35868 Advies Afdeling advisering Raad van State inzake Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)
Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)
Advies Afdeling advisering Raad van State
Nummer: 2021D25032, datum: 2021-06-22, bijgewerkt: 2024-02-19 10:56, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Gerelateerde personen:- Eerste ondertekenaar: Th.C. de Graaf, vicepresident van de Raad van State
Onderdeel van zaak 2021Z11543:
- Indiener: R.W. Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Volgcommissie: vaste commissie voor Binnenlandse Zaken
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2021-06-24 14:39: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2021-07-01 11:30: Procedurevergadering commissie Binnenlandse Zaken (videoverbinding) (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2021-09-08 14:00: Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid) (35868) (geannuleerd i.v.m. overdragen behandeling Wet digitale overheid aan de commissie Digitale Zaken) (Inbreng verslag (wetsvoorstel)), vaste commissie voor Binnenlandse Zaken
- 2021-09-15 12:00: Procedurevergadering (hybride) (let op afwijkend tijdstip) (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2021-10-07 12:00: Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid) - 35868 (Inbreng verslag (wetsvoorstel)), vaste commissie voor Digitale Zaken
- 2021-12-15 11:00: Procedurevergadering (hybride) (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2021-12-16 14:20: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2022-06-01 14:10: Wet digitale overheid (35868) (Plenair debat (wetgeving)), TK
- 2022-06-07 15:00: Stemmingen (Stemmingen), TK
Preview document (🔗 origineel)
No.W04.21.0081/I 's-Gravenhage, 15 april 2021
...................................................................................
Bij Kabinetsmissive van 19 maart 2021, no.2021000512, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid), met memorie van toelichting.
Het voorstel betreft een novelle, die strekt tot wijziging van het wetsvoorstel inzake de Wet digitale overheid,1 indien dit voorstel tot wet wordt verheven. Aanleiding voor deze wijzigingen zijn de in de parlementaire behandeling bij de Eerste Kamer geuite zorgen inzake privacybescherming, in het bijzonder in relatie tot de positie van private technologieondernemingen. Om aan deze zorgen tegemoet te komen worden ‘privacy by design’, het verhandelverbod inzake persoonsgegevens en ‘open source’ als hoofdelementen wettelijk verankerd.
De Afdeling advisering van de Raad van State merkt in dit advies op dat de begrippen privacy by design en open source niet voldoende worden uitgewerkt. Datzelfde geldt voor het verbod voor private aanbieders om inloggegevens commercieel te benutten. Verder constateert de Afdeling dat het voorstel techniekonafhankelijk is opgezet en daardoor onvoldoende uitwerking geeft aan het primaat van de wetgever. In verband met die opmerkingen is aanpassing van het voorstel en de toelichting wenselijk.
1. Achtergronden en voorstel
De Wet digitale overheid bevat (een eerste tranche van) regels ten behoeve van de verdere digitalisering van de overheid. Het voorstel stelt onder meer regels over het verplichten van bepaalde standaarden, het beheer van diensten binnen de digitale infrastructuur van de overheid, informatieveiligheid en digitale toegang tot publieke dienstverlening. Het wetsvoorstel is op 18 februari 2020 door de Tweede Kamer aangenomen en ligt nu ter behandeling voor in de Eerste Kamer. De vaste commissie Binnenlandse Zaken en de Hoge Colleges van Staat/Algemene Zaken en Huis van de Koning van de Eerste Kamer heeft een hoorzitting gehouden met deskundigen, die daarin zorgen hebben geuit over de privacybescherming.2 Op basis daarvan heeft deze Kamercommissie prealabele vragen aan de regering gesteld.3 Dit heeft geleid tot de in de voorliggende novelle voorgestelde aanpassingen van het wetsvoorstel.
De geuite zorgen zien in het bijzonder op drie aspecten. In de eerste plaats is benadrukt om op het niveau van de wet te regelen dat bij het ontwerp van de inlogmiddelen rekening moet worden gehouden met de bescherming van persoonsgegevens (‘privacy by design’). In de tweede plaats is grote zorg geuit over de mogelijkheden die commerciële partijen krijgen door inloggegevens te koppelen en vervolgens gevoelige data te vergaren. In de derde plaats hebben verschillende partijen dringend geadviseerd om in de wet de verplichting vast te leggen om de identificatie- (of inlog)middelen ‘open source’ aan te bieden, zodat de gebruiker kan controleren of de privacy en beveiliging goed zijn geregeld.
Op voornoemde drie aspecten wordt het wetsvoorstel aangepast met de voorliggende novelle. Daarnaast constateert de Afdeling dat de deskundigen ook in algemene zin hun zorg hebben uitgesproken dat de uitwerking van de wet, wetsbegrippen en waarborgen van proportionaliteit en subsidiariteit in belangrijke mate worden gedelegeerd naar lagere regelgeving, terwijl dit op het niveau van de wet moeten worden geregeld. Dit onderwerp wordt behandeld in punt 5 van dit advies.
2. Privacy by design
In het voorstel wordt geregeld dat erkenning van een privaat inlogmiddel wordt geweigerd indien “het ontwerp onvoldoende voorziet in de bescherming van persoonsgegevens”.4 Volgens de toelichting zijn ontwikkelaars op grond van de Algemene verordening gegevensbescherming (AVG) al verplicht om bij het ontwerp van inlogmiddelen de beginselen van gegevensbescherming in acht te nemen. De AVG is als Europese verordening rechtstreeks toepasselijk in de lidstaten. Omzetting middels nationaal-wettelijke bepalingen is in beginsel niet toegestaan (het zogenoemde overschrijfverbod). Wel moet nog worden geregeld dat dit principe een grond is om een erkenningsaanvraag af te wijzen. Dat was eerder voorzien in een uitvoeringsregeling. De door leden van de Eerste Kamer geuite zorg is aanleiding om deze afwijzingsgrond op het niveau van de wet te verankeren.5
Het stelsel van inlogmiddelen berust op een andere verordening van de Europese Unie, de zogeheten eIDAS-verordening.6 Die verordening voorziet erin dat de Europese Commissie een interoperabiliteitskader opstelt, dat onder meer de toepassing van het beginsel van privacy by design dient te bevorderen. In het vastgestelde interoperabiliteitskader is daar echter niets over geregeld.7
Het is juist dat krachtens de AVG ontwikkelaars reeds zijn gehouden volgens het principe van privacy by design te werken. Dit laat echter onverlet dat privacy by design een breed begrip is, dat snel kan veranderen door veranderingen in de techniek, en dat door ontwikkelaars op verschillende wijzen en deels naar eigen inzicht kan – en moet – worden ingevuld. Tegelijkertijd moeten burgers erop kunnen vertrouwen dat inlogmiddelen die door de overheid zijn erkend veilig en betrouwbaar zijn en voldoen aan dit principe. Dit betekent dat de minister alleen de inlogmiddelen mag erkennen, die, beoordeeld naar de jongste stand van de techniek, voldoen aan het principe van privacy by design. En voorts geldt dat indien een erkend middel nadien niet meer voldoet aan dit principe, de erkenning zal moeten worden ingetrokken.
De Afdeling acht het daarom van belang dat duidelijk is hoe bij de toetsing aan deze weigeringsgrond precies wordt beoordeeld of een middel aan het principe van privacy by design voldoet. In de toelichting wordt hier niet op ingegaan en evenmin is voorzien in een nadere precisering van deze eis bij algemene maatregel van bestuur. Dat ligt wel in de rede. Voor de goede orde merkt de Afdeling op dat een dergelijke precisering met het oog op de uitvoering – namelijk de erkenning van het inlogmiddel – niet in strijd hoeft te komen met het overschrijfverbod. Van belang is dat de algemene maatregel van bestuur de rechtstreekse werking van het principe van privacy by design niet belemmert en het communautaire karakter ervan niet verbergt.8 Dit kan in de algemene maatregel van bestuur tot uitdrukking worden gebracht, opdat de herkomst van de norm duidelijk is en geen twijfel kan bestaan dat de precisering in dat licht moet worden bezien.9
Gelet op het voorgaande adviseert de Afdeling het voorstel aan te passen.
3. Verhandelverbod
In het voorstel wordt geregeld dat een erkenning van een inlogmiddel wordt geweigerd, indien de aanvrager “niet aannemelijk heeft gemaakt dat geen inkomsten worden verkregen uit het verhandelen of verstrekken van gebruikersgegevens”.10
Het doel van deze wijziging is te voorkomen dat gegevens van burgers commercieel worden uitgenut.11 In de voorgestelde weigeringsgrond wordt echter gekeken naar de inkomsten die worden verkregen uit het “verhandelen of verstrekken” van gebruikersgegevens. Met deze omschrijving staat niet vast dat elke vorm van commerciële uitnutting van persoonsgegevens wordt uitgesloten. Zo zijn er bijvoorbeeld websites die geld verdienen met het plaatsen van gerichte advertenties. Bij die methode komen er geen persoonsgegevens in handen van de adverteerders, tenzij de bezoeker van de website zelf op de advertentie klikt.
De Afdeling adviseert het verhandelverbod op een meer sluitende manier te omschrijven.
4. Open source
In het voorstel wordt gekozen voor het uitgangspunt van “open source, tenzij”. De minister weigert een inlogmiddel te erkennen, indien bij de werking van het middel of de processen naar zijn oordeel “onvoldoende gebruik wordt gemaakt van software die onder open source licentie is gepubliceerd”.12 In de deskundigenbijeenkomst is naar voren gekomen dat open source software in beginsel de beste garanties biedt dat de software veilig en betrouwbaar is,13 mits de gemeenschap die de software onder zijn hoede heeft voldoende groot en actief is.14
a. Keuze voor open source
Uit de toelichting blijkt dat het streven is om geleidelijk over te gaan op open source software. Als meer open source mogelijkheden beschikbaar komen, zullen – zo stelt de toelichting – ook aanbieders van wie closed software is toegelaten de beweging naar open source moeten maken. Tegen die tijd zullen nieuwe aanbieders open source moeten aanbieden.15
De Afdeling merkt op dat dit streven om geleidelijk over te gaan op open source software niet naar voren komt in de voorgestelde weigeringsgrond dat “onvoldoende gebruik wordt gemaakt van software die onder open source licentie is gepubliceerd”. Bovendien biedt het wetsvoorstel niet met zoveel woorden de mogelijkheid om een erkenning in te trekken naarmate er meer aanbieders bij komen die open source software aanbieden.16
De Afdeling adviseert het voorstel aan te passen.
b. Nadere uitwerking
Het is niet duidelijk wat onder “open source software” moet worden verstaan. De regering lijkt hieronder slechts te verstaan dat de broncode van de software openbaar is, zodat iedereen de betrouwbaarheid kan onderzoeken.17 Onder open source kan echter ook worden verstaan dat de software door iedereen gratis te kopiëren, te gebruiken en te wijzigen is, en dat ontwikkelaars worden aangemoedigd om de software te verbeteren.
Het voorstel omschrijft het begrip als “software die onder een open source licentie is gepubliceerd” en laat de minister een ruime beoordelingsvrijheid bij de vraag wat verder onder dat begrip moet worden verstaan. Dit leidt tot onduidelijkheid hoe deze weigeringsgrond moet worden uitgelegd.
In het licht van het voorgaande, adviseert de Afdeling de toelichting, en zo nodig het voorstel aan te passen.
5. Mate van delegatie
Bij de behandeling van het voorstel in de Eerste Kamer is uitvoerig aandacht besteed aan de vraag of het wetsvoorstel zelf voldoende regelt en er niet teveel wordt gedelegeerd naar het niveau van algemene maatregel van bestuur of ministeriële regeling. Bij de deskundigenbijeenkomst zijn er indringende vragen gesteld over het niveau van regelgeving. De regering heeft geen aanleiding gezien het voorstel uit te breiden of aan te vullen. In de memorie van antwoord gaat de regering uitgebreid in op de algemene uitgangspunten bij delegatie van regelgeving; daarna behandelt ze pagina’s lang de inhoud van het voorstel.18
In het deskundigenoverleg en het voorlopig verslag van de Eerste Kamer wordt de vraag gesteld of het advies van de Afdeling advisering op dit punt wel is opgevolgd.19 In dat advies stelde de Afdeling dat het voorstel abstract en techniekonafhankelijk was geformuleerd en dat de uitwerking van de abstracte begrippen werd gedelegeerd aan lagere regelgeving. Zo werden begrippen als DigiD, MijnOverheid, DigiD Machtigen en het BSN-Koppelregister geregeld in de (ministeriële) Regeling voorzieningen GDI. De Afdeling achtte het echter aannemelijk dat MijnOverheid en het BSN-Koppelregister, die een centrale plaats innemen in de communicatie tussen overheid en burger, de komende jaren zullen blijven bestaan. Daarom adviseerde zij deze centrale onderdelen van de generieke digitale infrastructuur in de wet zelf te regelen.20
In de memorie van antwoord stelt de regering nu dat het advies van de Afdeling is opgevolgd. Het wetsvoorstel bevat de taken, verantwoordelijkheden en functionaliteiten met betrekking tot een aantal belangrijke voorzieningen van de generieke digitale infrastructuur. Concretisering en uitwerking vindt plaats bij lagere regelgeving; de grondslagen hiervoor worden in het wetsvoorstel ingekaderd en begrensd. “Anders dan de fracties lijken te menen, zit er derhalve geen licht tussen de zienswijze van de Afdeling Advisering van de Raad van State en die van de regering,” zo stelt de regering.21
Het wetsvoorstel was echter niet gewijzigd op de punten die de Afdeling noemde. Het voorstel zoals destijds voorgelegd aan de Afdeling en de versie die nu bij de Eerste Kamer ligt zijn op het punt van de techniekonafhankelijkheid hetzelfde. In beide versies omschrijft het voorstel de functionele eisen waaraan de “generieke digitale infrastructuur” van de overheid moet voldoen, en wordt de techniekafhankelijke uitwerking overgelaten aan lagere regelgeving. Het gaat dan vooral om het Besluit digitale overheid, waarvan een conceptversie is voorgehangen bij de Eerste en Tweede Kamer. In die regeling worden de begrippen DigiD, MijnOverheid, DigiD Machtigen en het BSN-Koppelregister wel uitdrukkelijk geregeld.22
Zoals in de memorie van antwoord wordt vermeld, dient een wet de hoofdelementen van de regeling te bevatten. Het gevaar van techniekonafhankelijke wetgeving is dat de wet zo abstract wordt dat de hoofdelementen niet meer herkenbaar worden beschreven, zodat het parlement als medewetgever er zich geen voorstelling van kan maken waarmee het instemt. De wet dient man en paard te noemen en het niet te laten bij de algemene aanduiding dat het gaat om zoogdieren. Bij abstracte wettelijke regels is het nog wel mogelijk zich voor te stellen wat daar op dit moment concreet onder moet worden verstaan, maar niet welke betekenis zij in de toekomst kunnen krijgen.
Als het voorstel op die manier wordt versterkt, hoeft dat geen rem te zijn op technologische vernieuwingen. Het voorstel bevat immers al twee bepalingen die de regering de mogelijkheid geven om tijdelijk van onderdelen van de wet af te wijken om ruimte te geven aan innovatie.23
De Afdeling adviseert in de toelichting op het voorgaande in te gaan en het voorstel aan te vullen met techniekafhankelijke elementen uit het ontwerp-Besluit digitale overheid, of anders aan te geven waarom dat niet wenselijk is.
De Afdeling advisering van de Raad van State heeft een aantal
opmerkingen bij het voorstel en adviseert daarmee rekening te houden
voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt
ingediend.
De vice-president van de Raad van State,
Gewijzigd voorstel van wet voor algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid), Kamerstukken I 2019/20, 34972, A.↩︎
Kamerstukken I 2019/20, 34972, G.↩︎
Kamerstukken I 2019/20, 34972, I.↩︎
Artikel 9, zesde lid, onder b. Artikel 11, achtste lid, onder b, voorziet in een vergelijkbare bepaling voor inlogmiddelen voor bedrijven.↩︎
Toelichting, onder “Privacy by design”.↩︎
Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB 2014, L 257).↩︎
EIDAS-uitvoeringsverordening inzake het interoperabiliteitskader, (EU) 2015/1501, Pb EU 2015, L 235/1.↩︎
HvJ 21 december 2011, Danske Svineproducenter, C‑316/10, ECLI:EU:C:2011:863, punt 41. Voorts zij verwezen naar de Handleiding Wetgeving en Europa van het Kenniscentrum Wetgeving en Juridische zaken van het Ministerie van Justitie en Veiligheid, paragraaf 1.2.4.c en de aldaar genoemde rechtspraak en beginselen.↩︎
In dat verband zou, indien beschikbaar, aangesloten kunnen worden bij een goedgekeurd certificeringsmechanisme (vgl. artikel 25, derde lid, AVG) en ligt het in de rede om op het niveau van de Unie afstemming over de precisering te zoeken.↩︎
Artikel 9, zesde lid, onder c en 11, achtste lid, onder c voor inlogmiddelen voor bedrijven.↩︎
Toelichting, onderdeel “Verhandelverbod”.↩︎
Voorgesteld artikel 9, zesde lid, onderdeel d.↩︎
Zie onder meer hetgeen de heren Böhre en Van Boheemen en mevrouw Moerel hebben opgemerkt in de deskundigenbijeenkomst, Kamerstukken I 2019/20, 34972, G, p. 6, 11, 14 en 25.↩︎
Kamerstukken I 2020/21, 34972, L, p. 26.↩︎
Toelichting, onder “Open source”, onder “Wegingsfactoren bij toetsing”.↩︎
De minister kan een erkenning intrekken als – kort gezegd – niet langer wordt voldaan aan de erkenningsgronden (artikel 9, zevende lid).↩︎
Kamerstukken I 2020/21, 34972, L, p. 26.↩︎
Kamerstukken I 2020/21, 34972, L, p. 3-13.↩︎
Kamerstukken I 2019/20, 34972, G, p. 12.↩︎
Advies van 3 mei 2018, W04.17.0400, Kamerstukken II 2017/18, 34972, nr. 4, punt 6.↩︎
Kamerstukken I 2020/21, 34972, L, p. 6.↩︎
Kamerstukken II 2019/20, 34972, nr. 45. bijlage.↩︎
Bij algemene maatregel van bestuur kan worden afgeweken van de wet om nieuwe methoden te onderzoeken waarmee authenticatie doeltreffender en veiliger kan plaatsvinden (artikel 26). Verder kan de minister een erkende dienst ontheffing verlenen van bij of krachtens artikel 13 gestelde regels, indien deze regels in de weg staan aan technologische ontwikkelingen aangaande een betrouwbare toegang van ondernemingen en rechtspersonen tot elektronische dienstverlening (artikel 13, zesde lid).↩︎