Digitale authenticatie van natuurlijke personen bij afname van overheidsdiensten
- Onderdeel van
- Thema's
- Contact
- Harro Kremer
- harro.kremer@jio.nl
- Status
- Actueel
Authenticatie van de digitale identiteit
Aanpak[bewerken]
Binnen de NORA Expertgroep IAM is de behoefte geuit aan een verbetering van de teksten op het gebied van Authenticatie van Natuurlijke Personen[1]. Deze pagina bevat een eerste, nog onvolledige, uitwerking daarvan.
Het streven is om een structuur neer te zetten die inzichtelijk maakt welke aspecten beschreven moeten worden en om deze structuur te vullen met teksten die bruikbaar zijn voor mensen met weinig kennis en ervaring met het onderwerp Authenticatie.
Verdere uitwerking van dit document zal in de toekomst opgepakt gaan worden. Voor nu beperken we de uitwerking tot de bevestiging van een digitale identiteit van een natuurlijke personen bij digitale interactie met de Nederlandse Overheid.
(NB: De kaders en processen rond het beheer en gebruik van fysieke authenticatiemiddelen (waaronder Nederlandse en Buitenlandse paspoorten) en de visuele controle ervan worden als gegeven beschouwd. De beperking tot Nederlandse Overheid hangt samen met de scope van de NORA.)
De dienst authenticatie[bewerken]
Authenticatie is definieert als: Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.
Authenticatie bij een overheidsdienst (die meestal in de vorm van een webdienst beschikbaar gesteld worden) vindt als volgt in de praktijk plaats: De natuurlijke persoon bezoekt de digitale dienst. Als de dienst authenticatie nodig vindt, dan wordt de gebruiker gevraagd om zijn identiteit aan te geven door het gebruik van een vertrouwde authenticatie dienst. Als de overheidsdienst meerdere authenticatiemiddelen ondersteund met de minimaal vereiste betrouwbaarheid dan ligt de keuze voor het middel bij de gebruiker. Het uitlezen van de gegevens uit een wettelijk identiteitsbewijs kan ook worden gezien als een authenticatiedienst.
Grondslagenlaag[bewerken]
Voor het gebruik van digitale diensten bij de overheid geldt dat voor een deel van de handelingen daarbij bij wet is geregeld op welke manieren en met welke minimale betrouwbaarheid de persoon zich moet authenticeren om van een dienst gebruik te kunnen maken. Het belang van de overheidsorganisatie is hierbij dat zij de identiteit van de betrokken persoon met voldoende nauwkeurigheid kan vaststellen. In de niet-digitale wereld zijn hiervoor kaders beschikbaar; voor het gebruik van overheidsdiensten zou het voor de authenticatie niet moeten uitmaken of het gebruik in de digitale en niet-digitale wereld plaats vindt.
Uitgangspunt: De digitale authenticatie bij het afnemen van een dienst via een digitaal kanaal dient van een gelijk betrouwbaarheidsniveau te zijn als het authenticatie die nodig is om de dienst via een niet digitale weg af te nemen.
De in de wet genoemde middelen om de identiteit van personen vast te stellen zijn nauwelijks geschikt voor authenticatie bij overheidsdiensten door het ontbreken bij natuurlijke personen van middelen om de identiteit (zoals op de RFC chip) zijn opgeslagen over te dragen aan een digitale dienst (die meestal in de vorm van een webdienst wordt aangeboden). Er zijn daarom andere authenticatie middelen geïntroduceerd om een natuurlijk persoon gebruik te laten maken van digitale diensten.
Er zijn op dit moment verschillende authenticatiemiddelen technisch beschikbaar, enkele voorbeelden hiervan zijn DigID, iDin; ook kunnen Google of Facebook accounts gezien worden als authenticatiemiddel. Deze middelen variëren in de mate van betrouwbaarheid waarmee ze de natuurlijke persoon identificeren. De overheid stelt per dienst eisen op aan het betrouwbaarheidsniveau en vertaalt dit naar de authenticatiemiddelen die zijn toestaat. Het uitgifte proces van deze middelen bepaalt de zekerheid waarmee de identiteit in het digitale middel overeenkomt met zijn identiteit als natuurlijk persoon. De betrouwbaarheid van een authenticatiemiddel komt overeen met een mate van zekerheid. Verschillen in uitgifte processen leiden tot verschillen in betrouwbaarheid.
Bij gebruik van overheidsdiensten op een niet-digitale wijze vraagt de overheid aan de persoon om zijn identiteit aan te tonen met een wettelijk identiteitsbewijs (paspoort, rijbewijs, etc). In lijn met het hierboven genoemde uitgangspunt maken de uitgifte processen van digitale authenticatiemiddelen gebruik van deze wettelijke identiteitsbewijzen. Het digitale authenticatiemiddel fungeert daarbij als een digitaal equivalent van het identiteitsbewijs.
| Identificatie en BSN | |
| Betrouwbaarheidsniveau |
|
Er zijn op dit moment twee en in de toekomst meerdere stelsels die gebruik kunnen worden voor authenticatie van natuurlijke personen. In de tabel is Idensys niet opgenomen omdat de pilot daarmee in 2018 is gestopt. STORK / ISO29015 is niet opgenomen omdat deze grotendeels opgevolgd zijn door eIDAS. Het is de verwachting dat de Wet Digitale Overheid aanvullende authenticatiemiddel zal gaan toestaan.
| DigID |
|
| eHerkenning | |
| eIDAS | |
| private middelen (WDO) |
|
Natuurlijke personen identificeren zich op dit moment uitsluitend met hun BSN (mogelijk gaat dit door de WDO veranderen). Voor het BSN geldt dat deze alleen gebruikt mag worden als de wetgever dit expliciet heeft bepaald. Op wetten.nl zijn daarom meerdere regelingen die voor een dienst het gebruik van DigID verplicht stellen.
Organisatielaag[bewerken]
Er zijn verschillende organisatiemodellen die gebruikt worden bij authenticatie. De meeste uitgebreide is die van het Afsprakenstelsel Electronische Toegang (eHerkenning); deze staat hieronder beschreven. De tabel eronder legt de relatie met de andere authenticatie middelen.
| Dienstafnemer | Gebruiker van de dienst. Hier: natuurlijk persoon die een dienst afneemt van de overheid. De Dienstafnemer kan zelf een keus maken uit de door de dienstleverancier ondersteunde authenticatiemethoden/middelen voor een dienst. De afnemer zal zelf voor een geaccepteerd authenticatie middel moeten zorgen door deze bij een Middelenuitgever aan te vragen. |
| Dienstverlener (DV) | De dienstaanbieder is een (overheids) organisatie die een dienst aanbied, waarbij authenticatie van de dienstafnemer van belang is. De dienst kan geleverd worden door de dienstaanbieder zelf uitbesteed zijn aan een dienstaanbeider (DA). De dienstaanbieder bepaalt wanneer authenticatie nodig is en het betrouwbaarheidsniveau daarbij. Zie bij XXX perspectief. |
| Authenticatiemiddel | Een drager van een set attributen met een bekend betrouwbaarheidsniveau. |
| Middelenuitgever (MU) | Organisatie die authenticatiemiddelen uitgeeft conform het vereiste betrouwbaarheidsniveau. Hij controleert bij het uitgeven van het middel de identiteit(gegevens) van de afnemer tegen een autoritatieve Bron. Indien de dienstverlener een eigen middel gebruikt is de Middelenuitgever daarmee ook de Authenticatiedienst. |
| Basisregister (Autoratieve Bron) | De bron waaruit de attributen op het Authenticatiemiddel afkomstig zijn. |
| Authenticatiedienst (AD) | De organisatie die op verzoek van de dienstaanbieder de feitelijke authenticatie uitvoert en daarbij controleert of het authenticatiemiddel (dat door de dienstafnemer is gepresenteerd) nog valide is. Indien nodig kan de autoritatieve bron geraadpleegd worden. Indien de dienstverlener een eigen middel gebruikt is de Authenticatiedienst ook de Middelenuitgever. |
Dit generieke model kent op dit moment (medio 2020) de onderstaande invullingen.
| Middelenuitgever | Basisregister | Authenticatiedienst | |
|---|---|---|---|
| DigID | Logius | BRP (Basisregistratie Personen) | Logius |
| eHerkenning | Meerdere marktpartijen | BRP | Meerdere marktpartijen |
| eIDAS | land specifiek | land specifiek | NL eIDAS node |
Informatielaag[bewerken]
De informatielaag bevat 3 deelgebieden
- Informatie binnen de afgenomen dienst. Authenticatie is een van de onderdelen van de adequate beveiliging van deze informatie. Zowel de karakteristieken van de informatie als de handelingen die met de informatie gedaan (inzien, wijzigen) worden bepalen het gewenste betrouwbaarheidsniveau en limiteert de keuze aan beschikbare authenticatiemiddelen.
- Informatie binnen de het basisregister.
- Informatie binnen het authenticatie middel afkomstig uit de authentieke bron. Deze informatie wordt bij authenticatie overgedragen aan de dienstafnemer. Op dit punt zijn er verschillen tussen de authenticatiemiddelen.
Toelichting:
- De handeling met de informatie betreft het onderscheid tussen informatie inzien en wijzigen.
- De positie van de handeling in het proces van dienstgebruik. Niet voor alle handelingen binnen een dienst is altijd hetzelfde betrouwbaarheidsniveau vereist.
- De juridische status van informatie betreft het iets zowel de overheid als de natuurlijke personen rechten aan kunnen ontlenen. Hierbij kan ook worden meegewogen of het juridisch aspect onherroepelijk is.
- De risico's betreffen het belang als er misbruik van de informatie wordt gemaakt door derden. Hieronder valt zowel het voordoen als de dienstafnemer (identiteitsfraude) als het gebruiken van informatie die niet had mogen worden ingezien.
De bij grondslagen genoemde handreikingen bieden op dit moment een beperkte bruikbaarheid. Organisatie moeten daarom specifiek nadenken op het niveau van handelingen tijdens het afnemen van de dienst:
- Wanneer zijn aanvullende maatregelen nodig bij authenticatie binnen een dienst (in de vorm van extra verificaties tijdens afname van de dienst)
- Wanneer zijn lichtere maatregelen mogelijk (draagt bij aan gebruikersgemak). Hierbij zou een niveau-1 middel zoals gedefinieerd in binnen ISO 29115 een rol kunnen spelen.
- De authoratieve bron van de identiteit; voor Nederlandse burgers is dat de BRP; bij buitenlanders is de betrouwbaarheid van de bron soms lager dan van het BRP.
- Zijn er natuurlijke personen die van de dienst gebruik MOETEN kunnen maken maar geen van de toegestane authenticatie middelen hebben?
Er zijn richtlijnen die hierbij kunnen helpen
- [https://www.forumstandaardisatie.nl/sites/bfs/files/atoms/files/Betrouwbaarheidsniveaus_voor_digitale_dienstverlening_v4.PDF/ Betrouwbaarheidsniveaus_voor_digitale_dienstverlening0 (Forum Standaardisatie)
- Voorbeelden van diensten en betrouwbaarheidsniveaus (eHerkenning).
Onderstaande tabel geeft aan welke attributen bij welk authenticatiemiddel worden overgedragen en wat de betrouwbaarheidsniveau's zijn. Het betrouwbaarheidsnivea wordt sterk bepaald door het uitgifte proces. Hierdoor kan gebruikersnaam+wachtwoord+SMS zowel een EH2 als EH3 niveau leveren.
| Betrouwbaarheidsniveau's | Attributen | Optionele attributen | |
|---|---|---|---|
| DigID | Basis (gebruikersnaam+wachtwoord) Midden (DigID App of gebruikersnaam+wachtwoord+SMS) Substantieel (ID check op paspoort, rijbewijs of identiteitskaart) Hoog (PKI certificaat) | BSN Nummer | Bij machtigen -dienst -vertegenwoordigde |
| eHerkenning (personen) | EH 1(gebruikersnaam, wachtwoord) EH 2(gebruikersnaam, wachtwoord) EH2+ (gebruikersnaam, wachtwoord, SMS) EH3 (gebruikersnaam, wachtwoord, SMS/pincode) | ||
| eIDAS | Identificatiecode huidige familienaam(en) huidige voornaam(en) geboortedatum | familienaam(en) bij geboorte voornaam(en) bij geboorte huidig adres geslacht |
De details van de uitgifte processen binnen de stelsels verschillen onderling waardoor een exacte vergelijking van de niveau's van de middelen niet te maken is. Onderstaande tabel geeft een indicatie van vergelijkbaarheid van de authenticatiemiddelen.
| nog in | te vullen; |
Applicatielaag[bewerken]
Deze pagina richt zich op de behoeftes vanuit dienstafnemers. Omdat er in bijna alle geval gebruik gemaakt wordt van authenticatiediensten wordt deze sectie voorlopig leeg gelaten.
Netwerklaag[bewerken]
Deze pagina richt zich op de behoeftes vanuit dienstafnemers. Omdat er in bijna alle geval gebruik gemaakt wordt van authenticatiediensten en de netwerklaag inrichting per authenticatiedienst kan verschillen wordt deze sectie voorlopig leeg gelaten.
Koppelvlakken[bewerken]
Koppelvlak routeringsvoorziening Logius (Identity Bridge van de Belastingdienst in 'plus versie')[bewerken]
De routeringsvoorziening start met het DigiD SAML-koppelvlak. Hierop komen DigiD en eIDAS (met alleen BSN, dus zonder attributen) beschikbaar. Er wordt gewerkt aan de definitie van een OIDC-koppelvlak waarmee aanvullende attributen, machtigen en aanvullend middel(en) kunnen worden ontsloten. De planning hiervan is niet duidelijk. Er is een globale fasering weergegeven over de komende jaren.
Koppelvlak routeringsvoorziening TVS[bewerken]
Het zorgveld beproefd een eigen routeringsvoorziening, de TVS. De TVS maakt gebruik van een SAML-'plus' koppelvlak. Een specifiek voor de TVS ontwikkeld koppelvlak op basis van SAML. Dit koppelvlak maakt het mogelijk om naast DigiD, ook andere middelen en machtigen te ontsluiten.
Koppelvlak DigiD Machtigen[bewerken]
Het huidige DigiD Machtigen bestaat al een tijd en kent een eigen koppelvlak gebaseerd op SAML. Hiervan is aangegeven dat dit koppelvlak ‘end of life’ is. Bij de introductie van de nieuwe machtigingsvoorziening (het stelsel van vertegenwoordiging, met een nieuw koppelvlak) wordt dit bestaande koppelvlak op termijn uitgefaseerd. Het bestaande koppelvlak is namelijk niet geschikt om de nieuwe functionele toepassingen van het nieuwe stelsel te ontsluiten richting de gemeente. Het advies is derhalve hier nu al niet meer op aan te sluiten, tenzij zeer weloverwogen en met urgent belang. Waar moet een gemeente dan wel op aansluiten om snel aan de slag te kunnen met machtigen? Direct op het nieuwe koppelvlak voor machtigen, of wachten op de routeringsvoorziening? Wanneer ontsluit die routeringsvoorziening machtigen? Hierover is al aangegeven dat dit alleen wordt ontsloten via het nieuwe koppelvlak op de routeringsvoorziening gebaseerd op de OIDC-standaard. Vooralsnog is er voor machtigen geen alternatief voor handen anders dan het terug vallen op een papieren proces.
Koppelvlak 'stelsel van vertegenwoordiging' (de nieuwe machtigingsvoorziening)[bewerken]
Aansluiten op het stelsel van vertegenwoordiging kan op termijn op de zogenoemde 'Bevoegdheidsverklaringsdienst'. Hiervoor wordt een eigen SAML-koppelvlak ontwikkeld. Voor pilotdoeleinden komt een eerste versie in 2019 beschikbaar. Later volgen ook de specificaties voor een OIDC-koppelvlak is de planning. Partijen kunnen dan mogelijk kiezen welk koppelvlak men toepast. Onbekend is of beide koppelvlakken straks volledig dezelfde functionaliteit ondersteunen en hoe lang het SAML-koppelvlak wordt ondersteund. De beide routeringsvoorzieningen kunnen ook aansluiten op dit koppelvlak (SAML en later ook OIDC), waardoor aangesloten partijen op de routeringsvoorziening alleen het koppelvlak van de routeringsvoorziening hoeven te implementeren (en zich niet meer druk hoeven te maken om het koppelvlak van de bevoegdheidsverklaringsdienst). Alleen: wanneer is dit beschikbaar en kan/wil men hierop wachten? (met het risico dat het OIDC-koppelvlak op de routeringsvoorziening veel langer op zich laat wachten dan voorspelt).
Koppelvlak ETD[bewerken]
Het afsprakenstelsel Elektronische Toegangsdiensten kent een eigen, op SAML gebaseerd, koppelvlak. Het zou goed zijn om te onderzoeken of hergebruik kan worden gemaakt van deze koppelvlakdefinities. Is het logisch om de makelaars binnen het ETD een ander koppelvlak te laten ondersteunen dan de routeringsvoorziening(en) en de machtigingsregisters een ander koppelvlak dan de machtigingsvoorziening (stelsel van vertegenwoordiging)? Over de ETD-koppelvlakken is al goed nagedacht en zijn bovendien breed geïmplementeerd (ook bij gemeenten). Alleen kent ETD nog geen concrete plannen om over te stappen op de OIDC-standaard, wat wel weer de strategie is bij de andere genoemde voorzieningen.
Authenticatie binnen een proces (Praktijkvoorbeeld)[bewerken]
Dit is een uitwerking die uitlegt hoe authenticatie in de praktijk plaats ongeveer plaats vindt. Hij is gebaseerd op het aanvragen door een burger van een kapvergunning bij een grote gemeente in de Randstad.<<misschien TODO: verifieren bij de gemeente of onderstaande klopt en vragen wat haar overwegingen waren>>
| Handelingen | Toelichting |
|---|---|
| De burger bezoekt de website van de gemeente. | Dit is openbare informatie; de gemeente vraagt niet aan de gebruiker om zich te authenticeren. |
| De burger heeft de informatie gelezen en klikt op een link om de aanvraag te starten. De gebruiker wordt doorgeleid naar het omgevingsloket en moet zich daar authenticeren met een DigID. Vervolgens vult hij zijn aanvraag in, voegt bijlagen toe en verzend de aanvraag. Bij de aanvraag zijn email en telefoonnummer ingevuld. |
Het doen van de aanvraag is een handeling met juridische relevantie; daarom wordt formele authenticatie vereist waarbij DigID 2 het minimale betrouwbaarheidsniveau is. Het omgevingsloket ondersteunt meerdere authenticatiemiddelen:
|
| De gemeente heeft vragen en stelt deze per mail en telefoon | Qua authenticatie is het voldoende dat de burger zijn naam telefonisch bevestigd of referentie aan de zaak in de mail opneemt. De uitgewisselde informatie heeft geen juridische relevantie; extra bijlagen moeten wel via het omgevingsloket worden toegevoegd. |
| De gemeente stelt de beschikking op en plaatst deze een door gemeente gekozen berichtenbox. De gebruiker ontvangt zowel een link per mail als een SMS met een code. | De informatie heeft een juridische betekenis dus authenticatie is vereist. Er is sprake van 2-factor authenticatie waarbij de gemeente feitelijk het uitgifte proces doet. Het betrouwbaarheidsniveau is hierbij niet gestandaardiseerd. |