Short Reads

Ontwerpwet Generieke Digitale Infrastructuur voor advies naar de Autoriteit Persoonsgegevens

Ontwerpwet Generieke Digitale Infrastructuur voor advies naar de Autor

Ontwerpwet Generieke Digitale Infrastructuur voor advies naar de Autoriteit Persoonsgegevens

25.10.2017 NL law

Met de ontwerpwet Generieke Digitale Infrastructuur ("Wet GDI") wordt beoogd dat burgers de beschikking krijgen over elektronische identificatiemiddelen ("eID") met een hoger betrouwbaarheidsniveau dan het huidige DigiD. Tegelijkertijd krijgen publieke dienstverleners meer zekerheid over de identiteit de burger aan wie zij die diensten verlenen.

Op 30 augustus 2017 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties ("BZK") de Wet GDI en de bijbehorende memorie van toelichting ("MvT") voor advies naar de Autoriteit Persoonsgegevens ("Autoriteit") gezonden.

De Wet GDI biedt grondslag aan het kabinet voor het verplicht stellen van standaarden die overheden moeten gebruiken in het elektronisch verkeer met andere overheden en burgers, en grondslagen voor de verwerking van persoonsgegevens, waaronder het Burgerservicenummer, voor de digitale toegang tot publieke dienstverlening voor burgers en bedrijven. De meest opvallende onderdelen aan de Wet GDI zijn de expliciete adressering van beveiligingsniveaus, open standaarden en privacy by design. Een korte toelichting volgt hierna.

Achtergrond wet GDI

eID

De Wet GDI is te beschouwen als onderdeel van het stelsel eID. Het stelsel eID is een samenwerking tussen de overheid en het bedrijfsleven ten behoeve van een standaard voor online identificatie (klik hier voor een illustratie) met een hoger beveiligingsniveau dan het huidige DigiD.

Het doel van het stelsel eID is burgers en bedrijven met eID toegang te kunnen geven tot online dienstverlening van zowel de overheid als het bedrijfsleven. Momenteel hebben de overheid en het bedrijfsleven nog eigen inlogsystemen, zoals DigiD bij de overheid.

Eerdere adviezen Autoriteit Persoonsgegevens

In 2015 en 2016 heeft de Autoriteit al adviezen gegeven over het eID stelsel en aan de minister van BZK gevraagd om geraadpleegd te worden over de Wet GDI. In 2015 signaleerde de Autoriteit drie aandachtspunten, namelijk expliciteren wie verantwoordelijk is voor verwerking, beveiliging en het gebruik van het Burgerservicenummer. De Autoriteit stelde vast dat voor de verwerking van het Burgerservicenummer een wettelijke grondslag ontbrak.

In 2016 heeft de Autoriteit een brief gestuurd aan de minister van BZK om aan te geven dat er meer aandacht besteed moest worden aan incidentbeheersing, toezicht en beveiliging en privacy by design.

Aanleiding Wet GDI

De toenemende digitalisering van Nederland is volgens de MvT de aanleiding voor de Wet GDI. Deze digitalisering blijkt uit het feit dat steeds meer (overheids)diensten online aangeboden worden, zoals het aanvragen van een uittreksel basisregistratie personen of een parkeervergunning. Echter, zo volgt uit MvT, de overheid heeft een achterstand als het gaat om digitalisering. Volgens de MvT is een van de oorzaken van deze achterstand dat de afzonderlijke overheidsonderdelen bij de inzet van informatie- en communicatietechnologie in relatief isolement hun eigen weg gaan, wat ook tot onduidelijkheid bij burgers leidt.

Voor de minister is het duidelijk geworden dat het vrijwel onmogelijk is om alleen op basis van bestuursakkoorden tot de gewenste modernisering te komen. Daarom moet het kabinet met de Wet GDI de overheid steviger sturing bieden.

Wat regelt de wet

De Wet GDI regelt dat het kabinet de bevoegdheid krijgt om standaarden te verplichten en dat digitale toegang tot publieke dienstverlening voor burgers en bedrijven moet voldoen aan Europese verplichtingen op het gebied van elektronische identificatie en standaarden. De doelstellingen van de wet zijn de volgende.

Bereik

De Wet GDI zal van toepassing worden op bestuursorganen en andere, onder andere via AMvB’s aan te wijzen, aangewezen organisaties.

Aangewezen organisaties zijn voor nu onder meer instellingen voor hoger onderwijs, pensioenuitvoerders, zorgaanbieders en verzekeraars.

Betrouwbaarheidsniveau 'substantieel' of 'hoog'

Om te waarborgen dat de nieuwe elektronische identificatiemiddelen inderdaad een hoger beveiligingsniveau zullen hebben dan het huidige DigiD, wordt aangesloten bij de verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (Verordening 910/2014 van het Europees Parlement en de Raad van 23 juli 2014). In deze verordening worden de betrouwbaarheidsniveaus als volgt omschreven:

het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;

het betrouwbaarheidsniveau hoog betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een hogere mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt dan een elektronisch identificatiemiddel met betrouwbaarheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te voorkomen.

Open standaarden

Om gegevens uit te kunnen wisselen moeten ICT-systemen dezelfde standaarden hebben geïmplementeerd. De Wet GDI geeft de bevoegdheid om op basis van AMvB’s open (communicatie) standaarden aan te wijzen. Deze open standaarden moeten worden vastgelegd in een specificatiedocument dat vrij te verkrijgen zal zijn (vandaar "open"). Nu bestaat de mogelijkheid voor overheden om van standaarden af te wijken.

De invoering van de open standaarden via de Wet GDI heeft tot doel de elektronische communicatie te vergemakkelijken, zodat applicaties of andere softwarecomponenten elkaars gegevens volledig en correct kunnen verwerken. Hiermee worden volgens de MvT kosten bespaard doordat overheidsorganisaties in verschillende ketens met elkaar samen kunnen werken en elkaars gegevens kunnen hergebruiken, zonder burgers en bedrijven met uitvragen naar dezelfde informatie te belasten.

Andere voordelen van open standaarden zijn volgens de MvT het voorkomen van vendor lock-in, het bevorderen van data portabiliteit en de raadpleegbaarheid van bestanden in de toekomst. Ook moeten de open standaarden er volgens de MvT voor zorgen dat gegevens "duurzaam toegankelijk" blijven, namelijk: vindbaar, interpreteerbaar en uitwisselbaar. Hiermee wordt beoogd dat de informatie vanaf het moment van ontstaan beschikbaar en bruikbaar is voor iedereen die daar recht op heeft, voor zolang als noodzakelijk.

Privacy

In navolging van de eerdere adviezen van de Autoriteit biedt de Wet GDI een basis om persoonsgegevens te verwerken, en meer specifiek het Burgerservicenummer. De MvT verklaart dat voor een goede verwerking van elektronische identificatie de verwerking van het bijzondere persoonsgegevens Burgerservicenummer noodzakelijk is. Wet GDI beoogt de wettelijke grondslag daarvoor te bieden.

Verder schrijft de Wet GDI voor dat bij de ontwikkeling van de nieuwe elektronische identificatiemethoden "privacybeschermende maatregelen" getroffen moeten worden. Dit voorschrift is een voorbeeld van privacy by design. Privacy by design is met zoveel woorden in 2016 voorgeschreven door de Autoriteit én is te beschouwen als een implementatie van een onderdeel van de aanstaande Algemene Verordening Gegevensbescherming. Zie daarover ons eerdere blog.

Vervolgtraject

Het nu voorliggende voorstel voor de Wet GDI is de eerste tranche. Volgens de MvT zullen op een later moment ook andere onderdelen van de generieke digitale infrastructuur in de Wet GDI geregeld kunnen worden.

De inwerkingtreding van de Wet GDI is gepland op 1 januari 2019.

Team

Related news

20.02.2019 NL law
Uitbreiding van gereedschapskist van hoogste nationale rechters: Europese Hof voor de Rechten van de Mens als adviseur

Short Reads - Op 19 januari 2019 is Protocol nr. 16 (Protocol) bij het Europees Verdrag voor de Rechten van de Mens (EVRM) voor Nederland officieel in werking getreden. Met dit Protocol is het voor de hoogste nationale rechters mogelijk geworden om 'advisory opinions' aan het Europees Hof voor de Rechten van de Mens (EHRM) te vragen over de interpretatie en toepassing van het EVRM. Dit blogbericht belicht de belangrijkste elementen uit het Protocol en de te verwachten gevolgen voor de rechtspraktijk.

Read more

18.02.2019 BE law
Plan-MER voor Vlaams windturbinekader? Raad voor Vergunningsbetwistingen te rade bij Europa

Articles - Het wordt stilaan een traditie van de Belgische rechter om het Hof van Justitie te bevragen over de milieueffectenbeoordeling en -rapportage (MER). Na de Raad van State en het Grondwettelijk Hof is het de beurt aan de Raad voor Vergunningsbetwistingen. In een tussenarrest van 4 december 2018 heeft de Raad voor Vergunningsbetwistingen aan het Hof van Justitie een lijst met prejudiciële vragen gesteld over de plan-MER-plicht van het Vlaamse kader voor de uitbating van windturbines. Mogen we ons verwachten aan een juridische saga "d'Oultremont pt.II"?

Read more

18.02.2019 NL law
Brexit and data protection: preparing for a 'no-deal'

Short Reads - As it stands, the UK will exit the European Union at midnight on 29 March 2019. Therefore, businesses within the UK, or with trade relations with the UK, would be best advised to assume that a no-deal Brexit is inevitable. The exchange of personal data  within the EU is governed by the General Data Protection Regulation (GDPR). In a no-deal Brexit, the GDPR will cease to be applicable in the UK upon its EU exit.

Read more

18.02.2019 EU law
Erik Valgaeren moderates a panel on Data Governance and Compliance during IBA's Silicon Beach Conference

Speaking slot - The discussion topic will cover various legal aspects relating to data lifecycle management, both for personal and non personal data. These aspects will include rights in and obligations regarding data, such retention obligations and portability rights. Practical suggestions on holistic data management and the role of the chief data officer will be debated.

Read more

Our website uses cookies: third party analytics cookies to best adapt our website to your needs & cookies to enable social media functionalities. For more information on the use of cookies, please check our Privacy and Cookie Policy. Please note that you can change your cookie opt-ins at any time via your browser settings.

Privacy – en cookieverklaring