Wet digitale overheid

Wet van 24-03-2024, Stb. 2023, 158

Wet tot algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

—Deze wet legt de basis voor verdere digitalisering van het openbaar bestuur op verschillende niveaus. Deze eerste tranch bevat regels over veilig inloggen op dienstverlening bij (semi-)overheidsinstanties. De wet is een kaderwet en bevat de algemene principes, verantwoordelijkheden en procedures. Gedetailleerde regels worden op een lager niveau vastgelegd.

In de eerste plaats regelt de wet bevoegdheid om bepaalde standaarden te verplichten in het elektronisch verkeer van de overheid. Het overheidsbrede gebruik van open ICT-standaarden wordt reeds gestimuleerd door middel van de plaatsing van bepaalde open standaarden op de zogeheten ‘pas toe of leg uit’-lijst. Ter aanvulling op dit beleid voorziet deze wet in de bevoegdheid om bij algemene maatregel van bestuur een open standaard aan te wijzen die verplicht moet worden toegepast.

In de tweede plaats bevat de wet regels over informatieveiligheid. Informatiebeveiliging staat bij de op grond van deze wet vast te stellen uitvoeringsregelgeving en bij het (functioneel) ontwerp van de toegang tot elektronische dienstverlening centraal. Het overheidsbrede gebruik van dezelfde standaarden leidt tot minder koppelvlakken, wat de veiligheid van ICT-systemen ten goede komt. Daarnaast schrijft de wet voor dat voorzieningen en identificatiemiddelen moeten voldoen aan specifieke standaarden ten behoeve van informatieveiligheid. Bij informatiebeveiliging gaat het om het managen van risico’s in geautomatiseerde en onderling afhankelijke processen en ketens.

De wet verankert voorts de verantwoordelijkheid van de Minister van BZK voor het beheer van het geheel van voorzieningen inzake de generieke digitale infrastructuur (GDI). Het gaat hierbij om (ICT-)voorzieningen die overheden, (semi)publieke organisaties en bepaalde organisaties die het burgerservicenummer verwerken in staat stellen hun primaire (digitale) processen doelmatig in te richten. De GDI is naar zijn aard niet organisatie-, sector- of domeinspecifiek. De GDI is een dynamisch geheel dat continu wordt doorontwikkeld, aangepast en uitgebreid.

In de vierde plaats bevat de wet regels betreffende de digitale toegang tot publieke dienstverlening voor burgers (natuurlijke personen) en bedrijven (rechtspersonen en ondernemingen). De wet codificeert de huidige verantwoordelijkheden van de Minister van BZK ten behoeve van de werking van de infrastructuur voor authenticatie in het publieke domein door burgers en bedrijven. De Minister van BZK draagt onder meer zorg voor de ontwikkeling van inlogmiddelen voor burgers, op een hoger betrouwbaarheidsniveau dan het huidige DigiD basis, zodat diensten die een hoge of zeer hoge mate van betrouwbaarheid vereisen ook digitaal kunnen worden verleend. De wet verplicht bestuursorganen en aangewezen organisaties voor hun elektronische diensten waarvoor, gelet op de aard ervan, veilige toegang in de rede ligt, het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ te gebruiken. De verplichtingen gelden ook voor daartoe aangewezen private organisaties, die elektronische diensten verlenen aan burgers of bedrijven waarvoor een veilige en betrouwbare authenticatie essentieel is, zoals bij zorgverzekeraars en pensioenuitvoerders.

De wet gaat uit van een open systeem, dat wil zeggen voor publieke en private partijen toegankelijk; als een door een private partij aangeboden middel aan nader te bepalen eisen voldoet kan het middel door de Minister van BZK worden toegelaten. Met alle middelen tezamen wordt naar verwachting een hoge dekkingsgraad op de hogere betrouwbaarheidsniveaus bereikt en hebben burgers indien nodig een terugvalmogelijkheid. De eisen voor erkenning van een middel worden bij of krachtens algemene maatregel van bestuur vastgesteld. Deze eisen zullen worden gebaseerd op de Europese eIDAS-verordening en zien zowel op de werking, betrouwbaarheid en veiligheid van het middel als op de aanvragende partij.

In het kader van toegankelijkheid zal krachtens deze wet bij algemene maatregel van bestuur de Europese toegankelijkheidsnorm EN 301 549 aan worden gewezen als een verplicht toe te passen standaard. De wet voorziet daartoe het Tijdelijk besluit digitale toegankelijkheid overheid (Stb. 2018, 141) van een duurzame formeel-wettelijke basis in artikel 28, onderdeel b. Het verplichten van de toepassing van deze Europese standaard is noodzakelijk ter implementatie van Richtlijn 2016/2102/EU betreffende de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties. Deze richtlijn heeft tot doel te bereiken dat websites en mobiele applicaties van overheidsinstanties toegankelijker worden voor gebruikers, in het bijzonder voor personen met een beperking.

Bij amendement is nog aan het oorspronkelijke voorstel toegevoegd dat voor elke burger met een burgerservice-nummer (BSN) in de wet een unieke online identiteit wordt gecreëerd: een digitale voorziening die per burger gegevens bevat. Ook is op die wijze aan het voorstel toegevoegd dat het toezicht op de identificatiemiddelen wordt belegd bij het Agentschap Telecom, vanwege de wenselijkheid om vanuit het oogpunt van een scheiding van verantwoordelijkheden het toezicht op de identificatiemiddelen voor burgers niet bij de verantwoordelijke Minister onder te brengen maar bij een onafhankelijke derde.

Inwerkingtreding op een bij kb te bepalen tijdstip.

Kamerstukken