Main content

Inleiding

In dit document zijn de gegevensverwerkingen opgenomen van DigiD, de elektronische authenticatievoorziening van de digitale overheid. Conform de AVG en het rijksoverheidbeleid dient er een DPIA uitgevoerd te worden voor alle systemen waarin persoonsgegevens verwerkt worden. De gegevensverwerkingen zijn het uitgangspunt voor de DPIA.

Bij eerdere projecten van DigiD in 2017 zijn er Privacy impact assessments voor DigiD Substantieel  en DigiD Hoog  uitgevoerd. Na invoering van de AVG, in 2018, is er niet direct een nieuwe DPIA uitgevoerd, omdat de eerder uitgevoerde PIA’s voldoende inzicht gaven.

Met de invoering van de Wet Digitale Overheid in 2023 is besloten om een geheel nieuwe DPIA uit te voeren. Deze DPIA gaat uit van de totale voorziening DigiD. Het is een geactualiseerde versie, en vervangt de in 2017 uitgevoerde PIA’s.

De uiteindelijke DPIA  wordt opgenomen in het AVG-register van de Rijksoverheid.

Managementsamenvatting

DigiD is de elektronische authenticatievoorziening die zorgdraagt voor de uitgifte van elektronische authenticatiemiddelen. Hiermee kunnen natuurlijke personen (gebruikers) zich online (via internet) authentiseren bij dienstverleners die een aansluiting hebben op DigiD. Hierbij wordt het burgerservicenummer (BSN) doorgegeven aan de dienstverlener. Dienstverleners zijn wettelijk bevoegd om de BSN’s te gebruiken voor de uitvoering van de publieke of wettelijke taak. Deze dienstverleners zijn onder andere ministeries en gemeenten, pensioenfondsen en zorgverzekeraars.

De gegevensverwerkingen, in het kader van DigiD, vinden plaats ter uitvoering van de taak van de minister van Binnenlandse Zaken en Koninkrijksrelaties. De grondslag voor deze gegevensverwerkingen is de wet Digitale overheid (voorganger Wet elektronisch berichtenverkeer).  Deze grondslag is verder uitgewerkt in het Besluit Digitale Overheid (voorganger besluit verwerking persoonsgegevens generieke digitale infrastructuur) en de Regeling voorzieningen WDO (voorganger Regeling voorzieningen GDI).

De gegevensverwerkingen zijn samen te vatten in de volgende processen:

  • Gebruik DigiD
  • Gebruikersondersteuning
  • Beheer DigiD
  • Onderzoek naar misbruik of oneigenlijk gebruik

Het grootste risico bij het gebruik van DigiD is de mogelijkheid van identiteitsfraude, waarbij iemand anders uit naam van de gebruiker handelingen uitvoert. Bij alle processen zijn er risico’s met betrekking tot de beschikbaarheid van gegevens, de mogelijkheid van een datalek, of foutieve of afwijkende gegevensverwerking.

De minister van Binnenlandse Zaken en Koninkrijksrelaties is de verwerkingsverantwoordelijke voor de DigiD voorziening. Logius is de dienst digitale overheid en onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Logius biedt de publieke voorziening DigiD aan. Binnen Logius zijn diverse afdelingen betrokken bij de gegevensverwerkingen van DigiD. 

Logius draagt zorg voor de informatiebeveiliging en privacybescherming van de gegevens. Informatiebeveiliging en privacy risico’s voor DigiD worden voortdurend geanalyseerd, vastgelegd en besproken met verantwoordelijken. Hiervoor wordt periodiek een uitgebreide risicoanalyse uitgevoerd op basis van de IRAM2 methode. Verder heeft Logius een Information Security Management Systeem (ISMS) waarmee risico’s binnen de organisatie behandeld worden. Op basis van het Logius Policyhouse zijn de maatregelen die geïmplementeerd moeten worden verder uitgewerkt. Een van die maatregelen is het hebben van een risico-register. waarin openstaande en geaccepteerde risico’s worden bijgehouden.

Alle AVG-rechten die een betrokkene kan uitoefenen op de gegevensverwerkingen van DigiD, worden uitgevoerd conform de procedures die Logius hiervoor heeft. 

Een samenvatting van alle zaken rondom de gegevensverwerking van DigiD is weergegeven in de privacyverklaring op de website van DigiD.

Scope

DigiD is de elektronische authenticatievoorziening die zorgdraagt voor de uitgifte van elektronische authenticatiemiddelen. Hiermee kunnen natuurlijke personen (gebruikers) zich online (via internet) authentiseren bij dienstverleners die een aansluiting hebben op DigiD. Hierbij wordt het burgerservicenummer (BSN) doorgegeven aan de dienstverlener. Dienstverleners zijn overheidsorganisaties en/of privaatrechtelijke organisaties, die op basis van een wet of wettelijke regeling belast zijn met de uitvoering van een publieke taak. Dienstverleners kunnen DigiD gebruiken ten behoeve van de uitvoering van de publieke taak. Dienstverleners zijn wettelijk bevoegd om de BSN’s te gebruiken voor de uitvoering van de publieke of wettelijke taak. Deze dienstverleners zijn onder andere ministeries en gemeenten, pensioenfondsen en zorgverzekeraars. 

De gegevensverwerkingen, in het kader van DigiD, vinden plaats ter uitvoering van de taak van de minister van Binnenlandse Zaken en Koninkrijksrelaties. De grondslag voor deze gegevensverwerkingen is de wet Digitale overheid (voorganger Wet elektronisch berichtenverkeer).  Deze grondslag is verder uitgewerkt in het Besluit Digitale Overheid (voorganger besluit verwerking persoonsgegevens generieke digitale infrastructuur) en de Regeling voorzieningen WDO (voorganger Regeling voorzieningen GDI). Gelet hierop is sprake van gegevensverwerkingen die vallen onder de verwerkingsgrond van artikel 6, eerste lid onder e van de AVG: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang. Deze voorgaande wet- en regelgeving voorziet in de verwerking van het BSN in het stelsel van voorzieningen GDI. Het BSN mag worden verwerkt voor zover dit noodzakelijk is voor de goede uitvoering van hun taken en verplichtingen ingevolge de wet Digitale overheid (WDO).

Sinds 2017 zijn er voorbereidingen getroffen voor de vervanging van dit stelsel door de WDO. Onder de WDO is dit het Nederlands stelsel voor toegang tot publieke diensten (hierna stelsel toegang). De uitwerking zal plaatsvinden in de lagere regelgeving, zoals in algemene maatregelen van bestuur (AMvB’s) en ministeriële regelingen (MR’s). Bij deze voorbereidingen zijn er Privacy impact assessments voor DigiD Substantieel en DigiD Hoog uitgevoerd. De implementatie van DigiD Substantieel en DigiD Hoog is echter al gedaan onder de voorgaande wet- en regelgeving binnen het GDI stelsel (opvolger stelsel toegang).

De uiteindelijke DPIA gaat uit van de totale voorziening DigiD en is daarmee een geactualiseerde versie, en vervangt daarmee de in 2017 uitgevoerde PIA’s. Binnen het huidige stelsel voorziet DigiD in diverse elektronische authenticatiemiddelen op basis van het BSN. Het betreft de volgende inlogmethodes :

  • Gebruikersnaam met wachtwoord, eventueel aangevuld met sms-controle (betrouwbaarheidsniveau Laag)
  • DigiD app met pincode (betrouwbaarheidsniveau Laag), eventueel aangevuld met ID-check (betrouwbaarheidsniveau Substantieel)*
  • Digitale identiteit op een identiteitsbewijs** met pincode (eID-middel op betrouwbaarheidsniveau Hoog)

* De ID-check uitvoeren (niveau Substantieel) kan met de volgende identiteitsbewijzen:

  • Nederlands rijbewijs uitgegeven na 14 november 2014 (door Rijksdienst voor het Wegverkeer)
  • Nederlandse identiteitskaart
  • Nederlands paspoort

** Inloggen op niveau Hoog kan met de volgende identiteitsbewijzen:

  • Nederlands rijbewijs uitgegeven vanaf 26-5-2018 (door Rijksdienst voor het Wegverkeer)
  • Nederlandse identiteitskaart uitgegeven vanaf 13-3-2021 (door Rijksdienst voor Identiteitsgegevens)

De reikwijdte van de gegevensverwerkingen van DigiD kan bepaald worden aan de hand van het omgevingsmodel (figuur 1).

Figuur 1: Omgevingsmodel DigiD

Legenda

Afkorting Instantie Website
MinBZK Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Ministerie van Binnenlandse Zaken en Koninkrijksrelaties | Rijksoverheid.nl
AP Autoriteit Persoonsgegevens Home | Autoriteit Persoonsgegevens
RDI Rijksinspectie Digitale Infrastructuur Home | Rijksinspectie Digitale Infrastructuur (RDI)
ARK Algemene Rekenkamer Home | Algemene Rekenkamer
ADR Audit Dienst Rijk Auditdienst Rijk | Rijksoverheid | Rijksoverheid.nl
RvIG Rijksdienst voor Identiteitsgegevens Home | RvIG
RDW Rijksdienst voor het Wegverkeer Particulier | RDW
BSNk BSN Koppelregister Logius | BSNk PP
E-Herk. EHerkenning eHerkenning | Homepage
PKI-O PKIOverheid Overview of PKIoverheid certificates

DigiD valt als voorziening onder het bestuur van Logius, de dienst digitale overheid, en is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (ministerie van BZK). Het ministerie van BZK heeft naast de aansturende functie ook een toezichthoudende functie, net als andere partijen zoals de Autoriteit Persoonsgegevens (AP), de Rijksinspectie digitale infrastructuur (RDI), de Algemene Rekenkamer (ARK) en de Auditdienst Rijk (ADR).

De voorziening DigiD maakt gebruik van dienstverleners en ketenpartners. Dit zijn partijen binnen of buiten Logius die bepaalde dienstverlening bieden die noodzakelijk zijn voor het functioneren van DigiD. De eveneens onder Logius vallende voorziening DigiD Machtigen is voor bepaalde processen afhankelijk van de voorziening DigiD. Daarnaast maakt DigiD voor bepaalde onderdelen gebruik van leveranciers, die gecontracteerd worden vanuit Logius of vanuit een breder (rijks)overheid verband.

De processen die direct gerelateerd zijn aan de voorziening DigiD, met gegevensverwerking van de (beoogde) gebruiker(s), zijn onderdeel van de DPIA. Gerelateerde processen die niet zichtbaar zijn voor de gebruiker(s), o.a. in het door Logius uitgevoerde relatiebeheer met de dienstverleners, ketenpartners en leveranciers, het bestuur (de besturing) van DigiD en de toezichthouders, vormen geen onderdeel van de DPIA. 

Het betreft de volgende gegevensverwerkende processen:

  • Gebruik DigiD
    • Bezoeken website DigiD 
    • Aanvragen, activeren, herstellen en intrekken van account en authenticatiemiddelen
    • Inloggen en gebruik authenticatiemiddelen
    • Gebruiken Mijn DigiD / DigiD App
    • Balie buitenland
  • Gebruikersondersteuning
  • Beheer DigiD
  • Onderzoek naar misbruik of oneigenlijk gebruik

Bij deze processen vindt er gegevensuitwisseling plaats met de volgende ketenpartners / koppelvlakken:

  • Rijksdienst voor Identiteitsgegevens (RvIG)
    Ten behoeve van gegevens uit de Basis Registratie Personen (BRP) en gegevens over identiteitsdocumenten en eID-middelen.
  • Rijksdienst voor het Wegverkeer (RDW)
    Ten behoeve van gegevens over identiteitsdocumenten (rijbewijzen) en eID-middelen.
  • BSNk
    Ten behoeve van digitale identiteiten.
  • DigiD Machtigen
    Ten behoeve van machtigingen.
  • EHerkenning
    Ten behoeve van inlogvoorzieningen die noodzakelijk zijn voor de toegang tot DigiD Balie.
  • PKI-Overheid
    Ten behoeve van digitale certificaten die noodzakelijk zijn voor de toegang tot DigiD Beheer. 

Voor de processen met de dienstverleners vindt er gegevensuitwisseling plaats via de volgende koppelvlakken:

  • Administratie van DigiD accounts
    Ten behoeve van het aanvragen van accounts vanuit een dienstverlener.
  • Authenticatie (inloggen)
    Ten behoeve van het inloggen van gebruikers bij een dienstverlener.

Tevens vindt er gegevensuitwisseling plaats met de volgende leveranciers / koppelvlakken:

  • Brief-diensten
    Ten behoeve van het versturen van brieven aan gebruikers.
  • SMS-diensten
    Ten behoeve van het versturen van sms-berichten aan gebruikers.
  • E-maildiensten
    Ten behoeve van het versturen van e-mailberichten aan gebruikers.
  • Pushnotificaties (internet-diensten)
    Ten behoeve van het versturen van pushnotificaties aan gebruikers.
  • Helpdesk-diensten
    Ten behoeve van gebruikersondersteuning.

Voor het beheer van DigiD is een aantal leveranciers betrokken die direct of indirect toegang hebben tot gegevens:

  • Applicatiebeheer
    Ten behoeve van het beheer van de applicaties en gegevens.
  • Website-diensten
    Ten behoeve van het beheer van de website.
  • Infrastructuur
    Ten behoeve van het platform waarop DigiD draait.
  • SIEM/SOC
    Ten behoeve van monitoring op het gebied van beveiliging. 

Afkortingenlijst

BSN Burger Service Nummer
BRP Basis Registratie Personen
CRB Centraal register Rijbewijzen
SIEM Security Information and Event Management
SOC Security Operations Center
SMS Short Message Service
NAW Naam, Adres, Woonplaats
OS Operating System
MSC  Middelen Status Controller
CMS Content Management Systeem
DMS Document Management Systeem
TCP/IP Transmission Control Protocol / Internet Protocol
IPv4 Internet Protocol versie 4
IPv6  Internet Protocol versie 6
HTTP Hypertext Transfer Protocol
TLS Transport Layer Security
SAML Security Assertion Markup Language
NFC Near Field Communication
MRZ Machine Readable Zone (van een identiteitsdocument)

 

Persoonsgegevens

DigiD verwerkt persoonsgegevens, omdat met DigiD de authenticiteit van een (natuurlijk) persoon vastgesteld kan worden en gebruikt kan worden om in te loggen. Hiervoor gebruikt DigiD diverse persoonsgegevens, alsmede diverse unieke waardes die de persoon representeren of herleidbaar zijn naar een persoon. Deze unieke waardes kunnen ook cryptografische sleutels zijn die gebruikt worden in de gegevensverwerking van DigiD. 

Om alle persoonsgegevens binnen DigiD te kunnen beschrijven is eerst een beschrijving nodig van de containerbegrippen die binnen DigiD gehanteerd worden voor gegevens. Deze containerbegrippen vormen samen het conceptuele gegevensmodel van DigiD.

Account

Het centrale begrip binnen DigiD is het account, waarmee een persoon wordt vastgelegd die gebruik maakt van DigiD. Bij de vastlegging van het account worden diverse persoonsgegevens gebruikt. Het centrale gegeven bij DigiD is het BSN van de persoon. Andere gegevens die gebruikt worden bij het account zijn pseudoniemen, cryptografische sleutels en andere unieke waardes. Bij een account kunnen een of meer authenticatiemiddelen horen.

Authenticatiemiddel

Het gebruik van DigiD door een persoon vindt plaats met behulp van een authenticatiemiddel. Een gebruiker heeft een of meerdere authenticatiemiddelen. Bij de vastlegging van een authenticatiemiddel kan gebruik gemaakt worden van unieke waardes en/of cryptografische sleutels, die direct of via het account herleidbaar zijn naar een persoon. 

Bij de authenticatiemiddelen van DigiD worden verschillende unieke gegevens gebruikt:

  • Unieke gebruikersnaam met wachtwoord (of een representatie ervan)
  • Unieke installatie van de DigiD app (unieke waardes van software en hardware) met pincode (of een representatie ervan)
  • Digitale identiteit op een identiteitsbewijs met pincode (eID-middel). Het ontwerp van de Digitale identiteit (eID) valt niet onder deze DPIA, maar is uitgelegd in de PIA van DigiD Hoog.

Transactie

Het gebruik van DigiD vindt plaats door middel van transacties. Dit zijn handelingen die de gebruiker uitvoert op het account en/of het authenticatiemiddel. Een transactie begint meestal met een gebruikershandeling en kan vervolgd worden met diverse andere handelingen, alsmede geautomatiseerde systeemhandelingen. Een transactie wordt normaalgesproken voltooid, maar door diverse omstandigheden (verbindingsproblemen, controles etc.) kan een transactie voortijdig worden afgebroken. Ook kan een transactie tijdelijk onderbroken worden omdat het wacht op een ander proces of op een andere transactie. Elke transactie is uniek en heeft daarom een unieke waarde. Via het account en/of authenticatiemiddel is een transactie herleidbaar naar een persoon.

Tijdelijke code

Wanneer een transactie tijdelijk onderbroken wordt, omdat deze pas verder kan als er een ander proces of een andere transactie wordt voltooid, maakt DigiD gebruik van een tijdelijke code. Deze tijdelijke code wordt naar de gebruiker verstuurd, die deze kan gebruiken om de transactie te voltooien. Binnen de context van de transactie is deze tijdelijke code uniek en is, via de transactie, het account en/of authenticatiemiddel herleidbaar naar een persoon. Voorbeelden van de tijdelijke codes bij DigiD zijn: sms-code, activatie-code, balie-code, etc.

Notificatiekanaal

Een bericht (notificatie) van DigiD kan verstuurd worden naar een gebruiker via een notificatiekanaal. Naast berichten over het DigiD account en/of authenticatiemiddel, kunnen ook tijdelijke codes via het notificatiekanaal verstuurd worden. Het notificatiekanaal zelf valt niet binnen de verantwoordelijkheid van DigiD. Er kan dus niet met zekerheid bepaald worden door DigiD, of de gebruiker daadwerkelijk de notificatie ontvangt en/of het daadwerkelijk de beoogde gebruiker is. Bovendien kan een notificatiekanaal door meerdere personen gebruikt worden en/of zelfs door derden.

De volgende notificatiekanalen worden gebruikt bij DigiD:

  • Brief aan de hand van de NAW-gegevens van de gebruiker
  • SMS aan de hand van het telefoonnummer van de gebruiker
  • E-mail aan de hand van het e-mailadres van de gebruiker
  • Pushnotificatie aan de hand van het OS platform  van de gebruiker (van de DigiD App). Op dit moment zijn dat alleen Google Android en Apple iOS.

De containerbegrippen zoals hierboven toegelicht, hebben diverse relaties met elkaar. Dit is weergegeven in het conceptuele gegevensmodel (figuur 2).

Figuur 2: Conceptuele gegevensmodel DigiD

Bij DigiD zijn er, naast de gebruiker, ook andere categorieën betrokkenen. Per categorie wordt toegelicht hoe deze betrokkenheid tot stand komt en welke gegevens daarbij verwerkt worden.

Bezoeker

Dit is een persoon die DigiD via internet benadert, op het domein digid.nl en/of één van de subdomeinen. Een bezoeker kan de inhoud bekijken en de hyperlinks volgen. De bezoeker zal dit doen op een bepaald device via bepaalde software, meestal een browser. Iedereen die internet gebruikt kan een bezoeker van DigiD zijn. Iemand die de DigiD App downloadt, installeert en opstart is ook een bezoeker van DigiD.

Categorie persoonsgegevens Persoonsgegevens Type persoons-gegeven  Bron                     
Apparaat- en internetgegevens

Bij het bezoek van DigiD worden de volgende gegevens vastgelegd:

  • IP-adres van het device waarvandaan het bezoek plaatsvindt.
  • Kenmerken van de sessie op het device, waaronder cookies.
  • Kenmerken van de gebruikte software en hardware van het device.
Gewoon Internetsessie en internetverkeer

Gebruiker

Dit is een persoon die DigiD daadwerkelijk gebruikt via de functies en processen die worden aangeboden. De betrokkenen bij DigiD zijn in principe alle personen die in de BRP zijn opgenomen met een BSN. Deze personen kunnen bij DigiD een account en authenticatiemiddelen aanvragen en gebruiken. Daarnaast worden digitale identiteiten, die uitgegeven worden door de RvIG en RDW, verstrekt aan DigiD. Iedereen die een identiteitsdocument met een digitale identiteit bezit, is dus ook een betrokkene bij DigiD.

Categorie persoonsgegevens Persoonsgegevens          Type persoons-gegeven Bron                     
Apparaat- en internetgegevens

Bij de handelingen met DigiD worden de volgende gegevens vastgelegd:

  • IP-adres van het device waarvandaan het gebruik plaatsvindt.
  • Kenmerken van de sessie op het device, waaronder cookies.
  • Kenmerken van de gebruikte software en hardware van het device.
Gewoon Internetsessie en internetverkeer
Contactgegevens

Bij het gebruik van DigiD:

  • Telefoonnummer
  • E-mailadres

 

Bij de gebruiker ondersteuning worden apart/nogmaals de volgende gegevens vastgelegd:

  • Telefoonnummer
  • E-mailadres
  • Weergavenaam (account of echte naam)
  • Evt. correspondentie-adres

Deze gegevens kunnen anders zijn dan de contactgegevens die zijn opgegeven voor het gebruik van DigiD.

Gewoon Direct door de gebruiker
Identificatienummer

BSN, hetgeen wat het kerngegeven is binnen DigiD.

 

Wettelijk identificatienummer Basis Registratie Personen
Contactgegevens Naam, Adres, Woonplaats (NAW-gegevens) inclusief postcode en evt. land Gewoon

Basis Registratie Personen

Of
Dienstverlener-koppelvlak t.b.v. Administratie van DigiD accounts

Identiteit en demografische gegevens

Aan de hand van het BSN van de gebruiker worden gegevens uit de BRP verwerkt, conform het autorisatiebesluit: zie bijlage 1. Naast het BSN wordt ook het A-nummer als identificerend nummer verwerkt. Dit is een Administratie-nummer, gebruikt voor de persoonslijst in de BRP en nodig voor verdere administratie van BRP-meldingen.

 

Tevens worden gegevens met betrekking tot de identiteits-documenten van de gebruiker verwerkt:

  • MRZ, documentnummer, geldigheidsdatum en geboortedatum van het identiteits-document           
  • Gegevens uit de chip van het identiteits-document*
  • Digitale identiteit in (de chip van) het identiteits-document. De digitale identiteit bestaat uit een pseudoniem van BSNk-PP
  • Gegevens over de status van het identiteits-document (verloren/gestolen of ingetrokken) 
Gewoon

Basis Registratie Personen

 

Centraal register Rijbewijzen

 

Beheervoorzie-ning BSN (Verificatie-register)

Overige gegevens

Bij het aanmaken / gebruiken van een account of authenticatiemiddel worden aanvullend diverse unieke waardes en/of cryptografische sleutels verwerkt. Dit zijn in ieder geval:

  • Gebruikersnaam
  • Wachtwoord (of een representatie daarvan)
  • Unieke waardes van software en hardware
  • Pincode (of een representatie daarvan)

 

Deze gegevens zijn binnen de context van DigiD zelfstandig of in combinatie met andere gegevens te herleiden naar een persoon.

Gewoon,  Direct door de gebruiker of geautomatiseerd door een functie van DigiD

* Afhankelijk van het type identiteitsdocument worden de gegevens uitgelezen en gecontroleerd. Het betreft de volgende gegevens: (certificaat van) uitgevende staat of organisatie, documentnummer, naam (volledig of in delen), geboortedatum, geldigheidsdata; 

Bij het gebruik van DigiD worden ook gegevens van bepaalde kwetsbare groepen verwerkt en worden indirect, via de vastlegging van de handelingen met DigiD, ook bijzondere gegevens vastgelegd. Deze bijzonderheden worden hier apart genoemd.

Iedereen die in de BRP met een BSN opgenomen staat, kan een DigiD aanvragen en gebruiken, dus ook minderjarigen en andere kwetsbare personen. Deze personen kunnen dus ook betrokkene bij DigiD zijn. Verder worden gegevens over eID-middelen altijd verstrekt aan DigiD, ook van minderjarigen en kwetsbare personen.

Personen die dezelfde contactgegevens hebben (dus hetzelfde adres, telefoonnummer en/of e-mailadres) kunnen als gebruiker van DigiD elkaars communicatie inzien. Dit kan tot verwarring of andere problemen met het gebruik van DigiD leiden. Verder kunnen contactgegevens gerelateerd worden aan de woon- of verblijfssituatie van de gebruiker, bijvoorbeeld dat een persoon tot een bepaalde organisatie behoort of in een bepaalde instelling verblijft. Denk hierbij aan opvangcentra, specifieke zorginstellingen of justitiële inrichtingen. 

Via de handelingen van een gebruiker kan nagegaan worden op welke tijdstippen bij welke dienstverleners een inlogpoging is gedaan. Onder de dienstverleners zijn vele zorginstellingen, soms ook met een specifiek zorggebied, bijzondere overheidsinstanties zoals politie, en bepaalde verenigingen die een bijzonder karakter hebben. De inlogpoging geeft alleen aan dat de gebruiker via DigiD het BSN heeft doorgegeven aan de dienstverlener, en niet of er daadwerkelijk een relatie is tussen de gebruiker en de dienstverlener. 

Medewerker

Dit is een persoon die bij en/of namens DigiD (beheer)handelingen verricht en vanuit deze werkzaamheden toegang heeft tot gegevens die verwerkt worden door DigiD.

Categorie persoonsgegevens Persoonsgegevens Type persoons-gegeven Bron                     
Apparaat- en internetgegevens

Bij het beheer van DigiD worden de volgende gegevens vastgelegd:

  • IP-adres van het device waarvandaan het beheer plaatsvindt.
  • Kenmerken van de sessie op het device, waaronder cookies.
  • Kenmerken van de gebruikte software en hardware van het device.
Gewoon Internetsessie en internetverkeer
Identificatienummer Gebruikersnaam of andere unieke waardes en/of cryptografische sleutels Gewoon Inlog door medewerker

Gegevensverwerkingen

Onderdelen van DigiD

De zichtbare gegevensverwerkingen van DigiD vinden plaats via diverse onderdelen die daarvoor bereikbaar zijn via internet. Een bezoeker/gebruiker van DigiD benadert deze onderdelen met een browser of met de DigiD App, vanaf een bepaald (daarvoor geschikt) device dat aan internet   verbonden is. De onderdelen zijn weergegeven in figuur 3.

Figuur 3. DigiD onderdelen beschikbaar voor gebruikers via internet

De Website DigiD bevat webpagina’s met algemene informatie over DigiD. Mijn DigiD is een webapplicatie waar gebruikers van DigiD bepaalde informatie kunnen inzien en zaken rondom hun persoonlijke DigiD kunnen regelen.

De DigiD webapplicaties zijn publiektoegankelijke applicaties waarmee transacties met DigiD uitgevoerd kunnen worden. Deze applicaties zijn:

  • Aanvragen en activeren van een DigiD account en/of authenticatiemiddel
  • Herstellen van wachtwoord
  • Inloggen met een DigiD authenticatiemiddel bij een dienstverlener

Via een (web)browser (bijv. Chrome, Firefox, Edge) kan de gebruiker deze onderdelen gebruiken.

De DigiD App maakt, behalve van de functies in de app zelf en eventuele koppelingen met de DigiD webapplicaties, ook gebruik van specifieke DigiD App endpoints, waarvoor ook communicatie over internet plaatsvindt.

In de verdere uitwerking van de gegevensverwerkingen van DigiD worden al deze onderdelen bekend verondersteld en niet meer verder toegelicht. 

Gegevensverwerkingen van DigiD

De gegevensverwerkingen van DigiD kunnen inzichtelijk gemaakt worden aan de hand van het functiemodel (figuur 4). Een verdere toelichting op dit model is opgenomen in bijlage 2  . Elke gegevensverwerking van DigiD raakt een of meerdere onderdelen van het model.

Figuur 4: Functiemodel DigiD

0. ALGEMENE GEGEVENSVERWERKINGEN

Een aantal gegevensverwerkingen binnen DigiD vinden periodiek plaats of tijdens bepaalde transacties met DigiD. Deze algemene gegevensverwerkingen worden eerst toegelicht.

Vastleggen van handelingen op DigiD

Van alle betrokkenen (bezoekers, gebruikers en medewerkers) worden de handelingen op DigiD vastgelegd. Deze handelingen bestaan uit het opvragen van webpagina’s en het gebruiken van de (web)applicaties, het klikken op links en knoppen en ander algemeen gebruik van DigiD. Dit gebeurt zowel vanuit een browser als vanuit de DigiD App. Deze handelingen worden verwerkt in de Technische logging, die beheerd wordt door de Leverancier van het Applicatiebeheer.

Daarnaast worden de handelingen geanonimiseerd doorgestuurd naar de Statistiek (op het subdomein statistiek.digid.nl). Door de anonimisering zijn het geen persoonsgegevens meer. 

Vastleggen van transacties met DigiD account en/of authenticatiemiddel

Van alle betrokkenen (bezoekers, gebruikers en medewerkers) worden de transacties met een DigiD account en/of authenticatiemiddel vastgelegd. Alle mogelijke transacties worden verderop als gegevensverwerking toegelicht.

Voor gebruikers bestaan deze transacties uit handelingen met een account en/of authenticatiemiddel of een poging daartoe, bijvoorbeeld het aanvragen, het activeren, het herstellen, het inloggen etc. Ook binnen het systeem DigiD vinden (geautomatiseerd) handelingen plaats met het account en/of authenticatiemiddel. 

Voor medewerkers (via de Balie module of Beheer module) bestaan deze handelingen uit het raadplegen en/of wijzigen van accounts, authenticatiemiddelen en gebruikersinformatie. De mogelijke handelingen vallen onder de gegevensverwerking van Balie buitenland en Beheer DigiD, die verderop worden toegelicht.

Alle handelingen worden verwerkt in de Transactie logging.

Versturen van een notificatiebrief naar een gebruiker

Tijdens of na afloop van een transactie met DigiD kan er vanuit het systeem DigiD geautomatiseerd een notificatiebrief verstuurd worden naar een gebruiker. Voor het vervaardigen van deze brief zijn de NAW-gegevens van de gebruiker uit de BRP of het koppelvlak Administratie van DigiD-accounts nodig. Deze NAW-gegevens worden bij het Account opgeslagen voor verdere verwerking.

Bij het vervaardigen van de brief wordt deze eerst verwerkt in een Briefbestand. De brief kan een tijdelijke code vanuit DigiD bevatten, zoals bijv. een activatiecode. Dit bestand wordt naar de Leverancier verzonden, die de fysieke Brief (op papier) vervaardigt, welke naar de gebruiker verzonden kan worden. Leverancier kan de mogelijkheid bieden om gebruik te maken van het Track&trace portaal. Het gebruik van het Track&trace portaal wordt verderop toegelicht.

Versturen van een notificatie naar een gebruiker

Tijdens of na afloop van een transactie met DigiD kan er geautomatiseerd een notificatie verstuurd worden naar een gebruiker. Deze notificatie wordt verstuurd op basis van het account en/of authenticatiemiddel waar de transactie op uitgevoerd wordt. Afhankelijk van de transactie en de notificatie wordt deze naar de Leverancier verstuurd voor verwerking als SMS op basis van het geregistreerde telefoonnummer, als E-mail op basis van het geregistreerde e-mailadres of als Pushnotificatie op basis van een geregistreerd device met de DigiD app. De notificatie kan een tijdelijke code bevatten, zoals bijv. een code voor sms-controle.

Ontvangen van spontane verstrekkingen uit de BRP   

Bij wijzigingen in gegevens in de BRP kunnen deze verstrekt worden door de RvIG via het daartoe ingerichte koppelvlak. De (wijzigingen in de) gegevens worden verwerkt door DigiD.

Vanuit de BRP heet deze gegevensverwerking een “spontane verstrekking”. In bijlage 1 sub I     staat deze gegevensverwerking verder uitgewerkt.

1. GEGEVENSVERWERKINGEN BIJ GEBRUIK DIGID

Het gebruik van DigiD vindt plaats met behulp van een account, en een of meerdere authenticatiemiddelen. De gegevensverwerkingen bij dit gebruik worden hieronder toegelicht.

Aanvragen en activeren van een account en/of authenticatiemiddel

Voor het aanvragen van een account wordt het BSN gebruikt. Indien de aanvraag via het koppelvlak Administratie van DigiD-accounts verloopt, worden direct de NAW-gegevens door de dienstverlener meegestuurd. Indien de aanvraag via het internet verloopt, worden er bepaalde identificerende gegevens gevraagd, die aan de hand van het BSN tegen de BRP worden gecontroleerd. Als de gegevens overeenkomen, wordt het account aangemaakt en vastgelegd. Vervolgens wordt het authenticatiemiddel en eventuele notificatiekanalen aangemaakt en geverifieerd. De gegevens die hierbij gebruikt worden, zijn afhankelijk van het type authenticatiemiddel en/of notificatiekanaal.

Als bij de aanvraag een identiteitsbewijs wordt gebruikt, worden deze geverifieerd tegen de daarvoor beschikbare bronnen, via de koppelvlakken BRP, CRB en de beheervoorziening BSN/Verificatieregister).

De aanvraag wordt afgerond met een (tijdelijke) activatiecode, waarmee de gebruiker het account en/of authenticatiemiddel kan activeren. De activatie vindt vervolgens plaats met behulp van deze code en het authenticatiemiddel, door middel van een eerste authenticatie. Na de activatie wordt, via het koppelvlak met de BRP, het BSN aangemeld voor het ontvangen van spontane verstrekkingen uit de BRP.

Deze aanvraag- en activatieprocedure geldt voor de volgende authenticatiemiddelen:

  • Gebruikersnaam met wachtwoord, eventueel aangevuld met sms-code
  • DigiD app met pincode, eventueel aangevuld met ID-check

Indien het device met de DigiD app van de gebruiker niet geschikt is om de ID-check uit te voeren, bijvoorbeeld omdat het device niet beschikt over NFC, kan gebruik gemaakt worden van de CheckID app.  De CheckID app staat weliswaar op het device van een ander persoon, maar de gegevens die in de ID-check verwerkt worden komen niet beschikbaar voor de gebruiker van de CheckID app (de Helper) of het device waar de CheckID app op geïnstalleerd is.

Voor de ingebruikname van een Digitale identiteit op een identiteitsbewijs met pincode (eID-middel), geldt een andere procedure.

Aanvragen en activeren van een Digitale identiteit (eID-middel)

De aanvraag van een digitale identiteit (eID-middel) vindt plaats met de aanvraag van een daarvoor geschikt identiteitsbewijs. Het betreft de volgende identiteitsbewijzen:

  • Nederlands Rijbewijs uitgegeven vanaf 26-5-2018 (door RDW)
  • Nederlandse Identiteitskaart uitgegeven vanaf 13-3-2021 (door RvIG)

Deze aanvraag vindt plaats bij een daartoe bevoegde instantie (meestal een gemeente) en valt buiten de scope van deze DPIA.

Bij de uitgifte van het identiteitsbewijs wordt door de uitgever (RDW of RvIG) het eID-middel bekend gesteld bij DigiD. Dit gebeurt op basis van een pseudoniem binnen het BSNk-stelsel, conform de koppelvlakken die betrekking hebben op de Middelen Status Controller (MSC). De eID middelen worden opgeslagen in de MSC op basis van het pseudoniem.

Om het eID middel te kunnen activeren, heeft de gebruiker een DigiD account op basis van BSN nodig, met een actief authenticatiemiddel. Daarmee kan de gebruiker via Mijn DigiD de activatie van het eID middel uitvoeren. Dit vindt plaats met behulp van het eID middel, door middel van een eerste authenticatie op basis van het pseudoniem, waarbij het BSNk Transform koppelvlak gebruikt wordt. De status van het eID middel (actief) wordt bijgewerkt via de MSC.

Met het oog op de invoering van het BSNk-stelsel, onder de WDO , kan er bij DigiD ook gebruik gemaakt worden van digitale identiteiten via het BSNk Activate koppelvlak. Hierbij wordt bij een account en/of authenticatiemiddel een digitale identiteit opgevraagd, bij BSNk, op basis van het BSN. BSNk genereert en administreert de Digitale identiteit, waarna DigiD deze kan opslaan en gebruiken. DigiD kan deze gegevensverwerking zonder tussenkomst van de gebruiker uitvoeren.

Balie buitenland

Een burger die niet in een Nederlandse gemeente ingeschreven staat en daarom als niet-ingezetene wordt beschouwd, staat ingeschreven in het Register Niet Ingezetenen (RNI), dat onderdeel uitmaakt van de BRP. Voor een aanvraag via internet van een niet-ingezetene  is een aparte procedure, dat bekend staat als de Balie buitenland. De betrokkene dient zich hiervoor naar een dienstverlener met de Balie buitenland functie te begeven.

Door de dienstverlener wordt gebruik gemaakt van de Balie module van DigiD, waarvoor ingelogd dient te worden met eHerkenning door de medewerker van de dienstverlener. Hierbij worden de gebruikersnaam of andere unieke waardes en/of cryptografische sleutels van de medewerker meegegeven aan de balie module.

In de balie module worden de gegevens van de (reeds uitgevoerde) aanvraag gecontroleerd en wordt door DigiD, na goedkeuring door de dienstverlener, de activatiecode voor de aanvraag verstuurd via een notificatiekanaal, waarmee de gebruiker het account en/of authenticatiemiddel kan activeren. De activatie vindt vervolgens weer via de normale procedure plaats.

De gegevens die benodigd zijn voor het maken en laten plaatsvinden van de afspraak bij de Balie buitenland vallen buiten de scope van deze DPIA (verantwoordelijkheid van de dienstverlener).

Herstellen van wachtwoord

Voor het herstellen van het wachtwoord moet de gebruiker het BSN en de gebruikersnaam van het account bij DigiD invoeren. Afhankelijk van welke authenticatiemiddelen en/of notificatiekanalen de gebruiker heeft, wordt een (tijdelijke) herstelcode verstuurd. Met deze herstelcode kan de gebruiker een nieuw wachtwoord aanmaken en vastleggen.

Inloggen met een DigiD authenticatiemiddel bij een dienstverlener

Om in te loggen met een DigiD authenticatiemiddel moet de gebruiker eerst naar de website en/of mobiele app van een dienstverlener gaan en kiezen voor inloggen met DigiD. Via de authenticatie-koppelvlakken wordt er vanuit de dienstverlener doorverwezen naar DigiD om de gebruiker in te laten loggen op een specifieke dienst uit de Dienstencatalogus, door gebruik te maken van een authenticatiemiddel. Hierbij worden de gegevens van dat specifieke authenticatiemiddel gebruikt, en waar nodig wordt een tijdelijke code verstuurd om de transactie te voltooien.

Na een geslaagde authenticatie wordt het BSN vanuit DigiD uitgewisseld met de dienstverlener. Vervolgens wordt de gebruiker terugverwezen naar de dienstverlener, en kan de gebruiker de webdienst of appdienst van de dienstverlener gebruiken (de gebruiker is ingelogd bij de webdienst of appdienst).

Het BSN kan, afhankelijk van het koppelvlak, ook versleuteld en/of gepseudonimiseerd verstuurd worden, maar dit heeft geen impact op de verwerking van het BSN bij DigiD. Het resultaat van een authenticatie is dan een Versleutelde Identiteit en/of Pseudoniem. Ook kunnen in bepaalde koppelvlakken de geregistreerde machtigingen van een DigiD gebruiker meegegeven worden in de authenticatie, via de koppeling met Machtigen. Voor DigiD Machtigen is er een aparte DPIA.

De afspraken met de dienstverleners over de authenticatie-koppelvlakken zijn vastgelegd in de Dienstencatalogus. De dienstencatalogus bevat zelf geen persoonsgegevens, maar omdat via het koppelvlak de dienstverlener wordt vastgelegd bij de inloghandelingen van de gebruiker, vindt er verrijking van de persoonsgegevens met gegevens van de dienstverlener plaats.

Welke gegevens door de dienstverlener (via de website of mobiele app vóór authenticatie, webdienst of appdienst ná authenticatie) uitgewisseld worden met de bezoeker valt niet binnen de scope van deze DPIA.

Deze inlogprocedure geldt voor de volgende authenticatiemiddelen:

  • Gebruikersnaam met wachtwoord, eventueel aangevuld met sms-controle
  • DigiD app met pincode, eventueel aangevuld met ID-check

Voor de inlogprocedure van een Digitale identiteit op een identiteitsbewijs met pincode (eID-middel), geldt een aanvullende gegevensuitwisseling, waarbij het BSNk Transform koppelvlak gebruikt wordt. In deze stap wordt de digitale identiteit omgezet naar een pseudoniem om het eID-middel te controleren in de MSC én om de digitale identiteit om te zetten naar een BSN. Dit zorgt ervoor dat de eID inlog als transactie inzichtelijk is binnen DigiD, en is noodzakelijk om in de authenticatie-koppelvlakken het BSN aan de dienstverlener te kunnen doorgeven.

Gebruiken Mijn DigiD

Via Mijn DigiD kunnen gebruikers van DigiD hun authenticatiemiddelen beheren, gebruiksinstellingen beheren en hun gegevens, inclusief het gebruik, inzien. Om van Mijn DigiD gebruik te maken, moet de gebruiker eerst inloggen met een authenticatiemiddel. Dit verloopt conform het eerdere toegelichte inlogproces.

Vervolgens kan de gebruiker zijn gegevens raadplegen (alle gegevens van DigiD en gegevens over de eID-middelen) en bepaalde wijzigingen doorvoeren. Het account kan niet gewijzigd worden, maar bepaalde zaken rondom de authenticatiemiddelen en notificatiekanalen kunnen wel gewijzigd worden. Een beschrijving van de mogelijkheden staat in de Functionele Beschrijving van DigiD. Deze wijzigingen worden bevestigd middels een authenticatie en daarbij worden geen nieuwe of andere gegevens met DigiD verwerkt dan bij het aanvragen en activeren van een account en/of authenticatiemiddel.

Tevens kan de gebruiker de transactielogging behorende bij het account en/of authenticatiemiddelen raadplegen, wat bekend staat als de gebruiksgeschiedenis. Dit is de transactielogging die relevant is voor de gebruiker.

Ook kunnen authenticatiemiddelen gedeactiveerd worden. Indien er na deactivering van een authenticatiemiddel geen actieve authenticatiemiddelen meer zijn, wordt het DigiD account opgeheven. De gebruiker kan ook zelf kiezen om het DigiD account op te heffen waarmee de authenticatiemiddelen (m.u.v. van de eID-middelen) eveneens gedeactiveerd worden.

Gebruiken DigiD App

Om de DigiD App te kunnen gebruiken moet deze eerst geïnstalleerd worden op een daarvoor geschikt device. De DigiD App is beschikbaar op ondersteunde Operating System / platformen (OS platform)  en kan vanuit de respectievelijke App Store (de naamgeving kan per OS platform verschillen) gedownload worden. Op dit moment zijn dat Google Android en Apple iOS. Hiervoor is een OS account nodig, maar DigiD heeft geen inzicht noch verantwoordelijkheid in de (persoons)gegevens die daarbij verwerkt worden. Het OS platform is geen onderdeel van deze DPIA.

Nadat de DigiD App geïnstalleerd is moet deze geactiveerd worden. De gegevensverwerkingen die hierbij plaatsvinden, staan allemaal hierboven uitgelegd, onder “Aanvragen en activeren van een account en/of authenticatiemiddel”.

Na activering kunnen, via de DigiD App, een aantal handelingen bij DigiD uitgevoerd worden. Hiervoor dient de gebruiker eerst in te loggen in de DigiD App. Dit verloopt conform het eerdere toegelichte inlogproces. Vervolgens is een deel van de handelingen beschikbaar die ook via Mijn DigiD beschikbaar is. Ook kan de gebruiker de gebruiksgeschiedenis raadplegen. Een specifieke handeling die alleen via de DigiD App gedaan kan worden, is het verkrijgen van een (tijdelijke) koppelcode, om in te kunnen loggen op een ander device. Een beschrijving van de mogelijkheden staat in de Functionele Beschrijving van de DigiD app.

Ook is het mogelijk de DigiD App te deactiveren. Hierbij worden de lokaal opgeslagen gegevens van de DigiD App verwijderd.

Activeren pushnotificaties DigiD App

Alleen via de DigiD App kan het notificatiekanaal pushnotificaties geactiveerd worden. Dit kan bovendien alleen als de DigiD App geïnstalleerd staat op een device met een ondersteund Operating System / platform (OS platform). De gebruiker dient aangemeld te zijn met een OS account op het OS platform om pushnotificaties te kunnen gebruiken. Deze aanmelding gebeurt los van DigiD of de DigiD App, en DigiD heeft geen inzicht noch verantwoordelijkheid in de (persoons)gegevens die daarbij verwerkt worden. 

Indien de gebruiker de pushnotificaties activeert in de app, wordt er door het OS platform een unieke waarde gegenereerd, en via de DigiD App naar DigiD gestuurd. Deze unieke waarde wordt opgeslagen bij het notificatiekanaal om later te gebruiken en ter registratie verstuurd naar de Leverancier van pushnotificaties (onderdeel van internet-diensten).

Het OS platform is geen onderdeel van deze DPIA.

Opheffen account

Het opheffen van een account zorgt ervoor dat het account en de daarbij behorende gegevens gearchiveerd worden conform de bewaartermijnen die zijn vastgelegd in artikel 11 Besluit DO. De archivering bestaat niet uit een overplaatsing van gegevens, maar uit een speciale status, zodat de gegevens voor gebruikersondersteuning, beheer en onderzoek beschikbaar blijven in de database van DigiD.

Tevens vindt er periodiek een controle plaats op accounts die 3 jaar niet gebruikt zijn. Deze accounts worden eveneens opgeheven.

Een gebruiker kan te allen tijde opnieuw een account aanvragen via het eerder beschreven proces, tenzij DigiD op verzoek van de gebruiker een (her)aanvraagblokkade instelt in het kader van misbruik en/of oneigenlijk gebruik.

2. GEGEVENSVERWERKINGEN BIJ GEBRUIKERSONDERSTEUNING

Een bezoeker of gebruiker kan, met een vraag of een probleem, contact opnemen met DigiD voor gebruikersondersteuning. De gegevensverwerkingen die daarbij plaatsvinden worden hieronder toegelicht.

Eerstelijns en Tweedelijns helpdesk

Voor de gegevensverwerkingen bij gebruikersondersteuning is het van belang om onderscheid te maken tussen de eerstelijns en tweedelijns helpdesk. De eerstelijns helpdesk wordt uitgevoerd door een Leverancier, terwijl de tweedelijns helpdesk uitgevoerd wordt door het Logius Klant Contact Centrum (KCC). Beide partijen werken met een Ticket Systeem om de gebruikersondersteuning vast te leggen. Tussen de eerstelijns en tweedelijns helpdesk is er informatie-uitwisseling over de afhandeling van tickets.

Een ondersteuningsvraag aan de helpdesk van DigiD kan op diverse manieren worden gesteld, te weten per e-mail, telefoon, X (Twitter) en/of brief.

Ondersteuningsvraag via e-mail

Op de website van DigiD is een contactformulier beschikbaar. Een bezoeker van de website (lees: elke gebruiker van internet) kan dit formulier invullen en versturen. In het formulier worden persoonsgegevens verwerkt, maar er kan niet worden gecontroleerd of deze gegevens kloppen. Ook kan de melding zelf (de tekst en/of de bijlage) relevantie informatie zoals persoonsgegevens of geen relevante informatie bevatten.

Alle ingevulde gegevens in het formulier worden verwerkt door het Content Management Systeem (CMS) van de website. Het CMS verstuurt de gegevens als e-mail (via internet) door naar het e-mailadres van de Helpdesk van DigiD. De Helpdesk verwerkt de gegevens vervolgens als een normale e-mail die ontvangen wordt. Het is verder een mogelijkheid dat een gebruiker van internet rechtstreeks een e-mail stuurt naar de Helpdesk. Nadat de Helpdesk de e-mail ontvangen heeft, kan deze contact opnemen met de betrokkene via het aangegeven e-mailadres.

De e-mailverbindingen zelf (via internet) zijn geen onderdeel van deze DPIA.

De e-mail wordt (geautomatiseerd) verwerkt in het Ticket Systeem van de helpdesk.

Ondersteuningsvraag via telefoon

Een persoon kan telefonisch contact opnemen met de Helpdesk. Indien het gebruikte telefoonnummer weergegeven wordt in de telefonische verbinding, is dit direct bekend bij de Helpdesk. Ook kan in het telefoongesprek een telefoonnummer gevraagd worden indien dit noodzakelijk is. De Helpdesk kan vervolgens contact opnemen met de betrokkene via dit telefoonnummer.

De telefoonverbindingen zijn geen onderdeel van deze DPIA.

Een telefoongesprek wordt (deels geautomatiseerd) verwerkt in het Ticket Systeem van de Helpdesk.

Ondersteuningsvraag via X (Twitter)

Een persoon met een X (Twitter) account kan via het X (Twitter) platform contact opnemen via het account van DigiD Webcare. Dit account wordt gebruikt door de Helpdesk. De Helpdesk kan op deze wijze, via het X (Twitter) platform, contact opnemen met de betrokkene.

Gebruikers kunnen zelf hun privacy-instellingen op X (Twitter) regelmatig controleren en aanpassen. Het X (Twitter) platform, en de wijze waarop de Helpdesk verbinding ermee maakt, is geen onderdeel van deze DPIA.

Een Tweet wordt (deels geautomatiseerd) verwerkt in het Ticket Systeem van de Helpdesk.

Ondersteuningsvraag via brief

Een persoon kan een (fysieke) brief sturen naar het postadres van Logius . Alle post die op dit adres ontvangen wordt, wordt digitaal verwerkt in het Document Management Systeem (DMS) van het Ministerie van BZK waar Logius onder valt. Deze vorm van ondersteuningsvraag kan daarom alleen verwerkt worden door de tweedelijns helpdesk (het KCC van Logius).

De postverwerking (via het postadres en het DMS) is geen onderdeel van deze DPIA.

De (digitale) brief wordt (geautomatiseerd) verwerkt in het Ticket Systeem van het KCC.

Review op Operating System platform

Een persoon met een Operating System account kan via het OS platform, in de App Store van het betreffende platform een (publieke) review doen op de DigiD App. DigiD heeft geen inzicht noch verantwoordelijkheid in de (persoons)gegevens die daarbij verwerkt worden. Via het account van DigiD Webcare kan de review voorzien worden van commentaar en kan ondersteuning aangeboden worden. De daadwerkelijke ondersteuningsvraag dient door de betrokkene zelf ingediend te worden via een van de eerder genoemde mogelijkheden.

Het OS platform, en de wijze waarop de Helpdesk verbinding ermee maakt, is geen onderdeel van deze DPIA.

Een review en het reviewcommentaar wordt (deels geautomatiseerd) verwerkt in het Ticket Systeem van de Helpdesk.

Afhandelen ondersteuningsvraag

Als een ondersteuningsvraag is binnen gekomen, wordt deze via het Ticket Systeem afgehandeld. Het Ticket Systeem is te benaderen via de Kantoor Automatisering, die gebruikt wordt door een medewerker, die bekend is onder een gebruikersnaam of een andere unieke waarde en/of cryptografische sleutel.

De ondersteuningsvraag kan naast een vraag over (het functioneren van) DigiD ook een klacht en/of een AVG-verzoek zijn. De medewerker heeft verder contact met de betrokkene, meestal per e-mail of per telefoon. Daarbij kunnen ook aanvullende gegevens gevraagd worden aan de betrokkene, waaronder het BSN- of het identiteitsbewijs. In het Ticket Systeem kan (deels geautomatiseerd) de afhandeling vastgelegd worden, alsmede de terugkoppeling aan de betrokkene(n).

Waar nodig wordt de ondersteuningsvraag doorgestuurd van de eerstelijns helpdesk (Leverancier) naar de tweedelijns helpdesk (KCC) zoals eerder is toegelicht. In bepaalde gevallen kan de tweedelijns helpdesk, indien noodzakelijk, (een kopie van) het identiteitsbewijs van de betrokkene vragen. Het KCC kan tevens de gegevens van DigiD verwerken via de Beheer module, welke onder het Beheer DigiD valt en daar verder toegelicht wordt.

Bij sommige ondersteuningsvragen is de hoeveelheid aanvullende gegevens zo groot en/of is de inhoud zo gevoelig dat er gebruik gemaakt wordt van een (digitale) bestandsoverdracht. Deze bestandsoverdracht werkt via een webformulier waarbij de upload- en downloadberichten via e-mail verlopen.

In sommige gevallen is de terugkoppeling aan de betrokkene per brief. Hiervoor wordt de brief eerst digitaal vervaardigd in een briefbestand. Afhankelijk van het soort ondersteuningsvraag wordt het briefbestand ook digitaal verwerkt in het Document Management Systeem (DMS) van het Ministerie van BZK, waar Logius onder valt, en krijgt de brief een uniek kenmerk. De brief wordt vervolgens naar de betrokkene verstuurd. Dit kan per post naar het BRP-adres, maar ook per e-mail.

Het DMS is geen onderdeel van deze DPIA.

Kwaliteitsmonitoring

Voor kwaliteitsmonitoring worden telefoongesprekken, na toestemming van de betrokkene via het telefonische keuzemenu, opgenomen en opgeslagen. Binnen een Kwaliteitssysteem beoordelen coaches die gesprekken op steekproefbasis. De beoordeelde gesprekken zijn vervolgens nog op steekproefbasis input voor de kwaliteitsaudit.

Een medewerker met autorisatie kan via de Kantoorautomatisering het Kwaliteitssysteem benaderen.

Klanttevredenheidsonderzoek

Voor klanttevredenheidsonderzoek wordt bij afgehandelde ondersteuningsvragen (per telefoon of per e-mail) vanuit het Kwaliteitssysteem een uitnodiging verstuurd via e-mail voor deelname aan het onderzoek. De invulling van het onderzoek vindt verder geanonimiseerd plaats.

De interactie tussen het kwaliteitssysteem en het onderzoek voor klanttevredenheid wordt beschreven in de DPIA van Logius KCC.

Volgen en traceren van brieven

Bepaalde brieven worden aangetekend verstuurd, hetgeen betekent dat de afzender (Logius / DigiD in dit geval) de verzonden brief kan volgen en traceren aan de hand van de (unieke) verzendcode van de leverancier. Deze verzendcode (ook wel Track&Trace code genoemd) kan worden verwerkt bij de ondersteuningsvraag in het Ticket Systeem.

De leverancier biedt een webportaal aan om de brieven qua status van de verzending te kunnen inzien. De medewerker heeft voor toegang tot dit webportaal een gebruikersnaam of andere unieke waarde en/of cryptografische sleutel. In het webportaal is in ieder geval de Track & Trace code van de zending te raadplegen en de daarbij behorende NAW-gegevens.

Het Track & Trace portaal is geen onderdeel van deze DPIA.

Terugmelding op de BRP

Bij de afhandeling van een ondersteuningsvraag kan naar voren komen dat bepaalde gegevens van de betrokkene in de BRP onjuist zijn. Met name gebeurt dit met brieven die onbestelbaar retour komen. Logius / DigiD is als afnemer van gegevens uit de BRP verplicht om onjuistheden terug te koppelen. Dit gebeurt via de Terugmeldvoorziening van de RvIG.

De Terugmeldvoorziening van de RvIG is geen onderdeel van deze DPIA.

3. GEGEVENSVERWERKINGEN BIJ BEHEER DIGID

Een medewerker, die bij of namens DigiD (beheer)handelingen verricht, verkrijgt vanuit deze werkzaamheden toegang tot gegevens die verwerkt worden door DigiD. De gegevensverwerkingen die bij dit beheer van DigiD plaatsvinden worden hieronder toegelicht.

Beheer module

Voor veel (beheer)handelingen op (de gegevens van) DigiD dient de Beheer module gebruikt te worden. Dit is een webportaal van DigiD waarop een medewerker kan inloggen met behulp van een persoonlijk PKI-Overheid certificaat.  Een certificaat is een unieke waarde die met behulp van cryptografische sleutels gevalideerd kan worden. De geldigheid van het certificaat wordt gevalideerd via PKI-Overheid. Logius is de policy authority van PKI-Overheid. De Beheer module is toegankelijk via de Kantoor Automatisering, waarop de medewerker reeds bekend is onder een gebruikersnaam of een andere unieke waarde en/of cryptografische sleutel.

In de Beheer module zijn diverse onderdelen die de gegevens van DigiD inzichtelijk maken, waarbij ook samenvoeging plaatsvindt van de Briefbestanden en de Transactie logging. Er kan vanuit de Beheer module gezocht worden op diverse soorten gegevens. Ook kan via de Beheer module de BRP geraadpleegd worden en kunnen de eID-middelen van een gebruiker ingezien worden. Sommige gegevens kunnen in de Beheer module gewijzigd worden en sommige procedures of transacties kunnen vanuit de Beheer module gestart of onderbroken worden. Beheerhandelingen worden zelf ook weer vastgelegd in de Transactie logging, om te kunnen herleiden welke medewerker de persoonsgegevens verwerkt heeft.

Applicatie beheer

Voor sommige (beheer)handelingen op de applicaties en de gegevens van DigiD wordt er applicatiebeheer uitgevoerd. Het applicatiebeheer vindt plaats via toegang tot het infrastructuurplatform waarop DigiD gehost wordt en waarop een medewerker kan inloggen met behulp van inloggegevens. De geldigheid van de inlog wordt gevalideerd via de Leverancier van de infrastructuur. Het applicatiebeheer wordt gebruikt via de Kantoor Automatisering, waarop de medewerker reeds bekend is onder een gebruikersnaam of een andere unieke waarde en/of cryptografische sleutel.

Via het applicatiebeheer zijn de gegevens van DigiD via de infrastructuur te benaderen. Dit zijn naast de kerngegevens van DigiD ook de Briefbestanden, de Transactie logging en de Technische logging. Ook is het (technisch) mogelijk deze gegevens te wijzigen door een geautoriseerde medewerker. Verder zijn er technische handelingen die direct of indirect (periodiek via een schema) op het platform uitgevoerd worden. Sommige van deze handelingen worden weer vastgelegd in de Technische logging. Vanuit de leverancier van het SIEM/SOC is er een functionaliteit die de handelingen op het platform monitort op basis van auditlogging en SIEM-meldingen.

Content beheer

Voor het beheer van de website dient het Content beheer gebruikt te worden. Dit is een toegangsmogelijkheid tot het platform waarop de website van DigiD gehost wordt en waarop een medewerker kan inloggen met behulp van inloggegevens. De geldigheid van de inlog wordt gevalideerd via de Leverancier van de website. Het Content beheer wordt gebruikt via de Kantoor Automatisering, waarop de medewerker reeds bekend is onder een gebruikersnaam of een andere unieke waarde en/of cryptografische sleutel.

Via het Content beheer zijn de (ingevulde) gegevens van het contactformulier van DigiD te benaderen. Waar nodig kunnen problemen met deze gegevens opgelost worden.

Volgen en traceren van SMS-notificaties

De leverancier van SMS-notificaties biedt een webportaal aan om de SMS-berichten qua status en afhandeling te kunnen inzien. De medewerker heeft voor toegang tot dit webportaal een gebruikersnaam of andere unieke waarde en/of cryptografische sleutel. In het webportaal is in ieder geval het telefoonnummer van een betrokkene te raadplegen en andere unieke waardes met betrekking tot de SMS-berichten.

Het SMS-berichten portaal is geen onderdeel van deze DPIA.

4. GEGEVENSVERWERKINGEN BIJ ONDERZOEK MISBRUIK/ONEIGENLIJK GEBRUIK

Voor onderzoek naar misbruik en/of oneigenlijk gebruik van de DigiD voorziening vinden er, aanvullend op het beheer van DigiD, nadere gegevensverwerkingen plaats. Deze verwerkingen worden hieronder toegelicht.

Onderzoek

Bij vermoeden van misbruik of oneigenlijk gebruik van de DigiD voorziening kan een onderzoek uitgevoerd worden door een speciaal team van het Security Operations Center (SOC) van Logius. Vanuit het onderzoek kunnen er door een medewerker query’s op de gegevens van DigiD uitgevoerd worden. Dit vindt plaats via een speciale koppeling met het applicatieplatform waarop DigiD draait, vanuit de Kantoor Automatisering. De leverancier van het applicatieplatform (applicatiebeheer) draagt zorg voor auditlogging op de uitgevoerde query’s.

Rapportage

Een aantal van de query’s die gedaan worden op de DigiD gegevens, vinden plaats in het kader van rapportage over DigiD. Deze query’s worden zodanig ingericht dat er geen naar personen herleidbare gegevens in voorkomen, en dus geanonimiseerd zijn. Deze geanonimiseerde rapportage wordt vervolgens geraadpleegd via de Kantoor Automatisering.

Alarmering

Een aantal van de query’s die gedaan worden op de DigiD gegevens, vinden plaats in het kader van alarmering op het gebruik van DigiD. Deze query’s worden zodanig ingericht dat er een melding verstuurd wordt naar de Kantoor Automatisering, die vervolgens opgepakt kan worden door een medewerker.

Bulkopdracht

Uit een onderzoek kan een lijst met BSN’s voortkomen die verdere afhandeling vereisen als bulkopdracht. De afhandeling kan bestaan uit het (de)blokkeren of verwijderen van de accounts, eventueel inclusief het versturen van een brief hierover aan de gebruiker. De bulkopdracht kan via de Beheer module van DigiD verwerkt worden.

Overzicht gegevens van Gebruiker

Om inzicht te geven in de totale set aan gegevens die een gebruiker nodig heeft om van DigiD gebruik te maken, zijn deze in onderstaande tabel opgenomen. Deze komen voort uit alle gegevensverwerkingen die in dit hoofdstuk zijn opgenomen (specifiek alle afbeeldingen waar de Gebruiker voorkomt) en zijn in een zo logisch mogelijke volgorde weergegeven. Waar nodig is er nog een korte toelichting gegeven.

Gebruiker
BSN  
E-mailadres  
Telefoonnummer  
Controle-gegevens Gegevens uit de BRP
Adres Gegevens uit de BRP
Internetbrowser  
IP-adres van de Internetbrowser / DigiD app
Kenmerken sessie van de Internetbrowser / DigiD app
Kenmerken gebruikte software en hardware van de Internetbrowser / DigiD app
Gebruikersnaam  
Wachtwoord  
OS account

voor installatie van de DigiD app, en
t.b.v. pushnotificaties

t.b.v. review van de DigiD app

Device met DigiD app   
Unieke nummers en cryptografische sleutels van de DigiD app
Pincode van de DigiD app
Identiteitsbewijs  
Identiteitsbewijs met digitale identiteit eID-middel
Pincode van het eID-middel
E-mailadres t.b.v. Gebruikersondersteuning
Telefoonnummer t.b.v. Gebruikersondersteuning
X (Twitter) account t.b.v. Gebruikersondersteuning
Fysieke brief t.b.v. Gebruikersondersteuning
Aanvullende gegevens t.b.v. Gebruikersondersteuning
Bestanden t.b.v. Gebruikersondersteuning

Verwerkingsdoeleinden

Alle gegevens die verwerkt worden, hebben tot doel de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de voorziening DigiD te waarborgen.

Specifiek hebben de gegevens de volgende doeleinden:

Gegevensverwerking       Verwerkingsdoeleinde   Oorspronkelijke verwerkingsdoeleinde
Gebruik Faciliteren van de gebruiker bij het aanvragen, activeren, gebruiken en wijzigen van het DigiD account en authenticatiemiddelen. Taak van algemeen belang (artikel 6(1)(e) AVG)
Gebruikersondersteuning Ondersteunen van de gebruiker bij vragen over of problemen met het gebruik van DigiD. Taak van algemeen belang (artikel 6(1)(e) AVG)
Beheer Beheren van de DigiD voorziening  Taak van algemeen belang (artikel 6(1)(e) AVG)
Onderzoek misbruik / oneigenlijk gebruik Onderzoeken van (mogelijk) misbruik of oneigenlijk gebruik van DigiD of de aangesloten dienstverleners. Taak van algemeen belang (artikel 6(1)(e) AVG)

Betrokken partijen

Minister van Binnenlandse Zaken en Koninkrijksrelaties is de verwerkingsverantwoordelijke voor de DigiD voorziening. Logius is de dienst digitale overheid en onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Logius biedt de publieke voorziening DigiD aan. Binnen Logius zijn diverse afdelingen betrokken bij de gegevensverwerkingen van DigiD.

Naam partij Rol partij                  Functies/afdelingen  Persoonsgegevens
Minister van Binnenlandse Zaken en Koninkrijks­relaties – Logius  Verwerkings­verantwoordelijke

Productiehuis – A&M

 

Alle gegevens van de WDO en aanverwante lagere regelgeving.
  IV Contactformulier (Website-diensten)

KCC

 

Gebruikersondersteuning, BSN, Contactgegevens, Beheer module

SOC

 

Onderzoek misbruik / oneigenlijk gebruik

SIEM/SOC

P&C Infrastructuur, E-mail-diensten

Vanuit Logius – Productiehuis – Authenticatie & Machtigen (A&M) zijn de volgende partijen betrokken:

Naam partij Rol partij      Functies/afdelingen Persoonsgegevens
Leverancier applicatie-diensten (ontwikkeling en beheer) Verwerker

Service Integrator

Applicatiebeheer

Alle gegevens
Leverancier sms-diensten Verwerker SMS-diensten Telefoonnummer
Leverancier brief-diensten Verwerker Brief-diensten NAW-gegevens
MCC (Belastingdienst) Verwerker

Applicatiebeheer

Internet-diensten

Technische logging

Pushnotificaties

RvIG Verstrekker

BRP

 


MSC

BRP-gegevens

Gegevens reisdocumenten

Gegevens eID-middelen

RDW Verstrekker

CRB

MSC

Gegevens rijbewijzen

Gegevens eID-middelen

BSNk Verstrekker

Activate

Transform

Gegevens digitale identiteiten
EHerkenning Verstrekker   Inloggegevens
PKIoverheid Verstrekker   Certificaatgegevens
Dienstverlener Ontvanger

Webdienst

Appdienst

BSN
Dienstverlener Verstrekker Administratie van DigiD accounts BSN, NAW-gegevens
Dienstverlener Verwerker Balie buitenland Aanvraaggegevens

De Service Integrator-rol van de Leverancier applicatie-diensten is een speciale rol binnen de DigiD Voorziening. De Service Integrator is verantwoordelijk voor beheer en onderhoud en stuurt het operationeel beheer aan.
Vanuit Logius – InformatieVoorziening (IV) zijn de volgende partijen betrokken:

Naam partij Rol partij Functies/afdelingen Persoonsgegevens
Dictu (MinEZK) Verwerker Website-diensten Contactformulier
Leverancier website-diensten Sub-verwerker Website-diensten Contactformulier

Vanuit Logius – Klant Contact Centrum zijn de volgende partijen betrokken:

Naam partij Rol partij    Functies/afdelingen Persoonsgegevens
Leverancier helpdesk-diensten Verwerker Helpdesk-diensten BSN, Contactgegevens
Leverancier helpdesk-diensten Verwerker Helpdesk-diensten Contactgegevens

Vanuit Logius – Platform & Connectivity zijn de volgende partijen betrokken:

Naam partij Rol partij    Functies/afdelingen Persoonsgegevens 
Leverancier infrastructuur-diensten en e-mail-diensten Verwerker

Infrastructuur

E-mail-diensten

IP-adres

E-mailadres

Leverancier infrastructuur-diensten en e-mail diensten Verwerker Infrastructuur
E-mail-diensten

IP-adres

E-mailadres

Leverancier SIEM/SOC Verwerker SIEM/SOC Auditlogging

Belangen bij de gegevensverwerkingen

Alle betrokken partijen hebben het belang de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van de voorziening DigiD te waarborgen.

De authenticatievoorziening DigiD is in beheer bij Logius, de dienst digitale overheid die valt onder verantwoordelijkheid van het Ministerie van BZK. Logius heeft een belang bij het adequaat uit kunnen voeren van hun taken namens de minister van BZK. Het is de taak van de minister van BZK om generieke voorzieningen beschikbaar te stellen voor elektronische authenticatie.

De dienstverleners hebben er belang bij dat zij hun diensten elektronisch kunnen aanbieden. Het is belangrijk dat burgers ook digitaal hun zaken kunnen regelen. Zowel dienstverleners als burgers hebben er dus belang bij dat er op digitale wijze toegang tot dienstverlening mogelijk is. Dit belang wordt gediend door, met DigiD, veilig en makkelijk in te loggen bij de online dienstverlening van een overheidsorgaan en/of een rechtspersoon met een wettelijke taak, niet zijnde een overheidsorgaan, die bij de uitoefening van zijn taak of bevoegdheid een dienst aanbiedt voor elektronisch verkeer en daarbij gebruik maakt van DigiD.

Verwerkingslocaties

De verwerkingen van de DigiD voorziening, binnen de verantwoordelijkheid van Logius, vinden enkel in Nederland plaats. De diverse leveranciers kunnen voor de verwerking van gegevens gebruik maken van verwerkingsfaciliteiten (zoals datacenters) binnen de Europese Economische Ruimte (EER).

Een gebruiker in het buitenland kan ook de DigiD voorziening gebruiken. Hierdoor is het mogelijk dat gegevens ook in het buitenland worden verwerkt.

Een dienstverlener (waar de gebruiker inlogt op een webdienst of appdienst) kan gebruik maken van verwerkingsfaciliteiten in het buitenland. Dit is de verantwoordelijkheid van de dienstverlener zelf. 

De Balie buitenland functie wordt ook van buiten de EER uitgevoerd. Hiermee vindt dus gegevensverwerking plaats in dat land. Op onderstaand kaartje is een indicatie gegeven van de verschillende locaties.


Technieken en methoden van de gegevensverwerkingen

Internetverkeer

De DigiD voorziening bestaat van oorsprong uit diverse webapplicaties die via internet aangeboden worden. De onderliggende techniek van de verbinding via internet is het TCP/IP-protocol. De webapplicaties zijn grotendeels gebaseerd op het HTTP-protocol, wat voor de gebruiker een eenduidige gebruikerservaring oplevert door middel van een webclient (meestal een webbrowser) die verbinding maakt met de webserver.

Een belangrijke beveiligingsmaatregel voor TCP/IP en HTTP verkeer via internet is het gebruik van Transport Layer Security (TLS). Hiermee wordt de authenticiteit van de webserver vastgesteld alsmede de verbinding versleuteld, gebaseerd op cryptografie met behulp van certificaten. TLS, ook wel aangeduid als HTTPS wanneer het toegepast wordt op het HTTP-protocol, is hiermee essentieel geworden voor gegevensverwerking via internet.

Authenticatieverkeer

De voornaamste functie van de DigiD voorziening is de authenticatiedienst (AD) waarmee gebruikers kunnen inloggen bij een dienstverlener (DV) met één of meerdere authenticatiemiddelen. In technische termen wordt de AD ook wel de Identity Provider (IDP) en de DV ook wel de Service Provider (SP) genoemd. Om een authenticatie (inlog) van een gebruiker uit te voeren, vinden er diverse gegevensuitwisselingen tussen de IDP en de SP plaats.

De gegevensuitwisselingen voor authenticatie gebeuren volgens een van tevoren vastgesteld protocol. Het meest bekende protocol, dat ook bij DigiD gebruikt wordt, is SAML. Het SAML protocol maakt ook gebruik van TCP/IP en HTTP als onderliggende protocollen. Ook wordt bij SAML gebruik gemaakt van cryptografie op basis van certificaten.

Apps op devices

Op steeds meer devices draait een Operating System (OS) platform waarop apps aangeboden kunnen worden. Deze apps bieden specifieke functionaliteit en kunnen vaak ook gebruik maken van specifieke hardware functionaliteit van het device. Ook voor DigiD worden apps geleverd, op de OS platformen van Google (Android), Apple (iOS en MacOS) en Microsoft (Windows). 

Een bijzondere techniek die gebruikt wordt binnen de apps van DigiD is het uitlezen van (de chip in) identiteitsbewijzen door middel van NFC. Deze techniek is ontwikkeld door Interational Civil Aviation Organisation (ICAO) en wordt wereldwijd toegepast op reisdocumenten. Binnen Nederland wordt het naast de reisdocumenten (paspoort en identiteitskaarten) ook op de rijbewijzen toegepast. Hiermee is het voor DigiD mogelijk om gegevens in de chip te lezen en de authenticiteit van het identiteitsdocument en de gegevens vast te stellen.

De digitale identiteiten, zoals die ontwikkeld zijn binnen het BSNk-stelsel, staan ook op de chip in het identiteitsdocument en worden via dezelfde technieken uitgelezen. Bij de digitale identiteiten wordt verder gebruik gemaakt van cryptografie voor pseudoniemen.

Centrale verwerking

De DigiD voorziening is gebaseerd op centrale verwerking van gegevens. Dit gebeurt op een applicatieplatform dat draait op een (technische) infrastructuur in een overheidsdatacenter. In het High Level Design van DigiD staat deze architectuur verder uitgewerkt.

Daar waar voor de gegevensverwerking gebruik gemaakt wordt van (externe) leveranciers, worden de gegevens via internet dan wel via Diginetwerk op een beveiligde manier uitgewisseld.  De leveranciers hebben vervolgens hun eigen manier van verwerking, welke buiten de scope van deze DPIA valt.

Besluitvorming

Bij de aanvraag van een DigiD account en/of authenticatiemiddel worden de gegevens op een geautomatiseerde wijze gecontroleerd. Op basis van deze controle wordt de aanvraag en activering goedgekeurd. Bij de Balie buitenland vindt er wel een handmatige controle van de gegevens door de baliemedewerker plaats. Het verzoek om het DigiD account en/of authenticatiemiddel te verstrekken is een aanvraag in de zin van de Algemene wet bestuursrecht (Awb) en een besluit hierop houdt in dat de bepalingen van de Awb van toepassing zijn. Ook het (tijdelijk) opschorten en/of opheffen van een account valt onder een besluit in de zin van de Awb.

Het inloggen met DigiD gebeurt automatisch na (technische) controle van het account en het gekozen authenticatiemiddel. Er vindt hierbij geen besluitvorming plaats.

Anonimisering

Binnen DigiD vindt op een aantal momenten anonimisering van gegevens plaats.

De handelingen van gebruikers worden vastgelegd in een systeem voor statistische analysedoeleinden via het subdomein statistiek.digid.nl. Voor het maken van de statistieken wordt gebruik gemaakt van een anoniem visitor-id. Dit visitor-id is niet herleidbaar tot een persoon, maar kan wel worden gebruikt bij terugkerende bezoeken. Tevens wordt een deel van het IP-adres van het device, waarmee DigiD gebruikt wordt, verwerkt en waardoor er mogelijk in beeld is vanuit welke landen mensen gebruikmaken van DigiD. De herleidbaarheid naar het oorspronkelijk IPv4-adres wordt beperkt door de laatste twee groepjes getallen van elk IP-adres te verwijderen. Bij IPv6 geldt dit voor de laatste zes groepen. Het resterende deel van het IP-adres is daarmee niet meer te herleiden tot een individueel persoon. Er is dus geen sprake meer van persoonsgegevens. Deze hele verwerking vindt geautomatiseerd plaats.

Voor het klanttevredenheidsonderzoek wordt gebruik gemaakt van een anoniem enquete-id. Dit enquete-id is niet herleidbaar tot een persoon, maar wordt alleen gebruikt om de antwoorden van de enquete aan elkaar te relateren. Deze verwerking vindt geautomatiseerd plaats.

Voor rapportagedoeleinden worden een aantal query’s gedaan op de DigiD gegevens. Deze query’s worden zodanig ingericht dat er geen naar personen herleidbare gegevens in voorkomen, en dus geanonimiseerd zijn. Alvorens deze query’s worden vrijgegeven voor de productieomgeving, worden deze handmatig gecontroleerd op correcte anonimisering.

Bijlage 1 – Verstrekking van gegevens uit de BRP aan DigiD

RvIG verstrekt gegevens uit de BRP aan de hand van autorisatiebesluiten. De besluiten die van toepassing zijn op het Ministerie van BZK, waar Logius onder valt, staan vermeld op de volgende pagina:

https://publicaties.rvig.nl/Besluiten_en_modelautorisaties/Besluiten/BRP_besluiten/Ministeries/Ministerie_van_Binnenlandse_Zaken_en_Koninkrijksrelaties

Specifiek het (meest recente) besluit dat voor DigiD geldt is het autorisatiebesluit met kenmerk 2023-0000601859 d.d. 9 oktober 2023.

https://publicaties.rvig.nl/dsresource?objectid=c9d5f913-18bd-4a9b-a26a-92c9fb4b9eb0&type=pdf

In de bijlagen van het besluit staan de gegevens vermeld die verstrekt worden:

I - DE SPONTANE VERSTREKKING VAN GEGEVENS IN VERBAND MET HET BEHEER VAN VERSTREKTE DIGID ACCOUNTS

II -  DE VERSTREKKING VAN GEGEVENS OP VERZOEK VOOR DIGID OP BETROUWBAARHEIDSNIVEAU LAAG, DIGID OP BETROUWBAARHEIDSNIVEAU SUBSTANTIEEL OF DIGID OP BETROUWBAARHEIDSNIVEAU HOOG VERBAND HOUDEND MET EEN NEDERLANDSE IDENTITEITSKAART OF EEN NEDERLANDS RIJBEWIJS WAAROP EEN ELEKTRONISCH AUTHENTICATIEMIDDEL IS GEPLAATST

III - DE VERSTREKKING VAN GEGEVENS OP VERZOEK VOOR DIGID OP BETROUWBAARHEIDSNIVEAU SUBSTANTIEEL

Deze bijlagen zijn hieronder integraal overgenomen.

 

Bijlage 2 – Functiemodel DigiD

De gegevensverwerkingen van DigiD kunnen inzichtelijk gemaakt worden aan de hand van het functiemodel.

Het functiemodel is ingedeeld naar de 4 hoofdfuncties/processen van DigiD:

  • Gebruik
  • Gebruikersondersteuning
  • Beheer
  • Onderzoek naar misbruik of oneigenlijk gebruik

Al deze functies worden uitgevoerd onder de verantwoordelijkheid van Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. 

Bij bepaalde functies wordt gebruik gemaakt van leveranciers buiten Logius, waarmee een overeenkomst is of nadere afspraken zijn gemaakt. Deze functies zijn met blauwe omkadering aangegeven. Deze functies bevatten specifieke eigenschappen die noodzakelijk zijn voor het goed functioneren van DigiD.

De grijs gearceerde functie Internet wordt als generieke dienst vanuit Logius beheerd en bevat generieke eigenschappen die gelden voor alle voorzieningen van Logius. Deze valt in ieder geval uiteen in de volgende subfuncties:

  • Internettoegang (inkomend en uitgaand)
  • Domain Name Services

Via de functie Koppelvlakken zijn alle dienstverleners en alle ketenpartners van DigiD gekoppeld aan de hoofdfunctie Gebruik van DigiD. Indien een van deze koppelvlakken niet (goed) functioneert, zullen ook een of meerdere functies van DigiD niet (goed) werken.

Koppelvlakken die benodigd zijn voor de Gebruikersondersteuning, het Beheer of het Onderzoek misbruik / oneigenlijk gebruik, zijn niet expliciet aangegeven, maar zijn wel noodzakelijk voor het (goed) functioneren van deze hoofdfuncties.

In de volgende tabellen per hoofdfunctie, is een korte beschrijving van elke functie gegeven.

Gebruik

Functie                    Beschrijving
Website DigiD Webpagina’s met algemene informatie over DigiD
Mijn DigiD Persoonlijke webapplicatie waar gebruikers van DigiD bepaalde informatie kunnen inzien en zaken rondom hun persoonlijke DigiD kunnen regelen
DigiD webapplicaties Publiektoegankelijke applicaties waarmee transacties met DigiD uitgevoerd kunnen worden
DigiD App endpoints Specifieke functies die door de DigiD App aangeroepen worden
Contactformulier Formulier op de DigiD website om contact te leggen met DigiD Gebruikersondersteuning
Brief Notificatiekanaal (uitgaand) om gebruikers te voorzien van belangrijke informatie of activatie (en andere) codes
SMS Notificatiekanaal (uitgaand) om gebruikers te voorzien van belangrijke informatie of inlogcodes
E-mail Notificatiekanaal (uitgaand) om gebruikers te voorzien van belangrijke informatie of activatie (en andere) codes
Pushnotificaties Notificatiekanaal (uitgaand) om gebruikers te voorzien van belangrijke informatie
Gegevensopslag Opslag van gegevens van DigiD 
Transactielogging Opslag van logging van DigiD transacties
Briefbestanden Opslag van informatie die in een brief verwerkt wordt
eID inlog Functie om de eID-middelen te kunnen gebruiken als inlogmethode
eID middelen (MSC) Opslag van (status van) eID-middelen – Middelen Status Controller
CMS Content Management Systeem voor het beheer van de Website DigiD, inclusief het Contactformulier
Dienstencatalogus Opslag van dienstverlener en diensten metadata (afspraken over de authenticatie-koppelvlakken)
Koppelvlakken

Dienstverleners: administratie- en authenticatie-koppelvakken 

Ketenpartners: koppelvlakken t.b.v. gegevensuitwisseling

Machtigen Koppelvlak om bij een inlog met DigiD ook de machtigingen behorende bij die persoon op te halen
Balie module Functie waarmee aanvragen voor een DigiD van niet-ingezetenen gecontroleerd en goedgekeurd kunnen worden.
Statistiek Systeem voor statistische analysedoeleinden op het gebruik van DigiD. Deze gegevens zijn geanonimiseerd
Technische logging Opslag van logging die gegenereerd wordt door technische componenten en processen
Auditlogging Opslag van logging die gegenereerd wordt door het gebruik van technische componenten en processen door beheerders

Gebruikersondersteuning

Functie       Beschrijving
E-mail Ontvangen en versturen van e-mails via internet
Telefoon Ontvangen en voeren van gesprekken via telefoon
X (Twitter) Ontvangen en versturen van berichten op het X (Twitter) platform
Brief Ontvangen en versturen van brieven via post
Ticket systeem Vastlegging van vragen en antwoorden van de gebruikersondersteuning (1e lijns)
Kwaliteitssysteem Monitoring en evaluatie van de kwaliteit van de uitgevoerde gebruikersondersteuning
Bestands-overdracht Ontvangen van aanvullende bestanden voor de gebruikersondersteuning
Ticket systeem Vastlegging van vragen en antwoorden van de gebruikersondersteuning (2e lijns)
Kantoor Automatisering Generieke kantoorautomatisering (hardware/software) voor de uitvoering van de gebruikersondersteuning

Beheer

Functie     Beschrijving
Content beheer Functie om het CMS te kunnen benaderen
Beheer module  Functie voor het uitvoeren van DigiD Beheer
Applicatie beheer Functies voor het uitvoeren het applicatiebeheer
Kantoor Automatisering Generieke kantoorautomatisering (hardware/software) voor de uitvoering van de beheerfuncties
Platform Infrastructuur (hardware/software) waarop de hoofdfunctie Gebruik van DigiD en het applicatiebeheer wordt uitgevoerd
Auditlogging Specifieke logging die gebruikt wordt om Incidenten en Events op het Platform te onderzoeken
SIEM-meldingen Functie om voor bepaalde Incidenten en Events een melding te krijgen

Onderzoek misbruik / oneigenlijk gebruik

Functie        Beschrijving
Onderzoek Onderzoek bij vermoeden van misbruik of oneigenlijk gebruik van de DigiD voorziening. Vanuit het onderzoek kunnen er query’s op de gegevens van DigiD uitgevoerd worden
Alarmering  Een aantal van de query’s die gedaan worden op de DigiD gegevens, vinden plaats in het kader van alarmering op het gebruik van DigiD. Deze query’s resulteren in een melding
Bulkopdracht Afhandeling van onderzoeken, die kan bestaan uit het (de)blokkeren of verwijderen van de accounts, eventueel inclusief het versturen van een brief hierover aan de gebruiker
Rapportage Een aantal van de query’s die gedaan worden op de DigiD gegevens, vinden plaats in het kader van rapportage over DigiD. Deze query’s zijn geanonimiseerd
Kantoor Automatisering Generieke kantoorautomatisering (hardware/software) voor de uitvoering van het onderzoek naar misbruik / oneigenlijk gebruik

 

Bijlage 3 – Addendum eIDAS

eIDAS staat voor ‘Electronic Identification And Trust Services’. Het is een Europese verordening die wederzijdse erkenning van nationale inlogmiddelen mogelijk maakt. De verordening kent een verplichtend karakter voor organisaties die inlogmiddelen op niveau Substantieel en Hoog aanbieden. eIDAS wordt in Nederland mogelijk gemaakt door Logius als ketenpartner. In dit addendum is uitgewerkt welke gegevensverwerkingen nodig zijn voor het gebruik van DigiD als Europees inlogmiddel. 

Door de eIDAS-verordening is het mogelijk dat DigiD gebruikt wordt als inlogmiddel bij Europese dienstverleners. Hiervoor is DigiD op zowel niveau Substantieel als Hoog genotificeerd bij de EU. Alle EU-landen moeten deze genotificeerde middelen toelaten voor authenticatie bij dienstverleners.

Overal (buiten Nederland) waar een eIDAS-inlog door een dienstverlener aangeboden wordt, kan een gebruiker kiezen om in te loggen met DigiD. Dit verloopt via de eIDAS-koppelvlakken die daarvoor ingericht zijn per EU-land. Schematisch ziet dit er als volgt uit:

Voor DigiD is dit eigenlijk te beschouwen als een inlog op het eIDAS koppelpunt van Nederland. Het eIDAS koppelpunt en de dienstverlener in het andere EU-land zijn dus niet zichtbaar voor DigiD.

Algemene verwerkingen

Inloggen via eIDAS gebeurt op basis van digitale identiteiten via het BSNk Activate koppelvlak. Hierbij wordt bij een account en/of authenticatiemiddel een digitale identiteit opgevraagd, bij BSNk, op basis van het BSN. BSNk genereert en administreert de Digitale identiteit, waarna DigiD deze kan opslaan en gebruiken. Voor een authenticatiemiddel op niveau Substantieel wordt door DigiD een nieuwe Digitale identiteit aangemaakt. Voor een authenticatiemiddel op niveau Hoog wordt de Digitale identiteit van het identiteitsbewijs (identiteitskaart of rijbewijs) hergebruikt. Deze gegevensverwerking staat in de DPIA van DigiD toegelicht onder “Aanvragen en activeren van een Digitale identiteit (eID-middel)”. 

Bij het inloggen via eIDAS wordt deze Digitale identiteit getransformeerd naar een Versleutelde Identiteit en/of Pseudoniem. Na een geslaagde inlog bij DigiD worden beide vormen naar het eIDAS koppelpunt gestuurd. Op basis van de Versleutelde Identiteit kan het eIDAS koppelpunt (NL) aanvullende identiteitsgegevens opvragen. Op basis van het Versleutelde Pseudoniem kunnen inlogs van dezelfde (digitale) identiteit aan elkaar gerelateerd worden. Het eIDAS koppelpunt is verantwoordelijk voor de juiste verwerking van deze gegevens, en de situatie is daarmee niet anders dan voor andere dienstverleners die inloggen met DigiD aanbieden. Deze gegevensverwerking staat in de DPIA van DigiD toegelicht onder “Inloggen met een DigiD authenticatiemiddel bij een dienstverlener”. 

Gegevensverwerking bij gebruik eIDAS

Bij het inloggen bij een EU dienstverlener via eIDAS vinden dus geen nieuwe en/of andere gegevensverwerkingen plaats. In de volgende tabel is een opsomming gegeven van de gegevens die verwerkt worden van de gebruiker.

Gebruiker
Account BSN
Authenticatiemiddel Substantieel Digitale identiteit (eID-middel)
Authenticatiemiddel Hoog Digitale identiteit (eID-middel) van het identiteitsbewijs (identiteitskaart of rijbewijs)
Transactie: inloggen via eIDAS Versleutelde Identiteit en/of Pseudoniem

De gegevens worden verwerkt vanuit de verplichting vanuit de eIDAS-verordening om inlogmiddelen op niveau Substantieel en Hoog te notificeren voor gebruik in andere EU landen. Dit staat verwoord in artikel 6 van de eIDAS verordening. 

Daarnaast worden nog een aantal gebruiksgegevens verwerkt. Deze gegevens betreffen het door de gebruiker gekozen authenticatieniveau, handelingen van de gebruiker, de dienstverlener waar de gebruiker wil inloggen, en overige (sessie)gegevens met betrekking tot tijdstip en kenmerken van het gebruik. Dergelijke gegevens komen terug in art. 5d van het Besluit Digitale Overheid.

Verwerkingsdoeleinden

De eIDAS Uit architectuur realiseert de nationale infrastructuur voor de uitvoering van de Europese eIDAS verordening. Meer specifiek voorziet het in de uitwisseling van identiteitsverklaringen van Nederlandse authenticatiediensten (b.v. eHerkenning en DigiD) voor gebruikers richting buitenlandse, Europese publieke en private dienstverleners. Merk op dat verplichte erkenning van identiteitsverklaringen onder eIDAS alleen van toepassing is op publieke dienstverleners. Voor private dienstverleners geldt dat de lidstaten zelf kunnen bepalen of zij de identiteitsverklaringen ook aan hen beschikbaar stellen en onder welke voorwaarden.

Betrokken partijen

De verwerkingsverantwoordelijke van de eIDAS-Uit architectuur is het Ministerie van BZK. De verschillende componenten in de architectuur worden door diverse partijen beheerd. Onder de verantwoordelijkheid van het Ministerie van BZK vallen de Attributen Dienst (beheerd door RvIG) en het BSNk (beheerd door Logius). Het eIDAS-Koppelpunt valt ook onder de verantwoordelijkheid van het Ministerie van BZK (beheerd door RVO). Beheeronderdelen van deze componenten zijn uitbesteed aan de verwerker DICTU, onderdeel van het Ministerie van EZK. Daarnaast zijn de achterliggende stelsels voor toegang (DigiD en ETD) een stakeholder.

Verwerkingslocaties

Alle verwerkingen vinden in de EER plaats. Het inloggen met eIDAS UIT kan wel vanuit een browser overal ter wereld plaatsvinden, waardoor de gebruiksgegevens wel beschikbaar komen buiten de EER.