01-11-2024

De impact van de Wet digitale overheid op overheidsorganisaties en hun informatievoorziening

Remco Overvelde

De laatste jaren kunnen burgers en bedrijven steeds vaker gebruikmaken van digitale dienstverlening van de overheid. Het is daarom in ieders belang dat informatiesystemen die digitale overheidsdiensten mogelijk maken goed beveiligd zijn. De Wet digitale overheid (Wdo) speelt hierin een belangrijke rol. Deze wet, gedeeltelijk in werking getreden sinds 1 juli 2023, heeft als doel een veilige en betrouwbare digitale toegang tot overheidsdiensten voor burgers en bedrijven te waarborgen. Maar wat betekent dit voor de Nederlandse (semi-)overheidsorganisaties en hun informatievoorziening? 

Wat houdt de Wdo in? 

De Wdo is een omvangrijke wet die verschillende aspecten van digitale dienstverlening door (semi)overheidsorganisaties belicht. Zo kan de wet bepaalde (open) standaarden verplichten, regels stellen over de informatieveiligheid en het verwerken van persoonsgegevens. De wet is voornamelijk gericht op het bevorderen van een veilige en betrouwbare toegang tot de digitale overheid.  

Burgers en bedrijven moeten door deze wet elektronische identificatiemiddelen krijgen met een ‘hoog’ of ‘substantieel’ betrouwbaarheidsniveau om te kunnen inloggen bij digitale overheidsdiensten. Deze betrouwbaarheidsniveaus zijn gebaseerd op de Europese verordening eIDAS. De regels voor het bepalen van het betrouwbaarheidsniveau van authenticatie en machtiging staan in de Regeling betrouwbaarheidsniveaus. Private inlogmiddelen en inlogmiddelen uit andere Europese lidstaten worden ook toegelaten. Een routeringsvoorziening kan ervoor zorgen dat publieke dienstverleners via één punt aan kunnen sluiten op de verschillende inlogmiddelen. 

Het besluit digitale toegankelijkheid is ook onderdeel van de Wdo. Vanaf 1 april 2024 worden websites en applicaties met een minimale status (status D of E) voor digitale toegankelijkheid als ontoegankelijk aangemerkt. 

De Wdo is een zogeheten kaderwet: de wet regelt algemene principes, verantwoordelijkheden en procedures, maar bevat geen details. De gedetailleerde uitwerking is geregeld in Algemene Maatregelen van Bestuur (AMvB) en Ministeriële Regelingen (MR).  

Voor wie geldt de Wdo? 

De wet stelt regels voor bestuursorganen en ‘aangewezen organisaties’ die publieke digitale diensten aanbieden. De bestuursorganen zijn bijvoorbeeld de staat, provincies, waterschappen, gemeenten, maar ook uitvoeringsorganisaties, zoals Belastingdienst, DUO en het UWV. De aangewezen organisaties zijn vooralsnog zorgaanbieders, zorgverzekeraars, pensioenuitvoerders en instellingen in het hoger onderwijs. 

De wet stelt ook regels voor private partijen (erkende diensten) die voorzieningen bouwen, zoals inlogmiddelen of ontsluitende diensten. De private partijen moeten voldoen aan regels en voorwaarden om toegelaten te worden tot het stelsel als ‘erkende dienst’. 

Samenhang met andere verordeningen, wetten en kaders 

De Wdo staat niet op zichzelf maar vormt een onderdeel van een breder geheel van Europese verordeningen, nationale wetgeving en kaders. Het is gebaseerd op de eIDAS-verordening uit 2014, die richtlijnen biedt voor digitale identificatie en authenticatie in de EU. Op 26 maart 2024 stemde de Europese Raad in met de herziene eIDAS-verordening en op 20 mei 2024 werd deze van kracht.  

Door de Wdo is er ook een wijziging doorgevoerd in de paspoortwet, aangezien per 4 januari 2021 identiteitskaarten worden uitgegeven met een ingebouwde applet. Hiermee kun je inloggen via DigiD betrouwbaarheidsniveaus ‘substantieel’ en ‘hoog’. 

Impact op organisaties en hun informatievoorzieningen 

De Wdo heeft een brede impact op de informatievoorziening van (semi)overheidsorganisaties.  

Informatiebeveiliging
Allereerst brengt het nieuwe eisen met zich mee op het gebied van informatiebeveiliging, waarbij organisaties verplicht zijn maatregelen te nemen en verantwoording af te leggen. De extra lastendruk zal voor organisaties liggen in het verantwoording afleggen op het gebied van informatiebeveiliging voor meerdere inlogmiddelen. Verder moeten de informatiebeveiligingsmaatregelen meegenomen worden in de “Plan Do Check Act”-cyclus en moet er een ISMS worden ingericht voor informatiebeveiliging. Verder moeten organisaties logbestanden bijhouden over het gebruik van ICT voorzieningen voor toegang tot digitale diensten en deze regelmatig bijhouden. 

Betrouwbaarheidsniveaus voor digitale diensten 
Daarnaast moeten organisaties hun digitale diensten inschalen naar betrouwbaarheidsniveaus, wat een herziening van bestaande systemen en processen vereist. Er moet per dienst nagegaan worden welke gegevens verwerkt worden en of voor deze dienst authenticatie noodzakelijk of wenselijk is. Om organisaties te helpen met deze inschaling is er een regelhulp betrouwbaarheidsniveaus ontwikkeld. Daarbij moeten organisaties de communicatie met burgers en bedrijven op orde hebben over de verplichte betrouwbaarheidsniveaus van inlogmiddelen. Het wordt voor sommigen wellicht lastiger om in te loggen, waardoor meer ondersteuning nodig is. 

Acceptatieplicht 
Organisaties worden tevens verplicht om alle publieke en erkende (private) inlogmiddelen te accepteren. Momenteel zijn de meeste organisaties aangesloten op DigiD en eHerkenning. Dat wordt straks dus anders als meerdere publieke en erkende inlogmiddelen op de markt zijn. 

Organisaties kunnen gebruikmaken van een routeringsvoorziening, waarbij alle erkende inlogmiddelen zijn aangesloten. Een dergelijke oplossing ondersteunt organisaties om te kunnen voldoen aan de acceptatieplicht. Deze verplichting vergt uiteindelijk aanpassingen aan informatiesystemen om toegelaten inlogmiddelen te integreren. 

Verplichte open standaarden 
Ten slotte kunnen organisaties verplicht worden gesteld om open standaarden te implementeren. Per 1 juli 2023 is er bijvoorbeeld een verplichte implementatie van HTTPS en HSTS standaarden voor websites en webapplicaties. 

Conclusie 

De Wdo stelt eisen aan (semi-)overheidsorganisaties op het gebied van digitale toegang en informatiebeveiliging. Organisaties moeten betrouwbaarheidsniveaus bepalen en toekennen aan hun digitale diensten, en alle geaccepteerde inlogmiddelen moeten ondersteund worden. Daarnaast worden open standaarden verplicht gesteld om de beveiliging en toegankelijkheid te verbeteren. Deze veranderingen hebben een aanzienlijke impact op overheidsorganisaties, aangezien dit ingrijpende aanpassingen in systemen en processen vraagt. Uiteindelijk zorgt de Wdo wel voor een betere bescherming en toegankelijkheid voor burgers en bedrijven.  

Ik heb geprobeerd de Wdo beter te begrijpen om mijn werk voor overheidsorganisaties beter te ondersteunen. Ik stel de details van mijn persoonlijke analyse hier ook beschikbaar. Merk op dat dit slechts mijn persoonlijke interpretatie is en dat daar geen rechten aan kunnen worden ontleend.

Interessant? Deel het!
Illustratie stel je vraag
Meer weten over deze blog?

Neem contact op met ons, we vertellen er graag meer over!

© ArchiXL  |  KvK 05084421