Authenticeren: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(link naar kaders)
 
(11 tussenliggende versies door 4 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{#element:
{{#element:
|Elementtype=Generieke_functie
|Elementtype=Generieke_functie
|Beschrijving=Doel van authenticatiemiddelen is om te kunnen vaststellen hoe betrouwbaar een gebruikte digitale identiteit is.<br />
|Titel=Authenticeren
<br />
|Beschrijving===Beschrijving==
Als een gebruiker (burger/bedrijf) bij een publieke of private dienstverlener inlogt, dan wordt via het gebruikte identificatiemiddel nagegaan wie die gebruiker is. De inloggegevens worden daartoe geverifieerd en vergeleken met de gegevens die zijn geregistreerd over reeds bekende gebruikers. Als er een match is, dan is de gebruiker geïdentificeerd (dan is zijn digitale identiteit met een bepaalde zekerheid bekend) en kunnen de identiteitsgegevens mogelijk worden hergebruikt voor andere aan die digitale identiteit gerelateerde gegevens. Deze functie richt zich op betrouwbaarheid van identificatie- en authenticatiemiddelen, niet op het hergebruik van de identiteitsgegevens (dat regelt de generieke functie Regie op gegevens en is een breder domein).<br />
Het ervoor kunnen zorgen dat personen hun digitale identificatiemiddelen kunnen gebruiken om hun identiteit digitaal op een passend betrouwbaarheidsniveau aan te tonen.
De rol van de overheid bij digitale identificatie- en authenticatiemiddelen is vooral kaderstellend, gericht op toezicht en de werking en de betrouwbaarheid van de middelen en het stelsel als geheel.<br />
==Voorbeelden==
De overheid biedt via private en publieke partijen de mogelijkheid om door de overheid uitgegeven administratieve identiteiten (de digitale bron-identiteiten) van burgers en bedrijven te verifiëren. Voor dat verifiëren zijn betrouwbare authenticatiemiddelen nodig (ook wel inlogmiddelen genoemd). De overheid zal die authenticatiemiddelen zelf aanbieden als daarmee de werking, betrouwbaarheid en veiligheid van het digitaal zaken doen wordt bevorderd, of wanneer dit gedreven wordt door relevante Europese en/of internationale ontwikkelingen en standaarden (zoals bijvoorbeeld de internationale luchtvaartstandaarden voor identificatie, ICAO/DTC). De overheid wil echter ook private partijen de mogelijkheid geven om de markt voor authenticatiemiddelen te betreden, zodat ook private inlogmiddelen te gebruiken zijn in het contact tussen burgers en de overheid. Zoals dat reeds mogelijk is in het contact tussen bedrijven en de overheid via het Afsprakenstelsel eHerkenning.
Voorbeelden van bestaande oplossingen voor authenticatie zijn de authenticatievoorzieningen van DigiD, eHerkenning, iDIN, en de UZI-pas.
<br />
==Rationale==
NB. Identificatie en authenticatie liggen dicht tegen elkaar aan, maar is functioneel gezien verschillend en daarom als aparte generieke functie benoemd. Er is daarbij verschil tussen de fysieke wereld en de digitale wereld. Zo bevat een fysiek WID-document gegevens die de identiteit van een persoon weergeven. Aan de hand van de foto op het WID-document kan je verifiëren of het document behoort bij de persoon die voor je staat en dan kan je de identiteitsgegevens (her)gebruiken. In de digitale wereld is slechts het identificatiemiddel in handen van de persoon en zijn de identiteitsgegevens opgenomen in een registratie die zowel bij de dienstverlener zelf kan staan als bij een andere partij (ook wel een Identity Provider genoemd). Als de dienstverlener de identiteitsgegevens wil krijgen, zal de Identity Provider die op basis van een overeenkomst aan de dienstverlener kunnen verstrekken via een digitaal “Identificatiemiddel”.
De overheid moet voorwaarden scheppen zodat burgers en bedrijven veilig, persoonlijk en gebruiksvriendelijk digitale diensten af kunnen nemen. Een noodzakelijke voorwaarde daarvoor is zorgen dat ze hun digitale identificatiemiddelen kunnen gebruiken om toegang te krijgen tot publieke diensten en ook tot diensten buiten het publieke domein.


Afspraak <br />
Verdere rationale voor deze generieke functie is te vinden in:
De overheid organiseert een open samenwerkingsplatform voor het opstellen en beheren van een Afsprakenstelsel Digitaal Vertrouwen (Trust Framework), waarin alle leveranciers van authenticatiemiddelen kunnen meewerken en discussiëren over de te hanteren afspraken, standaarden en voorzieningen.
* Wettelijk kaders A, B, C, D, E, G, H, K, L, M (paragraaf 4.1)
* Beleidskader N (paragraaf 4.2)


Afspraak <br />
Maatschappelijke en technische ontwikkelingen die van invloed zijn op deze generieke functie zijn: O, P, Q, R, S, T, U (paragraaf 4.3).
De overheid zal als dienstverlener alle publieke en private authenticatiemiddelen accepteren die voldoen aan dat Trust Framework.
==Implicaties==
<ol style="list-style-type:lower-alpha">
<li>De dienstverlener moet de handelend persoon in staat stellen zijn toegelaten identificatiemiddelen te gebruiken en moet deze ook accepteren.</li>
<li>De dienstverlener moet in staat worden gesteld om het identificatiemiddel te (laten) verifiëren. Deze verificatie kent de volgende stappen: verificatie van de echtheid van het middel, de geldigheid van het middel, het betrouwbaarheidsniveau van het middel en de identiteit van de gebruiker. Dit zijn generiek ook de stappen die bij cryptografie gedaan worden.</li>
<li>Dienstverleners moeten het voor hun dienstverlening benodigde betrouwbaarheidsniveau van authenticatie vaststellen en aangeven/toepassen bij het verlenen van toegang. </li>
<li>Authenticatie gaat gepaard met identificatie; er moeten duidelijke afspraken komen welke gegevens -- onder voorwaarden -- voor identificatie beschikbaar (kunnen) worden gesteld bij een authenticatie.</li>
<li>Authenticatie dient als basis geschikt te zijn en gebruikt te worden voor de overige beoordelingen bij het verlenen van toegang, zoals het beoordelen van de bevoegdheden van de handelend persoon.</li>
</ol>
==Documentatie==
* [[Bestand:GA Identificatie en authenticatie.pdf|GA Identificatie en authenticatie]]
==Kaders==
Deze kaders zijn bepalend voor Identificatie en authenticatie.
* [[Algemene_Wet_Bestuursrecht|Algemene wet bestuursrecht]]
* [[EIDAS_verordening|eIDAS-verordening]]
* [[Wet_Digitale_Overheid|Wet digitale overheid]]
* [[AVG_(Algemene_Verordening_Gegevensbescherming)|Algemene verordening gegevensbescherming]]


Voorziening <br />
''(Bovenstaande opsomming is een beperkte selectie uit de kaders genoemd in het document)''
De overheid biedt alle personen en rechtspersonen waaraan een DBI is toegekend, tenminste één authenticatiemiddel per betrouwbaarheidsniveau waarmee ze hun eigen identiteit kunnen bewijzen. DigiD is zo’n authenticatiemiddel. Dit impliceert dat verstrekking ook aan niet-Nederlanders zal geschieden. Voorheen is vernomen (onder meer door de SVB), dat BZK voornemens is om het authenticatiemiddel DigiD Substantieel alleen beschikbaar te stellen voor Nederlanders. Als dat komt omdat DigiD Substantieel nu alleen werkt met een Nederlands WID, dan zou een aanpassing van de regelgeving nodig zijn om ook niet-Nederlanders van DigiD substantieel te voorzien (als niet-Nederlander kan je er dus wel gebruik van maken als je een Nederlands rijbewijs hebt). Met het voorliggende voorstel wordt het wel mogelijk dat de SVB diensten aan niet-Nederlanders kan gaan leveren op basis van het authenticatiemiddel DigiD Substantieel of DigiD Hoog. Dat zou een goede vooruitgang zijn. Dan ligt nog wel de vraag voor wie dat gaat regelen en op welke termijn dat beschikbaar is.
==Toelichting relaties==
 
De bestaande GDI-voorzieningen die hieronder zijn opgenomen onder ‘Gerealiseerd door' realiseren delen van de generieke functies van het GA-domein. Deze bestaande voorzieningen kunnen afwijken van de keuzes die voor het GA-domein zijn gemaakt.
Afspraak <br />
|Status actualiteit=Actueel
Voor elk soort authenticatiemiddel wordt het betrouwbaarheidsniveau vastgesteld en dat wordt publiekelijk gepubliceerd opdat alle betrokken partijen daar gebruik van kunnen maken.
|Is gerelateerd aan=Identificatie en Authenticatie van burgers en bedrijven
<br />
|Vastgesteld in=Programmeringsraad GDI
Deze betrouwbaarheidsniveau’s kunnen worden bepaald o.b.v. de AMvB van de WDO die recent door BZK is opgeleverd.
|Heeft bron=GO Identificatie en Authenticatie
 
Voorziening <br />
Aanvullend daaraan zal er een mogelijkheid zijn om te controleren of een (specifiek) authenticatiemiddel wel of niet mag worden gebruikt (omdat het in onderzoek is, of ingetrokken oid.).
 
Voorziening <br />
Om efficiënt om te gaan met al deze mogelijke authenticatiemiddelen, kunnen “routerings” voorzieningen worden ingezet die de verschillende authenticatiemiddelen van de gebruikers kunnen verwerken en meer standaardiserende en uniformerende aansluitingen verzorgen naar de dienstverleners (overheidsorganisaties en private partijen).
 
Standaarden <br />
Alle inlogmiddelen van de overheid moeten gebruik maken van BSN-gebaseerde pseudoniemen. Deze stelling zou je bijna kunnen afleiden uit de Wabb, waarin is bepaald dat een burger (en overigens zijn ambtenaren ook burgers, maar dan met een specifieke rol) het recht heeft om het BSN te gebruiken in contact met de overheid. De Autoriteit Persoonsgegevens heeft voorheen (in 2011) geoordeeld dat het BSN niet voor en door ambtenaren gebruikt zou mogen worden. Met een pseudonimisering van het BSN kan het euvel dat daarmee de privacy van de persoon kan worden geschaad, worden verholpen.
 
Voorziening <br />
Wat betreft de huidige voorziening BSNk zal aanpassing nodig zijn om die in lijn te brengen met Europese en Internationale standaarden en voorzieningen.
 
Afspraak <br />
De overheid is nu erg gericht op het verwerken van digitale identiteiten via het BSN.<br />
Gezien de wereldwijde ontwikkelingen van Self Sovereign Identity (SSI) en Decentralized Identities (DID’s), zou de overheid zich wellicht beter ook gaan voorbereiden op het kunnen omgaan met digitale identiteiten die niet zijn gebaseerd op het BSN. Daarbij is het nodig vooral te kijken naar mogelijkheden i.p.v. uitsluitingen. Dus niet iets met Wet- en regelgeving verbieden, maar aangeven wat geregeld wordt en open laten wat daarnaast allemaal mogelijk is.
|Status actualiteit=Concept
|Is gerelateerd aan=Identity en Access Management
|Heeft bron=PC GO - werkgroep IenA1
}}
}}
[[Categorie:Gemeenschappelijke Overheidsarchitectuur (GO)]]
[[Categorie:GDI-Architectuur (GA)]]

Huidige versie van 20 sep 2022 om 15:24


Elementtype
Generieke functie
ID
Status
Actueel
Bron
GA Identificatie en Authenticatie
Vastgesteld in
Programmeringsraad GDI

Beschrijving

Het ervoor kunnen zorgen dat personen hun digitale identificatiemiddelen kunnen gebruiken om hun identiteit digitaal op een passend betrouwbaarheidsniveau aan te tonen.

Voorbeelden

Voorbeelden van bestaande oplossingen voor authenticatie zijn de authenticatievoorzieningen van DigiD, eHerkenning, iDIN, en de UZI-pas.

Rationale

De overheid moet voorwaarden scheppen zodat burgers en bedrijven veilig, persoonlijk en gebruiksvriendelijk digitale diensten af kunnen nemen. Een noodzakelijke voorwaarde daarvoor is zorgen dat ze hun digitale identificatiemiddelen kunnen gebruiken om toegang te krijgen tot publieke diensten en ook tot diensten buiten het publieke domein.

Verdere rationale voor deze generieke functie is te vinden in:

  • Wettelijk kaders A, B, C, D, E, G, H, K, L, M (paragraaf 4.1)
  • Beleidskader N (paragraaf 4.2)

Maatschappelijke en technische ontwikkelingen die van invloed zijn op deze generieke functie zijn: O, P, Q, R, S, T, U (paragraaf 4.3).

Implicaties

  1. De dienstverlener moet de handelend persoon in staat stellen zijn toegelaten identificatiemiddelen te gebruiken en moet deze ook accepteren.
  2. De dienstverlener moet in staat worden gesteld om het identificatiemiddel te (laten) verifiëren. Deze verificatie kent de volgende stappen: verificatie van de echtheid van het middel, de geldigheid van het middel, het betrouwbaarheidsniveau van het middel en de identiteit van de gebruiker. Dit zijn generiek ook de stappen die bij cryptografie gedaan worden.
  3. Dienstverleners moeten het voor hun dienstverlening benodigde betrouwbaarheidsniveau van authenticatie vaststellen en aangeven/toepassen bij het verlenen van toegang.
  4. Authenticatie gaat gepaard met identificatie; er moeten duidelijke afspraken komen welke gegevens -- onder voorwaarden -- voor identificatie beschikbaar (kunnen) worden gesteld bij een authenticatie.
  5. Authenticatie dient als basis geschikt te zijn en gebruikt te worden voor de overige beoordelingen bij het verlenen van toegang, zoals het beoordelen van de bevoegdheden van de handelend persoon.

Documentatie

Kaders

Deze kaders zijn bepalend voor Identificatie en authenticatie.

(Bovenstaande opsomming is een beperkte selectie uit de kaders genoemd in het document)

Toelichting relaties

De bestaande GDI-voorzieningen die hieronder zijn opgenomen onder ‘Gerealiseerd door' realiseren delen van de generieke functies van het GA-domein. Deze bestaande voorzieningen kunnen afwijken van de keuzes die voor het GA-domein zijn gemaakt.


Gerelateerde generieke functies



Gerealiseerd door

Standaarden

Principes

Visualisatie relaties

debugging

Graphviz DOT-code voor de visualisatie

digraph GRAPHNAAM{
graph [size="17,55",overlap=prism, overlap_scaling=0.21, ratio=compress, rankdir="LR", ranksep=0.01,nodesep=0.21]
node [shape=note];
/* Inkomende relaties. Relatie=Is gerelateerd aan, Label=, Bronpagina=Authenticeren */
8716 [URL="[[Authenticeren]]", label="Authenticeren"]

{ } -> 8716 [label="", arrowhead=lvee, arrowtail=none, dir=both]


8716 [URL="[[Authenticeren]]", label="Authenticeren"]
8722 [URL="[[Identificatie en authenticatie]]", label="Identificatie en authenticatie"]
8716 -> { 8722} [label="is gerelateerd aan", arrowhead=lvee, ]
/* Inkomende relaties. Relatie=omvat, Label=onderdeel van, Bronpagina=Authenticeren */
8716 [URL="[[Authenticeren]]", label="Authenticeren"]

{ } -> 8716 [label="onderdeel van", arrowhead=none, arrowtail=odiamond, dir=both]





/* Inkomende relaties. Relatie=Realiseert, Label=realiseert, Bronpagina=Authenticeren */
8716 [URL="[[Authenticeren]]", label="Authenticeren"]

{ } -> 8716 [label="realiseert", arrowhead=onormal, style="dotted", arrowtail=none, dir=both]
}

Oude visualisatie

black: Is gerelateerd aan
red: Vastgesteld in

Gerelateerde onderwerpen

Past toe
Wordt toegepast in


Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Authenticeren&oldid=63306"