Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties;

Gelet op artikel 6, tweede, derde en vierde lid, van de Wet digitale overheid;

Besluit:

Artikel

1 Begripsbepalingen

In deze regeling wordt verstaan onder:

−
basisregistraties: basisregistraties, genoemd in bijlage 1 bij deze regeling;
−
bedrijfsgegevens: gegevens die betrekking hebben op een onderneming of rechtspersoon en de uitvoering van het bedrijfsproces;
−
bijzondere categorieën van persoonsgegevens: persoonsgegevens als bedoeld in de begripsbepaling voor ‘bijzondere categorieën van persoonsgegevens’ in artikel 1 van de Uitvoeringswet Algemene verordening gegevensbescherming;
−
elektronische dienst: hetgeen daaronder wordt verstaan in artikel 1 van de wet;
−
identificatiemiddel: hetgeen daaronder wordt verstaan in artikel 1 van de wet;
−
persoonsgegevens en verwerking van persoonsgegevens: hetgeen daaronder wordt verstaan in artikel 4 van de Algemene verordening gegevensbescherming;
−
persoonsgegevens van strafrechtelijke aard: persoonsgegevens als bedoeld in de begripsbepaling voor ‘persoonsgegevens van strafrechtelijke aard’ in artikel 1 van de Uitvoeringswet Algemene verordening gegevensbescherming;
−
wet: Wet digitale overheid.

Artikel

2 Bepalen betrouwbaarheidsniveau voor een dienst

1

Indien voor een elektronische dienst niet bij wettelijk voorschrift is bepaald dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, bepaalt een bestuursorgaan of aangewezen organisatie dat niveau overeenkomstig het tweede tot en met vijfde lid.

2

Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau hoog vereist is indien voor een van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria in de kolom hoog op die dienst van toepassing is.

3

Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau substantieel vereist is indien voor een van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria in de kolom substantieel op die dienst van toepassing is en geen van de in de kolom hoog genoemde criteria.

4

Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau laag vereist is indien voor een van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria in de kolom laag op die dienst van toepassing is en geen van de in de kolom substantieel of hoog genoemde criteria

5

Een bestuursorgaan of aangewezen organisatie bepaalt dat geen authenticatie is vereist indien voor geen van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria op de dienst van toepassing is.

Artikel

3 Risico verlagende factoren

1

Onverminderd de toepasselijkheid van een wettelijk voorschrift dat bepaalt dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, kan, in afwijking van artikel 2, tweede en derde lid, een bestuursorgaan of aangewezen organisatie voor een elektronische dienst authenticatie op één betrouwbaarheidsniveau lager vaststellen, indien:

a.
het proces van toegangsverlening voorziet in een adequate aanvullende technische of fysieke controle op de authenticiteit van de gebruiker van het identificatiemiddel na het moment waarop daarmee voor de eerste keer voor de desbetreffende dienst een authenticatie is uitgevoerd;
b.
het bestuursorgaan of de aangewezen organisatie in het proces herstelmaatregelen neemt of kan nemen.

2

Toepassing van het eerste lid sluit gelijktijdige toepassing van artikel 6 uit.

Artikel

4 Risicoverhogende factoren

Indien naar het oordeel van het bestuursorgaan of de aangewezen organisatie, gelet op de aard van de dienst, sprake is van risicoverhogende factoren waaronder identiteitsfraude of misbruik van de dienst, wordt een volledige risicoanalyse uitgevoerd teneinde het passende betrouwbaarheidsniveau voor die dienst te kunnen bepalen.

Artikel

5 Machtigen

1

Afgifte en intrekking van een machtiging wordt elektronisch geregistreerd.

2

Bij afgifte van een machtiging is sprake van een kenbare wilsuiting van de machtiginggever om:

a.
de dienst af te nemen, en
b.
dit door de beoogd gemachtigde te laten doen.

3

Afgifte en intrekking van een machtiging kan langs elektronische en niet-elektronische weg.

4

De betrouwbaarheid van een machtigingsregistratie is tenminste gelijk aan het betrouwbaarheidsniveau dat voor de authenticatie voor de dienst is vereist.

5

Bij de registratie van een machtiging die langs elektronische weg is afgegeven gebruiken machtiginggever en gemachtigde een identificatiemiddel op tenminste hetzelfde betrouwbaarheidsniveau als voor de dienst is vereist.

6

Bij de registratie van een machtiging, die niet of niet geheel langs elektronische weg is afgegeven, bepaalt het bestuursorgaan of de aangewezen organisatie of de betrouwbaarheid van de machtiging gewaarborgd is.

7

Het bestuursorgaan of de aangewezen organisatie kan bepalen dat de betrouwbaarheid van een machtigingsregistratie lager mag zijn dan het betrouwbaarheidsniveau dat voor de authenticatie van de dienst vereist is, mits adequate aanvullende maatregelen in het proces van dienstverlening of toegangsverlening worden getroffen.

Artikel

6 Tijdelijk toestaan van een lager niveau

1

Onverminderd de toepasselijkheid van een wettelijk voorschrift dat bepaalt dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, kan een bestuursorgaan of aangewezen organisatie, indiende beschikbaarheid of het gebruik van identificatiemiddelen op de betrouwbaarheidsniveaus substantieel en hoog of de mogelijkheid om deze te gebruiken om toegang te krijgen tot dienstverlening onvoldoende is, voor een elektronische dienst, waarvoor op grond van artikel 2 authenticatie op betrouwbaarheidsniveau hoog respectievelijk substantieel benodigd is, tot twee jaar na inwerkingtreding van deze regeling voor toegang tot die dienst tevens het gebruik van een toegelaten of erkend middel op betrouwbaarheidsniveau substantieel respectievelijk een middel op betrouwbaarheidsniveau laag toestaan.

2

Toepassing van het eerste lid sluit gelijktijdige toepassing van artikel 3 uit.

Artikel

7 Kenbaarheid betrouwbaarheidsniveau

Het bestuursorgaan dat of de aangewezen organisatie die de dienst verleent maakt op de eigen website kenbaar welk betrouwbaarheidsniveau van authenticatie op grond van de artikelen 2 tot en met 6 ten minste vereist is.

Artikel

8 Citeertitel

Deze regeling wordt aangehaald als:Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening.

Artikel

9 Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 juli 2023.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Digitalisering en Koninkrijksrelaties, A.C. van Huffelen

Bijlage

1 Basisregistraties

(bijlage als bedoeld in artikel 1 van de Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening)

−
de basisregistraties adressen en gebouwen, bedoeld in artikel 2 van de Wet basisregistraties adressen en gebouwen
−
de basisregistratie grootschalige topografie, bedoeld in artikel 2, eerste lid, van de Wet basisregistratie grootschalige topografie
−
de basisregistratie inkomen, bedoeld in artikel 21a, eerste lid, van de Algemene wet inzake rijksbelastingen
−
de basisregistratie kadaster, bedoeld in artikel 48, eerste lid, van de Kadasterwet
−
de basisregistratie ondergrond, bedoeld in artikel 2, eerste lid, van de Wet basisregistratie ondergrond
−
de basisregistratie personen, bedoeld in artikel 1.2 van de Wet basisregistratie personen
−
de basisregistratie topografie, bedoeld in artikel 98a van de Kadasterwet
−
de basisregistratie WOZ, bedoeld in artikel 37a, eerste lid, van de Wet waardering onroerende zaken
−
het handelsregister, bedoeld in artikel 2 van de Handelsregisterwet 2007
−
het kentekenregister, bedoeld in artikel 42, eerste lid, van de Wegenverkeerswet 1994.

Bijlage

2 Criteria betrouwbaarheidsniveaus

(bijlage als bedoeld in artikel 2, tweede tot en met vierde lid, Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening)

Persoonsgegevens (behoudens het BSN): aard gegevens en aard en omvang van de verwerking	• Geen bijzondere categorieën van persoonsgegevens • Geen persoonsgegevens van strafrechtelijke aard, geen gegevens uit antecedentenonderzoek en geen politiegegevens • Kleinschalige verwerking	• Bijzondere categorieën van persoonsgegevens • Persoonsgegevens van strafrechtelijke aard, gegevens uit antecedentenonderzoek en politiegegevens • Gevoelige persoonsgegevens niet zijnde bijzondere categorieën van persoonsgegevens, persoonsgegevens van strafrechtelijke aard, gegevens uit antecedentenonderzoek of politiegegevens • Grootschalige verwerking	• Persoonsgegevens die: * stigmatiserend kunnen werken * reputatieschade kunnen opleveren * tot uitsluiting kunnen leiden * schade kunnen opleveren aan de gezondheid, of * chanteerbaarheid kunnen opleveren • Gegevens die onder het medisch beroepsgeheim vallen
Risico’s indien de gegevens in verkeerde handen vallen Aard van de gegevens van ondernemingen en rechtspersonen	Geen of nauwelijks risico op identiteitsfraude en/of misbruik van de betreffende dienst Algemeen bekende gegevens van ondernemingen en rechtspersonen	Reëel risico op identiteitsfraude en/of misbruik van de betreffende dienst Gevoelige gegevens van ondernemingen en rechtspersonen	Groot risico op identiteitsfraude en/of misbruik van de betreffende dienst Geen criteria
Aard van de verwerking van het BSN	• BSN van degene aan wie de dienst wordt verleend, van zijn gemachtigde, of van een derde wordt door dienstverlener niet verstrekt	• BSN van degene aan wie de dienst wordt verleend, van zijn gemachtigde of van een derde wordt door de dienstverlener tijdens het proces van dienstverlening verstrekt • NB: wanneer dienstverlener reeds opgegeven BSN terugkoppelt: minimaal niveau laag met 2-factor authenticatie nodig	• BSN in combinatie met andere persoonsgegevens
Gevolgen voor de gegevens in de basisregistraties	• Geen criteria	• Controle op de verwerking van gegevens	• Geen controle op de verwerking van gegevens
Economisch belang	• Niet of nauwelijks ingrijpend voor economische positie burgers/ondernemingen en rechtspersonen in de doelgroep, waarbij als richtsnoer geldt: * De directe schade voor burgers is lager dan € 1.000,– * De directe schade voor bedrijven tot 250 werknemers is lager dan € 125.000,– * De directe schade voor grotere bedrijven is lager dan € 500.000,–	• Ingrijpend voor economische positie burgers/ondernemingen en rechtspersonen in de doelgroep, waarbij als richtsnoer geldt: * De directe schade voor burgers is hoger dan € 1.000,– * De directe schade voor bedrijven tot 250 werknemers is hoger dan € 125.000,– * De directe schade voor grotere bedrijven is hoger dan € 500.000,–	• Zodanig ingrijpend voor economische positie burgers/ondernemingen en rechtspersonen dat ongewijzigd welstandsniveau of voortbestaan onmogelijk is