Expertgroep Digitale Identificatie en authenticatie/2019-10-15
Bijeenkomst van Expertgroep IAM op dinsdag 15 oktober 2019, 14-17u, locatie: UWV, La Guardiaweg 94-114 / 116 Gebouw D, 1043 DL Amsterdam.
Doel: Het wat en waarom van Digitale Identificatie en Authenticatie in kaart brengen, opdat we breed gedeelde kennis en beelden krijgen en daarmee onze vraagstukken beter en geprioriteerd kunnen uitwerken om tot gedeelde architectuur oplossingen te komen.
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatie en identificatie. .
Korte inleiding[bewerken]
Het was blijkbaar een bijzondere bijeenkomst.
Ik was er zelf niet bij, maar heb -zoals vooraf verzocht- wat aantekeningen en terugkoppeling gehad van Anne Schrijer, Erik Kuijpers en Marijke Salters, zodat ik een verslag heb kunnen maken.
De agenda heeft een iets andere invulling gekregen, vandaar dat het verslag ook een soort “beleving” bevat.
Persoonlijk ben ik blij dat de tijd is genomen om een stukje reflectie te geven op wat we aan het doen zijn.
Dat maakt het mogelijk om bij te sturen op vraagstukken die bij jullie leven.
Al met al zijn we al meer dan 1½ jaar met elkaar onderweg en werd het ook wel eens tijd om te reflecteren.
Vooraf wil ik al meegeven dat we met elkaar al heel wat tot stand hebben gebracht qua persoonlijke contacten en kennisdeling: het wordt ook door veel anderen gezien en gelezen (ca. 350 views per maand op de hoofdpagina’s van IAM) en als ik over dit IAM-initiatief vertel in mijn netwerk, merk ik dat het positieve interesse opwekt !
Welkom door UWV (Amsterdam)[bewerken]
Erik Kuijpers, de Information Security Officer van de Uitvoeringsorganisatie Werknemers Verzekeringen (UWV), heeft met Egon Willemsz, de Enterprise Architect, een korte introductie gegeven over de architecten en architectuur binnen het UWV.
In vogelvlucht is het applicatielandschap van het UVW toegelicht en voor IAM heeft hij aangegeven waar de verantwoordelijkheid is belegd in de organisatie:
- voor digitale toegang van klanten is dat bij de afdeling "Klant & Service" (domein overstijgend)
- voor digitale toegang van medewerkers is dat bij de afdeling "ICT concern"
De visie van het UWV is gebaseerd op een holistische benadering van IAM:
En voor het uitwerken van de visie gebruikt het UWV de volgende samenhang van IAM kernbegrippen:
Verslag en actiepunten vorige keer[bewerken]
Bij de vraag wie opmerkingen had op het verslag van vorige keer , bleek dat slechts een enkeling het al had doorgenomen. Maar eigenlijk ontaarde deze vraag in enige discussie over de voortgang van de IAM werkgroepen en welke deliverables nu eigenlijk als doel waren gesteld.
Verder werd naar voren gebracht dat acties aan personen zijn toegekend, waarbij de betreffende personen zich daar niet (meer) bewust van waren.
Met name Marijke Salters en Anne Schrijer hebben op de ontstane discussies op positieve en constructieve wijze bijgedragen en voorgesteld om een penvoerder / redacteur in te zetten die tijd kan besteden om de voortgang er in te houden en om de samenwerking / opzet te verbeteren.
Ook kwam naar boven dat voor veel van de aanwezigen het lastig is om afdoende tijd aan IAM te kunnen besteden. Dit is een terugkerend thema.
Daarbij werd ook de wens geuit om tijd te claimen bij Logius, opdat zij meer structureel bijdrage kunnen leveren aan positionering van de IAM-voorzieningen die Logius beheert.
ACTIE Eric Brouwer bespreekt dat met BZK / Logius.
Bij de openstaande acties bleek dat weinig zicht was op de voortgang of stand van zaken van het Identiteitenbeheer van natuurlijke personen.
Vanuit NORA Beheer is het volgende zicht op de stand van zaken van de actiepunten:
- NORA Beheer neemt de Archimate-platen van Identiteitenbeheer op in de NORA: Gezamenlijk dienstverleningsproces
- NORA Beheer heeft een overzicht gemaakt van de 42 openstaande opmerkingen over het Identiteitenbeheer van natuurlijke personen en aan Bob te Riele en Frans Rijkers van RvIG is gevraagd aan te geven hoe ze die willen gaan verwerken en welke hulp ze daarbij nodig hebben.
- Door de werkgroep met Menno Stigter, Harro Kremer en Anne Schrijer zijn de opmerkingen van vorige bijeenkomst verwerkt in de opzet van Authenticatie van natuurlijke personen
- Kees Jan Kolb moest nog e.e.a. afstemmen over eventuele auteursrechten, maar heeft zijn geactualiseerde presentatie over RBAC gestuurd, die wordt gepubliceerd op: ABAC
Identiteitenbeheer van bedrijven[bewerken]
Bij sommigen stond niet meer helder voor ogen waarom de KvK bevraagd moet worden in dit stadium van het uitwerken van Identiteitenbeheer van Bedrijven: eerst zou immers duidelijk moeten zijn wie, waar, wanneer tijd voor heeft. Dan weten we welke vragen gesteld moeten worden. En daarna is het pas relevant om de bronhouder erbij te betrekken.
Enkele bijeenkomsten geleden hebben we hier echter al over gesproken en toen geconcludeerd dat het zinvol is om juist zsm ook de bron-houder hierbij aan te haken, zodat we de situatie meer feitelijk in kaart kunnen brengen.
Door Frans de Kok is daarbij nog aangedragen dat naar zijn weten BZK geen gescheiden aanpak meer wil van natuurlijke personen (NP’s) naast bedrijven. In het Europese domein zou een scheiding niet herkenbaar zijn. Het identificeren van een NP naast een Niet-Natuurlijke Persoon (NNP) kan wellicht wel.
We moeten hier wel bedachtzaam zijn, dat we vanuit (informatie)architectuur niet altijd mee kunnen c.q. hoeven bewegen met de politieke wensen en daarbij gebruikte termen. Een mens is immers geen bedrijf en vice versa. Als dat wel zou zijn, dan zouden die 2 termen immers synoniemen zijn … 😊
De behoefte aan een overzicht/lijst van begrippen komt telkens weer naar boven: een IAM-gegevenswoordenboek waarop een ieder zijn eigen begrippen kan plotten en dan de verhalen kan begrijpen. Dit helpt om de onduidelijkheid bij een aantal termen te verminderen en een gezamenlijk beeld te krijgen. Dat kan als basis goed werken. De werkgroep gaat hier binnenkort een keer live mee aan de slag, om te zien of en hoe we verder kunnen komen (anders dan via reacties op een document in opbouw).
Authenticatie van natuurlijke personen[bewerken]
Anne Schrijer heeft de voortgang van zijn werkgroep aan de aanwezigen laten zien: Authenticatie van natuurlijke personen
Dat leidde tot een goede discussie. Het is nog niet af, maar krijgt wel meer en meer vorm.
Binnenkort zal deze opzet bij de deelnemers van de expertgroep IAM worden uitgezet voor review.
ACTIE Harro Kremer maakt daartoe nog een archimate-plaat van deze authenticatie.
Volgende bijeenkomst[bewerken]
Deze is inmiddels gepland op 28 november 2019.
We gaan dat vanuit NORA Beheer goed voorbereiden. Vanuit de zijlijn kunnen we wel al constateren dat het er op lijkt dat we soms onze eerdere besluiten en overwegingen vergeten, evenals diverse (tussen)resultaten. Zie bijvoorbeeld wat we al hebben afgesproken over Bevoegdhedenbeheer en het Overzicht IAM begrippen.
De komende bijeenkomst zullen we in elk geval tijd besteden aan ons oorspronkelijke plan: waar we nu staan en wat we nog willen gaan doen.
ACTIE Eric zal dat samen met Marijke voorbereiden.
Afsluiting[bewerken]
Toen is nog kort over bevoegdhedenbeheer/machtigingen gesproken.
Inmiddels werd het kwart voor vijf, dus tijd voor de afsluiting van het overleg.
Voor 4 liefhebbers is na de afsluiting nog de presentatie gegeven over het UWV.
Kwart voor zes hebben de “die-hards” het pand verlaten.