Wet digitale overheid van start; wat verandert er?

Overheidsorganisaties moeten vanaf 1 juli voldoen aan strengere eisen rondom digitalisering. Dan wordt het eerste deel van de nieuwe Wet digitale overheid van kracht. Dat deel gaat over veilig inloggen op dienstverlening bij (semi-)overheidsinstanties.

De Wdo is een kaderwet, wat betekent dat hier alleen algemene principes, verantwoordelijkheden en procedures mee worden geregeld. De hoop is dat er op die manier genoeg flexibiliteit ontstaat om ook in te springen op nieuwe ontwikkelingen, terwijl zaken als gebruiksvriendelijkheid, security, privacy en digitale inclusie wel geborgd zijn.

Veilig inloggen op dienstverlening bij (semi-)overheidsinstanties

De wet wordt in fasen wordt ingevoerd. Op 1 juli wordt alleen de eerste tranche (deel) van kracht. Dat deel gaat over veilig inloggen op dienstverlening bij (semi-)overheidsinstanties. Niet alleen worden hiermee de taken en verantwoordelijkheden voor veilige toegang tot de digitale overheid vastgelegd, maar mede-overheden moeten bijvoorbeeld ook hun dienstverlening indelen op betrouwbaarheidsniveau. Verder bevat de wet regels over de bekostiging daarvoor en uitgangspunten voor informatiebeveiliging en de verwerking van persoonsgegevens.

Wat betekent dit concreet?

Volgens de nieuwe wet moeten publieke dienstverleners straks per dienst op basis van de Europese eIDAS-verordening bepalen welk betrouwbaarheidsniveau vereist is voor toegang tot hun digitale dienstverlening. Is dat betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’, dan accepteren zij alle door de overheid toegelaten inlogmiddelen en digitale machtigingsverklaringen.

Maar welke diensten worden dan toegelaten? Dat moet de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) volgens de Wdo gaan bepalen. De minister kan publieke identificatiemiddelen toewijzen als toegelaten, mits die voldoen aan de gestelde eisen rondom de werking, beveiliging en betrouwbaarheid. DigiD en eHerkenning zijn bijvoorbeeld al toegelaten.

Daarnaast kunnen private identificatiemiddelen toegelaten worden, mits die door de minister erkend worden en voldoen aan de eisen. De toegelaten inlogmiddelen worden opgenomen in het nieuwe stelsel Toegang.

Toegelaten inlogmiddelen moeten verplicht door (semi)overheden geaccepteerd worden. Verder worden ze met de Wdo verplicht om mee te betalen aan het gebruik van inlogmiddelen door burgers. Gaat een gemeente dus aan de slag met een nieuw inlogmiddel, dan moet zij daar zelf (deels) voor betalen.

Aan welke eisen moeten inlogmiddelen voldoen?

Dat staat niet expliciet in de wet omschreven, juist omdat het een kaderwet is. De nadere uitwerking van regelgeving voor inlogmiddelen en (semi)overheden vindt plaats in de lagere regelgeving, zoals ministeriële regelingen. “Zo is er ruimte voor innovatie, verdere keuzes en nieuwe voorzieningen en functionaliteiten”, redeneert de Rijksoverheid.

Toch noemt de wet al wel wat basisstandaarden waaraan gedacht kan worden. Zo moet de gebruiker van een identificatiemiddel de nodige maatregelen nemen om misbruik, diefstal en verlies of verspreiding van zijn identificatiemiddel te voorkomen, en dat de leverancier aan een leveringsplicht moet voldoen.

Open standaarden

Verder is in de wet een grondslag opgenomen waarmee de zogenoemde open standaarden verplicht kunnen worden gesteld. De open standaarden omvatten bijvoorbeeld het gebruik van DMARC en DNSSEC. Niet alle standaarden zijn verplicht, maar de Wdo regelt in ieder geval wel dat overheidswebsites verplicht gebruik moeten gaan maken van HTTPS en HSTS, om gegevens van burgers zo goed mogelijk te beschermen. Volgens de meest recente meting van Forum Standaardisatie maakt nu 93% van de 2.654 onderzochte overheidsdomeinen gebruik van HTTPS en gebruikt 78% HSTS.

Hoewel de eerste tranche per 1 juli in gaat, hoeven de organisaties nog niet direct aan de eisen te voldoen. De Wdo gaat pas gelden als een instantie technisch en organisatorisch klaar is om aan te sluiten. Naar verwachting is de ICT en de organisatie achter het stelsel Toegang – waarmee bepaald wordt welke diensten toegelaten worden – in 2024 klaar. Pas dan kunnen dienstverleners bij het stelsel en kunnen inlogmiddelen erkend worden. In de komende drie jaar sluiten alle dienstverleners aan op het stelsel. Alle overheidsorganisaties moeten in de tweede helft van 2026 over zijn op het nieuwe stelsel Toegang.

Vanaf 1 juli toezicht

De Rijksinspectie Digitale Infrastructuur gaat vanaf 1 juli toezicht houden op de naleving van de eisen die in de Wdo en onderliggende regelgeving aan authenticatie- en machtigingsdiensten worden opgelegd. Daarnaast moeten publieke dienstverleners voldoen aan gestelde eisen over informatieveiligheid, die aansluiten bij de huidige praktijk van DigiD-aansluitingen. Daar ziet Logius op toe.

Wordt de nieuwe wet niet nageleefd, dan kan de minister van BZK een bestuurlijke boete opleggen van maximaal 90.000 euro.

De tweede tranche is nog in de maak

Op 1 juli wordt alleen de eerste tranche van de Wdo van kracht. De tweede tranche is nog in de maak en bij dat deel komen weer andere onderwerpen in aanmerking. Zo kan er een kader opgenomen worden voor het verantwoord delen van digitale persoonsgegevens met partijen binnen en buiten de overheid.

Verder komen er mogelijk regels over het beleggen van de verantwoordelijkheid voor het stelsel van basisregistraties en het bewaken van de werking daarvan. Tot slot moet de wet antwoord geven op de vraag: hoe kunnen in de Wdo het burger- en bedrijvendomein verder naar elkaar toe groeien?

Wanneer de tweede tranche in werking gaat treden, is nog onduidelijk. Wel is al bekend gemaakt dat de minister van BZK binnen drie jaar een verslag naar de Staten-Generaal stuurt over de doeltreffendheid en de effecten van de eerste tranche van de wet in de praktijk. Daarbij wordt in het bijzonder aandacht geschonken aan de getroffen maatregelen op het gebied van beveiliging, privacybescherming en toegankelijkheid van elektronische dienstverlening.

Dit artikel werd eerder gepubliceerd bij onze collega’s  van AG Connect