Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 5 juli 2019
Op 12 juni jl. heb ik u de nota naar aanleiding van het nader verslag bij het wetsvoorstel digitale overheid toegezonden. (Kamerstuk 34 972, nr. 10)
Uw kamer heeft onder meer vragen gesteld die zich concentreren op de verwerving van een privaat inlogmiddel voor burgers. De leden vroegen waarom de regering niet heeft gekozen voor een systeem van accreditatie (toelating). Dit met het oog op bereik en snelheid en gelijke kansen voor alle (private aanbieders van) inlogmiddelen. Kort en goed gaat het daarbij om de vraag of de wijze van verwerving niet zou moeten worden gewijzigd van aanbesteding naar een systeem van meer open toelating.
Ik heb u ten aanzien van deze vraag in de nota naar aanleiding van het nader verslag aangegeven dat ik op het punt van verwerving inderdaad overweeg om te kiezen voor een systematiek van open toelating. Ik heb u daarbij gemeld dat ik u over de definitieve keuze binnen enkele weken nader bericht. Ik heb met de betrokken partijen (zowel marktpartijen als overheden) gesproken en de ervaringen in de landen om ons heen bezien. Ook heb ik de (beheersmatige) consequenties en daarmee de haalbaarheid en vormgeving van de keuze voor open toelating voldoende in beeld.
Op basis van de uitkomsten daarvan kies ik er ervoor om private inlogmiddelen voor burgers via een systeem van open toelating (erkenning) te gaan verwerven. Deze keuze leidt tot een nota van wijziging op het wetsvoorstel. Ik bereid deze op dit moment voor, en stuur deze na advisering door de Afdeling Advisering van de Raad van State zo spoedig mogelijk aan uw kamer toe.
Ik licht u de keuze voor open toelating en de redenen daarvoor hieronder graag toe. Ook schets ik de sturingsprincipes bij de inrichting daarvan en de stappen die nodig zijn om deze keuze (operationeel en juridisch) mogelijk te maken. Ik neem de gelegenheid te baat om – nu het wetsvoorstel ten behoeve van open toelating gewijzigd dient te worden – tevens de mogelijkheid van een eventuele inzet van private makelaars te regelen. Ik zet dat vervolgens uiteen.
Ik besluit met een planning die ik volg om de wetswijziging bij uw Kamer te kunnen indienen. Deze is erop gericht om het vervolg van de behandeling van het wetsvoorstel zo spoedig mogelijk te kunnen vervolgen.
Redenen en overwegingen voor open toelating voor inlogmiddelen voor burgers
De feiten en omstandigheden waarbinnen een middel verworven moet worden zijn in het afgelopen jaar significant gewijzigd. De markt is op gang gekomen en lijkt niet meer afhankelijk van (start)subsidiering zoals eerder de verwachting was. Het innovatietempo ligt zeer hoog, de ontwikkeling van inlogmiddelen versnelt en het aantal partijen dat innovatieve oplossingen aanbiedt neemt toe. Hierbij past een meer wendbare en daarmee meer toekomstvaste toelatingssystematiek.
Immers zoals ik tijdens het AO eID eind vorig jaar heb toegelicht, juist door slim gebruik te maken van de technologische ontwikkelingen, kunnen meer mogelijkheden benut worden om burgers aan de steeds complexer wordende maatschappij deel te kunnen laten nemen.
Mede daarom is voor mij doorslaggevend dat met open toelating innovatie beter gefaciliteerd wordt. Dit zorgt ervoor dat burgers en medeoverheden beter en sneller gebruik kunnen maken van wat de markt hen aan nieuwe mogelijkheden te bieden heeft. Een systeem van open toelating is toekomstbestendiger dan aanbesteding omdat beter meebewogen kan worden met de ontwikkelingen in de markt. Tevens kan een groter deel van de markt benut worden, doordat geen partijen uitgesloten hoeven te worden. Voor burgers heeft dit als voordeel dat zij gebruik kunnen maken van bij hen bekende inlogmiddelen. Tevens is de burger beter uit met continuïteit omdat de burger niet graag wisselt van middel. Daarbij maakt open toelating het mogelijk om partijen toe te laten die zich kunnen of willen gaan richten op ondersteuning van specifieke doelgroepen. Voor burgers die nu nog geen of lastig digitaal zaken kunnen doen met de overheid is dit winst (inclusie).
Van belang is verder dat in de ons omringende landen overwegend gekozen wordt voor open toelating. Er is een aantal aansprekende voorbeelden waarin dit snel tot een goede dekkingsgraad van betrouwbare authenticatiemiddelen heeft geleid die bovendien voor een aantrekkelijke prijs worden aangeboden. Nederland doet er goed aan om mee te liften op deze ontwikkeling, zodat ook Nederland middelen kan gaan toelaten die zich nu «bewijzen» in het buitenland. Een bijkomend voordeel is dat de overstap naar dit systeem de toekomstige integratie van het burger en bedrijvendomein – zoals ik dat in de nota naar aanleiding van het nader verslag heb aangekondigd – vergemakkelijkt.
Tot slot worden landspecifieke inlogmiddelen door EU-lidstaten conform de eIDAS-vereisten genotificeerd en daarmee Europabreed ontsloten. Deze in andere landen toegelaten en tevens eIDAS genotificeerde inlogmiddelen, zijn na notificatie ook in Nederland te gebruiken voor toegang tot de digitale overheid. Deze markt van genotificeerde middelen ontwikkelt zich snel. In 1,5 jaar na inwerkingtreding van de verordening zijn er nu 11 landen met een 1 of meerdere genotificeerde middelen en komen er per kwartaal in de EU ongeveer 3 nieuwe middelen bij.
Ik realiseer mij terdege dat de overstap op dit moment naar een andere wijze van verwerving extra inspanningen vergt aan de zijde van mijn ministerie. Met name de inrichting van het beheer kan tot vertraging leiden in het moment waarmee middelen beschikbaar komen. Dat komt omdat – los van de benodigde inspanning waar ik zelf op kan en zal inzetten – voor open toelating tevens nadere wet- en regelregelgeving met vastgestelde consultatieronden en doorlooptijden nodig is. Mijn inschatting is dat deze vertraging (enkele maanden) afgezet tegen de middellange termijn verantwoord is en de benodigde korte termijn-inspanning voor de inrichting opweegt tegen de inspanningen en profijt op de langere termijn. De lasten gaan voor de baten uit.
Overigens zal ik al het mogelijke doen om vertraging te voorkomen of te minimaliseren. Indien burgers gedupeerd dreigen te raken omdat specifieke dienstverlening waarvan zij direct afhankelijk zijn spaak loopt doordat middelen op adequate betrouwbaarheidsniveau nog niet beschikbaar zijn, zal ik met betrokken partijen in overleg treden om tot een al dan niet tijdelijke oplossing te komen.
Ontwerpsturing systeem voor toelating
Ik merk op dat het primaire (beleids)doel is dat burgers en bedrijven veilig, betrouwbaar, gebruiksvriendelijk kunnen inloggen zodat zij transacties kunnen verrichten in de digitale wereld. Ik beschouw de beschikbaarheid of het laten ontstaan van een markt daarvoor van meerdere (private) inlogmiddelen («multimiddelen») – anders dan voorheen – derhalve niet als doel of strategie in zichzelf. Dat is veeleer een positief neveneffect bij het bereiken van mijn primaire doel. Voor de inrichting van een systeem voor toelating voor de verwerving van inlogmiddelen zijn de kernwaarden toegankelijkheid, veiligheid, betrouwbaarheid en gebruiksvriendelijkheid, zoals verankerd in de agenda NLDIGIbeter, leidend. Dat geldt tevens voor financieel-beheersmatige – aspecten en continuïteit.
Dit betekent dat naast inhoudelijke veiligheids- en privacy- en betrouwbaarheidseisen, gezien de te beschermen publieke belangen, marktordeningsmaatregelen zoals prijsregulering, leveringsverplichtingen of dekkingsgraadeisen als sturingsmiddelen kunnen worden ingezet. Het spreekt daarbij voor zich dat ik bij de inzet daarvan rekening houd met, en de balans zal zoeken om de innovatiekracht van partijen niet onbedoeld of onnodig te remmen.
Inrichting en vormgeving systeem voor toelating
Het aantal partijen dat met open toelating inlogmiddelen kan leveren, is bij een open toelating groter dan bij verwerving door aanbesteding. De verwachting is evenwel dat door de gestelde (eIDAS-)eisen in zichzelf een drempel zullen vormen tegen bovenmatige toestroom van partijen. De (extra) beheerlast ten opzichte van de huidige situatie zal in die zin dan ook beperkt zijn.
Wel vergt het beheer van een stelsel van open toelating als zodanig meer inspanning, met name in de aanloop daar naartoe. In de komende periode zal de systematiek van open toelating, zoals de formulering van toelatingseisen voor (leveranciers van) inlogmiddelen, processen voor erkenning, het toezicht op de middelen en het beheer van het stelsel worden uitgewerkt en worden ingericht. Voor zover opportuun wordt uiteraard gebruik gemaakt van elementen zoals deze in het bedrijvendomein reeds zijn uitgewerkt en operationeel zijn.
Borging van het systeem voor toelating in de Wet digitale overheid (nota van wijziging)
De koerswijziging naar open toelating betekent, naast operationele inrichting en vormgeving, ook dat het wetsvoorstel digitale overheid moet worden aangepast, als grondslag voor de open toelating. Het betekent met name dat het huidige artikel 9 van het wetsvoorstel, dat geënt is op verwerving door aanbesteding, moet worden gewijzigd. In het verlengde daarvan zal ook de huidige toezichtsystematiek voor inlogmiddelen zoals neergelegd in artikel 17, moeten worden aangepast en verbreed moeten worden naar (private) inlogmiddelen voor burgers.
In de wetsartikelen zullen grondslagen worden opgenomen om in uitvoeringsregelgeving onder meer toelatingseisen te kunnen stellen (met eisen aan leveranciers van inlogmiddelen, veiligheids- en privacy- en beheersmatige eisen aan middelen), erkenningssystematiek, het toezicht en de besturing van het toelatingssysteem. Dit geldt overigens niet alleen voor inlogmiddelen voor burgers. Voor de bedrijfs- en organisatiemiddelen voorziet het wetsvoorstel hier reeds in; hiervoor geldt dat het huidige afsprakenstelsel publiekrechtelijk moet worden ingericht. Waar mogelijk zullen uiteraard synergievoordelen worden gezocht en benut. Bij uitvoeringsregelgeving moet onder meer gedacht worden aan een algemene maatregel van bestuur en ministeriële regeling, waarin de systematiek van open toelating via erkenningverlening wordt uitgewerkt (waaronder het inbedden van een systeem van accreditatie). Ook is een aanwijzigingsbesluit voor toezichthoudende ambtenaren nodig. Ten slotte moet de juridische borging van de (beheer)organisatie en de financiering/doorbelasting van deze activiteiten worden geregeld.
Toelaten van private makelaars ten behoeve van aansluiting overheidspartijen
Hoewel dit niet per definitie voortvloeit uit de keuze voor toelating van inlogmiddelen, wordt bij gelegenheid van de wijziging van artikel 9 van de WDO als gevolg van de voorgaande punten, gebruik gemaakt om in de wet de mogelijkheid te creëren om private partijen ook een rol te bieden bij het ontsluiten van overheidsdienstaanbieders, en daartoe te kunnen besluiten als dat nodig mocht blijken. Het is niet uitgesloten dat dit met het oog op het vergroten van de «aansluitcapaciteit» noodzakelijk zal blijken om overheidsorganisaties tijdig te kunnen aansluiten. Alsdan betekent het ook dat deze private partijen moeten worden gereguleerd. Gelet op de verwerking van persoonsgegevens (waaronder mogelijk het BSN) die deze partijen mogelijk verwerken moet grondslag voor verwerking (art 16, bescherming van persoonsgegevens) aangepast worden. Datzelfde geldt voor de onderliggende regelgeving (concept-besluit digitale overheid). Daartoe zal op korte termijn een privacy impact analyse (PIA) worden uitgevoerd, waarbij naast de grondslagen ook zal worden bezien of, en zo ja welke (extra) privacybeschermende maatregelen benodigd zijn.
Planning/tijdpad
Gelet op de aard en strekking van de wijziging van het wetsvoorstel zal ik het voor advies aan de Raad van State voorleggen. Ik streef ernaar om de nota van wijziging begin juli aan de Raad van State te zenden, opdat de toezending aan uw Kamer kort na het zomerreces kan plaatsvinden, en de behandeling van het wetsvoorstel spoedig vervolgd kan worden.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops