Naar de inhoud Naar de navigatie

Werkruimte:Begrippen IAM: verschil tussen versies

← Oudere bewerking
Harro Kremer (overleg | bijdragen)
projectlid, secretaris
670 bewerkingen
Harro Kremer (overleg | bijdragen)
projectlid, secretaris
670 bewerkingen
 
(99 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
Over deze pagina
{{Werkversie-schakelaar}}
* De huidige inhoud is een werkversie waarin teksten worden aangepast die voortvloeien uit het opnemen van een IAM begrippen in het [[NORA Begrippenkader]]. De uit 2022 resterende inhoud van deze pagina is achterhaald maar nog wel beschikbaar als [[https://www.noraonline.nl/index.php?title=Overleg:Begrippen_IAM&oldid=62544 oudere versie]].
Het doel van {{PAGENAME}} is om belangrijkste begrippen binnen het thema [[Identiteit en Toegang (IAM)]] in onderlinge samenhang te plaatsen als aanvulling op het gehele IAM begrippenkader [[Overzicht NORA Begrippenkader - Identiteit en toegang]].


==Doel en proces opname==
Leeswijzer:
Deze lijst met begrippen werd opgesteld om binnen de overheid c.q. samenleving te komen tot meer eenduidige en gedeelde beelden inzake Identity & Access Management (IAM). Doel is om beknopte en gezamenlijke lijst met begrippen te maken, samen met een visualisatie en beschrijving van hun samenhang. De toepassingsgebieden waarin IAM wordt gebruikt, hanteren elk vaak eigen, op de toepassing toegesneden, definities, waardoor een grote variëteit aan net-niet-gelijke definities is ontstaan. {{PAGENAME}} biedt een basis set aan definities als Referentie Architectuur voor consistente uitwerkingen binnen de NORA en haar dochters van deelaspecten van IAM. De gangbare synoniemen en toepassings-specifieke definities zijn ter verduidelijking opgenomen in uitklapbare secties.
* Deze pagina maakt op dit moment gebruik van hyperlinks naar begrippenviews binnen de [https://nora-begrippen.wikixl.nl/index.php/Hoofdpagina tijdelijke beheeromgeving voor begrippen]. Er wordt gewerkt aan het direct tonen van de begrippenviews.
* Begrippen gemarkeerd met een (#) zijn begrippen uit de NORA basisbegrippen die niet specifiek zijn voor het domein IAM.
* Samengestelde begrippen die als onderwerp relevant zijn zijn toegevoegd, ook als de betekenis ervan logischerwijs volgt uit de samenstelling van de losse begrippen. Samengestelde begrippen die een eigen betekenis hebben gekregen worden zelfstandig in de begrippenlijst opgenomen.  


Leeswijzer: Voor de volledige beschrijvingen van deze begrippen kan je vooralsnog terecht bij de [https://nora-begrippen.wikixl.nl/index.php/Hoofdpagina tijdelijke beheeromgeving] en de publicatie op [https://nora.begrippenxl.nl BegrippenXL]. De begrippen en de bijbehorende [[https://nora-begrippen.wikixl.nl/index.php/Begrippenviews2 Begrippenviews]] zullen op termijn op NORAOnline.nl worden gepubliceerd.
== Kernbegrippen IAM ==


== Objectmodel ==
{{Toon begrip|Begrip=toegang}}
Het objectmodel voor IAM identificeert de belangrijkste begrippen die relevant zijn voor het onderwerp IAM en hun onderlinge relaties.
Binnen IAM kan het begrip toegang worden uitgeschreven tot:  
Zie [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_toegang]


<<nieuw plaatje inclusief de begrippen die de begrippenlijst niet gehaald hebben>>
:De mogelijkheid
:* van een entiteit (natuurlijk persoon, organisatie) of apparaat
:* om een object (voorziening, gegevens, fysiek object (bijv. beveiligde ruimte)
:* te benaderen en te gebruiken
:* betreffende een entiteit (die niet dezelfde hoeft te zijn als de entiteit die toegang vraagt)
:* op basis van verstrekte bevoegdheden en conform de autorisatieregels die hieraan gesteld worden.
 
Toelichting
* Een entiteit kan namens zichzelf acteren (bijv. burger doet eigen belasting aangifte) of de bevoegdheid hebben om namens een andere entiteit te acteren.
* Een apparaat krijgt toegang op basis van zijn identiteit en de entiteit onder wiens verantwoordelijkheid het apparaat valt. Een apparaat heeft geen eigen wilsbeschikking en juridische status, voert een apparaat altijd handeling uit namens een entiteit.


=== Vergelijking met de huidige IAM begrippenlijst ===
Het objectmodel voor toegang heeft een forse wijziging ondergaan. Onderstaande tabel somt de wijzigingen op in de volgorde zoals ze in de huidige IAM begrippenlijst zijn opgenomen
{| class="wikitable"
|+
! huidig begrip
! nieuw begrip
! status nieuw begrip
! toelichting


De 3 kernbegrippen hierbinnen zijn identificatie, authenticatie en autorisatie.
{| class="wikitable";
! IAM bollenplaat !! begrippenview
|-
|-
| Entiteit || entiteit || vastgesteld 2024-10-03|| Eigenaarschap nog over te dragen.
| Toegang (#)|| [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_toegang Begrippenview toegang]
|-
|| Natuurlijk Persoon || natuurlijk persoon || vastgesteld 2025-02-11 || Eigenaarschap nog over te dragen.
|-
| Niet-Natuurlijk persoon || organisatie || Vastgesteld 2025-06-17 || Ontdubbeld tegen het begrip organisatie. <br>Eigenaarschap nog over te dragen.
|-
| Device || apparaat || In bewerking || Omwille van consistentie met de definitie van "gedrag" is apparaat verbijzondering van het begrip object en niet langer van entiteit. <br>Eigenaarschap nog over te dragen.
|-
| Resource || "" || Zie noot (1) ||
|-
| Digitale Identiteit || identiteitsgegevens || Samengesteld begrip, zie noot (2) || In lijn gebracht met de definitie van gegeven
|-
| Attribuut || geen || In bewerking || Attribuut zoals binnen IAM gedefinieerd is komt overeen met "identiteitsgegeven" die als samengesteld begrip niet in de begrippenlijst komt. In de NORA definitie van attribuut is attribuut geen digitale representatie (=gegeven) maar een eigenschap van een object. <br>Eigenaarschap zal buiten IAM expertgroep komen te liggen.
|-
| Betrouwbaarheidsniveau || betrouwbaarheidsniveau || In bewerking || Vervangt zowel het IAM begrip als het DA Toegang begrip.
|-
| Toepassingsgebied<br>context<br>inzetgebied<domein>||toepassingsgebied<br>werkingsgebied || Geen begrip voor het domein toegang. Eigenaarschap buiten IAM belegd.
|-
| Identifier || identifier || In bewerking  ||
|-
| Gevalideerd identiteitsbewijs <br>authenticatiemiddel<br>identificatiemiddel|| identificatiemiddel || Gevalideerd is uit de definitie gehaald om het begrip breder toepasbaar te maken.  Binnen DA toegang is gekozen voor identificatiemiddel t.b.v. aansluiting op eIDAS.
|-
| Resource || --- || noot (1) || Nog geen goede definitie hiervoor gevonden.
|-
| (digitale) dienst || dienst || Vastgesteld 2024-10-03 || Geen specifiek begrip voor het domein toegang.
|-
| Zaak<br>case<br>dossier<br>... || gegeven || Vastgesteld 2025-02-11.<br>Een zaak kun je zien als een verzameling gegevens met een identiteit.
|-
| Bevoegdheid<br>toegangsrecht<br>autorisatie || bevoegdheid || Vastgesteld 2024-10-03 || Zie [[https://nora-begrippen.wikixl.nl/index.php/Begrippenview_bevoegdheid | Begrippenview_bevoegdheid]]
| Machtiging<br>vertegenwoording || machtiging<br>wettelijke vertegenwoordiging || Deels vastgesteld  2025-02-11 || Binnen GDI architecturen zijn de begrippen consistent uitgewerkt.
|}
|}


De volgende begrippen zijn gedefinieerd in de DA toegang en komen niet voor in de huidige IAM begrippenlijst
{{#widget:IncludePage
{|
| pagina=Begrippenview_toegang
|Attribuutsoort || --- || Noot (2) || Zie bij attribuut
| api=https://nora-begrippenkader.wikixl.nl/api.php
|}
}}
 
{{Toon begrip2
|Begrip=toegang
|BegrippenkaderURL=https://nora-begrippenkader.wikixl.nl
|BegrippenkaderID=Id-56122907-1756-4229-2907-175612290768
}}




Noot(1) De [[Expertgroep NORA Begrippenkader]] heeft regel opgesteld waaraan begrippen moeten voldoen om in de NORA begrippenlijst opgenomen te worden. Het begrip resource heeft met de huidige betekenis (bundeling van dienst, zaak en fysieke ruimte) geen zelfstandige goede definitie en is dus niet opgenomen in de begrippenlijst. En kan dus ook niet in begrippenviews gebruikt worden.
Het begrip autorisatie wordt in de praktijk gebruikt voor 2 wezenlijk verschillende aspecten. Dit is een permanente bron van verwarring die we binnen NORA niet kunnen elimineren. Binnen het NORA begrippenkader is dit begrip dus gesplitst in 2 gescheiden begrippen:
* autorisatieverlening = het verlenen van een bevoegdheid
* autorisatiecontrole = controleren of de juiste bevoegdheden aanwezig zijn


Noot(2) Samengestelde begrippen (zoals fysieke ruimte) worden niet in de begrippenlijst opgenomen omdat de betekenis ervan valt af te leiden door het combineren van de betekenis van beide delen.
== Begrippen identificatie ==


Onderkend wordt dat bij het modelleren in Archimate het handig kan zijn om dit soort begrippen te introduceren als hulpmiddel bij het maken van begrijpelijke architectuurmodellen. De expertgroep is aan het nadenken hoe hier mee om te gaan bij het publiceren van architectuurmodellen op NORAonline.
{| class="wikitable";
! IAM bollenplaat !! begrippenview
|-
| Identiteitenbeheer || [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_identificatie Begrippenview identificatie]
|}


=== Algemene begrippen ===
{{Toon begrip|Begrip=identiteit, identifier, identificatiemiddel}}
De figuur hieronder is grafische weergave van de concepten en hun relatie. Deze begrippen zijn opgenomen in de NORA Begrippenlijst. Het beheer van de begrippen ligt grotendeels binnen de IAM expertgroep.


<<plaatje>> [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_objecten Begrippenview_objecten (begrippenwiki)]
Deze definities worden hieronder toegelicht.
{|class="wikitable";
! begrip !! toelichting
|-
| identiteit (#) || Bij een vastgelegde identiteit kan metadata behoren, bijvoorbeeld de organisatie die de identiteit heeft vastgesteld en de datum waarop dat is gedaan, en de mate van betrouwbaarheid van de vastgelegde gegevens.


=== IAM Toelichtingen ===  
Een entiteit kan meerdere identiteiten hebben die zowel een onderlinge samenhang hebben (gegevens in paspoort zijn afgeleid van de gegevens in de [[BRP (Basisregistratie Personen)]]. Binnen IAM wordt geen gebruikt gemaakt van de overkoepelende identiteit die ontstaat door alle kenmerkende eigenschappen van een object in alle toepassingsgebieden te combineren.
Binnen het het domein IAM zijn er een aantal specieke toelichtingen die (nog) niet zij opgenomen in NORA begrippenlijst.  
|-
| identifier || Een natuurlijk persoon heeft binnen de context van burgers in Nederland meerdere identifiers: Zowel het [https://www.noraonline.nl/wiki/Burgerservicenummer_(BSN) BSN] (een enkel attribuut) als de combinatie van voor- en achternamen, geboortedatum, geboorteplaats horen bij dezelfde persoon''.
|-
|identificatiemiddel || authenticatiemiddel is een alternatieve term voor identificatiemiddel. De keuze voor identificatiemiddel boven authenticatiemiddel is overgenomen uit eIDAS.
 
Certificaten en soft-tokens zijn voorbeelden van digitale identificatiemiddelen.
|-
| identiteitsgegeven || Samengesteld begrip, zie Noot (2).<br>Een gegeven van een identiteit = vastlegging van de kenmerkende eigenschap(pen) van een object =vastgelegd attribuut
|-
| [[Identiteitenbeheer]] || Samengesteld begrip, zie Noot (2). Identiteitenbeheer is een onderwerp binnen het Thema [[Identiteit en Toegang (IAM)]].  
|}


<table class="wikitable" >
Gerelateerde begrippen bij identificatie
  <tr><td>apparaat<td>heette voorheen device.<br>Voorbeelden van apparaten zijn een computer, telefoon, een app op een smartphone of een digitale deurbel met camera functie. Devices hebben een identiteit nodig voor Informatiebeveiligingsfuncties.
* Binnen de NORA: [[Identiteitenbeheer]], [[Identificatie en authenticatie]], [[Self Sovereign Identity - de digitale identiteit ]]
  <tr><td>organisatie<td>vervangt de begrippen oude begrippen Niet-Natuurlijk Persoon en samenwerkingsverband van Natuurlijk Personen. Organisaties zijn meestal geregistreerd zijn in [[HR (Basisregistratie Handelsregister)]];
* Wikipedia: [https://nl.wikipedia.org/wiki/Self-sovereign_identity Self Sovereign Identity], [https://nl.wikipedia.org/wiki/Decentralized_identifiers Decentralized identifiers]
  <tr><td>rechtspersoon<td>Conform [https://www.wetrecht.nl/rechtspersoon/ wetrecht.nl] zijn een BV, NV, Stichting en vereniging rechtspersonen; en zijn een maatschap en VOF dat niet.
  <tr><td>attribuut<td>Binnen IAM wordt "attribuut" gebruikt als synoniem voor "identiteitsgegeven" (vastlegging van een eigenschap van een entiteit)
  <tr><td rowspan=3>identiteit<td>Een entiteit kan meerdere identiteiten hebben die zowel een onderlinge samenhang hebben (gegevens in paspoort zijn afgeleid van de gegevens in de [[BRP (Basisregistratie Personen)]]. Binnen IAM wordt geen gebruikt gemaakt van de overkoepelende identiteit die ontstaat door alle kenmerkende eigenschappen van een object in alle toepassingsgebieden te combineren.
<tr><td>Bij een vastgelegde identiteit kan metadata behoren, bijvoorbeeld de organisatie die de identiteit heeft vastgesteld en de datum waarop dat is gedaan, en de mate van betrouwbaarheid van de vastgelegde gegevens.
<tr><td>Een natuurlijk persoon heeft binnen de context van burgers in Nederland meerdere identifiers: Zowel het [https://www.noraonline.nl/wiki/Burgerservicenummer_(BSN) BSN] (een enkel attribuut) als de combinatie van voor- en achternamen, geboortedatum, geboorteplaats horen bij dezelfde persoon''.
<tr><td>sui generis<td>Er zijn een 4-tal "sui generis" organisaties die bij wet zijn gedefinieerd (Rechtspraak, Hoge Raad, Openbaar Ministerie en Nationale Politie). De sui generis organisaties zijn onderdeel van De Staat en hebben geen afzonderlijke rechtspersoonlijkheid op grond van artikel 2:1 van het Burgerlijk Wetboek. Ondanks het ontbreken van eigen rechtspersoonlijkheid kunnen ze toch ingeschreven worden in het Handelsregister op grond van artikel 8 van de Handelsregisterwet en artikel 8, derde lid, van het Handelsregisterbesluit.   
<!-- bron: emailuitwisseling tussen Harro Kremer en Lieke Sterk (Juridisch beleidsmedewerker Wet Digitale Overheid, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties dd 16-12-2024 -->


</table>
<table class="wikitable";>  <tr><td>
  <tr><td>
'''<u>Gevalideerd Identiteitsbewijs</u>''' (Authenticatiemiddel, Identificatiemiddel)<br>Een fysiek of digitaal middel op grond waarvan authenticatie van een gebruiker kan plaatsvinden; i.e. een drager van een Digitale Identiteit met een vastgesteld betrouwbaarheidsniveau. Een Identiteitsbewijs wordt met een uitgifte proces door een middelenuitgever verstrekt aan de Entiteit.
* ''Het betrouwbaarheidsniveau wordt bepaald door de processen die bij de uitgifte van het middel zijn gevolgd.
* ''Een Identiteitsbewijs bevat een Identifier van de gebruiker, de uitgever van het middel, en optioneel extra attributen.''
* ''Traditioneel wordt het begrip Authenticatiemiddel gebruikt, binnen eIDAS is gekozen voor Identificatiemiddel. ''
* ''Certificaten en soft-tokens (bijv. OAuth, SAML of Kerberos) zijn voorbeelden van digitale Identificatiemiddelen.''
  <tr><td>
Gerelateerde begrippen
* Binnen de NORA: [[Identificatie ]]
* Wikipedia: [https://nl.wikipedia.org/wiki/Self-sovereign_identity Self Sovereign Identity], [https://nl.wikipedia.org/wiki/Decentralized_identifiers Decentralized_identifiers]
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
<div class="mw-collapsible-content">
* '''Identiteit''' ([[Stelsel_Elektronische_Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Identiteit] ''De volledige maar dynamische set van alle attributen behorende bij een bepaalde entiteit die het mogelijk maakt betreffende entiteit van andere te onderscheiden. Elke entiteit heeft maar één identiteit. De identiteit behoort toe aan de entiteit.''
* '''Identiteit''' ([[Stelsel Elektronische Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Identiteit] ''De volledige maar dynamische set van alle attributen behorende bij een bepaalde entiteit die het mogelijk maakt betreffende entiteit van andere te onderscheiden. Elke entiteit heeft maar één identiteit. De identiteit behoort toe aan de entiteit.''
* '''Elektronisch identificatiemiddel''' (Gevalideerd Identiteitsbewijs) ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;''
* '''Persoonsidentificatiegevens''' (digitale identiteit) ([[EIDAS verordening]]) Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)''een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld''
* '''Betrouwbaarheidsniveau''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (inleiding): ''moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend.''  
* '''Burgerservicenummer''' (identifier) ([[Burgerservicenummer (BSN)]]) <br>Bron: [https://wetten.overheid.nl/BWBR0022428/2014-01-06] ''uniek persoonsnummer teneinde de doelmatigheid van de administraties van de overheid en enige andere sectoren te vergroten en de dienstverlening aan de burger te verbeteren''<br>Bron: [https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn] ''Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Basisregistratie Personen (BRP).''
* '''Burgerservicenummer''' (identifier) ([[Burgerservicenummer (BSN)]]) <br>Bron: [https://wetten.overheid.nl/BWBR0022428/2014-01-06] ''uniek persoonsnummer teneinde de doelmatigheid van de administraties van de overheid en enige andere sectoren te vergroten en de dienstverlening aan de burger te verbeteren''<br>Bron: [https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn] ''Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Basisregistratie Personen (BRP).''
* '''Publieke domein''' (Toepassingsgebied) ([[Stelsel_Elektronische_Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Publieke+domein] ''Het domein waarbij interacties plaatsvinden tussen natuurlijke personen / niet-natuurlijke personen enerzijds en de Dienstverleners met een publieke taak anderzijds. Een Dienstverlener is 'publiek' wanneer het een bestuursorgaan in de zin van afdeling 1.1 van de Algemene wet bestuursrecht betreft, maar ook wanneer het andere overheidsorganen alsmede natuurlijke en rechtspersonen, niet zijnde overheidsorganen betreft, die vanwege het uitoefenen van een publieke taak gerechtigd zijn het burgerservicenummer (BSN) te gebruiken''  
* '''Publieke domein''' (Toepassingsgebied) ([[Stelsel Elektronische Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Publieke+domein] ''Het domein waarbij interacties plaatsvinden tussen natuurlijke personen / niet-natuurlijke personen enerzijds en de Dienstverleners met een publieke taak anderzijds. Een Dienstverlener is 'publiek' wanneer het een bestuursorgaan in de zin van afdeling 1.1 van de Algemene wet bestuursrecht betreft, maar ook wanneer het andere overheidsorganen alsmede natuurlijke en rechtspersonen, niet zijnde overheidsorganen betreft, die vanwege het uitoefenen van een publieke taak gerechtigd zijn het burgerservicenummer (BSN) te gebruiken''  
* '''Inzetgebied''' (Toepassingsgebied) ([[Stelsel_Elektronische_Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Inzetgebied]: ''Een ... erkende groep gebruikers ...  Voorbeelden zijn: bedrijven ..., beroepsbeoefenaren, consumenten ...  of burgers''
* '''Inzetgebied''' (Toepassingsgebied) ([[Stelsel Elektronische Toegangsdiensten]])<br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Inzetgebied]: ''Een ... erkende groep gebruikers ...  Voorbeelden zijn: bedrijven ..., beroepsbeoefenaren, consumenten ...  of burgers''
* '''Openbare instantie''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden; ... publiekrechtelijke instelling: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad;''
* '''Openbare instantie''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden; ... publiekrechtelijke instelling: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad;''
* '''elektronische identificatie''' (identificatie) ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;''
</div> </div> <!-- end of collapsible content -->
</div> </div> <!-- end of collapsible content -->
</table>
</table>


== Begrippen authenticatie ==
{| class="wikitable";
! IAM bollenplaat !! begrippenview
|-
| Authenticatie(middelen) beheer|| [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_authenticatie Begrippenview authenticatie]
|}


<table class="wikitable" >
Deze definities worden hieronder toegelicht.
  <tr><td>
{|class="wikitable";
'''<u>Resource</u>'''<br>Een fysieke component of een eenheid van informatie waartoe een Entiteit toegang zou kunnen krijgen.
! begrip !! toelichting
* ''Een Resource kan worden gezien als een Entiteit; Resources kunnen dus een Digitale Identiteit hebben.''
|-
'''<u>(digitale) Dienst</u>''' <br>(concept) Een faciliteit waarmee digitale dienstverlening wordt aangeboden.
| identificatiemiddelenbeheer || Samengesteld begrip, zie Noot (2) <br>De toestand die in stand gehouden wordt is dat de identificatiemiddelen in het bezit van de juiste entiteiten en apparaten
:
|}
'''<u>Zaak</u>''' (case, dossier, …) <br>(concept) Aanduiding voor digitale object binnen een dienst waarop bevoegdheden worden vastgelegd
* ''Een zaak komt vaak overeen met een onderscheidbaar object in de fysieke wereld, zoals bijv. een Rechtszaak, Vergunningsaanvraag, Dossier, etc..''


  <tr><td>
Relevante onderwerpen
'''<u>Bevoegdheid</u>''' (Toegangsrecht, Autorisatie)<br>
* NORA Online: [[Authenticatie in de praktijk]], [[Authenticatie (beheersmaatregel)]]
Een toestemming van een Entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een Resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de Digitale Identiteit.
<table class="wikitable";><tr><td>
* ''Een Bevoegdheid is randvoorwaardelijk voor het krijgen van toegang, maar niet voldoende.''
* ''Bevoegdheden kunnen als informatie object zijn vastgelegd, maar dat hoeft niet altijd het geval te zijn; bijvoorbeeld als deze bij wet bepaald is.''
<tr><td>
::'''Machtiging''' (Vertegenwoordiging)<br>(concept)Een bevoegdheid van een Entiteit om namens een Andere Identiteit toegang te krijgen tot een resource (en daar handelingen op te verrichten).
::* ''Een Machtiging kan een vrijwillig karakter hebben ("vrijwillige machtiging"), bijvoorbeeld op basis van de Algemene Wet Bestuursrecht.
::* ''Tot een onvrijwillige Machtiging kan door de wetgever of bevoegd gezag eenzijdig worden besloten ("Wettelijke Vertegenwoordiging") als de betrokkene niet handelingsbekwaam of -bevoegd is: bij vertegen-woordiging van minderjarigen, curatele, beschermingsbewind, mentor¬schap, schuld¬sanering of faillissement. ''
::* ''Machtigingen worden vaak in een Machtigingenregister vastgelegd, dit hoeft echter niet. In de fysieke wereld zie je dit bijvoorbeeld bij een stembiljet, of bij het vertegenwoordigen van minderjarigen door hun biologische ouders.''
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
<div class="mw-collapsible-content">
* '''Persoonsidentificatiegevens''' (digitale identiteit) ([[EIDAS verordening]]) Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)''een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld''
* '''Authenticatie''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;
* '''Vertegenwoordiging''' (Machtiging)  ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/pages/viewpage.action?pageId=59738023]: ''De rechtsfiguur die inhoudt dat de rechtsgevolgen van een door een bepaalde Partij (de Vertegenwoordiger of Gemachtigde) in naam van een andere partij (de Vertegenwoordigde dienstafnemer) met een derde verrichte handeling aan de vertegenwoordigde worden toegerekend. De Bevoegdheid tot het verrichten van vertegenwoordigingshandelingen vloeit voort uit hetzij de wet hetzij een volmacht (privaatrecht) hetzij uit een machtiging (bestuursrecht). Zo'n bevoegdheid kan eventueel ingeperkt zijn tot bepaalde rechtshandelingen, of een bepaalde relevante omvang ten aanzien van rechtshandelingen.''
* '''Authenticatieverklaring''' ([[Stelsel Elektronische Toegangsdiensten]]) <br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Authenticatieverklaring] Een Verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een Authenticatie (authenticeren) die heeft plaatsgevonden in de context van een bepaalde handeling of dienst.
* '''Vertegenwoordiger''' ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Vertegenwoordiger]: ''De Partij die bevoegd is om een andere partij (de vertegenwoordigde) te vertegenwoordigen in het verrichten van handelingen met derden.''
* '''Elektronisch identificatiemiddel''' (Gevalideerd Identiteitsbewijs) ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;''
* '''Vertegenwoordigde'''(Belanghebbende)  ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Vertegenwoordigde] ''De partij die de vertegenwoordiger de bevoegdheid heeft verleend om in naam van eerstgenoemde te handelen.''
* '''Betrouwbaarheidsniveau''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (inleiding): ''moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend.''  
* '''Machtiging''' ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/pages/viewpage.action?pageId=59738078]: ''Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de gemachtigde) om in naam van eerstgenoemde rechtshandelingen te verrichten. Een machtiging kan algemeen of bijzonder zijn. Een bijzondere machtiging is beperkt tot bepaalde rechtshandelingen of een bepaalde relevante omvang ten aanzien van rechtshandelingen. Machtiging kan worden gezien als synoniem aan volmacht zij het dat de term machtiging voornamelijk in bestuursrechtelijke context wordt gebruikt.''
* '''Gemachtigde''' (Vertegenwoordiger) ([[Stelsel_Elektronische_Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Gemachtigde]: ''De partij die (op grond van wet of machtiging c.q. volmacht) bevoegd is om in naam van de vertegenwoordigde bepaalde handelingen te verrichten''  
</div> </div> <!-- end of collapsible content -->
</div> </div> <!-- end of collapsible content -->
</table>
</table>


Het objectmodel hieronder beschrijft de samenhang en relaties tussen de begrippen op basis van de definities. Er zijn hier twee relaties opgenomen: Specialisatie A --> B (A is een specifieke versie van B) en Aggregatie A --<> B (De definitie van B gebruikt begrip A). Het objectmodel is geen datamodel; in dat geval zou de relatie tussen Attribuut en Entiteit andersom getekend worden.  
== Begrippen bevoegdheid ==
{| class="wikitable";
! IAM bollenplaat !! begrippenview
|-
| Bevoegdhedenbeheer || [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_bevoegdheid Begrippenview bevoegdheid]
|}


[[Afbeelding:model_zonder_persoon.jpg|thumb|none|750px|Objectmodel Definities Identity & Access Management|alt=”Objectmodel Definities Identity & Access Management”]]
Deze definities worden hieronder toegelicht.
 
{|class="wikitable";
== Gedragsmodel Identiteiten ==
! begrip !! toelichting
Een gedragsmodel beschrijft op basis van welke informatie (veelal links getekend) door een proces (meestal in het midden) wordt omgezet naar nieuwe informatie (rechtsgetekend). De actoren die het proces uitvoeren zijn niet getekend omdat de namen die aan de actoren gegeven worden sterk verschillen per toepassingsgebied.  
|-
| Bevoegdheid || Een bevoegdheid is randvoorwaardelijk voor het krijgen van toegang, maar niet voldoende
|-
| Bevoegheid <br> Wettelijke_vertegenwoording || Deze kunnen als gegeven zijn vastgelegd, maar dat hoeft niet altijd het geval te zijn, bijvoorbeeld als de bevoegdheid bij wet bepaald is.  
|}


De functie Identiteitenbeheer brengt Digitale identiteiten tot stand voor Entiteiten (zoals Personen). Het beheer betreft ook de attributen die aan de Digitale entiteit zijn gerelateerd. Wanneer nodig zorgt de functie eveneens voor het actualiseren daarvan.
<table class="wikitable";>
 
[[Afbeelding:Entiteit4.jpg|thumb|none|750px|Entiteiten relatie|alt=”Gedrag Identiteiten beheer”]]<br>
 
<table class="wikitable">
  <tr><td>
'''<u>Identiteitenbeheer</u>'''<br>Proces dat Digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor Entiteiten (zoals Personen of nog specifieker Natuurlijke personen).
* ''De belanghebbende bij de juistheid van de digitale identiteit is de gerelateerde entiteit (natuurlijk of niet-natuurlijk persoon)''
* ''Het beheer betreft ook de attributen die aan de Digitale entiteit zijn gerelateerd. ''
* ''Het beheer van een identiteit wordt vaak door een andere Entiteit worden gedaan; een Entiteit kan ook zijn eigen Identiteit beheren''
* ''Identiteitenbeheer binnen een organisatie kent vaak geen hoge beschikbaarheid (bijv. kantoortijden)''
<tr><td>
<tr><td>
::'''Identificatie ( Identificeren) '''<br>Het proces om een Entiteit binnen een context te onderscheiden van andere Entiteiten op basis van gepresenteerde of geobserveerde attributen
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden '''
'''<u>Identiteiteninformatie</u>'''<br>Proces om attributen van een Identiteit, uit 1 of meerdere bronnen, te kunnen verstrekken aan geautoriseerde afnemers.
* ''Deze informatie kan worden verstrekt aan personen (adressengids) als aan technische voorzieningen (die ook wel een Policy Information Point (=PIP) worden genoemd.''
* ''Hiermee wordt het mogelijk het bij elkaar verzamelen van attributen (zoals NAW gegevens bij een BSN) op één gemeenschappelijk punt te realiseren zonder dat elke dienst dit zelfstandig moet doen.''
* ''De belanghebbende bij Identiteiten informatie is de dienst die (attributen van) de identiteit gebruikt''
* ''De beschikbaarheid van Identiteiteninformatie is vaak gelijk of hoger aan het de beschikbaarheid van de afnemende diensten. Dit is vaak 24/7.
  <tr><td>
Relevante onderwerpen
* NORA Online: [[Identiteitenbeheer]], [[Identificatie ]], [[Self Sovereign Identity - de digitale identiteit ]]
* Wikipedia: [https://nl.wikipedia.org/wiki/Self-sovereign_identity Self Sovereign Identity].
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
<div class="mw-collapsible-content">
* '''elektronische identificatie''' (identificatie) ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3): ''het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;''
 
* '''Vertegenwoordiging''' (Machtiging) ([[Stelsel Elektronische Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/pages/viewpage.action?pageId=59738023]: ''De rechtsfiguur die inhoudt dat de rechtsgevolgen van een door een bepaalde Partij (de Vertegenwoordiger of Gemachtigde) in naam van een andere partij (de Vertegenwoordigde dienstafnemer) met een derde verrichte handeling aan de vertegenwoordigde worden toegerekend. De Bevoegdheid tot het verrichten van vertegenwoordigingshandelingen vloeit voort uit hetzij de wet hetzij een volmacht (privaatrecht) hetzij uit een machtiging (bestuursrecht). Zo'n bevoegdheid kan eventueel ingeperkt zijn tot bepaalde rechtshandelingen, of een bepaalde relevante omvang ten aanzien van rechtshandelingen.''
* '''Vertegenwoordiger''' ([[Stelsel Elektronische Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Vertegenwoordiger]: ''De Partij die bevoegd is om een andere partij (de vertegenwoordigde) te vertegenwoordigen in het verrichten van handelingen met derden.''
* '''Vertegenwoordigde'''(Belanghebbende)  ([[Stelsel Elektronische Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Vertegenwoordigde] ''De partij die de vertegenwoordiger de bevoegdheid heeft verleend om in naam van eerstgenoemde te handelen.''
* '''Machtiging''' ([[Stelsel Elektronische Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/pages/viewpage.action?pageId=59738078]: ''Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de gemachtigde) om in naam van eerstgenoemde rechtshandelingen te verrichten. Een machtiging kan algemeen of bijzonder zijn. Een bijzondere machtiging is beperkt tot bepaalde rechtshandelingen of een bepaalde relevante omvang ten aanzien van rechtshandelingen. Machtiging kan worden gezien als synoniem aan volmacht zij het dat de term machtiging voornamelijk in bestuursrechtelijke context wordt gebruikt.''
* '''Gemachtigde''' (Vertegenwoordiger) ([[Stelsel Elektronische Toegangsdiensten]]) Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Gemachtigde]: ''De partij die (op grond van wet of machtiging c.q. volmacht) bevoegd is om in naam van de vertegenwoordigde bepaalde handelingen te verrichten''  
</div> </div> <!-- end of collapsible content -->
</div> </div> <!-- end of collapsible content -->
</table>
</table>


== Gedragsmodel Authenticatie ==
== Begrippen autorisatie ==
[[Afbeelding:Gedrag3.jpg|thumb|none|750px|Authenticatie|alt=”Authenticatie  middelen beheer”]]<br>
{| class="wikitable";
! IAM bollenplaat !! begrippenview
|-
| Toegang verlenen|| [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_autorisatie Begrippenview autorisatie]
|}


<table class="wikitable">
Deze definities worden hieronder toegelicht.
  <tr><td>
{|class="wikitable";
'''<u>Authenticatie(middelen)beheer</u>'''<br>Het proces dat Entiteiten voorziet van Authenticatiemiddelen of deze middelen intrekt.
! begrip !! toelichting
* ''De functie Authenticatie(middelen)beheer voorziet in Authenticatiemiddelen voor Digitale identiteiten, die veelal zijn gebaseerd op Wettelijke identiteitsbewijzen.
|-
  <tr><td>
| autorisatieregel || Autorisatieregels wordt vaak geformuleerd in termen van voorwaarden die gesteld worden aan zowel de entiteit als de resource, bijvoorbeeld Alle burgers met een DigID met niveau Laag mogen bij het CJIB hun verkeersovertredingen inzien.
::'''Authenticeren'''<br>Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.
|}
::'''Authenticatiefactor'''<br>Authenticatiefactor: een attribuut waarvan is bevestigd dat deze gebonden is aan een Entiteit en die onder een van de drie volgende categorieën valt.
::# Op bezit gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat deze in zijn bezit is.
::# Op kennis gebaseerde authenticatiefactor: een authenticatiefactor waarvan de Entiteit moet aantonen dat hij ervan kennis draagt.
::# Inherente authenticatiefactor: een authenticatiefactor die op een fysiek kenmerk van een Entiteit is gebaseerd en waarbij de Entiteit moet aantonen dat hij dat fysieke kenmerk bezit.
:: ''Voorbeelden van authenticatiefactoren zijn een fysieke pas of token (bezit), een wachtwoord (kennis) of biometrische kenmerken zoals vingerafdruk, patronen op een iris, en layout van een hand.''


  <tr><td>
Relevante onderwerpen:
* NORA Online: [[Authenticatie]], [[Authenticatie (beheersmaatregel)]]
</table>
[[Afbeelding:Gedrag5.jpg|thumb|none|750px|Authenticatie|alt=”Gedrag Authenticatie”]]<br>
<table class="wikitable">
  <tr><td>
'''<u>Authenticatie (als functie)</u>'''<br>De functie Authenticatie levert aan de hand van Authenticatiemiddelen Identiteitsverklaringen voor Digitale identiteiten.
* ''Wanneer noodzakelijk voor latere autorisatie worden één of meer Attributen opgenomen in een Identiteitsverklaring. ''
'''Authenticatie (Authenticeren) '''<br>Het proces waarbij op basis van één of meer Authenticatiefactoren wordt geverifieerd of de Identiteit die door de Entiteit geclaimd, ook daadwerkelijk behoord bij betreffende Identiteit op het aangegeven betrouwbaarheidsniveau. Hieronder valt de controle op de geldigheid van de gebruikte authenticatiemiddelen.
* ''Bij authenticatie kunnen attributen gebruikt worden waarin de Entiteit zijn (lokale) tijd en plaats aangeeft. ''
* ''Authenticatie kan op veel verschillende manieren worden ingevuld (federatief, centraal), deze keuzes en principes daarbij zijn grotendeels toepassingsgebied afhankelijk en zijn daarom niet in dit gedragsmodel opgenomen.
  <tr><td>
'''Identiteitsverklaring''' (Gevalideerd Identiteitsbewijs) <br>Uitkomst van een authenticatie die is uitgevoerd door een onafhankelijke partij.
* ''De identiteitsverklaring bevat de attributen waarover de verklaring gaat.
* ''Een Wettelijk Identiteitsbewijs is een door de overheid afgegeven Identiteitsverklaring.
* ''Het betrouwbaarheidsniveau maakt deel uit van de Identiteitsverklaring; soms is deze meta-gegeven in de verklaring opgenomen.''
Relevante onderwerpen
Relevante onderwerpen
* NORA Online: [[Authenticatie in de praktijk]], [[Authenticatie]], [[Authenticatie (beheersmaatregel)]]
* NORA Online: [[Toegang verlenen]]
Gerelateerde onderwerpen
* NORA Online: [[Bevoegdhedenbeheer]], [[Bevoegdhedenbeheer]] (inclusief machtigen)
   <tr><td>
   <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
<div class="mw-collapsible-content">
* '''Authenticatie''' ([[EIDAS verordening]]) <br>Bron: [https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32014R0910&from=NL ] (artikel 3)een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;
* '''Autorisatie'''([[Stelsel_Elektronische_Toegangsdiensten]]) <br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Autorisatie] ''Het verlenen van toestemming (een bevoegdheid) aan een geauthenticeerde partij om toegang te krijgen tot een bepaalde dienst of toestemming om een bepaalde actie uit te voeren. Een autorisatie kan worden vastgelegd in toegangsrechten. Het verlenen van toegang kan (mede) gebaseerd zijn op die in toegangsrechten vastgelegde autorisatie.''
* '''Authenticatieverklaring''' ([[Stelsel_Elektronische_Toegangsdiensten]]) <br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Authenticatieverklaring] Een Verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een Authenticatie (authenticeren) die heeft plaatsgevonden in de context van een bepaalde handeling of dienst.
</div> </div> <!-- end of collapsible content -->
</div> </div> <!-- end of collapsible content -->
</table>
</table>


== Gedragsmodel Bevoegdheden en Autorisatie ==
== Gerelateerde begrippen ==
De functie Bevoegdhedenbeheer zorgt voor een formele (en actuele) vastlegging van Bevoegdheden, die vanuit de Digitale identiteit van de Belanghebbende worden toegekend aan de Digitale identiteit van de Vertegenwoordiger. De bevoegdheid is veelal beperkt tot een Resource/een reeks Resources. De bevoegdheid kan voor beperkte duur gelden, of gelden totdat die wordt ingetrokken.
Er zijn een paar begrippen die niet tot het domein IAM behoren maar voor een goed begrip wel relevant zijn.
 
{| class="wikitable";
! IAM bollenplaat !! begrippenview
|-
 
|  || [https://nora-begrippen.wikixl.nl/index.php/Begrippenview_verklaring Begrippenview verklaring]<br>[https://nora-begrippen.wikixl.nl/index.php/Begrippenview_basisregistratie Begrippenview basisregistratie]
|}


[[Afbeelding:Gedrag6.jpg|thumb|none|750px|Bevoegdhedenbeheer|alt=”Gedrag bevoegdheden beheer”]]<br>
Deze definities worden hieronder toegelicht.
De functie Autorisatie voor een Entiteit die namens zichzelf handelt wordt uitgevoerd aan de hand van Autorisatieregels die zich (onder andere) baseren op Attributen in de Identiteitsverklaring. De functie leidt tot een Autorisatiebeslissing die (inclusief de Identiteitsverklaring) kan worden bewaard om zich later te kunnen verantwoorden voor het toegang geven tot een Resource.
{|class="wikitable";
! begrip !! toelichting
|-
|colspan =2 |Deze tabel is nog leeg
|}


Wanneer een Entiteit een andere Entiteit vertegenwoordigt wordt eerst de functie Bevoegdheidsbepaling uitgevoerd, die leidt tot Bevoegdheidsverklaringen waarin (wanneer nodig) Attributen van de Digitale identiteit van de Belanghebbende zijn opgenomen. De functie Autorisatie neemt op basis van Autorisatieregels ook de vastgestelde bevoegdheden in beschouwing bij het nemen van Autorisatiebeslissingen. Ook bewaarde Bevoegdheidsverklaringen helpen bij latere verantwoording over Autorisatiebeslissingen.
== Verantwoording ==


<table class="wikitable">
De hier voorgestelde IAM begrippenlijst is ontstaan uit de huidige IAM begrippenlijst. De huidige definities zijn begin 2014 ingebracht bij de ontwikkeling van de GDI domeinarchitectuur Toegang en zijn daar doorontwikkeld tot een actuele en consistente set begrippen. In de zomer van 2025 zijn de begrippen uit de deze architectuur geïmporteerd en samen met de [[Expertgroep NORA Begrippenkader]] geïntegreerd binnen het NORA begrippenkader.


[[Afbeelding:Gedrag1.jpg|thumb|none|750px|Identiteiten beheer|alt=”Gedrag Autorisatieregel beheer”]]<br>
Het resultaat daarvan wordt nu voorgesteld aan de [[Expertgroep IAM]] met de volgende vragen:
<table class="wikitable">
* Zijn de definities en toelichtingen van voldoende niveau om het goedkeuringsproces via de [[NORA Gebruikersraad]] op te starten
  <tr><td>
* Welke opmerkingen / suggesties willen we voorafgaand daaraan meegeven om voorafgaand daaraan mee te nemen.
'''<u>Autorisatieregelbeheer</u>'''<br> De functie autorisatieregel beheer formuleert de Autorisatieregels die worden toegepast bij het nemen van Autorisatiebeslissingen voor een Resource.


'''<u>Autorisatieregel</u><br>(concept) Als informatie vastgelegde bevoegdheid
Noot(1) De [[Expertgroep NORA Begrippenkader]] heeft regels opgesteld waaraan begrippen moeten voldoen om in de NORA begrippenlijst opgenomen te worden. Begrippen die zuiver een bundeling van andere begrippen zijn worden niet opgenomen. Dit betreft o.a. het begrip resource.  
* ''Autorisatieregels wordt vaak geformuleerd in termen van voorwaarden die gesteld worden aan zowel de entiteit als de resource<br>Alle burgers met een DigID met niveau Laag mogen bij het CJIB hun verkeersovertredingen inzien.


  <tr><td>
Noot(2) Samengestelde begrippen (zoals identiteitsgegeven = gegevens van een identiteit) worden niet in de begrippenlijst opgenomen als de betekenis ervan valt af te leiden door het combineren van de betekenis van beide delen.  
'''<u>Autorisatie</u> (Autoriseren)'''<br>Het proces om te beslissen of een Entiteit op grond van een Authenticatiemiddel, Identiteitsverklaring, of een Machtiging toegang krijgt tot een Resource. De beslissing wordt mede gebaseerd op het bij de resource behorende Autorisatieregels en omgevingsfactoren.
* ''Voorbeelden van omgevingsfactoren zijn het moment op de dag en de locatie''
* ''Vaak is er een splitsing in een functie om de autorisatiebeslissing te nemen (ook wel genoemd: PDP = Policy Decision Point) wat resulteert in een Autorisatiebeslissing (soms ook toegangstoken genoemd) en een functie om deze beslissing af te dwingen op basis van het Autorisatiebeslissing (ook wel genoemd: PEP = Policy Enforcement Point). De beslissingsfunctie (PDP) functie kan zowel binnen een dienst als daarbuiten worden uitgevoerd; de het afdwingen van de beslissing (PEP) wordt noodzakelijkerwijs altijd binnen de dienst uitgevoerd.  


Relevante onderwerpen
Noot(3) Op dit moment worden begrippen als zelfstandig naamwoord opgenomen en niet als een werkwoord. De naam van het werkwoord is als zoekterm opgenomen. Op een later moment zal gekeken worden naar het opnemen van functiemodellen (waar een sterke conventie is voor het gebruik van werkwoorden) binnen de NORA.
* NORA Online: [[Toegang verlenen]]


  <tr><td>
=== Vergelijking met de huidige IAM begrippenlijst ===
'''<u>Autorisatieregels</u>'''<br>De regels die zijn gesteld voor toegang tot een Resource en waaraan moet worden voldaan voordat een Entiteit daadwerkelijke toegang krijgt tot een Resource. Autorisatieregels worden afgedwongen door de Entiteit die de Resource aanbiedt.
* ''Autorisatieregels kunnen bijvoorbeeld bepalen dat omgevingsfactoren (zoals tijd en plaats) randvoorwaardelijk zijn voor toegang.
* ''Autorisatieregels kunnen door de aanbiedende Entiteit vastgesteld worden of aan hem worden omgelegd, bijvoorbeeld door wettelijke bepalingen.


  <tr><td>
Het objectmodel voor toegang heeft een forse wijziging ondergaan. Onderstaande tabel somt de wijzigingen op in de volgorde zoals ze in de huidige IAM begrippenlijst zijn opgenomen:
'''<u>Autorisatiebeslissing</u>'''<br>Uitkomst van een Autorisatie'''.  
{| class="wikitable"
|+
! huidig begrip
! nieuw begrip
! status nieuw begrip
! toelichting


  <tr><td>
|-
'''<u>Bevoegdheden Beheer</u>'''<br>Proces dat voor een formele (en actuele) vastlegging van Bevoegdheden, die vanuit de Digitale identiteit van de Belanghebbende worden toegekend aan de een Entiteit. De bevoegdheid is veelal beperkt tot een Dienst/een reeks Diensten of een Zaak/reeks Zaken.  
| Entiteit || entiteit (#) || vastgesteld 2024-10-03||
* '' De bevoegdheid kan voor beperkte duur gelden, of gelden totdat die wordt ingetrokken.''
|-
|| Natuurlijk Persoon || natuurlijk persoon (#) || vastgesteld 2025-02-11 || 
|-
| Niet-Natuurlijk persoon || organisatie (#) || Vastgesteld 2025-06-17 || Ontdubbeld tegen het begrip organisatie.
|-
| Device || apparaat || In bewerking || Engelstalige begrip vervangen door een Nederlands begrip. Omwille van consistentie met de definitie van "gedrag" is apparaat verbijzondering van het begrip object en niet langer van entiteit.
|-
| Digitale Identiteit || identiteitsgegevens || --- || In lijn gebracht met de definitie van gegeven en daardoor ontstaat een samengesteld begrip, zie Noot (2).
|-
| Attribuut || attribuut (#) || In bewerking || In de NORA definitie van attribuut is attribuut geen digitale representatie (=gegeven) maar een eigenschap van een object.
|-
| Betrouwbaarheidsniveau || betrouwbaarheidsniveau || In bewerking || Algemener toepasbaar gemaakt dan alleen identiteitsmiddel.
|-
| Toepassingsgebied<br>context<br>inzetgebied<br>domein||toepassingsgebied (#)<br>werkingsgebied (#)|| Voorgesteld || Geen begrip voor het domein toegang.
|-
| Identifier || identifier || In bewerking  ||  Vervangt het IAM begrip dat binnen de DA Toegang is verbeterd.
|-
| Gevalideerd identiteitsbewijs <br>authenticatiemiddel<br>identificatiemiddel|| identificatiemiddel || In bewerking || Wordt overgenomen uit DA Toegang<br>Binnen DA toegang is gekozen voor identificatiemiddel (in plaats van authenticatiemiddel) t.b.v. aansluiting op eIDAS.
|-
| Resource || --- || noot (1) || In het IAM objectmodel is een vervangende omschrijving gebruikt zodat het niet als begrip hoeft te worden gedefinieerd.
|-
| (digitale) dienst || dienst (#) || Vastgesteld 2024-10-03 || Een digitale dienst is een samengesteld begrip waarbij digitaal overeenkomt met "langs electronische weg"; dit ter onderscheid van de fysieke diensten die bij een loket worden aangeboden.
|-
| Zaak<br>case<br>dossier<br>... || gegeven (#) || Vastgesteld 2025-02-11 || Een zaak kun je zien als een verzameling gegevens met een identiteit.
|-
| Bevoegdheid<br>toegangsrecht<br>autorisatie || bevoegdheid (#) || Vastgesteld 2024-10-03 ||
|-
| Machtiging<br>vertegenwoording || machtiging (#)<br>wettelijke vertegenwoordiging || Deels vastgesteld 2025-02-11 || Binnen GDI architecturen zijn de begrippen consistent uitgewerkt; ten tijde van het maken van de huidige IAM begrippenlijst was hier nog weinig standaardisatie op dit onderwerp.
|-
| Identiteitenbeheer || --- || --- || Samengesteld begrip (zie Noot (2)). De toestand die in stand gehouden wordt is dat de identiteitsgegevens overeenkomen met de attributen van het object.
|-
| Identificatie<br>Identificeren || identificatie || In bewerking || Zie Noot (3)
|-
| Identiteiteninformatie || --- || --- || Valt onder de de huidige definitie van Identiteitenbeheer
|-
| Authenticatie(middelen)beheer || identificatiemiddelbeheer || ---|| Samengesteld begrip (zie Noot (2)). De toestand die in stand gehouden wordt, is dat identificatiemiddelen in het bezit zijn bij de juiste entiteiten en apparaten. Dit omvat dus het uitgeven en intrekken ervan.  
|-
| Authenticatie (als functie) || --- || Vervalt || Samengevoegd met Authenticatie
|-
| Authenticatie<br>Authenticeren (2x) || Authenticatie || In bewerking || Zie Noot (3)
|-
| Identiteitsverklaring<br>gevalideerd identiteitsbewijs || authenticatieverklaring || In bewerking || De terminologie uit de GDI domeinarchitectuur Toegang wordt gevolgd.
|-
| Bevoegdhedenbeheer (2x) || --- || Noot (2) ||
|-
| Autorisatieregelbeheer || --- || Noot (2) ||
|-
| Autorisatieregel (2x) || autorisatieregel || In bewerking ||
|-
| Autorisatie<br>Autoriseren || autorisatie || In bewerking || Zie Noot (3)
|-
| Autorisatiebeslissing || autorisatiebeslissing || In bewerking || expliciet opgenomen omdat het woord autorisatie zowel de naam van een proces als de uitkomst van dat proces is.  
|-
| bevoegdheidsverklaring || bevoegdheidsverklaring || In bewerking ||
|}


'''<u>Bevoegdheidsverklaring </u>(concept)Uitkomst van een Autorisatie die is uitgevoerd door een onafhankelijke partij.
=== Verschillen met import uit Domeinarchitectuur Toegang ===
* ''Het betrouwbaarheidsniveau maakt deel uit van de Bevoegdheidsverklaring.''
  <tr><td>
Gerelateerde onderwerpen
* NORA Online: [[Bevoegdhedenbeheer]], [[Bevoegdhedenbeheer]] (inclusief machtigen)
  <tr><td>
<div class="mw-collapsible mw-collapsed"> '''Vouw uit voor specifieke definities uit toepassingsgebieden'''
<div class="mw-collapsible-content">
* '''Autorisatie'''([[Stelsel_Elektronische_Toegangsdiensten]]) <br>Bron: [https://afsprakenstelsel.etoegang.nl/display/as/Autorisatie] ''Het verlenen van toestemming (een bevoegdheid) aan een geauthenticeerde partij om toegang te krijgen tot een bepaalde dienst of toestemming om een bepaalde actie uit te voeren. Een autorisatie kan worden vastgelegd in toegangsrechten. Het verlenen van toegang kan (mede) gebaseerd zijn op die in toegangsrechten vastgelegde autorisatie.''
</div> </div> <!-- end of collapsible content -->
</table>


== Ontstaansgeschiedenis en verantwoording ==
De begrippen uit de DA toegang zijn overgenomen.
{| class="wikitable";
! Begrip !! status !! opmerking
|-
| Attribuutsoort || attribuut || In lijn gebracht met lopende discussies over NORA begrip attribuut.
|-
| Authenticatieverklaring || authenticatieverklaring   ||  komt 1-op-1 overeen
|-
| Autorisatiebeslissing || autorisatiebeslissing || komt 1-op-1 overeen
|-
| Autorisatieregel || autorisatieregel  || Aangepast op het onderscheid tussen entiteit en apparaat en het elimineren van het begrip resource.
|-
| Bevoegdheid || bevoegdheid ||  komt 1-op-1 overeen
|-
| Bevoegdheidsverklaring || bevoegdheidsverklaring || komt 1-op-1 overeen
|-
| Dienst || dienst || Reeds door NORA vastgelegd, maar met een andere verwoording
|-
| Dienstverlener || dienstverlener || Reeds door NORA vastgelegd,  maar met een andere verwoording
|-
| Entiteit || entiteit || Reeds door NORA vastgelegd, komt 1-op-1 overeen
|-
| Identificatiemiddel || identificatiemiddel ||  komt 1-op-1 overeen
|-
| Identiteit || identiteit || Reeds door NORA vastgelegd komt 1-op-1 overeen
|-
| Identiteitsgegeven || identiteitsgegeven || Samengesteld begrip, zie Noot (2)
|-
| Machtiging || machtiging ||  Reeds door NORA vastgelegd
|-
| Resource || --- || Geen zelfstandige betekenis met de huidige definitie.  Zie Noot (1)
|-
| Rol || --- || Reeds door NORA vastgelegd; maar met een wezenlijk andere betekenis
|-
| Verifieerbare verklaring || verifieerbare verklaring ||  komt 1-op-1 overeen
|-
| Verklarende partij || verklarende partij || komt 1-op-1 overeen
|-
| Vertegenwoordigingsbevoegdheid || vertegenwoordigingsbevoegdheid || Reeds door NORA vastgelegd, komt 1-op-1 overeen
|-
| Wettelijke vertegenwoordiging || wettelijke vertegenwoordiging|| Reeds door NORA vastgelegd, komt 1-op-1 overeen
|-
| identificeren|| identificatie || Als zelfstandig naamwoord opgenomen, zie Noot (3)
|-
| Authenticeren || authenticatie || Als zelfstandig naamwoord opgenomen, zie Noot (3)
|-
| Autoriseren|| autorisatie || Als zelfstandig naamwoord opgenomen, zie Noot (3)
|}


De definities op deze pagina zijn ontstaan in 2022 en hebben als basis gediend voor de GDI Domeinarchitectuur Toegang. De verbeterde versie die daar zijn ontstaan zijn als eerste tranche van de Domeinarchitectuur Toegang ingebracht in de [[Expertgroep NORA Begrippenkader]] en geïntegreerd met de begrippen die de NORA in het [[NORA_Begrippenkader]] heeft vastgesteld. [[Alle_NORA_begrippen]] geeft daar een overzicht van.
=== Relatie met het Party-Driven Actor model ===
Door TNO is een conceptueel model gemaakt voor de samenwerking tussen betrokkenen binnen toegang met de naam [https://www.researchgate.net/publication/379485370_Party-Driven_Actors_-A_Conceptual_Model Party-Driven Actors - A Conceptual Model].
De definities hierboven sluiten goed aan op dit model waarbij Engelstalige begrippen als volgt mappen op die IAM begrippen.
{| class="wikitable";
! PDA concept !! NORA begrip
|-
| Legal Entity      || Rechtspersoon
|-
| Organization      || Organisatie
|-
| Human Being        || Natuurlijk persoon
|-
| Party              || Entiteit
|-
| Non-Human Actor    || Apparaat
|-
| Actor              || Natuurlijk Persoon
|-
| Party-Driven Actor || Entiteit of apparaat
|}
spm_metadata
Regel 1: Regel 1:
{}
{
"Beheerder": "Gebruiker:Harro Kremer",
"Verplichting": "Aanbevolen",
"Publicatiedatum": "",
"Beheerregime": "",
"Fase": "Reviewfase"
}

Huidige versie van 4 feb 2026 15:25


Dit is een werkversie, Schakel naar Begrippen IAM (live versie) of vergelijk beide.

Het doel van Begrippen IAM is om belangrijkste begrippen binnen het thema Identiteit en Toegang (IAM) in onderlinge samenhang te plaatsen als aanvulling op het gehele IAM begrippenkader Overzicht NORA Begrippenkader - Identiteit en toegang.

Leeswijzer:

  • Deze pagina maakt op dit moment gebruik van hyperlinks naar begrippenviews binnen de tijdelijke beheeromgeving voor begrippen. Er wordt gewerkt aan het direct tonen van de begrippenviews.
  • Begrippen gemarkeerd met een (#) zijn begrippen uit de NORA basisbegrippen die niet specifiek zijn voor het domein IAM.
  • Samengestelde begrippen die als onderwerp relevant zijn zijn toegevoegd, ook als de betekenis ervan logischerwijs volgt uit de samenstelling van de losse begrippen. Samengestelde begrippen die een eigen betekenis hebben gekregen worden zelfstandig in de begrippenlijst opgenomen.

Kernbegrippen IAMbewerken

BegripDefinitieToelichting
toegangDe mogelijkheid van een entiteit om een object te benaderen en te gebruiken.Toegang kan onder andere worden verleend, beperkt, gebruikt en gemonitord. De term toegang is tevens de naam van het domein in de Generieke Digitale Infrastructuur (GDI), die valt onder de MIDO governancestructuur. Het is daarmee ook een clustering van afspraken, standaarden en voorzieningen die deel uitmaken van dit domein. Het domein gaat over beveiligde toegang tot diensten, gegevens en functionaliteit. Het omvat alles dat nodig is om mensen, organisaties, applicaties en apparaten op een veilige en rechtmatige manier toegang te geven. Dit vraagt om het nemen van maatregelen, die voor een belangrijk deel ook relevant zijn in het kader van informatiebeveiliging. Domein toegang is grotendeels synoniem met wat ook wel "identity & access management" wordt genoemd.

Binnen IAM kan het begrip toegang worden uitgeschreven tot:

De mogelijkheid
  • van een entiteit (natuurlijk persoon, organisatie) of apparaat
  • om een object (voorziening, gegevens, fysiek object (bijv. beveiligde ruimte)
  • te benaderen en te gebruiken
  • betreffende een entiteit (die niet dezelfde hoeft te zijn als de entiteit die toegang vraagt)
  • op basis van verstrekte bevoegdheden en conform de autorisatieregels die hieraan gesteld worden.

Toelichting

  • Een entiteit kan namens zichzelf acteren (bijv. burger doet eigen belasting aangifte) of de bevoegdheid hebben om namens een andere entiteit te acteren.
  • Een apparaat krijgt toegang op basis van zijn identiteit en de entiteit onder wiens verantwoordelijkheid het apparaat valt. Een apparaat heeft geen eigen wilsbeschikking en juridische status, voert een apparaat altijd handeling uit namens een entiteit.


De 3 kernbegrippen hierbinnen zijn identificatie, authenticatie en autorisatie.

IAM bollenplaat begrippenview
Toegang (#) Begrippenview toegang



Voorkeursterm Definitie Toelichting Status redactie
toegang De mogelijkheid van een entiteit om een object te benaderen en te gebruiken. Toegang kan onder andere worden verleend, beperkt, gebruikt en gemonitord. De term toegang is tevens de naam van het domein in de Generieke Digitale Infrastructuur (GDI), die valt onder de MIDO governancestructuur. Het is daarmee ook een clustering van afspraken, standaarden en voorzieningen die deel uitmaken van dit domein. Het domein gaat over beveiligde toegang tot diensten, gegevens en functionaliteit. Het omvat alles dat nodig is om mensen, organisaties, applicaties en apparaten op een veilige en rechtmatige manier toegang te geven. Dit vraagt om het nemen van maatregelen, die voor een belangrijk deel ook relevant zijn in het kader van informatiebeveiliging. Domein toegang is grotendeels synoniem met wat ook wel "identity & access management" wordt genoemd. Vastgesteld


Het begrip autorisatie wordt in de praktijk gebruikt voor 2 wezenlijk verschillende aspecten. Dit is een permanente bron van verwarring die we binnen NORA niet kunnen elimineren. Binnen het NORA begrippenkader is dit begrip dus gesplitst in 2 gescheiden begrippen:

  • autorisatieverlening = het verlenen van een bevoegdheid
  • autorisatiecontrole = controleren of de juiste bevoegdheden aanwezig zijn

Begrippen identificatiebewerken

IAM bollenplaat begrippenview
Identiteitenbeheer Begrippenview identificatie
BegripDefinitieToelichting
identificatiemiddelEen middel dat verifieerbare verklaringen over identiteitsgegevens kan verstrekken en gebruikt wordt voor de authenticatie van entiteiten en apparaten met een bepaalde identiteit.Een wettelijk identiteitsbewijs zoals een paspoort is een door de overheid afgegeven identificatiemiddel.
identifierEén of meer gegevens die gezamenlijk bij een object horen en die dat object onderscheiden van andere objecten.Een natuurlijk persoon heeft onder andere de volgende identifiers: BSN (enkel gegeven) en de combinatie van voor- en achternamen, geboortedatum en -plaats.
identiteitEen verzameling van kenmerkende eigenschappen van een object.We spreken in de context van toegang vooral over identiteiten van natuurlijk personen. Entiteiten en apparaten met een bepaalde identiteit krijgt dan toegang tot een bepaalde dienst, of het verantwoorden over verleende toegang door een dienst. Het is echter ook mogelijk om in meer algemene zin over identiteiten van objecten te spreken. Dan kan bijvoorbeeld een tafel ook een identiteit hebben. Dan hebben we het bijvoorbeeld over kenmerkende eigenschappen zoals de kleur, het aantal poten en mogelijk een serienummer dat deze tafel heeft.

Deze definities worden hieronder toegelicht.

begrip toelichting
identiteit (#) Bij een vastgelegde identiteit kan metadata behoren, bijvoorbeeld de organisatie die de identiteit heeft vastgesteld en de datum waarop dat is gedaan, en de mate van betrouwbaarheid van de vastgelegde gegevens.

Een entiteit kan meerdere identiteiten hebben die zowel een onderlinge samenhang hebben (gegevens in paspoort zijn afgeleid van de gegevens in de BRP (Basisregistratie Personen). Binnen IAM wordt geen gebruikt gemaakt van de overkoepelende identiteit die ontstaat door alle kenmerkende eigenschappen van een object in alle toepassingsgebieden te combineren.

identifier Een natuurlijk persoon heeft binnen de context van burgers in Nederland meerdere identifiers: Zowel het BSN (een enkel attribuut) als de combinatie van voor- en achternamen, geboortedatum, geboorteplaats horen bij dezelfde persoon.
identificatiemiddel authenticatiemiddel is een alternatieve term voor identificatiemiddel. De keuze voor identificatiemiddel boven authenticatiemiddel is overgenomen uit eIDAS.

Certificaten en soft-tokens zijn voorbeelden van digitale identificatiemiddelen.

identiteitsgegeven Samengesteld begrip, zie Noot (2).
Een gegeven van een identiteit = vastlegging van de kenmerkende eigenschap(pen) van een object =vastgelegd attribuut
Identiteitenbeheer Samengesteld begrip, zie Noot (2). Identiteitenbeheer is een onderwerp binnen het Thema Identiteit en Toegang (IAM).

Gerelateerde begrippen bij identificatie

Vouw uit voor specifieke definities uit toepassingsgebieden
  • Identiteit (Stelsel Elektronische Toegangsdiensten)
    Bron: [1] De volledige maar dynamische set van alle attributen behorende bij een bepaalde entiteit die het mogelijk maakt betreffende entiteit van andere te onderscheiden. Elke entiteit heeft maar één identiteit. De identiteit behoort toe aan de entiteit.
  • Persoonsidentificatiegevens (digitale identiteit) (eIDAS-verordening) Bron: [2] (artikel 3)een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld
  • Burgerservicenummer (identifier) (Burgerservicenummer (BSN))
    Bron: [3] uniek persoonsnummer teneinde de doelmatigheid van de administraties van de overheid en enige andere sectoren te vergroten en de dienstverlening aan de burger te verbeteren
    Bron: [4] Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Basisregistratie Personen (BRP).
  • Publieke domein (Toepassingsgebied) (Stelsel Elektronische Toegangsdiensten)
    Bron: [5] Het domein waarbij interacties plaatsvinden tussen natuurlijke personen / niet-natuurlijke personen enerzijds en de Dienstverleners met een publieke taak anderzijds. Een Dienstverlener is 'publiek' wanneer het een bestuursorgaan in de zin van afdeling 1.1 van de Algemene wet bestuursrecht betreft, maar ook wanneer het andere overheidsorganen alsmede natuurlijke en rechtspersonen, niet zijnde overheidsorganen betreft, die vanwege het uitoefenen van een publieke taak gerechtigd zijn het burgerservicenummer (BSN) te gebruiken
  • Inzetgebied (Toepassingsgebied) (Stelsel Elektronische Toegangsdiensten)
    Bron: [6]: Een ... erkende groep gebruikers ... Voorbeelden zijn: bedrijven ..., beroepsbeoefenaren, consumenten ... of burgers
  • Openbare instantie (eIDAS-verordening)
    Bron: [7] (artikel 3): een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden; ... publiekrechtelijke instelling: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad;
  • elektronische identificatie (identificatie) (eIDAS-verordening)
    Bron: [8] (artikel 3): het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;

Begrippen authenticatiebewerken

IAM bollenplaat begrippenview
Authenticatie(middelen) beheer Begrippenview authenticatie

Deze definities worden hieronder toegelicht.

begrip toelichting
identificatiemiddelenbeheer Samengesteld begrip, zie Noot (2)
De toestand die in stand gehouden wordt is dat de identificatiemiddelen in het bezit van de juiste entiteiten en apparaten

Relevante onderwerpen

Vouw uit voor specifieke definities uit toepassingsgebieden
  • Authenticatie (eIDAS-verordening)
    Bron: [9] (artikel 3)een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;
  • Authenticatieverklaring (Stelsel Elektronische Toegangsdiensten)
    Bron: [10] Een Verklaring waaruit het bestaan en de juistheid kan worden opgemaakt van een Authenticatie (authenticeren) die heeft plaatsgevonden in de context van een bepaalde handeling of dienst.
  • Elektronisch identificatiemiddel (Gevalideerd Identiteitsbewijs) (eIDAS-verordening)
    Bron: [11] (artikel 3): een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;
  • Betrouwbaarheidsniveau (eIDAS-verordening)
    Bron: [12] (inleiding): moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend.

Begrippen bevoegdheidbewerken

IAM bollenplaat begrippenview
Bevoegdhedenbeheer Begrippenview bevoegdheid

Deze definities worden hieronder toegelicht.

begrip toelichting
Bevoegdheid Een bevoegdheid is randvoorwaardelijk voor het krijgen van toegang, maar niet voldoende
Bevoegheid
Wettelijke_vertegenwoording		 Deze kunnen als gegeven zijn vastgelegd, maar dat hoeft niet altijd het geval te zijn, bijvoorbeeld als de bevoegdheid bij wet bepaald is.
Vouw uit voor specifieke definities uit toepassingsgebieden
  • Vertegenwoordiging (Machtiging) (Stelsel Elektronische Toegangsdiensten) Bron: [13]: De rechtsfiguur die inhoudt dat de rechtsgevolgen van een door een bepaalde Partij (de Vertegenwoordiger of Gemachtigde) in naam van een andere partij (de Vertegenwoordigde dienstafnemer) met een derde verrichte handeling aan de vertegenwoordigde worden toegerekend. De Bevoegdheid tot het verrichten van vertegenwoordigingshandelingen vloeit voort uit hetzij de wet hetzij een volmacht (privaatrecht) hetzij uit een machtiging (bestuursrecht). Zo'n bevoegdheid kan eventueel ingeperkt zijn tot bepaalde rechtshandelingen, of een bepaalde relevante omvang ten aanzien van rechtshandelingen.
  • Vertegenwoordiger (Stelsel Elektronische Toegangsdiensten) Bron: [14]: De Partij die bevoegd is om een andere partij (de vertegenwoordigde) te vertegenwoordigen in het verrichten van handelingen met derden.
  • Vertegenwoordigde(Belanghebbende) (Stelsel Elektronische Toegangsdiensten) Bron: [15] De partij die de vertegenwoordiger de bevoegdheid heeft verleend om in naam van eerstgenoemde te handelen.
  • Machtiging (Stelsel Elektronische Toegangsdiensten) Bron: [16]: Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de gemachtigde) om in naam van eerstgenoemde rechtshandelingen te verrichten. Een machtiging kan algemeen of bijzonder zijn. Een bijzondere machtiging is beperkt tot bepaalde rechtshandelingen of een bepaalde relevante omvang ten aanzien van rechtshandelingen. Machtiging kan worden gezien als synoniem aan volmacht zij het dat de term machtiging voornamelijk in bestuursrechtelijke context wordt gebruikt.
  • Gemachtigde (Vertegenwoordiger) (Stelsel Elektronische Toegangsdiensten) Bron: [17]: De partij die (op grond van wet of machtiging c.q. volmacht) bevoegd is om in naam van de vertegenwoordigde bepaalde handelingen te verrichten

Begrippen autorisatiebewerken

IAM bollenplaat begrippenview
Toegang verlenen Begrippenview autorisatie

Deze definities worden hieronder toegelicht.

begrip toelichting
autorisatieregel Autorisatieregels wordt vaak geformuleerd in termen van voorwaarden die gesteld worden aan zowel de entiteit als de resource, bijvoorbeeld Alle burgers met een DigID met niveau Laag mogen bij het CJIB hun verkeersovertredingen inzien.

Relevante onderwerpen

Gerelateerde onderwerpen

Vouw uit voor specifieke definities uit toepassingsgebieden
  • Autorisatie(Stelsel_Elektronische_Toegangsdiensten)
    Bron: [18] Het verlenen van toestemming (een bevoegdheid) aan een geauthenticeerde partij om toegang te krijgen tot een bepaalde dienst of toestemming om een bepaalde actie uit te voeren. Een autorisatie kan worden vastgelegd in toegangsrechten. Het verlenen van toegang kan (mede) gebaseerd zijn op die in toegangsrechten vastgelegde autorisatie.

Gerelateerde begrippenbewerken

Er zijn een paar begrippen die niet tot het domein IAM behoren maar voor een goed begrip wel relevant zijn.

IAM bollenplaat begrippenview
Begrippenview verklaring
Begrippenview basisregistratie

Deze definities worden hieronder toegelicht.

begrip toelichting
Deze tabel is nog leeg

Verantwoordingbewerken

De hier voorgestelde IAM begrippenlijst is ontstaan uit de huidige IAM begrippenlijst. De huidige definities zijn begin 2014 ingebracht bij de ontwikkeling van de GDI domeinarchitectuur Toegang en zijn daar doorontwikkeld tot een actuele en consistente set begrippen. In de zomer van 2025 zijn de begrippen uit de deze architectuur geïmporteerd en samen met de Expertgroep NORA Begrippenkader geïntegreerd binnen het NORA begrippenkader.

Het resultaat daarvan wordt nu voorgesteld aan de Expertgroep Identiteit en Toegang (IAM) met de volgende vragen:

  • Zijn de definities en toelichtingen van voldoende niveau om het goedkeuringsproces via de NORA Gebruikersraad op te starten
  • Welke opmerkingen / suggesties willen we voorafgaand daaraan meegeven om voorafgaand daaraan mee te nemen.

Noot(1) De Expertgroep NORA Begrippenkader heeft regels opgesteld waaraan begrippen moeten voldoen om in de NORA begrippenlijst opgenomen te worden. Begrippen die zuiver een bundeling van andere begrippen zijn worden niet opgenomen. Dit betreft o.a. het begrip resource.

Noot(2) Samengestelde begrippen (zoals identiteitsgegeven = gegevens van een identiteit) worden niet in de begrippenlijst opgenomen als de betekenis ervan valt af te leiden door het combineren van de betekenis van beide delen.

Noot(3) Op dit moment worden begrippen als zelfstandig naamwoord opgenomen en niet als een werkwoord. De naam van het werkwoord is als zoekterm opgenomen. Op een later moment zal gekeken worden naar het opnemen van functiemodellen (waar een sterke conventie is voor het gebruik van werkwoorden) binnen de NORA.

Vergelijking met de huidige IAM begrippenlijstbewerken

Het objectmodel voor toegang heeft een forse wijziging ondergaan. Onderstaande tabel somt de wijzigingen op in de volgorde zoals ze in de huidige IAM begrippenlijst zijn opgenomen:

huidig begrip nieuw begrip status nieuw begrip toelichting
Entiteit entiteit (#) vastgesteld 2024-10-03
Natuurlijk Persoon natuurlijk persoon (#) vastgesteld 2025-02-11
Niet-Natuurlijk persoon organisatie (#) Vastgesteld 2025-06-17 Ontdubbeld tegen het begrip organisatie.
Device apparaat In bewerking Engelstalige begrip vervangen door een Nederlands begrip. Omwille van consistentie met de definitie van "gedrag" is apparaat verbijzondering van het begrip object en niet langer van entiteit.
Digitale Identiteit identiteitsgegevens --- In lijn gebracht met de definitie van gegeven en daardoor ontstaat een samengesteld begrip, zie Noot (2).
Attribuut attribuut (#) In bewerking In de NORA definitie van attribuut is attribuut geen digitale representatie (=gegeven) maar een eigenschap van een object.
Betrouwbaarheidsniveau betrouwbaarheidsniveau In bewerking Algemener toepasbaar gemaakt dan alleen identiteitsmiddel.
Toepassingsgebied
context
inzetgebied
domein		 toepassingsgebied (#)
werkingsgebied (#)		 Voorgesteld Geen begrip voor het domein toegang.
Identifier identifier In bewerking Vervangt het IAM begrip dat binnen de DA Toegang is verbeterd.
Gevalideerd identiteitsbewijs
authenticatiemiddel
identificatiemiddel		 identificatiemiddel In bewerking Wordt overgenomen uit DA Toegang
Binnen DA toegang is gekozen voor identificatiemiddel (in plaats van authenticatiemiddel) t.b.v. aansluiting op eIDAS.
Resource --- noot (1) In het IAM objectmodel is een vervangende omschrijving gebruikt zodat het niet als begrip hoeft te worden gedefinieerd.
(digitale) dienst dienst (#) Vastgesteld 2024-10-03 Een digitale dienst is een samengesteld begrip waarbij digitaal overeenkomt met "langs electronische weg"; dit ter onderscheid van de fysieke diensten die bij een loket worden aangeboden.
Zaak
case
dossier
...		 gegeven (#) Vastgesteld 2025-02-11 Een zaak kun je zien als een verzameling gegevens met een identiteit.
Bevoegdheid
toegangsrecht
autorisatie		 bevoegdheid (#) Vastgesteld 2024-10-03
Machtiging
vertegenwoording		 machtiging (#)
wettelijke vertegenwoordiging		 Deels vastgesteld 2025-02-11 Binnen GDI architecturen zijn de begrippen consistent uitgewerkt; ten tijde van het maken van de huidige IAM begrippenlijst was hier nog weinig standaardisatie op dit onderwerp.
Identiteitenbeheer --- --- Samengesteld begrip (zie Noot (2)). De toestand die in stand gehouden wordt is dat de identiteitsgegevens overeenkomen met de attributen van het object.
Identificatie
Identificeren		 identificatie In bewerking Zie Noot (3)
Identiteiteninformatie --- --- Valt onder de de huidige definitie van Identiteitenbeheer
Authenticatie(middelen)beheer identificatiemiddelbeheer --- Samengesteld begrip (zie Noot (2)). De toestand die in stand gehouden wordt, is dat identificatiemiddelen in het bezit zijn bij de juiste entiteiten en apparaten. Dit omvat dus het uitgeven en intrekken ervan.
Authenticatie (als functie) --- Vervalt Samengevoegd met Authenticatie
Authenticatie
Authenticeren (2x)		 Authenticatie In bewerking Zie Noot (3)
Identiteitsverklaring
gevalideerd identiteitsbewijs		 authenticatieverklaring In bewerking De terminologie uit de GDI domeinarchitectuur Toegang wordt gevolgd.
Bevoegdhedenbeheer (2x) --- Noot (2)
Autorisatieregelbeheer --- Noot (2)
Autorisatieregel (2x) autorisatieregel In bewerking
Autorisatie
Autoriseren		 autorisatie In bewerking Zie Noot (3)
Autorisatiebeslissing autorisatiebeslissing In bewerking expliciet opgenomen omdat het woord autorisatie zowel de naam van een proces als de uitkomst van dat proces is.
bevoegdheidsverklaring bevoegdheidsverklaring In bewerking

Verschillen met import uit Domeinarchitectuur Toegangbewerken

De begrippen uit de DA toegang zijn overgenomen.

Begrip status opmerking
Attribuutsoort attribuut In lijn gebracht met lopende discussies over NORA begrip attribuut.
Authenticatieverklaring authenticatieverklaring komt 1-op-1 overeen
Autorisatiebeslissing autorisatiebeslissing komt 1-op-1 overeen
Autorisatieregel autorisatieregel Aangepast op het onderscheid tussen entiteit en apparaat en het elimineren van het begrip resource.
Bevoegdheid bevoegdheid komt 1-op-1 overeen
Bevoegdheidsverklaring bevoegdheidsverklaring komt 1-op-1 overeen
Dienst dienst Reeds door NORA vastgelegd, maar met een andere verwoording
Dienstverlener dienstverlener Reeds door NORA vastgelegd, maar met een andere verwoording
Entiteit entiteit Reeds door NORA vastgelegd, komt 1-op-1 overeen
Identificatiemiddel identificatiemiddel komt 1-op-1 overeen
Identiteit identiteit Reeds door NORA vastgelegd komt 1-op-1 overeen
Identiteitsgegeven identiteitsgegeven Samengesteld begrip, zie Noot (2)
Machtiging machtiging Reeds door NORA vastgelegd
Resource --- Geen zelfstandige betekenis met de huidige definitie. Zie Noot (1)
Rol --- Reeds door NORA vastgelegd; maar met een wezenlijk andere betekenis
Verifieerbare verklaring verifieerbare verklaring komt 1-op-1 overeen
Verklarende partij verklarende partij komt 1-op-1 overeen
Vertegenwoordigingsbevoegdheid vertegenwoordigingsbevoegdheid Reeds door NORA vastgelegd, komt 1-op-1 overeen
Wettelijke vertegenwoordiging wettelijke vertegenwoordiging Reeds door NORA vastgelegd, komt 1-op-1 overeen
identificeren identificatie Als zelfstandig naamwoord opgenomen, zie Noot (3)
Authenticeren authenticatie Als zelfstandig naamwoord opgenomen, zie Noot (3)
Autoriseren autorisatie Als zelfstandig naamwoord opgenomen, zie Noot (3)

Relatie met het Party-Driven Actor modelbewerken

Door TNO is een conceptueel model gemaakt voor de samenwerking tussen betrokkenen binnen toegang met de naam Party-Driven Actors - A Conceptual Model. De definities hierboven sluiten goed aan op dit model waarbij Engelstalige begrippen als volgt mappen op die IAM begrippen.

PDA concept NORA begrip
Legal Entity Rechtspersoon
Organization Organisatie
Human Being Natuurlijk persoon
Party Entiteit
Non-Human Actor Apparaat
Actor Natuurlijk Persoon
Party-Driven Actor Entiteit of apparaat
Overgenomen van "https://www.noraonline.nl/index.php?title=Werkruimte:Begrippen_IAM&oldid=94290"