Novelle digitale overheid

Wetsvoorstel (22-06-2021) tot wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid)

—Het voorstel betreft een novelle, die strekt tot wijziging van het wetsvoorstel inzake de Wet digitale overheid (Kamerstukken 34 972) indien dit voorstel tot wet wordt verheven. Aanleiding voor deze wijzigingen zijn de in de parlementaire behandeling bij de Eerste Kamer geuite zorgen inzake privacybescherming, in het bijzonder in relatie tot de positie van private technologieondernemingen. Om aan deze zorgen tegemoet te komen worden ‘privacy by design’, het verhandelverbod inzake persoonsgegevens en ‘open source’ als hoofdelementen wettelijk verankerd.

In de eerste plaats wordt voorgesteld in artikel 9, zesde lid, te specificeren dat een erkenning (toelating) van een privaat inlogmiddel wordt geweigerd indien het ontwerp van het identificatiemiddel of de ontsluitende (= routerings)dienst onvoldoende voorziet in de bescherming van gegevens.

Partijen die gegevens verwerken zijn rechtstreeks op grond van de AVG gehouden om privacy by design toe te passen en de Autoriteit Persoonsgegevens houdt toezicht op de naleving daarvan. Het hanteren van dit principe als afwijzingsgrond voor een erkenningsaanvraag moet dan nog expliciet worden geregeld. Dat was eerder voorzien door nadere regels gebaseerd op artikel 9. De door leden van de Eerste Kamer geuite zorg is aanleiding om deze afwijzingsgrond op het niveau van de wet te verankeren. Bij de beoordeling van de aanvraag om erkenning is de actuele stand van processen en technieken leidend: bezien wordt of het ontwerp naar de stand der techniek en andere redelijkerwijs beschikbare mogelijkheden op het moment van aanvraag voldoende voorziet in de bescherming van gegevens. Voorts wordt geborgd dat ook na verlening van een erkenning nieuwe technieken en processen door erkenninghouders worden geïmplementeerd. De voorgestelde wijziging van het zevende lid van artikel 9 regelt namelijk dat een erkenning kan worden gewijzigd, geschorst of ingetrokken indien het ontwerp van het identificatiemiddel of de ontsluitende dienst niet (langer) voldoet aan de stand der techniek en andere redelijkerwijs beschikbare mogelijkheden voor de bescherming van gegevens.

Het wetsvoorstel stelt regels aan private partijen die inlogmiddelen voor de toegang tot overheidsdienstverlening op de markt willen brengen en gaat daarbij uit van strikte doelbinding: persoonsgegevens mogen door private partijen alleen worden verwerkt voor zover dit noodzakelijk is voor de werking van het erkende identificatiemiddel en goede en veilige toegang met dat middel tot overheidsdiensten (artikel 16). Met het onderhavige voorstel wordt het verhandelverbod formeel-wettelijk geëxpliciteerd door als extra weigeringsgrond in de artikelen 9 en 11 de kans op overtreding van het verhandelverbod op te nemen; de aanvrager mag geen inkomsten verkrijgen uit het verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers. Er moet dus een directie relatie bestaan tussen de gevraagde vergoeding voor het middel en de aan de burger of het bedrijf geleverde inlogdienst; de businesscase van de private partij mag alleen gebaseerd zijn op de productie en levering van de noodzakelijke functionaliteiten. De doelstelling daarvan is te voorkomen dat de «burger het product wordt», doordat zijn gegevens worden commercieel worden uitgenut.

Voorgesteld wordt verder om in artikel 9, zesde lid, op te nemen dat een erkenning wordt geweigerd indien bij de voor de werking van het identificatiemiddel of de ontsluitende dienst noodzakelijke processen naar het oordeel van Onze Minister onvoldoende gebruik wordt gemaakt van software die onder een open source licentie is gepubliceerd. Dit betekent dat bij de aanvraag om erkenning zal worden bezien of open source redelijkerwijs mogelijk is, waarbij het geheel van door de aanvrager te nemen maatregelen wordt beoordeeld op veiligheid en proportionaliteit. De wijze waarop open source in het wetsvoorstel wordt verankerd, brengt tot uitdrukking dat open source het uitgangspunt is, zonder dat in de praktijk veiligheids- en continuïteitsproblemen optreden. Dit leidt ertoe, dat enerzijds geen excessieve maatregelen worden geëist met disproportionele kosten of disproportionele aanpassingen in het productieproces. Anderzijds wordt van een aanvragende partij verwacht dat deze alle redelijke maatregelen treft teneinde open source zoveel mogelijk te hanteren, gelet op wat in de tijd open source beschikbaar is.

De Afdeling advisering van de Raad van State merkte in haar advies op dat de begrippen privacy by design en open source niet voldoende worden uitgewerkt. Datzelfde gold voor het verbod voor private aanbieders om inloggegevens commercieel te benutten. Verder constateerde de Afdeling dat het voorstel techniekonafhankelijk is opgezet en daardoor onvoldoende uitwerking geeft aan het primaat van de wetgever. In verband met die opmerkingen is aanpassing van het voorstel en de toelichting wenselijk. Daaraan heeft de regering gehoor gegeven.