Expertgroep Digitale identificatie en authenticatie/2018-04-17

Uit NORA Online
Ga naar: navigatie, zoeken

Bijeenkomst van Expertgroep Digitale identificatie en authenticatie op dinsdag 17 april 2018, 14-17u, locatie: Gemeente Rotterdam, Coolsingel 40, StadHuis 4.34A – zaalnaam - Oude Haven, route
.
Doel: laatste ontwikkelingen in kaart brengen, kennisbehoefte inventariseren en uitwerken komende periode om tot gedeelde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. oplossingen te komen
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. .


Inhoud

Verslag

Dit verslag is ook downloadbaar (PDF, 576 kB).

Korte inleiding zesde themasessie

In het verlengde van de bijeenkomsten op 14 november, 12 december, 16 januari, 20 februari en 20 maart, is in het stadhuis van de gemeente Rotterdam onze 6e themasessie gehouden. Na een introductie over enkele ICT uitdagingen waar de gemeenten voor staat, gaf Joab de Lang, de Concern Information Security Officer van Rotterdam, ons een onverwacht compliment voor de goede toepasbaarheid van de NORANederlandse Overheid ReferentieArchitectuur bij de uitwerking van de informatieveiligheidsmaatregelen voor de gemeenten Rotterdam. Goed voorzien van frisdrank en borrelhapjes, zijn we toen met een relatief kleine, maar slagvaardige groep hard aan de slag gegaan. Op het bespreken van de use-cases na, hebben we alle agendapunten behandeld.

We hebben het verslag en de actiepunten van vorige keer doorgenomen: de meeste acties zijn inmiddels opgepakt of afgerond. Het actuele overzicht is opgenomen in de bijlage.

Kaders IAM

De kaders zijn al in hoge mate uitgewerkt door Leon Schipper en Eric Brouwer. Leon licht het huidige resultaat toe a.d.h.v. online beelden: Identity & Acces Management.

De keuze is gemaakt om uit te gaan van een visualisatie van IAM die Gartner hanteert en al enkele jaren heeft doorontwikkeld. Voor het gebruik is toestemming verkregen van Gartner. De life-cycles van Identiteitenbeheer, Bevoegdhedenbeheer en Toegang verlenen, passen goed bij de bestaande processen en denkwijze en straalt dynamiek uit (meer dan de andere bekeken visualisaties). De cycli zouden elkaar moet versterken, waardoor registraties en informatieveiligheid toenemen. Op diverse plaatsen in de cycli zitten mogelijkheden om de betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd(verwerking) te vergroten: maar die worden vaak nog niet toegepast.

Zo zijn de uitgever van een digitale ID en de uitgever van een authenticatiemiddel verschillend bij bv DigiD: elke maand zijn er fraudegevallen dat iemand z’n BSN wordt misbruikt via DigiD. Dat is bv op te lossen met een notificatie via email / telefoon van de bij de overheid bekende persoon dat zijn DigiD wordt gebruikt bij dienst X, zoals VISA en enkele banken doen. Of bij een contactmoment voor bv paspoort of rijbewijs uitgifte even een check op de DigiD – hoog instellen. Dit soort apps zijn er al !

ACTIE-12: De werkgroep Kaders IAM gaat nog vóór 29 mei diverse punten aanscherpen:

  1. De beschrijving van de stappen binnen de cycli aanscherpen; (die zijn vertaald uit het Engels, maar op divers plaatsen nog niet goed genoeg, met name bij Toegang verlenen – verifiëren: check of de aangeleverde set gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist is (waaronder een verwijzing naar een digitale identiteit en welke authenticatiemiddel: is het wel een Rijkspas? En wat krijg je terug als verwijzingsgegevens? Zie ook de beschrijving bij NIST, dat kent ook authentiseren. Of de beschrijving van World Economic Forum dat onderscheidt maakt naar verifiëren en authentiseren
  2. Intelligentie is niet goed vertaald: Intelligence + InformatieBetekenisvolle gegevens. / begrijpen (inlichtingen). Dat begrip in de visualisatie aanpassen.
  3. Voor de begrippen zal een overzicht worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat vanuit de diverse bronnen.
  4. Verwijzing bij de visualisatie naar Omnitech vervangen door verwijzing naar Gartner.

Identiteitenbeheer

Bij Identiteitenbeheer was door Bob te Riele al een behoorlijke slag geslagen in het uitwerken. Hij licht namens de werkgroep het huidige resultaat toe a.d.h.v. online beelden: (nog niet gepubliceerd). Hierbij kwam de notie op, dat een identificerend gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat, zoals een BSN, niet hetzelfde is als een digitale identiteit; het wordt gezien als een verwijzing naar een digitale identiteit, een credential.

ACTIE-13: De werkgroep Identiteitenbeheer gaat nog vóór 29 mei diverse punten aanscherpen:

  1. Het onderdeel Vraagstelling verwijderen (de antwoorden staan immers verderop die pagina).
  2. Het stuk schonen van de vraagstellingsvorm en de ik-vorm e.d.
  3. Nagaan welke afstemming nodig is met de aangegeven bestaande kaders voor digitale identiteiten.
  4. Nagaan of met linkjes kan worden verwezen naar de procedures die RvIG c.q. de overheid hanteert.
  5. Thesaurus opstellen.
  6. Overlap definities tussen de werkgroepen visualiseren
  7. Overleg met IAA om te komen tot een totaalplaatje.
  8. Samenhang op visie archetype ism IAM en toetsing definities en visie met authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. in de praktijk en eIDAS.

Authenticatie

Ook de werkgroep Authenticatie is al ver gekomen met de uitwerking en Erwin Reinhoud licht het huidige resultaat toe adhv online beelden: https://www.noraonline.nl/wiki/Authenticatie_in_de_praktijk Naar het gevoel van de werkgroep is het beeld aardig compleet wat betreft de theoretische aspecten, maar mag de toepassing in de praktijk nog aan inzichten en duidelijkheid winnen.

ACTIE-14: De werkgroep Authenticatie gaat nog vóór 29 mei diverse punten aanscherpen:

  1. Het onderdeel Vraagstelling verwijderen (de antwoorden staan immers verderop die pagina).
  2. Het stuk schonen van de vraagstellingsvorm e.d.
  3. Nagaan welke afstemming nodig is met de aangegeven bestaande kaders voor digitale authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..
  4. Afstemmen met de begrippen van de kaders IAM (die nog onvoldoende beschikbaar zijn).
  5. Afstemmen met de uitwerking van eIDAS (die nog onvoldoende beschikbaar is).
  6. Invullen van de Authenticatiemiddelen voor de BRP: met Identeitenbeheer afstemmen.
  7. Openstaande vragen hernoemen naar Weetjes:
    1. Ambtenaren kunnen eHerkenning gebruiken (Menno Stigter stuurt hier een oplossing voor)
    2. eIDAS is te gebruiken in de grensregio’s
    3. Multichannel doet de gemeente zo: …

eIDAS

Menno Stigter licht de stand van zaken toe. De Werkgroep eIDAS is een paar keer bij elkaar gekomen en heeft al 2 documenten samengesteld: voor de opzet en voor inhoud. Deze zijn echter nog niet gepubliceerd in de NORANederlandse Overheid ReferentieArchitectuur: Impact eIDAS voor Nederland.

eIDAS werkt met 5 attributen om een digitale identiteiten te bepalen:

  • naam
  • adres
  • woonplaats
  • geboortedatum
  • pseudo-id van eIDAS berichten (gegenereerd obv de land-ID)

Via eIDAS kan een ID ook worden gematcht met attributen: voor betrouwbaarheidDe mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. (als een nr is ingetikt met een foutkans), voor vertrouwensband (te veel risico bij uitgiften) en voor het leggen van een relatie tussen verschillende eIDs en 1 fysieke ID.

Vanuit Logius is een aanbod gedaan om een aparte sessie te beleggen over de (aansluiting op) eIDAS, hetgeen goed uitkomt voor een van de vervolgbijeenkomsten.

ACTIE-15: De werkgroep eIDAS gaat nog vóór 29 mei diverse punten aanscherpen:

  1. De structuur van de wiki-pagina afstemmen op de opzet (document 1).
  2. Bestaande inhoud van de wiki vervangen door de nieuwe inhoud (document 2).
  3. Afstemmen met Identiteitenbeheer: welke digitale identiteiten worden gebruikt voor Buitenlanders?
  4. Afstemmen met Authenticatie: welke authenticatiemiddelen en -niveau’s worden gebruikt bij eIDAS?

Use-cases

We zijn niet meer toegekomen om plenair enkele use-cases te testen met de beelden die we vanuit de invalshoeken hebben gehoord. Besloten is dit te verschuiven naar een volgende bijeenkomst. Bijkomend voordeel daarvan is dat Jelle Attema, die deze use-cases heeft opgesteld, daar bij aanwezig kan zijn.

Voorbereiding Gebruikersraad NORANederlandse Overheid ReferentieArchitectuur op 29 mei 2018

De volgende bijeenkomst is op 29 mei bij het CBS. Het betreft dan een informatieve bijeenkomst van de NORANederlandse Overheid ReferentieArchitectuur (niet specifiek van onze werkgroep): NORA Gebruikersdag 29 mei 2018. Vanuit de werkgroep zullen we wel diezelfde dag de Gebruikersraad NORANederlandse Overheid ReferentieArchitectuur informeren over de stand van zaken en het vervolg. Ter voorbereiding daarop is een concept-tekst (PDF, 163 kB) opgesteld die kort is besproken.

ACTIE-16: Allen, binnen 2 weken na het verslag reageren op de concept-tekst in de bijlage.

Vervolgbijeenkomsten

Ook daarna zullen we onder aansturing van Eric Brouwer (namens ICTU werkzaam voor NORANederlandse Overheid ReferentieArchitectuur), maandelijks bijeen blijven komen, totdat dit thema afdoende is uitgediept.

De bijeenkomsten vinden plaats bij de deelnemers van het overleg. Er hebben zich zo’n 20 actieve deelnemers gemeld. Voor meer informatie of suggesties, meld je via nora@ictu.nl.

Data Tijd Bij wie? Agenda/verslag
14 november 13 – 16 uur ICTU verslag
12 december 14 – 17 uur ICTU verslag
16 januari 14 – 17 uur Gemeente Den Haag verslag
20 februari 14 – 17 uur ECP.nl te Leidschendam verslag
20 maart 14 – 17 uur SVB te Amstelveen (deze bijeenkomst)
17 april 14 – 17 uur Gemeente Rotterdam deze bijeenkomst
29 mei 13 – 17 uur CBS Den Haag NORA Gebruikersdag (tussenresultaat wordt besproken in NORA Gebruikersraad, 16.00-17.00 uur)
21 juni 14 – 17 uur nader te bepalen (voorlopige datum)

Actiepunten

Lopende actiepunten

ACTIE-3: Arnoud Quanjer en Haaino Beljaars zullen vanuit VNG Realisatie het vraagstuk oppakken van de niet-digitale authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (aan het loket of per telefoon). Dat is voor gemeenten namelijk van zodanig van belang dat ze dat graag uitgewerkt zien. Het zal mogelijk neerkomen op authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. op de bekende niveaus, maar dan via andere kanalen. Status: Loopt Arnoud en Haaino informeren ons zodra een 1e aanzet beschikbaar is. Op 20 maart j.l. was nog geen voortgang te melden. ACTIE-12: De werkgroep Kaders IAM gaat nog vóór 29 mei diverse punten aanscherpen.

ACTIE-13: De werkgroep Identiteitenbeheer gaat nog vóór 29 mei diverse punten aanscherpen.

ACTIE-12: De werkgroep Authenticatie gaat nog vóór 29 mei diverse punten aanscherpen.

ACTIE-12: De werkgroep eIDAS gaat nog vóór 29 mei diverse punten aanscherpen.

ACTIE-16: Allen, binnen 2 weken na het verslag reageren op de concept-tekst in de bijlage verderop.

Afgeronde Actiepunten

ACTIE-10: NORANederlandse Overheid ReferentieArchitectuur Beheer gaat Johann Schreurs van DUO polsen of hij een presentatie van DigitalMe wil verzorgen om ons te inspireren. Status: Afgerond Dit staat gepland voor -de nog te organiseren bijeenkomst- op dinsdag 19 juni 2018.

ACTIE-11: NORANederlandse Overheid ReferentieArchitectuur Beheer zal de terugkoppeling aan de Gebruikersraad NORANederlandse Overheid ReferentieArchitectuur op 29 mei a.s. voorbereiden, zodat dat de komende keer kan worden besproken. Status: Afgerond De voorgestelde tekst is tijdens de bijeenkomst besproken.

De hier niet meer genoemde acties (1,2, 4, 5, 7, 8 en 9) zijn in eerdere sessies al afgerond.

Oorspronkelijke Agenda

  1. Welkom en voorstelrondje (5 min)
  2. Korte intro wat we gaan doen (10 min), inclusief verslag / download (PDF, 489 kB)) van de vorige keer doornemen.
  3. Terugkoppeling werkgroep Kaders IAA (30 min)
    1. toelichting huidige resultaat adhv online beelden Identity & Access Management door Leon Schipper.
    2. bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond.
  4. Terugkoppeling werkgroep Identificatie (30 min)
    1. toelichting huidige resultaat adhv online beelden Identiteitenbeheer door Bob te Riele.
    2. bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond. Er staan nog veel openstaande vragen in de wiki, maar mogelijk heeft de werkgroep daar inmiddels antwoorden op? Het zou ook goed zijn als met linkjes wordt verwezen naar de procedures die RvIG c.q. de overheid hanteert.
  5. Terugkoppeling werkgroep Authenticatie (30 min)
    1. toelichting huidige resultaat adhv online beelden Authenticatie in de praktijk door Erwin Reinhoud. Het ziet er aardig compleet uit, maar er zijn nog vragen voor de andere werkgroepen, met name eIDAS en Kaders.
    2. bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond.
  6. Terugkoppeling werkgroep eIDAS (30 min)
    1. toelichting huidige resultaat adhv online beelden Impact eIDAS voor Nederland door Menno Gmelig Meijling.
    2. bepalen en toewijzen acties die nog vóór 29 mei moeten worden afgerond
  7. SAMEN AAN DE SLAG met use cases (30 min) We gaan plenair aan de slag om enkele use-cases te testen met de beelden die we vanuit de invalshoeken hebben gehoord:
    1. hoe verloopt de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. ?
    2. hoe verloopt de authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. ?
    3. welke relatie bestaat met de eIDAS verordening? Jelle Attema heeft de use-cases (PDF, 379 kB) opgesteld.
  8. Afsluiten en de laatste actiepunten en actiehouders benoemen die gereed moeten zijn voor 29 mei a.s. (5 min)
  9. Volgende bijeenkomst is op 29 mei bij het CBS (5 min)
    1. het betreft dan een informatieve bijeenkomst van de NORANederlandse Overheid ReferentieArchitectuur (niet specifiek van onze werkgroep)
    2. vanuit de werkgroep zullen we wel diezelfde dag de Gebruikersraad NORANederlandse Overheid ReferentieArchitectuur informeren over de stand van zaken en het vervolg
    3. ter voorbereiding daarop is een concept-tekst opgesteld die zal worden besproken (en waar een ieder op kan reageren, ook nog in de 2 weken na deze bijeenkomst)
  10. Afsluiting (5 min)
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen