De Wet digitale overheid (voorheen: wet Generieke Digitale Infrastructuur)
Door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties worden (in samenwerking met het ministerie van Economische Zaken en het ministerie van Veiligheid en Justitie), een aantal wetsvoorstellen voorbereid. Dit in verband met de afspraak in het regeerakkoord Rutte-II dat burgers en ondernemers uiterlijk in 2017 zaken die zij met de overheid doen, ook digitaal kunnen afhandelen (Digitaal 2017).
Bij een toename van de dienstverlening via internet dient de veiligheid en interoperabiliteit wettelijk geborgd te worden. Om verder alle zaken met de overheid digitaal te kunnen afhandelen zijn authenticatiemiddelen nodig met een hoog betrouwbaarheidsniveau, waarmee burgers en bedrijven zich digitaal kunnen identificeren en ook digitaal geautoriseerd kunnen worden, bijvoorbeeld als gemachtigde.
In de Wet digitale overheid wordt de generieke digitale infrastructuur vastgelegd die essentieel is voor de digitale dienstverlening van de overheid. De generieke digitale infrastructuur van de overheid bestaat uit standaarden, producten en voorzieningen die gezamenlijk gebruikt worden door overheden, publieke organisaties en in een aantal gevallen ook private partijen. Hierdoor is het mogelijk om primaire processen doelmatig in te richten en te blijven ontwikkelen.
In de eerste tranche van de Wet digitale overheid wordt het gebruik van ‘standaarden’ geregeld en wordt het gebruik van elektronische authenticatiemiddelen door publieke organisaties verplicht gesteld.
De concept wet heeft voor openbare consultatie voorgelegen van december 2016 tot april 2017 (onder de toenmalige naam: wet GDI). De consultatie heeft een groot aantal zienswijzen opgeleverd. Van het ministerie van OCW is er mede namens het onderwijs een reactie geschreven. Het overzicht van de openbare reacties op de consultatie is online te vinden (link).
In de zomer van 2017 is het wetsvoorstel op basis van eerdere consultatie aangepast. Op 30 augustus 2017 zijn het voorstel voor de Wet digitale overheid (destijds onder de naam wet GDI) en de bijbehorende Memorie van Toelichting voor advies naar de Autoriteit Persoonsgegevens gestuurd. Op 15 november 2017 is de naam van de wet Generieke Digitale Infrastructuur (wet GDI) veranderd in Wet digitale overheid. De reden voor deze naamsverandering is dat deze naam beter past bij de ambities van het nieuwe kabinet voor de verdere digitalisering van het openbaar bestuur. In veel publicaties zult u waarschijnlijk nog de oorspronkelijke naam (wet GDI) tegenkomen. De inwerkingtreding van het wetsvoorstel blijft vooralsnog gepland op 1 januari 2019.
Vragen en antwoorden over de Wet digitale overheid
Omdat we verwachten dat bij de SURF-doelgroep vragen zullen ontstaan over de aankomende Wet digitale overheid, hebben we een FAQ opgesteld. We hebben ons daarbij gebaseerd op de concept wet zoals die op 30 augustus openbaar is gemaakt. Mogelijk dat de concept wet nog wordt aangepast, in dat geval zullen we onze vraag-antwoord combinaties in de FAQ daarop aanpassen.
Ook voor ons is nog niet alles duidelijk. Desondanks zijn we van mening dat deze eerste beelden kunnen helpen bij de vragen en discussie binnen de SURF-doelgroep. We bekijken ondertussen hoe ondersteuning van de doelgroep eruit kan zien en zullen het overzicht van informatie op deze pagina waar nodig aanvullen en actualiseren.
De naam van de Wet generieke digitale infrastructuur (wet GDI) is op 15 november veranderd in Wet digitale overheid. De reden voor deze naamsverandering is dat deze naam beter past bij de ambities van het nieuwe kabinet voor de verdere digitalisering van het openbaar bestuur. Ook geeft het beter aan wat de reikwijdte en het doel is van de wet: het verbeteren van de digitale overheid door standaarden voor elektronisch verkeer verplicht te stellen, regels over informatieveiligheid en over de toegang van burgers en bedrijven tot online dienstverlening bij de (semi)overheid.
In veel publicaties kunt u nog de oorspronkelijke naam (wet GDI) tegenkomen in plaats van Wet digitale overheid.
Op basis van de concept wet hebben we een beslisboom (download als PDF) opgesteld die helpt bij het bepalen of er acceptatieplicht is voor het gebruik van elektronische authenticatiemiddelen. Er staan daarbij drie vragen centraal:
A) Valt uw organisatie binnen de reikwijdte van de Wet digitale overheid? Zie toelichting bij vraag 7
B) Betreft het elektronische dienstverlening waartoe authenticatie vereist is op betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’? Zie toelichting bij vraag 9
C) Is er sprake van speciale regels waardoor mag worden afgeweken van de acceptatieplicht? Zie toelichting bij vraag 8
In de Wet digitale overheid wordt de generieke digitale infrastructuur vastgelegd die essentieel is voor de digitale dienstverlening van de overheid. De generieke digitale infrastructuur van de overheid bestaat uit standaarden, producten en voorzieningen die gezamenlijk gebruikt worden door overheden, publieke organisaties en in een aantal gevallen ook private partijen. Hierdoor is het mogelijk om primaire processen doelmatig in te richten en te blijven ontwikkelen.
In de eerste tranche van de Wet digitale overheid wordt het gebruik van (open) standaarden geregeld en wordt het gebruik van elektronische authenticatiemiddelen door publieke organisaties verplicht gesteld voor dienstverlening aan burgers en rechtspersonen.
Een aantal van de onderwerpen van de wet:
In de eerste tranche van de Wet digitale overheid worden afspraken gemaakt over verplicht te gebruiken generieke standaarden voor het leveren van digitale diensten. Het gaat veelal om open standaarden die op de ‘pas toe of leg uit’-lijst staan die door Forum Standaardisatie wordt beheerd (link) en die een breed draagvlak hebben. Daarnaast biedt het wetsvoorstel grondslag om bij algemene maatregel van bestuur verplicht toe te passen open standaarden aan te wijzen.
In deze tranche van de Wet digitale overheid wordt ook bepaald aan welk betrouwbaarheidsniveau inlogmiddelen (met het oog op identificatie, authenticatie en machtiging) moeten voldoen voor het leveren van publieke elektronische diensten. De elektronische diensten kunnen daarbij worden geleverd aan zowel burgers ( BurgerServiceNummer (BSN) domein) als aan rechtspersonen (bedrijven e.d.). Ook komt er een kader dat voorschrijft op welke wijze het vereiste betrouwbaarheidsniveau van een dienst moet worden vastgesteld.
Onderdeel van het verbeteren van het betrouwbaarheidsniveau en het gebruiksgemak van DigiD is de invoering van een multi-middelensysteem, waarbij burgers de keuze hebben uit ten minste meerdere publieke authenticatiemiddelen (zoals het DigiD, rijbewijs of paspoort) en mogelijk ook één of meerdere private middelen (bijvoorbeeld bankpas) om in te loggen bij publieke digitale diensten die binnen de reikwijdte van de Wet digitale overheid vallen.
De kosten die de overheid maakt samenhangend met het realiseren van publieke identificatiemiddelen en voorzieningen, en het eventueel toelaten van private middelen, worden doorberekend aan de aanbieders van publieke elektronische diensten. Het gaat dan met name om kosten verbonden aan de aansluiting op de routeringsvoorziening en transactiekosten (betalen ‘per authenticatie’).
De Wet digitale overheid is een wetsvoorstel en daarmee nog niet in werking getreden. Wij hebben deze FAQ gebaseerd op de openbaar beschikbare versie van de wet (nog onder de naam wet GDI) van 30 augustus 2017. Onze indruk is dat de Wet digitale overheid zich al in een ver gevorderd stadium bevindt maar er uiteindelijk nog wat anders uit zal zien dan de versie van 30 augustus 2017.
Het wetsvoorstel is op basis van eerdere consultatie (periode december 2016 tot april 2017) aangepast. Op 30 augustus 2017 is het wetsvoorstel en de bijbehorende Memorie van Toelichting voor advies naar de Autoriteit Persoonsgegevens gezonden.
Het wetsvoorstel biedt ook grondslagen voor de verwerking van persoonsgegevens, waaronder het BSN, voor de digitale toegang tot publieke dienstverlening voor burgers en bedrijven. Om die reden is de Autoriteit Persoonsgegevens om advies gevraagd.
De inwerkingtreding van het wetsvoorstel is gepland op 1 januari 2019. Via de wetgevingskalender is de voortgang te volgen (link).
SURF is bezig met het in kaart brengen wat de Wet digitale overheid beschrijft en de impact hiervan op SURF-doelgroep. Er is op dit moment nog geen compleet beeld, wel delen we onze eerste inzichten. Onze focus ligt daarbij initieel op het deel dat over de elektronische authenticatiemiddelen gaat, pas in tweede instantie kijken we naar het onderdeel ‘standaarden’ en overige aspecten van de wet.
We ontwikkelen binnen SURF kennis over de Wet digitale overheid en zetten deze in om de SURF-doelgroep te ondersteunen bij het uitzoeken van vraagstukken die voortkomen uit deze wet. Zo participeren we in het KetenRegieOverleg Hogeronderwijs (KRO-HO) en MBO (KRO-MBO) en onderhouden daarover contacten met onze aangesloten instellingen en partners zoals Studielink, VSNU, Vereniging Hogescholen, Sambo-ICT, DUO en OCW. Via deze FAQ bieden we onze eerste inzichten op de Wet digitale overheid.
Om de informatie-uitwisseling te ondersteunen is een mailinglijst aangemaakt (https://list.surfnet.nl/mailman/listinfo/eidas-wgdi). Indien u interesse heeft in dit onderwerp bent u van harte welkom om u aan te melden. Op deze mailinglijst kunt u ook vragen stellen over de eIDAS-verordening.
Hier hebben we nog geen definitief antwoord op. Wij verwachten dat er mogelijk wel impact is voor de SURF doelgroep die binnen de reikwijdte van de Wet digitale overheid valt (zoals hogescholen,universiteiten en academische ziekenhuizen). Vraag 7 gaat in op welke instellingen uit de SURF-doelgroep vallen onder de Wet digitale overheid.
SURF is bezig met het in kaart brengen wat de Wet digitale overheid beschrijft en de impact hiervan op de SURF-doelgroep. We participeren in het door OCW georganiseerde KetenRegieOverleg Hogeronderwijs (KRO-HO) en onderhouden contacten daarover met onze aangesloten instellingen en met partners zoals Studielink, VSNU, Vereniging Hogescholen, Sambo-ICT, DUO en OCW.
Belangrijke vraag die wij hebben is op welke “online diensten” van de SURF-doelgroep de wet mogelijk van toepassing is. Betreft het alleen de online diensten van onderwijsintsellingen waarin het BSN wordt gebruikt, of is het breder? Zie daartoe ook vraag 9. Van de overheid hebben we (nog) geen pasklaar antwoord gekregen. Tijdens het KRO-HO van 12 oktober 2017 is daarom besloten dat onder leiding van het ministerie van OCW directie Kennis, de nog openstaande vragen worden geformuleerd en (voor zover mogelijk) worden beantwoord op 30 november. SURF is gevraagd deel te nemen aan deze inventarisatie.
De reikwijdte van de Wet digitale overheid staat beschreven in artikel 3. Onder de Wet digitale overheid vallen zogenaamde ‘A-bestuursorganen’: organen van rechtspersonen die krachtens publiekrecht zijn ingesteld. De tien publiekrechtelijke universiteiten vallen hieronder.
Daarnaast maakt de wet het mogelijk categorieën van organisaties aan te wijzen die daarmee ook onder de reikwijdte van de wet komen (artikel 3 lid 2). De instellingen voor hoger onderwijs zijn in de concept Wet digitale overheid aangewezen (zie bijlage bij de wet, helemaal onderaan de wetstekst). Het gaat daarbij om organisaties die bachelor- en masteropleidingen aanbieden in het wetenschappelijk onderwijs en hoger beroepsonderwijs. Dit zijn dus alle hogescholen en de overige (niet-publiekrechtelijke) universiteiten.
Ook de academische ziekenhuizen uit de SURF-doelgroep vallen binnen de reikwijdte van de Wet digitale overheid, omdat zij vallen onder de categorie van ‘zorgaanbieders die vallen onder de Wet gebruik burgerservicenummer in de zorg’.
We zijn nog bezig uit te zoeken welke andere organisaties uit de SURF-doelgroep onder de reikwijdte van de Wet digitale overheid vallen.
Vanuit het belang van het faciliteren van burgers en bedrijven en het belang van een veilige en betrouwbare authenticatieketen, regelt de Wet digitale overheid om bij elektronische dienstverlening de toegelaten identificatiemiddelen, erkende middelen en de bij de Europese Commissie genotificeerde middelen verplicht te (moeten) accepteren (‘acceptatieplicht’).
Zonder wettelijke regeling zouden publieke dienstverleners namelijk zelf kunnen bepalen welke identificatiemiddelen zij accepteren. In dat geval zou niet geborgd zijn dat burgers en bedrijven met één of enkele middelen bij alle publieke dienstverleners terecht kunnen, wat de (wild)groei van hun digitale sleutelbos tot gevolg kan hebben.
Vanuit het perspectief van de dienstverlener ontstaat daarbij de vraag of een organisatie kan worden uitgezonderd van de acceptatieplicht van de Wet digitale overheid?
De wet beschrijft daar twee situaties voor:
a) De organisatie wordt buiten de reikwijdte van de wet geplaatst;
b) Er wordt een uitzondering gemaakt voor betreffende organisatie.
A Buiten reikwijdte plaatsen
De wet biedt handvatten om aangewezen organisaties bij Algemene Maatregel van Bestuur uit de bijlage te verwijderen. Deze worden zodoende buiten de reikwijdte van de Wet digitale overheid geplaatst voor het verplicht accepteren van de door de Wet digitale overheid erkende identificatiemiddelen (zie Artikel 3 lid 4). A-bestuursorganen kunnen niet buiten de reikwijdte van de Wet digitale overheid geplaatst worden.
B Als uitzondering aanmerken
Het is mogelijk een organisatie onder voorwaarden en volgens bij ministeriële regeling te stellen regels voor een welbepaalde doelgroep af te wijken van de verplichte acceptatie van de door de Wet digitale overheid toegelaten middelen. (zie Artikel 6 lid 2).
In de MvT wordt echter duidelijk gemaakt dat de wetgever terughoudend zal zijn in het creëren van (algemene) uitzonderingen: “Het bepaalde moet terughoudend worden toegepast; er wordt geen algemene ontsnappingsmogelijkheid geboden voor bestuursorganen en aangewezen organisaties die de acceptatieplicht in het eerste lid bezwaarlijk vinden.” (MvT p 48 bij artikel 6 lid 3).
Consequenties
Wij hebben op dit moment geen totaalbeeld van de consequenties die er zijn wanneer een organisatie niet langer onder de reikwijdte van de Wet digitale overheid valt, laat staan de doorwerking daarvan binnen de organisatie (en daarmee de wenselijkheid).
Wel kunnen we concluderen dat één van de consequenties is, dat organisaties die niet onder de reikwijdte van de Wet digitale overheid vallen, niet langer online via een authenticatie een BSN kunnen krijgen doordat ze geen gebruik meer mogen maken van DigiD of een toegelaten privaat authenticatiemiddel dat het BSN beschikbaar stelt (zie MvT 3.4 pagina 13).
De acceptatieplicht die in de Wet digitale overheid is beschreven, geldt voor A-bestuursorganen en aangewezen organisaties alleen indien sprake is van “publieke (elektronische) diensten door een bestuursorgaan aan natuurlijke personen of rechtspersonen”. Het gaat daarbij om het verplicht accepteren van de door de Wet digitale overheid erkende identificatiemiddelen voor burgers (bijvoorbeeld DigiD) en rechtspersonen (bijvoorbeeld eHerkenning).
De wet definieert daarbij elektronische dienstverlening als: “verlening van elektronische diensten door een bestuursorgaan als bedoeld in artikel 1:1, eerste lid, onderdeel a, van de Algemene wet bestuursrecht of aangewezen organisatie aan natuurlijke personen of rechtspersonen, waarvoor ingevolge artikel 4, eerste lid, authenticatie op betrouwbaarheidsniveau substantieel of hoog vereist is” (zie Artikel 1).
De memorie van toelichting licht toe dat het begrip ‘diensten’ breed dient te worden uitgelegd en “ziet op de hele taakuitoefening van het bestuursorgaan, mits het gaat om taakuitoefening in direct verkeer met een natuurlijk persoon of rechtspersoon” (zie MvT 3.3 pagina 12). Het gaat daarbij om diensten die voor de toegang een betrouwbaarheidsniveau Substantieel of Hoog vereisen.
De memorie geeft daarbij ook een aantal uitzonderingen aan van het soort dienstverlening waarbij de acceptatieplicht niet van toepassing is. We interpreteren de acceptatieplicht voor diensten als volgt:
wel voor diensten aan natuurlijke personen en rechtspersonen;
niet voor diensten gericht op interne processen door medewerkers (bijvoorbeeld de (elektronische) toegang van personeel tot bepaalde informatie, dan wel tot zijn eigen personeelsdossier);
niet voor diensten tussen bestuursorganen of aangewezen organisaties onderling;
niet voor diensten binnen gesloten systemen waarbij er een welbepaalde groep deelnemers is (bijvoorbeeld zakelijke diensten aan vaste ketenpartners);
niet voor privaatrechtelijke rechtsverhoudingen.
Wij zijn er nog niet uit hoe dit dient te worden vertaald naar de dienstverlening door de SURF doelgroep. Kortom: om welke diensten het dan exact gaat die (wel) onder de acceptatieplicht vallen.
Van de overheid hebben we (nog) geen pasklaar antwoord gekregen. Tijdens het KRO-HO overleg van 12 oktober 2017 is daarom besloten dat onder leiding van het ministerie van OCW directie Kennis, de nog openstaande vragen worden geformuleerd en worden beantwoord op 30 november. SURF is gevraagd deel te nemen aan deze inventarisatie.
SURF heeft op dit moment geen compleet beeld hoe onderwijsinstellingen de komst van de Wet digitale overheid benaderen of zich daar op voorbereiden.
Naar aanleiding van de eIDAS-verordening hebben we met universiteiten gesproken (link). In dat overleg is ook kort de Wet digitale overheid aangestipt. Het bleek dat een aantal universiteiten ook al naar de Wet digitale overheid kijkt. Of en op welke wijze hogescholen met de Wet digitale overheid bezig zijn is nog niet bekend. Ook van andere organisaties uit de SURF doelgroep is ons nog niet bekend of het vraagstuk daar al speelt.
Mocht u of een collega bezig zijn met het vraagstuk van de Wet digitale overheid, laat het ons dan vooral weten.
Europese Verordeningen bevatten regels die direct gelden in alle lidstaten van de Europese Unie. Dit wordt 'rechtstreekse werking' genoemd. Verordeningen hebben daarmee een vergelijkbare status als nationale wetten in de lidstaten, maar in geval van strijdigheid gaat de verordening boven de nationale wet.
Het wetsvoorstel Digitale Overheid bevat regels voor de toegang door burgers en bedrijven tot elektronische diensten van publieke dienstverleners in Nederland. Voor grensoverschrijdende elektronische authenticatie door burgers en bedrijven gelden rechtstreeks werkende (minimum-) eisen die bij en krachtens de eIDAS-verordening zijn gesteld.
De Wet digitale overheid bouwt voort op het eIDAS-raamwerk. Dit is bijvoorbeeld te zien aan de eisen die in de Wet digitale overheid worden gesteld aan bijvoorbeeld de betrouwbaarheid van elektronische identificatiemiddelen en uitgifteprocessen op de betrouwbaarheidsniveaus laag, substantieel en hoog. Om redenen van veiligheid en betrouwbaarheid, maar ook om grensoverschrijdend gebruik mogelijk te maken, vormen deze eisen tevens de basis voor regulering van nationale publieke diensten en de elektronische toegang daartoe.
Ook over de eIDAS-verordening heeft SURF een FAQ opgesteld (link).
Betrouwbaarheidsniveaus geven aan op welk niveau de identiteit van gebruikers is vastgesteld. Er bestaan (formele en informele) standaarden die de betrouwbaarheid van een identiteit opdelen in discrete niveaus [NIST, STORK, ISO29115, eIDAS]. In deze standaarden wordt de betekenis van de verschillende niveaus beschreven in algemene termen.
Het betrouwbaarheidsniveau wordt bepaald door enerzijds de kwaliteit van de processen waarmee de identiteit geverifieerd en uitgeleverd wordt en anderzijds de techniek waarmee de authenticatie plaatsvindt (het “authenticatiemiddel).
De Wet digitale overheid bouwt voort op het eIDAS-raamwerk en stelt eisen aan de betrouwbaarheid van elektronische identificatiemiddelen en uitgifteprocessen op de betrouwbaarheidsniveaus laag, substantieel en hoog binnen de kaders die eIDAS stelt. De eIDAS betrouwbaarheidsniveaus (link) worden daarmee de de facto standaard om de betrouwbaarheid van een vastgestelde identiteit in uit te drukken.
De Wet digitale overheid verplicht de organisaties die vallen binnen de reikwijdte van de wet “voor hun elektronische diensten waarvoor, gelet op de aard ervan, veilige toegang in de rede ligt, het betrouwbaarheidsniveau substantieel (inclusief ‘twee factor authenticatie’) of hoog te gebruiken.”
Om het betrouwbaarheidsniveau van een dienst te kunnen bepalen komt er een verplichtend kader met regels. Deze regels zullen gebaseerd worden op de Handreiking Betrouwbaarheidsniveaus van Forum Standaardisatie (link).
In 2014 publiceerde SURFnet “Een handreiking betrouwbaarheidsniveaus voor dienstverleners in het hoger onderwijs & onderzoek” (link).
Het Forum Standaardisatie heeft als doel interoperabiliteit en leveranciersonafhankelijkheid te bevorderen via het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Zij is beheerder van de 'pas toe of leg uit' lijst (link): de lijst met via de Wet digitale overheid verplichte standaarden.
Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. De leden worden benoemd door het Ministerie van Economische Zaken.
Ook vanuit SURF is er vertegenwoordiging binnen het Forum in de persoon van Floor Jas. Daarnaast wordt vanuit SURF ook regelmatig expertise ingebracht over standaarden, voorbeelden zijn: SAML, OIDC, DNSSEC, OAuth, SSL/TLS of IPv6.
Het Forum Standaardisatie heeft een handreiking voor overheidsorganisaties ontwikkeld onder de titel ‘Betrouwbaarheidsniveaus voor digitale dienstverlening’. Deze handreiking zal mede als basis dienen voor de op te stellen ministeriële regeling die bepaalt op grond van welke eisen het betrouwbaarheidsniveau voor een onlinedienst moet worden vastgesteld.
