Concept voorstel Wet Generieke Digitale Infrastructuur: toegang tot elektronische publieke dienstverlening

dinsdag, 3 januari 2017

Het ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) heeft een concept voorstel voor de Wet generieke digitale infrastructuur (Wet GDI) op internet gepubliceerd. Deze wet beoogt een betrouwbare toegang van burgers en ondernemingen tot elektronische dienstverlening van Nederlandse bestuursorganen en aangewezen private organisaties (zoals pensioenuitvoerders en zorgverzekeraars) te waarborgen. De wet is niet alleen van belang voor bestuursorganen en aangewezen organisaties, maar ook bijvoorbeeld voor ondernemingen die betrokken zijn bij het verlenen van een van de diensten waarover de wet gaat (zie hieronder). Het ministerie nodigt iedereen uit om voor 31 maart 2017 op dit voorstel te reageren. Reacties kunnen worden verstuurd via https://www.internetconsultatie.nl/wetgdi.

Acceptatieplicht
Op grond van de wet zullen publieke dienstverleners (bestuursorganen en aangewezen private organisaties) elektronische communicatie met burgers en ondernemingen met behulp van erkende diensten en erkende authenticatiemiddelen moeten accepteren. Dat is nu nog niet het geval.

Diensten
De wet onderscheidt de volgende diensten: (i) authenticatiediensten, (ii) machtigingsdiensten, (iii) attributendiensten en (iv) ontsluitende diensten. Samen worden zij de authenticatieketen genoemd.
De authenticatiedienstverlener verifieert de identiteit van de burger of de onderneming en geeft het resultaat daarvan door aan de publieke dienstverlener. De machtigingsdienstverlener geeft elektronische verklaringen af waaruit blijkt dat iemand gemachtigd is namens een ander te handelen met de publieke dienstverlener. De attributendienstverlener geeft elektronische verklaringen af over een eigenschap van een burger of een onderneming, zoals de leeftijd van een persoon. De verlener van ontsluitende diensten zorgt ervoor dat de communicatie tussen een publieke dienstverlener enerzijds en een authenticatiedienst, machtigingsdienst of attributendienst anderzijds goed verloopt.
De betreffende dienstverleners kunnen door de minister van BZK worden erkend. Uit de wet volgt dat publieke dienstverleners aan burgers en ondernemingen uitsluitend toegang zullen verschaffen tot hun elektronische dienstverlening als zij gebruik maken van een erkende dienst.

Middelen
Voor het verlenen van toegang tot elektronische publieke dienstverlening worden elektronische authenticatiemiddelen gebruikt. De Wet GDI zal een onderscheid maken in publieke middelen en private middelen.
Publieke authenticatiemiddelen worden uitgegeven door de overheid. Dat zullen voor burgers worden (i) de e-NIK (Nederlands Identificatie Kaart), (ii) het e-rijbewijs en (iii) DigiD Substantieel. Daarvoor zullen de identiteitskaart en het rijbewijs worden voorzien van een chip, die in combinatie met een kaartlezer en bijvoorbeeld pincode kan worden gebruikt om de identiteit te verifiëren. Bij de Digid Substantieel wordt gebruik gemaakt van de huidige DigiD en een e-NIK of een e-rijbewijs.
Voor de identificatie van ondernemingen is een apart systeem opgezet, dat e-Herkenning wordt genoemd. Aan de authenticatiemiddelen die in e-Herkenning mogen worden gebruikt, zullen dezelfde eisen worden gesteld als aan de middelen voor burgers. Belangrijk verschil is dat het middel voor burgers zal zijn gekoppeld aan het BSN terwijl het middel voor ondernemingen zal zijn gekoppeld aan het KvK- of RSIN-nummer. Erkende publieke authenticatiemiddelen zullen uitsluitend gebruikt mogen worden voor de toegang tot elektronische dienstverlening van publieke dienstverleners.
Private authenticatiemiddelen worden uitgegeven door private instellingen. Dat zou bijvoorbeeld een financiële onderneming als een bank kunnen zijn. Voor private authenticatiemiddelen geldt anders dan voor publiek middelen niet dat zij uitsluitend mogen worden gebruikt voor de toegang tot elektronische dienstverlening van publieke dienstverleners.
De Wet GDI bevat geen verbod tot het uitgeven van andere authenticatiemiddelen dan erkende publieke of private middelen. Wel bepaalt de wet dat publieke dienstverleners aan burgers en ondernemingen uitsluitend toegang zullen verschaffen tot hun elektronische dienstverlening als zij gebruik maken van een erkend authenticatiemiddel.
Het is de bedoeling dat een burger of een onderneming die toegang wil tot een elektronische publieke dienstverlening, kan kiezen uit meer dan één authenticatiemiddel. Dit wordt de multimiddelenaanpak genoemd.

Erkenning
Authenticatiediensten, machtigingsdiensten, attributendiensten of ontsluitende diensten en authenticatiemiddelen komen alleen in aanmerking voor erkenning door de minister van BZK als zij aan bepaalde eisen met betrekking tot de werking, beveiliging en betrouwbaarheid voldoen. Om aan te tonen dat aan deze eisen wordt voldaan, zal een verklaring van een certificerende instelling bij de aanvraag voor erkenning dienen te worden overgelegd. De certificerende instelling dient te zijn geaccrediteerd door de Raad van Accreditatie.
De eisen die worden gesteld aan diensten en middelen, kunnen verschillen per publieke dienst. Aan de aanvraag voor een persoonsgebonden budget kunnen bijvoorbeeld andere eisen worden gesteld dan aan de belastingaangifte.
Aan een erkenning kunnen voorschriften en beperkingen worden verbonden.
Een erkenning kan worden geschorst of ingetrokken als niet meer wordt voldaan aan de eisen voor erkenning of aan de voorschriften of beperkingen verbonden aan de erkenning.

Toezicht
De minister wijst ambtenaren aan die erop toezien dat erkende dienstverleners en erkende middelen voldoen aan de eisen die daaraan worden gesteld en dat voorschriften en beperkingen verbonden aan een erkenning worden nageleefd. Als toezichthouders zullen waarschijnlijk de ambtenaren van het Agentschap Telecom worden aangewezen.

Melding incidenten
Erkende dienstverleners en de minister van BZK zullen de toezichthouder binnen 24 uur nadat zij daarvan op de hoogte zijn geraakt, in kennis moeten stellen van een veiligheidsinbreuk of een integriteitsverlies met aanzienlijke gevolgen voor de veilige en betrouwbare toegang tot elektronische publieke dienstverlening.
Zij moeten ook aan de minister desgevraagd alle informatie verstrekken die hij nodig heeft om compromittering van de veilige en betrouwbare toegang tot elektronische dienstverlening te voorkomen of te beëindigen.

Eisen aan publieke dienstverleners
Publieke dienstverleners zullen moeten voldoen aan de eisen die bij algemene maatregel van bestuur worden gesteld met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische dienstverlening.

Misbruik
De wet bevat instrumenten die het risico van misbruik zoals hacken, DDoS aanvallen of identiteitsfraude kunnen verminderen of wegnemen. Het  gebruik van bijvoorbeeld een gestolen authenticatiemiddel kan tijdelijk of blijvend worden geblokkeerd. Ook kan in voorkomende gevallen, zoals in geval van hacking, een gehele dienst (tijdelijk) worden geblokkeerd.

Privacy
Bij algemene maatregel van bestuur zullen regels worden gesteld met betrekking tot de verwerking van persoonsgegevens door erkende private dienstverleners, de minister van BZK, overheidsorganen en aangewezen organisaties in het kader van de uitvoering van de diensten of de wettelijke taken en verplichtingen.