Binnen een mandateringsconstructie geeft de mandaatgever de opdracht aan de gemandateerde en bepaalt welke middelen deze kan gebruiken voor het uitvoeren van deze opdracht. Indien hier persoonsgegevens voor verwerkt moeten worden, dan is de mandaatgever ook degene die het doe doel en de middelen hiervoor uitzet. Om deze reden is de mandaatgever de verwerkingsverantwoordelijke en de gemandateerde de verwerker. Hierbij is wel altijd nog een aparte verwerkingsovereenkomst nodig.

Introductie

Om deze vraag te beantwoorden zullen eerst twee sub-vragen beantwoord moeten worden. Namelijk eerst de vraag: “Wat is mandatering?” en vervolgens de vraag: “Wat is een verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG)?” Het antwoord op de hoofdvraag zit in de verbinding tussen deze twee vragen.

Mandatering

Mandatering is een bestuursrechtelijke constructie waarmee een publieke instantie taken overdraagt aan een andere organisatie, zodat deze namens de mandaterende publieke instantie de taak kan uitvoeren. De Algemene wet bestuursrecht (Awb) definieert in artikel 10:1  een mandaat als ‘de bevoegdheid om in naam van een bestuursorgaan besluiten te nemen’ en lid 2 legt uit dat ‘een door de gemandateerde binnen de grenzen van zijn bevoegdheid genomen besluit geldt als een besluit van de mandaatgever’. De gever van een mandaat wordt ook wel een mandaatgever of mandans genoemd en een de gemandateerde een mandataris. De wet hierboven laat zien dat de mandans het kader bepaalt waarbinnen een gemandateerde kan handelen. De mandataris heeft dus geen zeggenschap over het doel van de handeling en omvang van de zeggenschap. Dit punt zal later nog terugkeren.

De AVG en verwerking van gegevens

De AVG is het belangrijkste stuk wetgeving op het gebied van privacy vanuit de Europese Unie (EU). De wet trad op 25 mei 2016 in werking, wordt sinds 25 mei 2018 gehandhaafd en is inmiddels een begrip worden. Het doel van de AVG is het mogelijk maken om het hergebruik van data zo veel mogelijk te maken, maar daarbij de privacy van particulieren te beschermen.

Wellicht de belangrijkste term uit de AVG is verwerken. Hiermee wordt bedoelt het ‘verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’

Twee andere relevante begrippen uit de AVG zijn verwerkingsverantwoordelijke en verwerker. Hoewel deze termen heel erg op elkaar lijken, volgen er wel verschillende juridische verplichtingen en verantwoordelijkheden uit. Het is daarom essentieel om de verschillen te kennen en te weten of een partij verwerker, verwerkingsverantwoordelijke of zelfs allebei is.

• Een verwerkingsverantwoordelijke wordt in artikel 4, lid 7, AVG gedefinieerd als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
• Een verwerker wordt in artikel 4, lid 8, AVG gedefinieerd als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Het belangrijkste en meest relevante verschil voor deze vraag heeft te maken met het vaststellen van het doel en de middelen voor een verwerking. De verwerkingsverantwoordelijke heeft als taak om dit af te bakenen, terwijl de verwerker hier geen enkele zeggenschap over heeft.

Hoewel dit suggereert dat een verwerkingsverantwoordelijke en een verwerker twee verschillende partijen zijn, hoeft dit niet het geval te zijn. Een partij kan namelijk beide rollen tegelijkertijd vervullen. Dit betekent dat zij zowel de doelen en de middelen van de verwerking vaststelt als de daadwerkelijke verwerking doet.   Dit zou bijvoorbeeld het geval zijn als de gemeente zelf de gegevens verwerkte om de uitkeringen uit te betalen. Meer voorbeelden kunt u vinden op deze lijst van de Autoriteit Persoonsgegevens.

In het geval dat de verwerker en de verwerkingsverantwoordelijke niet dezelfde partij zijn en dat de verwerking uitbesteed wordt, dan is het aan de verwerkingsverantwoordelijke om een verwerker te kiezen die betrouwbaar is. Het moet zeker zijn dat de verwerker passende maatregelen treft om privacy rechten te respecteren. Om dit te garanderen, is een verwerkingsverantwoordelijke ook verplicht om een verwerkersovereenkomst met de verwerker te sluiten. Hierin wordt opgenomen wat de verwerker wel en niet met persoonsgegevens mag doen.

Mandatering en verwerking

De vraag die volgt is wie de verwerker en wie de verwerkingsverantwoordelijke is binnen een mandateringsconstructie. Dit kan beantwoord worden door te kijken welke van deze termen aansluit bij de rollen mandans en mandataris. Hierboven werd gewezen op het feit dat de mandataris bepaalt welke bevoegdheden een mandans kan uitoefenen en met welk doel. Als het aankomt op gegevensverwerking, betekent dit dat de mandataris alleen maar gegevens mag verwerken binnen en conform het kader uitgezet door de mandans.

Hieruit blijkt dat binnen de mandateringconstructie de mandataris een verwerker is, terwijl de mandans de verwerkingsverantwoordelijke is. Immers, de mandataris- en verwerkersrol draaien beide om het uitvoeren van een opdracht van de mandans en verwerkingsverantwoordelijke, waarbij deze partijen de doelen bepalen.

Deze conclusie wordt ook bevestigd door de Autoriteit Persoonsgegevens in dit advies: “Bij volmacht en mandaat blijft de zeggenschap bij de volmachtgever respectievelijk de mandans. Het is dus niet zo dat de gevolmachtigde respectievelijk de mandataris zelf kan bepalen welke persoonsgegevens zij ter uitvoering van de aan haar opgedragen taken verwerkt, hoe ze verwerkt worden, wie toegang tot de gegevens heeft, en dergelijke.” De verantwoordelijkheid ligt dus, binnen de taken uitgezet in de mandatering, bij de mandans.

Aangezien een mandaatverlening niet automatisch afspraken maakt over gegevensverwerking, is het ook nodig om altijd verwerkingsovereenkomst af te sluiten in alle gevallen waar een verwerker een andere partij is dan de verwerkingsverantwoordelijk. Dit is ten eerste verplicht, maar ten tweede ook simpelweg verstandig om afspraken duidelijk te hebben.

Antwoord op de vraag

Als een gemeente, of een groep gemeenten, een uitvoeringsorganisatie opzetten en deze mandateren voor een taak waarbij de uitvoeringsorganisatie gegevens moeten verwerken, blijven de individuele gemeenten de verwerkingsverantwoordelijke. Zij zetten immers het doel van de verwerking uit, terwijl de uitvoeringsorganisatie deze taak alleen maar uitvoert. Het is verstandig om daarover afspraken te maken bij de mandaatverlening.

Hier zit één haakje aan. Het is mogelijk dat de uitvoeringsorganisatie de gegevens ook nog verwerkt buiten deze taak om, om bijvoorbeeld data te analyseren om bijvoorbeeld het bedrijfsproces te verbeteren. In dit geval bepaalt de uitvoeringsorganisatie zelf het doel en de middelen van de verwerking en is deze ook zelf verwerkingsverantwoordelijke. Echter, deze verwerking gebeurt buiten de mandaatconstructie om. De gemeenten die de uitvoeringsorganisatie op hebben gezet staan dan ook volledig los van deze constructie en zijn geen verwerkingsverantwoordelijke.

De Europese Digitale Toegankelijkheidsrichtlijn (Richtlijn 2016/2102/EU) verplicht alle lokale, regionale en nationale overheden om hun websites en mobiele applicaties toegankelijk te maken. Ook aanbestedingsplichtige organisaties en samenwerkingsverbanden tussen die organisaties zijn hiertoe verplicht. Dit betekent dat overheidsinstanties hun websites en applicaties zo moeten inrichten dat deze voor gebruikers zo toegankelijk mogelijk zijn, met name voor mensen met een handicap. Denk hierbij aan het aanpassen van de lettergrootte, het gebruik van een groot contrast of het omschrijven van visuele componenten.

Digitale toegankelijkheidsrichtlijn: stand van zaken

Alle websites van overheidsinstanties in Nederland moeten sinds september 2020 aan de Europese Digitale toegankelijkheidsrichtlijn voldoen. Ook alle mobiele applicaties van de overheid moeten sinds juni 2021 conform de richtlijn werken.

In 2021 is de Toegankelijkheidsrichtlijn geëvalueerd. De resultaten zijn december 2022 gepubliceerd. Hieruit blijft dat de richtlijn doeltreffend is opgezet en uitgevoerd. Er is wel ruimte voor verbetering, bijvoorbeeld het feit dat er een gebrek is aan deskundigen.

Toegankelijkheidseisen

Op basis van de Toegankelijkheidsrichtlijn moet de Europese norm EN 301 549 toegepast worden. Dit is een Europese standaard voor digitale toegankelijkheid. De Europese norm verwijst onder andere naar een internationale standaard: Web Content Accessibility Guidelines (WCAG 2.1) van W3C. Digitoegankelijk is de Nederlandse naam voor de Europese norm 301 549. De technische standaarden van de WCAG 2.1 norm zijn te vinden op de webpagina van W3c.

De normen specificeren hoe digitale content toegankelijk gemaakt kan worden. De normen zijn gebaseerd op vier principes: websites en mobiele applicaties moeten waarneembaar, bedienbaar, begrijpelijk en robuust zijn. Niet iedereen gebruikt bijvoorbeeld een muis bij het bezoeken van een website. Formulieren moeten daarom ook alleen met het toetsenbord kunnen worden ingevuld. Ook moet er rekening gehouden worden met kleuren en contrastverhoudingen, voor mensen die kleurenblind of slechtziend zijn. Naast het specificeren van de toegankelijkheid van digitale content beschrijft de Europese norm ook instructies voor het inkopen van toegankelijke producten en diensten.

Nederlands beleid voor digitale toegankelijkheid

In Nederland zijn de regels van de Toegankelijkheidsrichtlijn geïmplementeerd in het Tijdelijk besluit digitale toegankelijkheid overheid. 

De regels zijn geïmplementeerd in een tijdelijk besluit omdat ze uiteindelijk onder de Wet Digitale Overheid zullen vallen. Het Tijdelijk besluit is nu gebaseerd op artikel 89 van de Grondwet.

Wie moeten er voldoen aan de toegankelijkheidsrichtlijn?

De toegankelijkheidseisen zijn verplichtingen voor overheidsinstanties. Volgens de definitie van de richtlijn geldt dit voor alle lokale en nationale overheden, aanbesteding plichtige organisaties en samenwerkingsverbanden hiertussen. In Nederland geldt dit dus ook voor uitvoeringsinstanties zoals de Belastingdienst, RDW en UWV. De websites en mobiele applicaties van publieke omroepen vallen niet onder de richtlijn.

Op het Dashboard DigiToegankelijk is te vinden welke websites en apps van de Nederlandse overheid voldoen aan de toegankelijkheidseisen.

Welke digitale diensten moeten digitoegankelijk zijn?

In principe moeten alle websites en mobiele applicaties van overheidsinstanties aan de toegankelijkheidseisen voldoen. Dit betekent dat alle digitale kanalen die overheidsinstanties gebruiken digitoegankelijk moeten zijn. Dit geldt zowel intern als extern. Extern zijn dit bijvoorbeeld de websites van gemeenten, provincies en waterschappen en alle content die zich daarop bevindt zoals documenten, video’s en aanvraagformulieren. Intern valt hier ook het intranet omgeving van overheidsinstanties onder.

Er zijn een aantal uitzonderingen op de toegankelijkheidsverplichting. De richtlijn werkt namelijk niet met terugwerkende kracht. Dit betekent dat eerder gepubliceerde content uitgezonderd kan zijn. Een aantal voorbeelden hiervan zijn:

• Kantoorbestandsformaten zoals een PDF die op een webpagina zijn gepubliceerd voor 23 september 2018. De uitzondering geldt niet als deze content nodig is voor actieve administratieve processen van de betrokken overheidsinstantie; 
• Content die enkel beschikbaar is voor een gesloten gebruikersgroep, zoals een intranet-omgeving, en die is gepubliceerd voor 23 september 2019. Bij een ingrijpende wijziging moet deze content wel aan de toegankelijkheidseisen voldoen; 
• Live uitgezonden media; 
• Van derden afkomstige content die niet onder het gezag van overheidsinstanties staat.

Implementeren van de toegankelijkheidseisen

In Nederland ondersteunt Logius, de dienst Digitale Overheid (bekend van diensten zoals DigiD en mijnoverheid) overheidsinstanties bij het implementeren van de digitoegankelijkheidseisen. Op hun website digitoegankelijk.nl is een eenvoudige uitleg van de toegankelijkheidseisen te vinden. Ook heeft Logius een handreiking gepubliceerd waarin staat hoe diensten en informatie toegankelijker gemaakt kunnen worden.

Toegankelijkheidsverklaring

Overheidsinstanties moeten een toegankelijkheidsverklaring plaatsen om aan te tonen dat ze aan de toegankelijkheidseisen voldoen. Deze moeten gepubliceerd worden op de website of bij het downloaden van een mobiele applicatie.

De toegankelijkheidsverklaring bestaat uit een aantal onderdelen, zoals een toelichting over de toegankelijkheid, een feedbackmechanisme en contactgegevens. Sommige onderdelen zijn uitgesloten van de toegankelijkheidseisen. Er moet daarom informatie gegeven worden welke onderdelen (nog) niet toegankelijk zijn, de redenen daarvoor en alternatieven die wel toegankelijk zijn. In het geval de website of mobiele applicatie de regels niet naleeft moet daar een melding van gemaakt kunnen worden. Er moet daarom een link naar een feedbackmechanisme zijn waar gebruikers van de website of applicatie een melding kunnen maken van eventuele niet naleving van de toegankelijkheidseisen.

Een toegankelijkheidsverklaring heeft een vaste vorm. Hiervoor is door de Commissie een model vastgesteld. In Nederland heeft Logius op basis hiervan een modelverklaring ontwikkeld. Meer informatie hierover vindt u op deze website van Logius.

Wat heeft mijn gemeente, provincie of waterschap met digitoegankelijkheid te maken?

In principe is digitoegankelijkheid voor alle overheidswebsites en mobiele applicaties verplicht, ook voor die van gemeenten, provincies en waterschappen. Dit betekent dat websites en mobiele applicaties toegankelijker gemaakt moeten worden op basis van de internationale toegankelijkheidsnorm WCAG 2.1. Hier vallen ook PDF-bestanden, media en intranetomgevingen onder. Zo gelden er toegankelijkheidseisen voor vormgeving, navigatie en tekststructuur.

Daarnaast moet er op de website van uw gemeente, provincie of waterschap een toegankelijkheidsverklaring worden gepubliceerd. In deze verklaring moet staan welke maatregelen de overheidsorganisatie neemt (inclusief een planning) om de website toegankelijk te maken en te houden. Deze toegankelijkheidsverklaring moet dan ook continu worden bijgehouden. Met behulp van de invulassistent kunnen decentrale overheden gemakkelijk een toegankelijkheidsverklaring opstellen. Voor verdere informatie over de toegankelijkheidsverklaring heeft Logius een informatieve webpagina opgesteld.

Daarnaast heeft de VNG in samenwerking met gemeenten en stichting Lezen en Schrijven een set websteksten met bijbehorende iconen ontwikkeld. Dit kan gemeenten, maar ook andere decentrale overheden helpen om de eigen website toegankelijker en gebruiksvriendelijker te maken.

Voor meer informatie over de mogelijkheden en verplichtingen voor decentrale overheden inzake digitoegankelijkheid kunt u deze praktijkvraag raadplegen.

In juni 2019 is de Europese Toegankelijkheidsrichtlijn (Richtlijn 2019/882) gepubliceerd. Deze richtlijn heeft als doel om bepaalde producten en diensten die binnen de Europese markt worden vervaardigd en aangeboden, toegankelijk te maken voor mensen met een beperking door bindende Europese eisen in te stellen. Dit is, naast de wet- en regelgeving die de Europese Unie heeft opgesteld voor digitale toegankelijkheid, de volgende stap richting een Europa waarin eenvoudige toegang tot producten en diensten voor mensen met beperkingen de regel wordt.

De belangrijkste producten die onder de richtlijn vallen zijn computers en besturingssystemen, zelfbedieningsterminals zoals betaalterminals, geldautomaten en sommige kaartverkoop- en incheckautomaten, evenals interactieve zelfbedieningsterminals die informatie bieden. Het gaat echter ook om smartphones, tv-toestellen, set-topboxen en e-readers. De diensten waar het in de richtlijn om gaat zijn de meeste telecommunicatiediensten, het Europese alarmnummer 112, toegang tot audiovisuele mediadiensten, sommige onderdelen van vervoersdiensten zoals automaten voor ticketverkoop en reisinformatie, bankdiensten voor consumenten, e-commerce, e-books en bepaalde software.

Aanbesteden

Die verplichte eisen gelden ook voor de gunning van overheidsopdrachten, zo blijkt uit artikel 24 van Richtlijn 2019/882. Dit is alleen het geval voor de onder de Toegankelijkheidsrichtlijn vallende producten en diensten. Overheidsinkopers hebben straks de specifieke verplichting om rekening te houden met minimale toegankelijkheidseisen in de technische specificaties voor producten, diensten en gebouwde werken die ze aanschaffen en die bedoeld zijn voor gebruik door natuurlijke personen.

Uitzonderingen

In de richtlijn zijn enkele uitzonderingen opgenomen. Zo zijn microbedrijven niet verplicht om eraan te voldoen en gelden er voor midden en kleine bedrijven (mkb) ook minder strenge eisen wat betreft het rapporteren. Daarnaast is de implementatie van de toegankelijkheidsvereisten alleen verplicht voor zover het geen onevenredige last oplegt of niet leidt tot de fundamentele wijziging van het product of de dienst.

Nederlands beleid voor toegankelijkheid van producten en diensten

Uit Richtlijn 2019/882 volgt dat de lidstaten drie jaar de tijd hebben, dus tot 28 juni 2022, om de bepalingen van de richtlijn om te zetten in nationale wetgeving. Vervolgens hebben de lidstaten nog eens drie jaar, dus tot 28 juni 2025, om de bepalingen toe te passen.

De Europese Commissie zal controleren of de bepalingen van de richtlijn op de juiste manier in nationale wetgeving zijn omgezet. Als een richtlijn niet op tijd wordt omgezet kan de Commissie een inbreukprocedure starten.

In Nederland wordt de richtlijn omgezet in het wetsvoorstel ‘Implementatiewet toegankelijkheidsvoorschriften producten en diensten’. Het wetsvoorstel werd in december 2021 geconsulteerd bij het brede publiek. Het is niet duidelijk wat de status van de Nederlandse implementatie nu is. Wel blijkt uit het Eerste Kamerdossier dat de implementatie in Nederland niet op schema ligt.

Naleving

Handhaving van de Toegankelijkheidsrichtlijn is een proces. Op grond van artikel 29 van Richtlijn 2019/882 is elke lidstaat er verantwoordelijk voor dat er passende en doeltreffende middelen beschikbaar zijn, om te waarborgen dat de bepalingen van de richtlijn worden nageleefd. Dit houdt in dat elke lidstaat een eigen markttoezichtautoriteit moet oprichten en autoriteiten die verantwoordelijk zijn voor de naleving van diensten moet aanwijzen. In Nederland is in artikel 19 en 22 van de Implementatiewet toegankelijkheidsvoorschriften producten en diensten een procedure voor het markttoezicht op producten vastgelegd. Daarnaast is in artikel 23 benoemd dat lidstaten dienen te zorgen voor procedures inzake conformiteit van diensten. Toezichthouders zullen moeten zorgen voor de handhaving, waaronder het nalevingstoezicht en sanctionering als niet wordt voldaan aan de bepalingen uit de richtlijn. Deze taken worden in Nederland, naar het er nu uitziet, belegd bij de Nederlandse Voedsel- en Warenautoriteit.

Waarom zijn toegankelijke producten en diensten belangrijk voor mijn gemeente, provincie of waterschap?

Overheidsopdrachten

Voor decentrale overheden is de Toegankelijkheidsrichtlijn onder meer van belang bij het gunnen van overheidsopdrachten. Uit artikel 24 van Richtlijn 2018/882 blijkt namelijk dat overheidsinkopers rekening moeten houden met de product specifieke eisen bij het aanbieden van producten waar de Toegankelijkheidsrichtlijn op doelt. Dat doen ze door deze eisen op te nemen in de technische specificaties die ze bij klassieke overheidsopdrachten mogen eisen aan een werk, levering of dienst op grond van artikel 42 Richtlijn 2014/24 en bij opdrachten van speciale sectorbedrijven op grond van artikel 60 Richtlijn 2014/25.

Vervoersdiensten

Daarnaast zijn sommige overheidsinstanties verantwoordelijk over het aanbieden van vervoersdiensten, met name openbaar vervoerdiensten. Op grond van Richtlijn 2016/2102 moet informatie daarover, voor zover die op overheidswebsites staat, digitaal toegankelijk worden aangeboden. Sommige informatie over vervoersdiensten valt echter onder Richtlijn 2019/882, zoals system voor uitgifte van elektronische tickets, reisinformatie en interactieve zelfbedieningsterminals. Deze diensten moeten dus toegankelijk worden gemaakt voor mensen met een beperking.

Artikel 5 van Richtlijn 2019/882 geeft daarbij aan dat er al bestaande Uniewetgeving (en dus bijzondere eisen) geldt voor personenvervoer. Nu moeten in aanvulling hierop ook nog enkele verplichtingen uit de Toegankelijkheidsrichtlijn worden doorgevoerd. Uit artikel 2 lid 2 sub c van Richtlijn 2019/882 blijkt dat voor stedelijke, voorstedelijke en regionale vervoersdiensten uitsluitend de elementen onder v) van toepassing zijn. Dat betekent dat voor verreweg het grootste deel van het Nederlandse openbaar vervoer eigenlijk alleen de verplichting onder v) nog moet worden geïmplementeerd. Die verplichting ziet op het toegankelijk inrichten van interactieve zelfbedieningsterminals, met uitzondering van terminals die in voertuigen (bus, trein, tram, metro) zijn gemonteerd. Het gaat dus met name om automaten op perrons, in openbare terminals en op ander openbaar terrein. De vraag wie hiervoor verantwoordelijk is, de betreffende decentrale overheid of de vervoerders wier diensten worden aangeboden, is alleen van geval tot geval te beantwoorden.

Een van de prioriteiten van de Europese Commissie is een “Europa dat klaar is voor het digitale tijdperk”. De Commissie vindt dat de digitalisering van de gezondheidssector niet achter kan blijven, omdat het kansen biedt voor burgers en bedrijven. Vanuit de EU zijn er dan ook al verschillende initiatieven voor de digitalisering van de Europese gezondheidszorg in gang gezet.

Digitale Agenda

De Digitale Agenda benoemde e-health voor het eerst. Deze strategie werd in 2010 gepresenteerd. Daarin staat dat e-health kan zorgen voor een hogere kwaliteit van de zorg en dat het de kosten van gezondheidszorg kan verminderen. Er werd voorgenomen om Europeanen tegen 2015 te voorzien van een beveiligde toegang tot hun medische gegevens en om tegen 2020 een brede verspreiding van elektronische geneeskundediensten aan te bieden. Denk hierbij aan online consultaties met een zorgverlener en betere spoedeisende zorg.

Uit de Digitale Agenda vloeide Richtlijn 2011/24/EU (inzake de toepassing van patiënten rechten bij grensoverschrijdende gezondheidszorg). Deze richtlijn zorgt voor een algemeen kader om veilige en hoogwaardige grensoverschrijdende gezondheidszorg toegankelijker te maken. Het bevordert de samenwerking tussen lidstaten op het gebied van gezondheidszorg. Zo kunnen lidstaten in het kader van een vrijwillig e-gezondheidsnetwerk informatie met elkaar uitwisselen. De veiligheid van de gegevens van patiënten staat hierbij voorop.

Digitale interne markt strategie

De Digital Interne Markt Strategie werd in 2015 door de Commissie vastgesteld. In de strategie werd het accent gelegd op een inclusieve digitale interne markt, waarin een inclusieve digitale samenleving bevorderd wordt. Burgers en bedrijven moeten kunnen beschikken over onderling gekoppelde digitale diensten, waaronder e-gezondheidsdiensten. Om een goedlopende grensoverschrijdende gezondheidszorg te bereiken moeten elektronische diensten continu verbeterd worden.

Europese dataruimte voor gezondheidsgegevens

In mei 2022 heeft de Commissie de Europese dataruimte voor gezondheidsgegevens (EHDS) gelanceerd. De Commissie stelt dat data van vitaal belang is voor de economische ontwikkeling. In de Europese Datastrategie heeft de Commissie het doel gesteld om Europese dataruimten te creëren waardoor de uitwisseling van data en toegang tot data makkelijker wordt. De EHDS is de eerste verordening voor een dergelijke dataruimte. De EHDS geeft onder meer invulling aan het Europese doel dat in 2030 alle natuurlijke personen toegang hebben tot hun persoonlijke elektronische gezondheidsgegevens.

De EHDS heeft als doel om de toegang van burgers tot hun persoonlijke elektronische gezondheidsgegevens en hun zeggenschap daarover in de context van gezondheidszorg te verbeteren. Daarnaast moet dergelijke data ook beschikbaar kunnen zijn voor andere doeleinden waarbij de samenleving baat zou hebben, zoals onderzoek, innovatie, beleidsvorming, patiëntveiligheid, gepersonaliseerde geneeskunde, officiële statistieken of regelgevingsactiviteiten (secundair gebruik van elektronische gezondheidsgegevens). Ook heeft deze verordening als functie om de werking van de interne markt te verbeteren. Dit gebeurt met een uniform rechtskader, met name voor de ontwikkeling, het in de handel brengen en het gebruik van systemen voor elektronische patiëntendossiers (“EPD-systemen”).

Het gebruik van de gezondheidsgegevens kan onder strenge regels. Zo bouwt de EHDS voort op de Algemene Verordening Gegevensbescherming (AVG). Verder moeten digitale gezondheidsautoriteiten er per lidstaat voor zorgen dat de rechten van burgers worden gewaarborgd. Om toegang te krijgen tot de gegevens in de EHDS, is een vergunning nodig.

Deze verordening is van toepassing op:

• fabrikanten en leveranciers van EPD-systemen en wellnessapps die in de Unie in de handel worden gebracht en in gebruik worden genomen, en de gebruikers van dergelijke producten;
• in de Unie gevestigde verwerkingsverantwoordelijken en verwerkers die elektronische gezondheidsgegevens verwerken van burgers van de Unie en onderdanen van derde landen die legaal op het grondgebied van de lidstaten verblijven;
• in een derde land gevestigde verwerkingsverantwoordelijken en verwerkers die verbonden of interoperabel zijn met MyHealth@EU, overeenkomstig artikel 12 lid 5 AVG;
• gegevensgebruikers aan wie elektronische gezondheidsgegevens door gegevenshouders in de Unie beschikbaar worden gesteld.

Meer informatie over de EHDS is te vinden in dit persbericht van de Commissie.

Europese samenwerking

Ondanks dat de ontwikkeling en toepassing van e-health oplossingen vrijwel binnen de bevoegdheden van EU-lidstaten zelf vallen, biedt de EU ondersteuning door middel van financiering en samenwerkingsplatforms. Zo is er een e-gezondheidsnetwerk opgezet onder Richtlijn 2011/24 dat nationale autoriteiten die verantwoordelijk zijn voor e-gezondheid met elkaar in contact brengt. In dit netwerk kunnen de landen richting geven aan de ontwikkelingen in de e-gezondheidszorg en het standaardiseringsbeleid op dit gebied. Denk hierbij bijvoorbeeld aan de publicatie van technische specificaties die nodig was voor de wederzijdse herkenning van digitale coronacertificaten.

Daarnaast is in 2018 het gemeenschappelijk optreden ter ondersteuning van het e-gezondheidsnetwerk, eHAction, van start gegaan. eHAction bestaat uit vertegenwoordigers van alle EU-lidstaten. Het doel is het ondersteunen van het e-gezondheidsnetwerk met wetenschappelijk en technisch advies om beleidsdiscussies op dit gebied te faciliteren. Ook Nederland is sinds 2021 aangesloten bij het National Contactpunt voor e-Health (NCPeH). Met dit Europese netwerk kunnen zorgverleners onderling medische gegevens uitwisselen via een beveiligde verbinding. Met toestemming van EU-burgers kan een samenvatting van hun medische informatie, een digitale patiëntensamenvatting, worden verstrekt aan een zorgverlener in Nederland.

Verder kunnen lidstaten voor de uitvoering van het beleid op het gebied van e-health gebruik maken van verschillende financiële instrumenten. Zo stellen onder andere het programma Digital Europe en Horizon Europe geld beschikbaar voor de digitale transformatie. Daaronder vallen ook innovatie en samenwerking op het gebied van ICT voor gezondheid en welzijn. Zo moedigt Horizon Europe onder andere kleine en middelgrote bedrijven aan om e-gezondheidsoplossingen op te schalen.

Nederlands beleid voor e-health

De Nederlandse overheid wil het gebruik van digitale toepassingen in de zorg stimuleren. Zo kan digitale zorg tijd besparen, biedt het patiënten meer transparantie en zorgt het voor minder administratieve lasten bij artsen.

Stimulering gebruik e-health

Veel slimme zorgoplossingen zijn al aanwezig, maar kunnen in de dagelijkse zorg vaker worden ingezet. Denk bijvoorbeeld aan het meten van de bloeddruk vanuit huis of apps om met de dokter te kunnen bellen. Door de coronacrisis werden slimme technologieën in de gezondheidszorg steeds belangrijker. In 2021 verruimd de Nederlandse zorgautoriteit (NZa) de bekostiging van de digitale zorg. Op deze manier kan een digitaal consult met een huisarts ook vergoed worden. Verder heeft het Zorginstituut Nederland een plan van aanpak opgesteld om de inzet van e-health in de praktijk aan te moedigen.

E-healthmonitor

De Nederlandse overheid volgt de verbeteringen van de digitale ontwikkelingen in de zorg via de e-healthmonitor. Dit is een jaarlijks onderzoek naar de beschikbaarheid en het gebruik van e-gezondheidstoepassingen door patiënten en zorgverleners. Het RIVM heeft een plan van aanpak en nieuwe doelen voor de e-healthmonitor 2021-2023 gepubliceerd.

Wegiz

Zorgverleners moeten beschikken over complete en actuele gegevens van patiënten. Dit kan alleen worden bereikt met een goede overdracht en beschikbaarheid van gegevens tussen zorgverleners, zowel binnen de eigen organisatie als daarbuiten. De Wet elektronische gegevensuitwisseling in de zorg (Wegiz) gaat over de juiste informatie, op het juiste moment, op de juiste plek. 

In de Wegiz staat dat gegevensuitwisseling tussen zorgverleners elektronisch moet verlopen. Daarnaast bepaalt de Wegiz op grond van welke afspraken het delen van gegevens moet verlopen. Bijvoorbeeld door zorginstellingen te verplichten om gebruik te maken van geavanceerde software voor de gegevensuitwisseling en gebruik te maken van één vaktaal. Dit laatste moet ervoor zorgen dat het voor alle zorgverleners duidelijk is waar het over gaat. Belangrijk om te vermelden is dat de Wegiz niet regelt welke soort gegevens elektronisch uitgewisseld moeten worden, maar hoe deze gedeeld moet worden. Dit wordt op een later moment door middel van een Algemene Maatregel van Bestuur bepaald.

Stand van zaken

Op 27 september 2022 heeft de Tweede Kamer het wetsvoorstel aangenomen. De Eerste Kamercommissie voor Volksgezondheid, Welzijn en Sport (VWS) heeft op 28 februari 2023 het nader voorlopig verslag (EK, E) uitgebracht en wacht op de nadere memorie van antwoord.

Wat heeft mijn gemeente, provincie of waterschap met e-health te maken?

E-health biedt kansen voor decentrale overheden. Een taak van decentrale overheden op het gebied van gezondheid is de uitvoering van de Wet publieke gezondheid. Daarnaast zijn gemeenten verantwoordelijk voor werk, inkomen en zorg aan langdurig zieken en ouderen en voor jeugdzorg. Het staat decentrale overheden daarbij vrij om zelf na te denken over digitale oplossingen voor de lokale gezondheidszorg en daarbij (actie)plannen te formuleren. Zo heeft de gemeente Den Haag het Actieprogramma Zorg en Innovatie ontwikkeld om technologische innovaties omtrent gezondheidszorg in de gemeente optimaal te benutten. Verder brengt het e-gezondheidsnetwerk, dat is opgezet op grond van Richtlijn 2011/24, nationale autoriteiten verantwoordelijk voor e-gezondheid met elkaar in contact. Dit biedt decentrale overheden mogelijkheden om effectief gebruik te maken van e-health, waardoor meer mensen geholpen kunnen worden.

Daarnaast is het belangrijk dat de privacy van de gebruikers van digitale gezondheidszorg beschermt blijft. Het is dus essentieel dat decentrale overheden goed toezicht blijven houden op het gebruik van gezondheidsgegevens en -data van hun burgers. Decentrale overheden moeten erop blijven toezien dat de regels uit de AVG bij de toepassing van e-gezondheid worden nageleefd.

Op deze webpagina vindt u meer informatie over het Europese en Nederlandse beleid rondom de elektronische handtekening. Zo zijn er verschillende soorten e-handtekeningen. Daarnaast wordt er op deze pagina ingegaan op de verplichtingen die decentrale overheden hebben als het gaat om e-handtekeningen.

Europees beleid voor elektronische handtekeningen

De elektronische handtekening wordt geregeld in de eIDAS-verordening. Deze verordening is sinds 2014 in werking en regelt onder andere de vereisten rondom elektronische handtekeningen. Met name artikel 25 tot en met 34 van de eIDAS-verordening zijn van belang voor e-handtekeningen.

eIDAS-verordening

De eIDAS-verordening (Verordening (EU) 910/2014) is de basis voor een betrouwbare digitale dienstverlening in de EU. eIDAS staat voor Electronic Identities and Trust Services (elektronische identificatie en vertrouwensdiensten). De eIDAS-verordening neemt nationale belemmeringen voor vertrouwensdiensten weg en maakt zo grensoverschrijdende dienstverlening mogelijk. De elektronische handtekening is een van de elektronische identificatie zaken die wordt geregeld in de eIDAS-verordening. Meer over de specifieke Europese en Nederlandse regels rondom eIDAS vindt u op deze pagina.

eIDAS-verordening en de elektronische handtekening

De eIDAS-verordening legt vast wat een elektronische handtekening is, aan welke eisen deze moet voldoen en onder welke voorwaarden de elektronische handtekening rechtsgeldig is. Daarnaast zorgt de eIDAS-verordening voor wederzijdse erkenning van uiteenlopende vormen van digitale handtekeningen in de EU. Voordat eIDAS in werking trad maakten de lidstaten in de EU ook al gebruik een elektronische handtekeningen op basis van de Richtlijn elektronische handtekeningen (1999/93/EG), maar deze verschilde tussen lidstaten onderling. Deze e-handtekeningen werden dan ook niet wederzijds erkend waardoor het uitvoeren van online grensoverschrijdende transacties bemoeilijkt of geblokkeerd werd door specifieke nationale eisen. De eIDAS-verordening erkent daarom verschillende soorten handtekeningen die elk hun eigen veiligheidsniveau hebben.

Verschillende vormen elektronische handtekeningen

De eIDAS verordening maakt een onderscheid tussen drie verschillende soorten elektronische handtekeningen. Elk van deze e-handtekeningen heeft andere voorwaarden. De verschillende typen lopen op in vertrouwensniveau. De gekwalificeerde elektronische handtekening heeft de strengste eisen maar daardoor ook het hoogste vertrouwensniveau. 

1. De gewone elektronische handtekening: De gewone elektronische handtekening is de handtekening waar de minste eisen aan verbonden zijn. Het is een gewone handtekening die zichtbaar is in een elektronisch document. Het is een bewijs dat iemand akkoord gaat met een overeenkomst. Een voorbeeld is een handgeschreven handtekening die is ingescand en is toegevoegd aan een document. Ook een vinkje waarmee door iemand toestemming kan worden aangegeven voor bepaalde zaken is een elektronische handtekening. Een elektronische handtekening is makkelijk te vervalsen. Daarnaast is het mogelijk om achteraf wijzigingen aan te brengen aan de inhoud van het bijbehorende document. 
2. De geavanceerde elektronische handtekening: Aan een geavanceerde elektronische handtekening worden strengere eisen gesteld. Bij een geavanceerde handtekening moet het af te leiden zijn wie de ondertekenaar is. Ook moet het duidelijk zijn dat de handtekening wordt gezet door degene aan wie de handtekening toebehoort. Dit zorgt ervoor dat de ontvanger een bewijs heeft dat het elektronische bestand inderdaad afkomstig is van de ondertekenaar en dat de ondertekenaar de inhoud van het stuk onderschrijft. Dit kan bijvoorbeeld door een gebruikersnaam en wachtwoord of een code die gekoppeld is. Dit moet ervoor zorgen dat de handtekening moeilijker te vervalsen is. Daarnaast moet de geavanceerde elektronische handtekening garanderen dat het bericht niet onderweg is gewijzigd. Dit kan bijvoorbeeld door het gebruiken van een certificaat. Wel is het zo dat de geavanceerde elektronische handtekening meerdere varianten kent. Een belangrijke variant is de geavanceerde elektronische handtekening gebaseerd op een certificaat. Een gekwalificeerd certificaat is een certificaat dat onder strikte voorwaarden is uitgegeven aan de houder. 
3. De gekwalificeerde elektronische handtekening: Een gekwalificeerde elektronische handtekening is de strengste vorm van de elektronische handtekeningen. Voor een gekwalificeerde handtekening moet gebruik worden gemaakt van een gekwalificeerd middel en een gekwalificeerd certificaat. De combinatie van een gekwalificeerd middel en certificaat zorgt ervoor dat de identiteit van de ondertekenaar overtuigend kan worden bewezen. In de verordening zijn de eisen waaraan gekwalificeerde middelen en certificaten moeten voldoen vastgelegd. Hierdoor is de juridische status van deze handtekening in alle lidstaten gelijk.

Er zijn geen verschillen in juridische aspecten tussen de verschillende e-handtekeningen. Een gekwalificeerde elektronische handtekening is volgens artikel 25 lid 2 van de eIDAS-verordening juridisch gelijk aan een handgeschreven handtekening. Dit betekent dat er niet altijd een gekwalificeerde elektronische handtekening nodig is. Dit kan namelijk door de strengere voorwaarden in sommige gevallen niet praktisch zijn.

Elektronische handtekening voor de Dienstenrichtlijn

Op basis van de Dienstenrichtlijn (2006/123) kunnen elektronische handtekeningen vereist zijn, bijvoorbeeld voor vergunningsaanvragen. Het is aan de ontvangende partij te bepalen welke handtekening per procedure nodig is. Dienstverleners kunnen dus zelf het vertrouwensniveau van de elektronische dienst bepalen. Wanneer er is vastgesteld dat een geavanceerde elektronische handtekening is vereist dan moeten ook handtekeningen van een hoger betrouwbaarheidsniveau uit andere lidstaten worden geaccepteerd. Een ontvangen elektronische handtekening kan dan niet worden geweigerd tenzij er goede redenen zijn om dat niet te doen. Wanneer het proces niet vraagt om een handtekening kan een binnengekomen elektronische handtekening genegeerd worden.

Verplichte acceptatie elektronische handtekening in openbare diensten

Een openbare instantie kan voor een online dienst een geavanceerde handtekening vereisen. Wanneer een openbare dienst minimaal een geavanceerde handtekening vereist, moeten naast geavanceerde handtekeningen ook handtekeningen van een hoger betrouwbaarheidsniveau uit andere lidstaten worden geaccepteerd. Dit betekent dat ook de geavanceerde elektronische handtekeningen gebaseerd op een gekwalificeerd certificaat en gekwalificeerde elektronische handtekeningen moeten worden geaccepteerd. Door handtekeningen van een hoger niveau te accepteren waar een lager betrouwbaarheidsniveau volstaat wordt voorkomen dat de ondertekenaar voor ieder proces een andere handtekening moeten aanschaffen.

Nederlands beleid voor elektronische handtekeningen

Wat zijn de Nederlandse regels rondom e-handtekeningen en wat heeft de Nederlandse overheid gedaan om de Europese regels te integreren? De eIDAS betreft een Europese verordening en heeft rechtstreekse werking. Dat betekent dat de bepalingen van deze verordening door (decentrale) overheden ook rechtstreeks toegepast worden. In Nederland zijn de regels rondom elektronische handtekeningen geïmplementeerd in Boek 3 van het Burgerlijk Wetboek, artikel 15a. 

Het gebruik van gekwalificeerde e-handtekeningen in Nederland

Er zijn in Nederland verschillende diensten die de certificaten voor gekwalificeerde elektronische handtekeningen uitgeven. De Rijksoverheid maakt bijvoorbeeld gebruik van PKIoverheid. In Nederland ziet het Agentschap Telecom toe op de samenstelling van de vertrouwenslijst van certificaten. De lijst is hier te vinden. 

De eIDAS-verordening bepaalt niet welke handtekening wanneer is vereist. Het wordt overgelaten aan de lidstaten om te bepalen welke handtekening en welk beveiligingsniveau nodig is per toepassingsgebied. In sommige lidstaten is het bijvoorbeeld niet toegestaan om bepaalde zeer persoonlijke contracten elektronisch te ondertekenen. Uit de Nederlandse wetgeving (artikel 15a Burgerlijk Wetboek Boek 3) volgt dat de elektronische handtekeningen dezelfde rechtsgevolgen hebben als een handgeschreven handtekening, indien de methode voor ondertekening voldoende betrouwbaar is.

Wat heeft mijn gemeente, provincie of waterschap met e-handtekeningen te maken?

Overheden verwerken steeds meer gegevens digitaal. Ook decentrale overheden zullen wel eens digitaal een document versturen dat moet worden ondertekend. Soms staat er in die documenten gevoelige informatie en moet het op een veilige manier kunnen worden ondertekend. In dat geval hebben ook decentrale overheden te maken met elektronische handtekeningen. 

Als leidraad heeft de VNG een handreiking elektronische handtekening gepubliceerd om gemeenten te ondersteunen bij het gebruik van het digitaal ondertekenen van documenten. Op de website van Logius staat stap voor stap hoe het gebruik van e-handtekeningen werkt. Ook wordt er ingegaan op hoe een overheidsorganisatie een certificaat voor gekwalificeerde elektronische handtekeningen kan aanvragen.

Kunnen stukken ook elektronisch worden ondertekend?

Achtergrond

In 2015 presenteerde de Europese Commissie een nieuwe Single Market Strategy, een strategie om het volledige potentieel van de Europese interne markt te benutten. Om de interne markt beter te laten functioneren, beter toegankelijk te maken voor burgers en bedrijven en om belemmeringen te voorkomen, heeft de Commissie daarna in 2017 een handhavingspakket met verdere wetgevingsvoorstellen voor de interne markt uitgebracht. Eén van deze wetsvoorstellen betrof de Single Digital Gateway Verordening.

Single Digital Gateway Verordening

De regels voor de Single Digital Gateway (SDG) zijn geregeld in de Single Digital Gateway Verordening (2018/1724). De SDG moet ervoor zorgen dat iedereen in de EU op dezelfde manier toegang heeft tot digitale overheidsdienstverlening. In de SDG-verordening staat welke informatie en procedures online aangeboden moeten worden en vanaf wanneer dat moet worden gedaan. De SDG-verordening is in oktober 2018 aangenomen door het Europees Parlement. Daarmee heeft Nederland de wettelijke verplichting gekregen om de verordening uit te voeren.

Your Europe

De SDG wordt beheerd door de Commissie en de lidstaten samen. De Commissie zorgt voor de centrale toegangspoort van waaruit Europese burgers en bedrijven alle relevante informatie, procedures en diensten kunnen vinden die zij nodig hebben om van de Europese interne markt gebruik te maken. Dat gebeurt met het Your Europe portaal. Dit portaal bevat momenteel al informatie voor burgers en bedrijven die grensoverschrijdende activiteiten willen verrichten. Via de SDG worden gebruikers straks doorgelinkt naar de webpagina’s op de overheidswebsite van de betrokken lidstaat, die de informatie of de procedures bevat waar de gebruikers naar op zoek zijn. Dit kan van de EU zijn als het om Europese aangelegenheden gaan, of naar de website van de desbetreffende instanties in een EU-lidstaat.

Welke informatie moet er worden aangeboden?

Overheidsorganisaties moeten volgens de SDG-verordening informatie verstrekken over diensten die relevant zijn bij grensoverschrijdende activiteiten en de bijbehorende e-procedures. Dat gaat bijvoorbeeld om reizen, werk of pensioen, voertuigen, verblijf, onderwijs of stage, gezondheidszorg en burger- en familierechten. Burgers kunnen zo bijvoorbeeld het SDG-portaal gebruiken wanneer zij verhuizen naar een andere lidstaat of wanneer ze in een andere lidstaat een bedrijf willen starten. Bedrijven kunnen op het SDG-portaal onder meer informatie vinden over belastingen, overheidsopdrachten en bedrijfsvergunningen. Meer informatie over het onderdeel informeren en de eisen die daarbij horen vindt u op de website van Pleio.

Een overzicht van alle informatiegebieden die moeten worden aangeboden staat in Bijlage I van de SDG-verordening. Deze staan ook opgesomd in dit overzicht van Pleio.

Kwaliteitseisen aan de informatie

Er worden een aantal kwaliteitseisen gesteld aan de informatie op de websites. De informatie moet gebruiksvriendelijk en begrijpelijk zijn en er moet een datum van laatste aanpassing worden toegevoegd. Ook moet het logo van Your Europe en een link naar Your Europe worden opgenomen en moeten bezoekersstatistieken en gebruikersfeedback worden verzameld. Daarnaast is vereist dat de informatie (ook) moet worden verstrekt in een officiële taal van de Unie, die door een zo groot mogelijk aantal grensoverschrijdende gebruikers wordt begrepen. In Nederland is gekozen voor Engels. De lidstaten kunnen de Europese Commissie om ondersteuning vragen bij het vertalen van de teksten. Daarna moeten pagina’s worden genotificeerd (aangemeld) bij Your Europe.

Welke procedures moeten worden aangeboden?

Het basisprincipe van de SDG is dat belangrijke administratieve procedures voor zowel nationale gebruikers als buitenlandse gebruikers online kunnen worden doorlopen.

Overheden moeten ook online toegang geven tot verschillende procedures voor zaken zoals geboorte, verblijf, studie, werk, verhuizing en het starten van een bedrijf. In de verordening worden 21 procedures genoemd die online en grensoverschrijdend moeten worden aangeboden, waaronder:

• Geboorte: het aanvragen van een bewijs van registratie van een geboorte;
• Verblijf: aanvraag van bewijs van verblijf;
• Verhuizing: registratie van een adreswijziging en inschrijving van een motorvoertuig;
• Starten, exploiteren en sluiten van een bedrijf: kennisgeving van een bedrijfsactiviteit en vergunningen voor de uitoefening van een bedrijfsactiviteit.

Een overzicht van alle procedures die online moeten worden aangeboden staat in Bijlage II van de SDG-verordening.

Once-Only principe

Bij het verlenen van toegang tot procedures is het Once-Only Principe (Eenmaligheidsbeginsel) van belang. De SDG is gebaseerd op het Once-Only principe (OOP). Dit zou betekenen dat burgers, instellingen en bedrijven bepaalde informatie slechts één keer hoeven aan te leveren aan overheidsorganisaties. Over de precieze werking van het OOP wordt echter nog nagedacht. U kunt de ontwikkelingen van het traject hier volgen.

Nederlands beleid voor de Single Digital Gateway

Nationaal Coördinator

Elke lidstaat dient op grond van artikel 28 van de SDG-verordening een nationale coördinator te benoemen. De rol van de Nationaal Coördinator is om de voortgang en kwaliteit te bewaken. Daarnaast fungeert de Nationaal Coördinator als contactpunt naar de Commissie en de andere Europese lidstaten.

De Nederlandse coördinator is benoemd door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en wordt ondersteund door het Bureau Nationale Coördinator (bNC-SDG). Het bureau deelt relevante informatie en praktische voorbeelden op hun website en organiseert regelmatig kennisbijeenkomsten.

Contact

Het team van bNC-SDG kunt u bereiken via:

W: https://sdg.pleio.nl/
T: (070) 260 00 06
E: bNC-SDG@ictu.nl

Wat betekent de Single Digital Gateway voor mijn gemeente, provincie of waterschap?

De SDG-verordening bevat verplichtingen voor decentrale overheden. Deze verplichtingen worden op verschillende tijdstippen van toepassing, variërend van twee tot vijf jaar na inwerkingtreding van de verordening (2018). De eerste verplichtingen voor de centrale overheid en de Commissie zijn ingegaan op 12 december 2020. Voor decentrale overheden zijn verder de volgende verplichtingen van belang:

• 12 december 2022 – De (vertaalde) informatie en instructie over de procedures die moeten worden aangeboden moest vanaf deze datum beschikbaar zijn.
• 12 december 2023 – De online procedures moeten toegankelijk zijn voor EU-burgers en bedrijven.

Voor meer informatie over de verplichtingen die gelden voor decentrale overheden kunt u deze praktijkvraag nog raadplegen.

SDG Invoervoorziening

Sinds december 2022 moeten alle decentrale overheden informatie over producten en diensten beschikbaar stellen. De VNG heeft daarom een centrale oplossing voor gemeenten gemaakt. Hiermee kunnen gemeenten efficiënt voldoen aan de eisen van de eerste fase van de verordening. Deze oplossing bestaat uit:

• de SDG Invoervoorziening;
• standaardteksten in Nederlands en Engels.

De SDG Invoervoorziening voorziet gemeenten van standaardteksten in het Engels en Nederlands. Gemeenten moeten de standaardteksten dan controleren, aanvullen en publiceren. U kunt meer lezen over de voortgang op SDG groep op Pleio. Op dit moment wordt bovendien onderzocht in hoeverre de volgende verplichting ook op een centrale manier kan worden ingericht.

Ook de Unie van Waterschappen en het Interprovinciaal Overleg (IPO) zijn bezig met een Invoervoorziening. Voor de voortgang kunt u de website van de Unie of de website van het IPO in de gaten houden.

Digital Decade

In maart 2021 presenteerde de Europese Commissie een visie en strategie voor de digitale transformatie van Europa in de periode tot 2030. Dit plan bestond uit enkele hoofdpunten om dit het ‘digitale decennium’ van de Europese Unie maken. Dit houdt in dat Europa bedrijven en mensen zelfbewuster wil maken in een duurzame en welvarende digitale toekomst waarin de mens centraal staat. Wat staat er precies in dit plan? En op welke manier raakt dit mijn gemeente, provincie of waterschap?

Meer informatie over de Digital Decade kunt u vinden op deze pagina.

Single Digital Gateway

De Single Digital Gateway (SDG) is een online centraal punt waarmee EU-burgers en bedrijven makkelijk toegang krijgen tot digitale overheidsdienstverlening in alle EU-lidstaten. Dit maakt het inzichtelijk aan welke regels en verplichtingen zij moeten voldoen wanneer ze gaan wonen, werken of ondernemen in een andere lidstaat. Alle uitvoeringsorganisaties, waaronder decentrale overheden, moeten in het SDG-portaal een aantal diensten, producten en procedures digitaal beschikbaar en open stellen voor grensoverschrijdende gebruikers. Maar wat is nu precies het Europese en Nederlandse beleid rondom de SDG?

Lees hier meer over op de pagina Single Digital Gateway.

Elektronische identiteit

Met een elektronische identiteit identificeren burgers en bedrijven zich online bij overheden en publieke instanties. Binnen Europa zijn hier afspraken over gemaakt met eIDAS. De eIDAS-verordening heeft ervoor gezorgd dat overheidsorganisaties sinds 2018 de Europees erkende inlogmiddelen moeten accepteren. Wat betekent eIDAS voor Nederlandse decentrale overheden? Daarnaast is er een nieuw voorstel gedaan voor een Europese digitale identiteit. Wat is verder het Europees en Nederlandse beleid als het gaat om elektronische identiteit?

Op deze pagina leest u meer over de Elektronische identiteit.

Elektronische handtekening

Een elektronische handtekening is een digitale vervanger van de handgeschreven handtekening. Burgers en bedrijven, maar ook (decentrale) overheden, kunnen gebruik maken van elektronische handtekeningen, bijvoorbeeld voor het ondertekenen van uitgaande en interne stukken. Wat hebben decentrale overheden met e-handtekeningen te maken? Waar moeten ze op letten bij het elektronisch ondertekenen van een document?

Lees hier meer over het Europees en Nederlandse beleid rondom Elektronische handtekeningen.

Toegankelijkheid van producten en diensten

Veel producten en diensten die binnen de Europese markt worden vervaardigd en aangeboden zijn voor mensen met een beperking niet of onvoldoende toegankelijk. Daarom is in juni 2019 de Toegankelijkheidsrichtlijn voorgesteld. Welke producten en diensten vallen er nu onder deze richtlijn? En wat betekent dit voor decentrale overheden?

Dit kunt u lezen op de pagina Toegankelijkheid van producten en diensten.

Digitale toegankelijkheid

Digitale diensten moeten door iedereen te gebruiken kunnen zijn. Om dit te faciliteren zijn er internationaal verschillende technische standaarden ontwikkeld die digitale dienstverlening toegankelijker maken. Binnen de EU en in Nederland zijn hier regels voor opgesteld. Aan welke vereisten moeten gemeenten, provincies en waterschappen voldoen? 

U kunt hier meer lezen over Digitale toegankelijkheid.

E-health

Er zijn steeds vaker digitale technologieën in het dagelijks gebruik, en de gezondheidszorg kan daarbij niet achterblijven. Digitale technologieën maken zorg op afstand mogelijk. Hoe staat het met de vorderingen rondom e-gezondheid in Europa en Nederland? En wat hebben gemeenten, provincies en waterschappen met digitale gezondheidszorg te maken? 

Op deze pagina leest u meer over het beleid rondom E-health.

E-commerce

Om tot een nog betere digitale eengemaakte markt te komen moeten alle digitale mogelijkheden optimaal benut worden. De elektronische handel speelt hierbij een belangrijke rol. Een goed beleid voor e-commerce leidt namelijk tot het weghalen van online barrières, meer transparantie en concurrentie, wat uiteindelijk voordelen biedt aan consumenten. De regels voor e-commerce zijn constant in ontwikkeling. Op deze pagina worden daarom zowel de huidige wetgeving als de nieuwe voorstellen voor e-commerce besproken. Maar wat heeft uw gemeente, provincie of waterschap precies met e-commerce te maken?

Lees hier meer over op onze pagina over E-commerce.

Om een gemeenschappelijk kader voor elektronische identificatie in de Europese Unie te waarborgen zijn er afspraken gemaakt. In de eIDAS-verordening hebben de EU-lidstaten afgesproken om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken.

De eIDAS-verordening

De eIDAS-verordening (Verordening (EU) 910/2014) is de basis voor een betrouwbare digitale dienstverlening in de EU. Om een elektronische identiteit veilig en betrouwbaar over de grens te gebruiken zijn er in de eIDAS-verordening eisen gesteld aan elektronische identificatie en authenticatiemiddelen, zoals bijvoorbeeld de elektronische handtekening. Verder is de elektronische identiteit een van de kwesties inzake elektronische identificatie die wordt geregeld in de eIDAS-verordening.

Betrouwbaarheidsniveaus

In de eIDAS verordening zijn drie betrouwbaarheidsniveaus bepaald: laag, substantieel en hoog. Er zijn verschillende betrouwbaarheidsniveaus, omdat de context waar een eID in wordt gebruikt verschilt. Sommige gegevens zijn bijvoorbeeld extra privacygevoelig, zoals financiële en medische gegevens. Het betrouwbaarheidsniveau verschilt dus per soort dienstverlening. Door middel van de betrouwbaarheidsniveaus wordt dan bepaald hoe zeker men is over de identiteit van de gebruiker.

Elk betrouwbaarheidsniveau heeft zijn eigen minimumeisen. Voor de eIDAS betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’ zijn er bijvoorbeeld striktere methoden voor identificatieverificatie nodig dan voor eIDAS ‘laag’. Voorbeelden van identificatiemethodes zijn sms-controles of een eenmalige ID check. In de uitvoeringsverordening 2015/1502 heeft de Commissie de minimumeisen per betrouwbaarheidsniveau vastgelegd. DigiD en eHerkenning hebben hun eigen betrouwbaarheidsniveaus.

Grensoverschrijdend eID gebruik

In de eIDAS-verordening is vastgelegd dat Europese burgers en bedrijven bij alle openbare instanties moeten kunnen inloggen met een door Europa erkend nationaal inlogmiddel. Dit gebeurt op basis van wederzijdse erkenning van elektronische identificatiemiddelen. Een nationaal elektronisch inlogmiddel moet hiervoor wel eerst zijn goedgekeurd door de Europese Commissie. Voor wederzijdse erkenning moet er aan de volgende voorwaarden worden voldaan (artikel 6 lid 1 eIDAS-verordening):

• Het eID is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de lijst van de Commissie;
• Het betrouwbaarheidsniveau van het eID is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor online toegang tot die dienst in de eerste lidstaat;
• De openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ voor de toegang tot die online dienst.

Wanneer het elektronische identificatiemiddel voldoet aan de veiligheidseisen wordt deze opgenomen in een lijst van de Europese Commissie. Dit betekent dat openbare instanties de elektronische inlogmiddelen uit de lijst van de Europese Commissie moeten accepteren. Hier vindt u een overzicht van de erkende Europese eID.

Onder openbare instanties vallen volgens de verordening de staat, regionale of lokale overheden (provincies, gemeenten en waterschappen) en publiekrechtelijke instellingen. Openbare instanties sluiten via een erkende makelaar aan op de eIDAS-infrastructuur. Openbare instanties moeten Europese burgers en bedrijven toegang verlenen voor diensten die worden aangeboden op ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau. Voor diensten die onder betrouwbaarheidsniveau ‘laag’ vallen hoeven openbare instanties geen toegang te verlenen aan Europese burgers en bedrijven. Verder moeten openbare instanties zelf de hoogte van het betrouwbaarheidsniveau voor een online dienst bepalen. De hoogte van een betrouwbaarheidsniveau hangt af van de dienst en de manier hoe dit wordt aangeboden.

Inkomend en uitkomend verkeer

De eIDAS-verordening bestaat uit twee delen, namelijk inkomend en uitgaand verkeer:

• Inkomend verkeer (verplicht): Dit deel omvat de mogelijkheid voor Europese burgers om met hun nationale inlogmiddel in te loggen bij Nederlandse dienstverleners. Dit deel van de verordening is verplicht voor Nederlandse publieke instanties. 
• Uitgaand verkeer (niet verplicht): Dit deel houdt in dat Nederlanders met een genotificeerd (door Europa erkend) Nederlands inlogmiddel bij andere Europese dienstverleners in moeten kunnen loggen. Dit deel van de verordening is niet verplicht. Wel mogen dienstverleners hun inlogmiddelen notificeren bij de Europese Commissie. Deze worden dan geschikt om in te loggen bij alle Europese dienstverleners. eHerkenning is inmiddels Europees erkend. Naar verwachting is DigiD voor burgers begin 2022 klaar voor Europees gebruik.

Voorstel verordening voor een Europese digitale identiteit

In juni 2021 heeft de Europese Commissie een nieuw kader voorgesteld voor een Europese digitale identiteit. Het voorstel ziet erop om de eIDAS-verordening te wijzigen. Uit de evaluatie van de eIDAS-verordening bleek namelijk dat het niet bij alle lidstaten goed geregeld is. In de praktijk bestaan er nog belangrijke tekortkomingen. Die zien allereerst op de invoering van de eIDAS-verordening en ten tweede op de introductie in de praktijk. Daarnaast kon met de eIDAS-verordening niet op een toereikende manier op nieuwe marktveranderingen worden gereageerd.

Met de voorgestelde verordening omtrent een Europese digitale identiteit kunnen burgers door middel van een Europese portemonnee gebruik maken van digitale diensten. De Europese portemonnee voor de digitale identiteit zal inzetbaar worden voor verschillende doeleinden. Het dient als een identificatiemiddel en maakt het mogelijk om documenten te leveren waarmee er gebruik kan worden gemaakt van digitale diensten in de gehele Europese Unie. Wat zijn voorbeelden van de toepassing van de Europese portemonnee? Denk aan de toegang tot een bankrekening, de aanvraag van een lening, de indiening van een belastingaangifte, de inschrijving aan een onderwijsinstelling in binnen- of buitenland en talloze andere zaken waarvoor nu papieren identificatiemiddelen gebruikt worden.

De Raad van de EU heeft in december 2022 een gemeenschappelijk standpunt aangenomen over de voorgestelde verordening. Wanneer het Europees Parlement een standpunt hierover heeft aangenomen kan de triloog beginnen.

Nederlands beleid voor elektronische identiteit

Om te kunnen voldoen aan de eIDAS-verordening moet iedere EU-lidstaat een nationaal eIDAS-koppelpunt hebben. Dit maakt toegang tot de digitale dienstverlening van andere EU-lidstaten mogelijk. Het ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) is in Nederland verantwoordelijk voor de eIDAS-infrastructuur.

eIDAS makelaars

In Nederland wordt de eIDAS-infrastructuur gerealiseerd door middel van het gebruik van makelaars binnen het Afsprakenstelsel Elektronische Toegangsdiensten (eTD). Deze makelaars kunnen de toegang van Europese burgers en bedrijven voor openbare instanties gereed maken. Het is de verantwoordelijkheid van de openbare instantie zelf om zich aan te sluiten op de eIDAS-infrastructuur. De aansluiting op en het gebruik van de eIDAS-infrastructuur moet wel via de Europese en nationale privacywetgeving gebeuren.

Wat heeft mijn gemeente, provincie of waterschap met eIDAS te maken?

Alle organisaties met een publieke taak hebben te maken met eIDAS, zo ook gemeenten, provincies en waterschappen. Het verplichte deel van de eIDAS-verordening (inkomend verkeer) is bindend voor decentrale overheden. De decentrale overheden zijn dan ook zelf verantwoordelijk voor de aansluiting op de eIDAS-infrastructuur.

Wat kunnen decentrale overheden doen op het gebied van eIDAS?

• Aansluiten op de eIDAS-infrastructuur: Om aan te sluiten op de eIDAS-infrastructuur moet een decentrale overheid zich aanmelden via een makelaar binnen het eTD.
• Implementeren van eIDAS: Om publieke instanties te ondersteunen bij het implementeren van de eIDAS-verordening heeft het ministerie van BZK een toolkit gepubliceerd. Hiermee kunnen gemeenten, provincies en waterschappen bijvoorbeeld bepalen of de organisatie Europese burgers en bedrijven toegang moet verlenen. Daarnaast heeft Logius een handleiding voor de implementatie van eIDAS ontwikkeld.
• eIDAS betrouwbaarheidsniveau vaststellen: De VNG heeft een overzicht van betrouwbaarheidsniveaus van gemeentelijke dienstverlening opgesteld. Dit helpt gemeenten bij het bepalen van het juiste betrouwbaarheidsniveau per product of dienst. Daarnaast heeft de Rijksoverheid een Handreiking Betrouwbaarheidsniveaus gepubliceerd om decentrale overheden hiermee te ondersteunen.

De EU heeft de ambitie om digitaal soeverein te zijn in een open en onderling verbonden wereld. Dat houdt in dat de EU controle houdt over het eigen telecommunicatiebeleid, het digitale verkeer en de voorwaarden die daaraan worden gesteld. Daarnaast moeten burgers en bedrijven de mogelijkheid krijgen om deel uit te maken van een digitale toekomst die mensgericht, duurzaam en welvarend is. Om hier vorm aan te geven presenteerde de Commissie in maart 2021 een visie en streefcijfers. Dit is het Digitaal Kompas en bestaat uit vier hoofdpunten:

1. Digitaal vaardige burgers en hooggekwalificeerde digitale professionals
   Tegen 2030 moet minimaal 80% van de volwassenen over digitale basisvaardigheden beschikken. Ook moeten er tegen die tijd 20 miljoen ICT-specialisten werken in de EU, met een evenwicht tussen mannen en vrouwen.
2. Beveiligde, goed presterende en duurzame digitale infrastructuurvoorzieningen
   Tegen 2030 moeten alle huishoudens in de EU over gigabitconnectiviteit beschikken. Dit houdt in dat alle bedrijven en burgers in Europa over uitstekende en beveiligde connectiviteit beschikken. Daarnaast moeten alle bevolkte gebieden 5G-dekking hebben. De productie van geavanceerde en duurzame halfgeleiders in Europa moet dan ten minste 20% van de wereldproductie bedragen. Verder moet Europa tegen 2025 zijn eerste kwantumcomputer krijgen.
3. Digitale transformatie van bedrijven
   Tegen 2030 moet 75% Europese bedrijven gebruikmaken van cloudcomputingdiensten, big data en Artificial Intelligence. Meer dan 90% van de middelgrote en kleine bedrijven moet ten minste een basisniveau van digitale intensiteit halen. Het aantal jonge EU-bedrijven die een waarde van 1 miljard dollar hebben (‘eenhoorns’) moet verdubbelen.
4. Digitalisering van overheidsdiensten
   Tegen 2030 moeten alle belangrijke overheidsdiensten online beschikbaar zijn. Alle burgers moeten toegang hebben tot hun elektronische patiëntendossiers. Daarnaast moet 80% van de burgers een eID-oplossing gebruiken.

Meerlandenprojecten

Om de doelstellingen van het Digitaal Kompas te bereiken moeten de lidstaten en de EU hun middelen bundelen. Daarom wil de Commissie meerlandenprojecten inzetten. Meerlandenprojecten zijn grootschalige projecten die geen enkele lidstaat alleen kan ontwikkelen. Investeringen uit de EU-begroting, waaronder 20% van het budget voor de faciliteit voor herstel en veerkracht, de lidstaten en de particuliere sector worden gecombineerd om de digitale capaciteit op te bouwen. De Commissie heeft een eerste lijst van meerlandenprojecten opgesteld. Deze lijst omvat investeringsgebieden zoals data-infrastructuur, 5G-communicatie en digitale vaardigheden.

Ook op internationaal niveau wil de Commissie zoveel mogelijk samenwerken. Dit gebeurt bijvoorbeeld door investeringen in internationale samenwerking en onderzoekspartnerschappen, en het promoten van de Europese digitale agenda over de hele wereld waarbij zij andere landen aanspoort zich te richten of te convergeren naar de normen en standaarden van de EU.

Path to the Digital Decade

De Path to the Digital Decade is een beleidsplan uit september 2021 dat onderdeel uitmaakt van de Digital Decade. Het legt uit hoe de digitale transformatie van de Europese samenleving en economie in 2030 bereikt wordt.

Een belangrijk uitgangspunt in dit beleidsplan is dat de digitale transformatie tussen lidstaten de afgelopen jaren ongelijk is geweest. Deze ontwikkeling kan de streefcijfers en doelstellingen uit het Digitaal Kompas belemmeren. Daarom wil de Commissie samenwerking tussen de EU, lidstaten en decentrale overheden bevorderen. De Commissie stelt dus een monitoring- en samenwerkingsmechanisme voor:

• Een monitoringssysteem op basis van de Digital Economy Society Index (DESI) dat een overzicht geeft van de digitale prestaties van alle EU-lidstaten. Door deze digitale prestaties te volgen kan de Europese Commissie de vooruitgang monitoren van de digitale transformatie in de EU en vaststellen waar verdere inspanningen nodig zijn. De DESI-indicatoren zijn opgebouwd rond de vier kernpunten van het Digitaal Kompas;
• Een jaarverslag waarin de Commissie de digitale vooruitgang in Europa zal evalueren en aanbevelingen voor concrete acties kan doen. Dit jaarverslag heet de ‘European State of the Digital Decade’-rapport;
• Een meerjarige strategische routekaart voor elke lidstaat, waarin zij beleidsplannen en maatregelen zullen schetsen ter ondersteuning van de doelstellingen uit het Digitaal Kompas;
• Een jaarlijkse evaluatie om Europese gebieden die onvoldoende digitale vooruitgang boeken te bespreken. Voor deze gebieden zal een plan worden opgesteld om, door middel van aanbevelingen en gezamenlijke verbintenissen tussen de Commissie en de lidstaten, vooruitgang te stimuleren;
• Een systeem om de uitvoering van meerlandenprojecten te ondersteunen.

Decentrale relevantie

Meerdere doelstellingen uit het Digitaal Kompas zijn decentraal relevant. Allereerst worden decentrale overheden verplicht om bepaalde overheidsdiensten online beschikbaar te stellen en bijvoorbeeld de Europese digitale identiteitsbewijzen te erkennen. Om met deze ontwikkelingen mee te kunnen gaan worden de digitale vaardigheden van burgers en ambtenaren steeds belangrijker. De dienstverlening van decentrale overheden vindt meer online plaats, medewerkers gaan mobieler werken en ook ontwikkelingen als Artificial Intelligence worden ingezet bij decentrale overheden. De nieuwe plannen van de Commissie kunnen hierbij helpen. Door de investeringen van de EU kunnen er namelijk meer trainingen worden aangeboden. Dit kan gaan om de basisvaardigheden, maar vervolgens ook om verdiepende trainingen.

Daarnaast is connectiviteit heel belangrijk voor decentrale overheden via de uitrol van 5G. Zo hebben netwerkaanbieders te maken met gemeentelijk- en provinciaal beleid als het gaat om het krijgen van een vergunning voor het plaatsen van een antenne voor mobiel netwerk. Gemeentes geven namelijk de vergunningen daarvoor uit en de provincie zorgt ervoor dat er afstemming is tussen gemeenten over het lokale beleid. Meer informatie hierover vindt u op onze webpagina 5G.