Identiteitsmanagement/werksessie 1: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(met verslag in wiki)
(verslag in wiki (nummering loopt nog niet lekker))
 
(Een tussenliggende versie door dezelfde gebruiker niet weergegeven)
Regel 15: Regel 15:
Eerste bijeenkomst van de nieuwe werkgroep / expertgroep Identiteitsmanagement, zoals aangekondigd in [[Themasessie Digitale Mobiliteit]] op 14 november 2017.
Eerste bijeenkomst van de nieuwe werkgroep / expertgroep Identiteitsmanagement, zoals aangekondigd in [[Themasessie Digitale Mobiliteit]] op 14 november 2017.
{{Bijeenkomsten staart
{{Bijeenkomsten staart
|Verslag=nee
|Verslag=ja
}}
}}
Het {{Bestand met info|Verslag NORA Themasessie Authenticatie 12 december 2017 concept.pdf|conceptverslag}} van deze bijeenkomst is in [[Expertgroep Digitale identificatie en authenticatie/2018-01-16|de bijeenkomst van 16-1-2018]] besproken en de {{Bestand met info|Inbreng Nora werkgroep authenticatie.pdf|presentatie}} die is gehouden is gepubliceerd.
Het {{Bestand met info|Verslag NORA Themasessie Authenticatie 12 december 2017 concept.pdf|conceptverslag}} van deze bijeenkomst is in [[Expertgroep Digitale identificatie en authenticatie/2018-01-16|de bijeenkomst van 16-1-2018]] besproken en de {{Bestand met info|Inbreng Nora werkgroep authenticatie.pdf|presentatie}} die is gehouden is gepubliceerd.
== Korte inleiding derde themasessie ==
==Korte inleiding tweede themasessie==
In het verlengde van de bijeenkomsten op 14 november en 12 december 2017, is bij de gemeente Den Haag onze 3e themasessie gehouden. We hebben, door goed timemanagement 😊, alle agendapunten behandeld.
De eerste bijeenkomst van dit speerpunt was op 14 november j.l. bij ICTU, tijdens de NORA-middag. Toen is de opdracht geschetst en zijn diverse wensen, ideeën en vragen naar voren gebracht. Het verslag daarvan is aan alle aanwezigen gestuurd en is ook op de NORA gepubliceerd: [[Themasessie Digitale Authenticatie en identificatie]].  
Daarbij zijn we begonnen met het bespreken van de stappen die we nemen om tot de beoogde tussen- en eindresultaten te komen. Deze stappen zie je verderop terug in de punten van dit verslag.
Daarna hebben we aan de hand van de resultaten van vorige keer, onze kennis en ideeën met elkaar gedeeld over de gezamenlijke basis waarop c.q. kader waarbinnen we niet alleen Identificatie en Authenticatie een plaats kunnen geven, maar later ook Autorisatie en Machtigen e.d.


Het streefbeeld voor Identificatie en Authenticatie is kort doorgenomen en we hebben de voorstellen en stand van zaken van actiepunten doorgenomen. Natuurlijk zijn ook weer nieuwe acties afgesproken. En we zijn overgegaan tot het instellen van enkele werkgroepen om e.e.a. inhoudelijk verder te brengen.  
Ter voorbereiding op de bijeenkomst van 12 december j.l. is vanuit ICTU een eerste uitwerking gemaakt van de vraag “waar hebben we het precies over?” We hebben dat gedaan in een framework van 4 hoofdvragen waarin we alle 10 inhoudelijke vragen (inclusief subvragen) van de bijeenkomst van 14 november ook konden verwerkt. Daarnaast is ook een eerste beeld geschetst van een streefbeeld, waar op termijn naar toegegroeid zou kunnen worden om dit aspect van de digitale dienstverlening optimaal te regelen.


Na afloop hebben we op de bijeenkomst teruggekeken met het gevoel dat we 'goed bezig zijn' en dat het nuttig en leerzaam was. Maar ook met de wetenschap dat nog meer duidelijkheid moet komen in wat het voor de deelnemers zelf oplevert en hoe we al deze kennis en informatie via de NORA beschikbaar gaan stellen.
Met een kleine groep (zie {{Bestand met info|Verslag NORA Themasessie Authenticatie 12 december 2017 concept.pdf|conceptverslag}} voor namen) is dit besproken, ook in relatie tot ervaringen vanuit de gemeente Rotterdam (zie de betreffende {{Bestand met info|Inbreng Nora werkgroep authenticatie.pdf|presentatie}}).
 
Naast een goed inhoudelijk gesprek, zijn we een beetje losgegaan op het whiteboard …
En we hebben een paar actiepunten afgesproken, mede ter voorbereiding van de bijeenkomst in januari. Deze acties zijn op de relevante plekken aangegeven.


'''''Doel:''''' Het wat en waarom van Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee alle vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuur oplossingen te komen.
'''''Doel:''''' Het wat en waarom van Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee alle vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuur oplossingen te komen.


'''''Doelgroep:''''' Architecten en collega’s uit de publieke sector actief betrokken op dit thema.
'''''Doelgroep:''''' architecten en collega’s uit de publieke sector actief betrokken op dit thema.
==Stap-1  Oriëntatie op het (eind)resultaat==
Tot het overleg op 20 februari besteden we tijd aan het opzetten van een community van experts en belanghebbenden die dit thema verder gaan helpen.
* ACTIE-1: Nog enkele organisaties benaderen voor een bijdrage aan het thema: Omgevingswet, Politie en Defensie.
 
We willen als experts meters gaan maken, maar we hebben nog geen gezamenlijke basis of kader. We zitten nog in een proces van afstemmen en elkaar begrijpen. De bedoeling is dat we elkaar goed leren kennen en dat we eventuele drempels beslechten, om onze samenwerking optimaal vorm te kunnen geven en op die manier samen tot gedeelde beelden en oplossingen komen. En wel zodanig, dat we dat eenvoudig en begrijpelijk aan anderen kunnen overbrengen.
Als onderdeel hiervan beantwoorden we de 9 vragen die ten grondslag liggen aan ons thema en eerder zijn opgenomen in het verslag van 12 december 2017.
 
De daarbij relevante begrippen en hun samenhang willen we in zowel woord als beeld beschikbaar krijgen, zodat we goed kunnen communiceren met anderen, buiten deze werkgroep (dus ook met niet-architecten).
We gaan dus eerst kijken naar wat Identificatie, Authenticatie, Autorisatie en Machtigen voor ons betekent.
Daarbij gaan we meer eenduidige definities van begrippen hanteren om het verschil c.q. de overeenkomst tussen autorisaties, machtigingen en “entitlements” te kunnen uitleggen.
Als daarbij verschillende meningen of views bestaan, dan worden die dus beiden, naast elkaar beschreven.
ACTIE-2: Lieven van der Tas, Leon Schippers, Erwin Reinhoud, Arnoud Quanjer en Haaino Beljaars, stellen definities op van de begrippen en zoeken daar bij het best-passende functionele, technologie onafhankelijke plaatje. Een paar voorbeelden van plaatjes zijn opgenomen in de BIJLAGE – visualisaties voor Identificatie, Authenticatie, Autorisatie en Machtigen
 
'''VERZOEK aan allen''' Ga a.u.b. na welke visualisatie en/of beschrijving binnen jouw organisatie wordt gebruikt en stuur dat aan de werkgroep!


We dachten er aan om ons te richten op “Digitaal, tenzij …” en de niet-digitale aspecten op de back-log op te nemen. De niet-digitale authenticatie (aan het loket of per telefoon) is voor gemeenten echter van zodanig van belang dat ze dat graag uitgewerkt zien.
==1e Resultaat “Waar hebben we het nu precies over?”==
* ACTIE-3: Arnoud Quanjer en Haaino Beljaars zullen vanuit VNG Realisatie dit vraagstuk oppakken.
We hebben een eerste uitwerking van de begrippen en hun samenhang: in tekst en in beeld. Met dit onderdeel krijgen we overzicht van waar het domein uit bestaat en wat de verbanden zijn. We beschouwen dat binnen de context van digitale dienstverlening. En daarbij niet vanuit alleen de belangen van de overheid, maar zo nodig ook die van burgers en bedrijven.
Het zal mogelijk neerkomen op authenticatie op de bekende niveaus, maar dan via andere kanalen.


* ACTIE-4: RvIG benaderen om, in samenwerking met Anne Schrijer en Arnoud Quanjer, de vragen rond Identificatie / Identiteitenbeheer te beantwoorden:
Identificatie, Authenticatie en Autorisatie regelen drie belangrijke voorwaarden voor digitale dienstverlening:
# Hoe weet de dienstaanbieder wie je bent?
* Identificatie zorgt er voor dat we weten wie je bent;
# Wat is jouw elektronische identiteit?
* Authenticatie zorgt er voor dat we met een bepaalde zekerheid weten dat je ook echt degene bent die je zegt te zijn;
# Ben je een mens of een machine?
* Autorisatie zorgt er voor dat we weten wat je dan mag (al dan niet door een ander gemachtigd), of juist niet mag.
# Hoe wordt de governance op identiteit geregeld: wie bepaalt / stelt vast? Wie is er in de lead?


NB-1  Vanuit W3C is een [https://w3c-ccg.github.io/did-spec/ specificatie] bekend van Digitale Identiteiten.
Als iemand een digitale dienst wil afnemen, dan zal de elektronische identificatie, authenticatie en autorisatie goed geregeld moeten worden om de belangen van zowel de dienstaanbieder als de afnemer te borgen.  


NB-2  Door Sovrin, een Blockchain front-runner, is net een [https://sovrin.org/wp-content/uploads/Sovrin-Protocol-and-Token-White-Paper.pdf whitepaper] over digitale identiteiten uitgebracht.
Onderstaande plaatje geeft al aardig aan waar het functioneel om gaat. Het behoeft natuurlijk nog wel een toelichting.
Ook is het niet in het Nederlands. {{Kaderrechtssmal| ACTIE-1: Nagaan of we nog andere aansprekende plaatjes op internet kunnen vinden, onder meer voor:
** communiceren met anderen, buiten deze werkgroep
** onderscheid publiek / privaat}}
Onderstaande vragen geven aan welke informatiebehoefte bij ons allen hierover bestaat:


* ACTIE-5: Erwin Reinhoud, Gert Eijkelboom, Ewoud van Bentem en Wim Geurts (tegenlezen) beantwoorden de vragen rond Authenticatie / middelen en voorzieningen:
===Identificatie===
# Als je zegt wie je bent, met welke zekerheid weet de dienstaanbieder dat dan?
## Hoe weet de dienstaanbieder wie je bent?
# Hoe en waar kan hij jouw elektronische identiteit verifiëren (authenticeren)?
## Wat is jouw elektronische identiteit?
# Authenticatie van wie (burger, ondernemer, etc): hoe wordt de relatie tussen rollen en personen straks vormgegeven?  
## Ben je een mens of een machine?
# In hoeverre is het wenselijk te differentiëren in niveaus van authenticatie?
## Hoe wordt de governance op identiteit geregeld: wie bepaalt / stelt vast? Wie is er in de lead?
# Komt er een eigen eHerkenning voor ambtenaren (is dat een rol?)?
===Authenticatie===
# Hoe omgaan met de nieuwe middelen in een grensregio?
## En als je zegt wie je bent, met welke zekerheid weet de dienstaanbieder dat dan?
# En met multichannel authenticatie?
## Hoe en waar kan hij jouw elektronische identiteit verifiëren (authenticeren)?
## Authenticatie van wie (burger, ondernemer, etc): hoe wordt de relatie tussen rollen en personen straks vormgegeven?  
## In hoeverre is het wenselijk te differentiëren in niveaus van authenticatie?
## Komt er een eigen eHerkenning voor ambtenaren (is dat een rol?)?
## Hoe omgaan met de nieuwe middelen in een grensregio?
## En met multichannel authenticatie?
## Het lijkt nu alleen authenticatie. '''VOORSTEL:''' Eerst gaan we breder kijken naar wat IAA voor ons kan betekenen en daarna prioriteren we met uitwerken op basis van concrete behoefte.
## Waarom alleen digitale authenticatie? '''VOORSTEL:''' Vooralsnog sluiten we eerst aan op “Digitaal, tenzij …” en het niet-digitaal authenticeren wordt op de back-log opgenomen.
## Ook authenticatie van software en machines?'''VOORSTEL:''' Vooralsnog niet uitwerken, maar op de back-log opnemen.
===Autorisatie (inclusief machtigen)===
## En zodra de dienstaanbieder met afdoende zekerheid weet wie je bent, mag je de dienst dan wel afnemen?
## Ben je wel geautoriseerd voor deze dienst?
## Of mag je eventueel namens een ander die dienst afnemen?
## Ben je wellicht gemachtigd door die ander?
## Hoe omgaan met een vertegenwoordiger van een burger?
## Hoe kan je machtiging over de grens?
## Use cases voor machtigen?
## Machtigingen zaakgericht of wetsgericht?
===Wat is nu al mogelijk voor IAA?===
* ACTIE-2: De huidige werkwijzen en ook de state-of-the-art invulling van IAA gaan we onderzoeken. (het zijn tevens antwoorden op de vragen 1 t/m 4)
===In hoeverre is een publiek-private samenwerking NORA-plichtig?===
* ACTIE-3: Dit is een algemeen punt, los van IAA, en zal daarom worden uitgezocht door NORA Beheer.
'''''NB.''''' Door Kabinetsbeleid zijn alleen overheidsorganisaties NORA-plichtig. Er zijn momenteel geen concrete gevallen bekend waar dit PPS-issue speelt.
===Eenduidigheid in wetgeving en toepassing door juristen van een digitale handtekening. Hoe kunnen we dat bewerkstelligen?===
# Hoe omgaan met het spanningsveld tussen dienstverleners en aansprakelijkheid nav IAA?
# Nederlandse versus internationale wetgeving: over welke wetgeving hebben we het dan? Denk aan eIDAS.{{Kaderrechtssmal|ACTIE-4: Uitzoeken welke wet- en regelgeving hierbij van toepassing is.}}
# Hoe omgaan met privacy-aspecten (AVG) en informatiebeveiliging (BIR/BIO)? '''''VOORSTEL:''''' Vanuit de werkgroep Identificatie en Authenticatie hier vooralsnog geen tijd aan besteden. In de vervolgfase (na mei 2018), kan desgewenst afstemming gestart worden met de betreffende thema-communities. Reden hiervoor is het uitganspunt dat de aanbieder van een (digitale) dienst dat moet regelen. Mogelijk dat daar specifieke eisen uit voortkomen voor Identificatie en Authenticatie, maar die zijn momenteel niet bekend. Daarnaast zijn deze aspecten het aandachtspunt van andere werkgroepen, zie onder meer de betreffende NORA-thema’s, zodat we dubbel werk moeten voorkomen.
===Wat is ons streefbeeld voor IAA?===
Onderstaande tekst is de eerste aanzet om te kijken WAT we van IAA nader gaan uitwerken. Een tekst waarmee we anderen kunnen uitleggen welke dingen anders zullen worden wanneer we het streefbeeld voor IAA gaan realiseren. Stel je daarbij het volgende voor:


NB-1  Door VKA is, in opdracht van BZK, net een [https://www.rijksoverheid.nl/documenten/rapporten/2017/11/23/expert-opinion-publieke-authenticatie rapport] over publieke authenticatie uitgebracht.
Dat geregeld zou zijn dat iedere Nederlander (nader te bepalen welke doelgroep precies) tenminste één zodanig betrouwbare elektronische identiteit heeft, dat die daarmee over de gehele wereld, en dus ook in Nederland, digitale diensten van overheden (en zo mogelijk ook van private partijen) kan afnemen.
   
NB-2  Authenticatie van software en machines vooralsnog niet uitwerken, maar op de back-log opnemen.


NB-3  Zo mogelijk tussentijds afstemmen met de uitkomsten van de niet-digitale authenticatie.
Dat geregeld zou zijn dat bij die elektronische identiteit ook 1 of meer authenticatie-middelen beschikbaar zijn waarmee door alle betrokken partijen kan worden geverifieerd of degene die zegt een bepaald iemand te zijn dat ook daadwerkelijk is.


De vraagstukken rond Autorisatie en Machtigen worden pas in een latere fase opgepakt. Tot die tijd wordt de vinger aan de pols gehouden bij de ontwikkelingen vanuit het Programma Machtigen (waar onder meer Logius in is vertegenwoordigd).
En dat geregeld zou zijn dat van elk van die middelen is vastgesteld welke mate van zekerheid dan bestaat dat die bewering juist is.
* ACTIE-6 Wim Geurts en Lieven van der Tas houden ons op de hoogte.


Binnen de werkgroep is weinig actuele kennis over de eIDAS en de impact daarvan op Identificatie en Authenticatie, terwijl deze verordening per september 2018 in werking treedt.
Als dat allemaal zou zijn geregeld, dan kan elke dienstaanbieder die voor zijn elektronische dienst heeft bepaald met welke zekerheid de identiteit van de dienstafnemer bekend moet zijn, hergebruik (laten) maken van de beschreven identificatie en authenticatie.  
De eIDAS heeft wel een relatie met de processen van de Burgerlijke stand, maar er zijn geen kant-en-klare overzichten van waar je als dienstverlener aan moet voldoen. Niet duidelijk is hoe ver we staan met de invoering van eIDAS. Er zijn echter wel diverse projectgroepen met de eIDAS aan de slag, waaronder de Belastingdienst.
En indien dat aan de gestelde eisen voldoet, kan de dienst worden geleverd c.q. afgenomen. Zo nodig kunnen nog meer eisen worden gesteld voordat de dienst kan worden afgenomen. Bijvoorbeeld op basis van rollen, (business)regels, persoonlijke aanvraag of machtigingen.
* ACTIE-7: Anne Schrijer gaat na of de KvK hun plan voor de implementatie van de eIDAS beschikbaar wil stellen voor de werkgroep.
* ACTIE-8: We gaan na waar of via wie meer informatie over de eIDAS is te verkrijgen.
== Stap-2  Bepalen van de op te leveren resultaten ==
Door de oriëntatie tijdens stap-1 wordt scherper welke resultaten we kunnen en willen opleveren.
Op 20 februari gaan we in ons overleg de (deel)resultaten bepalen.


== Stap-3  Inhoudelijke uitwerking ==
===Waarom is IAA voor ons van belang?===
Alle (deel)resultaten laten we uitwerken door de meest belanghebbenden.
En dit is de eerste tekst waarmee we aan anderen kunnen uitleggen waarom het bovenstaande zo belangrijk is voor onze samenleving. Denk hierbij aan het volgende:
Naast de huidige werkwijzen (waar staan we nu? en welke issues spelen? ), willen we ook zicht hebben op de state-of-the-art invulling van Identificatie en Authenticatie.  
Via use-cases kunnen we kijken of de uitwerkingen aan de vraag voldoen.
* ACTIE-9: Jelle Attema kan een aantal use-cases inbrengen.


Onze aanpak is gebaseerd op Publiek Private Samenwerking (PPS): het zijn bij voorkeur niet alleen overheidsorganisaties die dit allemaal uitwerken, want veel dienstverlening wordt mede door private partijen uitgevoerd en daarnaast zullen ook authenticatiemiddelen worden toegepast die door private partijen worden geleverd en beheerd.
We hebben een wereldwijd stelsel van afspraken waarbij Nationale paspoorten en andere formele reisdocumenten de wereldburgers in staat stellen zich vrij te bewegen over onze planeet.
Mede met dat op het oog, zal de toets op de inhoudelijke uitwerking verlopen via een publieke, openbare review (het standaard proces voor wijzigingen van de content van de NORA).
Zo’n soort afsprakenstelsel is er echter niet voor de digitale reizen die we elke dag maken. We surfen overal heen, doen meer en meer elektronische inkopen en digitaal zaken met de overheid, maar onze elektronische identiteiten zijn op geen stukken na zo betrouwbaar als onze reisdocumenten.
Hierdoor kunnen veel ondernemers en landen niet op voorhand vertrouwen op die elektronische identiteiten (je weet dan immers niet zeker met wie je te maken hebt) en geven daarom maar extra elektronische identiteiten uit die ze zelf wel vertrouwen. Dat is echter omslachtig en zorgt voor het risico dat de burgers te veel identiteiten krijgen, met alle risico’s en gevolgen van dien.
Als overheden voor hun burgers geverifieerde identiteiten afgeven, authenticatiemiddelen certificeren en autorisatie- en machtigenvoorzieningen regelen, dan kan dat alle dienstaanbieders daarvan ontlasten.
Dienstaanbieders hoeven dan alleen nog de diensten te regelen met bijbehorende authenticatie-eisen.
Bijvoorbeeld welk niveau van authenticatie voor die dienst is vereist.


== Stap-4  Proces voor eventuele aanvullende resultaten ==
===Wie zien we graag betrokken bij het uitwerken van deze vragen?===
Nieuwe vragen die opkomen tijdens de uitwerkingen, laten we oppakken door de vraagsteller en andere belanghebbenden en vrijwilligers. Daarmee borgen we het vraaggestuurd werken en zullen we niet snel te veel tegelijkertijd oppakken.
Binnen mum van tijd konden de aanwezigen aangeven dat ze graag de volgende organisaties een inhoudelijke bijdrage zien leveren:
 
# Onderwijs (wereldwijde ervaring met federatieve I en A en met PPS)
== Stap-5  Afronden van de concept-resultaten ==
# Zorg (een groot en divers speelveld met PPS)
In april zet de werkgroep Identificatie en de werkgroep Authenticatie de laatste puntjes op de i, om daarmee hun “best effort” concept (deel)resultaat op te leveren.
# RvIG (beheerder van de BRP en RNI, Self Sovereign Identity)
Dat concept resultaat wordt, ondersteund door NORA Beheer, opgenomen in de NORA, zodat het via de wiki voor iedereen goed toegankelijk is.
# Banken (DNB, ABN e.d. vanwege ambities op gebied van authenticatiemiddelen)
 
# VNG en KING / Realisatie (gemeentelijke domein met veel burger-contacten)
== Stap-6  Presentatie van de concept-resultaten ==
# ECP.nl (publicaties IAM)
Op 29 mei worden de resultaten in de Gebruikersraad NORA gepresenteerd.
# Naf (samenwerking op thema’s en communities)
Daarbij zal de Gebruikersraad worden gevraagd om de openbare review ervan te mogen starten.
# Omgevingswet (grootschalige digitale samenwerking overheid, deels PPS)
Ook zal worden gevraagd of de 2e fase kan worden gestart, te weten het uitwerken van Autorisatie en Machtigen.
# MFG ArchitectuurRaad (ervaring en behoefte van de grote uitvoerders van de overheid)
 
# Europa / ISA (voor aansluiting op internationale ontwikkelingen en -voorzieningen)
== Stap-7  Openbare review van de concept-resultaten ==
{{Kaderrechtssmal|ACTIE-5: Betreffende organisaties benaderen voor een bijdrage aan IAA.}}}
Direct na 29 mei zullen de resultaten voor een openbare review (commentaar) worden uitgezet via de achterbannen van de leden van de Gebruikersraad.
===Welke stappen moeten we zetten om de beoogde resultaten tijdig te realiseren?===
Tijdens ons overleg hebben we geconstateerd dat we meer aandacht zullen moeten besteden aan het proces (en bijbehorende activiteiten) om te borgen dat we de juiste resultaten gaan opleveren en ook in de volgorde waarop dat door betrokkenen gewenst is.{{Kaderrechtssmal|ACTIE-6: Een voorzet maken voor een stappenplan.}}}
== Stap-8  Verwerken reacties ==
De commentaren worden, ondersteund door NORA Beheer, verwerkt in de NORA en aan betrokkenen wordt teruggekoppeld hoe hun commentaar daarbij is verwerkt.
 
== Stap-9  Publicatie eind-resultaten ==
De meest actuele informatie over het thema wordt in de NORA gepubliceerd en z.s.m. daarna aan de Gebruikersraad NORA voorgelegd voor goedkeuring.  
 
== Stap-10  Starten met Autorisatie en Machtigen ==
Indien relevant wordt de 2e fase gestart.


==Agenda==
Op de agenda voor de eerstvolgende bijeenkomst denken we aan de volgende onderwerpen:
* Bespreken van het stappenplan
* Bespreken van het 1e resultaat “Waar hebben we het nu precies over?”
* Bespreken van het streefbeeld voor IAA
* Besluit nemen over de voorstellen
* De uitkomsten c.q. stand van zaken bespreken van actiepunten


==Vervolgbijeenkomsten==
==Vervolgbijeenkomsten==
Regel 125: Regel 132:
De sessies vinden plaats bij de deelnemers van het overleg.
De sessies vinden plaats bij de deelnemers van het overleg.
Er hebben zich zo’n 15 actieve deelnemers gemeld.  
Er hebben zich zo’n 15 actieve deelnemers gemeld.  
Voor meer informatie of suggesties, meld je via nora@ictu.nl.
Voor meer informatie of suggesties, meld je via {{Maillink
 
|to=eric.brouwer@ictu.nl
De sessies zijn gepland op:
|cc=nora@ictu.nl
|linktext=eric.brouwer@ictu.nl
|subject=Expertgroep Identiteit en Authenticatie
|body=
}} of [[mailto:nora@ictu.nl nora@ictu.nl]].
{| class="wikitable"
{| class="wikitable"
! Data !! Tijd !! Bij wie?  
! Data !! Tijd !! Bij wie?  
Regel 137: Regel 148:
| 16 januari || 14 – 17 uur || Gemeente Den Haag
| 16 januari || 14 – 17 uur || Gemeente Den Haag
|-
|-
| 20 februari || 14 – 17 uur || ECP.nl te Leidschendam
| 20 februari || 14 – 17 uur ||  
|-
|-
| 20 maart || 14 – 17 uur ||  
| 20 maart || 14 – 17 uur ||  
Regel 143: Regel 154:
| 17 april || 14 – 17 uur ||  
| 17 april || 14 – 17 uur ||  
|}
|}
In de NORA bijeenkomst van 29 mei 2018 worden de (tussen)resultaten gedeeld met belangstellenden.
In de NORA bijeenkomst van 29 mei 2018 (van 13 – 16 uur), worden de (tussen)resultaten gedeeld met belangstellenden.
Onze kennis en documentatie staat on-line:[[Expertgroep Digitale identificatie en authenticatie]]
Kan je iets toch niet vinden? Mail dan even naar {{Maillink
|to=eric.brouwer@ictu.nl
|cc=nora@ictu.nl
|linktext=eric.brouwer@ictu.nl
|subject=Expertgroep Identiteit en Authenticatie
|body=
}}

Huidige versie van 22 jan 2018 om 20:03


Nieuws & Agenda
Contact
NORA Beheer
nora@ictu.nl
Status


Bijeenkomst van Expertgroep IAM op dinsdag 12 december 2017, 14-17.00 uur, locatie: ICTU, Wilhelmina van Pruisenweg 104, 2595 AN DEN HAAG.
Doel: Eerste aanzet landkaart voor identiteitsmanagement maken: wat is er al, waar zit beweging en waar zijn nog witte vlekken?
Doelgroep: Expertgroep Identiteitsmanagement .

Eerste bijeenkomst van de nieuwe werkgroep / expertgroep Identiteitsmanagement, zoals aangekondigd in Themasessie Digitale Mobiliteit op 14 november 2017.


Het conceptverslag (PDF, 697 kB) van deze bijeenkomst is in de bijeenkomst van 16-1-2018 besproken en de presentatie (PDF, 692 kB) die is gehouden is gepubliceerd.

Korte inleiding tweede themasessie[bewerken]

De eerste bijeenkomst van dit speerpunt was op 14 november j.l. bij ICTU, tijdens de NORA-middag. Toen is de opdracht geschetst en zijn diverse wensen, ideeën en vragen naar voren gebracht. Het verslag daarvan is aan alle aanwezigen gestuurd en is ook op de NORA gepubliceerd: Themasessie Digitale Authenticatie en identificatie.

Ter voorbereiding op de bijeenkomst van 12 december j.l. is vanuit ICTU een eerste uitwerking gemaakt van de vraag “waar hebben we het precies over?” We hebben dat gedaan in een framework van 4 hoofdvragen waarin we alle 10 inhoudelijke vragen (inclusief subvragen) van de bijeenkomst van 14 november ook konden verwerkt. Daarnaast is ook een eerste beeld geschetst van een streefbeeld, waar op termijn naar toegegroeid zou kunnen worden om dit aspect van de digitale dienstverlening optimaal te regelen.

Met een kleine groep (zie conceptverslag (PDF, 697 kB) voor namen) is dit besproken, ook in relatie tot ervaringen vanuit de gemeente Rotterdam (zie de betreffende presentatie (PDF, 692 kB)).

Naast een goed inhoudelijk gesprek, zijn we een beetje losgegaan op het whiteboard … En we hebben een paar actiepunten afgesproken, mede ter voorbereiding van de bijeenkomst in januari. Deze acties zijn op de relevante plekken aangegeven.

Doel: Het wat en waarom van Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee alle vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuur oplossingen te komen.

Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op dit thema.

1e Resultaat “Waar hebben we het nu precies over?”[bewerken]

We hebben een eerste uitwerking van de begrippen en hun samenhang: in tekst en in beeld. Met dit onderdeel krijgen we overzicht van waar het domein uit bestaat en wat de verbanden zijn. We beschouwen dat binnen de context van digitale dienstverlening. En daarbij niet vanuit alleen de belangen van de overheid, maar zo nodig ook die van burgers en bedrijven.

Identificatie, Authenticatie en Autorisatie regelen drie belangrijke voorwaarden voor digitale dienstverlening:

  • Identificatie zorgt er voor dat we weten wie je bent;
  • Authenticatie zorgt er voor dat we met een bepaalde zekerheid weten dat je ook echt degene bent die je zegt te zijn;
  • Autorisatie zorgt er voor dat we weten wat je dan mag (al dan niet door een ander gemachtigd), of juist niet mag.

Als iemand een digitale dienst wil afnemen, dan zal de elektronische identificatie, authenticatie en autorisatie goed geregeld moeten worden om de belangen van zowel de dienstaanbieder als de afnemer te borgen.

Onderstaande plaatje geeft al aardig aan waar het functioneel om gaat. Het behoeft natuurlijk nog wel een toelichting.

Ook is het niet in het Nederlands.

ACTIE-1: Nagaan of we nog andere aansprekende plaatjes op internet kunnen vinden, onder meer voor:
    • communiceren met anderen, buiten deze werkgroep
    • onderscheid publiek / privaat

Onderstaande vragen geven aan welke informatiebehoefte bij ons allen hierover bestaat:

Identificatie[bewerken]

    1. Hoe weet de dienstaanbieder wie je bent?
    2. Wat is jouw elektronische identiteit?
    3. Ben je een mens of een machine?
    4. Hoe wordt de governance op identiteit geregeld: wie bepaalt / stelt vast? Wie is er in de lead?

Authenticatie[bewerken]

    1. En als je zegt wie je bent, met welke zekerheid weet de dienstaanbieder dat dan?
    2. Hoe en waar kan hij jouw elektronische identiteit verifiëren (authenticeren)?
    3. Authenticatie van wie (burger, ondernemer, etc): hoe wordt de relatie tussen rollen en personen straks vormgegeven?
    4. In hoeverre is het wenselijk te differentiëren in niveaus van authenticatie?
    5. Komt er een eigen eHerkenning voor ambtenaren (is dat een rol?)?
    6. Hoe omgaan met de nieuwe middelen in een grensregio?
    7. En met multichannel authenticatie?
    8. Het lijkt nu alleen authenticatie. VOORSTEL: Eerst gaan we breder kijken naar wat IAA voor ons kan betekenen en daarna prioriteren we met uitwerken op basis van concrete behoefte.
    9. Waarom alleen digitale authenticatie? VOORSTEL: Vooralsnog sluiten we eerst aan op “Digitaal, tenzij …” en het niet-digitaal authenticeren wordt op de back-log opgenomen.
    10. Ook authenticatie van software en machines?VOORSTEL: Vooralsnog niet uitwerken, maar op de back-log opnemen.

Autorisatie (inclusief machtigen)[bewerken]

    1. En zodra de dienstaanbieder met afdoende zekerheid weet wie je bent, mag je de dienst dan wel afnemen?
    2. Ben je wel geautoriseerd voor deze dienst?
    3. Of mag je eventueel namens een ander die dienst afnemen?
    4. Ben je wellicht gemachtigd door die ander?
    5. Hoe omgaan met een vertegenwoordiger van een burger?
    6. Hoe kan je machtiging over de grens?
    7. Use cases voor machtigen?
    8. Machtigingen zaakgericht of wetsgericht?

Wat is nu al mogelijk voor IAA?[bewerken]

  • ACTIE-2: De huidige werkwijzen en ook de state-of-the-art invulling van IAA gaan we onderzoeken. (het zijn tevens antwoorden op de vragen 1 t/m 4)

In hoeverre is een publiek-private samenwerking NORA-plichtig?[bewerken]

  • ACTIE-3: Dit is een algemeen punt, los van IAA, en zal daarom worden uitgezocht door NORA Beheer.

NB. Door Kabinetsbeleid zijn alleen overheidsorganisaties NORA-plichtig. Er zijn momenteel geen concrete gevallen bekend waar dit PPS-issue speelt.

Eenduidigheid in wetgeving en toepassing door juristen van een digitale handtekening. Hoe kunnen we dat bewerkstelligen?[bewerken]

  1. Hoe omgaan met het spanningsveld tussen dienstverleners en aansprakelijkheid nav IAA?
  2. Nederlandse versus internationale wetgeving: over welke wetgeving hebben we het dan? Denk aan eIDAS.
    ACTIE-4: Uitzoeken welke wet- en regelgeving hierbij van toepassing is.
  3. Hoe omgaan met privacy-aspecten (AVG) en informatiebeveiliging (BIR/BIO)? VOORSTEL: Vanuit de werkgroep Identificatie en Authenticatie hier vooralsnog geen tijd aan besteden. In de vervolgfase (na mei 2018), kan desgewenst afstemming gestart worden met de betreffende thema-communities. Reden hiervoor is het uitganspunt dat de aanbieder van een (digitale) dienst dat moet regelen. Mogelijk dat daar specifieke eisen uit voortkomen voor Identificatie en Authenticatie, maar die zijn momenteel niet bekend. Daarnaast zijn deze aspecten het aandachtspunt van andere werkgroepen, zie onder meer de betreffende NORA-thema’s, zodat we dubbel werk moeten voorkomen.

Wat is ons streefbeeld voor IAA?[bewerken]

Onderstaande tekst is de eerste aanzet om te kijken WAT we van IAA nader gaan uitwerken. Een tekst waarmee we anderen kunnen uitleggen welke dingen anders zullen worden wanneer we het streefbeeld voor IAA gaan realiseren. Stel je daarbij het volgende voor:

Dat geregeld zou zijn dat iedere Nederlander (nader te bepalen welke doelgroep precies) tenminste één zodanig betrouwbare elektronische identiteit heeft, dat die daarmee over de gehele wereld, en dus ook in Nederland, digitale diensten van overheden (en zo mogelijk ook van private partijen) kan afnemen.

Dat geregeld zou zijn dat bij die elektronische identiteit ook 1 of meer authenticatie-middelen beschikbaar zijn waarmee door alle betrokken partijen kan worden geverifieerd of degene die zegt een bepaald iemand te zijn dat ook daadwerkelijk is.

En dat geregeld zou zijn dat van elk van die middelen is vastgesteld welke mate van zekerheid dan bestaat dat die bewering juist is.

Als dat allemaal zou zijn geregeld, dan kan elke dienstaanbieder die voor zijn elektronische dienst heeft bepaald met welke zekerheid de identiteit van de dienstafnemer bekend moet zijn, hergebruik (laten) maken van de beschreven identificatie en authenticatie. En indien dat aan de gestelde eisen voldoet, kan de dienst worden geleverd c.q. afgenomen. Zo nodig kunnen nog meer eisen worden gesteld voordat de dienst kan worden afgenomen. Bijvoorbeeld op basis van rollen, (business)regels, persoonlijke aanvraag of machtigingen.

Waarom is IAA voor ons van belang?[bewerken]

En dit is de eerste tekst waarmee we aan anderen kunnen uitleggen waarom het bovenstaande zo belangrijk is voor onze samenleving. Denk hierbij aan het volgende:

We hebben een wereldwijd stelsel van afspraken waarbij Nationale paspoorten en andere formele reisdocumenten de wereldburgers in staat stellen zich vrij te bewegen over onze planeet. Zo’n soort afsprakenstelsel is er echter niet voor de digitale reizen die we elke dag maken. We surfen overal heen, doen meer en meer elektronische inkopen en digitaal zaken met de overheid, maar onze elektronische identiteiten zijn op geen stukken na zo betrouwbaar als onze reisdocumenten. Hierdoor kunnen veel ondernemers en landen niet op voorhand vertrouwen op die elektronische identiteiten (je weet dan immers niet zeker met wie je te maken hebt) en geven daarom maar extra elektronische identiteiten uit die ze zelf wel vertrouwen. Dat is echter omslachtig en zorgt voor het risico dat de burgers te veel identiteiten krijgen, met alle risico’s en gevolgen van dien. Als overheden voor hun burgers geverifieerde identiteiten afgeven, authenticatiemiddelen certificeren en autorisatie- en machtigenvoorzieningen regelen, dan kan dat alle dienstaanbieders daarvan ontlasten. Dienstaanbieders hoeven dan alleen nog de diensten te regelen met bijbehorende authenticatie-eisen. Bijvoorbeeld welk niveau van authenticatie voor die dienst is vereist.

Wie zien we graag betrokken bij het uitwerken van deze vragen?[bewerken]

Binnen mum van tijd konden de aanwezigen aangeven dat ze graag de volgende organisaties een inhoudelijke bijdrage zien leveren:

  1. Onderwijs (wereldwijde ervaring met federatieve I en A en met PPS)
  2. Zorg (een groot en divers speelveld met PPS)
  3. RvIG (beheerder van de BRP en RNI, Self Sovereign Identity)
  4. Banken (DNB, ABN e.d. vanwege ambities op gebied van authenticatiemiddelen)
  5. VNG en KING / Realisatie (gemeentelijke domein met veel burger-contacten)
  6. ECP.nl (publicaties IAM)
  7. Naf (samenwerking op thema’s en communities)
  8. Omgevingswet (grootschalige digitale samenwerking overheid, deels PPS)
  9. MFG ArchitectuurRaad (ervaring en behoefte van de grote uitvoerders van de overheid)
  10. Europa / ISA (voor aansluiting op internationale ontwikkelingen en -voorzieningen)
ACTIE-5: Betreffende organisaties benaderen voor een bijdrage aan IAA.

}

Welke stappen moeten we zetten om de beoogde resultaten tijdig te realiseren?[bewerken]

Tijdens ons overleg hebben we geconstateerd dat we meer aandacht zullen moeten besteden aan het proces (en bijbehorende activiteiten) om te borgen dat we de juiste resultaten gaan opleveren en ook in de volgorde waarop dat door betrokkenen gewenst is.

ACTIE-6: Een voorzet maken voor een stappenplan.

}

Agenda[bewerken]

Op de agenda voor de eerstvolgende bijeenkomst denken we aan de volgende onderwerpen:

  • Bespreken van het stappenplan
  • Bespreken van het 1e resultaat “Waar hebben we het nu precies over?”
  • Bespreken van het streefbeeld voor IAA
  • Besluit nemen over de voorstellen
  • De uitkomsten c.q. stand van zaken bespreken van actiepunten

Vervolgbijeenkomsten[bewerken]

In de komende maanden worden werksessies gehouden onder aansturing van Eric Brouwer (namens ICTU werkzaam voor NORA). De sessies vinden plaats bij de deelnemers van het overleg. Er hebben zich zo’n 15 actieve deelnemers gemeld. Voor meer informatie of suggesties, meld je via eric.brouwer@ictu.nl of [nora@ictu.nl].

Data Tijd Bij wie?
14 november 13 – 16 uur ICTU
12 december 14 – 17 uur ICTU
16 januari 14 – 17 uur Gemeente Den Haag
20 februari 14 – 17 uur
20 maart 14 – 17 uur
17 april 14 – 17 uur

In de NORA bijeenkomst van 29 mei 2018 (van 13 – 16 uur), worden de (tussen)resultaten gedeeld met belangstellenden.

Nederlandse Overheid Referentie Architectuur.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een wereldwijd concept, in de vorm van een mogelijk afsprakenstelsel met standaarden en voorzieningen, voor regie op gegevens door (wereld)burgers.

Overgenomen van "https://www.noraonline.nl/index.php?title=Identiteitsmanagement/werksessie_1&oldid=26233"