Regeling nadere eisen identificatiemiddelen, authenticatiediensten en machtigingsdiensten Wdo

Een aanvrager heeft een verzekering voor contractuele en wettelijke aansprakelijkheid voor directe en indirecte schade die samenhangt met de activiteiten waarvoor de erkenning wordt aangevraagd tot een bedrag van ten minste € 5.000.000 per jaar bij een verzekeraar die:

• a. onder toezicht staat van de Europese Autoriteit voor Verzekeringen en Bedrijfspensioenen;

• b. een kredietbeoordeling heeft van een gerenommeerde kredietbeoordelaar die niet lager is dan A-.

Een aanvrager beschikt voor de activiteiten waarop de aanvraag ziet over een conform de norm ISO 27001 gecertificeerd beheersysteem voor informatiebeveiliging.

Een aanvrager heeft waarborgen getroffen om te zorgen dat bij beëindiging van de erkenning een deugdelijke afronding van de daaraan verbonden werkzaamheden conform de daarvoor geldende verplichtingen, waaronder de vernietiging en bewaring van persoonsgegevens, gegevens over het gebruik van identificatiemiddelen en gegevens over bevoegdheden als bedoeld in artikel 6 van het Besluit BO en het gebruik daarvan, kan plaatsvinden, ook in geval van faillissement of andere omstandigheden waarin de kosten niet door de aanvrager kunnen worden gedekt.

• 1 De middelkwaliteit en middelbeheerkwaliteit van het identificatiemiddel waarop de aanvraag ziet, en de implementaties van de verplichtingen op grond van de artikelen 2.8, 2.12 en 2.14, bieden bescherming tegen een aanval met aanvalspotentieel:

  • a. Moderate, voor zover de aanvraag ziet op een identificatiemiddel met betrouwbaarheidsniveau substantieel;

  • b. High, voor zover de aanvraag ziet op een identificatiemiddel met betrouwbaarheidsniveau hoog; of

  • c. enhanced-Basic, voor zover het processen betreft met betrekking tot het schorsen of intrekken op verzoek van de gebruiker.

• 2 De verplichting, bedoeld in het eerste lid ziet slechts op aanvallen die leiden tot:

  • a. een onjuiste koppeling tussen een middel en de daarvoor beoogde gebruiker; en

  • b. een authenticatie namens een gebruiker zonder diens toestemming.

• 3 De dienstverlening van aanvrager die via het internet kan worden bereikt is, op het niveau van een internationaal geaccepteerde industriestandaard, bestand tegen een representatieve aanval vanaf het internet.

• 1 De componenten, bedoeld in artikel 6, eerste lid, van het Besluit INP en artikel 4, eerste lid, van het Besluit BO, waarbij door de aanvrager van een erkenning gebruik wordt gemaakt van software die onder een open source licentie is gepubliceerd of waarvan de broncode openbaar is gemaakt, zijn de componenten die worden aangewezen in de bijlage bij deze regeling, voor zover door die componenten persoonsgegevens worden verwerkt.

• 2 Tot de aangewezen componenten, bedoeld in het eerste lid, behoort niet de software die wordt ingezet voor functionaliteiten voor de werking van server- of andere infrastructuurcomponenten die een generieke gegevensverwerkingsfunctie vervullen en die niet specifiek gebruikt wordt voor en die niet gericht is op de functies van de componenten, genoemd in de bijlage bij deze regeling, voor zover in en aan die software geen aanpassingen of toevoegingen zijn gedaan die specifiek voor de uitvoering van die functies zijn uitgevoerd.

• 3 De aanwijzing, bedoeld in het eerste lid, geldt vanaf 18 maanden na inwerkingtreding van dit artikel.

Een publicatie van broncode als bedoeld in artikel 4, eerste lid, onderdeel b, van het Besluit BO, of artikel 6, eerste lid, onderdeel b, van het Besluit INP is:

• a. openbaar en op het internet vindbaar;

• b. toegankelijk voor eenieder.

• 1 Bij het registratieproces voor een identificatiemiddel worden in ieder geval de volgende gegevens van de gebruiker verwerkt:

  • a. naam en voorletters en de noodzakelijke gegevens om deze correct weer te geven;

  • b. de geboortedatum;

  • c. het burgerservicenummer;

  • d. indien het registratieproces, bedoeld in paragraaf 2.1.2, onder substantieel, subonderdeel 2, van de bijlage bij Uitvoeringsverordening (EU) 2015/1502, wordt gehanteerd, het documentnummer van een identiteitsdocument als bedoeld in het derde lid;

  • e. de gegevens die noodzakelijk zijn om met de gebruiker te communiceren op andere wijze dan via toegang tot de authenticatiedienst.

• 2 Het proces voor inschrijving, bedoeld in paragraaf 2.1 van de bijlage bij Uitvoeringsverordening (EU) 2015/1502, voorziet in ieder geval in:

  • a. het ter controle verzenden van de gegevens, bedoeld in het eerste lid, onderdeel a tot en met c aan het BSN-koppelregister;

  • b. indien de controle bedoeld in onderdeel a een positief resultaat heeft opgeleverd, het verwerken van de persoonlijke stelselcodes die voor de desbetreffende gebruiker zijn aangemaakt;

  • c. het verwijderen van het burgerservicenummer van de desbetreffende gebruiker indien de controle bedoeld in onderdeel a een negatief resultaat heeft opgeleverd.

• 3 Indien bij het registratieproces een identiteitsdocument wordt overgelegd betreft het een document als bedoeld in artikel 1 van de Wet op de identificatieplicht.

• 4 De procedure, bedoeld in paragraaf 2.1.2, onder hoog, subonderdeel 2, van de bijlage van Uitvoeringsverordening (EU) 2015/1502, wordt niet toegepast.

• 1 Bewijs en verificatie van de identiteit van een natuurlijke persoon kan overeenkomstig de procedure bedoeld in paragraaf 2.1.2, onderdeel 4, onder substantieel en hoog, van de bijlage bij Uitvoeringsverordening (EU) 2015/1502 slechts plaatsvinden door middel van een authenticatie met een op grond van artikel 9, eerste lid, van de wet aangewezen publiek identificatiemiddel op hetzelfde of een hoger betrouwbaarheidsniveau als het middel ten behoeve waarvan het bewijs en de verificatie vereist zijn.

• 2 In afwijking van artikel 2.7, tweede lid, voorziet het proces voor inschrijving, bedoeld in paragraaf 2.1 van de bijlage bij Uitvoeringsverordening (EU) 2015/1502, bij toepassing van het eerste lid in ieder geval in:

  • a. het verzenden van de persoonlijke stelselcode die door het publieke middel is verstrekt bij de authenticatie, bedoeld in het eerste lid, aan het BSN-koppelregister;

  • b. het verwerken van de persoonlijke stelselcodes die voor de desbetreffende gebruiker zijn aangemaakt.

Onverminderd artikel 5 van het Besluit INP en artikel 3 van het Besluit BO wordt in de overeenkomst die door een aanvrager van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, met een gebruiker wordt gesloten voor het gebruik van een identificatiemiddel een verplichting opgenomen voor de gebruiker om:

• a. het identificatiemiddel dat op de naam van die gebruiker is geregistreerd niet door een ander te laten gebruiken;

• b. verlies van en beveiligingsincidenten ten aanzien van het identificatiemiddel zo spoedig mogelijk te melden bij de verstrekker van dat middel;

• c. de verstrekker van het identificatiemiddel binnen een redelijke termijn op de hoogte te stellen wanneer zich wijzigingen voordoen in de gegevens, bedoeld in artikel 2.7, eerste lid;

• d. door de verstrekker van het identificatiemiddel gekozen beveiligingsmaatregelen te hanteren.

Het authenticatiemechanisme dat in de aanvraag voor een erkenning als bedoeld in artikel 9, tweede lid, van de wet is beschreven voorziet bij een positieve authenticatiehandeling in:

• a. het omzetten van de persoonlijke stelselcode voor de persoon waarop de authenticatiehandeling ziet in een authenticatiecode;

• b. het verzenden door de authenticatiedienst aan een publieke dienstverlener van de authenticatiecode die tijdens het authenticatieproces voor de desbetreffende authenticatiehandeling is aangemaakt en het betrouwbaarheidsniveau waarop de authenticatie plaatsvond.

Het authenticatiemechanisme dat in de aanvraag voor een erkenning voor een authenticatiedienst als bedoeld in artikel 11, tweede lid, van de wet is beschreven voorziet bij een positieve authenticatiehandeling in:

• a. het omzetten van de persoonlijke stelselcode voor de persoon waarop de authenticatiehandeling ziet in een authenticatiecode;

• b. het verzenden door de authenticatiedienst aan een erkende machtigingsdienst van de authenticatiecodes die tijdens het authenticatieproces voor de desbetreffende authenticatiehandeling zijn aangemaakt en het betrouwbaarheidsniveau waarop de authenticatie is uitgevoerd.

• 1 Indien als onderdeel van het authenticatieproces een op bezit gebaseerde authenticatiefactor als bedoeld in Uitvoeringsverordening (EU) 2015/1502 wordt gebruikt betreft het gegevens, zoals cryptografische sleutels, op een fysiek aanwijsbaar object, waarover uitsluitend de gebruiker beschikkingsmacht uitoefent en die voldoende zijn beschermd tegen kopiëren.

• 2 Indien voor een identificatiemiddel op betrouwbaarheidsniveau hoog als onderdeel van het authenticatieproces een op kennis gebaseerde authenticatiefactor als bedoeld in Uitvoeringsverordening (EU) 2015/1502 wordt gebruikt wordt met technische beveiligingsmaatregelen gerealiseerd dat:

  • a. de kennis waarop de authenticatiefactor is gebaseerd slechts bij de gebruiker beschikbaar is op het moment waarop de authenticatie wordt uitgevoerd;

  • b. de verificatie van de kennisfactor plaatsvindt aan de hand van gegevens die zijn verwerkt in een fysiek aanwijsbaar object, waarover uitsluitend de gebruiker of de aanvrager van de erkenning beschikkingsmacht uitoefent en die voldoende zijn beschermd tegen kopiëren van deze gegevens; en

  • c. indien de verificatie van de kennisfactor door de aanvrager van de erkenning wordt uitgevoerd, de verzoeken daartoe door de aanvrager worden vastgelegd.

Het authenticatiemechanisme van een identificatiemiddel op betrouwbaarheidsniveau substantieel en hoog maakt geen gebruik van een inherente authenticatiefactor, als bedoeld in de bijlage bij Uitvoeringsverordening (EU) 2015/1502.

• 1 Een gebruiker wordt tijdens het authenticatieproces door de aanvrager van de erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, op betrouwbare wijze van de volgende informatie voorzien:

  • a. de publieke dienstverlener waarvoor de authenticatie plaatsvindt;

  • b. in voorkomend geval, de specifieke dienst waarvoor de authenticatie plaatsvindt;

  • c. in voorkomend geval, een duiding van de persoonsgegevens die bij de authenticatie aan de publieke dienstverlener worden verstrekt.

• 2 Met de wijze waarop de informatie, bedoeld in het eerste lid, wordt getoond wordt geborgd dat de getoonde informatie niet door een derde partij kan worden gemanipuleerd.

• 3 Tijdens het authenticatieproces wordt een gebruiker in de gelegenheid gesteld het authenticatieproces af te breken tot het moment waarop dit is voltooid.

Een aanvrager van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, heeft voorzieningen om aan een gebruiker, na een authenticatie met een identificatiemiddel, in ieder geval elektronisch inzage te geven in:

• a. de datum en het tijdstip waarop het desbetreffende identificatiemiddel is gebruikt voor authenticatie bij een publieke dienstverlener, onder vermelding van de publieke dienstverlener waarbij en de dienst waarvoor op dat tijdstip de authenticatie is verricht;

• b. de gegevens, bedoeld in artikel 2.7, eerste lid, die over de desbetreffende gebruiker zijn verwerkt;

• c. de identificatiemiddelen die door de aanvrager van de erkenning aan de desbetreffende gebruiker zijn uitgereikt en het moment waarop dat uitreiken plaatsvond;

• d. overige gegevens die over de desbetreffende gebruiker zijn geregistreerd ten behoeve van authenticatie.

Het proces voor registratie van een bevoegdheid als bedoeld in artikel 6, eerste lid, onderdeel a, van het Besluit BO, van een natuurlijke persoon om namens een rechtspersoon of onderneming te handelen en voor wijziging van een registratie, voldoet aan de volgende eisen:

• a. de identiteit van de natuurlijke persoon die de machtiging registreert is deugdelijk geauthentiseerd;

• b. tijdens het registratieproces wordt deugdelijk vastgesteld dat de te registreren bevoegdheid rechtsgeldig tot stand is gekomen en dat is voldaan aan artikel 6, derde lid, van het Besluit BO;

• c. de registratie bevat informatie over de handelingen waarop de geregistreerde bevoegdheid ziet en, in voorkomend geval, een moment waarop deze van kracht wordt of vervalt;

• d. bij het registreren van een machtiging wordt voor de koppeling aan een natuurlijke persoon gebruik gemaakt van versleuteling van gegevens met een voor dat doel verstrekte authenticatiecode.

Een aanvrager van een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet heeft voorzieningen om te borgen dat geregistreerde bevoegdheden als bedoeld in artikel 2.16 deugdelijk worden beheerd, waaronder in ieder geval wordt begrepen zorg voor de actualiteit en juistheid van geregistreerde machtigingen.

Het proces voor verzending door een machtigingsdienst van een machtigingsverklaring, dat in de aanvraag voor een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet wordt beschreven, voorziet, ter identificatie van de natuurlijke persoon die beoogt een handeling te verrichten, in het verzenden door de machtigingsdienst aan een publieke dienstverlener van de authenticatiecode die tijdens het authenticatieproces voor de desbetreffende machtigingsverklaring is aangemaakt.

Een aanvrager van een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet, heeft voorzieningen om:

• a. aan een gebruiker, na een authenticatie van die gebruiker, in ieder geval elektronisch inzage te geven in:

  • i. de datum en het tijdstip waarop voor die gebruiker een machtigingsverklaring is verzonden aan een publieke dienstverlener of een andere erkende machtigingsdienst, onder vermelding van de publieke dienstverlener waarbij en de dienst waarvoor die machtigingsverklaring is verzonden;

  • ii. de persoonsgegevens die over de desbetreffende gebruiker zijn verwerkt;

  • iii. de bevoegdheden van de desbetreffende gebruiker die door de aanvrager van de erkenning zijn geregistreerd en het moment waarop die registratie plaatsvond;

  • iv. overige gegevens die over de desbetreffende gebruiker voor het gebruik van de machtigingsdienst zijn geregistreerd; en

• b. aan een persoon als bedoeld in artikel 6, derde lid, van het Besluit BO, na een authenticatie van die persoon, elektronisch inzage te geven in:

  • i. alle machtigingen die bij de desbetreffende machtigingsdienst namens die rechtspersoon of onderneming zijn geregistreerd;

  • ii. de datum en het tijdstip waarop namens de desbetreffende rechtspersoon of onderneming een machtigingsverklaring is verzonden aan een publieke dienstverlener of een andere erkende machtigingsdienst, onder vermelding van de publieke dienstverlener waarbij en de dienst waarvoor die machtigingsverklaring is verzonden.

Een aanvrager heeft voorzieningen om een machtigingsverklaring als bedoeld in artikel 6, eerste lid, onderdeel c, van het Besluit BO, af te geven die in ieder geval bevat:

• a. de verklaring, bedoeld in artikel 6, eerste lid, onderdeel b, van het Besluit BO;

• b. het door de Kamer van Koophandel voor de desbetreffende rechtspersoon of onderneming afgegeven nummer, of een ander nummer dat ter identificatie van de rechtspersoon of onderneming kan worden gebruikt of dat tot die rechtspersoon of onderneming kan worden herleid, of een versleutelde of afgeleide vorm daarvan.

Onverminderd artikel 3 van het Besluit BO wordt in de overeenkomst die door een aanvrager van een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet, wordt gesloten met de rechtspersoon of onderneming een verplichting opgenomen voor de rechtspersoon of onderneming om:

• a. wijzigingen in door de machtigingsdienst geregistreerde bevoegdheden zo spoedig mogelijk door te geven aan de machtigingsdienst;

• b. beveiligingsincidenten die van invloed kunnen zijn op de werking van de machtigingsdienst onverwijld te melden aan de machtigingsdienst.

Een aanvrager van een erkenning heeft voorzieningen om te borgen dat kan worden voldaan aan artikel 4.4.

• 1 Een aanvrager van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, heeft voorzieningen om doeltreffend beveiligingsincidenten, pogingen tot het compromitteren van de beveiliging, en afwijkend gebruik van een middel ten opzichte van in de aanvraag beschreven processen en systemen te kunnen herkennen en herstellen, waarmee in ieder geval kan worden voldaan aan artikel 4.11.

• 2 De voorzieningen bedoeld in het eerste lid zijn dusdanig ingericht dat deze kunnen worden aangepast op basis van relevante ontwikkelingen en zien in ieder geval op:

  • a. potentiële en bekende kwetsbaarheden in de desbetreffende processen; en

  • b. het voorkomen van herhaling van beveiligingsincidenten die zich reeds hebben voorgedaan.

• 1 Een aanvrager van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, heeft voorzieningen om misbruik van identificatiemiddelen te herkennen en herstellen overeenkomstig artikel 4.11.

• 2 Een aanvrager van een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet, heeft voorzieningen om misbruik van machtigingsdiensten te herkennen en herstellen overeenkomstig artikel 4.12.

• 3 Een aanvrager van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, heeft voorzieningen om een identificatiemiddel in te trekken overeenkomstig artikel 4.13, eerste en derde lid.

• 1 Een aanvrager van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet heeft voorzieningen om te worden aangesloten op:

  • a. de infrastructuur, bedoeld in artikel 5, eerste lid, onderdeel c, van de wet;

  • b. door de minister aangewezen registers;

  • c. de infrastructuur, bedoeld in artikel 5, eerste lid, onderdeel d, van de wet; en

  • d. de infrastructuur, bedoeld in artikel 5, tweede lid, onderdeel b, van de wet.

• 2 Een aanvrager van een erkenning voor een authenticatiedienst als bedoeld in artikel 11, tweede lid, van de wet, heeft voorzieningen om te worden aangesloten op:

  • a. door de minister aangewezen registers; en

  • b. de infrastructuur, bedoeld in artikel 5, eerste lid, onderdeel d, van de wet.

• 1 Bij een aansluiting als bedoeld in artikel 2.25 wordt bij het uitwisselen van gegevens gebruik gemaakt van door de minister aangewezen standaarden.

• 2 Een aanwijzing als bedoeld in het eerste lid, van een standaard wordt in de Staatscourant bekendgemaakt.

De aanvrager van een erkenning heeft systemen voor het naleven van de bewaartermijnen die als gevolg van het Besluit digitale overheid van toepassing zijn.

• 1 Op een aanwijzing als bedoeld in artikel 9, eerste lid, van de wet, van een publiek identificatiemiddel zijn de volgende eisen niet van toepassing:

  • a. paragraaf 2.1;

  • b. artikel 2.7, eerste lid, onderdeel a en e;

  • c. artikel 2.9;

  • d. artikel 2.15, onderdeel b.

• 2 Onverminderd artikel 2.15 geeft een publiek identificatiemiddel aan een gebruiker, na een authenticatie met zijn identificatiemiddel, in ieder geval elektronisch inzage in de wijze waarop met de gebruiker wordt gecommuniceerd anders dan via toegang tot de authenticatiedienst.

• 3 In afwijking van artikel 2.2 heeft een partij die onafhankelijk is van de beheerder van het publieke identificatiemiddel en die is aangesloten bij een beroepsorganisatie op het relevante werkgebied vastgesteld dat een aan te wijzen publiek identificatiemiddel voldoet aan de eisen voor informatiebeveiliging bij de overheid, die zijn opgenomen in de Baseline informatiebeveiliging Overheid.

• 1 Onverminderd artikel 8 van het Besluit INP en artikel 12, tweede lid, van het Besluit BO gaat een aanvraag voor een erkenning voor een authenticatiedienst vergezeld van:

  • a. een beschrijving van de technische werking van het identificatiemiddel waaronder de ontwikkelprocessen en de toepassing van cryptografie daarbij;

  • b. een beschrijving van de processen en systemen waarop de aanvraag ziet, waaronder de interne controles op die processen en een onderbouwing dat daarmee wordt voldaan aan de eisen, gesteld krachtens artikel 9, tweede lid, van de wet, en artikel 11, tweede lid, van de wet, met uitzondering van de eisen voor middelkwaliteit en middelbeheerkwaliteit;

  • c. een onderbouwing dat wordt voldaan aan de eisen die op de aangevraagde erkenning van toepassing zijn, voor zover deze zien op middelkwaliteit en middelbeheerkwaliteit, met uitzondering van artikel 2.4;

  • d. het certificaat, bedoeld in artikel 2.2, dat is verleend aan de aanvrager en, in voorkomend geval aan derde partijen, voor zover deze zien op processen waarop de erkenningsaanvraag ziet en de volgende daarbij behorende documenten:

    • i. de actuele resultaten van de risicobeoordeling en -behandeling zoals vereist door de norm ISO 27001;

    • ii. de verklaring van toepasselijkheid zoals vereist door de norm ISO 27001;

    • iii. de actuele feitenrapportage van de certificerende instelling bij het afgegeven ISO 27001 certificaat waaronder de eventuele correctieve actieplannen, die zijn opgesteld door de aanvrager;

  • e. een beschrijving van de processen die worden uitgevoerd door een andere onderneming of rechtspersoon dan de aanvrager en de wijze waarop wordt geborgd dat die andere onderneming voldoet aan de eisen die worden gesteld aan deze processen en verwerkingsovereenkomsten die met die onderneming of rechtspersoon zijn gesloten over het verwerken van persoonsgegevens;

  • f. een beschrijving van de wijze waarop de aanvrager bereikbaar is voor de minister:

    • i. in geval van incidenten of misbruik van identificatiemiddelen; en

    • ii. voor operationeel overleg;

  • g. een beschrijving van de wijze waarop een identificatiemiddel door een gebruiker kan worden geschorst of ingetrokken en waarop een schorsing kan worden opgeheven;

  • h. een beschrijving van de wijze waarop wordt voldaan aan artikel 2.23;

  • i. een beschrijving van de methode die wordt gebruikt voor het meten van de beschikbaarheid, bedoeld in artikel 4.4;

  • j. een uittreksel uit het handelsregister, dat op het tijdstip van het indienen van de aanvraag niet ouder is dan zes maanden;

  • k. een bewijs van de verzekering, bedoeld in artikel 2.1;

  • l. een beschrijving van de voorzieningen, bedoeld in artikel 2.22;

  • m. een document waaruit de structuur blijkt van de natuurlijke personen of rechtspersonen die in de aanvrager feitelijke zeggenschap of een overwegend belang in het geplaatste kapitaal hebben;

  • n. een beschrijving van de wijze waarop de aanvrager voldoet aan artikel 4.15;

  • o. een beschrijving van de wijze waarop wordt voldaan aan artikel 2.3;

  • p. een concept van de beschrijving, bedoeld in artikel 18 van het Besluit INP of artikel 11 van het Besluit BO;

  • q. overige gegevens die nodig zijn om succesvol een authenticatieverzoek aan de aanvrager te kunnen verzenden, of een authenticatieverklaring van de aanvrager te kunnen ontvangen;

  • r. een opsomming van de componenten, genoemd in de bijlage bij deze regeling, die bij de werking van het identificatiemiddel worden gebruikt, met informatie over:

    • i. de openbaarmaking van de broncode van de daarvoor gebruikte software; of

    • ii. de open source licentie waaronder die software is gepubliceerd.

• 2 Onverminderd het eerste lid verstrekt de aanvrager bij de aanvraag:

  • a. een rapportage waarmee wordt verklaard dat er geen aanwijzingen zijn dat:

    • i. de middelconformiteitsonderbouwing significant onjuist is, en

    • ii. niet aan artikel 2.4 wordt voldaan;

  • b. een rapportage waaruit blijkt dat de systemen die in de aanvraag worden beschreven in de praktijk met goed gevolg zijn getest op de eisen aan de internetbeveiliging, bedoeld in artikel 2.4, derde lid;

  • c. een rapportage waaruit blijkt dat de processen en systemen die in de aanvraag worden beschreven in de praktijk zijn getest, dat deze kunnen functioneren in samenwerking met de daarvoor benodigde onderdelen van de generieke digitale infrastructuur, bedoeld in artikel 5 van de wet, en, in voorkomend geval, andere voor de werking van het middel noodzakelijke voorzieningen en dat een authenticatieverklaring kan worden verzonden;

  • d. een rapportage waaruit blijkt dat kan worden voldaan aan artikel 2.25.

• 3 Een aanvrager verstrekt bij een aanvraag verder ter onderbouwing van conformiteit met artikel 25 van de Algemene verordening gegevensbescherming:

  • a. een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 van de Algemene verordening gegevensbescherming, die ziet op de activiteiten waarop de aanvraag ziet en die niet ouder is dan 12 maanden; en

  • b. een beschrijving van de wijze waarop de maatregelen die zijn beschreven in de gegevensbeschermingseffectbeoordeling, bedoeld in het eerste lid, zijn opgenomen in de processen van de aanvrager die voor de erkenning van belang zijn.

• 1 De rapportage, bedoeld in artikel 3.1, tweede lid, onderdeel a;

  • a. is opgesteld door een auditor die onafhankelijk is van de aanvrager en die is ingeschreven in het register van de Nederlandse Orde van Register EDP-Auditors of door een andere onafhankelijke auditor die vakbekwaam is en die is aangesloten bij een beroepsorganisatie op het relevante werkgebied waarbij met tuchtrecht de kwaliteit wordt bewaakt;

  • b. is ten tijde van het indienen van de aanvraag niet ouder 12 maanden;

  • c. ziet op de beoogde wijze van implementatie van de processen en systemen die in de aanvraag worden beschreven en de daarbij gebruikte cryptografie;

  • d. bevat een verklaring dat er geen aanwijzingen zijn dat de onderbouwing, bedoeld in artikel 3.1, eerste lid, onderdeel c, onjuist is;

  • e. bevat een verklaring dat er geen aanwijzingen zijn dat met de aanvraag niet voldaan wordt aan artikel 2.4, eerste en tweede lid;

  • f. bevat een beschrijving van deze wijze waarop deze tot stand is gekomen, waarin in ieder geval wordt beschreven:

    • i. de wijze van toetsing;

    • ii. het gebruik van vaktechnische richtlijnen; en

    • iii. de competentie, ervaring, en onafhankelijkheid van de deskundigen die betrokken zijn geweest bij het opstellen van de rapportage, waarbij in ieder geval wordt ingegaan op hun kennis over de toepassing van cryptografie, en een onderbouwing dat deze voldoet aan een internationaal geaccepteerde industriestandaard rond het uitvoeren van soortgelijke toetsingen;

  • g. bevat een verklaring dat de overeenkomstig artikel 2.9, onderdeel d, voorgeschreven beveiligingseisen door gebruikers kunnen worden toegepast.

• 2 De verklaring, bedoeld in het eerste lid, onderdeel d, ziet op alle processen en systemen die nodig zijn om een authenticatie bij een publieke dienstverlener te voltooien.

• 3 De indiener van de rapportage draagt er zorg voor dat de partij, bedoeld in het eerste lid, onderdeel a, door de minister over de inhoud van de rapportage kan worden bevraagd.

• 4 De rapportage is opgesteld volgens een door de minister vastgesteld model.

De rapportage, bedoeld in artikel 3.1, tweede lid, onderdeel c;

• a. is opgesteld door een auditor die onafhankelijk is van de aanvrager en die is ingeschreven in het register van de Nederlandse Orde van Register EDP-Auditors of door een andere onafhankelijke auditor die vakbekwaam is en die is aangesloten bij een beroepsorganisatie op het relevante werkgebied waarbij met tuchtrecht de kwaliteit wordt bewaakt;

• b. is ten tijde van het indienen niet ouder dan 12 maanden;

• c. ziet op de beoogde implementatie van de processen en systemen die in de aanvraag worden beschreven;

• d. beschrijft de uitgevoerde tests en de resultaten daarvan;

• e. bevat in ieder geval voldoende informatie om vast te stellen dat er geen aanwijzingen zijn dat niet is voldaan aan artikel 2.4, derde lid;

• f. bevat een beschrijving van de wijze waarop deze tot stand is gekomen, waarin in ieder geval wordt beschreven:

  • i. het gebruik van internationaal geaccepteerde industriestandaarden;

  • ii. de wijze waarop bevindingen worden voorzien van een risico-inschatting op basis van impact en de kans van optreden.

Een aanvraag voor een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet of artikel 11, tweede lid, van de wet, ziet op een identificatiemiddel en een daarbij behorend proces voor:

• a. verificatie van de identiteit van de beoogd gebruiker van een identificatiemiddel; en

• b. authenticatie van de gebruiker bij gebruik van het identificatiemiddel.

• 1 Onverminderd artikel 12, tweede lid, van het Besluit BO gaat een aanvraag voor een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet, vergezeld van:

  • a. een beschrijving van de technische werking van de machtigingsdienst waaronder de ontwikkelprocessen en de toepassing van cryptografie daarbij;

  • b. een beschrijving van de processen en systemen waarop de aanvraag ziet, waaronder de interne controles op die processen en een onderbouwing dat daarmee wordt voldaan aan de eisen, gesteld krachtens artikel 11, derde lid, van de wet, met uitzondering van de eisen bedoeld in onderdeel c van dit lid;

  • c. een onderbouwing dat wordt voldaan aan artikel 2.16, 2.17, 2.19, 2.23, 2.24 en 4.8 en de eisen in paragraaf 2.1.3 en 2.1.4 van de bijlage bij Uitvoeringsverordening (EU) 2015/1502;

  • d. het certificaat dat is afgegeven voor het systeem, bedoeld in artikel 2.2, en de volgende daarbij behorende documenten:

    • i. de actuele resultaten van de risicobeoordeling en -behandeling zoals vereist door de norm ISO 27001;

    • ii. de verklaring van toepasselijkheid zoals vereist door de norm ISO 27001;

    • iii. de actuele feitenrapportage van de certificerende instelling bij het afgegeven ISO27001 certificaat waaronder de eventuele plannen voor correctieve acties, die zijn opgesteld door de aanvrager;

  • e. een beschrijving van de processen die worden uitgevoerd door een andere onderneming of rechtspersoon dan de aanvrager en de wijze waarop wordt geborgd dat die andere onderneming voldoet aan de eisen die worden gesteld aan deze processen en verwerkingsovereenkomsten die met die onderneming of rechtspersoon zijn gesloten over het verwerken van persoonsgegevens;

  • f. een beschrijving van de wijze waarop de aanvrager bereikbaar is voor de minister:

    • i. in geval van incidenten of misbruik van machtigingen; en

    • ii. voor operationeel overleg;

  • g. een beschrijving van de wijze waarop wordt voldaan aan artikel 2.23;

  • h. een beschrijving van de methode die wordt gebruikt voor het meten van de beschikbaarheid, bedoeld in artikel 4.4;

  • i. een uittreksel uit het handelsregister, dat op het tijdstip van het indienen van de aanvraag niet ouder is dan zes maanden;

  • j. een bewijs van de verzekering, bedoeld in artikel 2.1;

  • k. een beschrijving van de voorzieningen, bedoeld in artikel 2.22;

  • l. een document waaruit de structuur blijkt van de natuurlijke personen of rechtspersonen die in de aanvrager feitelijke zeggenschap of een overwegend belang in het geplaatste kapitaal hebben;

  • m. een beschrijving van de wijze waarop de aanvrager voldoet aan artikel 4.15;

  • n. een beschrijving van de wijze waarop wordt voldaan aan artikel 2.3;

  • o. een concept van de beschrijving, bedoeld in artikel 11 van het Besluit BO;

  • p. een opsomming van de componenten, genoemd in de bijlage bij deze regeling, die bij de werking van het identificatiemiddel worden gebruikt, met informatie over:

    • i. de openbaarmaking van de broncode van de daarvoor gebruikte software; of

    • ii. de open source licentie waaronder die software is gepubliceerd.

• 2 Onverminderd het eerste lid verstrekt de aanvrager bij de aanvraag:

  • a. een rapportage waaruit blijkt dat de processen en systemen die in de aanvraag worden beschreven in de praktijk met goed gevolg zijn getest, dat deze kunnen functioneren in samenwerking met de daarvoor benodigde onderdelen van de generieke digitale infrastructuur, bedoeld in artikel 5 van de wet, en, in voorkomend geval, andere voor de werking van het middel noodzakelijke voorzieningen en dat een machtigingsverklaring als bedoeld in het Besluit BO kan worden afgegeven;

  • b. een rapportage waaruit blijkt dat de systemen die in de aanvraag worden beschreven in de praktijk met goed gevolg zijn getest op internetbeveiliging en dat deze voldoet aan artikel 2.4, derde lid;

  • c. een rapportage waaruit blijkt dat kan worden voldaan aan artikel 2.25;

  • d. een rapportage waarmee wordt verklaard dat er geen aanwijzingen zijn dat de onderbouwing, bedoeld in het eerste lid, onderdeel b, onjuist is of dat niet aan artikel 2.4 wordt voldaan.

• 3 Een aanvrager verstrekt bij een aanvraag verder ter onderbouwing van conformiteit met artikel 25 van de Algemene verordening gegevensbescherming:

  • a. een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 van de Algemene verordening gegevensbescherming, die ziet op de activiteiten waarop de aanvraag ziet; en

  • b. een beschrijving van de wijze waarop de maatregelen die zijn beschreven in de gegevensbeschermingseffectbeoordeling bedoeld in het eerste lid zijn opgenomen in de processen van de aanvrager die voor de erkenning van belang zijn.

• 1 De rapportage, bedoeld in artikel 3.5, tweede lid, onderdeel d;

  • a. is opgesteld door een auditor die onafhankelijk is van de aanvrager en die is ingeschreven in het register van de Nederlandse Orde van Register EDP-Auditors of door een andere onafhankelijke auditor die vakbekwaam is en die is aangesloten bij een beroepsorganisatie op het relevante werkgebied waarbij met tuchtrecht de kwaliteit wordt bewaakt;

  • b. is ten tijde van het indienen van de aanvraag niet ouder 12 maanden;

  • c. ziet op de beoogde wijze van implementatie van de processen en systemen die in de aanvraag worden beschreven;

  • d. bevat een verklaring dat er geen aanwijzingen zijn dat de onderbouwing, bedoeld in artikel 3.5, eerste lid, onderdeel c, onjuist is;

  • f. bevat een beschrijving van deze wijze waarop deze tot stand is gekomen, waarin in ieder geval wordt beschreven:

    • i. de wijze van toetsing;

    • ii. het gebruik van vaktechnische richtlijnen; en

    • iii. de competentie, ervaring, en onafhankelijkheid van de deskundigen die betrokken zijn geweest bij het opstellen van de rapportage.

• 2 De verklaring, bedoeld in het eerste lid, onderdeel d, ziet op alle processen en systemen die nodig zijn om een authenticatie bij een publieke dienstverlener te voltooien.

• 3 De indiener van de rapportage draagt er zorg voor dat de partij, bedoeld in het eerste lid, onderdeel a, door de minister over de inhoud van de rapportage kan worden bevraagd.

• 4 Op de rapportage, bedoeld in artikel 3.5, tweede lid, onderdeel b, is artikel 3.3 van overeenkomstige toepassing.

Een aanvrager die gelijktijdig een aanvraag indient voor een erkenning voor een authenticatiedienst als bedoeld in artikel 11, tweede lid, en voor een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet kan volstaan met het eenmalig indienen van de documenten die zowel in artikel 3.1 als in artikel 3.5 worden genoemd.

Een houder van een erkenning:

• a. hanteert bij gebruik van de erkenning de in de aanvraag beschreven processen en systemen;

• b. handelt overeenkomstig de in dit hoofdstuk opgenomen voorschriften; en

• c. sluit met gebruikers een overeenkomst die overeenkomt met het model dat bij de aanvraag is overgelegd.

Een houder van een erkenning maakt bij elektronisch berichtenverkeer voor authenticatie- en machtigingshandelingen waarop de erkenning ziet gebruik van persoonlijke stelselcodes en authenticatiecodes die voor de desbetreffende gebruiker zijn aangemaakt.

De termijn, bedoeld in artikel 22, eerste lid, van het Besluit INP en artikel 13, vierde lid, van het Besluit BO, waarbinnen een houder van een erkenning het identificatiemiddel of de machtigingsdienstverlening aanbiedt, is drie maanden na het van kracht worden van die erkenning.

• 1 De beschikbaarheidsnorm, bedoeld in artikel 7, zesde lid, van het Besluit BO en artikel 22, tweede lid, van het Besluit INP, bedraagt 99,5 procent voor een erkende authenticatiedienst en voor een erkende machtigingsdienst.

• 2 De beschikbaarheid, bedoeld in het eerste lid, wordt voor een erkende authenticatiedienst per kalendermaand berekend door de tijdsduur waarbinnen een identificatiemiddel gedurende die kalendermaand door ten minste 99,5 procent van de gebruikers kon worden gebruikt voor authenticatie van een natuurlijke persoon te delen door de tijdsduur van de totale periode waarover de beschikbaarheid wordt berekend en het resultaat te vermenigvuldigen met 100.

• 3 De beschikbaarheid, bedoeld in het eerste lid, wordt voor een erkende machtigingsdienst per kalendermaand berekend door de tijdsduur waarbinnen de machtigingsdienst gedurende die kalendermaand voor ten minste 99,5 procent van de gebruikers de taken bedoeld in artikel 6, eerste lid, onderdelen b en c, subonderdeel i, van het Besluit BO kon uitvoeren te delen door de tijdsduur van de totale periode waarover de beschikbaarheid wordt berekend en het resultaat te vermenigvuldigen met 100.

• 4 Bij de tijdsduur, bedoeld in het tweede en derde lid, wordt de duur van een onderbreking aangemerkt als periode waarin het middel door gebruikers kon worden gebruikt, wanneer die onderbreking plaatsvindt:

  • a. ten behoeve van onderhoudswerkzaamheden:

    • i. tussen 0.00 uur en 6.00 uur die de houder van de erkenning ten minste tien dagen voorafgaand aan de werkzaamheden heeft aangekondigd op de website waarop gebruikers informatie over het middel kunnen vinden, en

    • ii. voor zover in de desbetreffende kalendermaand de totale tijdsduur daarvan niet meer dan 12 uur en het aantal onderbrekingen niet meer dan vier bedraagt, of

  • b. buiten de verantwoordelijkheid van de houder van de erkenning.

• 5 De beschikbaarheid wordt gemeten overeenkomstig de in de aanvraag opgenomen methode, bedoeld in artikel 3.1, eerste lid, onderdeel i.

• 6 Een houder van een erkenning rapporteert maandelijks, uiterlijk op de achtste werkdag na het verstrijken van de maand waarop de rapportage ziet, aan de minister over het beschikbaarheidsniveau, bedoeld in het eerste lid, in het jaar waarop de rapportage ziet, onderverdeeld per kalendermaand, onder vermelding van:

  • a. de periode waarover deze is gemeten;

  • b. een duiding van de periodes waarbinnen het identificatiemiddel of de machtigingsdienst niet door gebruikers kon worden gebruikt, waarbij voor de gevallen bedoeld in het vierde lid, onderdeel a, de aanleiding voor de onderbreking wordt beschreven, waarbij in ieder geval onderscheid wordt gemaakt tussen onderhoud als bedoeld in het vierde lid, onderdeel a, en andere oorzaken die binnen de verantwoordelijkheid van de houder van de erkenning hebben plaatsgevonden.

• 7 Met gebruik als bedoeld in het tweede lid wordt bedoeld het geval waarin een authenticatieverzoek van een dienstverlener aan de houder van de erkenning correct leidt tot een authenticatieresponse aan de dienstverlener door de houder van de erkenning onder de voorwaarde dat de gebruiker het authenticatiemiddel op de voorgeschreven wijze gebruikt.

• 1 Een houder van een erkenning herstelt de oorzaak van een beveiligingsincident zo spoedig mogelijk.

• 2 Een houder van een erkenning meldt een beveiligingsincident bij de minister zo spoedig mogelijk en in ieder geval binnen 24 uur na het bij hem bekend worden van dat incident en vermeldt daarbij:

  • a. een beschrijving van de kwetsbaarheid die ten grondslag lag aan het risico;

  • b. de gevolgen die de gebeurtenis heeft of naar verwachting kan hebben voor gebruikers of publieke dienstverleners;

  • c. de maatregelen die de houder van de erkenning heeft genomen of gaat nemen om herhaling te voorkomen, waaronder de maatregelen ter beperking van eventuele schade als gevolg van de gebeurtenis en in voorkomend geval een planning van nog te nemen maatregelen; en

  • d. de informatie, bedoeld in artikel 33, tweede lid, van de Algemene verordening gegevensbescherming, indien sprake is van een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4, onder 12, van die verordening.

• 3 Wanneer de informatie bedoeld in het tweede lid bij het doen van de melding niet of onvolledig kan worden gerapporteerd wordt de melding zo spoedig mogelijk na het bekend worden van de ontbrekende informatie door de houder van de erkenning aangevuld.

• 1 Onverminderd artikel 4.5 herstelt een houder van een erkenning een beschikbaarheidsincident met betrekking tot een identificatiemiddel of de machtigingsdienst waarop de erkenning ziet en die door die houder kunnen worden beëindigd binnen:

  • a. 6 uur, indien het een beschikbaarheidsincident betreft waarbij authenticatie of het verzenden van een machtigingsverklaring voor geen van de gebruikers mogelijk is;

  • b. 10 uur, indien het een beschikbaarheidsincident betreft, anders dan een incident bedoeld in onderdeel a, waarbij authenticatie of het verzenden van een machtigingsverklaring voor 90 of meer procent van de gebruikers slechts beperkt mogelijk is;

  • c. 18 uur, indien het een beschikbaarheidsincident betreft waarbij authenticatie of het verzenden van een machtigingsverklaring voor minder dan 90 procent van de gebruikers slechts beperkt mogelijk is.

• 2 De hersteltijd, bedoeld in het eerste lid, wordt berekend vanaf het moment waarop de houder van de erkenning redelijkerwijs bekend kon zijn met het beschikbaarheidsincident, waarbij voor een situatie als bedoeld in het eerste lid, onderdeel b en c, de tijdsduur tussen 18:00 en 08:00 uur op werkdagen en de tijdsduur op weekend- en feestdagen niet wordt meegerekend.

• 3 Het eerste lid is niet van toepassing indien niet redelijkerwijs kan worden verwacht dat het incident binnen de in dat lid genoemde hersteltijd kan worden hersteld. In een dergelijk geval wordt de beschikbaarheid zo spoedig mogelijk hersteld.

• 4 Een houder van een erkenning beschikt over gegevens waarmee kan worden aangetoond dat hij voldoet aan dit artikel.

• 1 Een houder van een erkenning maakt zo spoedig mogelijk na constatering van een beschikbaarheidsincident als bedoeld in artikel 4.6, eerste lid, onderdeel a of b, melding daarvan op zijn website en geeft een inschatting van het moment waarop het incident zal zijn hersteld.

• 2 Het eerste lid is niet van toepassing op beschikbaarheidsincidenten waarbij redelijkerwijs mag worden verwacht dat de beschikbaarheid binnen 30 minuten is hersteld.

• 1 De houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, is op werkdagen tussen 8.00 en 18.00 uur in ieder geval 40 uur per week telefonisch bereikbaar voor gebruikers.

• 2 De houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, draagt er zorg voor dat het schorsen of intrekken van een identificatiemiddel door een gebruiker overeenkomstig artikel 4.13, eerste lid, onderdeel a, op ieder moment mogelijk is.

• 3 De houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, maakt op zijn website de wijze kenbaar waarop hij bereikbaar is en op welke wijze een identificatiemiddel kan worden geschorst of ingetrokken.

• 1 De houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, is op de overeenkomstig artikel 3.1, eerste lid, onderdeel f, subonderdeel ii, aangegeven wijze op ieder moment bereikbaar voor overleg over het beheer van het stelsel, waaronder in ieder geval wordt begrepen overleg over het voorkomen of herstellen van beveiligings- of beschikbaarheidsincidenten of misbruik van identificatiemiddelen.

• 2 De houder van een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet, is op de overeenkomstig artikel 3.5, eerste lid, onderdeel f, subonderdeel ii, aangegeven wijze op ieder moment bereikbaar voor overleg over het beheer van het stelsel, waaronder in ieder geval wordt begrepen overleg over het voorkomen of herstellen van beveiligings- of beschikbaarheidsincidenten of misbruik van machtigingsdiensten.

• 3 De houder van een erkenning laat zich vertegenwoordigen tijdens een periodiek overleg over het beheer van het stelsel op verzoek van de minister.

• 1 Een houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet:

  • a. verzendt aan het BSN-koppelregister ter controle ten hoogste vijf jaar na het verkrijgen van een persoonlijke stelselcode voor een gebruiker een authenticatiecode voor die gebruiker;

  • b. verwijdert een persoonlijke stelselcode ten hoogste vijf jaar na het verkrijgen daarvan.

• 2 Indien de controle, bedoeld in het eerste lid, onderdeel a, een positief resultaat heeft opgeleverd verwerkt de houder van de erkenning de persoonlijke stelselcode die voor de desbetreffende gebruiker is aangemaakt en die de houder van de erkenning na de controle ontvangt.

• 3 Indien de controle, bedoeld in het eerste lid, onderdeel a, geen positief resultaat heeft opgeleverd trekt de houder van de erkenning alle identificatiemiddelen in die door de houder van de erkenning aan de desbetreffende gebruikers zijn uitgegeven.

• 4 Een identificatiemiddel wordt door de houder van een erkenning die dat middel beheert ingetrokken of geschorst indien de gebruiker van het identificatiemiddel dat middel langer dan 5 jaar niet heeft gebruikt voor een authenticatie.

• 5 Een identificatiemiddel dat is geschorst als gevolg van de procedure, bedoeld in het vierde lid, wordt ingetrokken indien de gebruiker niet binnen 30 dagen na het ingaan van de schorsing met het desbetreffende identificatiemiddel een handeling uitvoert die zou hebben geleid tot een authenticatie in het geval waarin het desbetreffende identificatiemiddel niet zou zijn geschorst.

• 6 De houder van een erkenning stelt de gebruiker zo spoedig mogelijk op de hoogte van een intrekking of schorsing als bedoeld in de voorgaande leden en maakt daarvan melding tijdens het inlogproces bij gebruik van het identificatiemiddel.

• 7 Het derde en vierde lid zijn niet van toepassing op een identificatiemiddel dat voor de authenticatie gebruik maakt van een Nederlands identiteitsdocument.

• 1 Een houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet of artikel 11, tweede lid, van de wet:

  • a. registreert en analyseert informatie omtrent uitgifte en gebruik van identificatiemiddelen die duiden op misbruik van identificatiemiddelen op basis van patronen die zijn verstrekt door de minister;

  • b. draagt er zorg voor dat trends, voor zover deze duiden op authenticatiefraude worden herkend, tegengegaan en bestreden; en

  • c. draagt er zorg voor dat trends, voor zover deze duiden op misbruik van identificatiemiddelen anders dan authenticatiefraude, op basis van patronen die zijn verstrekt door de minister worden herkend, tegengegaan, bestreden en hersteld.

• 2 Een houder van een erkenning als bedoeld in het eerste lid meldt herkende trends als bedoeld in het eerste lid, onderdeel c en d aan de minister.

• 1 Een houder van een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet;

  • a. registreert en analyseert informatie omtrent verzoeken als bedoeld in artikel 6, eerste lid, onderdeel c, van het Besluit BO die duiden op partij overstijgend misbruik van identificatiemiddelen en geregistreerde bevoegdheden op basis van patronen die zijn verstrekt door de minister;

  • b. draagt er zorg voor dat trends, voor zover deze duiden op authenticatiefraude, worden herkend, tegengegaan of bestreden; en

  • c. draagt er zorg voor dat trends, voor zover deze duiden op misbruik van identificatiemiddelen en geregistreerde bevoegdheden anders dan authenticatiefraude, op basis van patronen die zijn verstrekt door de minister worden herkend, tegengegaan, bestreden en hersteld.

• 2 Een houder van een erkenning als bedoeld in het eerste lid meldt herkende trends als bedoeld in het eerste lid, onderdeel b en c, aan de minister.

• 1 Een houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, of artikel 11, tweede lid, van de wet:

  • a. stelt een gebruiker in de gelegenheid om zo spoedig mogelijk, en in ieder geval binnen 4 uur, een identificatiemiddel te laten intrekken, op een wijze die bestand is tegen een aanval met een aanvalspotentieel Enhanced-Basic;

  • b. gaat zo spoedig mogelijk en in ieder geval binnen 4 uur na ontvangst van een verzoek van de minister over tot schorsing of intrekking van een identificatiemiddel.

• 2 Indien een houder van de erkenning een identificatiemiddel op verzoek van de gebruiker kan schorsen zijn voor dat schorsen de in het eerste lid, onderdeel a, genoemde termijnen en bestandheid tegen aanvallerspotentieel van overeenkomstige toepassing.

• 3 Een houder van een erkenning gaat zo spoedig mogelijk, en in ieder geval binnen 4 uur, over tot intrekking of schorsing van een identificatiemiddel wanneer misbruik van dat identificatiemiddel is bevestigd of wordt vermoed als gevolg van de procedures bedoeld in artikel 4.11, eerste lid.

• 4 Een schorsing als bedoeld in het derde lid geldt ieder geval voor de periode die nodig is om het vermoeden te onderzoeken.

• 5 De houder van een erkenning stelt de gebruiker zo spoedig mogelijk op een wijze die bestand is tegen een aanval met een aanvalspotentieel Enhanced-Basic op de hoogte van een intrekking of schorsing als bedoeld in de voorgaande leden en maakt daarvan melding tijdens het inlogproces bij gebruik van het identificatiemiddel.

• 6 Aan gebruikers wordt slechts een mogelijkheid geboden om een schorsing op te heffen wanneer die schorsing heeft plaatsgevonden op verzoek van de gebruiker. In dat geval wordt de identiteit van de gebruiker ten minste vastgesteld op een wijze die bestand is tegen een aanval met een aanvalspotentieel Enhanced-Basic.

• 1 Een houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, of artikel 11, tweede lid, van de wet, verstrekt tijdens het proces voor inschrijving, bedoeld in paragraaf 1.1 van de bijlage bij Uitvoeringsverordening (EU) 2015/1502, of bij intrekken of schorsen van een identificatiemiddel:

  • a. ten behoeve van partij overstijgende detectie van misbruik van identificatiemiddelen aan een door onze minister aangewezen register:

    • i. de voor dat doel aangemaakte persoonlijke stelselcode voor de gebruiker, waaronder in ieder geval wordt begrepen de datum en het tijdstip waarop het middel aan de gebruiker is verstrekt en het betrouwbaarheidsniveau van het identificatiemiddel; en

    • ii. andere informatie die nodig is om het identificatiemiddel te herkennen, waaronder in ieder geval wordt begrepen de datum en het tijdstip waarop het middel aan de gebruiker is verstrekt en het betrouwbaarheidsniveau van het middel; en

  • b. ten behoeve van zelfcontrole door gebruikers aan een door de minister aangewezen register van ieder aan een gebruiker afgegeven middel:

    • i. de voor dat doel aangemaakte stelselcode voor de gebruiker; en

    • ii. andere informatie die nodig is voor de gebruiker om het identificatiemiddel te herkennen, waaronder in ieder geval wordt begrepen de datum en het tijdstip waarop het middel aan de gebruiker is verstrekt en het betrouwbaarheidsniveau van het middel; en

    • iii. informatie over de status van het identificatiemiddel waaronder informatie over schorsing, intrekking of activering van het middel.

• 2 Bij het verstrekken van gegevens als bedoeld in dit artikel of artikel 19 van de wet maakt de houder van een erkenning gebruik van een voor dat doel aangemaakte authenticatiecode.

• 1 Een houder van een erkenning geeft een persoon geen toegang tot vertrouwelijke informatie of processen en systemen die worden gebruikt voor registratie en uitgifte van identificatiemiddelen of het registreren van een bevoegdheid als bedoeld in artikel 6 van het Besluit BO als deze persoon op het moment waarop deze toegang voor het eerst mogelijk wordt gemaakt geen verklaring heeft overgelegd van de overheid van het land of de landen waar de persoon de afgelopen 4 jaar woonachtig is geweest, waaruit blijkt dat er geen strafrechtelijke antecedenten bekend zijn die in de weg staan dat deze persoon:

  • a. bevoegd is om systemen te raadplegen die toegang geven tot vertrouwelijke gegevens of waarmee die gegevens kunnen worden gewijzigd;

  • b. met gevoelige informatie omgaat;

  • c. kennis draagt van veiligheidssystemen, controlemechanismen en verificatieprocessen.

• 2 Het vaststellen en controleren van de identiteit van gebruikers, waaronder het uitvoeren van een authenticiteitsonderzoek bij een fysiek identiteitsdocument, vindt plaats door middel van een proces waarmee de kwaliteit wordt geborgd en geschiedt slechts door medewerkers die daartoe een opleiding hebben gevolgd die periodiek wordt geactualiseerd.

• 3 Een houder van een erkenning registreert bij het combineren van gegevens als bedoeld in artikel 3, eerste lid, onderdeel e, van het Besluit INP en artikel 2, tweede lid, onderdeel g, van het Besluit BO:

  • a. de naam van degene die de handeling bedoeld in dat onderdeel heeft uitgevoerd;

  • b. het moment waarop de gegevens zijn gecombineerd.

• 4 Een houder van een erkenning draagt er zorg voor dat het registreren en het uitgeven van een identificatiemiddel geschiedt door verschillende personen.

• 5 Een houder van een erkenning draagt zorg voor de vertrouwelijke behandeling van vertrouwelijke gegevens die in het kader van de erkenning aan hem worden verstrekt, in ieder geval door medewerkers die deze gegevens kunnen inzien een geheimhoudingsverklaring te laten tekenen.

Een houder van een erkenning sluit aan op:

• a. de infrastructuur en registers, bedoeld in artikel 2.25;

• b. de voorziening, bedoeld in artikel 5, tweede lid, onderdeel a, van de wet, voor zover een notificatie als bedoeld in artikel 4.17 met succes is afgerond met inachtneming van de verplichtingen die aan die notificatie verbonden zijn.

Een houder van een erkenning verleent in voorkomend geval medewerking aan een notificatie als bedoeld in artikel 7 van de eIDAS-verordening, welke medewerking in ieder geval inhoudt dat de daarvoor benodigde documentatie wordt verstrekt en dat inzicht wordt geboden in processen waarop de erkenning ziet.

• 1 Een aanvraag voor intrekking van een erkenning als bedoeld in artikel 27 van het Besluit INP of artikel 17 van het Besluit BO wordt afgewezen wanneer de aanvrager niet heeft aangetoond dat:

  • a. met de aanvraag niet is geborgd dat gegevens kunnen worden bewaard overeenkomstig artikel 14b en 14c van het Besluit digitale overheid;

  • b. met de aanvraag niet is geborgd dat gedurende een periode van 6 maanden na het beëindigen van de dienstverlening, gebruikers en partijen onverminderd toegang hebben tot de gegevens bedoeld in onderdeel a;

  • c. de te vernietigen gegevens veilig worden vernietigd.

• 2 Een aanvraag voor de beëindiging van een erkenning als bedoeld in het eerste lid bevat in ieder geval:

  • a. een omschrijving van de wijze van communicatie van de voorgenomen beëindiging van de dienstverlening aan gebruikers en andere betrokken partijen waaronder publieke dienstverleners en partijen die aan de dienstverlening gerelateerde activiteiten uitvoeren, ten minste 3 maanden voorafgaand aan de beëindigingsdatum;

  • b. een omschrijving van de wijze waarop de beëindiging van dienstverlening door partijen die aan de erkende dienstverlening gerelateerde activiteiten uitvoeren plaatsvindt;

  • c. een omschrijving van de veilige overdracht van de gegevens die in het kader van de erkenning zijn verkregen naar een houder van een soortgelijke erkenning of naar een beëindigingspartij die gebonden is aan dezelfde beschermingsmaatregelen als opgelegd vanuit de erkenning;

  • d. een door de minister beschikbaar gestelde geheimhoudingsverklaring die is getekend door derde partijen waaraan in het kader van de beëindiging gegevens worden overgedragen.

Een houder van een erkenning meldt aan de minister:

• a. een wijziging als bedoeld in artikel 23, eerste lid, onderdeel a, van het Besluit INP en artikel 8, eerste lid, onderdeel a, van het Besluit BO ten minste 30 werkdagen voor het implementeren daarvan;

• b. een wijziging in de organisatie of de zeggenschap als bedoeld in artikel 23, eerste lid, onderdeel b, van het Besluit INP en artikel 8, eerste lid, onderdeel a, van het Besluit BO ten minste 30 werkweken voordat de desbetreffende wijziging wordt doorgevoerd.

Een melding als bedoeld in artikel 4.5, tweede lid, of artikel 4.19 wordt gedaan met een door de minister beschikbaar gesteld formulier.

• 1 Een houder van een erkenning voor een authenticatiedienst als bedoeld in artikel 9, tweede lid, van de wet, of artikel 11, tweede lid, van de wet, levert aan de minister:

  • a. ten minste elke drie jaar een rapportage als bedoeld in artikel 3.2;

  • b. jaarlijks een actuele rapportage als bedoeld in artikel 3.3;

  • c. jaarlijks de documenten, bedoeld in artikel 3.1, eerste lid, onderdeel d;

  • d. ten minste elke drie jaar een gegevensbeschermingseffectbeoordeling, voor zover deze moet worden opgesteld op grond van artikel 35 van de Algemene verordening gegevensbescherming.

• 2 De houder van een erkenning voor een machtigingsdienst als bedoeld in artikel 11, derde lid, van de wet, levert aan de minister:

  • a. ten minste elke drie jaar een rapportage als bedoeld in artikel 3.6;

  • b. jaarlijks een actuele rapportage als bedoeld in artikel 3.6, vierde lid;

  • c. jaarlijks de documenten, bedoeld in artikel 3.5, onderdeel d;

  • d. ten minste elke drie jaar een gegevensbeschermingseffectbeoordeling, voor zover deze moet worden opgesteld op grond van artikel 35 van de Algemene verordening gegevensbescherming.

• 3 De termijn, bedoeld in het eerste en tweede lid, wordt gerekend vanaf het moment van datering van de ingediende documenten.

• 4 De indiener van de rapportage bedoeld in het eerste lid, onderdeel a, en het tweede lid, onderdeel a, draagt er zorg voor dat de partij die de rapportage heeft opgesteld door de minister over de inhoud van de rapportage kan worden bevraagd.

• 1 Op een publiek identificatiemiddel is artikel 4.10, eerste lid, niet van toepassing.

• 2 In afwijking van artikel 4.1, eerste lid, onderdeel a, functioneert een publiek identificatiemiddel overeenkomstig de processen die aan de aanwijzing ten grondslag lagen.

Een machtigingsdienst of authenticatiedienst, als bedoeld in artikel 24 van de wet doet aan de minister een melding, welke melding een beschrijving bevat van de dienst die op basis van artikel 24 van de wet wordt aangeboden.