Besluit van 17 mei 2016, houdende regels betreffende de verwerking van persoonsgegevens in de voorzieningen voor de generieke digitale infrastructuur DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister (Besluit verwerking persoonsgegevens generieke digitale infrastructuur)

In dit besluit wordt verstaan onder:

• afnemer van de bevoegdheidsverklaringsdienst: een bestuursorgaan dat of een aangewezen organisatie die in het kader van elektronische dienstverlening gebruik maakt van de bevoegdheidsverklaringsdienst;

• afnemer van de gezagsmodule: een bestuursorgaan dat of aangewezen organisatie die bij de gezagsmodule een verzoek indient om een gezagsverklaring;

• afnemer van DigiD en DigiD Machtigen: een bestuursorgaan dat of aangewezen organisatie die in het kader van elektronische dienstverlening gebruik maakt van DigiD respectievelijk DigiD Machtigen;

• afnemer van de routeringsvoorziening: een bestuursorgaan dat of aangewezen organisatie die toegang wil verlenen tot elektronische diensten door middel van een toegelaten of erkend identificatiemiddel of door middel van machtiging;

• afnemer van MijnOverheid: een bestuursorgaan dat of aangewezen organisatie die bij de uitoefening van zijn taak of bevoegdheid gebruik maakt van MijnOverheid;

• beschikbaarheid: de mate waarin een informatiesysteem in bedrijf en toegankelijk is op het moment dat een organisatie het nodig heeft;

• bevoegdheidsverklaring: een verklaring als bedoeld in artikel 7a;

• bevoegdheidsverklaringsdienst: de door Onze Minister beheerde voorziening die aan afnemers van de bevoegdheidsverklaringsdienst een bevoegdheidsverklaring afgeeft over de vertegenwoordigingsbevoegdheid van een beoogd vertegenwoordiger;

• bezoeker van MijnOverheid, DigiD of DigiD Machtigen: degene die MijnOverheid, DigiD of DigiD Machtigen bezoekt, maar niet inlogt of van wie de elektronische aanvraagprocedure voor een DigiD niet is voltooid;

• BSN-Koppelregister: de voorziening, bedoeld in artikel 5, eerste lid, onder d, van de wet;

• burgerservicenummer: het nummer, bedoeld in artikel 1, onderdeel b, van de Wet algemene bepalingen burgerservicenummer;

• DigiD: de voorziening, bedoeld in artikel 5, eerste lid, onderdeel a, van de wet;

• DigiD Machtigen: de voorziening voor elektronische registratie van machtigingen die bereikbaar is via het webadres machtigen.digid.nl;

• eIDAS-voorziening: de voorziening, bedoeld in artikel 5, tweede lid, van de wet;

• gebruiker van een bedrijfs- en organisatiemiddel: een onderneming of rechtspersoon als bedoeld in artikel 5 onderscheidenlijk 6 van de Handelsregisterwet 2007 of een op grond van artikel 8, aanhef en onderdeel a, van die wet aangewezen rechtspersoon, of een natuurlijke persoon die deze onderneming of rechtspersoon vertegenwoordigt, die een erkend bedrijfs- en organisatiemiddel heeft aangevraagd of de aanvraagprocedure voor dat middel heeft voltooid;

• gebruiker van DigiD: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer en van wie de elektronische aanvraagprocedure voor een DigiD is voltooid;

• gebruiker van DigiD Machtigen: de vertegenwoordiger, de vertegenwoordigde of een natuurlijke persoon of rechtspersoon, die gebruik maakt van de voorziening DigiD Machtigen;

• gebruiker van MijnOverheid: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer, en voor wie een MijnOverheid-account beschikbaar is;

• gemachtigde in MijnOverheid: een gebruiker van MijnOverheid of een rechtspersoon, die met een in DigiD Machtigen geregistreerde machtiging in MijnOverheid bepaalde berichten van de vertegenwoordigde in kan zien;

• informatiebeveiliging/informatieveiligheid: het proces van vaststellen van de vereiste betrouwbaarheid van informatieverwerking en informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen, gericht op de toegang tot elektronische dienstverlening;

• informatiesysteem: het geheel van gegevensverzamelingen, de daarbij behorende personen, procedures, processen en programmatuur alsmede de getroffen voorzieningen voor opslag, verwerking en communicatie ten behoeve van elektronische dienstverlening, waaronder de mobiele applicaties als onderdeel van elektronische dienstverlening;

• integriteit/betrouwbaarheid: de mate waarin een organisatie zich voor zijn bedrijfs- en bestuursprocessen kan verlaten op zijn informatievoorziening;

• gezagsmodule: de door Onze Minister beheerde module die een gezagsverklaring genereert en verstrekt;

• gezagsverklaring: een verklaring als bedoeld in artikel 7b;

• MijnOverheid: de voorziening die bereikbaar is via het webadres mijn.overheid.nl voor de dienst voor elektronisch berichtenverkeer de Berichtenbox, en de diensten voor informatieverschaffing Lopende Zaken, Persoonlijke gegevens en Algemene bekendmakingen, mededelingen en kennisgevingen;

• MijnOverheid-account: het domein van een gebruiker van MijnOverheid op MijnOverheid;

• notificatie: een attendering die met een e-mailbericht of via een ander kanaal aan de gebruiker van DigiD, DigiD Machtigen of MijnOverheid wordt verstuurd, teneinde hem te informeren over een bericht of wijziging;

• Onze Minister: Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties;

• overheidsorgaan: overheidsorgaan als bedoeld in artikel 1, onderdeel c, van de Wet algemene bepalingen burgerservicenummer;

• persoonsgegevens: hetgeen daaronder wordt verstaan in artikel 4 onder 1 van de Algemene verordening gegevensbescherming;

• risicomanagement: het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes;

• routeringsvoorziening: de voorziening, bedoeld in artikel 5, eerste lid, onder c, van de wet;

• Uitvoeringsverordening (EU) 2015/1502: Uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, derde lid, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (PbEU 2015, L235);

• vertegenwoordigde: een natuurlijk persoon of rechtspersoon die zich ter behartiging van zijn belangen in het elektronisch verkeer met bestuursorganen en aangewezen organisaties laat vertegenwoordigen door een andere natuurlijke persoon of rechtspersoon;

• vertegenwoordigde in MijnOverheid: een natuurlijk persoon die, met een in DigiD Machtigen geregistreerde machtiging, een gemachtigde in MijnOverheid toegang verleent tot zijn berichten voor zover deze vallen binnen de reikwijdte van de machtiging;

• vertrouwelijkheid: de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden;

• wet: de Wet digitale overheid;

• –

  vertegenwoordiger: de natuurlijke persoon of rechtspersoon die een andere natuurlijke persoon vertegenwoordigt bij elektronische dienstverlening door een bestuursorgaan of aangewezen organisatie.

De artikelen 1, 4 en 13 van dit besluit berusten mede op artikel 20, derde lid, van de Bekendmakingswet.

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD de volgende persoonsgegevens:

• a.

  over bezoekers van DigiD: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD die relevant zijn voor de adequate werking en beveiliging van de voorziening;

• b.

  over bezoekers van DigiD die een aanvraagprocedure zijn gestart, maar niet hebben voltooid, tevens het burgerservicenummer en de datum en tijd van de aanvraag en de reden waarom de aanvraag niet is gelukt;

• c.

  over gebruikers van DigiD:

  • 1°.

    de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om het ingezetenschap of niet-ingezetenschap in de basisregistratie personen vast te kunnen stellen en het adres;

  • 2°.

    een nummer dat ter identificatie van een persoon kan worden gebruikt, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van DigiD, het nummer van een Nederlandse paspoort of van een Nederlandse ,identiteitskaart gegevens met betrekking tot het paspoort of de identiteitskaart, zoals de geldigheidsdata, en gegevens met betrekking tot het rijbewijs, zoals het documentnummer en de geldigheidsdata;

  • 3°.

    de accountgegevens, waaronder het mobiele of vaste telefoonnummer, de gekozen documentsoort voor elektronische identificatie, het soort apparaat waarmee op elektronische wijze gecommuniceerd kan worden met het Nederlands paspoort, de Nederlandse identiteitskaart of het Nederlands rijbewijs, de status en het betrouwbaarheidsniveau van het identificatiemiddel, het e-mailadres, de gebruikersnaam, een afgeleide vorm van het wachtwoord, een afgeleide vorm van de pincode, en overige gegevens die bij het account horen;

  • 4°.

    de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD is ingelogd, handelingen van de gebruiker, het door de gebruiker van DigiD gekozen betrouwbaarheidsniveau, de website van de instelling waar de gebruiker van DigiD een DigiD aanvraagt of vanuit welke de gebruiker van DigiD met DigiD inlogt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik, waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

  • 5°.

    gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder in ieder geval de kenmerken van de door de gebruiker van DigiD gebruikte software en hardware.

  • 6°.

    gegevens noodzakelijk voor de ondersteuning van de gebruiker of de administratie van DigiD, waaronder het burgerservicenummer en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD.

  • 7°.

    gegevens afkomstig van de chip van het Nederlandse paspoort of de Nederlandse identiteitskaart waarmee de gebruiker van DigiD heeft ingelogd ter authenticatie:

    • –

      documentcode van het paspoort of de identiteitskaart;

    • –

      uitgevende staat of organisatie van het paspoort of de identiteitskaart;

    • –

      naam van de houder;

    • –

      documentnummer van het paspoort of de identiteitskaart;

    • –

      nationaliteit van de houder;

    • –

      geboortedatum van de houder;

    • –

      geslacht van de houder;

    • –

      geldigheidsdata van het paspoort of de identiteitskaart;

    • –

      burgerservicenummer.

  • 8°.

    gegevens afkomstig van de chip van het Nederlandse rijbewijs waarmee de gebruiker van DigiD heeft ingelogd ter authenticatie:

    • –

      documentcode van het rijbewijs;

    • –

      documentnummer van het rijbewijs.

  • 9°.

    gegevens genoemd in artikel 5d die noodzakelijk zijn voor de elektronische identificatie ter zake van grensoverschrijdende elektronische dienstverlening binnen de Europese Unie welke plaatsvindt door tussenkomst van de eIDAS-voorziening.

• d.

  over afnemers van DigiD: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van DigiD, waaronder de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van DigiD en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD Machtigen de volgende persoonsgegevens:

• a.

  over bezoekers van DigiD Machtigen: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD Machtigen die relevant zijn voor de adequate werking en beveiliging van de voorziening;

• b.

  over gebruikers van DigiD Machtigen:

  • 1°.

    de naam en de noodzakelijke gegevens om deze correct weer te geven, de reden voor de opschorting van de persoonslijst in de basisregistratie personen, het adres en van de vertegenwoordigde tevens de geboortedatum;

  • 2°.

    het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van DigiD Machtigen of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon, alsmede de authenticatieverklaring indien beschikbaar;

  • 3°.

    gebruikersgegevens betreffende de machtigingsrelaties, inclusief de aanvragen daarvan, en profielgegevens;

  • 4°.

    de gebruiksgegevens, waaronder gegevens over het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD Machtigen is ingelogd op de website van DigiD Machtigen, handelingen van de gebruiker van DigiD Machtigen (inloggen, aanvragen, intrekken en activeren), de betrokken dienst, en de afnemer van DigiD Machtigen waarvoor de gebruiker van DigiD Machtigen is gemachtigd, alsmede het tijdstip waarop dit gebeurt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik, waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

  • 5°.

    gegevens die relevant zijn voor de adequate werking van de voorziening waaronder de kenmerken van de gebruikte software en hardware door de gebruiker van DigiD Machtigen;

  • 6°.

    gegevens noodzakelijk voor de ondersteuning van de gebruiker, waaronder het burgerservicenummer, notificatiegegevens waaronder het voorkeurskanaal, en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD Machtigen.

• c.

  over afnemers van DigiD Machtigen: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van DigiD Machtigen, waaronder de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van DigiD Machtigen en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de bevoegdheidsverklaringsdienst de volgende persoonsgegevens over:

• a.

  de beoogd vertegenwoordiger waarvoor een bevoegdheidsverklaring wordt gevraagd:

  • 1.

    de naam en de noodzakelijke gegevens om deze correct weer te geven;

  • 2.

    een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan, of het door de Kamer van Koophandel bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon;

  • 3.

    de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de beoogd vertegenwoordiger is ingelogd, handelingen van de beoogd vertegenwoordiger, het door die persoon gebruikte identificatiemiddel en betrouwbaarheidsniveau, de website van de organisatie waar de beoogd vertegenwoordiger een middel heeft aangevraagd of vanuit welke de authenticatie van de identiteit van deze persoon wordt uitgevoerd, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

  • 4.

    de dienst waar de beoogd vertegenwoordiger gebruik van wil maken en de naam van de afnemer van de bevoegdheidsverklaringsdienst;

  • 5.

    het gegeven dat de gebruiker voor een ander in wil loggen;

  • 6.

    de aard van de bevoegdheid van de beoogd vertegenwoordiger om te handelen namens de beoogd vertegenwoordigde;

• b.

  de beoogd vertegenwoordigde voor wie een bevoegdheidsverklaring wordt gevraagd:

  • 1.

    de naam en de noodzakelijke gegevens om deze correct weer te geven en de geboortegegevens of eventueel datum van overlijden;

  • 2.

    een nummer dat ter identificatie van de vertegenwoordigde kan worden gebruikt of tot de vertegenwoordigde kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan;

• c.

  afnemers van de bevoegdheidsverklaringsdienst: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van de bevoegdheidsverklaringsdienst, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van de bevoegdheidsverklaringsdienst en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van MijnOverheid de volgende persoonsgegevens:

• a.

  over bezoekers van MijnOverheid: gegevens over de herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van MijnOverheid die relevant zijn voor de adequate werking en beveiliging van de voorziening;

• b.

  over gebruikers van MijnOverheid:

  • 1°.

    de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om te bepalen of een natuurlijk persoon kwalificeert als gebruiker van MijnOverheid waarvoor de Berichtenbox beschikbaar moet kunnen zijn, en het adres;

  • 2°.

    het burgerservicenummer of versleutelde vorm daarvan ter identificatie van de gebruiker van MijnOverheid;

  • 3°.

    de accountgegevens, waaronder gegevens over het aanmaken en wijzigen van het MijnOverheid-account, het e-mailadres of ander kanaal waarop de gebruiker van MijnOverheid notificaties ontvangt, en gegevens over de verificatie daarvan, de schermnaam, en de door de gebruiker van MijnOverheid geselecteerde afnemer of afnemers van MijnOverheid ten aanzien van wie de gebruiker van MijnOverheid in de berichtenvoorkeuren van MijnOverheid kenbaar heeft gemaakt dat hij langs elektronische weg voldoende bereikbaar is voor het ontvangen van elektronische berichten in de Berichtenbox, meta-gegevens die horen bij berichten of zaaksgegevens, en overige gegevens of wijzigingen daarvan die bij het account horen;

  • 4°.

    de gebruiksgegevens, waaronder gegevens over de navigatie en handelingen van de gebruiker van MijnOverheid in de voorziening, inclusief het opvragen, tonen of wijzigen van gegevens of het falen van functies, gegevens over de verzending van notificaties en het eventueel falen daarvan, inloghistorie en overige gegevens met betrekking op het soort, tijdstip en kenmerken van het gebruik;

  • 5°.

    gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder sessie-cookies, gegevens over de herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware;

  • 6°.

    gegevens noodzakelijk voor de ondersteuning bij het veilige en betrouwbare gebruik van MijnOverheid, waaronder het burgerservicenummer, gegevens in het bericht van de afnemer of in een andere functionaliteit van MijnOverheid die de afnemer afneemt en gegevens die worden verwerkt bij de ondersteuning van de gebruiker, zoals de relevante BRP-gegevens en gegevens met betrekking tot het soort apparaat waarmee op elektronische wijze gecommuniceerd kan worden;

  • 7°.

    gegevens noodzakelijk voor de dienst Algemene bekendmakingen, mededelingen en kennisgevingen, waaronder het burgerservicenummer, de geboortedatum, het actuele adres van de gebruiker en het e-mailadres;

  • 8°.

    gegevens noodzakelijk voor de dienst Persoonlijke gegevens, waaronder de gegevens genoemd onder 1°, het burgerservicenummer en overige gegevens waarin inzage kan worden verleend via deze dienst;

• c.

  over de vertegenwoordigde in MijnOverheid en de gemachtigde in MijnOverheid:

  • 1°.

    de naam en de geboortedatum van de vertegenwoordigde in MijnOverheid en de noodzakelijke gegevens om deze correct weer te geven aan de gemachtigde in MijnOverheid;

  • 2°.

    het burgerservicenummer van de vertegenwoordigde in MijnOverheid;

  • 3°.

    de gebruiksgegevens, waaronder gegevens over de verzending van notificaties en het eventueel falen daarvan, gegevens over de handelingen van de gemachtigde in MijnOverheid ten aanzien van de gegevens van de vertegenwoordigde in MijnOverheid, waaronder begrepen het wijzigen van gegevens, inclusief gegevens over het falen van functies, en overige gegevens met betrekking tot het soort, tijdstip en kenmerken van het gebruik;

  • 4°.

    wijzigingen van meta-gegevens van het bericht of de berichten waarop de machtiging betrekking heeft;

  • 5°.

    gegevens noodzakelijk voor de ondersteuning bij het veilige en betrouwbare gebruik van MijnOverheid, waaronder het burgerservicenummer, gegevens in het bericht van de afnemer of in een andere functionaliteit van MijnOverheid die de afnemer afneemt en gegevens die worden verwerkt bij de ondersteuning van de gebruiker.

• d.

  over afnemers van MijnOverheid: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van MijnOverheid, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van MijnOverheid en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van het BSN-Koppelregister de volgende persoonsgegevens:

• a.

  over de gebruiker van een toegelaten privaat of publiek identificatiemiddel, erkend bedrijfs- of organisatiemiddel of machtiging die elektronische diensten wil afnemen:

  • 1°.

    de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum en de datum van overlijden;

  • 2°.

    het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van een toegelaten privaat of publiek identificatiemiddel, bedrijfs- of organisatiemiddel of machtiging of het uniek identificerend nummer of een afgeleide vorm daarvan ingeval van authenticatie buiten Nederland en binnen de EU;

  • 3°.

    de datum van totstandkoming en het niet langer gebruiken van de koppeling tussen het toegelaten private of publieke identificatiemiddel, bedrijfs- of organisatiemiddel of machtiging en de afgeleide vorm van het burgerservicenummer of het uniek identificerend nummer ter identificatie van de gebruiker;

  • 4°.

    statusgegevens van de aan de gebruiker gekoppelde middelen;

• b.

  over afnemers van het BSN-Koppelregister: administratieve gegevens noodzakelijk in verband met het gebruik van het BSN-Koppelregister, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van het BSN-koppelregister en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking en betrouwbaarheid van de routeringsvoorziening de volgende persoonsgegevens over:

• a.

  de gebruiker van een toegelaten publiek of privaat identificatiemiddel of erkend bedrijfs- of organisatiemiddel, die dit middel wil gebruiken in het kader van elektronische dienstverlening:

  • 1°.

    de voornaam, achternaam, geboortedatum, geboortenaam, geboorteplaats, actueel adres en geslacht, in voorkomend geval in versleutelde vorm;

  • 2°.

    een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan en het afgeleide uniek identificerend nummer in geval van authenticatie buiten Nederland en binnen de EU;

  • 3°.

    de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker is ingelogd, handelingen van de gebruiker, het door de gebruiker gebruikte identificatiemiddel en betrouwbaarheidsniveau, de website van de organisatie waar de gebruiker een middel aanvraagt of vanuit welke de gebruiker inlogt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

• b.

  de vertegenwoordigde in het geval van machtiging: een nummer dat ter identificatie van de vertegenwoordigde kan worden gebruikt of tot de vertegenwoordigde kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan;

• c.

  afnemers van de routeringsvoorziening: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van de routeringsvoorziening, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van de routeringsvoorziening en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Dit onderdeel is nog niet inwerking getreden

Dit onderdeel is nog niet inwerking getreden

De gegevens als bedoeld in de artikelen 2, 3 en 5 tot en met 5d worden niet gebruikt voor andere doeleinden dan de goede werking van identificatiemiddelen en de goede en veilige toegang met die middelen of via machtiging tot elektronische dienstverlening.

Onze Minister kan de volgende gegevens verwerken, indien dit noodzakelijk is voor het waarborgen van de veilige toegang tot en de werking van de elektronische dienstverlening en het voorkomen van misbruik of oneigenlijk gebruik van de toegang tot elektronische dienstverlening:

• a.

  de gegevens, bedoeld in de artikelen 2 tot en met 5d, die verwerkt worden voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de voorzieningen van de generieke digitale infrastructuur;

• b.

  de gegevens en inlichtingen, bedoeld in artikel 19 van de wet, die verstrekt worden door de bestuursorganen en aangewezen organisaties, aanbieders van een toegelaten identificatiemiddel en op grond van artikel 11 van de wet erkende middelenuitgevers en diensten;

• c.

  de uit onderzoek voortgekomen persoonsgegevens, met inbegrip van openbaar toegankelijke persoonsgegevens en persoonsgegevens die door derden aan Onze Minister verstrekt zijn.

Onze Minister verstrekt op verzoek van afnemers van DigiD Machtigen:

• a.

  een bewijs van geldigheid van een specifieke machtigingsregistratie voor diensten van de betreffende afnemer;

• b.

  een overzicht van alle machtigingsaanvragen en machtigingsregistraties die voor diensten van de betreffende afnemer zijn afgegeven.

Onze Minister verstrekt:

• a.

  op verzoek van afnemers van de bevoegdheidsverklaringsdienst aan die afnemers een verklaring over de bevoegdheid van een beoogd vertegenwoordiger om te handelen namens een beoogd vertegenwoordigde of een bericht zonder deze informatie, wanneer een bevoegdheid om te handelen namens de beoogd vertegenwoordigde niet is vastgesteld;

• b.

  aan de gezagsmodule uit de bevoegdheidsverklaringsdienst ter verkrijging van een gezagsverklaring:

  • 1.

    het burgerservicenummer van de beoogd vertegenwoordiger en de beoogd vertegenwoordigde; en

  • 2.

    de dienst en de naam van de dienstaanbieder waar de beoogd vertegenwoordiger gebruik van wil maken.

Onze Minister verstrekt uit de gezagsmodule:

• a.

  aan de bevoegdheidsverklaringsdienst, indien sprake is van een ouderlijk gezagsrelatie tussen de beoogd vertegenwoordiger en de beoogd vertegenwoordigde:

  • 1.

    het burgerservicenummer van de beoogd vertegenwoordiger en de beoogd vertegenwoordigde; en

  • 2.

    een bevestiging van het bestaan van een ouderlijk gezagsrelatie tussen de beoogd vertegenwoordiger en de beoogd vertegenwoordigde;

• b.

  op verzoek van een afnemer van de gezagsmodule aan die afnemer:

  • 1.

    een overzicht van de burgerservicenummers van de personen met ouderlijk gezag over de persoon waarop het verzoek ziet;

  • 2.

    een overzicht van de burgerservicenummers van de personen waarover de persoon waarop het verzoek ziet ouderlijk gezag heeft; of

  • 3.

    indien sprake is van een ouderlijk gezagsrelatie tussen de personen waarop het verzoek ziet, een bevestiging van het bestaan van die ouderlijk gezagsrelatie en het soort ouderlijk gezag onder vermelding van de burgerservicenummers van die personen.

Onze Minister verstrekt aan een afnemer van MijnOverheid:

• a.

  het burgerservicenummer, waar van toepassing de status van de toepasselijke berichtenvoorkeur van de gebruiker van MijnOverheid, voorafgaand aan het aanleveren en ter bevestiging van het afleveren van berichten en gegevens, of het falen daarvan, ten behoeve van de werking van de diensten van MijnOverheid, en op verzoek van een afnemer informatie over het openen van een bericht door de gebruiker van MijnOverheid, teneinde de gebruiker te attenderen op een eerder aan hem gezonden bericht;

• b.

  op verzoek van een afnemer die de Berichtenbox van MijnOverheid als verplicht kanaal voor elektronisch berichtenverkeer heeft aangewezen, informatie of een gebruiker van een MijnOverheid-account waarop de uitvoering van die taak betrekking heeft, zijn account wel of niet in gebruik heeft genomen en het bijbehorende burgerservicenummer;

• c.

  op verzoek van een afnemer, informatie of voor een gebruiker van MijnOverheid een emailadres of ander kanaal is verwerkt waarop die gebruiker van MijnOverheid notificaties ontvangt als bedoeld in artikel 4, onderdeel b, subonderdeel 3°, en het bijbehorende burgerservicenummer;

• c.

  op verzoek van een afnemer inlichtingen die benodigd zijn om aflevering van een bericht te kunnen bevestigen;

• d.

  op verzoek van een afnemer, gegevens over het ontvangen door een gebruiker van een notificatie over een bericht waarop het verzoek ziet of het eventueel falen daarvan, de bijbehorende datum en de tijd en het bijbehorende burgerservicenummer.

Onze Minister verstrekt uit het BSN-koppelregister:

• a.

  het burgerservicenummer in versleutelde of afgeleide vorm van de gebruiker van een toegelaten privaat of publiek identificatiemiddel of een erkend bedrijfs- of organisatiemiddel die dit nummer wil gebruiken in het kader van elektronische dienstverlening door bestuursorganen of aangewezen organisaties aan de routeringsvoorziening, DigiD, de erkende authenticatiedienst, of de erkende machtigingsdienst;

• b.

  het uniek identificerend nummer in afgeleide vorm aan de eIDAS-voorziening.

Onze Minister verstrekt de voornaam, achternaam, geboortedatum, het burgerservicenummer, een afgeleide vorm van het uniek identificerend nummer in geval van authenticatie buiten Nederland, geboortenaam, geboorteplaats, actueel adres en geslacht en het gebruikte betrouwbaarheidsniveau van de gebruiker van een toegelaten privaat of publiek identificatiemiddel die dit middel gebruikt in het kader van elektronische dienstverlening door bestuursorganen of aangewezen organisaties, en het burgerservicenummer van de vertegenwoordigde zo mogelijk in versleutelde of afgeleide vorm aan de bedoelde bestuursorganen of aangewezen organisaties.

Dit onderdeel is nog niet inwerking getreden

Dit onderdeel is nog niet inwerking getreden

Onze Minister verstrekt uit de eIDAS-voorziening:

• a.

  aan het BSN-Koppelregister van de gebruiker van een toegelaten of erkend identificatiemiddel die dit middel wil gebruiken in het kader van elektronische dienstverlening het burgerservicenummer en de afgeleide vorm hiervan, en aan een routeringsvoorziening in de zin van artikel 1 van de wet het burgerservicenummer in versleutelde vorm en het uniek identificerend nummer in afgeleide vorm;

• b.

  aan een routeringsvoorziening ten behoeve van bestuursorganen of aangewezen organisaties: de naam en de noodzakelijke gegevens om deze correct weer te geven, geboortedatum, geboorteplaats, adres en geslacht in versleutelde vorm van de gebruiker van een toegelaten of erkend identificatiemiddel die dit middel wil gebruiken in het kader van elektronische dienstverlening;

• c.

  bij grensoverschrijdende authenticatie het uniek identificerend nummer en indien beschikbaar het burgerservicenummer aan het BSN-Koppelregister en een afgeleide vorm daarvan aan bestuursorganen of aangewezen organisaties in het kader van elektronische dienstverlening.

• d.

  bij grensoverschrijdende authenticatie het van het burgerservicenummer afgeleide uniek identificerend nummer, de naam en de noodzakelijke gegevens om deze correct weer te geven, geboortedatum, geboorteplaats, adres en geslacht aan de betreffende andere lidstaat.

Onverminderd het bepaalde in de artikelen 6 tot en met 9d, verstrekt Onze Minister geen gegevens over een bezoeker of gebruiker van de in de artikelen 2 tot en met 5d genoemde voorzieningen en middelen of de uit onderzoek voortgekomen gegevens, bedoeld in artikel 5f, onderdeel c, aan anderen dan de bezoeker of de gebruiker zelf zonder voorafgaande toestemming van de bezoeker of de gebruiker, tenzij:

• a.

  het een verstrekking betreft aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van de betreffende voorziening, of

• b.

  hij daartoe gerechtigd is op grond van een wettelijke bepaling.

De bewaartermijn van de gegevens, bedoeld in artikel 5, is als volgt:

• a.

  de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, het uniek identificerend nummer en het burgerservicenummer en de versleutelde vorm daarvan worden niet langer bewaard dan nodig is om de gegevens op juistheid te controleren;

• b.

  het burgerservicenummer in afgeleide vorm en het uniek identificerend nummer in afgeleide vorm ingeval van authenticatie buiten Nederland en binnen de EU, en de gegevens, bedoeld in artikel 5, onderdeel a, onder 3° en 4°, worden bewaard zo lang als de koppeling tussen het toegelaten private of publieke identificatiemiddel of erkende bedrijfs- of organisatiemiddel bestaat en zodra dat niet meer het geval is, maximaal 5 jaar;

• c.

  de gegevens over afnemers van de BSN-Koppelregister, bedoeld in artikel 5, onderdeel b, worden bewaard voor de duur van het gebruik van het BSN-Koppelregister en daarna maximaal vijf jaar.

De bewaartermijn van de gegevens, bedoeld in artikel 5a, is als volgt:

• a.

  de gegevens, bedoeld in artikel 5a, onderdeel a, onder 1°, worden bewaard zolang de gebruiker het identificatiemiddel gebruikt;

• b.

  een nummer dat ter identificatie kan worden gebruikt als bedoeld in artikel 5a, onderdeel a, onder 2°, of onderdeel b, wordt maximaal 18 maanden na afloop van het authenticatieproces bewaard;

• c.

  de gebruiksgegevens, bedoeld in artikel 5a, onderdeel a, onder 3°, worden maximaal vijf jaar bewaard, met dien verstande dat de sessiegegevens slechts worden bewaard tot het moment van uitloggen door de gebruiker;

• d.

  de gegevens over afnemers van de routeringsvoorziening, bedoeld in artikel 5a, onderdeel c, worden bewaard voor de duur van het gebruik ervan door de routeringsvoorziening en daarna maximaal vijf jaar.

Dit onderdeel is nog niet inwerking getreden

Dit onderdeel is nog niet inwerking getreden

De bewaartermijn van de gegevens, bedoeld in artikel 5f, onderdeel c, is maximaal 5 jaar na afloop van de in de artikelen 11 tot en met 14d genoemde bewaartermijnen.

Na het verstrijken van de bewaartermijn worden de gegevens zo spoedig mogelijk vernietigd.

Teneinde de te verwerken persoonsgegevens te beveiligen en deze te beschermen tegen ongeoorloofde of onrechtmatige verwerking en opzettelijk verlies, vernietiging of beschadiging, neemt de in de artikelen 2 tot en met 15 bedoelde verwerker passende technische, organisatorische en personele maatregelen, waaronder inzake de juiste en veilige bediening en gebruik van informatiesystemen, de toegang tot en de beschikbaarheid en integriteit van informatiesystemen en het herkennen en herstellen van beveiligingsinbreuken.

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin het wordt geplaatst en werkt terug tot en met 1 november 2015.

Dit besluit wordt aangehaald als: Besluit digitale overheid.