Besluit digitale overheid

Wijziging(en) op nader te bepalen datum(s); laatste bekendgemaakt in 2023. Zie het overzicht van wijzigingen.
Geraadpleegd op 04-12-2024.
Geldend van 01-04-2024 t/m heden

Besluit van 17 mei 2016, houdende regels betreffende de verwerking van persoonsgegevens in de voorzieningen voor de generieke digitale infrastructuur DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister (Besluit verwerking persoonsgegevens generieke digitale infrastructuur)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 18 januari 2016, nr. 2016-0000023784 DCB/CZW/SB;

Gelet op artikel X, derde lid, van de Wet elektronisch berichtenverkeer Belastingdienst;

De Afdeling advisering van de Raad van State gehoord (advies van 8 april 2016, nr. No.W04.160008/I);

Gezien het nader rapport van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 10 mei 2016 nr. 2016-0000267641 BZK/CZW/SB;

Hebben goedgevonden en verstaan:

Hoofdstuk 1. Algemene bepalingen

Artikel 1. Begripsbepalingen

In dit besluit wordt verstaan onder:

  • afnemer van de bevoegdheidsverklaringsdienst: een bestuursorgaan dat of een aangewezen organisatie die in het kader van elektronische dienstverlening gebruik maakt van de bevoegdheidsverklaringsdienst;

  • afnemer van de gezagsmodule: een bestuursorgaan dat of aangewezen organisatie die bij de gezagsmodule een verzoek indient om een gezagsverklaring;

  • afnemer van DigiD en DigiD Machtigen: een bestuursorgaan dat of aangewezen organisatie die in het kader van elektronische dienstverlening gebruik maakt van DigiD respectievelijk DigiD Machtigen;

  • afnemer van de routeringsvoorziening: een bestuursorgaan dat of aangewezen organisatie die toegang wil verlenen tot elektronische diensten door middel van een toegelaten of erkend identificatiemiddel of door middel van machtiging;

  • afnemer van MijnOverheid: een bestuursorgaan dat of aangewezen organisatie die bij de uitoefening van zijn taak of bevoegdheid gebruik maakt van MijnOverheid;

  • beschikbaarheid: de mate waarin een informatiesysteem in bedrijf en toegankelijk is op het moment dat een organisatie het nodig heeft;

  • bevoegdheidsverklaring: een verklaring als bedoeld in artikel 7a;

  • bevoegdheidsverklaringsdienst: de door Onze Minister beheerde voorziening die aan afnemers van de bevoegdheidsverklaringsdienst een bevoegdheidsverklaring afgeeft over de vertegenwoordigingsbevoegdheid van een beoogd vertegenwoordiger;

  • bezoeker van MijnOverheid, DigiD of DigiD Machtigen: degene die MijnOverheid, DigiD of DigiD Machtigen bezoekt, maar niet inlogt of van wie de elektronische aanvraagprocedure voor een DigiD niet is voltooid;

  • BSN-Koppelregister: de voorziening, bedoeld in artikel 5, eerste lid, onder d, van de wet;

  • burgerservicenummer: het nummer, bedoeld in artikel 1, onderdeel b, van de Wet algemene bepalingen burgerservicenummer;

  • DigiD: de voorziening, bedoeld in artikel 5, eerste lid, onderdeel a, van de wet;

  • DigiD Machtigen: de voorziening voor elektronische registratie van machtigingen die bereikbaar is via het webadres machtigen.digid.nl;

  • eIDAS-voorziening: de voorziening, bedoeld in artikel 5, tweede lid, van de wet;

  • gebruiker van een bedrijfs- en organisatiemiddel: een onderneming of rechtspersoon als bedoeld in artikel 5 onderscheidenlijk 6 van de Handelsregisterwet 2007 of een op grond van artikel 8, aanhef en onderdeel a, van die wet aangewezen rechtspersoon, of een natuurlijke persoon die deze onderneming of rechtspersoon vertegenwoordigt, die een erkend bedrijfs- en organisatiemiddel heeft aangevraagd of de aanvraagprocedure voor dat middel heeft voltooid;

  • gebruiker van DigiD: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer en van wie de elektronische aanvraagprocedure voor een DigiD is voltooid;

  • gebruiker van DigiD Machtigen: de vertegenwoordiger, de vertegenwoordigde of een natuurlijke persoon of rechtspersoon, die gebruik maakt van de voorziening DigiD Machtigen;

  • gebruiker van MijnOverheid: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer, en voor wie een MijnOverheid-account beschikbaar is;

  • gemachtigde in MijnOverheid: een gebruiker van MijnOverheid of een rechtspersoon, die met een in DigiD Machtigen geregistreerde machtiging in MijnOverheid bepaalde berichten van de vertegenwoordigde in kan zien;

  • informatiebeveiliging/informatieveiligheid: het proces van vaststellen van de vereiste betrouwbaarheid van informatieverwerking en informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen, gericht op de toegang tot elektronische dienstverlening;

  • informatiesysteem: het geheel van gegevensverzamelingen, de daarbij behorende personen, procedures, processen en programmatuur alsmede de getroffen voorzieningen voor opslag, verwerking en communicatie ten behoeve van elektronische dienstverlening, waaronder de mobiele applicaties als onderdeel van elektronische dienstverlening;

  • integriteit/betrouwbaarheid: de mate waarin een organisatie zich voor zijn bedrijfs- en bestuursprocessen kan verlaten op zijn informatievoorziening;

  • gezagsmodule: de door Onze Minister beheerde module die een gezagsverklaring genereert en verstrekt;

  • gezagsverklaring: een verklaring als bedoeld in artikel 7b;

  • MijnOverheid: de voorziening die bereikbaar is via het webadres mijn.overheid.nl voor de dienst voor elektronisch berichtenverkeer de Berichtenbox, en de diensten voor informatieverschaffing Lopende Zaken, Persoonlijke gegevens en Algemene bekendmakingen, mededelingen en kennisgevingen;

  • MijnOverheid-account: het domein van een gebruiker van MijnOverheid op MijnOverheid;

  • notificatie: een attendering die met een e-mailbericht of via een ander kanaal aan de gebruiker van DigiD, DigiD Machtigen of MijnOverheid wordt verstuurd, teneinde hem te informeren over een bericht of wijziging;

  • Onze Minister: Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties;

  • overheidsorgaan: overheidsorgaan als bedoeld in artikel 1, onderdeel c, van de Wet algemene bepalingen burgerservicenummer;

  • persoonsgegevens: hetgeen daaronder wordt verstaan in artikel 4 onder 1 van de Algemene verordening gegevensbescherming;

  • risicomanagement: het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes;

  • routeringsvoorziening: de voorziening, bedoeld in artikel 5, eerste lid, onder c, van de wet;

  • Uitvoeringsverordening (EU) 2015/1502: Uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, derde lid, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (PbEU 2015, L235);

  • vertegenwoordigde: een natuurlijk persoon of rechtspersoon die zich ter behartiging van zijn belangen in het elektronisch verkeer met bestuursorganen en aangewezen organisaties laat vertegenwoordigen door een andere natuurlijke persoon of rechtspersoon;

  • vertegenwoordigde in MijnOverheid: een natuurlijk persoon die, met een in DigiD Machtigen geregistreerde machtiging, een gemachtigde in MijnOverheid toegang verleent tot zijn berichten voor zover deze vallen binnen de reikwijdte van de machtiging;

  • vertrouwelijkheid: de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden;

  • wet: de Wet digitale overheid;

  • vertegenwoordiger: de natuurlijke persoon of rechtspersoon die een andere natuurlijke persoon vertegenwoordigt bij elektronische dienstverlening door een bestuursorgaan of aangewezen organisatie.

Hoofdstuk 2. De verwerking van persoonsgegevens

Artikel 2. Persoonsgegevens DigiD

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD de volgende persoonsgegevens:

  • a. over bezoekers van DigiD: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD die relevant zijn voor de adequate werking en beveiliging van de voorziening;

  • b. over bezoekers van DigiD die een aanvraagprocedure zijn gestart, maar niet hebben voltooid, tevens het burgerservicenummer en de datum en tijd van de aanvraag en de reden waarom de aanvraag niet is gelukt;

  • c. over gebruikers van DigiD:

    • 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om het ingezetenschap of niet-ingezetenschap in de basisregistratie personen vast te kunnen stellen en het adres;

    • 2°. een nummer dat ter identificatie van een persoon kan worden gebruikt, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van DigiD, het nummer van een Nederlandse paspoort of van een Nederlandse ,identiteitskaart gegevens met betrekking tot het paspoort of de identiteitskaart, zoals de geldigheidsdata, en gegevens met betrekking tot het rijbewijs, zoals het documentnummer en de geldigheidsdata;

    • 3°. de accountgegevens, waaronder het mobiele of vaste telefoonnummer, de gekozen documentsoort voor elektronische identificatie, het soort apparaat waarmee op elektronische wijze gecommuniceerd kan worden met het Nederlands paspoort, de Nederlandse identiteitskaart of het Nederlands rijbewijs, de status en het betrouwbaarheidsniveau van het identificatiemiddel, het e-mailadres, de gebruikersnaam, een afgeleide vorm van het wachtwoord, een afgeleide vorm van de pincode, en overige gegevens die bij het account horen;

    • 4°. de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD is ingelogd, handelingen van de gebruiker, het door de gebruiker van DigiD gekozen betrouwbaarheidsniveau, de website van de instelling waar de gebruiker van DigiD een DigiD aanvraagt of vanuit welke de gebruiker van DigiD met DigiD inlogt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik, waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

    • 5°. gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder in ieder geval de kenmerken van de door de gebruiker van DigiD gebruikte software en hardware.

    • 6°. gegevens noodzakelijk voor de ondersteuning van de gebruiker of de administratie van DigiD, waaronder het burgerservicenummer en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD.

    • 7°. gegevens afkomstig van de chip van het Nederlandse paspoort of de Nederlandse identiteitskaart waarmee de gebruiker van DigiD heeft ingelogd ter authenticatie:

      • documentcode van het paspoort of de identiteitskaart;

      • uitgevende staat of organisatie van het paspoort of de identiteitskaart;

      • naam van de houder;

      • documentnummer van het paspoort of de identiteitskaart;

      • nationaliteit van de houder;

      • geboortedatum van de houder;

      • geslacht van de houder;

      • geldigheidsdata van het paspoort of de identiteitskaart;

      • burgerservicenummer.

    • 8°. gegevens afkomstig van de chip van het Nederlandse rijbewijs waarmee de gebruiker van DigiD heeft ingelogd ter authenticatie:

      • documentcode van het rijbewijs;

      • documentnummer van het rijbewijs.

    • 9°. gegevens genoemd in artikel 5d die noodzakelijk zijn voor de elektronische identificatie ter zake van grensoverschrijdende elektronische dienstverlening binnen de Europese Unie welke plaatsvindt door tussenkomst van de eIDAS-voorziening.

  • d. over afnemers van DigiD: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van DigiD, waaronder de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van DigiD en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 3. Persoonsgegevens DigiD Machtigen

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD Machtigen de volgende persoonsgegevens:

  • a. over bezoekers van DigiD Machtigen: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD Machtigen die relevant zijn voor de adequate werking en beveiliging van de voorziening;

  • b. over gebruikers van DigiD Machtigen:

    • 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de reden voor de opschorting van de persoonslijst in de basisregistratie personen, het adres en van de vertegenwoordigde tevens de geboortedatum;

    • 2°. het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van DigiD Machtigen of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon, alsmede de authenticatieverklaring indien beschikbaar;

    • 3°. gebruikersgegevens betreffende de machtigingsrelaties, inclusief de aanvragen daarvan, en profielgegevens;

    • 4°. de gebruiksgegevens, waaronder gegevens over het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD Machtigen is ingelogd op de website van DigiD Machtigen, handelingen van de gebruiker van DigiD Machtigen (inloggen, aanvragen, intrekken en activeren), de betrokken dienst, en de afnemer van DigiD Machtigen waarvoor de gebruiker van DigiD Machtigen is gemachtigd, alsmede het tijdstip waarop dit gebeurt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik, waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

    • 5°. gegevens die relevant zijn voor de adequate werking van de voorziening waaronder de kenmerken van de gebruikte software en hardware door de gebruiker van DigiD Machtigen;

    • 6°. gegevens noodzakelijk voor de ondersteuning van de gebruiker, waaronder het burgerservicenummer, notificatiegegevens waaronder het voorkeurskanaal, en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD Machtigen.

  • c. over afnemers van DigiD Machtigen: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van DigiD Machtigen, waaronder de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van DigiD Machtigen en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 3a. Persoonsgegevens bevoegdheidsverklaringsdienst

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de bevoegdheidsverklaringsdienst de volgende persoonsgegevens over:

  • a. de beoogd vertegenwoordiger waarvoor een bevoegdheidsverklaring wordt gevraagd:

    • 1. de naam en de noodzakelijke gegevens om deze correct weer te geven;

    • 2. een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan, of het door de Kamer van Koophandel bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon;

    • 3. de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de beoogd vertegenwoordiger is ingelogd, handelingen van de beoogd vertegenwoordiger, het door die persoon gebruikte identificatiemiddel en betrouwbaarheidsniveau, de website van de organisatie waar de beoogd vertegenwoordiger een middel heeft aangevraagd of vanuit welke de authenticatie van de identiteit van deze persoon wordt uitgevoerd, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

    • 4. de dienst waar de beoogd vertegenwoordiger gebruik van wil maken en de naam van de afnemer van de bevoegdheidsverklaringsdienst;

    • 5. het gegeven dat de gebruiker voor een ander in wil loggen;

    • 6. de aard van de bevoegdheid van de beoogd vertegenwoordiger om te handelen namens de beoogd vertegenwoordigde;

  • b. de beoogd vertegenwoordigde voor wie een bevoegdheidsverklaring wordt gevraagd:

    • 1. de naam en de noodzakelijke gegevens om deze correct weer te geven en de geboortegegevens of eventueel datum van overlijden;

    • 2. een nummer dat ter identificatie van de vertegenwoordigde kan worden gebruikt of tot de vertegenwoordigde kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan;

  • c. afnemers van de bevoegdheidsverklaringsdienst: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van de bevoegdheidsverklaringsdienst, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van de bevoegdheidsverklaringsdienst en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 3b. Persoonsgegevens gezagsmodule

  • 1 Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de gezagsmodule, voor het opstellen van een verklaring als bedoeld in artikel 7b, onderdeel a, de volgende persoonsgegevens over:

    • a. de beoogd vertegenwoordiger waarvoor een gezagsverklaring wordt gevraagd:

      • 1. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortegegevens en, in voorkomend geval, de reden voor de opschorting van de verwerking van de gegevens op de persoonslijst in de basisregistratie personen;

      • 2. een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon;

      • 3. de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de beoogd vertegenwoordiger is ingelogd, handelingen van de beoogd vertegenwoordiger, het door die persoon gebruikte identificatiemiddel en betrouwbaarheidsniveau, de website van de organisatie waar de beoogd vertegenwoordiger een middel heeft aangevraagd of vanuit welke de authenticatie van de identiteit van deze persoon wordt uitgevoerd, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

      • 4. gegevens ter vaststelling van de familierechtelijke betrekkingen van de beoogd vertegenwoordiger met de beoogd vertegenwoordigde;

      • 5. gegevens over de inschrijving van de beoogd vertegenwoordiger in de Basisregistratie personen, bedoeld in artikel 1.2 van de Wet basisregistratie personen;

      • 6. gegevens betreffende eventuele beperkingen van de handelingsbevoegdheid van de beoogd vertegenwoordiger;

      • 7. gegevens betreffende de ouderlijk gezagsrelatie tussen de beoogd vertegenwoordiger en de beoogd vertegenwoordigde;

      • 8. de dienst en de naam van de dienstaanbieder waar de beoogd vertegenwoordiger gebruik van wil maken;

      • 9. de aard van de bevoegdheid van de beoogd vertegenwoordiger om te handelen namens de beoogd vertegenwoordigde;

    • b. de huwelijkspartner of geregistreerd partner van de beoogd vertegenwoordiger waarvoor een gezagsverklaring wordt gevraagd:

      • 1. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortegegevens en, in voorkomend geval, de reden voor de opschorting van de verwerking van de gegevens op de persoonslijst in de basisregistratie personen;

      • 2. een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon;

    • c. de beoogd vertegenwoordigde waarvoor een gezagsverklaring wordt gevraagd:

      • 1. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortegegevens en, in voorkomend geval de reden voor de opschorting van de verwerking van de gegevens op de persoonslijst in de basisregistratie personen;

      • 2. een nummer dat ter identificatie van een persoon kan worden gebruik of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon;

      • 3. gegevens betreffende de familierechtelijke betrekkingen van de beoogd vertegenwoordigde met de beoogd vertegenwoordiger;

      • 4. gegevens betreffende de inschrijving van de beoogd vertegenwoordigde in de Basisregistratie personen, bedoeld in artikel 1.2 van de Wet basisregistratie personen;

      • 5. gegevens betreffende de ouderlijk gezagsrelatie tussen de beoogd vertegenwoordiger en de beoogd vertegenwoordigde.

  • 2 Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de gezagsmodule voor het verstrekken van een verklaring als bedoeld in artikel 7b, onderdeel b, de volgende persoonsgegevens over:

    • a. de persoon waarop het verzoek ziet:

      • 1. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortegegevens en de reden voor de opschorting van de verwerking van de gegevens op de persoonslijst in de basisregistratie personen;

      • 2. een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon;

      • 3. gegevens over de familierechtelijke betrekkingen van de persoon waarop het verzoek ziet, voor zover deze relevant zijn om ouderlijk gezag vast te stellen;

      • 4. gegevens betreffende de inschrijving van de desbetreffende persoon in de Basisregistratie personen, bedoeld in artikel 1.2 van de Wet basisregistratie personen;

      • 5. gegevens betreffende de ouderlijk gezagsrelatie tussen de persoon waarop het verzoek ziet en leden van de familie van die persoon;

    • b. een persoon waarmee de persoon waarop het verzoek ziet een ouderlijk gezagsrelatie heeft;

      • 1. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortegegevens en de reden voor de opschorting van de verwerking van de gegevens op de persoonslijst in de basisregistratie personen;

      • 2. een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon;

      • 3. gegevens over de familierechtelijke betrekkingen van de persoon waarop het verzoek ziet, voor zover deze relevant zijn om ouderlijk gezag vast te stellen;

      • 4. gegevens betreffende de inschrijving van de desbetreffende persoon in de Basisregistratie personen, bedoeld in artikel 1.2 van de Wet basisregistratie personen;

      • 5. gegevens betreffende eventuele beperkingen van de handelingsbevoegdheid van de desbetreffende persoon;

      • 6. gegevens betreffende de ouderlijk gezagsrelatie tussen de desbetreffende persoon en de persoon waarop het verzoek ziet;

    • c. afnemers van de gezagsmodule: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van de gezagsmodule, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van de bevoegdheidsverklaringsdienst en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 4. Persoonsgegevens MijnOverheid

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van MijnOverheid de volgende persoonsgegevens:

  • a. over bezoekers van MijnOverheid: gegevens over de herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van MijnOverheid die relevant zijn voor de adequate werking en beveiliging van de voorziening;

  • b. over gebruikers van MijnOverheid:

    • 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om te bepalen of een natuurlijk persoon kwalificeert als gebruiker van MijnOverheid waarvoor de Berichtenbox beschikbaar moet kunnen zijn, en het adres;

    • 2°. het burgerservicenummer of versleutelde vorm daarvan ter identificatie van de gebruiker van MijnOverheid;

    • 3°. de accountgegevens, waaronder gegevens over het aanmaken en wijzigen van het MijnOverheid-account, het e-mailadres of ander kanaal waarop de gebruiker van MijnOverheid notificaties ontvangt, en gegevens over de verificatie daarvan, de schermnaam, en de door de gebruiker van MijnOverheid geselecteerde afnemer of afnemers van MijnOverheid ten aanzien van wie de gebruiker van MijnOverheid in de berichtenvoorkeuren van MijnOverheid kenbaar heeft gemaakt dat hij langs elektronische weg voldoende bereikbaar is voor het ontvangen van elektronische berichten in de Berichtenbox, meta-gegevens die horen bij berichten of zaaksgegevens, en overige gegevens of wijzigingen daarvan die bij het account horen;

    • 4°. de gebruiksgegevens, waaronder gegevens over de navigatie en handelingen van de gebruiker van MijnOverheid in de voorziening, inclusief het opvragen, tonen of wijzigen van gegevens of het falen van functies, gegevens over de verzending van notificaties en het eventueel falen daarvan, inloghistorie en overige gegevens met betrekking op het soort, tijdstip en kenmerken van het gebruik;

    • 5°. gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder sessie-cookies, gegevens over de herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware;

    • 6°. gegevens noodzakelijk voor de ondersteuning bij het veilige en betrouwbare gebruik van MijnOverheid, waaronder het burgerservicenummer, gegevens in het bericht van de afnemer of in een andere functionaliteit van MijnOverheid die de afnemer afneemt en gegevens die worden verwerkt bij de ondersteuning van de gebruiker, zoals de relevante BRP-gegevens en gegevens met betrekking tot het soort apparaat waarmee op elektronische wijze gecommuniceerd kan worden;

    • 7°. gegevens noodzakelijk voor de dienst Algemene bekendmakingen, mededelingen en kennisgevingen, waaronder het burgerservicenummer, de geboortedatum, het actuele adres van de gebruiker en het e-mailadres;

    • 8°. gegevens noodzakelijk voor de dienst Persoonlijke gegevens, waaronder de gegevens genoemd onder 1°, het burgerservicenummer en overige gegevens waarin inzage kan worden verleend via deze dienst;

  • c. over de vertegenwoordigde in MijnOverheid en de gemachtigde in MijnOverheid:

    • 1°. de naam en de geboortedatum van de vertegenwoordigde in MijnOverheid en de noodzakelijke gegevens om deze correct weer te geven aan de gemachtigde in MijnOverheid;

    • 2°. het burgerservicenummer van de vertegenwoordigde in MijnOverheid;

    • 3°. de gebruiksgegevens, waaronder gegevens over de verzending van notificaties en het eventueel falen daarvan, gegevens over de handelingen van de gemachtigde in MijnOverheid ten aanzien van de gegevens van de vertegenwoordigde in MijnOverheid, waaronder begrepen het wijzigen van gegevens, inclusief gegevens over het falen van functies, en overige gegevens met betrekking tot het soort, tijdstip en kenmerken van het gebruik;

    • 4°. wijzigingen van meta-gegevens van het bericht of de berichten waarop de machtiging betrekking heeft;

    • 5°. gegevens noodzakelijk voor de ondersteuning bij het veilige en betrouwbare gebruik van MijnOverheid, waaronder het burgerservicenummer, gegevens in het bericht van de afnemer of in een andere functionaliteit van MijnOverheid die de afnemer afneemt en gegevens die worden verwerkt bij de ondersteuning van de gebruiker.

  • d. over afnemers van MijnOverheid: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van MijnOverheid, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van MijnOverheid en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 5. Persoonsgegevens BSN-Koppelregister

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van het BSN-Koppelregister de volgende persoonsgegevens:

  • a. over de gebruiker van een toegelaten privaat of publiek identificatiemiddel, erkend bedrijfs- of organisatiemiddel of machtiging die elektronische diensten wil afnemen:

    • 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum en de datum van overlijden;

    • 2°. het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van een toegelaten privaat of publiek identificatiemiddel, bedrijfs- of organisatiemiddel of machtiging of het uniek identificerend nummer of een afgeleide vorm daarvan ingeval van authenticatie buiten Nederland en binnen de EU;

    • 3°. de datum van totstandkoming en het niet langer gebruiken van de koppeling tussen het toegelaten private of publieke identificatiemiddel, bedrijfs- of organisatiemiddel of machtiging en de afgeleide vorm van het burgerservicenummer of het uniek identificerend nummer ter identificatie van de gebruiker;

    • 4°. statusgegevens van de aan de gebruiker gekoppelde middelen;

  • b. over afnemers van het BSN-Koppelregister: administratieve gegevens noodzakelijk in verband met het gebruik van het BSN-Koppelregister, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van het BSN-koppelregister en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 5a. Persoonsgegevens routeringsvoorziening

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking en betrouwbaarheid van de routeringsvoorziening de volgende persoonsgegevens over:

  • a. de gebruiker van een toegelaten publiek of privaat identificatiemiddel of erkend bedrijfs- of organisatiemiddel, die dit middel wil gebruiken in het kader van elektronische dienstverlening:

    • 1°. de voornaam, achternaam, geboortedatum, geboortenaam, geboorteplaats, actueel adres en geslacht, in voorkomend geval in versleutelde vorm;

    • 2°. een nummer dat ter identificatie van een persoon kan worden gebruikt of tot een persoon kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan en het afgeleide uniek identificerend nummer in geval van authenticatie buiten Nederland en binnen de EU;

    • 3°. de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker is ingelogd, handelingen van de gebruiker, het door de gebruiker gebruikte identificatiemiddel en betrouwbaarheidsniveau, de website van de organisatie waar de gebruiker een middel aanvraagt of vanuit welke de gebruiker inlogt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

  • b. de vertegenwoordigde in het geval van machtiging: een nummer dat ter identificatie van de vertegenwoordigde kan worden gebruikt of tot de vertegenwoordigde kan worden herleid, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan;

  • c. afnemers van de routeringsvoorziening: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van de routeringsvoorziening, waaronder, indien van toepassing, de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van de routeringsvoorziening en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 5b. Persoonsgegevens privaat identificatiemiddel en - diensten

[Treedt in werking op een nader te bepalen tijdstip]

Dit onderdeel is (nog) niet in werking getreden; zie het overzicht van wijzigingen

Artikel 5c. Persoonsgegevens bedrijfs- en organisatiemiddel en - diensten

[Treedt in werking op een nader te bepalen tijdstip]

Dit onderdeel is (nog) niet in werking getreden; zie het overzicht van wijzigingen

Artikel 5d. Persoonsgegevens eIDAS-voorziening

  • 1 Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking en beveiliging van de eIDAS-voorziening de volgende persoonsgegevens over de gebruiker van een toegelaten of erkend identificatiemiddel die dit middel wil gebruiken in het kader van elektronische dienstverlening:

    • a. naam en de noodzakelijke gegevens om deze correct weer te geven;

    • b. geboortedatum;

    • c. uniek identificerend nummer of een afgeleide vorm daarvan;

    • d. de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van een toegelaten of erkend identificatiemiddel is ingelogd, handelingen van de gebruiker, het door de gebruiker gekozen betrouwbaarheidsniveau, de website vanuit welke de gebruiker inlogt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

    • e. gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder in ieder geval de EU-landkeuze van de gebruiker en de status van de koppeling tussen het burgerservicenummer en het uniek identificerend nummer;

    • f. burgerservicenummer of een versleutelde of afgeleide vorm daarvan.

  • 2 Indien geen zekerheid omtrent uniciteit kan worden verkregen, verwerkt Onze Minister tevens de volgende gegevens:

    • a. geboortenaam en de noodzakelijke gegevens om deze correct weer te geven;

    • b. geboorteplaats;

    • c. geslacht;

    • d. adres.

Artikel 5e. Doelbinding

De gegevens als bedoeld in de artikelen 2, 3 en 5 tot en met 5d worden niet gebruikt voor andere doeleinden dan de goede werking van identificatiemiddelen en de goede en veilige toegang met die middelen of via machtiging tot elektronische dienstverlening.

Artikel 5f. Persoonsgegevens misbruik en oneigenlijk gebruik

Onze Minister kan de volgende gegevens verwerken, indien dit noodzakelijk is voor het waarborgen van de veilige toegang tot en de werking van de elektronische dienstverlening en het voorkomen van misbruik of oneigenlijk gebruik van de toegang tot elektronische dienstverlening:

  • a. de gegevens, bedoeld in de artikelen 2 tot en met 5d, die verwerkt worden voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de voorzieningen van de generieke digitale infrastructuur;

  • b. de gegevens en inlichtingen, bedoeld in artikel 19 van de wet, die verstrekt worden door de bestuursorganen en aangewezen organisaties, aanbieders van een toegelaten identificatiemiddel en op grond van artikel 11 van de wet erkende middelenuitgevers en diensten;

  • c. de uit onderzoek voortgekomen persoonsgegevens, met inbegrip van openbaar toegankelijke persoonsgegevens en persoonsgegevens die door derden aan Onze Minister verstrekt zijn.

Hoofdstuk 3. De verstrekking van persoonsgegevens

Artikel 6. Verstrekkingen in verband met DigiD

  • 1 Onze Minister verstrekt aan de afnemers van DigiD, aan de eIDAS-voorziening en aan een routeringsvoorziening:

    • a. het burgerservicenummer, of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van DigiD, ten behoeve van de vaststelling van de identiteit van de gebruiker van DigiD;

    • b. het door de gebruiker van DigiD gekozen betrouwbaarheidsniveau en het IP-adres;

    • c. de naam en de noodzakelijke gegevens om deze correct weer te geven, het uniek identificerend nummer ingeval van authenticatie buiten Nederland en de geboortedatum van de gebruiker van DigiD ten behoeve van de elektronische identificatie ter zake van grensoverschrijdende elektronische dienstverlening binnen de Europese Unie welke plaatsvindt door tussenkomst van de eIDAS-voorziening.

  • 2 Onze minister verstrekt aan erkende diensten als bedoeld in artikel 9, tweede lid, of artikel 11, tweede lid, van de wet:

    • a. het burgerservicenummer, of een versleutelde vorm daarvan ter identificatie van de gebruiker van DigiD, ten behoeve van het bewijs en de verificatie van de identiteit van een gebruiker van DigiD bij een aanvraag voor een identificatiemiddel als bedoeld in paragraaf 2.1. van de bijlage bij Uitvoeringsverordening (EU) 2015/1502;

    • b. het door de gebruiker van DigiD gekozen betrouwbaarheidsniveau en het IP-adres.

Artikel 7. Verstrekkingen in verband met DigiD Machtigen

Onze Minister verstrekt op verzoek van afnemers van DigiD Machtigen:

  • a. een bewijs van geldigheid van een specifieke machtigingsregistratie voor diensten van de betreffende afnemer;

  • b. een overzicht van alle machtigingsaanvragen en machtigingsregistraties die voor diensten van de betreffende afnemer zijn afgegeven.

Artikel 7a. Verstrekkingen in verband met de bevoegdheidsverklaringsdienst

Onze Minister verstrekt:

  • a. op verzoek van afnemers van de bevoegdheidsverklaringsdienst aan die afnemers een verklaring over de bevoegdheid van een beoogd vertegenwoordiger om te handelen namens een beoogd vertegenwoordigde of een bericht zonder deze informatie, wanneer een bevoegdheid om te handelen namens de beoogd vertegenwoordigde niet is vastgesteld;

  • b. aan de gezagsmodule uit de bevoegdheidsverklaringsdienst ter verkrijging van een gezagsverklaring:

    • 1. het burgerservicenummer van de beoogd vertegenwoordiger en de beoogd vertegenwoordigde; en

    • 2. de dienst en de naam van de dienstaanbieder waar de beoogd vertegenwoordiger gebruik van wil maken.

Artikel 7b. Verstrekkingen in verband met de gezagsmodule

Onze Minister verstrekt uit de gezagsmodule:

  • a. aan de bevoegdheidsverklaringsdienst, indien sprake is van een ouderlijk gezagsrelatie tussen de beoogd vertegenwoordiger en de beoogd vertegenwoordigde:

    • 1. het burgerservicenummer van de beoogd vertegenwoordiger en de beoogd vertegenwoordigde; en

    • 2. een bevestiging van het bestaan van een ouderlijk gezagsrelatie tussen de beoogd vertegenwoordiger en de beoogd vertegenwoordigde;

  • b. op verzoek van een afnemer van de gezagsmodule aan die afnemer:

    • 1. een overzicht van de burgerservicenummers van de personen met ouderlijk gezag over de persoon waarop het verzoek ziet;

    • 2. een overzicht van de burgerservicenummers van de personen waarover de persoon waarop het verzoek ziet ouderlijk gezag heeft; of

    • 3. indien sprake is van een ouderlijk gezagsrelatie tussen de personen waarop het verzoek ziet, een bevestiging van het bestaan van die ouderlijk gezagsrelatie en het soort ouderlijk gezag onder vermelding van de burgerservicenummers van die personen.

Artikel 8. Verstrekkingen in verband met MijnOverheid

Onze Minister verstrekt aan een afnemer van MijnOverheid:

  • a. het burgerservicenummer, waar van toepassing de status van de toepasselijke berichtenvoorkeur van de gebruiker van MijnOverheid, voorafgaand aan het aanleveren en ter bevestiging van het afleveren van berichten en gegevens, of het falen daarvan, ten behoeve van de werking van de diensten van MijnOverheid, en op verzoek van een afnemer informatie over het openen van een bericht door de gebruiker van MijnOverheid, teneinde de gebruiker te attenderen op een eerder aan hem gezonden bericht;

  • b. op verzoek van een afnemer die de Berichtenbox van MijnOverheid als verplicht kanaal voor elektronisch berichtenverkeer heeft aangewezen, informatie of een gebruiker van een MijnOverheid-account waarop de uitvoering van die taak betrekking heeft, zijn account wel of niet in gebruik heeft genomen en het bijbehorende burgerservicenummer;

  • c. op verzoek van een afnemer, informatie of voor een gebruiker van MijnOverheid een emailadres of ander kanaal is verwerkt waarop die gebruiker van MijnOverheid notificaties ontvangt als bedoeld in artikel 4, onderdeel b, subonderdeel 3°, en het bijbehorende burgerservicenummer;

  • c. op verzoek van een afnemer inlichtingen die benodigd zijn om aflevering van een bericht te kunnen bevestigen;

  • d. op verzoek van een afnemer, gegevens over het ontvangen door een gebruiker van een notificatie over een bericht waarop het verzoek ziet of het eventueel falen daarvan, de bijbehorende datum en de tijd en het bijbehorende burgerservicenummer.

Artikel 9. Verstrekkingen in verband met het BSN-Koppelregister

Onze Minister verstrekt uit het BSN-koppelregister:

  • a. het burgerservicenummer in versleutelde of afgeleide vorm van de gebruiker van een toegelaten privaat of publiek identificatiemiddel of een erkend bedrijfs- of organisatiemiddel die dit nummer wil gebruiken in het kader van elektronische dienstverlening door bestuursorganen of aangewezen organisaties aan de routeringsvoorziening, DigiD, de erkende authenticatiedienst, of de erkende machtigingsdienst;

  • b. het uniek identificerend nummer in afgeleide vorm aan de eIDAS-voorziening.

Artikel 9a. Verstrekkingen in verband met de routeringsvoorziening

Onze Minister verstrekt de voornaam, achternaam, geboortedatum, het burgerservicenummer, een afgeleide vorm van het uniek identificerend nummer in geval van authenticatie buiten Nederland, geboortenaam, geboorteplaats, actueel adres en geslacht en het gebruikte betrouwbaarheidsniveau van de gebruiker van een toegelaten privaat of publiek identificatiemiddel die dit middel gebruikt in het kader van elektronische dienstverlening door bestuursorganen of aangewezen organisaties, en het burgerservicenummer van de vertegenwoordigde zo mogelijk in versleutelde of afgeleide vorm aan de bedoelde bestuursorganen of aangewezen organisaties.

Artikel 9b. Verstrekkingen in verband met een privaat identificatiemiddel

[Treedt in werking op een nader te bepalen tijdstip]

Dit onderdeel is (nog) niet in werking getreden; zie het overzicht van wijzigingen

Artikel 9c. Verstrekkingen in verband met een bedrijfs- en organisatiemiddel

[Treedt in werking op een nader te bepalen tijdstip]

Dit onderdeel is (nog) niet in werking getreden; zie het overzicht van wijzigingen

Artikel 9d. Verstrekkingen in verband met de eIDAS-voorziening

Onze Minister verstrekt uit de eIDAS-voorziening:

  • a. aan het BSN-Koppelregister van de gebruiker van een toegelaten of erkend identificatiemiddel die dit middel wil gebruiken in het kader van elektronische dienstverlening het burgerservicenummer en de afgeleide vorm hiervan, en aan een routeringsvoorziening in de zin van artikel 1 van de wet het burgerservicenummer in versleutelde vorm en het uniek identificerend nummer in afgeleide vorm;

  • b. aan een routeringsvoorziening ten behoeve van bestuursorganen of aangewezen organisaties: de naam en de noodzakelijke gegevens om deze correct weer te geven, geboortedatum, geboorteplaats, adres en geslacht in versleutelde vorm van de gebruiker van een toegelaten of erkend identificatiemiddel die dit middel wil gebruiken in het kader van elektronische dienstverlening;

  • c. bij grensoverschrijdende authenticatie het uniek identificerend nummer en indien beschikbaar het burgerservicenummer aan het BSN-Koppelregister en een afgeleide vorm daarvan aan bestuursorganen of aangewezen organisaties in het kader van elektronische dienstverlening.

  • d. bij grensoverschrijdende authenticatie het van het burgerservicenummer afgeleide uniek identificerend nummer, de naam en de noodzakelijke gegevens om deze correct weer te geven, geboortedatum, geboorteplaats, adres en geslacht aan de betreffende andere lidstaat.

Artikel 10. Overige verstrekkingen

Onverminderd het bepaalde in de artikelen 6 tot en met 9d, verstrekt Onze Minister geen gegevens over een bezoeker of gebruiker van de in de artikelen 2 tot en met 5d genoemde voorzieningen en middelen of de uit onderzoek voortgekomen gegevens, bedoeld in artikel 5f, onderdeel c, aan anderen dan de bezoeker of de gebruiker zelf zonder voorafgaande toestemming van de bezoeker of de gebruiker, tenzij:

  • a. het een verstrekking betreft aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van de betreffende voorziening, of

  • b. hij daartoe gerechtigd is op grond van een wettelijke bepaling.

Hoofdstuk 4. De bewaartermijn van persoonsgegevens

Artikel 11. Bewaartermijnen in verband met DigiD

  • 2 De naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om het ingezetenschap of niet-ingezetenschap in de basisregistratie personen vast te kunnen stellen en het adres, bedoeld in artikel 2, onderdeel c, onder 1°, worden maximaal 6 weken bewaard.

  • 3 De gebruiksgegevens, bedoeld in artikel 2, onderdeel c, onder 4°, worden maximaal 5 jaar bewaard, met dien verstande dat de sessiegegevens slechts worden bewaard tot het moment van uitloggen door de gebruiker.

  • 4 Een nummer dat ter identificatie van een persoon kan worden gebruikt als bedoeld in artikel 2, onderdeel c, onder 2°, wordt bewaard:

    • a. gedurende het aanvraagproces maximaal 18 maanden, of;

    • b. zo lang het bijbehorende DigiD geldig is, en zodra dat niet meer het geval is maximaal 5 jaar.

  • 5 De accountgegevens, bedoeld in artikel 2, onderdeel c, onder 3°, die nodig zijn voor het actuele gebruik van DigiD, zoals het actuele en historische mobiele of vaste telefoonnummer en e-mailadres, de actuele gebruikersnaam, het actuele wachtwoord, het account-ID, de status van het account, de gekozen documentsoort voor elektronische identificatie en het soort apparaat waarmee op elektronische wijze gecommuniceerd kan worden met het Nederlands paspoort, de Nederlandse identiteitskaart of het Nederlands rijbewijs, de status van het identificatiemiddel worden bewaard zo lang het bijbehorende DigiD geldig is, en zodra dat niet meer het geval is maximaal 5 jaar.

  • 7 De gegevens die relevant zijn voor de adequate werking van de voorziening, bedoeld in artikel 2, onderdeel c, onder 5°, worden bewaard zo lang de gebruiker van DigiD is ingelogd.

  • 8 De gegevens noodzakelijk voor de ondersteuning van de gebruiker en de administratie van DigiD, bedoeld in artikel 2, onderdeel c, onder 6°, worden bewaard voor de duur van de ondersteuning en daarna maximaal 18 maanden.

  • 9 De gegevens afkomstig van de chip van het Nederlands paspoort, het Nederlandse identiteitsbewijs of het Nederlandse rijbewijs, bedoeld in artikel 2, onderdeel c, onder 7° en 8°, worden bewaard zolang de sessie duurt.

  • 10 De eIDAS gegevens, bedoeld in artikel 2, onderdeel c, onder 9°, worden maximaal 2 jaar bewaard, met uitzondering van uniek identificerende nummers, burgerservicenummers en de versleutelde vormen daarvan, welke maximaal vijf jaar worden bewaard.

  • 11 De gegevens over afnemers van DigiD, bedoeld in artikel 2, onderdeel d, worden bewaard voor de duur van het gebruik door de afnemer van DigiD, en daarna maximaal vijf jaar.

  • 12 Een reservekopie van alle in dit artikel genoemde gegevens wordt maximaal vier maanden bewaard nadat de bewaartermijnen bedoeld in de andere leden van dit artikel zijn verlopen.

Artikel 12. Bewaartermijnen in verband met DigiD Machtigen

  • 1 De gegevens over bezoekers van DigiD Machtigen, bedoeld in artikel 3, onderdeel a, worden maximaal 18 maanden bewaard.

  • 2 De naam en de noodzakelijke gegevens om deze correct weer te geven, de reden voor de opschorting van de persoonslijst in de basisregistratie personen, het adres en de geboortedatum, bedoeld in artikel 3, onderdeel b, onder 1°, worden maximaal 6 weken bewaard.

  • 3 De gebruiksgegevens, bedoeld in artikel 3, onderdeel b, onder 4° en 5°, worden maximaal 5 jaar bewaard, met dien verstande dat de sessiegegevens slechts worden bewaard tot het moment van uitloggen door de gebruiker van DigiD Machtigen.

  • 4 Het burgerservicenummer of het door de Kamer van Koophandel, genoemd in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon wordt bewaard zo lang de bijbehorende machtigingsaanvraag dan wel machtigingsregistratie niet is beëindigd, en zodra die wel is beëindigd maximaal 5 jaar.

  • 5 De gebruikersgegevens, bedoeld in artikel 3, onderdeel b, onder 3°, worden bewaard zo lang machtigingsaanvraag dan wel machtigingsregistratie niet is beëindigd en zodra die wel is beëindigd maximaal 5 jaar.

  • 6 De gegevens noodzakelijk voor de ondersteuning van de gebruiker, bedoeld in artikel 3, onderdeel b, onder 6°, worden bewaard voor de duur van de ondersteuning en daarna maximaal 18 maanden.

  • 7 De gegevens over afnemers van DigiD Machtigen, bedoeld in artikel 3, onderdeel c, worden bewaard voor de duur van het gebruik door de afnemer van DigiD Machtigen, en daarna maximaal vijf jaar.

  • 8 Een reservekopie van alle in dit artikel genoemde gegevens wordt maximaal vier maanden bewaard.

Artikel 12a. Bewaartermijnen in verband met de bevoegdheidsverklaringsdienst

  • 1 De gegevens bedoeld in artikel 3a worden niet langer bewaard dan de duur van de sessie.

  • 2 In afwijking van het eerste lid worden de gebruiksgegevens, bedoeld in artikel 3a, onderdeel a, onder 3, maximaal 5 jaar bewaard, met uitzondering van de sessiegegevens, die slechts worden bewaard tot het moment van uitloggen door de gebruiker.

  • 3 In afwijking van het eerste lid worden de gegevens over afnemers, bedoeld in artikel 3a, onderdeel c, bewaard voor de duur van het gebruik door de afnemer, en daarna maximaal vijf jaar.

Artikel 12b. Bewaartermijnen in verband met de gezagsmodule

  • 1 De gegevens bedoeld in artikel 3b worden niet langer bewaard dan de duur van de sessie.

  • 2 In afwijking van het eerste lid worden de gebruiksgegevens, bedoeld in artikel 3b, eerste lid, onderdeel a, onder 3, maximaal 5 jaar bewaard, met uitzondering van de sessiegegevens, die slechts worden bewaard tot het moment van uitloggen door de gebruiker.

  • 3 In afwijking van het eerste lid worden de gegevens over afnemers, bedoeld in artikel 3b, tweede lid, onderdeel c, bewaard voor de duur van het gebruik door de afnemer, en daarna maximaal vijf jaar.

Artikel 13. Bewaartermijnen in verband met MijnOverheid

  • 1 De gegevens over bezoekers van MijnOverheid, bedoeld in artikel 4, onderdeel a, worden maximaal 18 maanden bewaard.

  • 2 De gegevens over gebruikers van MijnOverheid, bedoeld in artikel 4, onderdeel b, onder 4° en 5°, worden maximaal 5 jaar bewaard, met dien verstande dat sessie cookies slechts worden bewaard tot het moment van uitloggen.

  • 3 De gegevens over een gebruiker van MijnOverheid en zijn MijnOverheid-account, bedoeld in artikel 4, onderdeel b, onder 1°, 2° en 3°, worden bewaard zolang het bijbehorende MijnOverheid-account bestaat, en zodra het account is opgeheven, maximaal 1 jaar, met uitzondering van gegevens om te bepalen of een natuurlijk persoon kwalificeert als gebruiker van MijnOverheid waarvoor de Berichtenbox beschikbaar moet kunnen zijn, die bewaard blijven voor de duur van het aanmaak- of controleproces.

  • 4 De gegevens noodzakelijk voor de ondersteuning van de gebruiker, bedoeld in artikel 4, onderdeel b, onder 6°, worden bewaard voor de duur van de ondersteuning en daarna maximaal 18 maanden.

  • 5 De gegevens over een gebruiker van MijnOverheid en zijn MijnOverheid-account, bedoeld in artikel 4, onderdeel b, onder 7° en 8°, worden bewaard zolang het bijbehorende MijnOverheid-account bestaat en zodra het account is opgeheven maximaal 1 jaar.

  • 6 De bewaartermijn van de gegevens over de vertegenwoordigde en de vertegenwoordiger, bedoeld in artikel 4, onderdeel c, is als volgt:

    • a. de gegevens, bedoeld onder 1° en 2°, blijven bewaard tot het moment van uitloggen;

    • b. de gegevens, bedoeld onder 3°, blijven maximaal 5 jaar bewaard;

    • c. de gegevens, bedoeld onder 4°, blijven bewaard zo lang het MijnOverheid-account bestaat, en zodra dat account is opgeheven, maximaal 1 jaar;

    • d. de gegevens, bedoeld onder 5°, blijven bewaard zo lang het MijnOverheid-account bestaat, en zodra dat account is opgeheven maximaal 1 jaar.

  • 7 Voor de gegevens, bedoeld in artikel 4, die zijn betrokken bij of relevant zijn voor het onderzoek naar een incident waarbij integriteit, vertrouwelijkheid of beschikbaarheid van het systeem in het geding is, wordt de in het eerste, derde en vierde, en vijfde lid, onderdeel c, genoemde bewaartermijn van 18 maanden of 1 jaar verlengd tot 36 maanden.

  • 8 De gegevens over afnemers van MijnOverheid, bedoeld in artikel 4, onderdeel d, worden bewaard voor de duur van het gebruik door de afnemer van MijnOverheid, en daarna maximaal vijf jaar.

  • 9 Een reservekopie van alle in dit artikel genoemde gegevens wordt maximaal vier maanden bewaard.

Artikel 14. Bewaartermijnen in verband met het BSN-Koppelregister

De bewaartermijn van de gegevens, bedoeld in artikel 5, is als volgt:

  • a. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, het uniek identificerend nummer en het burgerservicenummer en de versleutelde vorm daarvan worden niet langer bewaard dan nodig is om de gegevens op juistheid te controleren;

  • b. het burgerservicenummer in afgeleide vorm en het uniek identificerend nummer in afgeleide vorm ingeval van authenticatie buiten Nederland en binnen de EU, en de gegevens, bedoeld in artikel 5, onderdeel a, onder 3° en 4°, worden bewaard zo lang als de koppeling tussen het toegelaten private of publieke identificatiemiddel of erkende bedrijfs- of organisatiemiddel bestaat en zodra dat niet meer het geval is, maximaal 5 jaar;

  • c. de gegevens over afnemers van de BSN-Koppelregister, bedoeld in artikel 5, onderdeel b, worden bewaard voor de duur van het gebruik van het BSN-Koppelregister en daarna maximaal vijf jaar.

Artikel 14a. Bewaartermijnen in verband met de routeringsvoorziening

De bewaartermijn van de gegevens, bedoeld in artikel 5a, is als volgt:

  • a. de gegevens, bedoeld in artikel 5a, onderdeel a, onder 1°, worden bewaard zolang de gebruiker het identificatiemiddel gebruikt;

  • b. een nummer dat ter identificatie kan worden gebruikt als bedoeld in artikel 5a, onderdeel a, onder 2°, of onderdeel b, wordt maximaal 18 maanden na afloop van het authenticatieproces bewaard;

  • c. de gebruiksgegevens, bedoeld in artikel 5a, onderdeel a, onder 3°, worden maximaal vijf jaar bewaard, met dien verstande dat de sessiegegevens slechts worden bewaard tot het moment van uitloggen door de gebruiker;

  • d. de gegevens over afnemers van de routeringsvoorziening, bedoeld in artikel 5a, onderdeel c, worden bewaard voor de duur van het gebruik ervan door de routeringsvoorziening en daarna maximaal vijf jaar.

Artikel 14b. Bewaartermijnen in verband met het privaat identificatiemiddel

[Treedt in werking op een nader te bepalen tijdstip]

Dit onderdeel is (nog) niet in werking getreden; zie het overzicht van wijzigingen

Artikel 14c. Bewaartermijnen in verband met het bedrijfs- en organisatiemiddel

[Treedt in werking op een nader te bepalen tijdstip]

Dit onderdeel is (nog) niet in werking getreden; zie het overzicht van wijzigingen

Artikel 14d. Bewaartermijnen in verband met de eIDAS-voorziening

  • 3 De gebruiksgegevens, bedoeld in artikel 5d, eerste lid, onderdelen d en e, worden maximaal 5 jaar bewaard na het laatste gebruik, met dien verstande dat de sessiegegevens slechts worden bewaard tot het moment van uitloggen door de gebruiker.

Artikel 14e. Bewaartermijnen in verband met misbruik en oneigenlijk gebruik generieke digitale infrastructuur

De bewaartermijn van de gegevens, bedoeld in artikel 5f, onderdeel c, is maximaal 5 jaar na afloop van de in de artikelen 11 tot en met 14d genoemde bewaartermijnen.

Artikel 15. Vernietiging na afloop bewaartermijn

Na het verstrijken van de bewaartermijn worden de gegevens zo spoedig mogelijk vernietigd.

Artikel 15a. Beveiliging van persoonsgegevens

Teneinde de te verwerken persoonsgegevens te beveiligen en deze te beschermen tegen ongeoorloofde of onrechtmatige verwerking en opzettelijk verlies, vernietiging of beschadiging, neemt de in de artikelen 2 tot en met 15 bedoelde verwerker passende technische, organisatorische en personele maatregelen, waaronder inzake de juiste en veilige bediening en gebruik van informatiesystemen, de toegang tot en de beschikbaarheid en integriteit van informatiesystemen en het herkennen en herstellen van beveiligingsinbreuken.

Hoofdstuk 5. Informatieveiligheid ten aanzien van de toegang tot elektronische dienstverlening

[Treedt in werking op een nader te bepalen tijdstip]

Dit onderdeel is (nog) niet in werking getreden; zie het overzicht van wijzigingen

Hoofdstuk 6. Slotbepalingen

Artikel 25. Inwerkingtreding

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin het wordt geplaatst en werkt terug tot en met 1 november 2015.

Artikel 26. Citeertitel

Dit besluit wordt aangehaald als: Besluit digitale overheid.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

Wassenaar, 17 mei 2016

Willem-Alexander

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

R.H.A. Plasterk

Uitgegeven de zevenentwintigste mei 2016

De Minister van Veiligheid en Justitie,

G.A. van der Steur