Overheid onvoldoende voorbereid op nieuw toegangsstelsel

Volgens de Wet digitale overheid (Wdo), die per 1 juli 2023 gefaseerd ingaat, moeten inwoners kunnen inloggen bij publieke dienstverleners met nieuwe vormen van digitale authenticatie. De Algemene Rekenkamer voorziet een aantal knelpunten, die ertoe kunnen leiden dat de continuïteit en kwaliteit van de bestaande dienstverlening in gevaar komt.

Digitale toegang

De Wet digitale overheid (Wdo), oorspronkelijk bekend onder de naam Wet Generieke Digitale Infrastructuur (GDI), legt de basis voor verdere digitalisering van de overheid. De Wdo zorgt er onder meer voor dat er zo veel mogelijk standaarden worden gehanteerd door de overheid. Dit betekent onder meer dat de standaarden HTTPS en HSTS grote kans lopen om verplicht te worden. De wet bevat regels over veiligheid en de controle daarop. Daarnaast behandelt de Wdo de digitale toegang tot overheidsdienstverlening. Het toegangsstelsel wordt vernieuwd en dat heeft grote gevolgen voor de uitvoerende organisaties, zoals de gemeenten.

Meerdere inlogmethodes

De Wdo regelt dat er onder voorwaarden private authenticatiemiddelen voor inwoners kunnen komen, naast het publieke DigiD. Voor bedrijven komt er juist een publiek authenticatiemiddel bij, naast het private eHerkenning. Daar zullen ze wel nog even op moeten wachten, want dit onderdeel komt pas in de ‘tweede tranche’ van de wet aan de orde, en daarvan is de datum van invoering nog niet bekend. Alleen voor het doen van belastingaangifte wordt het publieke authenticatiemiddel voor de ‘eerste tranche’ gereed gemaakt. In het kader van de Europese verordening electronic identification and trust services (eIDAS2) moeten alle Europese lidstaten bovendien een wallet aanbieden. Dit is een digitale portemonnee met (identiteits)gegevens, die een burger of bedrijf kan delen met publieke en private partijen. Ook dit wordt een inlogmethode.  

Niet goed voorbereid

Op dit moment is de overheid nog niet goed voorbereid op al deze vernieuwingen, waarschuwt de Algemene Rekenkamer. Zo voorziet de Wdo in een ‘routeringsvoorziening’, een aansluitpunt voor alle authenticatiemiddelen. Dit is essentieel, want hierdoor hoeven uitvoerende organisaties zoals gemeenten slechts op één centraal punt aan te sluiten. In het recente rapport ‘Digitale identiteit vraagt veel van DigiD en eHerkenning’ stelt de Algemene Rekenkamer vast dat dit belangrijke onderdeel van het nieuwe authenticatiestelsel er nog niet is. 

Kanttekeningen

De Rekenkamer zet de indicatieve tijdlijnen van Wdo en eIDAS2 onder elkaar en plaatst er een aantal kanttekeningen bij. Zo moeten uitvoerende organisaties als UWV, Belastingdienst en gemeenten 3 jaar na inwerkingtreding van de wet aansluiten op het nieuwe stelsel. Maar wat gebeurt er als een inwoner al over een jaar beschikt over een nieuw authenticatiemiddel en daarmee wil inloggen terwijl de gemeente nog lang niet zo ver is? Daarnaast vragen de onderzoekers zich af of er genoeg implementatietijd is voor authenticatiemiddelenleveranciers en uitvoerende organisaties. ‘De continuïteit en kwaliteit van de bestaande dienstverlening komt mogelijk in gevaar door deze stelselveranderingen’ schrijven de onderzoekers. Het wordt zaak om schaarse mankracht slim te benutten. Uit het rapport: ‘Medewerkers van het Ministerie van BZK en Logius moeten zich zowel richten op de continuïteit van de huidige diensten DigiD en eHerkenning als op de realisatie van de Wdo en eIDAS2 en de wallet. Veel activiteiten lopen parallel en vragen om inzet van dezelfde schaarse expertise en capaciteit op dit vlak.’
Ook niet heel bemoedigend is dat zicht op de totaalarchitectuur van het toegangsstelsel volgens de onderzoekers ontbreekt. Dat is wel nodig om het stelsel goed te laten werken en onnodige kosten te vermijden.

Beperkte bevoegdheden

De hamvraag of inwoners er met de invoering van het nieuwe toegangsstelsel op vooruitgaan. Voor digitaal onderlegden wordt het wellicht makkelijker om veilig in te loggen, maar geldt dat ook voor de groep mensen die ‘minder digitaal vaardig zijn of ingewikkelde problemen hebben’ en voor wie het nu erg lastig is om in te loggen bij de overheid? Fysieke loketten om deze mensen te helpen met inloggen helpen wel, maar de medewerkers van de zogeheten Informatiepunten Digitale Overheid (IDO) hebben beperkte mogelijkheden en bevoegdheden. De onderzoekers bevelen de minister van BZK aan om te onderzoeken of er meer bevoegdheden voor IDO-medewerkers passen in de doorontwikkeling van de IDO’s. Op Verantwoordingsdag (17 mei) verschijnt een uitgebreide rapport van de Algemene Rekenkamer over IDO’s.