Wet digitale overheid van start

Overheidsorganisaties, maar ook de zorgsector en onderwijsinstellingen, moeten vanaf zaterdag 1 juli voldoen aan strengere eisen rondom digitalisering. Dan wordt het eerste deel van de nieuwe Wet digitale overheid van kracht. Dat deel gaat over veilig inloggen op dienstverlening bij (semi-)overheidsinstanties.

Kaderwet

Nederland digitaliseert steeds verder, zo ook de overheid. De nieuwe Wet digitale overheid (Wdo) moet daar bij de overheid de basis voor leggen, aan de hand van regels over veiligheid en door te zorgen dat er zoveel mogelijk met standaarden wordt gewerkt.

De Wdo komt echter nog niet met heel gedetailleerde regelgeving. Het is namelijk een kaderwet, wat betekent dat er alleen algemene principes, verantwoordelijkheden en procedures mee worden geregeld. De hoop is dat er op die manier genoeg flexibiliteit ontstaat om ook in te springen op nieuwe ontwikkelingen, terwijl zaken als gebruiksvriendelijkheid, security, privacy en digitale inclusie wel geborgd zijn.

Invoering in fasen 

Opvallend is dat de wet in fasen wordt ingevoerd. Op 1 juli wordt alleen de eerste tranche (deel) van kracht. Dat deel gaat over veilig inloggen op dienstverlening bij (semi-)overheidsinstanties. Niet alleen worden hiermee de taken en verantwoordelijkheden voor veilige toegang tot de digitale overheid vastgelegd, maar mede-overheden moeten bijvoorbeeld ook hun dienstverlening indelen op betrouwbaarheidsniveau. Verder bevat de wet regels over de bekostiging daarvoor en uitgangspunten voor informatiebeveiliging en de verwerking van persoonsgegevens.

Betrouwbaarheidsniveau bepalen

Volgens de nieuwe wet moeten publieke dienstverleners straks per dienst op basis van de Europese eIDAS-verordening gaan bepalen welk betrouwbaarheidsniveau vereist is voor toegang tot hun digitale dienstverlening. Is dat betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’, dan accepteren zij alle door de overheid toegelaten inlogmiddelen en digitale machtigingsverklaringen.

Publieke en private identificatiemiddelen

Maar welke diensten worden dan toegelaten? Dat moet de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) volgens de Wdo gaan bepalen. De minister kan publieke identificatiemiddelen toewijzen als toegelaten, mits die voldoen aan de gestelde eisen rondom de werking, beveiliging en betrouwbaarheid. DigiD en eHerkenning zijn bijvoorbeeld al toegelaten. Daarnaast kunnen private identificatiemiddelen – dus gemaakt door bijvoorbeeld private bedrijven – toegelaten worden, mits die door de minister erkend worden en voldoen aan de eisen. De toegelaten inlogmiddelen worden opgenomen in het nieuwe stelsel Toegang.

Toegelaten inlogmiddelen moeten verplicht door (semi)overheden geaccepteerd worden. Verder worden ze met de Wdo verplicht om mee te betalen aan het gebruik van inlogmiddelen door burgers. Gaat een gemeente dus aan de slag met een nieuw inlogmiddel, dan moet zij daar zelf (deels) voor betalen.

Ruimte voor innovatie

De nadere uitwerking van regelgeving voor inlogmiddelen en (semi)overheden vindt plaats in de lagere regelgeving, zoals ministeriële regelingen. ‘Zo is er ruimte voor innovatie, verdere keuzes en nieuwe voorzieningen en functionaliteiten’, redeneert de rijksoverheid. Toch noemt de wet al wel wat basisstandaarden waaraan gedacht kan worden. Zo moet de gebruiker van een identificatiemiddel de nodige maatregelen nemen om misbruik, diefstal en verlies of verspreiding van zijn identificatiemiddel te voorkomen, en dat de leverancier aan een leveringsplicht moet voldoen.

Open standaarden verplicht

Verder is in de wet een grondslag opgenomen waarmee de zogenoemde open standaarden verplicht kunnen worden gesteld. De open standaarden omvatten bijvoorbeeld het gebruik van DMARC en DNSSEC. Niet alle standaarden zijn verplicht, maar de Wdo regelt in ieder geval wel dat overheidswebsites verplicht gebruik moeten gaan maken van HTTPS en HSTS, om gegevens van burgers zo goed mogelijk te beschermen. Volgens de meest recente meting van Forum Standaardisatie maakt nu 93% van de 2.654 onderzochte overheidsdomeinen gebruik van HTTPS en gebruikt 78% HSTS.

Overheid, zorg, onderwijs, pensioenfondsen en rechtelijke macht

De Wet digitale overheid geldt voor (semi)overheidsinstanties. Het gaat dan om bestuursorganen als gemeenten en uitvoeringsinstanties als het UWV, de Belastingdienst, DUO en de RDW. Maar de wet geldt ook voor aangewezen organisaties, zoals de zorgsector, onderwijsinstellingen en pensioenfondsen. En ook de rechterlijke macht valt onder de nieuwe Wet digitale overheid.

Stelsel Toegang nog niet klaar

Hoewel de eerste tranche per 1 juli in gaat, hoeven de organisaties nog niet direct aan de eisen te voldoen. De Wdo gaat pas gelden als een instantie technisch en organisatorisch klaar is om aan te sluiten. Naar verwachting is de ICT en de organisatie achter het stelsel Toegang – waarmee bepaald wordt welke diensten toegelaten worden – in 2024 klaar. Pas dan kunnen dienstverleners bij het stelsel en kunnen inlogmiddelen erkend worden. In de komende drie jaar sluiten alle dienstverleners aan op het stelsel. Alle overheidsorganisaties moeten in de tweede helft van 2026 over zijn op het nieuwe stelsel Toegang.

Om te helpen bij de overgang, ontwikkelt het ministerie van BZK dit jaar nog hulpmiddelen en handleidingen voor publieke dienstverleners, waarmee zij zich stapsgewijs kunnen voorbereiden op het aansluiten op het stelsel.

Naleving

De Rijksinspectie Digitale Infrastructuur gaat vanaf 1 juli toezicht houden op de naleving van de eisen die in de Wdo en onderliggende regelgeving aan authenticatie- en machtigingsdiensten worden opgelegd. Daarnaast moeten publieke dienstverleners voldoen aan gestelde eisen over informatieveiligheid, die aansluiten bij de huidige praktijk van DigiD-aansluitingen. Daar ziet Logius op toe. Wordt de nieuwe wet niet nageleefd, dan kan de minister van BZK een bestuurlijke boete opleggen van maximaal 90.000 euro.

Tweede deel Wdo

Op 1 juli wordt alleen de eerste tranche van de Wdo van kracht. De tweede tranche is nog in de maak en bij dat deel komen weer andere onderwerpen in aanmerking. Zo kan er een kader opgenomen worden voor het verantwoord delen van digitale persoonsgegevens met partijen binnen en buiten de overheid.

Verder komen er mogelijk regels over het beleggen van de verantwoordelijkheid voor het stelsel van basisregistraties en het bewaken van de werking daarvan. Tot slot moet de wet antwoord geven op de vraag: hoe kunnen in de Wdo het burger- en bedrijvendomein verder naar elkaar toe groeien? Wanneer de tweede tranche in werking gaat treden, is nog onduidelijk. 

Dit artikel verscheen eerder op AG Connect.