Expertgroep Digitale identificatie en authenticatie/2018-04-17
Bijeenkomst van Expertgroep IAM op dinsdag 17 april 2018, 14-17u, locatie: Gemeente Rotterdam, Coolsingel 40, StadHuis 4.34A – zaalnaam - Oude Haven, route
.
Doel: laatste ontwikkelingen in kaart brengen, kennisbehoefte inventariseren en uitwerken komende periode om tot gedeelde architectuur oplossingen te komen
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatie en identificatie .
Verslag[bewerken]
Dit verslag is ook downloadbaar (PDF, 576 kB).
Korte inleiding zesde themasessie[bewerken]
In het verlengde van de bijeenkomsten op 14 november, 12 december, 16 januari, 20 februari en 20 maart, is in het stadhuis van de gemeente Rotterdam onze 6e themasessie gehouden. Na een introductie over enkele ICT uitdagingen waar de gemeenten voor staat, gaf Joab de Lang, de Concern Information Security Officer van Rotterdam, ons een onverwacht compliment voor de goede toepasbaarheid van de NORA bij de uitwerking van de informatieveiligheidsmaatregelen voor de gemeenten Rotterdam. Goed voorzien van frisdrank en borrelhapjes, zijn we toen met een relatief kleine, maar slagvaardige groep hard aan de slag gegaan. Op het bespreken van de use-cases na, hebben we alle agendapunten behandeld.
We hebben het verslag en de actiepunten van vorige keer doorgenomen: de meeste acties zijn inmiddels opgepakt of afgerond. Het actuele overzicht is opgenomen in de bijlage.
Kaders IAM[bewerken]
De kaders zijn al in hoge mate uitgewerkt door Leon Schipper en Eric Brouwer. Leon licht het huidige resultaat toe a.d.h.v. online beelden: Identity & Access Management.
De keuze is gemaakt om uit te gaan van een visualisatie van IAM die Gartner hanteert en al enkele jaren heeft doorontwikkeld. Voor het gebruik is toestemming verkregen van Gartner. De life-cycles van Identiteitenbeheer, Bevoegdhedenbeheer en Toegang verlenen, passen goed bij de bestaande processen en denkwijze en straalt dynamiek uit (meer dan de andere bekeken visualisaties). De cycli zouden elkaar moet versterken, waardoor registraties en informatieveiligheid toenemen. Op diverse plaatsen in de cycli zitten mogelijkheden om de betrouwbaarheid van gegevens(verwerking) te vergroten: maar die worden vaak nog niet toegepast.
Zo zijn de uitgever van een digitale ID en de uitgever van een authenticatiemiddel verschillend bij bv DigiD: elke maand zijn er fraudegevallen dat iemand z’n BSN wordt misbruikt via DigiD. Dat is bv op te lossen met een notificatie via email / telefoon van de bij de overheid bekende persoon dat zijn DigiD wordt gebruikt bij dienst X, zoals VISA en enkele banken doen. Of bij een contactmoment voor bv paspoort of rijbewijs uitgifte even een check op de DigiD – hoog instellen. Dit soort apps zijn er al !
ACTIE-12: De werkgroep Kaders IAM gaat nog vóór 29 mei diverse punten aanscherpen:
- De beschrijving van de stappen binnen de cycli aanscherpen; (die zijn vertaald uit het Engels, maar op divers plaatsen nog niet goed genoeg, met name bij Toegang verlenen – verifiëren: check of de aangeleverde set gegevens juist is (waaronder een verwijzing naar een digitale identiteit en welke authenticatiemiddel: is het wel een Rijkspas? En wat krijg je terug als verwijzingsgegevens? Zie ook de beschrijving bij NIST, dat kent ook authentiseren. Of de beschrijving van World Economic Forum dat onderscheidt maakt naar verifiëren en authentiseren
- Intelligentie is niet goed vertaald: Intelligence + Informatie / begrijpen (inlichtingen). Dat begrip in de visualisatie aanpassen.
- Voor de begrippen zal een overzicht worden gegeven vanuit de diverse bronnen.
- Verwijzing bij de visualisatie naar Omnitech vervangen door verwijzing naar Gartner.
Identiteitenbeheer[bewerken]
Bij Identiteitenbeheer was door Bob te Riele al een behoorlijke slag geslagen in het uitwerken. Hij licht namens de werkgroep het huidige resultaat toe a.d.h.v. online beelden: (nog niet gepubliceerd). Hierbij kwam de notie op, dat een identificerend gegeven, zoals een BSN, niet hetzelfde is als een digitale identiteit; het wordt gezien als een verwijzing naar een digitale identiteit, een credential.
ACTIE-13: De werkgroep Identiteitenbeheer gaat nog vóór 29 mei diverse punten aanscherpen:
- Het onderdeel Vraagstelling verwijderen (de antwoorden staan immers verderop die pagina).
- Het stuk schonen van de vraagstellingsvorm en de ik-vorm e.d.
- Nagaan welke afstemming nodig is met de aangegeven bestaande kaders voor digitale identiteiten.
- Nagaan of met linkjes kan worden verwezen naar de procedures die RvIG c.q. de overheid hanteert.
- Thesaurus opstellen.
- Overlap definities tussen de werkgroepen visualiseren
- Overleg met IAA om te komen tot een totaalplaatje.
- Samenhang op visie archetype ism IAM en toetsing definities en visie met authenticatie in de praktijk en eIDAS.
Authenticatie[bewerken]
Ook de werkgroep Authenticatie is al ver gekomen met de uitwerking en Erwin Reinhoud licht het huidige resultaat toe adhv online beelden: https://www.noraonline.nl/wiki/Authenticatie_in_de_praktijk Naar het gevoel van de werkgroep is het beeld aardig compleet wat betreft de theoretische aspecten, maar mag de toepassing in de praktijk nog aan inzichten en duidelijkheid winnen.
ACTIE-14: De werkgroep Authenticatie gaat nog vóór 29 mei diverse punten aanscherpen:
- Het onderdeel Vraagstelling verwijderen (de antwoorden staan immers verderop die pagina).
- Het stuk schonen van de vraagstellingsvorm e.d.
- Nagaan welke afstemming nodig is met de aangegeven bestaande kaders voor digitale authenticatie.
- Afstemmen met de begrippen van de kaders IAM (die nog onvoldoende beschikbaar zijn).
- Afstemmen met de uitwerking van eIDAS (die nog onvoldoende beschikbaar is).
- Invullen van de Authenticatiemiddelen voor de BRP: met Identeitenbeheer afstemmen.
- Openstaande vragen hernoemen naar Weetjes:
- Ambtenaren kunnen eHerkenning gebruiken (Menno Stigter stuurt hier een oplossing voor)
- eIDAS is te gebruiken in de grensregio’s
- Multichannel doet de gemeente zo: …
eIDAS[bewerken]
Menno Stigter licht de stand van zaken toe. De Werkgroep eIDAS is een paar keer bij elkaar gekomen en heeft al 2 documenten samengesteld: voor de opzet en voor inhoud. Deze zijn echter nog niet gepubliceerd in de NORA: Impact eIDAS voor Nederland.
eIDAS werkt met 5 attributen om een digitale identiteiten te bepalen:
- naam
- adres
- woonplaats
- geboortedatum
- pseudo-id van eIDAS berichten (gegenereerd obv de land-ID)
Via eIDAS kan een ID ook worden gematcht met attributen: voor betrouwbaarheid (als een nr is ingetikt met een foutkans), voor vertrouwensband (te veel risico bij uitgiften) en voor het leggen van een relatie tussen verschillende eIDs en 1 fysieke ID.
Vanuit Logius is een aanbod gedaan om een aparte sessie te beleggen over de (aansluiting op) eIDAS, hetgeen goed uitkomt voor een van de vervolgbijeenkomsten.
ACTIE-15: De werkgroep eIDAS gaat nog vóór 29 mei diverse punten aanscherpen:
- De structuur van de wiki-pagina afstemmen op de opzet (document 1).
- Bestaande inhoud van de wiki vervangen door de nieuwe inhoud (document 2).
- Afstemmen met Identiteitenbeheer: welke digitale identiteiten worden gebruikt voor Buitenlanders?
- Afstemmen met Authenticatie: welke authenticatiemiddelen en -niveau’s worden gebruikt bij eIDAS?
Use-cases[bewerken]
We zijn niet meer toegekomen om plenair enkele use-cases te testen met de beelden die we vanuit de invalshoeken hebben gehoord. Besloten is dit te verschuiven naar een volgende bijeenkomst. Bijkomend voordeel daarvan is dat Jelle Attema, die deze use-cases heeft opgesteld, daar bij aanwezig kan zijn.
Voorbereiding Gebruikersraad NORA op 29 mei 2018[bewerken]
De volgende bijeenkomst is op 29 mei bij het CBS. Het betreft dan een informatieve bijeenkomst van de NORA (niet specifiek van onze werkgroep): Presentaties, impressie en vervolgstappen van NORA Gebruikersdag 29 mei 2018 gepubliceerd. Vanuit de werkgroep zullen we wel diezelfde dag de Gebruikersraad NORA informeren over de stand van zaken en het vervolg. Ter voorbereiding daarop is een concept-tekst (PDF, 163 kB) opgesteld die kort is besproken.
ACTIE-16: Allen, binnen 2 weken na het verslag reageren op de concept-tekst in de bijlage.
Vervolgbijeenkomsten[bewerken]
Ook daarna zullen we onder aansturing van Eric Brouwer (namens ICTU werkzaam voor NORA), maandelijks bijeen blijven komen, totdat dit thema afdoende is uitgediept.
De bijeenkomsten vinden plaats bij de deelnemers van het overleg. Er hebben zich zo’n 20 actieve deelnemers gemeld. Voor meer informatie of suggesties, meld je via nora@ictu.nl.
Data | Tijd | Bij wie? | Agenda/verslag |
---|---|---|---|
14 november | 13 – 16 uur | ICTU | verslag |
12 december | 14 – 17 uur | ICTU | verslag |
16 januari | 14 – 17 uur | Gemeente Den Haag | verslag |
20 februari | 14 – 17 uur | ECP.nl te Leidschendam | verslag |
20 maart | 14 – 17 uur | SVB te Amstelveen | (deze bijeenkomst) |
17 april | 14 – 17 uur | Gemeente Rotterdam | deze bijeenkomst |
29 mei | 13 – 17 uur | CBS Den Haag | NORA Gebruikersdag (tussenresultaat wordt besproken in NORA Gebruikersraad, 16.00-17.00 uur) |
21 juni | 14 – 17 uur | nader te bepalen | (voorlopige datum) |
Actiepunten[bewerken]
Lopende actiepunten[bewerken]
ACTIE-3: Arnoud Quanjer en Haaino Beljaars zullen vanuit VNG Realisatie het vraagstuk oppakken van de niet-digitale authenticatie (aan het loket of per telefoon). Dat is voor gemeenten namelijk van zodanig van belang dat ze dat graag uitgewerkt zien. Het zal mogelijk neerkomen op authenticatie op de bekende niveaus, maar dan via andere kanalen. Status: Loopt Arnoud en Haaino informeren ons zodra een 1e aanzet beschikbaar is. Op 20 maart j.l. was nog geen voortgang te melden. ACTIE-12: De werkgroep Kaders IAM gaat nog vóór 29 mei diverse punten aanscherpen.
ACTIE-13: De werkgroep Identiteitenbeheer gaat nog vóór 29 mei diverse punten aanscherpen.
ACTIE-12: De werkgroep Authenticatie gaat nog vóór 29 mei diverse punten aanscherpen.
ACTIE-12: De werkgroep eIDAS gaat nog vóór 29 mei diverse punten aanscherpen.
ACTIE-16: Allen, binnen 2 weken na het verslag reageren op de concept-tekst in de bijlage verderop.
Afgeronde Actiepunten[bewerken]
ACTIE-10: NORA Beheer gaat Johann Schreurs van DUO polsen of hij een presentatie van DigitalMe wil verzorgen om ons te inspireren. Status: Afgerond Dit staat gepland voor -de nog te organiseren bijeenkomst- op dinsdag 19 juni 2018.
ACTIE-11: NORA Beheer zal de terugkoppeling aan de Gebruikersraad NORA op 29 mei a.s. voorbereiden, zodat dat de komende keer kan worden besproken. Status: Afgerond De voorgestelde tekst is tijdens de bijeenkomst besproken.
De hier niet meer genoemde acties (1,2, 4, 5, 7, 8 en 9) zijn in eerdere sessies al afgerond.
Oorspronkelijke Agenda[bewerken]
- Welkom en voorstelrondje (5 min)
- Korte intro wat we gaan doen (10 min), inclusief verslag / download (PDF, 489 kB)) van de vorige keer doornemen.
- Terugkoppeling werkgroep Kaders IAA (30 min)
- toelichting huidige resultaat adhv online beelden Identity & Access Management (IAM) door Leon Schipper.
- bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond.
- Terugkoppeling werkgroep Identificatie (30 min)
- toelichting huidige resultaat adhv online beelden Identiteitenbeheer door Bob te Riele.
- bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond. Er staan nog veel openstaande vragen in de wiki, maar mogelijk heeft de werkgroep daar inmiddels antwoorden op? Het zou ook goed zijn als met linkjes wordt verwezen naar de procedures die RvIG c.q. de overheid hanteert.
- Terugkoppeling werkgroep Authenticatie (30 min)
- toelichting huidige resultaat adhv online beelden Authenticatie(middelen)beheer door Erwin Reinhoud. Het ziet er aardig compleet uit, maar er zijn nog vragen voor de andere werkgroepen, met name eIDAS en Kaders.
- bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond.
- Terugkoppeling werkgroep eIDAS (30 min)
- toelichting huidige resultaat adhv online beelden Impact eIDAS voor Nederland door Menno Gmelig Meijling.
- bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond
- SAMEN AAN DE SLAG met use cases (30 min) We gaan plenair aan de slag om enkele use-cases te testen met de beelden die we vanuit de invalshoeken hebben gehoord:
- hoe verloopt de identificatie ?
- hoe verloopt de authenticatie ?
- welke relatie bestaat met de eIDAS verordening? Jelle Attema heeft de use-cases (PDF, 379 kB) opgesteld.
- Afsluiten en de laatste actiepunten en actiehouders benoemen die gereed moeten zijn voor 29 mei a.s. (5 min)
- Volgende bijeenkomst is op 29 mei bij het CBS (5 min)
- het betreft dan een informatieve bijeenkomst van de NORA (niet specifiek van onze werkgroep)
- vanuit de werkgroep zullen we wel diezelfde dag de Gebruikersraad NORA informeren over de stand van zaken en het vervolg
- ter voorbereiding daarop is een concept-tekst opgesteld die zal worden besproken (en waar een ieder op kan reageren, ook nog in de 2 weken na deze bijeenkomst)
- Afsluiting (5 min)