21 maart 2023 werd de Wet digitale overheid aangenomen door de Eerste Kamer. Er is 9 jaar hard aan gewerkt. Wat levert deze wet op, en wat ging er allemaal aan vooraf? “Het is een onverminderd actuele en toekomstbestendige wet.”
Even voorstellen
- Hetty Lucassen is MT-lid/plv. directeur van de directie Digitale Overheid bij het ministerie van BZK, het cluster Wdo hoort bij haar afdeling. Zij vertelt over wat de wet oplevert.
- Barbera Veltkamp is coördinerend wetgevingsjurist bij de centrale wetgevingsdirectie.
- Wouter Diephuis is beleidsjurist in het beleidscluster Wdo. Daarvoor was hij betrokken bij de wet vanuit Logius.
Veltkamp en Diephuis vertellen meer over de totstandkoming van de wet.
3 april 2023 was een bijzondere dag. Toen zagen ze het eerst de wet in het echt. Want hoewel de wet gaat over de digitale overheid, is de officiële wet een grote stapel geschept papier, met een ‘natte handtekening’ van de koning. Een mooi moment, vertelt Hetty Lucassen: “Alles gaat digitaal, zo’n papieren wet ziet bijna niemand meer. Wij op het ministerie zien het, en dan gaat het gelijk het archief in.”
“Een basis met rechten en waarborgen”
Na bijna 9 jaar werk is de wet nu een feit. ‘Eindelijk’, klinkt het in de omgeving, vertelt Lucassen: “We horen veel positieve geluiden. Privacy-organisaties zijn bijvoorbeeld blij met deze wet. Van collega’s van VWS kregen we zelfs taart aangeboden omdat de wet erdoor is.”
Wat is de Wdo en wat verandert erdoor? “De Wdo is de eerste wet die gaat over de digitale overheid. Ze legt een basis, bijvoorbeeld met rechten en waarborgen als veiligheid en privacy waaraan digitale dienstverlening van de overheid voor burgers en bedrijven moet voldoen.” Voor Hetty Lucassen is dat één van de belangrijkste dingen van de wet. “Denk aan de middelen waarmee je inlogt bij de digitale overheid. En de eisen waaraan websites moeten voldoen, zodat ze toegankelijk zijn voor iedereen.”
Veiliger
Wat burgers gaan merken van die nieuwe wet is vooral meer veiligheid, vertelt ze. “Overheidsorganisaties gaan voor hun diensten bepalen op welk betrouwbaarheidsniveau je kunt inloggen. Gebruikersnaam en wachtwoord is niet veilig genoeg, je wilt minimaal 2-factorauthenticatie toepassen.” Dat dat voor bepaalde burgers moeilijk kan zijn, snapt ze. “Maar het is echt nodig om het voor iedereen veilig te houden. We gaan mensen daar ook bij helpen. Met deze wet is bijvoorbeeld ook machtigen mogelijk , zodat je een ander kunt vragen zaken bij de overheid voor je te regelen. En burgers kunnen hulp krijgen bij inloggen op een hoger betrouwbaarheidsniveau, bijvoorbeeld op één van de informatiepunten Digitale Overheid bij bibliotheken en gemeenten.”
Wat er ook verandert: burgers en bedrijven krijgen straks een keuze naast DigiD. “Private partijen mogen ook inlogmiddelen maken. Bovendien, als private middelen zijn goedgekeurd, kun je die zowel in het private als het publieke domein gebruiken. Die partijen moeten aan strenge eisen voldoen, en daar komt toezicht op.”
Een bijzondere samenwerking
Barbera Veltkamp, Wouter Diephuis en Odette Bies zijn van het begin af aan betrokken geweest bij het maken van de wet. Veltkamp vanuit de directie Constitutionele zaken en wetgeving, Diephuis en Bies eerst als juristen bij uitvoerder Logius en daarna bij BZK op het grensvlak tussen beleid, uitvoering en wetgeving’.
Digitale sleutelbos
De oorspronkelijke opdracht was: ‘Zorg dat er keuze is voor burgers, dat er een alternatief is voor DigiD. En dat burgers met hun gekozen middel overal terecht kunnen.’ Doel is dat burgers minder verschillende codes hoeven te onthouden. De Wdo heeft een echt dienstverleningsperspectief”, zegt Diephuis. “Dat alternatief moest bij voorkeur privaat zijn, zodat het aansloot bij ontwikkelingen in de markt en innovatie”, vult Veltkamp aan. “De wet was bovendien nodig om de gemeenschappelijke digitale infrastructuur een basis te geven en van waarborgen te voorzien. De GDI was gegroeid vanuit de praktijk.”
Eén woord kan verschil maken
Veltkamp was het hele traject penvoerder van de wet. “Elke letter van de wet en de toelichting is langs mijn bureau
geweest. Datzelfde geldt voor een groot deel van de uitvoeringsregelgeving; de ministeriële regelingen en AMvB’s.”
Diephuis heeft vanuit de achtergrond in de uitvoering naast juridische ook technische affiniteit. “Ik vind het leuk om uit te pluizen hoe de techniek echt werkt. Techniek is belangrijk bij deze wet. Als je niet weet wat er daarin gebeurt en nodig is, kun je ook de wet- en regelgeving niet goed formuleren.” Het luistert allemaal nauw. “Eén woord veranderen in de wet kan een wereld van verschil maken in de uitvoering. Andersom kunnen technische inrichtingskeuzes grote invloed hebben op beleid- en de naleving wetgeving ”. De uitdaging blijft om die werelden aan elkaar te knopen en waar mogelijk ruimte te bieden. “In de wet staat bijvoorbeeld niet DigiD, maar ‘een inlogmiddel’. Je wilt je in de toekomst niet beperken tot DigiD, daarom helpt het om functionele omschrijvingen te gebruiken. De wet gaat over functies, rechten en waarborgen. Je wil voorkomen dat als de techniek erg verandert, dan ineens die waarborgen niet meer gelden. “
De verschillende namen van de Wdo
- 2014 start van 2 trajecten: de Wet Elektronisch zakendoen voor bedrijven (vanuit EZ) en Wet elektronisch zakendoen voor burgers (BZK);
- 2016: voortaan gaan de 2 trajecten verder in één wet: de Wet generieke digitale infrastructuur (Wet GDI). Dit gebeurde nadat de beleidsverantwoordelijkheid voor digitaal zakendoen voor bedrijven naar BZK overging;
- 2017: Wet GDI wordt Wet digitale overheid, omdat die naam beter past bij de ambities van het nieuwe kabinet voor de verdere digitalisering van het openbaar bestuur.
Toekomstbestendig
“Belangrijk aspect van deze wet is dat deze toekomstbestendig is. De wet moet nieuwe ontwikkelingen kunnen opvangen”, zegt Veltkamp. Ze licht toe: “Naast het gebruik van functionele omschrijvingen, staan in de wet alleen de hoofdnormen. In de lagere regelgeving (die sneller tot stand kan komen) worden de details vastgelegd. Dan ben je flexibeler, en kun je sneller inspelen op veranderingen.”
Diephuis vult aan: “De Wdo kan bovendien innovaties faciliteren en daar regels aan stellen. Anders gezegd: de wet bevat een mogelijkheid om verantwoord te experimenteren.” Hij geeft een voorbeeld: “Bij een nieuwe inlogmethode die nog niet beproefd is, bestaat de mogelijkheid om deze te testen. Die testomgeving kun je op een verantwoorde manier opzetten, bijvoorbeeld door een beperking in het aantal gebruikers of het aantal diensten. Zo geef je deze nieuwe ontwikkelingen een kans, en houd je grip op de waarborgen voor burgers.”
Bijzonder
Bijzonder aan deze wet was de intensieve samenwerking op basis van gelijkwaardigheid tussen uitvoering, beleid, wetgeving en medeoverheden. “Aan de voorkant samenwerken heeft heel goed uitgepakt. Het heeft voor vertrouwen en draagvlak gezorgd”, zegt Veltkamp. “Beleid, wetgeving en uitvoering hebben elkaar het hele proces goed vastgehouden. Dat is ook nodig bij een wet die zo belangrijk is voor de technische uitvoering. Uitvoeringsorganisaties waren vanaf het begin betrokken.” Er was een flinke ‘governance’ opgetuigd om te zorgen dat partijen konden meepraten en meebeslissen, maar dat leverde ook wat op, ziet ze. “De wet en het proces werden aanvankelijk door betrokkenen als ‘megalomaan’ en ‘gedoe’ bestempeld. Nu is men blij; ruime betrokkenheid zorgt voor een effectieve en werkbare wet”.
Zo uitvoerbaar mogelijk
“We hebben er alles aan gedaan om het voor uitvoeringsorganisaties en mede-overheden zo uitvoerbaar mogelijk te maken’, zegt Diephuis. “We begrijpen dat overheden niet allemaal in één keer de omschakeling kunnen maken. Dat zie je bijvoorbeeld terug in hulpmiddelen die we aanbieden, zoals de regelhulp voor overheden om de betrouwbaarheidsniveaus te bepalen en de mogelijkheden van de wet voor gefaseerde ingroei (stapsgewijs aansluiten, red.), daardoor is implementatie op maat mogelijk. Het kost immers tijd om de systemen aan te passen.” Lucassen vult aan: “Organisaties kiezen zelf wanneer ze precies aansluiten, en dat is ergens tussen 2024 en 2026.”
Voorbereid zijn
Markante momenten
In die 9 jaar is er veel gebeurd. Exceptioneel lang voor een wet, vertellen Veltkamp en Diephuis. Ze stelden een top 4 op van belangrijke momenten in de totstandkoming van de wet.
‘Markt opengooien’
Veltkamp begint: “Al aan het begin van het parlementaire traject moesten we een nota van wijziging opstellen. Na signalen van de Tweede Kamer zijn we op verzoek van staatssecretaris Knops overgegaan van een aanbestedingstraject van private middelen, naar een systeem van open toelating. Zeg maar een vergunningsstelsel. Met strenge eisen; als private aanbieders van inlogmiddelen aan de eisen voldoen, worden ze toegelaten en mogen deze middelen door burgers en bedrijven worden gebruikt.” Het handige aan private middelen is dat ze niet alleen binnen de overheid kunnen worden toegepast, maar ook bij bijvoorbeeld webwinkels. Zo kunnen burgers ook buiten de overheid gebruik maken van een middel dat gecontroleerd is op privacy en veiligheid.
‘Regie op gegevens invlechten’
Een andere markante ontwikkeling was toen het amendement Middendorp – Verhoeven werd aangenomen, begin 2020, vertelt Veltkamp. “Zij wilden regie op gegevens in het wetsvoorstel opnemen. Daarvan hebben wij gezegd: ‘Dit is zo’n ingrijpend amendement, wij willen daarop een uitvoeringstoets’. We zijn met de uitvoeringsorganisaties bij elkaar gaan zitten en hebben een quick scan gedaan op uitvoerbaarheid. Nadat we output weer bespraken met de kamerleden is het amendement aangepast. Dit onderdeel van de Wdo – regie op gegevens – treedt daardoor niet meteen in werking bij de eerste tranche, maar bij de tweede. Daar werken we het uit in samenhang met andere ontwikkelingen, zoals de wallet.“
Raad van State: ‘Meer toekomstbestendigheid’
Derde markant moment was het advies van de Raad van State. In het kort: ‘Zorg dat de Wdo nog toekomstbestendiger wordt’. Bijzonder, want de Raad van State wijst doorgaans op het belang van waarborgen, rechtszekerheid en duidelijkheid, zegt Veltkamp. “Maar nu adviseerden ze ook om een delegatiebepaling in de wet op te nemen, waarmee je toekomstige onvoorziene omstandigheden kunt opvangen. Dat hadden wij zelf nooit in de wet durven zetten.” Met deze, ruim geformuleerde, delegatiebepaling kun je, als je iets nodig hebt voor de digitale overheid – een voorziening bijvoorbeeld – dat in lagere regelgeving regelen. “Met zo’n bepaling kun je een hele tijd vooruit.”
‘Open source als waarborg’
In de Tweede Kamer en later ook in de Eerste Kamer ontstond discussie over de rol van private inlogmiddelen door de toegenomen invloed van Big Tech, en de risico’s van techniek, vertelt Diephuis. “We moesten daarom extra goed uitleggen waarom we ook private partijen willen toelaten. Door het goede gesprek met de Eerste Kamer is daarom een novelle ingediend. Dat is een wetswijziging terwijl de wet al in de Eerste Kamer ligt. Daarmee zijn belangrijke waarborgen aan de wet toegevoegd, zoals de eis voor ‘open source als waarborg voor privacy en transparantie. Het is belangrijk dat je inlogmiddelen hebt die open source werken, zeker in de privacy-discussie. Door dat de werking van inlogmiddelen transparant wordt, hoeft voor privacybescherming niet alleen uitgegaan te worden van (interne) controles, maar is dat publiekelijk te zien. Dat biedt vertrouwen. Ook op dit punt houdt de Wdo oog voor de praktijk. Er wordt voorzien in een verstandige toegroei van inlogmiddelen naar open source. Zo wordt verzekerd dat burgers en bedrijven ook tijdens die ontwikkeling gebruik kunnen blijven maken van hun inlogmiddelen.