Identificatie & Autorisatie

Dit is een eerste aanzet voor de uitwerking van IAM door de GO werkgroep I&A

We onderkennen de volgende functies voor I&A:

1. Identiteitenbeheer
2. Authenticatie(middelen)beheer
3. Bevoegdhedenbeheer
4. Machtigen
5. Toegangbeheer

Deze functies werken we uit op basis van enerzijds het bestaande kader van Wet- en Regelgeving en beleid en anderzijds onze visie en ideeën over de behoefte aan IAM in het jaar 2025, gezien vanuit de invalshoeken van: een burger, een ambtenaar en de samenleving c.q overheid als geheel.
Daarbij bouwen we voort op beelden die eerder zijn opgesteld: Ontwikkelingen waar IAM in de toekomst binnen moet passen

Identiteitenbeheer

1. Als burger van Nederland wil ik dat de overheid tenminste één digitale identiteit aan mij toekent die zodanig betrouwbaar is, dat ik daarmee over de gehele wereld, en dus ook in Nederland, digitale diensten van overheden -en zo mogelijk ook van private partijen- kan afnemen: een "digitaal paspoort", dat wereldwijd wordt geaccepteerd.
2. Daarnaast wil ik als burger dat ik zelf kan kiezen welke digitale identiteiten (lees: attributen die mijn identiteit representeren bepalen) ik inzet bij het afnemen van (digitale) diensten.
3. Als we naar 1 online, digitale identiteit bewegen en gebruiken voor SSI / IRMA, dan is van belang dat deze vele malen beter beveiligd is dan nu met digitale identiteiten.
4. Mocht mijn digitale identiteit onverhoopt gestolen worden, dan verwacht ik van de overheid dat ik binnen 1 maand een geheel nieuwe betrouwbare identiteit krijg en dat de gevolgen van de gestolen identiteit worden teniet gedaan.
5. Verder vind ik het goed dat de overheid ook digitale identiteiten kan toekennen aan andere personen die met de Nederlandse overheid te maken krijgen, zoals asielaanvragers, tijdelijke werkenden uit buitenland en tijdelijke studenten uit buitenland. Dat zie ik echter als een tijdelijke oplossing, zolang die personen niet zo'n digitale identiteit hebben verkregen vanuit het land van hun nationaliteit.

Voor burgers in Nederland is het volgende geregeld voor Identiteitenbeheer

Authenticatie(middelen)beheer

1. Als burger van Nederland wil ik dat de overheid regelt dat bij die formele Nederlandse digitale identiteit ook 1 of meer authenticatie-middelen beschikbaar zijn waarmee door betrokken partijen kan worden geverifieerd dat ik ook daadwerkelijk degene ben die ik zeg te zijn.
2. En bij elk van die authenticatie-middelen zal de overheid aangeven welke mate van zekerheid dan over mijn identiteit bestaat (lees: welk niveau van authenticatie daarbij is gegarandeerd).
3. Ook wil ik bij mijn contacten met de overheid een Single-Sign-On "by default", zodat ik zo min mogelijk telkens opnieuw een authenticatie hoef uit te voeren.

Voor burgers in Nederland is het volgende geregeld voor Authenticatie(middelen)beheer

Bevoegdhedenbeheer

1. Als burger van Nederland wil ik dat er nationale (en liefst ook internationale) bevoegdheden- en machtigingenvoorzieningen beschikbaar zijn die mogen worden gebruikt door zowel publieke als private organisaties.

Voor burgers in Nederland is het volgende geregeld voor Bevoegdhedenbeheer

Machtigen

Dit onderdeel wordt uitgewerkt door een andere GO werkgroep.
Punten die we meegeven:

1. Machtigen zal belangrijker worden (m.n. door vergrijzing en specialisatie) en moet dus eenvoudig te regelen zijn. Zeker voor partners.

Toegangbeheer

1. Als burger van Nederland wil ik dat ik op digitale wijze diensten van de overheid kan afnemen (lees: toegang kan krijgen).
2. Veilige, betrouwbare en eenvoudige toegang, met oog voor de niet-digitale burger (m.n. de ouderen die niet meer digitaal vaardig zijn).
3. Mijn privacy moet daarbij worden beschermd: onbevoegden mogen niet zien voor welke diensten een authenticatie voor mij wordt uitgevoerd of welke diensten ik afneem.
4. Ook mogen alleen bevoegden toegang krijgen tot mijn gegevens. Deze bevoegdheid wordt mogelijk gemaakt o.b.v. een juiste samenstelling van attributen, zodanig dat onderhoud/beheer op autorisaties geminimaliseerd is en doelbinding gegarandeerd kan worden.

Voor burgers in Nederland is het volgende geregeld voor Toegang_verlenen

Voor de ambtenaren

1. Ik wil zonder veel poespas kunnen beschikken over de informatie die ik nodig heb om mijn werk te kunnen doen.
2. Ik wil dat door de IAM-experts meer overheidsbreed wordt gedacht ipv dat dat gebeurt vanuit de talloze hokjes die we nu kennen. En laten we beginnen met de Rijksoverheid.
3. Op het gebied van toegang wordt naar mijn mening te veel in termen van beveiliging en bescherming gedacht. We willen het vaak allemaal te goed doen, wellicht vanuit de angst om het fout te doen. Dat is denken in beperkingen ipv in mogelijkheden. Het gedrag en de aansturing van ambtenaren is daarom ook een belangrijk element als het gaat om IAM.
4. Maak gebruik van federatieve toegang.
5. Binnen de overheid leiden de beperkingen tav het gebruik van het BSN tot dure, suboptimale oplossingen.
6. Toegang moet eenvoudig te koppelen zijn aan een digitale identiteit van in- en externe medewerkers van de organisatie en aan interne rechten (ofwel rollen met rechten kunnen toewijzen voor specifieke systemen/ informatie)
7. Ondersteunende functies die leidinggevenden kunnen helpen om heel gericht uit te zoeken welke toegang tot systemen en informatie een medewerker echt moet hebben.
8. Audit-functionaliteit. Bijvoorbeeld om te zien wie wanneer voor het laatst in bepaalde applicaties heeft ingelogd en eventueel daarop specifiek te acteren.

Overige zaken voor IAM

1. We kunnen onderscheid maken tussen functies binnen de overheid (tussen ambtenaren) en van de overheid (tbv de burgers).
2. Ik denk dat passwordless authentication belangrijk wordt voor zowel burgers als ambtenaren.
3. Hogere eisen aan toegangsbeveiliging moeten niet automatisch leiden tot hogere drempels die tot (onveilige) workarounds leiden. (Zoals de beruchte geeltjes met wachtwoorden en het uitlenen van inloggegevens).