Digitale authenticatie van natuurlijke personen bij afname van overheidsdiensten

Uit NORA Online
Versie door Eveliengentis (overleg | bijdragen) op 28 okt 2019 om 13:22 (tekst toegevoegd van Anne Schrijer)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen

Authenticatie van de digitale identiteit

Aanpak[bewerken]

Binnen de NORA Expertgroep IAM is de behoefte geuit aan een verbetering van de teksten op het gebied van Authenticatie van Natuurlijke Personen. Bij Authenticatie(middelen)beheer en Identiteitenbeheer wordt dit nog niet volledig beschreven. Deze pagina bevat een eerste, nog onvolledige, uitwerking daarvan.

Het streven is om een structuur neer te zetten die inzichtelijk maakt welke aspecten beschreven moeten worden en om deze structuur te vullen met teksten die bruikbaar zijn voor mensen met weinig kennis en ervaring met het onderwerp Authenticatie.

Verdere uitwerking van dit document zal in de toekomst opgepakt gaan worden. Voor nu beperken we de uitwerking tot de bevestiging van een digitale identiteit van een natuurlijke personen bij digitale interactie met de Nederlandse Overheid. (De kaders en processen rond het beheer en gebruik van fysieke authenticatiemiddelen (waaronder Nederlandse en Buitenlandse paspoorten) en de visuele controle ervan worden als gegeven beschouwd. De beperking tot Nederlandse Overheid hangt samen met de scope van de NORA.)


De dienst authenticatie[bewerken]

Grondslagenlaag[bewerken]

Voor wettelijk benoemde authenticaties geldt dat een gebruiker zich zal moeten identificeren met een middel dat een gelijk of hoger betrouwbaarheidsniveau heeft als het minimale betrouwbaarheidsniveau van de af te nemen dienst. Het principe hierbij is dat een dienst altijd afgenomen mag worden met een authenticatie middel dat tenminste het zelfde betrouwbaarheidsniveau heeft. Praktische randvoorwaarde is wel dat de dienstleverancier het te gebruiken authenticatiemiddel technisch moet kunnen ondersteunen. Een overheidspartij zal voor de dienstverlening aan een burger een aantal middelen verplicht moeten accepteren, zolang de betrouwbaarheidsniveau van die middelen toereikend is voor het betrouwbaarheidsniveau van de dienst.

Uitgangspunt bij digitale authenticatie: De digitale authenticatie bij het afnemen van een dienst via een digitaal kanaal dient van een gelijk betrouwbaarheidsniveau te zijn als het authenticatie die nodig is om de dienst via een niet digitale weg af te nemen.

De belangrijkste authenticatie middelen voor natuurlijke personen bij de digitale interactie met de overheid zijn DigID en het afsprakenstelsen Electronische toegangsdiensten (AET).

  • Handreiking betrouwbaarheidsniveaus:

- Afsprakenstelsel Betrouwheidsniveus

- Forum Standaardisatie Handreiking Betrouwbaarheidsniveau

- Forum Standaardisatie Betrouwbaarheidsniveaus voor digitale dienstverlening (hoofdstuk 3.3)

  • Normenkader middeluitgifte:

- Afsprakenstelsel Technische specificaties en procedures voor uitgifte van authenticatiemiddelen

  • Meer informatie met betrekking tot de Wettelijke Kaders DigID zijn te vinden op:

- Digid Wet- en regelgeving

- Regeling voorzieningen GDI

  • Meer informatie over de Wettelijke Kaders afsprakenstelsen Electronische toegangsdiensten zijn te vinden op:

- Afsprakenstelsel Juridisch kader

Organisatielaag[bewerken]

De (rol van de) stakeholders bij authenticatie van de digitale identiteit zijn:

”schematische beschrijving van verschillende stakeholders in het authenticatie proces”
Authenticatie Stakeholders

De dienstaanbieder[bewerken]

De dienstverlener zal binnen de eigen organisatie moeten bepalen:

  • Welke dienst/usecases er zijn waarbij er geauthenticeerd moet worden.
  • De minimale betrouwbaarheid waaraan de authenticatie moet voldoen. Zie ook: Hoofdstuk grondslagen - betrouwbaarheidsniveaus
  • Welke doelgroep de dienst gaat afnemen.

- Welke identiteitgegevens er vastgesteld/bevestigd moeten worden (zie ook: Identiteitenbeheer

  • Of de authenticatie met meerdere manieren uitgevoerd moet worden.
  • Hoe actueel de authenticatie moet zijn.
  • Hoe actueel de informatie waartegen gecontroleerd wordt moet zijn.

De authenticatie uitvoerder[bewerken]

  • De authenticatie uitvoerder draagt zorg voor het betrouwbaar uitvoeren van een authenticatie met behulp van een authenticatiemiddel.
  • De authenticatie uitvoerder kan de authenticatie gegevens controleren tegen de bron indien nodig.
  • Zie hoofdstuk applicatielaag – voorzieningen

De authenticatiemiddel verstrekker[bewerken]

  • Draagt zorg voor de betrouwbaarheid van het middel.
  • Controleert bij het uitgeven van het middel de identiteit(gegevens) van de afnemer tegen een autoritatieve Bron.
  • Indien de dienstverlener een eigen middel gebruikt is de dienstverlener daarmee ook de middel verstrekker.

Voor een aantal middelen is bepaald voor welk authenticatie betrouwbaarheidsniveau dat middel gebruikt kan worden. Zie grondslagenlaag.

De autoritieve bron[bewerken]

  • De authoritieve bron draagt zorg om de gegevens waartegen geauthentiseerd wordt betrouwbaar te houden. ( Zie https Identiteitenbeheer )

De afnemer[bewerken]

  • De afnemer kan zelf een keus maken uit de door de dienstleverancier ondersteunde authenticatiemethoden/middelen voor die dienst. De afnemer zal zelf voor een geaccepteerd authenticatie middel moeten zorgen.
  • De afnemer wil ook zekerheid hebben dat de dienstleverende partij wel de partij is die het zegt dat het is. (authentiseren van de dienstleverancier).

Nederlandse Overheid Referentie Architectuur.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Communicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld.

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.

Overgenomen van "https://www.noraonline.nl/index.php?title=Digitale_authenticatie_van_natuurlijke_personen_bij_afname_van_overheidsdiensten&oldid=38699"