Toegang verlenen door de dienstverlener

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 24 mrt 2020 om 15:24 (lay-out verbeteringen en links)
Naar navigatie springen Naar zoeken springen
Identity & Access Management (IAM)
Onderdeel van
Thema's
Contact
Harro Kremer
harro.kremer@jio.nl
Status
Actueel



Dit is het feitelijk wel of niet toegang verlenen (door de dienstverlener) c.q. verkrijgen (door de gebruiker) tot diensten en voorzieningen, nadat is vastgesteld dat dat wel, respectievelijk niet, mag volgens de bevoegdheden die aan de betreffende digitale identiteit zijn toegekend. Doorgaans wordt dit ook wel Access control genoemd.

Toegang is daarmee direct gerelateerd aan identiteitenbeheer, bevoegdhedenbeheer en authenticatie, omdat bekend moet zijn:

  • het voor de dienst vereiste niveau van authenticatie,
  • de mate van zekerheid over de digitale identiteit (het niveau van authenticatie) en
  • de bevoegdheden van de betreffende digitale identiteit.


De praktijk[bewerken]

Hoe we in Nederland omgaan met het verlenen van toegang tot diensten en voorzieningen, willen we in de NORA zodanig uitwerken, dat architecten daar eenvoudig gebruik van kunnen maken als ze nieuwe diensten voor de overheid ontwerpen of als ze binnen (overheids)organisaties IAM optimaal willen inrichten. Daarbij gaan we rekening houden met zaken als:

  1. De Toegangsdiensten die vanuit Logius worden verleend: https://www.logius.nl/diensten/
  2. Voorbeelden uit de praktijk, zoals beschreven in door JenV beschikbaar gestelde documenten met een visie en uitwerking van Toegang: <linkjes of pdf'en opnemen>
  3. Het voorbeeld van de Flitsfoto. Als je te hard hebt gereden en wordt geflitst, dan wordt via de foto het nummerbord van de auto bepaald, de eigenaar (met zijn BSN) van die auto wordt opgezocht in de Basisregistratie Voertuigen (BRV) van de RDW, het CJIB stuurt de acceptgiro naar het adres van de eigenaar. De eigenaar kan inloggen met zijn DigiD en de foto’s bekijken die aan zijn BSN gerelateerd zijn. Dit proces verloopt volledig digitaal tussen de betrokken overheidsorganisaties en de hardrijder, waarbij gebruik gemaakt wordt van een IsP (BSN) en een AsP (DigiD) en de autorisatie is geprogrammeerd in de applicatie Flitsfoto van het CJIB, zie https://www.cjib.nl/ik-wil-mijn-flitsfoto-bekijken
  4. Het perspectief vanuit de dienstverlener: die zal duidelijk moeten maken hoe wordt omgegaan met Identificatie, Authenticatie en Autorisatie om zijn dienst te kunnen afnemen én dat zal digitaal mogelijk moeten worden gemaakt. Denk daarbij ook aan het mogelijk inschakelen van een Identity Service Provider (IsP), zoals de RiVG is voor digitale identiteiten die de overheid uitgeeft (gerelateerd aan het BSN), of een Authenticatie Service Provider (AsP), zoals Logius dat beschikbaar stelt via DigiD, of een Autorisatie Service Provider (AutosP).
  5. Het perspectief vanuit de gebruiker van een dienst: die zal bij het afnemen van een dienst moeten weten welke van zijn digitale sleutels geschikt zijn om toegang te krijgen.
  6. enz.

Toegang verlenen[bewerken]

Toegang verlenen is bedoeld om

  • een persoon als dienstaanvrager, een persoon van een organisatie als dienstaanvrager of een verantwoordelijk persoon voor een systeem van een organisatie om een dienst af te laten nemen
  • Deze persoon kan van buiten de organisatie komen
    • De toegang kan worden verkregen vanwege een rol bij een bedrijf (opgericht) of vanuit de natuurlijke persoon (geboren) zelf
  • Of binnen de organisatie als medewerker, toegang tot een dienst verkrijgen
  • een pad te beschrijven om een dienst voor de eerste keer te kunnen krijgen

Met de workshop ‘toegang verlenen’ zijn checkvragen gesteld waar antwoord op gevonden moet worden om de lagen van het vijflagenmodel nader uit te kunnen werken voor het onderwerp ‘toegang tot informatie. Dit zou een handreiking moeten leveren voor organisaties die de toegang tot hun dienst willen gaan organiseren/implementeren

Grondslagen[bewerken]

De wet- en regelgeving en beleidsafspraken die op het toegang verlenen van toepassing zijn, is sterk afhankelijk van het domein waarin de overheidsorganisatie diensten verleent. Een aantal vragen voor de laag grondslagen die gesteld kunnen worden om te bepalen welke wet- en regelgeving van toepassing kunnen zijn:

Wat zijn de eisen vanuit wet- en regelgeving binnen het specifieke domein waarin de organisatie werkzaam is? Algemeen geldige wetgeving is:

  • Grondwet art. 10 recht op privacy
  • Burgerlijk wetboek ten aanzien van contracten
  • Algemeen wet van bestuursrecht in het kader van last onder bestuursdwang van toezichthouders
  • Wetboek van strafrecht en strafvordering in geval van computervredebreuk
  • AVG/GDPR en UAVG
  • Europese verordening electronic Identification Authentication and trust Services (EIDAS)
  • wet basisregistratie personen
  • wet meldplicht datalekken
  • e-privacy verordening
  • wet digitale overheid (WDO)
  • wet beveiliging netwerk- en informatiesystemen (wbni)
  • wet computercriminaliteit
  • wet algemene bepalingen burgerservicenummer (Wabb)

Zijn verschillende toegangsmogelijkheden noodzakelijk?

  • Welke kanalen (mobiel/internet/..)
  • Op basis van welke wet is de dienst noodzakelijk daaruit volgend
  • wie is de doelgroep?
  • Welke eisen zijn daaraan gekoppeld?

Is uitbesteding mogelijk (denk daarbij onder andere aan verwerkingsovereenkomst)

  • kan je gebruik maken van makelaars ( van buiten naar binnen via externe leverancier)?
  • wil je het zelf bouwen?
  • o.a. zekerheid over juistheid ID noodzakelijk ?
  • Welk authenticatieniveau is nodig nodig, (zie bijv. forumstamdaardisatie/handreiking)?
  • dient ID bevoegd te zijn?
  • andere eisen? oa is machtiging een mogelijkheid?
  • Dient dit per dienst verschillend te worden ingericht?
  • welke middelen zijn noodzakelijk/verplicht?
  • welke open standaarden zijn verplicht te gebruiken?

ACTIE: Grondslagen nog laten reviewen /aanvullen.

Organisatorische aspecten[bewerken]

Een aantal vragen voor de laag organisatorische aspecten die gesteld kunnen worden om de (rol van) stakeholders te kunnen bepalen die betrokken zijn bij het toegang verlenen zijn:

  • Hoe is toegang geregeld per dienst, in welke processtap is de toegang nodig voor deze dienst?
  • Zelf doen of uitbesteden, als de toegangsstap kan worden uitbesteed, uitbesteding starten?
  • Hou rekening met wet- en regelgeving en bepaal welke wet- en regelgeving relevant is?
  • Welke middelen zijn beschikbaar en is landelijke beschikbaarheid noodzakelijk
  • Is machtigen voor deze dienst noodzakelijk?
  • Welke machtigingengenregisters zijn beschikbaar?

Zijn verschillende betrouwbaarheidsniveau’s noodzakelijk voor deze dienst, zijn ze beschikbaar?

  • Zijn er ook andere mogelijkheden voor vrijblijvende machtiging aan andere organisaties als het een dienst voor bedrijven betreft?
  • Is verwijzing naar machtigen mogelijk? oa wettelijke vertegenwoordiging, oa curatelestelling, oa ivm schuldhulpverlening
  • Zijn bevoegdheden overdraagbaar of is dit slechts een verwijzing naar machtigen?


Actie: Organisatorische aspecten nog laten reviewen/aanvullen


Informatielaag/processen, applicatielaag en netwerklaag[bewerken]

Om de lagen in beeld te brengen is onderstaand model voor architectuur als voorbeeld voor dienstverlening opgesteld. Bij de dienstverlening zullen de processen, applicaties en infra in samenhang bepalend zijn om toegang te verlenen. De businessprocessen t.b.v. de dienstverlening verlangen kaders en keuzes voor de inrichting. Zo zal zaakgericht werken invloed hebben op inrichtingseisen.

Voorbeeld dienstverlening

Een gegevenswoordenboek die gebruikt kan worden is bijvoorbeeld het begrippenkader van de NORA: Begrippenkader. Daarnaast geeft de begrippenlijst van het ETD afsprakenstelsel ook de nodige toelichting op te hanteren begrippen: begrippenlijst afsprakenstelsel e-toegang. Logius kent ook een stelselcatalogus. Op Applicatielaag kunnen ook specifiek afspraken gelden zoals gebruik van API’s of t.b.v. BRI, BRO, BRT, BLAU, BAG. Op netwerkniveau gelden wellicht specifieke afspraken, zoals tbv aansluiting op het DIGI-netwerk, gebruik van Rinis, TLS standaard, CCN CSL, …

Actie: informatie-, applicatie- en netwerklaag nog in discussie zetten en nog laten reviewen/aanvullen.

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Nederlandse Overheid Referentie Architectuur.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

NORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak.

Een bij wet als basisregistratie aangemerkte registratie.

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Toegang_verlenen_door_de_dienstverlener&oldid=41322"