Privacyverklaring DigiD en DigiD Machtigen

Deze verklaring beschrijft in het kort wie verantwoordelijk is voor de verwerking van de persoonsgegevens voor DigiD en DigiD Machtigen, welke persoonsgegevens van de gebruiker van DigiD en DigiD Machtigen worden verwerkt en met welk doel dit gebeurt. Verder wordt beschreven aan wie de persoonsgegevens verstrekt kunnen worden, wat de rechten zijn van de gebruiker en hoe deze rechten kunnen worden uitgeoefend. In het Besluit verwerking persoonsgegevens generieke digitale infrastructuur wordt deze verwerking van persoonsgegevens uitvoerig en volledig beschreven (Staatsblad 2016, 195).

Wie is verantwoordelijk voor de verwerking van de persoonsgegevens?

De Minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijke voor het verwerken van persoonsgegevens voor DigiD en DigiD Machtigen. Het beheer van DigiD en DigiD Machtigen wordt uitgevoerd door Logius. Logius is onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen. 

Waarom worden persoonsgegevens verwerkt?

DigiD en DigiD Machtigen verwerken persoonsgegevens in meerdere processen:  

  • de aanvraag en/of activering van DigiD of een (geregistreerde) machtiging; 
  • het gebruik van DigiD en DigiD Machtigen;
  • het verstrekken van persoonsgegevens aan derden;
  • het verwerken van persoonsgegevens in verband met het borgen van de beveiliging en betrouwbaarheid van DigiD en DigiD Machtigen;
  • het afhandelen van vragen en klachten van gebruikers. 

Welke persoonsgegevens worden verwerkt? 

Bij de aanvraag van een DigiD worden de volgende persoonsgegevens verwerkt:  

  • burgerservicenummer;
  • naam;
  • adres;
  • postcode;
  • woonplaats;
  • geboortedatum;
  • gegevens om het ingezetenschap of niet-ingezetenschap van de aanvrager vast te kunnen stellen;
  • het telefoonnummer en het e-mailadres van de aanvrager (optioneel).

Indien de aanvraag via de DigiD-balie gebeurt, worden ook het nummer van het Nederlandse identiteitsdocument en de nationaliteit van de aanvrager verwerkt. 

Bij het gebruik van DigiD worden de volgende persoonsgegevens van de gebruiker verwerkt: 

  • burgerservicenummer;
  • gebruikersnaam;
  • wachtwoord;
  • telefoonnummer (verplicht als de gebruiker gekozen heeft voor DigiD met extra controle via sms);
  • e-mailadres (niet verplicht);
  • (geldigheids)gegevens van het Nederlandse identiteitsdocument van de gebruiker. 

Bij de aanvraag om een machtiging te registreren in DigiD Machtigen worden de volgende persoonsgegevens verwerkt: 

  • burgerservicenummer;
  • naam;
  • adres;
  • postcode;
  • woonplaats;
  • geboortedatum van de persoon die vertegenwoordigd wordt;
  • burgerservicenummer van degene die de registratie aanvraagt. 

Bij het gebruik van DigiD Machtigen worden de volgende persoonsgegevens verwerkt: 

  • burgerservicenummer van de persoon die vertegenwoordigd wordt 
  • burgerservicenummer van de gemachtigde.

Bovendien geldt dat voor zowel DigiD als DigiD Machtigen de volgende gegevens worden verwerkt voor klachtbehandeling, de adequate werking van de website en de analyse van (beveiligings)incidenten:

  • het IP-adres en kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker inlogt; 
  • handelingen van de gebruiker (zoals het wijzigen van het wachtwoord of het inloggen bij een overheidsinstelling);
  • de website van de (overheids)instelling waar de gebruiker een DigiD aanvraagt of van waaruit de gebruiker met DigiD inlogt;
  • het tijdstip van het begin en van het einde van de inlogsessie;
  • vragen, klachten en contactgegevens (zoals e-mailadres en/of telefoonnummer) van personen die contact opnemen met de Helpdesk van DigiD en DigiD Machtigen. 

Om gebruik te kunnen maken van DigiD en DigiD Machtigen worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Het gebruik van de sessiecookie is noodzakelijk voor het gebruik van de website van DigiD en DigiD Machtigen. De sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.

Aan wie worden persoonsgegevens verstrekt?

Aan (overheids)instellingen die aangesloten zijn op DigiD , verstrekt DigiD het burgerservicenummer en het authenticatieniveau. Het burgerservicenummer wordt verstrekt zodat de (overheids)instelling de identiteit van de gebruiker vast kan stellen. Het gekozen authenticatieniveau wordt verstrekt zodat de (overheids)instelling een beeld heeft van de mate waarin er zekerheid is over de identiteit van de gebruiker die heeft ingelogd. 

DigiD Machtigen verstrekt aan aangesloten (overheids)instellingen een bewijs van geldigheid van een specifieke machtigingsregistratie. In dit bewijs zijn de burgerservicenummers van de persoon die vertegenwoordigd wordt en zijn de gemachtigde opgenomen. 

Verder worden er geen persoonsgegevens  aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker, een uitzondering hierop is een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten). 

Wat zijn de rechten van de gebruiker?

Aan elke gebruiker wordt op zijn of haar verzoek inzage gegeven in de persoonsgegevens die worden verwerkt door DigiD en/of DigiD Machtigen. Op verzoek van de gebruiker kunnen zijn of haar persoonsgegevens worden verbeterd, aangevuld, verwijderd of afgeschermd, tenzij dit niet is toegestaan op grond van een wettelijke bepaling. 

De gebruiker kan een inzageverzoek indienen door een e-mail te sturen aan info@digid.nl of een brief te sturen aan: DigiD/DigiD Machtigen - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: inzage persoonsgegevens. 

Om te kunnen voldoen aan het inzageverzoek zal de gebruiker gevraagd worden om zich te identificeren. Een verzoek om verbetering, aanvulling of verwijdering van persoonsgegevens kan op dezelfde wijze als een inzageverzoek gedaan worden. 

De gebruiker van DigiD kan zijn gebruikersnaam, telefoonnummer, burgerservicenumer, e-mailadres en gebruiksgeschiedenis inzien door in te loggen op Mijn DigiD op de website van DigiD. Het telefoonnummer en e-mailadres kunnen door de gebruiker zelf worden gewijzigd. 

De gebruiker van DigiD Machtigen kan door in te loggen bij DigiD Machtigen zien welke handelingen door hem of de persoon die hij vertegenwoordigt dan wel heeft gemachtigd zijn gedaan. 

Proef met Remote Document Authentication

Aanvullend op bovenstaande gegevensverwerking worden tot en met 31 december 2016 door Logius persoonsgegevens verwerkt voor een proef met Remote Document Authentication (RDA). Logius voert deze proef samen met de RDW uit, ten behoeve van een onderzoek naar een veiliger en betrouwbaarder authenticatieproces. 

RDA is een techniek waarmee een gebruiker na een geslaagde inlog met zijn DigiD-gebruikersnaam en wachtwoord met behulp van een Nederlands identiteitsdocument (paspoort, identiteitskaart of rijbewijs), in combinatie met een kaartlezer, op een substantieel betrouwbaarheidsniveau toegang krijgt tot digitale diensten in het burgerservicenummerdomein. 

De kaartlezer communiceert hiertoe met een contactloze chip in het identiteitsdocument en stelt via cryptografische processen vast dat de chip authentiek en onveranderd is en toebehoort aan de persoon die inlogt. 

Ten behoeve van de proef met RDA worden aanvullend op bovenstaande gegevens de volgende (persoons)gegevens verwerkt. 

  • Ten behoeve van de check op de Basisregistratie Personen: 

    • burgerservicenummer 

  • Ten behoeve van het communiceren met de chip in het document:

    • de geboortedatum van de gebruiker 
    • een uniek nummer van het identiteitsdocument
    • de datum geldigheid van het identiteitsdocument

  • Ten behoeve van de vaststelling of de gebruiker over het identiteitsdocument hoort te beschikken:

    • de datum inhouding van het identiteitsdocument
    • de indicatie of een identiteitsbewijs is ingehouden of vermist

  • In geval een gebruiker meerdere geldige identiteitsdocumenten bezit is het soort identiteitsdocument nodig om te bepalen welke gegevensset bij het identiteitsdocument hoort. 

De verwerking van bovenstaande persoonsgegevens is opgenomen in het meldingenregister van het ministerie Binnenlandse Zaken en Koninkrijksrelaties. Zie hiervoor de webpagina van dit meldingenregister.