Geen verplichte opensource e-id in Wet digitale overheid

3 september 2020

In de Wet digitale overheid komt geen verplichting tot het gebruik van opensource bij het aanbieden van systemen voor elektronische identificatie. Staatssecretaris Knops (Binnenlandse Zaken) voelt daar weinig voor. Ook privacy by design wordt niet meegenomen in deze kaderwet.

Knops schrijft dit aan de Eerste Kamer. Ter voorbereiding op een later deze maand te houden voorbereidend onderzoek waren vanuit de Senaat hierover vragen gesteld. De vaste commissie voor Binnenlandse Zaken had daarin aangedrongen op een verplichting om middelen voor elektronische identificatie (e-id) opensource aan te bieden. Dit zou de privacy en veiligheid ten goede komen. Als de broncode van de aangeboden e-id-systemen wordt gepubliceerd, kan de gebruiker controleren of die beide zaken goed zijn geregeld. 

Volgens Knops is transparantie ook te realiseren met 'gesloten software'. Opensourcesoftware wordt, zoals hij dat stelt, beveiligd door openheid. Closed-sourcesoftware kan veilig door beschermende maatregelen te nemen.

De staatssecretaris vindt het niet noodzakelijk dat middelen opensource worden aangeboden. Transparantie kan ook met aanbieders van gesloten software worden afgesproken, stelt hij. Belangrijk is de veiligheid van de software, aldus Knops. Met name moet worden gelet op het onderhoud ervan en de garanties voor de continuïteit. Belangrijke processen zoals e-id vergen overzichtelijke componenten. Dit betreft niet alleen de software zelf maar ook de totstandkoming en het onderhoud. Het enkel beschikbaar zijn van een opensourcepakket 'as is', dus zonder enige garantie op kwaliteit, zekerheid of een transparant servicepakket, biedt geen meerwaarde. Daarom is ervoor gekozen om opensource niet te verplichten en de eisen inzake veiligheid en continuïteit centraal te stellen. Dit betekent niet dat de mogelijkheid om van opensource gebruik te maken wordt uitgesloten. Over de veiligheid van 'closed source' wil Knops afspraken maken met de leveranciers.

Schrik

"Het is uitdrukkelijk verboden persoonsgegevens als handelswaar te gebruiken"

De Kamercommissie is ook bezorgd over de mogelijkheden die commerciële partijen krijgen door inloggegevens te koppelen en vervolgens gevoelige data te vergaren. Tot haar schrik ontbreekt in het wetsvoorstel een verbod om inlogregisters te gebruiken voor andere doeleinden dan de werking van het identificatiesysteem zelf. Knops denkt dit te voorkomen door het principe van doelbinding. Persoonsgegevens mogen volgens de Algemene Verordening Gegevensbescherming (AVG) alleen worden verzameld voor wel omschreven doeleinden. Het is uitdrukkelijk verboden deze data als handelswaar te gebruiken. Volgens de staatssecretaris is het overbodig om privacy by design in het wetsvoorstel op te nemen. Dit beginsel, dat inhoudt dat er reeds bij het ontwerpen van producten en diensten wordt gezorgd voor een goede bescherming van persoonsgegevens, is al in de AVG vastgelegd.

 

Computable