Identiteitenbeheer van personen: verschil tussen versies
(reviewperiode afgelopen) |
k (onderscheid nationaliteit en wel/niet-ingezetene) |
||
| Regel 53: | Regel 53: | ||
Alle andere niet-ingezetenen hebben nu nog geen door de RvIG uitgegeven digitale identiteit. | Alle andere niet-ingezetenen hebben nu nog geen door de RvIG uitgegeven digitale identiteit. | ||
Dat betekent echter niet dat deze personen geen digitale diensten kunnen afnemen. Het is aan de dienstverleners om voor deze categorie mensen toch diensten te verlenen of dat er eerst inschrijving dient plaats te vinden. | Dat betekent echter niet dat deze personen geen digitale diensten kunnen afnemen. Het is aan de dienstverleners om voor deze categorie mensen toch diensten te verlenen of dat er eerst inschrijving dient plaats te vinden. | ||
Het onderscheid van Nationaliteit (wel of niet Nederlandse) en ook ingezetene of niet-ingezetene, is dus van belang voor de uitgifte van digitale identiteiten aan personen door de Nederlandse Overheid. | |||
===In hoeverre maken de overheidsorganisaties gebruik van de digitale identiteiten in de BRP?=== | ===In hoeverre maken de overheidsorganisaties gebruik van de digitale identiteiten in de BRP?=== | ||
Versie van 24 nov 2018 18:35
- Onderdeel van
- Thema's
- Contact
- Harro Kremer
- harro.kremer@jio.nl
- Status
- Actueel
Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake digitale identiteiten, is hier volgend een visie daarop gegeven, met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang.
Wat verstaan we onder “digitale identiteit”?[bewerken]
In het rapport "A Blueprint for Digital Identity" van het World Economic Forum (WEF), wordt gesproken over een shift van fysieke identiteit naar digitale identiteit. De digitale identiteit maakt het mogelijk om transacties in een digitale wereld te doen en geeft ook verbeterde functionaliteiten voor haar gebruikers (p 35 van de blauwdruk.).
Het National Institute of Standards and Technology (NIST) maakt het begrip concreter door in hun guidelines te stellen: "Digital identity is the unique representation of a subject engaged in an online transaction". Het gaat dan met name om de representatie van een fysieke identiteit.
De World Bank bouwt voort op het 3DID model in Technical Standards for Digital Identity Systems for Digital Identity en maakt er een 4DID model van. Daarin is hun definitie voor digitale identiteit dat het een set is van elektronisch afgeleide en opgeslagen attributen en verificatiegegevens, die een mens uniek identificeert. Randvoorwaardelijk daarvoor is zelf-soevereine identiteit (SSI). Een zelf-soevereine identiteit stelt mensen in staat om zelf verantwoordelijk te zijn voor alle aspecten die te maken hebben met de eigen identiteit, net zoals in de fysieke wereld.
Het begrip Identiteit vanuit het kader van Identity & Acces Management, focust op de digitale identiteit, maar kent - evenals de beschrijving van het WEF - ook de relatie met de reële wereld, de mensen van vlees en bloed. De begrippen voor authenticatie en autorisatie zijn deels overlappend. De mate van overlap willen we nog beter inzichtelijk maken: daartoe moeten we gaan kiezen welke definities we nodig hebben, zoals Identiteit, Authenticatie en Autorisatie, maar ook Identiteiten-registratie (zoals de BRP), Federatie, etc. De overlap is gevisualiseerd in een gecombineerd overzicht van Gartner en NIST. Daaruit is een thesaurus opgesteld. Zie Identity & Access Management (IAM)
Hoe legt RvIG de relatie tussen een mens van vlees en bloed en de Nationale digitale identiteit?[bewerken]
Het Rijksinstituut voor Identiteitsgegevens ([RvIG]) kent digitale identiteiten toe aan mensen in hun rol als Nederlands staatsburger of buitenlander. Zo'n digitale identiteit wordt afgeleid uit de menselijke attributen (naam, geboortedatum e.d.) en gedragingen. In de Basisregistratie Personen [BRP_(Basisregistratie Personen) BRP, incl. Registratie Niet-Ingezetenen (RNI), zijn al die gegevens opgenomen. Het Burgerservicenummer (BSN) is de unieke representant van zo'n digitale identiteit. Via een BSN kan je een afgeleide identiteitsverklaring krijgen, zoals een reisdocument of een uittreksel uit het bevolkingsregister.
RvIG beheert de levenscyclus van die digitale identiteiten vanuit haar rol als “Nationale Identity Provider”. Deze cyclus wordt geïnitieerd door een inschrijving in de BRP (bijvoorbeeld bij geboorte, of in de RNI als je als buitenlander een belang hebt voor Nederland). De informatie in de BRP wordt actueel gehouden door kwaliteitsmetingen (terugmelding) en door eigen initiatief van burgers (bijvoorbeeld via een verhuisbericht). Burgers worden hierin gefaciliteerd door de gemeenten, het Ministerie van BZK en RvIG. Toetsing op de correctheid en juistheid gebeurt door de dienstaanbieders, afnemers en controlerende instanties waaronder de Politie.
Kwaliteitsnormen zijn gesteld op zowel inhoudelijke attributen (getoetst via ENSIA en kwaliteitsmonitor) als op het proces (LEAN en ISO25001-Quint2) en terugmeldvoorziening.
In het autorisatiebesluit BRP staat op hoofdlijnen welke partijen informatie uit de BRP verstrekt kunnen krijgen en onder welke voorwaarden.
Welke personen krijgen een digitale identiteit van de RvIG?[bewerken]
Alle Nederlanders (ingezetenen) krijgen een digitale identiteit toegekend, in de vorm van een BSN, met daaraan gerelateerde attributen.
Daarnaast kunnen ook niet-ingezetenen (zoals buitenlanders) zich inschrijven in de RNI en daarmee een digitale identiteit krijgen (BSN e.d.).
Ook bewoners van Caribisch Nederland kunnen in de PIVA worden ingeschreven en daarmee een digitale identiteit krijgen.
Alle andere niet-ingezetenen hebben nu nog geen door de RvIG uitgegeven digitale identiteit. Dat betekent echter niet dat deze personen geen digitale diensten kunnen afnemen. Het is aan de dienstverleners om voor deze categorie mensen toch diensten te verlenen of dat er eerst inschrijving dient plaats te vinden.
Het onderscheid van Nationaliteit (wel of niet Nederlandse) en ook ingezetene of niet-ingezetene, is dus van belang voor de uitgifte van digitale identiteiten aan personen door de Nederlandse Overheid.
In hoeverre maken de overheidsorganisaties gebruik van de digitale identiteiten in de BRP?[bewerken]
Het is voor overheidsorganisaties wettelijk verplicht de gegevens van de BRP te hergebruiken. Maar gebeurt dat ook altijd? Ondanks dat er steeds meer aansluitingen (inclusief terugmeldingen) zijn op de BRP en RNI, worden nog steeds veel kopieën gemaakt van die gegevens: voor eigen taken en processen van (overheids)organisaties. Daarmee zijn er alleen al binnen de overheid meer dan 150 verschillende identiteiten-registraties van burgers.
Het hergebruik van de door RvIG uitgegeven digitale identiteiten van burgers wordt gestimuleerd door de eerder genoemde kwaliteitscontroles en steeds vaker ook door analyses op combinaties van bronnen, zoals bij Landelijke Aanpak Adreskwaliteit (LAA). Anders gesteld: vanuit een business behoefte bij de afnemer/dienstverlener. Er is steeds vaker een concrete business case om met correcte identiteitsgegevens te werken.
Om de rol als Nationale Identity Provider goed waar te kunnen maken, zal de BRP nog sterker neergezet moeten worden als leidende Identiteiten-registratie en attribuutleverancier (analoog aan een LDAP provider/OpenIDConnect provider). En tevens zullen andere overheidsorganisaties hun eigen identiteiten-registraties moeten laten verwijzen naar de BRP. Alle hulp om dit (naast de Attestations (overheidsverklaringen)) voor elkaar te krijgen is zeer gewenst. Vanuit de Werkgroep API van het Digitaal Stelsel Omgevingswet (DSO) wordt gewerkt aan een Nederlands profiel voor oAUTH. Daar moet nog een brug richting OpenIDConnect worden geslagen.
Welke andere (publieke of private) partijen kennen digitale identiteiten toe aan Nederlandse burgers?[bewerken]
De meest in het oog springende andere uitgegeven digitale identiteiten zijn:
- het [Rijks Identificerend Nummer (RIN)] waarmee medewerkers van het Rijk (in- en externen) worden geïdentificeerd
- Personeelsnummers (per organisatie)
- Studentennummers
- Zelfstandigennummers
- Klantnummers (per bedrijf)
e.d.
Om het overzicht en de positie van de mens te versterken zou er binnen de Nederlandse overheid bij voorkeur slechts één identiteiten-autoriteit c.q. Identity Provider zijn en zou het aantal private Identity Providers bij voorkeur beperkt blijven (eerder 10-tallen dan 1000'en).
Daarnaast zou het randvoorwaardelijke [SSI] meer mogen worden uitgedragen, zodat het uitgangspunt “zet de mens centraal” zowel in functie, rechtspositie als ook in beleid, uitvoering en toetsing, echt vorm kan worden gegeven.
Wat is de relatie tussen een digitale identiteit en dienstverlening?[bewerken]
We lichten dat toe aan de hand van het onderstaande plaatje.
Dit functionele plaatje sluit aan op het plaatje van het kader van Identity & Access Management. Ze vullen elkaar aan. Zo omvat het plaatje van het kader bijvoorbeeld de Identiteitsvaststelling (binnen de cyclus Identiteitenbeheer) en dat wordt in dit plaatje aangevuld met het doel: de dienstverlening. Onze verwachting is, dat we hier een volledig samenhangende plaat van kunnen maken, waarbij het kader de noodzakelijke randvoorwaarde aangeeft.
Daarvoor moeten de onderstaande 4 rollen gecombineerd worden met het plaatje hierboven. In de huidige praktijk zal de Identity Provider (DigiD/eHerkenning) obv een attribuut collectie een authenticatie uitvoeren na attribuut Exchange met de BRP (verificatie). De attribuut collectie vindt in bijvoorbeeld een burgerzaakmodule plaats of via attributen die op de chip in het rijbewijs, het paspoort of de eNIK staan. Qua proces moet hier nog een overzichtplaat van worden gemaakt. Qua techniek wordt door de werkgroep API/oAUTH een overzichtsplaat opgesteld. Die geeft echter een nabije toekomst aan. Hoe de huidige inrichting met identity providers en de andere 3 rollen zijn, moet nog in beeld worden gebracht met een idEA visualisatie oid.
De 4 onderstaande rollen moeten steeds worden ingevuld, waarbij een keuze moet worden gemaakt tussen een van de vijf archetypes c.q. implementaties.
NB. Hoe een dienstverlener (een overheidsorganisatie, dan wel een private organisatie) een digitale dienst kan leveren aan personen die géén digitale identiteit van RvIG hebben gekregen, is niet nader uitgewerkt. In de praktijk voegen (overheids)organisaties enkele minimaal benodigde attributen toe aan hun eigen Identiteiten-registratie. Het zou helpen als we dit soort type “inschrijvingen” beschrijven in een overzicht bij de verschillende (overheids)organisaties, zodat we generieke procesafspraken over zo’n intake kunnen maken om daarna een “echte” inschrijving in het BSN/BRP domein meer geleidelijk te laten verlopen.
Hoe verloopt de authenticatie van een digitale identiteit van de BRP: qua proces en qua techniek?[bewerken]
Er is geen eenduidig proces voor de authenticatie (verificatie) van een door RvIG uitgegeven digitale identiteit. De authenticatie vindt in de praktijk decentraal plaats en is ook afhankelijk van het middel dat daarbij wordt gebuikt. Authenticatie wordt doorgaans mogelijk gemaakt via herbruikbare bouwstenen of via diensten. Zo zijn er bijvoorbeeld diensten als DigiD, eHerkenning, Toegangsverleningsservice (TVS), die een autorisatie hebben op de BRP ihkv verificatie (authenticatie). Middels de identity providers worden dienstverleners wel voor een deel ontzorgd. Specifiek toegang tot de authenticatiemiddelen (chip op paspoort, eNIK e.d.) hebben maar een paar partijen. Verificatie van de attributen op de chip(s) gebeurt via autorisaties. Vaak zijn die authenticatiemiddelen technisch gestandaardiseerd (bij DigiD bijvoorbeeld gebaseerd SAML). Door standaardisatie op Informatie-/Applicatielaag wordt gestimuleerd de authenticaties te uniformeren. Vanuit deeloplossingen (rijbewijs, PKIO, Zorgpas, overheidspas, etc) treed ook enige standaardisatie op. Er is echter nog geen eenduidige architectuur voor de overheid waarin deze authenticatie is uitgewerkt.
Voorbeelden van bestaande authenticatiemiddelen waarmee de digitale identiteiten van de BRP worden geverifieerd[bewerken]
PKIO certificaten, WID documenten of DigiD, (sub)OIN, RIN, etc...
Welke impact heeft de eIDAS op de uitgifte van digitale identiteiten door RvIG?[bewerken]
We zien hier 2 situaties optreden:
1. Een Europese burger wenst met de digitale identiteit van zijn eigen land gebruik te maken van diensten in Nederland
Hierbij bestaat het risico dat we in onze identiteiten-registratie (de BRP, incl. RNI), naast de Nederlandse staatsburgers telkens meer buitenlandse burgers met een zakelijk belang bij Nederland moeten opnemen. In feite kopieert Nederland dan de persoonsgegevens uit buitenlandse identiteiten-registraties. Dat lijkt in te gaan tegen het concept van Federatief Identiteitenbeheer en behoeft dus aandacht van de architecten. Zie ook Impact eIDAS voor Nederland.
2. Een Europese burger vraagt een Nederlands authenticatiemiddel aan en gaat dat gebruiken
Hierbij moet inzicht bestaan op welke identiteiten-registraties dat authenticatiemiddel moet kunnen werken. Als een digitale (pseudonieme) identiteit op het authenticatiemiddel moet worden gezet, dan speelt tevens het risico zoals benoemd bij situatie 1.
Nuttige linkjes voor digitale identiteiten[bewerken]
- Het Nationale kader waarbinnen we het Identiteitenbeheer beschouwen: Identity & Access Management (IAM)
- Uitleg over Federatief Identiteitenbeheer: Patroon voor federatie van identity management
- Een Europese voorziening voor het ontsluiten van Nationale identiteiten EID
- Een position paper van de VNG over Digitale Identiteit
- Een nieuw concept t.a.v. digitale identiteiten en gegevensuitwisseling: digital-me.nl