Wet digitale overheid, wat gaat er veranderen?


Auteur: Legal Counsel Sven Schaghen en Legal Consultant Laura Monhemius.


Steeds meer overheidsdiensten worden digitaal geleverd. Je kunt bijvoorbeeld online belastingaangifte doen bij de Belastingdienst en je kunt berichten van je gemeente bekijken in het portaal MijnOverheid. Daarom is het belangrijker dan ooit dat de overheid ervoor zorgt dat dergelijke systemen goed beveiligd zijn. Met de Wet digitale overheid (‘Wdo’) hoopt de wetgever de verdere digitalisering van de overheid te kunnen faciliteren. Eerder schreven we in deze blog al over de Wdo toen deze nog in de in de startblokken stond. Inmiddels is de Wdo per 1 juli 2023 deels in werking getreden. Tijd voor een nadere blik op de belangrijkste veranderingen.

Waar gaat de Wdo over?

De Wdo stelt algemene regels voor de verdere digitalisering van de overheid. Het deel van de Wdo dat nu in werking is getreden (de eerste ‘tranche’) bevat kort gezegd regels over veilig inloggen bij (semi-)overheidsinstanties (dus niet alleen bij de Staat, maar bijvoorbeeld ook bij universiteiten en uitvoeringsinstanties zoals DUO). De Wdo verplicht niet om elektronisch diensten te verlenen, maar stelt regels voor wanneer overheidsinstanties dit wel zo doen. Die regels zijn vrij algemeen: de Wdo is een zogenoemde ‘kaderwet’, waarin slechts algemene regels, verantwoordelijkheden en procedures worden vastgelegd. Die algemene kaders kunnen verder worden uitgewerkt in lagere wetgeving, zoals in een algemene maatregel van bestuur (‘AMvB’) of ministeriële regeling. Hiermee is de wet flexibel bij nieuwe ontwikkelingen: lagere wetgeving is makkelijker aan te passen.

Voor wie geldt de Wdo?

De Wdo geldt voor twee soorten overheidsinstanties (samen: ‘dienstverleners’):

  1. Bestuursorganen: hiertoe behoren alleen de zogenoemde ‘a-bestuursorganen’. Denk daarbij aan organen van de Staat, provincies, gemeenten, waterschappen, maar ook aan organen van andere publiekrechtelijke rechtspersonen. Organisaties als de Belastingdienst, DUO, de Sociale Verzekeringsbank en het UWV vallen bijvoorbeeld onder deze eerste categorie. Net als de rechterlijke macht.
  2. ‘Aangewezen organisaties’: vooralsnog vallen de pensioenuitvoerders, zorgaanbieders, de zorgverzekeraars, indicatieorganen en de universiteiten en hogescholen onder deze tweede categorie. 

Per onderwerp regelt de Wdo welke verplichtingen voor welke organisaties gelden.

De belangrijkste onderwerpen uit de Wdo

De Wdo regelt op hoofdlijnen de volgende zaken:

  • Bepaalde standaarden kunnen verplicht worden bij het elektronisch contact met de overheid. Een standaard (ook wel een ‘norm’) is een set van regels die beschrijft hoe iets ontwikkeld en beheerd moet worden. Eerder werden bepaalde open standaarden al gepromoot via een ‘pas toe of leg uit’-verplichting. Overheidsinstanties konden dan alleen met zwaarwegende redenen van de verplichting afwijken. Bekende standaarden op die lijst zijn de HTTPS- en HSTS-standaard (beveiligde websiteverbinding, denk aan het slotje in de adresbalk van de URL). De Wdo heeft deze standaarden per 1 juli 2023 bij AMvB verplicht gesteld.
  • Informatiebeveiliging. Lagere wetgeving kan nadere regels stellen over het waarborgen van de werking, beveiliging en betrouwbaarheid van systemen van dienstverleners. Die regels zullen aansluiten bij de rijksbrede informatiebeveiligingsnormen (denk aan de ‘Baseline Informatiebeveiliging Overheid (BIO)’) en bij de standaarden die de Wdo aanwijst, zoals de HTTPS- en HSTS-standaard. Het kan verder bijvoorbeeld gaan om onderwerpen als risicomanagement, veiligheidsplannen, audits, functionele (ontwerp)normen, technische procesbeschrijvingen en testbepalingen. Op het moment van schrijven is de grondslag voor deze nadere wetgeving nog niet in werking getreden, en is een datum niet in zicht.
  • Het beheer van de voorzieningen en diensten binnen de generieke digitale overheidsinfrastructuur (‘GDI’). De GDI is de digitale infrastructuur van de overheid. Dit is de basis voor publieke dienstverlening aan burgers en bedrijven, maar ook voor onderlinge samenwerking tussen publieke organisaties. Denk bijvoorbeeld aan DigiD. De Minister dient te zorgen voor de inrichting, beschikbaarstelling, instandhouding, werking en beveiliging van de GDI.
  • De digitale toegang tot publieke diensten. De Minister moet zorgdragen voor de ontwikkeling van identificatiemiddelen op een hoger niveau dan het huidige DigiD basis. Dit biedt namelijk een ‘laag’ betrouwbaarheidsniveau. Ook diensten die een ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau vereisen, bijvoorbeeld vanwege een groot risico op identiteitsfraude, kunnen dan veilig digitaal worden verleend. Daarbij gaat de Wdo uit van een ‘open systeem’, wat betekent dat zowel publieke als private identificatiemiddelen kunnen worden toegelaten. Private partijen mogen vanaf nu dus ook inlogmiddelen gaan aanbieden die vergelijkbaar zijn met DigiD. Deze middelen moeten dan wel aan nadere eisen voldoen, die op de Europese eIDAS-verordening zullen worden gebaseerd.

De vier belangrijkste verplichtingen voor dienstverleners

De Wdo brengt verschillende verplichtingen mee voor dienstverleners. De vier belangrijkste:

  1. Dienstverleners moeten hun digitale diensten onderverdelen naar betrouwbaarheidsniveau: ‘laag’, ‘substantieel’ en ‘hoog’. Die niveaus volgen uit de eIDAS-verordening. Per 1 juli 2023 stelt een ministeriële regeling regels over het vereiste betrouwbaarheidsniveau, waarmee dienstverleners zelf hun diensten moeten classificeren. Deze regeling werkt uit hoe dienstverleners moeten beoordelen voor welke diensten welk betrouwbaarheidsniveau van authenticatie geldt.
  2. Dienstverleners moeten toegelaten middelen accepteren. Wanneer dienstverleners een dienst met authenticatieniveau ‘substantieel’ of ‘hoog’ aanbieden, mogen die dienstverleners alleen de in de Wdo genoemde authenticatiemethoden gebruiken. Daaronder vallen zowel publieke als private identificatiemiddelen. Stel dat een burger bij een overheidsdienst wil inloggen met authenticatieniveau ‘hoog’, dan moet een inlogmiddel worden gebruikt met een hoog betrouwbaarheidsniveau. De burger kan dan gebruik maken van alle toegelaten inlogmiddelen met ‘hoog’ betrouwbaarheidsniveau. Dienstverleners moeten dat gebruik accepteren, of het middel nu publiek of privaat is. De publieke identificatiemiddelen met betrouwbaarheidsniveau ‘hoog’ zullen in de elektronische chip op de wettelijke identiteitsdocumenten worden geplaatst. Over de toegelaten private identificatiemiddelen en de eisen die daaraan worden gesteld, bestaat minder duidelijkheid. De nadere regelgeving is alleen in concept aanwezig en er zijn nog geen private middelen erkend.
  3. Dienstverleners moeten hun informatiebeveiliging op orde hebben. Daarvoor moeten dienstverleners voldoen aan zowel de verplicht gestelde standaarden als aan de informatiebeveiligingsregels uit lagere wetgeving. Denk daarbij bijvoorbeeld weer aan de HTTPS- en HSTS-standaard. De HTTPS-configuratie moet voldoen aan de TLS-richtlijnen en Webapplicatie-richtlijnen van het Nationaal Cyber Security Centrum (‘NCSC’).
  4. Dienstverleners moeten meebetalen aan het gebruik van identificatiemiddelen door burgers en de GDI.

DigiD ook in de private sector?

Publieke identificatiemiddelen zoals DigiD mogen in principe alleen voor elektronische diensten van de (semi-)overheid worden gebruikt. Voor private identificatiemiddelen geldt die beperking niet: die mogen ook in de private sector gebruikt worden. Met publieke middelen als DigiD kun je dus enkel bij de (semi-)overheid terecht, maar in de toekomst kun je met private middelen ook in de private sector terecht.

Wat komt er nog aan?

De eerste tranche van de Wdo regelt verschillende onderwerpen over veilig inloggen bij (semi-)overheidsinstanties. Enkele van die onderwerpen moeten nog nader uitgewerkt worden in lagere regelgeving. Ook is er nog een tweede tranche aangekondigd, die onder andere zal gaan over het verantwoord delen van digitale persoonsgegevens met organisaties binnen en buiten de overheid. Van toekomstige ontwikkelingen binnen de digitale overheid houden we je uiteraard op de hoogte.



https://www.ictrecht.nl/blog/wet-digitale-overheid-wat-gaat-er-veranderen