Het is een overheidstaak van het grootste belang: de weerbaarheid van de digitale infrastructuur en vitale sectoren bevorderen en blijven bewaken. U mag wel zeggen het fundament onder een betrouwbare digitale samenleving. Agentschap Telecom houdt het allemaal scherp in de gaten. Elektronische toegangsdiensten als middel om iemands identiteit onomstotelijk vast te stellen, elektronische vertrouwensdiensten om bijvoorbeeld een contract betrouwbaar elektronisch te ondertekenen.

In de eIDAS-verordening worden rond elektronische identificatie drie betrouwbaarheidsniveaus onderscheiden: ‘laag’, ‘substantieel’ en ‘hoog’. Deze niveaus weerspiegelen de risico’s en/of de gevoeligheid van de gebruikte informatie.

Elektronische Toegangsdiensten

Bij Elektronische Toegangsdiensten (ETD) gaat het onder andere om het veilig vaststellen van iemands elektronische identiteit en de daaraan gekoppelde toegangsverlening tot elektronische diensten. Daarbij zijn de belangrijkste vragen: Wie bent u? Bent u wie u zegt te zijn? En als u bent wie u zegt, welke toegang heeft u dan en wat mag u dan binnen een bepaalde vorm van elektronische dienstverlening?

Een bekend voorbeeld is het online inloggen van bedrijven bij de overheid door middel van eHerkenning. Agentschap Telecom is sinds maart 2016 toezichthouder op de veilige en betrouwbare werking van het stelsel van eHerkenning. In 2019 is eHerkenning ‘genotificeerd’ onder de Europese eIDAS-verordening. Na een uitgebreid reviewproces hebben de andere Europese lidstaten ermee ingestemd dat eHerkenning veilig en betrouwbaar is op de betrouwbaarheidsniveaus ‘substantieel‘ en ‘hoog’. Dit Nederlandse inlogmiddel kan vanaf medio 2020 gebruikt worden bij overheidsdiensten binnen de gehele Europese Unie (EU). Toezicht draagt bij aan het vertrouwen van andere lidstaten in dit Nederlandse middel.

Nieuwe ontwikkelingen ETD

Agentschap Telecom volgt de innovaties op het gebied van technieken om iemands identiteit vast te stellen of te beschermen op de voet. We geven graag ruimte aan allerlei innovaties. Daarbij houden we de risico's en eventuele tekortkomingen nauwlettend in de gaten. Denk daarbij aan de inzet van biometrische technieken (herkenning op basis van lichaamskenmerken, zoals vingerafdrukken, irisscan, of videoherkenning op afstand). Een ander voorbeeld is de inzet van specifieke encryptietechnieken, waarbij een uniek persoonsnummer (BSN) onherkenbaar wordt gemaakt voor onbevoegden terwijl de identiteit toch met zekerheid is vast te stellen. Met dit soort technieken wordt iemands privacy beter beschermd en het beschermt tegelijkertijd beter tegen allerlei vormen van identiteitsfraude.

Vertrouwensdiensten

Vertrouwensdiensten kunnen we omschrijven als elektronische varianten op bijvoorbeeld de ‘geschreven’ handtekening onder een contract. Een betrouwbaar functionerend systeem van vertrouwensdiensten geeft zekerheid om digitaal veilig zaken te doen. Het draagt bij aan het streven van de Europese Commissie naar een goed werkende interne markt. Op grond van de eIDAS-verordening worden daarom in de gehele EU dezelfde eisen gesteld aan het verlenen van vertrouwensdiensten. Ook landen buiten de EU kunnen zich hier vrijwillig bij aansluiten.

Agentschap Telecom beoordeelt aanvragen voor het verlenen van vertrouwensdiensten aan het publiek en verleent de gekwalificeerde status. Gekwalificeerde vertrouwensdiensten hebben het hoogste niveau van betrouwbaarheid. Bij de beoordeling van een nieuwe vertrouwensdienst gaan we niet over één nacht ijs; er gaat een zorgvuldig en zeer uitgebreid onderzoek aan vooraf. Groen licht volgt pas na een uiterst strenge inspectie, niet alleen van de dienst, het product of de software, maar ook van de aanbieder van de vertrouwensdienst zelf.

Na een positieve beoordeling van Agentschap Telecom gelden ze als 'gekwalificeerd' in de gehele EU en mogen de vertrouwensdiensten ook met die status aangeboden worden. Agentschap Telecom houdt bij de gekwalificeerde aanbieders continu een vinger aan de pols en treedt ook op als er bij niet-gekwalificeerde aanbieders van vertrouwensdiensten signalen van onrechtmatigheden zijn.

Actief in Europa

Agentschap Telecom is nauw betrokken bij een aantal Europese overlegorganen, als deelnemer of als voorzitter. We nemen bewust het voortouw bij Europese samenwerking en afstemming, vooral omdat Nederland een klein land is met relatief veel 'buitenland'. Afstemming is onder andere zo belangrijk omdat aanbieders van digitale-,  en vertrouwensdiensten in alle lidstaten dezelfde rechten en plichten hebben. De keuze van de vestigingsplaats moet daarbij geen verschil maken. Deze afstemming geldt ook zeker voor de naleving van de Wet beveiliging netwerk- en informatiesystemen: gelijke behandeling in heel Europa is daarbij erg belangrijk.

Digitale weerbaarheid

Sinds november 2018 is de Wet beveiliging netwerk- en informatiesystemen (Wbni) van kracht. Deze wet verplicht bedrijven die een essentiële dienst verlenen in onze maatschappij om de risico’s voor hun netwerk- en informatiesystemen zoveel mogelijk te beheersen en maatregelen te treffen om hun diensten zo snel mogelijk weer ‘up and running’ te hebben als het toch een keer mis gaat. Een populair woord hiervoor is ‘cybersecurity’. Agentschap Telecom houdt op basis van de Wbni toezicht op aanbieders van essentiële diensten (ook wel vitale diensten genoemd) in de energiesector (gas, olie, elektriciteit) en in de digitale infrastructuur. Ook valt een grote groep digitale dienstverleners onder de wet, voornamelijk clouddienstverleners en online marktplaatsen. 

Agentschap Telecom heeft dit toezicht in 2019 verder uitgebouwd, zowel in bemensing als in activiteiten. Het belangrijkste doel is te stimuleren en te bewaken dat essentiële dienstverleners hun verantwoordelijkheid nemen om zo goed mogelijk invulling te geven aan hun wettelijke ‘zorgplicht’ om digitaal weerbaar te zijn. Dat vraagt voor die organisaties om een goede relatie met een zichtbare toezichthouder, die actuele kennis van zaken heeft. Belangrijk, omdat de ontwikkelingen in het domein van ‘cybersecurity’ elkaar snel opvolgen.

Server modules

Agentschap Telecom heeft in 2019 onder de vlag van de Wbni tijd besteed aan het neerzetten van modernere vormen van toezicht. Met inspecteurs die niet alleen inspecteren, maar vooral fungeren als autoriteit in hun domein. Met een toezichtstrategie die erop is gericht om vanuit inzicht, kennis en gezag de digitale weerbaarheid te stimuleren. In één woord: kwaliteitstoezicht.  

In 2019 heeft Agentschap Telecom alle essentiële dienstverleners bezocht en een eerste beeld gevormd van de mate van digitale weerbaarheid in de sectoren energie en digitale infrastructuur. In het brede domein digitale dienstverleners zoekt Agentschap Telecom actief de verbinding met relevante brancheorganisaties. Zo hebben we op diverse marktbijeenkomsten en congressen (zoals de internationale cybersecurityconferentie de ONE Conference) gesproken om onze doelgroepen te informeren. Ook binnen de overheid heeft Agentschap Telecom zich actief opgesteld om samenwerking tussen de verschillende stakeholders in het digitale domein te stimuleren. Denk aan andere toezichthouders, uitvoeringsorganisaties en beleidsafdelingen binnen verschillende ministeries. Verder hebben we een Europese werkgroep van toezichthouders op digitale dienstverleners opgericht in afstemming met de Europese Commissie. In 2020 en 2021 zit Agentschap Telecom deze werkgroep voor.

Bekijk ook het filmpje over onze toezichtstaak in het kader van de Wbni.

Toezicht op clouddiensten

Agentschap Telecom houdt op basis van de Wbni toezicht op digitale dienstverleners, waar onder clouddienstverleners. De vorm van dit toezicht is door de Europese wetgever bepaald. Op basis van de eerste bevindingen in 2019 lijkt deze reactieve vorm van toezicht te licht, gezien het toenemende gebruik van clouddiensten en de geschatte impact bij een verstoring. Actief toezicht zou betere mogelijkheden bieden om aanbieders van clouddiensten te stimuleren digitaal weerbaar te zijn.