitale overheid, datagebruik en algoritmen, digitale identiteit?

Antwoord 21

Nee. Vanwege de noodzakelijke interdepartementale afstemming was het helaas niet mogelijk
om uw vragen te beantwoorden vóór 22 maart 2022.