Privacyverklaring DigiD

Deze verklaring beschrijft in het kort het volgende:

  1. Wie verantwoordelijk is voor de verwerking van persoonsgegevens voor DigiD.
  2. Waarom persoonsgegevens worden verwerkt.
  3. Wat de grondslag is voor het verwerken van persoonsgegevens.
  4. Welke persoonsgegevens van de gebruiker van DigiD worden verwerkt.
  5. Hoe wordt omgegaan met cookies en statistische informatie.
  6. Aan wie de persoonsgegevens verstrekt kunnen worden.
  7. Welke bewaartermijnen gelden.
  8. Wat de rechten zijn van de gebruiker.
  9. Welke beveiligingsmaatregelen genomen zijn.
  10. Dat de privacyverklaring gewijzigd kan worden.

In het Besluit verwerking persoonsgegevens generieke digitale infrastructuur wordt deze verwerking van persoonsgegevens uitvoerig en volledig beschreven (vindplaats: Staatsblad 2016, 195 en via de link https://zoek.officielebekendmakingen.nl/stb-2016-195.html).

1. Wie is verantwoordelijk voor de verwerking van de persoonsgegevens?
De Minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het verwerken van persoonsgegevens voor DigiD. Het beheer van DigiD wordt uitgevoerd door Logius. Logius is onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.

2. Waarom worden persoonsgegevens verwerkt?
DigiD verwerkt persoonsgegevens op meerdere momenten:

  • bij de aanvraag en/of activering van DigiD
  • bij het gebruik van DigiD
  • bij het verstrekken van persoonsgegevens aan afnemers van DigiD
  • bij het verwerken van persoonsgegevens in verband met het zorgen voor de (informatie)beveiliging en betrouwbaarheid van DigiD en de analyse van (beveiligings-)incidenten
  • bij gebruikersondersteuning inclusief het afhandelen van vragen en klachten van gebruikers
  • bij het verstrekken van persoonsgegevens ingevolge een wettelijke verplichting
  • bij het versterken van de DigiD app door controle van het identiteitsdocument (optioneel)

DigiD kent meerdere manieren om in te loggen:

  • met gebruikersnaam en wachtwoord
  • met gebruikersnaam en wachtwoord aangevuld met SMS authenticatie
  • met de DigiD app

3. Grondslag voor het verwerken van persoonsgegevens
De grondslag voor het verwerken van persoonsgegevens is het Besluit verwerking persoonsgegevens generieke digitale infrastructuur, dat gebaseerd is op de Wet elektronisch berichtenverkeer belastingdienst.

4. Welke persoonsgegevens worden verwerkt?
Bij de aanvraag van een DigiD worden de volgende persoonsgegevens verwerkt:

  • burgerservicenummer
  • naam
  • adres
  • postcode
  • woonplaats
  • geboortedatum
  • gegevens om het ingezetenschap of niet-ingezetenschap van de aanvrager vast te kunnen stellen
  • het telefoonnummer en het e-mailadres van de aanvrager (optioneel)

Indien de aanvraag via de DigiD-balie gebeurt, worden ook het nummer van het Nederlandse identiteitsdocument en de nationaliteit van de aanvrager verwerkt en zijn het telefoonnummer en e-mailadres verplicht.  

Bij het gebruik van DigiD worden (ongeacht de inlogmethode) de volgende persoonsgegevens verwerkt:

  • burgerservicenummer
  • gebruikersnaam
  • wachtwoord
  • telefoonnummer (niet verplicht)
  • e-mailadres (niet verplicht)
  • (geldigheids)gegevens van het Nederlandse identiteitsdocument van de gebruiker

Bij gebruik van de volgende inlogmethoden worden de volgende aanvullende persoonsgegevens verwerkt:
Inlogmethode met gebruikersnaam, wachtwoord aangevuld met SMS-code:

  • telefoonnummer (verplicht als de gebruiker gekozen heeft voor DigiD met SMS-controle)

Inloggen met de DigiD app:

  • het IP-adres en kenmerken van de gebruikte software en hardware van het mobiele apparaat
  • de naam en versie van het besturingssysteem van het mobiele apparaat
  • het unieke kenmerk van de mobiele telefoon
  • een 5-cijferige pincode van de gebruiker
  • het mobiele telefoonnummer van het mobiele apparaat indien de app gebruikt wordt op de mobiele telefoon

Bij het versterken van de DigiD app wordt uw identiteitsdocument gecontroleerd:
Het is mogelijk om uw DigiD app te versterken door een eenmalige controle van uw identiteitsdocument uit te voeren. De controle vindt plaats door de chip op het Nederlandse rijbewijs of identiteitsdocument in uw DigiD app uit te lezen met behulp van een NFC-reader. Dat kan via de DigiD app op een android-telefoon met NFC-lezer of bij een DigiD Servicezuil. In aanvulling op de gegevens die voor DigiD en het gebruik van de DigiD app worden verwerkt, worden voor deze versterking van DigiD ook de volgende aanvullende persoonsgegevens verwerkt.

Na controle paspoort of identiteitskaart:

  • documentnummer
  • geboortedatum
  • geldigheid (datum einde geldigheid, inhouding dan wel vermissing inclusief aanduiding)

Na controle rijbewijs:

  • rijbewijsnummer

De volgende gegevens worden verwerkt voor klachtbehandeling, de adequate werking van de website en de analyse van (beveiligings)incidenten:

  • het IP-adres en kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker inlogt
  • handelingen van de gebruiker (zoals gegevens over inloggen en over het aanvragen, intrekken, activeren van machtigingen)
  • bezoekersstatistieken, trendanalyse en usability onderzoek inzake DigiD
  • vragen, klachten en contactgegevens (zoals naam, e-mailadres en/of telefoonnummer) van personen die contact opnemen met de Helpdesk van DigiD en DigiD Machtigen

5. Cookies en statistische informatie
Om gebruik te kunnen maken van DigiD worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Het gebruik van de sessiecookie is noodzakelijk voor het gebruik van het DigiD-inlogscherm. De sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.

DigiD verzamelt statistieken in een systeem voor analysedoeleinden. Dit wordt gedaan om DigiD nog beter af te stemmen op de gebruiker.

Voor het maken van de statistieken wordt het IP-adres van het netwerk waarbinnen DigiD gebruikt wordt, verwerkt. Om zo min mogelijk inbreuk te maken op de privacy van de bezoeker of gebruiker, heeft DigiD maatregelen genomen om de herleidbaarheid naar het oorspronkelijk IP-adres zoveel mogelijk te beperken. Zo wordt er een anoniem “Visitor-id” berekend en worden de laatste 6 cijfers van elk IP-adres verwijderd, voordat deze worden toegevoegd aan de werkbestanden. Hierdoor is het IP-adres geanonimiseerd en is er geen sprake meer van persoonsgegevens.

In de DigiD app is het mogelijk om deze analytische software binnen de app uit te schakelen. Dit kunt u doen bij de instellingen van de DigiD app, onder de knop ‘Instellingen’. 

6. Aan wie worden persoonsgegevens verstrekt?
Aan (overheids)instellingen die aangesloten zijn op DigiD, verstrekt DigiD het burgerservicenummer en het authenticatieniveau. Het burgerservicenummer wordt verstrekt zodat de (overheids)instelling de identiteit van de gebruiker vast kan stellen. Het gekozen authenticatieniveau wordt verstrekt zodat de (overheids)instelling een beeld heeft van de mate waarin er zekerheid is over de identiteit van de gebruiker die heeft ingelogd. 

Logius gebruikt voor haar gebruikersondersteuning een private partij, die de zogenaamde “eerstelijns ondersteuning” op zich neemt. Daarnaast gebruikt Logius een private partij om een survey te sturen voor een klanttevredenheidsonderzoek, om zo te kunnen zien of de gebruiker tevreden is met de geboden hulp.

Deze partijen verwerken ten behoeve van Logius persoonsgegevens van gebruikers die contact opnemen met de Helpdesk van DigiD en DigiD Machtigen. Met deze partijen zijn verwerkersovereenkomsten gesloten. Wanneer u dus contact opneemt met de Helpdesk van DigiD en DigiD Machtigen, worden persoonsgegevens ook verwerkt door deze verwerkers.

Verder worden er geen persoonsgegevens aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker. Uitzondering hierop zijn een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten), of het verstrekken van gegevens aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van DigiD en/of DigiD Machtigen.

7. Bewaren van persoonsgegevens
De gegevens die ten behoeve van DigiD verwerkt worden, moeten bewaard worden volgens de geldende wettelijke bewaartermijnen. Deze termijnen zijn gesteld om burgers bepaalde informatie te kunnen geven als zij hier om vragen, en om te voldoen aan de zorgplicht van de Minister van Binnenlandse Zaken en Koninkrijksrelaties om beveiliging en betrouwbaarheid van deze voorzieningen te garanderen.

De voorgeschreven bewaartermijn kan per persoonsgegeven verschillen, omdat hier andere veiligheidsaspecten voor gelden. De bewaartermijnen voor DigiD variëren tussen maximaal 6 weken en maximaal 5 jaar. Voor de precieze bewaartermijnen kunt u kijken in artikel 11 en artikel 12 van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur.

8. Uw rechten ten aanzien van uw persoonsgegevens
Wij verwerken uw persoonsgegevens in verband met de hiervoor omschreven doeleinden. Ten aanzien van deze verwerking kunt u de volgende rechten uitoefenen, door uw verzoek hiertoe te richten aan DigiD:

  • Recht om te weten te komen of wij persoonsgegevens van u verwerken en het recht op inzage in uw persoonsgegevens.
  • Recht om uw persoonsgegevens te verbeteren, aan te vullen of de verwerking ervan te beperken, rekening houdende met de hiervoor omschreven doeleinden.
  • Recht om uw persoonsgegevens te verwijderen, bijvoorbeeld als deze gegevens niet langer nodig zijn voor de hiervoor omschreven doeleinden.
  • Recht op bezwaar tegen de verwerking van uw persoonsgegevens wegens met uw specifieke situatie verband houdende redenen.

Als gebruiker van DigiD kunt u uw gebruikersnaam, telefoonnummer, burgerservicenumer, e-mailadres en gebruiksgeschiedenis inzien door in te loggen op Mijn DigiD op de website van DigiD. Het telefoonnummer en e-mailadres kunnen zelf door u worden gewijzigd. 

U kunt een verzoek indienen door een e-mail te sturen (aan info@digid.nl) of een brief te sturen (DigiD - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: persoonsgegevens). Om te kunnen voldoen aan het verzoek zal u gevraagd worden om u te identificeren.

Na ontvangst van uw verzoek, zullen wij u via e-mail zo snel mogelijk, en uiterlijk binnen één maand, informeren of aan dit verzoek zal worden voldaan. Indien uw verzoek wordt geweigerd, zullen wij de redenen hiervoor schriftelijk aan u mededelen.

Bent u het niet eens met de reactie op een verzoek of heeft u een klacht met betrekking tot de verwerking van uw persoonsgegevens, dan kunt u dit soort klachten indienen bij de Autoriteit Persoonsgegevens, of een rechtszaak starten bij de rechter. Meer over een klacht indienen bij de Autoriteit Persoonsgegevens leest u hier: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen-bij-de-ap.

9. Beveiliging van uw persoonsgegevens
Wij treffen passende technische en organisatorische maatregelen opdat uw persoonsgegevens adequaat beveiligd zijn. Deze maatregelen zijn beschreven in de Regeling voorzieningen GDI en dienen om inbreuken op en aantastingen van de beveiliging en de processen van DigiD te voorkomen.

10. Wijziging privacyverklaring
Wij kunnen deze privacyverklaring altijd wijzigen. In dat geval zullen wij de gewijzigde privacyverklaring op onze website https://www.digid.nl publiceren waarna deze privacyverklaring direct van kracht is.