Naar een versterkt DigiD voor berichtenverkeer met de overheid

In het eerste BANNING Bulletin van dit jaar berichtten wij over het Concept voorstel Wet Generieke Digitale Infrastructuur (Wet GDI). De planning is om het wetsvoorstel eind 2017 voor advies naar de Raad van State te sturen zodat de behandeling in de Tweede en Eerste Kamer plaats kan vinden in 2018. Vanaf 1 oktober 2018 zou de wet gefaseerd in werking moeten treden.
Deze wet beoogt een betrouwbare toegang van burgers en ondernemingen tot elektronische dienstverlening van Nederlandse bestuursorganen en aangewezen private organisaties (zoals pensioenuitvoerders en zorgverzekeraars) te waarborgen. Om dat mogelijk te maken zal de Nederlandse overheid publieke authenticatiemiddelen ter beschikking stellen. Daarnaast zullen er erkende private authenticatiemiddelen kunnen worden gebruikt om toegang te krijgen tot publieke elektronische dienstverlening.

Nederlandse regelgeving

Vooruitlopend op de inwerkingtreding van de Wet GDI heeft de toenmalige minister van Binnenlandse Zaken op 23 oktober 2015 de Regeling voorzieningen GDI vastgesteld. De wettelijke grondslag van deze regeling is art. X van de Wet elektronisch berichtenverkeer belastingdienst, dat de Minister van Binnenlandse Zaken opdraagt om zorg te dragen voor onder meer de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van voorzieningen voor elektronische authenticatie. Je zou kunnen zeggen een voorlopige wettelijke kapstok totdat de Wet GDI als kapstok kan dienen.

De regeling voorzieningen GDI gaat onder meer over de DigiD-voorziening. Dat is de voorziening voor elektronische authenticatie en voor uitgifte van elektronische authenticatiemiddelen, welke voorziening bereikbaar is via het webadres www.digid.nl. Het elektronisch authenticatiemiddel is de bekende DigiD, waarmee toegang kan worden gekregen tot elektronische dienstverlening, zoals elektronische aangifte van belastingen of de aanvraag van een pensioenuitkering bij een pensioenfonds.

Europese regelgeving

Het Nederlandse initiatief met betrekking tot de DigiD kan worden geplaatst in het kader van Europese regelgeving. Basis daarvan is de Europese Verordening (EU) Nr. 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt, ook wel de eIDAS verordening genoemd. Die verordening ziet niet alleen op het elektronisch berichtenverkeer tussen consumenten en bedrijven, maar ook op het elektronisch berichtenverkeer tussen burgers en de overheid (C2A) en tussen bedrijven en de overheid (B2A). De verordening heeft tot doel om “het vertrouwen in elektronische transacties in de interne markt te vergroten door te voorzien in een gemeenschappelijke grondslag voor veilige elektronische interactie tussen burgers, bedrijven en overheden en bijgevolg ook de doeltreffendheid van publieke en private onlinediensten, e-business en elektronische handel te verhogen.”

Het doel van de verordening wordt onder meer bereikt door regels te stellen met betrekking tot stelsels voor elektronische identificatie, zoals de DigiD-voorziening, maar ook private stelsels die voorzien in de uitgifte van elektronische identificatiemiddelen die door die lidstaat worden erkend. Lidstaten kunnen dergelijke stelsels voor elektronische identificatie aanmelden bij de Europese Commissie, mits is voldaan aan de voorwaarden van art. 7 van de verordening. De Europese Commissie plaatst een aangemeld stelsel voor elektronische identificatie op een lijst van aangemelde stelsels en publiceert die lijst in het Publicatieblad van de EU.

Bij de aanmelding moet de lidstaat aangeven welk betrouwbaarheidsniveau het aangemelde stelsel voor elektronische identificatie heeft. Art. 8 eIDAS verordening onderscheidt drie niveaus van betrouwbaarheid. De drie niveaus zijn laag, substantieel en hoog. Het niveau van een stelsel is afhankelijk van (i) de mate van vertrouwen in iemands opgegeven of beweerde identiteit die de elektronische identificatiemiddelen bieden en (ii) de technische specificaties, normen en procedures die onder meer tot doel hebben om het risico van misbruik of wijziging van identiteit te verkleinen. Op grond van art. 8 eIDAS heeft de Europese Commissie op 8 september 2015 Uitvoeringsverordening (EU) 2015/1502 vastgesteld met in de bijlage een nadere uitwerking van de minimale eisen waaraan een stelsel voor elektronische identificatie moet voldoen om te kwalificeren als laag, substantieel of hoog.

Aanmelding van een stelsel voor elektronische identificatie heeft als voordeel dat het elektronisch identificatiemiddel dat is uitgegeven in het kader van het aangemelde stelsel op grond van art. 5 van de verordening in de andere lidstaten dient te worden erkend. Dat zou bijvoorbeeld inhouden dat een Nederlandse burger zijn DigiD ook kan gebruiken om in een andere lidstaat een publieke dienst af te nemen.

De Regeling voorzieningen GDI is per 1 november gewijzigd (Staatscourant 2017, Nr. 59901). Deze wijziging houdt verband met de invoering van een publiek middel voor de toegang tot publieke elektronische dienstverlening op een hoger betrouwbaarheidsniveau. Dat wil zeggen een hoger betrouwbaarheidsniveau dan het huidige DIgiD. De wijziging betreft de aanduiding van de kring van rechthebbenden en de aanvraagprocedure.

Kring van rechthebbenden

De gewijzigde regeling kent voor DigiD twee betrouwbaarheidsniveaus: laag en hoog. Een DigiD met betrouwbaarheidsniveau laag kan – kort gezegd – worden aangevraagd door iedereen die beschikt over een BSN nummer. Wie kunnen een DigiD op een hoger betrouwbaarheidsniveau (hierna: versterkt DigiD) aanvragen? Iedereen die beschikt over een Nederlands rijbewijs, een Nederlands paspoort of een Nederlandse identiteitskaart (NIK) met een NFC-chip (NFC = Near Field Communication). Rijbewijzen die zijn uitgegeven na 14 november 2014 zijn voorzien van een NFC-chip. Hetzelfde geldt voor ieder paspoort en iedere NIk uitgegeven sinds 2006.

Aanvraagprocedure versterkt DigiD

De aanvrager van een versterkt DigiD dient te beschikken over een smartphone of een tablet met een NFC-app, die is opengesteld voor communicatie met de NFC-chip van het identiteitsdocument. De aanvrager houdt het identiteitsdocument bij het mobiele apparaat. De NFC-app op het mobiele apparaat zorgt ervoor dat de relevante gegevens opgeslagen in de NFC-chip van het identiteitsdocument worden uitgelezen en dat zij worden geverifieerd aan de hand van de gegevens uit de basisregistratie of het rijbewijsregister. Deze verificatie is een onderdeel van het aanvraagproces en heeft tot doel om de kans te verkleinen dat de aanvrager van een versterkt DigiD niet is wie hij beweert te zijn. Dit alles vanuit de gedachte dat de procedure voor de aanvraag van het identiteitsdocument zodanig is ingericht dat de kans klein is dat het document wordt uitgegeven aan iemand die een ander is dan wie hij/zij beweert te zijn.

Toepassing versterkt DigiD

Verwacht mag worden dat voor toegang tot bepaalde publieke dienstverlening in Nederland vereist zal worden dat degene die toegang wil, zich identificeert met een versterkt DigiD.

Toekomst

Het is de bedoeling dat het versterkt DigiD in de toekomst zal voldoen aan de eisen die in de Uitvoeringsverordening van de Europese Commissie (zie hierboven) worden gesteld aan een betrouwbaarheidsniveau substantieel. Als aan deze eisen is voldaan, zal Nederland het stelsel van versterkt DigiD aanmelden bij de Europese Commissie als een stelsel voor elektronische identificatie met betrouwbaarheidsniveau substantieel. Hierna kan het versterkt DigiD ook worden gebruikt voor toegang tot publieke dienstverlening in andere lidstaten waarvoor de betreffende lidstaat ten minste een identificatiemiddel met betrouwbaarheidsniveau substantieel heeft voorgeschreven.

Heeft u hier vragen over? Neem dan gerust contact op met Rob van Esch.