Veelgestelde vragen over de inwerkingtreding van de Wdo

De Wet digitale overheid (Wdo) verplicht publieke dienstverleners om per dienst te bepalen welk betrouwbaarheidsniveau is vereist voor toegang tot hun digitale dienstverlening. Zij accepteren bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ alle door de overheid toegelaten inlogmiddelen. Ook accepteren zij digitale machtigingsverklaringen.
Publieke dienstverleners sluiten zich daarvoor aan op een nieuw Stelsel Toegang. En zijn verplicht de inlogmiddelen die voldoen aan de eisen van de Wdo te accepteren voor hun digitale diensten.
De Wdo bevat daarvoor, naast het regelen van de toegang, ook verplichtingen die belangrijk zijn voor het verlenen van digitale toegang. Zoals het gebruik maken van verplichte standaarden en voldoen aan regels rond informatiebeveiliging. Daarmee wordt ook een bijdrage geleverd aan de realisatie van de Werkagenda Waardengedreven Digitaliseren op deze punten.

Burgers en bedrijven moeten vanuit de Wdo veilig en betrouwbaar kunnen inloggen bij de (semi-) overheid. Dat betekent dat zij gebruik kunnen maken van elektronische identificatiemiddelen (eID) met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. Bovendien hebben burgers en bedrijven straks een keuze uit meerdere inlogmiddelen.
Aansluiten op het Stelsel heeft voordelen voor publieke dienstverleners. Overheidsorganisaties kunnen via één aansluitpunt burgers en bedrijven veilig toegang geven tot hun digitale dienstverlening: als dienstverleners zijn aangesloten op het Stelsel Toegang kunnen zij automatisch alle toegelaten middelen accepteren en daarmee voldoen aan de acceptatieplicht. Burgers en bedrijven kunnen zo van alle toegelaten middelen gebruik maken om langs digitale weg diensten af te nemen.

a-bestuursorgaan
Een a-bestuursorgaan is ingesteld op basis van publiekrecht. Het gaat om organen van de Staat, provincies en gemeenten, maar ook onder meer om DUO, de Belastingdienst en zelfstandige bestuursorganen zoals de Sociale Verzekeringsbank, de KVK, de RDW en de Huurcommissie.

Rechtelijke instanties
Rechterlijke instanties zijn onafhankelijke en bij wet ingestelde organen die met rechtspraak zijn belast. Het gaat om rechtbanken, gerechtshoven, de Hoge Raad, de Afdeling bestuursrechtspraak van de Raad van State, het College van Beroep voor het bedrijfsleven en de Centrale Raad van Beroep.

Aangewezen organisaties
Zorgverleners, indicatieorganen of zorgverzekeraars die op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, burgerservicenummers (bsn’s) verwerken.
Pensioenuitvoerders volgens artikel 1 van de Pensioenwet en artikel 1 van de Wet verplichte beroepspensioenregeling.
Universiteiten of hbo-instellingen volgens artikel 1.1 onder g van de Wet op het hoger onderwijs en wetenschappelijk onderzoek.

Vanaf het moment dat publieke dienstverleners zijn aangesloten op het Stelsel Toegang moeten ze machtigingen accepteren. Met machtigingen bedoelen we in dit geval elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is om namens een andere natuurlijke persoon, onderneming of rechtspersoon te handelen bij toegang tot de dienst.
Als een publieke dienstverlener het mogelijk maakt om voor een natuurlijke persoon als gemachtigde diensten af te nemen, dan moet en mag hij alleen die machtigingen van DigiD Machtigen accepteren. Als het om het vertegenwoordigen van rechtspersonen gaat, moet en mag een publieke dienstverlener alleen die machtigingen van erkende machtigingsdiensten accepteren.

Een dienstverlener is onder de Wdo niet verplicht om digitale dienstverlening aan te bieden waarvoor een burger een ander kan machtigen. Doet een dienstverlener dit wel, dan is hij verplicht om daarvoor DigiD Machtigen te gebruiken als de dienst is geclassificeerd op niveau substantieel of hoog.

Na de invoering van het Stelsel Toegang kan een burger of bedrijf, naast DigiD of eHerkenning, gebruik maken van andere erkende inlogmiddelen om bij verschillende overheidsdienstverleners in te loggen. Deze middelen worden voordat zij erkend worden getoetst aan de eisen die de Wdo stelt. Dat betekent voor burgers dat ze naast DigiD ook kunnen kiezen voor een door de Rijksoverheid erkend middel van een private aanbieder. Het staat aanbieders met een of meerdere inlogmiddelen vrij om een zogeheten erkenningsproces te doorlopen. Afhankelijk van de resultaten wordt het betreffende inlogmiddel toegelaten tot het Stelsel Toegang, of wordt erkenning afgewezen. Ook na toetreding worden de inlogmiddelen continu getoetst.

Zodra een publieke dienstverlener aansluit op het Stelsel Toegang geldt ook de zogeheten acceptatieplicht. Dit moment wordt vastgesteld in overleg met de publieke dienstverlener en opgenomen in de regeling Aansluitschema. Dit houdt in dat publieke dienstverleners vanaf dat moment alle op dat moment erkende authenticatie- en machtigingsdiensten moeten accepteren. Het aanbod van erkende authenticatiediensten is afhankelijk van een aantal factoren en kan dynamisch zijn. Juist om daar wendbaar in te zijn wordt binnen het Stelsel Toegang een uniform koppelvlak aangeboden. Op die manier beschikt een publieke dienstverlener die is aangesloten op het Stelsel Toegang altijd over alle erkende authenticatie- en machtigingsdiensten.

Publieke inlogmiddelen

• DigiD

Erkende private inlogmiddelen

• Er zijn op dit moment nog geen private inlogmiddelen erkend.

Genotificeerde inlogmiddelen van andere EU-lidstaten

• Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.

Vanaf hun eigen aansluitdatum op het Stelsel Toegang moeten (semi-) publieke dienstverleners ervoor zorgen dat ondernemingen en rechtspersonen die ingeschreven kunnen worden in het Handelsregister bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ in kunnen loggen met de volgende (typen) middelen.

Bedrijfs- en organisatiemiddelen die gedurende een overgangsperiode van 18 maanden na de start van de open toelating geacht worden erkend te zijn.

• Dit betreft eHerkenning. Er zijn op dit moment nog geen (andere) erkende bedrijfs- en organisatiemiddelen.

Genotificeerde inlogmiddelen van andere EU-lidstaten

• Bekijk een actueel overzicht van door Europa erkende nationale inlogmiddelen.

Publieke dienstverleners betalen mee aan de voorzieningen van de Generieke Digitale Infrastructuur. De GDI wordt met ingang van 2023 centraal gefinancierd. Dat maakt een einde aan de naheffingen voor het gebruik van de voorzieningen in de GDI. Over de financiering van nieuwe voorzieningen en diensten vindt besluitvorming plaats in de Programmeringsraad GDI. Of het Stelsel Toegang in de GDI zit, wordt besloten door de PGDI.

Er zijn potentiële kandidaten; of en wanneer deze in het Stelsel beschikbaar zullen komen is niet duidelijk. Die afweging maken die partijen zelf.

De exacte scope van het publieke middel voor bedrijven is onderhevig aan politieke besluitvorming.

Dat is niet juist. Er komt een publiek middel voor bedrijven en er komen private middelen. Die private middelen kunnen eHerkenningsmiddelen zijn.

In eerste instantie zal het publiek bedrijfsmiddel enkel beschikbaar zijn voor zelfstandig bevoegd bestuurders om diensten af te nemen bij de Belastingdienst. Er komt een publiek middel voor bedrijven en er komen private middelen. Die private middelen kunnen eHerkenningsmiddelen zijn.

DigiD en eIDAS (voor de genotificeerde Europese inlogmiddelen) komen sowieso in het stelsel beschikbaar als publieke inlogmiddelen. Dit zal op zijn vroegst plaatsvinden vanaf medio 2024. Publieke dienstverleners zijn nu al verplicht om eIDAS in te accepteren als zij een dienst op niveau substantieel of hoog aanbieden. We hebben nog geen planning voor de toelating van private inlogmiddelen.

De acceptatieplicht staat voor de verplichting die publieke dienstverleners hebben om alle toegelaten inlogmiddelen voor burgers en bedrijven te accepteren. Deze verplichting gaat direct in vanaf het moment dat de publieke dienstverlener formeel is aangesloten op het Stelsel (de datum die wordt per publieke dienstverlener in overleg vastgesteld en opgenomen in het ministeriele regeling aansluitschema).

De Eerste Kamer heeft de Wdo op 21 maart 2023 aangenomen. De wet treedt op 1 juli 2023 gefaseerd in werking. De techniek (ICT) en de organisatie achter het stelsel Toegang zijn naar verwachting in 2025 klaar.

De acceptatieplicht gaat pas gelden als een instantie technisch en organisatorisch klaar is om aan te sluiten. De departementen en de publieke dienstverleners stellen in samenwerking met het ministerie van BZK een aansluitschema op. Dit schema bevat data waarop de acceptatieplicht geldt en een gebruiker hier rechten aan kan ontlenen. Ook hiervoor geldt dat het aansluiten op onderdelen gefaseerd kan gaan. Het aansluitschema zal daarom periodiek aangevuld worden.

De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau. Het ministerie van BZK ontwikkelde deze regelhulp samen met RVO.

In 2024 ontwikkelt het ministerie van BZK hulpmiddelen en handleidingen waarmee publieke dienstverleners zich stapsgewijs kunnen voorbereiden op het aansluiten op het Stelsel. Publieke dienstverleners weten op tijd wat zij nodig hebben om toegang te krijgen tot het stelsel en welke technische specificaties daarbij horen. Het ministerie van BZK overlegt met de dienstverleners welk moment voor hen het beste is.
Publieke dienstverleners kunnen in de periode 2024 tot en met de tweede helft van 2026 aansluiten.

Hier is nog geen exacte planning voor te geven. De Eerste Kamer heeft de Wdo op 21 maart 2023 aangenomen. De wet treedt op 1 juli 2023 gefaseerd in werking. De techniek (ICT) en de organisatie achter het bedrijvendomein zijn naar verwachting medio 2025 klaar.

Publieke dienstverleners kunnen beginnen met het classificeren van de betrouwbaarheidsniveaus van alle individuele digitale diensten die zij aan burgers en bedrijven leveren (zie vraag 6 en de Regeling betrouwbaarheidsniveaus (wetten.nl – Regeling – Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening – BWBR0048168 (overheid.nl)). Afhankelijk van het type organisatie zijn dit enkele tot soms honderden dienstverleningsprocessen. Daarvoor moeten de klanten voor de website steeds beschikken over een authenticatiemiddel van het juiste betrouwbaarheidsniveau. Publieke dienstverleners kunnen al starten met voorlichting daarover.

Publieke dienstverleners bepalen per online dienst het betrouwbaarheidsniveau waarop gebruikers moeten inloggen. Dat doen ze op basis van de conceptregeling betrouwbaarheidsniveaus. Daarin staan de regels en criteria voor een betrouwbaarheidsniveau dat past bij de risico’s van de dienst.

De Regelhulp betrouwbaarheidsniveaus helpt publieke dienstverleners bij het keuzeproces voor het juiste betrouwbaarheidsniveau. Het ministerie van BZK ontwikkelde deze regelhulp samen met RVO.

In de Europese regelgeving zijn drie betrouwbaarheidsniveaus vastgesteld voor door de overheid erkende authenticatiemiddelen:

• laag
• substantieel
• hoog

In Nederland spreken we in het geval van DigiD ook van niveau ‘midden’ als we het hebben over het inloggen met SMS, of tweefactorauthenticatie. Op Europees niveau kennen we het niveau ‘midden’ niet. Zowel inloggen met gebruikersnaam en wachtwoord EN tweefactorauthenticatie worden in Europese regelgeving beschouwd als niveau Laag. De betrouwbaarheidsniveaus in de Wdo zijn gebaseerd op de Europese regelgeving. Als we dus spreken van de betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’, dan worden daarmee de betrouwbaarheidsniveaus bedoeld zoals op Europees niveau zijn vastgesteld.

De Wdo heeft betrekking op alle digitale overheidsdienstverlening die wordt geclassificeerd voor de betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’. Als van digitale dienstverlening wordt vastgesteld dat betrouwbaarheidsniveau ‘laag’ afdoende is, dan valt deze dienstverlening buiten de scope van de Wdo. Dat betekent dat deze dienstverlening niet door de Wdo wordt gereguleerd.

De Wdo regelt overheidsdienstverlening die wordt geclassificeerd op ‘substantieel’ en ‘hoog’. De Wdo faseert inloggen op niveau ‘laag’ niet uit, en daarmee kan het dus gebruikt worden, alleen wordt de dienstverlening op dat niveau niet gereguleerd door deze wet. Op het moment dat dienstverlening op ‘substantieel’ geclassificeerd wordt, kunnen dienstverleners overigens tijdelijk nog teruggevallen op niveau laag met als ondergrens tweefactorauthenticatie. De termijn waarop de dienst vervolgens naar ‘substantieel’ gaat, is flexibel: er is altijd ruimte voor beleid voor inclusie. Zo kan het zijn dat besloten wordt om langer inloggen met DigiD met SMS toe te staan.
Hogere betrouwbaarheidsniveaus maken de dienstverlening veiliger en maken een nauwkeuriger identiteitsvaststelling mogelijk, maar vragen altijd nadrukkelijke aandacht voor digitale toegankelijkheid voor burgers. De afweging tussen veiligheid en toegankelijkheid staat daarom centraal bij de doorontwikkeling van inlogmiddelen en bij het onderzoek naar de toepassing van hogere betrouwbaarheidsniveaus.

De Rijksinspectie Digitale Infrastructuur (RDI) is de onafhankelijke toezichthouder op alle leveranciers van authenticatiediensten en machtigingsdiensten in het Stelsel. De RDI toetst ook in het toelatingsproces – vooraf – of aanbieders aan de vereisten voor inlogmiddelen voldoen. Deze volgen uit de eIDAS verordening en de vereisten uit de wet.
Dit proces omvat technische (aansluit)eisen, maar ook organisatorische eisen (beheersmaatregelen zoals lifecycle management en continuïteitsbeheer) en personele eisen om onder andere aan te tonen dat een toetreder betrouwbaar en geschikt is.

Toelatingsproces authenticatie- en machtigingsdiensten
Authenticatiediensten en/of machtigingsdiensten die willen deelnemen aan het Stelsel Toegang, doen hiervoor een aanvraag tot erkenning. Het stappenplan dat daarbij hoort is gebaseerd op de eisen zoals die in de Wdo en onderliggende wet- en regelgeving zijn vastgesteld en bestaat uit de volgende fasen:

1.  Voorbereiden erkenningsaanvraag (testen)
   Authenticatie- en machtigingsdiensten starten 6 tot 7 maanden voor de erkenningsaanvraag met de voorbereidingen. Voor de voorbereiding die betrekking heeft op het technische aspect van de erkenningsaanvraag en het testen van het aansluitproces, moeten de stelselvoorzieningen tijdig beschikbaar zijn en moet de serviceorganisatie gereed zijn om het toelatingsproces te ondersteunen.
   Het (laten) uitvoeren van een aantal tests is onderdeel van de aanvraag tot erkenning. Van elke test moet een testrapportage worden opgeleverd. Het gaat om de volgende tests en bijbehorende rapportages.
   Aansluittesten (opgesteld door Logius)
   – Hiermee toont de aanvragende partij aan dat zij technisch in staat is om aan te sluiten op het Stelsel Toegang.
   – Hiervoor moet de (definitieve) conformance testomgeving gereed zijn.
   Penetratietest (opgesteld door een onafhankelijk testbedrijf dat de aanvrager hiervoor inhuurt)
   – Deze test mag niet ouder zijn dan 12 maanden.
   Middeltoets (opgesteld door een onafhankelijke partij die de aanvrager hiervoor inhuurt).
   – Hiermee toont de aanvragende partij aan dat haar middel en het beheer daarvan van voldoende kwaliteit is.
2. Indienen aanvraag tot erkenning
   Authenticatiediensten en machtigingsdiensten dienen een aanvraag tot erkenning in bij de RDI. Hiervoor leveren zij de rapportages van bovenstaande testen en de andere documenten zoals beschreven in de MR Eisen Open Toelating inlogmiddelen, aan bij RDI.
   De aanvraag tot erkenning bij RDI heeft een verwachte doorlooptijd van minimaal 3 maanden, waarna RDI de aanvrager informeert over haar besluit.
3. Aansluiten (verplicht indien de aanvraag tot erkenning leidt)

Als de aanvraag tot een erkenning heeft geleid, krijgt de aanvrager maximaal 3 maanden de tijd om daadwerkelijk op het Stelsel (productieomgeving) aan te sluiten. Daarmee is de verwachte doorlooptijd vanaf het indienen van de aanvraag bij RDI totdat de aanvrager van een erkenning operationeel is 6 maanden.

Toegang tot elektronische overheidsdiensten moet veilig zijn. Daarom zijn (semi-) overheidsinstanties die aangesloten zijn op DigiD nu al verplicht om de beveiliging van hun inlogsystemen en -processen door een erkend auditor te laten testen. Zij moeten elk jaar een rapport aanleveren bij Logius, waarmee wordt aangetoond dat de systemen, de beveiligingsprocessen en het beveiligingsbeleid in orde zijn. Ook wel bekend als het DigiD assessment.

Met de beoogde uitbreiding van het aantal inlogmiddelen onder de Wdo gaat deze plicht voor alle inlogmogelijkheden gelden. Dus ook voor de inlogprocessen waar bedrijven gebruik van maken. Het assessment krijgt een andere naam, maar kent vooralsnog hetzelfde normenkader, volgens hetzelfde proces. De al geldende eisen waaraan deze instanties en de door hen aangeleverde rapportages moeten voldoen, worden vastgelegd in een ministeriële regeling (Regeling dienstverleners informatieveiligheidsaudits Wdo). Het blijft ook mogelijk een zogeheten meervoudig assessment uit te voeren. De huidige aanvullingen op het DigiD normenkader voor meervoudige assessments zullen daarvoor onderdeel worden van het normenkader.

Op dit moment hebben bijna alle gemeenten meerdere DigiD-aansluitingen. Er moet een assessment worden uitgevoerd voor elke elektronische dienstenomgeving.