Expertgroep Digitale Identificatie en authenticatie/2019-07-24

Uit NORA Online
Ga naar: navigatie, zoeken

Bijeenkomst van Expertgroep Digitale identificatie en authenticatie op woensdag 24 juli 2019, 14-17u, locatie: Den Haag, ICTU Wilhelmina van Pruisenweg 104, 2595 AN Den Haag (bij station Laan van NOI).
Doel: Het wat en waarom van Digitale Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee onze vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. oplossingen te komen.
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. .



Verslag

Het was wederom een prettige en informatieve bijeenkomst ! De temperatuur was hoog opgelopen, tot boven 38 Celsius, maar dat kwam gelukkig niet door te heftige discussies 😊

We zijn met het zomervakantie-team in de SCRUM-ruimte van ICTU aan de slag gegaan onder het motto dat Wim Schut vaak gebruikt om aan te geven wat het doel is van Architectuur: “Wat regelen we Waar?”.

Op hoofdlijnen is aangegeven wat we met elkaar hebben besproken en afgesproken. Zie ook de foto van het bord met onze aantekeningen:

Actiepunten

NORA bijeenkomst 24 juli 2019.png

We hebben de actiepunten van de bijeenkomst van 12 juni j.l. doorgenomen, zie verslag. De meeste actiepunten zijn als apart onderwerp behandeld (zie verderop). Door persoonlijke omstandigheden zijn 2 actiepunten nog blijven liggen:

  • Eric Brouwer en Menno Stigter bespreken met GEMMA Beheer of en zo ja hoe ArchiMate modellen opgenomen kunnen worden bij de processen van Identiteitenbeheer.
  • Menno Stigter gaat na wie / welke organisatie een registratie voert voor “vreemdelingen” die niet in de BRP (RNI) worden geregistreerd.

Teksten Identiteitenbeheer

Bob te Riele en enkele collega’s van RvIG gaan de teksten van het Identiteitenbeheer aanpassen n.a.v. de eerder gemaakte opmerkingen. De verwachting is dat dat eind augustus wordt afgerond en dat daarna de review ervan kan plaatsvinden. Anne Schrijer (BZK) en Raymond Hofstra (Politie) hebben aangegeven mee te willen helpen met die review. Zie Identiteitenbeheer.

Authenticatie van natuurlijke personen i.r.t. de BRP

Menno Stigter (gemeente Den Haag), Harro Kremer (DJI) en Anne Schrijer (BZK) pakken het onderwerp Authenticatie van natuurlijke personen irt. de BRP op. Ze zullen de teksten van de reeds beschikbare informatie bij elkaar brengen tot 1 goed leesbaar verhaal: Authenticatie in de praktijk en Identiteitenbeheer. Daarbij geven ze ook antwoord op onderstaande vragen:

  • In welke (wettelijke)regels is beschreven hoe de authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van een natuurlijke persoon bij de BRP is geregeld?
  • Is daar een architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.(document) voor beschikbaar met een functionele beschrijving ed?
  • Met welke authenticatiemiddelen is dat mogelijk?
  • Welke niveau’s van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. zijn mogelijk voor die authenticatiemiddelen?
  • Is een proces (document) beschikbaar voor het opzetten / aanvragen van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. bij de BRP (wat moet je bij wie regelen ed)?

Identiteitenbeheer van bedrijven

Jurriaan Raaijmakers (gemeente Almere), Wim Schut (Belastingdienst) en Henk Romein (DICTU) pakken het onderwerp Identiteitenbeheer van bedrijven op. Daarbij gaan ze antwoorden geven op onderstaande vragen:

  • Over welke bedrijven gaat het (en welke niet)?
  • Hoe moeten we het begrip bedrijf zien in relatie tot termen als organisatie, samenwerkingsverband, instantie of ZZP’er?
  • Welke elektronische identiteit(en) geeft de Overheid aan die bedrijven (KvK-nummer, RSIN, …)?
  • Welke overheidsorganisatieNORA doelt met het begrip 'overheidsorganisaties' zowel op overheden als op semi-overheid- en private organisaties met een publieke taak. geeft die elektronische identiteiten uit en hoe worden ze beheerd qua proces van creëren, onderhouden en verwijderen?
  • Welke kwaliteitsnormen worden daarbij gehanteerd?
  • Welke applicaties worden daarbij gebruikt?
  • Hoe kan zo’n e-ID worden geverifieerd (via authenticatiemiddelen)?
  • Hoe moeten we omgaan met de relatie(s) tussen natuurlijke personen en bedrijven, zoals eigenaar, medewerker, vertegenwoordiger enz.?

Agenda Digitale Overheid en NL DIGIbeter

Daarnaast hebben we met elkaar gesproken over de Agenda Digitale Overheid en NL DIGIbeter, waarin wordt aangegeven in welke richting de overheid zich wil ontwikkelen. Zie [DIGIbeter] en de recent gepubliceerde [Regie op Gegevens nadere uitwerking] We zijn als expertgroep IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. invulling aan het geven aan specifieke onderdelen van deze landelijke (beleids)kaders. Ook de 2 bijgevoegde stukken over Digitale Kluisjes (PDF, 70 kB) en Online Identiteiten (PDF, 36 kB) voor persoonsgegevens zijn onderdeel van die kaders. De vraag die dan voorligt is natuurlijk: Wat is het belang van al deze stukken voor IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.?

  • Wat staat er in dat we al doen?
  • Welke vragen daarin kunnen wij al beantwoorden?
  • Wat is nieuw voor ons?

Uit de eerste reacties komt naar voren dat waarschijnlijk al veel van dit gedachtegoed in NL beschikbaar is, maar nog niet zo expliciet benoemd. Kees Jan Kolb (Erasmus MC) en Erik Kuijpers (Uwv) zullen de stukken doornemen en ons daarover informeren.

Machtigen

Als laatste punt hebben we gesproken over de uitdaging van veel organisaties om het machtigen te regelen. Als je het tot in z’n eenvoud terugbrengt, dan lijkt het niet veel meer te zijn dan: “iemand” machtigt “een ander” voor “iets”. Een zogenaamde tripple, met 2 digitale identiteiten en 1 object dat reeds bekend is in een systeem. Maar de huidige voorzieningen, zoals DigiD Machtigen, eHerkenning, het Machtigingenregister en Uitbreiding Machtigen, lijken verschillende uitgangspunten te hanteren voor zowel de vorm als het object van machtigen. Het is daarom wenselijk hier een beter beeld van te krijgen. Zie overigens ook Bevoegdhedenbeheer en Expertgroep Digitale identificatie en authenticatie/2018-09-25

Volgende bijeenkomst

Onze volgende bijeenkomst is op 3 september 2019 bij de gemeente Den Haag. Kees Jan Kolb van het Erasmus MC zal dan zijn ervaringen delen over hoe je kunt omgaan met ABAC in relatie tot de bestaande implementaties van RBAC. Tevens gaan we dan verder met de discussie over Machtigen c.q. Bevoegdhedenbeheer.