Vastgesteld 6 februari 2019
De vaste commissie voor Binnenlandse Zaken belast met het voorbereidend onderzoek van dit wetsvoorstel heeft na kennisneming van de nota van wijziging nog behoefte nadere vragen en opmerkingen aan de regering voor te leggen. Onder het voorbehoud dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen zijn beantwoord, acht de commissie de openbare behandeling van dit wetsvoorstel voldoende voorbereid
Inhoudsopgave |
blz. |
||
I |
ALGEMEEN |
1 |
|
1. |
Inleiding |
1 |
|
2. |
Standaarden |
5 |
|
3. |
Elektronische identificatie (eID) |
5 |
|
4. |
Privacy |
8 |
|
5. |
Misbruik van de GDI |
8 |
|
6. |
Toezicht en handhaving |
9 |
|
7. |
Financiële bepalingen en -gevolgen |
9 |
|
8. |
Verhouding tot andere wetgeving |
9 |
|
9. |
Gevolgen voor burgers en bedrijven |
9 |
|
10. |
Overgangsrecht en inwerkingtreding |
10 |
|
11. |
Consultatie en advies Autoriteit Persoonsgegevens |
10 |
|
II |
ARTIKELSGEWIJS |
10 |
De leden van de VVD-fractie danken de regering voor de antwoorden op de vragen, zoals gesteld in het verslag bij het onderhavige wetsvoorstel. Graag willen zij de regering nog een aantal nadere vragen stellen.
In het verslag hadden de leden van de VVD-fractie de regering gevraagd of er ook is gekeken naar de invloed van het wetsvoorstel op de digitale economie en de cyberveiligheid. Voorts was de vraag hoe dit wetsvoorstel bijdraagt aan de economische ontwikkeling in Nederland. De regering stelt onder andere dat de regels in het wetsvoorstel over cyberveiligheid bijdragen aan de versterking van de digitale economie. Dat is één kant van de zaak. De leden van de VVD-fractie vragen de regering ook in te gaan op de vraag hoe dit wetsvoorstel, los van de cyberveiligheid, bij kan dragen aan de economische ontwikkeling in Nederland, daarbij ook betrekkende hoe in de multimiddelenstrategie de overheid als grote klant innovatie bij niet-publieke middelen kan stimuleren.
Er wordt gesteld dat er geen publiek inlogmiddel voor bedrijven komt. De leden van de VVD-fractie vragen de regering dat nader te beargumenteren. Wordt dat op termijn ook uitgesloten?
De leden van de VVD-fractie begrijpen dat de regering op termijn niet uitsluit dat publieke middelen bij economische transacties, dus buiten de publieke sector, worden gebruikt. Van belang daarbij is of consumenten daar behoefte aan hebben, zo stelt de regering. De leden van de VVD-fractie vragen naar de condities waaronder dat zou kunnen gebeuren. Op basis van welke criteria zou een publiek middel (DigiD/eID) toestemming krijgen om in de private sector met private aanbieders te concurreren? Daarbij vragen zij hoe, als inderdaad blijkt dat consumenten daar behoefte aan hebben, geborgd is dat de multimiddelenstrategie niet verstoord wordt door oneerlijke concurrentie door het publieke middel?
De leden van de VVD-fractie vragen wederom aandacht voor de initiatiefnota over online identiteit en regie op persoonsgegevens van de leden Middendorp en Verhoeven (TK 34 993). In die nota wordt een digitale kluis voorgesteld. In hoeverre ziet de regering mogelijkheden om dat idee in het onderhavige wetsvoorstel te verankeren? Hoe kijkt de regering aan tegen het gebruik van één bron voor (bepaalde) persoonsgegevens? In de nota naar aanleiding van het verslag verwijst de regering naar extra benodigde informatie over de precieze intenties en de mogelijke realisatiewijze van de ideeën in de initiatiefnota. De leden van de VVD-fractie vragen van wie die informatie moet komen en of het zoeken naar deze informatie onderdeel is van de uitvoering van de motie van de leden Koerhuis en Den Boer (Kamerstuk 34 993, nr. 4).
De leden van de VVD-fractie zien dat de regering verschillende middelen voor verschillende rollen dan wel doelgroepen wil houden. Bijvoorbeeld voor de rol van een natuurlijk persoon (burger) versus rechtspersoon (bedrijf of medewerker van een organisatie). Is de regering het met de leden van de VVD-fractie eens dat dit onderscheid ertoe leidt dat (persoons)gegevens exclusief worden gekoppeld aan een elektronisch identificatiemiddel? Zo ja, wat voor invloed heeft die binding van (persoons)gegevens aan een middel op initiatieven die persoonsgegevens juist aan burgers willen koppelen, zoals digitale datakluizen, zoals bijvoorbeeld genoemd in de initiatiefnota van de leden Middendorp en Verhoeven, en elektronische identificatiemiddelen? Wat is de invloed van het erkennen van aparte middelen voor burgers, bedrijven en/of sectoren op het initiatief van de digitale datakluis? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering op de hier gestelde vragen.
De leden van de CDA-fractie hebben kennisgenomen van de nota naar aanleiding van het verslag over het wetsvoorstel digitale overheid. Deze leden hebben nog een aantal vragen voor het voorliggende wetsvoorstel.
De leden van de CDA-fractie herinneren aan de strategische verkenning eID-stelsel Nederland (2012), waarin werd gepleit voor een nationaal stelsel waarin overheid en bedrijfsleven samenwerken om burgers, consumenten en bedrijven goed, snel en veilig elektronisch te kunnen bedienen. Deze leden constateren dat het voorliggende wetsvoorstel de grenzen tussen digitale overheid en digitale economie juist in stand houdt. Het ene publieke burgermiddel voor inloggen bij de overheid (DigiD) is niet bruikbaar om in te loggen bij bedrijven en organisaties; private burgermiddelen voor inloggen bij bedrijven worden op een enkele uitzondering na (door middel van aanbesteding) niet toegelaten om in te loggen bij de overheid. Kan de regering deze keuze nader onderbouwen?
De regering stelt dat, indien in de toekomst blijkt dat bij consumenten de behoefte ontstaat om publieke middelen of andere basisvoorzieningen van de overheid te gebruiken bij economische transacties, zal worden bezien op welke wijze dit mogelijk is met inachtneming van de regels over verwerking van het bsn en de Wet markt en overheid (nota naar aanleiding van het verslag, blz. 4; blz. 16). Op welke wijze wordt die behoefte gemeten, zo vragen de leden van de CDA-fractie.
De regering stelt dat het huidige stelsel van private middelen voor bedrijven naar tevredenheid functioneert (nota naar aanleiding van het verslag, blz. 5). Kan de regering dit nader onderbouwen? Ten eerste, hoe functioneert het stelsel, wanneer is dit geëvalueerd en wie heeft de classificatie daarvan als goed vastgesteld? Waren dat de bedrijven of de leveranciers van de middelen? Zijn in de afweging om een apart stelsel voor bedrijven in stand te houden ook de toekomstige wijzigingen meegewogen, die het voorliggende wetsvoorstel met zich meebrengt voor bedrijven en organisaties? Zoals bijvoorbeeld dat een groot aantal bedrijven meer middelen zal moeten aanvragen? Maar ook dat een groot aantal bedrijven hoger gekwalificeerde middelen zal moeten aanvragen wanneer de acceptatieplicht wordt ingevoerd en huidige alternatieve voorzieningen worden beëindigd? Wat zijn de te verwachten wijzigingen voor bedrijven en organisaties als gevolg van het voorliggende wetsvoorstel? Zijn de effecten en kosten daarvan juist en volledig doorgerekend in de lastenparagraaf in de memorie van toelichting? Ten tweede, kan de regering een overzicht geven van de actuele stand van zaken van de bedrijfsmiddelen per authenticatieniveau en het gebruik?
In het verslag hebben de leden van de CDA-fractie gevraagd of de voorgestelde digitale infrastructuur aansluit bij de behoeften van de digitale samenleving, waarin de behoefte van de burger daadwerkelijk centraal wordt gesteld, waarbij de burger de generieke voorzieningen die hij al kent en gebruikt, ook universeel kan gebruiken bij de overheid. In de beantwoording (nota naar aanleiding van het verslag, blz. 6) noemt de regering alleen DigiD en eHerkenning. Daarom vragen deze leden de regering of de burger de generieke voorzieningen die hij al kent en gebruikt (zoals iDIN) ook universeel kan gebruiken bij de overheid en zo nee, waarom niet.
Het gebruik van organisatiespecifieke inlogmethoden is niet langer toegestaan in het (semi)publieke domein behoudens uitzonderingsgevallen (nota naar aanleiding van het verslag, blz. 6). De leden van de CDA-fractie begrijpen, dat het voorliggende wetsvoorstel het mogelijk maakt om naast middelen voor bedrijven en burgers ook sectorale middelen te erkennen. De wet faciliteert daarmee doelbinding van elektronische identificatiemiddelen aan een juridische hoedanigheid, een rol of de uitoefening van een beroep. Voorbeelden hiervan zijn de in de memorie van toelichting genoemde Advocatenpas of de UZI-pas voor medische professionals die door de Minister van VWS wordt uitgegeven. Voor alle middelen geldt dat zij in het verkeer met de overheid moeten voldoen aan de specificaties die de eIDAS-verordening voorschrijft voor het niveau substantieel en/of hoog. Dit heeft als logische consequentie dat de verschillende middelen van verschillende uitgevende instanties zowel technisch als qua veiligheid vergelijkbaar zijn, maar in hun gebruiksmogelijkheid niet. Met de Advocatenpas mag bijvoorbeeld wel worden ingelogd voor het elektronisch aanleveren van processtukken aan de rechtbank, maar niet bij de Belastingdienst ten behoeve van de btw-aangifte. Dit terwijl het middel wel voldoet aan de eisen van de eIDAS. De regering onderkent dat door doelbinding van een middel sprake kan zijn van een samenloop van identificatiemiddelen. Ongewenste vormen van samenloop kunnen in overleg met de vakministers bij regeling opgelost worden. Het faciliteren van samenloop van elektronische identificatiemiddelen roept de volgende vragen op. Ten eerste, is het creëren van de mogelijkheid van samenloop niet in strijd met de uitgangspunten van de eIDAS-verordening, die juist aanstuurt op meer universeel gebruik van vertrouwde elektronische identificatiemiddelen, zowel binnen als tussen lidstaten? Ten tweede, hoe zal willekeur hierbij voorkomen worden? Bijvoorbeeld dat de Advocatenpas niet gebruikt mag worden om in te loggen bij de Belastingdienst en de UZI-pas wel? Ten derde, welke samenlopen heeft het ministerie nu al onderkend, naast de zzp’er? Is daar reeds overleg over gevoerd met de desbetreffende vakministers? Zo nee, waarom niet? Zo ja, wat waren daarvan de uitkomsten? De leden van de CDA-fractie denken onder meer aan het volgende voorbeeld: over hoeveel gereguleerde elektronische identificatiemiddelen moet een arts beschikken in het onlineverkeer met de publieke sector, als die arts bestuurder is van een praktijkmaatschap, tevens bestuurder is van het stichtingsbestuur van de beroepsgroep en ook patiënt is in dat ziekenhuis?
De leden van de CDA-fractie lezen, dat het sinds het van kracht worden van de eIDAS-verordening op 29 september 2018 voor Duitsers mogelijk is om met hun eID-middel bij Nederlandse dienstverleners in te loggen (nota naar aanleiding van het verslag, blz. 6). De regering voegt daaraan toe, dat dienstverleners hard werken aan het gereed maken van hun eigen dienstverlening hiervoor en dat een gestage groei in het aantal inlogpogingen daar blijk van geeft. Begrijpen de leden van de CDA-fractie goed, dat Duitsers in de praktijk niet met hun eID-middel kunnen inloggen bij Nederlandse dienstverleners, omdat er tot nu toe alleen sprake is van «inlogpogingen»?
De leden van de CDA-fractie constateren, dat de huidige oplossingen voor DigiD substantieel thans niet de totale gewenste doelgroep bereiken. Dit hangt samen met het feit dat een aanzienlijk deel van de doelgroep niet beschikt over een smartphone met een Android besturingssysteem met NFC-lezer (nota naar aanleiding van het verslag, blz. 7). Kan de regering aangeven hoeveel van de ruim 13,5 miljoen actieve DigiD-gebruikers beschikken over een smartphone met een Android besturingssysteem met NFC-lezer?
De regering stelt, dat zij op korte termijn een aanbesteding start voor een privaat middel op niveau substantieel, om een groot deel van de doelgroep snel een alternatief identificatiemiddel op niveau substantieel te kunnen bieden (nota naar aanleiding van het verslag, blz. 7). De leden van de CDA-fractie vragen, waarom de regering niet heeft gekozen voor een systeem van accreditatie, juist met het oog op bereik en snelheid.
De leden van de D66-fractie hebben kennisgenomen van de nota naar aanleiding van het verslag en de nota van wijziging. Zij hebben hier nog enkele vragen over.
Ten eerste lezen deze leden dat dit wetsvoorstel een eerste tranche is van meerdere voorstellen rondom Digitale overheid. Kan de regering toelichten welke tranches nog volgen en wat de inhoud van deze wetsvoorstellen zal zijn?
De leden van de GroenLinks-fractie hebben met interesse kennisgenomen van het wetsvoorstel en van de reactie van de regering in de nota naar aanleiding van het verslag. Deze leden hebben nog enkele specifieke vragen.
De leden van de D66-fractie lezen op pagina 10 van de nota naar aanleiding van het verslag dat het open standaardenbeleid overheidsorganisaties de vrijheid geeft om hun eigen afweging te maken over het al dan niet gebruiken van een standaard die is opgenomen op de «pas toe of leg uit» lijst. Dit klinkt nogal vrijblijvend Op welke wijze verandert artikel 3 deze vrijblijvendheid? Heeft de regering de intentie deze vrijblijvendheid te veranderen?
Deze leden vragen ook of er snel zal worden toegewerkt naar volledige open standaarden middels te de introduceren wettelijke basis?
Daarnaast lezen de leden van de D66-fractie dat na verplichtstelling van een open standaard door middel van een amvb, toezicht op de naleving plaatsvindt binnen de «eigen beleidskolom.» Dit doen toezichthoudende ambtenaren. Kan de regering toelichten of hier sprake is van een slager die eigen vlees keurt? Op welke wijze houdt de Minister van Binnenlandse Zaken het overzicht op naleving van de open standaard die zij middels amvb verplicht heeft gesteld?
De leden van de D66-fractie lezen dat op 1 juli 2018 de Europese toegankelijkheidsnorm EN301549 verplicht is geworden. Op deze manier moeten overheidsinstanties de noodzakelijke maatregelen treffen om hun websites en mobiele applicaties toegankelijker te maken. Dit wordt door de Minister van Binnenlandse Zaken gemonitord. Kan de regering toelichten wat de uitkomst is van deze monitor? Voldoen alle websites en mobiele applicaties van de overheid aan deze standaard?
De regering stelt in de Nota naar aanleiding van het Verslag dat «De regering heeft het voornemen om als eerste de open standaard HTTPS te verplichten.» Wanneer denkt de regering de verplichting in te stellen van open documentstandaarden, waar één van de grootste afhankelijkheden van leveranciers bestaat, met alle door meerdere instanties en onderzoeken genoemde nadelen en risico’s op gebied van kosten, informatieveiligheid, archivering, rechtszekerheid, leveranciersafhankelijkheid? De leden van de GroenLinks-fractie ontvangen graag een nadere toelichting van de regering op dit punt.
Het wetsvoorstel maakt het mogelijk om één of meerdere private identificatiemiddelen toe te laten. In de nota naar aanleiding van het verslag wordt gesteld dat een aanbesteding voor een privaat middel wordt voorbereid. De leden van de VVD-fractie vragen of het gaat om één privaat middel of meerdere private middelen? Waar koerst het ministerie op af en waarom? In welke fase bevindt de aanbesteding zich? Hoe ziet het tijdpad eruit? In hoeverre loopt de aanbesteding voor op de inwerkingtreding van de wet? Waarom is er geen sprake van volgtijdelijkheid? Wat is uw reactie op de stelling dat één privaatmiddel het overheidsmiddel duurder maakt? Is de multimiddelenstrategie gericht op één markt met meerdere private middelen en één publiek middel, die alle vanuit concurrentieperspectief gelijk zijn? Zo neen, is de multimiddelenstrategie dan gericht op enerzijds één markt waar afnemers, niet zijnde de overheid, private middelen gebruiken en anderzijds één andere markt waar één afnemer, zijnde de overheid, gebruik maakt van het publieke middel en één privaat middel? In hoeverre is er bij de huidige multimiddelenstrategie sprake van gelijke kansen voor alle middelen? Zo neen, op welke punten zal de behandeling van de publieke middelen anders zijn? In hoeverre is gekeken naar de staatssteunaspecten bij de totstandkoming van publieke middelen?
De regering wil de keuze voor een privaat middel via aanbesteding tot stand laten komen. De leden van de VVD-fractie willen nader ingaan op het vraagstuk aanbesteden dan wel accrediteren. Waarom kiest de regering niet voor accreditatie? In hoeverre heeft de regering overwogen om eerst te accrediteren op criteria als kwaliteit en veiligheid om vervolgens als overheid aan te besteden op prijs? De prijs is dan pas bij de aanbesteding van belang. De leden van de VVD-fractie vinden dat een aantrekkelijke optie, omdat de overheid dan een grote, maar normale klant wordt en omdat geaccrediteerde middelen dan met elkaar kunnen concurreren en er aldus sprake is van een multimiddelenstrategie.
Voorts vragen de leden van de VVD-fractie aandacht voor het volgende. Er wordt vastgehouden aan twee erkenningsregimes van verschillende middelen, te weten aanbesteding voor het private burgermiddel en accreditatie voor het private bedrijfsmiddel. Waarom kan aanbesteding van private burgermiddelen niet plaatsvinden nadat die middelen geaccrediteerd zijn? Hoe doet de overheid dat voor de overige geaccrediteerde eIDAS-vertrouwensdiensten op de TSL-lijst (Trusted Services List) van Nederland, bijvoorbeeld de diensten rond het gebruik van een elektronische handtekening door een burger of bedrijf? Wordt het medegebruik door de overheid van die dienst van een marktpartij aan burgers ook aanbesteed? Op welke wijze hangen de overige eIDAS-vertrouwensdiensten samen met de erkenning van private elektronische identificatiemiddelen voor burgers door een aanbesteding? Hoe is die koppeling geborgd? Is erkenning van het burgermiddel door middel van een aanbesteding te combineren met een stelsel waarin alle overige vertrouwensdiensten, inclusief het bedrijvenmiddel, door accreditatie tot stand komen?
Zou het publieke middel (DigiD) niet ook geaccrediteerd moeten worden volgens dezelfde criteria als private middelen, zo vragen de leden van de VVD-fractie. Door te kiezen voor accreditatie in plaats van aanbesteding kunnen de kwaliteits- en veiligheidscriteria voor alle middelen (publiek en privaat) gelijk zijn. Overigens menen de leden van de VVD-fractie, dat de publieke middelen gebruiksvriendelijk moeten zijn en innovatie niet in de weg mogen staan. Ook daarom zijn een multimiddelenstrategie en een level playing field in dezen belangrijk. Wie zal straks beslissen over de aanbesteding van de publieke middelen? Wordt deze aanbesteding gescheiden van de DigiD-operatie zelf? Zal de overheid haar middelen in één keer voor alle diensten aanbesteden? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering op de gemaakte opmerkingen en de gestelde vragen.
Met betrekking tot private inlogmiddelen vragen de leden van de VVD-fractie naar de situatie in andere landen. Is gekeken hoe in andere landen de prijsvorming voor private en publieke middelen gaat? Hetzelfde geldt voor de financiering van en investeringen in private en publieke middelen. Zo ja, hoe is dat gegaan? Is er sprake van accreditatie of aanbesteding? Zijn er in het buitenland voorbeelden die kunnen helpen bij een echte multimiddelenstrategie? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering. Voorts hebben zij een vraag met betrekking tot de financiering van DigiD. Zal de financiering van DigiD marktconform geschieden? Zo neen, waarom niet?
In hoeverre is overwogen dan wel wordt overwogen in plaats van een eigen publiek middel te ontwikkelen een middel in het buitenland te kopen? In hoeverre is er gekeken naar alternatieven in België? Gaarne krijgen de leden van de VVD-fractie een reactie van de regering.
De leden van de CDA-fractie constateren dat private inlogmiddelen in het bedrijfs- en organisatiedomein worden geaccrediteerd en dat de regering stelt dat er geen «nut en noodzaak» is voor een publiek inlogmiddel voor bedrijven en organisaties. Private inlogmiddelen in het burgerdomein worden echter aanbesteed omdat «de keuze voor accreditatie zou meebrengen dat de private leverancier wel gerechtigd, maar niet verplicht is om te leveren.» Kan de regering dit verschil nader toelichten? Wat is de economische rationaliteit van die redenering, zo vragen deze leden. Hoe aannemelijk is het dat private leveranciers investeren in accreditatie om vervolgens niet te leveren? Rust die redenering op ervaring met de accreditatie van andere TSL-diensten uit de eIDAS-verordening? Zijn er marktpartijen die geaccrediteerd zijn voor bijvoorbeeld de elektronische handtekening of «time stamping» en die niet leveren aan burgers of bedrijven? Gebeurt dit nu reeds in het stelsel van bedrijfsmiddelen die men op grond van deze wet zal accrediteren?
De regering stelt, dat de keuze voor accreditatie zou kunnen leiden tot de toelating van een onbeperkt aantal private authenticatiemiddelen, wat de ontzorging van dienstverleners, en daarmee de uitvoerbaarheid, niet ten goede komt (nota naar aanleiding van het verslag, blz. 14). De leden van de CDA-fractie vragen, waarom een veelvoud van middelen voor toegang tot online diensten van bijvoorbeeld de Belastingdienst in het burgerdomein wel een probleem zou zijn en in het zakelijke domein niet? Waarom zijn voor een acceptant als MijnOverheid voor Ondernemers (MOvO) tien verschillende bedrijvenmiddelen geen probleem en waarom zijn tien burgermiddelen voor een acceptant als de Berichtenbox-app van MijnOverheid wel een probleem? Wat verklaart dat verschil?
De regering stelt, dat de geleidelijke introductie van DigiD op betrouwbaarheidsniveau hoog reeds is gestart met de uitgifte van daarvoor geschikte rijbewijzen (nota naar aanleiding van het verslag, blz. 8). Wanneer zullen naar verwachting alle rijbewijzen geschikt zijn voor DigiD op betrouwbaarheidsniveau hoog, zo vragen de leden van de CDA-fractie. En welk deel van de totale gewenste doelgroep wordt daarmee bereikt?
Het Adviescollege Toetsing Regeldruk (ATR) doet de aanbeveling om in overleg met aanbieders van eHerkenningsmiddelen te komen tot een standaardisering van abonnementen en aanvullende diensten. De regering onderkent dat het mogelijk is dat een standaardisering tot minder kosten zal leiden, maar voert aan dat eHerkenning een stelsel is met concurrerende aanbieders van inlogmiddelen die zich juist moeten onderscheiden om keuzemogelijkheden voor klanten te bieden, zodat klanten optimaal bediend kunnen worden (nota naar aanleiding van het verslag, blz. 17). De leden van de CDA-fractie constateren, dat die keuzemogelijkheden niet bepaald worden door de markt, maar door de overheid zelf. Welke opties nodig zijn, is immers afhankelijk van de eisen die overheid stelt. Hetzelfde geldt voor het betrouwbaarheidsniveau. Deze leden vragen de regering hierop nader in te gaan.
De leden van de CDA-fractie constateren, dat het onderscheid tussen een burgermiddel om in te loggen bij de overheid en een bedrijfsmiddel om in te loggen bij de overheid met name voor zzp’ers bijzonder onhandig is. De regering voert geen bepaling in die dienstverleners verbiedt beide inlogmethoden aan te bieden aan ondernemers (nota naar aanleiding van het verslag, blz. 17). Het gebruik van een publiek middel kan wel ondoelmatig zijn omdat dienstverleners bedrijven in hun administratie herkennen aan de hand van het KvK- of RSIN-nummer in plaats van het bsn. Alleen in het geval ondernemingen op naam staan van een natuurlijke persoon, bestaat bij sommige dienstverleners de mogelijkheid om zowel in te loggen met eHerkenning als met een publieke middel, zo stelt de regering. De leden van de CDA-fractie begrijpen dat dit geen recht is, maar afhankelijk is van de optie die de dienstverlener aanbiedt. Is dit juist, en zo ja, kan de regering deze keuze nader onderbouwen?
Voor de toelating van private identificatiemiddelen worden voorschriften gesteld die niet direct voortvloeien uit eIDAS-normen, maar die voor Nederland aanvullend zijn en voortkomen uit nationale beleids- en inrichtingskeuzes, zoals het gebruik van pseudonimisering voor privacybescherming en het gebruik van het zogeheten BSN-koppelregister (een publieke voorziening die mogelijk maakt dat gebruikers centraal inzage kunnen krijgen in hun middelen) (nota naar aanleiding van het verslag, blz. 19). Deze twee door de regering genoemde onderwerpen roepen de volgende vragen op. Ten eerste, is het gebruik van pseudonimisering niet reeds verplicht op grond van de AVG? Zo ja, wat voegt het voorliggende wetsvoorstel dan concreet daaraan toe? Heeft dit wetsvoorstel ten doel een concrete, technische standaard voor pseudonimisering, zijnde de polymorfe peudonimisering, te kunnen voorschrijven en wordt dit een dwingende eis voor toelating? Ten derde, hoe verhoudt het argument van privacybescherming zich tot het koppelregister? Op welke wijze zijn de in de «Gegevensbeschermingseffectbeoordeling (GEB) eID-stelsel» van 28 juni 2017 aangemerkte risico’s van dit register opgelost, te weten de beschikbaarheids- en gegevensconcentratierisico’s (single point of failure en privacy hotspot) van het BSN-koppelregister? Waarom wordt dit register bij deze wet mogelijk gemaakt als die privacyrisico’s er zijn? Ten vierde, is een centraal koppelregister niet in strijd met het uitgangspunt van de multimiddelenstrategie, die juist dient om single points of failure zoveel mogelijk te vermijden. Was dat laatste ook niet de uitkomst van de dialoog over de Uniforme Set van Eisen, zo vragen de leden van de CDA-fractie.
De leden van de CDA-fractie vragen, welke gevolgen de aanvullende eisen mogelijk zullen hebben voor het resultaat van de aanbesteding. Acht de regering het mogelijk, dat aanbesteding geen enkel privaat identificatiemiddel zal opleveren?
Op grond van het voorliggende wetsvoorstel kan de Minister van BZK besluiten om een of meerdere privaat uitgegeven middelen op de betrouwbaarheidsniveaus substantieel en hoog toe te laten voor gebruik in het publieke domein. De leden van de CDA-fractie vragen of de regering voornemens is een maximum te stellen aan het aantal private aanbieders en zo ja, wat dat maximum dan is.
De leden van de CDA-fractie vragen, welke randvoorwaarden in het kader van de aanbesteding (of accreditatie) kunnen worden gesteld aan buitenlandse partijen, voor zover mogelijk op basis van Europese wetgeving, om aanbieder te kunnen worden van een identificatiemiddel in Nederland. Behoort elektronische toegang tot overheidsdienstverlening naar de opvatting van de regering tot de vitale infrastructuur en zo ja, welke eisen kunnen op grond daarvan aan aanbieders worden gesteld?
Op grond van het voorliggende wetsvoorstel draagt de Minister van BZK onder meer zorg voor de ontwikkeling van inlogmiddelen voor burgers, op een hoger betrouwbaarheidsniveau dan het huidige DigiD basis, zodat diensten die een hoge of zeer hoge mate van betrouwbaarheid vereisen ook digitaal kunnen worden verleend. De leden van de CDA-fractie vragen of zij goed hebben begrepen dat de betrouwbaarheidsniveaus substantieel en hoog moeten bereikt worden met het huidige DigiD als fundament? Is naar de opvatting van de regering dat fundament technisch toereikend om op voort te bouwen?
De leden van de CDA-fractie vragen, of het voorliggende wetsvoorstel ook vormen van afgeleide identificatie mogelijk maakt. Kan bijvoorbeeld een privaat inlogmiddel worden aangeboden, dat de authenticatie baseert op DigiD, zo vragen deze leden.
De leden van de D66-fractie vragen toe te lichten, aangezien dit in uitvoeringsregelgeving zal worden vastgelegd, op welke wijze de regering in dit verband uitvoering geeft aan Artikel 15 tot en met 18 AVG aangaande het recht van inzage en rectificatie.
Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.
Ambtenaren worden aangewezen om toe te zien op de naleving van de bepalingen van het wetsvoorstel. Als het gaat om private partijen in het bedrijvendomein is het voornemen om ambtenaren van het Agentschap Telecom het toezicht te laten uitoefenen. De leden van de VVD-fractie vragen of een en ander betekent dat het toezicht op de private middelen, die straks in het publieke domein worden gebruikt, wordt belegd bij de door de Minister aan te wijzen ambtenaren? Welke rol heeft het agentschap Logius in dezen? Welke rol heeft de Rijksdienst voor identiteitsgegevens in dezen?
De leden van de CDA-fractie constateren dat het Ministerie van BZK in het kader van het voorliggende wetsvoorstel een breed pakket van taken en verantwoordelijkheden krijgt. Kan de regering nader onderbouwen, waarom het Ministerie van BZK niet alleen de aanbesteding uitvoert, maar ook toezicht houdt en audits verricht, en zelf als leverancier van DigiD optreedt? Bevat het voorliggende wetsvoorstel op dit punt voldoende checks and balances?
De kosten die voor rekening van de overheidsorganen en aangewezen organisaties komen zijn nog niet bepaald. De uitwerking hiervan zal neergelegd worden in nadere regelgeving, zo stelt de regering. De leden van de VVD-fractie vragen waarom die kosten nog niet bekend zijn? Wanneer zullen die kosten wel bekend zijn? Het streven is immers om de wet medio 2019 in werking te laten treden. Hoe worden overigens de kosten van deze organen en aangewezen organisaties bepaald? Hoe worden ze daarover geïnformeerd en op welke termijn?
De leden van de D66-fractie verzoeken de regering om een geheel beeld te schetsen van de kosten voor de overheid voor «het inloggen in het BSN domein». Zij verzoeken dit schematisch weer te geven en hierbij ook een schatting mee te nemen van de kosten die voor rekening komen van de bestuursorganen en aangewezen organisaties.
De leden van de GroenLinks-fractie hebben nog enkele vragen over de verhouding tussen deze wet en de regelgeving op de BES-eilanden. Deze leden zouden graag een nadere toelichting van de regering hieromtrent ontvangen.
Ook hebben deze leden nog de vraag hoe de relatie is tussen deze voorgestelde wet en de Wet gebruik Friese taal?
De leden van de D66-fractie lezen dat het wetsvoorstel voorziet in de mogelijkheid tot gefaseerde inwerkingtreding en overgangsrecht als het gaat om de betrouwbaarheidsniveaus substantieel en hoog. Kan de regering verduidelijken wanneer iedereen in Nederland die nu gebruik maakt van DigiD op deze hogere niveaus zou moeten kunnen inloggen? Wat is de planning? Op welke wijze wordt hier zorg voor gedragen wanneer personen bijvoorbeeld alleen een paspoort hebben en geen ID-kaart of rijbewijs? Is er al meer bekend over het totaalplaatje van de kosten die bij de burger komen te liggen voor het realiseren van DigiD niveau Hoog en substantieel? Kan de regering hierbij ook de kosten van bijvoorbeeld de externe kaartlezer meenemen?
Daarnaast vragen zij of de regering een maximumprijs zal hanteren (bij de aanbesteding) die burgers moeten betalen aan een private partij voor het aanschaffen van een privaat middel?
Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.
Over dit onderdeel zijn geen vragen gesteld of opmerkingen gemaakt.
Artikel 9, tweede lid
Bij de toelating van private burgermiddelen wordt mede geselecteerd op aspecten als betaalbaarheid en dekkingsgraad (nota naar aanleiding van het verslag, blz. 32). De leden van de CDA-fractie vragen, wat in dit verband wordt bedoeld met betaalbaarheid. Het gaat hier enerzijds over de kosten die dienstverleners moeten betalen om het middel te kunnen gebruiken, anderzijds over de kosten die de burger voor de aanschaf van het middel moet betalen. Zowel voor het publieke als het private middel moet de burger betalen. Is het juist, dat die laatste prijsvorming door aanbesteding plaatsvindt en niet door marktwerking, zo vragen deze leden.
In het verslag hebben de leden van de CDA-fractie gevraagd hoe de voorgestelde selectieprocedure zich verhoudt tot de intentieverklaring van oktober 2015 tussen de Belastingdienst, vijf banken en de Betaalvereniging Nederland, waarin de uitgangspunten voor samenwerking tussen partijen werden vastgelegd in de vorm van een pilot. De regering antwoordt dat de ervaringen met de pilots hebben bijgedragen aan de keuze om in het wetsvoorstel de mogelijkheid van toelating van private middelen op te nemen en de toegang tot overheidsdienstverlening niet louter door publieke middelen te laten geschieden (nota naar aanleiding van het verslag, blz. 33). De leden van de CDA-fractie vragen of daarmee de multimiddelenstrategie is losgelaten.
De leden van de D66-fractie lezen in de wet dat een privaat middel alleen wordt toegelaten wanneer een privaat middel noodzakelijk is voor de beschikbaarheid en toegankelijkheid van elektronische dienstverlening aan natuurlijke personen (art 9 lid 2 onder a). Wanneer is deze noodzaak er, zo vragen deze leden? Is deze er nu al vanwege het feit dat er slechts één identificatiemiddel is? Indien er één privaat middel is toegelaten, is de noodzaak voor nóg een privaat middel dan niet meer aanwezig?
De voorzitter van de commissie, Ziengs
De adjunct-griffier van de commissie, Kouwenhoven