Een vraag uit de praktijk betreffende wijzen waarop overheden het gebruik van authenticatie en/of distributiemethode kunnen opleggen (los van discussie over DigiD-eis bij indienen) .
Een gemeente stelt geopenbaarde documenten beschikbaar via een Google Drive-folder, behorende bij een besluit dat via Zivver was opgestuurd.
Zivver kent schijnbaar een limiet van 25 MB voor bijlagen. De documenten bij het besluit hadden een grotere omvang.
Helaas maakt deze gemeente nog geen gebruik van de mogelijkheden om geopenbaarde documenten voor iedereen beschikbaar te stellen en wordt het uitsluitend in “narrowcast” aangeboden.
Hiervoor gebruikt men een Google Drive-link zoals:
https://drive.google.com/drive/folders/1GozacVzqQJgEIDOphjwz-pDmFFPOunWV?usp=drive_link
Het prefix https://drive.google.com/drive/folders is vast voor een gedeelde map, de unieke ID van de map staat er achter (in dit geval 1GozacVzqQJgEIDOphjwz-pDmFFPOunWV).
Initieel waren de documenten alleen beschikbaar voor download na het aanmelden op Google met bijpassende Google-credentials.
In mijn perceptie mag een Nederlandse overheid niet eisen dat een burger een Google-account gebruikt om gebruik te maken van zijn wettelijke rechten:
- Gelijkheidsbeginsel: diensten dienen toegankelijk te zijn voor alle burgers en niet iedereen heeft, wil en/of kan een Google-account gebruiken. Het lijkt in strijd met het gelijkheidsbeginsel.
- AVG en EVRM: een vereist gebruik van Google betekent dat verplicht persoonsgegevens met een commerciële partij gedeeld worden (zoals IP-adres, maar ook e-mailadres), in dit geval zelfs van buiten de EU. Het eventuele verdere gebruik en/of opslag van deze gegevens binnen Google zelf valt buiten het toezicht van de overheid. Aangezien er maar 1 overheid is, wordt een burger zo gedwongen om in te stemmen met de leveringsvoorwaarden van een commercieel bedrijf, buiten toezicht wetgever (gelukkig geen elektrisch automerk
). De overheid heeft al bijvoorbeeld DigiD en eHerkenning die al ontworpen, gemaakt en gebruikt worden in lijn met de Nederlandse wetgeving.
Uiteindelijk is na wat discussie de Google Drive-map met geopenbaarde documenten zonder verdere authenticatie beschikbaar gesteld.
Mijn vragen aan de hand van dit praktijkvoorbeeld:
- Woo en andere geopenbaarde informatie: kan een bestuursorgaan wel/niet eisen dat een burger zich identificeert via software van een commerciële partij om toegang te krijgen tot de geopenbaarde informatie, en waarom wel/niet? Denk hierbij niet alleen aan een Google-account voor een map, maar ook bijvoorbeeld (hypothetisch) een website waarop je alleen na registratie bij Google de openingstijden van het zwembad kunt inzien. Hoe ver mogen die eisen gaan?
- Algemeen (als niet te ver out-of-scope): kan een bestuursorgaan wel/niet eisen dat een geadresseerde software van een commerciële partij gebruikt om langs elektronische weg te communiceren (Artikel 2 Awb), en waarom wel/niet? Denk hierbij niet alleen aan Google Drive, maar ook bijvoorbeeld Zivver dat de rechtspraak gebruikt. Hoe ver mogen die eisen gaan?