T03510

Toezegging Brief met analyse over inlogmiddelen uit andere EU-lidstaten (34.972/35.868)



De staatssecretaris van BZK zegt de Kamer, naar aanleiding van een vraag van de leden Ganzevoort (GroenLinks) en Koole (PvdA), toe de Kamer een brief te doen toekomen met daarin een heldere juridische analyse door een onafhankelijk expert over de vraag of de eIDAS-verordening Nederland verplicht het mogelijk te maken dat Nederlandse burgers met een buitenlands middel bij de Nederlandse overheid kunnen inloggen en een heldere juridische analyse door een onafhankelijk expert over de vraag of regelgeving het toelaat om voor open source onderscheid te maken tussen diverse (bijvoorbeeld bestaande en nieuwe) inlogmiddelen tegen de achtergrond van de vraag of die voldoen aan het hogere niveau van Nederlandse vereisten.


Kerngegevens

Nummer T03510
Status voldaan
Datum toezegging 21 februari 2023
Deadline 2 maart 2023
Verantwoordelijke(n) Staatssecretaris Digitalisering en Koninkrijksrelaties
Kamerleden Prof.dr. R.R. Ganzevoort (GroenLinks)
Prof.dr. R.A. Koole (PvdA)
Commissie commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning (BiZa/AZ)
Soort activiteit Plenaire vergadering
Categorie brief/nota
Onderwerpen inloggegevens
juridische analyse
Onafhankelijk onderzoek
Kamerstukken Novelle Wet digitale overheid (35.868)
Wet digitale overheid (34.972)


Uit de stukken

Handelingen I 2009-2010, nr. XXX - blz. XXX

De heer Ganzevoort (GroenLinks):

Ik heb zeer behoefte aan een grondige, onafhankelijke, juridische analyse van dit punt. Ik kan me zomaar voorstellen dat ook de staatssecretaris dit punt niet volledig paraat heeft vandaag. Ik zou willen voorstellen dat we daar voorafgaand aan de stemmingen een heldere, onafhankelijke analyse van krijgen. Zelfs als ze het antwoord wel paraat heeft, zou ik nog die onafhankelijke analyse willen voorafgaand aan de stemmingen, zodat we ook op dat punt de balans kunnen opmaken. Het is voor ons echt een heel wezenlijk punt, waarmee instemming met de wet zou kunnen staan of vallen. Dus wat dat betreft graag een toezegging in een brief.

Staatssecretaris Van Huffelen

Ik begin met de vragen die gesteld zijn door de heren Ganzevoort en Talsma. Het ging over de vraag: moet Nederland nou inlogmiddelen uit andere EU-lidstaten accepteren wanneer die door Nederlandse burgers worden gebruikt? Laat ik er helder over zijn. Ik zal u daar zeker een brief over sturen, maar het antwoord is dat dat inderdaad zo is. In dit geval heeft "crossborder" niet te maken met een Nederlandse burger die in Nederland zaken doet en dan geen grenzen overschrijdt, maar gaat het over inlogmiddelen die crossborder zijn, namelijk die in meerdere lidstaten kunnen worden gebruikt. Velen van u hebben gevraagd om dat helder op te schrijven. Dat doe ik graag. Ik zal ervoor zorgen dat u die brief deze week krijgt en dat hij ook wordt voorzien van een expertoordeel, omdat een aantal van uw leden daar ook om vroeg.

De heer Ganzevoort (GroenLinks):

Het was inderdaad niet zozeer een verzoek aan de staatssecretaris om het op te schrijven, maar om een onafhankelijke juridische analyse.

Staatssecretaris Van Huffelen:

Oké. Wij zullen ervoor zorgen dat u de brief met die analyse krijgt. Ik kan inderdaad aan een onafhankelijke partij vragen om daarnaar te kijken. Het hoeft wat mij betreft niet een hele uitgebreide brief te worden, want hij gaat dus over de centrale vraag of het mogelijk is dat een Nederlandse burger met een buitenlands inlogmiddel dat niet erkend is door de Nederlandse toezichthouder — daar gaat het dan over — in Nederland zaken kan doen. Om daar iets meer informatie over te geven: het gebeurt vandaag de dag al. Er zijn Nederlandse burgers die bijvoorbeeld met itsme inloggen bij de gemeente Rotterdam.

De heer Ganzevoort (GroenLinks):

De vraag was heel precies of de eIDAS-verordening ons verplicht het mogelijk te maken dat Nederlandse burgers met een buitenlands middel bij de Nederlandse overheid inloggen. Daar wil ik graag een onafhankelijke analyse op.

(...)

Staatssecretaris Van Huffelen:

Misschien is het wel goed om ook nog te laten weten — dat had ik in de eerste termijn niet gezegd — dat er bij de erkenning van buitenlandse inlogmiddelen sprake is van een soort notificatieproces. Dat betekent dat er ook een peerreview wordt gedaan door experts uit verschillende lidstaten om dat inlogmiddel te toetsen. Als er sprake is van een Nederlands product, dan wordt dat niet alleen maar getoetst door onze experts, maar ook door experts uit drie andere lidstaten, die samen kijken of het in ieder geval voldoet aan de eIDAS-verordening. Het is dus niet zo dat één land in zijn eentje de erkenning van een middel kan doen. Er zijn altijd andere die meekijken. Er is dus sprake van peerreview op die toekenning.

Dan was er een vraag van de heer Koole: kan voor open source een onderscheid worden gemaakt tussen bestaande middelen, dus middelen die nu al worden gebruikt, en andere inlogmiddelen? Dat kan ik helaas niet doen. De kern is dat ik sowieso geen onderscheid kan maken tussen die middelen, vanwege het feit dat aan alle aanbieders dezelfde eisen moeten worden gesteld, of die nu nieuw zijn of bestaand. Dat kan niet op veiligheid en privacy en ook niet op het onderwerp open source. De belangrijkste reden daarvoor is dat voor alle middelen dezelfde eisen moeten gelden. Ik wil voorkomen dat we daar juridische procedures over krijgen waarin dan die eis van tafel zou gaan.

De heer Koole (PvdA):

De staatssecretaris zegt dat zij dat niet kan doen. Zij geeft een aantal redenen, maar zegt aan het slot dat zij juridische procedures wil voorkomen. Mijn vraag was ook om juridisch te laten uitzoeken of het inderdaad mogelijk is, dus dat niet alleen volgens de staatssecretaris maar ook volgens experts dat onderscheid gemaakt kan worden.

De tweede vraag is: als de juridische mogelijkheid niet zou bestaan, is het dan niet te overwegen om de invoerdatum van het nieuwe systeem ongeveer gelijktijdig te laten zijn met de deadline die de staatssecretaris eerder noemde, namelijk dat open source uiterlijk over vijf jaar moet zijn ingevoerd? Waarom zou je in de tussentijd, vraag ik nogmaals, private partijen, andere partijen toelaten die met closed source werken om vervolgens te zeggen dat ze wel heel hard moeten werken aan die open source? Waarom doe je dat niet gelijk? Als dat onderscheid juridisch niet te maken is, zou je dan niet eerder de inwerkingtreding tot een latere datum moeten uitstellen?

Staatssecretaris Van Huffelen:

Wij kunnen de inwerkingtreding natuurlijk niet zomaar tot een latere datum uitstellen, want hier is sprake van een Europese verordening. Los daarvan kan dat nog best lang duren. Ik heb aangegeven dat sommige inlogmiddelen, met name DigiD, er nog wel vijf jaar over kunnen doen om volledig te voldoen aan het opensourcevereiste. Ik zou het juist fijn vinden dat we het in de tussentijd wel mogelijk kunnen maken dat andere inlogmiddelen die voldoen aan onze vereisten daadwerkelijk door ons worden getoetst in de ruime zin, dus voor de Nederlandse vereisten, en op die manier onderdeel kunnen worden van het stelsel. Ik kan in dezelfde brief die ik heb toegezegd ook aangeven of dat onderscheid gemaakt kan worden. Ik ben altijd blij om te horen dat ik kennelijk niet tot de experts behoor. Onze inschatting is dat dat niet kan, omdat er dan een oneigenlijk onderscheid zou zijn tussen de verschillende inlogmiddelen in dit stelsel. Maar ik kan dat in de brief nog een keer laten aangeven.



Historie