Dit moeten dienstverleners weten over de Wdo
De Wet digitale overheid (Wdo) is sinds 1 juli 2023 een feit. Vanaf die datum wordt de wet in fases ingevoerd. Wat staat publieke dienstverleners de komende jaren te wachten?
Wat is de Wdo?
De Wet digitale overheid (Wdo) is een belangrijke stap in de richting van een veilige en betrouwbare digitale overheid. De eerste tranche (deel) van de wet gaat over veilig inloggen op de digitale dienstverlening van (semi-) overheidsinstanties.
De Wdo regelt dat Nederlandse burgers, bedrijven en rechtspersonen gemakkelijk en veilig kunnen inloggen bij de (semi-)overheid. Daarvoor kunnen ze zowel publieke als private elektronische identificatiemiddelen (eID’s) gaan gebruiken. Voor burgers betekent dit bijvoorbeeld dat ze op termijn niet meer afhankelijk zijn van DigiD.
Welke dienstverleners vallen onder de Wdo?
De Wdo heeft betrekking op veilige toegang tot de digitale dienstverlening van (semi-) overheidsinstanties. Dat zijn volgens de wet:
- a-bestuursorganen zoals ministeries, provincies en gemeenten,
- rechtelijke instanties zoals rechtbanken, gerechtshoven en de Hoge Raad,
- aangewezen organisaties zoals onderwijsinstellingen, zorgverleners, zorgverzekeraars en pensioenfondsen.
Wat betekent de Wdo voor (semi-)publieke dienstverleners?
Publieke en semi-publieke dienstverleners moeten op de eerste plaats hun digitale diensten indelen naar betrouwbaarheidsniveau (laag, substantieel of hoog). Daar kunnen ze nu al mee beginnen. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft hiervoor zelfs een ‘Regelhulp’ beschikbaar gesteld. Heeft een dienst bijvoorbeeld een hoog betrouwbaarheidsniveau, dan mag een dienstverlener voor die dienst alleen een toegelaten inlogmiddel met een hoog betrouwbaarheidsniveau accepteren.
Daarbij hebben de dienstverleners de verplichting om op de niveaus substantieel en hoog alle toegelaten inlogmiddelen te accepteren. Dit is de zogeheten acceptatieplicht. Daarnaast moeten ze ervoor zorgen dat ze hun informatiebeveiliging op orde hebben, zodat de digitale dienstverlening veilig is te gebruiken. Zo is de HTTPS-standaard wettelijk verplicht voor alle publiek toegankelijke overheidswebsites en webapplicaties. Deze standaard zorgt ervoor dat de verbinding tussen de browser van de bezoeker en de website van de overheidsorganisatie goed beveiligd is.
Welke eID’s moeten publieke dienstverleners accepteren?
Alle inlogmiddelen die worden toegelaten tot het nieuwe stelsel Toegang. Het is nu nog niet bekend welke dat zijn. DigiD en eIDAS (voor de genotificeerde Europese inlogmiddelen) komen sowieso in het stelsel beschikbaar als publieke inlogmiddelen. De verwachting is dat ook eHerkenning behoort tot de inlogmiddelen die als eerste worden toegelaten. Hiermee wordt de toegang geregeld tot de dienstverlening aan ondernemingen en rechtspersonen.
Het staat iedere aanbieder vrij om met een of meerdere inlogmiddelen een zogeheten erkenningsproces te doorlopen. Afhankelijk van de resultaten wordt het betreffende inlogmiddel toegelaten tot het stelsel Toegang, of wordt erkenning afgewezen. Ook na toetreding worden de inlogmiddelen continu getoetst.
Zijn dienstverleners ook verplicht om machtigingen te accepteren?
Ja, bij diensten op het betrouwbaarheidsniveau substantieel en hoog zijn publieke dienstverleners wettelijk verplicht om machtigingen te aanvaarden. Deze machtigingen bestaan uit elektronische verklaringen waarin wordt bevestigd dat een individu, bedrijf of rechtspersoon gemachtigd is om namens een andere persoon, bedrijf of rechtspersoon toegang te verkrijgen tot de dienst.
Per wanneer geldt de acceptatieplicht?
Zodra een publieke dienstverlener aansluit op het stelsel Toegang geldt ook de zogeheten acceptatieplicht. Het is echter nog even wachten op de techniek (ICT) en de organisatie achter het stelsel. Die zijn naar verwachting in 2025 klaar. De eerste eID’s zullen daarna snel worden toegelaten. In de eerste helft van 2024 verwachten we meer duidelijkheid over het stelsel en de planning.
Publieke dienstverleners kunnen tot de tweede helft van 2026 aansluiten op het stelsel Toegang. Vanaf een termijn na gereedkoming van de stelselvoorzieningen moeten organisaties zich ook echt aan de wet gaan houden (momenteel is de datum gesteld op 1 juli 2026). De Rijksinspectie Digitale Infrastructuur (RDI) gaat daarop toezien
Welke eisen stelt de Wdo aan inlogmiddelen?
Zowel publieke als private inlogmiddelen die onder de Wdo worden aangeboden, moeten aan bepaalde eisen voldoen. Die eisen worden deels bepaald door de Europese verordening eIDAS en deels door nadere invulling van de Wdo zelf.
De eisen hebben betrekking op zaken als privacy, transparantie, beschikbaarheid, ondersteuning en security. Zo staat in de ‘Ministeriële Regeling met eisen aan inlogmiddelen voor burgers en bedrijven’ dat aanbieders van inlogmiddelen burgerservicenummers altijd versleuteld moeten verwerken, en dat het gebruik van pseudoniemen als basis wordt gehanteerd.
Bovendien zijn inlogmiddelaanbieders verplicht om zowel burgers als bedrijven inzicht te verschaffen in de verwerkte (persoons)gegevens. Tevens moeten zij maatregelen treffen om eventueel misbruik van de inlogmiddelen te identificeren en te herstellen.
Wat zegt de Wdo over het koppelen van eID’s aan diensten?
De Wdo vereist het gebruik van een specifiek koppelvlak. De invulling van dat koppelvlak is op basis van de Security Assertion Markup Language (SAML) en NL GOV OpenID Connect (OIDC).
Per dienst moet de dienstverlener koppelingen aanbrengen met de toegelaten eID’s. Stel, een dienstverlener biedt burgers drie digitale diensten, en er zijn vier ‘burgermiddelen’ toegelaten tot het stelsel Toegang. Dan moet de dienstverlener in totaal twaalf koppelingen tot stand brengen en ook onderhouden
Wat zijn de kosten voor het naleven van de Wdo?
De kosten hangen van verschillende factoren af. Denk dan aan de grootte van uw organisatie, het aantal eID’s dat u moet accepteren, het aantal diensten dat u aanbiedt en dus het aantal koppelingen dat u moet realiseren en onderhouden.
Mogelijk moet u systemen en processen die u momenteel gebruikt aanpassen om aan de nieuwe eisen te voldoen. Ook dat brengt kosten met zich mee, bijvoorbeeld voor het verbeteren van beveiligingsprotocollen.
Zorgt de Wdo voor een zwaardere auditlast?
Die kans is zeker aanwezig. Nu al moeten (semi-)overheidsorganisaties die DigiD gebruiken, hun inlogsystemen laten testen door een erkende auditor en een rapport aanleveren bij Logius. Dit is het DigiD-assessment.
Onder de Wdo geldt die verplichting voor alle eID’s waarmee bedrijven en burgers kunnen inloggen. Het assessment krijgt een andere naam, maar volgt in eerste instantie dezelfde regels en hetzelfde proces. De bestaande eisen en rapporten worden vastgelegd in een ministeriële regeling, de ‘Regeling dienstverleners informatieveiligheidsaudits Wdo’. Het blijft mogelijk om een uitgebreider assessment te doen. De huidige extra eisen voor uitgebreide DigiD-assessments worden opgenomen in de nieuwe regels.
Hoe kan Signicat mij helpen?
Met het Wdo-pakket biedt Signicat alles wat u nodig heeft om te kunnen voldoen aan de Wdo. Hiermee bent u in één keer voorbereid op de Wdo. Spil in dit pakket is de Signicat Identity Broker, ook wel routeringsvoorziening genoemd. Een digitale dienst wordt via één verbinding hierop aangesloten. Dat kan met behulp van de overheidsprotocollen SAML en NL GOV OIDC, maar ook met andere protocollen (denk aan marktstandaarden als SAML2.0 en OIDC).
Signicat zorgt er vervolgens voor dat via de broker alle toegelaten eID’s beschikbaar zijn, zodat de dienstverlener aan zijn acceptatieplicht kan voldoen. Daarbij geeft Signicat de garantie dat alle eID’s die worden toegelaten tot het stelsel Toegang worden aangesloten op de broker en dus ook op de dienstverlening van de klant.
Signicat neemt de updates, upgrades en het versiebeheer van eID’s voor zijn rekening en zorgt ervoor dat de impact van de migratie van de huidige aansluiting naar stelsel Toegang wordt geminimaliseerd. Ook levert Signicat vele aanvullende services binnen het identitylandschap waardoor de applicatie van de dienstverlener minder wordt belast en de dienstverlener in vele opzichten wordt ontzorgd. De verbinding en inlogmiddelen beheert u via een overzichtelijk self-serviceportaal waarin u ook het gebruik kunt monitoren.