Integriteitstoetsing van middelenuitgever, authenticatiedienst, machtigingsdienst en ontsluitende dienst | Wet digitale overheid

Vandaag heb ik deelgenomen aan de internetconsultatie over het ontwerp voor een Besluit bedrijfs- en organisatiemiddel Wdo. Mijn belangrijkste bezwaar: toetsing van beleidsbepalers ontbreekt in het voorstel.

Mijn consultatie kan hier worden gedownload. De reactie is op de consultatiesite te vinden. Zie voor de tekst ook hierna.

 

CONSULTATIEDEELNAME

Hierbij maak ik gebruik van de mogelijkheid om op persoonlijke titel deel te nemen aan deze consultatie. De consultatie betreft het voorstel voor een Besluit bedrijfs- en organisatiemiddel Wdo.

Ik hoop dat u acht zult slaan op deze consultatiereactie.

Met vriendelijke groet,
Ellen Timmer

INLEIDING
Deze consultatie betreft een ontwerp voor het Besluit bedrijfs- en organisatiemiddel Wdo, hierna: “het besluit”, dat wordt toegelicht in een ontwerp voor een nota van toelichting, hierna: “de toelichting”.

Het besluit bevat een uitwerking van de Wet digitale overheid, hierna: “Wdo” [1], inzake de publieke en private identificatiemiddelen die gebruikt kunnen worden bij het verlenen van toegang tot publieke dienstverlening in het publieke domein.

ERKENDE DIENSTEN
Onderdeel van het besluit is dat private partijen een rol spelen bij het inloggen bij de overheid en het digitaal verrichten van handelingen in het publieke domein. Die private partijen, ook “erkende diensten” genoemd, worden in het besluit aangeduid als:

* middelenuitgever,
* authenticatiedienst,
* machtigingsdienst,
* ontsluitende dienst.

De erkende diensten spelen een centrale rol in de digitale toegang tot de overheid, zoals in de toelichting wordt uitgelegd. Aan de erkende diensten worden vele eisen gesteld, die betrekking hebben op beheer, organisatie en op techniek [2]. De private partijen die erkende dienst zijn, maken deel uit van een systeem waarin persoonsgegevens en andere vertrouwelijke gegevens worden verwerkt. Dat betekent dat er niet alleen technisch en organisatorisch hoge eisen aan deze private partijen moeten worden gesteld.

Ook moet voorkomen worden dat criminelen en andere ongewenste partijen zich toegang verschaffen tot deze sector.

Zoals bekend is cybersecurity een onderwerp dat hoog op de agenda behoort te staan. Op 12 juni jl. waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) onder de titel “CSBN 2019: Ontwrichting van de maatschappij ligt op de loer” [3]:

De digitale dreiging voor de nationale veiligheid is permanent. Vrijwel alle vitale processen en systemen in Nederland zijn deels of volledig gedigitaliseerd waarbij er nauwelijks terugvalopties of analoge alternatieven zijn. Deze factoren gecombineerd met het achterblijven van de weerbaarheid, maken Nederland kwetsbaar voor digitale aanvallen.

Die weerbaarheid wordt niet alleen gerealiseerd door de systemen en handelswijze binnen organisaties.

INTEGRITEITSTOETING ONTBREEKT
Opvallend is dat integriteit van de erkende dienst en de bij die erkende dienst betrokken personen en organisaties in het besluit ontbreekt als centraal onderwerp.

Integriteit en daarmee samenhangende onderwerpen (zoals financiële gegoedheid) komen in het besluit zeer beperkt aan bod:

* In artikel 2 lid 2 van het besluit is opgenomen dat een erkende dienst niet in staat van faillissement of liquidatie verkeert, en ook geen faillissement heeft aangevraagd. Voorts mag aan een erkende dienst geen surseance van betaling zijn verleend, of surseance van betaling zijn aangevraagd. Uit de toelichting blijkt dat met veronderstelt dat de financiële gezondheid van een aanvrager kan worden afgeleid uit het het niet aanvragen van faillissement / surseance, respectievelijk het niet uitgesproken zijn van faillissement / surseance.
* Artikel 3 lid 1 sub a. biedt de mogelijkheid om aanvullende eisen te stellen die betrekking hebben op de bestrijding van misbruik van en met bedrijfs- en organisatiemiddelen.
* In artikel 8 lid 4 van het besluit staat dat een erkende dienst aan de minister moet melden: “elk voornemen tot zodanige wijziging van de samenstelling van zijn rechtspersoon of de zeggenschapsverhouding van zijn rechtspersoon, dat de zeggenschap over de rechtspersoon geheel of gedeeltelijk door of tezamen met een derde wordt uitgeoefend, dan wel waardoor deze derde daartoe feitelijk in de gelegenheid worden gesteld”. Deze verplichting hangt in de lucht en vertoont geen samenhang met andere elementen in het besluit die betrekking hebben op integriteitstoetsing van de erkende dienst en betrokken personen en organisaties.
* Artikel 11 lid 1 sub c. verlangt dat degene die erkenning aanvraagt de organisatie van de rechtspersoon en de wijze waarop zeggenschap is georganiseerd.

Aan de toelichting is te zien dat de ontwerpers niet hebben gedacht aan integriteitstoetsing en toetsing van de onafhankelijkheid, zoals dat bijvoorbeeld in de financiële sector plaats vindt.

AANBEVELINGEN
[1] Neem in het besluit op dat iedere aanvrager / erkende dienst (periodiek) inhoudelijk wordt getoetst op financiële gezondheid.

Uit het feit dat een onderneming niet failliet is of in surseance verkeert, kan niet worden afgeleid dat de onderneming gezond is. Nu erkende diensten een essentiële rol spelen in het systeem van identificatiemiddelen, is belangrijk dat de ondernemingen inhoudelijk getoetst worden. [4]

[2] Neem in het besluit op dat aan iedere aanvrager / erkende dienst eisen worden gesteld op het gebied van onafhankelijkheid van grote commerciële partijen. Tref voorzieningen dat die onafhankelijkheid permanent wordt gemonitord.

Voorkomen moet worden dat internetgiganten als Facebook en Google zichzelf als erkende dienst registreren.

[3] Neem in het besluit op dat iedere aanvrager / erkende dienst aan de minister exacte gegevens moet verstrekken inzake de beleidsbepalers, in een brede betekenis: aandeelhouders, belangrijke financiers en leidinggevenden en (bij erkende diensten) deze gegevens actueel moet houden. Al deze beleidsbepalers dienen op geschiktheid, betrouwbaarheid, integriteit en onafhankelijkheid te worden getoetst, bij aanvraag en periodiek (toetsing afhankelijk van de positie van de beleidsbepaler, inclusief antecedentenonderzoek). De erkende dienst dient incidenten te melden.

Om er zeker van te zijn dat een erkende dienst integer is en blijft, is van belang dat alle beleidsbepalers worden getoetst, dus niet alleen het management [5] van de erkende dienst, maar ook de aandeelhouders en anderen met grote invloed.

In het huidige besluit is opgenomen dat bepaalde wijzigingen moeten worden gemeld, maar is nergens te vinden wat de consequenties zijn van bepaalde wijzigingen.

[4] Neem in het besluit sancties op als de hiervoor onder [1] tot en met [3] genoemde verplichtingen niet worden nageleefd. Niet-naleving moet er toe kunnen leiden dat een erkenning direct wordt ingetrokken, ook als informatie niet (tijdig) wordt verschaft.

 

[Noten]

1 Nog in behandeling bij de Tweede Kamer, zie
https://zoek.officielebekendmakingen.nl/dossier/34972.
2 Er moet worden voldaan aan onderdeel 2.4 van de bijlage bij de Uitvoeringsverordening (EU) 2015/1502, zie
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015R1502&from=NL.
Dit onderdeel heeft betrekking op de organisatie van de erkende dienstverlener. Zo wordt onder andere de eis gesteld dat er een doeltreffend beheerssysteem voor informatiebeveiliging dat zorg draagt voor het beheer en de beheersing van informatiebeveiligingsrisico’s is. Voorbeeld: personeelsleden moeten voldoende zijn opgeleid en voldoende ervaren zijn. Aan hun integriteit worden geen eisen gesteld.
3 https://nctv.nl/actueel/nieuws/2019/csbn-2019-ontwrichting-maatschappij-ligt-op-de-loer.aspx
4 Vergelijk het met Europese aanbesteding, waar ook financiële gegoedheidseisen worden gesteld en met de eisen die aan bepaalde financiële ondernemingen worden gesteld.
5 Zie over de omgang van antecedenten in de financiële sector als voorbeeld deze pagina van DNB: https://www.toezicht.dnb.nl/4/2/16/50-229357.jsp.


Aanvulling 12 juli 2019
Vandaag nog een keer gekeken. Ik ben nog steeds de enige die aan de consultatie heeft mee gedaan.

Inmiddels is bekend gemaakt dat het kabinet het met betrekking tot inlogmiddelen over een andere boeg wil gooien, lees dit artikel.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Bestuursrecht, ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s