Besluit identificatiemiddelen voor natuurlijke personen Wdo

Besluit van 7 maart 2024, houdende vaststelling van regels inzake de aanwijzing en erkenning van publieke en private identificatiemiddelen (Besluit identificatiemiddelen voor natuurlijke personen Wdo)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Op de voordracht van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 17 juli 2023, nr. 2023-0000412489/CZW/SB; Gelet op artikel 9, eerste, tweede, derde, vierde en negende lid, van de Wet digitale overheid; De Afdeling advisering van de Raad van State gehoord (advies van 23 augustus 2023 nr. W04.23.00206/I); Gezien het nader rapport van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 04 maart 2024, nr. 2024-0000078532/CZW/SB; Hebben goedgevonden en verstaan:

HOOFDSTUK 1 ALGEMEEN

Artikel 1

Begripsbepalingen.

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:– erkenning:

erkenning als bedoeld in artikel 9, tweede lid, van de wet;– gebruiker:

natuurlijke persoon die gebruik maakt van een identificatiemiddel als bedoeld in artikel 9 van de wet en die een overeenkomst heeft gesloten met de aanbieder van dat identificatiemiddel; – Uitvoeringsverordening (EU) 2015/1502:

Uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, lid 3, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (PbEU 2015, L235); – wet:

Wet digitale overheid.

HOOFDSTUK 2 PRIVAAT IDENTIFICATIEMIDDEL VOOR NATUURLIJKE PERSONEN

Paragraaf 2.1 Eisen voor toelating van een privaat identificatiemiddel

Artikel 2

Eisen privaat identificatiemiddel.

De eisen, bedoeld in artikel 9, tweede lid, van de wet, voor erkenning van een privaat identificatiemiddel zijn de eisen die zijn opgenomen in artikel 3 en 4 en de nadere eisen gesteld krachtens artikel 7 voor het betrouwbaarheidsniveau van het desbetreffende identificatiemiddel.

Artikel 3

Eisen aan aanvrager.

  1. De aanvrager van een erkenning als bedoeld in artikel 9, tweede lid, van de wet: a. verkeert niet in staat van faillissement of liquidatie, en voor of door hem is geen faillissement aangevraagd; b. is geen surseance van betaling verleend en daarvoor is geen aanvraag ingediend; c. voldoet aan de eisen, bedoeld in paragraaf 2.4 van de bijlage bij Uitvoeringsverordening (EU) 2015/1502, voor zover deze het betrouwbaarheidsniveau betreffen waarop de aanvraag ziet; d. kan, op het moment dat deze voor hem gelden, voldoen aan de eisen voor een houder van een erkenning, bedoeld in artikel bij en krachtens paragraaf 2.3; e. verwerkt gegevens over een gebruiker van een identificatiemiddel zodanig dat voor het combineren van die gegevens met de gegevens over het gebruik van dat identificatiemiddel door die gebruiker, een nadere handeling nodig is, voor zover het gegevens betreft die in het kader van de erkenning zijn verkregen; f. registreert het moment waarop een handeling als bedoeld in onderdeel e is verricht en de persoon die deze handeling heeft uitgevoerd; g. heeft een vestiging in Nederland waar kan worden aangetoond dat de aanvrager voldoet aan de eisen voor erkenning; h. kan de gebruiker inzicht geven in: i. de authenticatiehandelingen die met dat identificatiemiddel zijn verricht; ii. de datum en het tijdstip waarop voor dat identificatiemiddel een handeling als bedoeld in het eerste lid, onderdeel e, is uitgevoerd, met uitzondering van de gevallen waarin die handeling plaatsvond op verzoek van Onze Minister. 2. Het eerste lid, onderdelen a en b, zijn van overeenkomstige toepassing indien ten aanzien van de aanvrager in een van de overige lidstaten van de Europese Unie of een van de overige staten die partij zijn bij de Overeenkomst betreffende de Europese Economische Ruimte een met de in die onderdelen vergelijkbare procedure is gestart of aangevraagd. 3. De eisen, bedoeld in het eerste lid, met uitzondering van de onderdelen a en b, zijn van overeenkomstige toepassing op een derde voor zover aan deze derde in het kader van de erkenning werkzaamheden worden uitbesteed.

Artikel 4

Eisen aan identificatiemiddel en authenticatiedienst.

  1. Het identificatiemiddel waarop de aanvraag ziet: a. functioneert in samenwerking met de daarvoor benodigde onderdelen van de generieke digitale infrastructuur, bedoeld in artikel 5 van de wet, en, in voorkomend geval, andere voor de werking van het identificatiemiddel noodzakelijke voorzieningen; b. functioneert overeenkomstig artikel 5b, 5e, 9b en 14b van het Besluit digitale overheid; c. voldoet aan de eisen die voor het desbetreffende betrouwbaarheidsniveau worden gesteld in de paragrafen 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.2.3, 2.2.4, 2.3 en 2.4 van de bijlage bij Uitvoeringsverordening (EU) 2015/1502. 2. Een authenticatiedienst waarop de aanvraag ziet is in staat op verzoek betrouwbare authenticatieverklaringen af te geven aan het bestuursorgaan of de aangewezen organisatie waarvan het verzoek afkomstig is.

Artikel 5

Inkomsten uit verstrekken van gegevens over gebruikers of authenticatie.

In de overeenkomst die door een aanvrager met een gebruiker wordt gesloten voor het gebruik van een identificatiemiddel is een verplichting opgenomen voor de aanvrager om het verstrekken van persoonsgegevens van de gebruiker of daarvan afgeleide informatie aan derde partijen op verzoek van de gebruiker te beëindigen zonder dat die beëindiging voor de gebruiker nadelige gevolgen heeft ten aanzien van de kosten voor de gebruiker of de gebruiksfunctionaliteit in het kader van de erkenning.

Artikel 6

Toepassing van software met openbare broncode.

  1. Bij een authenticatiedienst waarop een aanvraag ziet wordt in ieder geval voor bij ministeriële regeling aan te wijzen componenten gebruik gemaakt van software: a. die onder een open source licentie is gepubliceerd; of b. waarvan de broncode openbaar is gemaakt. 2. Componenten die noodzakelijk zijn voor het gebruik van een authenticatiedienst of identificatiemiddel en waarmee persoonsgegevens worden verwerkt worden op grond van het eerste lid aangewezen, tenzij een aanwijzing onaanvaardbare gevolgen heeft, gelet op: a. de beschikbaarheid van software voor de desbetreffende componenten; b. de veiligheid van die componenten; c. het aanbod van identificatiemiddelen, waaronder in ieder geval de continuïteit, gebruiksvriendelijkheid en beschikbaarheid van breed aanbod. 3. Een authenticatiedienst waarop een aanvraag ziet biedt aan derden een mogelijkheid om kwetsbaarheden van de software, bedoeld in het eerste lid, te melden en om voorstellen te doen voor aanpassing van die software, reageert adequaat op die voorstellen en meldingen en deelt aan de indiener daarvan mee tot welke handelingen de melding of het voorstel heeft geleid. 4. Bij een aanwijzing als bedoeld in het eerste lid kan onderscheid worden gemaakt tussen de componenten van authenticatiediensten en de datum waarop de verplichting, bedoeld in het eerste lid ingaat. 5. Bij ministeriële regeling worden nadere regels worden gesteld over de wijze waarop openbaarmaking van de broncode van software als bedoeld in het eerste lid, onderdeel b, plaatsvindt.

Artikel 7

Nadere eisen bij ministeriële regeling.

  1. Bij ministeriële regeling worden nadere eisen gesteld met betrekking tot: a. het verkrijgen van het identificatiemiddel bij een aanvrager van een erkenning door en het registreren van een beoogd gebruiker; b. de wijze waarop de identiteit van de aanvrager van het identificatiemiddel wordt bewezen en geverifieerd; c. de kenmerken en het ontwerp van het identificatiemiddel; d. uitgifte, uitreiking en activering van het identificatiemiddel; e. schorsing, intrekking en reactivering van het identificatiemiddel; f. verlenging en vervanging van het identificatiemiddel; g. het authenticatiemechanisme dat het identificatiemiddel toepast; h. het beheer en de organisatie, waaronder het beheer van informatiebeveiliging, bijhouden van de administratie, faciliteiten en personeel, technische controles en controles op conformiteit met andere dan technische eisen; i. de beveiliging van de processen, bedoeld in onderdeel a tot en met g; j. de inhoud van de overeenkomst die de aanvrager van de erkenning zal sluiten met een gebruiker van het identificatiemiddel; k. periodieke actualisatie en controle van de juistheid van voor het authenticatieproces gebruikte gegevens; l. voorzieningen die worden gebruikt bij toepassing van het identificatiemiddel of bij het verwerken van gegevens; m. de integriteit en kwalificaties van het bestuur van de organisatie van de aanbieder van het identificatiemiddel en van het personeel dat betrokken is bij de inzage of het beheer van identificatiemiddelen; n. het herkennen en het voorkomen van misbruik, fraude en incidenten gerelateerd aan de aanvraag, registratie en gebruik van het identificatiemiddel en het herstel van de gevolgen daarvan, waaronder het herleiden van handelingen die met een identificatiemiddel en ten behoeve van het verkrijgen daarvan zijn verricht en het overleggen van gegevens over dit onderwerp aan Onze Minister; o. de wijze van verwerking van in het kader van authenticatie verkregen persoonsgegevens en de beveiliging of organisatorische of technische inrichting daarvan; p. de...

Om verder te lezen

PROBEER HET UIT

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT