Tweede nota van wijziging
Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)
Nota van wijziging
Nummer: 2019D41828, datum: 2019-10-21, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-34972-14).
Gerelateerde personen:- Eerste ondertekenaar: R.W. Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (Ooit CDA kamerlid)
Onderdeel van kamerstukdossier 34972 -14 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid).
Onderdeel van zaak 2018Z11914:
- Indiener: R.W. Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Voortouwcommissie: vaste commissie voor Binnenlandse Zaken
Onderdeel van zaak 2019Z20041:
- Indiener: R.W. Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Voortouwcommissie: vaste commissie voor Binnenlandse Zaken
- 2018-06-21 13:10: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2018-06-28 10:30: Procedurevergadering commissie Binnenlandse Zaken (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2018-10-18 14:00: Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid) (TK 34972) (Inbreng verslag (wetsvoorstel)), vaste commissie voor Binnenlandse Zaken
- 2019-01-17 10:00: Procedurevergadering commsisie Binnenlandse Zaken (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2019-01-31 14:00: Inbreng nader verslag inzake algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid) - 34972 (Inbreng verslag (wetsvoorstel)), vaste commissie voor Binnenlandse Zaken
- 2019-06-20 11:30: Procedurevergadering (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2019-09-05 11:30: Procedurevergadering vaste commissie voor Binnenlandse Zaken (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2019-09-10 15:45: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2019-11-14 11:30: Procedurevergadering vaste commissie voor Binnenlandse Zaken (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2020-01-30 11:15: Wet digitale overheid (34972) (1e termijn Kamer) (Plenair debat (wetgeving)), TK
- 2020-02-05 10:15: Wet digitale overheid (34972) (antwoord 1e termijn + rest) (Plenair debat (wetgeving)), TK
- 2020-02-11 15:05: Stemmingen (Stemmingen), TK
- 2020-02-18 15:00: Stemmingen (Stemmingen), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2019-2020 |
34 972 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)
Nr. 14 TWEEDE NOTA VAN WIJZIGING
Ontvangen 21 oktober 2019
Het voorstel van wet wordt als volgt gewijzigd:
A
Artikel 1 wordt als volgt gewijzigd:
1. In de omschrijving van «elektronische dienstverlening» wordt «of anderszins waarbij het burgerservicenummer wordt verwerkt» vervangen door «of waarbij het burgerservicenummer wordt verwerkt».
2. In de omschrijving van «erkende dienst» wordt «artikel 11» vervangen door «artikel 9 of 11».
3. In de omschrijving van «middelenuitgever» wordt «bedrijfs- en organisatiemiddelen aan rechtspersonen of ondernemingen» vervangen door «identificatiemiddelen aan natuurlijke personen, rechtspersonen of ondernemingen».
4. In de omschrijving van «ontsluitende dienst» wordt «erkende authenticatiediensten, machtigingsdiensten en attributendiensten» vervangen door «erkende authenticatiediensten, middelenuitgevers en machtigingsdiensten».
5. In de omschrijving van «toegelaten identificatiemiddel» wordt «identificatiemiddel voor een natuurlijke persoon dat is aangewezen ingevolge artikel 9» vervangen door «identificatiemiddel voor een natuurlijke persoon dat is aangewezen of erkend ingevolge artikel 9».
B
Artikel 5 wordt als volgt gewijzigd:
1. In het eerste lid, onderdeel b, wordt «een natuurlijke persoon of rechtspersoon gemachtigd is namens een natuurlijke persoon op te treden» vervangen door «een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is namens een andere natuurlijke persoon, onderneming of rechtspersoon op te treden».
2. In het vijfde lid, wordt «bij algemene maatregel van bestuur» vervangen door «bij of krachtens algemene maatregel van bestuur» en wordt «, bedoeld in artikel 5, eerste lid, onderdeel f,» vervangen door «, bedoeld in het eerste lid, onderdeel f,».
C
Artikel 9 komt te luiden:
Artikel 9. Toelaten van identificatiemiddelen en diensten
1. Onze Minister wijst een publiek identificatiemiddel aan als toegelaten identificatiemiddel indien dit middel voldoet aan de bij of krachtens algemene maatregel van bestuur gestelde eisen met betrekking tot de werking, beveiliging en betrouwbaarheid. De eisen hebben mede betrekking op uitgifte en beëindiging van de middelen.
2. Onze Minister laat een privaat identificatiemiddel toe door verlening van een erkenning, indien dit middel en de middelenuitgever of de authenticatiedienst die het uitgeeft voldoen aan de bij of krachtens algemene maatregel van bestuur gestelde eisen met betrekking tot de werking, beveiliging en betrouwbaarheid. De eisen hebben in ieder geval betrekking op uitgifte en beëindiging van de middelen.
3. Onze Minister laat een private ontsluitende dienst toe door verlening van een erkenning, indien dit noodzakelijk is voor de continuïteit van de elektronische dienstverlening door bestuursorganen en aangewezen organisaties en de dienst voldoet aan de voor hem bij of krachtens algemene maatregel van bestuur gestelde eisen met betrekking tot de werking, beveiliging en betrouwbaarheid. Hierbij kan ontsluiting van alle toegelaten middelen worden opgelegd.
4. Een houder van een erkenning als bedoeld in het tweede of derde lid voldoet aan de voor hem bij of krachtens algemene maatregel van bestuur gestelde eisen en aan de aan de erkenning verbonden voorschriften en beperkingen. De eisen behelzen in ieder geval een leveringsplicht en regels inzake te hanteren tarieven.
5. Bij de aanvraag voor een erkenning wordt een verklaring gevoegd van een geaccrediteerde certificerende instelling, waaraan het vermoeden kan worden ontleend dat is voldaan aan de eisen die gelden voor de betreffende houder van de erkenning of dat middel.
6. Onze Minister weigert een erkenning indien niet wordt voldaan aan de eisen bedoeld in het tweede of derde lid. Hij weigert tevens indien zwaarwegende redenen zich tegen erkenning verzetten. Hiervan is sprake in geval ernstig gevaar bestaat voor de cyberveiligheid of staatsveiligheid of in geval ernstig gevaar bestaat dat de erkenning mede zal worden gebruikt om strafbare feiten te plegen of uit strafbare feiten verkregen of te verkrijgen voordelen te benutten of anderszins de betrouwbaarheid en veiligheid van het Nederlandse stelsel voor elektronische dienstverlening in gevaar komt. Alvorens te beslissen op een aanvraag kan het Bureau bevordering integriteitsbeoordelingen, bedoeld in artikel 8 van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur, om een advies als bedoeld in artikel 9 van die wet worden gevraagd.
7. Onze Minister kan een erkenning wijzigen, schorsen of intrekken indien niet wordt voldaan aan de eisen bedoeld in het tweede of derde lid, de eisen, voorschriften of beperkingen bedoeld in het vierde lid, of in geval van zwaarwegende redenen als bedoeld in het zesde lid. Bij schorsing en intrekking kan de houder worden verplicht zijn activiteiten voort te zetten gedurende een door Onze Minister te bepalen periode, voor zover dat nodig is om continuïteit van betrouwbare toegang tot elektronische dienstverlening te borgen.
8. Een erkenning kan op verzoek van de houder worden ingetrokken. Onze Minister kan bij dit besluit de houder verplichten zijn activiteiten voort te zetten gedurende een door Onze Minister te bepalen periode, voor zover dat nodig is om continuïteit van betrouwbare toegang tot elektronische dienstverlening te borgen.
9. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de procedure van erkenning, wijziging, schorsing of intrekking en de in dat verband over te leggen gegevens en informatie.
D
In artikel 11, zevende lid, wordt na «Wet bevordering integriteitsbeoordelingen» ingevoegd «door het openbaar bestuur».
E
In artikel 16, tweede lid, wordt «houder van een toelating» vervangen door «krachtens artikel 9, tweede of derde lid, toegelaten houder van een erkenning».
F
Artikel 17 wordt als volgt gewijzigd:
1. In het vijfde lid wordt na «artikelen» ingevoegd «9,».
2. In het zevende lid wordt na «artikelen» ingevoegd «9, vierde lid,».
3. In het achtste lid wordt na «krachtens» ingevoegd «artikel 9, vierde lid, of».
G
Artikel 19 wordt als volgt gewijzigd:
1. In het eerste lid wordt «aanbieders van een toegelaten identificatiemiddel» vervangen door «op grond van artikel 9, tweede of derde lid, toegelaten houders van een erkenning».
2. In het tweede lid wordt «de aanbieder van een toegelaten identificatiemiddel» vervangen door «de ingevolge artikel 9, tweede of derde lid, toegelaten houder van een erkenning».
H
Artikel 22 wordt als volgt gewijzigd:
1. In het eerste lid, onderdeel a, wordt «artikel 11» vervangen door «de artikelen 9 en 11».
2. In het eerste lid, onderdeel b, wordt «artikel 13» vervangen door «de artikelen 9 en 13».
3. Aan het tweede lid wordt, voor de punt aan het slot van dat lid, toegevoegd «, waarbij onderscheid kan worden gemaakt tussen verschillende categorieën handelingen als bedoeld in het eerste lid».
I
Artikel 23a komt te vervallen.
J
Artikel 25 komt te luiden:
Artikel 25. Voorhangprocedure
Een voordracht voor een krachtens de artikelen 4, 9, 11, 13, 16 en 22 te stellen algemene maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd.
Toelichting
Algemeen
Deze nota van wijziging behelst enkele redactionele aanpassingen en verduidelijkingen, alsmede aanpassingen van beleidsinhoudelijke aard, in het bijzonder onderdeel C en de daarmee samenhangende bepalingen.
Aanleiding voor de aanpassing van het wetsvoorstel is de wijze waarop privaat uitgegeven middelen worden toegelaten in het publieke domein. Het is wenselijk dat, naast de beschikbaarheid van publieke middelen op verschillende betrouwbaarheidsniveaus, private alternatieven op deze niveaus beschikbaar komen, zodat door deze middelen tezamen een hoge dekkingsgraad op de hogere betrouwbaarheidsniveaus wordt bereikt en burgers indien nodig een terugvalmogelijkheid hebben. Burgers kunnen dan ook een privaat middel als inlogmiddel gebruiken. Bovendien is dan sprake van een minder kwetsbaar stelsel van identificatiemiddelen. Om dat te realiseren maakt het wetsvoorstel het mogelijk om een of meerdere private identificatiemiddelen toe te laten; beoogd was op initiatief van de Minister van BZK binnen de kaders van de Aanbestedingswet 2012 een selectieprocedure te doorlopen. Hiervoor is destijds gekozen om redenen van beheersbaarheid; bij een of enkele private partijen kan de overheid direct sturen op zaken als veiligheid, betrouwbaarheid, privacybescherming en communicatie. Bovendien is sprake van – voor een hoge dekkingsgraad relevante – leveringszekerheid; de gegunde partijen zijn verplicht een middel te leveren tegen een vooraf bepaalde prijs. Burgers weten dan waar zij aan toe zijn. Onderkend werd, dat de overheid zich bij een aanbesteding voor een langere periode vastlegt op een beperkt aantal oplossingen; er is na gunning gedurende een aantal jaren minder ruimte voor innovatie en concurrentie door de markt. Dit was ten tijde van de indiening van dit wetsvoorstel geen doorslaggevend argument, omdat toen sprake was van een beperkt aantal gegadigden en weinig ontwikkeling op de markt.
Inmiddels zijn echter de feiten en omstandigheden significant gewijzigd; het tempo waarmee innovatie zich voltrekt is het afgelopen jaar sterk toegenomen, de ontwikkeling van inlogmiddelen versnelt en het aantal gegadigden in de markt groeit. Hierbij past een meer wendbare en daarmee meer toekomstvaste toelatingssystematiek; aanbesteden ligt dan minder voor de hand. Dit vormt de aanleiding om een andere toelatingssystematiek te hanteren, onverminderd het doel om zo snel mogelijk private alternatieven en een hoge dekkingsgraad te realiseren. Om die reden wordt thans een open systeem voorgesteld, dat wil zeggen voor alle partijen toegankelijk; als een door een private partij aangeboden middel aan nader te bepalen eisen voldoet kan het middel door de Minister van BZK worden toegelaten. Hierdoor is niet langer sprake van het maximeren van het aantal toegelaten private partijen, kan beter worden ingespeeld op nieuwe ontwikkelingen, wordt meer gebruik gemaakt van wat de markt te bieden heeft en hebben partijen meer gelijke kansen. Daarbij zullen geen concessies worden gedaan aan de kernwaarden toegankelijkheid, veiligheid (waaronder privacybescherming), betrouwbaarheid en gebruiksvriendelijkheid.
De eisen voor erkenning van een middel worden bij of krachtens algemene maatregel van bestuur vastgesteld. Deze eisen zullen worden gebaseerd op de Europese eIDAS-verordening en zien zowel op de werking, betrouwbaarheid en veiligheid van het middel als op de aanvragende partij.
Het voorgaande brengt met zich, dat er voor private partijen die erkende diensten aanbieden in de zin van dit wetsvoorstel en die een toelating willen verkrijgen – authenticatiediensten, middelenuitgevers en ontsluitende diensten – een regeldrukeffect is. Deze bedrijven moeten een erkenning verkrijgen alvorens zij hun diensten mogen leveren in het publieke domein; om de erkenning te verkrijgen moeten zij aan de gestelde eisen voldoen, gecertificeerd worden en een aanvraagproces doorlopen. Hierbij is geen sprake van een marktverstorend effect omdat het iedereen vrij staat de erkenning aan te vragen. Voor deze erkenning kunnen leges in rekening worden gebracht. De kosten van toezicht kunnen eveneens worden doorberekend aan de erkende diensten. Echter: met de nieuwe toelatingssystematiek wordt voor private partijen meer ruimte gecreëerd om hun diensten op de markt te brengen.
Artikelsgewijs
Onderdeel A
De definitie van «elektronische dienstverlening» wordt verduidelijkt. Hoewel bij het verlenen van elektronische diensten ter uitoefening van een publieke taak of in het algemeen belang, met name wanneer deze inloggen op betrouwbaarheidsniveau substantieel of hoog vergen, naar zijn aard veelal sprake is van verwerking van het burgerservicenummer (bsn), blijkt dit in de praktijk niet altijd het geval te zijn. Beoogd is dat deze diensten wel onder de werkingssfeer van het wetsvoorstel worden begrepen. Om die reden komt «anderszins» in de definitiebepaling te vervallen.
Aanpassing van de definities van «erkende dienst», «middelenuitgever» en «ontsluitende dienst» en «toegelaten identificatiemiddel» houdt verband met de wijziging van artikel 9 (zie bij onderdeel C).
Onderdeel B
Het wetsvoorstel voorziet in de verantwoordelijkheid voor infrastructuur die het mogelijk maakt dat een elektronische verklaring wordt afgegeven waaruit blijkt dat een natuurlijke persoon of rechtspersoon gemachtigd is namens een natuurlijke persoon op te treden bij de toegang tot elektronische dienstverlening. Bij de uitwerking van de regelgeving over de functionaliteiten van de machtigingsvoorziening die wordt ontwikkeld, is gebleken dat er behoefte bestaat te verduidelijken dat de machtigingsvoorziening ook bruikbaar zal zijn om een onderneming of rechtspersoon te kunnen vertegenwoordigen en namens deze te kunnen handelen. Aangezien het wetsvoorstel ziet op elektronische toegang tot het publieke domein door burgers en bedrijven en om die reden ook elders in het wetsvoorstel wordt gesproken over natuurlijke persoon, onderneming of rechtspersoon, wordt artikel 5, eerste lid, onderdeel b, daarmee in lijn gebracht.
Bij de voorbereiding van de uitvoeringsregelgeving bij het wetsvoorstel is gebleken dat er behoefte aan is om technische en operationele details, bijvoorbeeld bij de uitwerking van infrastructuur inzake machtigen (artikel 5, eerste lid, onderdeel b) en elektronisch berichtenverkeer (artikel 5, eerste lid, onderdeel f) op een lager niveau dan bij algemene maatregel van bestuur te kunnen regelen. De voorgestelde wijziging van artikel 5, vijfde lid, maakt dit mogelijk.
De voorgestelde wijziging is redactioneel van aard.
Onderdeel C
Deze wijziging houdt verband met het voorstel om een andere wijze van toelating te hanteren met betrekking tot private identificatiemiddelen voor burgers (natuurlijke personen). De aanleiding, gevolgen en rol van de overheid terzake zijn toegelicht in het algemeen deel van deze memorie.
Artikel 9, eerste lid
Het eerste lid blijft inhoudelijk vrijwel ongewijzigd. De Minister van BZK wijst publieke identificatiemiddelen aan als toegelaten identificatiemiddelen op de betrouwbaarheidsniveaus substantieel of hoog indien deze identificatiemiddelen voldoen aan de terzake geldende eisen. Het gaat hier derhalve om eisen die ten aanzien van de van overheidswege uitgegeven (= publieke) identificatiemiddelen gehanteerd worden. Anders dan oorspronkelijk was beoogd, zullen deze eisen – die gebaseerd zullen zijn op de krachtens de eIDAS-verordening vastgestelde technische specificaties en procedures en de Algemene Verordening Gegevensbescherming – in regelgeving worden opgenomen. Uit een oogpunt van rechtszekerheid en duidelijkheid/transparantie zullen de eisen met betrekking tot de werking, beveiliging en betrouwbaarheid bij of krachtens algemene maatregel van bestuur worden gesteld. Vanzelfsprekend zijn de eisen gelijkwaardig aan de eisen die, ingevolge het tweede lid, aan private alternatieven worden gesteld; met zowel publieke als private «burgermiddelen» moet immers kunnen worden ingelogd in het publieke domein, ze hebben dezelfde functie. De lat voor toelating ligt derhalve even hoog.
Artikel 9, tweede lid
Het tweede lid bevat de kern van de gewijzigde toelatingssystematiek. Anders dan oorspronkelijk was beoogd, wordt geen aanbestedingsprocedure gevolgd om een of enkele private identificatiemiddelen aan te wijzen op het betrouwbaarheidsniveau substantieel of hoog, maar wordt de grondslag gerealiseerd voor een systeem van open toelating. Dit houdt in dat aan een private middelenuitgever of private authenticatiedienst een erkenning terzake van een door hem aangeboden respectievelijk gefaciliteerd privaat identificatiemiddel verleend kan worden, indien aan de bij of krachtens algemene maatregel van bestuur gestelde eisen met betrekking tot de werking, beveiliging en betrouwbaarheid van de partij en het middel wordt voldaan.
Essentieel is, dat het stelsel voor private burgermiddelen voor alle private partijen toegankelijk is, mits zij en de door hen aangeboden middelen aan de nader te stellen eisen voldoen. Teneinde te verzekeren dat de middelen worden ontworpen en de diensten worden verricht met een voldoende veiligheids- en betrouwbaarheidsniveau, worden deze eisen bij of krachtens algemene maatregel van bestuur vastgelegd. Deze regels zullen in elk geval overeenkomen met de krachtens de eIDAS-verordening gestelde kaders, technische specificaties en proceduresen maken waar nodig een onderscheid tussen het betrouwbaarheidsniveau substantieel en hoog. Bij werking, beveiliging en betrouwbaarheid in de authenticatieketen gaat het om maatregelen om de betrouwbaarheid van processen, de ondersteunende informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijke incidenten. Dit artikellid bevat daarom de basis voor het stellen van strategische, tactische, operationele, organisatorische en technische eisen om processen en ketens zodanig in te richten dat de goede werking, veiligheid en betrouwbaarheid van authenticatie is gewaarborgd, daarover verantwoording kan worden afgelegd door partijen en hierop toezicht kan worden gehouden. De volgende met elkaar onlosmakelijk verbonden elementen zullen in dat verband worden gereguleerd:
Werking: maatregelen teneinde de beschikbaarheid en het gebruik van erkende middelen te kunnen realiseren. Hierbij gaat het onder meer om het aanvraag- en uitgifteproces met betrekking tot een middel, regels met betrekking tot beëindiging van de middelen, interoperabiliteit, beheer en samenwerking tussen de partijen in de keten.
Beveiliging: dit ziet onder andere op het beschermen van informatie tegen kennisname en mutatie door onbevoegden, door maatregelen voor privacybescherming, zoals versleuteling en encryptie, door normen en standaarden inzake toegang tot gebouwen, ruimten en systemen, alsmede het voorkomen, herkennen en herstellen van inbreuken op en aantasting van de (technische) beveiliging en misbruik van processen (incidenten).
Betrouwbaarheid: hieronder wordt begrepen het waarborgen van de correctheid, volledigheid en tijdigheid van de gerealiseerde authenticatie en de controleerbaarheid daarvan. Daarnaast betreft het voorschriften omtrent de betrouwbaarheidsniveaus van de middelen en de integriteit van betrokken partijen.
De eisen voor erkenning van een middel worden bij of krachtens algemene maatregel van bestuur vastgesteld. Deze eisen zien zowel op de werking, betrouwbaarheid en veiligheid van het middel als op de aanvragende partij.
Van belang is dat de systematiek van open toelating gepaard gaat met conformiteitsbeoordeling; dit instrument wordt door de Minister van BZK gehanteerd bij het beoordelen van een aanvraag om erkenning. Ingevolge het vijfde lid moet bij de aanvraag voor een erkenning een verklaring worden gevoegd van een geaccrediteerde certificerende instelling, waaraan het vermoeden kan worden ontleend dat aan de voor de betreffende houder van de erkenning of dat middel geldende eisen is voldaan. Doel hiervan is door een onafhankelijke, deskundige instantie te laten toetsen of voldaan is aan de bij of krachtens algemene maatregel van bestuur gestelde eisen. De overlegging van een verklaring van conformiteit levert een vermoeden op dat de betrokken partij voldoet aan de gestelde eisen. Als een private partij op deze wijze kan aantonen dat hij aan de eisen voldoet, komt hij, alsmede het door hem aangeboden middel, in aanmerking voor erkenning door de Minister van BZK. Dit is anders indien zwaarwegende redenen zich daartegen verzetten (zesde lid). Erkenning komt dus niet alleen door (externe) conformiteitsbeoordeling tot stand; een certificaat sec creëert geen recht en is geen synoniem voor toelating. Voor de verkrijging van een erkenning is een besluit van het bevoegd gezag, in casu de Minister van BZK, nodig, namelijk een beschikking waarbij wordt vastgesteld dat aan bepaalde eisen wordt voldaan. Het besluit tot weigering of verlening van een erkenning is een besluit in de zin van artikel 1:3 Awb waartegen bezwaar en beroep open staat.
Artikel 9, derde lid
Dit lid biedt de grondslag voor het erkennen van een ontsluitende dienst; een private partij – ook wel (herkennings)makelaar genoemd – die ten behoeve van het elektronisch verkeer tussen een publieke dienstverlener en erkende authenticatiediensten de authenticatieverklaring routeert. Meer concreet: wanneer een burger een elektronische dienst wil afnemen en hij daarbij gebruik maakt van een bepaald middel, zorgt de ontsluitende dienst dat de authenticatie van de gebruiker bij de authenticatiedienst, die met betrekking tot dat middel is erkend, wordt «opgehaald». De ontsluitende dienst draagt de opgehaalde gegevens over aan de publieke dienstverlener, die daarmee zijn elektronische dienstverlening kan voortzetten. Een ontsluitende dienst faciliteert daarmee de publieke dienstverlener en fungeert als alternatief voor een publieke routeringsvoorziening (artikel 5, eerste lid, onder c).
Verschil met de private middelenuitgevers en authenticatiediensten (tweede lid) is, dat de Minister van BZK pas overgaat tot toelating van ontsluitende diensten indien dit noodzakelijk is om de continuïteit van de elektronische dienstverlening door bestuursorganen en aangewezen organisaties te waarborgen. Indien bijvoorbeeld blijkt dat de publieke routeringsvoorziening onvoldoende toegerust blijkt om publieke dienstverleners tijdig of volledig te kunnen aansluiten, ligt aanvullende private dienstverlening in de rede en kunnen ontsluitende diensten in aanmerking komen voor een erkenning (de markt als vangnet). Ontsluitende diensten kunnen dus pas toegelaten worden, indien nut en noodzaak van toelating zijn gebleken. Of deze voorwaarde is vervuld, is ter beoordeling van de Minister van BZK. Een eventueel besluit hiertoe zal via de geëigende interdepartementale governance worden voorbereid en in de Staatscourant worden gepubliceerd. Vanzelfsprekend zal na besluitvorming sprake zijn van een bestendig systeem van open toelating; vanaf dat moment kunnen private ontsluitende diensten een erkenning aanvragen en is routering niet langer een louter publieke aangelegenheid.
Voor de in aanmerking komende private partijen gelden alsdan de aan hen gestelde eisen met betrekking tot de werking, beveiliging en betrouwbaarheid. Voldoet de dienst daaraan, dan wordt hij in beginsel erkend, tenzij zwaarwegende redenen zich daartegen verzetten (zesde lid). Ook hier geldt dat sprake is van verplichte conformiteitsbeoordeling (vijfde lid). Teneinde burgers en publieke dienstverleners optimaal te faciliteren, kan bij of krachtens algemene maatregel van bestuur verplichte ontsluiting van alle toegelaten middelen worden opgelegd.
Publieke dienstverleners kunnen, als zij niet voor de publieke routeringsvoorziening kunnen of willen kiezen, zelf bepalen of zij gebruik maken van een erkende ontsluitende dienst of niet. Zij zijn dus niet verplicht om voor een erkende ontsluitende dienst te kiezen. Indien zij routering in eigen beheer realiseren, dient dat te geschieden met inachtneming van de eisen die voor hen gelden ingevolge artikel 4 van het wetsvoorstel (informatieveiligheid). Zij sluiten dan in feite zelf, onder eigen verantwoordelijkheid, direct op de middelen aan. Vanzelfsprekend moeten deze publieke dienstverleners dan aan een gelijkwaardig beschermingsniveau voldoen als wordt beoogd met de eisen die terzake van (publieke en private) routering/ontsluiting gelden.
Artikel 9, vierde lid
Een krachtens het tweede of derde lid toegelaten houder van een erkenning voldoet – vanzelfsprekend naast hetgeen de wet zelf eist – aan de voor hem en het middel bij of krachtens algemene maatregel van bestuur gestelde eisen (dus: de regels bedoeld in het tweede, derde en negende lid). Er zullen in ieder geval eisen worden gesteld inzake een leveringsplicht met betrekking tot het middel (of de middelen) waarvoor een erkenning wordt verleend. Reden voor het opleggen van een leveringsplicht is het feit, dat zeker gesteld moet worden dat een verleende erkenning ook tot levering leidt; alleen het recht om een middel op de markt te brengen wil immers niet zeggen dat dit middel daadwerkelijk beschikbaar zal zijn. Leveringszekerheid is evenwel essentieel voor het door burgers kunnen inloggen via publieke en private middelen en sluit aan bij het feit, dat iedere burger er recht op heeft om in het publieke domein te kunnen inloggen met een door hem aangeschaft erkend privaat middel. Om dit recht te kunnen effectueren hebben publieke dienstverleners een acceptatieplicht en mogen zij alleen toegang tot hun elektronische dienstverlening bieden indien gebruik wordt gemaakt van erkende diensten en middelen (artikel 7). Om de stabiliteit en continuïteit van de toegang tot elektronische dienstverlening te waarborgen, zullen voorts regels worden gesteld over door de erkende partijen te hanteren (maximum)tarieven jegens publieke dienstverleners en burgers.
Daarnaast moet de houder voldoen aan de door de Minister van BZK aan de erkenning verbonden voorschriften en beperkingen. Op deze manier bestaat de mogelijkheid tot maatwerk en kan een erkenning bijvoorbeeld voor een bepaalde tijd worden afgegeven. Van belang is dat een erkende private partij blijvend moet voldoen aan de aan hem gestelde regels en voorschriften. Op de naleving van deze regels en voorschriften zijn toezicht en handhaving gericht (zie artikel 17).
Artikel 9, vijfde lid
Zoals bij het tweede en derde lid besproken, is het oordeel van de Minister van BZK over een aanvraag tot erkenning mede gebaseerd op een conformiteitsverklaring van een geaccrediteerde certificerende instelling. Een dergelijke instelling toetst in opdracht van een private middelenuitgever, authenticatiedienst of ontsluitende dienst of de betreffende partij danwel het betreffende middel voldoet aan de eisen die bij of krachtens algemene maatregel van bestuur zijn gesteld. Indien dat het geval is, dan wordt een conformiteitsverklaring afgegeven. Het is de Minister die beslist op de aanvraag; de bij de aanvraag te voegen verklaring van de certificerende instelling behelst een vermoeden dat aan de geldende eisen is voldaan. De voorgeschreven conformiteitsbeoordeling fungeert dus als hulpmiddel bij het verlenen of weigeren van een erkenning. Om de aanvraag voor een erkenning, waaronder de bijgevoegde verklaring, te kunnen beoordelen, is het noodzakelijk dat voldoende deskundigheid en capaciteit beschikbaar is.
Het Ministerie van BZK zal de hiertoe benodigde organisatie inrichten, waarbij (technisch-) inhoudelijke, procesmatige en juridische kennis en ervaring structureel worden belegd.
Artikel 9, zesde lid
Vanzelfsprekend dient een erkenning te worden geweigerd, indien niet wordt voldaan aan de bij of krachtens amvb te stellen eisen. De Minister van BZK heeft voorts de bevoegdheid om, zelfs wanneer wel aan de bij of krachtens amvb te stellen eisen wordt voldaan, te besluiten niet tot erkenning over te gaan indien zwaarwegende redenen zich daartegen verzetten. De reden hiervoor is dat de conformiteitsbeoordeling betrekking heeft op de vraag of aan de eisen gesteld ingevolge de onderhavige wet is voldaan, terwijl de Minister ook andere overwegingen een rol kan laten spelen, zoals cyberveiligheid of staatsveiligheid. Verder kan een erkenning worden geweigerd wanneer ernstig gevaar bestaat dat de erkenning mede zal worden gebruikt om strafbare feiten te plegen of uit strafbare feiten verkregen of te verkrijgen voordelen te benutten De Minister kan in dit verband een advies vragen aan het Landelijk Bureau bevordering integriteitsbeoordelingen door het openbaar bestuur (Bibob). De artikelen 8 en 9 van de Wet Bibob zijn terzake van overeenkomstige toepassing. Zelf kan de Minister geen strafrechtelijke gegevens inzien; Bureau Bibob kan dat wel. Dit lid betreft belangen die van een andere orde zijn dan de meer technische en functionele beoordeling van de eisen bedoeld in deze wet. Indien advies wordt gevraagd aan het Bureau Bibob wordt de beslistermijn voor het afhandelen van de aanvraag overeenkomstig artikel 31 van de Wet Bibob verlengd.
Artikel 9, zevende en achtste lid
De Minister van BZK is bevoegd tot het wijzigen, schorsen of intrekken van een erkenning, indien niet wordt voldaan aan de gestelde eisen, aan de aan de erkenning verbonden voorschriften of beperkingen of in geval van zwaarwegende redenen. Hij zal daartoe vanzelfsprekend slechts overgaan, indien daar voldoende grond voor is. Zo mogelijk zal de Minister voorafgaand overleg voeren met de betrokken partij; hierin wordt aangegeven welke eisen of voorschriften er worden geschonden en kan, afhankelijk van de omstandigheden van het geval en de betrokken belangen, een termijn worden gegeven om daar alsnog aan te voldoen. Een zorgvuldige procedure is noodzakelijk, gelet op de ingrijpende gevolgen voor de betreffende private partij, publieke dienstverleners en burgers, met name als het gaat om de intrekking van een erkenning van een middelenuitgever of authenticatiedienst; alsdan vervalt tevens de erkenning van de door hem aangeboden middelen. In dat verband kan bij schorsing en intrekking de houder van de erkenning worden verplicht zijn activiteiten nog gedurende een bepaalde periode voort te zetten, voor zover dat nodig is om continuïteit van betrouwbare toegang tot elektronische dienstverlening te borgen. Of daarvan gebruikt gemaakt zal worden hangt af van de reden van schorsing of intrekking. Indien deze betrekking heeft op de veiligheid van de middelen zal dit in de regel niet wenselijk zijn. Weliswaar zijn burgers dan voor een korte periode onthand, dat is echter in dergelijke gevallen te verkiezen boven continuering van gebruik van de (niet-veilige) middelen en blootstelling aan de daarmee verbonden risico’s.
Een erkenning kan ook op verzoek van de houder worden ingetrokken. Evenals in de situatie waarin de Minister van BZK een erkenning intrekt, is het van belang dat de gevolgen van intrekking gemitigeerd kunnen worden. Om die reden heeft de Minister de bevoegdheid de houder te verplichten om zijn activiteiten voort te zetten gedurende een door Onze Minister te bepalen periode, voor zover dat nodig is om continuïteit van betrouwbare toegang tot elektronische dienstverlening te borgen. Voor die periode heeft de desbetreffende partij nog te gelden als erkende dienst en dient hij aan alle verplichtingen te voldoen. Een erkende dienst die verzoekt om intrekking zal zorg moeten dragen voor een beëindigingsplan. Een beëindigingsplan kan overigens ook door de Minister worden geëist indien de erkenning door hem is ingetrokken wegens het niet naleven van de gestelde eisen.
Artikel 9, negende lid
Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de procedure van erkenning, wijziging, schorsing en intrekking en de in dat verband te overleggen gegevens en informatie. Gedacht moet worden aan (administratieve) vereisten inzake het indienen en behandelen van een aanvraag om erkenning, de procedure van verlening van erkenning, te hanteren termijnen, de te overleggen documenten waaronder de verklaring van conformiteit, de conformiteitstoetsing en de eisen waaraan een instantie die een dergelijke toetsing uitvoert, moet voldoen.
Onderdeel E
Aanpassing van de grondslag voor gegevensverwerking door private partijen die een rol spelen bij een erkend privaat middel voor burgers, zoals geregeld in artikel 16, tweede lid, houdt verband met de wijziging van artikel 9 (zie de toelichting bij onderdeel C). De formulering «houder van een toelating» dient gelet hierop te worden vervangen door «krachtens artikel 9, tweede of derde lid, toegelaten houder van een erkenning».
Onderdeel F
Dit onderdeel behelst aanvulling van enkele toezichtbepalingen in artikel 17, verband houdend met de wijziging van artikel 9 (zie toelichting bij onderdeel C). Introductie van het systeem van open toelating/erkenning zal naar verwachting leiden tot een groter aantal betrokken private partijen en – middelen. In het verlengde daarvan wordt de inrichting van het toezicht in lijn gebracht met het toezicht zoals dat terzake van het bedrijfs- en organisatiemiddel is voorzien.
De leden 5, 7 en 8 van artikel 17, zoals gewijzigd, voorzien in toezicht op en handhaving van de regels en voorschriften die op grond van artikel 9 gesteld zijn aan de betrokken partijen en middelen. Uitgangspunt is dat eventuele interventies primair gericht zijn op herstel of op totstandkoming van de gewenste situatie. In situaties waarin dat nodig is, kan ook direct en repressief worden ingegrepen. Na toelating is het noodzakelijk om toezicht uit te oefenen op de naleving van de aan deze middelen en partijen gestelde regels.
Het toezicht op de naleving van de regels die bij of krachtens algemene maatregel van bestuur worden gesteld aan private partijen en -middelen, zal mogelijk worden belegd bij (de ambtenaren van het) Agentschap Telecom, onderdeel van het Ministerie van EZK. Reden hiervoor is de (technische) expertise en ervaring van Agentschap Telecom op het gebied van elektronische communicatie en communicatienetwerken, waaronder het toezicht op de naleving van de EU-verordening over het grensoverschrijdend gebruik van elektronische middelen en vertrouwensdiensten tussen lidstaten (eIDAS). Voor zover het de toegelaten publieke middelen betreft (artikel 9, eerste lid) zal nader worden bezien welke toezichthoudende ambtenaren worden aangewezen.
Hoe de toezichthouder invulling geeft aan zijn taak wordt neergelegd in een in door de Minister van BZK vastgesteld toezichtarrangement, dat mede gebaseerd is op een strategisch toezichtplan en uitgaat van programmatisch handhaven. Bij de procedure tot schorsing of intrekking van een erkenning (artikel 9, zevende lid) heeft de toezichthouder geen formele rol. Dit staat er niet aan in de weg dat, indien de toezichthouder van oordeel is dat een partij de eisen niet (langer) naleeft en schorsing of intrekking van de erkenning moet worden overwogen, de toezichthouder in het kader van zijn toezichtstaak de Minister van BZK gevraagd of ongevraagd kan adviseren om tot schorsing of intrekking van de erkenning over te gaan. Uiteindelijk is het de Minister die hiertoe beslist.
Met het geschetste instrumentarium is een afgewogen toezicht- en handhavingssysteem gecreëerd. De bevoegdheden voor de Minister van BZK op grond van artikel 9, zevende lid, respectievelijk artikel 17, zevende en achtste lid, kunnen waar nodig in samenhang worden toegepast. Zo kan de Minister, in een situatie dat een erkende partij een of meer eisen niet naleeft, aan de desbetreffende partij sancties opleggen. Deze sancties hebben geen gevolgen voor de erkenning van de betreffende partij of het betrokken middel. Indien sprake is van een dusdanig ernstige inbreuk dat de erkenning als middelenuitgever of authenticatiedienst wordt ingetrokken, dan is er ook aanleiding om de erkenning van het middel in te trekken. De toezichts- en sanctiebevoegdheden en instrumenten zijn gekozen vanuit een oogpunt van goede werking, veiligheid en betrouwbaarheid van authenticatie in het publieke domein. De toepasselijke sancties zijn repressief; er gaat niettemin een preventieve werking van uit.
Onderdeel G
De voorgestelde aanpassing van artikel 19, waarin wederzijdse informatieverstrekking wordt geregeld, houdt verband met de wijziging van artikel 9 (zie toelichting bij onderdeel C). Gespecificeerd wordt dat ook op de op grond van artikel 9, tweede of derde lid, toegelaten houders van een erkenning een informatieplicht rust respectievelijk dat zij van de Minister van BZK informatie verstrekt krijgen.
Onderdeel H
Analoog aan hetgeen met betrekking tot het bedrijfs- en organisatiemiddel geldt, wordt in artikel 22 geregeld dat voor de erkenningen in artikel 9 leges in rekening kunnen worden gebracht. De kosten van toezicht kunnen eveneens worden doorberekend aan de erkende diensten. Met het derde lid wordt verduidelijkt dat de hoogte van een heffing niet alleen kan verschillen voor verschillende soort handelingen die in het eerste lid zijn genoemd, maar dat daarbinnen ook nader onderscheid kan worden gemaakt. Zo is het mogelijk om onderscheid te maken tussen het behandelen van een aanvraag voor een erkenning van een middel dat wordt aangeboden door een partij die al houder is van een erkenning voor hetzelfde betrouwbaarheidsniveau. In dat geval ligt het niet voor de hand dat de aanbiedende partij opnieuw uitvoerig wordt doorgelicht. Voor het behandelen van een dergelijke aanvraag zijn derhalve minder uitvoeringshandelingen nodig – de nadruk ligt dan op doorlichting van het te erkennen middel – en kan een lagere heffing worden opgelegd.
Onderdelen I-J
Artikel 25 heeft zijn betekenis verloren nu er met betrekking tot private burgermiddelen niet zal worden aanbesteed. De inhoud van dit artikel kan dus komen te vervallen. Het vrijgevallen artikelnummer wordt gebruikt voor de portee van artikel 23a: voorhangprocedure.Het nieuwe artikel 25 zal ook de ingevolge artikel 9 vast te stellen amvb’s omvatten.
De Staatssecretaris van Binnenlandse Zaken en
Koninkrijksrelaties,
R.W. Knops