(Semi-)overheidsinstanties opgelet: per 1 juli 2023 is de Wet digitale overheid (Wdo) gefaseerd in werking getreden

Per 1 juli 2023 is de Wet digitale overheid (Wdo) in fases ingevoerd. De Wet digitale overheid vormt de basis voor verdere digitalisering van de overheid.

Op 1 juli 2023 is het eerste deel (tranche) van de wet in werking getreden. Dit gedeelte gaat over de wijze waarop burgers en bedrijven veilig kunnen inloggen bij diensten van overheden (gemeenten en provincies), onderwijsinstellingen en zorgaanbieders. U kunt hierbij denken aan het online aanvragen van een paspoort of van voorzieningen op grond van de Wmo (zoals hulp bij het huishouden). De Wet digitale overheid is zowel in het belang van burgers als in het belang van u als (semi-)overheidsinstantie. Met de inwerkingtreding van de Wet digitale overheid zijn de (persoons)gegevens van burgers nog beter beschermd en hebben zij keuze uit meerdere inlogmiddelen. Daarnaast kunt u als (semi-)overheid door middel van deze inlogmiddelen met meer zekerheid iemands identiteit vaststellen.

In deze blog bespreken wij welke instanties aan de Wet digitale overheid moeten voldoen en informeren wij u over de verschillende (algemene) verplichtingen uit de Wdo.

In de Wet digitale overheid is bepaald welke publieke dienstverleners onder de reikwijdte van de Wdo vallen. Het gaat om de volgende instanties:

• Bestuursorganen (a-organen);
  Zoals organen van de staat, gemeenten en provincies, maar ook verschillende uitvoeringsdiensten (zoals DUO en de Belastingdienst).

• De rechterlijke macht;
  Het gaat hierbij om de rechtbanken, de gerechtshoven, de Hoge Raad, de Afdeling bestuursrechtspraak van de Raad van State, het College van Beroep voor het bedrijfsleven en de Centrale Raad van Beroep.

• Aangewezen organisaties;
  Tot slot zijn een aantal private organisaties aangewezen die aan de Wdo moeten voldoen (omdat zij elektronische diensten aanbieden waarvoor een veilige en betrouwbare authenticatie essentieel is). Dit zijn onder meer zorgaanbieders, zorgverzekeraars, pensioenuitvoerders en onderwijsinstellingen.

De Wet digitale overheid betreft een zogenoemde kaderwet. De Wdo bevat namelijk geen gedetailleerde regels, maar schetst algemene principes, verantwoordelijkheden en procedures. De meer gedetailleerde (concrete) regels zullen worden opgenomen in lagere regelgeving, zoals in algemene maatregelen van bestuur (AMvB’s) en ministeriële regelingen (MR’s). Hierna zullen de belangrijkste (algemene) verplichtingen uit de Wdo worden besproken.

Bepalen betrouwbaarheidsniveau
Als (semi-)overheidsinstantie moet u op grond van de Wet digitale overheid per online dienst bepalen welk betrouwbaarheidsniveau van toepassing is. De Wet digitale overheid hanteert (op basis van de Europese eIDAS-verordening) drie betrouwbaarheidsniveaus, namelijk: laag, substantieel en hoog. Bij het bepalen van het betrouwbaarheidsniveau dient u onder meer te kijken naar de gevoeligheid van de persoonsgegevens die worden verwerkt bij een bepaalde dienst. Wanneer u als zorgaanbieder medische gegevens verwerkt, is het betrouwbaarheidsniveau ‘hoog’. Aan de hand van het betrouwbaarheidsniveau kunt u bepalen welke inlogmethode geschikt is voor de betreffende online dienst. De overheid heeft een regelhulp betrouwbaarheidsniveaus beschikbaar gesteld die uw organisatie kan helpen bij het kiezen van het juiste betrouwbaarheidsniveau.

Acceptatieplicht
Ten aanzien van de diensten waarvoor authenticatie op betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ is vereist, is uw organisatie verplicht om toegelaten en erkende inlogmiddelen te accepteren. Dit betekent dat burgers en bedrijven, naast DigiD en eHerkenning, ook gebruik kunnen maken van inlogmethoden van andere (private) leveranciers, wanneer deze beschikbaar zijn. De toezichthouder Rijksinspectie Digitale Infrastructuur (RDI) toetst of leveranciers voldoen aan de vereisten van inlogmiddelen. Deze vereisten volgen onder meer uit de Europese eIDAS-verordening. Er zijn op dit moment nog geen andere toegelaten inlogmiddelen beschikbaar dan DigiD en eHerkenning.

Informatiebeveiliging/privacy
Ook stelt de Wet digitale overheid eisen aan de beveiliging van de toegang tot online diensten die uw organisatie aanbiedt. Deze eisen worden nader omschreven in een ministeriële regeling. Hierbij kan gedacht worden aan een auditverplichting en het aanwezig hebben van een informatiebeveiligingsbeleid. Daarnaast zijn in de Wet digitale overheid regels opgenomen over het verwerken van persoonsgegevens. Zo biedt de Wdo een grondslag voor het verwerken van persoonsgegevens (bijvoorbeeld het BSN) in het geval dit noodzakelijk is voor het bieden van veilige toegang tot online diensten. Ook worden er regels gesteld over het verstrekken van persoonsgegevens en de termijn dat dat persoonsgegevens bewaard mogen blijven. Er zal worden aangesloten bij de beginselen van de AVG (zoals dataminimalisatie) en het privacy by design principe.

De Wet digitale overheid treedt gefaseerd in werking. Zo gaat de acceptatieplicht pas gelden als uw organisatie klaar is om aangesloten te worden op de toegelaten en erkende inlogmiddelen. In een aansluitschema zal worden bepaald wanneer uw organisatie moet voldoen aan de acceptatieplicht. Het is de bedoeling dat alle (semi)-overheidsinstanties uiteindelijk in 2026 zijn aangesloten op het nieuwe stelsel van inlogsystemen.

Wilt u meer informatie over de verplichtingen uit de Wet digitale overheid waaraan uw organisatie moet voldoen? Neem dan contact op met onze ICT & privacy advocaten Hillie Lunter en Tom Klatter.