Besluit van 17 mei 2016, houdende regels betreffende de verwerking van persoonsgegevens in de voorzieningen voor de generieke digitale infrastructuur DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister (Besluit verwerking persoonsgegevens generieke digitale infrastructuur)

Op de voordracht van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 18 januari 2016, nr. 2016-0000023784 DCB/CZW/SB;

Gelet op artikel X, derde lid, van de Wet elektronisch berichtenverkeer Belastingdienst;

De Afdeling advisering van de Raad van State gehoord (advies van 8 april 2016, nr. No.W04.160008/I);

Gezien het nader rapport van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 10 mei 2016 nr. 2016-0000267641 BZK/CZW/SB;

Hebben goedgevonden en verstaan:

Hoofdstuk 1. Algemene bepalingen

Artikel 1. Begripsbepalingen

In dit besluit wordt verstaan onder:

• afnemer van de bevoegdheidsverklaringsdienst: een bestuursorgaan dat of een aangewezen organisatie die in het kader van elektronische dienstverlening gebruik maakt van de bevoegdheidsverklaringsdienst;

• afnemer van de gezagsmodule: een bestuursorgaan dat of aangewezen organisatie die bij de gezagsmodule een verzoek indient om een gezagsverklaring;

• afnemer van DigiD en DigiD Machtigen: een bestuursorgaan dat of aangewezen organisatie die in het kader van elektronische dienstverlening gebruik maakt van DigiD respectievelijk DigiD Machtigen;

• afnemer van de routeringsvoorziening: een bestuursorgaan dat of aangewezen organisatie die toegang wil verlenen tot elektronische diensten door middel van een toegelaten of erkend identificatiemiddel of door middel van machtiging;

• afnemer van MijnOverheid: een bestuursorgaan dat of aangewezen organisatie die bij de uitoefening van zijn taak of bevoegdheid gebruik maakt van MijnOverheid;

• beschikbaarheid: de mate waarin een informatiesysteem in bedrijf en toegankelijk is op het moment dat een organisatie het nodig heeft;

• bevoegdheidsverklaring: een verklaring als bedoeld in artikel 7a;

• bevoegdheidsverklaringsdienst: de door Onze Minister beheerde voorziening die aan afnemers van de bevoegdheidsverklaringsdienst een bevoegdheidsverklaring afgeeft over de vertegenwoordigingsbevoegdheid van een beoogd vertegenwoordiger;

• bezoeker van MijnOverheid, DigiD of DigiD Machtigen: degene die MijnOverheid, DigiD of DigiD Machtigen bezoekt, maar niet inlogt of van wie de elektronische aanvraagprocedure voor een DigiD niet is voltooid;

• BSN-Koppelregister: de voorziening, bedoeld in artikel 5, eerste lid, onder d, van de wet;

• burgerservicenummer: het nummer, bedoeld in artikel 1, onderdeel b, van de Wet algemene bepalingen burgerservicenummer;

• DigiD: de voorziening, bedoeld in artikel 5, eerste lid, onderdeel a, van de wet;

• DigiD Machtigen: de voorziening voor elektronische registratie van machtigingen die bereikbaar is via het webadres machtigen.digid.nl;

• eIDAS-voorziening: de voorziening, bedoeld in artikel 5, tweede lid, van de wet;

• gebruiker van een bedrijfs- en organisatiemiddel: een onderneming of rechtspersoon als bedoeld in artikel 5 onderscheidenlijk 6 van de Handelsregisterwet 2007 of een op grond van artikel 8, aanhef en onderdeel a, van die wet aangewezen rechtspersoon, of een natuurlijke persoon die deze onderneming of rechtspersoon vertegenwoordigt, die een erkend bedrijfs- en organisatiemiddel heeft aangevraagd of de aanvraagprocedure voor dat middel heeft voltooid;

• gebruiker van DigiD: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer en van wie de elektronische aanvraagprocedure voor een DigiD is voltooid;

• gebruiker van DigiD Machtigen: de vertegenwoordiger, de vertegenwoordigde of een natuurlijke persoon of rechtspersoon, die gebruik maakt van de voorziening DigiD Machtigen;

• gebruiker van MijnOverheid: een natuurlijk persoon die is ingeschreven in de basisregistratie personen, in het bezit is van een burgerservicenummer, en voor wie een MijnOverheid-account beschikbaar is;

• gemachtigde in MijnOverheid: een gebruiker van MijnOverheid of een rechtspersoon, die met een in DigiD Machtigen geregistreerde machtiging in MijnOverheid bepaalde berichten van de vertegenwoordigde in kan zien;

• informatiebeveiliging/informatieveiligheid: het proces van vaststellen van de vereiste betrouwbaarheid van informatieverwerking en informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen, gericht op de toegang tot elektronische dienstverlening;

• informatiesysteem: het geheel van gegevensverzamelingen, de daarbij behorende personen, procedures, processen en programmatuur alsmede de getroffen voorzieningen voor opslag, verwerking en communicatie ten behoeve van elektronische dienstverlening, waaronder de mobiele applicaties als onderdeel van elektronische dienstverlening;

• integriteit/betrouwbaarheid: de mate waarin een organisatie zich voor zijn bedrijfs- en bestuursprocessen kan verlaten op zijn informatievoorziening;

• gezagsmodule: de door Onze Minister beheerde module die een gezagsverklaring genereert en verstrekt;

• gezagsverklaring: een verklaring als bedoeld in artikel 7b;

• MijnOverheid: de voorziening die bereikbaar is via het webadres mijn.overheid.nl voor de dienst voor elektronisch berichtenverkeer de Berichtenbox, en de diensten voor informatieverschaffing Lopende Zaken, Persoonlijke gegevens en Algemene bekendmakingen, mededelingen en kennisgevingen;

• MijnOverheid-account: het domein van een gebruiker van MijnOverheid op MijnOverheid;

• notificatie: een attendering die met een e-mailbericht of via een ander kanaal aan de gebruiker van DigiD, DigiD Machtigen of MijnOverheid wordt verstuurd, teneinde hem te informeren over een bericht of wijziging;

• Onze Minister: Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties;

• overheidsorgaan: overheidsorgaan als bedoeld in artikel 1, onderdeel c, van de Wet algemene bepalingen burgerservicenummer;

• persoonsgegevens: hetgeen daaronder wordt verstaan in artikel 4 onder 1 van de Algemene verordening gegevensbescherming;

• risicomanagement: het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes;

• routeringsvoorziening: de voorziening, bedoeld in artikel 5, eerste lid, onder c, van de wet;

• Uitvoeringsverordening (EU) 2015/1502: Uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, derde lid, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (PbEU 2015, L235);

• vertegenwoordigde: een natuurlijk persoon of rechtspersoon die zich ter behartiging van zijn belangen in het elektronisch verkeer met bestuursorganen en aangewezen organisaties laat vertegenwoordigen door een andere natuurlijke persoon of rechtspersoon;

• vertegenwoordigde in MijnOverheid: een natuurlijk persoon die, met een in DigiD Machtigen geregistreerde machtiging, een gemachtigde in MijnOverheid toegang verleent tot zijn berichten voor zover deze vallen binnen de reikwijdte van de machtiging;

• vertrouwelijkheid: de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden;

• wet: de Wet digitale overheid;

• –. vertegenwoordiger: de natuurlijke persoon of rechtspersoon die een andere natuurlijke persoon vertegenwoordigt bij elektronische dienstverlening door een bestuursorgaan of aangewezen organisatie.

Hoofdstuk 2. De verwerking van persoonsgegevens

Artikel 2. Persoonsgegevens DigiD

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD de volgende persoonsgegevens:

• a. over bezoekers van DigiD: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD die relevant zijn voor de adequate werking en beveiliging van de voorziening;

• b. over bezoekers van DigiD die een aanvraagprocedure zijn gestart, maar niet hebben voltooid, tevens het burgerservicenummer en de datum en tijd van de aanvraag en de reden waarom de aanvraag niet is gelukt;

• c. over gebruikers van DigiD:

• 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om het ingezetenschap of niet-ingezetenschap in de basisregistratie personen vast te kunnen stellen en het adres;

• 2°. een nummer dat ter identificatie van een persoon kan worden gebruikt, waaronder het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van DigiD, het nummer van een Nederlandse paspoort of van een Nederlandse ,identiteitskaart gegevens met betrekking tot het paspoort of de identiteitskaart, zoals de geldigheidsdata, en gegevens met betrekking tot het rijbewijs, zoals het documentnummer en de geldigheidsdata;

• 3°. de accountgegevens, waaronder het mobiele of vaste telefoonnummer, de gekozen documentsoort voor elektronische identificatie, het soort apparaat waarmee op elektronische wijze gecommuniceerd kan worden met het Nederlands paspoort, de Nederlandse identiteitskaart of het Nederlands rijbewijs, de status en het betrouwbaarheidsniveau van het identificatiemiddel, het e-mailadres, de gebruikersnaam, een afgeleide vorm van het wachtwoord, een afgeleide vorm van de pincode, en overige gegevens die bij het account horen;

• 4°. de gebruiksgegevens, waaronder het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD is ingelogd, handelingen van de gebruiker, het door de gebruiker van DigiD gekozen betrouwbaarheidsniveau, de website van de instelling waar de gebruiker van DigiD een DigiD aanvraagt of vanuit welke de gebruiker van DigiD met DigiD inlogt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik, waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

• 5°. gegevens die relevant zijn voor de adequate werking van de voorziening, waaronder in ieder geval de kenmerken van de door de gebruiker van DigiD gebruikte software en hardware.

• 6°. gegevens noodzakelijk voor de ondersteuning van de gebruiker of de administratie van DigiD, waaronder het burgerservicenummer en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD.

• 7°. gegevens afkomstig van de chip van het Nederlandse paspoort of de Nederlandse identiteitskaart waarmee de gebruiker van DigiD heeft ingelogd ter authenticatie:

• –. documentcode van het paspoort of de identiteitskaart;

• –. uitgevende staat of organisatie van het paspoort of de identiteitskaart;

• –. naam van de houder;

• –. documentnummer van het paspoort of de identiteitskaart;

• –. nationaliteit van de houder;

• –. geboortedatum van de houder;

• –. geslacht van de houder;

• –. geldigheidsdata van het paspoort of de identiteitskaart;

• –. burgerservicenummer.

• 8°. gegevens afkomstig van de chip van het Nederlandse rijbewijs waarmee de gebruiker van DigiD heeft ingelogd ter authenticatie:

• –. documentcode van het rijbewijs;

• –. documentnummer van het rijbewijs.

• 9°. gegevens genoemd in artikel 5d die noodzakelijk zijn voor de elektronische identificatie ter zake van grensoverschrijdende elektronische dienstverlening binnen de Europese Unie welke plaatsvindt door tussenkomst van de eIDAS-voorziening.

• d. over afnemers van DigiD: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van DigiD, waaronder de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van DigiD en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 3. Persoonsgegevens DigiD Machtigen

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van DigiD Machtigen de volgende persoonsgegevens:

• a. over bezoekers van DigiD Machtigen: gegevens over herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van DigiD Machtigen die relevant zijn voor de adequate werking en beveiliging van de voorziening;

• b. over gebruikers van DigiD Machtigen:

• 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de reden voor de opschorting van de persoonslijst in de basisregistratie personen, het adres en van de vertegenwoordigde tevens de geboortedatum;

• 2°. het burgerservicenummer of een versleutelde of afgeleide vorm daarvan ter identificatie van de gebruiker van DigiD Machtigen of het door de Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel, uniek toegekende nummer aan rechtspersoon of een onderneming die in Nederland is gevestigd en toebehoort aan een natuurlijke persoon, alsmede de authenticatieverklaring indien beschikbaar;

• 3°. gebruikersgegevens betreffende de machtigingsrelaties, inclusief de aanvragen daarvan, en profielgegevens;

• 4°. de gebruiksgegevens, waaronder gegevens over het IP-adres en de kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker van DigiD Machtigen is ingelogd op de website van DigiD Machtigen, handelingen van de gebruiker van DigiD Machtigen (inloggen, aanvragen, intrekken en activeren), de betrokken dienst, en de afnemer van DigiD Machtigen waarvoor de gebruiker van DigiD Machtigen is gemachtigd, alsmede het tijdstip waarop dit gebeurt, sessiegegevens, waaronder cookies, en overige gegevens met betrekking tot het soort en tijdstip, kenmerken van het gebruik, waaronder gegevens over toegang tot medische diensten waar mogelijk in versleutelde vorm;

• 5°. gegevens die relevant zijn voor de adequate werking van de voorziening waaronder de kenmerken van de gebruikte software en hardware door de gebruiker van DigiD Machtigen;

• 6°. gegevens noodzakelijk voor de ondersteuning van de gebruiker, waaronder het burgerservicenummer, notificatiegegevens waaronder het voorkeurskanaal, en andere gegevens die worden verwerkt bij de ondersteuning van de gebruiker van DigiD Machtigen.

• c. over afnemers van DigiD Machtigen: administratieve gegevens noodzakelijk in verband met het gebruik door de afnemer van DigiD Machtigen, waaronder de naam van de bevoegde bestuurder van de rechtspersoon die gebruik maakt van DigiD Machtigen en de naam, de functie, het e-mailadres en het telefoonnummer van contactpersonen bij de betreffende afnemer.

Artikel 4. Persoonsgegevens MijnOverheid

Onze Minister verwerkt voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van MijnOverheid de volgende persoonsgegevens:

• a. over bezoekers van MijnOverheid: gegevens over de herkomst en kenmerken van het netwerkverkeer en de kenmerken van de gebruikte software en hardware van de bezoeker van MijnOverheid die relevant zijn voor de adequate werking en beveiliging van de voorziening;

• b. over gebruikers van MijnOverheid:

• 1°. de naam en de noodzakelijke gegevens om deze correct weer te geven, de geboortedatum, de datum van overlijden, de nationaliteit, gegevens om te bepalen of een natuurlijk persoon kwalificeert als gebruiker van MijnOverheid waarvoor de Berichtenbox beschikbaar moet kunnen zijn, en het adres;

• 2°. het burgerservicenummer of versleutelde vorm daarvan ter identificatie van de gebruiker van MijnOverheid;