Eigenschap:Beschrijving

Ruwe aantekeningen. [[media:Basiswaarden Afstemmingsoverleg 2.pdf|Presentatie (PDF, 748 kB)]] is helaas niet toegankelijk aangeleverd. Neem contact op met [mailto:nora@ictu.nl?subject=toegankelijke%20versie%20presentatie%20Basiswaarden%20Afstemmingsoverleg%201.pdf nora@ictu.nl] als dat problemen oplevert, dan zoeken we samen een oplossing. ==Algemeen voor alle uitwerkingen == * Werk omzetten naar het vaste template format (indien dat nog niet gebeurd is) * Bronvermelding aan het einde van de template (verwijzingen naar Beleidskaders ect.) * AP’s kunnen betrekking hebben op alle lagen van het Vijflaagsmodel en meerdere Kernwaarden. ==Extra opmerkingen== Jan van Bon: Kernwaarden zijn geen begrippen met een discrete dimensie. Hier lopen minimaal 3 dimensies doorheen (relatie, doel kwaliteit). Het is onmogelijk dat de begrippen niet overlappen. ==Vertrouwen== * Vraag: Vertrouwen -> Betrouwbaar (consistent met terminologie van de andere Kernwaarden) * Vraag: Moeten we Veilig en Vertrouwen uit elkaar trekken? * Alle AP’s hebben eigenlijk een relatie met Kernwaarde vertrouwen. * Wellicht kan er worden gekeken of sommige AP’s niet anders geformuleerd kunnen worden, zodat ze meer aansluiten. * Vertrouwen en Veilig zijn uit elkaar getrokken; Veilig is een van de componenten van Vertrouwen. * Security wilden Robert en Aty terugzien in Vertrouwen. * Vertrouwen, daar hoort de mens bij. * Veilig heeft vooral te maken met wat je doet om te maken dat mensen, systemen etc. echt beschermd worden tegen negatieve invloeden. (Dienstverlening) * Vertrouwen en Veilig zijn minstens twee kanten van dezelfde medaille. ==Veilig== * Veilig is iets dat je geregeld moet hebben, zodat je de dienst (daarna) kan aanbieden. * Beschikbaarheid heeft met vertrouwen te maken; je neemt veiligheidsmaatregelen zodat anderen niet de beschikbaarheid van diensten kunnen beschadigen. * On-beschikbaarheid kan ook leiden tot onveiligheid, omdat de dienst beschikbaar moet zijn om iets veilig te stellen. * Veilig heeft niet alleen met afnemers te maken maar ook bij de aanbieder. * Het is ook een ketending; de hele keten moet veilig zijn. Aan de voorkant moet je je ook afvragen, wanneer je over sourcing nadenkt, of je daarmee voldoende rekening hebt gehouden met veiligheidsaspecten als gevolg van outsourcen van kernactiviteiten of kerninformatie, waarvoor je als organisatie verantwoordelijk bent. * Ralph: We moeten proberen duidelijk te zijn in wie de actoren zijn. * Reactie Laurens: Veilig als Kernwaarde is iets dat je hoopt dat in de breedte overheid geadopteerd gaat worden. Hier is het geredeneerd vanuit de dienst, de afnemer en de aanbieder. * Er moet een verschil kunnen worden gemaakt tussen politiek en overheid, maar daardoor veranderd te waarde niet. == Toekomstbestendig== Toelichting; Charmante verwoording, omdat het woord ‘we’ wordt gebruikt. Actieve benadering kiezen. Omschrijving verbreden naar andere overheidsorganisaties. Suggesties: * Toekomstbestendig betekent ook dat informatie blievend toegankelijk is voor iedereen die hier (een gerechtvaardigd) belang bij heeft en zo lang als noodzakelijk. * De dienstverlening van de overheid naar burgers en bedrijven is op de toekomst voorbereid. ==Doeltreffend== Twee versies van de omschrijving: # De dienstverlening, handhaving en toezicht van de overheid naar burgers en bedrijven is er op gericht om de mate waarin het beoogde doel wordt gerealiseerd te maximaliseren. # De dienstverlening van de overheid voldoet maximaal aan hetgeen de samenleving, bedrijven en burgers van deze dienst verwachten. De essentie is dat je het doel bereikt dat je voor ogen hebt. Vraag: Begrijpelijk en overzichtelijk naar doelmatig i.p.v. doeltreffend? Antwoord: Nee want je kan bij deze (Doeltreffend; dus effectiviteit) meten of het doel is bereikt. Suggestie: Toevoegen dat het meetbaar is in de omschrijving. Onderbouwing om ‘handhaving en toezicht’ weg te laten: Beschrijving van dienst is al: Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). ==Doelmatig== De dienstverlening is zodanig opgezet dat met minimale middelen het beoogde doel wordt bereikt.  

Algemene regels over de verhouding tussen bestuursorganen en belanghebbenden bij het voorbereiden, nemen en toepassen van besluiten.  +

Alle BIO Thema-uitwerkingen zijn geactualiseerd  +

''''Reinvent Government,'''' dagen Steven Gort en Bas Kaptijn (ICTU, Discipl) ons uit. [[Afbeelding:Presentatie Bas en Steven NORA Gebruikersdag 19 november 2019 (2).jpg|thumb|left|350px|Discipl - a global Society Architecture|alt=Presentatie in vergaderzaal Discipl - a global Society Architecture”|link=Discipl - a global Society Architecture]] [[Afbeelding:Impressie sessie Society Architecture.jpg|thumb|right|500px|Impressie van oude en nieuwe werkwijze overheidsdienstverlening (volg link in afbeelding voor uitgeschreven beschrijving)|alt=Twee tekeningen onder elkaar met als titels Reinventing Government en Reinvented Government.]] Als de bestaande organisaties, silo's en administratieve werkelijkheid er niet zouden zijn en je opnieuw zou beginnen, hoe zou je dan vandaag of morgen publieke dienstverlening inrichten? Voor hen is dit duidelijk: de mens en de behoeften van die mens moeten centraal staan en de rest organiseer je flexibel genoeg om te veranderen als onze behoeften als burgers en samenleving veranderen. Gegevens die nu in silo's van overheden zitten moeten onder regie van de burger komen, bereikbaar vanuit je eigen devices en deelbaar als dat voor jou nuttig is. Wetten, regels, subsidies en toeslagen dienen de mens en moeten dus begrijpelijk worden in je eigen unieke context. Daar kan de techniek een handje bij helpen, als we wetten en regels als open linked data beschikbaar stellen: een persoonlijke app kan jouw gegevens en de wettelijke mogelijkheden voor je uitzoeken en wat in jouw situatie relevant is in heldere taal uitleggen. In hun visie komt de techniek niet in de plaats van contact tussen burger en overheid, maar maakt dit contact juist menselijker: je uit je behoeften in je eigen woorden en zonder dat je zelf hoeft uit te zoeken bij welke overheidsorganisatie je moet zijn: ‘''Ik wil een betaalbaar huis''’ in plaats van ‘''ik schrijf mij in voor een sociale huurwoning bij deze woningcorporatie''’ & ‘''ik vraag huurtoeslag aan bij de belastingdienst.''’ Doordat de techniek veel wetsinterpretatie en rondschuiven met gegevens uit handen neemt heeft de ambtenaar de tijd om echt contact te leggen met de mensen die dat nodig hebben, terwijl het gros van de diensten automatisch verstrekt kan worden. Door de dialoog tussen burger en overheid te versterken en te faciliteren groeit het wederzijds vertrouwen. En de flexibiliteit en ruimte die juristen oorspronkelijk hebben ingebouwd in veel wetten komt weer beschikbaar: niet 'computer says no' maar samen met de burger naar oplossingen zoeken. Hoe willen ze de bestaande organisatie veranderen die hun visie in de weg staat? We lopen als overheid en samenleving tegen bestaande muren op, maar aangezien we die zelf hebben neergezet kunnen we ze ook zelf weer weghalen. Een concrete toepassing van deze visie waar het discipl-team al ervaring mee heeft opgedaan is het opvragen van waardepapieren bij je gemeente, oftewel verifiable credentials. Hierbij hebben ze gelijk rekening gehouden met de W3C standaard en EIDAS, zodat het in de toekomst mogelijk moet zijn om een uittreksel uit het geboorteregister te krijgen dat overal geaccepteerd wordt. Een andere opdracht is de waardewisselaar, waar compliance by design een belangrijke factor is. Lees meer over deze toepassingen op [https://discipl.org discipl.org]. : → [[media:Discipl, a global society architecture.pdf|presentatie (PDF, 6,94 MB)]]  

==Objectdefinitie== Betreft een systematisch onderzoek naar en het vaststellen van informatiebeveiligingseisen voor een applicatie. ==Objecttoelichting== Het object Analyse en specificatie informatiebeveiligingseisen heeft betrekking op niet-functionele eisen, zoals betrouwbaarheid, gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance en flexibiliteit in overdraagbaarheid.  +

==Objectdefinitie== Betreft een systematisch onderzoek naar functionele eisen voor een applicatie, bepaald door de business en andere stakeholders. ==Objecttoelichting== Het analyseren en specificeren van requirements is een proces van het traceren en onderkennen van functionele en niet-functionele requirements waar de te ontwikkelen applicatie aan moet voldoen. Ook worden de constraints geïdentificeerd die zullen gelden in de ontwikkel- en de operatiefases. Het ontwikkelen van informatiesystemen wordt tegenwoordig veelal uitgevoerd conform de iteratieve ontwikkelmethode (Agile). Onafhankelijk van de methode (traditioneel, Waterval of Agile) is sprake van een aantal ontwikkelstappen waaraan aandacht wordt besteed: * functionele eisen onder andere: functionaliteiten, gegevens, business rules, presentatie, interactie en foutafhandelingen; * niet-functionele eisen onder andere: betrouwbaarheid, gebruiksvriendelijkheid, efficiëntie, onderhoudbaarheid, performance en flexibiliteit in overdraagbaarheid. In de [[ISO 27002 2017|ISO 27002 2017]] wordt rond dit thema alleen focus gelegd op niet-functionele eisen (beveiligingseisen). Daarom is naast het object ‘Analyse en specificatie van informatiebeveiligingseisen’ ook het object ‘Analyse en specificatie van informatiesystemen’ toegevoegd, waarbij de nadruk gelegd wordt op functionele eisen. Deze BIO Thema-uitwerking is baseline gebaseerd en met lineaire volgens het V-modelaanpak uitgewerkt. Aangezien bij Agile niet op deze wijze wordt gewerkt, verdient dit aspect extra aandacht.  +

De website Antwoord voor bedrijven is per 15 september 2014 opgegaan in [[Ondernemersplein]] en maakt ondernemers wegwijs door de grote hoeveelheid informatie van de overheid.  +

==Objectdefinitie== Betreft de instandhouding van apparatuur binnen huisvesting Informatievoorzieningen (IV). ==Objecttoelichting== Apparaten zoals installaties en machines moeten voor veilige toepassing periodiek en volgens de juiste procedures worden onderhouden door geautoriseerde medewerkers of leveranciers.  +

==Objectdefinitie== Betreft het veilig plaatsen van apparatuur binnen huisvesting Informatievoorzieningen (IV). ==Objecttoelichting== In huisvesting IV bevindt zich verschillende apparatuur. Deze apparatuur dient zo te zijn gepositioneerd en beschermd dat verlies, diefstal en onderbreking van bedrijfsmiddelen wordt voorkomen.  +

==Objectdefinitie== Betreft het veilig en gecontroleerd verwijderen van apparatuur binnen huisvesting Informatievoorzieningen (IV). ==Objecttoelichting== Apparaten kunnen cruciale data bevatten. Het verwijderen van apparatuur moet daarom veilig met vastgestelde procedures plaatsvinden.  +

Een computerprogramma om een specifieke taak uit te voeren die geen betrekking heeft op de werking van de computer zelf.  +

Het doel van deze aanbesteding is het afsluiten van een overeenkomst met één of meerdere opdrachtnemers ten behoeve van de volgende software applicaties/ informatie systemen: Applicatie/ informatie systeem voor het Sociaal Domein. De gemeente Hollands Kroon is verantwoordelijk voor een goede dienstverlening naar haar inwoners en medewerkers. Ons uitgangspunt is om de huidige applicaties voor het Sociaal Domein meer aan te laten sluiten bij de wensen die staan omschreven in ons droombeeld. De huidige applicaties zijn geschikt voor het doel waar deze ooit voor zijn aangeschaft maar sluiten onvoldoende aan de huidige wensen, zoals bijvoorbeeld documenten opslaan in SharePoint en het onttrekken van data uit basisregistraties.  +

==Objectdefinitie== Betreft een modelmatige beschrijving van de samenhang van het applicatielandschap. ==Objecttoelichting== De applicatie-architectuur beschrijft de samenhang tussen functionele en beveiligingseisen. Ook wordt aandacht besteed aan de integratie-aspecten met de infrastructuur. Vanuit een eenduidig beeld wordt de applicatie met deze architectuur gerealiseerd. Richtlijnen, instructies, architectuur- en beveiligingsvoorschriften en procedures worden zodanig toegepast dat een samenhangend geheel ontstaat. Op deze manier wordt ook zeker gesteld dat de applicatie aan de vereiste functionele en beveiligingseisen voldoet.  +

Een beschrijving van de structuur en interactie van de applicaties die belangrijke bedrijfsfuncties ondersteunen en gegevens beheren.  +

==Objectdefinitie== Betreft specificaties vastgelegd in tekst en beeld van een computerprogramma. ==Objecttoelichting== Tijdens de ontwerpfase worden de (niet-)functionele requirements omgezet naar een uitvoerbaar informatiesysteem. Een high level architectuur wordt ontwikkeld om de software te kunnen bouwen. Hierbij wordt onder andere aandacht besteed aan de gebruikte data door het systeem, de functionaliteit die geboden moeten worden, de toegepaste interfaces tussen componenten binnen het systeem en aan koppelingen met andere systemen. Ook worden constraints die voortvloeien uit specifieke beveiligingseisen verder uitgewerkt.  +

==Objectdefinitie== Betreft het ontwikkelen van een programmacode. ==Objecttoelichting== Na de eerste twee ontwikkelfasen, waarbij de nadruk ligt op de analyse van requirements en op het ontwerp van het product, volgt de derde fase, de applicatiebouw. In deze derde fase wordt de programmacode gecreëerd met good practices, methoden/technieken en bepaalde beveiligingsuitgangspunten.  +

==Objectdefinitie== Omvat toepassingsfuncties die ondersteuning bieden aan bedrijfsprocessen. ==Objecttoelichting== De functies kunnen worden onderverdeeld in invoer-, verwerking- en uitvoerfuncties. Binnen de functies worden controles en rekenregels ingebouwd om de gewenste acties te kunnen uitvoeren en gewenste resultaten te kunnen leveren. Het totaal aan functionaliteiten moet aan bepaalde eisen voldoen. Zo moeten functionaliteiten: * voldoen aan de behoefte van de gebruikers; * de gebruikerstaken afdekken; * resultaten leveren die nauwkeurig zijn; * geschikt zijn om bepaalde taken te kunnen ondersteunen.  +

==Objectdefinitie== Betreft een verbinding tussen twee of meer applicaties waarmee gegevens tussen deze applicaties uitgewisseld kunnen worden. ==Objecttoelichting== Bij het ontwikkelen van applicaties kunnen mogelijk koppelingen tussen de applicatie die in ontwikkeling is en andere applicaties noodzakelijk zijn. Vanuit beveiligingsoogpunt dienen dit soort koppelingen aan bepaalde eisen te voldoen.  +

==Objecten, controls en maatregelen== Onderstaande afbeelding toont de objecten die specifiek voor dit domein een rol spelen. Het geeft een overzicht en de ordening van objecten. De geel gemarkeerde objecten komen voor in de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. De wit gemarkeerde objecten zijn betrokken uit andere best practices. Voor de identificatie van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst). Ze zijn ingedeeld naar de [[Alle invalshoeken|invalshoek: Intentie, Functie, Gedrag of Structuur]]. [[Bestand:APO Overzicht objecten voor applicatieontwikkeling in het beleidsdomein.png|thumb|none|500px|Overzicht objecten voor applicatieontwikkeling in het beleidsdomein|alt=”Onderwerpen die binnen het Beleid domein een rol spelen”]]  +

==Objecten, controls en maatregelen== Onderstaande afbeelding toont de objecten die specifiek voor dit domein een rol spelen. Het blauw gemarkeerde object komt voor in de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. De wit gemarkeerde objecten zijn betrokken uit andere best practices. De objecten zijn ingedeeld naar de [[Alle invalshoeken|invalshoek: Intentie, Functie, Gedrag of Structuur]]. [[Bestand:APO Overzicht objecten voor applicatieontwikkeling in het control-domein.png|thumb|none|500px|Overzicht objecten voor applicatieontwikkeling in het control-domein|alt=”Overzicht objecten voor applicatieontwikkeling in het control-domein”]]  +

==Objecten, controls en maatregelen== Binnen het uitvoeringsdomein worden specifieke inrichtings- en beveiligingsobjecten voor applicatieontwikkeling beschreven. Per object worden conformiteitsindicatoren en de desbetreffende implementatie-elementen uitgewerkt. De rood gemarkeerde objecten komen voor in de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. De wit gemarkeerde objecten zijn betrokken uit andere best practices, zie onderstaande afbeelding. De objecten zijn ingedeeld naar [[IFGS Intentie|intentie]], [[IFGS Functie|functie]], [[IFGS Gedrag|gedrag]] en [[IFGS Structuur|structuur]]. In de [[BIO Thema Applicatieontwikkeling/IFGS gekoppeld aan het V-model|pagina Invalshoeken gekoppeld aan het V-model zijn de invalshoeken gekoppeld aan het V-model]]. [[Afbeelding:Thema Applicatieontwikkeling - Onderwerpen die binnen het Uitvoeringsdomein een rol spelen.png|thumb|none|500px|Overzicht objecten voor applicatieontwikkeling in het uitvoeringsdomein|alt=”Onderwerpen die binnen het Uitvoering domein een rol spelen”]]  +

De drie gemeenten Deventer, Olst-Wijhe en Raalte werken samen in bedrijfsvoering zaken in DOWR verband. Dit is een samenwerking op basis van gastheerschap. Het gastheerschap van I&A ligt bij de gemeenten Deventer. Het project bestaat uit het leveren van (een) oplossing(en) voor de uitvoeringsondersteuning van de processen in het sociaal domein. De opdracht is om de applicaties in scope te (her)contracteren (incl. realisatie van technische en functionele implementatie, training en nazorg) voor applicaties die voldoen aan het Programma van Eisen en Wensen.  +

==Objectdefinitie== Omvat een verzameling van definities, waarmee programmaonderdeel A kan communiceren met programmaonderdeel B. ==Objecttoelichting== Een API is te beschouwen als een soort digitale stekkerdoos, die externe diensten of personen gecontroleerde toegang kan verschaffen tot interne diensten, algoritmes, apparaten en/of informatiebronnen. De eigenschappen van een API maakt een algoritme, dienst, apparaat of data programmeerbaar en daarmee ook gevoelig voor aanvallen. De maatregelen hieronder zijn beperkt tot generieke eisen. Zie voor specifieke eisen over [[JSON|JavaScript Object Notation (JSON)]], [[XML|Extensible Markup Language (XML)]] of Graph Query Language (GraphQL) en de [[OWASP Application Security Verification Standard 4.0.2|Application Security Verification Standard (ASVS)]] van [[OWASP (Open Source Foundation for Application Security)|Open Source Foundation for Application Security (OWASP)]]. Bij cloud-toepassingen speelt de HyperText Markup Language (HTML)-5 ondersteuning van bepaalde browsers en de versie van die browser een belangrijke rol, onder andere voor de ondersteuning van bepaalde office-versies. ==Schaalgrootte== Elke schaalgrootte. ==Voor wie== Leverancier.  +

Aquo Begrippen is één van de drie pijlers van de Aquo-standaard. Aquo Begrippen is een gegevenswoordenboek voor data met betrekking tot het waterbeheer in Nederland. Fouten in gegevensuitwisseling treden vaak op door de vele verschillende betekenissen die termen kunnen hebben. Een gegevenswoordenboek voorkomt dit, omdat dit een verzameling is van termen, definities, relaties en contexten, die betekenis geven aan data binnen bijvoorbeeld een bepaald vakgebied, database of informatiesysteem. Dit heeft als doel een eenduidige terminologie vast te stellen en daarmee spraakverwarring tussen mensen en informatiesystemen te voorkomen. Aquo Begrippen bevat daarom eenduidige termen en definities van termen, die gebruikt worden binnen waterbeheer in Nederland. Deze eenduidigheid leidt tot een betere gegevensuitwisseling.  +

Een beschrijvingstaal voor enterprise-architecturen.  +

Uitvoeringsregeling van de Archiefwet (meer gedetailleerde regels).  +

Verdere detaillering van de Archiefwet m.n. voor duurzaamheid, ordening & toegang en archiefruimtes & bewaarplaatsen.  +

De Archiefwet schrijft voor dat de overheid haar informatie op een goede manier bewaart.  +

Architecten gezocht voor het uitwerken van implicaties bij (een deel van) de nieuwe NORA Architectuurprincipes  +

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.  +

Architectuur Board stelt doorontwikkeling in op drie katernen  +

Architectuur Digitale Overheid 2030 vastgesteld  +

Processchema met tussenliggende architectuurproducten en de flow daartussen  +

Schema van relaties tussen views en viewspoints met hun omgeving  +

Een normatieve uitspraak die richting geeft aan het in samenhang ontwerpen en realiseren van overheidsdiensten voor burgers en bedrijven.  +

Normatieve en descriptieve documenten die huidige/toekomstige architectuur van een organisatie/domein schetsen.  +

De Artificial Intelligence Act (Verordening Kunstmatige Intelligentie, AI Act, AIA) is een voorstel voor een Europese verordening van de Europese Commissie die tot doel heeft een gemeenschappelijk regelgevend en juridisch kader voor kunstmatige intelligentie in te voeren.  +

Een eigenschap, kenmerk of kwaliteit van een natuurlijke of rechtspersoon of een entiteit, in elektronisch formaat.  +

De mate waarin bij gegevensobjecten waarden aanwezig zijn voor een attribuut.  +

Defensie zoekt een partner die ruime ervaring heeft met leveren, implementeren, beheren en onderhouden van audio en videoapparatuur bedoeld voor opname en terugkijken en –luisteren inclusief software.  +

De RvA wil door het digitaliseren van zijn primaire proces 'Beoordelen en rapporteren auditbevindingen' zijn klanten (extern) en medewerkers (intern) beter en efficiënter bedienen. Hiertoe wordt op de korte termijn een Audit-rapportagetool, een Normentool en bijbehorend Toegangsbeheer (Identity and Access management) ingericht.  +

De voorbereiding en inrichting van de uitvoering moet aantoonbaar voldoen aan inhoudelijke en procedurele eisen. Dit geldt in het algemeen, onafhankelijk van of het om het beheer van gegevens, van processen of van regels gaat. Bij regelbeheer bestaan de inhoudelijke controles uit review, verificatie en validatie; standaard-onderdelen van elk voortbrengingsproces voor regelbeheer. In het voortbrengingsproces voor regelbeheer zijn de procedurele eisen aan regelbeheer neergelegd. Het gaat dan bijvoorbeeld om spelregels als: ‘Een regel moet gevalideerd zijn voordat deze in productie kan worden genomen’. Controleerbaar moet zijn of het voortbrengingsproces is ingericht conform deze procedurele eisen en of het proces juist is gevolgd.  +

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.  +

==Objectdefinitie== Betreft de controle of een gebruiker van een softwarepakket daadwerkelijk is wie hij beweert te zijn. ==Objecttoelichting== Toegang tot softwarepakketten door gebruikers wordt gereguleerd door het toegangsmechanisme gebruikersidentificatie (zoals een gebruikersaccount) en authenticatie (zoals een wachtwoord). Het softwarepakket stelt specifieke eisen aan de authenticatie van gebruikers. Het authenticatiemechanisme moet voldoen aan vooraf vastgestelde beveiligingseisen. Voor het verlenen van toegang tot softwarepakketten ontvangen gebruikers authenticatie-informatie. De gebruikers behoren hier vertrouwelijk mee om te gaan. NB Dit object en de set van maatregelen is voor softwarepakketten relevant als de onderliggende infrastructuur geen toereikende set van maatregelen bevat, waarmee aan de control kan worden voldaan. ==Schaalgrootte== Elke schaalgrootte. ==Voor wie== Leverancier.  +

Partij die op basis van een identificatiemiddel een authenticatieverklaring afgeeft.  +

Een factor waarvan is bevestigd dat deze gebonden is aan een bepaalde persoon en die onder een van de drie volgende categorieën valt: # Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de betrokkene moet aantonen dat deze in zijn bezit is. # Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de betrokkene moet aantonen dat hij ervan kennis draagt. # Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een natuurlijke persoon is gebaseerd en waarbij de betrokkene moet aantonen dat hij dat fysieke kenmerk bezit.  +

Authenticatie namens een persoon zonder diens toestemming.  +

Het middel waarmee een persoon zijn of haar identiteit kan aantonen c.q. laten verifiëren.  +

Een Verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een authenticatie die heeft plaatsgevonden in de context van een bepaalde handeling of dienst.  +

==Beschrijving== Het ervoor kunnen zorgen dat personen hun digitale identificatiemiddelen kunnen gebruiken om hun identiteit digitaal op een passend betrouwbaarheidsniveau aan te tonen. ==Voorbeelden== Voorbeelden van bestaande oplossingen voor authenticatie zijn de authenticatievoorzieningen van DigiD, eHerkenning, iDIN, en de UZI-pas. ==Rationale== De overheid moet voorwaarden scheppen zodat burgers en bedrijven veilig, persoonlijk en gebruiksvriendelijk digitale diensten af kunnen nemen. Een noodzakelijke voorwaarde daarvoor is zorgen dat ze hun digitale identificatiemiddelen kunnen gebruiken om toegang te krijgen tot publieke diensten en ook tot diensten buiten het publieke domein. Verdere rationale voor deze generieke functie is te vinden in: * Wettelijk kaders A, B, C, D, E, G, H, K, L, M (paragraaf 4.1) * Beleidskader N (paragraaf 4.2) Maatschappelijke en technische ontwikkelingen die van invloed zijn op deze generieke functie zijn: O, P, Q, R, S, T, U (paragraaf 4.3). ==Implicaties== <ol style="list-style-type:lower-alpha"> <li>De dienstverlener moet de handelend persoon in staat stellen zijn toegelaten identificatiemiddelen te gebruiken en moet deze ook accepteren.</li> <li>De dienstverlener moet in staat worden gesteld om het identificatiemiddel te (laten) verifiëren. Deze verificatie kent de volgende stappen: verificatie van de echtheid van het middel, de geldigheid van het middel, het betrouwbaarheidsniveau van het middel en de identiteit van de gebruiker. Dit zijn generiek ook de stappen die bij cryptografie gedaan worden.</li> <li>Dienstverleners moeten het voor hun dienstverlening benodigde betrouwbaarheidsniveau van authenticatie vaststellen en aangeven/toepassen bij het verlenen van toegang. </li> <li>Authenticatie gaat gepaard met identificatie; er moeten duidelijke afspraken komen welke gegevens -- onder voorwaarden -- voor identificatie beschikbaar (kunnen) worden gesteld bij een authenticatie.</li> <li>Authenticatie dient als basis geschikt te zijn en gebruikt te worden voor de overige beoordelingen bij het verlenen van toegang, zoals het beoordelen van de bevoegdheden van de handelend persoon.</li> </ol> ==Documentatie== * [[Bestand:GA Identificatie en authenticatie.pdf|GA Identificatie en authenticatie]] ==Kaders== Deze kaders zijn bepalend voor Identificatie en authenticatie. * [[Algemene_Wet_Bestuursrecht|Algemene wet bestuursrecht]] * [[EIDAS_verordening|eIDAS-verordening]] * [[Wet_Digitale_Overheid|Wet digitale overheid]] * [[AVG_(Algemene_Verordening_Gegevensbescherming)|Algemene verordening gegevensbescherming]] ''(Bovenstaande opsomming is een beperkte selectie uit de kaders genoemd in het document)'' ==Toelichting relaties== De bestaande GDI-voorzieningen die hieronder zijn opgenomen onder ‘Gerealiseerd door' realiseren delen van de generieke functies van het GA-domein. Deze bestaande voorzieningen kunnen afwijken van de keuzes die voor het GA-domein zijn gemaakt.