Privacy

De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het verwerken van persoonsgegevens voor DigiD. Het beheer van DigiD wordt uitgevoerd door Logius. Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.

DigiD verwerkt persoonsgegevens voor verschillende doeleinden, namelijk bij:

• aanvraag en/of activering van DigiD
• gebruik van DigiD
• verstrekken van persoonsgegevens aan afnemers van DigiD
• verwerken van persoonsgegevens in verband met het zorgen voor de (informatie)beveiliging en betrouwbaarheid van DigiD en de analyse van (beveiligings-)incidenten
• gebruikersondersteuning, inclusief het afhandelen van vragen en klachten van gebruikers
• verstrekken van persoonsgegevens ingevolge een wettelijke verplichting
• versterken van de DigiD app door controle van het identiteitsdocument (optioneel)

DigiD kent meerdere manieren om in te loggen, namelijk met:

• gebruikersnaam en wachtwoord
• gebruikersnaam en wachtwoord aangevuld met sms-controle
• DigiD app
• DigiD app aangevuld met ID-check
• identiteitskaart

De grondslag voor het verwerken van persoonsgegevens is het Besluit verwerking persoonsgegevens generieke digitale infrastructuur, dat gebaseerd is op de Wet elektronisch berichtenverkeer belastingdienst.

Bij de aanvraag van een DigiD worden de volgende persoonsgegevens verwerkt:

• burgerservicenummer
• naam
• adres
• postcode
• woonplaats
• geboortedatum
• gegevens om het ingezetenschap of niet-ingezetenschap van de aanvrager vast te kunnen stellen
• het telefoonnummer en het e-mailadres van de aanvrager (optioneel)

Indien de aanvraag via de DigiD-balie gebeurt, worden ook het nummer van het identiteitsdocument en de nationaliteit van de aanvrager verwerkt en zijn het telefoonnummer en e-mailadres verplicht.

Inloggen met DigiD

Bij het gebruik van DigiD worden (ongeacht de inlogmethode) de volgende persoonsgegevens verwerkt:

• burgerservicenummer
• gebruikersnaam
• wachtwoord
• telefoonnummer (niet verplicht)
• e-mailadres (niet verplicht)
• (geldigheids)gegevens van het Nederlandse identiteitsdocument van de gebruiker

Inlogmethode gebruikersnaam en wachtwoord aangevuld met SMS-code

Gebruikt u deze inlogmethode? Dan worden de volgende aanvullende persoonsgegevens verwerkt:

• telefoonnummer (verplicht als de gebruiker gekozen heeft voor DigiD met SMS-controle)

Inlogmethode DigiD app

Gebruikt u deze inlogmethode? Dan worden de volgende aanvullende persoonsgegevens verwerkt:

• het IP-adres en kenmerken van de gebruikte software en hardware van het mobiele apparaat
• de naam en versie van het besturingssysteem van het mobiele apparaat
• het unieke kenmerk van de mobiele telefoon
• een 5-cijferige pincode van de gebruiker
• het mobiele telefoonnummer van het mobiele apparaat indien de app gebruikt wordt op de mobiele telefoon

Toevoegen van eenmalige controle identiteitsbewijs aan de DigiD app (ID-check)

Steeds meer organisaties vereisen dat u een eenmalige controle (ID-check) van uw paspoort, identiteitskaart of rijbewijs toevoegt aan de DigiD app. Door de ID-check toe te voegen kunt u meer met uw DigiD app. De controle vindt plaats door de chip op het Nederlandse rijbewijs of identiteitsdocument uit te lezen via de DigiD app met behulp van een NFC-lezer. Voor de ID-check heeft u een telefoon of tablet nodig met NFC-lezer. In aanvulling op de gegevens die voor DigiD en het gebruik van de DigiD app worden verwerkt, worden voor de ID-check ook de volgende aanvullende persoonsgegevens verwerkt.

Na controle paspoort of identiteitskaart:

• documentnummer
• geboortedatum
• geldigheid (datum einde geldigheid, inhouding dan wel vermissing inclusief aanduiding)

Na controle rijbewijs:

• rijbewijsnummer

Inlogmethode identiteitskaart

Gebruikt u deze inlogmethode? Dan worden de volgende aanvullende persoonsgegevens verwerkt:

• type identiteitsdocument
• sequencenummer waarmee het identiteitsdocument kan worden herkend

Tijdens het inloggen met een identiteitskaart gebruikt u de DigiD app. Zie onder 'Inlogmethode DigiD app' welke aanvullende gegevens de app verwerkt. Staat uw DigiD app op de computer (Windows of MacOS)? Dan worden de volgende aanvullende gegevens verwerkt:

• IP-adres
• naam en versie van het besturingssysteem van uw computer

Klachtbehandeling, werking website, (beveiligings)incidenten

De volgende gegevens worden verwerkt voor klachtbehandeling, de adequate werking van de website en de analyse van (beveiligings)incidenten:

• het IP-adres en kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker inlogt
• handelingen van de gebruiker (zoals gegevens over inloggen en over het aanvragen, intrekken, activeren van machtigingen)
• bezoekersstatistieken, trendanalyse en usability onderzoek inzake DigiD
• vragen, klachten en contactgegevens (zoals naam, e-mailadres en/of telefoonnummer) van personen die contact opnemen met de Helpdesk van DigiD en DigiD Machtigen

Om gebruik te kunnen maken van DigiD worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Het gebruik van de sessiecookie is noodzakelijk voor het gebruik van het DigiD-inlogscherm. De sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.

DigiD verzamelt statistieken in een systeem voor analysedoeleinden. Dit wordt gedaan om DigiD nog beter af te stemmen op de gebruiker.

Voor het maken van de statistieken wordt gebruik gemaakt van een cookie met een anoniem visitor-id. Deze visitor-id is niet herleidbaar tot een persoon, maar kan wel worden gebruikt bij terugkerende bezoeken. Tevens wordt het IP-adres van het netwerk waarbinnen DigiD gebruikt wordt, verwerkt. Om zo min mogelijk inbreuk te maken op de privacy van de bezoeker of gebruiker, heeft DigiD maatregelen genomen om de herleidbaarheid naar het oorspronkelijk IP-adres zoveel mogelijk te beperken. De laatste twee groepjes van 8 bits (twee octetten) van elk IP-adres worden verwijderd, voordat deze wordt toegevoegd aan de werkbestanden. Het IP-adres is hiermee geanonimiseerd, waardoor er geen sprake meer is van persoonsgegevens.

In de DigiD app is het mogelijk om deze analytische software binnen de app uit te schakelen. Dit kunt u doen bij de instellingen van de DigiD app, onder de knop ‘Instellingen’.

Aan (overheids)instellingen die aangesloten zijn op DigiD, verstrekt DigiD het burgerservicenummer en het authenticatieniveau. Het burgerservicenummer wordt verstrekt zodat de (overheids)instelling de identiteit van de gebruiker vast kan stellen. Het gekozen authenticatieniveau wordt verstrekt zodat de (overheids)instelling een beeld heeft van de mate waarin er zekerheid is over de identiteit van de gebruiker die heeft ingelogd.

Om BSN-gerechtigde (overheids)instellingen te ontzorgen, kunnen zij aansluiten op een routeringsvoorziening. Deze routeringsvoorziening regelt de technische aansluiting tussen deze (overheids)instellingen en DigiD. De routeringsvoorziening verwerkt hierbij het burgerservicenummer en het authenticatieniveau. De routeringsvoorziening is van de overheid. De Minister van Binnenlandse Zaken en Koninkrijksrelaties is eigenaar.

Logius gebruikt voor haar gebruikersondersteuning een private partij, die de zogenaamde “eerstelijns ondersteuning” op zich neemt. Daarnaast gebruikt Logius een private partij om een survey te sturen voor een klanttevredenheidsonderzoek, om zo te kunnen zien of de gebruiker tevreden is met de geboden hulp.

Deze partijen verwerken ten behoeve van Logius persoonsgegevens van gebruikers die contact opnemen met de Helpdesk van DigiD en DigiD Machtigen. Met deze partijen zijn verwerkersovereenkomsten gesloten. Wanneer u dus contact opneemt met de Helpdesk van DigiD en DigiD Machtigen, worden persoonsgegevens ook verwerkt door deze verwerkers.

Verder worden er geen persoonsgegevens aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker. Uitzondering hierop zijn een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten), of het verstrekken van gegevens aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van DigiD en/of DigiD Machtigen.

De gegevens die ten behoeve van DigiD verwerkt worden, moeten bewaard worden volgens de geldende wettelijke bewaartermijnen. Deze termijnen zijn gesteld om burgers bepaalde informatie te kunnen geven als zij hier om vragen, en om te voldoen aan de zorgplicht van de Minister van Binnenlandse Zaken en Koninkrijksrelaties om beveiliging en betrouwbaarheid van deze voorzieningen te garanderen.

De voorgeschreven bewaartermijn kan per persoonsgegeven verschillen, omdat hier andere veiligheidsaspecten voor gelden. De bewaartermijnen voor DigiD variëren tussen maximaal 6 weken en maximaal 5 jaar. Voor de precieze bewaartermijnen kunt u kijken in artikel 11 en artikel 12 van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur.

Wij verwerken uw persoonsgegevens in verband met de hiervoor omschreven doeleinden. Ten aanzien van deze verwerking kunt u de volgende rechten uitoefenen, door uw verzoek hiertoe te richten aan DigiD:

• Recht om te weten te komen of wij persoonsgegevens van u verwerken en het recht op inzage in uw persoonsgegevens.
• Recht om uw persoonsgegevens te verbeteren, aan te vullen of de verwerking ervan te beperken, rekening houdende met de hiervoor omschreven doeleinden.
• Recht om uw persoonsgegevens te verwijderen, bijvoorbeeld als deze gegevens niet langer nodig zijn voor de hiervoor omschreven doeleinden.
• Recht op bezwaar tegen de verwerking van uw persoonsgegevens wegens met uw specifieke situatie verband houdende redenen.

Als gebruiker van DigiD kunt u uw gebruikersnaam, telefoonnummer, burgerservicenummer, e-mailadres en gebruiksgeschiedenis inzien door in te loggen op Mijn DigiD op de website van DigiD. Het telefoonnummer en e-mailadres kunnen zelf door u worden gewijzigd.

U kunt een verzoek indienen door een e-mail te sturen (aan info@digid.nl) of een brief te sturen (DigiD - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: persoonsgegevens). Om te kunnen voldoen aan het verzoek zal u gevraagd worden om u te identificeren.

Na ontvangst van uw verzoek, zullen wij u via e-mail zo snel mogelijk, en uiterlijk binnen één maand, informeren of aan dit verzoek zal worden voldaan. Indien uw verzoek wordt geweigerd, zullen wij de redenen hiervoor schriftelijk aan u mededelen.

Bent u het niet eens met de reactie op een verzoek of heeft u een klacht met betrekking tot de verwerking van uw persoonsgegevens, dan kunt u dit soort klachten indienen bij de Autoriteit Persoonsgegevens, of een rechtszaak starten bij de rechter.

Lees meer over het indienen van een klacht bij de Autoriteit Persoonsgegevens

Wij treffen passende technische en organisatorische maatregelen opdat uw persoonsgegevens adequaat beveiligd zijn. Deze maatregelen zijn beschreven in de Regeling voorzieningen GDI en dienen om inbreuken op en aantastingen van de beveiliging en de processen van DigiD te voorkomen.

Wij kunnen deze privacyverklaring altijd wijzigen. In dat geval zullen wij de gewijzigde privacyverklaring op onze website https://www.digid.nl publiceren waarna deze privacyverklaring direct van kracht is.

De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het verwerken van persoonsgegevens voor DigiD Machtigen. Het beheer van DigiD Machtigen wordt uitgevoerd door Logius. Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.

DigiD Machtigen verwerkt persoonsgegevens voor verschillende doeleinden, namelijk bij

• aanvraag en/of activering van een (geregistreerde) machtiging
• gebruik van DigiD Machtigen
• het verstrekken van persoonsgegevens aan afnemers van DigiD Machtigen
• verwerken van persoonsgegevens in verband met het zorgen voor de (informatie)beveiliging en betrouwbaarheid van DigiD Machtigen en de analyse van (beveiligings-)incidenten
• het versturen van een notificatie met de status van de machtiging
• gebruikersondersteuning, inclusief het afhandelen van vragen en klachten van gebruikers
• het verstrekken van persoonsgegevens ingevolge een wettelijke verplichting.

De grondslag voor het verwerken van persoonsgegevens is het Besluit verwerking persoonsgegevens generieke digitale infrastructuur, dat gebaseerd is op de Wet elektronisch berichtenverkeer belastingdienst.

Bij de aanvraag om een machtiging te registreren in DigiD Machtigen worden de volgende persoonsgegevens verwerkt:

• burgerservicenummer;
• naam;
• adres;
• postcode;
• woonplaats;
• e-mailadres (optioneel);
• geboortedatum van de persoon die vertegenwoordigd wordt;
• burgerservicenummer van degene die de registratie aanvraagt.

Bij het gebruik van DigiD Machtigen worden de volgende persoonsgegevens verwerkt:

• e-mailadres (optioneel);
• burgerservicenummer van de persoon die vertegenwoordigd wordt;
• burgerservicenummer van de gemachtigde.

De volgende gegevens worden verwerkt voor klachtbehandeling, de adequate werking van de website en de analyse van (beveiligings)incidenten:

• IP-adres en kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker inlogt;
• handelingen van de gebruiker (zoals gegevens over inloggen en over het aanvragen, intrekken, activeren van machtigingen);
• bezoekersstatistieken, trendanalyse en usability onderzoek inzake DigiD en DigiD Machtigen;
• vragen, klachten en contactgegevens (zoals naam, e-mailadres en/of telefoonnummer) van personen die contact opnemen met de helpdesk van DigiD en DigiD Machtigen.

Om gebruik te kunnen maken van DigiD Machtigen worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Het gebruik van de sessiecookie is noodzakelijk voor het gebruik van de website van DigiD Machtigen. De sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.

DigiD Machtigen verzamelt statistieken in een systeem voor analysedoeleinden. Dit wordt gedaan om DigiD Machtigen nog beter af te stemmen op de gebruiker.

Voor het maken van de statistieken wordt gebruik gemaakt van een cookie met een anoniem visitor-id. Deze visitor-id is niet herleidbaar tot een persoon, maar kan wel worden gebruikt bij terugkerende bezoeken. Tevens wordt het IP-adres van het netwerk waarbinnen DigiD gebruikt wordt, verwerkt. Om zo min mogelijk inbreuk te maken op de privacy van de bezoeker of gebruiker, heeft DigiD maatregelen genomen om de herleidbaarheid naar het oorspronkelijk IP-adres zoveel mogelijk te beperken. De laatste twee groepjes van 8 bits (twee octetten) van elk IP-adres worden verwijderd, voordat deze wordt toegevoegd aan de werkbestanden. Het IP-adres is hiermee geanonimiseerd, waardoor er geen sprake meer is van persoonsgegevens.

DigiD Machtigen verstrekt aan aangesloten (overheids)organisaties een bewijs van geldigheid van een specifieke machtigingsregistratie. In dit bewijs zijn de burgerservicenummers van de persoon die vertegenwoordigd wordt en zijn de gemachtigde opgenomen. Op verzoek verstrekt DigiD Machtigen ook een overzicht aan een aangesloten (overheids)organisatie van alle machtigingsaanvragen en machtigingsregistraties die voor de diensten van deze (overheids)organisatie zijn afgegeven.

Logius gebruikt voor haar gebruikersondersteuning een private partij, die de zogenaamde “eerstelijns ondersteuning” op zich neemt. Daarnaast gebruikt Logius een private partij om voor een survey te sturen voor een klanttevredenheidsonderzoek, om zo te kunnen zien of de gebruiker tevreden is met de geboden hulp.

Deze partijen verwerken ten behoeve van Logius persoonsgegevens van gebruikers die contact opnemen met de Helpdesk van DigiD en DigiD Machtigen. Met deze partijen zijn verwerkersovereenkomsten gesloten. Wanneer u dus contact opneemt met de Helpdesk van DigiD en DigiD Machtigen, worden persoonsgegevens ook verwerkt door deze verwerkers.

Verder worden er geen persoonsgegevens aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker. Uitzonderingen hierop zijn een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten), of het verstrekken van gegevens aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van DigiD en/of DigiD Machtigen.

De gegevens die ten behoeve van DigiD Machtigen verwerkt worden, moeten bewaard worden volgens de geldende wettelijke bewaartermijnen. Deze termijnen zijn gesteld om burgers bepaalde informatie te kunnen geven als zij hier om vragen, en om te voldoen aan de zorgplicht van de Minister van Binnenlandse Zaken en Koninkrijksrelaties om beveiliging en betrouwbaarheid van deze voorzieningen te garanderen.

De voorgeschreven bewaartermijn kan per persoonsgegeven verschillen, omdat hier andere veiligheidsaspecten voor gelden. De bewaartermijnen voor DigiD Machtigen variëren tussen maximaal 6 weken en maximaal 5 jaar. Voor de precieze bewaartermijnen kunt u kijken in artikel 11 en artikel 12 van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur.

Wij verwerken uw persoonsgegevens in verband met de hiervoor omschreven doeleinden. Ten aanzien van deze verwerking kunt u de volgende rechten uitoefenen, door uw verzoek hiertoe te richten aan DigiD:

• recht om te weten te komen of wij persoonsgegevens van u verwerken en het recht op inzage in uw persoonsgegevens
• recht om uw persoonsgegevens te verbeteren, aan te vullen of de verwerking ervan te beperken, rekening houdende met de hiervoor omschreven doeleinden
• recht om uw persoonsgegevens te verwijderen, bijvoorbeeld als deze gegevens niet langer nodig zijn voor de hiervoor omschreven doeleinden
• recht op bezwaar tegen de verwerking van uw persoonsgegevens wegens met uw specifieke situatie verband houdende redenen

Als gebruiker van DigiD Machtigen kunt u door in te loggen bij DigiD Machtigen zien welke handelingen door u of de persoon die u vertegenwoordigt dan wel heeft gemachtigd zijn gedaan.

U kunt een verzoek indienen door een e-mail te sturen (aan info@digid.nl) of een brief te sturen (DigiD/DigiD Machtigen - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: persoonsgegevens). Om te kunnen voldoen aan het verzoek zal u gevraagd worden om u te identificeren.

Na ontvangst van uw verzoek, zullen wij u via e-mail zo snel mogelijk, en uiterlijk binnen één maand, informeren of aan dit verzoek zal worden voldaan. Indien uw verzoek wordt geweigerd, zullen wij de redenen hiervoor schriftelijk aan u mededelen.

Bent u het niet eens met de reactie op een verzoek of heeft u een klacht met betrekking tot de verwerking van uw persoonsgegevens, dan kunt u dit soort klachten indienen bij de Autoriteit Persoonsgegevens, of een rechtszaak starten bij de rechter. Meer over een klacht indienen bij de Autoriteit Persoonsgegevens leest u op de website van de Autoriteit Persoonsgegevens.

Wij treffen passende technische en organisatorische maatregelen opdat uw persoonsgegevens adequaat beveiligd zijn. Deze maatregelen zijn beschreven in de Regeling voorzieningen GDI en dienen om inbreuken op en aantastingen van de beveiliging en de processen van DigiD Machtigen te voorkomen.

Wij kunnen deze privacyverklaring altijd wijzigen. In dat geval zullen wij de gewijzigde privacyverklaring op onze website https://machtigen.digid.nl publiceren waarna deze privacyverklaring direct van kracht is.