[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Inbreng verslag van een schriftelijk overleg over het ontwerpbesluit digitale overheid (Kamerstuk 34972-45)

Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

Inbreng verslag schriftelijk overleg

Nummer: 2020D13442, datum: 2020-04-07, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (nds-tk-2020D13442).

Gerelateerde personen:

Onderdeel van zaak 2020Z05198:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


2020D13442 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

De vaste commissie voor Binnenlandse Zaken heeft enkele vragen en opmerkingen over het Ontwerpbesluit houdende wijziging van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur in verband met het stellen van de kaders voor informatieveiligheid en persoonsgegevensverwerking (Besluit digitale overheid), dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties bij brief van 17 maart 2020 (Kamerstuk 34 972 B, nr. 45 herdruk) aan de Kamer heeft voorgelegd.

De voorzitter van de commissie,
Ziengs

De adjunct-griffier van de commissie,
Hendrickx

Inhoudsopgave blz.
I. Algemeen 2
1. Inleiding 2
2. Hoofdlijnen 2
3. Verhouding tot andere regelgeving 3
4. Inhoud 3
5. Privacy en verhouding tot algemene verordening gegevensbescherming 4
6. Consultatie 4
7. Evaluatie 5
II Artikelsgewijze toelichting 5

I. Algemeen

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit Digitale overheid. Dit is de eerste uitvoeringsregelgeving op basis van de Wet digitale overheid. Dat wetsvoorstel is onlangs door de Tweede Kamer aanvaard. Graag willen de leden van de VVD-fractie de regering een aantal vragen voorleggen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit houdende wijziging van het Besluit verwerking persoons-gegevens generieke digitale infrastructuur in verband met het stellen van de kaders voor informatieveiligheid en persoonsgegevensverwerking (Besluit digitale overheid). Deze leden hebben daarover enkele vragen.

De leden van de D66-fractie hebben kennisgenomen van het genoemde ont-werpbesluit en willen de regering nog enkele vragen voorleggen. Voor de leden van de D66-fractie is het van groot belang dat informatieveiligheid bij publieke dienstverleners gewaarborgd is.

De leden van de GroenLinks-fractie hebben kennisgenomen van het ontwerpbesluit digitale overheid. Zij hebben hierover een aantal vragen aan de rege-ring. Allereerst begrijpen deze leden dat er niet één AMvB of Ministeriële regeling komt waarin de Wet digitale overheid nader in wordt uitgewerkt. Het voorliggende Ontwerpbesluit is één van de onderliggende regelgevende documenten. Kan de regering in een schematisch overzicht alle onderliggende regelgevende documenten – die voortvloeien uit artikel 4 en artikel 16 van de Wet digitale overheid – weergeven met daarbij wat deze regelingen in hoofdzaak regelen?

De leden van de ChristenUnie-fractie hebben met interesse kennisgenomen van het Ontwerpbesluit digitale overheid. Zij hebben behoefte aan het stellen van een beperkt aantal vragen.

2. Hoofdlijnen

In de regeling wordt gesproken over erkende private partijen. De leden van de GroenLinks-fractie vinden het van groot belang dat deze partijen effectief worden gecontroleerd aangezien zij potentieel privacygevoelige informatie van burgers in handen kunnen krijgen. Kan de regering nader ingaan op de vraag hoe controle en handhaving plaatsvindt. En kan de regering daarbij specifiek ook ingaan op de volgende twee aspecten. Hoe is het gesteld met de capaciteit van het ministerie en de Autoriteit Persoonsgegevens? Hebben zij straks voldoende capaciteit om effectieve naleving van de wet en onder-liggende regels te waarborgen?

Op welke wijze worden burgers straks actief geïnformeerd over hun rechten en over de vraag hoe zij eventueel misbruik van hun gegevens kunnen melden en tegengaan? Is het, zo vragen deze leden, wellicht een mogelijkheid om bij ieder privaat digitaal inlogmiddel een duidelijke disclaimer verplicht in beeld te laten brengen met daarin heldere informatie over hoe omgegaan wordt met de gegevens van de burger en de rechten die deze burger heeft (bijvoorbeeld het recht op inzage van het gebruik van zijn/haar gegevens) die gebruik maakt van het inlogmiddel?

3. Verhouding tot andere regelgeving

de leden van de GroenLinks-fractie hebben nog twee vragen n.a.v. moties ingediend bij de behandeling van de Wet digitale overheid. Allereerst vernemen zij graag of, en zo ja hoe, gewerkt wordt aan het waarborgen dat bij (private) authenticatiediensten zoveel mogelijk gebruik wordt gemaakt van open source? En daarnaast vernemen deze leden graag een actuele stand van zaken over het vraagstuk rondom het feit dat ondernemers problemen ervaren met het doen van aangiften (eHerkenningsproblemen en de kosten voor het doen van belastingaangiften

4. Inhoud

4.1 Verwerking persoonsgegevens

De leden van de D66-fractie vragen zich af of de regering voorbeelden kan schetsen waarin het wenselijk zou zijn dat artikel 5b, lid 3 en artikel 5c, lid 3 het mogelijk maken om ook gegevens over de gezondheid in niet versleutelde vorm te verwerken?

Bovengenoemde leden horen graag van de regering hoe kan worden voorkomen dat gegevens, conform artikel 5e, op basis van andere verwerkings-gronden dan de goede werking van identificatiemiddelen en de goede en veilige toegang met die middelen of via machtiging tot elektronische dienstverlening worden gebruikt.

De leden van deze fractie zouden graag horen wat wordt verstaan onder «overige gegevens die bij het account horen» in artikel 5b sub c.

De leden van de D66-fractie vragen zich af waarom de eis tot het scheiden van de opslag van gegevens over de gebruiker van het private identificatiemiddel enerzijds, en de gegevens over het gebruik van het middel anderzijds niet wordt vastgelegd in artikel 5e.

De leden van de D66-fractie ontvangen graag een nadere toelichting over hoe met de genoemde specifieke, zichtbare en toegankelijke verklaring voldoende uitvoering wordt gegeven aan het recht van inzage en rectificatie van persoonsgegevens. Deze leden ontvangen graag een nadere toelichting waarom in paragraaf 4.1.2. van de nota van toelichting wordt gekozen voor een opt-out mechanisme en niet een opt-in mechanisme om automatisch berichten te ontvangen.

4.1.3 Persoonsgegevens toegelaten privaat middel voor burgers

Kan de regering nader toelichten waarom ook private identificatiemiddelen worden toegelaten voor overheidsdienstverlening. Bestaat er kans dat dit extra risico’s met zich meebrengt op het gebied van phishing of toegang voor statelijke actoren tot overheidsinstellingen? Zo ja hoe worden deze risico’s ondervangen? Hoe wordt voorkomen dat data, gerelateerd aan overheidsdienstverlening, door een private partij voor commerciële doeleinden worden gebruikt?

4.1.4. Persoonsgegevens bedrijfs- en organisatiemiddel

De leden van de VVD-fractie begrijpen dat de algemene maatregel van bestuur (AMvB) ook betrekking heeft op bedrijfs- en organisatiemiddelen. Zijn er op basis van deze AMvB gevolgen voor de huidige bedrijfs- en organisatiemiddelen (e-herkenning)? Zo ja, welke zijn dat? Graag krijgen de leden van de VVD-fractie een reactie van de regering.

4.1.5. Persoonsgegevens BSN-K

De leden van de VVD-fractie lezen dat de afgeleide vorm van het BSN in het private domein wordt gebruikt bij diensten waarvoor geen BSN verwerkt mag worden. De afgeleide vorm bevat geen BSN. Graag krijgen deze leden een verduidelijking van deze passage, want deze AMvB heeft toch geen betrekking op de private sector, met uitzondering van die delen die het BSN moeten gebruiken, zoals zorgverzekeraars? Wat zijn de gevolgen van het «zoveel mogelijk werken met pseudonomisering en polymorfe identiteiten» voor de uitwerking van de motie-Middendorp over het gebruik van identificatiemiddelen in niet-publieke overige sectoren? (TK 34 972, nr. 29)? Graag krijgen de leden van de VVD-fractie een reactie van de regering.

De leden van de CDA-fractie vragen wat precies de functie is van het BSN-Koppelregister in de rollen die de Wet digitale overheid heeft gedefinieerd. Op grond waarvan komt de voorziening tot stand? Het BSN-Koppelregister wordt niet genoemd in de definities van de Wet digitale overheid. Vervult deze voorziening een centrale rol in het stelsel? Communiceren alle middelen via deze voorziening? Zo ja, is deze voorziening niet in strijd met het doel van de Wet digitale overheid, namelijk ervoor zorgen dat wij op het gebied van online identificatie en authenticatie niet afhankelijk zijn van unieke voorzieningen? Ten slotte vragen deze leden wat de noodzaak is van het gebruik van pseudonieme identiteiten in het BSN-domein.

5. Privacy en verhouding tot algemene verordening gegevensbescherming

De leden van de GroenLinks-fractie hebben een vraag over de uit de AVG voortvloeiende verplichte dataminimalisatie. Zoals ook in het debat over de Wet digitale overheid gewisseld, hebben de aan het woord zijnde leden zorgen over de mogelijkheid van private organisaties om een digitaal identificatiemiddel in te stellen. Kan de regering – zo mogelijk met een concreet voorbeeld van een fictief bedrijf – aangeven hoe de dataminimalisatie moet worden bereikt en hoe dit door zowel de overheid als voor burgers te controleren is of aan de AVG wordt voldaan?

6. Consultatie

De leden van de ChristenUnie-fractie vinden het van belang dat het nieuwe besluit ook voor zorgpartijen goed uitvoerbaar is en tot zo min mogelijk meerkosten leidt. Op welke manier kan de terughoudendheid van zorgpartijen verder worden weggenomen ten aanzien van de zorgen die zij hebben ten gevolge van dit besluit? Hoe wordt ook bij het toelaten van identificatiemiddelen rekening gehouden met de uitvoerbaarheid voor zorgpartijen en overige aangewezen organisaties om de eigen systemen op de verschillende soorten identificatiemiddelen af te stemmen? Hoe gaat er rekening worden gehouden met door zorginstellingen reeds gehanteerde methodieken? Is de regering bereid om zorginstellingen actief te betrekken bij de nadere uitwerking van het besluit?

De leden van de ChristenUnie-fractie lezen dat «Uitgangspunt is evenwel alle dienstverleners op eenduidige wijze te (kunnen) beoordelen; hierdoor is de ruimte voor eigen vormgeving van audits en rapportage beperkt.» Is hierin het gemak voor het Ministerie leidend, of is het streven om waar dat kan maximaal ruimte te bieden aan zorgpartijen om regelarm te kunnen rapporteren?

7. Evaluatie

De Wet digitale overheid bevat een evaluatiebepaling. De leden van de VVD-fractie nemen aan dat de toelichting op dit punt nog wordt aangepast in verband met het aangenomen amendement Middendorp en Van der Molen (TK 34 972, nr. 21) waardoor de termijn voor de evaluatie van vijf jaar is veranderd in drie jaar. Ook is vastgelegd dat de toegankelijkheid van elektronische dienstverlening voor mensen die digitaal minder vaardig zijn nadrukkelijk bij de evaluatie wordt meegenomen.

In paragraaf 8 van de nota van toelichting, over evaluatie van de Wet digitale overheid en het Besluit digitale overheid, wordt een termijn van vijf jaar genoemd. De leden van de CDA-fractie constateren dat in artikel 23 van het wetsvoorstel sprake is van een termijn van drie jaar. In dit verband herinneren deze leden de regering aan het met algemene stemmen aangenomen amendement-Middendorp/Van der Molen (TK 34 972, nr. 21).

II Artikelsgewijze toelichting

Artikel I

Onderdeel F

Artikelen 5b en 5b

De leden van de VVD-fractie constateren dat de onderhavige AMvB een grotere dataset definieert dan de minimale dataset van de eIDAS-Verordening. Waarom is hiervoor gekozen? Zou hier niet moeten worden verwezen naar de Verordening zelf? Behoren alle aan te leveren gegevens strikt genomen tot de taak van de middelenleverancier? Graag krijgen de leden van de VVD-fractie een reactie van de regering op de hier gestelde vragen.

De leden van de CDA-fractie constateren, dat het ontwerpbesluit een grotere dataset definieert dan de eIDAS-verordening (art.5). Deze leden vragen hoe dit zich verhoudt tot het uitgangspunt van de regering om geen aanvullende eisen te stellen aan bestaande Europese regels en principes, zoals de Minister tijdens de plenaire behandeling van het wetsvoorstel stelde. Verder vragen deze leden naar de rolverdeling bij het aanleveren van die data. Zijn middelenleveranciers bijvoorbeeld wel in staat om het IP-adres en sessie-gegevens, waaronder cookies, van gebruikers aan te leveren? Hoe verhoudt dit zich tot de principes van dataminimalisatie?

Artikel 5d

De leden van de VVD-fractie merken op dat Artikel 5d de term «eIDAS-voorziening» introduceert. Is dit een andere benaming voor het «eIDAS-koppelpunt»? Waarom wordt in deze AMvB niet duidelijker aangesloten bij de bestaande terminologie, diensten en begrippen uit de eIDAS-Verordening zelf. Gaarne krijgen de leden van de VVD-fractie een reactie van de regering.

Onderdelen K, L, M, N en O

Bij een aantal onderdelen, zoals K, L, M, N en O, zo stellen de leden van de VVD-fractie vast, is er sprake van een bewaartermijn van persoonsgegevens van vijf jaar. Waarop is de periode van vijf jaar gebaseerd? In hoeverre is de termijn van vijf jaar noodzakelijk? Graag krijgen de leden van de VVD-fractie een reactie van de regering.

De leden van de D66-fractie vragen een toelichting of de bewaartermijnen in het kader van misbruikbestrijding van 5 jaar, zoals genoemd in artikel 14e, bovenop de genoemde bewaartermijnen van de in artikel 11 tot en met 14d genoemde bewaartermijnen van 5 jaar komt.

Artikel 18 en 24

De leden van de D66-fractie vragen zich af waarom onder artikel 18 wel fysieke- en personele beveiligingseisen worden gesteld aan het informatie-veiligheidsbeleid, maar dat fysieke- en personele beveiliging volgens artikel 24 vervolgens niet onderdeel uitmaken van de vereiste audit voor dienstverleners.