Gepubliceerd op:

Een digitale identiteitswallet binnen de gemeentelijke dienstverlening. Kansen voor het verbeteren en vergemakkelijken van de klantreis zijn er zeker. Zo wordt beoogd om met het gebruik van een wallet de privacy en regie van gebruikers te verhogen. Toch zijn er ook uitdagingen voor implementatie. Een voorbeeld daarvan is de verhouding van een ID-wallet tot wetgeving zoals de Algemene verordening gegevensbescherming (AVG). Organisaties worstelen momenteel met de afwezigheid van een duidelijke wettelijke grondslag, voor het verstrekken van gegevens aan inwoners die een ID-wallet gebruiken.

Gemeente Nijmegen voert al geruime tijd experimenten uit met de ID-wallet, samen met inwoners. De gemeente heeft inmiddels Yivi in gebruik voor het authentiseren van gebruikers, als alternatieve keuzemogelijkheid naast DigiD. Ook is het mogelijk om gegevens uit de BRP via Nijmegen aan de Yivi app toe te voegen. Yivi is een digitale ID-wallet die naar verwachting Europees erkend wordt onder eIDAS 2.0. Hoe gaat de organisatie om met vragen rondom de AVG en de juridische basis? Koen de Jong en Bart den Haan zijn in gesprek gegaan met Stijn Verhagen, Privacy Officer bij Gemeente Nijmegen, om deze vraag aan hem te stellen.

Voor een uitleg van de werking van ID-wallets en meer informatie over kansen en uitdagingen van deze technologie verwijzen we je naar dit rapport.

Stijn Verhagen

Zoektocht naar een wettelijke grondslag

Een ID-wallet is erop gericht om privacy en regie op gegevens van de gebruiker te bevorderen. Toch hoor je regelmatig dat men op basis van het ontbreken van een wettelijke grondslag  terughoudend is met het implementeren van wallet oplossingen. “De initiële reactie die ik vaak krijg, wanneer het gaat over nieuwe dienstverlening, bijvoorbeeld met ID-wallets, is dat het een slecht idee is om alle gegevens op één plek te bewaren. Dat is zogenaamd onveilig zou niet toegestaan zijn vanuit de AVG.”, aldus Verhagen. De wettelijke grondslag wordt dan gebruikt als een excuus om geen wallet te gaan gebruiken en de huidige werkwijze te handhaven. “Als je verder doorvraagt naar waarom het dan niet zou kunnen op basis van de AVG, kan men dat vaak lastig aantonen”. Vanuit de AVG moet je kijken naar de aanwezigheid van een wettelijke grondslag voor het verstrekken of gebruiken van gegevens. Wanneer deze niet aanwezig is, kan de gegevenslevering niet doorgaan. Wanneer een nieuwe technologie, vaak door een gebrek aan begrip, onveilig voelt, is dat geen reden om implementatie tegen te houden.

"De afstand tussen de juridische afdeling en de innovatie afdeling is vaak erg groot."

Voldoende wettelijke grondslag vinden kan echter wel een uitdaging zijn voor gemeenten. Het gebruik van ID-wallets voor gemeentelijke dienstverlening leidt tot nieuwe manieren van interacteren tussen dienstverlener en inwoner. Daarnaast verandert het de inhoud van een gegevensverstrekking en ontstaan er gegevensstromen die er eerder nog niet waren. Volgens de privacy officer van Gemeente Nijmegen was het “voor ons een hele specifieke zoektocht naar een wettelijke grondslag voor de BRP verstrekking die we faciliteren in de koppeling naar YIVI. Uiteindelijk hebben we die gevonden in de Wet Basisregistratie Personen art. 2:55 over het recht op inzage.”

De letter of de geest van de wet

Voldoen aan de normen van de AVG is belangrijk en draagt bij aan de bescherming van het individu. Als dienstverlener moet je echter wel oppassen dat je vervolgens niet in bureaucratie verzandt. Wanneer je de gegevens van een persoon wilt verwerken om iemand ten dienste te staan, dan is het ook in diens eigen voordeel om de gegevensverwerking soepel te laten verlopen. Verhagen noemt een voorbeeld binnen het sociaal domein van een inwoner die een aanvraag doet voor schuldhulpverlening. “Wanneer de inwoner dan gegevens aanlevert bij het loket voor de wet maatschappelijk ondersteuning, terwijl hij eigenlijk bij het loket voor dienstverlening vanuit de participatiewet moet zijn, wijs je zo iemand niet af. Je biedt dan aan om zelf de gegevens naar het juiste loket door te sturen en daarin de inwoner te ontzorgen. Terwijl de rechtlijnige interpretatie van de wet zou zijn om de inwoner af te kappen en ergens anders naartoe te verwijzen, want er is geen doelbinding. Uiteindelijk gaat dat naar mijn mening de bedoeling van de wet voorbij.”.

De organisatie, de jurist en innovatie

Om als organisatie innovatieve technologie op een verantwoorde manier in te zetten, is het van belang om rekening te houden met relevante wetgeving. Voor digitale technologieën geldt dat er in de afgelopen jaren meer wetgeving is ontwikkeld, die nu of binnenkort van kracht is binnen dit gebied. Om alle juridische ontwikkelingen goed bij te houden is in-house juridische expertise cruciaal en de rol van een privacy officer en functionaris gegevensbescherming is nu nog belangrijker dan ooit. Tegelijkertijd dreigen organisaties hun innovatieve slagkracht te verliezen wanneer er geen goede samenwerking is tussen innovatie en compliance. “De afstand tussen de juridische afdeling en de innovatie afdeling is vaak erg groot. Veel juristen hebben weinig affiniteit met technologie en kunnen vraagstukken vanuit innovatie soms moeilijk doorgronden. Het resultaat is dat een privacy officer dan maar kiest voor het veilige antwoord, namelijk: geen groen licht geven. Daardoor houden sommige innovatieafdelingen juristen dan weer zo lang mogelijk buiten het project.”, vertelt Verhagen.

Wanneer de jurist dichterbij innovatie gepositioneerd wordt, kan een organisatie voldoen aan wet- en regelgeving zonder haar innovatievermogen te verliezen. Zelfs letterlijk dichtbij elkaar volgens Verhagen: “Wanneer je samen in dezelfde ruimte bent en begrip probeert te krijgen van de casus zul je verder komen dan bij alleen een afstandelijke mailwisseling.”. Een jurist toevoegen aan een innovatieteam zou hier goed aan bij kunnen dragen. Dit vraagt van innovatie deskundigen om de jurist vroegtijdig te betrekken en niet pas naar wetgeving te gaan kijken wanneer een product of proces al gereed is om in productie te gaan. “In plaats van een controlecultuur ontstaat er op die manier een samenwerking tussen disciplines, waarbij de verschillende gezichtspunten elkaar versterken”.