Identiteitenbeheer van bedrijven: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(opzet gemaakt voor Eric vanuit expertgroep)
 
(Samenbrengen van alle IAM-gerelateerde pagina's onder categorie:IAM)
 
(5 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
  {{IAM
  {{IAM
|Beschrijving=
|Beschrijving=
|Contactpersoon=
|Contactpersoon=Jurriaan Raaijmakers
|e-Mailadres=
|e-Mailadres=jraaijmakers@almere.nl
|Redactionele wijzigingsdatum=
|Redactionele wijzigingsdatum=8 oktober 2019
|Review=
|Review=
|Bijdragen door=
|Bijdragen door=Wim Schut (Belastingdienst), Henk Romein (DICTU), Eric Brouwer (ICTU)
|Extra tekst=
|Extra tekst=
}}
}}


Richtlijnen voor dit document:
Richtlijnen voor dit document:
Maak a.u.b. zo veel mogelijk gebruik van reeds bestaande beschrijvingen op het internet of in documenten en
* Maak a.u.b. zo veel mogelijk gebruik van reeds bestaande beschrijvingen op het internet of in documenten;
• verwijs daar naar (linkjes e.d.).
* Verwijs daar naar (linkjes e.d.);
Plaatjes invoegen kan altijd, let op het copyright
* Plaatjes invoegen kan altijd, let op het copyright;
Opmerkingen bij tekst van anderen? doe dit middels invoegen -> reageren ( CTRL, ALT, M)
* Opmerkingen bij tekst van anderen? Doe dat met neutrale bewoordingen of met vragen.
 
== Wat verstaan we onder bedrijven ? ==
Initiële vragen
1. Over welke bedrijven gaat het?
En welke niet? Natuurlijke / Niet natuurlijke? Profit / Non-Profit?
Hoe moeten we het begrip bedrijf zien in relatie tot termen als organisatie, samenwerkingsverband, instantie of ZZP’er?


a. Overheden
We volgen de omschrijving van Wikipedia: Een bedrijf (ook wel onderneming genoemd), is een organisatie van arbeid en kapitaal die actief is in de productie en/of het aanbieden van goederen en diensten.
b. ZZP
c. Instellingen
d.
Mijn route loopt vanuit personen (actoren), omdat die immers identiteiten hebben (veelal voor de rollen die ze aannemen). Een bedrijf is iets dat wordt uitgeoefend, maar geen actor.
Het gaat over alle personen met welke bestuursorganen van de nederlandse overheid voor het uitvoeren van regelingen zaken moeten doen. Dus groot en klein, binnenlands, europees, buiten europa. Het gaat dus niet om personen waarvan het kennen achterwege kan blijven.


HJR: Mijn redenatie is anders. We moeten m.i. redeneren vanuit het onderwerp IAM. Het gaat om identiteiten die iets doen, zaken doen, ‘handelen’. Dat kunnen burgers zijn, maar er zijn ook identiteiten die geen burgers zijn. Daar zijn verschillende namen en rechtsvormen voor: overheid, bedrijf, onderneming, (eenmans-)zaak, stichting, vereniging, samenwerkingsverband enz. We spreken ook wel van natuurlijke personen en niet-natuurlijke personen. Niet-natuurlijke personen  worden bij het handelen meestal vertegenwoordigd door natuurlijke personen, daarbij is de bevoegdheid van belang. Het is echter de rechtspersoon die handelt en verantwoordelijk is. Het bedrijf verkoopt je een product, niet de verkoper. Als je belt met een klacht, dan is die klacht gericht aan het bedrijf en niet aan de telefoniste die je aan de lijn hebt. De rechter veroordeelt het bedrijf tot een boete, niet de directeur.
'''ACTIE''' Aansluiting zoeken bij andere reeds gebruikte omschrijvingen van bedrijf dan wel onderneming:
* KvK: bedrijf =
*Handelsregisterwet 2007, definities van Onderneming en Rechtspersoon in artikel 5 en 6: https://wetten.overheid.nl/BWBR0021777/2019-01-01
* Burgerlijk Wetboek, Boek 2: https://wetten.overheid.nl/BWBR0003045/2019-07-01/#Boek2_Titeldeel1_Artikel2
* Stelselcatalogus: https://www.stelselvanbasisregistraties.nl/begrippen/Maatschappelijke_Activiteit/HR/Onderneming
* Het CBS heeft eigen definities van ‘Bedrijf’, ‘Instelling’ (4 begrippen), ‘Onderneming’, ‘Eenmanszaak’: https://www.cbs.nl/nl-nl/onze-diensten/methoden/begrippen


1.1 Hoe moeten we het begrip bedrijf zien in relatie tot termen als organisatie, samenwerkingsverband, instantie of ZZP’er?
Bij bedrijven gaat het dus niet om natuurlijke personen, maar om niet-natuurlijke personen die "zaken doen", "handelen" en als drager van rechten en plichten een rechtsvorm kennen.  
Lijkt me goed om deze lijst uit te bouwen tot één met veel voorkomende begrippen en die te omschrijven in het kader van IAM. Een begin:
Rechtspersonen (niet-natuurlijke personen) worden bij het handelen meestal vertegenwoordigd door natuurlijke personen, daarbij is de bevoegdheid van de vertegenwoordiger van belang. Het is echter de rechtspersoon die handelt en verantwoordelijk is. Het bedrijf verkoopt je een product, niet de verkoper. Als je belt met een klacht, dan is die klacht gericht aan het bedrijf en niet aan de telefoniste die je aan de lijn hebt. De rechter veroordeelt het bedrijf tot een boete, niet de directeur.
a. Bedrijf = een activiteit die door een persoon wordt uitgeoefend (formele def van kvk nemen en evt duiden)
b. Organisatie = een te vaag begrip, niet gebruiken in IAM
c. Samenwerkingsverband = een generalisatie van gevallen waar verscheiden personen als geheel zaken doen met de overheid. Specialisaties als stichting, vereniging, vennootschap onder firma, maatschap, …
d. Instantie = zie Organisatie 😉
e. ZZP’er = een eenmanszaak die (nog) geen personeel in dienst heeft
f. Overheid =
g. Instelling =
HJR: Het gaat hier m.i. dus om niet-natuurlijke personen, die met veel verschillende termen worden aangeduid; zie onder 1. De KvK verwijst naar de Handelsregisterwet (niet mijn vakgebied). Bij de Belastingdienst en het Ministerie van EZK vond ik geen definities. Het CBS heeft eigen definities van ‘Bedrijf’, ‘Instelling’ (4 begrippen), ‘Onderneming’, ‘Eenmanszaak’.
Links :
https://nl.wikipedia.org/wiki/Nederlands_rechtspersonenrecht 
https://wetten.overheid.nl/zoeken
Handelsregisterwet 2007: https://wetten.overheid.nl/BWBR0021777/2019-01-01 (definities van Onderneming en Rechtspersoon in artikel 5 en 6)
Burgerlijk Wetboek Boek 2: https://wetten.overheid.nl/BWBR0003045/2019-07-01/#Boek2_Titeldeel1_Artikel2
Stelselcatalogus, Handelsregister: https://www.stelselvanbasisregistraties.nl/begrippen/Maatschappelijke_Activiteit/HR/Onderneming
CBS:  https://www.cbs.nl/nl-nl/onze-diensten/methoden/begrippen


Naast de term bedrijf (en het synoniem onderneming), kennen we ook nog andere termen voor rechtspersonen, zoals:
# Organisatie =
# Overheidsorganisatie =
# Samenwerkingsverband = een generalisatie van gevallen waar verschillende personen als geheel zaken doen, zoals een stichting, maatschap, vereniging, vennootschap onder firma, besloten vennootschap, naamloze vennootschap, …
# Instelling =
# Eenmanszaak =
# ZZP’er = een eenmanszaak die geen personeel in dienst heeft


Wellicht is voor IAM niet alleen een bedrijf van belang, maar elke mogelijke rechtspersonen?
2. Welke elektronische identiteit(en) geeft de Overheid aan die bedrijven?
Elke rechtspersoon die binnen of met Nederlandse zaken wil doen. Dus groot en klein, binnenlands, buitenlands, Europees, buiten Europa.
(KvK-nummer, RSIN, …)
e. OIN: Organisatie Identificatie Nummer
Het OIN is een uniek identificerend nummer dat gebruikt wordt door organisaties met een publieke taak zoals overheidsorganisaties in de digitale communicatie met andere publieke of private partijen.
Heeft u al een OIN? Dan kunt u ook een subOIN aanvragen voor onderdelen van uw organisatie die geen  rechtspersoon zijn. Zo zijn deze onderdelen op te zoeken in het register. Het subOIN moet wel gerelateerd zijn aan uw organisatie.
f. HRN: Handels Register Nummer
Organisaties die niet in aanmerking komen voor een OIN, krijgen een HRN bij de aanvraag van een PKIoverheid-certificaat. De certificaatverlener (CSP) zal het HRN afleiden bij de creatie van het certificaat.
g. Handelsnaam
h. KvK Nummer
i. BTW-Nummer
i. de landcode NL
ii. een RSIN/fiscaal nummer of burgerservicenummer
iii. een toevoeging van 3 posities: B01 t/m B9
j. RISN (zie G) onderdeel van BTW Nummer
k. Fiscaal nummer
l. DUNS nummer


3. Welke overheidsorganisatie geeft die elektronische identiteiten uit en hoe worden ze beheerd qua proces van creëren, onderhouden en verwijderen?
== Welke elektronische identiteit(en) geeft de Overheid aan die bedrijven? ==
Bsn loopt met burger mee, zie aldaar.
Kvk-nummer en ik dacht ook rsin worden uitgereikt door KvK.
Oin komt in paar soorten voor, wordt als kenmerk aan een PKI-certificaat gekoppeld (prefix die soort aangeeft en dan eigenlijke nummer). Andere soorten naast kvk-nummer bestaan voor de gevallen die we niet in het NHR mogen/kunnen/willen opnemen.


We kennen in elk geval de volgende (uniek) identificaties:
# Organisatie Identificatie Nummer (OIN) is een uniek identificerend nummer dat gebruikt wordt door organisaties met een publieke taak, zoals overheidsorganisaties.
Als een organisatie al een OIN heeft, dan kan ook een subOIN worden aangevraagd voor onderdelen van die organisatie die geen rechtspersoon zijn. Zo zijn deze onderdelen op te zoeken in het OIN-register. Het subOIN moet wel gerelateerd zijn aan uw organisatie.
# Handels Register Nummer (HRN) is een nummer dat bij de aanvraag van een PKIoverheid-certificaat wordt toegekend aan organisaties die niet in aanmerking komen voor een OIN. De certificaatverlener (CSP) zal het HRN afleiden bij de creatie van het certificaat.
# KvK-nummer wordt uitgegeven door de KvK bij inschrijving van het bedrijf in het Handelsregister (HR).
# BTW-nummer wordt uitgegeven door de Belastingdienst bij aanmelding voor de Omzet-belasting.
# de landcode NL
# RSIN is een onderdeel van het BTW-Nummer: en bij een eenmanszaak is dat doorgaans het burgerservicenummer van de eigenaar, met toevoeging van 3 posities: B01 t/m B09
# Fiscaal-nummer
# DUNS-nummer


4. Welke kwaliteitsnormen worden daarbij gehanteerd?
Waar staat beschreven hoe die elektronische identiteiten van de bedrijven worden uitgegeven en hoe ze worden beheerd qua proces van creëren, onderhouden en verwijderen?
a. Betrouwbaarheidsniveau
Welke kwaliteitsnormen worden daarbij gehanteerd?
Welke gegevens(soorten) zijn daartoe van belang?
   
   
5. Welke applicaties worden daarbij gebruikt?
Welke applicaties worden daarbij gebruikt?
 
Denk hierbij aan de website van de KvK en het HR, waar bedrijven worden ingeschreven.
 
6. Hoe kan zo’n e-ID worden geverifieerd (via authenticatiemiddelen)?
(geef voorbeelden van bestaande authenticatiemiddelen waarmee dat gebeurt)
a. EHerkenning -> kvknummer, RSIN?, BSN?
b. eID
iv.  
c. PKIoverheid -> OIN (waaronder kvknummer)
 
HJR: Ik vind dit een vreemde voorstelling van zaken. Een natuurlijk persoon die wil handelen voor zichzelf of namens een ander moet zich identificeren (een naam of een nummer geven) en authenticeren (bewijzen wie hij/zij zegt te zijn). Dat is stap 1. De eHerkenning Authencticatiedienst ondersteunt deze stap. Stap 2 is aan de orde bij vertegenwoordiging: aangeven namens wie je wilt handelen en aantonen dat je daarvoor bevoegd bent. Het eHerkenning Machtigingenregister ondersteunt deze stap doordat (een wettelijk vertegenwoordiger van) een bedrijf een eHerkenning middel heeft geautoriseerd voor het afnemen van een dienst namens dat bedrijf. Een eHerkenning middel wordt meestal door slechts één bedrijf geautoriseerd, daardoor handelt de natuurlijk persoon impliciet namens dat bedrijf (en hoeft hij het bedrijf niet telkens aan te wijzen).
Als het gaat om verificatie dan zijn er twee processen van belang. Het (tweede) proces hierboven, dat plaatsvindt direct voorafgaande aan het digitaal handelen. Maar eerder heeft een ander proces plaatsgevonden, namelijk voorafgaande aan het verstrekken van het eHerkenning middel. Hoe is gecontroleerd dat de persoon die het middel krijgt ook werkelijk de persoon is die hij/zij zegt te zijn. Hoe is gecontroleerd of het opgegeven bedrijf werkelijk bestaat en of degene die een middel aanvraagt of een middel autoriseert een wettelijk vertegenwoordiger van dat bedrijf is. De sterkte van déze controles bepalen mede de sterkte van de authenticatie en autorisatie. Voor een middel met een hoog betrouwbaarheidsniveau worden meer controles gedaan dan voor een middel met een laag niveau.


7. Hoe moeten we omgaan met de relatie(s) tussen natuurlijke personen en bedrijven?
NB. In het HR worden de volgende bedrijven geregistreerd:
(eigenaar, medewerker, vertegenwoordiger enz.) machtigingen etc.
* Publiekrechtelijke rechtspersoon
a. Publiekrechtelijke rechtspersoon ingeschreven in het handelsregister
* Privaatrechtelijke rechtspersoon
b. Privaatrechtelijke rechtspersoon ingeschreven in het Handelsregister
* Personenvennootschap
c. Personenvennootschap ingeschreven in het Handelsregister
En nog meer? Zoals Orgaan, persoon of college zoals bedoeld in 1:1 lid 2 Algemene Wet Bestuursrecht
d. Orgaan, persoon of college zoals bedoeld in 1:1 lid 2 Algemene Wet Bestuursrecht
Zijn dit dan allemaal bedrijven?
e. Anders, namelijk
Of zijn dit de soort "organisaties" die zijn ingeschreven in het HR?
v.
vi.
vii.


8. Een natuurlijke persoon kan een bedrijf uitoefenen. Hij is dan eigenaar van het bedrijf.
== Hoe kan een digitale identiteit van een bedrijf worden geverifieerd ? ==
9. Een niet-natuurlijke persoon kent één of meer eigenaren (natuurlijke of niet-natuurlijke personen). Daarnaast ook personen aan wie gehele of gedeeltijke procuratiebevoegdheid is toegekend.
10. Een medewerker van een bedrijf is in IAM termen te herkennen aan zijn verticaal toegekende bevoegdheid (die kan, maar hoeft niet in het NHR te zijn vastgelegd).
HJR: In het eHerkenningstelsel wordt de bevoegdheid aan de medewerker (of eigenlijk: aan het eHerkenning middel) door een wettelijk vertegenwoordiger vastgelegd in het Machtigingenregister (nadat deze binnen het stelsel geautoriseerd is om namens het bedrijf zijn/haar medewerkers te autoriseren).


11. Een natuurlijk persoon is meestal (system-to-system/PKI certificaat is de uitzondering) nodig om een nnp te vertegenwoordigen. Daarnaast kan met een horizontale machtiging een andere persoon namens een persoon handelen.
Is dat nodig?
HJR: Het gaat hier om het moment van handelen. Bij system-to-system/PKI certificaat is op het moment van handelen geen natuurlijk persoon nodig. Maar eerder, in het proces van aanvragen en aanmaken van het certificaat, is die natuurlijke persoon wel nodig.
Of kan je dat altijd afleiden uit de identiteit van degene die het bedrijf vertegenwoordigd?
   
   
Wij denken dat de identiteit van een bedrijf via de volgende authenticatiemiddelen kan worden geverifieerd:
# eHerkenning -> KvK-nummer, RSIN?, BSN?
# eID
# PKIoverheid -> OIN (waaronder KvK-nummer)
# https://www.digidentity.eu/nl/home/


Een natuurlijk persoon die wil handelen voor zichzelf of namens een ander moet zich identificeren (een naam of een nummer geven) en authenticeren (bewijzen wie hij/zij zegt te zijn). Dat is stap 1. De eHerkenning Authencticatiedienst ondersteunt deze stap. Stap 2 is aan de orde bij vertegenwoordiging: aangeven namens wie je wilt handelen en aantonen dat je daarvoor bevoegd bent. Het eHerkenning Machtigingenregister ondersteunt deze stap doordat (een wettelijk vertegenwoordiger van) een bedrijf een eHerkenning middel heeft geautoriseerd voor het afnemen van een dienst namens dat bedrijf. Een eHerkenning middel wordt meestal door slechts één bedrijf geautoriseerd, daardoor handelt de natuurlijk persoon impliciet namens dat bedrijf (en hoeft hij het bedrijf niet telkens aan te wijzen).
Als het gaat om verificatie dan zijn er twee processen van belang. Het (tweede) proces hierboven, dat plaatsvindt direct voorafgaande aan het digitaal handelen. Maar eerder heeft een ander proces plaatsgevonden, namelijk voorafgaande aan het verstrekken van het eHerkenning middel. Hoe is gecontroleerd dat de persoon die het middel krijgt ook werkelijk de persoon is die hij/zij zegt te zijn. Hoe is gecontroleerd of het opgegeven bedrijf werkelijk bestaat en of degene die een middel aanvraagt of een middel autoriseert een wettelijk vertegenwoordiger van dat bedrijf is. De sterkte van déze controles bepalen mede de sterkte van de authenticatie en autorisatie. Voor een middel met een hoog betrouwbaarheidsniveau worden meer controles gedaan dan voor een middel met een laag niveau.


== Hoe gaan we om met de relatie(s) tussen natuurlijke personen en bedrijven? ==


Denk aan relaties als: eigenaar, medewerker, vertegenwoordiger, gemachtigde enz.  
Een natuurlijke persoon kan een bedrijf uitoefenen. Hij is dan eigenaar van het bedrijf.
Planning
Een niet-natuurlijke persoon kent één of meer eigenaren (natuurlijke of niet-natuurlijke personen). Daarnaast ook personen aan wie gehele of gedeeltijke procuratiebevoegdheid is toegekend.
Het zou mooi zijn als medio augustus een 1e concept beschikbaar is, zodat we e.e.a. parallel kunnen laten lopen met de aanpassing van het Identiteitenbeheer van natuurlijke personen.
Een medewerker van een bedrijf is in IAM termen te herkennen aan zijn verticaal toegekende bevoegdheid (die kan, maar hoeft niet in het NHR te zijn vastgelegd).
Is dat haalbaar voor jullie?
In het eHerkenningstelsel wordt de bevoegdheid aan de medewerker (of eigenlijk: aan het eHerkenning middel) door een wettelijk vertegenwoordiger vastgelegd in het Machtigingenregister (nadat deze binnen het stelsel geautoriseerd is om namens het bedrijf zijn/haar medewerkers te autoriseren).
 
 


Notes & Sites:
Een natuurlijk persoon is meestal (system-to-system/PKI certificaat is de uitzondering) nodig om een nnp te vertegenwoordigen. Daarnaast kan met een horizontale machtiging een andere persoon namens een persoon handelen.
• Zoiets als het Sub-OIN zou je van toepassing kunnen maken op op vele andere services. Op die manier kan je altijd een individu vanuit een organisatie op een extra manier onderscheiden / separate rechten geven.  
Het gaat hier om het moment van handelen. Bij system-to-system/PKI certificaat is op het moment van handelen geen natuurlijk persoon nodig. Maar eerder, in het proces van aanvragen en aanmaken van het certificaat, is die natuurlijke persoon wel nodig.
Ook ondervang je met Zoiets als een Sub-OIN dat een iemand inicht krijgt in alle organisatie onderdelen als je alleen maar (bv crediteringen) voor 1 afdeling / vestiging hoeft te doen
• https://www.digidentity.eu/nl/home/
• www.dnb-nederland.nl/dnb-dat


== Aandachtspunten ==
Zoiets als het Sub-OIN zou je van toepassing kunnen maken op vele andere diensten. Op die manier kan je altijd een individu vanuit een organisatie op een extra manier onderscheiden / separate rechten geven.
Ook ondervang je met zoiets als een Sub-OIN dat een iemand inzicht krijgt in alle organisatie onderdelen als je alleen maar (bv crediteringen) voor 1 afdeling / vestiging hoeft te doen.


Referenties:
[[Categorie:IAM]]

Huidige versie van 8 mrt 2023 om 19:14

Identity & Access Management (IAM)
Onderdeel van
Thema's
Contact
Harro Kremer
harro.kremer@jio.nl
Status
Actueel



Richtlijnen voor dit document:

  • Maak a.u.b. zo veel mogelijk gebruik van reeds bestaande beschrijvingen op het internet of in documenten;
  • Verwijs daar naar (linkjes e.d.);
  • Plaatjes invoegen kan altijd, let op het copyright;
  • Opmerkingen bij tekst van anderen? Doe dat met neutrale bewoordingen of met vragen.

Wat verstaan we onder bedrijven ?[bewerken]

We volgen de omschrijving van Wikipedia: Een bedrijf (ook wel onderneming genoemd), is een organisatie van arbeid en kapitaal die actief is in de productie en/of het aanbieden van goederen en diensten.

ACTIE Aansluiting zoeken bij andere reeds gebruikte omschrijvingen van bedrijf dan wel onderneming:

Bij bedrijven gaat het dus niet om natuurlijke personen, maar om niet-natuurlijke personen die "zaken doen", "handelen" en als drager van rechten en plichten een rechtsvorm kennen. Rechtspersonen (niet-natuurlijke personen) worden bij het handelen meestal vertegenwoordigd door natuurlijke personen, daarbij is de bevoegdheid van de vertegenwoordiger van belang. Het is echter de rechtspersoon die handelt en verantwoordelijk is. Het bedrijf verkoopt je een product, niet de verkoper. Als je belt met een klacht, dan is die klacht gericht aan het bedrijf en niet aan de telefoniste die je aan de lijn hebt. De rechter veroordeelt het bedrijf tot een boete, niet de directeur.

Naast de term bedrijf (en het synoniem onderneming), kennen we ook nog andere termen voor rechtspersonen, zoals:

  1. Organisatie =
  2. Overheidsorganisatie =
  3. Samenwerkingsverband = een generalisatie van gevallen waar verschillende personen als geheel zaken doen, zoals een stichting, maatschap, vereniging, vennootschap onder firma, besloten vennootschap, naamloze vennootschap, …
  4. Instelling =
  5. Eenmanszaak =
  6. ZZP’er = een eenmanszaak die geen personeel in dienst heeft

Wellicht is voor IAM niet alleen een bedrijf van belang, maar elke mogelijke rechtspersonen? Elke rechtspersoon die binnen of met Nederlandse zaken wil doen. Dus groot en klein, binnenlands, buitenlands, Europees, buiten Europa.

Welke elektronische identiteit(en) geeft de Overheid aan die bedrijven?[bewerken]

We kennen in elk geval de volgende (uniek) identificaties:

  1. Organisatie Identificatie Nummer (OIN) is een uniek identificerend nummer dat gebruikt wordt door organisaties met een publieke taak, zoals overheidsorganisaties.

Als een organisatie al een OIN heeft, dan kan ook een subOIN worden aangevraagd voor onderdelen van die organisatie die geen rechtspersoon zijn. Zo zijn deze onderdelen op te zoeken in het OIN-register. Het subOIN moet wel gerelateerd zijn aan uw organisatie.

  1. Handels Register Nummer (HRN) is een nummer dat bij de aanvraag van een PKIoverheid-certificaat wordt toegekend aan organisaties die niet in aanmerking komen voor een OIN. De certificaatverlener (CSP) zal het HRN afleiden bij de creatie van het certificaat.
  2. KvK-nummer wordt uitgegeven door de KvK bij inschrijving van het bedrijf in het Handelsregister (HR).
  3. BTW-nummer wordt uitgegeven door de Belastingdienst bij aanmelding voor de Omzet-belasting.
  4. de landcode NL
  5. RSIN is een onderdeel van het BTW-Nummer: en bij een eenmanszaak is dat doorgaans het burgerservicenummer van de eigenaar, met toevoeging van 3 posities: B01 t/m B09
  6. Fiscaal-nummer
  7. DUNS-nummer

Waar staat beschreven hoe die elektronische identiteiten van de bedrijven worden uitgegeven en hoe ze worden beheerd qua proces van creëren, onderhouden en verwijderen?

Welke kwaliteitsnormen worden daarbij gehanteerd?

Welke gegevens(soorten) zijn daartoe van belang?

Welke applicaties worden daarbij gebruikt? Denk hierbij aan de website van de KvK en het HR, waar bedrijven worden ingeschreven.

NB. In het HR worden de volgende bedrijven geregistreerd:

  • Publiekrechtelijke rechtspersoon
  • Privaatrechtelijke rechtspersoon
  • Personenvennootschap

En nog meer? Zoals Orgaan, persoon of college zoals bedoeld in 1:1 lid 2 Algemene Wet Bestuursrecht Zijn dit dan allemaal bedrijven? Of zijn dit de soort "organisaties" die zijn ingeschreven in het HR?

Hoe kan een digitale identiteit van een bedrijf worden geverifieerd ?[bewerken]

Is dat nodig? Of kan je dat altijd afleiden uit de identiteit van degene die het bedrijf vertegenwoordigd?

Wij denken dat de identiteit van een bedrijf via de volgende authenticatiemiddelen kan worden geverifieerd:

  1. eHerkenning -> KvK-nummer, RSIN?, BSN?
  2. eID
  3. PKIoverheid -> OIN (waaronder KvK-nummer)
  4. https://www.digidentity.eu/nl/home/

Een natuurlijk persoon die wil handelen voor zichzelf of namens een ander moet zich identificeren (een naam of een nummer geven) en authenticeren (bewijzen wie hij/zij zegt te zijn). Dat is stap 1. De eHerkenning Authencticatiedienst ondersteunt deze stap. Stap 2 is aan de orde bij vertegenwoordiging: aangeven namens wie je wilt handelen en aantonen dat je daarvoor bevoegd bent. Het eHerkenning Machtigingenregister ondersteunt deze stap doordat (een wettelijk vertegenwoordiger van) een bedrijf een eHerkenning middel heeft geautoriseerd voor het afnemen van een dienst namens dat bedrijf. Een eHerkenning middel wordt meestal door slechts één bedrijf geautoriseerd, daardoor handelt de natuurlijk persoon impliciet namens dat bedrijf (en hoeft hij het bedrijf niet telkens aan te wijzen). Als het gaat om verificatie dan zijn er twee processen van belang. Het (tweede) proces hierboven, dat plaatsvindt direct voorafgaande aan het digitaal handelen. Maar eerder heeft een ander proces plaatsgevonden, namelijk voorafgaande aan het verstrekken van het eHerkenning middel. Hoe is gecontroleerd dat de persoon die het middel krijgt ook werkelijk de persoon is die hij/zij zegt te zijn. Hoe is gecontroleerd of het opgegeven bedrijf werkelijk bestaat en of degene die een middel aanvraagt of een middel autoriseert een wettelijk vertegenwoordiger van dat bedrijf is. De sterkte van déze controles bepalen mede de sterkte van de authenticatie en autorisatie. Voor een middel met een hoog betrouwbaarheidsniveau worden meer controles gedaan dan voor een middel met een laag niveau.

Hoe gaan we om met de relatie(s) tussen natuurlijke personen en bedrijven?[bewerken]

Denk aan relaties als: eigenaar, medewerker, vertegenwoordiger, gemachtigde enz. Een natuurlijke persoon kan een bedrijf uitoefenen. Hij is dan eigenaar van het bedrijf. Een niet-natuurlijke persoon kent één of meer eigenaren (natuurlijke of niet-natuurlijke personen). Daarnaast ook personen aan wie gehele of gedeeltijke procuratiebevoegdheid is toegekend. Een medewerker van een bedrijf is in IAM termen te herkennen aan zijn verticaal toegekende bevoegdheid (die kan, maar hoeft niet in het NHR te zijn vastgelegd). In het eHerkenningstelsel wordt de bevoegdheid aan de medewerker (of eigenlijk: aan het eHerkenning middel) door een wettelijk vertegenwoordiger vastgelegd in het Machtigingenregister (nadat deze binnen het stelsel geautoriseerd is om namens het bedrijf zijn/haar medewerkers te autoriseren).

Een natuurlijk persoon is meestal (system-to-system/PKI certificaat is de uitzondering) nodig om een nnp te vertegenwoordigen. Daarnaast kan met een horizontale machtiging een andere persoon namens een persoon handelen. Het gaat hier om het moment van handelen. Bij system-to-system/PKI certificaat is op het moment van handelen geen natuurlijk persoon nodig. Maar eerder, in het proces van aanvragen en aanmaken van het certificaat, is die natuurlijke persoon wel nodig.

Aandachtspunten[bewerken]

Zoiets als het Sub-OIN zou je van toepassing kunnen maken op vele andere diensten. Op die manier kan je altijd een individu vanuit een organisatie op een extra manier onderscheiden / separate rechten geven. Ook ondervang je met zoiets als een Sub-OIN dat een iemand inzicht krijgt in alle organisatie onderdelen als je alleen maar (bv crediteringen) voor 1 afdeling / vestiging hoeft te doen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

Overgenomen van "https://www.noraonline.nl/index.php?title=Identiteitenbeheer_van_bedrijven&oldid=68191"