Identiteitenbeheer van personen

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 8 mei 2019 om 14:19 (met afbeelding)
Naar navigatie springen Naar zoeken springen
Identity & Access Management (IAM)
Onderdeel van
Thema's
Contact
Harro Kremer
harro.kremer@jio.nl
Status
Actueel



Om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake digitale identiteiten, is hier volgend een visie daarop gegeven, met uitleg van de relevante begrippen en een visualisatie en beschrijving van hun samenhang.

Schematische weergave van toegang verlenen tot een dienst: links de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl nummer 1 verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: Personen, Computers, Apps, Dingen (IOT). In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten.


Hoe legt de BRP de relatie tussen een mens van vlees en bloed en de Nationale digitale identiteit?[bewerken]

De Nederlandse gemeenten kennen digitale identiteiten toe aan mensen in hun rol als inwoner (ingezetene) van Nederland. De Rijksdienst voor Identiteitsgegevens ([RvIG]) doet die toekenning voor niet-ingezetenen. Zo'n digitale identiteit wordt afgeleid uit de menselijke attributen (naam, geboortedatum e.d.). In de [BRP_(Basisregistratie Personen) BRP], zijn al die gegevens opgenomen. Het burgerservicenummer (BSN) is de unieke representant van zo'n digitale identiteit. Via een BSN kan je een afgeleide identiteitsverklaring krijgen, zoals een reisdocument.

RvIG beheert de levenscyclus van die digitale identiteiten vanuit haar rol als “Nationale Identity Provider”. Deze cyclus wordt geïnitieerd door een inschrijving in de BRP (bij geboorte, of immigratie, of wanneer je niet in Nederland woont, maar je – vanwege een belang in Nederland – registreert als niet-ingezetene). De informatie in de BRP wordt actueel gehouden door eigen initiatief van burgers (bijvoorbeeld via een verhuisbericht), door daarvoor aangewezen overheidsinstanties (bijvoorbeeld IND voor verblijfstitels en door Aangewezen Bestuursorganen voor wijzigingen in gegevens van niet-ingezetenen). Burgers worden hierin gefaciliteerd door de gemeenten, het Ministerie van BZK en RvIG. Afnemers doen een terugmelding via de terugmeldvoorziening (TMV) bij gerede twijfel aan de ontvangen BRP-gegevens.

Kwaliteitsnormen zijn gesteld op zowel inhoudelijke attributen als de uitvoering van de processen (getoetst via ENSIA en de wettelijk verplichte zelfevaluatie).

In het autorisatiebesluit staat welke informatie over welke personen en onder welke voorwaarden aan de afnemer verstrekt wordt uit de BRP.

Welke personen krijgen een digitale identiteit?[bewerken]

Alle ingezetenen krijgen een digitale identiteit toegekend, in de vorm van een BSN, met daaraan gerelateerde attributen.

Daarnaast kunnen ook niet-ingezetenen zich inschrijven in de BRP en daarmee een digitale identiteit krijgen (BSN e.d.).

Ook bewoners van Caribisch Nederland kunnen in de PIVA worden ingeschreven en daarmee een digitale identiteit krijgen. Zij krijgen echter geen BSN.

Alle andere niet-ingezetenen hebben nu nog geen door de RvIG uitgegeven digitale identiteit. Dat betekent echter niet dat deze personen geen digitale diensten kunnen afnemen. Het is aan de dienstverleners om te bepalen dat aan deze mensen toch diensten (kunnen) worden verleend.

Het onderscheid van Nationaliteit (wel of niet Nederlandse) en ook ingezetene of niet-ingezetene, is dus van belang voor de uitgifte van digitale identiteiten aan personen door de Nederlandse Overheid.

In hoeverre maken de overheidsorganisaties gebruik van de digitale identiteiten in de BRP?[bewerken]

Het is voor overheidsorganisaties wettelijk verplicht de gegevens van de BRP te gebruiken. Maar gebeurt dat ook altijd? Ondanks dat er steeds meer aansluitingen (inclusief terugmeldingen) zijn op de BRP en RNI, worden nog steeds veel kopieën gemaakt van die gegevens: voor eigen taken en processen van (overheids)organisaties. Daarmee zijn er alleen al binnen de overheid meer dan 150 verschillende identiteiten-registraties van burgers.

Het gebruik van de door RvIG uitgegeven digitale identiteiten van burgers wordt gestimuleerd door de eerder genoemde kwaliteitscontroles en steeds vaker ook door analyses op combinaties van bronnen, zoals bij Landelijke Aanpak Adreskwaliteit (LAA). Anders gesteld: vanuit een business behoefte bij de afnemer/dienstverlener. Er is steeds vaker een concrete business case om met correcte identiteitsgegevens te werken.

Om de rol als Nationale Identity Provider goed waar te kunnen maken, zal de BRP nog sterker neergezet moeten worden als leidende Identiteiten-registratie en attribuutleverancier (analoog aan een LDAP provider/OpenIDConnect provider). En tevens zullen andere overheidsorganisaties hun eigen identiteiten-registraties moeten laten verwijzen naar de BRP. Alle hulp om dit voor elkaar te krijgen is zeer gewenst. Vanuit de Werkgroep API van het Digitaal Stelsel Omgevingswet (DSO) wordt gewerkt aan een Nederlands profiel voor oAUTH. Daar moet nog een brug richting OpenIDConnect worden geslagen.

Welke andere (publieke of private) partijen kennen digitale identiteiten toe aan Nederlandse burgers?[bewerken]

De meest in het oog springende andere uitgegeven digitale identiteiten zijn:

  • het [Rijks Identificerend Nummer (RIN)] waarmee medewerkers van het Rijk (in- en externen) worden geïdentificeerd
  • Personeelsnummers (per organisatie)
  • Studentennummers
  • Zelfstandigennummers
  • Klantnummers (per bedrijf)

e.d.

Om het overzicht en de positie van de mens te versterken zou er binnen de Nederlandse overheid bij voorkeur slechts één identiteiten-autoriteit c.q. Identity Provider zijn en zou het aantal private Identity Providers bij voorkeur beperkt blijven (eerder 10-tallen dan 1000'en).

Daarnaast zou het randvoorwaardelijke [SSI] meer mogen worden uitgedragen, zodat het uitgangspunt “zet de mens centraal” zowel in functie, rechtspositie als ook in beleid, uitvoering en toetsing, echt vorm kan worden gegeven.

Hoe verloopt de authenticatie van een digitale identiteit van de BRP: qua proces en qua techniek?[bewerken]

Er is geen eenduidig proces voor de authenticatie (verificatie) van een door RvIG uitgegeven digitale identiteit. De authenticatie vindt in de praktijk decentraal plaats en is ook afhankelijk van het middel dat daarbij wordt gebuikt. Authenticatie wordt doorgaans mogelijk gemaakt via herbruikbare bouwstenen of via diensten. Zo zijn er bijvoorbeeld diensten als DigiD, eHerkenning, Toegangsverleningsservice (TVS), die een autorisatie hebben op de BRP ihkv verificatie (authenticatie). Middels de identity providers worden dienstverleners wel voor een deel ontzorgd. Specifiek toegang tot de authenticatiemiddelen (chip op paspoort, eNIK e.d.) hebben maar een paar partijen. Verificatie van de attributen op de chip(s) gebeurt via autorisaties. Vaak zijn die authenticatiemiddelen technisch gestandaardiseerd (bij DigiD bijvoorbeeld gebaseerd SAML). Door standaardisatie op Informatie-/Applicatielaag wordt gestimuleerd de authenticaties te uniformeren. Vanuit deeloplossingen (rijbewijs, PKIO, Zorgpas, overheidspas, etc) treed ook enige standaardisatie op. Er is echter nog geen eenduidige architectuur voor de overheid waarin deze authenticatie is uitgewerkt.

Voorbeelden van bestaande authenticatiemiddelen waarmee de digitale identiteiten van de BRP worden geverifieerd[bewerken]

PKIO certificaten, WID documenten of DigiD, (sub)OIN, RIN, etc...

Welke impact heeft de eIDAS op de uitgifte van digitale identiteiten door RvIG?[bewerken]

We zien hier 2 situaties optreden:

1. Een Europese burger wenst met de digitale identiteit van zijn eigen land gebruik te maken van diensten in Nederland

Hierbij bestaat het risico dat we in onze identiteiten-registratie (de BRP, incl. RNI), naast de Nederlandse staatsburgers telkens meer buitenlandse burgers met een zakelijk belang bij Nederland moeten opnemen. In feite kopieert Nederland dan de persoonsgegevens uit buitenlandse identiteiten-registraties. Dat lijkt in te gaan tegen het concept van Federatief Identiteitenbeheer en behoeft dus aandacht van de architecten. Zie ook Impact eIDAS voor Nederland.

2. Een Europese burger vraagt een Nederlands authenticatiemiddel aan en gaat dat gebruiken

Hierbij moet inzicht bestaan op welke identiteiten-registraties dat authenticatiemiddel moet kunnen werken. Als een digitale (pseudonieme) identiteit op het authenticatiemiddel moet worden gezet, dan speelt tevens het risico zoals benoemd bij situatie 1.

Nuttige linkjes voor digitale identiteiten[bewerken]

NB-1 Het kader is niet meer 1-2-3 te vinden op internet: opvragen is mogelijk bij de secretaris van de ICCIO / ICBR.
NB-2 Het gebruik van het BSN zoals genoemd in het document, is achterhaald en het RIN (Rijksoverheidsmedewerker Identificerend Nummer) vervangt het BSN.

Er is sprake van gerede twijfel bij een afnemer over de juistheid van een gegeven als voldaan wordt aan de volgende criteria: er is een sterk vermoeden dat een (authentiek) gegeven onjuist is, dat vermoeden is gebaseerd op kennis en kunde van de eigen processen en doelgroep van de afnemer (een combinatie van kennis, kunde en gezond verstand) en de afnemer kent de definitie van dit (authentiek) gegeven.

De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

NORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak.

Overgenomen van "https://www.noraonline.nl/index.php?title=Identiteitenbeheer_van_personen&oldid=33984"