Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over toegang, toezicht en eisen inlogmiddelen onder de Wet digitale overheid (Wdo) (o.a. Kamerstuk 35868-17)
2022D47220 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om
enkele vragen en opmerkingen voor te leggen aan de Staatssecretaris voor Binnenlandse
Zaken en Koninkrijksrelaties over de brief Voortgangsrapportage domein Toegang (Kamerstuk
26 643, nr. 914), over de brief Ministeriële Regeling met eisen aan inlogmiddelen voor burgers en
bedrijven (Kamerstuk 35 868, nr. 17), over de brief interbestuurlijk toezicht onder de Wet digitale overheid (Wdo) (Kamerstuk
35 868, nr. 16).
De voorzitter van de commissie, Kamminga
De adjunct-griffier van de commissie, Van Tilburg
Inhoudsopgave
blz.
I
Vragen en opmerkingen vanuit de fracties
2
Vragen en opmerkingen van de leden van de VVD-fractie
2
Vragen en opmerkingen van de leden van de D66-fractie
3
Vragen en opmerkingen van het lid van de CDA-fractie
4
Vragen en opmerkingen van het lid van de SP-fractie
5
II
Antwoord / Reactie van de Staatssecretaris
5
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de stukken
die staan geagendeerd voor het schriftelijk overleg «Toegang, toezicht en eisen inlogmiddelen
onder de Wet digitale overheid (Wdo)» en hebben hierover nog enkele vragen en opmerkingen.
Ministeriële regeling
De leden van de VVD-fractie lezen dat wordt gewerkt met voorschriften voor het versturen
van burgerservicenummers door aanbieders van inlogmiddelen. Deze voorschriften bestaan
uit het werken op basis van pseudoniemen. Deze leden vragen waarom niet is gekozen
voor end-to-end encryptie. Ziet de Staatssecretaris dit net als deze leden als veiligere
optie? Zo ja, waarom is dan niet voor deze optie gekozen? Zo nee, waarom niet?
De leden van de VVD-fractie lezen dat aanbieders van inlogmiddelen moeten borgen dat
de wijze waarop informatie aan de burger wordt getoond niet door een derde partij
kan worden gemanipuleerd. Op welke manier moeten deze aanbieders de veiligheid borgen?
Welke veiligheidseisen worden gesteld aan deze aanbieders? Deze leden lezen dat aan
aanbieders van inlogmiddelen de verplichting wordt opgelegd om mogelijk misbruik te
kunnen herstellen en herkennen. Op welke manier wordt dit getoetst? Wanneer kan een
aanbieder misbruik in voldoende mate herkennen?
De leden van de VVD-fractie lezen dat de Staatssecretaris gaat aansturen op dat er
daadwerkelijk een community komt voor open source. Op welke manier gaat de Staatssecretaris
dit aansturen? Wat als het niet lukt om een community te krijgen voor open source?
Aan welke criteria moet een community doen? Kan de Staatssecretaris hierbij onder
andere ingaan op het kennisniveau van de community, uit hoeveel mensen de community
moet bestaan en wanneer een community goed genoeg is?
De leden van de VVD-fractie lezen dat per component van de inlogdienstverlening besloten
wordt of en wanneer een component open source moet zijn. Hiervoor is een redelijke
termijn nodig om de software om te zetten in open source. Hoe ziet deze overgangstermijn
eruit? Op welke manier wordt voorkomen dat burgers en bedrijven zonder hun middelen
komen te zitten als gevolg van deze overgang?
De leden van de VVD-fractie lezen in artikel 4.5 dat beveiligingsincidenten gemeld
moeten worden bij de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Is overwogen
om beveiligingsincidenten te melden bij zowel de Minister als het Agentschap Telecom?
Zo nee, waarom niet?
Voortgangsrapportage domein toegang
De leden van de VVD-fractie lezen dat sms-authenticatie voorlopig behouden blijft.
In welke gevallen blijft het mogelijk om middels sms-authenticatie in te loggen bij
de overheid? Denkt het kabinet na over andere mogelijkheden dan sms-authenticatie
gezien de risico’s die daaraan verbonden zijn?
De leden van de VVD-fractie weten dat het voor veel wettelijk vertegenwoordigers belangrijk
is om digitaal zaken te doen namens een ander. De planning is erop gericht om dit
in het jaar 2024 gereed te hebben. Wanneer in 2024 zal dit het geval zijn? Het zou
mooi zijn als dit begin 2024 zo ver kan zijn en niet pas aan het einde van 2024, want
dat is nog twee jaar van nu. Graag krijgen deze leden een reactie. Deze leden hebben
tenslotte kennisgenomen van het besluit van het kabinet om de compensatieregeling
voor ondernemers voor het gebruik van het inlogmiddel eHerkenning met ingang van 1 oktober
2022 met twee jaar te verlengen. Deze leden vragen of de Staatssecretaris voornemens
is om deze compensatieregeling te handhaven na twee jaar, als er na deze twee jaar
nog steeds geen gratis publiek alternatief is.
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met interesse kennisgenomen van de stukken over
de uitvoering van Wet digitale overheid (Wdo) en hebben vragen over de uitvoering
van de extra eisen die opgenomen zijn in de novelle.
Regeling nadere eisen identificatiemiddelen, authenticatiediensten en machtigingsdiensten
Wdo
Artikel 1.1 Begripsbepalingen
De leden van de D66-fractie vragen waarom het begrip open source niet hier gedefinieerd
is.
Artikel 2.5 Gebruik van software met openbare broncode
De leden van de D66-fractie merken op dat de begrippen openbare broncode en open source
hier door elkaar worden gebruikt. Sterker nog, het lijkt alsof het hier om hetzelfde
gaat. Deze leden zijn het hier niet mee eens. Open source is iets anders dan openbare
broncode. Hoe heeft de Staatssecretaris in deze regeling invulling gegeven aan de
motie-Dekker-Abdulaziz over een «open source, tenzij»-principe opnemen in de Wet digitale
overheid (Kamerstuk 35 868, nr. 11)?
Artikel 3.1
De leden van de D66-fractie hechten veel waarde aan de «privacy bij design»-eis die
in de novelle van de wet is toegevoegd. Bij de toelichting van artikel 3.1 derde lid
op pagina 66 staat dat een Data protection impact assessment (DPIA) wordt geëist in
de ministeriële regeling. Deze leden vinden dit een goed plan, maar vragen de Staatssecretaris
waarom dit niet gewoon in deze bewoording ook in de ministeriële regeling staat.
Verhandelverbod (novelle)
Zowel in brief en verschillende toelichtingen komen de leden van de D66-fractie het
verhandelverbod tegen. Dit sluit goed aan bij het debat en bij de wet. Echter zien
deze leden ook hier geen woord over de ministeriële regeling. Er wordt geschreven
dat het verder uitgewerkt wordt, maar die uitwerking ontbreekt. Kan de Staatssecretaris
toelichten waar en hoe het verhandelverbod uitgewerkt wordt? Hoe gaat deze eis bijvoorbeeld
uitzien bij een aanbesteding?
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de verschillende kabinetsbrieven
die zien op de toegang tot, toezicht op en eisen aan inlogmiddelen onder de Wet digitale
overheid (Wdo). Deze leden hebben hierover nog enkele vragen.
De leden van de CDA-fractie hechten eraan om te blijven benadrukken dat onder de Wet
digitale overheid de burger niet verplicht zijn om digitaal zaken te doen met de overheid,
maar dat burgers en bedrijven het recht hebben om digitaal zaken te doen met de overheid
en dat het belangrijk is dat dit veilig, betrouwbaar en gebruiksvriendelijk gebeurt.
Deze leden lezen in de brief over de Voortgangsrapportage Domein Toegang dat de aansluiting
van alle overheidsorganisaties op het nieuwe stelsel naar verwachting in de tweede
helft van 2026 volledig afgerond zal zijn. Deze leden vragen of deze zinsnede ziet
op het volledige nieuwe stelsel, of dat dit alleen ziet op het deel van het stelsel
dat ziet op de toegang via een machtiging. Deze leden vragen of de Staatssecretaris
nader kan toelichten waarom het tot 2026 duurt voordat de volledige aansluiting is
afgerond.
De leden van de CDA-fractie lezen in de brief de passage: «Concreet betekent de invoering
van het Stelsel Toegang dat een burger of bedrijf naast respectievelijk DigiD of eHerkenning
zelf kan kiezen wat voor middel (publiek of privaat) gebruikt wordt om bij verschillende
overheidsdienstverleners in te loggen.» Deze leden vragen de Staatssecretaris in hoeverre
er op dit moment keuzevrijheid is voor bedrijven, met name tussen een privaat of een
publiek middel. Deze leden vragen of de Staatssecretaris kan aangeven of er een publiek
inlogmiddel voor bedrijven komt, en hoe zij bovengenoemde keuzevrijheid voor bedrijven
waarborgt.
De leden van de CDA-fractie vragen of de Staatssecretaris nadenkt over een minimum
en/of een maximum aan het aantal publieke en private inlogmiddelen, vanuit het oogpunt
van eenvoud voor burgers en bedrijven en effectief en efficiënt toezicht vanuit het
Agentschap Telecom.
De leden van de CDA-fractie vragen hoe vaak sms-authenticatie nog wordt gebruikt als
tweefactorauthenticatie bij het inloggen met DigiD. Deze leden vragen of de Staatssecretaris
kan toelichten voor welke overheidsdiensten inloggen via sms-authenticatie naar verwachting
straks niet meer mogelijk is. Deze leden vragen ook of het niet omslachtig is om deze
groep op termijn gebruik te laten maken van een machtiging, en of het niet veel effectiever
is om ervoor te zorgen dat nog veel meer mensen de ID-check toevoegen en welke stappen
de Staatssecretaris hiertoe zet.
De leden van de CDA-fractie hebben nog enkele vragen over de brief Ministeriële regeling
met eisen aan inlogmiddelen voor burgers en bedrijven. Deze leden vragen in het kader
van het verhandelverbod of de Staatssecretaris een voorbeeld kan geven van een situatie
waarin een partij via andere (commerciële) dienstverlening kan beschikken over persoonsgegevens
van een gebruiker. Deze leden vragen bovendien hoe de mogelijkheid voor een gebruiker
om verstrekking aan derden te beëindigen er precies uit komt te zien en wat een gebruiker
daar zelf voor moet doen.
De leden van de CDA-fractie constateren dat nog niet duidelijk wordt hoe de Staatssecretaris
wil omgaan met het vormen van communities die meekijken op de software. Deze leden
vragen of de Staatssecretaris, zoals ook gevraagd in het debat van 1 juni 2022, wil
verduidelijken of en hoe zij dergelijke communities gaat stimuleren, en welke concrete
stappen zij hiertoe in de komende periode zet.
Vragen en opmerkingen van de leden van de SP-fractie
De leden van de SP-fractie hebben de voornemens over het digitale toegangstelsel gelezen
en hebben hierover nog enkele opmerkingen en vragen. Deze leden lezen dat de sms-authenticatie
blijft bestaan, maar lezen tevens dat voor meerdere toepassingen dit straks onbruikbaar
zal zijn. Mensen kunnen dan gebruik maken van de app, waarbij ook een controle van
een identificatiebewijs gevraagd kan worden. Indien zij dit niet willen of kunnen,
kunnen zij een ander digitaal machtigen. Deze leden vinden dit een grote achteruitgang
in de zelfredzaamheid van mensen; mensen die de app niet veilig genoeg achten of niet
werkbaar genoeg verliezen zo immers de mogelijkheid om zelf digitaal zaken te kunnen
doen met de overheid. Deze leden lezen tevens dat nog niet helemaal helder is waar
een fysiek alternatief niet meer mogelijk is. Zou dat niet eerst helemaal duidelijk
moeten zijn, alvorens mensen die de app niet willen of kunnen gebruiken uit te sluiten
van deze toepassingen? Hoe verhoudt zich het voornemen om mensen zelf regie te laten
voeren op hun digitale gegevens tot het advies iemand te machtigen?
De leden van de SP-fractie lezen dat er wordt ingezet op een eventuele verbreding
van een publiek inlogmiddel voor bedrijven. Waarvoor wordt hiervoor gekozen, nu het
stelsel nog niet volledig functioneert en de wet nog niet in werking is getreden?
De leden van de SP-fractie lezen voorts dat er per ministeriële regeling wordt geregeld
dat er verplichte digitale inzage en correctie is bij aanbieders van inlogmiddelen.
Als een ministeriële regeling bedoeld is om snel iets te kunnen wijzigen, wat wordt
hier dan voorzien dat snel gewijzigd dient te worden? Deze leden zien dit als een
fundamentele waarborg voor het functioneren van een dergelijk inlogmiddel en de juiste
bescherming van mensen. Waarom is ervoor gekozen om dit niet in de wet op te nemen
maar per ministeriële regeling op te nemen? Dezelfde vragen stellen zij over het herstelvermogen,
de bescherming bij het inloggen en de beperking van het verwerken van het burgerservicenummer.
II Antwoord / Reactie van de Staatssecretaris
Ondertekenaars
-
Eerste ondertekenaar
R.J. Kamminga, voorzitter van de vaste commissie voor Digitale Zaken -
Mede ondertekenaar
I. van Tilburg, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.