Identiteitenbeheer van personen: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(met afbeeldingen en links)
(Aantal aanvullende vragen beantwoord. Zo dadelijk volgt de rest.)
Regel 56: Regel 56:


Hoe hangt dit samen met de begrippen van het Kader IAA?
Hoe hangt dit samen met de begrippen van het Kader IAA?
Het begrip Identity vanuit het IAA kader focust zich volledig op de digitale identiteit. De beschrijving van WEF doet daar een stapje bovenop door de relatie met de reële wereld te leggen. Daarnaast zijn de begrippen voor authenticatie en autorisatie overlappend. Echter zouden we de mate van overlap beter inzichtelijk moeten maken en een keuze maken welke definities we nodig hebben, zoals Identiteit, authenticatie en autorisatie maar ook identity store (BRP), federatie, etc. Dit is een actiepunt (zie onderaan pagina)
===Leg daarbij het verschil c.q. de overeenkomst uit tussen de identiteit van een mens van vlees en bloed en de elektronische identiteit die daaraan wordt gekoppeld door RvIG. ===
===Leg daarbij het verschil c.q. de overeenkomst uit tussen de identiteit van een mens van vlees en bloed en de elektronische identiteit die daaraan wordt gekoppeld door RvIG. ===
'''NB:''' Daarmee krijgen we antwoord op de vraag “Wat is jouw elektronische identiteit?”
'''NB:''' Daarmee krijgen we antwoord op de vraag “Wat is jouw elektronische identiteit?”
Regel 62: Regel 63:


Hoe wordt de relatie gelegd en onderhouden (beheerd) tussen een mens van vlees en bloed en de digitale identiteit die de RvIG uitgeeft in haar rol als “Nationale Identity Provider”?  
Hoe wordt de relatie gelegd en onderhouden (beheerd) tussen een mens van vlees en bloed en de digitale identiteit die de RvIG uitgeeft in haar rol als “Nationale Identity Provider”?  
De relatie wordt geïnitieerd door een inschrijving (via inschrijving in BRP bijvoorbeeld bij geboorte, of in RNI). De informatie wordt door kwaliteitsmetingen (terugmelding) en door eigen initiatief burger (bijvoorbeeld verhuisbericht) bijgewerkt in BRP/RNI. Voor een rol al [[echte]] Nederlandse Identity provider zal de BRP anders opgezet moeten worden door in ieder geval attribuutleverancier (analoog aan een LDAP provider/OpenIDConnect provider) te worden en zullen andere (rijks)overheid)gegevens hun identity stores moeten laten verwijzen naar de BRP. Alle hulp om dit (naast de Attestations (overheidsverklaringen)) voor elkaar te krijgen is zeer gewenst. Maar in eerste instantie zou ik van jullie graag willen weten welke behoefte hiertoe is. Vanuit DSO Werkgroep API ben ik bezig met oAUTH. Daaar moet nog een brug richting OpenIDConnect worden geslagen. Is het denkbaar dat de BRP de Nederlandse Identity provider wordt?
Wie mag die digitale identiteiten (her)gebruiken en onder welke voorwaarden?
Wie mag die digitale identiteiten (her)gebruiken en onder welke voorwaarden?
In het [http://wetten.overheid.nl/BWBR0034327/2018-01-01#Bijlage10 autorisatiebesluit BRP] staat op hoofdlijnen welke partijen informatie uit de BRP verstrekt kunnen krijgen en onder welke voorwaarden.
===Welke personen krijgen een elektronische identiteit van de RvIG? En welke niet?===
===Welke personen krijgen een elektronische identiteit van de RvIG? En welke niet?===


Regel 123: Regel 126:
Met daarnaast door niet-overheden uitgegeven digitale identiteiten die de burgers kunnen gebruiken voor de private dienstverlening?
Met daarnaast door niet-overheden uitgegeven digitale identiteiten die de burgers kunnen gebruiken voor de private dienstverlening?
(maar bijvoorbeeld niet voor de dienstverlening van de overheden?)
(maar bijvoorbeeld niet voor de dienstverlening van de overheden?)
===Acties===
1. Thesaurus opstellen
2. Overlap definities tussen de werkgroepen visualiseren
3.

Versie van 16 apr 2018 22:56


Deze pagina is in opbouw. Kom later terug om het resultaat te zien of neem contact op met nora@ictu.nl als je mee wilt werken aan de eerste concepten.

Deze pagina wordt beheerd door de Expertgroep IAM. In 2018 onderzoekt de expertgroep vier deelonderwerpen om (implementatie-)vraagstukken en mogelijke oplossingen in kaart te brengen, kennis te delen en elkaar te ondersteunen. Uiteindelijk leidt dit hopelijk tot architectuuroplossingen. De deelonderwerpen zijn Identity & Access Management (IAM), Identiteitenbeheer, Authenticatie(middelen)beheer, Impact eIDAS voor Nederland, Bevoegdhedenbeheer en Toegang verlenen.

Status, versie en auteurs

Dit document is een 1e overzicht van de informatie en vindplaatsen die wij - als leden van de werkgroep - hiervoor relevant achten.

Contactpersoon: Bob te Riele
Mail: Bob.teRiele@rvig.nl
Versie: 20 februari 2018
Bijdragen door:

  • Andre de Kok (RvIG)
  • Bob te Riele (RvIG)
  • Anne Schrijer (KvK)
  • Arnoud Quanjer (VNG Realisatie)
  • Eric Brouwer (ICTU)

Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake digitale identiteiten, zal in de NORA een visie daarop worden gegeven, samen met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang.

Vraagstelling[bewerken]

  1. Beschrijf / definieer het begrip “digitale identiteit”.
  2. Leg daarbij het verschil c.q. de overeenkomst uit tussen de identiteit van een mens van vlees en bloed en de elektronische identiteit die daaraan wordt gekoppeld door RvIG. NB. Daarmee krijgen we antwoord op de vraag “Wat is jouw elektronische identiteit?”
  3. Welke personen krijgen een elektronische identiteit van de RvIG? En welke niet?
  4. Hoe beheert RvIG al deze elektronische identiteiten (qua proces) en welke kwaliteitsnormen worden daarbij gehanteerd? NB. Daarmee krijgen we antwoord op de vraag “Hoe wordt de governance op identiteiten geregeld: wie bepaalt / stelt vast? Wie is er in de lead?”
  5. Zoek een bij al deze begrippen en beschrijvingen een best-passend functioneel plaatje (liefst technologie onafhankelijk).
  6. Geef aan op welke wijze zo’n digitale identiteit kan worden geverifieerd via authenticatiemiddelen: qua proces en qua techniek. NB. Daarmee krijgen we antwoord op de vraag “Hoe weet de dienstaanbieder wie je bent?”
  7. Geef voorbeelden van bestaande authenticatiemiddelen waarmee de digitale identiteiten van de BRP worden geverifieerd.
  8. Welke impact heeft de eIDAS op de uitgifte van de elektronische identiteiten door RvIG?
  9. In hoeverre maken de overheidsorganisaties gebruik van de elektronische identiteiten die RvIG toekent aan de Nederlandse burgers? NB. Het is wettelijk verplicht de gegevens van de BRP te hergebruiken, maar gebeurt dat ook altijd? Zo nee, dan ontstaan toch risico’s bij die e-identiteiten?
  10. Hoe kijkt RvIG aan tegen private partijen die elektronische identiteiten toekennen aan Nederlandse burgers? Hanteren die dezelfde processen en kwaliteitsnormen als RvIG? En zo niet, welke risico ontstaat dan?

Aansluiting op bestaande kaders voor digitale identiteiten[bewerken]

Momenteel in de NORA reeds beschikbaar:

Overige bronnen:

  • Toekomstbeeld en kaders zoals opgesteld vanuit de werkgroep Kaders IAA.
  • Door de VNG is een position paper geschreven over Digitale Identiteit maar die is waarschijnlijk nog niet vastgesteld en dus nog niet openbaar.

Arnoud Quanjer zal dat nog intern navragen

  • Bij de MFG wordt ook gesproken over het concept van “Digital Me”

Zie digital-me.nl Johann Schreurs (DUO) zal hier nog info over uitzoeken en met ons delen.

Uitwerking vraagstelling[bewerken]

Beschrijf / definieer het begrip “digitale identiteit”.[bewerken]

In het rapport van het World Economic Forum, A Blueprint for Digital Identity wordt gesproken over een shift van fysieke identiteit naar digitale identiteit. Daarbij wordt uitgesproken dat de digitale identiteit het mogelijk maakt transacties in een digitale wereld te doen en geeft verbeterde functionaliteiten voor haar gebruikers. (p 35 van de blauwdruk.)

De NIST maakt dit iets concreter door in hun guidelines te stellen dat digital identity is the unique representation of a subject engaged in an online transaction. Het gaat dan met name om de representatie van een fysieke identiteit! De world bank bouwt voort op het 3DID model in Technical Standards for Digital Identity Systems for Digital Identity en maakt er een 4DID model van. Daarin is hun definitie voor digitale identiteit dat het een set van elektronisch afgeleide en opgeslagen attributen en verificatiegegevens is die een mens uniek identificeert. Rand voorwaardelijk is SSI, zelf soevereine identiteit. Een zelf-soevereine identiteit stelt mensen in de gelegenheid om zelf verantwoordelijk te zijn, voor alle aspecten die te maken hebben met de eigen identiteit, net zoals in de fysieke wereld.

Hoe hangt dit samen met de begrippen van het Kader IAA? Het begrip Identity vanuit het IAA kader focust zich volledig op de digitale identiteit. De beschrijving van WEF doet daar een stapje bovenop door de relatie met de reële wereld te leggen. Daarnaast zijn de begrippen voor authenticatie en autorisatie overlappend. Echter zouden we de mate van overlap beter inzichtelijk moeten maken en een keuze maken welke definities we nodig hebben, zoals Identiteit, authenticatie en autorisatie maar ook identity store (BRP), federatie, etc. Dit is een actiepunt (zie onderaan pagina)

Leg daarbij het verschil c.q. de overeenkomst uit tussen de identiteit van een mens van vlees en bloed en de elektronische identiteit die daaraan wordt gekoppeld door RvIG.[bewerken]

NB: Daarmee krijgen we antwoord op de vraag “Wat is jouw elektronische identiteit?”

Dat zit hem in de afleiding van menselijke attributen en gedragingen waardoor er een elektronische identiteit ontstaat. Vanuit RvIG krijgt een mens in zijn rol als Nederlands staatsburger of buitenlander een digitale identiteit. Daarbij zijn de BRP (incl. RNI) gegevens afgeleide attributen van zijn fysieke verschijningsvorm en het BSN de digitale identiteit waarmee hij/zij een afgeleide identiteitsverklaring kan krijgen (bijvoorbeeld reisdocument of uittreksel uit het bevolkingsregister).

Hoe wordt de relatie gelegd en onderhouden (beheerd) tussen een mens van vlees en bloed en de digitale identiteit die de RvIG uitgeeft in haar rol als “Nationale Identity Provider”? De relatie wordt geïnitieerd door een inschrijving (via inschrijving in BRP bijvoorbeeld bij geboorte, of in RNI). De informatie wordt door kwaliteitsmetingen (terugmelding) en door eigen initiatief burger (bijvoorbeeld verhuisbericht) bijgewerkt in BRP/RNI. Voor een rol al echte Nederlandse Identity provider zal de BRP anders opgezet moeten worden door in ieder geval attribuutleverancier (analoog aan een LDAP provider/OpenIDConnect provider) te worden en zullen andere (rijks)overheid)gegevens hun identity stores moeten laten verwijzen naar de BRP. Alle hulp om dit (naast de Attestations (overheidsverklaringen)) voor elkaar te krijgen is zeer gewenst. Maar in eerste instantie zou ik van jullie graag willen weten welke behoefte hiertoe is. Vanuit DSO Werkgroep API ben ik bezig met oAUTH. Daaar moet nog een brug richting OpenIDConnect worden geslagen. Is het denkbaar dat de BRP de Nederlandse Identity provider wordt? Wie mag die digitale identiteiten (her)gebruiken en onder welke voorwaarden? In het autorisatiebesluit BRP staat op hoofdlijnen welke partijen informatie uit de BRP verstrekt kunnen krijgen en onder welke voorwaarden.

Welke personen krijgen een elektronische identiteit van de RvIG? En welke niet?[bewerken]

Dat zijn in de BRP ingeschrevene personen (en krijgen daarmee een BSN) oftewel alle Nederlanders en ook niet ingeschrevene (als in buitenlanders) kunnen zich inschrijven in de RNI en krijgen daarmee ook een identiteit.

Hoe moet een dienstverlener (een overheidsorganisatie dan wel een private organisatie) een digitale dienst leveren aan personen die géén digitale identiteit van het RvIG hebben gekregen?


Hoe beheert RvIG al deze elektronische identiteiten (qua proces) en welke kwaliteitsnormen worden daarbij gehanteerd?[bewerken]

NB:Daarmee krijgen we antwoord op de vraag “Hoe wordt de governance op identiteiten geregeld: wie bepaalt / stelt vast? Wie is er in de lead?”

De burger is in de lead. Hij wordt hierin gefaciliteerd door de gemeenten, Min. BZK en RvIG. Toetsing op de correctheid en juistheid gebeurd door de dienstaanbieders, afnemers en controlerende instanties waaronder de politie. Kwaliteitsnormen zijn zowel op inhoudelijke attributen (getoetst via ENSIA en kwaliteitsmonitor) maar ook op proces (LEAN en ISO25001-Quint2).

Waar staat dit beschreven? Graag linkjes opnemen.

Zoek een bij al deze begrippen en beschrijvingen een best-passend functioneel plaatje (liefst technologie onafhankelijk)[bewerken]

schema van een piramide met daarnaast op elke laag links een goal en rechts een problem
Onderschrift

Hoe hangt dit samen met de plaatjes van het Kader IAA? 

Geef aan op welke wijze zo’n digitale identiteit kan worden geverifieerd via authenticatiemiddelen: qua proces en qua techniek[bewerken]

NB:Daarmee krijgen we antwoord op de vraag “Hoe weet de dienstaanbieder wie je bent?”

De 4 onderstaande rollen moeten steeds worden ingevuld waarbij er een keuze tussen een van de vijf archetypes cq implementaties gemaakt moet worden.

Schema van het World Economic Forum dat vier rollen beschrijft (users, identity providers, relying parties, government bodies) en een functie (Attribute exchange platform)
Onderschrift
Overzicht van het World Economic Forum waarin vijf manieren van identificatie en authenticatie zijn beschreven in een afbeelding, structuur en de informatiestroom: internal Identity management, External authentication, Centralized Identity, Federated authentication en Distributed identification.
Onderschrift

Waar staat voor een dienstverlener beschreven hoe de authenticatie (verificatie) verloopt van een door RvIG uitgegeven digitale identiteit?  

Geef voorbeelden van bestaande authenticatiemiddelen waarmee de digitale identiteiten van de BRP worden geverifieerd.[bewerken]

PKIO certificaten, WID documenten of DigiD.

Hanteert RvIG 1 eenduidig proces voor alle authenticaties? Of zijn er verschillende processen en/of normen, afhankelijk van het gebruikte authenticatie-middel?

Welke impact heeft de eIDAS op de uitgifte van de elektronische identiteiten door RvIG?[bewerken]

De digitale identiteiten komen weer dichter bij de burger zelf te liggen doordat een digitale (pseudonieme) identiteit op een authenticatiemiddel wordt gezet. En theoretisch zou het zo moeten zijn dat een Europese burger een Nederlands middel kan aanvragen en gebruiken. Daarnaast krijgen we in onze identiteitssystemen niet alleen Nederlandse staatsburgers en buitenlandse burgers met een zakelijk belang bij Nederland nu juist ALLE Europese burgers in ons identiteitssysteem. Gaat dat laatste niet in tegen het concept van federatief identiteitenbeheer?

Hoe hangt dit samen met de uitkomsten van de werkgroep eIDAS?

In hoeverre maken de overheidsorganisaties gebruik van de elektronische identiteiten die RvIG toekent aan de Nederlandse burgers?[bewerken]

NB: Het is wettelijk verplicht de gegevens van de BRP te hergebruiken, maar gebeurt dat ook altijd? Zo nee, dan ontstaan toch risico’s bij die e-identiteiten?

Ook al worden er steeds meer aansluitingen (inclusief terugmeldingen) gedaan op de RvIG systemen, toch worden er nog steeds tig afslagen van de BRP/BSN gemaakt voor eigen doeleinden en eigen processen. Daarmee zijn er alleen binnen overheidsland al meer dan 150 identiteitssystemen en kan de overheid NOOIT de algehele en unieke digitale identiteitspositie van de mens garanderen.

Hoe zorgt RvIG er voor dat alle overheidsorganisaties de door RvIG uitgegeven digitale identiteiten van burgers hergebruiken?

Wat zijn de meest in het oog springende door de overheidsorganisaties zelf uitgegeven digitale identiteiten? Denk aan het Rijksambtenaren-nummer (RIN), Personeelsnummers (per organisatie), Studentennummers, zelfstandigennummers e.d.

Hoe kijkt RvIG aan tegen private partijen die elektronische identiteiten toekennen aan Nederlandse burgers? Hanteren die dezelfde processen en kwaliteitsnormen als RvIG? En zo niet, welke risico ontstaat dan?[bewerken]

Om de positie van de mens te versterken is RvIG van mening dat er binnen de overheid één identiteit autoriteit moet zijn. Daarnaast moet de randvoorwaarde SSI worden uitgedragen zodat het uitgangspunt “zet de mens centraal” nu zowel in functie, rechtspositie als ook beleid, uitvoering en toetsing echt gestalte wordt gegeven.

Hoe hangt dat samen met de visie op IAA?[bewerken]

Is dat een wereldwijde federatie van identiteiten die door de overheden worden uitgegeven en “gewaarmerkt”? Met daarnaast door niet-overheden uitgegeven digitale identiteiten die de burgers kunnen gebruiken voor de private dienstverlening? (maar bijvoorbeeld niet voor de dienstverlening van de overheden?)

Acties[bewerken]

1. Thesaurus opstellen 2. Overlap definities tussen de werkgroepen visualiseren 3.

Nederlandse Overheid Referentie Architectuur.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

NORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak.

Overgenomen van "https://www.noraonline.nl/index.php?title=Identiteitenbeheer_van_personen&oldid=29362"