Privacyverklaring DigiD

Deze verklaring beschrijft in het kort wie verantwoordelijk is voor de verwerking van de persoonsgegevens voor DigiD, welke persoonsgegevens van de gebruiker van DigiD worden verwerkt en met welk doel dit gebeurt. Verder wordt beschreven aan wie de persoonsgegevens verstrekt kunnen worden, wat de rechten zijn van de gebruiker en hoe deze rechten kunnen worden uitgeoefend. In het Besluit verwerking persoonsgegevens generieke digitale infrastructuur wordt deze verwerking van persoonsgegevens uitvoerig en volledig beschreven (Staatsblad 2016, 195).

Wie is verantwoordelijk voor de verwerking van de persoonsgegevens?

De Minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijke voor het verwerken van persoonsgegevens voor DigiD. Het beheer van DigiD wordt uitgevoerd door Logius. Logius is onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.

Waarom worden persoonsgegevens verwerkt?

DigiD verwerkt persoonsgegevens op meerdere momenten:

  • Bij de aanvraag en/of activering van DigiD;
  • Bij het gebruik van DigiD;
  • Bij het verstrekken van persoonsgegevens aan afnemers van DigiD;
  • Bij het verwerken van persoonsgegevens in verband met het zorgen voor de beveiliging en betrouwbaarheid van DigiD;
  • Bij het afhandelen van vragen en klachten van gebruikers.

DigiD kent meerdere manieren om in te loggen:

  • DigiD Basis (inloggen met gebruikersnaam en wachtwoord),
  • DigiD met SMS-controle of DigiD app (inloggen met gebruikersnaam en wachtwoord aangevuld met SMS authenticatie, of inloggen met de DigiD app)
  • DigiD met controle van het identiteitsdocument (versterkt DigiD)

Welke persoonsgegevens worden verwerkt?

Bij de aanvraag van een DigiD worden de volgende persoonsgegevens verwerkt:

  • burgerservicenummer;
  • naam;
  • adres;
  • postcode;
  • woonplaats;
  • geboortedatum;
  • gegevens om het ingezetenschap of niet-ingezetenschap van de aanvrager vast te kunnen stellen;
  • het telefoonnummer en het e-mailadres van de aanvrager (optioneel).

Indien de aanvraag via de DigiD-balie gebeurt, worden ook het nummer van het Nederlandse identiteitsdocument en de nationaliteit van de aanvrager verwerkt en zijn het telefoonnummer en e-mailadres verplicht. 

Bij het gebruik van DigiD worden de volgende persoonsgegevens van de gebruiker verwerkt:

Bij het gebruik van DigiD worden bij elke inlogmethode de volgende persoonsgegevens verwerkt:

  • burgerservicenummer;
  • gebruikersnaam;
  • wachtwoord;
  • telefoonnummer (niet verplicht);
  • e-mailadres (niet verplicht);
  • (geldigheids)gegevens van het Nederlandse identiteitsdocument van de gebruiker.

Bij het gebruik van DigiD met SMS-controle worden aanvullend de volgende persoonsgegevens verwerkt:

Gebruikersnaam, wachtwoord aangevuld met SMS:

  • telefoonnummer (verplicht als de gebruiker gekozen heeft voor DigiD met extra controle via sms);

Gebruik van de DigiD app:

  • het IP-adres en kenmerken van de gebruikte software en hardware van het mobiele apparaat
  • de naam en versie van het besturingssysteem van het mobiele apparaat
  • het unieke kenmerk van de mobiele telefoon
  • een 5-cijferige pincode van de gebruiker
  • het mobiele telefoonnummer van het mobiele apparaat indien de app gebruikt wordt op de mobiele telefoon.

Bij het gebruik van DigiD met controle van identiteitsdocument (versterkt DigiD)

Voor deze manier om in te loggen wordt een eenmalige controle van uw identiteitsdocument gedaan en heeft u de DigiD app nodig. De controle vindt plaats door het lezen van de chip op het Nederlandse rijbewijs of identiteitsdocument met behulp van een NFC-reader. In aanvulling op de gegevens die voor DigiD en het gebruik van de DigiD app verwerkt worden, zijn voor deze versterking van DigiD ook de volgende aanvullende persoonsgegevens verwerkt.

  • Bij gebruik paspoort of identiteitskaart:

    • Documentnummer;
    • Geboortedatum;
    • Geldigheid (datum einde geldigheid, inhouding dan wel vermissing inclusief aanduiding);

  • Bij gebruik rijbewijs:

    • Rijbewijsnummer.

Cookies en statistische informatie

Om gebruik te kunnen maken van DigiD worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Het gebruik van de sessiecookie is noodzakelijk voor het gebruik van de website van DigiD. De sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.

De DigiD app maakt gebruik van de open source software Piwik om statistische gegevens te verzamelen voor analysedoeleinden. Dit wordt gedaan om de app nog beter af te stemmen op de gebruiker. Voor het maken van de statistieken wordt het IP-adres van het netwerk waarbinnen de DigiD app gebruikt wordt verwerkt. Om zo min mogelijk inbreuk te maken op de privacy van de bezoeker worden de laatste 6 cijfers van elke IP-adres verwijderd direct nadat de logbestanden in Piwik zijn geïmporteerd.

De ruwe gegevens worden gemaskeerd bewaard voor een termijn van 18 maanden. Hierna worden deze verwijderd.

Indien u niet wenst mee te werken aan deze geanonimiseerde vorm van analyse, is er de mogelijkheid om de software van Piwik uit te schakelen. Dit kunt u doen bij de instellingen van de DigiD app, onder de knop ‘Over de App’ bij de Instellingen.

Hoe lang duurt de verwerking van persoonsgegevens ?

De gegevens die ten behoeve van DigiD verwerkt worden, moeten bewaard worden volgens de geldende wettelijke bewaartermijnen. Deze termijnen zijn gesteld om burgers bepaalde informatie te kunnen geven als zij hier om vragen, en om te voldoen aan de zorgplicht van de Minister van BZK om beveiliging en betrouwbaarheid van deze voorzieningen te garanderen.

De voorgeschreven bewaartermijn kan per persoonsgegeven verschillen, omdat hier andere veiligheidsaspecten voor gelden. De bewaartermijnen voor DigiD variëren tussen maximaal 6 weken en maximaal 5 jaar. Voor de precieze bewaartermijnen kunt u kijken in artikel 11 en artikel 12 van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur.

Aan wie worden persoonsgegevens verstrekt?

Aan (overheids)instellingen die aangesloten zijn op DigiD , verstrekt DigiD het burgerservicenummer en het authenticatieniveau. Het burgerservicenummer wordt verstrekt zodat de (overheids)instelling de identiteit van de gebruiker vast kan stellen. Het gekozen authenticatieniveau wordt verstrekt zodat de (overheids)instelling een beeld heeft van de mate waarin er zekerheid is over de identiteit van de gebruiker die heeft ingelogd.

Verder worden er geen persoonsgegevens  aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker, een uitzondering hierop is een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten). 

Wat zijn de rechten van de gebruiker?

Aan elke gebruiker wordt op zijn of haar verzoek inzage gegeven in de persoonsgegevens die worden verwerkt door DigiD. Op verzoek van de gebruiker kunnen zijn of haar persoonsgegevens worden verbeterd, aangevuld, verwijderd of afgeschermd, tenzij dit niet is toegestaan op grond van een wettelijke bepaling. 

De gebruiker kan een inzageverzoek indienen door een e-mail te sturen aan info@digid.nl of een brief te sturen aan: DigiD - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: inzage persoonsgegevens. 
Om te kunnen voldoen aan het inzageverzoek zal de gebruiker gevraagd worden om zich te identificeren. Een verzoek om verbetering, aanvulling of verwijdering van persoonsgegevens kan op dezelfde wijze als een inzageverzoek gedaan worden. 

De gebruiker van DigiD kan zijn gebruikersnaam, telefoonnummer, burgerservicenumer, e-mailadres en gebruiksgeschiedenis inzien door in te loggen op Mijn DigiD op de website van DigiD. Het telefoonnummer en e-mailadres kunnen door de gebruiker zelf worden gewijzigd.