Skip to main content

Waar gaat de Wet digitale overheid over?

| Erna Havinga | ,

Onze maatschappij digitaliseert steeds verder. Zeker sinds corona regelen we nog meer zaken online dan we al deden. Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Het is de bedoeling dat deze nieuwe wet gaat zorgen voor betere bescherming rond digitalisering, maar ook voor betere toegankelijkheid. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Wat is het? 

Digitale ontwikkelingen vragen om nieuwe standaarden en regelgeving om de veiligheid en privacy van jouw gegevens te waarborgen. Het wetsvoorstel Wet digitale overheid (Wdo) is daarom gericht op het verbeteren van de digitale toegang (van marktpartijen zoals banken, telefoonbedrijven en ICT-leveranciers), tot dienstverlening voor burgers en bedrijven. De wet kent een lange aanlooptijd en heette oorspronkelijk ‘Wet generieke digitale infrastructuur (GDI)’. Het eerste deel (ook wel tranche genoemd) van het wetsvoorstel gaat over veilig inloggen op online dienstverlening bij de (semi)overheid. Er worden o.a. veiligheidsstandaarden voor elektronisch verkeer verplicht gesteld. Ook geeft het voorstel regels over informatieveiligheid en over de toegang van burgers en bedrijven tot overheidswebsites. In de basis gaat het dus om online toegang:

  1. Wie ben je? (identificatie),
  2. hoe bewijs je dat? (authenticatie) en
  3. wat mag je? (autorisatie).

Meer weten over authenticatie en autorisatie? Lees dan ook onze eerdere blogs over toegangsbeveiliging (authenticatie) en autorisatie.

Het wetsvoorstel sluit aan op het regeerakkoord ‘Vertrouwen in de toekomst’ van het kabinet-Rutte III, waarin is vastgelegd dat aanpassingen aan de digitale samenleving van de overheid niet alleen noodzakelijk is, maar dat het ook mogelijkheden biedt voor een betere dienstverlening.

Deze blog is ook in audiovisuele vorm te bekijken.
Ga naar de audio versie van deze blog

Waarom?

Tot op heden bepalen organisaties hoe jij je als burger identificeert. De overheid, een webwinkel, verzekeraar of je bank: allemaal hebben ze een eigen manier van inloggen. Met als resultaat dat je als burger vele usernames, wachtwoorden, et cetera moet gebruiken én onthouden. Dit is lastig en risicovol voor zowel de burger als organisaties. De wens is dat je als burger bepaalt hoe jij jezelf identificeert. Het wetsvoorstel Wdo eist dat dienstverleners die in het BSN-domein werken, hun digitale diensten voor burgers ontsluiten met DigiD én een private inlogmiddel, zodat de burger kiest waarmee hij wil inloggen. De toe te laten publieke en private inlogmiddelen moeten voldoen aan de Europese eisen aan inlogmiddelen (eIDAS-verordening), zodat de wet aansluit bij Europese ontwikkelingen in digitale overheidsdienstverlening en inloggen bij de overheid.

Veilig en betrouwbaar inloggen

Daarmee moet de nieuwe regelgeving ervoor zorgen dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij gemeenten en overheid. Met veilig en betrouwbaar inloggen wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een hogere mate van betrouwbaarheid dan het huidige DigiD. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. Het wetsvoorstel is een zogeheten ‘kaderwet’. Dit betekent dat de wet algemene principes, verantwoordelijkheden en procedures regelt, maar geen gedetailleerde regels beschrijft. De wet zorgt zo voor flexibiliteit bij nieuwe ontwikkelingen. Maar ook dat belangrijke randvoorwaarden en zekerheden voor burgers, zoals gebruikersvriendelijkheid, betrouwbaarheid (je moet zeker weten dan je de juiste persoon voor je hebt), veiligheid, privacy en digitale inclusie (niet iedereen is even digivaardig), altijd geborgd zijn. Het is de bedoeling dat de Wdo het straks mogelijk maakt voor burgers om via publieke én private inlogmiddelen digitaal zaken te doen met bijvoorbeeld gemeenten en zorginstanties. Alleen middelen die door de overheid op veiligheid en betrouwbaarheid zijn gecontroleerd worden toegelaten. Die zijn dan in het publieke domein toegestaan. Het inloggen bij diensten van commerciële/private partijen zoals webwinkels wordt niet in deze wet geregeld. Wel kunnen burgers met de gecontroleerde private middelen ook daar inloggen. Zo heeft het wetsvoorstel toch een breder effect en voordeel voor veilig en betrouwbaar inloggen. Kortom, win-win.

Wat betekent dit voor jouw gemeente?

In het wetsvoorstel Wdo wordt verplicht gesteld dat het betrouwbaarheidsniveau van identificatiemiddelen, zoals DigiD en eHerkenning ‘substantieel’ of ‘hoog’ moeten zijn. ‘Laag’ en ‘middel’ zijn dus niet meer voldoende. Dit betekent dat het voor gemeenten verplicht wordt om veiligere inlogmethodes te gebruiken dan alleen een inlognaam en wachtwoord. Na inwerkingtreding moet je als gemeente:

  • je digitale diensten indelen naar betrouwbaarheidsniveau;
  • een acceptatieplicht hebben voor toegelaten inlogmiddelen;
  • je informatiebeveiliging op orde hebben;
  • meebetalen voor het gebruik van inlogmiddelen door burgers.

Daarnaast bevat het wetsvoorstel van de Wdo ook grondslagen voor de verwerking van persoonsgegevens. Het gaat om de gegevens die voor overheden en private partijen noodzakelijk zijn voor de uitvoering en het verlenen van veilige toegang tot de elektronische dienstverlening. Ook worden nog regels opgesteld voor de verstrekking van persoonsgegevens en de bewaartermijnen en komen er eisen aan verwerking, beveiliging en betrouwbaarheid van persoonsgegevens.

Wanneer van kracht? 

De kaderwet Wdo is op 18 februari 2020 aangenomen door de Tweede Kamer. Bij behandeling in de Eerste Kamer heeft de staatssecretaris naar aanleiding van Kamervragen besloten de wet te wijzigen. Door deze wetswijziging wordt de vroegst mogelijke datum van inwerkingtreding van de wet juli 2022. De daadwerkelijke datum van de inwerkingtreding is afhankelijk van wanneer de Kamer het wetsvoorstel met de wijziging bespreekt. Vervolgens zal de Wdo gefaseerd in werking treden. De wet geldt pas als jouw organisatie er technisch én organisatorisch klaar voor is om aan te sluiten. 

Impactanalyse VNG

Uit een eerste impactanalyse van de VNG blijkt echter dat de Wdo onder de huidige omstandigheden niet goed uitvoerbaar is voor gemeenten. Het onderzoek richtte zich op enkele onderdelen van de Wdo die inmiddels zijn uitgewerkt, te weten: informatiebeveiliging, acceptatieplicht en betrouwbaarheidsniveaus van inlogmiddelen voor publieke dienstverlening. Wat blijkt? Er zijn nog te veel onduidelijkheden waardoor het voor gemeenten moeilijk is om zich voor te bereiden op de wet. Daarnaast dienen inwoners en organisaties goed te worden meegenomen in het proces. In het rapport worden aanbevelingen gegeven om ervoor te zorgen dat gemeenten de wet wel succesvol kunnen implementeren. Het hele rapport kun je hier lezen.

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…
Verder lezen