Expertgroep Digitale Identificatie en authenticatie/2019-09-03

Uit NORA Online
Ga naar: navigatie, zoeken

Bijeenkomst van Expertgroep Digitale identificatie en authenticatie op dinsdag 3 september 2019, 14-17u, locatie: Stadsdeelkantoor Laak (achter station Hollands Spoor), Slachthuisplein 25, 2521 EC Den Haag, Vergaderzaal LA 00.37.
Doel: Het wat en waarom van Digitale Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee onze vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. oplossingen te komen.
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.. .




Verslag

Het was wederom een informatieve (en lange 😊) bijeenkomst. Ditmaal bij de gemeente Den Haag, waar we zo’n anderhalf jaar geleden een van de eerste bijeenkomsten hielden met de expertgroep IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.. Bijgaand is op hoofdlijnen aangegeven wat we met elkaar hebben besproken en afgesproken.


Actiepunten

We hebben de actiepunten van de bijeenkomst van 24 juli doorgenomen, zie het verslag Expertgroep Digitale Identificatie en authenticatie/2019-07-24 Er waren nog 2 openstaande actiepunten en die zijn inmiddels opgepakt:

  • NORANederlandse Overheid ReferentieArchitectuur Beheer is bij GEMMA Beheer nagegaan of, en zo ja hoe ArchiMate modellen opgenomen kunnen worden bij de processen van Identiteitenbeheer. Het lijkt er op dat in de GEMMA geen specifieke processen zijn beschreven voor het identiteitenbeheer. De GEMMA heeft wel meer algemene processen (typeringen), waar zo’n proces van Identiteitenbeheer onder zou kunnen vallen.

: → ACTIE: Afgesproken is e.e.a. nog met elkaar te gaan bespreken. Voorstel is om de plaatjes voorlopig op te nemen in de NORANederlandse Overheid ReferentieArchitectuur.

  • Het COA is de organisatie die een registratie voert voor “vreemdelingen” die niet in de BRP (RNI) worden geregistreerd. Deze informatie is inmiddels opgenomen in de beschrijving van het Identiteitenbeheer van natuurlijke personen.


Identiteitenbeheer

Bob te Riele en enkele collega’s van RvIG (met name ook Frans Rijkers) hebben de teksten van het Identiteitenbeheer van natuurlijke personen al deels aangepast n.a.v. de eerder gemaakte opmerkingen. Ook is gekeken naar de opzet van de authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. van natuurlijke personen. De aanvullingen die daarop van belang zijn, zullen worden verwerkt door de werkgroep Authenticatie, zie het kopje hieronder. : → ACTIE: Vanuit NORANederlandse Overheid ReferentieArchitectuur Beheer gaan we na of alle gemaakte opmerkingen zijn verwerkt bij Identiteitenbeheer. Hierna kan de review kan plaatsvinden door Anne Schrijer (BZK) en Raymond Hofstra (Politie).

Authenticatie

Menno Stigter (gemeente Den Haag), Harro Kremer (DJI) en Anne Schrijer (BZK) hebben een eerste uitwerking gemaakt van de Authenticatie van Natuurlijke Personen i.r.t de BRP (PDF, 498 kB). Deze uitwerking is plenair besproken.

: → ACTIE: De expertgroep zal de komende weken nog diverse aanpassingen doen, zoals:

  • Omzetten naar het vijflaagsmodel van de NORANederlandse Overheid ReferentieArchitectuur: om discussies te beslechten en vraagstukken te duiden;
  • Dubbele tekststukken over natuurlijke personen en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. verwijderen;
  • Koppelvlakken van de voorzieningen toelichten;
  • Op onderdelen de W&R toelichten: naast een analoge ID is nu ook een digitale ID nodig (denk aan de wet online identiteit en de pilot met virtuele ID’s);
  • Een overzicht maken op het niveau van het IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.-kader en de relatie met de uitgewerkte pagina’s in de NORANederlandse Overheid ReferentieArchitectuur over identiteitenbeheer en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.;
  • Antwoord geven op wat wordt bedoeld met het “proces van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. op de BRP”.


Identiteitenbeheer Bedrijven

Jurriaan Raaijmakers (gemeente Almere), Wim Schut (Belastingdienst) en Henk Romein (DICTU) hebben een eerste uitwerking gemaakt van het document Identiteitenbeheer van Bedrijven (PDF, 309 kB). Er wordt nog steeds gewerkt aan deze uitwerking, dus als je wilt kan je jouw opmerkingen nog toevoegen aan het document. Opmerkingen ontvangen we graag via nora@ictu.nl.

Uit de bespreking van dit document kwamen de volgende opmerkingen naar voren:

  • We zijn op zoek naar de verschillende digitale identiteiten die in Nederland aan bedrijven worden toegekend en hoe dat proces verloopt;
  • De opzet die nu is gemaakt gaan we z.s.m. publiceren, zodat we reacties daarop kunnen verkrijgen en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.;
  • Vertegenwoordiging van de KvK zal daar expliciet bij worden betrokken;
  • De begrippen en omschrijvingen zijn nog erg overlappend en onduidelijk. Het lijkt soms met name vanuit het perspectief van de Belastingdienst bezien;
  • We willen meer als basis aanhouden hoe een register wordt onderhouden en door welke verantwoordelijke(n), zoals KvK met HandelsRegister (HR);
  • De definities en nummers zullen worden uitgewerkt;
  • Het OIN (door Logius beheerd) is een afspraak om uniciteit over alle domeinen heen te borgen, ook in de tijd gezien (meer info is te verkrijgen via Logius / Pieter Hering;
  • De Handelsnaam is alleen unieke binnen een sector (zo’n sector is trouwens wat anders dan overheidsdomeinen!);
  • De Statutaire Naam is waarschijnlijk wel uniek in Nederland;
  • In het elektronische Toegangsdiensten (eTD) worden ook koppelvlakken en attributen / nummers beschreven;
  • Internationaal: LEI en EORIE, De Legel Entity Identifier (LEI) wordt door KvK in NL en KvK’s in BL uitgegeven;
  • eIDAS heeft ook een Legal Identifier: die lijkt op het OIN, maar wijkt af van de LEI;
  • Een vraagstuk voor later: Hoe gaat een dienst-specifiek identificerend nummer werken (via pseudoniemen / BSNk e.d)?

Dat pakken we op irt “de wolk”: SSI, IRMA en DigitalMe, Attribute Services e.d., zie Ontwikkelingen waar toepassing in de toekomst binnen moet passen.

  • In het afsprakenstelsel eHerkenning is opgenomen aan welke kwaliteitseisen een digitale identiteit moet voldoen;
  • PKIO heeft ook een normenkader voor digitale identiteiten;
  • Een normenkader van het stelsel eID is er nog niet;


Beleidsstukken over IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.

Kees Jan Kolb (Erasmus MC) en Erik Kuijpers (UWV) hebben de Agenda Digitale Overheid / NL DIGIbeter en de beleidsbrief Regie op Gegevens (RoG) doorgenomen om na te gaan in hoeverre wij als expertgroep IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. invulling kunnen geven aan specifieke onderdelen van deze landelijke (beleids)kaders. Zie ook Agenda Digitale Overheid en NL DIGIbeter.

Hun bevindingen hebben ze gepresenteerd, Wetgeving Regie op gegevens (PDF, 386 kB) en we hebben daaruit het volgende geconcludeerd:

  • Het gedachtegoed van NL DIGIbeter was ons op hoofdlijnen wel bekend, maar het was niet eerder zo expliciet en in samenhang benoemd;
  • Naar onze inschatting is al veel beschikbaar van de benoemde toekomstbeelden;
  • Met name van belang is een gemeenschappelijk beeld over digitale identiteiten van burgers en de wettelijke verankering ervan;.
  • Regie op Gegevens (RoG) in de vorm van het op eigen initiatief van een burger laten delen van een basisset gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd (of het door laten leveren) is nieuw, zeker via MijnOverheid.nl;
  • RoG is een lopend programma dat zich daar op richt en IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. is daar een voorwaardelijk aspect voor. De vraag die bij ons voorligt is daarom: hoe gaan we RoG ondersteunen met onze kennis en ervaring?
  • Hoe wordt omgegaan met “contacthistorie” (wie heeft wat namens jou gedaan met welke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd?);
  • Is RoG zoals een blauwe knop: een onderdeel van een dienst digitaliseren? Dat is niet echt regie vanuit de burger.
  • De huidige IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. uitgangspunten ondersteunen al grotendeels de uitgangspunten van RoG, echter hoe kan IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten. er voor zorgen dat RoG op een veilige wijze verloopt?
  • Wat is het ontwerp dat de architecten hierin voorstaan?
  • Het zal waarschijnlijk niet alles linken aan een BSN.
  • Mogelijk zal meer gedaan moeten worden met dataminimalisatie, polymorfe pseudoniemen en gebruiksregisters (audittrails);
  • Het veilig gebruik van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd bevorderen;
  • Faciliteren dat het doorleveren van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt geregistreerd (gelogd).


”regie op gegevens IAM”
Belang voor IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.










ABAC

Kees Jan Kolb van het Erasmus MC heeft zijn ervaringen gedeeld over hoe je kunt omgaan met Attribute Based Access Control (ABAC) in relatie tot de bestaande implementaties van RBAC. Hiermee oriënteren we ons dus op de nadere invulling van Bevoegdhedenbeheer c.q. autorisatiemanagement, zie Bevoegdhedenbeheer. De volgende zaken kwamen naar voren:

  • De focus ligt op Identiteitenbeheer en Bevoegdhedenbeheer: welke identiteiten hebben bevoegdheden? zijn de bevoegdheden passend? Is men in control?
  • Er is onderscheid tussen 1e orde en 2e orde bevoegdheden: 1e orde is wat mag een identiteit? 2e orde is voor welke data subset is de wat (1e orde) van toepassing?
  • Toegang tot applicaties wordt nu geregeld o.b.v. de identiteit: usernaam / medewerkernummer;
  • ABAC kan je eigenlijk niet goed binnen een applicatie regelen, wel erbuiten;
  • Business rules tbv ABAC is goed toepasbaar buiten de applicaties mbv een IGA tool: veel rollen kunnen automatisch worden toegekend o.b.v. regels en attribuut-waarden;
  • Erasmus MC gebruikt nu vooral nog attributen vanuit het HR systeem en Finance, maar in de toekomst worden mogelijk ook attributen uit andere systemen gebruikt;
  • Naast de medewerkers uit HRM is de gedachte om op termijn ook andere federatieve bronnen voor identiteiten te gaan gebruiken we denken dan aan externen, studenten en zelfs patiënten als gebruikers van het IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.-systeem;
  • Koppelen tussen het IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.-systeem en de applicaties kan op verschillende manieren, maar de voorkeur van Erasmus MC gaat uit naar SCIM (open source REST API): zie onder meer SCIM: System for Cross-domain Identity Management en SCIM|Forum Standaardisatie;
  • Flat RBAC wordt vaak gebruikt, maar heeft als nadeel dat er per identiteit bijna een rol moet worden gedefinieerd;
  • Een 2 laags rollen model (Enterprise Roles vs Application Roles);
  • Eigenaarschap van processen en de bijbehorende data dient goed belegd te zijn om op een verantwoorde manier de bevoegdheden tot functionaliteiten en data gecontroleerd te organiseren;
  • Mogelijk dat deze aanpak ook werkt voor applicaties van andere organisaties?
  • Zouden diensten aan burgers en bedrijven ook op zo’n manier ontsloten kunnen worden?
  • De complexiteit van bevoegdhedenbeheer is zo groot, dat je niet alles kunt regelen met regels en rollen: je zult af en toe ook bevoegdheden / autorisaties moeten toekennen op persoonlijk niveau;
  • Kunnen organisaties wel doorgaan met data bij elkaar te zetten (zoals in datawarehouses) en daar dezelfde rollen-structuur op los te laten?
  • Of moeten we andere vormen van attribuut-uitwisseling gaan hanteren, zoals met (inter)nationale APi’s?
  • Het scheiden van data en functionaliteiten wordt belangrijker.

: → ACTIE Kees Jan stuurt binnenkort zijn geactualiseerde presentatie zodat die kan worden gepubliceerd.


Volgende bijeenkomst 15 oktober 2019

De volgende bijeenkomst is op 15 oktober 2019 bij het UWV te Amsterdam. Erik Kuijpers is dan onze gastheer en we gaan -naast het aanhoren van de IAMIdentity and Access Management (IAM) is vrij vertaald het beheer om er voor te zorgen dat de juiste "identiteiten" (denk daarbij vooral aan personen of computers), voor de juiste redenen en op het juiste moment toegang krijgen tot de juiste faciliteiten.-aanpak van het UWV- verder met de uitwerking van Bevoegdhedenbeheer en Machtigen.


Bijlagen