Kamervraag 2014Z07392

Een trust framework en eID

Ingediend 22 april 2014
Beantwoord 28 mei 2014 (na 36 dagen)
Indieners Foort van Oosten (VVD), Perjan Moors (VVD)
Beantwoord door Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Opstelten (minister justitie en veiligheid) (VVD)
Onderwerpen openbare orde en veiligheid organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2014Z07392.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20132014-2087.html
  • Vraag 1
    Kent u de Qiy foundation, Mydex, Respect Trust Framework, Personal.com en andere, soortgelijke initiatieven?

    Ja.

  • Vraag 2
    Wat is uw visie op dergelijke initiatieven die zich inzetten voor de ontwikkeling van een afsprakenstelsel («trust framework voor gewaarborgde digitale identiteit», «life management platforms», «personal data stores»), waar burgers controle hebben (o.a. inzicht hebben in, beschikken over en recht hebben op correcties) over persoonlijke gegevens? Deelt u de mening dat aan de hand hiervan relevante persoonsgegevens langs digitale weg ter hand gesteld zouden kunnen worden, zodanig dat de ontvanger mag vertrouwen op de juistheid van die gegevens? Wat is uw visie hierop? Wat is de betrokkenheid vanuit de Rijksoverheid? Zijn alle relevante ministeries aangehaakt?

    De Ministers van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken (EZ) volgen vanuit hun regierol op de e-overheid actief het ontstaan van genoemde vernieuwende vormen van dienstverlening. De overheid wil de informatiepositie van burgers versterken. In MijnOverheid is een voorziening gerealiseerd waarbij burgers, d.m.v. het invullen van een profiel, inzage krijgen in welke overheidsorganisaties gegevens uit de Basisregistratie Personen (BRP) verstrekt krijgen. Onder coördinatie van BZK en EZ wordt voorts onderzocht of en hoe dit soort initiatieven kunnen bijdragen aan de kabinetsdoelstellingen zoals geformuleerd in visiebrief Digitale Overheid 2017 van 23 mei 2013.1 Dergelijke initiatieven kunnen mogelijk bijdragen aan de realisatie van de ambitie om burgers nog maar één keer gegevens aan de overheid te laten leveren en het realiseren van een inzage- en correctierecht. Hergebruik van reeds bekende en gevalideerde gegevens kan bovendien bijdragen aan een efficiëntere en kleinere overheid.
    Een afsprakenstelsel waarin zowel publieke als private partijen participeren, kan een instrument zijn dat helpt bij het versterken van genoemde informatiepositie en het digitaal veilig en betrouwbaar delen van gegevens. In dat kader zijn BZK en EZ als publieke partijen betrokken bij de ontwikkeling van het Qiy framework. Het daadwerkelijk toepassen en deelnemen als overheid aan een dergelijk afsprakenstelsel is overigens een aparte beslissing die nog niet is genomen. Een belangrijke voorwaarde is dat dergelijke concepten moeten passen binnen wet- en regelgeving, bijvoorbeeld op het gebied van privacy.

  • Vraag 3
    In hoeverre past de ontwikkeling van deze diensten bij uw ambities ten aanzien van de zogeheten e-overheid, en meer in het bijzonder ten aanzien van het eID-stelsel, Digitaal 2017, e-Justice/e-CODEX, eHerkenning, e-Sense en Identiteit-op-orde? Op welke wijze worden al die initiatieven op elkaar afgestemd?

    Het veilig elektronisch zakendoen, het makkelijk uitwisselen van informatie tussen diverse partijen, veilige identificatie en authenticatie, inzage in eigen gegevens, correctie en een betere afscherming van die gegevens om fouten en fraude tegen te gaan, vormen belangrijke pijlers onder verbetering van de digitale dienstverlening in 2017. Samen met eHerkenning (identificatie en authenticatie voor bedrijven) en DigiD (idem voor burgers), die in de toekomst geïntegreerd zullen worden tot één eID Stelsel, vormen zij de onderdelen van de zogenoemde generieke digitale basisinfrastructuur (GDI).2
    Het is de bedoeling dat het eID Stelsel een publiek privaat stelsel wordt, waarbinnen burgers en bedrijven zowel publieke als private authenticatie-middelen gebruiken, waarmee ze veilig online zaken kunnen gaan doen met de overheid en ook het bedrijfsleven. Het eID Stelsel is straks een belangrijke randvoorwaarde voor initiatieven zoals Qiy, Mydex, Respect Trust Framework, Personal.com, etc. Dergelijke vertrouwensdiensten zijn complementair aan het eID Stelsel.
    Ook op Europees niveau wordt er actie ondernomen. De nieuwe EU-verordening elektronische identiteiten en vertrouwensdiensten (COM(2012) 238 final)3 heeft de ambitie om grensoverschrijdend gebruik van elektronische identiteiten mogelijk te maken. Nederland zorgt ervoor dat elektronische identiteiten passen binnen de Europese initiatieven om te komen tot veilig digitaal berichtenverkeer tussen de lidstaten.
    Gedurende de afstemmingsperiode is Nederland een actieve deelnemer in verschillende Europese projecten, zoals e-SENS (www.esens.eu). e-SENS is een overkoepelend proefproject dat Nederland de kans biedt om Europese standaarden te beproeven voor elektronische identiteiten en vertrouwensdiensten. e-SENS consolideert de resultaten van eerdere grote Europese projecten, zoals e-CODEX (www.e-codex.eu) op het gebied van e-Justice. Deelname geeft Nederland belangrijke informatie om standaarden op organisatorisch, technisch en juridisch vlak in de Nederlandse realiteit in te bedden.
    Zo zijn er in de Europese proefprojecten oplossingen gemaakt om de koppeling tussen identiteitsmiddelen en overheidsdiensten technisch mogelijk te maken. Het is de bedoeling dat deze oplossingen onderdeel gaan worden van het toekomstige eID Stelsel Nederland.

  • Vraag 4
    Welke functie zouden dergelijke diensten kunnen hebben in het voorkomen van (identiteits-)fraude? Hoe wordt gewaakt dat de privacy niet in het geding komt?

    Genoemde initiatieven dienen te voldoen aan het privacykader dat de Wet bescherming persoonsgegevens stelt aan de verwerking van persoonsgegevens. Het College Bescherming Persoonsgegevens (CBP) is daarop toezichthouder. Indien de genoemde initiatieven aansluiten op het nog te ontwikkelen eID Stelsel, waarbij gebruik wordt gemaakt van middelen en voorzieningen met het juiste betrouwbaarheidsniveau voor de relevante dienst zal dat kunnen bijdragen aan een betere bescherming tegen Identiteitsfraude.

  • Vraag 5
    Welke rol (dataprovider, relying party, identity service provider en/of issuer) heeft u voor ogen voor de overheid bij deze initiatieven?

    In een eventueel afsprakenstelsel of «trust framework» kan de overheid verschillende rollen vervullen. Enerzijds kan de overheid gegevens beschikbaar stellen (data provider), maar ook gebruik maken van beschikbaar gestelde gegevens (relying party). De overheid werkt op dit moment aan de ambitie om straks binnen het eID Stelsel op te treden als «identity service provider». Aan de precieze vormgeving van het eID wordt conform overleg met uw Kamer nog gewerkt. Tenslotte zal de overheid een toezichthoudende rol kunnen hebben.

  • Vraag 6
    Welke rol ziet u voor de overheid in het toezicht op een dergelijk stelsel en/of certificering/accreditatie/auditing van aanbieders in zo’n stelsel?

    Het College Bescherming Persoonsgegevens (CBP) is belast met het toezicht op een correcte verwerking van persoonsgegevens van burgers/consumenten binnen de kaders die de Wet bescherming persoonsgegevens daaraan stelt. Van wezenlijk belang voor de overheid bij afsprakenstelsels is dat het gaat om open, voor ieder toegankelijke stelsels en waarbij sprake is van onafhankelijk, effectief toezicht. Dat hoeft niet perse vanuit de overheid te zijn. Het kabinet heeft in haar e-privacybrief van 24 mei 20134 een aantal randvoorwaarden gesteld voor de bescherming van persoonsgegevens in de relatie klant-bedrijf. Daarmee kan het vertrouwen in het gebruik van online-diensten worden vergroot. Een van die voorwaarden is dat de gebruiker controle moet kunnen hebben over zijn persoonsgegevens en de aanwending daarvan.
    Op dit moment wordt nader onderzocht hoe het toezicht op de betrouwbaarheid en integriteit van het eID Stelsel het beste vormgegeven kan worden. Een elektronisch identiteitstelsel kan enkel werken als men op dit stelsel kan en durft te vertrouwen. Het stelsel wordt als zodanig ingericht. Dat betekent dat normen, procedures bevoegdheden en dergelijke, die voor een veilig en vertrouwd functioneren noodzakelijk zijn, worden vastgelegd. Dat is het afsprakenstelsel. Partijen die toe willen treden tot dit afsprakenstelsel, zullen vooraf moeten aantonen dat zij zich aan de eisen kunnen en zullen houden. Om op het afsprakenstelsel te durven vertrouwen, zal er adequaat toezicht noodzakelijk zijn om te borgen dat eenieder zich aan die afspraken houdt. Daar zijn verschillende mogelijkheden voor, van volledig staatstoezicht tot nagenoeg volledig privaatrechtelijk toezicht en alles wat daar tussen ligt. Een aantal zaken zal zeker onder toezicht van de overheid vallen, omdat dit zo door Europese regelgeving is voorgeschreven. Denk daarbij aan het toezicht op de gekwalificeerde handtekening en de zaken die op grond van de nieuwe EU-verordening elektronische identiteiten en vertrouwensdiensten (COM(2012) 238 final)5 door de overheid moet worden uitgeoefend. Omdat er juist in de marktsector zeer veel kennis en ervaring is op dit gebied, is het ook logisch die kennis en ervaring te benutten waar dat mogelijk is.

  • Vraag 7
    Is er nieuwe of gewijzigde wetgeving nodig voor de invoering en het gebruik van een dergelijk stelsel en zo ja, bent u van plan tijdig de benodigde wetgeving te bevorderen?

    Op dit moment is nog niet duidelijk of nieuwe of gewijzigde wetgeving noodzakelijk is. Dit is afhankelijk van de invulling van een dergelijk afsprakenstelsel / «trust framework». Uiteraard zal ik indien nodig tijdig de benodigde wetgeving bevorderen.

  • Vraag 8
    Bent u van plan de adoptie van een trust framework in de markt te stimuleren en zo ja, hoe?

    De overheid volgt met interesse de initiatieven in de particuliere sector op dit gebied en bekijkt welke waarde deze stelsels kunnen hebben mede voor overheidsdiensten. Zo zijn het Ministerie van Economische Zaken en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties betrokken bij de initiatieven van Qiy. Qiy ontwikkelt met een aantal andere bedrijven een concept waarin de controle van de persoonsgegevens door de gebruiker centraal staat. Dit is een interessant initiatief dat kan bijdragen aan de vergroting van het vertrouwen in het gebruik van online-diensten en daarmee de economische groei. In hoeverre adoptie in de markt gestimuleerd zal/kan worden is op dit moment nog niet duidelijk.

  • Mededeling - 20 mei 2014

    Hierbij bericht ik u dat de Kamervragen van de VVD leden Moors en van Oosten over een trust framework en eID van 22 april 2014 (no. 2014Z07392) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef er naar om de schriftelijke Kamervragen zo spoedig mogelijk te beantwoorden.


Kamervraag document nummer: kv-tk-2014Z07392
Volledige titel: Een trust framework en eID
Kamerantwoord document nummer: ah-tk-20132014-2087
Volledige titel: Antwoord op vragen van de leden Moors en van Oosten over een trust framework en eID