Besluit bedrijfs- en organisatiemiddel Wdo

Besluit van 7 maart 2024, houdende vaststelling van regels inzake de erkenning van bedrijfs- en organisatiemiddelen en bijbehorende diensten (Besluit bedrijfs- en organisatiemiddel Wdo)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Op de voordracht van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 20 juli 2023, nr. 2023-0000412720 /CZW/SB; Gelet op de artikelen 11, eerste, tweede, derde en vijfde lid, en 13, eerste, vierde en vijfde lid, van de Wet digitale overheid; De Afdeling advisering van de Raad van State gehoord (advies van 23 augustus 2023, nr. W04.23.00204/I); Gezien het nader rapport van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 04 maart 2024, nr. 2024-0000078257/CZW/SB; Hebben goedgevonden en verstaan:

HOOFDSTUK 1BEGRIPSBEPALINGENArtículo 1

Artikel 1

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:– erkende dienst:

partij die op grond van artikel 11 van de wet is erkend als authenticatiedienst of machtigingsdienst; – gebruiker:

natuurlijke persoon die gebruik maakt van een bedrijfs- en organisatiemiddel en die een overeenkomst heeft gesloten met de authenticatiedienst die de werking van dat middel verzorgt; – machtigingsverklaring:

door een erkende machtigingsdienst elektronisch afgegeven verklaring, waarmee de identiteit van een natuurlijke persoon wordt bevestigd en waaruit blijkt dat die natuurlijk persoon, of dat een onderneming of een rechtspersoon als bedoeld in artikel 5 onderscheidenlijk 6 van de Handelsregisterwet 2007 gemachtigd is op te treden namens die onderneming of die rechtspersoon ten behoeve waarvan toegang tot elektronische dienstverlening met gebruikmaking van een erkend bedrijfs- en organisatiemiddel wordt gevraagd; – Uitvoeringsverordening (EU) 2015/1502:

Uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, derde lid, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (PbEU 2015, L235); – wet:

Wet digitale overheid.

HOOFDSTUK 2EISEN ERKENDE DIENSTENArtículos 2 a 7

Artikel 2

Algemene eisen erkende diensten.

1. Een aanvraag voor een erkenning als bedoeld in artikel 11, tweede of derde lid, van de wet kan slechts worden ingediend door een rechtspersoon naar Nederlands recht of het equivalent daarvan naar het recht van een van de overige lidstaten van de Europese Unie of een van de overige staten die partij zijn bij de Overeenkomst betreffende de Europese Economische Ruimte, en die zijn statutaire zetel, zijn hoofdbestuur of zijn hoofdvestiging binnen de Europese Economische Ruimte heeft. 2. Een erkende dienst: a. verkeert niet in staat van faillissement of liquidatie, noch is voor hem faillissement aangevraagd; b. is geen surseance van betaling verleend, noch is voor hem surseance van betaling aangevraagd; c. draagt er zorg voor dat binnen zijn organisatie alle persoonsgegevens die hem in het kader van de diensten waarvoor hij erkend is ter kennis komen vertrouwelijk worden behandeld en niet worden gebruikt voor een ander doel dan voor het uitgeven van een bedrijfs- en organisatiemiddel, authenticatie van een natuurlijke persoon of het afgeven van een verklaring dat die persoon bevoegd is om namens een onderneming of rechtspersoon te handelen; d. verwerkt gegevens over een gebruiker van een bedrijfs- en organisatiemiddel op een wijze die is afgescheiden van gegevens over het gebruik van dat middel door die gebruiker; e. heeft een vestiging in Nederland waar kan worden aangetoond dat de aanvrager voldoet aan de eisen, gesteld bij en krachtens dit besluit of bij artikel 11 of 13 van de wet; f. functioneert in samenwerking met de benodigde onderdelen van de generieke digitale infrastructuur, bedoeld in artikel 5 van de wet, en, in voorkomend geval, andere voor de werking van het bedrijfs- en organisatiemiddel noodzakelijke voorzieningen; g. verwerkt gegevens over een gebruiker van een bedrijfs- en organisatiemiddel zodanig dat voor het combineren van die gegevens met de gegevens over het gebruik van dat bedrijfs- en organisatiemiddel door die gebruiker, een nadere handeling nodig is, voor zover het gegevens betreft die in het kader van de erkenning zijn verkregen; h. registreert het moment waarop een handeling als bedoeld in onderdeel g is verricht en de persoon die deze handeling heeft uitgevoerd; i. geeft de gebruiker inzage in: i. de authenticatiehandelingen die met dat bedrijfs- en organisatiemiddel zijn verricht; ii. de datum en het tijdstip waarop voor dat bedrijfs- en organisatiemiddel een handeling als bedoeld in onderdeel h, is uitgevoerd, met uitzondering van de gevallen waarin die handeling plaatsvond op verzoek van Onze Minister; j. draagt er zorg voor dat een derde waaraan in het kader van de erkenning werkzaamheden worden uitbesteed zich verplicht alle medewerking te verlenen en informatie te verstrekken die voor het toezicht op de naleving van de beveiligings- en geheimhoudingsverplichting noodzakelijk is; k. maakt openbaar op welke wijze met de erkenning en de persoonsgegevens die voor de uitvoering van die erkenning worden verwerkt inkomsten worden verkregen. 3. Een erkende dienst voldoet tevens aan de eisen aangaande beheer en organisatie die zijn opgenomen in paragraaf 2.4 van de bijlage bij de Uitvoeringsverordening (EU) 2015/1502 en aan de bij ministeriële regeling dienaangaande gestelde regels, welke regels kunnen verschillen per betrouwbaarheidsniveau. 4. De eisen, bedoeld in het tweede lid, met uitzondering van de onderdelen a en b, zijn van overeenkomstige toepassing op een derde voor zover die derde in het kader van de erkenning werkzaamheden uitvoert.

Artikel 3

Inkomsten uit verstrekken van gegevens over gebruikers of authenticatie.

In de overeenkomst die door een aanvrager van een erkenning als bedoeld in artikel 11, tweede en derde lid, van de wet met een gebruiker wordt gesloten voor het gebruik van een bedrijfs- en organisatiemiddel is een verplichting opgenomen voor erkende dienst om het verstrekken van persoonsgegevens van de gebruiker of daarvan afgeleide informatie aan derde partijen op verzoek van de gebruiker te beëindigen zonder dat die beëindiging voor de gebruiker nadelige gevolgen heeft ten aanzien van: a. kosten voor de gebruiker, of b. gebruiksfunctionaliteit in het kader van de erkenning.

Artikel 4

Toepassing van software met openbare broncode.

1. Bij een erkende dienst wordt in ieder geval voor bij ministeriële regeling aan te wijzen componenten gebruik gemaakt van software: a. die onder een open source licentie is gepubliceerd; of b. waarvan de broncode openbaar is gemaakt. 2. Componenten die noodzakelijk zijn voor het gebruik van een machtigingsdienst, authenticatiedienst of identificatiemiddel en waarmee persoonsgegevens worden verwerkt worden op grond van het eerste lid aangewezen, tenzij een aanwijzing onaanvaardbare gevolgen heeft, gelet op: a. de beschikbaarheid van software voor de desbetreffende componenten; b. de veiligheid van die componenten; c. het aanbod van machtigingsdiensten of identificatiemiddelen, waaronder in ieder geval de continuïteit, gebruiksvriendelijkheid en beschikbaarheid van breed aanbod. 3. Een authenticatiedienst of machtigingsdienst waarop een aanvraag ziet biedt aan derden een mogelijkheid om kwetsbaarheden van de software, bedoeld in het eerste lid, te melden en om voorstellen te doen voor aanpassing van die software, reageert adequaat op die voorstellen en meldingen en deelt aan de indiener daarvan mee tot welke handelingen de melding of het voorstel heeft geleid. 4. Bij een aanwijzing als bedoeld in het eerste lid kan onderscheid worden gemaakt tussen authenticatiediensten en machtigingsdiensten en de datum waarop de verplichting, bedoeld in het eerste lid ingaat. 5. Bij ministeriële regeling worden nadere regels worden gesteld over de wijze waarop openbaarmaking van de broncode van software als bedoeld in het eerste lid plaatsvindt.

Artikel 5

Eisen erkende authenticatiedienst.

1. Een erkende authenticatiedienst draagt zorg voor: a. de betrouwbare uitgifte van het bedrijfs- en organisatiemiddel waarvoor hij is erkend, waaronder in ieder geval de verificatie en registratie van de identiteit van de gebruiker wordt begrepen; b. het op verzoek verzenden van een betrouwbare authenticatieverklaring aan de erkende machtingsdienst waarvan het verzoek afkomstig is ter bevestiging van de identiteit van een natuurlijke persoon; en c. een loket voor vragen of meldingen aangaande ontstane problemen in de toegang van ondernemingen en rechtspersonen tot elektronische dienstverlening. 2. Onverminderd het eerste lid draagt een erkende authenticatiedienst er zorg voor dat het uitgifteproces en het ontwerp van het bedrijfs- en organisatiemiddel voor het desbetreffende betrouwbaarheidsniveau voldoen aan de op dat proces en het ontwerp betrekking hebbende eisen die zijn opgenomen in de bijlage bij de Uitvoeringsverordening (EU) 2015/1502 met betrekking tot: a. de aanvraag en de registratie, opgenomen in paragraaf 2.1.1. van die bijlage; b. het bewijs en de verificatie van de identiteit van een natuurlijke persoon, opgenomen in paragraaf 2.1.2. van die bijlage; c. de verificatie van de identiteit van de rechtspersoon, opgenomen in paragraaf 2.1.4 van die bijlage; en d. de kenmerken en het ontwerp van bedrijfs- en organisatiemiddelen, opgenomen in...