Integriteitstoetsing private aanbieders ontbreekt in consultatie “Digitale toegang tot dienstverlening van de overheid”

Op 22 december jl. is de wetgevingsconsultatie inzake authenticatiesystemen voor toegang tot de overheid gestart. In de aankondiging staat het volgende:

Dit wetsvoorstel geeft invulling aan het kabinetsvoornemen tot een digitaal werkende (semi)overheid. Om digitale dienstverlening in het publieke domein te intensiveren, is veilige en betrouwbare toegang daartoe door burgers en bedrijven nodig (authenticatie). Dit zal geschieden via erkende publiek en privaat uitgegeven middelen.

Dit wetsvoorstel verplicht als zodanig niet tot digitale dienstverlening.

Een kernbepaling is artikel 5, dat bepaalt dat de overheid uitsluitend toegang verschaft door middel van betrouwbare machtigings- en attributendiensten:

Artikel 5. Acceptatieplicht
1. Bestuursorganen en aangewezen organisaties verlenen uitsluitend toegang tot hun elektronische dienstverlening waarvoor, ingevolge de toepassing van de regels bedoeld in het vijfde lid, het betrouwbaarheidsniveau substantieel of hoog als bedoeld in Verordening (EU) nr. 910/2014 vereist is, onder de voorwaarde dat gebruik word gemaakt van een erkend middel dat door een erkende ontsluitende dienst wordt ontsloten, gebruik makend van, voor zover van toepassing, een erkende machtigingsdienst of erkende attributendienst.
2. Bestuursorganen en aangewezen organisaties accepteren bij de toegang tot hun elektronische dienstverlening alle erkende middelen en erkende machtigingsdiensten, mits dat middel en die dienst ten minste van het voor de betreffende dienstverlening vereiste betrouwbaarheidsniveau is. 3. Met een erkend middel wordt gelijkgesteld een middel dat behoort tot een door een ander lidstaat van de Europese Unie ingevolge Verordening (EU) nr. 910/2014 bij de Europese Commissie aangemeld stelsel.
4. Indien de elektronische dienstverlening, waarvoor het betrouwbaarheidsniveau substantieel of hoog is vereist, als bedoeld in het eerste lid, via het centraal loket, bedoeld in artikel 1 van de Dienstenwet, plaatsvindt, verlenen bestuursorganen en aangewezen organisaties tevens toegang tot die elektronische dienstverlening indien de voor deze dienstverlening benodigde elektronische gegevens zijn voorzien van een geavanceerde elektronische handtekening als bedoeld in artikel 3, onderdeel 11, van de Verordening (EG) nr. 910/2014, respectievelijk een gekwalificeerde elektronische handtekening als bedoeld in artikel 3, onderdeel 12, van de Verordening (EG) nr. 910/2014.
5. Bestuursorganen en aangewezen organisaties bepalen met inachtneming van bij ministeriële regeling te stellen regels voor welke elektronische dienst tenminste het betrouwbaarheidsniveau substantieel of hoog geldt.
6. Een erkend publiek middel wordt uitsluitend gebruikt voor de toegang tot elektronische dienstverlening door bestuursorganen en aangewezen organisaties.

Integriteitstoetsing private aanbieders ontbreekt

Artikel 7 van het voorstel bevat eisen die aan private aanbieders worden gesteld:

Artikel 7. Eisen aan erkende diensten, erkende middelen en publieke voorziening
1. Een erkende authenticatiedienst, een erkende ontsluitende dienst, een erkende machtigingsdienst en een erkende attributendienst voldoen aan de voor de desbetreffende dienst bij of krachtens algemene maatregel van bestuur te stellen eisen met betrekking tot de werking, beveiliging en betrouwbaarheid van die diensten.
2. Erkende middelen, alsmede de voorziening, bedoeld in artikel 4, eerste lid, onderdeel c, voldoen aan bij of krachtens algemene maatregel van bestuur te stellen eisen met betrekking tot de werking, beveiliging en betrouwbaarheid van die middelen of die voorziening. Deze eisen hebben mede betrekking op uitgifte en beëindiging van erkende middelen.
3. Een ontsluitende dienst ontsluit ten behoeve van elektronische dienstverlening met het betrouwbaarheidsniveau substantieel of hoog uitsluitend erkende middelen van erkende authenticatiediensten.
4. De in het eerste lid bedoelde eisen kunnen mede zien op de wijze van ontsluiten en kunnen betrekking hebben op ontsluitende diensten, authenticatiediensten, machtigingsdiensten en attributendiensten.
5. De diensten, bedoeld in het eerste lid, alsmede Onze Minister als verantwoordelijke voor de voorziening als bedoeld in artikel 4, eerste lid, onderdeel c, stellen zonder onnodige vertraging, maar in ieder geval binnen 24 uur nadat zij hiervan op de hoogte zijn geraakt, de toezichthouder bedoeld in artikel 10 op de hoogte van iedere veiligheidsinbreuk of ieder integriteitsverlies met aanzienlijke gevolgen voor de veilige en betrouwbare toegang tot elektronische dienstverlening. De op grond van artikel 18.15a van de Telecommunicatiewet gestelde eisen met betrekking tot de te verstrekken gegevens en de wijze van verstrekking zijn op deze melding van overeenkomstige toepassing.
6. Indien de veiligheidsinbreuk of het integriteitsverlies negatieve gevolgen zal hebben voor een natuurlijke persoon of een rechtspersoon aan wie de betrokken dienst is aangeboden, stellen de diensten, bedoeld in het eerste lid, of Onze Minister als verantwoordelijke voor de voorziening als bedoeld in artikel 4, eerste lid, onderdeel c, ook de natuurlijke persoon of de rechtspersoon in kennis van de veiligheidsinbreuk of het integriteitsverlies.
7. De meldplicht, bedoeld in het vijfde lid, geldt niet voor zover de betreffende dienst reeds op grond van artikel 19, tweede lid van Verordening (EU) nr. 910/2014 gehouden is de veiligheidsinbreuk of het integriteitsverlies te melden.

Opvallend is dat de eisen die aan private partijen worden gesteld slechts “eisen met betrekking tot de werking, beveiliging en betrouwbaarheid van die diensten” betreffen.

De ontwerpers van de regeling hebben nagelaten een basis op te nemen voor een integriteitstoetsing van de aanbieders, met inbegrip van een betrouwbaarheidstoetsing van de beleidsbepalers bij private aanbieders (personentoetsing). Nu de private partijen een belangrijke rol gaan spelen in het systeem van toegang tot de overheid en die private partijen grote hoeveelheden vertrouwelijke gegevens (inclusief persoonsgegevens) gaan verwerken, is integriteitstoezicht op dergelijke partijen essentieel.

Het is te hopen dat dit doordringt tot het ministerie van binnenlandse zaken en koninkrijksrelaties. Meer informatie is bij het ministerie van financiën te verkrijgen.

Tot slot

Het wordt tijd dat de Nederlandse overheid veilige systemen aanbiedt om in te loggen op overheidssystemen, welke overheidssystemen eveneens veilig dienen te zijn en aan alle eisen op gebied van privacy en betrouwbaarheid dienen te voldoen.

Meer informatie:

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s