Besluit elektronisch procederen.

Bij Kabinetsmissive van 15 juli 2020, no.2020001518, heeft Uwe Majesteit, op voordracht van de Minister voor Rechtsbescherming, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels voor het langs elektronische weg procederen in het civiele recht en in het bestuursrecht (Besluit elektronisch procederen), met nota van toelichting.

Het ontwerpbesluit elektronisch procederen biedt een regelgevend kader voor vrijwillig en verplicht elektronisch procederen in zowel het civiele recht als het bestuursrecht. Het bepaalt onder meer aan welke eisen een digitaal systeem voor gegevensverwerking moet voldoen dat door een rechterlijke instantie wordt gebruikt voor elektronisch procederen (hierna: een digitaal systeem). Daarmee vervangt het ontwerpbesluit onder andere het Besluit digitalisering burgerlijk procesrecht en bestuursprocesrecht uit 2016.

De Afdeling advisering van de Raad van State maakt een opmerking over de authenticatie van gebruikers die werkzaam zijn bij een rechterlijke instantie (hierna: interne gebruikers). In verband daarmee is aanpassing wenselijk van de toelichting en zo nodig van het ontwerpbesluit.

1. Authenticatie interne gebruikers

Het proces van toegangsverlening tot digitale systemen bestaat uit achtereenvolgens drie stappen: identificatie, authenticatie en autorisatie. Het gaat daarbij om respectievelijk de vraag wie de beoogde gebruiker is (identificatie), of hij daadwerkelijk is wie hij beweert te zijn (authenticatie) en tot slot de (mate van) toegang tot het digitale systeem op basis daarvan (autorisatie). Middelen voor toegangsverlening zijn er op verschillende betrouwbaarheidsniveaus.

Het Besluit digitalisering burgerlijk procesrecht en bestuursprocesrecht stelt aan alle gebruikers van het digitale systeem dezelfde eisen wat betreft die drie stappen, dus ongeacht of het om externe of interne gebruikers gaat. (zie noot 1) Dit heeft voor de rechtspraak echter tot problemen geleid. De werkwijze van de rechtspraak voldeed niet in alle gevallen aan de in dat besluit gestelde eis van tweefactor-authenticatie. (zie noot 2)

Met dit ontwerpbesluit wordt dit probleem opgelost door geen eisen meer te stellen aan de authenticatie van interne gebruikers. Wat interne gebruikers betreft wordt nog louter de eis gesteld dat deze worden geïdentificeerd. (zie noot 3) De toelichting vermeldt op dit punt dat de vereisten voor toegang van interne gebruikers verder niet geregeld worden in dit ontwerpbesluit. Deze personen zullen toegang verkrijgen via hun werkplek bij de rechterlijke instantie waar zij werkzaam zijn. De toegangscontrole vindt bij die gebruikers plaats bij het inloggen in de werkomgeving van de betreffende instantie. (zie noot 4)

De Afdeling vraagt zich af of het loslaten van specifieke authenticatie-eisen voor interne gebruikers betekent dat voor die gebruikers eventueel met een lager betrouwbaarheidsniveau voor authenticatie genoegen kan worden genomen. Indien die vraag bevestigend wordt beantwoord, rijst de vraag wat de rechtvaardiging daarvoor is. Gelet op de vertrouwelijkheid van de gegevens is het immers van belang dat voldoende gewaarborgd is dat uitsluitend bevoegde personen toegang tot het digitale systeem hebben. Dan ligt het namelijk in de rede ligt dat voor interne gebruikers eenzelfde betrouwbaarheidsniveau van toepassing is als voor externe gebruikers.

De Afdeling adviseert hieraan in de toelichting aandacht te besteden en zo nodig het ontwerpbesluit aan te passen.

2. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een opmerking bij het ontwerpbesluit en adviseert daarmee rekening te houden voordat een besluit wordt genomen.

De waarnemend vice-president van de Raad van State

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W16.20.0245/II

- In de toelichting vermelden dat het ontwerpbesluit is voorgehangen bij de beide kamers der Staten-Generaal en toelichten wat de uitkomsten van de voorhang zijn (zie ook Aanwijzing 4.43 van de Aanwijzingen voor de regelgeving).
- In artikel 8 "Artikel 1, eerste lid, van de Algemene termijnenwet is van overeenkomstige toepassing op deze eerstvolgende dag" schrappen (zie ook Aanwijzing 2.46, tweede lid van de Aanwijzingen voor de regelgeving in samenhang met artikel 5 van de Algemene termijnenwet).

Nader rapport (reactie op het advies) van 13 oktober 2020

1. Authenticatie interne gebruikers

De Afdeling advisering van de Raad van State constateert terecht dat de authenticatie en autorisatie van interne medewerkers van de rechtspraak niet in het Besluit elektronisch procederen in het civiele recht en het bestuursrecht (hierna: Bep) wordt geregeld. Het Bep ziet op het verkeer tussen de rechterlijke instanties aan de ene kant en de bij een rechterlijke procedure betrokken partijen aan de andere kant. De automatisering van de interne afhandeling van procedures door de rechterlijke instanties wordt niet geregeld in dit besluit. De indeling in betrouwbaarheidsniveaus vloeit voort uit de eIDAS-verordening. Deze verordening stelt een kader voor het gebruik van online dienstverlening door externe partijen en is dus niet van toepassing op interne werkprocessen. Daarmee is niet gezegd dat er geen eisen worden gesteld aan de toegangsverlening van interne medewerkers tot de bij de rechtspraak in gebruik zijnde systemen van gegevensverwerking. De rechterlijke instanties zijn ingevolge artikel 32 AVG verplicht passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd afdoend beveiligingsniveau van haar gegevensverwerkingen te waarborgen. Dit wordt ingevuld door de Baseline Informatiebeveiliging Overheid (BIO) (zie noot 5), voorheen de Baseline Informatiebeveiliging Rijksdienst (BIR). De BIO is geheel gestructureerd volgens NEN-ISO/IEC 27001:2017, bijlage A en NEN-ISO/IEC 27002:2017, die richtlijnen bevatten op het gebied van informatiebeveiliging. Op het gebied van authenticatie en autorisatie kennen de normenkaders specifieke op de context van de werkzaamheden afgestemde niveaus. De rechtspraakprocessen en -systemen voldoen aan deze normenkaders en zijn onderhevig aan (wettelijk geregeld) onafhankelijk toezicht via de Functionaris voor de gegevensbescherming en de Autoriteit Persoonsgegevens en via de rechtspraak-specifieke toezichthouders. (zie noot 6)

De Afdeling advisering heeft daarnaast twee redactionele opmerkingen. Naar aanleiding van de eerste opmerking is in de toelichting in de paragraaf 3 ‘Advies en consultatie’ over op het besluit nader ingegaan op de voorhangprocedure. Naar aanleiding van de tweede opmerking is de zin ‘Artikel 1, eerste lid, van de Algemene termijnenwet is van overeenkomstige toepassing op deze eerstvolgende dag.’ verwijderd uit artikel 8 Bep. De toevoeging werd overbodig geacht nu de Algemene termijnenwet ook zonder die bepaling van toepassing is. Met de verwijdering is dus geen inhoudelijke wijziging beoogd ten opzichte van Besluit digitalisering burgerlijk procesrecht en bestuursprocesrecht waarin deze zin wel is opgenomen. Voorts is van de gelegenheid gebruik gemaakt om de inwerkingtredingsbepaling van het Bep aan te passen zodat het Bep op 1 januari 2021 in werking treedt.

Ik moge U hierbij het aldus gewijzigde ontwerpbesluit en de gewijzigde nota van toelichting doen toekomen en U verzoeken overeenkomstig dit ontwerp te besluiten.

De Minister voor Rechtsbescherming

Voetnoten

(1) Zie artikelen 2 en 3 van het Besluit digitalisering burgerlijk procesrecht en bestuursprocesrecht.
(2) Zie o.a. ABRvS, 30 april 2019, ECLI:NL:RVS:2019:1400.
(3) Artikel 3, eerste lid, onder a van het ontwerpbesluit; Toelichting, artikelsgewijs deel, artikel 3, eerste lid, onderdeel a.
(4) Toelichting, artikelsgewijs deel, artikel 3, eerste lid, onderdeel b.