Toegang tot online overheidsdienstverlening
Op deze pagina staan antwoorden op een aantal belangrijke vragen van publieke dienstverleners. Bovendien vind je hier een actueel overzicht van de verplicht te accepteren middelen. We werken dit overzicht bij zodra een nieuw middel is toegelaten.
Wetgeving
Wet digitale overheid – wat verandert er voor publieke dienstverleners?
De Wet digitale overheid (Wdo) verplicht publieke dienstverleners om per dienst te bepalen welk betrouwbaarheidsniveau is vereist voor toegang tot hun digitale dienstverlening. Zij accepteren bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ alle door de overheid toegelaten inlogmiddelen. Ook accepteren zij digitale machtigingsverklaringen.
Publieke dienstverleners sluiten zich daarvoor aan op een nieuw Stelsel Toegang. En zijn verplicht de inlogmiddelen die voldoen aan de eisen van de Wdo te accepteren voor hun digitale diensten.
De Wdo bevat daarvoor, naast het regelen van de toegang, ook verplichtingen die belangrijk zijn voor het verlenen van digitale toegang. Zoals het gebruik maken van verplichte standaarden en voldoen aan regels rond informatiebeveiliging. Daarmee wordt ook een bijdrage geleverd aan de realisatie van de Werkagenda Waardengedreven Digitaliseren op deze punten.
Waarom is een nieuw Stelsel Toegang nodig?
Burgers en bedrijven moeten vanuit de Wdo veilig en betrouwbaar kunnen inloggen bij de (semi-) overheid. Dat betekent dat zij gebruik kunnen maken van elektronische identificatiemiddelen (eID) met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. Bovendien hebben burgers en bedrijven straks een keuze uit meerdere inlogmiddelen.
Aansluiten op het Stelsel heeft voordelen voor publieke dienstverleners. Overheidsorganisaties kunnen via één aansluitpunt burgers en bedrijven veilig toegang geven tot hun digitale dienstverlening: als dienstverleners zijn aangesloten op het Stelsel Toegang kunnen zij automatisch alle toegelaten middelen accepteren en daarmee voldoen aan de acceptatieplicht. Burgers en bedrijven kunnen zo van alle toegelaten middelen gebruik maken om langs digitale weg diensten af te nemen.
Welke publieke dienstverleners vallen onder de Wdo?
a-bestuursorgaan
Een a-bestuursorgaan is ingesteld op basis van publiekrecht. Het gaat om organen van de Staat, provincies en gemeenten, maar ook onder meer om DUO, de Belastingdienst en zelfstandige bestuursorganen zoals de Sociale Verzekeringsbank, de KVK, de RDW en de Huurcommissie.
Rechtelijke instanties
Rechterlijke instanties zijn onafhankelijke en bij wet ingestelde organen die met rechtspraak zijn belast. Het gaat om rechtbanken, gerechtshoven, de Hoge Raad, de Afdeling bestuursrechtspraak van de Raad van State, het College van Beroep voor het bedrijfsleven en de Centrale Raad van Beroep.
Aangewezen organisaties
Zorgverleners, indicatieorganen of zorgverzekeraars die op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, burgerservicenummers (bsn’s) verwerken.
Pensioenuitvoerders volgens artikel 1 van de Pensioenwet en artikel 1 van de Wet verplichte beroepspensioenregeling.
Universiteiten of hbo-instellingen volgens artikel 1.1 onder g van de Wet op het hoger onderwijs en wetenschappelijk onderzoek.
Welke machtigingsverklaringen moeten publieke dienstverleners verplicht accepteren?
Vanaf het moment dat publieke dienstverleners zijn aangesloten op het Stelsel Toegang moeten ze machtigingen accepteren. Met machtigingen bedoelen we in dit geval elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is om namens een andere natuurlijke persoon, onderneming of rechtspersoon te handelen bij toegang tot de dienst.
Als een publieke dienstverlener het mogelijk maakt om voor een natuurlijke persoon als gemachtigde diensten af te nemen, dan moet en mag hij alleen die machtigingen van DigiD Machtigen accepteren. Als het om het vertegenwoordigen van rechtspersonen gaat, moet en mag een publieke dienstverlener alleen die machtigingen van erkende machtigingsdiensten accepteren.
Het aanbieden van DigiD machtigen is onder Wdo niet verplicht. Klopt dat?
Een dienstverlener is onder de Wdo niet verplicht om digitale dienstverlening aan te bieden waarvoor een burger een ander kan machtigen. Doet een dienstverlener dit wel, dan is hij verplicht om daarvoor DigiD Machtigen te gebruiken als de dienst is geclassificeerd op niveau substantieel of hoog.
Machtigen en vertegenwoordigen
Wat is machtigen en wat is wettelijk vertegenwoordigen in publieke dienstverlening?
Machtigen wil zeggen dat handelingsbekwame burgers vrijwillig iemand kunnen aanwijzen om zich te laten vertegenwoordigen in de interactie met publieke dienstverleners. Een voorbeeld van machtigen is het laten invullen van de aangifte inkomstbelasting door iemand anders.
Wettelijk vertegenwoordigen wil zeggen dat burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen. Zoals personen die onder bewind of curatele staan of minderjarigen, een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger hebben. Dat kan een bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige zijn.
Wat is er tot nu toe gerealiseerd voor machtigen en vertegenwoordigen in publieke dienstverlening?
Voor het vrijwillig machtigen voor handelingsbekwame burgers is DigiD Machtigen als publieke machtigingsvoorziening onder de Wet digitale overheid (Wdo) gerealiseerd. Via DigiD Machtigen kan een machtiging geregeld worden zodat iemand namens die persoon digitaal zaken kan doen met de overheid. Er zijn ruim 500 diensten van ruim 500 dienstverleners hierop aangesloten, waaronder grote dienstverleners zoals de Belastingdienst, UWV en SVB, maar ook dienstverleners in de zorgsector.
Voor het wettelijk vertegenwoordigen voor handelingsonbekwame burgers worden bronnen
beschikbaar gemaakt. Hierin is opgenomen wie wettelijk bevoegd is om namens een ander te
handelen. Om als wettelijk vertegenwoordiger digitaal zaken te doen is het noodzakelijk dat de dienstverlener betrouwbaar kan vaststellen dat de wettelijk vertegenwoordiger daadwerkelijk zaken mag doen voor degene waarvoor hij zaken wil doen.
- Er is een gezagsmodule gerealiseerd: een technische module waarin afleidingsregels zijn geïmplementeerd voor het bepalen van ouderlijk gezag als bedoeld in Boek 1 van het Burgerlijk Wetboek. De Koninklijke Marechaussee op Schiphol, de politie en Veilig Thuis kunnen deze module direct bevragen. Evenals de Dienst Toeslagen om de afhandeling van de kinderopvang-toeslagaffaire te bespoedigen. Met de gezagsmodule loopt ook een pilot in het Maastricht Universitair Medisch Centrum, zodat ouders kunnen inloggen namens hun kind van 11 jaar of jonger.
- Het Wettelijk Vertegenwoordigings Register (WVR) bij de Raad voor de Rechtspraak is gerealiseerd. Vanaf 2022 is gestart met het toevoegen van professionele bewindvoerders die digitaal communiceren met de Raad voor de Rechtspraak. Sinds mei 2023 worden ook particuliere bewindvoerders en niet-openbare bewinden toegevoegd, mits zij digitaal communiceren met de Raad voor de Rechtspraak. Ook curatoren (vanaf juli 2023) en mentoren (vanaf medio 2024) worden in dit register opgenomen. De Raad voor de Rechtspraak is continue bezig om de dekkingsgraad van dit register te verhogen.
- Er is een directe aansluiting voor de WVR bij de Belastingdienst die gefaseerd in gebruik wordt genomen en bij Werk en Inkomen Lekstroom (WIL).
- Daarnaast is er het Centraal Insolventie Register (CIR) als bron voor faillissementen, surseances van betaling en Wsnp (wettelijke schuldsanering) – bewinden voor bedrijfsprocessen bij dienstverleners.
Wat is een Bevoegdheidsverklaringsdienst?
Een Bevoegdheidsverklaringsdienst geeft dienstverleners inzicht of een persoon of een organisatie bevoegdheid heeft om iemand anders (wettelijk) te vertegenwoordigen. Een dienstverlener kan aansluiten op een Bevoegdheidsverklaringsdienst. Deze dienstverlener kan dankzij een Bevoegdheidsverklaringsdienst toetsen of een inloggende persoon wettelijke bevoegdheid heeft om voor een ander zaken te regelen. Het systeem van een Bevoegdheidsverklaringsdienst haalt gegevens op uit bronregisters, onder andere de Basisregistratie Personen (BRP) voor gezag en de WVR. Met deze gegevens wordt een bevoegdheidsverklaring opgesteld. Op basis van deze bevoegdheidsverklaring kan de dienstverlener bepalen of de gebruiker zaken mag regelen voor iemand anders. Er loopt een pilot voor het aansluiten via een Bevoegdheidsverklaringsdienst (BVD) in de gemeenten Rotterdam en Den Haag.
Op de site van Logius staat dat de Bevoegdheidsverklaringsdienst in pilotfase zit voor bewindvoering en curatele. Wat is de verwachte planning hiervan? En wordt dit meegenomen in de aansluiting op het Stelsel Toegang?
Een pilot versie van een Bevoegdheidsverklaringsdienst levert sinds 1 juli 2023 informatie over ouderlijk gezag via de gezagsmodule en is aangesloten op de WVR. Hiermee loopt momenteel een pilot in de gemeenten Rotterdam en Den Haag. In de implementatie van het Stelsel Toegang wordt gewerkt aan een nieuwe toekomstbestendige versie van een Bevoegdheidsverklaringsdienst waarop dienstverleners kunnen aansluiten. En waarvoor zij hun systemen gemakkelijk geschikt kunnen maken. Naar verwachting wordt deze versie in 2025 in beheer genomen en gefaseerd uitgerold. Te beginnen achter de ToegangVerleningService (TVS) in de zorgsector voor het vaststellen van ouderlijk gezag voor kinderen van 11 jaar of jonger. Het is niet mogelijk om nog aan te sluiten op de pilot.
Wat is de gezagsmodule?
Een ouder die gezag heeft over een kind is verplicht om het kind te onderhouden en te verzorgen, en is ook de wettelijk vertegenwoordiger van het kind. Vanuit de rol als wettelijk vertegenwoordiger kan een ouder beslissingen nemen over de fysieke en geestelijke ontwikkeling van een minderjarig kind. Het is dus belangrijk om vast te kunnen stellen wie het gezag heeft over een kind.
Hiervoor is de gezagsmodule ontwikkeld in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in samenwerking met het ministerie van Justitie en Veiligheid. Dit is een technische module waarin afleidingsregels voor het bepalen van ouderlijk gezag als bedoeld in Boek 1 van het Burgerlijk Wetboek zijn geïmplementeerd. Er is een onderscheid tussen directe en indirecte bevraging van de gezagsmodule:
- Directe bevraging:
Voor professionals binnen het jeugdbescherming- en veiligheidsdomein is het essentieel dat de informatie over een gezagsrelatie snel en eenvoudig kan worden achterhaald. Met behulp van de gezagsmodule kan via een eenvoudige bevraging sneller gezagsinformatie verkregen worden uit de Basisregistratie Personen (BRP). Uit een pilot uitgevoerd bij onderdelen van de Politie, de KMar en Veilig Thuis, bleek dat deze module een praktische oplossing biedt om langs digitale weg het gezag over een minderjarige vast te stellen. Het gebruik leidt tot aanzienlijke tijdwinst op de werkvloer. De gezagsmodule verstrekt het antwoord op de vraag over de gezagsrelatie, in plaats van dat dat door de professional zelf afgeleid moet worden uit gegevens uit de BRP.
Daarnaast heeft Dienst Toeslagen eind 2023 de gezagsmodule geraadpleegd om ouderlijk gezag te bepalen voor ruim 11.000 kinderen die betrokken zijn in de toeslagenaffaire. Hierdoor is Dienst Toeslagen nu in staat om het deel van de minderjarige kinderen waarvoor ouderlijk gezag kon worden bepaald, de schadevergoeding ook echt te kunnen geven via de meerderjarige die gezag heeft over het kind. - Indirecte bevraging:
Dit betreft de bevraging van de gezagsmodule om als gezaghebbende meerderjarige zaken te kunnen doen namens een minderjarige.
Proces en beleid
Welke leveranciers mogen inlogmiddelen aanbieden?
Na de invoering van het Stelsel Toegang kan een burger of bedrijf, naast DigiD of eHerkenning, gebruik maken van andere erkende inlogmiddelen om bij verschillende overheidsdienstverleners in te loggen. Deze middelen worden voordat zij erkend worden getoetst aan de eisen die de Wdo stelt. Dat betekent voor burgers dat ze naast DigiD ook kunnen kiezen voor een door de Rijksoverheid erkend middel van een private aanbieder. Het staat aanbieders met een of meerdere inlogmiddelen vrij om een zogeheten erkenningsproces te doorlopen. Afhankelijk van de resultaten wordt het betreffende inlogmiddel toegelaten tot het Stelsel Toegang, of wordt erkenning afgewezen. Ook na toetreding worden de inlogmiddelen continu getoetst.
Welke inlogmiddelen moeten publieke dienstverleners verplicht accepteren bij dienstverlening aan burgers?
Zodra een publieke dienstverlener aansluit op het Stelsel Toegang geldt ook de zogeheten acceptatieplicht. Dit moment wordt vastgesteld in overleg met de publieke dienstverlener en opgenomen in de regeling Aansluitschema. Dit houdt in dat publieke dienstverleners vanaf dat moment alle op dat moment erkende authenticatie- en machtigingsdiensten moeten accepteren. Het aanbod van erkende authenticatiediensten is afhankelijk van een aantal factoren en kan dynamisch zijn. Juist om daar wendbaar in te zijn wordt binnen het Stelsel Toegang een uniform koppelvlak aangeboden. Op die manier beschikt een publieke dienstverlener die is aangesloten op het Stelsel Toegang altijd over alle erkende authenticatie- en machtigingsdiensten.
Publieke inlogmiddelen
Erkende private inlogmiddelen
- Er zijn op dit moment nog geen private inlogmiddelen erkend.
Genotificeerde inlogmiddelen van andere EU-lidstaten
- Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.
Welke inlogmiddelen moeten publieke dienstverleners verplicht accepteren bij dienstverlening aan ondernemingen en rechtspersonen?
Vanaf hun eigen aansluitdatum op het Stelsel Toegang moeten (semi-) publieke dienstverleners ervoor zorgen dat ondernemingen en rechtspersonen die ingeschreven kunnen worden in het Handelsregister bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ in kunnen loggen met de volgende (typen) middelen.
Bedrijfs- en organisatiemiddelen die gedurende een overgangsperiode van 18 maanden na de start van de open toelating geacht worden erkend te zijn.
- Dit betreft eHerkenning. Er zijn op dit moment nog geen (andere) erkende bedrijfs- en organisatiemiddelen.
Genotificeerde inlogmiddelen van andere EU-lidstaten
- Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.
Hoe wordt het aansluiten van publieke dienstverleners op het Stelsel Toegang gefinancierd?
Publieke dienstverleners betalen mee aan de voorzieningen van de Generieke Digitale Infrastructuur. De GDI is met ingang van 2023 centraal gefinancierd. Dat maakt een einde aan de naheffingen voor het gebruik van de voorzieningen in de GDI. Over de financiering van nieuwe voorzieningen en diensten vindt besluitvorming plaats in de Programmeringsraad GDI. Of het Stelsel Toegang in de GDI zit, wordt besloten door de PGDI.
Moeten publieke dienstverleners gaan meebetalen aan private inlogmiddelen voor burgers?
Nee. Publieke dienstverleners dragen enkel bij via de financiering van GDI voor het publieke inlogmiddel DigiD.
Zijn er al potentiële kandidaten voor een privaat inlogmiddel?
Er zijn potentiële kandidaten; of en wanneer deze in het Stelsel beschikbaar zullen komen is niet duidelijk. Die afweging maken die partijen zelf.
Gaat het publieke middel voor bedrijven concurreren met de middelen van de eHerkenning leveranciers? Of heeft het publieke middel een beperkte doelgroep en een beperkt doel?
De exacte scope van het publieke middel voor bedrijven is onderhevig aan politieke besluitvorming.
Klopt het dat eHerkenning het publieke middel voor bedrijven wordt? En betekent dat dan dat eHerkenning alleen gebruikt mag worden om bij overheden in te loggen?
Dat is niet juist. Er komt een publiek middel voor bedrijven en er komen private middelen. Die private middelen kunnen eHerkenningsmiddelen zijn.
Het publieke middel voor bedrijven gaat niet concurreren met de middelen van de eHerkenningsleveranciers omdat het publieke middel een beperkte doelgroep en een beperkt doel heeft. Klopt dat?
In eerste instantie zal het publiek bedrijfsmiddel enkel beschikbaar zijn voor zelfstandig bevoegd bestuurders om diensten af te nemen bij de Belastingdienst. Er komt een publiek middel voor bedrijven en er komen private middelen. Die private middelen kunnen eHerkenningsmiddelen zijn.
Is het mogelijk dat andere zakelijke diensten (zoals energiebedrijven, schadeverzekeraars, banken en providers) ook gebruik kunnen gaan maken van DigiD?
Aansluiten op DigiD mag als de organisatie aan alle onderstaande eisen voldoet:
- De organisatie voert een publieke taak uit. Dat is vastgesteld in verschillende wetten.
- De organisatie mag volgens de wet het burgerservicenummer gebruiken om haar publieke taak uit te voeren.
- De organisatie gebruikt DigiD om haar publieke taak uit te voeren.
Kan DigiD ook als identificatiemiddel gebruikt gaan worden?
DigiD dient als authenticatiemiddel om toegang te krijgen tot digitale dienstverlening in het (semi-)publieke domein.
Identificatie is het vaststellen van de identiteit van een persoon: wie ben jij? Authenticatie is het verifiëren van de vermeende identiteit van een bepaalde entiteit (bijvoorbeeld een persoon). Dit kan op meerdere manieren: met een wachtwoord, door het bezit van een voorwerp, zoals een pas, of door een biometrisch kenmerk.
Planning
Wanneer volgt de meer gedetailleerde planning voor de realisatie van het nieuwe Stelsel Toegang?
In september is de Programmaraad GDI akkoord gegaan met een releasematige aanpak voor de realisatie van het Stelsel Toegang. Dat betekent dat aanpassingen dakpansgewijs worden gebouwd, getest en geïmplementeerd. Met de eerste release kunnen dienstverleners aangesloten worden op de bestaande voorzieningen DigiD, eIDAS en eHerkenning, aangevuld met vertegenwoordigen-ouderlijk gezag. Een gedetailleerde planning voor release 1 wordt in de loop van oktober 2024 gepubliceerd. Volgende releases zijn afhankelijk van de antwoorden op de uitstaande ontwerpvraagstukken, deze doorlooptijd kan nog niet ingeschat worden.
Op welke termijn worden nieuwe private en/of publieke toegangsmiddelen verwacht?
DigiD en eIDAS (voor de genotificeerde Europese inlogmiddelen) komen sowieso in het stelsel beschikbaar als publieke inlogmiddelen. Dit zal op zijn vroegst plaatsvinden vanaf 2025. Publieke dienstverleners zijn nu al verplicht om eIDAS in te accepteren als zij een dienst op niveau substantieel of hoog aanbieden. Er is nog geen planning voor de toelating van private inlogmiddelen.
Op datum van aansluiting geldt een acceptatieplicht van de toegelaten inlogmiddelen. Wat houdt de acceptatieplicht in?
De acceptatieplicht staat voor de verplichting die publieke dienstverleners hebben om alle toegelaten inlogmiddelen voor burgers en bedrijven te accepteren. Deze verplichting gaat direct in vanaf het moment dat de publieke dienstverlener formeel is aangesloten op het Stelsel (de datum die wordt per publieke dienstverlener in overleg vastgesteld en opgenomen in het ministeriele regeling aansluitschema).
Wat is de deadline voor mijn organisatie?
Vanaf het moment dat het Stelsel Toegang klaar is, heeft mijn organisatie 3 jaar de tijd om aan te sluiten. Hebben wij dan vanaf dat moment precies 3 jaar de tijd om alles te regelen?
Op 1 juli 2023 is de Wdo gefaseerd van kracht gegaan. De regelgeving blijft deels op de plank liggen totdat de open toelating start. Het ministerie van BZK rolt de ICT-voorzieningen en de publieke middelen uit, bereidt het proces voor de toelating en erkenning van private middelen voor, en richt beheer en toezicht in. Vanaf het moment dat techniek (ICT) en de organisatie achter het stelsel gereed zijn, kun je aansluiten. Pas daarna heb je 3 jaar de tijd om dat te doen. Er is nog geen concrete tijdsplanning.
Wanneer gaat de acceptatieplicht gelden? En op welk moment gaat het aansluitschema in?
De acceptatieplicht gaat pas gelden als een dienstverlener technisch en organisatorisch klaar is om aan te sluiten. Een organisatie kan pas aansluiten als de benodigde infrastructuur en voorzieningen in het stelsel klaar zijn. Het ministerie van BZK laat dat weten als het zover is.
Een volgende stap is dat je in samenwerking met BZK een aansluitschema opstelt. Dit schema bevat data waarop de acceptatieplicht geldt en wanneer een gebruiker hier rechten aan kan ontlenen. Overigens geldt dat het aansluiten op onderdelen gefaseerd kan gaan.
Hoe verloopt het proces en wat zijn de criteria voor het aansluitschema? Hoe en wanneer weten organisaties wat de aansluitdatum wordt?
Dat laat het ministerie van BZK weten. Het aansluitschema is niet eerder van toepassing dan wanneer kan worden aangesloten op benodigde infrastructuur en voorzieningen. De datum van aansluiten is afhankelijk van beschikbaarheid van de voorzieningen en lopende ICT-trajecten. Jouw organisatie geeft zelf de aansluitdatum op. Dit kan gefaseerd: per organisatie en per dienst, het is aan je organisatie om een onderverdeling te maken.
Aansluiten publieke dienstverleners
Hoe en wanneer sluiten publieke dienstverleners zich aan op het Stelsel?
De Eerste Kamer heeft de Wdo op 21 maart 2023 aangenomen. De wet is op 1 juli 2023 gefaseerd in werking getreden. De techniek (ICT) en de organisatie achter het Stelsel Toegang zijn naar verwachting in 2025 klaar. Vanaf het moment dat u kunt aansluiten, heeft u drie jaar de tijd om dat te doen.
De acceptatieplicht gaat pas gelden als een instantie technisch en organisatorisch klaar is om aan te sluiten. De departementen en de publieke dienstverleners stellen in samenwerking met het ministerie van BZK een aansluitschema op. Dit schema bevat data waarop de acceptatieplicht geldt en een gebruiker hier rechten aan kan ontlenen. Ook hiervoor geldt dat het aansluiten op onderdelen gefaseerd kan gaan. Het aansluitschema zal daarom periodiek aangevuld worden.
De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau. Het ministerie van BZK ontwikkelde deze regelhulp samen met RVO.
Hulpmiddelen en handreikingen
Vanaf 2024 ontwikkelt het ministerie van BZK hulpmiddelen en handleidingen waarmee publieke dienstverleners zich stapsgewijs kunnen voorbereiden op het aansluiten op het Stelsel. Publieke dienstverleners weten op tijd wat zij nodig hebben om toegang te krijgen tot het stelsel en welke technische specificaties daarbij horen. Het ministerie van BZK overlegt met de dienstverleners welk moment voor hen het beste is.
Wat betreft de ondersteuning van erkende bedrijfs- en organisatiemiddelen naast eHerkenning: wat kunnen we hier wanneer verwachten?
Hier is nog geen exacte planning voor te geven. De Eerste Kamer heeft de Wdo op 21 maart 2023 aangenomen. De wet is op 1 juli 2023 gefaseerd in werking getreden. De techniek (ICT) en de organisatie achter het bedrijvendomein zijn naar verwachting eind 2025 klaar.
Wat kunnen publieke dienstverleners nu al doen?
Publieke dienstverleners kunnen beginnen met het classificeren van de betrouwbaarheidsniveaus van alle individuele digitale diensten die zij aan burgers en bedrijven leveren (zie vraag 6 en de Regeling betrouwbaarheidsniveaus (wetten.nl – Regeling – Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening – BWBR0048168 (overheid.nl)). Afhankelijk van het type organisatie zijn dit enkele tot soms honderden dienstverleningsprocessen. Daarvoor moeten de klanten voor de website steeds beschikken over een authenticatiemiddel van het juiste betrouwbaarheidsniveau. Publieke dienstverleners kunnen al starten met voorlichting daarover.
Hoe bepalen publieke dienstverleners het betrouwbaarheidsniveau voor toegang tot hun online diensten?
Publieke dienstverleners bepalen per online dienst het betrouwbaarheidsniveau waarop gebruikers moeten inloggen. Dat doen ze op basis van de conceptregeling betrouwbaarheidsniveaus. Daarin staan de regels en criteria voor een betrouwbaarheidsniveau dat past bij de risico’s van de dienst.
De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau. Het ministerie van BZK ontwikkelde deze regelhulp samen met RVO.
Wat zijn nu precies de betrouwbaarheidsniveaus van DigiD en hoe verhoudt dat zich tot de Wdo?
In de Europese regelgeving zijn 3 betrouwbaarheidsniveaus vastgesteld voor door de overheid erkende authenticatiemiddelen:
- laag
- substantieel
- hoog
In Nederland spreken we in het geval van DigiD ook van niveau ‘midden’ als we het hebben over het inloggen met SMS, of tweefactorauthenticatie. Op Europees niveau kennen we het niveau ‘midden’ niet. Zowel inloggen met gebruikersnaam en wachtwoord EN tweefactorauthenticatie worden in Europese regelgeving beschouwd als niveau Laag. De betrouwbaarheidsniveaus in de Wdo zijn gebaseerd op de Europese regelgeving. Als we dus spreken van de betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’, dan worden daarmee de betrouwbaarheidsniveaus bedoeld zoals op Europees niveau zijn vastgesteld.
Mag het betrouwbaarheidsniveau ‘laag’ nu niet meer worden toegepast nu de Wdo van kracht is?
De Wdo heeft betrekking op alle digitale overheidsdienstverlening die wordt geclassificeerd voor de betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’. Als van digitale dienstverlening wordt vastgesteld dat betrouwbaarheidsniveau ‘laag’ afdoende is, dan valt deze dienstverlening buiten de scope van de Wdo. Dat betekent dat deze dienstverlening niet door de Wdo wordt gereguleerd.
Kijkend naar eenvoudige en laagdrempelige digitale dienstverlening versus veiligheid: hoe lang mag inlogniveau ‘laag’ of ‘basis’ nog ingezet worden? En hoe lang blijft inloggen met SMS nog bestaan?
De Wdo regelt overheidsdienstverlening die wordt geclassificeerd op ‘substantieel’ en ‘hoog’. De Wdo faseert inloggen op niveau ‘laag’ niet uit, en daarmee kan het dus gebruikt worden, alleen wordt de dienstverlening op dat niveau niet gereguleerd door deze wet. Op het moment dat dienstverlening op ‘substantieel’ geclassificeerd wordt, kunnen dienstverleners overigens tijdelijk nog teruggevallen op niveau laag met als ondergrens tweefactorauthenticatie. De termijn waarop de dienst vervolgens naar ‘substantieel’ gaat, is flexibel: er is altijd ruimte voor beleid voor inclusie. Zo kan het zijn dat besloten wordt om langer inloggen met DigiD met SMS toe te staan.
Hogere betrouwbaarheidsniveaus maken de dienstverlening veiliger en maken een nauwkeuriger identiteitsvaststelling mogelijk, maar vragen altijd nadrukkelijke aandacht voor digitale toegankelijkheid voor burgers. De afweging tussen veiligheid en toegankelijkheid staat daarom centraal bij de doorontwikkeling van inlogmiddelen en bij het onderzoek naar de toepassing van hogere betrouwbaarheidsniveaus.
Toezicht
Hoe ziet het toelatingsproces voor inlogmiddelen eruit?
De Rijksinspectie Digitale Infrastructuur (RDI) is de onafhankelijke toezichthouder op alle leveranciers van authenticatiediensten en machtigingsdiensten in het Stelsel. De RDI toetst ook in het toelatingsproces – vooraf – of aanbieders aan de vereisten voor inlogmiddelen voldoen. Deze volgen uit de eIDAS verordening en de vereisten uit de wet.
Dit proces omvat technische (aansluit)eisen, maar ook organisatorische eisen (beheersmaatregelen zoals lifecycle management en continuïteitsbeheer) en personele eisen om onder andere aan te tonen dat een toetreder betrouwbaar en geschikt is.
Toelatingsproces authenticatie- en machtigingsdiensten
Authenticatiediensten en/of machtigingsdiensten die willen deelnemen aan het Stelsel Toegang, doen hiervoor een aanvraag tot erkenning. Het stappenplan dat daarbij hoort is gebaseerd op de eisen zoals die in de Wdo en onderliggende wet- en regelgeving zijn vastgesteld en bestaat uit de volgende fasen:
- Voorbereiden erkenningsaanvraag (testen)
Authenticatie- en machtigingsdiensten starten 6 tot 7 maanden voor de erkenningsaanvraag met de voorbereidingen. Voor de voorbereiding die betrekking heeft op het technische aspect van de erkenningsaanvraag en het testen van het aansluitproces, moeten de stelselvoorzieningen tijdig beschikbaar zijn en moet de serviceorganisatie gereed zijn om het toelatingsproces te ondersteunen.
Het (laten) uitvoeren van een aantal tests is onderdeel van de aanvraag tot erkenning. Van elke test moet een testrapportage worden opgeleverd. Het gaat om de volgende tests en bijbehorende rapportages.
Aansluittesten (opgesteld door Logius)
– Hiermee toont de aanvragende partij aan dat zij technisch in staat is om aan te sluiten op het Stelsel Toegang.
– Hiervoor moet de (definitieve) conformance testomgeving gereed zijn.
Penetratietest (opgesteld door een onafhankelijk testbedrijf dat de aanvrager hiervoor inhuurt)
– Deze test mag niet ouder zijn dan 12 maanden.
Middeltoets (opgesteld door een onafhankelijke partij die de aanvrager hiervoor inhuurt).
– Hiermee toont de aanvragende partij aan dat haar middel en het beheer daarvan van voldoende kwaliteit is. - Indienen aanvraag tot erkenning
Authenticatiediensten en machtigingsdiensten dienen een aanvraag tot erkenning in bij de RDI. Hiervoor leveren zij de rapportages van bovenstaande testen en de andere documenten zoals beschreven in de MR Eisen Open Toelating inlogmiddelen, aan bij RDI.
De aanvraag tot erkenning bij RDI heeft een verwachte doorlooptijd van minimaal 3 maanden, waarna RDI de aanvrager informeert over haar besluit. - Aansluiten (verplicht indien de aanvraag tot erkenning leidt)
Als de aanvraag tot een erkenning heeft geleid, krijgt de aanvrager maximaal 3 maanden de tijd om daadwerkelijk op het Stelsel (productieomgeving) aan te sluiten. Daarmee is de verwachte doorlooptijd vanaf het indienen van de aanvraag bij RDI totdat de aanvrager van een erkenning operationeel is 6 maanden.
Nu is sprake van een DigiD assessment. Wat is de impact van de Wdo op dit assessment? Waar kunnen we wel en niet op rekenen?
Toegang tot elektronische overheidsdiensten moet veilig zijn. Daarom zijn (semi-) overheidsinstanties die aangesloten zijn op DigiD nu al verplicht om de beveiliging van hun inlogsystemen en -processen door een erkend auditor te laten testen. Zij moeten elk jaar een rapport aanleveren bij Logius, waarmee wordt aangetoond dat de systemen, de beveiligingsprocessen en het beveiligingsbeleid in orde zijn. Ook wel bekend als het DigiD assessment.
Met de beoogde uitbreiding van het aantal inlogmiddelen onder de Wdo gaat deze plicht voor alle inlogmogelijkheden gelden. Dus ook voor de inlogprocessen waar bedrijven gebruik van maken. Het assessment krijgt een andere naam, maar kent vooralsnog hetzelfde normenkader, volgens hetzelfde proces. De al geldende eisen waaraan deze instanties en de door hen aangeleverde rapportages moeten voldoen, worden vastgelegd in een ministeriële regeling (Regeling dienstverleners informatieveiligheidsaudits Wdo). Het blijft ook mogelijk een zogeheten meervoudig assessment uit te voeren. De huidige aanvullingen op het DigiD normenkader voor meervoudige assessments zullen daarvoor onderdeel worden van het normenkader.
Migratie
Kunnen gemeenten er van uitgaan dat de DigiD assessment 1 assessment gaat worden omdat er maar 1 aansluiting nodig is?
Op dit moment hebben bijna alle gemeenten meerdere DigiD-aansluitingen. Er moet een assessment worden uitgevoerd voor elke elektronische dienstenomgeving.
Staat uw vraag er niet bij?
Stel hier uw vraag over online toegangsmiddelen vanuit de Wdo.
"*" geeft vereiste velden aan