Expertgroep Digitale identificatie en authenticatie/2018-08-21

Uit NORA Online
Ga naar: navigatie, zoeken

Bijeenkomst van Expertgroep Digitale identificatie en authenticatie op dinsdag 21 augustus 2018, 14-17u, locatie: ICTU.
Doel: laatste ontwikkelingen in kaart brengen, kennisbehoefte inventariseren en uitwerken komende periode om tot gedeelde architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. oplossingen te komen
Doelgroep: architecten en collega’s uit de publieke sector actief betrokken op thema authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. .


Inhoud

Verslag

Dit verslag is ook downloadbaar (PDF, 383 kB).

Aanpak Bevoegdhedenbeheer en Toegang verlenen

In plaats van een reguliere bijeenkomst van de expertgroep IAM, is met een kleine groep een start gemaakt met stap 10 van ons Plan van Aanpak, te weten fase 2 van IAM, betreffende Bevoegdhedenbeheer en Toegang verlenen. Zie ook Concept Plan van aanpak thema Identificatie en Authenticatie 12-01-2018 (PDF, 378 kB)

Korte inleiding achtste themasessie

In vervolg op het besluit van de Gebruikersraad NORANederlandse Overheid ReferentieArchitectuur dd. 29 mei j.l., gaan we nu de vraagstukken oppakken rond Bevoegdhedenbeheer (inclusief Machtigen) en Toegang verlenen. In de bijeenkomst van de expertgroep IAM op 19 juni j.l. zijn daar al een paar woorden aan gewijd, maar dat was meer proces dan inhoud. Die teksten uit het verslag ware de basis voor deze bespreking en zijn voor het gemak overgenomen in dit verslag. Onze aanpak is erop gericht zo veel mogelijk uit te gaan van het kader IAM, maar daarnaast ook de initiatieven uit de praktijk in kaart te brengen en hergebruik te maken van door hen gehanteerde begrippen en definities. De reden dat we hierbij zeggen: “zo veel mogelijk”, komt door de situatie dat in de prakrijk vaak door het uitspelen van belangen van enkele dominante partijen, een oplossing wordt gekozen die niet goed past voor de overige betrokken partijen. Op deze manier kunnen we dus een neutraal beeld krijgen van de mate waarin Nederland aansluit bij de wereldwijde ontwikkeling van IAM.

Aansluitend zijn de actiepunten van de expertgroep geactualiseerd.

Aanpak Bevoegdhedenbeheer

“Bevoegdheden beheer” betreft de 2e cyclus van ons kader en wordt ook vaak aangeduid met autorisatiemanagement, inclusief wat we onder machtigen verstaan. In de Cyclus Bevoegdhedenbeheer worden de gebruikte begrippen uitgelegd, mede in relatie tot het Nationale kader IAM.

De bedoeling is dat we nu verder uitwerken op welke manier Bevoegdhedenbeheer in de praktijk wordt toegepast, geredeneerd vanuit enerzijds de GDI en anderzijds (overheids)organisaties die IAM optimaal willen inrichten. Daarbij gaan we rekening houden met zaken als:

  • Afspraken die hierover reeds beschikbaar zijn.
Denk o.a. aan het stelsel eHerkenning https://www.eherkenning.nl/ of het Afsprakenstelsel elektronische Toegangsdiensten https://afsprakenstelsel.etoegang.nl/
  • Zo veel mogelijk hergebruik van de definities van eToegang, de wet GDI en de wet DO.
  • De diensten en voorzieningen die reeds beschikbaar zijn.
Denk o.a. aan DigiD Machtigen https://www.logius.nl/diensten/digid-machtigen/
  • Diverse opmerkingen die via de review IAM zijn gemaakt over deze onderwerpen: die worden bij voorkeur uitgewerkt door de nog op te richten werkgroep Bevoegdhedenbeheer
  • Autorisatiemanagement kan binnen de organisatie ingericht zijn en tussen organisaties / ketens: voor internen (personeel) en voor externen (burgers, bedrijven).
  • Mogelijk onderscheid tussen wettelijke bevoegdheden of andersoortige bevoegdheden.
  • Hoe een bevoegdheid namens een andere persoon of een bedrijf (een machtiging dus) in dit concept past.
  • Bevoegdheden in relatie tot competenties e.d., zoals BIG-register voor zorgverleners of het Schietvaardigheidsregister.
  • Enz.


Aanpak Machtigen

Machtigen zien we als onderdeel van Bevoegdhedenbeheer, maar is in onze aanpak als apart aandachtsgebied opgenomen om bij voorkeur met prioriteit op te nemen in de NORANederlandse Overheid ReferentieArchitectuur. Op die manier kunnen de resultaten van het lopende programma Machtigen het beste worden geplaatst in het kader IAM en wordt maatschappelijk beter inzicht gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat in deze belangrijke ontwikkelingen. Het programma Machtigen heeft tot doel verbetering en samenhang aan te brengen in het huidige machtigingslandschap. Dat landschap wordt enerzijds gekenmerkt door een veelheid aan machtigingsvormen en –relaties. Anderzijds ontbreken specifieke machtigingsvormen en functionaliteiten die maatschappelijk zeer gewenst zijn. Kernbegrippen voor het programma zijn het gebruiksgemak voor burgers en organisaties en de ontzorging van dienstaanbieders. De opdracht van het programma Machtigen in de huidige fase (1e plateau) tweeledig:

  1. Stel het Globale Ontwerp op voor een oplossing voor het machtigingsvraagstuk in het publieke domein met betrekking tot zowel burgers als organisaties.
  2. Stel een Project Start Architectuur (PSA) op voor het 1e plateau op basis van de functionele behoeften van de betrokken publieke dienstaanbieders.

Door Wim en Lieven is aangegeven dat de 1e resultaten al beschikbaar zijn, te weten het Globaal Ontwerp en de PSA. Deze zullen z.s.m. in de expertgroep worden toegelicht. Gezien de landelijke impact van Machtigen, wordt ook bespreking ervan in de Gebruikersraad NORANederlandse Overheid ReferentieArchitectuur verwacht. ACTIE-20 NORANederlandse Overheid ReferentieArchitectuur Beheer (Eric Brouwer) iom Logius (Wim Geurts c.q. Carlo Koch, de programmamanager Machtigen)


Aanpak Toegang verlenen

“Toegang verlenen” betreft de 3e cyclus van ons kader en die regelt het feitelijk verlenen c.q. verkrijgen van toegang en is daardoor sterk gerelateerd aan bevoegdhedenbeheer en authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.. Zie Cyclus Toegang verlenen

Bij de uitwerking zal rekening worden gehouden met in elk geval:

  • De Toegangsdiensten die vanuit Logius worden verleend: https://www.logius.nl/diensten/
  • Voorbeelden uit de praktijk, zoals beschreven in door JenV beschikbaar gestelde documenten met een visie en uitwerking van Toegang.
  • Voorbeeld: de Flitsfoto. Als je te hard hebt gereden en wordt geflitst, dan wordt via de foto het nummerbord van de auto bepaald, de eigenaar (met zijn BSN) van die auto wordt opgezocht in de Basisregistratie Voertuigen (BRV) van de RDW, het CJIB stuurt de acceptgiro naar het adres van de eigenaar. De eigenaar kan inloggen met zijn DigiD en de foto’s bekijken die aan zijn BSN gerelateerd zijn. Dit proces verloopt volledig digitaal tussen de betrokken overheidsorganisaties en de hardrijder, waarbij gebruik gemaakt wordt van een IsP (BSN) en een AsP (DigiD) en de autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen is geprogrammeerd in de applicatie Flitsfoto van het CJIB, zie https://www.cjib.nl/ik-wil-mijn-flitsfoto-bekijken
  • Het perspectief vanuit de dienstverlenerDe persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers): die zal duidelijk moeten maken hoe wordt omgegaan met Identificatie, Authenticatie en Autorisatie om zijn dienst te kunnen afnemen én dat zal digitaal mogelijk moeten worden gemaakt.
  • Denk daarbij ook aan het mogelijk inschakelen van een Identity Service Provider (IsP), zoals de RiVG is voor digitale identiteiten die de overheid uitgeeft (gerelateerd aan het BSN), of een Authenticatie Service Provider (AsP), zoals Logius dat beschikbaar stelt via DigiD, of een Autorisatie Service Provider (AutosP).
  • Het perspectief vanuit de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem van een dienst: die zal bij het afnemen van een dienst moeten weten welke van zijn digitale sleutels geschikt zijn om toegang te krijgen.
  • Enz.

Trekkers en uitwerking

We zien graag dat voor elk van deze 3 onderwerpen 1 iemand als trekker en aanspreekpunt optreedt. Iemand die initiatief neemt en betrokkenen bij elkaar brengt, het resultaat coördineert en de kwaliteit ervan borgt. Ben Binnendijk van DJI heeft zich als trekker aangemeld, maar zal daar slechts ca. 1 dag per maand voor beschikbaar zijn. Daardoor zijn we nog op zoek naar een duo-trekker. Gezien de Toegangsdiensten die Logius levert, zal die duo-trekker bij voorkeur vanuit Logius worden ingezet. ACTIE-21 Wim Geurts zal dat binnen Logius nagaan.

Bij de uitwerking worden ook betrokken: Wim Geurts en Frans de Kok (beiden Logius) en Menno Stigter (gemeente Den Haag) en iedereen die zich daarvoor aanmeldt.

Bij de uitwerking zal zo veel mogelijk gebruik worden gemaakt van reeds bestaande beschrijvingen: het verwijzen daarna (via linkjes e.d.) is gewenst. Het wiel hoeft immers niet opnieuw uitgevonden te worden voor deze wereldwijde vraagstukken. 😊

Ondersteuning

Vanuit ICTU / NORANederlandse Overheid ReferentieArchitectuur Beheer zullen we de uitwerkingen graag ondersteunen c.q. begeleiden, zoals we ook hebben gedaan bij de andere vraagstukken van IAM in de 1e fase. Plenaire bespreking in de expertgroep IAM Gedacht wordt aan:

  • 25 september: Uitleg eID / eIDAS
  • 20 november: Toelichting resultaten Programma Machtigen

E.e.a. afhankelijk van de beschikbaarheidgegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. van betrokkenen. 

Stand van zaken Actiepunten

Uitleg kleuren:

  • Onderhanden werk = Zwart
  • Afgehandeld = Groen
  • Actiehouder = Geel

ACTIE-3: Arnoud Quanjer en Haaino Beljaars zullen vanuit VNG Realisatie het vraagstuk oppakken van de niet-digitale authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. (aan het loket of per telefoon). Dat is voor gemeenten namelijk van zodanig van belang dat ze dat graag uitgewerkt zien. Het zal mogelijk neerkomen op authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. op de bekende niveaus, maar dan via andere kanalen.

Status: Loopt
Arnoud en Heino informeren ons zodra een 1e aanzet beschikbaar is.
Op 20 maart j.l. was nog geen voortgang te melden.

ACTIE-6: Wim Geurts en Lieven van der Tas houden ons op de hoogte van de ontwikkelingen vanuit het Programma Machtigen (waar onder meer Logius in is vertegenwoordigd).

Status: Afgerond
Wim en Lieven hebben ons een architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. toegestuurd, zie mail dd. 20 juni 2018, en het bespreken en verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van deze info zal verder worden opgepakt als onderdeel van de aanpak 2e fase IAM.

ACTIE-12: De werkgroep Kaders IAM (trekker Eric Brouwer) gaat diverse punten aanscherpen:

  1. De beschrijving van de stappen binnen de cycli aanscherpen; (die zijn vertaald uit het Engels, maar op divers plaatsen nog niet goed genoeg, met name bij Toegang verlenen – verifiëren: check of de aangeleverde set gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist is : (waaronder een verwijzing naar een digitale identiteit en welke authenticatiemiddel: is het wel een Rijkspas? En wat krijg je terug als verwijzingsgegevens? Zie ook de beschrijving bij NIST, dat kent ook authentiseren. Of de beschrijving van World Economic Forum dat onderscheidt maakt naar verifiëren en authentiseren
  2. Intelligentie is niet goed vertaald: Intelligence + InformatieBetekenisvolle gegevens. / begrijpen (inlichtingen) Dat begrip in de visualisatie aanpassen.
  3. Voor de begrippen zal een overzicht worden gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat vanuit de diverse bronnen.
  4. Verwijzing bij de visualisatie naar Omnitech vervangen door verwijzing naar Gartner.
Status: Afgerond, zie https://www.noraonline.nl/wiki/Identity_%26_Access_Management

ACTIE-13: De werkgroep Identiteitenbeheer (trekker Bob te Riele) gaat diverse punten aanscherpen:

  1. Het onderdeel Vraagstelling verwijderen (de antwoorden staan immers verderop die pagina).
  2. Het stuk schonen van de vraagstellingsvorm en de ik-vorm e.d.
  3. Nagaan welke afstemming nodig is met de aangegeven bestaande kaders voor digitale identiteiten.
  4. Nagaan of met linkjes kan worden verwezen naar de procedures die RvIG c.q. de overheid hanteert.
  5. Thesaurus opstellen.
  6. Overlap definities tussen de werkgroepen visualiseren
  7. Overleg met IAA om te komen tot een totaalplaatje.
  8. Samenhang op visie archetype ism IAM en toetsing definities en visie met authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. in de praktijk en eIDAS.
Status: Afgerond, zie https://www.noraonline.nl/wiki/Identiteitenbeheer

ACTIE-14: De werkgroep Authenticatie (trekker Edwin) gaat diverse punten aanscherpen:

  1. Het onderdeel Vraagstelling verwijderen (de antwoorden staan immers verderop die pagina).
  2. Het stuk schonen van de vraagstellingsvorm e.d.
  3. Nagaan welke afstemming nodig is met de aangegeven bestaande kaders voor digitale authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit..
  4. Afstemmen met de begrippen van de kaders IAM (die nog onvoldoende beschikbaar zijn).
  5. Afstemmen met de uitwerking van eIDAS (die nog onvoldoende beschikbaar is).
  6. Invullen van de Authenticatiemiddelen voor de BRP: met Identiteitenbeheer afstemmen.
  7. Openstaande vragen hernoemen naar Weetjes:
- Ambtenaren kunnen eHerkenning gebruiken (Menno Stigter heeft een oplossing gestuurd)
- eIDAS is te gebruiken in de grensregio’s
- Multichannel doet de gemeente zo: …
Status: Afgerond, zie https://www.noraonline.nl/wiki/Authenticatie_in_de_praktijk

ACTIE-15: De werkgroep eIDAS (trekker Menno Stigter) gaat diverse punten aanscherpen:

  1. De structuur van de wiki-pagina afstemmen op de opzet (document 1).
  2. Bestaande inhoud van de wiki vervangen door de nieuwe inhoud (document 2).
  3. Afstemmen met Identiteitenbeheer: welke digitale identiteiten worden gebruikt voor Buitenlanders?
  4. Afstemmen met Authenticatie: welke authenticatiemiddelen en -niveau’s worden gebruikt bij eIDAS?
Status: Afgerond, zie https://www.noraonline.nl/wiki/Impact_eIDAS_voor_Nederland .

ACTIE-16: NORANederlandse Overheid ReferentieArchitectuur Beheer / Eric Brouwer gaat het reviewproces voorbereiden.

Status: Afgerond, de review 1e deel IAM is per 7 augustus 2018 gestart.

ACTIE-18: Eric Brouwer en Frans de Kok bespreken na de bijeenkomst hoe de inbreng van Logius alsnog vergroot kan worden.

Status: Loopt.

Wordt in september vervolgd.

ACTIE-19: ICTU Beheer / Eric Brouwer organiseert capaciteit om Bevoegdhedenbeheer en Toegang verlenen uit te werken en zal een 1e opzet van een plan van aanpak maken.

Status: Afgerond, zie verslag bespreking 21 augustus 2018.


De hier niet meer genoemde acties (1,2, 4, 5, 7 t/m 11 en 16) zijn inmiddels afgerond.

Het overzicht van alle acties is ook te vinden op: Actiepunten IAM

Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen