Digitale authenticatie van natuurlijke personen bij afname van overheidsdiensten

Uit NORA Online
Versie door Eveliengentis (Overleg | bijdragen) op 28 okt 2019 om 12:22 (tekst toegevoegd van Anne Schrijer)

(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken

Authenticatie van de digitale identiteit

Aanpak

Binnen de NORANederlandse Overheid Referentie Architectuur Expertgroep Digitale identificatie en authenticatie is de behoefte geuit aan een verbetering van de teksten op het gebied van Authenticatie van Natuurlijke Personen. Bij Authenticatie_in_de_praktijk en Identiteitenbeheer wordt dit nog niet volledig beschreven. Deze pagina bevat een eerste, nog onvolledige, uitwerking daarvan.

Het streven is om een structuur neer te zetten die inzichtelijk maakt welke aspecten beschreven moeten worden en om deze structuur te vullen met teksten die bruikbaar zijn voor mensen met weinig kennis en ervaring met het onderwerp Authenticatie.

Verdere uitwerking van dit document zal in de toekomst opgepakt gaan worden. Voor nu beperken we de uitwerking tot de bevestiging van een digitale identiteit van een natuurlijke personen bij digitale interactie met de Nederlandse Overheid. (De kaders en processen rond het beheer en gebruik van fysieke authenticatiemiddelen (waaronder Nederlandse en Buitenlandse paspoorten) en de visuele controle ervan worden als gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat beschouwd. De beperking tot Nederlandse Overheid hangt samen met de scope van de NORANederlandse Overheid Referentie Architectuur.)


De dienst authenticatie

Grondslagenlaag

Voor wettelijk benoemde authenticaties geldt dat een gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem zich zal moeten identificeren met een middel dat een gelijk of hoger betrouwbaarheidsniveau heeft als het minimale betrouwbaarheidsniveau van de af te nemen dienst. Het principe hierbij is dat een dienst altijd afgenomen mag worden met een authenticatie middel dat tenminste het zelfde betrouwbaarheidsniveau heeft. Praktische randvoorwaarde is wel dat de dienstleverancier het te gebruiken authenticatiemiddel technisch moet kunnen ondersteunen. Een overheidspartij zal voor de dienstverlening aan een burger een aantal middelen verplicht moeten accepteren, zolang de betrouwbaarheidsniveau van die middelen toereikend is voor het betrouwbaarheidsniveau van de dienst.

Uitgangspunt bij digitale authenticatie: De digitale authenticatie bij het afnemen van een dienst via een digitaal kanaalCommunicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld. dient van een gelijk betrouwbaarheidsniveau te zijn als het authenticatie die nodig is om de dienst via een niet digitale weg af te nemen.

De belangrijkste authenticatie middelen voor natuurlijke personen bij de digitale interactie met de overheid zijn DigID en het afsprakenstelsen Electronische toegangsdiensten (AET).

  • Handreiking betrouwbaarheidsniveaus:

- Afsprakenstelsel Betrouwheidsniveus

- Forum Standaardisatie Handreiking Betrouwbaarheidsniveau

- Forum Standaardisatie Betrouwbaarheidsniveaus voor digitale dienstverlening (hoofdstuk 3.3)

  • Normenkader middeluitgifte:

- Afsprakenstelsel Technische specificaties en procedures voor uitgifte van authenticatiemiddelen

  • Meer informatie met betrekking tot de Wettelijke Kaders DigID zijn te vinden op:

- Digid Wet- en regelgeving

- Regeling voorzieningen GDI

  • Meer informatie over de Wettelijke Kaders afsprakenstelsen Electronische toegangsdiensten zijn te vinden op:

- Afsprakenstelsel Juridisch kader

Organisatielaag

De (rol van de) stakeholders bij authenticatie van de digitale identiteit zijn:

”schematische beschrijving van verschillende stakeholders in het authenticatie proces”
Authenticatie Stakeholders

De dienstaanbieder

De dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) zal binnen de eigen organisatie moeten bepalen:

  • Welke dienst/usecases er zijn waarbij er geauthenticeerd moet worden.
  • De minimale betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. waaraan de authenticatie moet voldoen. Zie ook: Hoofdstuk grondslagen - betrouwbaarheidsniveaus
  • Welke doelgroep de dienst gaat afnemen.

- Welke identiteitgegevens er vastgesteld/bevestigd moeten worden (zie ook: Identiteitenbeheer#Organisatielaag

  • Of de authenticatie met meerdere manieren uitgevoerd moet worden.
  • Hoe actueel de authenticatie moet zijn.
  • Hoe actueel de informatie waartegen gecontroleerd wordt moet zijn.

De authenticatie uitvoerder

  • De authenticatie uitvoerder draagt zorg voor het betrouwbaar uitvoeren van een authenticatie met behulp van een authenticatiemiddel.
  • De authenticatie uitvoerder kan de authenticatie gegevens controleren tegen de bron indien nodig.
  • Zie hoofdstuk applicatielaag – voorzieningen

De authenticatiemiddel verstrekker

  • Draagt zorg voor de betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. van het middel.
  • Controleert bij het uitgeven van het middel de identiteit(gegevens) van de afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. tegen een autoritatieve Bron.
  • Indien de dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) een eigen middel gebruikt is de dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers) daarmee ook de middel verstrekker.

Voor een aantal middelen is bepaald voor welk authenticatie betrouwbaarheidsniveau dat middel gebruikt kan worden. Zie grondslagenlaag.

De autoritieve bron

  • De authoritieve bron draagt zorg om de gegevens waartegen geauthentiseerd wordt betrouwbaar te houden. ( Zie https Identiteitenbeheer )

De afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.

  • De afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. kan zelf een keus maken uit de door de dienstleverancier ondersteunde authenticatiemethoden/middelen voor die dienst. De afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. zal zelf voor een geaccepteerd authenticatie middel moeten zorgen.
  • De afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. wil ook zekerheid hebben dat de dienstleverende partij wel de partij is die het zegt dat het is. (authentiseren van de dienstleverancier).