Wet digitale overheid

/ pgorsel

De overheid gaat via de Wet digitale overheid (Wdo) de digitale dienstverlening verbeteren en moderniseren. Deze wet is bedoeld om de toegankelijkheid, betrouwbaarheid en veiligheid van digitale overheidsdiensten te waarborgen en om de interactie tussen burgers, bedrijven en de overheid te vereenvoudigen. Op 21 maart van dit jaar heeft de Eerste Kamer het wetsvoorstel digitale overheid aangenomen. De Wdo wordt vanaf 1 juli 2023 in fases ingevoerd. Ook voor de informatieprofessional is dit een belangrijke ontwikkeling, omdat de Wdo consequenties heeft voor de toegankelijkheid van informatie van overheid en semioverheid.

Wat hieraan vooraf ging – identiteit en access
De ontwikkeling van Identity and Access Management (IAM) blijft evolueren omdat organisaties blijvend nieuwe uitdagingen in de digitale wereld het hoofd moeten bieden, waaronder de behoefte aan verbeterde gebruikerservaringen, hacking, betere beveiliging tegen geavanceerde bedreigingen en naleving van veranderende regelgeving. De ontwikkeling van IAM is beïnvloed door een toenemende hoeveelheid compliance en privacy regelgeving voor gegevensbescherming, zoals de AVG en de California Consumer Privacy Act (CCPA), die van organisaties eisen dat ze sterke toegangscontrole- en maatregelen voor gegevensbescherming hebben. Naarmate de technologie vordert, zal IAM waarschijnlijk meer geavanceerde functies integreren zoals Kunstmatige Intelligentie (AI) en Machine Learning (ML) voor bedreigingsdetectie en adaptieve toegangscontrole.

De ontwikkeling van Identity and Access Management (IAM), is van belang in het kader van cybersecurity en toegangscontrole. IAM is het raamwerk dat organisaties gebruiken om ervoor te zorgen dat de juiste personen onder de juiste voorwaarden toegang hebben tot de juiste resources en data. Deze systemen zijn ontworpen om gebruikersidentiteiten te beheren, toegang tot systemen en gegevens te controleren en beveiligingsbeleid af te dwingen. Natuurlijk bestaat het concept van identiteits- en toegangsbeheer al eeuwenlang in verschillende vormen – denk aan sleutels, badges en persoonlijke identificatie via ID-kaart of paspoort – maar identiteit en veiligheid zaten zo niet in het basisontwerp van het internet. Zeker toen het grote publiek toegang tot het WWW kreeg.

Authenticatie en access control
Door de snelle opkomst van het internet en met name aangejaagd door de opkomst van personal computers en netwerken werd het digitale beheer van de identiteit belangrijk. We kennen allemaal computersystemen met ‘eenvoudige’ authenticatiemechanismen zoals gebruikersnamen en wachtwoorden. In veel gevallen gebruiken we dit nog steeds op dagelijkse basis. Deze systemen blijken echter vaak onvoldoende voor robuuste beveiliging. Zeker nadat de eerste hackers aan de digitale horizon waren verschenen. En dat laatste is er zeker niet minder op geworden. Het is moeilijk vast te stellen wie de eerste hacker was doordat de precieze definitie van een hacker onduidelijk is. Maar een van de eerste hackers was zeker de Amerikaanse computerprogrammeur John Draper – bijgenaamd Captain Crunch. Hij hackte als eerste een van de grootste computernetwerken die begin jaren 1970 publiek toegankelijk waren: het telefoonnet.

De digitale industrie zat niet stil en de oplossingen volgen elkaar in rap tempo op. In de jaren ’70 en ’80 van de vorige eeuw werd het concept van Role-Based Access Control (RBAC) geïntroduceerd. RBAC koppelt machtigingen aan rollen, waardoor het gemakkelijker wordt om toegang voor grote groepen gebruikers te beheren. In de jaren ’80 werden het Lightweight Directory Access Protocol (LDAP) en de X.509-standaard voor digitale certificaten ontwikkeld. Deze standaarden hielpen bij het beheren en verifiëren van gebruikers in genetwerkte omgevingen. In de jaren ’90 en 2000 begonnen commerciële IAM-oplossingen op te komen. Deze systemen boden centraal gebruikersbeheer, single sign-on (SSO) en meer geavanceerde authenticatie methoden zoals biometrie en smartcards. Met de opkomst van cloud computing in de jaren ’10 evolueerde IAM naar cloudgebaseerde identiteits- en toegangsbeheeroplossingen. Bedrijven zoals Amazon, Google en Microsoft bieden IAM-diensten aan voor hun cloud platforms.

Naarmate mobiele apparaten alomtegenwoordig werden, begonnen IAM-systemen mobiele authenticatiemethoden te integreren. Multi-factor authenticatie (MFA), waarbij gebruikers meerdere vormen van verificatie moeten verstrekken, werd steeds vaker toegepast voor verbeterde beveiliging. Identiteitsfederatieprotocollen zoals SAML en OAuth werden essentieel om SSO mogelijkheden te bieden voor verschillende toepassingen en diensten, zowel lokaal als in de cloud. In recente jaren heeft het Zero Trust-beveiligingsmodel aan populariteit gewonnen. Het gaat ervan uit dat niemand, zowel binnen als buiten de organisatie, standaard moet worden vertrouwd. IAM speelt een cruciale rol bij het implementeren van de principes van Zero Trust. Met Continue Authenticatie beweegt IAM naar continue authenticatiemethoden, die het gebruikersgedrag bewaken en de toegang aanpassen op basis van voortdurende risicobeoordelingen.

Hoe de overheid dit oppakt
De overheid wil aansluiten bij deze ontwikkelingen en neemt via de Wet digitale overheid (Wdo) stappen om de toegankelijkheid, betrouwbaarheid en veiligheid van digitale overheidsdiensten te waarborgen en om de interactie tussen burgers, bedrijven en de overheid te vereenvoudigen. De Wdo die per 1 juli 2023 gefaseerd in werking is gegaan, regelt de toegang van burgers, ondernemingen en rechtspersonen tot online diensten van publieke dienstverleners. Enkele belangrijke aspecten en consequenties van de Wdo zijn:

  • Toegankelijkheid:
    De wet stelt eisen aan de toegankelijkheid van digitale overheidsdiensten. Dit betekent dat deze diensten voor iedereen, inclusief mensen met een beperking, goed bruikbaar moeten zijn.
  • Basisregistraties:
    De Wdo voorziet in de oprichting van basisregistraties. Hierin worden gegevens opgeslagen die door de overheid gebruikt worden, zoals persoonsgegevens en bedrijfsgegevens. Het doel is om gegevens slechts één keer vast te leggen en vervolgens te delen tussen overheidsorganisaties, zodat burgers en bedrijven niet telkens dezelfde informatie hoeven te verstrekken.
  • DigiD:
    De wet regelt het gebruik van DigiD, een inlogmiddel waarmee burgers en bedrijven zich online kunnen identificeren bij de overheid. Hierdoor kunnen ze bijvoorbeeld belastingaangifte doen of hun zorgverzekering regelen.
  • Veiligheid en privacy:
    De Wdo bevat bepalingen die de veiligheid en privacy van digitale gegevens moeten waarborgen. Overheidsorganisaties moeten passende maatregelen nemen om persoonlijke gegevens te beschermen.
  • Meldplicht datalekken:
    De wet verplicht overheidsorganisaties om datalekken direct te melden bij de Autoriteit Persoonsgegevens en, in sommige gevallen, bij de betrokkenen. Dit draagt bij aan transparantie en helpt bij het voorkomen van datalekken.
  • Digitale post:
    De overheid is verplicht om bepaalde post digitaal te versturen. Dit heeft als doel om de communicatie efficiënter te maken en papiergebruik te verminderen.
  • Verplicht gebruik standaarden:
    De Wdo schrijft voor dat overheidsorganisaties standaarden moeten gebruiken voor de uitwisseling van gegevens en informatie. Dit moet de interoperabiliteit tussen systemen verbeteren.
  • Strafmaatregelen:
    De wet voorziet in sancties voor overheidsorganisaties die niet voldoen aan de gestelde eisen en verplichtingen.

Consequenties van de Wdo
De concrete consequenties van de Wdo kunnen variëren, afhankelijk van de specifieke situatie en de mate waarin overheidsorganisaties aan de wet voldoen. Over het algemeen beoogt de wet de digitale dienstverlening van de overheid efficiënter, toegankelijker en veiliger te maken voor burgers en bedrijven. Voor burgers en bedrijven zou de wet idealiter moeten resulteren in een verbeterde digitale ervaring bij het interageren met de overheid en in meer mogelijkheden voor digitale zelfservice. Het niet voldoen aan de wet kan leiden tot boetes en juridische consequenties voor overheidsinstanties.

Voor welke publieke dienstverleners geldt deze wet? De wet bepaalt welke publieke dienstverlener onder de reikwijdte van deze wet valt. Dat zijn:

  • a-bestuursorgaan
    • Een a-bestuursorgaan is ingesteld op basis van publiekrecht. Het gaat om organen van de Staat, provincies en gemeenten, maar ook om onder meer DUO, de Belastingdienst en zelfstandige bestuursorganen zoals de Sociale Verzekeringsbank, de KVK, de RDW en de Huurcommissie.
  • Rechterlijke instanties
    • Rechterlijke instanties zijn onafhankelijke en bij wet ingestelde organen die met rechtspraak zijn belast. Het gaat om rechtbanken, gerechtshoven, de Hoge Raad, de Afdeling bestuursrechtspraak van de Raad van State, het College van Beroep voor het bedrijfsleven en de Centrale Raad van Beroep.
  • Aangewezen organisaties
    • Zorgverleners, indicatieorganen of zorgverzekeraars die op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, burgerservicenummers (bsn’s) verwerken.
    • Pensioenuitvoerders volgens artikel 1 van de Pensioenwet en artikel 1 van de Wet verplichte beroepspensioenregeling.
    • Universiteiten of hbo-instellingen volgens artikel 1.1 onder g van de Wet op het hoger onderwijs en wetenschappelijk onderzoek.

De wet verplicht publieke dienstverleners om per dienst te bepalen welk betrouwbaarheidsniveau vereist is voor toegang. Zij accepteren bij diensten op betrouwbaarheidsniveau ‘substantieel’ en ‘hoog’ alle door de overheid toegelaten inlogmiddelen met een gelijk of een hoger betrouwbaarheidsniveau dan nodig is voor de dienst. De wet bevat verschillende bepalingen en verplichtingen om deze doelstellingen te bereiken. De verplichtingen rondom standaarden voor veiligheid zijn direct per 1 juli ingegaan. Zo wordt de HTTPS-standaard verplicht voor alle publiek toegankelijke overheidswebsites en webapplicaties. Deze standaard – ook wel bekend als ‘het slotje’ in de adresbalk van de url – zorgt ervoor dat de verbinding tussen de browser van de bezoeker en de website van de overheidsorganisatie goed beveiligd is. Dit voorkomt dat criminelen privégegevens van de bezoeker kunnen afluisteren of opgevraagde informatie kunnen manipuleren. In aanvulling op HTTPS moeten overheidsorganisaties ook de HSTS-standaard gebruiken. Dat zorgt ervoor dat browsers na een eerste websitebezoek direct via HTTPS met de website verbinden. Daarnaast moet de HTTPS-configuratie voldoen aan de TLS- en Webapplicatie-richtlijnen van het Nationaal Cyber Security Centrum (NCSC).

Regelhulp betrouwbaarheidsniveaus
Het ministerie van BZK ontwikkelde samen met RVO (Rijksdienst voor Ondernemend Nederland) een Regelhulp betrouwbaarheidsniveaus op basis van de conceptregeling betrouwbaarheidsniveaus. Deze regelhulp helpt publieke dienstverleners bij het kiezen van het juiste betrouwbaarheidsniveau. Na inwerkingtreding van de wet, moeten publieke dienstverleners zorgen dat burgers bij hun diensten op betrouwbaarheidsniveau substantieel en hoog in kunnen loggen met de volgende middelen:

  • Publieke inlogmiddelen
  • DigiD
  • Erkende private inlogmiddelen
  • Genotificeerde inlogmiddelen van andere EU-lidstaten

Er zijn op dit moment nog geen private inlogmiddelen erkend.
Bedrijfs- en organisatiemiddelen die gedurende een overgangsperiode van 18 maanden geacht worden erkend te zijn:

  • eHerkenning
  • Erkende bedrijfs- en organisatiemiddelen
  • Genotificeerde inlogmiddelen van andere EU-lidstaten

Er zijn op dit moment nog geen erkende bedrijfs- en organisatiemiddelen.

Publieke dienstverleners bepalen per online dienst op welk betrouwbaarheidsniveau gebruikers moeten inloggen, op basis van de conceptregeling betrouwbaarheidsniveaus. Daarin zijn regels en criteria opgenomen die leiden tot een keuze voor een betrouwbaarheidsniveau dat past bij de risico’s die aan de dienst zijn verbonden. Ook accepteren zij machtigingen bij deze diensten.

Nu de wet in werking is getreden moeten publieke dienstverleners machtigingen accepteren bij diensten op betrouwbaarheidsniveau substantieel en hoog. Machtigingen zijn elektronische verklaringen waaruit blijkt dat een natuurlijke persoon, onderneming of rechtspersoon gemachtigd is om namens een andere natuurlijke persoon, onderneming of rechtspersoon op te treden bij toegang tot de dienst. Het uitgangspunt is dat het betrouwbaarheidsniveau waarop de machtiging is geregistreerd tenminste gelijk is aan het betrouwbaarheidsniveau dat is vereist voor toegang tot de dienst. De Wdo vraagt van publieke dienstverleners om per dienst te herijken en te bepalen welk betrouwbaarheidsniveau vereist is voor toegang.

Nu maar afwachten hoe het met de implementatie en vooral ook de acceptatie van de in de wet vastgelegde eisen gaat. Het oogmerk van betere toegankelijkheid, betrouwbaarheid en veiligheid van digitale diensten zou elke informatieprofessional in elk geval wel moeten aanspreken.

Peter van Gorsel

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.