Overheid.nl| Zoekpagina

De wegwijzer naar informatie en diensten van alle overheden

Naar zoeken

Besluit verwerking persoonsgegevens generieke digitale infrastructuur

Geldend van 28-05-2016 t/m heden

Besluit van 17 mei 2016, houdende regels betreffende de verwerking van persoonsgegevens in de voorzieningen voor de generieke digitale infrastructuur DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister (Besluit verwerking persoonsgegevens generieke digitale infrastructuur)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 18 januari 2016, nr. 2016-0000023784 DCB/CZW/SB;

Gelet op artikel X, derde lid, van de Wet elektronisch berichtenverkeer Belastingdienst;

De Afdeling advisering van de Raad van State gehoord (advies van 8 april 2016, nr. No.W04.160008/I);

Gezien het nader rapport van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 10 mei 2016 nr. 2016-0000267641 BZK/CZW/SB;

Hebben goedgevonden en verstaan:

Hoofdstuk 1. Algemene bepalingen

Artikel 1

In dit besluit wordt verstaan onder:

  • afnemer van DigiD en DigiD Machtigen: een overheidsorgaan dat, of een rechtspersoon met een wettelijke taak, niet zijnde een overheidsorgaan, die bij de uitoefening van zijn taak of bevoegdheid een dienst aanbiedt voor elektronisch verkeer tussen hem en gebruikers van DigiD respectievelijk DigiD Machtigen en daarbij gebruik maakt van DigiD respectievelijk DigiD Machtigen;

  • afnemer van MijnOverheid: een overheidsorgaan dat, of een rechtspersoon met een wettelijke taak, niet zijnde een overheidsorgaan, die bij de uitoefening van zijn taak of bevoegdheid gebruik maakt van MijnOverheid;

  • authenticatie: een elektronisch proces voor de verificatie en bevestiging van de identiteit van een natuurlijke persoon of rechtspersoon of van de oorsprong en integriteit van gegevens;

  • bezoeker van MijnOverheid, DigiD of DigiD Machtigen: degene die MijnOverheid, DigiD of DigiD Machtigen bezoekt, maar niet inlogt of van wie de elektronische aanvraagprocedure voor een DigiD niet is voltooid;

  • BSN-Koppelregister: de voorziening die een relatie legt tussen een uniek identificerend kenmerk op een privaat authenticatiemiddel en het burgerservicenummer van de houder;

  • burgerservicenummer: het nummer, bedoeld in artikel 1, onderdeel b, van de Wet algemene bepalingen burgerservicenummer;

  • DigiD: de voorziening voor uitgifte van elektronische authenticatiemiddelen en voor elektronische authenticatie die bereikbaar is via het webadres www.digid.nl;

  • DigiD Machtigen: de voorziening voor elektronische registratie van machtigingen die bereikbaar is via het webadres machtigen.digid.nl;

  • gebruiker van DigiD: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer en van wie de elektronische aanvraagprocedure voor een DigiD is voltooid;

  • gebruiker van DigiD Machtigen: de gemachtigde, de vertegenwoordigde of een natuurlijke persoon of rechtspersoon, die gebruik maakt van de voorziening DigiD Machtigen;

  • gebruiker van MijnOverheid: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer, en voor wie een MijnOverheid-account beschikbaar is;

  • gemachtigde: een gebruiker van DigiD Machtigen die namens de vertegenwoordigde bepaalde (rechts)handelingen kan verrichten;

  • gemachtigde in MijnOverheid: een gebruiker van MijnOverheid of een rechtspersoon, die met een in DigiD Machtigen geregistreerde machtiging in MijnOverheid bepaalde berichten van de vertegenwoordigde in kan zien;

  • MijnOverheid: de voorziening die bereikbaar is via het webadres mijn.overheid.nl voor de dienst voor elektronisch berichtenverkeer de Berichtenbox, en de diensten voor informatieverschaffing Lopende Zaken en Persoonlijke gegevens;

  • MijnOverheid-account: het domein van een gebruiker van MijnOverheid op MijnOverheid;

  • notificatie: een attendering die met een e-mailbericht of via een ander kanaal aan de gebruiker van MijnOverheid wordt verstuurd nadat een bericht in de Berichtenbox is geplaatst of een wijziging in Lopende Zaken heeft plaatsgevonden;

  • Onze Minister: Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties;

  • overheidsorgaan: overheidsorgaan als bedoeld in artikel 1, onderdeel c, van de Wet algemene bepalingen burgerservicenummer;

  • persoonsgegevens: hetgeen daaronder wordt verstaan in artikel 1 van de Wet bescherming persoonsgegevens;

  • vertegenwoordigde: een natuurlijk persoon die zich ter behartiging van zijn belangen in het verkeer met afnemers van DigiD Machtigen laat vertegenwoordigen door een gemachtigde;

  • vertegenwoordigde in MijnOverheid: een natuurlijk persoon die, met een in DigiD Machtigen geregistreerde machtiging, een gemachtigde in MijnOverheid toegang verleent tot zijn berichten voor zover deze vallen binnen de reikwijdte van de machtiging.

Hoofdstuk 2. De verwerking van persoonsgegevens

Artikel 2. Persoonsgegevens DigiD

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD de volgende persoonsgegevens:

  • a. over bezoekers van DigiD: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD die relevant zijn voor de adequate werking en beveiliging van de voorziening;

  • b. over bezoekers van DigiD die een aanvraagprocedure zijn gestart, maar niet hebben voltooid, tevens het burgerservicenummer en de datum en tijd van de aanvraag en de reden waarom de aanvraag niet is gelukt;

  • c. over gebruikers van DigiD:

    • 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om het ingezetenschap of niet-ingezetenschap in de basisregistratie personen vast te kunnen stellen en het adres;

    • 2°. een nummer dat ter identificatie van een persoon kan worden gebruikt, waaronder het burgerservicenummer, het nummer van een Nederlandse paspoort of van een Nederlandse ,identiteitskaart en gegevens met betrekking tot het paspoort of de identiteitskaart, zoals de geldigheidsdata;

    • 3°. de accountgegevens, waaronder het mobiele telefoonnummer, het e-mailadres, de gebruikersnaam, het versleutelde wachtwoord, en overige gegevens die bij het account horen;

    • 4°. de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD is ingelogd, handelingen van de gebruiker, het door de gebruiker van DigiD gekozen authenticatieniveau, de website van de instelling waar de gebruiker van DigiD een DigiD aanvraagt of vanuit welke de gebruiker van DigiD met DigiD inlogt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik;

    • 5°. gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder in ieder geval de kenmerken van de door de gebruiker van DigiD gebruikte software en hardware.

    • 6°. gegevens noodzakelijk voor de ondersteuning van de gebruiker, waaronder het burgerservicenummer en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD.

Artikel 3. Persoonsgegevens DigiD Machtigen

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD Machtigen de volgende persoonsgegevens:

  • a. over bezoekers van DigiD Machtigen: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD Machtigen die relevant zijn voor de adequate werking en beveiliging van de voorziening;

  • b. over gebruikers van DigiD Machtigen:

    • 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de datum van overlijden, het adres en van de vertegenwoordigde tevens de geboortedatum;

    • 2°. het burgerservicenummer;

    • 3°. gebruikersgegevens betreffende de machtigingsrelaties, inclusief de aanvragen daarvan, en profielgegevens;

    • 4°. de gebruiksgegevens, waaronder gegevens over het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD Machtigen is ingelogd op de website van DigiD Machtigen, handelingen van de gebruiker van DigiD Machtigen (inloggen, aanvragen, intrekken en activeren), de afnemer van DigiD Machtigen waarvoor de gebruiker van DigiD Machtigen is gemachtigd, alsmede het tijdstip waarop dit gebeurt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik;

    • 5°. gegevens die relevant zijn voor de adequate werking van de voorziening waaronder de kenmerken van de gebruikte software en hardware door de gebruiker van DigiD Machtigen;

    • 6°. gegevens noodzakelijk voor de ondersteuning van de gebruiker, waaronder het burgerservicenummer en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD Machtigen.

Artikel 4. Persoonsgegevens MijnOverheid

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van MijnOverheid de volgende persoonsgegevens:

  • a. over bezoekers van MijnOverheid: gegevens over de herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van MijnOverheid die relevant zijn voor de adequate werking en beveiliging van de voorziening;

  • b. over gebruikers van MijnOverheid:

    • 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om te bepalen of een natuurlijk persoon kwalificeert als gebruiker van MijnOverheid waarvoor de Berichtenbox beschikbaar moet kunnen zijn, en het adres;

    • 2°. het burgerservicenummer,

    • 3°. de accountgegevens, waaronder gegevens over het aanmaken en wijzigen van het MijnOverheid-account, het e-mailadres of ander kanaal waarop de gebruiker van MijnOverheid notificaties ontvangt, en gegevens over de verificatie daarvan, de schermnaam, en de door de gebruiker van MijnOverheid geselecteerde afnemer of afnemers van MijnOverheid ten aanzien van wie de gebruiker van MijnOverheid in de berichtenvoorkeuren van MijnOverheid kenbaar heeft gemaakt dat hij langs elektronische weg voldoende bereikbaar is voor het ontvangen van elektronische berichten in de Berichtenbox, meta-gegevens die horen bij berichten of zaaksgegevens, inloghistorie, en overige gegevens of wijzigingen daarvan die bij het account horen;

    • 4°. de gebruiksgegevens, waaronder gegevens over de navigatie en handelingen van de gebruiker van MijnOverheid in de voorziening, inclusief het opvragen, tonen of wijzigen van gegevens of het falen van functies, gegevens over de verzending van notificaties en het eventueel falen daarvan, en overige gegevens met betrekking op het soort, tijdstip en kenmerken van het gebruik;

    • 5°. gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder sessie-cookies, gegevens over de herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware;

    • 6°. gegevens noodzakelijk voor de ondersteuning van de gebruiker van MijnOverheid, waaronder het burgerservicenummer en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker;

  • c. over de vertegenwoordigde in MijnOverheid en de gemachtigde in MijnOverheid:

    • 1°. de naam en de geboortedatum van de vertegenwoordigde in MijnOverheid en de noodzakelijke gegevens om deze correct weer te geven aan de gemachtigde in MijnOverheid;

    • 2°. het burgerservicenummer van de vertegenwoordigde in MijnOverheid;

    • 3°. de gebruiksgegevens, waaronder gegevens over de verzending van notificaties en het eventueel falen daarvan, gegevens over de handelingen van de gemachtigde in MijnOverheid ten aanzien van de gegevens van de vertegenwoordigde in MijnOverheid, waaronder begrepen het wijzigen van gegevens, inclusief gegevens over het falen van functies, en overige gegevens met betrekking tot het soort, tijdstip en kenmerken van het gebruik;

    • 4°. wijzigingen van meta-gegevens van het bericht of de berichten waarop de machtiging betrekking heeft.

Artikel 5. Persoonsgegevens BSN-Koppelregister

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van het BSN-Koppelregister de volgende persoonsgegevens over de gebruiker van een privaat authenticatiemiddel, die dit middel wil gebruiken voor de afname van diensten van overheidsorganen en natuurlijke en rechtspersonen, niet zijnde overheidsorganen, die gerechtigd zijn het burgerservicenummer te gebruiken:

  • a. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum en de datum van overlijden;

  • b. het burgerservicenummer;

  • c. het uniek identificerende kenmerk op het private authenticatiemiddel;

  • d. de datum van registratie en eventuele deregistratie van de koppeling tussen het private authenticatiemiddel en het burgerservicenummer;

  • e. het tijdstip van inloggen bij de publieke dienstverlener.

Hoofdstuk 3. De verstrekking van persoonsgegevens

Artikel 6. Verstrekkingen in verband met DigiD

Onze Minister verstrekt aan de afnemers van DigiD:

  • a. het burgerservicenummer ten behoeve van de vaststelling van de identiteit van de gebruiker van DigiD;

  • b. het door de gebruiker van DigiD gekozen authenticatieniveau en het IP-adres.

Artikel 7. Verstrekkingen in verband met DigiD Machtigen

Onze Minister verstrekt op verzoek van afnemers van DigiD Machtigen:

  • a. een bewijs van geldigheid van een specifieke machtigingsregistratie voor diensten van de betreffende afnemer;

  • b. een overzicht van alle machtigingsaanvragen en machtigingsregistraties die voor diensten van de betreffende afnemer zijn afgegeven.

Artikel 8. Verstrekkingen in verband met MijnOverheid

Onze Minister verstrekt aan een afnemer van MijnOverheid:

  • a. het burgerservicenummer en, waar van toepassing, de status van de toepasselijke berichtenvoorkeur van de gebruiker van MijnOverheid, voorafgaand aan het aanleveren en ter bevestiging van het afleveren van berichten en gegevens, of het falen daarvan, ten behoeve van de werking van de diensten van MijnOverheid;

  • b. op verzoek van een afnemer die de Berichtenbox van MijnOverheid als verplicht kanaal voor elektronisch berichtenverkeer heeft aangewezen, informatie of een gebruiker van een MijnOverheid-account waarop de uitvoering van die taak betrekking heeft, zijn account wel of niet in gebruik heeft genomen en het bijbehorende burgerservicenummer.

Artikel 9. Verstrekkingen in verband met het BSN-Koppelregister

Onze Minister verstrekt het burgerservicenummer van de gebruiker van een privaat authenticatiemiddel, die dit middel wil gebruiken voor de afname van diensten door overheidsorganen en natuurlijke en rechtspersonen, niet zijnde overheidsorganen, die gerechtigd zijn het burgerservicenummer te gebruiken in versleutelde vorm aan de bedoelde overheidsorganen en natuurlijke en rechtspersonen, niet zijnde overheidsorganen of degenen die namens hen optreden.

Artikel 10. Overige verstrekkingen

Onverminderd het bepaalde in de artikelen 6 tot en met 9, verstrekt Onze Minister geen gegevens over een bezoeker of gebruiker van DigiD, DigiD Machtigen of MijnOverheid aan anderen dan de bezoeker of de gebruiker zelf zonder voorafgaande toestemming van de bezoeker of de gebruiker, tenzij:

  • a. het een verstrekking betreft aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van de betreffende voorziening, of

  • b. hij daartoe gerechtigd is op grond van een wettelijke bepaling.

Hoofdstuk 4. De bewaartermijn van persoonsgegevens

Artikel 11. Bewaartermijnen in verband met DigiD

  • 2 De naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om het ingezetenschap of niet-ingezetenschap in de basisregistratie personen vast te kunnen stellen en het adres, bedoeld in artikel 2, onderdeel c, onder 1°, worden maximaal 6 weken bewaard.

  • 3 De gebruiksgegevens, bedoeld in artikel 2, onderdeel c, onder 4°, worden maximaal 5 jaar bewaard, met dien verstande dat de sessiegegevens slechts worden bewaard tot het moment van uitloggen door de gebruiker.

  • 4 Een nummer dat ter identificatie van een persoon kan worden gebruikt als bedoeld in artikel 2, onderdeel c, onder 2°, wordt bewaard:

    • a. gedurende het aanvraagproces maximaal 18 maanden, of;

    • b. zo lang het bijbehorende DigiD geldig is, en zodra dat niet meer het geval is maximaal 5 jaar.

  • 5 De accountgegevens, bedoeld in artikel 2, onderdeel c, onder 3°, die nodig zijn voor het actuele gebruik van DigiD, zoals het actuele mobiele telefoonnummer en e-mailadres, de actuele gebruikersnaam, het actuele wachtwoord, het account-ID en de status van het account worden bewaard zo lang het bijbehorende DigiD geldig is, en zodra dat niet meer het geval is maximaal 5 jaar.

  • 7 De gegevens die relevant zijn voor de adequate werking van de voorziening, bedoeld in artikel 2, onderdeel c, onder 5°, worden bewaard zo lang de gebruiker van DigiD is ingelogd.

  • 8 De gegevens noodzakelijk voor de ondersteuning van de gebruiker, bedoeld in artikel 2, onderdeel c, onder 6°, worden bewaard voor de duur van de ondersteuning en daarna maximaal 18 maanden.

Artikel 12. Bewaartermijnen in verband met DigiD Machtigen

  • 1 De gegevens over bezoekers van DigiD Machtigen, bedoeld in artikel 3, onderdeel a, worden maximaal 18 maanden bewaard.

  • 2 De naam en de noodzakelijke gegevens om deze correct weer te geven, de datum van overlijden, het adres en de geboortedatum, bedoeld in artikel 3, onderdeel b, onder 1°, worden maximaal 6 weken bewaard.

  • 3 De gebruiksgegevens, bedoeld in artikel 3, onderdeel b, onder 4° en 5°, worden maximaal 5 jaar bewaard, met dien verstande dat de sessiegegevens slechts worden bewaard tot het moment van uitloggen door de gebruiker van DigiD Machtigen.

  • 4 Het burgerservicenummer wordt bewaard zo lang de bijbehorende machtigingsaanvraag dan wel machtigingsregistratie niet is beëindigd, en zodra die wel is beëindigd maximaal 5 jaar.

  • 5 De gebruikersgegevens, bedoeld in artikel 3, onderdeel b, onder 3°, worden bewaard zo lang machtigingsaanvraag dan wel machtigingsregistratie niet is beëindigd en zodra die wel is beëindigd maximaal 5 jaar.

  • 6 De gegevens noodzakelijk voor de ondersteuning van de gebruiker, bedoeld in artikel 3, onderdeel b, onder 6°, worden bewaard voor de duur van de ondersteuning en daarna maximaal 18 maanden.

Artikel 13. Bewaartermijnen in verband met MijnOverheid

  • 1 De gegevens over bezoekers van MijnOverheid, bedoeld in artikel 4, onderdeel a, worden maximaal 18 maanden bewaard.

  • 2 De gegevens over gebruikers van MijnOverheid, bedoeld in bedoeld in artikel 4, onderdeel b, onder 4° en 5°, worden maximaal 5 jaar bewaard, met dien verstande dat sessie cookies slechts worden bewaard tot het moment van uitloggen.

  • 3 De gegevens over een gebruiker van MijnOverheid en zijn MijnOverheid-account, bedoeld in artikel 4, onderdeel b, onder 1°, 2° en 3°, worden bewaard zolang het bijbehorende MijnOverheid-account bestaat, en zodra het account is opgeheven, maximaal 1 jaar, met uitzondering van de nationaliteit, de geboortedatum, de datum van overlijden en gegevens om te bepalen of een natuurlijk persoon kwalificeert als gebruiker van MijnOverheid waarvoor de Berichtenbox beschikbaar moet kunnen zijn, die bewaard blijven voor de duur van het aanmaak- of controleproces.

  • 4 De gegevens noodzakelijk voor de ondersteuning van de gebruiker, bedoeld in artikel 4, onderdeel b, onder 6°, worden bewaard voor de duur van de ondersteuning en daarna maximaal 18 maanden.

  • 5 De bewaartermijn van de gegevens over de vertegenwoordigde en de gemachtigde, bedoeld in artikel 4, onderdeel c, is als volgt:

    • a. de gegevens, bedoeld onder 1° en 2°, blijven bewaard tot het moment van uitloggen;

    • b. de gegevens, bedoeld onder 3°, blijven maximaal 5 jaar bewaard;

    • c. de gegevens, bedoeld onder 4°, blijven bewaard zo lang het MijnOverheid-account bestaat, en zodra dat account is opgeheven, maximaal 1 jaar.

  • 6 Voor de gegevens, bedoeld in artikel 4, die zijn betrokken bij of relevant zijn voor het onderzoek naar een incident waarbij integriteit, vertrouwelijkheid of beschikbaarheid van het systeem in het geding is, wordt de in het eerste, derde en vierde, en vijfde lid, onderdeel c, genoemde bewaartermijn van 18 maanden of 1 jaar verlengd tot 36 maanden.

Artikel 14. Bewaartermijnen in verband met het BSN-Koppelregister

De bewaartermijn van de gegevens, bedoeld in artikel 5, is als volgt:

  • a. naam, geboortedatum en datum van overlijden worden niet langer bewaard dan nodig is om de gegevens op juistheid te controleren;

  • b. het burgerservicenummer wordt maximaal 18 maanden na registratie van de koppeling bewaard;

  • c. het uniek identificerende kenmerk op het private authenticatiemiddel wordt maximaal 18 maanden na de registratie van de koppeling bewaard;

  • d. de datum van registratie en eventuele deregistratie van de koppeling wordt maximaal 18 maanden bewaard;

  • e. het tijdstip van inloggen bij de publieke dienstverlener wordt maximaal 18 maanden bewaard.

Artikel 15. Vernietiging na afloop bewaartermijn

Na het verstrijken van de bewaartermijn worden de gegevens zo spoedig mogelijk vernietigd.

Hoofdstuk 5. Slotbepalingen

Artikel 16

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin het wordt geplaatst en werkt terug tot en met 1 november 2015.

Artikel 17

Dit besluit wordt aangehaald als: Besluit verwerking persoonsgegevens generieke digitale infrastructuur.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

Wassenaar, 17 mei 2016

Willem-Alexander

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

R.H.A. Plasterk

Uitgegeven de zevenentwintigste mei 2016

De Minister van Veiligheid en Justitie,

G.A. van der Steur