Short Reads

Ontwerpwet Generieke Digitale Infrastructuur voor advies naar de Autoriteit Persoonsgegevens

Ontwerpwet Generieke Digitale Infrastructuur voor advies naar de Autor

Ontwerpwet Generieke Digitale Infrastructuur voor advies naar de Autoriteit Persoonsgegevens

25.10.2017 NL law

Met de ontwerpwet Generieke Digitale Infrastructuur ("Wet GDI") wordt beoogd dat burgers de beschikking krijgen over elektronische identificatiemiddelen ("eID") met een hoger betrouwbaarheidsniveau dan het huidige DigiD. Tegelijkertijd krijgen publieke dienstverleners meer zekerheid over de identiteit de burger aan wie zij die diensten verlenen.

Op 30 augustus 2017 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties ("BZK") de Wet GDI en de bijbehorende memorie van toelichting ("MvT") voor advies naar de Autoriteit Persoonsgegevens ("Autoriteit") gezonden.

De Wet GDI biedt grondslag aan het kabinet voor het verplicht stellen van standaarden die overheden moeten gebruiken in het elektronisch verkeer met andere overheden en burgers, en grondslagen voor de verwerking van persoonsgegevens, waaronder het Burgerservicenummer, voor de digitale toegang tot publieke dienstverlening voor burgers en bedrijven. De meest opvallende onderdelen aan de Wet GDI zijn de expliciete adressering van beveiligingsniveaus, open standaarden en privacy by design. Een korte toelichting volgt hierna.

Achtergrond wet GDI

eID

De Wet GDI is te beschouwen als onderdeel van het stelsel eID. Het stelsel eID is een samenwerking tussen de overheid en het bedrijfsleven ten behoeve van een standaard voor online identificatie (klik hier voor een illustratie) met een hoger beveiligingsniveau dan het huidige DigiD.

Het doel van het stelsel eID is burgers en bedrijven met eID toegang te kunnen geven tot online dienstverlening van zowel de overheid als het bedrijfsleven. Momenteel hebben de overheid en het bedrijfsleven nog eigen inlogsystemen, zoals DigiD bij de overheid.

Eerdere adviezen Autoriteit Persoonsgegevens

In 2015 en 2016 heeft de Autoriteit al adviezen gegeven over het eID stelsel en aan de minister van BZK gevraagd om geraadpleegd te worden over de Wet GDI. In 2015 signaleerde de Autoriteit drie aandachtspunten, namelijk expliciteren wie verantwoordelijk is voor verwerking, beveiliging en het gebruik van het Burgerservicenummer. De Autoriteit stelde vast dat voor de verwerking van het Burgerservicenummer een wettelijke grondslag ontbrak.

In 2016 heeft de Autoriteit een brief gestuurd aan de minister van BZK om aan te geven dat er meer aandacht besteed moest worden aan incidentbeheersing, toezicht en beveiliging en privacy by design.

Aanleiding Wet GDI

De toenemende digitalisering van Nederland is volgens de MvT de aanleiding voor de Wet GDI. Deze digitalisering blijkt uit het feit dat steeds meer (overheids)diensten online aangeboden worden, zoals het aanvragen van een uittreksel basisregistratie personen of een parkeervergunning. Echter, zo volgt uit MvT, de overheid heeft een achterstand als het gaat om digitalisering. Volgens de MvT is een van de oorzaken van deze achterstand dat de afzonderlijke overheidsonderdelen bij de inzet van informatie- en communicatietechnologie in relatief isolement hun eigen weg gaan, wat ook tot onduidelijkheid bij burgers leidt.

Voor de minister is het duidelijk geworden dat het vrijwel onmogelijk is om alleen op basis van bestuursakkoorden tot de gewenste modernisering te komen. Daarom moet het kabinet met de Wet GDI de overheid steviger sturing bieden.

Wat regelt de wet

De Wet GDI regelt dat het kabinet de bevoegdheid krijgt om standaarden te verplichten en dat digitale toegang tot publieke dienstverlening voor burgers en bedrijven moet voldoen aan Europese verplichtingen op het gebied van elektronische identificatie en standaarden. De doelstellingen van de wet zijn de volgende.

Bereik

De Wet GDI zal van toepassing worden op bestuursorganen en andere, onder andere via AMvB’s aan te wijzen, aangewezen organisaties.

Aangewezen organisaties zijn voor nu onder meer instellingen voor hoger onderwijs, pensioenuitvoerders, zorgaanbieders en verzekeraars.

Betrouwbaarheidsniveau 'substantieel' of 'hoog'

Om te waarborgen dat de nieuwe elektronische identificatiemiddelen inderdaad een hoger beveiligingsniveau zullen hebben dan het huidige DigiD, wordt aangesloten bij de verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (Verordening 910/2014 van het Europees Parlement en de Raad van 23 juli 2014). In deze verordening worden de betrouwbaarheidsniveaus als volgt omschreven:

het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;

het betrouwbaarheidsniveau hoog betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een hogere mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt dan een elektronisch identificatiemiddel met betrouwbaarheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te voorkomen.

Open standaarden

Om gegevens uit te kunnen wisselen moeten ICT-systemen dezelfde standaarden hebben geïmplementeerd. De Wet GDI geeft de bevoegdheid om op basis van AMvB’s open (communicatie) standaarden aan te wijzen. Deze open standaarden moeten worden vastgelegd in een specificatiedocument dat vrij te verkrijgen zal zijn (vandaar "open"). Nu bestaat de mogelijkheid voor overheden om van standaarden af te wijken.

De invoering van de open standaarden via de Wet GDI heeft tot doel de elektronische communicatie te vergemakkelijken, zodat applicaties of andere softwarecomponenten elkaars gegevens volledig en correct kunnen verwerken. Hiermee worden volgens de MvT kosten bespaard doordat overheidsorganisaties in verschillende ketens met elkaar samen kunnen werken en elkaars gegevens kunnen hergebruiken, zonder burgers en bedrijven met uitvragen naar dezelfde informatie te belasten.

Andere voordelen van open standaarden zijn volgens de MvT het voorkomen van vendor lock-in, het bevorderen van data portabiliteit en de raadpleegbaarheid van bestanden in de toekomst. Ook moeten de open standaarden er volgens de MvT voor zorgen dat gegevens "duurzaam toegankelijk" blijven, namelijk: vindbaar, interpreteerbaar en uitwisselbaar. Hiermee wordt beoogd dat de informatie vanaf het moment van ontstaan beschikbaar en bruikbaar is voor iedereen die daar recht op heeft, voor zolang als noodzakelijk.

Privacy

In navolging van de eerdere adviezen van de Autoriteit biedt de Wet GDI een basis om persoonsgegevens te verwerken, en meer specifiek het Burgerservicenummer. De MvT verklaart dat voor een goede verwerking van elektronische identificatie de verwerking van het bijzondere persoonsgegevens Burgerservicenummer noodzakelijk is. Wet GDI beoogt de wettelijke grondslag daarvoor te bieden.

Verder schrijft de Wet GDI voor dat bij de ontwikkeling van de nieuwe elektronische identificatiemethoden "privacybeschermende maatregelen" getroffen moeten worden. Dit voorschrift is een voorbeeld van privacy by design. Privacy by design is met zoveel woorden in 2016 voorgeschreven door de Autoriteit én is te beschouwen als een implementatie van een onderdeel van de aanstaande Algemene Verordening Gegevensbescherming. Zie daarover ons eerdere blog.

Vervolgtraject

Het nu voorliggende voorstel voor de Wet GDI is de eerste tranche. Volgens de MvT zullen op een later moment ook andere onderdelen van de generieke digitale infrastructuur in de Wet GDI geregeld kunnen worden.

De inwerkingtreding van de Wet GDI is gepland op 1 januari 2019.

Team

Related news

25.04.2018 NL law
Het recht om fouten te maken

Short Reads - Nederland moet nagaan of het zinvol is een wet in te voeren ‘die er kort gezegd op neerkomt dat de burger fouten kan maken zonder dat dit onmiddellijk als overtreding of fraude wordt gezien’. Dit adviseert de Raad van State in zijn recente jaarverslag over 2017.

Read more

25.04.2018 NL law
Relativiteit, de correctie-Widdershoven en het keurslijf van het gelijkheidsbeginsel (NTB 2018/19)

Articles - Na de introductie van het bestuursrechtelijk relativiteitsvereiste bleef één vraag boven de markt hangen. Dit was de vraag of dit relativiteitsvereiste ook zou moeten worden uitgerust met een correctie-Langemeijer-achtige correctie. Inmiddels heeft de Afdeling al weer enige tijd zo’n correctie aanvaard, op voorspraak van Staatsraad Advocaat-Generaal Widdershoven. In de zogenoemde slijterijzaken heeft de Afdeling deze correctie-Widdershoven voor het eerst laten slagen.

Read more

20.04.2018 NL law
De harmonisering van milieuzones

Short Reads - Een dik jaar geleden schreven wij hier op het Stibbeblog over de eerste uitspraak van de Afdeling bestuursrechtspraak van de Raad van State over een milieuzone (Afdeling bestuursrechtspraak laat de Utrechtse milieuzone in stand). Wij voorspelden toen 388 verschillende milieuzones in Nederland. Ook de staatssecretaris van Infrastructuur en Waterstaat erkende dat gevaar en schreef in een kamerbrief van 5 april 2018 over de harmonisering van milieuzones. Wij staan daar in dit blog kort bij stil.

Read more

Our website uses cookies: third party analytics cookies to best adapt our website to your needs & cookies to enable social media functionalities. For more information on the use of cookies, please check our Privacy and Cookie Policy. Please note that you can change your cookie opt-ins at any time via your browser settings.

Privacy – en cookieverklaring