Aanbevelingen voor IAM in het ontwerp van een dienst: verschil tussen versies
(1e verwerking review 2018) |
(1e verwerking review 2018) |
||
| Regel 1: | Regel 1: | ||
__TOC__ | __TOC__ | ||
Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM), is hier volgend een visie daarop gegeven, met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang. | '''Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM), is hier volgend een visie daarop gegeven, met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang. Zo goed als mogelijk zijn ook kaders aangegeven: handvatten om IAM goed op te nemen in het ontwerp van onze dienstverlening. | ||
De teksten worden momenteel herschreven op basis van de vele opmerkingen uit de openbare review van | De teksten worden momenteel herschreven op basis van de vele opmerkingen uit de openbare review van najaar 2018.''' | ||
Identity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. | Identity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. | ||
| Regel 21: | Regel 21: | ||
===Hoe pas je “Identity & Access Management” toe?=== | ===Hoe pas je “Identity & Access Management” toe?=== | ||
Traditioneel zijn er voor IAM twee soorten inrichtingen ontstaan. Eén voor de klantkant en één voor de medewerkers van de organisatie(s) die een dienst verlenen aan de klanten. In de praktijk zien we dat de klanten steeds meer betrokken worden in de afhandeling of realisatie van een dienst. Dit zorgt ervoor dat klanten ook in de backoffice systemen toegang gaan krijgen. | Traditioneel zijn er voor IAM twee soorten inrichtingen ontstaan. Eén voor de klantkant en één voor de medewerkers van de organisatie(s) die een dienst verlenen aan de klanten. In de praktijk zien we dat de klanten steeds meer betrokken worden in de afhandeling of realisatie van een dienst. Dit zorgt ervoor dat klanten ook in de backoffice systemen toegang gaan krijgen. | ||
Bij de overheid zie je deze tweedeling ook. Enerzijds het IAM voor de ambtenaren en anderzijds het IAM voor burgers en bedrijven. Doordat veel wet- en regelgeving in Nederland gericht is op de rollen van mensen, zoals ambtenaar of burger of ondernemer, kan IAM amper anders ingericht worden dan met zo'n tweedeling. | Bij de overheid zie je deze tweedeling ook. Enerzijds het IAM voor de ambtenaren en anderzijds het IAM voor burgers en bedrijven. Doordat veel wet- en regelgeving in Nederland gericht is op de rollen van mensen, zoals ambtenaar of burger of ondernemer, kan IAM amper anders ingericht worden dan met zo'n tweedeling. | ||
Denk maar aan het gebruik van een BSN als unieke identificatie voor een burger bij contacten met de overheid: die BSN mag niet worden gebruikt voor identificatie van de ambtenaren en ook mogen private bedrijven die BSN niet gebruiken voor haar medewerkers. | Denk maar aan het gebruik van een BSN als unieke identificatie voor een burger bij contacten met de overheid: die BSN mag niet worden gebruikt voor identificatie van de ambtenaren en ook mogen private bedrijven die BSN niet gebruiken voor haar medewerkers.<br /> | ||
<br /> | |||
Om IAM makkelijker te doorgronden, beschouwen we het vanuit de volgende onderverdeling: | Om IAM makkelijker te doorgronden, beschouwen we het vanuit de volgende onderverdeling:<br /> | ||
<br /> | |||
Zie plaatje van de presentatie op 23okt18 in de expertgroep IAM. | Zie plaatje van de presentatie op 23okt18 in de expertgroep IAM. <br /> | ||
<br /> | |||
* [[Identiteitenbeheer]] | * [[Identiteitenbeheer]] | ||
* [[Bevoegdhedenbeheer|Bevoegdhedenbeheer (inclusief machtigen)]] | * [[Bevoegdhedenbeheer|Bevoegdhedenbeheer (inclusief machtigen)]] | ||
* Authenticatie(middelen)beheer<br /> | |||
Zie ook [[Authenticatie in de praktijk]] en [[Impact eIDAS voor Nederland]]. | |||
* [[Toegang verlenen]] | * [[Toegang verlenen]] | ||
===Wat is ons streefbeeld voor IAM?=== | ===Wat is ons streefbeeld voor IAM?=== | ||
| Regel 57: | Regel 58: | ||
Bijvoorbeeld welk niveau van authenticatie voor die dienst is vereist. | Bijvoorbeeld welk niveau van authenticatie voor die dienst is vereist. | ||
=== | ===Ontwikkelingen waar IAM onderdeel van kan worden=== | ||
Wereldwijd zien we een ontwikkeling waarbij gegevens niet meer worden gekopieerd van de een plek (lees: database) naar de andere, maar waar op basis van het stellen van vragen ("Is deze persoon ouder dan 18 jaar?") een antwoord wordt gegeven (ja, nee) waarmee een dienstveerlener kan besluiten om een dienst wel of juist niet te leveren. | |||
We zien daarbij een stelsel ontstaan van zogenaamde Attribute Service Providers, waar alle gegevens- en informatie-uitwisseling voor de dienstverlening mee kan worden geregeld.<br /> | |||
Het lijkt mogelijk dat de attributen die relevant zijn voor IAM straks onderdeel worden van dat stelsel.<br /> | |||
<br /> | |||
Zie plaatje van de presentatie op 20nov18 in de expertgroep IAM. | Zie plaatje van de presentatie op 20nov18 in de expertgroep IAM. | ||
| Regel 72: | Regel 75: | ||
* Een [https://afsprakenstelsel.etoegang.nl/display/as/Begrippenlijst Begrippenlijst] vanuit het stelsel van e-toegang voor burgers en bedrijven | * Een [https://afsprakenstelsel.etoegang.nl/display/as/Begrippenlijst Begrippenlijst] vanuit het stelsel van e-toegang voor burgers en bedrijven | ||
* Het [http://wetten.overheid.nl/BWBR0037987 ‘Besluit verwerking persoonsgegevens generieke digitale infrastructuur’] voor burgers, met in Hoofdstuk 1 - Artikel 1 de definities | * Het [http://wetten.overheid.nl/BWBR0037987 ‘Besluit verwerking persoonsgegevens generieke digitale infrastructuur’] voor burgers, met in Hoofdstuk 1 - Artikel 1 de definities | ||
* De [http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015R1502&from=EN Europese richtlijn 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties], met in Artikel 3 veel definities t/m handtekeningen aan toe | * De [http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32015R1502&from=EN Europese richtlijn 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties], met in Artikel 3 veel definities t/m die over handtekeningen aan toe | ||
Uiteindelijk streven we er naar dat we niet meer zo'n apart overzicht nodig hebben, maar dat alle begrippen zijn opgenomen in ons [[Begrippenkader]] en dat ze daar begrijpelijk zijn omschreven en zo mogelijk ook gevisualiseerd via een plaatje met context. | Uiteindelijk streven we er naar dat we niet meer zo'n apart overzicht nodig hebben, maar dat alle begrippen zijn opgenomen in ons [[Begrippenkader]] en dat ze daar begrijpelijk zijn omschreven en zo mogelijk ook gevisualiseerd via een plaatje met context. | ||
Daarmee sluiten we ook aan op initiatieven als Burgerwoordenboeken: [https://ibestuur.nl/podium/burgerwoordenboeken-als-participatie-instrument artikel ibestuur:burgerwoordenboeken als participatiedocument] | Daarmee sluiten we ook aan op initiatieven als Burgerwoordenboeken: [https://ibestuur.nl/podium/burgerwoordenboeken-als-participatie-instrument artikel ibestuur:burgerwoordenboeken als participatiedocument] | ||
Versie van 19 nov 2018 00:33
Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM), is hier volgend een visie daarop gegeven, met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang. Zo goed als mogelijk zijn ook kaders aangegeven: handvatten om IAM goed op te nemen in het ontwerp van onze dienstverlening. De teksten worden momenteel herschreven op basis van de vele opmerkingen uit de openbare review van najaar 2018.
Identity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.
Aangezien het hier gaat om een wereldwijde onderkende discipline, sluiten we vanuit de NORA zo veel mogelijk aan op de internationaal gebruikte termen en omschrijvingen via vertalingen in het Nederlands.
Waarom is “Identity & Access Management” voor ons van belang?[bewerken]
IAM is van groot belang voor de digitale dienstverlening. Niet alleen omdat daardoor persoonlijke dienstverlening kan worden geregeld (gerelateerd aan een identiteit), maar ook om te borgen dat de dienst niet door verkeerde personen wordt gebruikt. En daarbij maakt het in principe niet uit of die dienst wordt geleverd door de overheid of door burgers of bedrijven.
IAM regelt drie belangrijke voorwaarden voor digitale dienstverlening:
- Identificatie zorgt er voor dat we weten wie je bent (of in elk geval wat een digitale identiteit van je is);
- Authenticatie zorgt er voor dat we met een bepaalde zekerheid weten dat je ook echt degene bent die je op het internet zegt te zijn;
- Autorisatie zorgt er voor dat we weten wat je dan mag (al dan niet door een ander gemachtigd), of juist niet mag.
Als iemand een digitale dienst wil afnemen, dan zal de elektronische identificatie, authenticatie en autorisatie goed geregeld moeten worden om de belangen van zowel de dienstaanbieder als de afnemer te borgen.
Hoe pas je “Identity & Access Management” toe?[bewerken]
Traditioneel zijn er voor IAM twee soorten inrichtingen ontstaan. Eén voor de klantkant en één voor de medewerkers van de organisatie(s) die een dienst verlenen aan de klanten. In de praktijk zien we dat de klanten steeds meer betrokken worden in de afhandeling of realisatie van een dienst. Dit zorgt ervoor dat klanten ook in de backoffice systemen toegang gaan krijgen.
Bij de overheid zie je deze tweedeling ook. Enerzijds het IAM voor de ambtenaren en anderzijds het IAM voor burgers en bedrijven. Doordat veel wet- en regelgeving in Nederland gericht is op de rollen van mensen, zoals ambtenaar of burger of ondernemer, kan IAM amper anders ingericht worden dan met zo'n tweedeling.
Denk maar aan het gebruik van een BSN als unieke identificatie voor een burger bij contacten met de overheid: die BSN mag niet worden gebruikt voor identificatie van de ambtenaren en ook mogen private bedrijven die BSN niet gebruiken voor haar medewerkers.
Om IAM makkelijker te doorgronden, beschouwen we het vanuit de volgende onderverdeling:
Zie plaatje van de presentatie op 23okt18 in de expertgroep IAM.
- Identiteitenbeheer
- Bevoegdhedenbeheer (inclusief machtigen)
- Authenticatie(middelen)beheer
Zie ook Authenticatie(middelen)beheer en Impact eIDAS voor Nederland.
Wat is ons streefbeeld voor IAM?[bewerken]
Stel je daarbij het volgende voor:
- dat geregeld zou zijn dat iedere Nederlander (lees: iedereen met de Nederlandse Nationaliteit) tenminste één zodanig betrouwbare elektronische identiteit heeft, dat die daarmee over de gehele wereld, en dus ook in Nederland, digitale diensten van overheden -en zo mogelijk ook van private partijen- kan afnemen.
- dat geregeld zou zijn dat bij die elektronische identiteit ook 1 of meer authenticatie-middelen beschikbaar zijn waarmee door alle betrokken partijen kan worden geverifieerd of degene die zegt een bepaald iemand te zijn dat ook daadwerkelijk is.
- en dat geregeld zou zijn dat van elk van die middelen is vastgesteld welke mate van zekerheid dan bestaat dat die bewering juist is.
Als dat allemaal zou zijn geregeld, dan kan elke dienstaanbieder die voor zijn elektronische dienst heeft bepaald met welke zekerheid de identiteit van de dienstafnemer bekend moet zijn, hergebruik (laten) maken van de beschreven identificatie en authenticatie.
En indien dat aan de gestelde eisen voldoet, kan de dienst worden geleverd c.q. afgenomen.
Zo nodig kunnen nog meer eisen worden gesteld voordat de dienst kan worden afgenomen. Bijvoorbeeld op basis van rollen, (business)regels, persoonlijke aanvraag of machtigingen.
In de praktijk zijn we echter nog niet zo ver.
We hebben een wereldwijd stelsel van afspraken waarbij Nationale paspoorten en andere formele reisdocumenten de wereldburgers in staat stellen zich vrij te bewegen over onze planeet. Zo’n soort afsprakenstelsel is er echter niet voor de digitale reizen die we elke dag maken. Via het internet surfen we overal heen, doen meer en meer digitaal inkopen en digitaal zaken met de overheid, maar onze digitale identiteiten zijn op geen stukken na zo betrouwbaar als onze reisdocumenten. Hierdoor kunnen veel ondernemers en landen niet op voorhand vertrouwen op die digitale identiteiten (je weet dan immers niet zeker met wie je te maken hebt) en geven daarom maar extra digitale identiteiten uit die ze zelf wel vertrouwen. Dat is echter omslachtig en zorgt voor het risico dat de burgers te veel digitale identiteiten krijgen, met alle risico’s en gevolgen van dien.
Als overheden voor hun burgers geverifieerde digitale identiteiten afgeven, authenticatiemiddelen certificeren en autorisatie- en machtigenvoorzieningen regelen, dan kan dat alle dienstaanbieders daarvan ontlasten. Dienstaanbieders hoeven dan alleen nog de diensten te regelen met bijbehorende authenticatie-eisen. Bijvoorbeeld welk niveau van authenticatie voor die dienst is vereist.
Ontwikkelingen waar IAM onderdeel van kan worden[bewerken]
Wereldwijd zien we een ontwikkeling waarbij gegevens niet meer worden gekopieerd van de een plek (lees: database) naar de andere, maar waar op basis van het stellen van vragen ("Is deze persoon ouder dan 18 jaar?") een antwoord wordt gegeven (ja, nee) waarmee een dienstveerlener kan besluiten om een dienst wel of juist niet te leveren.
We zien daarbij een stelsel ontstaan van zogenaamde Attribute Service Providers, waar alle gegevens- en informatie-uitwisseling voor de dienstverlening mee kan worden geregeld.
Het lijkt mogelijk dat de attributen die relevant zijn voor IAM straks onderdeel worden van dat stelsel.
Zie plaatje van de presentatie op 20nov18 in de expertgroep IAM.
Overzicht van relevante begrippen[bewerken]
Er zijn veel begrippen die te maken hebben met Identity & Access Management: vaak in het Engels, soms in het Nederlands. We hebben een overzicht gemaakt van begrippen die we zijn tegengekomen in onze discussies en in allerlei bronnen: Begrippen IAM
Daarnaast zijn er diverse bronnen waar nog meer begrippen te vinden zijn:
- Bij het thema Beveiliging: Themapatroon identity & access_management
- Een Begrippenlijst vanuit het stelsel van e-toegang voor burgers en bedrijven
- Het ‘Besluit verwerking persoonsgegevens generieke digitale infrastructuur’ voor burgers, met in Hoofdstuk 1 - Artikel 1 de definities
- De Europese richtlijn 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties, met in Artikel 3 veel definities t/m die over handtekeningen aan toe
Uiteindelijk streven we er naar dat we niet meer zo'n apart overzicht nodig hebben, maar dat alle begrippen zijn opgenomen in ons Begrippenkader en dat ze daar begrijpelijk zijn omschreven en zo mogelijk ook gevisualiseerd via een plaatje met context. Daarmee sluiten we ook aan op initiatieven als Burgerwoordenboeken: artikel ibestuur:burgerwoordenboeken als participatiedocument