Per 1 juli 2023 wordt de Wet digitale overheid (Wdo) van kracht. Dit klinkt als goed nieuws voor iedereen die het belangrijk vindt om op een veilige manier digitaal met overheidsinstellingen te kunnen communiceren en zakendoen. En ook voor partijen die diensten ontwikkelen die hiervoor gebruikt worden. Na een jarenlange voorbereiding, die teruggaat tot 2016, gaf de Eerste Kamer in maart groen licht, waardoor de wet vanaf 1 juli 2023 “gefaseerd” wordt ingevoerd. En tegen dat gefaseerde kunnen we nog gaan aanlopen. In 2026 om precies te zijn.
Het nieuwsbericht met daarin de aankondiging van de invoerdatum van 1 juli 2023 was in eerste instantie een aangename verrassing. Na jaren vooruit schuiven stond de invoerdatum nu eindelijk vast. Klik je wat verder door, dan blijkt de datum waarop organisaties zich ook écht aan de wet moeten gaan houden pas drie jaar later te liggen, op 1 juli 2026.
De eerste reden voor deze gefaseerde invoering is technisch van aard: het Stelsel Toegang dat nodig is om aan de wettelijke eisen te kunnen voldoen, is naar verwachting pas in 2024 gereed. Het gaat hierbij om de infrastructuur die organisaties nodig hebben om op een veilige manier verschillende erkende inlogmiddelen, op verschillende beveiligingsniveaus, te kunnen accepteren.
Tweede reden voor het uitstel tot 2026 zit in de implementatie: de organisaties waarop de Wdo gericht is, waaronder bestuursorganen, rechterlijke instanties en zorginstellingen, krijgen nog extra tijd nodig om zich op nieuwe wetgeving voor te bereiden. Om voor elke dienst het juiste beveiligingsniveau vast te stellen moet immers eerst in kaart gebracht worden welke diensten en werkprocessen er allemaal zijn en wat de gevoeligheid is van de hierbij uitgewisselde gegevens. Dit vraagt om een zorgvuldige impactanalyse en kost dus tijd. Daar komt nog bij dat het technisch inregelen van de juiste beveiligingsniveaus ook niet zomaar gedaan is.
Drie jaar
Met name dit tweede argument, de tijd die nodig is voor de implementatie, is opmerkelijk. Dat het inventariseren en analyseren van werkprocessen een flinke klus kan zijn, weten we uit ervaring. Met name bij organisaties die uit meerdere min of meer los van elkaar werkende onderdelen bestaan, vaak ook verspreid over meerdere locaties. Je kunt je echter afvragen of je hier drie jaar voor moet uittrekken. Behalve erg lang, is de termijn namelijk ook contraproductief. De ervaring leert immers ook dat zolang de deadline voor een implementatie van wetgeving nog ver weg is, er altijd andere projecten zijn die meer urgentie hebben. De kans lijkt dus groot dat de implementatie van de Wdo bij veel organisaties halverwege 2025 nog niet veel verder zal zijn dan nu het geval is. En dat de roep om wat extra tijd ook dan weer zal klinken. Het feit dat ook eerdere, achteraf steeds verschoven deadlines van de Wdo nog niet tot massale voorbereidingen hebben geleid, versterkt deze gedachte.
Is de conclusie dan dat de invoer van de Wdo op 1 juli 2023 vooral een nieuwe reden is om de implementatie ervan nog een keer voor ons uit te schuiven? Niet per sé.
Slipstream
Een goede reden om toch nu al te starten met de inventarisatie en de classificering van diensten en data die door de Wdo geraakt worden, is dat voor de implementatie van een andere wet momenteel de spreekwoordelijke motorkap al wijd open staat. De Wet modernisering elektronisch verkeer (Wmebv), die bestuursorganen verplicht om voor alle formele berichtenverkeer ook digitale loketten in te richten, gaat namelijk al in 2024 in. En ook hiervoor is een overzicht nodig van de digitaal geleverde diensten en een beoordeling van het noodzakelijke beveiligingsniveau. Het ligt dus voor de hand bij de implementatie hiervan direct de criteria van de Wdo te gebruiken, uitgewerkt in de Regeling Betrouwbaarheidsniveaus.
Organisaties die moeten voldoen aan de Wmebv, doen er dus goed aan om in de slipstream hiervan ook we Wdo mee te nemen. Hiermee voorkom je niet alleen dat je later in tijdnood komt, maar ook dat je twee keer tijd en geld moet vrijmaken voor hetzelfde onderzoek. Bovendien wordt je dienstverlening wordt er veiliger van. En nu we toch goede raad aan het geven zijn: ook de Wet elektronische publicaties (Wep) raakt voor een groot deel aan dezelfde processen. Heb je deze nog niet helemaal op orde, dan is het goed om deze ook direct mee te nemen. Zo zorg je ervoor dat je aan de voorkant de digitale communicatie op orde hebt, dat de inrichting ervan voldoet aan de wettelijke betrouwbaarheidsnormen én dat aan de achterkant besluiten op de juiste (elektronische) manier worden gepubliceerd. Dat zijn drie vliegen in een klap!
Hulp nodig?
Heeft u nog vragen over de implementatie één van deze wetten? Of wilt u meer informatie over de samenhang? Neem dan vrijblijvend contact op met één van onze adviseurs.