Expertgroep Digitale Identificatie en authenticatie/2019-06-12

Uit NORA Online
Naar navigatie springen Naar zoeken springen


Bijeenkomst van Expertgroep IAM op woensdag 12 juni 2019, 14-17u, locatie: Den Haag, RvIG Noord Toren, 22ste etage, Rottumeroogzaal (N22-06). (Turfmarkt 147, 2511 DP Den Haag, route).
Doel: Het wat en waarom van Digitale Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee onze vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuur oplossingen te komen.
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatie en identificatie. .

Verslag[bewerken]

Het was een prettige en informatieve bijeenkomst. Er zijn weer diverse aanknopingspunten naar voren gekomen waardoor we andere lopende initiatieven kunnen gaan verbinden (lees: ondersteunen) met IAM.

Presentatie IAM bij Heliview[bewerken]

Eric Brouwer geeft een korte terugkoppeling van de presentatie (PDF, 1,36 MB) van 9 mei j.l. bij heliview De hoofdlijnen van de boodschap waren:

  • We hebben als overheid een pragmatisch kader voor IAM voor de medewerkers van de Rijksoverheid;
  • Dat kader is ook toepasbaar voor andere overheidsorganisaties en voor private partijen;
  • We hebben daarnaast een beeld van IAM in relatie tot overheidsdiensten;
  • We zien een verschuiving van de invalshoek van Beveiliging met de redenering “Wie ben je” en “Wat mag je” naar een invalshoek met meer aandacht voor ook Privacy met de redenering “Als je voldoet aan de eisen, dan kan je deze dienst afnemen”.

Hoe dat in z’n werk gaat, zijn we momenteel aan het uitzoeken. Een 1e opzet daarvan: opzet 'wolk' 5 juni (PDF, 528 kB). Het raakt aan ontwikkelingen als Gegevensmanagement, Regie op Gegevens, API-strategie en de nieuwe Digitale OverheidsInfrastructuur.

− OPROEP aan allen: Wie hierbij wil meehelpen kan dat aangeven bij NORA Beheer via nora@ictu.nl

Stand van zaken Identiteitenbeheer[bewerken]

We zijn door Bob te Riele welkom geheten bij “RvIG”, dat wil zeggen in 1 van de vergaderzalen van Nederlands grootste ambtelijke kantoren aan de Turfmarkt 147 te Den Haag, waar ook RvIG is gehuisvest. De reden dat we daar op bezoek waren, had vooral te maken met het hoofdonderwerp van de bijeenkomst, te weten Identiteitenbeheer.

Foto van de ambtelijke kantoorflats aan de turfmarkt 147 in Den Haag, van onderen gezien.

Bob heeft ons de laatste versie van het Identiteitenbeheer van natuurlijke personen laten zien: → Identiteitenbeheer In deze versie staan nog verschillende acties open en vragen die een antwoord behoeven. Hij gaat dat samen met zijn collega’s van RvIG oppakken. Het streven is dat deze zomer af te ronden, zodat we in september de nieuwe versie kunnen vaststellen.

Daarnaast hebben we weer een paar aanvullingen onderkend, zoals:

  • Een linkje toevoegen naar uitleg over de (idEA)visualisaties
  • De Vreemdelingenwet is ook onderdeel van de grondslagen
  • We verwijzen doorgaans naar de wet- en regelgeving op Overheid.nl, maar op Rijksoverheid staat vaak nog wat extra uitleg.
  • We kunnen in die gevallen wellicht beter beide verwijzingen opnemen, zoals naar https://www.rvig.nl/brp/wetgeving
  • Bij het beschrijven van het proces ook verwijzen naar de Handleiding Uitvoeringsprocedures (HUP), zie https://www.rvig.nl/brp/hup
  • Aangeven of personen met verschillende nationaliteiten worden opgenomen, dus NL en een BL (zijn dat dan verschillende ID’s ?)
  • Hoe wordt omgegaan met BL ID’s irt NL ID’s (eIDAS ed)?
  • De Basis Voorziening Vreemdelingen (BVV) is ook een relevante Identiteitenregistratie
  • Evenals diverse toepassingsgebonden Identiteitenregistraties, zoals het BIG-register en het Advocaten-register.

Identiteitenbeheer en procesaanpak[bewerken]

Menno Stigter en Ben Binnendijk hebben een nieuwe aanvliegroute voor het identiteitenbeheer uitgeprobeerd en zijn vanuit de beschrijving van een bouwsteen de relatie gaan leggen met het kader IAM. Menno heeft hiervoor een presentatie (PDF, 456 kB) gegeven vanuit de invalshoek van de processen bij een gemeente.

Hij kon daarbij goed de relatie leggen met enerzijds het Kader IAM en anderzijds het Identiteitenbeheer van natuurlijke personen. De link met DigiD kwam ook goed naar voren: Je kunt pas het authenticatiemiddel DigiD verkrijgen nadat je bent geregistreerd in de BRP.

We hebben alle 6 processen doorgenomen en de volgende aandachtspunten onderkend:

  • Geboorte leidt tot registratie in BRP en dus tot een digitale ID
  • 1e Inschrijving: een BL die in NL komt wonen (een immigratie), wordt in de BRP geregistreerd
  • RNI is een aparte registratie met BL’s die een belang hebben voor Nederland
  • Het is een deel-verzameling van de populatie die in de BRP is geregistreerd: de RNI wordt batch-gewijs (elke 8 uur) afgestemd met de BRP
  • Hervestiging (een NL die vanuit BL opnieuw in NL komt wonen)
  • Emigratie (een NL gaat in BL wonen): heeft geen effect op DigiD
  • Overlijden zorgt voor automatische doorgifte aan diverse instanties zoals SVB, maar heeft geen effect op DigiD
  • Soms ontstaan er fouten in de BRP. Bijvoorbeeld dat iemand onterecht als overleden wordt geregistreerd of dat een overledene niet als overledene wordt geregistreerd.
  • Die gevallen kunnen alleen handmatig worden gecorrigeerd in de BRP en de afnemende systemen.
  • De 6 genoemde processen zijn beschreven in de HUP. Menno Stigter heeft die beschrijvingen vertaald naar ArchiMate modellen.
  • Het lijkt voor de hand te liggen dat die ArchiMate modellen worden opgenomen in de GEMMA (het zijn immers gemeentelijke diensten / processen).
→ ACTIE Menno Stigter en NORA Beheer bespreken dat met GEMMA Beheer.

De relatie met het authenticatiemiddel DigiD is dan als volgt:

  • DigiD is alleen gekoppeld met de BRP (en niet met de RNI);
  • DigiD wordt na 3 jaar niet-gebruik verwijderd: ongeacht of die persoon nog staat ingeschreven in de BRP.

Autoritieve bronnen[bewerken]

Voor digitale diensten is een digitale ID nodig en daar is een “autoritieve bron” voor nodig: dat zijn er in Nederland maar een beperkt aantal. Doelbinding is nodig voor het verstrekken van een ID uit zo’n bron. Ook op Europees niveau zijn er “autoritieve bronnen”, zoals het VIS, een Europees systeem voor visa’s.

Een toerist die bv aangifte doet van diefstal, wordt bij Politie geregistreerd: maar dat is niet afdoende doelbinding voor andere diensten. Dan zou de toerist het in eigen land uitgegeven ID kunnen (moeten) gebruiken. En hoe moeten we omgaan met vreemdelingen voor de regeling “Bed, Bad en Water”?

“Voor inschrijving in de BRP moeten ze voldoen aan de wettelijke vereisten. Een daarvan is een geldige verblijfsvergunning+ een geldig huurContract of bewijs van inwoning. Ze zijn allemaal uitgeprocedeerd dus zijn ze niet in het bezit van een geldige VTV. Dus inschrijven in de BRP mag niet. Voor registratie in de RNI komen ze ook niet in aanmerking, want ze gaan langer dan 4 maanden verblijven. Kortom, gemeenten gaan niemand inschrijven als ze niet aan deze wettelijke vereisten voldoen.”

→ ACTIE Menno Stigter gaat nog na wie / welke organisatie dan wel een registratie voor deze “vreemdelingen” voert.

Als vervolgstap op het Identiteitenbeheer van natuurlijke personen, gaan we Authenticatie voor natuurlijke personen in relatie tot de BRP uitwerken.

  • Daarmee verbinden we beide onderdelen van het Kader IAM en krijgen we zicht op hoe e.e.a. in de praktijk werkt.
  • Single Sign-On (SSO) beschouwen we als het hergebruik van een authenticatie (dat is immer de gebruikersbeleving) en valt daardoor ook onder deze uitwerking.
  • Authenticatie van organisaties / bedrijven valt buiten deze uitwerking.

De werkgroep die dit onderwerp oppakt bestaat momenteel uit: Menno Stigter (gemeente Den Haag), Harro Kremer (DJI) en Anne Schrijer (BZK).

− OPROEP aan allen: Wie hierbij wil meehelpen kan dat aangeven bij NORA Beheer via nora@ictu.nl

Verder gaan we het Identiteitenbeheer voor organisaties oppakken. Dit is nauw gerelateerd aan zaken als het Organisatie Identificatie Nummer (OIN) en het Handelsregister (NHR), zie kvk.nl/Handelsregister. Maar het vraagt ook om uitleg over hoe je als organisatie omgaat met id’s van personen die de organisatie (formeel of informeel) kunnen vertegenwoordigen. Krijgen die bijvoorbeeld 1 ID voor alle rollen of 1 ID per rol ? Daar zijn voor en tegens bij:

  • Beheerders willen bij voorkeur vanuit 1 ID werken
  • De AVG zegt dat het beter 1 ID per rol te gebruiken
  • Gebruikersgemak vraagt om 1 x inloggen en niet telkens anders per ID
  • Historie vraagt om traceerbaarheid bij functiewijzigingen van eenzelfde persoon ed
− OPROEP aan allen: Wie wil hier een aanzet voor geven? Neem dan aub even contact op met NORA Beheer via nora@ictu.nl.

Aan de slag met Authenticatie(middelen)beheer[bewerken]

We zijn niet meer aan de slag gegaan met Authenticatie(middelen)beheer, aangezien onze collega’s van Logius niet bij deze bijeenkomst aanwezig konden zijn. Wel hebben we plenair de teksten doorgenomen die waren aangepast en geactualiseerd naar aanleiding van de review van vorig jaar: Authenticatie(middelen)beheer We hebben daarbij onder meer het volgende geconstateerd:

  • de teksten sluiten redelijke goed aan op het Kader IAM
  • we zien graag een duidelijker onderscheid tussen authenticatie van natuurlijke personen en van bedrijven
  • machtigen wordt niet gezien als onderdeel van authenticatie
  • de processen van de levenscyclus van authenticatiemiddelen (uitgifte en intrekking) zijn nog niet duidelijk beschreven
  • goed dat de diverse (afspraken)stelsels zijn benoemd: voor dit onderdeel echter beperken tot wat ze qua authenticatie regelen.

Volgende bijeenkomsten[bewerken]

24 juli - bij ICTU

Het zomerreces is inmiddels al begonnen: we gaan dat gebruiken om met de “achterblijvers” nog een paar review-opmerkingen te verwerken en zaken op te pakken zoals authenticatie van natuurlijke personen i.r.t. de BRP en Attribute Services.

3 september bij de gemeente Den Haag

We gaan dan Bevoegdhedenbeheer c.q. autorisatiemanagement bespreken. Kees Jan Kolb van het Erasmus MC zal ervaringen delen over hoe je kunt omgaan met ABAC in relatie tot de bestaande implementaties van RBAC. Mogelijk kunnen we dan ook al de 1e resultaten bespreken van de uitwerking van Authenticatie van natuurlijke personen i.r.t. de BRP.

15 oktober - bij UWV

We gaan dan verder met het bespreken van Bevoegdhedenbeheer c.q. autorisatiemanagement. Mogelijk kunnen we dan ook aan de slag gaan met het uitwerken van Authenticatie van Rechtspersonen i.r.t. het NHR.

→ Eind nov - mogelijk bij Logius

We hopen dat dan de resultaten kunnen worden besproken van het programma Machtigen.