Impact eIDAS voor Nederland: verschil tussen versies
Geen bewerkingssamenvatting |
Geen bewerkingssamenvatting |
||
| Regel 70: | Regel 70: | ||
We ondervinden nog veel onduidelijkheid wat nu precies mogelijk is. Er zijn nog enorm veel nuances en afwegingen en onduidelijkheid. | We ondervinden nog veel onduidelijkheid wat nu precies mogelijk is. Er zijn nog enorm veel nuances en afwegingen en onduidelijkheid. | ||
Om meer helderheid te krijgen is een aantal referentie bezoeken afgelegd. Er staat nog een aantal gepland, om van andere partijen te leren. | Om meer helderheid te krijgen is een aantal referentie bezoeken afgelegd. Er staat nog een aantal gepland, om van andere partijen te leren. | ||
=== Voorbeeld Implementatie gemeente Den Haag === | === Voorbeeld Implementatie gemeente Den Haag === | ||
De gemeente Den Haag heeft de volgende stappen gezet om aan de eIDAS Verordening te voldoen: | De gemeente Den Haag heeft de volgende stappen gezet om aan de eIDAS Verordening te voldoen: | ||
| Regel 85: | Regel 83: | ||
=== Voorbeeld Implementatie DUO === | === Voorbeeld Implementatie DUO === | ||
DUO biedt voor de burger vrijwel alle diensten digitaal aan. We gebruiken daar standaard DigiD Midden voor. DigiD Laag gebruiken we niet. DUO accepteert ook de nieuwe DigiD app. Zodra de Rijksoverheid een DigiD Substantieel middel aanbiedt is DUO in staat die ook te accepteren. Voorlopig is DUO niet van plan niveau Substantieel te eisen omdat naar verwachting veel burgers (nog) niet kunnen beschikken over zo’n middel. We zouden daarmee een grote populatie uitsluiten. | |||
* DUO inventariseert of er wellicht toch digitale diensten zijn die op Laag mogen worden aangeboden (bijvoorbeeld abonneren op nieuwsbrieven), of verplicht op Hoog moeten. Voor Laag wordt dan op termijn ook naar alternatieven gekeken (social accounts). Voor 1-1-2019 bieden we deze features niet aan. | * DUO inventariseert of er wellicht toch digitale diensten zijn die op Laag mogen worden aangeboden (bijvoorbeeld abonneren op nieuwsbrieven), of verplicht op Hoog moeten. Voor Laag wordt dan op termijn ook naar alternatieven gekeken (social accounts). Voor 1-1-2019 bieden we deze features niet aan. | ||
* Het is voor ons nog even onduidelijk of het BSN straks versleuteld (polymorfe pseudoniemen - versleutelde identiteiten) tot ons komt. Wellicht moeten we daar nog een aanpassing op doen… | * Het is voor ons nog even onduidelijk of het BSN straks versleuteld (polymorfe pseudoniemen - versleutelde identiteiten) tot ons komt. Wellicht moeten we daar nog een aanpassing op doen… | ||
Versie van 23 mei 2018 15:38
Deze pagina wordt beheerd door de Expertgroep IAM. In 2018 onderzoekt de expertgroep vier deelonderwerpen om (implementatie-)vraagstukken en mogelijke oplossingen in kaart te brengen, kennis te delen en elkaar te ondersteunen. Uiteindelijk leidt dit hopelijk tot architectuuroplossingen. De deelonderwerpen zijn Identity & Access Management (IAM), Identiteitenbeheer, Authenticatie(middelen)beheer, Impact eIDAS voor Nederland, Bevoegdhedenbeheer en Toegang verlenen.
|
Status, versie en auteurs
|
Wat dekt e-IDAS wel / niet af[bewerken]
Niet alleen Nora maakt een overzicht voor eIDAS, Surfnet heeft dat ook al ’s gedaan, zie:
- https://wiki.surfnet.nl/display/eIDAS/eIDAS+Home
- onder “Waar vind ik meer over de eIDAS-verordening?”
Of ICTU met een eIDAS factsheet:
Momenteel in de NORA reeds beschikbaar:
- de eIDAS Verordening https://www.noraonline.nl/wiki/EIDAS_verordening
Overige bronnen:
- Informatie van de Digitale Overheid https://www.digitaleoverheid.nl/dossiers/eidas/
- Een zeer informatief artikel over de eIDAS en de implementatie https://magazines.logius.nl/eidas/2017/01/index
- …De verordening zelf: http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.NLD&toc=OJ:L:2014:257:FULL
De uitwerking van de verordening in Nederlandse wetgeving staat in een uitvoeringswet en in de (concept) wet Digitale Overheid (nu nog wet Generieke Digitale Overheid geheten). Uitvoeringswet
- https://zoek.officielebekendmakingen.nl/kst-34413-9.html
- Er is een memorie van Toelichting op deze eIDAS uitvoeringswet, https://www.tweedekamer.nl/kamerstukken/detail?id=2016Z03640&did=2016D07401
Voor de concept wet DO:
- zie https://www.internetconsultatie.nl/wetgdi/details; in de ‘Memorie van toelichting’ wordt ingegaan op eIDAS.
- De eIDAS Verordening https://www.noraonline.nl/wiki/EIDAS_verordening
- …
Toelichting Anne / Menno incl plaatje
Architectuur van eIDAS: bepalen impact[bewerken]
== Mogelijke oplossingsrichtingen == (Menno S, Anne)
Voorbeelden implementaties[bewerken]
Voorbeeld implementatie KvK[bewerken]
De KvK onderkent vooralsnog onderstaande stappen -die mogelijk en haalbaar zijn- om aan de eIDAS Verordening te voldoen:
1. Technisch gereed maken van toegangsmiddelen (eerste helft 2018): Implementatie eHerkenning 1.11 inclusief aanmeldknop “Europees middel” op de website. De KvK is al enige tijd bezig om meer structuur in de toegangsmiddelen te krijgen. We gebruiken al eHerkenning 1.09 voor aan aantal diensten. Dit heeft als gevolg dat we de overgang van eH 1.09 naar eH 1.11 zeer waarschijnlijk makkelijk kunnen maken.
2. Gereed maken van de vertrouwensdiensten (eerste helft 2018): Nieuwe ondertekendiensten, producten aanpassen waaronder aanpassen PDF formulieren, waarmerkservice, eFactureren. De KvK zit nu ook in een aanbestedingstraject om de huidige HSM-s die niet voldoen wel weer te laten voldoen of te vervangen.
Wat doen we niet in 2018: Diensten ontsluiten nadat iemand inlogt zonder dat we een BSN nummer kunnen linken (dit moet nog bekrachtigd worden) We ondervinden nog veel onduidelijkheid wat nu precies mogelijk is. Er zijn nog enorm veel nuances en afwegingen en onduidelijkheid. Om meer helderheid te krijgen is een aantal referentie bezoeken afgelegd. Er staat nog een aantal gepland, om van andere partijen te leren.
Voorbeeld Implementatie gemeente Den Haag[bewerken]
De gemeente Den Haag heeft de volgende stappen gezet om aan de eIDAS Verordening te voldoen:
- Technisch gereed maken voor toegangsmiddelen (eerste kwartaal 2018):
- Implementatie eHerkenning 1.11 (later inclusief aanmeldknop “Europees middel” op mijn.denhaag.nl).
- Gereed maken van de vertrouwensdiensten (eerste helft 2018):
De gemeente gaat een beperkte hoeveelheid diensten vertaald aanbieden, waarvan wij merken dat deze aantrekkelijk zijn voor onze “The Hague International Centre” (THIC) klanten. Alle overige diensten zullen in het Nederlands aangeboden worden.
Verkennend voor 2018: Uitzoeken welke dienstverlening welke attributen nodig heeft. Veel van de huidige THIC dienstverlening die in aanmerking komt voor gepersonaliseerde digitalisering kan op basis van attributen verstrekt worden. Welke attributen dit zijn moet echter nog uitgezocht worden, een ene ander is ook afhankelijk van het aanbod uit de EU.
Voorbeeld Implementatie DUO[bewerken]
DUO biedt voor de burger vrijwel alle diensten digitaal aan. We gebruiken daar standaard DigiD Midden voor. DigiD Laag gebruiken we niet. DUO accepteert ook de nieuwe DigiD app. Zodra de Rijksoverheid een DigiD Substantieel middel aanbiedt is DUO in staat die ook te accepteren. Voorlopig is DUO niet van plan niveau Substantieel te eisen omdat naar verwachting veel burgers (nog) niet kunnen beschikken over zo’n middel. We zouden daarmee een grote populatie uitsluiten.
- DUO inventariseert of er wellicht toch digitale diensten zijn die op Laag mogen worden aangeboden (bijvoorbeeld abonneren op nieuwsbrieven), of verplicht op Hoog moeten. Voor Laag wordt dan op termijn ook naar alternatieven gekeken (social accounts). Voor 1-1-2019 bieden we deze features niet aan.
- Het is voor ons nog even onduidelijk of het BSN straks versleuteld (polymorfe pseudoniemen - versleutelde identiteiten) tot ons komt. Wellicht moeten we daar nog een aanpassing op doen…
- Tot voor kort maakte DUO voor de zakelijke dienstverlening gebruik van een eigen authenticatiemiddel, vergelijkbaar met niveau EH2. Middelen werden om niet verstrekt. 1 maart a.s. gaat een nieuwe dienst PRK, ontwikkeld door ICTU, voor een nieuwe doelgroep live bij DUO. Hiervoor hebben we een eHerkenningskoppeling gerealiseerd met een eHerkenningsmakelaar.
- De ervaring opgedaan met PRK herbruiken we voor de andere diensten. In principe met dezelfde makelaar en langs hetzelfde koppelvlak. We blijven zo dicht mogelijk bij het standaard eHerkenningskoppelvlak.
We gaan eHerkenning vooral gebruiken voor identificatie en authenticatie. Het voornemen is om de autorisatie zelf te blijven doen, op dezelfde wijze als nu gebeurt (vergelijkbaar met de verticale machtigingen van eHerkenning, maar als extra feature hebben wij data-restricties in het onderwijsveld) Huidige gebruikers dwingen we niet om onmiddelijk over te stappen op eHerkenning. Beide middelen zijn door elkaar te gebruiken. Uitgifte van eigen middelen zal gestopt worden.
- Geautomatiseerde controle op toepassing webstandaards zullen voor nieuw te publiceren webpagina’s/portalen in place zijn voor 1-1-2019
- Beveiligingsstandaards als DKIM, TLS, e.d. werden medio vorig jaar reeds bijna volledig toegepast. Wellicht nog een paar restjes te doen.
Aandachtspunt:
- DUO kende geen ZZP-ers. Straks door Kinderopvang vermoedelijk wel
eIDAS: DUO wil in principe gebruik maken van dezelfde makelaar als die ook eHerkenning levert. Dat kan dan via hetzelfde koppelvlak verlopen. Dan zijn er 2 situaties denkbaar:
- Europeaan wordt door de BRP-k matchingsservice herkend. We krijgen vanuit stelsel een BSN. Deze situatie is vergelijkbaar met “normale” DigiD. Businessprocessen hoeven hier niet op aangepast te worden.
- Europeaan wordt niet gematched. We krijgen vanuit stelsel een eID-uniqunessnr. Hier moeten we aanpassingen in systemen en processen voor verrichten, want wij verwachten nu altijd over een BSN of Onderwijsnummer te kunnen beschikken.
Aandachtspunt:
- Buitenlandse bedrijven kunnen ook via eIDAS binnenkomen. Nog uit te zoeken hoe dat in stelsel wordt opgelost.