Toegang tot online overheidsdienstverlening
In de Wdo is opgenomen dat een burger of bedrijf, naast DigiD of eHerkenning, gebruik kan maken van andere erkende inlogmiddelen om bij verschillende overheidsdienstverleners in te loggen. Daarmee krijgen burgers en bedrijven meer keuzevrijheid in welk middel zij willen gebruiken om in te loggen bij een publieke dienstverlener.
Het Stelsel Toegang zorgt ervoor dat dienstverleners zo eenvoudig mogelijk kunnen aansluiten op alle erkende inlogmiddelen. Op deze pagina staan antwoorden op een aantal belangrijke juridische en beleidsmatige vragen van publieke dienstverleners. Meer vragen over de opbouw en de realisatie vind je op www.stelseltoegang.pleio.nl.
Wetgeving
1. Wet digitale overheid – wat verandert er voor publieke dienstverleners?
De Wet digitale overheid (Wdo) verplicht publieke dienstverleners om per dienst te bepalen welk betrouwbaarheidsniveau is vereist voor toegang tot hun digitale dienstverlening. Zij accepteren bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ alle door de overheid toegelaten inlogmiddelen. Ook accepteren zij digitale machtigingsverklaringen.
Publieke dienstverleners sluiten zich daarvoor aan op een nieuw Stelsel Toegang. En zijn verplicht de inlogmiddelen die voldoen aan de eisen van de Wdo te accepteren voor hun digitale diensten.
De Wdo bevat daarvoor, naast het regelen van de toegang, ook verplichtingen die belangrijk zijn voor het verlenen van digitale toegang. Zoals het gebruik maken van verplichte standaarden en voldoen aan regels rond informatiebeveiliging.
2. Waarom is een nieuw Stelsel Toegang nodig?
Burgers en bedrijven moeten vanuit de Wdo veilig en betrouwbaar kunnen inloggen bij de (semi-) overheid. Dat betekent dat zij gebruik kunnen maken van elektronische identificatiemiddelen (eID) met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. Bovendien hebben burgers en bedrijven straks een keuze uit meerdere inlogmiddelen.
Aansluiten op het stelsel heeft voordelen voor publieke dienstverleners. Overheidsorganisaties kunnen via 1 aansluitpunt burgers en bedrijven veilig toegang geven tot hun digitale dienstverlening: als dienstverleners zijn aangesloten op het Stelsel Toegang kunnen zij automatisch alle toegelaten middelen accepteren en daarmee voldoen aan de acceptatieplicht. Burgers en bedrijven kunnen zo van alle toegelaten middelen gebruik maken om langs digitale weg diensten af te nemen.
3. Welke publieke dienstverleners vallen onder de Wdo?
a-bestuursorgaan
Een a-bestuursorgaan is ingesteld op basis van publiekrecht. Het gaat om organen van de Staat, provincies en gemeenten, maar ook onder meer om DUO, de Belastingdienst en zelfstandige bestuursorganen zoals de Sociale Verzekeringsbank, de KVK, de RDW en de Huurcommissie.
Rechtelijke instanties
Rechterlijke instanties zijn onafhankelijke en bij wet ingestelde organen die met rechtspraak zijn belast. Het gaat om rechtbanken, gerechtshoven, de Hoge Raad, de Afdeling bestuursrechtspraak van de Raad van State, het College van Beroep voor het bedrijfsleven en de Centrale Raad van Beroep.
Aangewezen organisaties
Zorgverleners, indicatieorganen of zorgverzekeraars die op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, burgerservicenummers (bsn’s) verwerken.
Pensioenuitvoerders volgens artikel 1 van de Pensioenwet en artikel 1 van de Wet verplichte beroepspensioenregeling.
Universiteiten of hbo-instellingen volgens artikel 1.1 onder g van de Wet op het hoger onderwijs en wetenschappelijk onderzoek.
4. Welke machtigingsverklaringen moeten publieke dienstverleners verplicht accepteren?
Vanaf het moment dat publieke dienstverleners zijn aangesloten op het Stelsel Toegang moeten ze machtigingen accepteren. Met machtigingen bedoelen we in dit geval elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is om namens een andere natuurlijke persoon, onderneming of rechtspersoon te handelen bij toegang tot de dienst.
Als een publieke dienstverlener het mogelijk maakt om voor een natuurlijke persoon als gemachtigde diensten af te nemen, dan moet en mag hij alleen die machtigingen van DigiD Machtigen accepteren. Als het om het vertegenwoordigen van rechtspersonen gaat, moet en mag een publieke dienstverlener alleen die machtigingen van erkende machtigingsdiensten accepteren.
5. Het aanbieden van DigiD machtigen is onder Wdo niet verplicht. Klopt dat?
Een dienstverlener is onder de Wdo niet verplicht om digitale dienstverlening aan te bieden waarvoor een burger een ander kan machtigen. Doet een dienstverlener dit wel, dan is hij verplicht om daarvoor DigiD Machtigen te gebruiken als de dienst is geclassificeerd op niveau substantieel of hoog.
6. Welke leveranciers mogen inlogmiddelen aanbieden?
Na de invoering van het Stelsel Toegang kan een burger of bedrijf, naast DigiD of eHerkenning, gebruik maken van andere erkende inlogmiddelen om bij verschillende overheidsdienstverleners in te loggen. Deze middelen worden voordat zij erkend worden getoetst aan de eisen die de Wdo stelt. Dat betekent voor burgers dat ze naast DigiD ook kunnen kiezen voor een door de Rijksoverheid erkend middel van een private aanbieder. Het staat aanbieders met een of meerdere inlogmiddelen vrij om een zogeheten erkenningsproces te doorlopen. Afhankelijk van de resultaten wordt het betreffende inlogmiddel toegelaten tot het Stelsel Toegang, of wordt erkenning afgewezen. Ook na toetreding worden de inlogmiddelen continu getoetst.
7. Op datum van aansluiting geldt een acceptatieplicht van de toegelaten inlogmiddelen. Wat houdt de acceptatieplicht in?
De acceptatieplicht staat voor de verplichting die publieke dienstverleners hebben om alle toegelaten inlogmiddelen voor burgers en bedrijven te accepteren. Deze verplichting gaat direct in vanaf het moment dat de publieke dienstverlener formeel is aangesloten op het stelsel. De datum die wordt per publieke dienstverlener in overleg vastgesteld en opgenomen in de ministeriele regeling Aansluitschema.
Machtigen en vertegenwoordigen
8. Wat is machtigen en wat is wettelijk vertegenwoordigen in publieke dienstverlening?
Vertegenwoordigen bestaat uit vrijwillig machtigen en wettelijk vertegenwoordigen.
Vrijwillig machtigen wil zeggen dat handelingsbekwame burgers iemand kunnen aanwijzen (machtigen) om zich te laten vertegenwoordigen in de interactie met publieke dienstverleners. Bijvoorbeeld iemand vrijwillig machtigen om de aangifte inkomstenbelasting te laten invullen.
Wettelijk vertegenwoordigen wil zeggen dat burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen. Zoals personen die onder bewind of curatele staan of minderjarigen, een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger hebben. Dat kan een bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige zijn.
9. Wat is er tot nu toe gerealiseerd voor machtigen en vertegenwoordigen in publieke dienstverlening?
Voor het vrijwillig machtigen voor en door handelingsbekwame burgers is DigiD Machtigen als publieke machtigingsvoorziening onder de Wet digitale overheid (Wdo) gerealiseerd. Via DigiD Machtigen kan een machtiging geregeld worden zodat iemand namens een persoon digitaal zaken kan doen met de overheid. Er zijn een aantal grote dienstverleners aangesloten waaronder de Belastingdienst, UWV en SVB, maar ook dienstverleners in de zorgsector.
Voor het wettelijk vertegenwoordigen voor (deels) handelingsonbekwame burgers worden bronnen beschikbaar gemaakt. Hierin is opgenomen wie wettelijk bevoegd is om namens een ander te handelen. Om als wettelijk vertegenwoordiger digitaal zaken te doen is het namelijk noodzakelijk dat de dienstverlener betrouwbaar kan vaststellen dat de wettelijk vertegenwoordiger daadwerkelijk zaken mag doen voor degene waarvoor hij zaken wil doen.
Er is een gezagsmodule gerealiseerd: een technische module waarin afleidingsregels zijn geïmplementeerd voor het bepalen van ouderlijk gezag als bedoeld in Boek 1 van het Burgerlijk Wetboek. De Koninklijke Marechaussee op Schiphol, de politie en Veilig Thuis kunnen deze module direct bevragen. Evenals de Dienst Toeslagen om de afhandeling van de kinderopvang-toeslagaffaire te bespoedigen.
Het Wettelijk Vertegenwoordigings Register (WVR) bij de Raad voor de Rechtspraak is gerealiseerd. Vanaf 2022 is gestart met het toevoegen van professionele bewindvoerders die digitaal communiceren met de Raad voor de Rechtspraak. Sinds mei 2023 worden ook particuliere bewindvoerders en niet-openbare bewinden toegevoegd, mits zij digitaal communiceren met de Raad voor de Rechtspraak. Ook curatoren en mentoren worden gefaseerd in dit register opgenomen. De Raad voor de Rechtspraak is continu bezig om de dekkingsgraad van dit register te verhogen.
Er is een directe aansluiting voor de WVR bij de Belastingdienst die gefaseerd in gebruik wordt genomen en bij Werk en Inkomen Lekstroom (WIL).
Daarnaast is er het Centraal Insolventie Register (CIR) als bron voor faillissementen, surseances van betaling en Wsnp (wettelijke schuldsanering) – bewinden voor bedrijfsprocessen bij dienstverleners.
10. Wat is een Bevoegdheidsverklaringsdienst?
Een Bevoegdheidsverklaringsdienst geeft aan dienstverleners een bevoegdheidsverklaring af om inzicht te genereren of een persoon of een organisatie bevoegdheid heeft om iemand anders (wettelijk) te vertegenwoordigen. Een Bevoegdheidsverklaringsdienst haalt gegevens hiervoor op uit bronregisters, onder andere de Basisregistratie Personen (BRP) voor gezag en de WVR.
11. Wat is de gezagsmodule?
Een ouder die gezag heeft over een kind is verplicht om het kind te onderhouden en te verzorgen, en is ook de wettelijk vertegenwoordiger van het kind. Vanuit de rol als wettelijk vertegenwoordiger kan een ouder beslissingen nemen over de fysieke en geestelijke ontwikkeling van een minderjarig kind. Het is dus belangrijk om vast te kunnen stellen wie het gezag heeft over een kind.
Hiervoor is de gezagsmodule ontwikkeld in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in samenwerking met het ministerie van Justitie en Veiligheid. Dit is een technische module waarin afleidingsregels voor het bepalen van ouderlijk gezag als bedoeld in Boek 1 van het Burgerlijk Wetboek zijn geïmplementeerd. Er is een onderscheid tussen directe en indirecte bevraging van de gezagsmodule:
- Directe bevraging:
Voor professionals binnen het jeugdbescherming- en veiligheidsdomein is het essentieel dat de informatie over een gezagsrelatie snel en eenvoudig kan worden achterhaald. Met behulp van de gezagsmodule kan via een eenvoudige bevraging sneller gezagsinformatie verkregen worden uit de Basisregistratie Personen (BRP). Uit een pilot uitgevoerd bij onderdelen van de Politie, de KMar en Veilig Thuis, bleek dat deze module een praktische oplossing biedt om langs digitale weg het gezag over een minderjarige vast te stellen. Het gebruik leidt tot aanzienlijke tijdwinst op de werkvloer. De gezagsmodule verstrekt het antwoord op de vraag over de gezagsrelatie, in plaats van dat dat door de professional zelf afgeleid moet worden uit gegevens uit de BRP. Daarnaast heeft Dienst Toeslagen eind 2023 de gezagsmodule geraadpleegd om ouderlijk gezag te bepalen voor ruim 11.000 kinderen die betrokken zijn in de toeslagenaffaire. Hierdoor is Dienst Toeslagen nu in staat om het deel van de minderjarige kinderen waarvoor ouderlijk gezag kon worden bepaald, de schadevergoeding ook echt te kunnen geven via de meerderjarige die gezag heeft over het kind. - Indirecte bevraging:
Dit betreft de bevraging van de gezagsmodule via een bevoegdheidsverklaringsdienst om als gezaghebbende meerderjarige zaken te kunnen doen namens een minderjarige.
Beleid
12. Hulpmiddelen en handreikingen
Vanaf 2024 ontwikkelt het ministerie van BZK hulpmiddelen en handleidingen waarmee publieke dienstverleners zich stapsgewijs kunnen voorbereiden op het aansluiten op het Stelsel Toegang. Publieke dienstverleners weten op tijd wat zij nodig hebben om toegang te krijgen tot het stelsel en welke technische specificaties daarbij horen. Het ministerie van BZK overlegt met de dienstverleners welk moment voor hen het beste is. Kijk voor actuele informatie over de implementatie op www.stelseltoegang.pleio.nl.
13. Welke inlogmiddelen moeten publieke dienstverleners verplicht accepteren bij dienstverlening aan burgers?
Zodra een publieke dienstverlener aansluit op het Stelsel Toegang geldt ook de zogeheten acceptatieplicht. Dit moment wordt vastgesteld in overleg met de publieke dienstverlener en opgenomen in de regeling Aansluitschema. Dit houdt in dat publieke dienstverleners vanaf dat moment alle op dat moment erkende authenticatie- en machtigingsdiensten moeten accepteren. Het aanbod van erkende authenticatiediensten is afhankelijk van een aantal factoren en kan dynamisch zijn. Juist om daar wendbaar in te zijn, wordt binnen het Stelsel Toegang een uniform aansluitpunt aangeboden. Op die manier beschikt een publieke dienstverlener die is aangesloten op het Stelsel Toegang altijd over alle erkende authenticatie- en machtigingsdiensten.
Publieke inlogmiddelen
Erkende private inlogmiddelen
- Er zijn op dit moment nog geen private inlogmiddelen erkend.
Genotificeerde inlogmiddelen van andere EU-lidstaten
- Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.
14. Hoe bepalen publieke dienstverleners het betrouwbaarheidsniveau voor toegang tot hun online diensten?
Publieke dienstverleners bepalen per online dienst het betrouwbaarheidsniveau waarop gebruikers moeten inloggen. Dat doen ze op basis van de ministeriele regeling Betrouwbaarheidsniveaus. Daarin staan de regels en criteria voor een betrouwbaarheidsniveau dat past bij de risico’s van de dienst. Let op: er moet ook een betrouwbaarheidsniveau van machtiging worden vastgesteld als sprake is van een machtigbare dienst.
De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau.
15. Welke inlogmiddelen moeten publieke dienstverleners verplicht accepteren bij dienstverlening aan ondernemingen en rechtspersonen?
Vanaf hun eigen aansluitdatum op het Stelsel Toegang moeten (semi-) publieke dienstverleners ervoor zorgen dat ondernemingen en rechtspersonen die ingeschreven kunnen worden in het Handelsregister bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ in kunnen loggen met de volgende (typen) middelen.
Bedrijfs- en organisatiemiddelen die gedurende een overgangsperiode van 18 maanden na de start van de open toelating geacht worden erkend te zijn.
- Dit betreft eHerkenning. Er zijn op dit moment nog geen (andere) erkende bedrijfs- en organisatiemiddelen.
Genotificeerde inlogmiddelen van andere EU-lidstaten
- Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.
16. Hoe wordt het aansluiten van publieke dienstverleners op het Stelsel Toegang gefinancierd?
Publieke dienstverleners betalen mee aan de voorzieningen van de Generieke Digitale Infrastructuur. De GDI is met ingang van 2023 centraal gefinancierd. Dat maakt een einde aan de naheffingen voor het gebruik van de voorzieningen in de GDI. Over de financiering van nieuwe voorzieningen en diensten vindt besluitvorming plaats in de Programmeringsraad GDI. Of het Stelsel Toegang in de GDI zit, wordt besloten door de PGDI.
17. Moeten publieke dienstverleners gaan meebetalen aan private inlogmiddelen voor burgers?
Nee. Publieke dienstverleners dragen enkel bij via de financiering van GDI voor het publieke inlogmiddel DigiD.
18. Komt er een publiek middel voor bedrijven?
Het publieke bedrijfsmiddel komt beschikbaar voor zelfstandig bevoegde bestuurders om diensten af te nemen bij de Belastingdienst.
De partijen achter de huidige eHerkenning-inlogmiddelen kunnen er straks voor kiezen om als private middelen erkend te worden zoals bedoeld in de Wet digitale overheid (Wdo). Publieke dienstverleners zijn dan verplicht deze te accepteren. eHerkenning mag dan nog steeds ook tussen bedrijven gebruikt worden. Daar heeft de Wdo geen betrekking op.
19. Kunnen andere zakelijke dienstverleners (zoals energiebedrijven, schadeverzekeraars, banken en providers) ook gebruik gaan maken van DigiD?
Aansluiten op DigiD mag als de organisatie aan alle onderstaande eisen voldoet:
- De organisatie voert een publieke taak uit. Dat is vastgesteld in verschillende wetten.
- De organisatie mag volgens de wet het burgerservicenummer gebruiken om haar publieke taak uit te voeren.
- De organisatie gebruikt DigiD om haar publieke taak uit te voeren.
20. Kan DigiD ook als identificatiemiddel gebruikt gaan worden?
Nee, je kunt je niet met DigiD identificeren. DigiD dient als authenticatiemiddel om toegang te krijgen tot digitale dienstverlening in het (semi-)publieke domein.
Identificatie is het vaststellen van de identiteit van een persoon: wie ben jij? Authenticatie is het verifiëren van de vermeende identiteit van een bepaalde entiteit (bijvoorbeeld een persoon). DigiD authentiseert.
Authentiseren kan op basis van verschillende bezitsfactoren: zoals een wachtwoord, het bezit van een telefoon en/of het bezit van een identiteitsmiddel. Hoe meer bezitsfactoren, hoe groter de mate van zekerheid van de authenticatie.
21. Wat zijn nu precies de betrouwbaarheidsniveaus van DigiD en hoe verhoudt dat zich tot de Wdo?
Op dit moment kent DigiD 4 betrouwbaarheidsniveaus:
Basis – gebruikersnaam en wachtwoord (eIDAS laag)
Midden – 2-factor authenticatie met SMS of app (eIDAS laag)
Substantieel – eenmalige ID-check in de app (eIDAS-substantieel)
Hoog – ID-check bij elke inlog via de app (eIDAS-hoog)
In de Wdo staan betrouwbaarheidsniveaus beschreven op basis van de eIDAS-verordening vanuit Europa bestaande uit laag, substantieel en hoog. Zowel inloggen met gebruikersnaam en wachtwoord EN 2-factorauthenticatie worden in Europese regelgeving beschouwd als niveau laag. Het streven is om op korte termijn DigiD Basis volledig uit te faseren en DigiD-betrouwbaarheidsniveaus gelijk te trekken met de eIDAS-betrouwbaarheidsniveaus.
22. Mag het betrouwbaarheidsniveau laag nu niet meer worden toegepast nu de Wdo van kracht is?
De Wdo heeft betrekking op alle digitale overheidsdienstverlening die wordt geclassificeerd voor de betrouwbaarheidsniveaus substantieel en hoog. Als van digitale dienstverlening wordt vastgesteld dat betrouwbaarheidsniveau Laag afdoende is, dan valt deze dienstverlening buiten de scope van de Wdo. Dat betekent dat deze dienstverlening niet door de Wdo wordt gereguleerd.
23. Hoe lang mag inlogniveau laag of basis nog ingezet worden? En hoe lang blijft inloggen met sms nog bestaan?
De overgangstermijn waarin overheden hun dienstverlening op betrouwbaarheidsniveau laag mogen aanbieden, is met 3 jaar verlengd tot 1 juli 2028. Zo komt er meer tijd om de beschikbaarheid van de hogere inlogniveaus substantieel en hoog te vergroten. Zonder de verlenging zouden publieke dienstverleners volgens de Wdo per 1 juli 2025 een aantal van hun online diensten moeten aanbieden op een hoog inlogniveau. Een groot deel van de gebruikers heeft hun DigiD nog niet geactiveerd op een van deze betrouwbaarheidsniveaus. Dat zou betekenen dat een grote groep is uitgesloten van digitale dienstverlening met de overheid.
Hogere betrouwbaarheidsniveaus maken de dienstverlening veiliger en maken een nauwkeuriger identiteitsvaststelling mogelijk, maar vragen altijd nadrukkelijke aandacht voor digitale toegankelijkheid voor burgers. De afweging tussen veiligheid en toegankelijkheid staat daarom centraal bij de doorontwikkeling van inlogmiddelen en bij de toepassing van hogere betrouwbaarheidsniveaus.
24. Zijn er al potentiële kandidaten voor een privaat inlogmiddel?
Er zijn potentiële kandidaten, zij maken zelf de afweging of ze willen deelnemen aan het erkenningsproces. Of en wanneer hun middelen in het stelsel beschikbaar komen, is duidelijk als ze het erkenningsproces hebben doorlopen.
25. Hoe verhoudt Federatieve Toegangsverlening zich tot ontwikkeling en implementatie van het Stelsel Toegang?
Het Stelsel Toegang en de Federatieve Toegangsverlening (FTV) gaan over 2 verschillende onderwerpen die elkaar aanvullen: authenticatie versus autorisatie. Ze hebben een verschillende usecase. Het Stelsel toegang is voor de usecase: een persoon logt voor zichzelf of namens een ander of een organisatie in op een online portaal van een publieke dienstverlener. FTV gaat over de usecase: een (overheids)medewerker vraagt via een systeem (van zijn eigen organisatie) gegevens op uit een ander systeem (van een andere organisatie) via API’s.
Planning
26. Wanneer volgt de meer gedetailleerde planning voor de realisatie van het nieuwe Stelsel Toegang?
In september 2024 is de Programmaraad GDI akkoord gegaan met een releasematige aanpak voor de realisatie van het Stelsel Toegang. Dat betekent dat aanpassingen dakpansgewijs worden gebouwd, getest en geïmplementeerd. Actuele informatie over de planning is te vinden op www.stelseltoegang.pleio.nl.
27. Wanneer gaat de acceptatieplicht gelden? En op welk moment gaat het aansluitschema in?
De acceptatieplicht gaat pas gelden als een dienstverlener technisch en organisatorisch klaar is om aan te sluiten. Een organisatie kan pas aansluiten als de benodigde infrastructuur en voorzieningen in het stelsel klaar zijn. Het ministerie van BZK laat dat weten als het zover is.
In een volgende stap stelt een dienstverlener in samenwerking met BZK, een aansluitdatum op. Deze datum wordt opgenomen in het aansluitschema. Dit schema bevat data waarop de acceptatieplicht geldt en wanneer een gebruiker hier rechten aan kan ontlenen. Overigens geldt dat het aansluiten op onderdelen gefaseerd kan gaan.
28. Wanneer weten organisaties wat de aansluitdatum wordt?
Dat laat het ministerie van BZK weten. Het bepalen van een aansluitdatum is niet eerder van toepassing dan wanneer kan worden aangesloten op benodigde infrastructuur en voorzieningen. De datum van aansluiten is afhankelijk van beschikbaarheid van de voorzieningen en lopende ICT-trajecten. Jouw organisatie geeft zelf de aansluitdatum op. Dit kan gefaseerd: per organisatie en per dienst, het is aan je organisatie om een onderverdeling te maken.
29. Wat kunnen publieke dienstverleners nu al doen?
Publieke dienstverleners kunnen beginnen met het classificeren van de betrouwbaarheidsniveaus van alle individuele digitale diensten die zij aan burgers en bedrijven leveren (zie vraag 6 en de Regeling betrouwbaarheidsniveaus (wetten.nl – Regeling – Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening – BWBR0048168 (overheid.nl)). Afhankelijk van het type organisatie zijn dit enkele tot soms honderden dienstverleningsprocessen. Daarvoor moeten de klanten voor de website steeds beschikken over een authenticatiemiddel van het juiste betrouwbaarheidsniveau. Publieke dienstverleners kunnen al starten met voorlichting daarover. De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau.
Toezicht
30. Hoe ziet het toelatingsproces voor inlogmiddelen eruit?
De Rijksinspectie Digitale Infrastructuur (RDI) is de onafhankelijke toezichthouder op alle leveranciers van authenticatiediensten en machtigingsdiensten in het Stelsel. De RDI toetst ook in het toelatingsproces – vooraf – of aanbieders aan de vereisten voor inlogmiddelen voldoen. Deze volgen uit de eIDAS-verordening en de vereisten uit de wet.
Dit proces omvat technische (aansluit)eisen, maar ook organisatorische eisen (beheersmaatregelen zoals lifecycle management en continuïteitsbeheer) en personele eisen om onder andere aan te tonen dat een toetreder betrouwbaar en geschikt is.
Toelatingsproces authenticatie- en machtigingsdiensten
Authenticatiediensten en/of machtigingsdiensten die willen deelnemen aan het Stelsel Toegang doen hiervoor een aanvraag tot erkenning. Het stappenplan dat daarbij hoort is gebaseerd op de eisen zoals die in de Wdo en onderliggende wet- en regelgeving zijn vastgesteld en bestaat uit de volgende fasen:
- Voorbereiden erkenningsaanvraag (testen)
Authenticatie- en machtigingsdiensten starten 6 tot 7 maanden voor de erkenningsaanvraag met de voorbereidingen. Voor de voorbereiding die betrekking heeft op het technische aspect van de erkenningsaanvraag en het testen van het aansluitproces, moeten de stelselvoorzieningen tijdig beschikbaar zijn. En moet de serviceorganisatie gereed zijn om het toelatingsproces te ondersteunen.
Het (laten) uitvoeren van een aantal tests is onderdeel van de aanvraag tot erkenning. Van elke test moet een testrapportage worden opgeleverd. Het gaat om de volgende tests en bijbehorende rapportages.
Aansluittesten (opgesteld door Logius)
– Hiermee toont de aanvragende partij aan dat zij technisch in staat is om aan te sluiten op het Stelsel Toegang.
– Hiervoor moet de (definitieve) conformance testomgeving gereed zijn.
Penetratietest (opgesteld door een onafhankelijk testbedrijf dat de aanvrager hiervoor inhuurt)
– Deze test mag niet ouder zijn dan 12 maanden.
Middeltoets (opgesteld door een onafhankelijke partij die de aanvrager hiervoor inhuurt).
– Hiermee toont de aanvragende partij aan dat haar middel en het beheer daarvan van voldoende kwaliteit is. - Indienen aanvraag tot erkenning
Authenticatiediensten en machtigingsdiensten dienen een aanvraag tot erkenning in bij de RDI. Hiervoor leveren zij de rapportages van bovenstaande testen en de andere documenten zoals beschreven in de MR Eisen Open Toelating inlogmiddelen, aan bij RDI.
De aanvraag tot erkenning bij RDI heeft een verwachte doorlooptijd van minimaal 3 maanden, waarna RDI de aanvrager informeert over haar besluit. - Aansluiten (verplicht indien de aanvraag tot erkenning leidt)
Als de aanvraag tot een erkenning heeft geleid, krijgt de aanvrager maximaal 3 maanden de tijd om daadwerkelijk op het Stelsel (productieomgeving) aan te sluiten. Daarmee is de verwachte doorlooptijd vanaf het indienen van de aanvraag bij RDI totdat de aanvrager van een erkenning operationeel is 6 maanden.
Migratie
31. Nu is sprake van een DigiD assessment. Wat is de impact van de Wdo op dit assessment?
Toegang tot elektronische overheidsdiensten moet veilig zijn. Daarom zijn (semi-) overheidsinstanties die aangesloten zijn op DigiD nu al verplicht om de beveiliging van hun inlogsystemen en -processen door een erkend auditor te laten testen. Zij moeten elk jaar een rapport aanleveren bij Logius, waarmee wordt aangetoond dat de systemen, de beveiligingsprocessen en het beveiligingsbeleid in orde zijn. Ook wel bekend als het DigiD assessment.
Met de beoogde uitbreiding van het aantal inlogmiddelen onder de Wdo gaat deze plicht voor alle inlogmogelijkheden gelden. Dus ook voor de inlogprocessen waar bedrijven gebruik van maken. Het assessment krijgt een andere naam, maar kent vooralsnog hetzelfde normenkader, volgens hetzelfde proces. De al geldende eisen waaraan deze instanties en de door hen aangeleverde rapportages moeten voldoen, worden vastgelegd in een ministeriële regeling (Regeling dienstverleners informatieveiligheidsaudits Wdo). Het blijft ook mogelijk een zogeheten meervoudig assessment uit te voeren. De huidige aanvullingen op het DigiD normenkader voor meervoudige assessments zullen daarvoor onderdeel worden van het normenkader.
Actuele informatie over migratie naar het Stelsel Toegang vind je op www.stelseltoegang.pleio.nl.
Actuele informatie over migratie naar het Stelsel Toegang vind je op www.stelseltoegang.pleio.nl.
Staat jouw vraag er niet bij?
Stel hier je vraag over online toegangsmiddelen vanuit de Wdo.
"*" geeft vereiste velden aan