Onze openbare instantie maakt op dit moment gebruik van een eigen inlogsysteem; wij bieden dus nog geen eHerkenning aan. Het is bij ons wel bekend dat het aanbieden van eHerkenning met ingang van de inwerkingtreding van de Wet digitale overheid verplicht wordt voor belanghebbenden zoals wij. Onze vraag is of de eIDAS-verordening nu voor openbare instanties een verplichting schept om eHerkenning aan te bieden aan bedrijven. Met andere woorden: moet onze instantie op dit moment op grond van de eIDAS-verordening al eHerkenning aanbieden of kunnen wij voorafgaand aan de invoering van de Wet digitale overheid nog volstaan met een eigen inlogmethode?
Antwoord in het kort
De eIDAS-verordening (Verordening (EU) 910/2014) maakt onderscheid tussen openbare instanties en private organen. De verordening schept een verplichting voor openbare instanties, zoals de Belastingdienst en het CBR, om elektronische identificatiemiddelen te erkennen, enkele uitzonderingen daargelaten. De verplichting betekent in de praktijk dat openbare instanties dit moeten doen en vervolgens houders van erkende inlogmiddelen toegang moeten verlenen tot hun online diensten. Het antwoord op de vraag is dus: ja, het accepteren van eIDAS-erkende inlogmiddelen (zoals eHerkenning), is nu al verplicht op grond van de eIDAS-verordening.
Wat is eIDAS?
eIDAS staat voor Electronic Identities and Trust Services en omvat elektronische identificatiemiddelen om digitaal in te loggen. Met een elektronische identiteit (eID) kunnen burgers en bedrijven zich online identificeren bij publieke instanties om gebruik te maken van allerlei vormen van digitale dienstverlening. Denk aan het aanvragen van een paspoort of een vergunning. Via eIDAS moeten inwoners uit andere Europese landen met hun nationale inlogmiddel ook kunnen inloggen bij Nederlandse overheden. Daarnaast kan eIDAS gebruikt worden voor e-aanbestedingen.
De eIDAS-verordening
De eIDAS-verordening vormt de basis voor een betrouwbare digitale dienstverlening in de EU. Om een elektronische identiteit veilig en betrouwbaar over de grens te gebruiken zijn er in de eIDAS-verordening eisen gesteld aan elektronische identificatie en authenticatiemiddelen, zoals bijvoorbeeld de elektronische handtekening.
In de eIDAS-verordening zijn drie betrouwbaarheidsniveaus bepaald: laag, substantieel en hoog. Deze verschillende niveaus zijn er vanwege de brede en verschillende contexten waarin eID wordt gebruikt. Sommige gegevens zijn bijvoorbeeld extra privacygevoelig, zoals financiële en medische gegevens. Door middel van de betrouwbaarheidsniveaus wordt bepaald hoe zeker men behoort te zijn over de identiteit van de gebruiker. Meer informatie over elektronische identificatie vindt u op deze pagina.
De eIDAS-verordening is op deze casus van toepassing, omdat de verordening geldt voor openbare instanties, zo schrijven artikel 3 lid 7 en 6 lid 1 eIDAS-verordening voor.
Voorwaarden voor eIDAS-erkende elektronische inlogmiddelen
Op basis van de eIDAS-verordening kunnen Europese lidstaten hun nationale inlogmiddelen voor burgers en bedrijven gereed maken voor grensoverschrijdend gebruik en daarna als “eID” aanmelden bij de Europese Commissie (artikel 9 lid 1). Na een evaluatieproces van de Europese lidstaten krijgt het inlogmiddel de status ‘eIDAS-erkend’. Dit wordt ook wel notificatie genoemd. Andere lidstaten die deelnemen moeten het inlogmiddel (eID) vervolgens accepteren (wederzijds erkennen), wanneer aan de volgende voorwaarden is voldaan (artikel 6 lid 1):
- het eID is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de lijst van de Commissie;
- het betrouwbaarheidsniveau van het eID is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor online toegang tot die dienst in de betreffende lidstaat;
- de openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ voor de toegang tot die online dienst.
Vanaf dat moment moeten alle betrokken organisaties de houders van deze eIDAS-erkende inlogmiddelen toegang verlenen tot hun online diensten. Deze verplichting om elektronische identificatiemiddelen te erkennen geldt ook voor openbare instanties.
Welke eIDAS-erkende inlogmiddelen zijn op dit moment beschikbaar in Nederland?
In Nederland worden momenteel twee inlogmiddelen erkend op basis van de eIDAS-verordening: DigiD en eHerkenning. DigiD is een erkend inlogmiddel voor online persoonsidentificatie in Nederland. Verder is DigiD ook te gebruiken bij diverse publieke organisaties en private organisaties met een publieke taak in de EU. EHerkenning is een Europees erkend inlogmiddel voor bedrijven en organisaties.
Valt het inlogmiddel van de vraagsteller onder de eIDAS-erkende inlogmiddelen?
Op dit moment maakt de openbare instantie gebruik van een eigen inlogmiddel. Op grond van artikel 6 lid 1 van de eIDAS-verordening moet het inlogmiddel voldoen aan bepaalde eisen. Zo moet het bijvoorbeeld zijn opgenomen in de lijst van de Commissie. Het inlogmiddel waar het in deze vraag om gaat is geen eHerkenning en ook geen DigiD. Daarom is het aannemelijk dat dit eigen inlogmiddel niet volstaat, omdat het niet eIDAS-erkend is en niet op de lijst van de Commissie staat.
Wet digitale overheid
Ook in Nederland wordt gewerkt aan wetgeving op het gebied van eIDAS. De Wet digitale overheid (Wdo) zal verantwoordelijkheden opleggen aan (semi-)overheidsinstanties. Zij krijgen door de Wdo te maken met nieuwe regels voor de toegang tot hun elektronische dienstverlening. Onder de Wdo zijn publieke dienstverleners verplicht om identificatiemiddelen van het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ te gebruiken om toegang te geven tot hun online diensten. Alleen middelen die door de overheid op veiligheid en betrouwbaarheid zijn gecontroleerd worden toegelaten. Op dit moment zijn dat de hierboven genoemde eIDAS-erkende inlogmiddelen. De Wdo sluit dus aan bij de Europese ontwikkelingen en bevat zelfs strengere regels voor betrouwbaarheidsniveaus dan de eIDAS-verordening. De Wdo treedt door een wetswijziging later in werking dan de eerder geplande datum van 1 juli 2022. Het voorstel is nog in behandeling bij de Eerste Kamer. De voortgang van de Wdo kunt u volgen via deze website.
Toezicht
De Autoriteit Persoonsgegevens, het Agentschap Telecom en het Nationaal Cyber Security Centrum (NCSC) houden toezicht op de naleving van de Wet digitale overheid. De Wdo regelt dat er toezicht is op de verplichtingen die worden opgelegd. Dit toezicht bestaat uit:
- onafhankelijk toezicht op de aanbieders van inlogmiddelen (door het Agentschap Telecom);
- toezicht op de veiligheid van overheidsdienstverleners door een jaarlijkse auditverplichting.
Conclusie
Op dit moment verplicht de eIDAS-verordening het gebruik van een erkend inlogmiddel (eHerkenning) voor openbare instanties en hun onlinediensten. In de nabije toekomst zal dit ook het geval zijn onder de Wdo, die bovendien strengere eisen stelt aan het betrouwbaarheidsniveau van identificatiemiddelen. Het eigen inlogmiddel van de openbare instantie uit ons voorbeeld, valt niet onder eHerkenning en dus ook niet onder de eIDAS-erkende inlogmiddelen. Daarom kan de betreffende openbare instantie niet meer volstaan met een eigen inlogmethode op basis van de eIDAS-verordening. De openbare instantie moet dan ook per direct eHerkenning als inlogmiddel gaan aanbieden. De invoering van de Wet digitale overheid verandert niets aan deze uitkomst. Wel is het aan te raden om de nieuwe inlogmethode direct ook ‘Wdo-proof’ te maken, zodat de methode niet meer veranderd hoeft te worden als de Wdo wordt ingevoerd.
Meer informatie
Digitale Overheid, Kenniscentrum Europa Decentraal
Elektronische identiteit, Kenniscentrum Europa Decentraal
Wet digitale overheid, digitaleoverheid.nl
eIDAS, Logius