Impact eIDAS voor Nederland: verschil tussen versies

Uit NORA Online
Ga naar: navigatie, zoeken
k (Interoperabiliteit)
(Nuttige linkjes: aangepast)
(24 tussenliggende versies door 5 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{Placeholder}}
+
{{IAM
{{IAA}}
+
|Beschrijving=Dit is een overzicht van de informatie en vindplaatsen die wij - als leden van de werkgroep eIDAS - relevant achten.
{{Kaderrechtssmal|
+
|Contactpersoon=Menno Gmelig Meijling
<big>Status, versie en auteurs</big><br><br>
+
|e-Mailadres=menno.gmeligmeijling@ictu.nl
Dit is een overzicht van de informatie en vindplaatsen die wij - als leden van de werkgroep eIDAS - relevant achten. <br><br>
+
|Redactionele wijzigingsdatum=3 augustus 2018
'''Contactpersoon:'''  Menno Gmelig Meijling<br>
+
|Review=afgelopen
'''Mail:''' {{Maillink
+
|Bijdragen door=* Anne Schrijer (KvK)
|to=Menno.GmeligMeijling@ictu.nl
 
|cc=nora@ictu.nl
 
|linktext=Menno.GmeligMeijling@ictu.nl
 
|subject=contact deelonderwerp Implementatie eIDAS
 
}}<br>
 
'''Versie:'''  3 augustus 2018<br>
 
'''Bijdragen door:'''<br>
 
* Anne Schrijer (KvK)
 
 
* Menno Stigter (gemeente Den Haag)
 
* Menno Stigter (gemeente Den Haag)
 
* Wim Geurts (Logius)
 
* Wim Geurts (Logius)
 
* Menno Gmelig Meijling (ICTU)  
 
* Menno Gmelig Meijling (ICTU)  
 
* Vincent van de Laar (ICTU)
 
* Vincent van de Laar (ICTU)
 +
|Extra tekst=
 
}}
 
}}
  
 
__TOC__
 
__TOC__
 
+
<br clear="all"/>
 
<imagemap>
 
<imagemap>
Bestand:Overzicht_eidas_verordening.png|900px|none|
+
Bestand:Overzicht_eidas_verordening.png|900px|none|alt=schematische weergave van uiteindelijke onderdelen van de eIDAS-regelgeving: bovenaan een balk met eIDAS regelgeving, daarinder twee balken EID en Vertrouwensdiensten. Onder EID  kleinere balkjes Wederzijdse erkenning van middelen en Bbetrouwbaarheidsniveaus, met daaronder respectievelijk Notificatieproces en Interoperabiliteitsframework. Onder de balk vertrouwensdiensten twee rijen van zes balkjes, op de eerste rij: Electronische handtekening, Gequalificeerde certificaten (sic), Tijdsstempels, Website authenticatie, Electrnische leveringsdiensten, Het bewaren van electroische handtekeningen,zegels of certificaten. Op de tweede rij: Vertrouwenslijsten, Gekwalificeerde methodes en appara aten (sic) om te verzegelen, EU vertrouwensnetwerk, Aansprakelijkheidsregeling, Trust Service Provider Toezicht, Meldingen stelsel.
  
rect 35 33 1292 136 [[#Wat dekt eIDAS wel / niet af|eIDAS]]
+
rect 35 33 1292 136 [[#eIDAS regelgeving|eIDAS]]
rect 36 168 335 269 [[#eIDAS en nationale inlogmiddelen|Toelichtig ontwikkeling nationale eID’s]]
+
rect 36 168 335 269 [[#De Nationale eID|Toelichtig ontwikkeling nationale eID’s]]
 
rect 406 167 1294 274 [[#eIDAS en vertrouwensdiensten|Vertrouwensdiensten]]
 
rect 406 167 1294 274 [[#eIDAS en vertrouwensdiensten|Vertrouwensdiensten]]
rect 34 313 181 412 [[#wederzijdse_erkenning|wederzijdse_erkenning]]
+
rect 34 313 181 412 [[#Notificatieproces en wederzijdse erkenning|wederzijdse_erkenning]]
rect 190 311 336 411 [[#betrouwbaarheidsniveaus|Betrouwbaarheidsniveaus]]
+
rect 190 311 336 411 [[#Standaardisatie van Betrouwbaarheidsniveau's|Betrouwbaarheidsniveaus]]
rect 37 429 181 534 [[#notificatieproces|Notificatieproces]]
+
rect 37 429 181 534 [[#Notificatieproces en wederzijdse erkenning|Notificatieproces]]
rect 194 433 338 534 [[#interoperabiliteit|interoperabiliteit]]
+
rect 194 433 338 534 [[#Standaardisatie van proces, gegevens en techniek (interoperabiliteit)|interoperabiliteit]]
rect 406 309 550 412 [[#Toelichting Vertrouwensdiensten|handtekening]]
+
rect 406 309 550 412 [[#eIDAS en vertrouwensdiensten|handtekening]]
rect 553 311 697 412 [[#Toelichting Vertrouwensdiensten|Certificaten]]
+
rect 553 311 697 412 [[#eIDAS en vertrouwensdiensten|Certificaten]]
rect 703 310 844 412 [[#Toelichting Vertrouwensdiensten|Tijdstempels]]
+
rect 703 310 844 412 [[#eIDAS en vertrouwensdiensten|Tijdstempels]]
rect 850 310 994 412 [[#Toelichting Vertrouwensdiensten|website authent]]
+
rect 850 310 994 412 [[#eIDAS en vertrouwensdiensten|website authent]]
rect 1001 312 1141 413 [[#Toelichting Vertrouwensdiensten|leveringsdiensten]]
+
rect 1001 312 1141 413 [[#eIDAS en vertrouwensdiensten|leveringsdiensten]]
rect 1149 308 1294 413 [[#Toelichting Vertrouwensdiensten|preservation]]
+
rect 1149 308 1294 413 [[#eIDAS en vertrouwensdiensten|preservation]]
rect 404 430 548 531 [[#Toelichting Vertrouwensdiensten|vertrouwenslijsten]]
+
rect 404 430 548 531 [[#eIDAS en vertrouwensdiensten|vertrouwenslijsten]]
rect 555 432 697 531 [[#Toelichting Vertrouwensdiensten|verzegelen]]
+
rect 555 432 697 531 [[#eIDAS en vertrouwensdiensten|verzegelen]]
rect 703 434 848 533 [[#Toelichting Vertrouwensdiensten|vertrouwensmerk]]
+
rect 703 434 848 533 [[#eIDAS en vertrouwensdiensten|vertrouwensmerk]]
rect 848 428 994 533 [[#Toelichting Vertrouwensdiensten|Aansprakelijkheidsregeling]]
+
rect 848 428 994 533 [[#eIDAS en vertrouwensdiensten|Aansprakelijkheidsregeling]]
rect 997 432 1143 531 [[#Toelichting Vertrouwensdiensten|Toezicht]]
+
rect 997 432 1143 531 [[#eIDAS en vertrouwensdiensten|Toezicht]]
rect 1149 432 1294 531 [[#Toelichting Vertrouwensdiensten|terugmelden]]
+
rect 1149 432 1294 531 [[#eIDAS en vertrouwensdiensten|terugmelden]]
  
 
desc bottom-left
 
desc bottom-left
 
</imagemap>
 
</imagemap>
 +
 
=== eIDAS regelgeving ===
 
=== eIDAS regelgeving ===
  
Regel 54: Regel 48:
 
De eIDAS verordening is een verplichting waar zowel publieke organisaties als private organisaties met een publieke taak aan moeten voldoen:  
 
De eIDAS verordening is een verplichting waar zowel publieke organisaties als private organisaties met een publieke taak aan moeten voldoen:  
 
Europese burgers en bedrijven moeten vanaf 29 september 2018 met hun eigen nationale toegangsmiddel kunnen inloggen bij publieke dienstverleners in elk van de andere Europese lidstaten, mits:
 
Europese burgers en bedrijven moeten vanaf 29 september 2018 met hun eigen nationale toegangsmiddel kunnen inloggen bij publieke dienstverleners in elk van de andere Europese lidstaten, mits:
* die lidstaat zijn authenticatievoorziening / -stelsel bij de Europese Commissie genotificeerd heeft;
+
* het te gebruiken middel door de uitgevende lidstaat als  authenticatievoorziening / -stelsel bij de Europese Commissie genotificeerd is;
 
* het een dienst betreft die digitaal verleend wordt;
 
* het een dienst betreft die digitaal verleend wordt;
 
* de authenticatie op niveau substantieel of hoog plaatsvindt.
 
* de authenticatie op niveau substantieel of hoog plaatsvindt.
Regel 64: Regel 58:
 
=== Wat moet een organisatie regelen om aan de eIDAS regelgeving te voldoen? ===
 
=== Wat moet een organisatie regelen om aan de eIDAS regelgeving te voldoen? ===
  
In samenwerking met een aantal dienstverleners en koepelorganisaties heeft Logius een handreiking over eIDAS opgesteld. In de vorm van een online handreiking worden Nederlandse dienstverleners meegenomen in wat de eIDAS-verordening voor hun organisatie betekent. In dit magazine staat onder andere uitleg over de eIDAS verordening, ondersteuning en praktijkverhalen. Het is een informatief artikel: [https://magazines.logius.nl/eidas/2017/01/index eIDAS magazine juni 2018 bij Logius]
+
In samenwerking met een aantal dienstverleners en koepelorganisaties heeft Logius een on-line handreiking opgesteld, waarin Nederlandse dienstverleners worden meegenomen in wat de eIDAS-verordening voor hun organisatie betekent. Lees dit [https://magazines.logius.nl/eidas/2017/01/index magazine] met uitleg over de eIDAS verordening, ondersteuning en praktijkverhalen en nog veel meer.
  
 
Op hoofdlijnen betreft dat:
 
Op hoofdlijnen betreft dat:
Regel 83: Regel 77:
  
 
Om ervoor te zorgen dat de implementatie van de verordening in Nederland gecontroleerd verloopt en de impact op de dienstverleners, stelsels en middelen beperkt blijft, hebben het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), het Ministerie van Economische Zaken (EZ), de Rijksdienst voor Ondernemend Nederland (RVO.nl), de Belastingdienst en Logius in 2015 blauwdrukken voor grensoverschrijdende toegang opgesteld. Deze blauwdrukken beschrijven de manier waarop grensoverschrijdend inloggen via het stelsel Elektronische Toegangsdiensten (eTD) moet gaan verlopen, zowel voor (1) inloggen vanuit het buitenland in Nederland als (2) inloggen vanuit Nederland in het buitenland. En voor zowel natuurlijke personen als niet-natuurlijke personen.
 
Om ervoor te zorgen dat de implementatie van de verordening in Nederland gecontroleerd verloopt en de impact op de dienstverleners, stelsels en middelen beperkt blijft, hebben het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), het Ministerie van Economische Zaken (EZ), de Rijksdienst voor Ondernemend Nederland (RVO.nl), de Belastingdienst en Logius in 2015 blauwdrukken voor grensoverschrijdende toegang opgesteld. Deze blauwdrukken beschrijven de manier waarop grensoverschrijdend inloggen via het stelsel Elektronische Toegangsdiensten (eTD) moet gaan verlopen, zowel voor (1) inloggen vanuit het buitenland in Nederland als (2) inloggen vanuit Nederland in het buitenland. En voor zowel natuurlijke personen als niet-natuurlijke personen.
Deze blauwdrukken zijn opgenomen in een architectuur voor het Nationale eIDAS-koppelpunt: ZIE PDF dd april 2017
+
Deze blauwdrukken zijn opgenomen in een architectuur voor het Nationale eIDAS-koppelpunt: {{bestand met info|startarchitectuur NL implementatie eIDAS met eTD 1 2 (002).pdf| startarchitectuur implementatie eIDAS}}
  
 
=== De Nationale eID ===  
 
=== De Nationale eID ===  
 
   
 
   
De Nederlandse overheid werkt onder de naam [[Idensys]] aan een Nationale digitale identiteit en Nationale toegangsmiddelen voor veilig en makkelijk inloggen voor publieke dienstverlening, die ook Europees kan worden gebruikt volgens de eIDAS verordening. Idensys is de publiek/private opvolger van [[DigiD]] en [[eHerkenning]] met een hoger betrouwbaarheidsniveau.
+
De Nederlandse overheid werkt binnen een Publiek/Private Samenwerking (PPS) onder de naam [https://www.rijksictdashboard.nl/projecten/261022 Impuls eID] (voorheen [[eHerkenning]] c.q. [[Idensys]]) aan een digitale identiteit voor burgers en bedrijven die in combinatie met Nationale toegangsmiddelen zorgen voor veilig en makkelijk inloggen voor publieke dienstverlening en die ook Europees kunnen worden gebruikt volgens de eIDAS verordening.
 
De overheid wil de nieuwe toegangsmiddelen stapsgewijs invoeren. Voor meer info over de ontwikkeling van nieuwe manieren van inloggen zie: [https://www.digitaleoverheid.nl/dossiers/identificatie-en-authenticatie/ Identificatie en authenticatie bij digitaleoverheid.nl]
 
De overheid wil de nieuwe toegangsmiddelen stapsgewijs invoeren. Voor meer info over de ontwikkeling van nieuwe manieren van inloggen zie: [https://www.digitaleoverheid.nl/dossiers/identificatie-en-authenticatie/ Identificatie en authenticatie bij digitaleoverheid.nl]
  
Regel 106: Regel 100:
 
=== Standaardisatie van Betrouwbaarheidsniveau's ===
 
=== Standaardisatie van Betrouwbaarheidsniveau's ===
  
In de [https://www.noraonline.nl/wiki/ Algemene Wet Bestuursrecht] (Awb) wordt vereist dat elektronisch verkeer tussen burger en bestuursorgaan ‘voldoende betrouwbaar en vertrouwelijk’ verloopt. Daarnaast is er het Besluit voorschrift informatiebeveiliging rijksdienst (VIR), die stelt dat rijksoverheden de betrouwbaarheidseisen voor digitale diensten moeten vaststellen aan de hand van een risicoafweging en er op moeten toezien dat er passende maatregelen worden getroffen om aan die betrouwbaarheidseisen te voldoen. In de Awb en het Besluit VIR staan de eisen aan die maatregelen niet concreet gedefinieerd.  
+
In de [https://www.noraonline.nl/wiki/ Algemene Wet Bestuursrecht] (Awb) wordt vereist dat elektronisch verkeer tussen burger en bestuursorgaan ‘voldoende betrouwbaar en vertrouwelijk’ verloopt. Daarnaast is er het Besluit voorschrift informatiebeveiliging rijksdienst (VIR), dat stelt dat rijksoverheden de betrouwbaarheidseisen voor digitale diensten moeten vaststellen aan de hand van een risicoafweging en er op moeten toezien dat er passende maatregelen worden getroffen om aan die betrouwbaarheidseisen te voldoen. In de Awb en het Besluit VIR staan de eisen aan die maatregelen niet concreet gedefinieerd.  
  
 
Het Forum Standaardisatie heeft een  [https://www.forumstandaardisatie.nl/thema/handreiking-betrouwbaarheidsniveaus Handreiking Betrouwbaarheidsniveaus] opgesteld en past die regelmatig aan op basis van de laatste inzichten en (wettelijke) vereisten, zoals eIDAS.  
 
Het Forum Standaardisatie heeft een  [https://www.forumstandaardisatie.nl/thema/handreiking-betrouwbaarheidsniveaus Handreiking Betrouwbaarheidsniveaus] opgesteld en past die regelmatig aan op basis van de laatste inzichten en (wettelijke) vereisten, zoals eIDAS.  
Zie verder de betrouwbaarheidsniveau's bij [https://www.noraonline.nl/wiki/ Authenticatie in de praktijk]
+
 
 +
De eIDAS Verordening kent 3 betrouwbaarheidsniveau's: Laag, Substantieel en Hoog.
 +
 
 +
Zie verder [https://www.noraonline.nl/wiki/Authenticatie_in_de_praktijk#Waar_is_te_vinden_welke_betrouwbaarheidsniveau.E2.80.99s_aan_al_die_authenticatiemiddelen_zijn_toegekend.3F Betrouwbaarheidsniveau's van authenticatiemiddelen]
  
 
=== Standaardisatie van proces, gegevens en techniek (interoperabiliteit) ===
 
=== Standaardisatie van proces, gegevens en techniek (interoperabiliteit) ===
  
De samenwerking en interoperabiliteit zoals gedefinieerd in artikel 12 van de verordening [https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32014R0910 eIDAS Verordening] beoogt verdergaande standaardisatie binnen Europa.
+
De samenwerking en interoperabiliteit zoals gedefinieerd in artikel 12 van de [https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32014R0910 eIDAS Verordening] beoogt verdergaande standaardisatie binnen Europa.
 
De krachtens artikel 9, lid 1, aangemelde Nationale stelsels voor elektronische identificatie zijn interoperabel. Voor de toepassing van lid 1 wordt een interoperabiliteitskader opgezet. Het interoperabiliteitskader voldoet aan de volgende criteria:
 
De krachtens artikel 9, lid 1, aangemelde Nationale stelsels voor elektronische identificatie zijn interoperabel. Voor de toepassing van lid 1 wordt een interoperabiliteitskader opgezet. Het interoperabiliteitskader voldoet aan de volgende criteria:
 
# het is erop gericht technologieneutraal te zijn en discrimineert niet tussen specifieke Nationale technische oplossingen voor elektronische identificatie binnen de lidstaat,
 
# het is erop gericht technologieneutraal te zijn en discrimineert niet tussen specifieke Nationale technische oplossingen voor elektronische identificatie binnen de lidstaat,
Regel 124: Regel 121:
 
=== eIDAS en vertrouwensdiensten ===
 
=== eIDAS en vertrouwensdiensten ===
  
Vertrouwensdiensten vallend onder de eIDAS verordening gaan over elektronische handtekeningen, elektronische zegels en elektronische bezorging voor grensoverschrijdend gebruik binnen de Europese Unie. Dit deel van de eIDAS verordening is in 2016 in werking getreden. Voor de eIDAS regelgeving zie:<br />
+
Vertrouwensdiensten zorgen voor beveiliging van websites, authenticatie op afstand, rechtsgeldige elektronische handtekeningen, versleuteling van elektronische berichten e.d.
* [https://ec.europa.eu/digital-single-market/en/trust-services Trust services bij ec.europa.eu]<br />
+
Hiervoor worden zogenaamde digitale PKI certificaten gebruikt. De echtheid van zo’n digitaal certificaat wordt altijd afgeleid van een stamcertificaat. Bij een PKIoverheid-certificaat is dat het stamcertificaat ‘Staat der Nederlanden Root CA’, waarvoor de Nederlandse overheid verantwoordelijk is, zie: [https://www.logius.nl/diensten/pkioverheid/ PKIoverheid]
Voor meer uitleg over de verschillende soorten eIDAS vertrouwensdiensten en aanbieders zie:<br />
+
 
* [https://www.agentschaptelecom.nl/onderwerpen/elektronische-vertrouwensdiensten  Elektronische vertrouwensdiensten bij Agentschap Telecom]<br />
+
Vertrouwensdiensten vallend onder de eIDAS Verordening gaan over elektronische handtekeningen, elektronische zegels en elektronische bezorging voor grensoverschrijdend gebruik binnen de Europese Unie. Dit deel van de eIDAS verordening is in 2016 in werking getreden: [https://ec.europa.eu/digital-single-market/en/trust-services Trust services bij ec.europa.eu]
  
Vertrouwensdiensten zorgen voor beveiliging van websites, authenticatie op afstand, rechtsgeldige elektronische handtekeningen en versleuteling van elektronische berichten. Hiervoor worden zogenaamde digitale PKI certificaten gebruikt. De echtheid van zo’n digitaal certificaat wordt altijd afgeleid van een stamcertificaat. Bij een PKIoverheid-certificaat is dat het stamcertificaat ‘Staat der Nederlanden Root CA’, waarvoor de Nederlandse overheid verantwoordelijk is, zie: <br />
+
Voor meer uitleg over de verschillende soorten eIDAS vertrouwensdiensten en aanbieders zie: [https://www.agentschaptelecom.nl/onderwerpen/elektronische-vertrouwensdiensten  Elektronische vertrouwensdiensten bij Agentschap Telecom]
* [https://www.logius.nl/diensten/pkioverheid/ PKIoverheid bij Logius (beheerder)]
 
  
 
=== Nuttige linkjes ===
 
=== Nuttige linkjes ===
Regel 138: Regel 134:
 
* [https://wiki.surfnet.nl/display/eIDAS/eIDAS+Home eIDAS bij SURFnet]
 
* [https://wiki.surfnet.nl/display/eIDAS/eIDAS+Home eIDAS bij SURFnet]
 
* [https://www.ictu.nl/sites/default/files/documents/ICTU%20Factsheet%20eIDAS%20v1.2.pdf Factsheet eIDAS bij ICTU]
 
* [https://www.ictu.nl/sites/default/files/documents/ICTU%20Factsheet%20eIDAS%20v1.2.pdf Factsheet eIDAS bij ICTU]
 +
* [https://www.vngrealisatie.nl/sites/default/files/2018-11/Handleiding_eIDAS1.01.pdf Handleiding eIDAS implementatie voor gemeenten] Deze handleiding bevat zowel de technische aspecten als een handreiking op welke wijze gemeentelijke dienstverlening ontsloten kan en moet worden. De handleiding is een gezamenlijk product van VNg reaksiatie, diverse gemeentes en leveranciers.
  
 
==Voorbeelden van eIDAS implementaties in Nederland==
 
==Voorbeelden van eIDAS implementaties in Nederland==

Versie van 20 nov 2018 om 13:38

Schematische weergave van de processen die vallen binnen Identity & Access Management. Linksonder de afnemer die toegang wil tot dienst D, met een zwarte pijl naar de paarse cirkel Toegang verlenen. Rechts de dienst, met een zwarte pijl terug naar toegang verlenen, waarbij staat: Toegangseisen van dienst D zijn: 1 Zekerheid Z over de juistheid van ID, 2 ID moet bevoegd zijn, 3 eventuele andere eisen. Vervolgens lopen vier paarse pijlen uit de cirkel toegang verlenen, met tekst per pijl (v.l.n.r.): 1 Wie is dit? 2 Wat mag ID? 3 Hier checken we andere eisen. 4 Voldoet ID aan eisen, dan krijgt die toegang, anders niet. Pijl 1 (Wie is dit?) verwijst naar een lichtblauwe cirkel Identiteitenbeheer, via de tekst Authenticatiemiddel. In de blauwe cirkel staat: - Personen - Computers - Apps - Dingen (IOT). In de rand van de cirkel staat rechtsonder: Levert digitale identiteiten. Pijl 2, met de tekst "Wat mag ID?" leidt naar een oranje cirkel boven toegang verlenen met de tekst "Bevoegdhedenbeheer". Naar deze cirkel verwijst een blauwe pijl vanaf link met de tekst "Levert digitale identiteiten." Een zwarte pijl wijst vanaf Bevoegdhedenbeheer naar Toegang verlenen met de tekst 'ID is wel/niet bevoegd voor Dienst D." Binnen in de oranje cirkel Bevoegdhedenbeheer is een gele cirkel Machtigen. Een tweede paarse pijl leidt van Toegang verlenen naar de Dienst, met de tekst "Voldoet ID aan eisen, dan krijgt die toegang, anders niet." Pijl 3, (Hier checken we andere eisen) leidt naar een wolk. Pijl 4, (Voldoet ID aan eisen, dan krijgt die toegang, anders niet) leidt naar de dienst.
Deze pagina is onderdeel van het thema
Identity & Access Management (IAM)

Dit is een overzicht van de informatie en vindplaatsen die wij - als leden van de werkgroep eIDAS - relevant achten.


eIDASToelichtig ontwikkeling nationale eID’sVertrouwensdienstenwederzijdse_erkenningBetrouwbaarheidsniveausNotificatieprocesinteroperabiliteithandtekeningCertificatenTijdstempelswebsite authentleveringsdienstenpreservationvertrouwenslijstenverzegelenvertrouwensmerkAansprakelijkheidsregelingToezichtterugmeldenschematische weergave van uiteindelijke onderdelen van de eIDAS-regelgeving: bovenaan een balk met eIDAS regelgeving, daarinder twee balken EID en Vertrouwensdiensten. Onder EID  kleinere balkjes Wederzijdse erkenning van middelen en Bbetrouwbaarheidsniveaus, met daaronder respectievelijk Notificatieproces en Interoperabiliteitsframework. Onder de balk vertrouwensdiensten twee rijen van zes balkjes, op de eerste rij: Electronische handtekening, Gequalificeerde certificaten (sic), Tijdsstempels, Website authenticatie, Electrnische leveringsdiensten, Het bewaren van electroische handtekeningen,zegels of certificaten. Op de tweede rij: Vertrouwenslijsten, Gekwalificeerde methodes en appara aten (sic) om te verzegelen, EU vertrouwensnetwerk, Aansprakelijkheidsregeling, Trust Service Provider Toezicht, Meldingen stelsel.
Over deze afbeelding

eIDAS regelgeving

eIDAS staat voor 'Electronic Identities And Trust Services': Europese afspraken over begrippen, betrouwbaarheidsniveaus en het onderlinge gebruik van digitale infrastructuren om binnen Europa grensoverschrijdend zaken te kunnen doen. Deze afspraken zijn vastgelegd in de eIDAS verordening 910/2014 (PDF, 1,01 MB) / eur-lex.europa.eu

De eIDAS verordening is een verplichting waar zowel publieke organisaties als private organisaties met een publieke taak aan moeten voldoen: Europese burgers en bedrijven moeten vanaf 29 september 2018 met hun eigen nationale toegangsmiddel kunnen inloggen bij publieke dienstverleners in elk van de andere Europese lidstaten, mits:

  • het te gebruiken middel door de uitgevende lidstaat als authenticatievoorziening / -stelsel bij de Europese Commissie genotificeerd is;
  • het een dienst betreft die digitaal verleend wordt;
  • de authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. op niveau substantieel of hoog plaatsvindt.

De uitwerking van de verordening in Nederlandse wetgeving staat in een uitvoeringswet Kamerstuk 34 413 bij overheid.nl en in de concept wet Digitale Overheid (nu nog wet Generieke Digitale Overheid geheten): Wet GDI bij internetconsultatie.nl.

In de memorie van Toelichting op deze uitvoeringswet, wordt ingegaan op eIDAS: Advies Afdeling advisering Raad van State 34413 bij overheid.nl

Wat moet een organisatie regelen om aan de eIDAS regelgeving te voldoen?

In samenwerking met een aantal dienstverleners en koepelorganisaties heeft Logius een on-line handreiking opgesteld, waarin Nederlandse dienstverleners worden meegenomen in wat de eIDAS-verordening voor hun organisatie betekent. Lees dit magazine met uitleg over de eIDAS verordening, ondersteuning en praktijkverhalen en nog veel meer.

Op hoofdlijnen betreft dat:

  1. Aansluiten op het Nationale eIDAS-koppelpunt (via eHerkenning of Idensys)
  2. Op de eigen website een aanmeldknop voor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. met een “Europees middel”
  3. Gereed maken van vertrouwensdiensten, zoals digitaal ondertekenen of waarmerken

Daarnaast zijn er enkele zaken die op Nationaal niveau worden geregeld (waarmee organisaties dus worden ontzorgd):

  1. Het beschikbaar maken van een Nationaal eIDAS-koppelpunt
  2. Het beschikbaar maken van een Nationale eID: 1 of meer Nationale toegangsmiddelen met betrouwbaarheidsniveau Substantieel of Hoog
  3. Notificatie daarvan bij de Europese Commissie
  4. Standaardisatie van betrouwbaarheidsniveau's
  5. Standaardisatie van proces, gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en techniek (interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving)

Hier volgend zijn diverse aspecten toegelicht.

Nationaal eIDAS-koppelpunt

Om ervoor te zorgen dat de implementatie van de verordening in Nederland gecontroleerd verloopt en de impact op de dienstverleners, stelsels en middelen beperkt blijft, hebben het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), het Ministerie van Economische Zaken (EZ), de Rijksdienst voor Ondernemend Nederland (RVO.nl), de Belastingdienst en Logius in 2015 blauwdrukken voor grensoverschrijdende toegang opgesteld. Deze blauwdrukken beschrijven de manier waarop grensoverschrijdend inloggen via het stelsel Elektronische Toegangsdiensten (eTD) moet gaan verlopen, zowel voor (1) inloggen vanuit het buitenland in Nederland als (2) inloggen vanuit Nederland in het buitenland. En voor zowel natuurlijke personen als niet-natuurlijke personen. Deze blauwdrukken zijn opgenomen in een architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. voor het Nationale eIDAS-koppelpunt: startarchitectuur implementatie eIDAS (PDF, 3,21 MB)

De Nationale eID

De Nederlandse overheid werkt binnen een Publiek/Private Samenwerking (PPS) onder de naam Impuls eID (voorheen eHerkenning c.q. Idensys) aan een digitale identiteit voor burgers en bedrijven die in combinatie met Nationale toegangsmiddelen zorgen voor veilig en makkelijk inloggen voor publieke dienstverlening en die ook Europees kunnen worden gebruikt volgens de eIDAS verordening. De overheid wil de nieuwe toegangsmiddelen stapsgewijs invoeren. Voor meer info over de ontwikkeling van nieuwe manieren van inloggen zie: Identificatie en authenticatie bij digitaleoverheid.nl

Voor de verschillende inlogmethoden en betrouwbaarheidsniveaus van DigiD en de laatste ontwikkelingen daarbij, zie DigiD

Notificatieproces en wederzijdse erkenning

Op basis van de eIDAS-verordening kunnen Europese lidstaten hun Nationale inlogmiddelen voor burgers en bedrijven gereed maken voor grensoverschrijdend gebruik en daarna als "eID" aanmelden bij de Europese Commissie (art. 9 lid 1). Na een evaluatieproces van de Europese lidstaten krijgt het inlogmiddel de status 'eIDAS-erkend'. Dit wordt ook wel notificatie genoemd. Andere lidstaten die deelnemen, zoals Nederland, moeten het inlogmiddel (eID) vervolgens accepteren (wederzijdse erkennen), wanneer aan de volgende voorwaarden is voldaan (art. 6 lid 1):

  • het eID is uitgegeven op grond van een stelsel voor elektronische identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. dat is opgenomen in de lijst van de Europese Commissie;
  • het betrouwbaarheidsniveau van het eID is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor onlinetoegang tot die dienst in de betreffende lidstaat;
  • de openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau ‘substantieel’ of ‘hoog’ voor de toegang tot die onlinedienst.

Vanaf dat moment moet uw organisatie de houders van deze eIDAS-erkende inlogmiddelen toegang verlenen tot uw onlinediensten.

Kijk hier welke erkende Europese inlogmiddelen er reeds zijn.

Standaardisatie van Betrouwbaarheidsniveau's

In de Algemene Wet Bestuursrecht (Awb) wordt vereist dat elektronisch verkeer tussen burger en bestuursorgaan ‘voldoende betrouwbaar en vertrouwelijk’ verloopt. Daarnaast is er het Besluit voorschrift informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. rijksdienst (VIR), dat stelt dat rijksoverheden de betrouwbaarheidseisen voor digitale diensten moeten vaststellen aan de hand van een risicoafweging en er op moeten toezien dat er passende maatregelen worden getroffen om aan die betrouwbaarheidseisen te voldoen. In de Awb en het Besluit VIR staan de eisen aan die maatregelen niet concreet gedefinieerd.

Het Forum Standaardisatie heeft een Handreiking Betrouwbaarheidsniveaus opgesteld en past die regelmatig aan op basis van de laatste inzichten en (wettelijke) vereisten, zoals eIDAS.

De eIDAS Verordening kent 3 betrouwbaarheidsniveau's: Laag, Substantieel en Hoog.

Zie verder Betrouwbaarheidsniveau's van authenticatiemiddelen

Standaardisatie van proces, gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd en techniek (interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving)

De samenwerking en interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving zoals gedefinieerd in artikel 12 van de eIDAS Verordening beoogt verdergaande standaardisatie binnen Europa. De krachtens artikel 9, lid 1, aangemelde Nationale stelsels voor elektronische identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. zijn interoperabel. Voor de toepassing van lid 1 wordt een interoperabiliteitskader opgezet. Het interoperabiliteitskader voldoet aan de volgende criteria:

  1. het is erop gericht technologieneutraal te zijn en discrimineert niet tussen specifieke Nationale technische oplossingen voor elektronische identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. binnen de lidstaat,
  2. het volgt, zo mogelijk, Europese en internationale normen,
  3. het bevordert de toepassing van het beginsel van privacy by design en
  4. het waarborgt dat persoonsgegevens worden verwerkt overeenkomstig Richtlijn 95/46/EG.

Dit stelt dus eisen aan zowel het Nederlandse eIDAS-koppelpunt als de aansluiting daarop vanuit de (overheids)organisaties.

eIDAS en vertrouwensdiensten

Vertrouwensdiensten zorgen voor beveiliging van websites, authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. op afstand, rechtsgeldige elektronische handtekeningen, versleuteling van elektronische berichten e.d. Hiervoor worden zogenaamde digitale PKI certificaten gebruikt. De echtheid van zo’n digitaal certificaat wordt altijd afgeleid van een stamcertificaat. Bij een PKIoverheid-certificaat is dat het stamcertificaat ‘Staat der Nederlanden Root CA’, waarvoor de Nederlandse overheid verantwoordelijk is, zie: PKIoverheid

Vertrouwensdiensten vallend onder de eIDAS Verordening gaan over elektronische handtekeningen, elektronische zegels en elektronische bezorging voor grensoverschrijdend gebruik binnen de Europese Unie. Dit deel van de eIDAS verordening is in 2016 in werking getreden: Trust services bij ec.europa.eu

Voor meer uitleg over de verschillende soorten eIDAS vertrouwensdiensten en aanbieders zie: Elektronische vertrouwensdiensten bij Agentschap Telecom

Nuttige linkjes

Voorbeelden van eIDAS implementaties in Nederland

Implementatie Kamer van Koophandel (KvK)

De KvK onderkent vooralsnog onderstaande stappen -die mogelijk en haalbaar zijn- om aan de eIDAS Verordening te voldoen:

  1. Technisch gereed maken van toegangsmiddelen (eerste helft 2018): Implementatie eHerkenning 1.11 inclusief aanmeldknop “Europees middel” op de website. De KvK is al enige tijd bezig om meer structuur in de toegangsmiddelen te krijgen. We gebruiken al eHerkenning 1.09 voor aan aantal diensten. Dit heeft als gevolg dat we de overgang van eH 1.09 naar eH 1.11 zeer waarschijnlijk makkelijk kunnen maken.
  2. Gereed maken van de vertrouwensdiensten (eerste helft 2018): Nieuwe ondertekendiensten, producten aanpassen waaronder aanpassen PDF formulieren, waarmerkservice, E-factureren. De KvK zit nu ook in een aanbestedingstraject om de huidige HSM-s die niet voldoen wel weer te laten voldoen of te vervangen.

Wat doen we niet in 2018: Diensten ontsluiten nadat iemand inlogt zonder dat we een BSN nummer kunnen linken (dit moet nog bekrachtigd worden) We ondervinden nog veel onduidelijkheid wat nu precies mogelijk is. Er zijn nog enorm veel nuances en afwegingen en onduidelijkheid. Om meer helderheid te krijgen is een aantal referentie bezoeken afgelegd. Er staat nog een aantal gepland, om van andere partijen te leren.


Implementatie gemeente Den Haag

De gemeente Den Haag heeft de volgende stappen gezet om aan de eIDAS Verordening te voldoen:

  1. Technisch gereed maken voor toegangsmiddelen (eerste kwartaal 2018):
  2. Implementatie eHerkenning 1.11 (later inclusief aanmeldknop “Europees middel” op mijn.denhaag.nl).
  3. Gereed maken van de vertrouwensdiensten (eerste helft 2018):

De gemeente gaat een beperkte hoeveelheid diensten vertaald aanbieden, waarvan wij merken dat deze aantrekkelijk zijn voor onze “The Hague International Centre” (THIC) klanten. Alle overige diensten zullen in het Nederlands aangeboden worden.

Verkennend voor 2018: Uitzoeken welke dienstverlening welke attributen nodig heeft. Veel van de huidige THIC dienstverlening die in aanmerking komt voor gepersonaliseerde digitalisering kan op basis van attributen verstrekt worden. Welke attributen dit zijn moet echter nog uitgezocht worden, een ene ander is ook afhankelijk van het aanbod uit de EU.


Implementatie DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Uitvoering Onderwijs (DUO)

DUO biedt voor de burger vrijwel alle diensten digitaal aan en gebruikt daar standaard DigiD Midden voor. DUO maakt geen gebruik van DigiD Laag. DUO accepteert ook de nieuwe DigiD app.
Zodra de Rijksoverheid een DigiD Substantieel middel aanbiedt, is DUO in staat die ook te accepteren. Voorlopig is DUO niet van plan niveau Substantieel te eisen omdat naar verwachting veel burgers (nog) niet kunnen beschikken over zo’n middel. We zouden daarmee een grote populatie uitsluiten.

  • DUO inventariseert of er wellicht toch digitale diensten zijn die op Laag mogen worden aangeboden (bijvoorbeeld abonneren op nieuwsbrieven), of verplicht op Hoog moeten. Voor Laag wordt dan op termijn ook naar alternatieven gekeken (social accounts). Voor 1-1-2019 bieden we deze features niet aan.
  • Het is voor ons nog even onduidelijk of het BSN straks versleuteld (polymorfe pseudoniemen - versleutelde identiteiten) tot ons komt.
  • Tot voor kort maakte DUO voor de zakelijke dienstverlening gebruik van een eigen authenticatiemiddel, vergelijkbaar met niveau EH2. Die middelen werden "om niet" verstrekt. Per 1 maart 2019 gaat een nieuwe dienst PRK, ontwikkeld door ICTU, voor een nieuwe doelgroep live bij DUO. Hiervoor hebben we een eHerkenningskoppeling gerealiseerd met een eHerkenningsmakelaar.
  • De ervaring die is opgedaan met PRK, gebruiken we voor de andere diensten. In principe met dezelfde makelaar en langs hetzelfde koppelvlak. We blijven zo dicht mogelijk bij het standaard eHerkenningskoppelvlak.

We gaan eHerkenning vooral gebruiken voor identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Het voornemen is om de autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen zelf te blijven doen, op dezelfde wijze als nu gebeurt (als extra feature heeft DUO data-restricties in het onderwijsveld) Huidige gebruikers dwingen we niet om onmiddelijk over te stappen op eHerkenning, beide middelen zijn door elkaar te gebruiken. Uitgifte van eigen middelen wordt gestopt.

Wat eIDAS betreft, wil DUO in principe gebruik maken van dezelfde makelaar die eHerkenning levert. Dat kan dan via hetzelfde koppelvlak verlopen. Dan zijn er 2 situaties denkbaar:

  1. Europeaan wordt door de BRP-k matchingsservice herkend. We krijgen vanuit stelsel een BSN. Deze situatie is vergelijkbaar met “normale” DigiD. Businessprocessen hoeven hier niet op aangepast te worden.
  2. Europeaan wordt niet gematched. We krijgen vanuit stelsel een eID-uniqunessnr. Hier moeten we aanpassingen in systemen en processen voor verrichten, want wij verwachten nu altijd over een BSN of Onderwijsnummer te kunnen beschikken.

Aandachtspunt:

  • Buitenlandse bedrijven kunnen ook via eIDAS binnenkomen. Nog uit te zoeken hoe dat in het stelsel wordt opgelost.