Identiteitenbeheer van bedrijven

Identity & Access Management (IAM)

Onderdeel van

Thema's

Contact

Harro Kremer

harro.kremer@jio.nl

Status

Actueel

Richtlijnen voor dit document:

• Maak a.u.b. zo veel mogelijk gebruik van reeds bestaande beschrijvingen op het internet of in documenten;
• Verwijs daar naar (linkjes e.d.);
• Plaatjes invoegen kan altijd, let op het copyright;
• Opmerkingen bij tekst van anderen? Doe dat met neutrale bewoordingen of met vragen.

Wat verstaan we onder bedrijven ?[bewerken]

We volgen de omschrijving van Wikipedia: Een bedrijf (ook wel onderneming genoemd), is een organisatie van arbeid en kapitaal die actief is in de productie en/of het aanbieden van goederen en diensten.

ACTIE Aansluiting zoeken bij andere reeds gebruikte omschrijvingen van bedrijf dan wel onderneming:

• KvK: bedrijf =
• Handelsregisterwet 2007, definities van Onderneming en Rechtspersoon in artikel 5 en 6: https://wetten.overheid.nl/BWBR0021777/2019-01-01
• Burgerlijk Wetboek, Boek 2: https://wetten.overheid.nl/BWBR0003045/2019-07-01/#Boek2_Titeldeel1_Artikel2
• Stelselcatalogus: https://www.stelselvanbasisregistraties.nl/begrippen/Maatschappelijke_Activiteit/HR/Onderneming
• Het CBS heeft eigen definities van ‘Bedrijf’, ‘Instelling’ (4 begrippen), ‘Onderneming’, ‘Eenmanszaak’: https://www.cbs.nl/nl-nl/onze-diensten/methoden/begrippen

Bij bedrijven gaat het dus niet om natuurlijke personen, maar om niet-natuurlijke personen die "zaken doen", "handelen" en als drager van rechten en plichten een rechtsvorm kennen. Rechtspersonen (niet-natuurlijke personen) worden bij het handelen meestal vertegenwoordigd door natuurlijke personen, daarbij is de bevoegdheid van de vertegenwoordiger van belang. Het is echter de rechtspersoon die handelt en verantwoordelijk is. Het bedrijf verkoopt je een product, niet de verkoper. Als je belt met een klacht, dan is die klacht gericht aan het bedrijf en niet aan de telefoniste die je aan de lijn hebt. De rechter veroordeelt het bedrijf tot een boete, niet de directeur.

Naast de term bedrijf (en het synoniem onderneming), kennen we ook nog andere termen voor rechtspersonen, zoals:

1. Organisatie =
2. Overheidsorganisatie =
3. Samenwerkingsverband = een generalisatie van gevallen waar verschillende personen als geheel zaken doen, zoals een stichting, maatschap, vereniging, vennootschap onder firma, besloten vennootschap, naamloze vennootschap, …
4. Instelling =
5. Eenmanszaak =
6. ZZP’er = een eenmanszaak die geen personeel in dienst heeft

Wellicht is voor IAM niet alleen een bedrijf van belang, maar elke mogelijke rechtspersonen? Elke rechtspersoon die binnen of met Nederlandse zaken wil doen. Dus groot en klein, binnenlands, buitenlands, Europees, buiten Europa.

Welke elektronische identiteit(en) geeft de Overheid aan die bedrijven?[bewerken]

We kennen in elk geval de volgende (uniek) identificaties:

1. Organisatie Identificatie Nummer (OIN) is een uniek identificerend nummer dat gebruikt wordt door organisaties met een publieke taak, zoals overheidsorganisaties.

Als een organisatie al een OIN heeft, dan kan ook een subOIN worden aangevraagd voor onderdelen van die organisatie die geen rechtspersoon zijn. Zo zijn deze onderdelen op te zoeken in het OIN-register. Het subOIN moet wel gerelateerd zijn aan uw organisatie.

1. Handels Register Nummer (HRN) is een nummer dat bij de aanvraag van een PKIoverheid-certificaat wordt toegekend aan organisaties die niet in aanmerking komen voor een OIN. De certificaatverlener (CSP) zal het HRN afleiden bij de creatie van het certificaat.
2. KvK-nummer wordt uitgegeven door de KvK bij inschrijving van het bedrijf in het Handelsregister (HR).
3. BTW-nummer wordt uitgegeven door de Belastingdienst bij aanmelding voor de Omzet-belasting.
4. de landcode NL
5. RSIN is een onderdeel van het BTW-Nummer: en bij een eenmanszaak is dat doorgaans het burgerservicenummer van de eigenaar, met toevoeging van 3 posities: B01 t/m B09
6. Fiscaal-nummer
7. DUNS-nummer

Waar staat beschreven hoe die elektronische identiteiten van de bedrijven worden uitgegeven en hoe ze worden beheerd qua proces van creëren, onderhouden en verwijderen?

Welke kwaliteitsnormen worden daarbij gehanteerd?

Welke gegevens(soorten) zijn daartoe van belang?

Welke applicaties worden daarbij gebruikt? Denk hierbij aan de website van de KvK en het HR, waar bedrijven worden ingeschreven.

NB. In het HR worden de volgende bedrijven geregistreerd:

• Publiekrechtelijke rechtspersoon
• Privaatrechtelijke rechtspersoon
• Personenvennootschap

En nog meer? Zoals Orgaan, persoon of college zoals bedoeld in 1:1 lid 2 Algemene Wet Bestuursrecht Zijn dit dan allemaal bedrijven? Of zijn dit de soort "organisaties" die zijn ingeschreven in het HR?

Hoe kan een digitale identiteit van een bedrijf worden geverifieerd ?[bewerken]

Is dat nodig? Of kan je dat altijd afleiden uit de identiteit van degene die het bedrijf vertegenwoordigd?

Wij denken dat de identiteit van een bedrijf via de volgende authenticatiemiddelen kan worden geverifieerd:

1. eHerkenning -> KvK-nummer, RSIN?, BSN?
2. eID
3. PKIoverheid -> OIN (waaronder KvK-nummer)
4. https://www.digidentity.eu/nl/home/

Een natuurlijk persoon die wil handelen voor zichzelf of namens een ander moet zich identificeren (een naam of een nummer geven) en authenticeren (bewijzen wie hij/zij zegt te zijn). Dat is stap 1. De eHerkenning Authencticatiedienst ondersteunt deze stap. Stap 2 is aan de orde bij vertegenwoordiging: aangeven namens wie je wilt handelen en aantonen dat je daarvoor bevoegd bent. Het eHerkenning Machtigingenregister ondersteunt deze stap doordat (een wettelijk vertegenwoordiger van) een bedrijf een eHerkenning middel heeft geautoriseerd voor het afnemen van een dienst namens dat bedrijf. Een eHerkenning middel wordt meestal door slechts één bedrijf geautoriseerd, daardoor handelt de natuurlijk persoon impliciet namens dat bedrijf (en hoeft hij het bedrijf niet telkens aan te wijzen). Als het gaat om verificatie dan zijn er twee processen van belang. Het (tweede) proces hierboven, dat plaatsvindt direct voorafgaande aan het digitaal handelen. Maar eerder heeft een ander proces plaatsgevonden, namelijk voorafgaande aan het verstrekken van het eHerkenning middel. Hoe is gecontroleerd dat de persoon die het middel krijgt ook werkelijk de persoon is die hij/zij zegt te zijn. Hoe is gecontroleerd of het opgegeven bedrijf werkelijk bestaat en of degene die een middel aanvraagt of een middel autoriseert een wettelijk vertegenwoordiger van dat bedrijf is. De sterkte van déze controles bepalen mede de sterkte van de authenticatie en autorisatie. Voor een middel met een hoog betrouwbaarheidsniveau worden meer controles gedaan dan voor een middel met een laag niveau.

Hoe gaan we om met de relatie(s) tussen natuurlijke personen en bedrijven?[bewerken]

Denk aan relaties als: eigenaar, medewerker, vertegenwoordiger, gemachtigde enz. Een natuurlijke persoon kan een bedrijf uitoefenen. Hij is dan eigenaar van het bedrijf. Een niet-natuurlijke persoon kent één of meer eigenaren (natuurlijke of niet-natuurlijke personen). Daarnaast ook personen aan wie gehele of gedeeltijke procuratiebevoegdheid is toegekend. Een medewerker van een bedrijf is in IAM termen te herkennen aan zijn verticaal toegekende bevoegdheid (die kan, maar hoeft niet in het NHR te zijn vastgelegd). In het eHerkenningstelsel wordt de bevoegdheid aan de medewerker (of eigenlijk: aan het eHerkenning middel) door een wettelijk vertegenwoordiger vastgelegd in het Machtigingenregister (nadat deze binnen het stelsel geautoriseerd is om namens het bedrijf zijn/haar medewerkers te autoriseren).

Een natuurlijk persoon is meestal (system-to-system/PKI certificaat is de uitzondering) nodig om een nnp te vertegenwoordigen. Daarnaast kan met een horizontale machtiging een andere persoon namens een persoon handelen. Het gaat hier om het moment van handelen. Bij system-to-system/PKI certificaat is op het moment van handelen geen natuurlijk persoon nodig. Maar eerder, in het proces van aanvragen en aanmaken van het certificaat, is die natuurlijke persoon wel nodig.

Aandachtspunten[bewerken]

Zoiets als het Sub-OIN zou je van toepassing kunnen maken op vele andere diensten. Op die manier kan je altijd een individu vanuit een organisatie op een extra manier onderscheiden / separate rechten geven. Ook ondervang je met zoiets als een Sub-OIN dat een iemand inzicht krijgt in alle organisatie onderdelen als je alleen maar (bv crediteringen) voor 1 afdeling / vestiging hoeft te doen.