Consultatie wijziging Besluit verwerking persoonsgegevens generieke digitale infrastructuur

Vandaag is de internetconsultatie inzake de Algemene maatregel van bestuur houdende wijziging van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur van start gegaan.

Onderwerp consultatie
Uit de aankondiging blijkt dat het over het volgende gaat:

Het betreft een uitvoeringsregeling bij het Wetsvoorstel Digitale overheid. De concept-AmvB reguleert de onderwerpen persoonsgegevensverwerking en informatieveiligheid bij de toegang tot elektronische dienstverlening. (…)

Doelgroepen die door de regeling worden geraakt
Normadressaten zijn: de Minister van BZK, (semi-)publieke dienstverleners (bestuursorganen, uitvoeringorganisaties) en private partijen die een rol spelen in het eID-stelsel.

Verwachte effecten van de regeling voor de doelgroepen
– De Minister van BZK, als verantwoordelijke voor de betrokken generieke digitale voorzieningen, en de private partijen die een rol spelen in het eID-stelsel moeten aan de eisen mbt gegevensverwerking voldoen;
– Publieke dienstverleners moeten mbt de toegang tot hun elektronische dienstverlening aan de eisen inzake informatiebeveiliging. De eisen sluiten aan bij de reeds bestaande praktijk.

Private authenticatie-, ontsluitings- en machtigingsdiensten
Uit de consultatietekst blijkt dat het niet alleen gaat om de technische veiligheidseisen waaraan overheidsorganisaties [bestuursorganen, (publieke) dienstverleners of (semi)overheden] dienen te voldoen. De regeling richt zich ook tot

toegelaten en erkende private authenticatiediensten, erkende private ontsluitingsdienstenen erkende private machtigingsdiensten

In relatie tot de private partijen die een rol spelen bij authenticatie en dergelijke, wordt in de consultatietekst alleen gesproken over de technische en organisatorische aspecten, bijvoorbeeld over informatieveiligheid en pseudonimisering van het BSN.

Geen integriteitstoetsing private partijen
Aandacht voor integriteitstoezicht ten aanzien van de private partijen die een rol spelen in het voorgestelde systeem, ontbreekt.
Ook in het voorstel voor de Wet digitale overheid vond ik daar niets over. Zie bijvoorbeeld artikel 13 lid 1 van het wetsvoorstel:

Bestuursorganen en aangewezen organisaties voldoen aan bij of krachtens algemene maatregel van bestuur te stellen regels met betrekking tot de werking, betrouwbaarheid en beveiliging van de toegang tot elektronische dienstverlening die zij in stand houden.

Het begrip ‘integriteit’ komt het consultatiedocument alleen voor in relatie tot informatiesystemen. Dat betekent dat een private partij met malafide bestuurders of malafide medewerkers toegang zou kunnen krijgen tot vertrouwelijke persoonsgegevens. Wat mij betreft hoort toetsing van de betrouwbaarheid van personen (onder meer belangrijke leidinggevenden en IT-mensen op sleutelposities) onderdeel te zijn van de regelgeving.

Misschien zou het ministerie van binnenlandse zaken over dit onderwerp eens het licht kunnen opsteken bij het ministerie van financiën.

DigiD hoog
In de toelichting worden de plannen om een veilig ‘DigiD’ tot stand te brengen toegelicht, onder meer:

Publieke identificatiemiddelen met het hoogste betrouwbaarheidsniveau (DigiD hoog) zullen worden geplaatst in de elektronische chip die is aangebracht op wettelijke identiteitsdocumenten. In eerste instantie wordt gedacht aan het rijbewijs en de Nederlandse identiteitskaart (NIK) als drager. (…)

Publieke identificatiemiddelen met het hoogste betrouwbaarheidsniveau (DigiD hoog) zullen worden geplaatst in de elektronische chip die is aangebracht op wettelijke identiteitsdocumenten. In eerste instantie wordt gedacht aan het rijbewijs en de Nederlandse identiteitskaart (NIK) als drager. (…) Daarbij wordt de mogelijkheid open gehouden om op termijn niet alleen de NIK, maar ook andere documenten, zoals paspoorten, als drager van een identificatiemiddel op niveau hoog aan te wijzen. (…)

Ook wordt met de wet digitale overheid beoogd om voor DigiD de eidas-betrouwbaarheidsniveaus “substantieel” en “hoog” beschikbaar te laten komen. Daarbij is voorzien dat dit gebeurt met gebruikmaking van (uitgifteprocessen van) het paspoort, identiteitskaart en het rijbewijs. Ook is voorzien dat gebruik wordt gemaakt van bestaande technieken, zoals de zogeheten remote document authentication (RDA) ter identificatie van de gebruiker via de chip op waarvoor het gebruik van een mobiele telefoon benodigd is. (…)

De aanpassingen van de te verwerken persoonsgegevens voor DigiD beogen aldus de gegevens die noodzakelijk zijn voor de goede en betrouwbare uitgifte en gebruik van DigiD op de niveaus substantieel en hoog mogelijk te maken. Het betreft de noodzakelijke gegevens die worden verwerkt ten behoeve van de betrouwbare uitgifte van DigiD op de niveaus substantieel en hoog alsmede de gegevens die worden verwerkt om gebruik (elektronische identificatie met het document bij een overheidsdienstverlener) mogelijk te maken.

Het is te hopen dat het huidige brakke DigiD spoedig wordt vervangen door een hoogwaardige variant én dat de overheid niet alleen intern veilig gaat e-mailen maar ook veilig e-mail verkeer verzorgt met de burger.

Meer informatie:

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Bestuursrecht, ICT, privacy, e-commerce en getagged met , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s