De Wet digitale overheid (Wdo) maakt het mogelijk dat burgers naast DigiD ook kunnen kiezen voor een door de Rijksoverheid erkend middel van een private aanbieder. Daardoor wordt de afhankelijkheid van 1 inlogmiddel weggenomen. Aan andere inlogmiddelen worden eisen gesteld om de veiligheid en privacy te borgen.
Ministeriële regeling nadere eisen identificatiemiddelen, authenticatiediensten en machtigingsdiensten Wdo
Deze regeling bevat, samen met het Besluit identificatiemiddelen natuurlijke personen Wdo en het Besluit bedrijfs- en organisatiemiddel Wdo, de eisen waaraan publieke en private inlogmiddelen moeten voldoen voordat zij worden toegelaten onder de Wdo. De regels richten zich op de aanbieders van publieke inlogmiddelen (zoals DigiD) en private inlogmiddelen.
Publicatie
De publicatie van de eisen waaraan publieke en private inlogmiddelen moeten voldoen is bedoeld om geïnteresseerde partijen inzage te bieden. Zo kunnen zij zich voorbereiden op hun toelating. De regelgeving treedt in werking als de benodigde technische voorzieningen gereed zijn en de open toelating start. Op een later moment wordt daartoe een inwerkingtredingsbesluit gepubliceerd.
Toezichthouder
De Rijksinspectie Digitale Infrastructuur (RDI) is de onafhankelijke toezichthouder op alle leveranciers van authenticatie- en machtigingsdiensten in het stelsel. De RDI toetst ook in het toelatingsproces – vooraf – of aanbieders aan de vereisten voor inlogmiddelen voldoen. Deze volgen uit de eIDAS-verordening en de vereisten uit de wet.
Toelatingsproces authenticatie- en machtigingsdiensten
Stappenplan toelatingsproces
Het stappenplan dat daarbij hoort is gebaseerd op de eisen zoals die in de Wdo en onderliggende wet- en regelgeving zijn vastgesteld. Het bestaat uit de volgende fasen:
Voorbereiden erkenningsaanvraag
Het (laten) uitvoeren van een aantal tests is onderdeel van de aanvraag tot erkenning. Van elke test moet een testrapportage worden opgeleverd. Het gaat om de volgende tests en bijbehorende rapportages:
- Aansluittesten: hiermee toont de aanvragende partij aan dat deze technisch in staat is om aan te sluiten op het Stelsel Toegang. Hiervoor moet de (definitieve) ‘conformance’ testomgeving gereed zijn.
- Penetratietest: (opgesteld door een onafhankelijk testbedrijf onder verantwoordelijkheid van de aanvrager) hiermee toont de aanvragende partij aan dat de systemen getoetst zijn op kwetsbaarheden. Deze test mag niet ouder zijn dan 12 maanden.
- Middeltoets: (opgesteld door een onafhankelijke partij onder verantwoordelijkheid van de aanvrager) hiermee toont de aanvragende partij aan dat diens middel en het beheer daarvan van voldoende kwaliteit is.
Indienen aanvraag tot erkenning
Authenticatiediensten en machtigingsdiensten dienen een aanvraag in tot erkenning bij de RDI. Hiervoor leveren zij de rapportages van eerdergenoemde testen en de andere documenten aan bij RDI, zoals beschreven in de bijbehorende Ministeriele Regeling. De aanvraag tot erkenning bij RDI heeft een verwachte doorlooptijd van minimaal 3 maanden. De RDI adviseert de minister van BZK over haar erkenningsbesluit. Als de minister akkoord gaat, wordt het inlogmiddel toegelaten. RDI informeert de aanvrager hierover.
Aansluiten
Als de aanvraag tot een erkenning heeft geleid, krijgt de aanvrager maximaal 3 maanden de tijd om daadwerkelijk op het stelsel (productieomgeving) aan te sluiten. Daarmee is de verwachte doorlooptijd vanaf het indienen van de aanvraag bij RDI totdat de aanvrager van een erkenning operationeel ongeveer 6 maanden.
Planning
Het toelatingsproces voor erkenning van private inlogmiddelen is waarschijnlijk in 2026 gereed. Vanaf dat moment kunnen bedrijven een verzoek indienen. Een gedetailleerde procesbeschrijving is naar verwachting eind 2025 beschikbaar.
