Op deze pagina vindt u de privacyverklaring voor DigiD en voor DigiD Machtigen.
Datum laatste wijziging: 4 september 2024
Op deze pagina vindt u de privacyverklaring voor DigiD en voor DigiD Machtigen.
Datum laatste wijziging: 4 september 2024
De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het verwerken van persoonsgegevens voor DigiD. Het beheer van DigiD wordt uitgevoerd door Logius. Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.
DigiD verwerkt persoonsgegevens voor verschillende doeleinden, namelijk bij:
DigiD kent meerdere manieren om in te loggen, namelijk met:
De grondslag voor het verwerken van persoonsgegevens is het Besluit digitale overheid, dat gebaseerd is op de Wet Digitale overheid.
Bij de aanvraag van een DigiD worden de volgende persoonsgegevens verwerkt:
Bij de aanvraag van een DigiD-buitenland zijn het telefoonnummer en e-mailadres verplicht. De uitreiking van een DigiD in het buitenland vindt plaats via de DigiD balie.
Bij het gebruik van DigiD worden (ongeacht de inlogmethode) de volgende persoonsgegevens verwerkt:
Gebruikt u deze inlogmethode? Dan worden de volgende aanvullende persoonsgegevens verwerkt:
Gebruikt u deze inlogmethode? Dan worden de volgende aanvullende persoonsgegevens verwerkt:
Onderdelen van de DigiD app van Microsoft en Google, zijn opgenomen vanwege ondersteunings- en beheerfunctionaliteit vanuit de app-ontwikkeling. Specifiek zijn Microsoft App Center-onderdelen nodig voor technische ondersteuning en monitoring van het functioneren van de app, waaronder informatie bij crashes van de app. Het Google Firebase-onderdeel is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit op het Google-platform. Hierbij worden geen persoonsgegevens naar Microsoft of Google verstuurd.
De controle vindt plaats door de chip op het Nederlandse rijbewijs, paspoort of identiteitskaart uit te lezen via de DigiD app met behulp van een NFC-lezer op uw mobiele apparaat. In aanvulling op de gegevens die voor DigiD en het gebruik van de DigiD app worden verwerkt, worden voor de ID-check ook de volgende persoonsgegevens verwerkt.
Bij controle paspoort, rijbewijs of identiteitskaart:
Gebruikt u deze inlogmethode? Dan worden de volgende aanvullende persoonsgegevens verwerkt:
Tijdens het inloggen met een Nederlandse identiteitskaart/rijbewijs gebruikt u de DigiD app op een mobiel apparaat met NFC of een computer (Windows of MacOS) in combinatie met een externe kaartlezer.
De volgende gegevens worden verwerkt voor gebruikersondersteuning, de adequate werking van de website en de analyse van (beveiligings)incidenten:
Misbruik en oneigenlijk gebruik kan bestaan uit:
Logius bestrijdt misbruik en oneigenlijk gebruik om de continuïteit van onze dienstverlening te waarborgen. En om te voorkomen dat mensen de dupe worden van cybercrime zoals phishing. Wij doen dit in samenwerking met publieke dienstverleners. We nemen elke melding serieus. Als het om phishing gaat halen we uit voorzorg de betreffende websites, apps en domeinnamen offline. Hierdoor is de kans dat criminelen er met gevoelige gegevens vandoor gaan kleiner.
Met onze ketenpartners werken we mee aan onderzoeken die mogelijk misbruik en oneigenlijk gebruik van onze diensten in kaart brengen. Als er aanwijzingen zijn van misbruik of oneigenlijk gebruik van DigiD mag Logius deze verder onderzoeken. Daarbij mogen Logius en haar partners onderling gegevens delen. Op basis van de uitkomsten van het onderzoek kan Logius besluiten of er maatregelen nodig zijn zoals het opschorten of intrekken van DigiD.
Als anderen namelijk iemands DigiD-gegevens hebben, kan die persoon de dupe worden van identiteitsfraude. In nauwe samenwerking met andere overheidsorganisaties helpt Logius mensen als het misgaat. We nemen contact op met de gebruiker en verwijderen dan het DigiD-account, zodat iemand een nieuw account kan aanvragen. Zo bezit iemand weer als enige wat nodig is om zijn of haar zaken digitaal te regelen met de overheid.
Alle in onderdeel 4 genoemde gegevens kunnen worden gebruikt bij het voorkomen en beëindigen van misbruik en oneigenlijk gebruik. Voor het onderzoek worden echter alleen de hoogstnoodzakelijke gegevens gebruikt. Welke gegevens dat zijn, varieert per situatie.
DigiD verzamelt statistieken in een systeem voor analysedoeleinden. Dit wordt gedaan om DigiD nog beter af te stemmen op de gebruiker. Daarvoor wordt gebruik gemaakt van een cookie met een anoniem visitor-id. Deze visitor-id wordt gebruikt bij terugkerende bezoeken, maar is niet herleidbaar tot een persoon. Daarnaast wordt een deel van het IP-adres geregistreerd waardoor er mogelijk in beeld is vanuit welke landen mensen gebruikmaken van DigiD.
De herleidbaarheid naar het oorspronkelijk IPv4-adres wordt beperkt door de laatste twee groepjes getallen van elk IP-adres te verwijderen. Bij IPv6 geldt dit voor de laatste vijf groepen. Het resterende deel van het IP-adres is daarmee niet meer te herleiden tot een individueel persoon. Er is dus geen sprake meer van persoonsgegevens.
Om gebruik te kunnen maken van DigiD worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Een sessiecookie is noodzakelijk voor het gebruik van DigiD. De sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.
In de DigiD app is het mogelijk om de analytische software binnen de app uit te schakelen. Dit kunt u doen bij de instellingen van de DigiD app, onder de knop ‘Instellingen’.
Aan (overheids)instellingen die aangesloten zijn op DigiD, verstrekt DigiD het burgerservicenummer en het authenticatieniveau. Het burgerservicenummer wordt verstrekt zodat de (overheids)instelling de identiteit van de gebruiker vast kan stellen. Het gekozen authenticatieniveau wordt verstrekt zodat de (overheids)instelling een beeld heeft van de mate waarin er zekerheid is over de identiteit van de gebruiker die heeft ingelogd.
Logius gebruikt voor haar gebruikersondersteuning private partijen bij het bieden van eerstelijns ondersteuning. Daarnaast gebruikt Logius een private partij om een survey te sturen voor een klanttevredenheidsonderzoek, om zo te kunnen zien of de gebruiker tevreden is met de geboden hulp.
Deze partijen verwerken ten behoeve van Logius persoonsgegevens van gebruikers die contact opnemen met de Helpdesk van DigiD. Met deze partijen zijn verwerkersovereenkomsten gesloten. Wanneer u dus contact opneemt met de Helpdesk van DigiD, worden persoonsgegevens ook verwerkt door deze partijen.
Verder worden er geen persoonsgegevens aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker. Uitzondering hierop zijn een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten), of het verstrekken van gegevens aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van DigiD.
Dit betekent onder meer dat bij beveiligingsincidenten Logius de aangesloten (overheids)organisatie(s) mag informeren en noodzakelijke gegevens mag verstrekken. Met als doel om misbruik en oneigenlijk gebruik van DigiD te voorkomen en beëindigen. Bijvoorbeeld wanneer een onveilige DigiD is gebruikt om persoonlijke gegevens (proberen) in te zien of te wijzigen.
Persoonsgegevens worden opgeslagen op ICT-faciliteiten die zich bevinden op Nederlands grondgebied en die worden beheerd door Logius. Uw persoonsgegevens worden niet doorgegeven aan landen buiten de EU. Het betreft een set van persoonsgegevens die bestaat uit gebruiksgegevens en accountgegevens.
De gegevens die ten behoeve van DigiD verwerkt worden, moeten bewaard worden volgens de geldende wettelijke bewaartermijnen. Deze termijnen zijn gesteld om burgers bepaalde informatie te kunnen geven als zij hier om vragen, en om te voldoen aan de zorgplicht van de minister van Binnenlandse Zaken en Koninkrijksrelaties om beveiliging en betrouwbaarheid van DigiD te garanderen.
De voorgeschreven bewaartermijn kan per persoonsgegeven verschillen, omdat hier andere veiligheidsaspecten voor gelden. De bewaartermijnen voor DigiD variëren tussen maximaal 6 weken en maximaal 5 jaar. Voor de precieze bewaartermijnen kunt u kijken in artikel 11 van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur.
Wij verwerken uw persoonsgegevens in verband met de hiervoor omschreven doeleinden. Ten aanzien van deze verwerking kunt u de volgende rechten uitoefenen, door uw verzoek hiertoe te richten aan DigiD:
Als gebruiker van DigiD kunt u uw gebruikersnaam, telefoonnummer, e-mailadres en gebruiksgeschiedenis inzien door in te loggen op Mijn DigiD op de website van DigiD. Het telefoonnummer en e-mailadres kunnen zelf door u worden gewijzigd.
U kunt een verzoek indienen door het contactformulier in te vullen op of een brief te sturen (DigiD - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: persoonsgegevens). Om te kunnen voldoen aan het verzoek zal u gevraagd worden om u te identificeren.
Na ontvangst van uw verzoek, zullen wij u via e-mail zo snel mogelijk, en uiterlijk binnen één maand, informeren of aan dit verzoek zal worden voldaan. Indien uw verzoek wordt geweigerd, zullen wij de redenen hiervoor schriftelijk aan u mededelen.
Logius treft passende technische en organisatorische maatregelen opdat uw persoonsgegevens adequaat beveiligd zijn, onder andere door de Baseline Informatiebeveiliging Overheid (BIO) toe te passen. Als onderdeel van de Rijksoverheid moet Logius voldoen aan de BIO. Dit is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Dit houdt in dat de BIO algemene beveiligingsmaatregelen bevat welke van toepassing zijn op alle informatie.
Onder informatiebeveiliging vallen tevens de maatregelen om de betrouwbaarheid van DigiD te kunnen waarborgen. Om misbruik en oneigenlijk gebruik van DigiD te kunnen signaleren en beëindigen, voeren we controles uit op de gegevens. Mocht een DigiD-account niet meer in veilige handen zijn, dan kunnen we passende maatregelen nemen; een DigiD opschorten of intrekken.
Wij zorgen ervoor dat de privacyverklaring actueel is en kunnen hiervoor deze privacyverklaring altijd wijzigen. In dat geval zullen wij de gewijzigde privacyverklaring op deze website publiceren waarna deze privacyverklaring direct van kracht is.
U kunt uw vragen, opmerkingen of suggesties aan DigiD doorgeven via het contactformulier, telefonisch of door een brief te schrijven naar Logius, postbus 96810, 2509 JE Den Haag.
Het ministerie van BZK heeft een functionaris voor gegevensbescherming. Deze functionaris houdt intern toezicht op de naleving van de privacywetgeving. U kunt contact met deze functionaris opnemen via postbusfg@minbzk.nl.
De Autoriteit Persoonsgegevens houdt extern toezicht op de naleving van de privacywetgeving. U heeft het recht om bij de autoriteit een klacht over Logius in te dienen. Geef uw klacht door via de website van de Autoriteit Persoonsgegevens, of bel 088 - 180 52 50.
De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het verwerken van persoonsgegevens voor DigiD Machtigen. Het beheer van DigiD Machtigen wordt uitgevoerd door Logius. Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.
DigiD Machtigen verwerkt persoonsgegevens voor verschillende doeleinden, namelijk bij
De grondslag voor het verwerken van persoonsgegevens is het Besluit digitale overheid, dat gebaseerd is op de Wet Digitale overheid.
Bij de aanvraag om een machtiging te registreren in DigiD Machtigen worden de volgende persoonsgegevens verwerkt:
Bij het gebruik van DigiD Machtigen worden de volgende persoonsgegevens verwerkt:
De volgende gegevens worden verwerkt voor gebruikersondersteuning, de adequate werking van de website en de analyse van (beveiligings)incidenten: •
Misbruik en oneigenlijk gebruik kan bestaan uit:
Logius bestrijdt misbruik en oneigenlijk gebruik om de continuïteit van onze dienstverlening te waarborgen. En om te voorkomen dat mensen de dupe worden van cybercrime zoals phishing. Wij doen dit in samenwerking met publieke dienstverleners. We nemen elke melding serieus. Als het om phishing gaat, halen we uit voorzorg de betreffende websites, apps en domeinnamen offline. Hierdoor is de kans dat criminelen er met gevoelige gegevens vandoor gaan kleiner.
Met onze ketenpartners werken we mee aan onderzoeken die mogelijk misbruik en oneigenlijk gebruik van onze diensten in kaart brengen. Als er aanwijzingen zijn van misbruik of oneigenlijk gebruik van DigiD Machtigen mag Logius deze verder onderzoeken. Daarbij mogen Logius en haar partners onderling gegevens delen. Op basis van de uitkomsten van het onderzoek kan Logius besluiten of er maatregelen nodig zijn zoals het opschorten of intrekken van de machtiging in DigiD Machtigen.
Alle in onderdeel 4 genoemde gegevens kunnen worden gebruikt bij het voorkomen en beëindigen van misbruik en oneigenlijk gebruik. Voor het onderzoek worden echter alleen de hoogstnoodzakelijke gegevens gebruikt. Welke gegevens dat zijn, varieert per situatie.
DigiD Machtigen verzamelt statistieken in een systeem voor analysedoeleinden. Dit wordt gedaan om DigiD Machtigen nog beter af te stemmen op de gebruiker. Daarvoor wordt gebruik gemaakt van een cookie met een anoniem visitor-id. Deze visitor-id wordt gebruikt bij terugkerende bezoeken, maar is niet herleidbaar tot een persoon. Daarnaast wordt een deel van het IP-adres geregistreerd waardoor er in beeld is vanuit welke landen mensen gebruikmaken van DigiD Machtigen. De herleidbaarheid naar het oorspronkelijk IPv4-adres wordt beperkt door de laatste twee groepjes getallen van elk IP-adres te verwijderen. Bij IPv6 geldt dit voor de laatste vijf groepen. Het resterende deel van het IP-adres is daarmee niet meer te herleiden tot een individueel persoon. Er is dus geen sprake meer van persoonsgegevens.
Om gebruik te kunnen maken van DigiD Machtigen worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Een sessiecookie is noodzakelijk voor het gebruik van de website van DigiD Machtigen. De sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.
Aan (overheids)instellingen die aangesloten zijn op DigiD Machtigen, verstrekt DigiD Machtigen een bewijs van geldigheid van een specifieke machtigingsregistratie. In dit bewijs zijn de burgerservicenummers van de persoon die vertegenwoordigd wordt en de gemachtigde opgenomen. Op verzoek verstrekt DigiD Machtigen aan een aangesloten (overheids)organisatie ook een overzicht van alle machtigingsaanvragen en machtigingsregistraties die voor de diensten van deze (overheids)organisatie zijn afgegeven.
Logius gebruikt voor haar gebruikersondersteuning private partijen bij het bieden van eerstelijns ondersteuning. Daarnaast gebruikt Logius een private partij om een survey te sturen voor een klanttevredenheidsonderzoek, om zo te kunnen zien of de gebruiker tevreden is met de geboden hulp.
Deze partijen verwerken ten behoeve van Logius persoonsgegevens van gebruikers die contact opnemen met de DigiD helpdesk. Met deze partijen zijn verwerkersovereenkomsten gesloten. Wanneer u dus contact opneemt met de DigiD helpdesk, worden persoonsgegevens ook verwerkt door deze partijen.
Verder worden er geen persoonsgegevens aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker. Uitzonderingen hierop zijn een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten), of het verstrekken van gegevens aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van DigiD Machtigen.
Dit betekent onder meer dat bij beveiligingsincidenten Logius de aangesloten (overheids)organisatie(s) mag informeren en noodzakelijke gegevens mag verstrekken. Met als doel om misbruik en oneigenlijk gebruik van DigiD Machtigen te voorkomen en beëindigen. Bijvoorbeeld wanneer een onveilige machtiging via DigiD Machtigen is gebruikt om persoonlijke gegevens (proberen) in te zien of te wijzigen.
Persoonsgegevens worden opgeslagen op ICT-faciliteiten die zich bevinden op Nederlands grondgebied en die worden beheerd door Logius. Uw persoonsgegevens worden niet doorgegeven aan landen buiten de EU. Het betreft een set van persoonsgegevens die bestaat uit gebruiksgegevens en accountgegevens.
De gegevens die ten behoeve van DigiD Machtigen verwerkt worden, moeten bewaard worden volgens de geldende wettelijke bewaartermijnen. Deze termijnen zijn gesteld om burgers bepaalde informatie te kunnen geven als zij hier om vragen. En om te voldoen aan de zorgplicht van de minister van Binnenlandse Zaken en Koninkrijksrelaties om beveiliging en betrouwbaarheid van DigiD Machtigen te garanderen.
De voorgeschreven bewaartermijn kan per persoonsgegeven verschillen, omdat hier andere veiligheidsaspecten voor gelden. De bewaartermijnen voor DigiD Machtigen variëren tussen maximaal 6 weken en maximaal 5 jaar. Voor de precieze bewaartermijnen kunt u kijken in artikel 12 van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur.
Wij verwerken uw persoonsgegevens in verband met de hiervoor omschreven doeleinden. Ten aanzien van deze verwerking kunt u de volgende rechten uitoefenen, door uw verzoek hiertoe te richten aan DigiD Machtigen:
Als gebruiker van DigiD Machtigen kunt u door in te loggen bij DigiD Machtigen zien welke handelingen door u of de persoon die u vertegenwoordigt dan wel heeft gemachtigd zijn gedaan.
U kunt een verzoek indienen door het contactformulier in te vullen of een brief te sturen of een brief te sturen (DigiD Machtigen - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: persoonsgegevens). Om te kunnen voldoen aan het verzoek zal u gevraagd worden om u te identificeren.
Na ontvangst van uw verzoek, zullen wij u via e-mail zo snel mogelijk, en uiterlijk binnen één maand, informeren of aan dit verzoek zal worden voldaan. Indien uw verzoek wordt geweigerd, zullen wij de redenen hiervoor schriftelijk aan u mededelen.
Logius treft passende technische en organisatorische maatregelen opdat uw persoonsgegevens adequaat beveiligd zijn, onder andere door de Baseline Informatiebeveiliging Overheid (BIO) toe te passen. Als onderdeel van de Rijksoverheid moet Logius voldoen aan de BIO. Dit is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Dit houdt in dat de BIO algemene beveiligingsmaatregelen bevat welke van toepassing zijn op alle informatie.
Onder informatiebeveiliging vallen tevens de maatregelen om de betrouwbaarheid van DigiD Machtigen te kunnen waarborgen. Om misbruik en oneigenlijk gebruik in DigiD Machtigen te kunnen signaleren en beëindigen, voeren we controles uit op de gegevens. Mocht een machtiging in DigiD Machtigen niet meer in veilige handen zijn, dan kunnen we passende maatregelen nemen.
Wij zorgen ervoor dat de privacyverklaring actueel is en kunnen hiervoor deze privacyverklaring altijd wijzigen. In dat geval zullen wij de gewijzigde privacyverklaring op deze website publiceren waarna deze privacyverklaring direct van kracht is.
U kunt uw vragen, opmerkingen of suggesties aan DigiD Machtigen doorgeven via het contactformulier, telefonisch of door een brief te schrijven naar postbus 96810, 2509 JE Den Haag.
Het ministerie van BZK heeft een functionaris voor gegevensbescherming. Deze functionaris houdt intern toezicht op de naleving van de privacywetgeving. U kunt contact met deze functionaris opnemen via postbusfg@minbzk.nl.
De Autoriteit Persoonsgegevens houdt extern toezicht op de naleving van de privacywetgeving. U heeft het recht om bij de autoriteit een klacht over Logius in te dienen. Geef uw klacht door via de website van de Autoriteit Persoonsgegevens, of bel 088 - 180 52 50.