Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening

Geraadpleegd op 10-12-2024.
Geldend van 01-07-2023 t/m heden

Regeling van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 8 mei 2023, nr 23-0000244782, houdende regels betreffende de bepaling van het vereiste betrouwbaarheidsniveau van authenticatie voor de verlening van elektronisch diensten en overgangsrecht met betrekking tot betrouwbaarheidsniveaus (Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening)

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties;

Gelet op artikel 6, tweede, derde en vierde lid, van de Wet digitale overheid;

Besluit:

Artikel 1. Begripsbepalingen

In deze regeling wordt verstaan onder:

Artikel 2. Bepalen betrouwbaarheidsniveau voor een dienst

  • 1 Indien voor een elektronische dienst niet bij wettelijk voorschrift is bepaald dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, bepaalt een bestuursorgaan of aangewezen organisatie dat niveau overeenkomstig het tweede tot en met vijfde lid.

  • 2 Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau hoog vereist is indien voor een van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria in de kolom hoog op die dienst van toepassing is.

  • 3 Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau substantieel vereist is indien voor een van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria in de kolom substantieel op die dienst van toepassing is en geen van de in de kolom hoog genoemde criteria.

  • 4 Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau laag vereist is indien voor een van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria in de kolom laag op die dienst van toepassing is en geen van de in de kolom substantieel of hoog genoemde criteria

  • 5 Een bestuursorgaan of aangewezen organisatie bepaalt dat geen authenticatie is vereist indien voor geen van de aspecten van die dienst een van de in bijlage 2 bij deze regeling genoemde criteria op de dienst van toepassing is.

Artikel 3. Risico verlagende factoren

  • 1 Onverminderd de toepasselijkheid van een wettelijk voorschrift dat bepaalt dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, kan, in afwijking van artikel 2, tweede en derde lid, een bestuursorgaan of aangewezen organisatie voor een elektronische dienst authenticatie op één betrouwbaarheidsniveau lager vaststellen, indien:

    • a. het proces van toegangsverlening voorziet in een adequate aanvullende technische of fysieke controle op de authenticiteit van de gebruiker van het identificatiemiddel na het moment waarop daarmee voor de eerste keer voor de desbetreffende dienst een authenticatie is uitgevoerd;

    • b. het bestuursorgaan of de aangewezen organisatie in het proces herstelmaatregelen neemt of kan nemen.

  • 2 Toepassing van het eerste lid sluit gelijktijdige toepassing van artikel 6 uit.

Artikel 4. Risicoverhogende factoren

Indien naar het oordeel van het bestuursorgaan of de aangewezen organisatie, gelet op de aard van de dienst, sprake is van risicoverhogende factoren waaronder identiteitsfraude of misbruik van de dienst, wordt een volledige risicoanalyse uitgevoerd teneinde het passende betrouwbaarheidsniveau voor die dienst te kunnen bepalen.

Artikel 5. Machtigen

  • 1 Afgifte en intrekking van een machtiging wordt elektronisch geregistreerd.

  • 2 Bij afgifte van een machtiging is sprake van een kenbare wilsuiting van de machtiginggever om:

    • a. de dienst af te nemen, en

    • b. dit door de beoogd gemachtigde te laten doen.

  • 3 Afgifte en intrekking van een machtiging kan langs elektronische en niet-elektronische weg.

  • 4 De betrouwbaarheid van een machtigingsregistratie is tenminste gelijk aan het betrouwbaarheidsniveau dat voor de authenticatie voor de dienst is vereist.

  • 5 Bij de registratie van een machtiging die langs elektronische weg is afgegeven gebruiken machtiginggever en gemachtigde een identificatiemiddel op tenminste hetzelfde betrouwbaarheidsniveau als voor de dienst is vereist.

  • 6 Bij de registratie van een machtiging, die niet of niet geheel langs elektronische weg is afgegeven, bepaalt het bestuursorgaan of de aangewezen organisatie of de betrouwbaarheid van de machtiging gewaarborgd is.

  • 7 Het bestuursorgaan of de aangewezen organisatie kan bepalen dat de betrouwbaarheid van een machtigingsregistratie lager mag zijn dan het betrouwbaarheidsniveau dat voor de authenticatie van de dienst vereist is, mits adequate aanvullende maatregelen in het proces van dienstverlening of toegangsverlening worden getroffen.

Artikel 6. Tijdelijk toestaan van een lager niveau

  • 1 Onverminderd de toepasselijkheid van een wettelijk voorschrift dat bepaalt dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, kan een bestuursorgaan of aangewezen organisatie, indiende beschikbaarheid of het gebruik van identificatiemiddelen op de betrouwbaarheidsniveaus substantieel en hoog of de mogelijkheid om deze te gebruiken om toegang te krijgen tot dienstverlening onvoldoende is, voor een elektronische dienst, waarvoor op grond van artikel 2 authenticatie op betrouwbaarheidsniveau hoog respectievelijk substantieel benodigd is, tot twee jaar na inwerkingtreding van deze regeling voor toegang tot die dienst tevens het gebruik van een toegelaten of erkend middel op betrouwbaarheidsniveau substantieel respectievelijk een middel op betrouwbaarheidsniveau laag toestaan.

  • 2 Toepassing van het eerste lid sluit gelijktijdige toepassing van artikel 3 uit.

Artikel 7. Kenbaarheid betrouwbaarheidsniveau

Het bestuursorgaan dat of de aangewezen organisatie die de dienst verleent maakt op de eigen website kenbaar welk betrouwbaarheidsniveau van authenticatie op grond van de artikelen 2 tot en met 6 ten minste vereist is.

Artikel 8. Citeertitel

Deze regeling wordt aangehaald als:Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Digitalisering en Koninkrijksrelaties,

A.C. van Huffelen

Bijlage 2. Criteria betrouwbaarheidsniveaus

(bijlage als bedoeld in artikel 2, tweede tot en met vierde lid, Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening)

Aspecten van de dienst

Criteria betrouwbaarheidsniveaus

 

Niveau laag

Niveau substantieel

Niveau hoog

Persoonsgegevens (behoudens het BSN): aard gegevens en aard en omvang van de verwerking

• Geen bijzondere categorieën van persoonsgegevens

• Geen persoonsgegevens van strafrechtelijke aard, geen gegevens uit antecedentenonderzoek en geen politiegegevens

• Kleinschalige verwerking

• Bijzondere categorieën van persoonsgegevens

• Persoonsgegevens van strafrechtelijke aard, gegevens uit antecedentenonderzoek en politiegegevens

• Gevoelige persoonsgegevens niet zijnde bijzondere categorieën van persoonsgegevens, persoonsgegevens van strafrechtelijke aard, gegevens uit antecedentenonderzoek of politiegegevens

• Grootschalige verwerking

• Persoonsgegevens die: * stigmatiserend kunnen werken

* reputatieschade kunnen opleveren

* tot uitsluiting kunnen leiden

* schade kunnen opleveren aan de gezondheid, of * chanteerbaarheid kunnen opleveren

• Gegevens die onder het medisch beroepsgeheim vallen

Risico’s indien de gegevens in verkeerde handen vallen

Aard van de gegevens van ondernemingen en rechtspersonen

Geen of nauwelijks risico op identiteitsfraude en/of misbruik van de betreffende dienst

Algemeen bekende gegevens van ondernemingen en rechtspersonen

Reëel risico op identiteitsfraude en/of misbruik van de betreffende dienst

Gevoelige gegevens van ondernemingen en rechtspersonen

Groot risico op identiteitsfraude en/of misbruik van de betreffende dienst

Geen criteria

Aard van de verwerking van het BSN

• BSN van degene aan wie de dienst wordt verleend, van zijn gemachtigde, of van een derde wordt door dienstverlener niet verstrekt

• BSN van degene aan wie de dienst wordt verleend, van zijn gemachtigde of van een derde wordt door de dienstverlener tijdens het proces van dienstverlening verstrekt

• NB: wanneer dienstverlener reeds opgegeven BSN terugkoppelt: minimaal niveau laag met 2-factor authenticatie nodig

• BSN in combinatie met andere persoonsgegevens

Gevolgen voor de gegevens in de basisregistraties

• Geen criteria

• Controle op de verwerking van gegevens

• Geen controle op de verwerking van gegevens

Economisch belang

• Niet of nauwelijks ingrijpend voor economische positie burgers/ondernemingen en rechtspersonen in de doelgroep, waarbij als richtsnoer geldt:

* De directe schade voor burgers is lager dan € 1.000,–

* De directe schade voor bedrijven tot 250 werknemers is lager dan € 125.000,–

* De directe schade voor grotere bedrijven is lager dan € 500.000,–

• Ingrijpend voor economische positie burgers/ondernemingen en rechtspersonen in de doelgroep, waarbij als richtsnoer geldt:

* De directe schade voor burgers is hoger dan € 1.000,–

* De directe schade voor bedrijven tot 250 werknemers is hoger dan € 125.000,–

* De directe schade voor grotere bedrijven is hoger dan € 500.000,–

• Zodanig ingrijpend voor economische positie burgers/ondernemingen en rechtspersonen dat ongewijzigd welstandsniveau of voortbestaan onmogelijk is