[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Nota naar aanleiding van het verslag

Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

Nota n.a.v. het (nader/tweede nader/enz.) verslag

Nummer: 2018D60719, datum: 2018-12-21, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-34972-6).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 34972 -6 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid).

Onderdeel van zaak 2018Z11914:

Onderdeel van zaak 2018Z24265:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2018-2019

34 972 Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 21 december 2018

Inhoudsopgave

I Algemeen 1
1. Inleiding 1
2. Standaarden 8
3. Elektronische identificatie (eID) 13
4. Privacy 21
5. Misbruik van de GDI 22
6. Toezicht en handhaving 22
7. Financiële bepalingen en -gevolgen 25
8. Verhouding tot andere wetgeving 28
9. Gevolgen voor burgers en bedrijven 29
10. Overgangsrecht en inwerkingtreding 30
11. Consultatie en advies Autoriteit Persoonsgegevens 30
II Artikelsgewijs 31

I ALGEMEEN

1. Inleiding

De leden van de VVD-fractie, de CDA-fractie, de D66-fractie en de DENK-fractie hebben met belangstelling kennisgenomen van het Wetsvoorstel digitale overheid. Zij hebben hierover diverse vragen en opmerkingen. Ik bedank de fracties voor hun bijdrage en ga in deze nota graag in op de gestelde vragen. Bij de beantwoording is zoveel mogelijk de indeling en volgorde van het verslag aangehouden, met dien verstande dat vergelijkbare vragen zijn samengenomen.

Waarschijnlijk is er geen ander beleidsdomein dat zo sterk wordt beïnvloed door de snel voortschrijdende technologische ontwikkeling als de digitale overheid. Met dit voorstel wordt de richting bepaald waarin de digitale overheid zich in de komende jaren ontwikkelt. In de voorliggende eerste tranche worden de zaken geregeld die nu nodig zijn. Ondertussen staat het denken niet stil en oriënteren we ons op nieuwe ontwikkelingen en de noodzaak die hieruit volgt om zaken te regelen via wetgeving. In dat licht bezien heeft dit wetsvoorstel een bijzonder karakter; het heeft een zekere toekomstbestendigheid, waardoor kan worden ingespeeld op nieuwe (technische) ontwikkelingen en gewijzigde inzichten en innovatie kan worden gefaciliteerd. Daarbij moet, in lijn met de advisering door de Raad van State, steeds bezien worden op welke wijze een werkbaar evenwicht kan worden gevonden tussen de benodigde wendbaarheid enerzijds en rechtszekerheid voor burgers en bedrijven anderzijds. In volgende tranches zullen verdere stappen worden gezet in de ontwikkeling van de digitale overheid. Dat geschiedt vanuit bepaalde waarden en waarborgen. Vanuit NL DIGIbeter zijn dat gebruiksvriendelijkheid, privacy, veiligheid en betrouwbaarheid. Deze stapsgewijze benadering sluit aan bij de aanbevelingen van de Commissie Elias.

De VVD-fractie constateert dat er een wetsvoorstel voorligt dat de digitale dienstverlening van de overheid uniformeert. De leden vragen zich af waar de focus van het wetsvoorstel ligt. Ook vragen zij zich af in hoeverre het wetsvoorstel gericht is op de gebruikers van de digitale overheid, wat het wetsvoorstel betekent voor burgers en bedrijven.

Het wetsvoorstel heeft een tweeledige focus. In de eerste plaats wordt de toegang tot digitale dienstverlening van de overheid gereguleerd. Het wetsvoorstel reguleert hetgeen nodig is om burgers en bedrijven veilig en betrouwbaar bij de overheid te kunnen laten inloggen: publieke voorzieningen als onderdeel van de GDI, veilige dienstverlening door overheidsorganen, eisen aan publieke en private identificatiemiddelen, informatieveiligheid, privacybescherming, voorkoming van misbruik en toezicht. Dit wordt aangeduid als het eID-stelsel. In de tweede plaats biedt het wetsvoorstel de grondslag voor de aanwijzing van (technische en interoperabiliteits-) standaarden, die door overheidsinstanties verplicht moeten worden toegepast teneinde het elektronische verkeer met burgers en bedrijven beter te laten verlopen. Terecht constateert de VVD dat het wetsvoorstel zich vooral richt tot de overheid zelf; het brengt mee dat overheidsinstanties (degenen tot wie de wet zich richt) hun bedrijfsvoering en werkprocessen moeten aanpassen. Dit zal er toe leiden dat burgers en bedrijven – de gebruikers van digitale overheidsdiensten – veilig, betrouwbaar en gebruiksvriendelijk bij de overheid kunnen inloggen.

De leden van de VVD-fractie krijgen voorts graag een reactie op de vragen, of er ook gekeken is naar de invloed van het wetsvoorstel op de digitale economie en de cyberveiligheid, hoe het bijdraagt aan de economische ontwikkeling in Nederland en aan een gecoördineerde aanpak van de overheid om Nederland online veiliger te maken.

Het wetsvoorstel voorziet in regels over cyberveiligheid. De focus ligt hierbij op de veiligheid van de toegang tot de digitale overheid en op de toepassing van de standaarden HTTPS en TLS, technische voorschriften die zorgen voor veilige verbindingen tussen (overheids)websites. Hiermee wordt, naast bestaande kaders zoals de EU Algemene verordening gegevensbescherming (AVG) en de Voorschriften informatiebeveiliging Rijksdienst (VIR), een basis gelegd voor het door overheidsorganisaties voldoen aan informatiebeveiligingsnormen, in het bijzonder bij de toegang tot hun elektronische dienstverlening. Cyberveiligheid begint bij het goed regelen en invullen van verantwoordelijkheden voor informatiebeveiliging die overheidsorganisaties zelf hebben. Het wetsvoorstel voorziet in verplichtingen voor organisaties die aansluiten op de digitale overheid en de wijze waarop de controle daarop plaatsvindt. Tevens is het voor cyberveiligheid van belang dat organisaties er rekening mee houden dat, ondanks dat informatiesystemen beveiligd zijn, er altijd inbreuken op systemen kunnen plaatsvinden. Het wetsvoorstel regelt ook dat er herstelvermogen is. Dat betekent dat als er onverhoopt inbreuken op informatiesystemen of processen plaatsvinden, organisaties moeten zorgen dat zij die snel in het vizier krijgen en moeten samenwerken om deze op te lossen. Daarbij kent het wetsvoorstel aan de Minister van BZK ten aanzien van de aanpak van misbruik en fraude binnen het eID-stelsel bevoegdheden toe om coördinerend op te treden, om geconstateerde inbreuken op veiligheid of misbruik snel te kunnen herkennen en zo nodig te herstellen.

Over maatregelen ter bevordering van de cyberveiligheid bij de overheid in het algemeen is uw Kamer afzonderlijk geïnformeerd bij brief van 16 oktober jl. (TK 2018–2019, 26 643 nr. 574). In het algemeen geldt dat de digitale economie gebaat is bij een betrouwbare digitale infrastructuur. In die zin dragen de zaken die het wetsvoorstel regelt om cyberveiligheid te verbeteren inherent bij aan de versterking van de digitale economie.

De leden van de VVD-fractie constateren dat er geen publiek inlogmiddel voor bedrijven komt en vragen zich af wat de reden daarvoor is. Voorts missen de leden van de VVD-fractie in het geheel van voorzieningen, die voorzieningen die juist voor het bedrijfsleven van belang zijn; zij vragen zich af of het mogelijk is de digitale basisvoorzieningen die voor burgers worden geregeld, zoals inloggen, in deze wet ook voor de digitale economie te regelen. Voorts vragen zij zich af, of er andere manieren zijn om behulpzaam te zijn bij het beslechten van de grens tussen digitale overheid en digitale economie. Ook de leden van de D66-fractie vragen zich af in hoeverre het de bedoeling is om publieke middelen buiten het publieke domein te gebruiken en of dat breed inzetbaar wordt. De leden van de CDA-fractie vragen in dit verband of het wetsvoorstel voldoet aan de uitgangspunten in de strategische verkenning eID-stelsel Nederland (2012), waarin werd gepleit voor een nationaal stelsel waarin overheid en bedrijfsleven samenwerken om burgers, consumenten en bedrijven goed, snel en veilig elektronisch te kunnen bedienen.

Voor bedrijven zal geen publiek middel worden uitgegeven. Reden hiervoor is dat het huidige stelsel van private middelen voor bedrijven naar tevredenheid functioneert. Nut en noodzaak van een publiek middel voor bedrijven ontbreken. Wel wordt met het wetsvoorstel het stelsel van private middelen voor bedrijven publiekrechtelijk ingekaderd; deze middelen behoeven erkenning door de Minister van BZK op basis van vooraf gestelde veiligheids- en betrouwbaarheidseisen, alvorens ze door bedrijven kunnen worden gebruikt om overheidsdiensten af te nemen. Ook wordt toezicht ingericht en gelden er bepalingen met betrekking tot privacybescherming en misbruik. Het in het wetsvoorstel bepaalde inzake private middelen voor bedrijven heeft een brede reikwijdte en geldt ook voor andere organisaties. Het wetsvoorstel spreekt om die reden ook over «bedrijfs- en organisatiemiddel», daarmee doelend op het inloggen bij de overheid door een onderneming of rechtspersoon als bedoeld in de Handelsregisterwet 2007.

Het verhogen van het betrouwbaarheidsniveau van de inlogmiddelen die worden gebruikt bij dienstverlening van de (semi)overheid heeft prioriteit. Het wetsvoorstel regelt geen basisvoorzieningen voor digitale transacties in de private (commerciële) sector, met uitzondering van de wijze van inloggen bij zorgverleners en pensioenuitvoerders. Dit houdt verband met het feit dat DigiD is ontwikkeld voor het inloggen bij dienstverleners die burgers in hun administratie herkennen aan de hand van het burgerservicenummer (bsn). Om die reden wordt via het inloggen met DigiD het bsn van de inloggende persoon geleverd aan de dienstverlener. Dit vergt dat dienstverleners gerechtigd zijn om bij de uitoefening van hun taak het bsn te verwerken, waardoor breed gebruik in het private domein niet mogelijk is. Voor zover mogelijk en noodzakelijk worden de grenzen tussen de digitale overheid en de digitale economie geslecht doordat het mogelijk wordt publieke middelen te gebruiken om in te loggen bij pensioenuitvoerders en zorgverleners. Het wetsvoorstel biedt voorts de mogelijkheid om de grens te slechten door toelating van een privaat inlogmiddel voor natuurlijke personen en door de erkenning van private inlogmiddelen voor bedrijven, waarna deze middelen zowel in het private domein als publieke domein gebruikt kunnen worden. Indien in de toekomst blijkt dat bij consumenten de behoefte ontstaat om publieke middelen of andere basisvoorzieningen van de overheid te gebruiken bij economische transacties, zal worden bezien op welke wijze dit mogelijk is met inachtneming van de regels over verwerking van het bsn en de Wet markt en overheid. Om de e basisvoorzieningen voor de digitale economie te kunnen regelen, moeten de voordelen opwegen tegen de kosten, informatieveiligheidsrisico’s voor de overheid en regeldruk voor private dienstverleners. Dit kan in een volgende tranche van het wetsvoorstel geregeld worden. Uitgangspunt van het kabinet is dat het inloggen bij commerciële dienstverleners (dus: buiten het publieke domein) zoveel mogelijk aan de markt moet worden overgelaten en de overheid hier geen rol heeft; het is van belang deze markt niet te verstoren en het groeipotentieel van marktpartijen niet te belemmeren.

De VVD-fractie vraagt voorts naar eventuele volgende tranches van de Wet digitale overheid, hoeveel tranches er zullen volgen, wat die zullen regelen en wat de bijbehorende tijdlijn is.

Met dit wetsvoorstel wordt de digitale overheid verankerd en wordt richting gegeven aan wat daarvoor op dit moment het meest nodig is: voorzieningen en eisen voor veilige en betrouwbare overheidsdienstverlening. De wet biedt een zekere mate van toekomstbestendigheid, maakt innovatie mogelijk en kan inspelen op onvoorziene ontwikkelingen, ook buiten het kader van eID-voorzieningen en -functionaliteiten. Voor zover dit niet het geval is, bijvoorbeeld omdat deze ontwikkelingen de reikwijdte van het huidige wetsvoorstel te buiten gaan of omdat herijking van gemaakte keuzes nodig is, liggen vervolgtranches in de rede. Het is op dit moment niet exact te zeggen hoeveel tranches van de wet nog zullen volgen, wat deze regelen en wat de planning hiervan is. Dit hangt af van de aard van de ontwikkelingen, alsmede van nut en noodzaak van verankering in formele wetgeving. Zaken waaraan voor een volgende tranche wordt gedacht zijn de verbetering van de persoonlijke informatiepositie van burgers, bredere toepassing van standaarden voor digitale dienstverlening, het digitaal machtigen van derden, meer functionaliteiten van MijnOverheid en informatieveiligheid. Over deze onderwerpen vindt de gedachtenvorming momenteel volop plaats; in feite is daarmee de voorbereiding van een volgende tranche reeds gestart.

De VVD-fractie vraagt zich voorts af waarom er voor de titel «wet digitale overheid» is gekozen, in hoeverre de inhoud van de wet, na wijziging naar aanleiding van de consultatie, in overeenstemming is met de titel, alsmede waarom de titel is gewijzigd ten opzichte van de consultatieversie van het wetsvoorstel.

De oorspronkelijke titel van het wetsvoorstel, de «Wet generieke digitale infrastructuur (GDI)», was ingegeven door de wens bestaande en toekomstige publieke voorzieningen van de GDI van een wettelijke basis te voorzien. Gaandeweg de voorbereiding van het wetsvoorstel groeide het besef dat deze titel niet helemaal recht doet aan de aard en inhoud van de voorgenomen bepalingen. De huidige titel brengt beter tot uitdrukking waar het om gaat: regulering van het digitaal werkende openbaar bestuur, met inbegrip van de voorzieningen die daarvoor beschikbaar zijn, vanuit de gedachte dat dienstverlening in het publieke domein aan burgers en bedrijven veilig en betrouwbaar moet zijn.

De VVD-fractie vraagt aandacht voor de initiatiefnota van de leden Middendorp en Verhoeven over online identiteit en regie op persoonsgegevens (TK 34 993). Daarin wordt een online identiteit bij de digitale overheid voorgesteld door het combineren van: 1) een veilig inlogsysteem, 2) het plaatsen van geselecteerde persoonsgegevens in een digitale kluis, 3) een digitaal contactadres voor iedere Nederlander. Met die drie componenten kan een online identiteit voor natuurlijke personen bij de digitale overheid worden gecreëerd. De leden van de VVD-fractie vragen in hoeverre het mogelijk is om met het onderhavige wetsvoorstel de in de initiatiefnota voorgestelde digitale kluis te introduceren, inclusief de verplichting van bestuursorganen en andere organen om deze kluis ook daadwerkelijk te gebruiken.

Over de wenselijkheid en haalbaarheid van de ideeën zoals voorgesteld in de initiatiefnota wordt momenteel van gedachten gewisseld met uw Kamer. Op een aantal punten is meer duidelijkheid gewenst over de precieze intenties en over de mogelijke realisatiewijze om te kunnen inschatten welke gevolgen de initiatiefnota heeft, bijvoorbeeld voor voorzieningen, systemen, capaciteit en kosten, alsmede om te kunnen bepalen welke wet- en regelgeving nodig is en in hoeverre het onderhavige wetsvoorstel daarvoor een basis zou kunnen bieden.

De leden van de CDA-fractie onderschrijven het uitgangspunt dat digitalisering mogelijkheden biedt voor betere overheidsdienstverlening. De CDA-fractie is met de Afdeling advisering van de Raad van State van mening dat toegang van burgers (en bedrijven) tot, en communicatie met de overheid, een basisrecht en een publieke verantwoordelijkheid is, die niet afhankelijk mogen worden van private partijen. De regering wordt verzocht nader in te gaan op dit uitgangspunt. Ook vraagt de CDA-fractie aandacht voor de positie van organisaties die niet vallen in de categorie burger of bedrijf.

De overheid zal voor burgers zelf identificatiemiddelen op meerdere betrouwbaarheidsniveaus uitgeven. Hiertoe is een zorgplicht voor de Minister van BZK in het wetsvoorstel opgenomen. Naast de invoering van deze publieke middelen, biedt het wetsvoorstel voor de Minister van BZK de mogelijkheid om een of enkele private middelen toe te laten, waarvan burgers gebruik kunnen maken bij het afnemen van overheidsdiensten. Er is dus geen sprake van afhankelijkheid van private partijen. Voor bedrijven zal geen publiek middel worden uitgegeven. Reden hiervoor is dat het huidige stelsel van private middelen voor bedrijven naar tevredenheid functioneert. Nut en noodzaak van een publiek middel ontbreken hier. Wel wordt met het wetsvoorstel het stelsel van private middelen voor bedrijven publiekrechtelijk ingekaderd; deze middelen behoeven erkenning door de Minister van BZK op basis van vooraf gestelde veiligheids- en betrouwbaarheidseisen, alvorens ze door bedrijven kunnen worden gebruikt om overheidsdiensten af te nemen. Ook wordt toezicht ingericht en gelden er bepalingen inzake privacybescherming en misbruik. Het in het wetsvoorstel bepaalde inzake private middelen voor bedrijven heeft een brede reikwijdte en geldt ook voor andere organisaties. Het wetsvoorstel spreekt om die reden ook over «bedrijfs- en organisatiemiddel», daarmee doelend op het inloggen bij de overheid door een onderneming of rechtspersoon als bedoeld in de Handelsregisterwet 2007.

Voor wat betreft een recht op toegang tot en communicatie met de overheid kan ik u mededelen, dat ik voornemens ben in de Algemene wet bestuursrecht (Awb), naast de papieren weg, een aanspraak op digitaal zaken doen met de overheid op te nemen. Ook ben ik voornemens in meer algemene zin, dus los van digitale overheidsdienstverlening, een zorgplicht voor bestuursorganen op te nemen, welke strekt tot ondersteuning bij communicatie met de overheid, opdat toegang tot de overheid verder wordt vergemakkelijkt.

De CDA-fractie constateert dat in het wetsvoorstel het onderscheid tussen burger- en bedrijfs- en organisatiemiddelen qua online identiteit en universele oplossingen niet is opgeheven. Voor bedrijven en organisaties is er bijvoorbeeld nog steeds maar één privaat middel en publieke middelen kunnen niet privaat gebruikt worden en daarmee bijdragen aan een «digital single market», die juist beoogd wordt met de eIDAS-verordening. De leden van de CDA-fractie vragen om hierop nader in te gaan.

Door in te loggen met het burgermiddel krijgen de dienstverleners de beschikking over het bsn van de inloggende persoon. Dienstverleners gebruiken echter het KvK- of RSIN-nummer om bedrijven te identificeren. Voor identificatie van rechtspersonen is daarom eHerkenning ontwikkeld. Voor zzp-ers is het bij sommige dienstverleners mogelijk om zowel in te loggen met publieke middelen als met eHerkenning. Het wetsvoorstel laat deze keuze ongemoeid. Het wetsvoorstel sluit aan bij de huidige praktijk. Afhankelijk van de ervaringen die worden opgedaan in het burger- en bedrijvendomein kan worden overwogen om deze domeinen verder te harmoniseren. Dit leidt dan mogelijk tot een aanvulling in een volgende tranche.

De leden van de CDA-fractie vragen voorts of de voorgestelde digitale infrastructuur aansluit bij de behoeften van de digitale samenleving, waarin de behoefte van de burger daadwerkelijk centraal wordt gesteld, waarbij de burger de generieke voorzieningen die hij al kent en gebruikt ook universeel kan gebruiken bij de overheid.

Het wetsvoorstel zorgt dat burgers en bedrijven overheidsbreed terecht kunnen met de door de Minister van BZK aangewezen middelen. Zij kunnen als gevolg van het wetsvoorstel met reeds bekende middelen, zoals DigiD en eHerkenning, digitaal zaken regelen bij overheidsorganisaties. Het gebruik van organisatiespecifieke inlogmethoden is niet langer toegestaan in het (semi)publieke domein behoudens uitzonderingsgevallen. Tot het gebruik van andere generieke voorzieningen door overheidsinstanties kan bij algemene maatregel van bestuur op basis van het wetsvoorstel worden verplicht.

Voorts constateert de CDA-fractie dat de Europese eIDAS-verordening bepaalt dat het vanaf september 2018 voor burgers en bedrijven mogelijk moet zijn om met de nationale, genotificeerde middelen in te loggen bij alle overheidsorganisaties binnen de EU. De leden van de fractie vragen zich af wat de stand van zaken is in de andere lidstaten, alsmede wat de stand van zaken is met betrekking tot het grensoverschrijdend gebruik van eID-middelen.

Sinds het van kracht worden van de eIDAS-verordening op 29 september 2018 is het voor Duitsers mogelijk om met hun eID-middel bij Nederlandse dienstverleners in te loggen. Dienstverleners werken hard aan het gereed maken van hun eigen dienstverlening hiervoor en een gestage groei in het aantal inlogpogingen geeft daar blijk van. In totaal zijn er nu zes EU-landen met een genotificeerd middel, te weten Duitsland, Kroatië, Estland, Luxemburg, Italië en Spanje. Naast Duitsland worden ook de verbindingen met deze landen gelegd. In Nederland wordt notificatie van inlogmiddelen voor bedrijven voorbereid (eHerkenning). Deze notificatie is volgens plan in 2019 afgerond. Aan de notificatie van publieke middelen voor burgers wordt eveneens gewerkt en deze zal naar verwachting in 2020 afgerond zijn.

De leden van de CDA-fractie constateren, dat er op het gebied van ICT en informatiebeveiliging reeds tal van audits bestaan. Deze leden vragen met welke externe audits op dit gebied medeoverheden op dit moment te maken hebben. De leden vragen zich af hoe zich hiertoe de aankondiging verhoudt dat de stand van zaken met betrekking tot de informatiebeveiliging controleerbaar of auditbaar moet zijn.

Vanaf 2018 leggen medeoverheden verantwoording af via de Eenduidige Normatiek Single Information Audit (ENSIA) methodiek. Doel hiervan is het verantwoordingsproces over informatieveiligheid van medeoverheden verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke planning & control-cyclus. Zo moeten medeoverheden over de Basisregistratie Personen (BRP), de elektronische infrastructuur gebruikt bij uitvoering van de taken op het gebied van werk en inkomen (Suwinet), de Basisregistratie adressen en gebouwen (BAG), Basisregistratie grootschalige topografie (BGT), de Basisregistratie ondergrond (BRO) en DigiD verticaal verantwoording afleggen. De horizontale verantwoording aan de gemeenteraad vormt hiervoor de basis. Voor specifieke normen van die registraties vullen de medeoverheden een vragenlijst in (zelfevaluatie). Daarnaast dient er voor Suwinet en DigiD een audit plaats te vinden door een onafhankelijke auditor. Aldus is informatiebeveiliging controleerbaar. Met het onderhavige wetsvoorstel zal de DigiD-audit worden omgevormd tot een «toegang tot de digitale overheid audit». Deze sluit nauw aan bij de bestaande systematiek; de auditlast neemt niet toe. De genoemde zelfevaluaties en de Suwinet audit blijven daarnaast van toepassing. Hierdoor is informatiebeveiliging, en specifiek de beveiliging van de toegang tot elektronische diensten, controleerbaar. Zoals ik onlangs heb aangekondigd, wordt de systematiek van de zelfevaluaties geëvalueerd om tot een verbetering van de verantwoording te komen.

De leden van de CDA-fractie refereren aan het feit, dat informatieveiligheid bij het ontwerp van de toegang tot elektronische dienstverlening centraal staat (MvT blz. 2), alsmede «privacy by design» (MvT blz. 23). Zij vragen in dit verband waar het gebruikersgemak is gebleven en of de ontsluiting ook vormgegeven wordt met het oog op de gebruiker.

Privacy, beveiliging en gebruiksvriendelijkheid zijn communicerende vaten en aspecten die onderling gewogen moeten worden. Bij een middel dat veilig is, maar op een zodanige manier is vormgegeven dat het moeilijk te gebruiken is, zal het gebruik ervan achterblijven. Om als privacy maatregel effect te kunnen hebben en uiteindelijk snel een belangrijke bijdrage te kunnen leveren in breder verband (privacybescherming bij dienstaanbieders) is het belangrijk dat het eID stelsel werkbaar is in termen van gebruikersgemak. Dat heeft een positief effect op het gebruik en adoptiesnelheid. Gebruiksvriendelijkheid en laagdrempelige toepasbaarheid is voor zowel burgers als overheden een belangrijk uitgangpunt. Dat geldt zowel voor het gebruik door burgers als de wijze waarop aansluiting door overheidsorganisaties kan worden gerealiseerd. Het past ook in het beleidskader NL DIGIbeter, waarin inclusie, zorgen dat iedereen kan meedoen, een speerpunt is.

De leden van de CDA-fractie vragen welke stappen worden gezet om de ambitie te verwezenlijken, dat in 2020 in beginsel alle actieve DigiD-gebruikers kunnen beschikken over een elektronisch identificatiemiddel op het betrouwbaarheidsniveau substantieel of hoog. De CDA-fractie vraagt zich voorts af welke lasten het wetsvoorstel voor de actieve DigiD-gebruikers meebrengt.

De regering heeft de ambitie om te bevorderen dat in 2020 in beginsel alle actieve DigiD-gebruikers – thans ruim 13,5 miljoen burgers – kunnen beschikken over een elektronisch identificatiemiddel op het betrouwbaarheidsniveau substantieel of hoog. De huidige oplossingen voor DigiD substantieel bereiken thans niet de totale gewenste doelgroep. Dit hangt samen met het feit dat een aanzienlijk deel van de doelgroep niet beschikt over een smartphone met een Android besturingssysteem met NFC-lezer. Ik zoek doorlopend naar mogelijkheden en alternatieven voor deze doelgroep, alsmede welke bruikbare alternatieven er zijn voor het aanschaffen van een kaartlezer. Zowel het onderzoek naar de mogelijkheden voor het tijdelijk opwaarderen van de DigiD-app naar het niveau substantieel op niet-Android smartphones als het verkennen van andere mogelijkheden vallen daaronder. De verwachting is desondanks dat niet op de hele korte termijn de beoogde doelgroep bereikt zal kunnen worden. Om een groot deel van de doelgroep snel een alternatief identificatiemiddel op niveau substantieel te kunnen bieden start ik daarom op korte termijn een aanbesteding voor een privaat middel op niveau substantieel.

De geleidelijke introductie van DigiD op betrouwbaarheidsniveau hoog is reeds gestart met de uitgifte van daarvoor geschikte rijbewijzen. Samen met sectoren waarin vraag is naar het hoogste betrouwbaarheidsniveau, zoals die sectoren waarin medische persoonsgegevens worden verwerkt, werk ik aan de verdere invoering. Op dit moment wordt tevens gewerkt aan de beschikbaarheid van DigiD hoog op de Nederlandse identiteitskaart. Daarnaast wordt tevens bezien of private alternatieven op niveau hoog kunnen worden ingezet. Wat de kosten (leges) voor burgers concreet zullen zijn zal in grote mate afhangen van gekozen oplossingen. Het streven is daarbij uiteraard deze kosten zo beperkt mogelijk te houden. In de loop van 2019 is hierover naar verwachting meer bekend.

De CDA-fractie constateert terecht dat het wetsvoorstel op verschillende punten de grondslag biedt voor nadere uitwerking in een algemene maatregel van bestuur. Gevraagd wordt of hierop een voorhangprocedure van toepassing is, en zo nee, waarom niet.

Een voorhangprocedure bij deze amvb’s was aanvankelijk niet voorzien. Reden hiervan is dat de kaders ter zake in het wetsvoorstel zijn opgenomen en worden toegelicht in de memorie van toelichting. Door deze wijze van delegatie, die in lijn is met het uitgangspunt van het primaat van de wetgever, kan vroegtijdig(e) inzicht en betrokkenheid door uw Kamer gerealiseerd worden. Voor de verplichte amvb’s, te weten die inzake informatieveiligheid en persoonsgegevens (uitwerking van de voorgestelde artikelen 4 en 16) en inzake bedrijfs- en organisatiemiddelen en bijbehorende diensten (uitwerking van de voorgestelde artikelen 11–13 en 22) zal ik echter toch een voorhangprocedure hanteren, omdat deze een zwaartepunt in de uitvoering vormen. Ik zal hiertoe bij nota van wijziging een voorhangprocedure in het wetsvoorstel opnemen.

De leden van de DENK-fractie leden vragen zich af, of Nederland goed genoeg ontwikkeld is om over te gaan op digitaal stemmen.

De Minister van BZK heeft in haar brief van 15 juni jl. (TK 2017–2018, 33 829 nr 83) aangegeven dat ons stemproces nu niet kwetsbaar is voor digitale dreigingen. Het kabinet wil, gelet op de dreigingen die thans worden onderkend, dergelijke kwetsbaarheden ook niet in het stemproces introduceren. Wel wil het kabinet stappen zetten naar het elektronisch tellen van de stembiljetten. Om elektronisch te kunnen tellen is een ander stembiljet nodig. De Minister van BZK heeft uw Kamer toegezegd begin 2019 concrete voorstellen te zullen doen voor een nieuw stembiljet zodat uw Kamer zich daarover kan uitspreken.

2. Standaarden

De leden van de VVD-fractie stellen terecht vast, dat het wetsvoorstel een grondslag bevat om bij algemene maatregel van bestuur open standaarden aan te wijzen die overheden dienen te hanteren in het elektronisch verkeer met andere overheden, met burgers en met bedrijven. Ingevolge artikel 3, tweede lid, kan een standaard bij algemene maatregel van bestuur worden aangewezen. Dit is een niet-imperatieve bepaling. De VVD-fractie vraagt zich af, waarom is gekozen voor een niet-imperatieve bepaling als een generieke digitale infrastructuur wenselijk is. De CDA-fractie constateert in aansluiting hierop dat het «pas toe of leg uit»-principe voor bepaalde open standaarden het meest proportionele instrument blijft. Echter, voor sommige standaarden is het bevorderen van het gebruik onvoldoende en moeten overheidsorganisaties de standaard eenvoudigweg toepassen. De leden van de CDA-fractie vragen of de regering dit onderscheid nader kan toelichten en welke afweging bij het besluit om open standaarden op te leggen wordt gemaakt. Voorts vragen de leden van de CDA-fractie op welke termijn de regering van plan is gebruik te maken van deze mogelijkheid.

Het open karakter van standaarden betekent dat deze algemeen kenbaar en beschikbaar zijn. De term «open» staat los van toepassing. Kabinetsbeleid is dat open standaarden worden toegepast, tenzij een overheidsorganisatie goede reden heeft om dat niet te doen (zogeheten «pas toe of leg uit»). Met dit wetsvoorstel (artikel 3) wordt er in voorzien dat in bepaalde gevallen de toepassing van open standaarden wordt verplicht. Bij algemene maatregel van bestuur wordt dan toepassing voorgeschreven wanneer dat noodzakelijk en proportioneel is gelet op de goede werking, de veiligheid, de betrouwbaarheid, de duurzame toegankelijkheid of de doelmatigheid van het elektronische verkeer, dan wel noodzakelijk is ter uitvoering van internationaal of Europees recht. Of hiervan sprake is zal door mij per geval worden bezien in nauwe samenwerking met de andere departementen, wiens organen (zoals uitvoeringsorganisaties) betrokken zijn. Alleen indien de noodzaak tot aanwijzing vaststaat en de standaard in een amvb wordt opgenomen, is deze voor de organen waarvoor deze geldt (generiek) van toepassing en mogen zij hiervan niet (langer) afwijken. De regering heeft het voornemen om als eerste de open standaard HTTPS te verplichten. De amvb die daarin voorziet wordt momenteel voorbereid en zal naar verwachting worden vastgesteld (kort) nadat de wet in werking is getreden.

De VVD-fractie vraagt zich in dit verband af, of een bij amvb aangewezen standaard voor alle organen, zoals genoemd in artikel 2 van de wet, geldt, of dat de standaard per orgaan kan verschillen. De leden vragen in hoeverre dat laatste voor de hand ligt vanuit het oogpunt van eenduidigheid en duidelijkheid van de generieke digitale infrastructuur.

Het kabinet zal per geval bezien wat het benodigde functionele toepassingsbereik van de aan te wijzen standaard is, alsmede voor welke organen de verplichting tot toepassing noodzakelijk is. Het voorgestelde artikel 3, derde lid, maakt in dit verband differentiatie mogelijk. Wanneer eenduidigheid en generieke toepassing dit vereisen, zal evenwel een ruime (functionele en/of personele) werkingssfeer in de desbetreffende amvb worden verankerd. Niet altijd is een standaard voor ieder orgaan relevant.

De VVD-fractie vraagt zich voorts af, of de Kamer wordt geïnformeerd als wordt overgegaan tot het vaststellen van een algemene maatregel van bestuur.

Het voornemen tot aanwijzing van een standaard zal worden gepubliceerd in het kader van (internet)consultatie. Een ieder kan van het voornemen kennis nemen en hierop reageren. De verkregen input wordt in het verdere voorbereidingsproces van de amvb meegenomen. Vanzelfsprekend ben ik te allen tijde bereid middels een technische briefing inzicht te geven in de (technische) uitvoeringsdetails.

De VVD-fractie heeft een aantal vragen over hetgeen het wetsvoorstel regelt met betrekking tot de overheidshuishouding als het gaat om persoonsgegevens. Zij vragen zich af wat de rijksoverheid met deze wet kan opleggen als het gaat om bronnen waar gegevens opgeslagen worden, bijvoorbeeld het gebruik van één bron voor (bepaalde) persoonsgegevens.

Het wetsvoorstel laat onverlet dat de vigerende regels ten aanzien van de verwerking van persoonsgegevens door overheidsorganisaties van toepassing zijn. Voor de omgang met persoonsgegevens geldt voor overheidsorganisaties het kader van de AVG, de Uitvoeringswet AVG en domeinspecifieke (privacy)wetgeving. Dit geldt ook voor de eenmalige uitvraag van gegevens. Dit wetsvoorstel raakt de overheidshuishouding in zoverre, dat het voorstel eisen stelt aan identificatie van burgers als zij zaken doen met de overheid of als door de overheid inzage wordt gegeven in hun informatie, waaronder hun persoonsgegevens. Hierdoor wordt bijgedragen aan de bescherming van persoonsgegevens bij deze organisaties.

Het is de leden van de VVD-fractie opgevallen dat veel zaken bij algemene maatregel van bestuur worden bepaald en dat ook sprake is van ministeriële regelingen en beleidsregels. De VVD-fractie vraagt zich af of er een overzicht kan worden gegeven van de onderwerpen die bij algemene maatregel van bestuur, ministeriële regeling dan wel beleidsregels nader worden uitgewerkt.

Het wetsvoorstel behoeft op onderdelen nadere uitwerking. Het wetsvoorstel bevat hiertoe een aantal delegatiebepalingen. Het gaat daarbij om de volgende uitvoeringsregelgeving:

– Amvb informatieveiligheid en persoonsgegevens, uitwerking van artt. 4 en 16 WDO;

– Regeling classificering betrouwbaarheidsniveaus, uitwerking van art. 6 WDO;

– Regeling gebruik(svoorschriften), uitwerking van art. 10 WDO;

– Amvb bedrijfs- en organisatiemiddelen en bijbehorende diensten, uitwerking van artt. 11- 13 en 22 WDO;

– Regeling bekostiging, uitwerking van artt. 20–21 WDO;

– Regeling aansluiting, uitwerking van art. 29 WDO.

– Beleidsregels toelating, uitwerking van art. 9 WDO.

Daarnaast zijn op enkele onderdelen nadere regels mogelijk; hiertoe zijn «kan» bepalingen opgenomen. Deze zijn in het bovenstaande overzicht niet meegenomen, omdat nog niet duidelijk is in hoeverre, op welke wijze en op welke termijn hiervan gebruik gaat worden gemaakt.

De leden van de CDA-fractie constateren dat overheidsorganisaties binnen het Rijk bij aanschaf of (ver)bouw van ICT-systemen de open standaarden hanteren, die op de zogeheten «pas toe of leg uit»-lijst staan. Afwijken van deze verplichting mag alleen in geval van zwaarwegende redenen; verantwoording hierover moet worden afgelegd in het jaarverslag. De leden van de CDA-fractie vragen hoe deze verantwoording achteraf zich verhoudt tot de zorgplicht van de Minister. De leden vragen of de bedoelde afweging niet gemaakt zou moeten worden in goed overleg, mede in verband met de constatering dat rond de adoptie van open standaarden er in jaarverslagen onvoldoende verantwoord wordt waarom het tempo op dat vlak laag ligt.

Het open standaardenbeleid geeft overheidsorganisaties de vrijheid om hun eigen afweging te maken over het al dan niet gebruiken van een standaard die is opgenomen op de «pas toe of leg uit» lijst. Dat is bewust, omdat organisaties doorgaans zelf het beste in staat zijn een afweging te maken inzake het al dan niet toepassen van standaarden. Zij kunnen daardoor bijvoorbeeld hun eigen investeringsmoment bepalen. Het zou te ver voeren om overheidsorganisaties te vragen om bij afwijking vooraf de Minister te consulteren. Daarmee zou een complex en uitgebreid systeem in het leven worden geroepen en worden onnodige interbestuurlijke lasten veroorzaakt die niet opwegen tegen de maatschappelijke baten. Wanneer de adoptie achterblijft, wordt op mijn verzoek door het Forum Standaardisatie ingezet op het voeren van gesprekken, het geven van voorlichting en waar nodig het interveniëren op hoogbestuurlijk niveau, zoals via het Overheidsbreed Beleidsoverleg Digitale Overheid. Met dit wetsvoorstel kan indien nodig gebruik worden gemaakt van de mogelijkheid die artikel 3 biedt en kunnen overheidsorganisaties tot toepassing worden verplicht.

De leden van de CDA-fractie vragen wat de stand van zaken is met betrekking tot de afspraken tussen overheden. Deze leden constateren dat de afspraken in het kader van het Nationaal Beraad Digitale Overheid een geldigheid hadden tot eind december 2017.

De afspraak zoals gemaakt door het Nationaal Beraad Digitale Overheid was erop gericht beter te voldoen aan een aantal standaarden. In 2,5 jaar tijd is hierdoor voor deze standaarden de gemiddelde adoptiegraad onder overheden toegenomen van 35% naar meer dan 80%. De opvolger van het Nationaal Beraad, het Overheidsbreed Beleidsoverleg Digitale Overheid, heeft begin 2018 de ambitie uitgesproken om de achterblijvers alsnog over de streep te trekken. In de meest recente meting van eind september 2018 is de gemiddelde adoptie verder gestegen naar 87%. Via de koepels zullen de achterblijvers worden aangesproken en zo nodig geholpen worden om alsnog te voldoen aan de streefbeeldafspraak. Aanvullend op de streefbeeldafspraak uit 2017 zijn er begin 2018 twee nieuwe streefbeeldafspraken gemaakt: naast het over de streep halen van de restgroep van de afspraak uit 2017, is er een afspraak gemaakt om de standaard HTTPS uiterlijk eind 2018 op alle overheidssites te hebben toegepast en conform NCSC advies te hebben geconfigureerd. Uiterlijk eind 2019 moeten overheidsorganisaties de anti-phishing e-mail standaarden (DKIM/SPF/DMARC) en de standaarden tegen meeluisteren van e-mail (STARTTLS en DANE) hebben toegepast. Verder wordt de adoptie van de informatieveiligheidstandaarden halfjaarlijks gemonitord. De laatste meting dateert van september. Onlangs heb ik in een brief aan uw kamer aangekondigd dat begin volgend jaar wordt bezien in hoeverre de implementatieafspraken zijn behaald en of meer harde verplichtingen opportuun zijn om de veiligheid van digitale communicatie met de overheid via web en e-mail te bevorderen.

De leden van de CDA-fractie vragen hoe het gebruik van de verplichte standaarden jaarlijks zal worden gemonitord.

De adoptie van de «pas toe of leg uit»-lijst wordt jaarlijks gemeten door het Bureau Forum Standaardisatie. Wanneer bij amvb open standaarden verplicht worden gesteld, zal het gebruik daarvan eveneens in de monitoring door het Bureau Forum Standaardisatie meelopen.

De leden van de D66-fractie vragen welke overheidsinformatie op dit moment vastgelegd is middels software die gebruik maakt van gesloten standaarden. De D66-fractie vraagt of snel zal worden toegewerkt naar volledige open standaarden middels de te introduceren wettelijke basis. Voorts vraagt de D66-fractie voor welke standaarden in welke domeinen dit onmogelijk wordt geacht en of het kan voorkomen dat indien bepaalde open standaarden verplicht worden, contracten met particuliere softwareverleners opgezegd moeten worden en welke kosten dit met zich mee brengt. Dit zou met name een probleem kunnen zijn bij overheidsinstanties die nog een slag te maken hebben wat open standaarden betreft, zoals waterschappen.

Momenteel wordt niet gemeten welke overheidsinformatie is vastgelegd met open standaarden. Wel wordt gemeten in hoeverre overheden voldoen aan standaarden van de «pas toe of leg uit»-lijst bij aanbestedingen en wordt in de toekomst de naleving gemonitord van de standaarden die verplicht zijn bij amvb. Kabinetsbeleid is het toepassen van open standaarden om te voorkomen dat de rechtszekerheid wordt bedreigd, de informatieveiligheid wordt ondermijnd, de kosten te hoog zijn, de leveranciersafhankelijkheid te groot is of de archivering van documenten en gegevens gevaar loopt. Op voorhand zie ik geen sector waar het principieel onmogelijk zou zijn om open standaarden toe te passen. Of er wrijving optreedt, en hoe groot deze is, is evenwel afhankelijk van het soort standaard. De impact van het verplicht stellen van een standaard zal per geval in kaart worden gebracht. Onder andere worden dan de kosten van het verplicht stellen en eventuele aanpassingen van software onderzocht. Het is denkbaar dat contractvoorwaarden aangepast moeten worden. Per voorgenomen amvb wordt bekeken of een overgangsperiode in de rede ligt om de overstap naar het werken met een verplichte standaard mogelijk te maken. Bovendien zal de voorgenomen amvb breed ter consultatie worden voorgelegd, opdat op uitvoerbaarheid kan worden getoetst.

De leden van de CDA-fractie vragen zich voorts af op welke wijze besloten wordt om een open standaard verplicht te stellen en aan welke voorwaarden moet worden voldaan. Ook vraagt de CDA-fractie zich af, hoe vervolgens wordt gecontroleerd of dit daadwerkelijk opgevolgd wordt door de overheidsinstanties.

Verplichte toepassing door overheidsinstanties, oftewel het niet langer mogelijk maken van de «leg uit-optie», is het «ultimum remedium» van het openstandaardenbeleid. Verplichtstelling wordt door mij, in samenspraak met de andere betrokken departementen, overwogen wanneer de goede werking, de veiligheid, de betrouwbaarheid, de duurzame toegankelijkheid of de doelmatigheid van het elektronisch verkeer in gevaar komen. Artikel 3 van het wetsvoorstel bevat de voorwaarden waaraan moet worden voldaan, wil een open standaard verplicht kunnen worden gesteld. Het voornemen tot aanwijzing van een standaard zal worden gepubliceerd in het kader van (internet)consultatie. Een ieder kan hiervan kennis nemen en reageren. De verkregen input wordt in het verdere voorbereidingsproces van de amvb meegenomen. Het (interbestuurlijke) toezicht op de naleving vindt plaats binnen de eigen beleidskolom. Hiertoe wijst de Minister die het aangaat toezichthoudende ambtenaren aan.

De leden van de D66-fractie lezen dat de regering van plan is bij amvb de Europese toegankelijkheidsnorm EN 201 549 toe te passen als standaard en vragen of de regering kan toelichten op welke wijze dit websites in de publieke sector toegankelijker maakt.

De Europese toegankelijkheidsnorm EN 301549 is verankerd in de Webtoegankelijkheidsrichtlijn (EU-richtlijn nr 2016/2102). Deze richtlijn is omgezet in het (Tijdelijk) Besluit digitale toegankelijkheid overheid. Omdat de omzetting in nationale regelgeving voor 23 september 2018 diende plaats te vinden, is deze amvb vooruitlopend op inwerkingtreding van de onderhavige wet op 1 juli 2018 van kracht geworden. Na inwerkingtreding zal de wet de grondslag gaan vormen voor het Besluit digitale toegankelijkheid overheid. Verplichte toepassing van norm EN 301549 – die gebaseerd is op de wereldwijd geaccepteerde toegankelijkheidsstandaard WCAG 2.0/2.1 – houdt in dat overheidsinstanties de noodzakelijke maatregelen moeten treffen om hun websites en mobiele applicaties toegankelijker te maken. Ze zijn verplicht hierover onderbouwd verantwoording af te leggen in een openbare toegankelijkheidsverklaring. In gevallen waarbij (nog) niet kan worden aangetoond dat aan alle eisen uit EN 301549 wordt voldaan moet in de toegankelijkheidsverklaring voor elke niet nageleefde eis worden aangegeven wat daarvan de oorzaak is, wat het gevolg is voor mensen met een functiebeperking, of een alternatief beschikbaar is, welke maatregelen de overheidsinstantie neemt om in de toekomst wel te gaan voldoen en een planning wanneer de maatregelen zullen zijn uitgevoerd. Dit wordt door mij gemonitord.

Voorts zijn de leden van de D66-fractie zeer positief over het verplichten van de HTTPS en TLS standaard op basis van dit wetsvoorstel en vragen wanneer aan dit voornemen gevolg zal worden gegeven.

Het verheugt mij dat de fractie D66-steun uitspreekt voor het verplicht stellen van de HTTPS en TLS standaard. Het voornemen is om een amvb die tot toepassing van deze open standaarden verplicht, vast te stellen (kort) nadat de onderhavige wet in werking is getreden.

De leden van de DENK-fractie lezen in par. 2.6. MvT maatregelen om fraude te voorkomen. Zij constateren dat uit nieuwsberichten blijkt dat elektronisch stemmen niet perfect te beveiligen is en dat de genoemde maatregelen ook niet waterdicht zijn. De DENK-fractie vraagt zich af, of dit systeem niet te onveilig is om gebruikt te worden. De leden vragen zich af, hoe actueel en veilig de software is die gebruikt wordt in geval van elektronische verkiezingen. De leden van de DENK-fractie vragen zich voorts af, hoe bestendig de software is tegen mogelijke cyberaanvallen. De DENK-fractie vraagt zich ten slotte af, of het niet verstandiger is om op block-chain technologie te wachten alvorens over te gaan op digitaal stemmen.

In Nederland wordt niet elektronisch gestemd. De Ondersteunende Software Verkiezingen (OSV) wordt niet gebruikt bij het stemmen en ook niet bij het tellen van de stembiljetten. Dat gebeurt handmatig. OSV wordt gebruikt bij het aggregeren van de tellingen met als doel de totaaluitslag en de zetelverdeling uit te rekenen. De Minister van BZK heeft in haar brief van 15 oktober jl. uw Kamer gemeld dat de Kiesraad, in wiens opdracht de OSV is ontwikkeld, blijft investeren in verdere verbeteringen. Het Ministerie van BZK biedt de Kiesraad alle mogelijke ondersteuning die de Raad daarbij wenst. Dat geldt zowel voor het verbeteren van programmatuur voor de komende verkiezingen als, zou de Kiesraad daartoe besluiten, voor de vernieuwing ervan voor de langere termijn. De Kiesraad werkt nu concreet aan een aantal verbeteringen in OSV ten behoeve van de verkiezingen van 2019. De Kiesraad betrekt externe beveiligingsdeskundigen daarbij om mogelijke (nieuwe) kwetsbaarheden in kaart te brengen en om te kunnen beoordelen welke maatregelen daar effectief tegen getroffen kunnen worden. De Kiesraad neemt daarin uiteraard de kwetsbaarheden mee die eerder door een aantal instanties/personen zijn gesignaleerd. Daarbij moet gedacht worden aan bijvoorbeeld de encryptie, de data-integriteit en beveiligingsupdates. De Kiesraad en het Ministerie van BZK zullen in de komende weken met de externe beveiligingsdeskundigen ook bepalen of het nodig is aanpassingen door te voeren in de instructies die de gemeenten krijgen voor het gebruik van OSV bij de verkiezingen. Ik memoreer tevens dat recent een wetsvoorstel is ingediend bij uw Kamer om het mogelijk te maken dat de processen-verbaal en de opgave van de burgemeesters op het internet openbaar gemaakt worden. Dat is een belangrijke stap om de controleerbaarheid en transparantie van het berekenen van de uitslag te vergroten.

3. Elektronische identificatie (eID)

De leden van de VVD-fractie constateren dat met het wetsvoorstel de mogelijkheid wordt gecreëerd om één of meerdere door private partijen uitgegeven identificatiemiddelen te laten fungeren als een gelijkwaardige elektronische toegangsvoorziening bij dienstverlening van de overheid. Zij vragen zich af, in hoeverre er sprake is van een multimiddelenstrategie en in hoeverre het beleid er op gericht is om privaat uitgegeven inlogmiddelen daadwerkelijk toe te laten. Het komt de leden van de VVD-fractie voor dat er nu sprake is van een «overheidsmiddel plus terugvaloptie»-strategie. De VVD-fractie meent dat er veel meer zekerheid zou moeten worden gegeven aan de private aanbieders en vragen zich af, in hoeverre dat in het wetsvoorstel verankerd is. Zij vragen zich voorts af, wat in het wetsvoorstel moet worden opgenomen om dat voor elkaar te krijgen.

De centrale doelstelling in het wetsvoorstel is om ervoor te zorgen dat er identificatiemiddelen op hogere betrouwbaarheidsniveaus continu beschikbaar zijn. Burgers moeten veilig en ongestoord zaken kunnen doen met de overheid. Om dat snel voor elkaar te krijgen is het noodzakelijk dat een of meerdere alternatieven voor het huidige middel met een hoge dekkingsgraad beschikbaar komen. Burgers kunnen dan ook een privaat middel als hun primaire inlogmiddel gebruiken; dat zal dus niet slechts een terugvaloptie voor het publieke middel zijn. Om dat te realiseren maakt het wetsvoorstel het mogelijk om een of meerdere private identificatiemiddelen toe te laten. Op dit moment wordt een aanbesteding voorbereid om in dit kader één of meerdere private authenticatiemiddelen te verwerven, waarbij de markt vooraf duidelijkheid wordt geboden over de opdracht. In lijn met de doelen in NL DIGIbeter wil ik daarbij oog hebben voor innovatieve dienstverlening. Het kan dus zijn dat er in de toekomst meerdere (dus: publieke en private) middelen te gebruiken zijn door burgers, maar een multimiddelenstrategie of het creëren van een markt daarvoor is geen doel in zichzelf.

Voorts vragen de leden van de VVD-fractie hoe het aanwijzen van een privaat identificatiemiddel als toegelaten identificatiemiddel gaat. Zij vragen zich af waarom is gekozen voor aanbesteden via de Aanbestedingswet en niet voor accreditatie.

De aanwijzing van een privaat middel als toegelaten identificatiemiddel komt tot stand via een openbare aanbesteding. Op basis van de mate waarin voldaan wordt aan de aanbestedingscriteria kan een middel worden aangewezen. Van een besluit tot toelating van een middel wordt mededeling gedaan door plaatsing in de Staatscourant waarbij het betrouwbaarheidsniveau van het betreffende middel wordt vermeld. Door middel van de procedure conform de Aanbestedingswet 2012 kan het Ministerie van BZK verplichte levering afdwingen, alsmede de private partij op aspecten zoals betaalbaarheid en dekkingsgraad selecteren. De keuze voor accreditatie zou meebrengen dat de private leverancier wel gerechtigd maar niet verplicht is om te leveren. Deze onzekerheid is voor de gebruiker van de middelen en voor de publieke dienstverleners ongewenst, alsmede conflicterend met het belang van het realiseren van een betrouwbaar alternatief voor DigiD om de continuïteit van dienstverlening te waarborgen. Tevens zou de keuze voor accreditatie kunnen leiden tot de toelating van een onbeperkt aantal private authenticatiemiddelen, wat de ontzorging van dienstverleners, en daarmee de uitvoerbaarheid, niet ten goede komt.

Voorts vraagt de VVD-fractie zich af in hoeverre de onafhankelijke toezichthouder een certificerende instelling wordt die een level playing field organiseert voor private en publieke middelen of dat het meer een voorportaal voor een aanbestedingsprocedure is. De VVD-fractie vraagt of het de bedoeling is dat mensen in de toekomst met een «dropdown-menu» uit private en publieke aanbieders kunnen kiezen om in te loggen bij de overheid. Ook vragen de leden van de VVD-fractie zich af, hoe ver private partijen zijn in het ontwikkelen van dergelijke middelen.

De Minister van BZK zal toezichthoudende ambtenaren aanwijzen om te controleren of leveranciers van erkende middelen en diensten aan de eisen voldoen, zowel op het moment van de aanbesteding als in een later stadium. Certificeren of het organiseren van een «level playing field» is geen taak van de toezichthoudende ambtenaren. Zij faciliteren de Minister van BZK bij het toelaten van burgermiddelen en het erkennen van bedrijfs-en organisatiemiddelen, alsmede de eventuele intrekking daarvan. Private partijen ontwikkelen middelen die mogelijk aan de betrouwbaarheidseisen voldoen. De marktconsultatie heeft dit bevestigd. Indien private middelen worden toegelaten door BZK naast het publieke middel, is een «dropdown-menu» een voor de hand liggende technische wijze om de opties aan gebruikers te presenteren. Het hangt dan van de voorkeur van de burger af in welke mate het middel gebruikt wordt.

Met betrekking tot de reikwijdte van de bestuursorganen waar het wetsvoorstel betrekking op heeft, zo lezen de leden van de VVD-fractie, geldt de wet in de eerste plaats voor zgn. «a-bestuursorganen», voor zover zij elektronische diensten ter uitvoering van een publieke taak, in het algemeen belang of anderszins, waarbij het bsn wordt verwerkt, verlenen. Daarnaast geldt de wet ook nog voor andere organen en bepaalde aangewezen organisaties. De VVD-fractie vraagt zich af, of gesteld kan worden dat het in alle gevallen gaat om organen en organisaties die een taak uitoefenen in het kader van het domein van het bsn.

Het gestelde is juist. Het wetsvoorstel richt zich tot organen en organisaties die elektronische diensten verlenen aan natuurlijke personen, ondernemingen of rechtspersonen ter uitoefening van een publieke taak, in het algemeen belang of anderszins waarbij het bsn wordt verwerkt.

De leden van de VVD-fractie constateren dat in de bijlage bij het wetsvoorstel categorieën van instanties worden aangewezen waarvoor de wet straks geldt. Zij vragen zich af in hoeverre wordt overwogen om daar categorieën aan toe te voegen. Voorts vragen zij zich af of de wet moet worden gewijzigd als er daadwerkelijk categorieën worden toegevoegd.

Op dit moment wordt niet overwogen nieuwe categorieën organisaties aan te wijzen. Als het in de toekomst in de rede zou liggen categorieën toe te voegen, behoeft de wet niet te worden gewijzigd. Ingevolge artikel 2, vierde lid, van het wetsvoorstel kan de bijlage bij de wet bij algemene maatregel van bestuur worden gewijzigd en kunnen categorieën van organisaties aan de bijlage worden toegevoegd.

De VVD-fractie vraagt zich af wat de betekenis is van het in de memorie van toelichting gestelde dat toegelaten publieke middelen «in beginsel» uitsluitend worden gebruikt voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties.

Publieke middelen zijn bedoeld voor gebruik in het publieke domein, dat wil zeggen voor het afnemen van elektronische diensten van bestuursorganen en aangewezen organisaties, zijnde instanties die ter uitoefening van een publieke taak, in het algemeen belang of anderszins het bsn verwerken. Op deze hoofdregel bestaat, onder strikte voorwaarden, een tweetal uitzonderingen. Ingevolge artikel 8, tweede lid, van het wetsvoorstel kan bij ministeriële regeling worden bepaald dat een publiek middel tevens kan worden gebruikt voor de toegang tot daarbij bepaalde private of commerciële diensten van aangewezen organisaties (gecombineerde elektronische dienstverlening). Het betreft specifiek omschreven aangewezen organisaties, bijvoorbeeld zorgverzekeraars en zorgverleners, voor specifiek omschreven diensten anders dan diensten ter uitoefening van een publieke taak, in het algemeen belang of waarbij het bsn wordt verwerkt. Voorts is het, ingevolge het voorgestelde artikel 8, derde lid, mogelijk bij ministeriële regeling te bepalen dat een publiek middel tevens kan worden gebruikt ten behoeve van aangewezen organisaties voor het verlenen van toegang tot een intern (gesloten) systeem voor de elektronische uitwisseling van gegevens waarbij het bsn wordt verwerkt, zoals dat bijvoorbeeld binnen en tussen zorginstellingen bestaat voor het onderling uitwisselen van medische gegevens. In de bovenstaande gevallen gelden vanzelfsprekend alle regels van het wetsvoorstel, waaronder die met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot de desbetreffende diensten en met betrekking tot toezicht.

De leden van de VVD-fractie vragen om een nadere verduidelijking van de functie van de routeringsvoorziening, inzicht in de kosten en de planning daarvan, alsmede een uitleg van het begrip «koppelvlak».

Tijdens de consultatie van het wetsvoorstel hebben dienstverleners aangegeven ontzorgd te willen worden ter zake van de verplichting tot acceptatie van c.q. aansluiting op publieke en private middelen. Daarom is besloten tot realisering van een zogeheten routeringsvoorziening, die als doel heeft het ontzorgen van dienstverleners door het leveren van één aanspreekpunt, één contract, één factuur en één (technisch) koppelvlak. In de loop van 2019 zullen dienstverleners op deze voorziening worden aangesloten. De verwachte kosten zijn opgenomen in de business case en bedragen naar verwachting enkele miljoenen, door te rekenen aan de ervan gebruikmakende dienstverleners. De verwachte opslag op een authenticatietransactie is in de orde van enkele eurocenten. Een koppelvlak, ook wel interface (schakel) genoemd, verzorgt volgens bepaalde standaarden de uitwisseling van gegevens tussen informatiesystemen, waardoor deze systemen met elkaar kunnen communiceren. Een koppelvlak zet dus informatie van het ene systeem om in begrijpelijke en herkenbare informatie van een ander systeem.

De CDA-fractie vraagt naar voorbeelden om inzichtelijk te maken hoe bestuursorganen en aangewezen organisaties hun elektronische diensten classificeren op onderscheidenlijk het betrouwbaarheidsniveau substantieel of hoog.

De diensten die door overheidsorganisaties worden geleverd zijn divers. Dat geldt ook voor de behoefte aan digitale identiteitsvaststelling daarvoor en de mate van zekerheid die nodig is gelet op het te beschermen belang. Over het algemeen geldt dat hoe hoger het betrouwbaarheidsniveau van een identificatiemiddel is, hoe meer controles en stappen moeten worden doorlopen. Deze controles volgen uit de eIDAS-verordening, die daaraan op Europees niveau regels stelt. Dat betekent over het algemeen: hoe hoger het betrouwbaarheidsniveau, hoe kostbaarder en wat minder eenvoudig in het gebruik. De systematiek van de regels die worden gesteld aan de inzet van betrouwbaarheidsniveaus, en de kaders die daaromtrent in de uitvoeringsregelgeving zullen worden uitgewerkt, is vergelijkbaar met de afwegingen die in informatiebeveiliging in het algemeen gangbaar zijn en die ook in de AVG worden gehanteerd. Wat redelijk is om in te zetten als betrouwbaarheidsniveau hangt dan af van het soort dienstverlening, de gegevens die worden ontsloten en de overige controlestappen die door de overheidsdienstverlener worden ingebouwd. Voorbeeld van een proces dat op niveau substantieel kan plaatsvinden is bijvoorbeeld een vergunningaanvraag bij een gemeente, waar bij de aanvraag geen gegevens worden verstrekt en voor de verlening nog tal van controlestappen zullen volgen. Anders is dat voor de toegang tot gezondheidsgegevens waarop een medisch beroepsgeheim rust. Als deze informatie na inloggen digitaal wordt ontsloten is de mate van zekerheid die nodig is over de identiteit van de patiënt van zeer groot belang, en zal betrouwbaarheidsniveau hoog noodzakelijk zijn. Overigens zal ik bij het opstellen van de uitvoeringsregelgeving rekening houden met de thans veelgebruikte «handreiking betrouwbaarheidsniveaus» van het Forum Standaardisatie. Door daarop aan te sluiten beoog ik zoveel mogelijk aan te sluiten bij de (nu nog vrijblijvende) huidige praktijk en de overgang naar de nieuwe situatie zo eenvoudig mogelijk te maken.

De leden van de CDA-fractie constateren dat in het wetsvoorstel het uitgangspunt is opgenomen, dat publieke middelen niet buiten het (semi)publieke domein worden gebruikt. De CDA-fractie vraagt naar onderbouwing van deze principiële keuze en of de keuze van de consument in deze niet voorop zou moeten staan.

Het publieke middel is ontwikkeld ten behoeve van overheidsdienstverleners die burgers herkennen aan de hand van hun bsn. Het gebruik van het publieke middel is daarmee beperkt tot digitale dienstverlening van organisaties die gerechtigd zijn het bsn te gebruiken. Mocht in de toekomst blijken dat de consument met een publiek middel ook zou willen inloggen in het private domein, dan zal het belang van de consument moeten worden afgewogen tegen aspecten zoals het gebruik van het bsn door private partijen, regeldruk voor het bedrijfsleven, naleving van de Wet markt en overheid – ter voorkoming van marktverstoring –, eventuele informatieveiligheidsrisico’s en kosten voor de overheid.

De leden van de CDA-fractie vragen waarom er geen publiek middel kan worden gebruikt voor het bedrijfsmatig in contact komen met de overheid. De leden van de CDA-fractie vragen ook in te gaan op de opmerkingen die het Adviescollege Toetsing Regeldruk maakt over de eHerkenningsmiddelen. Voorts vraagt de CDA-fractie zich af, waarom de regering in de keuze van de ondernemer treedt in het geval dat ondernemingen die op naam van een natuurlijk persoon staan, gebruik kunnen maken van dienstverlening waarbij het mogelijk is om te identificeren met DigiD en met eHerkenning. De leden van de CDA-fractie vragen of de conclusie gerechtvaardigd is, dat regulering van de huidige situatie geschiedt met het oog op het verbieden van digitale dienstverlening voor bedrijven waarbij de toegang op basis van identificatie met een publiek middel wordt verleend.

DigiD is niet toegerust om bij de authenticatie andere nummers dan het bsn te leveren aan de dienstverlener. Het private bedrijfsmiddel eHerkenning is ontwikkeld voor de gevallen waarin het KvK- of RSIN-nummer is vereist. Alhoewel niet van overheidswege uitgegeven, moet dit bedrijfsmiddel aan strenge eisen voldoen en zal het aan toezicht van de door de Minister van BZK aangewezen ambtenaren worden onderworpen. Het bedrijfsmiddel blijkt in de praktijk toereikend voor het inloggen bij dienstverlening aan bedrijven in het publieke domein, waardoor de nut en noodzaak voor het introduceren van een publiek middel ontbreekt. Aan de aanbeveling van het Adviescollege Toetsing Regeldruk (ATR) om de betrouwbaarheidsniveaus van eHerkenning te uniformeren en terug te brengen tot de drie niveaus wordt uitvoering gegeven. Voorts wordt bij de uitwerking van de lagere regelgeving rekening gehouden met de behoefte aan gebruiksvriendelijke machtigingssystemen. Door de ATR is tevens aanbevolen om in overleg met aanbieders van eHerkenningsmiddelen te komen tot een standaardisering van abonnementen en aanvullende diensten. Het is mogelijk dat een standaardisering tot minder kosten zal leiden, maar eHerkenning is een stelsel met concurrerende aanbieders van inlogmiddelen die zich juist moeten onderscheiden om keuzemogelijkheden voor klanten te bieden, zodat klanten optimaal bediend kunnen worden. In lijn met het ATR-advies om het gebruik van machtigingsvoorzieningen bij eHerkenning te vereenvoudigen, wordt bij de uitwerking van de lagere regelgeving rekening gehouden met de behoefte aan gebruiksvriendelijke machtigingssystemen.

De conclusie dat regulering van de huidige situatie geschiedt met het oog op het verbieden van digitale dienstverlening voor bedrijven waarbij de toegang op basis van identificatie met een publiek middel wordt verleend, is niet gerechtvaardigd; de regering voert geen bepaling in die dienstverleners verbiedt beide inlogmethoden aan te bieden aan ondernemers. Het gebruik van een publiek middel kan wel ondoelmatig zijn omdat dienstverleners bedrijven in hun administratie herkennen aan de hand van het KvK- of RSIN-nummer in plaats van het bsn. Alleen in het geval ondernemingen op naam staan van een natuurlijke persoon, bestaat bij sommige dienstverleners de mogelijkheid om zowel in te loggen met eHerkenning als met een publieke middel. Het wetsvoorstel treedt niet in de vrijheid van ondernemers om tussen deze opties te kiezen.

De D66-fractie is van mening dat toegang tot elektronische diensten van de overheid betrouwbaar en veilig moet zijn en dat het goed is dat deze wet dit vastlegt. De leden van de D66-fractie verbazen zich over het feit dat de kosten die het Rijk maakt samenhangend met de verstrekking van een publiek identificatiemiddel met een hoger betrouwbaarheidsniveau, ten laste worden gebracht van de burger en vragen hoe dit samenhangt met het basisrecht van burgers tot communicatie met de overheid. De leden vragen zich af, of de overheid zelf, met eigen middelen, niet zorg voor deze overheidscommunicatie dient te dragen en of er een mogelijkheid is andere modellen voor het bekostigen te onderzoeken.

Het feit dat er een, in dit wetsvoorstel verankerde, publieke verantwoordelijkheid is voor het ontwikkelen en uitgeven van publieke identificatiemiddelen op een voldoende hoog betrouwbaarheidsniveau, brengt niet zonder meer met zich, dat (volledige) bekostiging ter zake ook door de (Rijks)overheid dient te geschieden. In dit verband zijn meerdere bekostigingsmodellen onderzocht en is door het kabinet besloten tot de bekostiging zoals opgenomen in de artikelen 20 – 22 van het wetsvoorstel. Bij de publieke identificatiemiddelen zal een gedeelte van de kosten die het Rijk maakt worden doorbelast aan burgers. Dit is in lijn met hetgeen gebruikelijk is bij leges (retributies): het betreft een betaling aan de overheid waar een individueel aanwijsbare tegenprestatie van de overheid tegenover staat. Anders dan de kosten van aanschaf van het publieke identificatiemiddel, zijn de kosten van het gebruik ervan niet voor rekening van de gebruiker. Deze worden doorbelast aan de publieke dienstverlener; de kosten die het Rijk maakt, samenhangend met het realiseren van publieke middelen en voorzieningen, worden ten laste gebracht van de bestuursorganen en aangewezen organisaties.

De leden van de D66-fractie zouden graag, net als de Raad van State, het basisrecht voor burgers tot communicatie met de overheid in het wetsvoorstel doorgevoerd zien en vragen zich af waarom dit niet is opgenomen. Zij stellen dat het feit, dat dit recht een bredere werkingssfeer heeft dan onderhavig voorstel, de verwerking in dit wetvoorstel niet hoeft te belemmeren.

Met de D66-fractie ben ik van mening dat er een recht op communicatie met de overheid bestaat. Dit gaat echter de werkingssfeer van het wetsvoorstel digitale overheid te buiten. Algemene regels over bestuurlijk verkeer (communicatie) met de overheid zijn neergelegd in de Awb. Momenteel bereid ik samen met mijn ambtgenoot van Justitie en Veiligheid een wijziging van de Awb voor, waardoor burgers naast de papieren weg een aanspraak krijgen op digitaal zaken doen met de overheid. Tevens zijn wij voornemens – los van digitalisering – bestuursorganen te verplichten ondersteuning te bieden bij communicatie met de overheid. Naar verwachting zal dit wetsvoorstel in 2019 bij uw kamer worden ingediend.

De D66-fractie vraagt voorts hoe uitvoeringsorganisaties en dienstverleners kunnen bepalen wat het vereiste betrouwbaarheidsniveau is bij elektronische identificatie, welke regels hierbij gelden en of hier toezicht op is. Ook vragen zij, gelet op artikel 6 lid 4 van het wetsvoorstel, dat ruimte biedt om tijdelijk een inlogmiddel met een lager betrouwbaarheidsniveau toe te staan, hoe lang een dergelijke afwijking van het hogere betrouwbaarheidsniveau toegestaan is en of het verstandig zou zijn hieraan een deadline te koppelen.

Mijn doelstelling is om overheidsdienstverlening zo snel als mogelijk naar een hoger betrouwbaarheidsniveau te brengen. Daar zijn de inspanningen op gericht. Om verplichtingen op te kunnen leggen is het echter van belang dat deze redelijkerwijs kunnen worden ingevuld. Of dat kan hangt van een aantal factoren af. Zo moeten middelen op de voorgeschreven betrouwbaarheidsniveaus breed beschikbaar zijn. Voor overheidsorganisaties geldt daarbij dat zij vaak te maken hebben met bestaande processen en informatiesystemen («legacy») en dat

aanpassing de nodige tijd kost. Het is belangrijk om daar realistisch in te zijn en te zorgen dat overheidsorganisaties dat op een ordentelijke manier kunnen doen. De tijd die nodig is of gegund wordt hangt in belangrijke mate af van het belang en complexiteit van de dienstverlening. Dit betekent niet dat er geen einddatum op zit. Organisaties zullen de snelheid moeten betrachten die zij redelijkerwijs aan kunnen. Maar ik wil er wel voor wil waken dat organisaties overhaast gaan implementeren; dit kan namelijk andere implementatie – en veiligheidsrisico’s met zich brengen, hetgeen uiteindelijk per saldo weinig winst oplevert. Het wetsvoorstel voorziet in toezicht op de naleving van de juiste inzet van betrouwbaarheidsniveaus. Het toezicht op de naleving van classificering door dienstverleners loopt via de reguliere (interbestuurlijke) lijnen. Voor het toezicht op naleving van de verplichting door ministeries en zelfstandige bestuursorganen geldt dat de Minister, op wiens beleidsterrein het betreffende bestuursorgaan of het desbetreffende zelfstandige bestuursorgaan of aangewezen organisatie werkzaam is, een toezichthouder aanwijst.

De leden van de D66-fractie vragen welke technische voorschriften zijn verbonden aan het toelatingsbesluit inzake een privaat middel en of deze uit eIDAS volgen. Zij vragen tevens of deze eisen voldoende zijn en of de regering voornemens is aanvullende eisen te stellen.

De voorschriften die aan private identificatiemiddelen gesteld worden om te worden toegelaten volgen allereerst uit de eIDAS verordening 2015/1502 van de Europese Commissie. Deze uitvoeringsverordening beschrijft de technische en procedurele stappen (controles) die moeten plaatsvinden om te zorgen dat aan middelen een betrouwbaarheidsniveau «substantieel» of «hoog» kan worden toegeschreven. Daarnaast worden voor de toelating voorschriften gesteld die niet direct voortvloeien uit eIDAS-normen, maar die voor Nederland aanvullend zijn en voortkomen uit nationale beleids- en inrichtingskeuzes, zoals het gebruik van pseudonimisering voor privacybescherming en het gebruik van het zogeheten BSN-koppelregister (een publieke voorziening die mogelijk maakt dat gebruikers centraal inzage kunnen krijgen in hun middelen). De eIDAS-verordening laat de ruimte om nationaal deze aanvullende eisen te stellen.

De leden van de D66-fractie vragen of het klopt dat niet elk privaat middel dat aan de voorwaarden voldoet wordt toegelaten. Zij vragen zich af, op welke wijze dan een keuze wordt gemaakt tussen aanbieders die aan de voorwaarden voldoen. Voorts vragen zij zich af, wanneer sprake is van noodzaak van een privaat middel voor de beschikbaarheid en toegankelijkheid van elektronische dienstverlening aan natuurlijke personen.

Zoals hiervoor ook is aangegeven, is de doelstelling van het wetsvoorstel ervoor te zorgen dat er identificatiemiddelen op hogere betrouwbaarheidsniveaus continu beschikbaar zijn. Burgers moeten veilig en ongestoord zaken kunnen doen met de overheid. Om dat snel voor elkaar te krijgen is het noodzakelijk dat een alternatief met een hoge dekkingsgraad beschikbaar komt. Om dat te realiseren maakt het wetsvoorstel het mogelijk om een of meerdere private identificatiemiddelen toe te laten. Op dit moment wordt een aanbesteding voorbereid om in dit kader één of meerdere private authenticatiemiddelen te verwerven, waarbij de markt vooraf duidelijkheid wordt geboden over de opdracht.

De D66-fractie constateert dat de reikwijdte van organisaties die de plicht hebben om bij elektronische dienstverlening de toegelaten identificatiemiddelen te accepteren vrij breed is. Hier vallen ook pensioenuitvoerders, zorgaanbieders, ziektekostenverzekeraars, indicatieorganen en de universiteiten en hogescholen onder. De leden van de D66-fractie vragen zich af welke kosten deze plicht met zich mee brengt voor deze organisaties.

Bij elektronische overheidsdienstverlening staat de burger centraal. Het is belangrijk dat burgers bij alle overheidsdienstverleners in kunnen loggen met dezelfde betrouwbare (publieke of private) middelen. Zowel voor burgers als voor de dienstverleners is het efficiënt en gebruiksvriendelijk overal met dezelfde betrouwbare middelen te kunnen werken. Daarom voorziet het wetsvoorstel in een acceptatieplicht voor dienstverleners. Om overheidsdienstverlening digitaal beschikbaar te maken, zal de dienstverlener een aansluiting moeten hebben op een authenticatiedienst. Dit kost geld; voor DigiD betaalt een dienstverlener op dit moment ca. 12 eurocent per inlog. Een groot aantal van de genoemde organisaties maakt nu al gebruik van DigiD, zoals pensioenuitvoerders en ziektekostenverzekeraars. Ook veel zorgaanbieders maken reeds gebruik van DigiD. De organisaties moeten zelf de kosten dragen voor het ontwikkelen van hun eigen elektronische diensten. De kosten voor beheer en exploitatie van de toegelaten en erkende middelen en de kosten voor de ontwikkeling van de publieke voorzieningen zullen ook worden doorbelast, hetgeen voor hen betekent dat die kosten zullen stijgen. Daar staat tegenover dat deze wijze van communiceren op andere vlakken juist naar verwachting kostenvoordelen zal opleveren (bijvoorbeeld in de zorg).

De leden van de D66-fractie lezen dat het streven is dat in de toekomst voor alle personen met een bsn een elektronisch identificatiemiddel op de betrouwbaarheidsniveaus substantieel en hoog beschikbaar komt, en dat voor een bepaalde periode ongelijkheid kan ontstaan tussen burgers die wel of niet een rijbewijs of identiteitskaart hebben. De D66-fractie constateert dat zij die dit niet hebben, niet kunnen inloggen op betrouwbaarheidsniveau substantieel/hoog en derhalve geen toegang krijgen tot de elektronische dienst die de overheid aanbiedt. De fractie vraagt op welke wijze er zorg voor zal worden gedragen dat elk persoon met een bsn die dat wenst toegang kan krijgen tot een elektronische overheidsdienst waarbij het betrouwbaarheidsniveau substantieel of hoog is.

Aan het beschikbaar komen van publieke middelen op betrouwbaarheidsniveau substantieel en hoog wordt hard gewerkt. De daadwerkelijke uitgifte zal stapsgewijs geschieden. Niet alle burgers met een bsn zullen op hetzelfde moment gaan beschikken over een publiek middel op een hoger betrouwbaarheidsniveau, bijvoorbeeld omdat voor rijbewijzen en identiteitskaarten een geldigheidsduur geldt. Om die reden voorziet het wetsvoorstel in de mogelijkheid tot gefaseerde inwerkingtreding en overgangsrecht. Onder meer kan gedurende een bepaalde periode worden toegestaan dat de toegang tot diensten, waarvoor eigenlijk authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is, kan geschieden met gebruikmaking van identificatiemiddelen met betrouwbaarheidsniveau laag respectievelijk substantieel.

4. Privacy

De leden van de D66-fractie vragen of de uitgevoerde privacy impact assessments (PIA’s) aan de kamer kunnen worden toegezonden.

Ook ik hecht groot belang aan de waarborging van de privacy. Voor het vertrouwen in de digitale overheid is een zorgvuldige omgang met persoonsgegevens essentieel. Ik geef graag gehoor aan het verzoek om de uitgevoerde PIA’s aan uw kamer toe te zenden bij gelegenheid van de komende eID-voortgangsrapportage. Een aantal van deze PIA’s is reeds aan uw Kamer toegezonden.

De D66-fractieleden vragen zich af waar in de wet is terug te vinden dat de gegevensverwerking zodanig wordt ingericht, dat geen van de bij authenticatie betrokken partijen (inclusief dienstverleners) kan zien welke andere websites door de houder van het middel worden bezocht. Daarnaast vragen deze leden waarom er voor gekozen is om de uitwerking van artikel 15 tot en met 18 AVG (recht van inzage en rectificatie) niet in de wet op te nemen, maar dit in uitvoeringsregelgeving vast te leggen. De D66-fractie vraagt of dit recht niet van fundamentelere betekenis zou zijn als het ook in de wet wordt vastgelegd en uitgewerkt. De D66-fractieleden hebben inzake dataminimalisatie eveneens de vraag hoe dit bewerkstelligd zal worden en waarom dit principe geen plaats heeft in de wet.

Voor het eID stelsel is het van belang dat de bescherming van persoonsgegevens op een adequate wijze, conform de AVG, wordt ingericht. Het inrichten van maatregelen om te voorkomen dat partijen ongeoorloofd gebruik maken van persoonsgegevens maakt daarvan onderdeel uit. De wijze waarop dat gebeurt moet in de inrichting van het stelsel vorm krijgen, waarbij ruimte moet zijn risico’s te ondervangen. Dit betekent onder meer dat op het niveau van de wet niet te veel gestuurd wordt om deze inrichtingskeuzes niet onbedoeld rigide te maken.

De wet digitale overheid en uitvoeringsregelgeving regelen de kaders die gelden voor verwerkingen van persoonsgegevens die plaatsvinden in het kader van het eID stelsel. Zo dienen de verwerkingen over een wettelijke grondslag te beschikken onder meer ten aanzien van de verwerking van het bsn. Ook worden de gegevens die mogen worden verwerkt vastgesteld, alsmede aan wie deze mogen worden verstrekt en hoe lang de gegevens mogen worden bewaard. De AVG verlangt dat deze aspecten bij wet worden geregeld.

De belangrijke rechten van inzage en rectificatie uit de AVG, een rechtstreeks werkende EU-verordening, gelden voor gebruikers direct. Opname van deze rechten in het onderhavige wetsvoorstel is niet nodig en – vanwege de rechtstreekse toepasselijkheid van de AVG – niet toegestaan. Datzelfde geldt voor de privacybeginselen uit de AVG, waaronder dataminimalisatie, proportionaliteit en subsidiariteit. Deze rechten voor gebruikers en privacybeginselen vormen het kader dat de verantwoordelijke bij de inrichting van de verwerkingen van persoonsgegevens moet hanteren. Dit gebeurt ook bij de inrichting van het eID-stelsel. Om deze inrichting te sturen is een privacyvisie opgesteld, waarin de toepasselijke privacyregels zijn geïnventariseerd, en waarin stapsgewijs wordt aangegeven hoe deze doorwerken bij de inrichting van het eID-stelsel. Ik zal deze privacyvisie aan de Kamer zenden bij gelegenheid van de volgende eID-voortgangsrapportage zodat inzicht wordt geboden in de wijze waarop ik als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens binnen het eID stelsel de naleving van privacywetgeving ter hand neem. Daarbij merk ik op dat naleving van privacywetgeving een doorlopende activiteit is, en dat adequate naleving niet statisch is. Dat betekent dat door de tijd maatregelen die getroffen worden om een adequate bescherming van persoonsgegevens te realiseren kunnen wijzigen, bijvoorbeeld door voortschrijdende beschermingstechnieken, maar ook door veranderende dreigingen. Overigens draag ik zorg voor een voorziening die gebruikers, die immers meerdere middelen kunnen hebben, in staat stelt op een centraal punt in te zien welke middelen zij hebben aangevraagd. Dit is geregeld omdat de inrichting van zo’n voorziening niet logischerwijs uit de uitwerking van de AVG zou voortvloeien. Dat rechtvaardigt ook de regeling ervan in het wetsvoorstel.

5. Misbruik van de GDI

De leden van de VVD-fractie vragen zich af hoe, ingeval een identificatiemiddel wordt ingetrokken, de aansprakelijkheid is geregeld en voor wie de kosten zijn.

Alle actoren in het eID stelsel, zowel middelenuitgevers als de Minister van BZK, moeten de mogelijkheid hebben om, indien zij signaleren dat er (mogelijk) misbruik plaatsvindt met identificatiemiddelen, deze te blokkeren of in te trekken. Daarmee kan immers (verdere) schade of nadeel voor zowel burgers en overheden worden voorkomen. Daarbij geldt dat iedereen binnen het eID stelsel zorgvuldig dient te handelen. BZK en middelenuitgevers zullen niet lichtvaardig mogen overgaan tot het intrekken van een identificatiemiddel. Daartoe dienen zij zorgvuldig te werk te gaan en gegronde redenen moeten hebben. Aan de andere kant dienen burgers – net als met fysieke identiteitsdocumenten – zorgvuldig met hun identificatiemiddelen om te gaan, omdat onzorgvuldig gebruik misbruik in de hand kan werken. Deze verantwoordelijkheden maken dat niet een eenduidig antwoord mogelijk is op de vraag wie in een concreet geval aansprakelijk is voor de gevolgen van een intrekking en de gevolgen ervan moet dragen. Dat zal – aan de hand van de reguliere aansprakelijkheidsregels moeten worden bepaald. Daarbij zal het gaan om vragen als zorgvuldigheid van handelen en verwijtbaarheid in concrete situaties.

6. Toezicht en handhaving

Ook al is een overheidstaak op afstand gezet, vanuit zijn verantwoordelijkheid dient de Minister de betrokken zelfstandige bestuursorganen zo nodig tot naleving van de wet te bewegen, zo lezen de leden van de CDA-fractie. De CDA-fractie vraagt zich af welke middelen de Minister(s) hierbij ter beschikking staan.

Waar het wetsvoorstel spreekt over de Minister die het aangaat, is deze bevoegd toezichthoudende ambtenaren aan te wijzen. Er is voor gekozen aan te sluiten bij bestaande toezichtstructuren in het desbetreffende beleidsdomein, zoals uitgeoefend door bijvoorbeeld de ILT, de IGJ en de Arbeidsinspectie. Voor wat betreft zelfstandige bestuursorganen zijn de beschikbare instrumenten opgenomen in de Kaderwet Zbo’s; in het uiterste geval kan de desbetreffende Minister een vernietigingsbesluit nemen of een taakverwaarlozingsvoorziening treffen. Daarnaast beschikt de Minister van BZK ingevolge dit wetsvoorstel over bijzondere bevoegdheden indien bijvoorbeeld sprake is van een ernstige aantasting van de veiligheid of van (dreigend) misbruik.

Voorts constateert de CDA-fractie dat ter zake van medeoverheden het primaat voor de controle op de naleving bij horizontale verantwoording binnen een bestuurslaag ligt. De leden van de CDA-fractie constateren, dat de praktijk uitwijst dat gemeenteraden, provinciale staten en algemene besturen vaak de nodige informatie ontberen om als toezichthouder op te treden. Zij vragen zich af welke stappen hierop zijn ondernomen of de regering overweegt te ondernemen.

Evenals ten aanzien van Zbo’s is er bij decentrale overheden voor gekozen aan te sluiten bij bestaande toezichtstructuren. Dat betekent dat in lijn met de reguliere verantwoordingssystematiek en informatiebevoegdheden moet worden gehandeld. Daarnaast is echter, conform de Gemeentewet en Provinciewet, interbestuurlijk toezicht en het in dat verband beschikbare instrumentarium aan de orde. Dit toezicht is gebaseerd op vertrouwen. Wel is het zo, dat de Minister van BZK ingevolge dit wetsvoorstel over bijzondere bevoegdheden beschikt indien bijvoorbeeld sprake is van een ernstige aantasting van de veiligheid of van (dreigend) misbruik. Medeoverheden wordt de gelegenheid gegeven in de praktijk met het wetsvoorstel te gaan werken. Vanuit mijn ministerie is hiervoor desgewenst voorlichting en ondersteuning beschikbaar. Mocht blijken dat aanvullend instrumentarium noodzakelijk is, dan zullen nadere maatregelen worden overwogen.

De CDA-fractie vraagt zich af wat de positie van de burgemeester is op het vlak van informatieveiligheid als verantwoordelijke voor openbare orde en veiligheid.

Inzake informatieveiligheid bij de toegang tot elektronische dienstverlening voorziet het wetsvoorstel in specifieke regels en verantwoordelijkheden. De Minister van BZK stelt informatieveiligheidsregels aan bestuursorganen en aangewezen organisaties, waaronder een auditplicht. De publieke dienstverleners, waaronder gemeenten, moeten deze regels naleven. De in dit verband voorgenomen algemene maatregel van bestuur zal, zoals bij punt 1 van deze nota is aangegeven, aan uw kamer worden toegezonden. De Minister van BZK houdt voorts toezicht op de naleving van de gestelde regels; hij beziet de te overleggen auditverklaringen, gaat indien nodig – en in overleg met de domeinspecifieke toezichthouder – in gesprek over verbetering en kan in het uiterste geval noodmaatregelen nemen. Het is de Minister van BZK die in casu doorzettingsmacht heeft en over bijzondere bevoegdheden beschikt indien bijvoorbeeld sprake is van een ernstige aantasting van de veiligheid of van (dreigend) misbruik. De bevoegdheden van de Minister richten zich op de borging of het herstel van de betrouwbare toegang tot elektronische dienstverlening. In het geval van (diensten van) een gemeente heeft de burgemeester geen specifieke taak vanwege zijn verantwoordelijkheid voor openbare orde en veiligheid; wel dient hij als bestuursorgaan zorg te dragen voor de naleving van het wetsvoorstel.

De leden van de CDA-fractie vragen, of het de bedoeling is dat het Agentschap Telecom de volledige taak van toezichthouder op erkende diensten overneemt.

Ingevolge het wetsvoorstel zullen ambtenaren worden aangewezen die toezien op de naleving van de bepalingen van het wetsvoorstel. Voor wat betreft de bepalingen inzake erkende diensten (dit zijn private partijen) in het bedrijvendomein, heb ik het voornemen ambtenaren van het Agentschap Telecom, onderdeel van het Ministerie van Economische Zaken en Klimaat, aan te wijzen.

De leden van de CDA-fractie vragen voorts of aan de hand van voorbeelden kan worden geschetst wanneer de meldplicht bij veiligheidsinbreuken met beperkte impact achterwege kan blijven.

Het wetsvoorstel kent een plicht om veiligheidsinbreuken te melden. In de memorie van toelichting is opgenomen dat bij veiligheidsinbreuken met een «beperkte impact» deze plicht minder voor de hand ligt. Eerst merk ik op dat op grond van het wetsvoorstel niet te snel mag worden aangenomen dat een melding achterwege mag blijven. Waar het om gaat is dat veiligheidsinbreuken met relevantie en grote gevolgen voor veel personen, over organisaties heen, gesignaleerd worden. Dat is niet alleen van belang voor transparantie, maar ook om de gevolgen snel en effectief te kunnen herstellen. Door de veiligheidsinbreuken met beperkte impact niet te melden, bijvoorbeeld een of enkele geblokkeerde DigiD’s, wordt ervoor gezorgd de veiligheidsinbreuken die wel gemeld worden de aandacht kunnen krijgen en niet vertroebeld raken in een groter aantal meldingen. Ik hecht eraan op te merken dat dit geenszins betekent dat op inbreuken met beperkte impact geen actie moet worden ondernomen. Het niet melden ervan bij een toezichthouder doet daar op geen enkele wijze afbreuk aan. Immers, ook veiligheidsinbreuken met beperkte impact kunnen vervelende gevolgen hebben voor personen die het betreft. De gehanteerde systematiek is vergelijkbaar met de wijze die de meldplicht datalekken uit de AVG hanteert. De gevolgen voor betrokkenen, en de mate waarin deze reeds zijn hersteld kunnen meewegen bij de vraag of inbreuken moeten worden gemeld.

De leden van de D66-fractie lezen in de toelichting dat in 2015 alleen al 15 000 DigiD’s zijn geblokkeerd vanwege (een vermoeden van) fraude. De D66-fractie constateert, in aansluiting op het advies van de Raad van State, dat niet is geregeld welk orgaan verantwoordelijk is voor het oplossen van de problemen waar slachtoffers van identiteitsfraude mee te maken krijgen, en waar het slachtoffer zich kan melden, of hoe hij op een eenvoudige manier een identificatiemiddel tijdelijk kan onderbreken. De D66 fractie vraagt zich af waarom de verankering van deze taken in deze wet niet opportuun is.

De problemen waar slachtoffers van identiteitsfraude mee te maken krijgen, zijn serieus en hebben mijn aandacht. In 2010 is door BZK het Centraal Meldpunt Identiteitsfraude- en fouten (CMI) ingericht. Het CMI, onderdeel van mijn ministerie, biedt advies en hulp aan slachtoffers van identiteitsfraude. Via www.Rijksoverheid.nl, www.rvig.nl en www.slachtofferwijzer.nl wordt informatie verschaft over taken en werkwijze van het CMI, samenwerking met de ketenpartners (o.a. de RDW, KMAR, politie en OM), preventie, het herkennen en melden van identiteitsfraude en te nemen maatregelen. Ook kunnen er meldformulieren worden gedownload. Het door slachtoffers/gebruikers tijdelijk laten onderbreken (blokkeren) van DigiD is geregeld in de Regeling voorzieningen GDI. Het onderhavige wetsvoorstel bevat voorts bevoegdheden van de Minister van BZK in het geval van (vermoed) misbruik van een elektronisch identificatiemiddel. In aanvulling daarop zal ik de opportuniteit bezien van een meer algemene wettelijke verankering van de verantwoordelijkheid van de Minister van BZK bij de aanpak van identiteitsfraude. Gelet op de reikwijdte van het onderhavige wetsvoorstel (elektronische identificatie bij de toegang tot overheidsdienstverlening) en het feit dat identiteitsfraude een complex geheel is en een bredere portee heeft dan digitale identificatie (zo zijn er meerdere identiteitsdocumenten en is er samenhang met bijvoorbeeld de BRP) ligt regulering in de Wet digitale overheid niet in de rede.

De leden van de D66-fractie lezen dat dienstverleners geacht worden jaarlijks een audit te laten uitvoeren om te toetsen op de naleving aan de eisen aan de werking, betrouwbaarheid en beveiliging van de toegang van de elektronische dienstverlening. Dit wordt door de leden ondersteund. De leden vragen of deze auditverklaring openbaar wordt gemaakt en zo nee, wat de onderbouwing hiervan is.

Het verheugt mij dat de auditplicht met betrekking tot de toegang tot elektronische diensten door de D66-fractie wordt ondersteund. De auditverklaring wordt niet openbaar gemaakt, aangezien deze inzicht geeft in eventuele non-conformiteit met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang van de elektronische dienstverlening. Bij openbaarmaking zouden kwaadwillende derden hier misbruik van kunnen maken. Het is ingevolge het wetsvoorstel mijn verantwoordelijkheid om een risicogebaseerde afweging te maken met betrekking tot de vraag, of de non-conformiteit een acute bedreiging vormt. Als dit het geval is dan kan de toegang van de betreffende dienstverlener tot de elektronische dienstverlening (tijdelijk) worden opgeschort (afgesloten) tot dat de non-conformiteit is opgelost. Als er geen sprake is van een acute bedreiging dan zal aan de dienstverlener, op basis van een risicoafweging, een vooraf vastgestelde periode worden gegund om de non-conformiteit op te lossen. Mocht dit binnen die periode niet zijn opgelost, dan kan alsnog (tijdelijke) opschorting van de toegang tot de elektronische dienstverlening volgen. Overigens laat het feit, dat een auditverklaring niet openbaar wordt gemaakt, informatieverschaffing aan vertegenwoordigende organen (zoals de gemeenteraad) in het kader van de algemene verantwoordingsplicht jegens deze organen onverlet.

De leden van de D66-fractie merken op dat het wetsvoorstel ook afgeleide identificatie mogelijk maakt. Dit zou betekenen dat bij de aanvraag voor eHerkenning kan worden gesteund op de identificatie van bijvoorbeeld DigiD. De leden van de D66-fractie vragen zich af, of hieruit volgt dat het van belang is dat de veiligheidseisen voor het bedrijvenmiddel vergelijkbaar zijn met de veiligheidseisen van het burgermiddel en andersom.

Het wetsvoorstel laat, in aansluiting op de eIDAS uitvoeringsverordening 1502, ruimte om bij het proces van uitgifte van middelen te steunen op een eerder uitgevoerde controle, vaak de verificatiestap van identiteit, die doorgaans verhoudingsgewijs veel inspanning van de gebruiker vraagt en voor de middelenuitgever een relatief groot deel van de kosten bepaalt. Onder een afgeleid identificatiemiddel wordt verstaan een identificatiemiddel dat voor een controlestap steunt op een eerder uitgevoerde controle. De veiligheidseisen voor zowel het bedrijvenmiddel als het burgermiddel volgen uit de eIDAS-verordening en bieden een vergelijkbaar beschermingsniveau.

Voorts vragen de leden wie of welke instantie er toezicht op houdt dat de eisen die gesteld worden aan de inlogmiddelen vergelijkbaar zijn, en of het klopt dat op het bedrijvenmiddel het Agentschap Telecom toezicht houdt, en op het burgermiddel aangewezen ambtenaren (artikel 17 wetsvoorstel). De D66-fractie vraagt naar de wenselijkheid van twee verschillende toezichthouders, gelet op de mogelijkheden tot afgeleide identificatie.

Het is mijn verantwoordelijkheid ervoor zorg te dragen dat de eisen aan de inlogmiddelen – in aansluiting op de eIDAS verordening – een gelijkwaardig beschermingsniveau bieden. Er zullen toezichthoudende ambtenaren worden aangewezen voor het bedrijfs- en organisatiemiddel en voor het burgermiddel. Naar verwachting zullen ambtenaren van het Agentschap Telecom door mij worden aangewezen om toezicht te houden op het bedrijfs- en organisatiemiddel; voor het burgermiddel beraad ik mij nog op de precieze vormgeving. Vanzelfsprekend zal ik er voor zorgdragen dat de toezichtsregimes adequaat zijn ingericht en onderling zijn afgestemd.

7. Financiële bepalingen en gevolgen

De leden van de VVD-fractie vragen wat de kosten voor de overheid zijn als gevolg van het wetsvoorstel. De leden vragen hoe de business case eruit ziet, of het klopt dat de business case voor inloggen bij de overheid met 300 miljoen euro is gestegen en nu uitgaat van een bedrag van één miljard euro, welke kosten voor rekening komen van de bestuursorganen en de aangewezen organisaties die de diensten leveren en hoe de kosten van deze diensten worden bepaald. Ook de leden van de D66-fractie vragen of een beeld kan worden geschetst van de kosten van het uitrollen van een robuuste infrastructuur voor authenticatie en identificatie, inclusief toelating en toezicht.

Op 9 maart 2018 heb ik uw Kamer de geactualiseerde «Business case inloggen in het BSN domein» toegezonden (TK 2017–2018, 26 643, nr. 514). Het is juist dat de door het onafhankelijke bureau geschatte kosten 300 miljoen euro hoger uitvallen en optellen tot een bedrag van bijna één miljard euro voor de komende twaalf jaar. In de aanbiedingsbrief bij het onderzoek heb ik aangegeven wat de oorzaak is van deze kostenstijging. De onderzoekers ondersteunen de opvatting van het kabinet, dat het investeren in het elD-stelsel een essentieel onderdeel is van het meer betrouwbaar maken van de digitale snelweg; aangegeven wordt dat de kosten fors zijn, maar maatschappelijk te verantwoorden vanuit de potentiële baten. De kosten die voor rekening komen van de bestuursorganen en aangewezen organisaties zijn nog niet bepaald. De uitwerking hiervan zal neergelegd worden in nadere regelgeving. Afgesproken is dat deze kosten op dat moment via uitvoeringstoetsen in beeld worden gebracht. Vanzelfsprekend wordt voortdurend bezien of de kosten zo laag mogelijk kunnen worden gehouden.

De leden van de CDA-fractie vragen nader in te gaan op de kritiek, dat betrokken partijen niet consequent betrokken zijn bij de besluiten die worden genomen in het kader van digitale overheid en dat dat de kosten die gepaard zullen gaan met de implementatie en het beheer van de nieuwe generieke digitale infrastructuur en die grotendeels voor rekening zullen komen van de afnemers/dienstverleners volstrekt onduidelijk zijn, waardoor een betrouwbare impactanalyse onmogelijk is.

In de periode van 21 december 2016 tot en met 31 maart 2017 is het voorontwerp van dit wetsvoorstel aan een brede consultatie onderworpen. Hieruit is gebleken dat het nodig is om het stelsel op enkele onderdelen te vereenvoudigen om de uitvoerbaarheid beter te realiseren en kosten te beperken. Dienstverleners wijzen op meerdere koppelvlakken als belangrijke kostendrijver. Naar aanleiding van de consultatiereacties is in het wetsvoorstel opgenomen dat de Minister van BZK verantwoordelijk is voor de inrichting en werking van een routeringsvoorziening, teneinde de toegang tot elektronische dienstverlening te faciliteren. Door middel van één koppelvlak, één contract en één factuur voor dienstverleners wordt de complexiteit verminderd en worden aansluitkosten gedrukt. Aldus worden dienstverleners bij hun elektronische dienstverlening ontzorgd. Kosten van het gebruik van publieke middelen en de in dat verband benodigde infrastructuur hangen grotendeels samen met de mate van gebruik van alle publieke middelen. De kosten voor authenticatie met een bepaald middel zijn sterk gerelateerd aan het totale aantal authenticaties met dat middel. Bij hogere aantallen nemen de kosten significant af. Burgers kunnen kiezen welk toegelaten middel zij gebruiken, waardoor het in de aanvangsfase moeilijk is in te schatten hoe vaak een bepaald middel gebruikt gaat worden en op basis daarvan de kosten van authenticatie in te schatten. De kostencomponenten zijn uiteengezet in de financiële paragraaf in de memorie van toelichting en deze zijn voor zover in deze fase mogelijk gekwantificeerd.

Voorts vraagt de CDA-fractie of een exegese kan worden gegeven van de zinsnede «dat een toekomstbestendige financieringsstrategie moet kunnen mee-ademen met de implicaties van meer gebruik en nieuwe technologische eisen» (MvT blz. 38).

De kosten die het Rijk maakt, samenhangend met het realiseren van publieke identificatiemiddelen en voorzieningen, het eventueel toelaten van private middelen en toezicht op de naleving van toelatingseisen, worden door de Minister van BZK ten laste gebracht van de bestuursorganen en aangewezen organisaties. Door bij ministeriële regeling nadere regels te stellen over deze doorbelasting, kan worden ingespeeld op de ontwikkeling van de kosten van de infrastructuur voor authenticatie. Kosten van publieke middelen en de infrastructuur hangen grotendeels samen met de onvoorspelbare mate van gebruik van alle publieke middelen. Burgers kunnen kiezen welk toegelaten middel zij gebruiken, waardoor het in de aanvangsfase moeilijk is in te schatten hoe vaak een bepaald middel gebruikt gaat worden. De kosten voor authenticatie met een bepaald middel zijn sterk gerelateerd aan het totale aantal authenticaties met dat middel. Bij hogere aantallen nemen de kosten significant af. Het is dus voor een authenticatiedienst in de beginperiode lastig in te schatten tegen welke prijs een middel moet worden aangeboden. De mate van gebruik en exogene technologische ontwikkelingen zullen periodiek nieuwe en aanvullende eisen stellen aan de infrastructuur. Kosten van beheer, exploitatie en doorontwikkeling zullen daarom pas gedurende de rit volledig duidelijk worden, reden waarom is gekozen voor het stellen van nadere regels bij ministeriële regeling. Hiermee wordt een zekere mate van flexibiliteit gerealiseerd, zonder afbreuk te doen aan duidelijkheid en rechtszekerheid.

De leden van de D66-fractie vragen of de regering kan toelichten op welke wijze een privaat inlogmiddel gefinancierd wordt. De fractie vraagt of de burger dit zelf direct betaalt aan de private partij die het inlogmiddel aanbiedt.

Een privaat inlogmiddel wordt gefinancierd door de private partij die het middel uitgeeft. Indien, nadat een aanbestedingsprocedure is doorlopen – hierin is prijsstelling een wegingsfactor –, één of enkele private identificatiemiddelen worden toegelaten voor gebruik in het publieke domein, krijgen burgers de mogelijkheid over meerdere elektronische middelen te beschikken (keuzevrijheid/terugvaloptie). Zij zullen een privaat middel dan eenmalig moeten aanschaffen bij de desbetreffende private partij. Het staat deze partij in beginsel vrij om burgers hiervoor te laten betalen. Voor het gebruik van het private middel betaalt de burger niet; deze kosten zullen worden doorbelast aan de publieke dienstverlener.

Voorts vragen de leden van de D66-fractie zich af, hoe de regering hier het basisrecht tot communicatie met de overheid beziet en aldus de verantwoordelijkheid om met eigen middelen mogelijk te maken dat ook middels een privaat inlogmiddel ingelogd kan worden.

Met het wetsvoorstel wordt het stelsel van publieke en private identificatiemiddelen publiekrechtelijk gereguleerd teneinde deze middelen te kunnen gebruiken in het publieke domein. Onder meer wordt voorgeschreven dat deze middelen toelating behoeven op basis van vooraf gestelde (op de eIDAS-verordening gebaseerde) eisen en criteria. Met dit wetsvoorstel wordt aldus de aanspraak van burgers op digitaal zaken doen met de overheid, oftewel elektronische communicatie met de overheid, geëffectueerd en gefaciliteerd. Een publiekrechtelijk stelsel brengt echter niet zonder meer met zich, dat (volledige) bekostiging ook door de (Rijks)overheid dient te geschieden. Gelet op het gezamenlijke belang bij generieke infrastructuur, zullen de publieke middelen en voorzieningen deels worden doorbelast aan de (publieke) dienstverleners. Ook het gebruik van toegelaten publieke en private middelen (inloggen) zal door de dienstverlener worden betaald. Om te kunnen inloggen met een privaat middel dient de burger dit eenmalig aan te schaffen. Hiervoor zal hij mogelijk moeten betalen. Omdat het private middel ook door burgers gebruikt kan worden voor inloggen buiten het publieke domein, is het ongewenst als de overheid aanschafkosten voor haar rekening neemt, omdat dit oneerlijke concurrentie stimuleert en marktverstorend kan werken.

De leden van de D66-fractie vragen of een inschatting kan worden gemaakt van de kosten voor gemeenten, nu zij hun digitale infrastructuur moeten aanpassen om het betrouwbaarheidsniveau substantieel of hoog toe te laten.

De kosten, die met de aanpassingen door gemeenten gemoeid zijn, zijn op voorhand lastig te kwantificeren. Bij het opstellen van de uitvoeringsregelgeving inzake de classificering van betrouwbaarheidsniveaus van dienstverlening zal ik rekening houden met de thans veelgebruikte «handreiking betrouwbaarheidsniveaus» van het Forum Standaardisatie. Daardoor wordt aangesloten bij de huidige praktijk en wordt de overgang naar de nieuwe situatie zo eenvoudig mogelijk gemaakt. Daarnaast is in het wetsvoorstel de keuze gemaakt voor realisering van een routeringsvoorziening. Dit vloeit voort uit de consultatiereacties op het wetsvoorstel. Overheidsorganisaties gaven en geven aan behoefte te hebben aan centrale (publieke) ontzorging in de vorm van 1 contract, 1 factuur, 1 aansluiting. De routeringsvoorziening voorkomt voor een belangrijk deel dat dienstverleners, waaronder gemeenten, aanpassingen moeten doorvoeren als gevolg van (wijziging in) complexiteit; deze zullen centraal worden afgevangen. Overigens betekent het niet dat er in het geheel geen kosten of inspanningen nodig zijn aan de zijde van dienstverleners. Dit is echter in de huidige situatie niet anders.

8. Verhouding tot andere wetgeving

De leden van de VVD-fractie vragen hoe de Wet digitale overheid zich verhoudt tot de momenteel in voorbereiding zijnde Europese richtlijn e-privacy.

De nieuwe voorgenomen EU-regels inzake e-privacy zullen naar verwachting in een verordening worden opgenomen, welke de bestaande richtlijn vervangt. Het toepassingsgebied van de e-privacy regels, destijds geïmplementeerd in de Telecommunicatiewet, is een andere dan die van het onderhavige wetsvoorstel. De e-privacy verordening richt zich tot aanbieders van online communicatiediensten, te weten traditionele telecombedrijven en nieuwe spelers; aanbieders van commerciële elektronische diensten. Voor zover deze bedrijven eveneens private partijen in de zin van het wetsvoorstel digitale overheid zijn, bijvoorbeeld als te erkennen aanbieder van een bedrijfs- en organisatiemiddel dat gebruikt kan worden in het publieke domein, moeten ze tevens aan de eisen van het wetsvoorstel en bijbehorende uitvoeringsregelgeving voldoen, waaronder die op het punt van de bescherming van persoonsgegevens.

De leden van de VVD-fractie constateren voorts dat de regering er niet voor kiest om de Wet op de identificatieplicht aan te passen, maar te zijner tijd de verschillende wetten waarin identificatiemiddelen zijn opgenomen te wijzigen. De VVD-fractie vraagt nader te motiveren waarom de Wet op de identificatieplicht niet wordt aangepast.

In de Wet op de identificatieplicht (WID), een algemene wet, zijn de documenten (o.a. paspoort en rijbewijs) aangewezen waarmee in bij de wet aangewezen gevallen de identiteit van personen kan worden vastgesteld. Daarnaast zijn in een groot aantal (domein)specifieke wetten identificatie- en controleplichten opgenomen waarin verwezen wordt naar een of meer documenten genoemd in de WID. Het gaat daarbij steeds om fysieke controle. In deze systematiek past het niet om in de WID elektronische identificatiemiddelen aan te wijzen voor de gevallen waarin identiteit langs elektronische weg wordt vastgesteld teneinde elektronische overheidsdiensten te kunnen afnemen. Vanwege het verschil in systematiek en toepassingsbereik is er daarom voor gekozen om in voorkomend geval de sectorspecifieke wetgeving te wijzigen indien de overheidsdienstverlening op het desbetreffende terrein wordt gedigitaliseerd. Dit biedt ook de mogelijkheid per dienst te bepalen welk betrouwbaarheidsniveau ten minste is vereist. Bovendien kan dan, indien nodig, bepaald worden dat naast de authenticatie aan de hand van een elektronisch identificatiemiddel ook bepaalde attributen (aanvullende gegevens zoals nationaliteit of leeftijd) aan de betrokken overheidsdienstverlener verstrekt moeten worden.

9. Gevolgen voor burgers en bedrijven

De leden van de CDA-fractie constateren, dat het voorliggende wetsvoorstel voor personen met een (digitale) beperking en voor (internationale) bedrijven buiten het BSN-domein tot lastenverzwaring kan leiden. Zij vragen of de regering deze waarneming deelt, zo nee, waarom niet en zo ja, welke maatregelen de regering neemt om de lastenverzwaring weg te nemen of tenminste te beperken.

Alle overheidsinstanties waarmee burgers en bedrijven elektronisch zaken doen, moeten hun websites en apps op een begrijpelijke en toegankelijke manier inrichten. Hiertoe gelden Europese voorschriften, die in Nederland zijn opgenomen in het (Tijdelijke) Besluit digitale toegankelijkheid overheid (Stb. 2018, nr 141). Inclusie is een speerpunt van dit kabinet; de beleidsagenda NLDigiBeter bevat in dit verband een aantal door mij te nemen maatregelen.

De leden van de CDA-fractie constateren dat in uitvoeringsregelgeving criteria zullen worden opgenomen die relevant zijn voor het door de dienstverlener inschalen van het benodigde betrouwbaarheidsniveau en dat deze criteria in grote mate het kader bepalen waaraan eID-middelen moeten voldoen. De CDA-fractie vraagt of onderkend wordt dat, zolang deze criteria onbekend zijn, burgers en bedrijven in onzekerheid verkeren over welke eID-middelen in de toekomst zullen worden gehanteerd, en ook organisaties in het BSN-domein niet waar zij aan toe zijn. De leden van de CDA-fractie vragen voorts of onderkend wordt dat dit ook leidt tot onzekerheid over investeringen in private eID-middelen, waardoor potentiële aanbieders van private eID-middelen op het betrouwbaarheidsniveau hoog zich niet melden.

Bij het opstellen van de uitvoeringsregelgeving ga ik uit van de thans in de praktijk gehanteerde «handreiking betrouwbaarheidsniveaus» van het Forum Standaardisatie. Grosso modo zullen er geen fundamentele wijzigingen optreden. Ik verwacht het concept hiervoor binnen enkele maanden te kunnen publiceren in het kader van de (internet)consultatie. Hierdoor is de periode waarin over de detailuitwerking onzekerheid voor burgers en bedrijven kan bestaan, beperkt. Daarbij merk ik op dat de consultatie juist ook is bedoeld om deze regels voor overheidsorganisaties werkbaar te maken.

Het feit dat het classificatiemodel nog onbekend is, leidt niet tot onzekerheid over investeringen in private eID-middelen; het classificatiemodel niet ziet op de (vormgeving van de) identificatiemiddelen. Daarvoor gelden de regels uit de eIDAS-verordening. Voor zover terughoudendheid van private aanbieders zou voortkomen uit de onzekerheid of er middelen beschikbaar moeten zijn op de niveaus substantieel en hoog, wijs ik er op dat de classificatieregeling naar verwachting niet ingrijpend zal verschillen met de huidige praktijk, waardoor er op beide betrouwbaarheidsniveaus identificatiemiddelen nodig zijn.

De leden van de D66-fractie vragen naar de lasten die het wetsvoorstel voor burgers meebrengt en hoe hoog de kosten dan zullen zijn per ID-kaart of rijbewijs. Voorts vragen de leden naar het installeren van DigiD hoog en substantieel. De leden vragen hoe niveau substantieel eruit gaat zien, waarom is dit omslachtiger te installeren is dan DigiD hoog, en wat het periodiek heractiveren van DigiD hoog betekent.

Burgers zullen voor de aanschaf van een publiek middel moeten gaan betalen (leges). De precieze meerkosten van de e-NIK en het e-rijbewijs zijn nog niet bekend; ik ga op dit moment uit van enkele euro’s. Voor wat betreft DigiD substantieel is een installatieproces nodig. Hiertoe wordt het bestaande elektronische aanvraagproces van DigiD versterkt met een eenmalige online-controle van een (fysiek) WID-document. De controle geschiedt via een gepersonaliseerde applicatie (gratis app) op een smartphone of tablet die is uitgerust met een NFC-lezer. De beoogde gebruiker dient het document bij het desbetreffende apparaat te houden, waarmee met de microchip wordt gecommuniceerd. Bij een succesvolle controle volgt de melding «controle gelukt». Voor het inloggen bij een dienstverlener is het document daarna niet meer nodig. Voornoemd proces is anders dan bij DigiD-hoog; hierbij is de fysieke drager/kaart zelf – die wel bij elke inlogtransactie gebruikt moet worden – uitgerust met een eID-chip. Periodiek heractiveren van publieke identificatiemiddelen is nodig vanwege het volgende. Bij de aanvraag van een elektronisch identificatiemiddel moet vastgesteld worden dat een burger een geldig, officieel document bezit met identiteitsgegevens die gecontroleerd kunnen worden in de basisregistratie persoonsgegevens. Aangezien identiteitsdocumenten kwijtraken, verlopen, worden ingetrokken of worden gestolen, is het nodig dat burgers met enige regelmaat hun (vernieuwde) document koppelen aan hun elektronische identificatiemiddel.

De leden van de D66-fractie constateren dat mensen die niet over een Android telefoon beschikken een kaartlezer moeten aanschaffen voor DigiD hoog. Zij vragen wat de kosten daarvan zijn en of deze door de overheid worden gedekt. Ook vragen deze leden zich af of er geen mogelijkheid is om DigiD hoog mogelijk te maken voor mensen met een iPhone of zonder fysieke kaart.

Ik acht het van wezenlijk belang dat alle gebruikers van gangbare mobiele apparaten de mogelijkheid krijgen tot het gebruik van de meer betrouwbare inlogmiddelen. Ik heb uw Kamer in de voortgangsrapportage eID van 16 juli 2018 over deze problematiek geïnformeerd. Ook in het AO digitale overheid van 31 oktober 2018 ben ik hierop ingegaan. Ik ben op diverse fronten bezig te onderzoeken of er bruikbare alternatieven zijn voor het aanschaffen van een kaartlezer om DigiD op betrouwbaarheidsniveau substantieel te installeren (DigiD op betrouwbaarheidsniveau hoog werkt zonder installatie). Zowel het geschikt maken van de IPhone als het verkennen van mogelijkheden zonder fysieke kaart vallen daaronder. Tot nu toe hebben deze acties nog geen succes opgeleverd. In de voortgangsrapportage van januari 2019 over eID zal ik uw Kamer hier opnieuw over informeren. De business case beschrijft de situatie als deze alternatieven niet op tijd beschikbaar komen.

10. Overgangsrecht en inwerkingtreding

Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.

11. Consultatie en advies Autoriteit Persoonsgegevens

De leden van de CDA-fractie constateren dat bijvoorbeeld de Vereniging van Universiteiten en de Vereniging Hogescholen samen met DUO, Studielink en Surf een bijdrage hebben geleverd aan de consultatie, waarbij zij al direct hun zorgen hebben geuit over de technische en financiële gevolgen van het voorliggende wetsvoorstel. Het CDA vraagt of aangegeven kan worden waarom de brede consultatie in twee bladzijden van de memorie van toelichting wordt samengevat en afgedaan. Voorts vraagt de CDA-fractie zich af, welke organisaties een bijdrage hebben geleverd aan de consultatie en op welke wijze hun commentaren zijn verwerkt in het voorliggende wetsvoorstel.

De (openbare) consultatiereacties zijn gepubliceerd en in te zien via www.internetconsultatie.nl/wetgdi. Omwille van de toegankelijkheid en leesbaarheid bevat de memorie van toelichting de hoofdlijnen terzake, waarbij wordt ingegaan op de belangrijkste commentaren en aanpassingen; deze zijn doorgevoerd omwille van met name de uitvoerbaarheid.

De leden van de CDA-fractie vragen zich af op welke wijze pensioenuitvoerders betrokken zijn geweest bij de vormgeving van het voorliggende wetsvoorstel.

Het Ministerie van SZW was nauw betrokken bij de voorbereiding van het wetsvoorstel. Ook de pensioensector was, in het kader van de (internet)consultatie, in de gelegenheid om input te leveren op het wetsvoorstel. De Pensioenfederatie heeft van die gelegenheid gebruik gemaakt; de desbetreffende reactie is openbaar en voor een ieder vindbaar op www.internetconsultatie.nl/wetgdi.

De leden van de CDA-fractie vragen voorts of de regering de wens van de Pensioenfederatie deelt om de gegevensuitwisseling tussen overheid en pensioenfondsen integraal te verbeteren om te voorkomen dat pensioendeelnemers pensioenopbouw en pensioenuitkeringen mislopen.

Afgezien van het feit, dat uit de consultatiereactie van de Pensioenfederatie niet afgeleid kan worden dat de wens bestaat om de gegevensuitwisseling tussen overheid en pensioenfondsen integraal te verbeteren, valt het gestelde buiten doel en werkingssfeer van het onderhavige wetsvoorstel.

De leden van de CDA-fractie vragen tenslotte, of de opvatting van de Autoriteit Persoonsgegevens wordt gedeeld, dat wanneer burgers gebruik maken van digitale dienstverlening van de overheid er persoonsgegevens van hen worden verwerkt en dit een inbreuk oplevert op het recht op eerbiediging van de persoonlijke levenssfeer.

In feite maakt iedere verwerking van persoonsgegevens een inbreuk op de persoonlijke levenssfeer. Dit betekent niet dat persoonsgegevens door de overheid niet zouden mogen (of zelfs moeten) worden verwerkt. Het betekent wel dat daarvoor een gerechtvaardigde grondslag moet zijn. Omdat het hier om verwerkingen van persoonsgegevens gaat ter uitvoering van een overheidstaak, voorziet het wetsvoorstel in de grondslag ter zake en wordt de verwerking van persoonsgegevens ingekaderd, zodat deze gelegitimeerd en niet bovenmatig is.

II ARTIKELSGEWIJS

Artikel 8

De leden van de VVD-fractie vragen om een nadere verduidelijking van het voorgestelde artikel 8, leden 2 en 3.

Voor het antwoord verwijs ik kortheidshalve naar hetgeen onder punt 3 uiteen is gezet in reactie op de vraag van de VVD-fractie naar de betekenis van het feit, dat toegelaten publieke middelen in beginsel uitsluitend mogen worden gebruikt in het publieke domein.

Artikel 9, tweede lid

De leden van de CDA-fractie vragen hoe het doorlopen van een selectieprocedure uit de Aanbestedingswet zich verhoudt tot het feit, dat voor private bedrijfs- en organisatiemiddelen erkenning door middel van accreditatie plaatsvindt.

In de huidige praktijk zijn er meerdere private authenticatiediensten actief die naar tevredenheid het bedrijfs- en organisatiemiddel leveren. Facturering en aansluiting van dienstverlening vindt daarbij decentraal plaats via zogeheten makelaars. Het wetsontwerp dat ter consultatie is gepubliceerd ging uit van hetzelfde model voor de toelating van private middelen voor burgers. In de consultatie is door dienstverleners echter nadrukkelijk verzocht de aansluitcomplexiteit en daarmee samenhangende kosten te reduceren in de vorm van één factuur en aansluiting via één koppelvlak. Dit heeft geresulteerd in de verantwoordelijkheid van de Minister van BZK voor een zogeheten routeringsvoorziening en de noodzaak om meer controle uit te oefenen op het aantal toe te laten private authenticatiediensten/middelen en de kosten. Door het Ministerie van BZK zal centraal worden betaald voor het gebruik van het private burgermiddel; de kosten worden doorbelast aan de dienstverleners. Via de selectieprocedure conform de Aanbestedingswet 2012 kunnen een of enkele private middelen – als alternatief voor een publiek middel – worden geselecteerd op aspecten zoals betrouwbaarheid, betaalbaarheid en dekkingsgraad. Na de selectieprocedure zal blijken of één of meer private authenticatiemiddelen geschikt zijn voor gebruik door burgers in het publieke domein. Indien één privaat middel wordt toegelaten, is het van belang dat de leverancier wordt verplicht tot het leveren ervan om de continuïteit van dienstverlening te waarborgen voor het geval het publieke middel onverhoopt niet beschikbaar is. Met het oog op zowel de gewenste verplichting tot uitvoering als de centrale verrekening is gekozen voor een selectieprocedure conform de Aanbestedingswet 2012 in plaats van accreditatie. Accreditatie ligt wel voor de hand bij private bedrijfs- en organisatiemiddelen. Als deze aan de eisen voldoen, worden ze door mij toegelaten; er is geen beperking voor wat betreft het aantal te erkennen private bedrijfs- en organisatiemiddelen.

Voorts vragen de leden van de CDA-fractie of het juist is, dat het wetsvoorstel de mogelijkheid open laat dat een bedrijfs- en organisatiemiddel gebruikt kan worden als burgermiddel, maar een burgermiddel niet als bedrijfs- en organisatiemiddel.

Deze veronderstelling van de CDA-fractie is onjuist. Natuurlijke personen die handelen in de uitoefening van een beroep of bedrijf kunnen het inlogmiddel voor burgers bij sommige dienstverleners gebruiken naast het bedrijfs- en organisatiemiddel. Het bedrijfs- en organisatiemiddel kan daarentegen niet gebruikt worden om in te loggen bij dienstverlening aan natuurlijke personen, die niet handelen in de uitoefening van beroep of bedrijf.

De leden van de CDA-fractie vragen of het juist is, dat toelating van een privaat middel afhankelijk is van de beoordeling van een ministerie en waarom private middelen niet toegelaten worden, als zij voldoen aan Europese regelgeving (eIDAS).

De constatering dat de toelating van private middelen afhankelijk is van de beoordeling door de Minister van BZK, is juist. Het voldoen aan de betrouwbaarheidseisen, die voortvloeien uit Europese regelgeving, is daarbij één van de criteria. Het komt de beheersbaarheid ten goede om ter zake van het private burgermiddel ook te selecteren op aspecten als betaalbaarheid en dekkingsgraad. Uitsluitend selecteren op het voldoen aan de Europese regelgeving zou kunnen leiden tot een onbeperkt aantal toegelaten middelen, hetgeen de sturing op het stelsel (ontwikkeling, beheer en incidenten), lage aansluitcomplexiteit en lage beheerlasten niet ten goede zou komen.

De leden van de CDA-fractie vragen hoe de voorgestelde selectieprocedure zich verhoudt tot de intentieverklaring van oktober 2015 tussen de Belastingdienst, vijf banken en de Betaalvereniging Nederland, waarin de uitgangspunten voor samenwerking tussen partijen werden vastgelegd in de vorm van een pilot. Zij vragen op welke wijze de succesvolle pilot van inloggen met iDIN bij de Belastingdienst is verwerkt in het voorliggende wetsvoorstel.

Deze inmiddels beëindigde pilot met iDIN was beperkt tot het gebruik van private inlogmiddelen bij dienstverlening van de Belastingdienst. Pilots zijn qua aard, omvang en tijdsduur beperkt. De in het wetsvoorstel voorziene selectieprocedure beoogt een of enkele private burgermiddelen toe te laten voor overheidsbreed gebruik. De ervaringen met de pilots hebben bijgedragen aan de keuze om in het wetsvoorstel de mogelijkheid van toelating van private middelen op te nemen en de toegang tot overheidsdienstverlening niet louter door publieke middelen te laten geschieden.

Artikel 12

De leden van de VVD-fractie hebben vragen over het voorgestelde artikel 12. Zij vragen zich af waarom is gekozen voor aanwijzing door de Minister van BZK, terwijl eerder is gedacht aan een attributendienst. De leden vragen zich af wat de voor- en nadelen van beide figuren zijn en wat dit voor een orgaan zou zijn geweest.

Aanvankelijk was in het wetsvoorstel voorzien in een attributendienst ten behoeve van het afgeven van elektronische verklaringen over bepaalde kenmerken of gegevens van een natuurlijk persoon of rechtspersoon. Het betrof een publieke voorziening of een door een private partij aan te bieden dienst waarvoor erkenning door de Minister van BZK was vereist. Hiermee werd beoogd ruimte te bieden aan een stelsel van publieke en private diensten die gegevens kunnen verstrekken die niet nodig zijn in het primaire proces van authenticatie, maar wel nodig zijn om overheidsdiensten te kunnen verlenen. Zo zijn sommige diensten gekoppeld aan een leeftijdsgrens of aan het hebben van bepaalde kwalificaties. Op basis van voortschrijdend inzicht is geconstateerd dat eerst bezien moet worden wat de behoefte is aan attributen en wat de (technische) mogelijkheden zijn om attribuutverstrekking te realiseren en integreren in het met het wetsvoorstel voorziene stelsel voor identificatie en authenticatie. Tot op heden functioneert in het publieke domein geen generieke attributenvoorziening. Wel worden op andere manieren attributen betrokken in het authenticatieproces. Zo wordt bij elektronische dienstverlening aan bedrijven het Handelsregister gebruikt als bron om kenmerken over een organisatie of rechtspersoon mee te geven. Met dit wetsvoorstel is aangesloten bij de bestaande praktijk, door gebruik te maken van beschikbare registers die attributen bevatten aan de hand waarvan een onderneming of rechtspersoon kan worden geïdentificeerd; deze attributen kunnen ook van belang zijn voor de toegang tot elektronische dienstverlening. Hiertoe krijgt de Minister van BZK – in voorkomende gevallen in overeenstemming met de Minister die het mede aangaat – de bevoegdheid om attributen aan te wijzen en nadere regels te stellen aan de wijze waarop erkende diensten het betrokken attribuut bij hun activiteiten moeten betrekken. Voordeel hiervan is dat bestaande overheidsdienstverlening ondersteund blijft; nadeel is dat een extra inspanning nodig is om aan gegevens te komen die nodig zijn om de overheidsdienst te verlenen. Het functioneren van een (publieke of private) attributendienst lijkt uit een oogpunt van efficiency meer opportuun. Nut, noodzaak en (technische) modaliteiten hiervan zijn echter nog niet uitgekristalliseerd.

Artikel 29

De leden van de VVD-fractie vragen zich tenslotte af hoe realistisch het is te streven naar gefaseerde inwerkingtreding van de wet met ingang van 1 januari 2019.

Op het moment van schrijven van wetsvoorstel en memorie van toelichting werd gekoerst op inwerkingtreding met ingang van 1 januari 2019. Dit is niet langer realistisch. Het streven is thans de wet medio 2019 in werking te kunnen laten treden.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops