De integriteit van aanbieders van inlogmiddelen is niet gewaarborgd | Wet digitale overheid

De Wet digitale overheid (Wdo) is op 12 mei jl. gedeeltelijk in werking getreden en moet het juridische kader gaan worden voor de aanbieders van ‘inlogmiddelen’, dat zijn digitale sleutels waarmee toegang kan worden verkregen tot onder meer besloten overheidssites.

Inlogmiddelen

DigiD
Het ‘DigiD’ is een voorbeeld van zo’n inlogmiddel. Vroeger was het niet meer dan inlognaam en wachtwoord (zeer onveilig!). Tegenwoordig is het veiliger vanwege meerfactorauthenticatie: gebruikers kunnen op hun smartphone een app installeren en zich via hun identiteitsbewijs identificeren [1] en vervolgens met hulp van de app inloggen op onder meer de site van de Belastingdienst.

Private inlogmiddelen
Het DigiD is een publiek inlogmiddel, een inlogmiddel door de overheid uitgegeven. Bedoeling van de Wdo is dat er private ondernemingen inlogmiddelen mogen uitgeven. In de oorspronkelijke versie van de Wdo [2] was wel gedacht aan technische en organisatorische eisen aan de private aanbieders, maar niet aan integriteitstoetsing of aan de mogelijkheid dat grote Amerikaanse datagraaiers zich ontfermen over de persoonsgegevens van Nederlandse burgers. Gelukkig was het parlement alert en kwam er een aanvullende wet (‘novelle’) [3] waarin de eisen aan de private aanbieders werden aangescherpt. Ten opzichte van de oorspronkelijke tekst van de Wdo is een en ander duidelijk verbeterd (wijzigingen in artikelen 9 en 11), maar het is de vraag of het genoeg is.

Hierna bespreek ik de relevante passages uit de Wdo en het ontwerpbesluit.

Toetsing van private aanbieders

Artikel 9 Wdo (nog niet in werking getreden) bevat in de definitieve tekst bepalingen over integriteit, in lid 4 staat:

4. Een houder van een erkenning als bedoeld in het tweede of derde lid voldoet aan de voor hem bij of krachtens algemene maatregel van bestuur gestelde eisen en aan de aan de erkenning verbonden voorschriften en beperkingen. De eisen behelzen in ieder geval een leveringsplicht en regels inzake te hanteren tarieven.

en in het zesde lid is onder meer opgenomen:

6. Onze Minister weigert een erkenning indien: (…)

c. de aanvrager niet aannemelijk heeft gemaakt dat met de erkenning geen inkomsten worden verkregen uit het gebruik, verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers, anders dan voor het doel waarvoor de erkenning wordt verleend; (…)

e. zwaarwegende redenen zich tegen erkenning verzetten, waarvan in ieder geval sprake is wanneer ernstig gevaar bestaat voor de cyberveiligheid of staatsveiligheid of in geval ernstig gevaar bestaat dat de erkenning mede zal worden gebruikt om strafbare feiten te plegen of uit strafbare feiten verkregen of te verkrijgen voordelen te benutten of anderszins de betrouwbaarheid en veiligheid van het Nederlandse stelsel voor elektronische dienstverlening in gevaar komt.
Alvorens te beslissen op een aanvraag kan het Bureau bevordering integriteitsbeoordelingen, bedoeld in artikel 8 van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur, om een advies als bedoeld in artikel 9 van die wet worden gevraagd.

Een gelijksoortige tekst als in artikel 9 lid 6 is te vinden in artikel 11 lid 8.

De eisen aan de private aanbieders van inlogmiddelen worden verder uitgewerkt in een ministeriële regeling. Voor zover ik heb kunnen nagaan is het ontwerp van 18 januari 2022 [4] de meest recente versie. In artikel 7 van het ontwerp staat dat er nadere eisen worden gesteld met betrekking tot onder meer:

m. de integriteit en kwalificaties van het bestuur van de organisatie van de aanbieder van het identificatiemiddel en van het personeel dat betrokken is bij de inzage of het beheer van identificatiemiddelen;

Apart is dat uit artikel 9 blijkt dat iedere bij het handelsregister ingeschreven onderneming een aanvraag kan doen, dus ook éénmanszaken:

Een aanvraag wordt ingediend door een rechtspersoon of onderneming in de zin van de Handelsregisterwet 2007.

Blijkens artikel 10 gaat de aanvraag onder meer vergezeld van:

b. een beschrijving van de organisatie van de rechtspersoon of onderneming en de wijze waarop de zeggenschap daarbinnen is georganiseerd;

Raadpleging van het Landelijk Bureau BIBOB is in artikel 30 van het ontwerp geregeld:

Alvorens te beslissen over het wijzigen, schorsen of intrekken van een erkenning vanwege zwaarwegende redenen als bedoeld in artikel 9, zesde lid, van de wet, kan aan het Bureau bevordering integriteitsbeoordelingen door het openbaar bestuur, bedoeld in artikel 8 van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur, om een advies als bedoeld in artikel 9 van die wet worden gevraagd.

Integriteit is onvoldoende gewaarborgd

Ik vind het hiervoor beschreven systeem onvoldoende. Nu persoonsgegevens het ‘nieuwe goud’ zijn, dienen aan aanbieders van inlogmiddelen veel hogere eisen te worden gesteld, zoals we ook kennen uit het financiële recht. Daar vindt toetsing op integriteit plaats van vermogensverschaffers (aandeelhouders, financiers e.d.) en toetsing van bestuurders en commissarissen op integriteit en vakkennis. Verder is toetsing van personen met belangrijke posities, zoals systeembeheerders, gewenst.

Er dient altijd toetsing plaats te vinden
Het systeem van artikel 9 lid 6 sub e. Wdo is dat de vergunningverlenende instantie advies aan het bureau Bibob kan vragen. Dat is onvoldoende. Naar mijn mening dient iedere private aanvrager getoetst te worden (en die toetsingen dienen periodiek herhaald te worden). Voorts is gewenst dat iedere private aanbieder een systeem heeft van periodieke toetsing van personeel en bestuurders, bijvoorbeeld door middel van een VOG.

Vermogensverschaffers dienen getoetst te worden
De reikwijdte van het onderzoek is eveneens te beperkt. In artikel 7 van de ontwerpregeling wordt alleen gesproken over het bestuur van de organisatie en het personeel. De vermogensverschaffers zijn ook van belang en behoren ook doorlopend getoetst te worden, zoals in de financiële sector het geval is.

Het is te hopen dat het verantwoordelijke ministerie tot het inzicht komt dat deze private activiteit met meer waarborgen omgeven moet worden, om te voorkomen dat criminelen of andere partijen met slechte bedoelingen, private inlogmiddelen gaan aanbieden.

Noten

[1] Daar is wel een nieuwe smartphone en een nieuw identiteitsbewijs voor nodig.
[2] Zie wetgevingsdossier 34972.
[3] Zie wetgevingsdossier 35868.
[4] Vindplaats ontwerpbesluit: hier.

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels

View all posts by Ellen Timmer →

4 Responses to De integriteit van aanbieders van inlogmiddelen is niet gewaarborgd | Wet digitale overheid

Frederike schreef:

12 september 2023 om 22:11

Ook digitaal procederen is een historische vergissing

Beantwoorden
- Ellen Timmer schreef:
  
  13 september 2023 om 17:34
  
  Waarom?
  
  Beantwoorden
  - Frderike schreef:
    
    13 september 2023 om 20:42
    
    Wie beheert de achter deursleutel ?
    https://emls.webnode.nl/news/waar-leidt-het-algoritme-van-metaverse-u-als-willoos-niet-willoos-werktuig-in-handen-van-anderen-u-naar-toe-alles-aan-1-draadje-is-net-als-digitaal-procederen-een-historische-vergissing-wie-beheert-de-achterdeursleutel/
  - Ellen Timmer schreef:
    
    18 september 2023 om 12:09
    
    Wat heeft Meta met digitale inlogmiddelen te maken? Als u bang bent voor achterdeurtjes dan kunt u bang zijn voor alle soorten IT.
    Overigens is EMLS een merkwaardige website, van een juridisch dienstverlener die zichzelf niet bekend maakt, terwijl er wordt gezegd dat er advocaten achter schuil zouden gaan. Waarom deze club betrouwbaarder zou zijn dan de overige juridische dienstverleners, is voor mij een raadsel.