Identiteitenbeheer van personen: verschil tussen versies

Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake digitale identiteiten, zal in de NORA een visie daarop worden gegeven, samen met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang.

Aansluiting op bestaande kaders voor digitale identiteiten[bewerken]

Momenteel in de NORA reeds beschikbaar:

• Voor identiteiten Patroon voor identity management
• Basisregistratie Personen BRP_(Basisregistratie Personen)
• Een identificerend persoonsnummer Burgerservicenummer (BSN)
• En in federatie Patroon voor federatie van identity management
• Een Europese voorziening voor het ontsluiten van Nationale identiteiten EID

Overige bronnen:

• Toekomstbeeld en kaders zoals opgesteld vanuit de werkgroep Kaders IAA.
• Door de VNG is een position paper geschreven over Digitale Identiteit maar die is waarschijnlijk nog niet vastgesteld en dus nog niet openbaar.

Arnoud Quanjer zal dat nog intern navragen

• Bij de MFG wordt ook gesproken over het concept van “Digital Me”

Zie digital-me.nl Johann Schreurs (DUO) zal hier nog info over uitzoeken en met ons delen.

• …

Beschrijf / definieer het begrip “digitale identiteit”.[bewerken]

In het rapport van het World Economic Forum, A Blueprint for Digital Identity wordt gesproken over een shift van fysieke identiteit naar digitale identiteit. Daarbij wordt uitgesproken dat de digitale identiteit het mogelijk maakt transacties in een digitale wereld te doen en geeft verbeterde functionaliteiten voor haar gebruikers. (p 35 van de blauwdruk.)

De NIST maakt het begrip concreter door in hun guidelines te stellen dat digital identity is the unique representation of a subject engaged in an online transaction. Het gaat dan met name om de representatie van een fysieke identiteit! De world bank bouwt voort op het 3DID model in Technical Standards for Digital Identity Systems for Digital Identity en maakt er een 4DID model van. Daarin is hun definitie voor digitale identiteit dat het een set van elektronisch afgeleide en opgeslagen attributen en verificatiegegevens is die een mens uniek identificeert. Rand voorwaardelijk is SSI, zelf soevereine identiteit. Een zelf-soevereine identiteit stelt mensen in de gelegenheid om zelf verantwoordelijk te zijn, voor alle aspecten die te maken hebben met de eigen identiteit, net zoals in de fysieke wereld.

Hoe hangt dit samen met de begrippen van het Kader IAA? Het begrip Identity vanuit het IAA kader focust zich volledig op de digitale identiteit. De beschrijving van het WEF doet daar een stapje bovenop door de relatie met de reële wereld te leggen. Daarnaast zijn de begrippen voor authenticatie en autorisatie overlappend. Echter zouden we de mate van overlap beter inzichtelijk moeten maken en een keuze maken welke definities we nodig hebben, zoals Identiteit, authenticatie en autorisatie maar ook identity store (BRP), federatie, etc. De overlap is door de werkgroep IAA gevisualiseerd in een gecombineerd overzicht van Gartner en NIST. Daaruit is een thesaurus opgesteld.

Nader uit te zoeken[bewerken]

• Uitleg van huidige definities aanvullen met SSI en representatie (afgeleide) van de fysieke identiteit
• (Toekomstige) Praktijk situatie toetsen op de definities

Leg daarbij het verschil c.q. de overeenkomst uit tussen de identiteit van een mens van vlees en bloed en de elektronische identiteit die daaraan wordt gekoppeld door RvIG.[bewerken]

NB: Daarmee krijgen we antwoord op de vraag “Wat is jouw elektronische identiteit?”

Dat zit hem in de afleiding van menselijke attributen en gedragingen waardoor er een elektronische identiteit ontstaat. Vanuit RvIG krijgt een mens in zijn rol als Nederlands staatsburger of buitenlander een digitale identiteit. Daarbij zijn de BRP (incl. RNI) gegevens afgeleide attributen van zijn fysieke verschijningsvorm en het BSN de digitale identiteit waarmee hij/zij een afgeleide identiteitsverklaring kan krijgen (bijvoorbeeld reisdocument of uittreksel uit het bevolkingsregister).

Hoe wordt de relatie gelegd en onderhouden (beheerd) tussen een mens van vlees en bloed en de digitale identiteit die de RvIG uitgeeft in haar rol als “Nationale Identity Provider”? De relatie wordt geïnitieerd door een inschrijving (via inschrijving in BRP bijvoorbeeld bij geboorte, of in RNI). De informatie wordt door kwaliteitsmetingen (terugmelding) en door eigen initiatief burger (bijvoorbeeld verhuisbericht) bijgewerkt in BRP/RNI. Voor een rol al echte Nederlandse Identity provider zal de BRP anders opgezet moeten worden door in ieder geval attribuutleverancier (analoog aan een LDAP provider/OpenIDConnect provider) te worden en zullen andere (rijks)overheid)gegevens hun identity stores moeten laten verwijzen naar de BRP. Alle hulp om dit (naast de Attestations (overheidsverklaringen)) voor elkaar te krijgen is zeer gewenst. Maar in eerste instantie zou ik van jullie graag willen weten welke behoefte hiertoe is. Vanuit DSO Werkgroep API zijn we bezig met een Nederlands profiel voor oAUTH. Daaar moet nog een brug richting OpenIDConnect worden geslagen. Is het denkbaar dat de BRP de Nederlandse Identity provider wordt?

Wie mag die digitale identiteiten (her)gebruiken en onder welke voorwaarden? In het autorisatiebesluit BRP staat op hoofdlijnen welke partijen informatie uit de BRP verstrekt kunnen krijgen en onder welke voorwaarden.

Welke personen krijgen een elektronische identiteit van de RvIG? En welke niet?[bewerken]

Dat zijn in de BRP ingeschrevene personen (en krijgen daarmee een BSN) oftewel alle Nederlanders en ook niet ingeschrevene (als in buitenlanders) kunnen zich inschrijven in de RNI en krijgen daarmee ook een identiteit. Ook in bewoners van Caribisch Nederland kunnen in de PIVA worden ingeschreven en daarmee een digitale identiteit krijgen. Vanuit eIDAS kunnen Europeanen worden gematched met hun Nederlandse Identiteit (voor zover aanwezig). Alle andere niet ingezetene hebben nu nog geen digitale identiteit uitgegeven door RvIG. Dat betekend echter niet dat deze personen geen digitale diensten kunnen afnemen. Het is aan de dienstverleners om voor deze categorie mensen toch diensten te verlenen of dat er eerst inschrijving dient plaats te vinden.

Hoe moet een dienstverlener (een overheidsorganisatie dan wel een private organisatie) een digitale dienst leveren aan personen die géén digitale identiteit van het RvIG hebben gekregen? Door de minimale attributen voor toevoeging aan eigen identity store toe te voegen. Dat is zoals het nu gebeurd. Het zou helpen als we dit soort type “inschrijvingen” beschrijven in een overzicht bij de verschillende overheidsorganisaties zodat we generieke procesafspraken over zo’n intake kunnen maken om daarna een “echte” inschrijving in het BSN/BRP domein gelijdelijker te laten verlopen..

Hoe beheert RvIG al deze elektronische identiteiten (qua proces) en welke kwaliteitsnormen worden daarbij gehanteerd?[bewerken]

NB:Daarmee krijgen we antwoord op de vraag “Hoe wordt de governance op identiteiten geregeld: wie bepaalt / stelt vast? Wie is er in de lead?”

De burger is in de lead. De burger wordt hierin gefaciliteerd door de gemeenten, Min. BZK en RvIG. Toetsing op de correctheid en juistheid gebeurd door de dienstaanbieders, afnemers en controlerende instanties waaronder de politie. Kwaliteitsnormen zijn zowel op inhoudelijke attributen (getoetst via ENSIA en kwaliteitsmonitor) maar ook op proces (LEAN en ISO25001-Quint2) en terugmeldvoorzienging.

Waar staat dit beschreven? Graag linkjes opnemen.

Zoek een bij al deze begrippen en beschrijvingen een best-passend functioneel plaatje (liefst technologie onafhankelijk)[bewerken]

Onderschrift

Hoe hangt dit samen met de plaatjes van het Kader IAA? Die vullen elkaar aan. Bijvoorbeeld gaat het plaatje van Omnitech over IAA en zit Identiteitsvaststelling impliciet in het plaatje hiernaast aangevuld met het doel: dienstverlening richting burger. Mijn verwachting is dat we er een volledig plaatje van kunnen maken. Kortom overleg met IAA is noodzakelijk.

Geef aan op welke wijze zo’n digitale identiteit kan worden geverifieerd via authenticatiemiddelen: qua proces en qua techniek[bewerken]

NB:Daarmee krijgen we antwoord op de vraag “Hoe weet de dienstaanbieder wie je bent?” Daarvoor moeten de onderstaande 4 rollen gecombineerd worden met het plaatje hierboven. In huidige vorm doet de identiteitsprovider (DigiD/eHerkenning) obv een attribuut collectie een authenticatiie na attribuut Exchange met BRP (verificatie). De attribuut collectie vindt in bijvoorbeeld burgerzaakmodule plaats of middels attributen die op de chip in rijbewijs, paspoort, eNIK staan. Qua overzicht moet hier een processchema ism IAA worden gemaakt Qua techniek wordt er in de werkgroep API/oAUTH hier in een overzichtsplaat voorzien. Die geeft echter een nabije toekomst aan. Hoe de huidige inrichting met identity providers en ander 3 rollen zijn moet nog worden gevisualiseerd met een iDEA plaat?

De 4 onderstaande rollen moeten steeds worden ingevuld waarbij er een keuze tussen een van de vijf archetypes cq implementaties gemaakt moet worden.

Onderschrift

Onderschrift

Waar staat voor een dienstverlener beschreven hoe de authenticatie (verificatie) verloopt van een door RvIG uitgegeven digitale identiteit? Dit gebeurd nu niet op eenduidige wijze. Zo zijn er bijvoorbeeld diensten als DigiD/eHerkenning/Toegangsveleningsservice (TVS), etc die een autorisatie op BRP ihkv verificatie hebben. Middels de identity providers worden dienstverleners wel voor een deel.ontzorgd. Specifiek toegang tot de middelen (chip op paspoort, eNIK) hebben maar een paar partijen. Verificatie van de attributen op de chip(s) gebeurd via autorisaties.

Geef voorbeelden van bestaande authenticatiemiddelen waarmee de digitale identiteiten van de BRP worden geverifieerd.[bewerken]

PKIO certificaten, WID documenten of DigiD, (sub)OIN, RIN, etc...

Hanteert RvIG 1 eenduidig proces voor alle authenticaties? Nee, authenticaties vinden nu vaak decentraal plaats. Dit is nu vaak wel technisch gestandaardiseerd (bij DigiD obv SAML). Middels standaardisatie op Informatie/Applicatielaag proberen we de authenticaties wel te uniformeren. Of zijn er verschillende processen en/of normen, afhankelijk van het gebruikte authenticatie-middel? Verschillende normen en processen. Vanuit deeloplossingen (rijbewijs, PKIO, Zorgpas, overheidspas, etc) zien we wel meer standaardisatie optreden echter dient er een eenduidige enterprise architectuur voor de overheid bepaald te worden. In deze expergroep moeten we toch een visie op EA op dit gebied kunnen herijken/bepalen?

Welke impact heeft de eIDAS op de uitgifte van de elektronische identiteiten door RvIG?[bewerken]

De digitale identiteiten komen weer dichter bij de burger zelf te liggen doordat een digitale (pseudonieme) identiteit op een authenticatiemiddel wordt gezet. En theoretisch zou het zo moeten zijn dat een Europese burger een Nederlands middel kan aanvragen en gebruiken. Daarnaast krijgen we in onze identiteitssystemen niet alleen Nederlandse staatsburgers en buitenlandse burgers met een zakelijk belang bij Nederland nu juist ALLE Europese burgers in ons identiteitssysteem. Gaat dat laatste niet in tegen het concept van federatief identiteitenbeheer? JAZEKER! Jammer genoeg worden wel de procesafspraken gemaakt zonder een juiste verantwoordelijkheidsindeling (zal ik in overleg toelichten)

Hoe hangt dit samen met de uitkomsten van de werkgroep eIDAS? Jazeker, echter komen de onderwerpen nu op adhoc wijze bij elkaar en niet vanuit een gedragen en geïmplementeerde EA visie. Concreet: op de verschillende niveaus in de organisatie (gemeente, Rijksoverheid, europa) leven er meerdere archetypes parallel naast elkaar en wordt een archetype vaak niet correct doorgevoerd.

In hoeverre maken de overheidsorganisaties gebruik van de elektronische identiteiten die RvIG toekent aan de Nederlandse burgers?[bewerken]

NB: Het is wettelijk verplicht de gegevens van de BRP te hergebruiken, maar gebeurt dat ook altijd? Zo nee, dan ontstaan toch risico’s bij die e-identiteiten? Correct. Daarom de samenwerking in deze expertgroep om een gezamelijke EA visie tot wasdom te laten komen.

Ook al worden er steeds meer aansluitingen (inclusief terugmeldingen) gedaan op de RvIG systemen, toch worden er nog steeds tig afslagen van de BRP/BSN gemaakt voor eigen doeleinden en eigen processen. Daarmee zijn er alleen binnen overheidsland al meer dan 150 identiteitssystemen en kan de overheid NOOIT de algehele en unieke digitale identiteitspositie van de mens garanderen.

Hoe zorgt RvIG er voor dat alle overheidsorganisaties de door RvIG uitgegeven digitale identiteiten van burgers hergebruiken? De eerder genoemde kwaliteitscontroles en steeds vaker ook analyses op combinaties van bronnen zoals bij LAA. Anders gesteld: vanuit een business behoefte bij de afnemer/dienstverlener. Er is vaak een concrete business case om met correcte identiteitsgegevens te werken.

Wat zijn de meest in het oog springende door de overheidsorganisaties zelf uitgegeven digitale identiteiten? Denk aan het Rijksambtenaren-nummer (RIN), Personeelsnummers (per organisatie), Studentennummers, zelfstandigennummers e.d.

Hoe kijkt RvIG aan tegen private partijen die elektronische identiteiten toekennen aan Nederlandse burgers? Hanteren die dezelfde processen en kwaliteitsnormen als RvIG? En zo niet, welke risico ontstaat dan?[bewerken]

Om de positie van de mens te versterken is RvIG van mening dat er binnen de overheid één identiteit autoriteit moet zijn. Daarnaast moet de randvoorwaarde SSI worden uitgedragen zodat het uitgangspunt “zet de mens centraal” nu zowel in functie, rechtspositie als ook beleid, uitvoering en toetsing echt gestalte wordt gegeven.

Hoe hangt dat samen met de visie op IAA?[bewerken]

Is dat een wereldwijde federatie van identiteiten die door de overheden worden uitgegeven en “gewaarmerkt”? Zie de eerder gegeven presentatie. Een federatie zal het voorlopig wel blijven. De wereld van IT denkt meer richting een distributed Identity archetype. Europa is nog onbepaald. Het eIDAS neigt naar een centralized identity maar implementeerd het external authentication archetype doordat de EU niet verantwoordelijk voor een centraal systeem wil worden. Kortom helemaal samenhangen doet het nog niet.

Met daarnaast door niet-overheden uitgegeven digitale identiteiten die de burgers kunnen gebruiken voor de private dienstverlening? Ja, maar die gaan steeds meer inzetten op de 5de archetype: distributed identity waarbij de overheid de attestaties verzorgd. (maar bijvoorbeeld niet voor de dienstverlening van de overheden?) Dat is het kromme van het huidige beleid: eenrichtingsverkeer. Op termijn zie ik dit nog wel omdraaien vanuit maatschappelijke use cases.

Acties[bewerken]

1. Thesaurus opstellen.
2. Overlap definities tussen de werkgroepen visualiseren
3. Overleg met IAA om te komen tot een totaalplaatje.
4. Samenhang op visie archetype ism IAA en toetsing definities en visie met authenticatie in de praktijk en eIDAS.