Toegang tot online overheidsdienstverlening
In de Wdo is opgenomen dat een burger of bedrijf, naast DigiD of eHerkenning, gebruik kan maken van andere erkende inlogmiddelen om bij verschillende overheidsdienstverleners in te loggen. Daarmee krijgen burgers en bedrijven meer keuzevrijheid in welk middel zij willen gebruiken om in te loggen bij een publieke dienstverlener.
Het Stelsel Toegang zorgt ervoor dat dienstverleners zo eenvoudig mogelijk kunnen aansluiten op alle erkende inlogmiddelen. Op deze pagina staan antwoorden op een aantal belangrijke vragen van publieke dienstverleners. Bovendien vind je hier een actueel overzicht van de verplicht te accepteren middelen. We werken dit overzicht bij zodra een nieuw middel is toegelaten.
Wetgeving
1. Wet digitale overheid – wat verandert er voor publieke dienstverleners?
De Wet digitale overheid (Wdo) verplicht publieke dienstverleners om per dienst te bepalen welk betrouwbaarheidsniveau is vereist voor toegang tot hun digitale dienstverlening. Zij accepteren bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ alle door de overheid toegelaten inlogmiddelen. Ook accepteren zij digitale machtigingsverklaringen.
Publieke dienstverleners sluiten zich daarvoor aan op een nieuw Stelsel Toegang. En zijn verplicht de inlogmiddelen die voldoen aan de eisen van de Wdo te accepteren voor hun digitale diensten.
De Wdo bevat daarvoor, naast het regelen van de toegang, ook verplichtingen die belangrijk zijn voor het verlenen van digitale toegang. Zoals het gebruik maken van verplichte standaarden en voldoen aan regels rond informatiebeveiliging. Daarmee wordt ook een bijdrage geleverd aan de realisatie van de Werkagenda Waardengedreven Digitaliseren op deze punten.
2. Waarom is een nieuw Stelsel Toegang nodig?
Burgers en bedrijven moeten vanuit de Wdo veilig en betrouwbaar kunnen inloggen bij de (semi-) overheid. Dat betekent dat zij gebruik kunnen maken van elektronische identificatiemiddelen (eID) met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. Bovendien hebben burgers en bedrijven straks een keuze uit meerdere inlogmiddelen.
Aansluiten op het Stelsel heeft voordelen voor publieke dienstverleners. Overheidsorganisaties kunnen via 1 aansluitpunt burgers en bedrijven veilig toegang geven tot hun digitale dienstverlening: als dienstverleners zijn aangesloten op het Stelsel Toegang kunnen zij automatisch alle toegelaten middelen accepteren en daarmee voldoen aan de acceptatieplicht. Burgers en bedrijven kunnen zo van alle toegelaten middelen gebruik maken om langs digitale weg diensten af te nemen.
3. Welke publieke dienstverleners vallen onder de Wdo?
a-bestuursorgaan
Een a-bestuursorgaan is ingesteld op basis van publiekrecht. Het gaat om organen van de Staat, provincies en gemeenten, maar ook onder meer om DUO, de Belastingdienst en zelfstandige bestuursorganen zoals de Sociale Verzekeringsbank, de KVK, de RDW en de Huurcommissie.
Rechtelijke instanties
Rechterlijke instanties zijn onafhankelijke en bij wet ingestelde organen die met rechtspraak zijn belast. Het gaat om rechtbanken, gerechtshoven, de Hoge Raad, de Afdeling bestuursrechtspraak van de Raad van State, het College van Beroep voor het bedrijfsleven en de Centrale Raad van Beroep.
Aangewezen organisaties
Zorgverleners, indicatieorganen of zorgverzekeraars die op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, burgerservicenummers (bsn’s) verwerken.
Pensioenuitvoerders volgens artikel 1 van de Pensioenwet en artikel 1 van de Wet verplichte beroepspensioenregeling.
Universiteiten of hbo-instellingen volgens artikel 1.1 onder g van de Wet op het hoger onderwijs en wetenschappelijk onderzoek.
4. Welke machtigingsverklaringen moeten publieke dienstverleners verplicht accepteren?
Vanaf het moment dat publieke dienstverleners zijn aangesloten op het Stelsel Toegang moeten ze machtigingen accepteren. Met machtigingen bedoelen we in dit geval elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is om namens een andere natuurlijke persoon, onderneming of rechtspersoon te handelen bij toegang tot de dienst.
Als een publieke dienstverlener het mogelijk maakt om voor een natuurlijke persoon als gemachtigde diensten af te nemen, dan moet en mag hij alleen die machtigingen van DigiD Machtigen accepteren. Als het om het vertegenwoordigen van rechtspersonen gaat, moet en mag een publieke dienstverlener alleen die machtigingen van erkende machtigingsdiensten accepteren.
5. Het aanbieden van DigiD machtigen is onder Wdo niet verplicht. Klopt dat?
Een dienstverlener is onder de Wdo niet verplicht om digitale dienstverlening aan te bieden waarvoor een burger een ander kan machtigen. Doet een dienstverlener dit wel, dan is hij verplicht om daarvoor DigiD Machtigen te gebruiken als de dienst is geclassificeerd op niveau substantieel of hoog.
6. Welke leveranciers mogen inlogmiddelen aanbieden?
Na de invoering van het Stelsel Toegang kan een burger of bedrijf, naast DigiD of eHerkenning, gebruik maken van andere erkende inlogmiddelen om bij verschillende overheidsdienstverleners in te loggen. Deze middelen worden voordat zij erkend worden getoetst aan de eisen die de Wdo stelt. Dat betekent voor burgers dat ze naast DigiD ook kunnen kiezen voor een door de Rijksoverheid erkend middel van een private aanbieder. Het staat aanbieders met een of meerdere inlogmiddelen vrij om een zogeheten erkenningsproces te doorlopen. Afhankelijk van de resultaten wordt het betreffende inlogmiddel toegelaten tot het Stelsel Toegang, of wordt erkenning afgewezen. Ook na toetreding worden de inlogmiddelen continu getoetst.
7. Op datum van aansluiting geldt een acceptatieplicht van de toegelaten inlogmiddelen. Wat houdt de acceptatieplicht in?
De acceptatieplicht staat voor de verplichting die publieke dienstverleners hebben om alle toegelaten inlogmiddelen voor burgers en bedrijven te accepteren. Deze verplichting gaat direct in vanaf het moment dat de publieke dienstverlener formeel is aangesloten op het stelsel. De datum die wordt per publieke dienstverlener in overleg vastgesteld en opgenomen in de ministeriele regeling Aansluitschema.
Machtigen en vertegenwoordigen
8. Wat is machtigen en wat is wettelijk vertegenwoordigen in publieke dienstverlening?
Vertegenwoordigen bestaat uit vrijwillig machtigen en wettelijk vertegenwoordigen.
Vrijwillig machtigen wil zeggen dat handelingsbekwame burgers iemand kunnen aanwijzen (machtigen) om zich te laten vertegenwoordigen in de interactie met publieke dienstverleners. Bijvoorbeeld iemand vrijwillig machtigen om de aangifte inkomstenbelasting te laten invullen.
Wettelijk vertegenwoordigen wil zeggen dat burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen. Zoals personen die onder bewind of curatele staan of minderjarigen, een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger hebben. Dat kan een bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige zijn.
9. Wat is er tot nu toe gerealiseerd voor machtigen en vertegenwoordigen in publieke dienstverlening?
Voor het vrijwillig machtigen voor en door handelingsbekwame burgers is DigiD Machtigen als publieke machtigingsvoorziening onder de Wet digitale overheid (Wdo) gerealiseerd. Via DigiD Machtigen kan een machtiging geregeld worden zodat iemand namens een persoon digitaal zaken kan doen met de overheid. Er zijn ruim 500 diensten van ruim 500 dienstverleners hierop aangesloten, waaronder grote dienstverleners zoals de Belastingdienst, UWV en SVB, maar ook dienstverleners in de zorgsector.
Voor het wettelijk vertegenwoordigen voor (deels) handelingsonbekwame burgers worden bronnen beschikbaar gemaakt. Hierin is opgenomen wie wettelijk bevoegd is om namens een ander te handelen. Om als wettelijk vertegenwoordiger digitaal zaken te doen is het namelijk noodzakelijk dat de dienstverlener betrouwbaar kan vaststellen dat de wettelijk vertegenwoordiger daadwerkelijk zaken mag doen voor degene waarvoor hij zaken wil doen.
Er is een gezagsmodule gerealiseerd: een technische module waarin afleidingsregels zijn geïmplementeerd voor het bepalen van ouderlijk gezag als bedoeld in Boek 1 van het Burgerlijk Wetboek. De Koninklijke Marechaussee op Schiphol, de politie en Veilig Thuis kunnen deze module direct bevragen. Evenals de Dienst Toeslagen om de afhandeling van de kinderopvang-toeslagaffaire te bespoedigen. Met de gezagsmodule loopt ook een pilot in het Maastricht Universitair Medisch Centrum, zodat ouders kunnen inloggen namens hun kind van 11 jaar of jonger.
Het Wettelijk Vertegenwoordigings Register (WVR) bij de Raad voor de Rechtspraak is gerealiseerd. Vanaf 2022 is gestart met het toevoegen van professionele bewindvoerders die digitaal communiceren met de Raad voor de Rechtspraak. Sinds mei 2023 worden ook particuliere bewindvoerders en niet-openbare bewinden toegevoegd, mits zij digitaal communiceren met de Raad voor de Rechtspraak. Ook curatoren (vanaf juli 2023) en mentoren (vanaf medio 2024) worden in dit register opgenomen. De Raad voor de Rechtspraak is continu bezig om de dekkingsgraad van dit register te verhogen.
Er is een directe aansluiting voor de WVR bij de Belastingdienst die gefaseerd in gebruik wordt genomen en bij Werk en Inkomen Lekstroom (WIL).
Daarnaast is er het Centraal Insolventie Register (CIR) als bron voor faillissementen, surseances van betaling en Wsnp (wettelijke schuldsanering) – bewinden voor bedrijfsprocessen bij dienstverleners.
10. Wat is een Bevoegdheidsverklaringsdienst?
Een Bevoegdheidsverklaringsdienst geeft aan dienstverleners een bevoegdheidsverklaring af om inzicht te genereren of een persoon of een organisatie bevoegdheid heeft om iemand anders (wettelijk) te vertegenwoordigen. Een Bevoegdheidsverklaringsdienst haalt gegevens hiervoor op uit bronregisters, onder andere de Basisregistratie Personen (BRP) voor gezag en de WVR. Er loopt een pilot met een Bevoegdheidsverklaringsdienst (BVD) in de gemeenten Rotterdam en Den Haag om bewindvoerders te faciliteren om digitaal (bijzondere) bijstand aan te vragen voor hun cliënten.
11. Op de site van Logius staat dat de Bevoegdheidsverklaringsdienst in pilotfase zit voor bewindvoering en curatele. Wat is de verwachte planning hiervan?
Een pilot versie van een Bevoegdheidsverklaringsdienst levert sinds 1 juli 2023 informatie over ouderlijk gezag via de gezagsmodule en is aangesloten op de WVR. Met de gezagsmodule loopt een pilot in het MUMC+. In de gemeenten Den Haag en Rotterdam loopt een pilot voor bewind (zie vraag 8). In de implementatie van het Stelsel Toegang wordt gewerkt aan een nieuwe toekomstbestendige versie van een Bevoegdheidsverklaringsdienst waarop dienstverleners via het Stelsel Toegang kunnen aansluiten. En waarvoor zij hun systemen gemakkelijk geschikt kunnen maken. Naar verwachting wordt deze versie vanaf de tweede helft van 2025 in beheer genomen en gefaseerd uitgerold. Te beginnen via de ToegangVerleningService (TVS). Hiermee kan in de zorgsector, omdat die sector meerendeels nu al is aangesloten op de TVS, ouderlijk gezag voor kinderen van 11 jaar of jonger worden vastgesteld. Het is niet mogelijk om nog aan te sluiten op de pilot.
12. Wat is de gezagsmodule?
Een ouder die gezag heeft over een kind is verplicht om het kind te onderhouden en te verzorgen, en is ook de wettelijk vertegenwoordiger van het kind. Vanuit de rol als wettelijk vertegenwoordiger kan een ouder beslissingen nemen over de fysieke en geestelijke ontwikkeling van een minderjarig kind. Het is dus belangrijk om vast te kunnen stellen wie het gezag heeft over een kind.
Hiervoor is de gezagsmodule ontwikkeld in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in samenwerking met het ministerie van Justitie en Veiligheid. Dit is een technische module waarin afleidingsregels voor het bepalen van ouderlijk gezag als bedoeld in Boek 1 van het Burgerlijk Wetboek zijn geïmplementeerd. Er is een onderscheid tussen directe en indirecte bevraging van de gezagsmodule:
- Directe bevraging:
Voor professionals binnen het jeugdbescherming- en veiligheidsdomein is het essentieel dat de informatie over een gezagsrelatie snel en eenvoudig kan worden achterhaald. Met behulp van de gezagsmodule kan via een eenvoudige bevraging sneller gezagsinformatie verkregen worden uit de Basisregistratie Personen (BRP). Uit een pilot uitgevoerd bij onderdelen van de Politie, de KMar en Veilig Thuis, bleek dat deze module een praktische oplossing biedt om langs digitale weg het gezag over een minderjarige vast te stellen. Het gebruik leidt tot aanzienlijke tijdwinst op de werkvloer. De gezagsmodule verstrekt het antwoord op de vraag over de gezagsrelatie, in plaats van dat dat door de professional zelf afgeleid moet worden uit gegevens uit de BRP. Daarnaast heeft Dienst Toeslagen eind 2023 de gezagsmodule geraadpleegd om ouderlijk gezag te bepalen voor ruim 11.000 kinderen die betrokken zijn in de toeslagenaffaire. Hierdoor is Dienst Toeslagen nu in staat om het deel van de minderjarige kinderen waarvoor ouderlijk gezag kon worden bepaald, de schadevergoeding ook echt te kunnen geven via de meerderjarige die gezag heeft over het kind. - Indirecte bevraging:
Dit betreft de bevraging van de gezagsmodule via een bevoegdheidsverklaringsdienst om als gezaghebbende meerderjarige zaken te kunnen doen namens een minderjarige.
Beleid
13. Hulpmiddelen en handreikingen
Vanaf 2024 ontwikkelt het ministerie van BZK hulpmiddelen en handleidingen waarmee publieke dienstverleners zich stapsgewijs kunnen voorbereiden op het aansluiten op het Stelsel. Publieke dienstverleners weten op tijd wat zij nodig hebben om toegang te krijgen tot het stelsel en welke technische specificaties daarbij horen. Het ministerie van BZK overlegt met de dienstverleners welk moment voor hen het beste is.
14. Welke inlogmiddelen moeten publieke dienstverleners verplicht accepteren bij dienstverlening aan burgers?
Zodra een publieke dienstverlener aansluit op het Stelsel Toegang geldt ook de zogeheten acceptatieplicht. Dit moment wordt vastgesteld in overleg met de publieke dienstverlener en opgenomen in de regeling Aansluitschema. Dit houdt in dat publieke dienstverleners vanaf dat moment alle op dat moment erkende authenticatie- en machtigingsdiensten moeten accepteren. Het aanbod van erkende authenticatiediensten is afhankelijk van een aantal factoren en kan dynamisch zijn. Juist om daar wendbaar in te zijn, wordt binnen het Stelsel Toegang een uniform aansluitpunt aangeboden. Op die manier beschikt een publieke dienstverlener die is aangesloten op het Stelsel Toegang altijd over alle erkende authenticatie- en machtigingsdiensten.
Publieke inlogmiddelen
Erkende private inlogmiddelen
- Er zijn op dit moment nog geen private inlogmiddelen erkend.
Genotificeerde inlogmiddelen van andere EU-lidstaten
- Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.
15. Hoe bepalen publieke dienstverleners het betrouwbaarheidsniveau voor toegang tot hun online diensten?
Publieke dienstverleners bepalen per online dienst het betrouwbaarheidsniveau waarop gebruikers moeten inloggen. Dat doen ze op basis van de ministeriele regeling Betrouwbaarheidsniveaus. Daarin staan de regels en criteria voor een betrouwbaarheidsniveau dat past bij de risico’s van de dienst. Let op: er moet ook een betrouwbaarheidsniveau van machtiging worden vastgesteld als sprake is van een machtigbare dienst.
De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau.
16. Welke inlogmiddelen moeten publieke dienstverleners verplicht accepteren bij dienstverlening aan ondernemingen en rechtspersonen?
Vanaf hun eigen aansluitdatum op het Stelsel Toegang moeten (semi-) publieke dienstverleners ervoor zorgen dat ondernemingen en rechtspersonen die ingeschreven kunnen worden in het Handelsregister bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ in kunnen loggen met de volgende (typen) middelen.
Bedrijfs- en organisatiemiddelen die gedurende een overgangsperiode van 18 maanden na de start van de open toelating geacht worden erkend te zijn.
- Dit betreft eHerkenning. Er zijn op dit moment nog geen (andere) erkende bedrijfs- en organisatiemiddelen.
Genotificeerde inlogmiddelen van andere EU-lidstaten
- Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.
17. Hoe wordt het aansluiten van publieke dienstverleners op het Stelsel Toegang gefinancierd?
Publieke dienstverleners betalen mee aan de voorzieningen van de Generieke Digitale Infrastructuur. De GDI is met ingang van 2023 centraal gefinancierd. Dat maakt een einde aan de naheffingen voor het gebruik van de voorzieningen in de GDI. Over de financiering van nieuwe voorzieningen en diensten vindt besluitvorming plaats in de Programmeringsraad GDI. Of het Stelsel Toegang in de GDI zit, wordt besloten door de PGDI.
18. Moeten publieke dienstverleners gaan meebetalen aan private inlogmiddelen voor burgers?
Nee. Publieke dienstverleners dragen enkel bij via de financiering van GDI voor het publieke inlogmiddel DigiD.
19. Zijn er al potentiële kandidaten voor een privaat inlogmiddel?
Er zijn potentiële kandidaten; of en wanneer deze in het Stelsel beschikbaar komen, is niet duidelijk. Die afweging maken die partijen zelf.
20. Klopt het dat eHerkenning het publieke middel voor bedrijven wordt?
Het publieke bedrijfsmiddel komt beschikbaar voor zelfstandig bevoegde bestuurders om diensten af te nemen bij de Belastingdienst.
De partijen achter de huidige eHerkenning-inlogmiddelen kunnen er straks voor kiezen om als private middelen erkend te worden zoals bedoeld in de Wet digitale overheid (Wdo). Publieke dienstverleners zijn dan verplicht deze te accepteren. eHerkenning mag dan nog steeds ook tussen bedrijven gebruikt worden. Daar heeft de Wdo geen betrekking op.
21. Gaat het publieke middel voor bedrijven concurreren met de middelen van de eHerkenningsleveranciers?
Het publieke bedrijfsmiddel komt beschikbaar voor zelfstandig bevoegde bestuurders om diensten af te nemen bij de Belastingdienst. Of de scope in de toekomst wordt uitgebreid, ligt aan de politieke besluitvorming.
22. Kunnen andere zakelijke dienstverleners (zoals energiebedrijven, schadeverzekeraars, banken en providers) ook gebruik gaan maken van DigiD?
Aansluiten op DigiD mag als de organisatie aan alle onderstaande eisen voldoet:
- De organisatie voert een publieke taak uit. Dat is vastgesteld in verschillende wetten.
- De organisatie mag volgens de wet het burgerservicenummer gebruiken om haar publieke taak uit te voeren.
- De organisatie gebruikt DigiD om haar publieke taak uit te voeren.
23. Kan DigiD ook als identificatiemiddel gebruikt gaan worden?
Nee, je kunt je niet met DigiD identificeren. DigiD dient als authenticatiemiddel om toegang te krijgen tot digitale dienstverlening in het (semi-)publieke domein.
Identificatie is het vaststellen van de identiteit van een persoon: wie ben jij? Authenticatie is het verifiëren van de vermeende identiteit van een bepaalde entiteit (bijvoorbeeld een persoon). DigiD authentiseert.
Authenticeren kan op basis van verschillende bezitsfactoren: zoals een wachtwoord, het bezit van een telefoon en/of het bezit van een identiteitsmiddel. Hoe meer bezitsfactoren, hoe groter de mate van zekerheid van de authenticatie.
24. Wat zijn nu precies de betrouwbaarheidsniveaus van DigiD en hoe verhoudt dat zich tot de Wdo?
Op dit moment kent DigiD vier betrouwbaarheidsniveaus:
Basis – gebruikersnaam en wachtwoord (eIDAS laag)
Midden – 2-factor authenticatie met SMS of app (eIDAS laag)
Substantieel – eenmalige ID-check in de app (eIDAS-substantieel)
Hoog – ID-check bij elke inlog via de app (eIDAS-hoog)
In de Wdo staan betrouwbaarheidsniveaus beschreven op basis van de eIDAS-verordening vanuit Europa bestaande uit laag, substantieel en hoog. Zowel inloggen met gebruikersnaam en wachtwoord EN 2-factorauthenticatie worden in Europese regelgeving beschouwd als niveau laag. Het streven is om op korte termijn DigiD Basis volledig uit te faseren en DigiD-betrouwbaarheidsniveaus gelijk te trekken met de eIDAS-betrouwbaarheidsniveaus.
25. Mag het betrouwbaarheidsniveau laag nu niet meer worden toegepast nu de Wdo van kracht is?
De Wdo heeft betrekking op alle digitale overheidsdienstverlening die wordt geclassificeerd voor de betrouwbaarheidsniveaus substantieel en hoog. Als van digitale dienstverlening wordt vastgesteld dat betrouwbaarheidsniveau laag afdoende is, dan valt deze dienstverlening buiten de scope van de Wdo. Dat betekent dat deze dienstverlening niet door de Wdo wordt gereguleerd.
26. Hoe lang mag inlogniveau laag of basis nog ingezet worden? En hoe lang blijft inloggen met sms nog bestaan?
De Wdo regelt overheidsdienstverlening die wordt geclassificeerd op substantieel en hoog. De Wdo faseert inloggen op niveau laag niet uit, en daarmee kan het dus gebruikt worden, alleen wordt de dienstverlening op dat niveau niet gereguleerd door deze wet. Op het moment dat dienstverlening op substantieel geclassificeerd wordt, kunnen dienstverleners overigens tijdelijk nog teruggevallen op niveau laag met als ondergrens 2-factor authenticatie (inloggen met sms). De termijn waarop de dienst vervolgens naar substantieel gaat, is flexibel: er is altijd ruimte voor beleid voor inclusie. Het is van belang dat groepen burgers niet worden uitgesloten van digitale dienstverlening.
Inloggen met een gebruikersnaam en wachtwoord (DigiD Basis) wordt op korte termijn volledig uitgefaseerd. Op dit moment zijn er nog maar 126.000 DigiD-accounts op basis, waarvan 65.000 in het laatste jaar is gebruikt (op ruim 17 miljoen accounts). Bij veel grote dienstverleners (zoals Belastingdienst, SVB, DUO) is het al verplicht om in te loggen met minimaal 2-factor authenticatie. Het inloggen met alleen een gebruikersnaam en wachtwoord (DigiD Basis) niet altijd meer veilig en biedt onvoldoende bescherming aan burgers die toegang willen krijgen tot gevoelige gegevens. Daarnaast wordt het steeds makkelijker voor kwaadwillenden om gebruikersnamen en wachtwoorden van gebruikers te achterhalen. In de komende tijd wordt een plan van aanpak uitgewerkt om het gebruik van DigiD Basis volledig uit te faseren.
Hogere betrouwbaarheidsniveaus maken de dienstverlening veiliger en maken een nauwkeuriger identiteitsvaststelling mogelijk, maar vragen altijd nadrukkelijke aandacht voor digitale toegankelijkheid voor burgers. De afweging tussen veiligheid en toegankelijkheid staat daarom centraal bij de doorontwikkeling van inlogmiddelen en bij de toepassing van hogere betrouwbaarheidsniveaus.
Planning
27. Wanneer volgt de meer gedetailleerde planning voor de realisatie van het nieuwe Stelsel Toegang?
In september 2024 is de Programmaraad GDI akkoord gegaan met een releasematige aanpak voor de realisatie van het Stelsel Toegang. Dat betekent dat aanpassingen dakpansgewijs worden gebouwd, getest en geïmplementeerd. Met de 1e release kunnen dienstverleners aangesloten worden op de bestaande voorzieningen DigiD, eIDAS en eHerkenning, aangevuld met vertegenwoordigen-ouderlijk gezag. De oplevering van release 1 is naar verwachting medio 2025. Volgende releases zijn afhankelijk van de antwoorden op de uitstaande ontwerpvraagstukken, deze doorlooptijd kan nog niet ingeschat worden.
28. Op welke termijn worden nieuwe private en publieke toegangsmiddelen verwacht?
DigiD en eIDAS (voor de genotificeerde Europese inlogmiddelen) komen sowieso in het stelsel beschikbaar als publieke inlogmiddelen. Dit zal op zijn vroegst plaatsvinden vanaf 2025. Publieke dienstverleners zijn nu al verplicht om eIDAS in te accepteren als zij een dienst op niveau substantieel of hoog aanbieden. Er is nog geen planning voor de toelating van private inlogmiddelen.
29. Wanneer gaat de acceptatieplicht gelden? En op welk moment gaat het aansluitschema in?
De acceptatieplicht gaat pas gelden als een dienstverlener technisch en organisatorisch klaar is om aan te sluiten. Een organisatie kan pas aansluiten als de benodigde infrastructuur en voorzieningen in het stelsel klaar zijn. Het ministerie van BZK laat dat weten als het zover is.
In een volgende stap stel je in samenwerking met BZK een aansluitdatum op. Deze datum wordt opgenomen in het aansluitschema. Dit schema bevat data waarop de acceptatieplicht geldt en wanneer een gebruiker hier rechten aan kan ontlenen. Overigens geldt dat het aansluiten op onderdelen gefaseerd kan gaan.
Aansluiten publieke dienstverleners
30. Hoe en wanneer sluiten publieke dienstverleners zich aan op het stelsel?
De Eerste Kamer heeft de Wdo op 21 maart 2023 aangenomen. De wet is op 1 juli 2023 gefaseerd in werking getreden. De techniek (ICT) en de organisatie achter het Stelsel Toegang zijn naar verwachting in 2025 klaar.
De acceptatieplicht gaat pas gelden als een instantie technisch en organisatorisch klaar is om aan te sluiten. De departementen en de publieke dienstverleners stellen in samenwerking met het ministerie van BZK een aansluitschema op. Dit schema bevat data waarop de acceptatieplicht geldt en een gebruiker hier rechten aan kan ontlenen. Ook hiervoor geldt dat het aansluiten op onderdelen gefaseerd kan gaan. Het aansluitschema zal daarom periodiek aangevuld worden.
De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau. Het ministerie van BZK ontwikkelde deze regelhulp samen met RVO.
31. Wanneer weten organisaties wat de aansluitdatum wordt?
Dat laat het ministerie van BZK weten. Het bepalen van een aansluitdatum is niet eerder van toepassing dan wanneer kan worden aangesloten op benodigde infrastructuur en voorzieningen. De datum van aansluiten is afhankelijk van beschikbaarheid van de voorzieningen en lopende ICT-trajecten. Jouw organisatie geeft zelf de aansluitdatum op. Dit kan gefaseerd: per organisatie en per dienst, het is aan je organisatie om een onderverdeling te maken.
32. Wanneer komen er erkende bedrijfs- en organisatiemiddelen naast eHerkenning?
Hier is nog geen exacte planning voor te geven. De Eerste Kamer heeft de Wdo op 21 maart 2023 aangenomen. De wet is op 1 juli 2023 gefaseerd in werking getreden. Er kan nu nog niet worden aangeven wanneer andere inlogmiddelen beschikbaar komen voor bedrijven.
33. Wat kunnen publieke dienstverleners nu al doen?
Publieke dienstverleners kunnen beginnen met het classificeren van de betrouwbaarheidsniveaus van alle individuele digitale diensten die zij aan burgers en bedrijven leveren (zie vraag 6 en de Regeling betrouwbaarheidsniveaus (wetten.nl – Regeling – Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening – BWBR0048168 (overheid.nl)). Afhankelijk van het type organisatie zijn dit enkele tot soms honderden dienstverleningsprocessen. Daarvoor moeten de klanten voor de website steeds beschikken over een authenticatiemiddel van het juiste betrouwbaarheidsniveau. Publieke dienstverleners kunnen al starten met voorlichting daarover.
Toezicht
34. Hoe ziet het toelatingsproces voor inlogmiddelen eruit?
De Rijksinspectie Digitale Infrastructuur (RDI) is de onafhankelijke toezichthouder op alle leveranciers van authenticatiediensten en machtigingsdiensten in het Stelsel. De RDI toetst ook in het toelatingsproces – vooraf – of aanbieders aan de vereisten voor inlogmiddelen voldoen. Deze volgen uit de eIDAS-verordening en de vereisten uit de wet.
Dit proces omvat technische (aansluit)eisen, maar ook organisatorische eisen (beheersmaatregelen zoals lifecycle management en continuïteitsbeheer) en personele eisen om onder andere aan te tonen dat een toetreder betrouwbaar en geschikt is.
Toelatingsproces authenticatie- en machtigingsdiensten
Authenticatiediensten en/of machtigingsdiensten die willen deelnemen aan het Stelsel Toegang doen hiervoor een aanvraag tot erkenning. Het stappenplan dat daarbij hoort is gebaseerd op de eisen zoals die in de Wdo en onderliggende wet- en regelgeving zijn vastgesteld en bestaat uit de volgende fasen:
- Voorbereiden erkenningsaanvraag (testen)
Authenticatie- en machtigingsdiensten starten 6 tot 7 maanden voor de erkenningsaanvraag met de voorbereidingen. Voor de voorbereiding die betrekking heeft op het technische aspect van de erkenningsaanvraag en het testen van het aansluitproces, moeten de stelselvoorzieningen tijdig beschikbaar zijn. En moet de serviceorganisatie gereed zijn om het toelatingsproces te ondersteunen.
Het (laten) uitvoeren van een aantal tests is onderdeel van de aanvraag tot erkenning. Van elke test moet een testrapportage worden opgeleverd. Het gaat om de volgende tests en bijbehorende rapportages.
Aansluittesten (opgesteld door Logius)
– Hiermee toont de aanvragende partij aan dat zij technisch in staat is om aan te sluiten op het Stelsel Toegang.
– Hiervoor moet de (definitieve) conformance testomgeving gereed zijn.
Penetratietest (opgesteld door een onafhankelijk testbedrijf dat de aanvrager hiervoor inhuurt)
– Deze test mag niet ouder zijn dan 12 maanden.
Middeltoets (opgesteld door een onafhankelijke partij die de aanvrager hiervoor inhuurt).
– Hiermee toont de aanvragende partij aan dat haar middel en het beheer daarvan van voldoende kwaliteit is. - Indienen aanvraag tot erkenning
Authenticatiediensten en machtigingsdiensten dienen een aanvraag tot erkenning in bij de RDI. Hiervoor leveren zij de rapportages van bovenstaande testen en de andere documenten zoals beschreven in de MR Eisen Open Toelating inlogmiddelen, aan bij RDI.
De aanvraag tot erkenning bij RDI heeft een verwachte doorlooptijd van minimaal 3 maanden, waarna RDI de aanvrager informeert over haar besluit. - Aansluiten (verplicht indien de aanvraag tot erkenning leidt)
Als de aanvraag tot een erkenning heeft geleid, krijgt de aanvrager maximaal 3 maanden de tijd om daadwerkelijk op het Stelsel (productieomgeving) aan te sluiten. Daarmee is de verwachte doorlooptijd vanaf het indienen van de aanvraag bij RDI totdat de aanvrager van een erkenning operationeel is 6 maanden.
Migratie
35. Nu is sprake van een DigiD assessment. Wat is de impact van de Wdo op dit assessment?
Toegang tot elektronische overheidsdiensten moet veilig zijn. Daarom zijn (semi-) overheidsinstanties die aangesloten zijn op DigiD nu al verplicht om de beveiliging van hun inlogsystemen en -processen door een erkend auditor te laten testen. Zij moeten elk jaar een rapport aanleveren bij Logius, waarmee wordt aangetoond dat de systemen, de beveiligingsprocessen en het beveiligingsbeleid in orde zijn. Ook wel bekend als het DigiD assessment.
Met de beoogde uitbreiding van het aantal inlogmiddelen onder de Wdo gaat deze plicht voor alle inlogmogelijkheden gelden. Dus ook voor de inlogprocessen waar bedrijven gebruik van maken. Het assessment krijgt een andere naam, maar kent vooralsnog hetzelfde normenkader, volgens hetzelfde proces. De al geldende eisen waaraan deze instanties en de door hen aangeleverde rapportages moeten voldoen, worden vastgelegd in een ministeriële regeling (Regeling dienstverleners informatieveiligheidsaudits Wdo). Het blijft ook mogelijk een zogeheten meervoudig assessment uit te voeren. De huidige aanvullingen op het DigiD normenkader voor meervoudige assessments zullen daarvoor onderdeel worden van het normenkader.
36. Is er straks in het Stelsel Toegang spraken van 1 DigiD assessment omdat er maar 1 aansluiting nodig is?
Op dit moment hebben bijna alle dienstverleners meerdere DigiD-aansluitingen. Er moet een assessment worden uitgevoerd voor elke elektronische dienstenomgeving.
Staat jouw vraag er niet bij?
Stel hier je vraag over online toegangsmiddelen vanuit de Wdo.
"*" geeft vereiste velden aan