Regeling van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 8 mei 2023, nr 23-0000244782, houdende regels betreffende de bepaling van het vereiste betrouwbaarheidsniveau van authenticatie voor de verlening van elektronisch diensten en overgangsrecht met betrekking tot betrouwbaarheidsniveaus (Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening)

Artikel 1 Begripsbepalingen In deze regeling wordt verstaan onder: − basisregistraties: bijlage 1 basisregistraties, genoemd inbij deze regeling; − bedrijfsgegevens: gegevens die betrekking hebben op een onderneming of rechtspersoon en de uitvoering van het bedrijfsproces; − bijzondere categorieën van persoonsgegevens: artikel 1 van de Uitvoeringswet Algemene verordening gegevensbescherming persoonsgegevens als bedoeld in de begripsbepaling voor ‘bijzondere categorieën van persoonsgegevens’ in; − elektronische dienst: artikel 1 van de wet hetgeen daaronder wordt verstaan in; − identificatiemiddel: artikel 1 van de wet hetgeen daaronder wordt verstaan in; − persoonsgegevens en verwerking van persoonsgegevens: hetgeen daaronder wordt verstaan in artikel 4 van de Algemene verordening gegevensbescherming; − persoonsgegevens van strafrechtelijke aard: artikel 1 van de Uitvoeringswet Algemene verordening gegevensbescherming persoonsgegevens als bedoeld in de begripsbepaling voor ‘persoonsgegevens van strafrechtelijke aard’ in; − wet: Wet digitale overheid . 2023 13656 17-05-2023 08-05-2023 23-0000244782 2023 13656 17-05-2023 08-05-2023 23-0000244782 01-07-2023

Artikel 2 Bepalen betrouwbaarheidsniveau voor een dienst 1 Indien voor een elektronische dienst niet bij wettelijk voorschrift is bepaald dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, bepaalt een bestuursorgaan of aangewezen organisatie dat niveau overeenkomstig het tweede tot en met vijfde lid. 2 bijlage 2 Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau hoog vereist is indien voor een van de aspecten van die dienst een van de inbij deze regeling genoemde criteria in de kolom hoog op die dienst van toepassing is. 3 bijlage 2 Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau substantieel vereist is indien voor een van de aspecten van die dienst een van de inbij deze regeling genoemde criteria in de kolom substantieel op die dienst van toepassing is en geen van de in de kolom hoog genoemde criteria. 4 bijlage 2 Een bestuursorgaan of aangewezen organisatie bepaalt dat voor een elektronische dienst authenticatie op betrouwbaarheidsniveau laag vereist is indien voor een van de aspecten van die dienst een van de inbij deze regeling genoemde criteria in de kolom laag op die dienst van toepassing is en geen van de in de kolom substantieel of hoog genoemde criteria 5 bijlage 2 Een bestuursorgaan of aangewezen organisatie bepaalt dat geen authenticatie is vereist indien voor geen van de aspecten van die dienst een van de inbij deze regeling genoemde criteria op de dienst van toepassing is. 2023 13656 17-05-2023 08-05-2023 23-0000244782 2023 13656 17-05-2023 08-05-2023 23-0000244782 01-07-2023

Artikel 3 Risico verlagende factoren 1 artikel 2, tweede en derde lid Onverminderd de toepasselijkheid van een wettelijk voorschrift dat bepaalt dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, kan, in afwijking van, een bestuursorgaan of aangewezen organisatie voor een elektronische dienst authenticatie op één betrouwbaarheidsniveau lager vaststellen, indien: a. het proces van toegangsverlening voorziet in een adequate aanvullende technische of fysieke controle op de authenticiteit van de gebruiker van het identificatiemiddel na het moment waarop daarmee voor de eerste keer voor de desbetreffende dienst een authenticatie is uitgevoerd; b. het bestuursorgaan of de aangewezen organisatie in het proces herstelmaatregelen neemt of kan nemen. 2 artikel 6 Toepassing van het eerste lid sluit gelijktijdige toepassing vanuit. 2023 13656 17-05-2023 08-05-2023 23-0000244782 2023 13656 17-05-2023 08-05-2023 23-0000244782 01-07-2023

Artikel 4 Risicoverhogende factoren Indien naar het oordeel van het bestuursorgaan of de aangewezen organisatie, gelet op de aard van de dienst, sprake is van risicoverhogende factoren waaronder identiteitsfraude of misbruik van de dienst, wordt een volledige risicoanalyse uitgevoerd teneinde het passende betrouwbaarheidsniveau voor die dienst te kunnen bepalen. 2023 13656 17-05-2023 08-05-2023 23-0000244782 2023 13656 17-05-2023 08-05-2023 23-0000244782 01-07-2023

Artikel 5 Machtigen 1 Afgifte en intrekking van een machtiging wordt elektronisch geregistreerd. 2 Bij afgifte van een machtiging is sprake van een kenbare wilsuiting van de machtiginggever om: a. de dienst af te nemen, en b. dit door de beoogd gemachtigde te laten doen. 3 Afgifte en intrekking van een machtiging kan langs elektronische en niet-elektronische weg. 4 De betrouwbaarheid van een machtigingsregistratie is tenminste gelijk aan het betrouwbaarheidsniveau dat voor de authenticatie voor de dienst is vereist. 5 Bij de registratie van een machtiging die langs elektronische weg is afgegeven gebruiken machtiginggever en gemachtigde een identificatiemiddel op tenminste hetzelfde betrouwbaarheidsniveau als voor de dienst is vereist. 6 Bij de registratie van een machtiging, die niet of niet geheel langs elektronische weg is afgegeven, bepaalt het bestuursorgaan of de aangewezen organisatie of de betrouwbaarheid van de machtiging gewaarborgd is. 7 Het bestuursorgaan of de aangewezen organisatie kan bepalen dat de betrouwbaarheid van een machtigingsregistratie lager mag zijn dan het betrouwbaarheidsniveau dat voor de authenticatie van de dienst vereist is, mits adequate aanvullende maatregelen in het proces van dienstverlening of toegangsverlening worden getroffen. 2023 13656 17-05-2023 08-05-2023 23-0000244782 2023 13656 17-05-2023 08-05-2023 23-0000244782 01-07-2023

Artikel 6 Tijdelijk toestaan van een lager niveau 1 artikel 2 Onverminderd de toepasselijkheid van een wettelijk voorschrift dat bepaalt dat een specifieke wijze van authenticatie voor die dienst vereist is of ten minste vereist is, kan een bestuursorgaan of aangewezen organisatie, indien de beschikbaarheid of het gebruik van identificatiemiddelen op de betrouwbaarheidsniveaus substantieel en hoog of de mogelijkheid om deze te gebruiken om toegang te krijgen tot dienstverlening onvoldoende is, voor een elektronische dienst, waarvoor op grond vanauthenticatie op betrouwbaarheidsniveau hoog respectievelijk substantieel benodigd is, tot 1 juli 2028 voor toegang tot die dienst tevens het gebruik van een toegelaten of erkend middel op betrouwbaarheidsniveau substantieel respectievelijk een middel op betrouwbaarheidsniveau laag toestaan. 2 artikel 3 Toepassing van het eerste lid sluit gelijktijdige toepassing vanuit. 2025 22640 09-07-2025 04-07-2025 2025 22640 09-07-2025 04-07-2025 10-07-2025 01-07-2025

Artikel 7 Kenbaarheid betrouwbaarheidsniveau artikelen 2 tot en met 6 Het bestuursorgaan dat of de aangewezen organisatie die de dienst verleent maakt op de eigen website kenbaar welk betrouwbaarheidsniveau van authenticatie op grond van deten minste vereist is. 2023 13656 17-05-2023 08-05-2023 23-0000244782 2023 13656 17-05-2023 08-05-2023 23-0000244782 01-07-2023

Artikel 8 Citeertitel Deze regeling wordt aangehaald als: Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening. 2025 22640 09-07-2025 04-07-2025 2025 22640 09-07-2025 04-07-2025 10-07-2025

Artikel 9 Inwerkingtreding Deze regeling treedt in werking met ingang van 1 juli 2023. 2023 13656 17-05-2023 08-05-2023 23-0000244782 2023 13656 17-05-2023 08-05-2023 23-0000244782 01-07-2023

artikel 1 van de Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening

artikel 2, tweede tot en met vierde lid, Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening)