| Ingediend | 14 maart 2022 |
|---|---|
| Beantwoord | 7 april 2022 (na 24 dagen) |
| Indiener | Wybren van Haga (BVNL) |
| Beantwoord door | Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | gezondheidsrisico's zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z04740.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-2349.html |
De Europese Commissie heeft op 3 juni 2021 een wetsvoorstel ingediend voor een «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet.1 Dit voorstel heeft de Commissie ingediend conform het verzoek daartoe van de Europese Raad.2
Dit klopt niet, omdat de Commissie het in uw quote heeft over de eIDAS verordening van 2014 en niet over het wetsvoorstel van 3 juni 2021 voor een «raamwerk voor een Europese Digitale Identiteit» dat die eerdere eIDAS verordening herziet.
De Commissie heeft geconstateerd, evenals het kabinet, dat de implementatie van de eIDAS-verordening uit 2014 onvoldoende resultaten opgeleverd heeft. De digitale interne markt is nog steeds te versnipperd om als burger en bedrijf eenvoudig en veilig online diensten af te kunnen nemen in een ander Europees land. Het aantal elektronische transacties in andere lidstaten is laag, het aantal erkende eID's is beperkt tot 14 lidstaten en 59% van de EU-populatie, en het aantal online diensten dat beschikbaar is voor grensoverschrijdend gebruik is te beperkt. Dit pakt het nieuwe wetsvoorstel aan.
Ook hebben we te maken met een veranderende maatschappelijke context waarin steeds meer digitaal gedaan wordt en is de technologische ontwikkeling zich meer gaan richten op oplossingen waarbij eID's (inlogmiddelen) gelinkt kunnen worden aan attributen. Online (social media) platformen bieden accounts aan en worden steeds dominanter in Europa, terwijl deze accounts en de online transacties ermee, onvoldoende zekerheid bieden voor betrouwbaar en veilig gebruik en bescherming van gegevens van gebruikers.
Het voorstel van de Commissie beoogt de werking van de eIDAS-verordening te bevorderen door lidstaten te verplichten eID's te erkennen voor Europees gebruik én de functionaliteiten van eID-middelen te vergroten in de vorm van een nationaal te introduceren digitale identiteit wallet. De wallet kunnen lidstaten in eigen beheer of onder mandaat uitgeven of ze kunnen een onafhankelijk uitgegeven wallet erkennen. Deze wallet dient burgers en bedrijven die dit willen, de mogelijkheid te bieden om onder een hoog beveiligingsniveau hun elektronische identiteit én daaraan gelinkte attributen, zoals kwalificaties, bevoegdheden en digitale documenten, zelf ter beschikking te stellen.4
Het klopt dat de Commissie dit gesteld heeft over de technologie die het EU Digitaal COVID certificaat mogelijk maakt. Het EU Digitaal COVID Certificaat staat inhoudelijk los van de ontwikkeling van de «toolbox voor een digitale identiteit». De lessen die we geleerd hebben door in Nederland op een privacybeschermende manier om te gaan met digitale middelen in de bestrijding van de COVID-19 pandemie, nemen wij mee in de uitwerking van het Europese digitale identiteit raamwerk. Ook het risico op overbevraging van de wallet, waarbij burgers onnodig gevraagd worden gegevens uit een digitale wallet te bewijzen, nemen wij zeer serieus.
Zoals ook in het commissiedebat van 9 maart jl. is benoemd, wordt het EU DCC enkel ingezet in het kader van de huidige COVID-19 pandemie. De inrichting van het «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet, en de ontwikkeling van de «toolbox voor een digitale identiteit» van de EU staan hier dan ook los van. Als vanzelfsprekend zullen de lessen die we geleerd hebben tijdens het gebruik van het digitale COVID-certificaat wel meegenomen worden in de ontwikkeling van deze toolbox.
CoronaCheck (zowel de app voor de burger als de app voor de controleur) is ontwikkeld met als doel om een betrouwbaar bewijs te kunnen verstrekken van een testresultaat en/of een vaccinatie, waarbij eenieder dat bewijs kan controleren zonder dat er meer persoonsgegevens worden overlegd dan strikt noodzakelijk. Deze privacy-by-design filosofie heeft geleid tot diverse keuzes in de architectuur, en de gebruikte software en cryptografie. Deze staan open beschreven op de GitHub van het Ministerie van VWS.6 Iedereen die dat wil kan deze technologie checken en hergebruiken, omdat het open inzichtelijk is. De specifieke software voor de CoronaCheck app wordt door de overheid niet doorontwikkeld tot een breder inzetbare EU digitale identiteit wallet.
Zoals in de beantwoording van vraag 2 is benoemd, betreft deze aansluiting de eIDAS verordening uit 2014. De huidige verordening beoogt te zorgen voor een goede werking van de digitale interne markt door met wederzijdse erkenning van elektronische identificatiemiddelen (eID's) en met harmonisatie van vertrouwensdiensten veilige en betrouwbare elektronische transacties tussen burgers, bedrijven en overheden te bevorderen. De eIDAS-verordening stelt de voorwaarden vast waaronder lidstaten elkaars eID's voor burgers en bedrijven wederzijds moeten erkennen. «Openbare instanties» (overheden en organisaties met publiekrechtelijke taken) dienen erkende eID's op betrouwbaarheidsniveaus «substantieel» en «hoog» kosteloos toe te laten bij grensoverschrijdende transacties in het publieke domein. Om grensoverschrijdend gebruik van elektronische identificatie en authenticatie mogelijk te maken, is Nederland aangesloten op het Europese eIDAS-netwerk. Daarnaast heeft Nederland zowel het publieke middel DigiD voor burgers als het publiek-private stelsel eHerkenning voor bedrijven, doen erkennen voor gebruik over de grens.
Een overzicht van de Europees aangemelde eID stelsels kunt u vinden op de openbare website van de Europese eID User Community.9 Ik ontvang maandelijks een overzicht van het huidige gebruik van Europese eID's bij Nederlandse dienstverleners met een publiekrechtelijke taak. Het betreft op dit moment maandelijks ongeveer 10.000 authenticaties met eID-middelen uit andere EU-landen met als koplopers België, Duitsland, Italië, Spanje en Portugal. De dienstverleners met de meeste bevragingen zijn de Belastingdienst, de SVB, het UWV, DUO en het pensioenregister.10
De Kamer heeft in 2016 ingestemd met Wijziging van de Telecommunicatiewet, de Boeken 3 en 6 van het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende wijzigingen van andere wetten in verband met de uitvoering van EU-verordening elektronische identiteiten en vertrouwensdiensten (uitvoering EU-verordening elektronische identiteiten en vertrouwensdiensten, eIDAS).11
Ja. De CoronaCheck en CoronaCheck Scanner apps zijn beide ontwikkeld ter ondersteuning van zowel het reizen met een DCC als het binnenlands gebruik van het coronatoegangsbewijs (CTB). De CoronaCheck-app is niet meer dan een digitaal ondertekend certificaat inzake de test-, vaccinatie-, en/of herstelstatus van de burger. Met de CoronaCheck Scanner app kan vervolgens de geldigheid van dit certificaat of bewijs gecontroleerd worden. Het checken van de geldigheid van ondertekende certificaten is standaard technologie die opnieuw te gebruiken valt.
Medische persoonsgegevens zijn gevoelige gegevens. Daarom is het belangrijk dat patiënten veilig kunnen inloggen om hun eigen gegevens te raadplegen en dat professionals veilig kunnen inloggen om gegevens van hun patiënten te raadplegen. Een goed werkend e-ID-stelsel is daarom belangrijk voor de zorg. Het Ministerie van VWS heeft daarom voor de invoering van het e-ID-stelsel in de zorg intensief overleg met zowel het Ministerie van BZK als het zorgveld. De afgelopen jaren heeft het Ministerie van VWS daarin ook geïnvesteerd; denk aan de ontwikkeling van de benodigde technische infrastructuur zoals de Toegangsverleningsservice (voor de efficiënte afhandeling van de verschillende inlogmiddelen) en de ondersteuning bij het aansluiten hierop. Dit kan als vooroplopen gekwalificeerd worden.
Nee. Wel is het belangrijk dat mensen op een veilige manier kunnen inloggen om hun medische gegevens in hun PGO op te halen. Daarom volgt de ontwikkeling van PGO’s de door het Ministerie van BZK toegelaten eID middelen om patiënten veilig te laten inloggen.
Nee. Zie ook het antwoord op vraag 10.
Voor de ontwikkeling van het Europese digitale identiteit raamwerk is het noodzakelijk om verschillende sectoren te betrekken. De Europese Commissie heeft voorzieningen beschikbaar gesteld voor een open consultatie waarbij alle partijen hun positie ten opzichte van dit voorstel en de uitwerking kunnen uiten. Dit gebeurt op een zo open mogelijke wijze. In antwoorden op vragen van het lid Jansen (FvD) gaf ik reeds aan dat het Kabinet zich zo breed mogelijk laat adviseren voor de invulling van het de Nederlandse implementatie van het Europese digitale identiteit raamwerk.13 Hierbij zijn diverse sectoren betrokken zoals het onderwijs, de mobiliteit sector, werkgelegenheid, de financiële sector en de zorg.
Deze proef is bij mij niet bekend, dus hier is geen afstemming tussen.
Ja, dat kan ik bevestigen. Annex VI van de voorgestelde verordening voor het Europese digitale identiteit raamwerk (revisie van de eIDAS verordening) omschrijft de minimale set van attributen die lidstaten uit authentieke bronnen ter beschikking moeten stellen voor gebruik in wallets.15
Deze gegevens worden echter nooit «door de EU» ergens opgeslagen. De burger kiest er altijd zelf in vrijwilligheid voor om attributen (geverifieerde gegevens) in een zelf gekozen wallet op te nemen. Het zal aan de burgers zelf zijn welke attributen ze in hun wallet willen opnemen en vervolgens onder eigen regie deze gegevens te gebruiken om gemakkelijk en met behoud van privacy zaken te doen.
Dit voorstel geeft mensen juist meer autonomie en regie over eigen gegevens dan de huidige situatie waarin de burger niet over deze attributen kan beschikken en deze vaak op onveilige wijze overgedragen worden. Denk hierbij aan kopietjes paspoort, gescande handtekeningen of minder veilige cloud of sociale media platformen.
Ik onderschrijf de noodzaak om Europees af te spreken welke gegevens of liever attributen op welk moment in Europees verband minimaal uitgewisseld moeten kunnen worden. Daarbij merk ik op dat het kabinet op dit moment in de onderhandelingen nog geen positie ingenomen heeft ten aanzien van de definitieve invulling van Annex VI. U weet dat ik gemandateerd ben in het BNC-fiche, waaraan ik me ook voor Annex VI houdt, en ik u geen antwoord kan geven ten aanzien van de onderhandelingen. Het parlement, zoals u weet, beoordeelt voorstellen van de Commissie niet inhoudelijk en heeft tegen de subsidiariteit en proportionaliteit van het voorstel geen bezwaren geuit.16
Wel merk ik op dat het kabinet terughoudend is wat betreft de reikwijdte, impact en uitvoerbaarheid van het voorstel en het voorgestelde tijdspad. De hoge ambitie kan alleen gerealiseerd worden met een daarbij passend, realistisch tijdspad. Het voorstel vraagt om een beheersbare, gefaseerde implementatie op basis van gezamenlijke prioritering door de lidstaten, vooral op het terrein van de verplicht op te nemen attributen. Er moet daarbij ook voldoende ruimte zijn om de nodige maatregelen en regelgeving tijdig door te voeren binnen de context van nationale uitvoeringsagenda's en beleidsontwikkelingen en van beheersbare implementatie en realistische effectuering in de uitvoering. Zo staat dit ook in het BNC-fiche.17
Zie antwoord vraag 14.
Zie antwoord vraag 14.
Zie antwoorden op vraag 2 en 14–16. Het klopt dat de herziening van de eIDAS-verordening lidstaten verplicht tot het ontwikkelen van minstens één digitale identiteit wallet. Zoals in het coalitieakkoord is benoemd krijgen burgers een eigen «online» identiteit. Centraal hierin is de regie op eigen data.
Dit is een overweging die ten grondslag ligt aan de voorgestelde verordening. Geen onderdeel van de wettekst.
Gebruikers moeten niet verplicht worden de portemonnee of wallet te gebruiken, zoals de overweging die u aanhaalt enkele zinnen later stelt.19 In het voorstel is aangegeven dat de beoogde middelen ook gebruikt zouden kunnen worden in de gezondheidszorg; bijvoorbeeld voor de identificatie en authenticatie van zorgverleners én patiënten. In het voorstel is een minimale lijst opgenomen van attributen die in de wallet (kunnen) zitten wanneer de gebruiker deze wil toevoegen. Deze minimale lijst bevat op dit moment geen attributen met medische gegevens en dus ook geen COVID-certificaten en/of bewijzen.
Zie antwoord vraag 18.
Leidend is inderdaad de Algemene Verordening Gegevensbescherming (AVG).21 Het concept «dataminimalisatie» omschrijft dat wanneer persoonsgegevens worden verwerkt, er niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het omschreven doel. De Europese Digitale Identiteit wallet zal deze gegevens niet «stapelen», maar de burger de mogelijkheid bieden om deze vanuit diens eigen omgeving te ontsluiten aan publieke of private partijen waarmee de burger zaken wil doen.
Nee. Vanwege de noodzakelijke interdepartementale afstemming was het helaas niet mogelijk om uw vragen te beantwoorden vóór 22 maart 2022.