Expertgroep Digitale Identificatie en authenticatie/2019-07-24
Bijeenkomst van Expertgroep IAM op woensdag 24 juli 2019, 14-17u, locatie: Den Haag, ICTU Wilhelmina van Pruisenweg 104, 2595 AN Den Haag (bij station Laan van NOI).
Doel: Het wat en waarom van Digitale Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee onze vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuur oplossingen te komen.
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatie en identificatie. .
Verslag[bewerken]
Het was wederom een prettige en informatieve bijeenkomst ! De temperatuur was hoog opgelopen, tot boven 38 Celsius, maar dat kwam gelukkig niet door te heftige discussies 😊
We zijn met het zomervakantie-team in de SCRUM-ruimte van ICTU aan de slag gegaan onder het motto dat Wim Schut vaak gebruikt om aan te geven wat het doel is van Architectuur: “Wat regelen we Waar?”.
Op hoofdlijnen is aangegeven wat we met elkaar hebben besproken en afgesproken. Zie ook de foto van het bord met onze aantekeningen:
Actiepunten[bewerken]
We hebben de actiepunten van de bijeenkomst van 12 juni j.l. doorgenomen, zie verslag. De meeste actiepunten zijn als apart onderwerp behandeld (zie verderop). Door persoonlijke omstandigheden zijn 2 actiepunten nog blijven liggen:
- Eric Brouwer en Menno Stigter bespreken met GEMMA Beheer of en zo ja hoe ArchiMate modellen opgenomen kunnen worden bij de processen van Identiteitenbeheer.
- Menno Stigter gaat na wie / welke organisatie een registratie voert voor “vreemdelingen” die niet in de BRP (RNI) worden geregistreerd.
Teksten Identiteitenbeheer[bewerken]
Bob te Riele en enkele collega’s van RvIG gaan de teksten van het Identiteitenbeheer aanpassen n.a.v. de eerder gemaakte opmerkingen. De verwachting is dat dat eind augustus wordt afgerond en dat daarna de review ervan kan plaatsvinden. Anne Schrijer (BZK) en Raymond Hofstra (Politie) hebben aangegeven mee te willen helpen met die review. Zie Identiteitenbeheer.
Authenticatie van natuurlijke personen i.r.t. de BRP[bewerken]
Menno Stigter (gemeente Den Haag), Harro Kremer (DJI) en Anne Schrijer (BZK) pakken het onderwerp Authenticatie van natuurlijke personen irt. de BRP op. Ze zullen de teksten van de reeds beschikbare informatie bij elkaar brengen tot 1 goed leesbaar verhaal: Authenticatie(middelen)beheer en Identiteitenbeheer. Daarbij geven ze ook antwoord op onderstaande vragen:
- In welke (wettelijke)regels is beschreven hoe de authenticatie van een natuurlijke persoon bij de BRP is geregeld?
- Is daar een architectuur(document) voor beschikbaar met een functionele beschrijving ed?
- Met welke authenticatiemiddelen is dat mogelijk?
- Welke niveau’s van authenticatie zijn mogelijk voor die authenticatiemiddelen?
- Is een proces (document) beschikbaar voor het opzetten / aanvragen van authenticatie bij de BRP (wat moet je bij wie regelen ed)?
Identiteitenbeheer van bedrijven[bewerken]
Jurriaan Raaijmakers (gemeente Almere), Wim Schut (Belastingdienst) en Henk Romein (DICTU) pakken het onderwerp Identiteitenbeheer van bedrijven op. Daarbij gaan ze antwoorden geven op onderstaande vragen:
- Over welke bedrijven gaat het (en welke niet)?
- Hoe moeten we het begrip bedrijf zien in relatie tot termen als organisatie, samenwerkingsverband, instantie of ZZP’er?
- Welke elektronische identiteit(en) geeft de Overheid aan die bedrijven (KvK-nummer, RSIN, …)?
- Welke overheidsorganisatie geeft die elektronische identiteiten uit en hoe worden ze beheerd qua proces van creëren, onderhouden en verwijderen?
- Welke kwaliteitsnormen worden daarbij gehanteerd?
- Welke applicaties worden daarbij gebruikt?
- Hoe kan zo’n e-ID worden geverifieerd (via authenticatiemiddelen)?
- Hoe moeten we omgaan met de relatie(s) tussen natuurlijke personen en bedrijven, zoals eigenaar, medewerker, vertegenwoordiger enz.?
Agenda Digitale Overheid en NL DIGIbeter[bewerken]
Daarnaast hebben we met elkaar gesproken over de Agenda Digitale Overheid en NL DIGIbeter, waarin wordt aangegeven in welke richting de overheid zich wil ontwikkelen. Zie [DIGIbeter] en de recent gepubliceerde [Regie op Gegevens nadere uitwerking] We zijn als expertgroep IAM invulling aan het geven aan specifieke onderdelen van deze landelijke (beleids)kaders. Ook de 2 bijgevoegde stukken over Digitale Kluisjes (PDF, 70 kB) en Online Identiteiten (PDF, 36 kB) voor persoonsgegevens zijn onderdeel van die kaders. De vraag die dan voorligt is natuurlijk: Wat is het belang van al deze stukken voor IAM?
- Wat staat er in dat we al doen?
- Welke vragen daarin kunnen wij al beantwoorden?
- Wat is nieuw voor ons?
Uit de eerste reacties komt naar voren dat waarschijnlijk al veel van dit gedachtegoed in NL beschikbaar is, maar nog niet zo expliciet benoemd. Kees Jan Kolb (Erasmus MC) en Erik Kuijpers (Uwv) zullen de stukken doornemen en ons daarover informeren.
Machtigen[bewerken]
Als laatste punt hebben we gesproken over de uitdaging van veel organisaties om het machtigen te regelen. Als je het tot in z’n eenvoud terugbrengt, dan lijkt het niet veel meer te zijn dan: “iemand” machtigt “een ander” voor “iets”. Een zogenaamde tripple, met 2 digitale identiteiten en 1 object dat reeds bekend is in een systeem. Maar de huidige voorzieningen, zoals DigiD Machtigen, eHerkenning, het Machtigingenregister en Uitbreiding Machtigen, lijken verschillende uitgangspunten te hanteren voor zowel de vorm als het object van machtigen. Het is daarom wenselijk hier een beter beeld van te krijgen. Zie overigens ook Bevoegdhedenbeheer en Expertgroep Digitale identificatie en authenticatie/2018-09-25
Volgende bijeenkomst[bewerken]
Onze volgende bijeenkomst is op 3 september 2019 bij de gemeente Den Haag. Kees Jan Kolb van het Erasmus MC zal dan zijn ervaringen delen over hoe je kunt omgaan met ABAC in relatie tot de bestaande implementaties van RBAC. Tevens gaan we dan verder met de discussie over Machtigen c.q. Bevoegdhedenbeheer.