Identificatie & Autorisatie

In 2020 heeft de IAM-expertgroep onderstaande input geleverd aan de pressurecooker van GO voor I&A - tegenwoordig GDI-Architectuur (GA)

We onderkennen de volgende functies voor I&A:

1. Identiteitenbeheer
2. Authenticatie(middelen)beheer
3. Bevoegdhedenbeheer
4. Machtigen
5. Toegangbeheer

Deze functies werken we uit op basis van enerzijds het bestaande kader van Wet- en Regelgeving en beleid en anderzijds onze visie en ideeën over de behoefte aan IAM in het jaar 2025, gezien vanuit de invalshoeken van: een burger, een ambtenaar en de samenleving c.q overheid als geheel.
Daarbij bouwen we voort op beelden die eerder zijn opgesteld: Ontwikkelingen waar IAM in de toekomst binnen moet passen

Identiteitenbeheer[bewerken]

1. Als burger van Nederland wil ik dat de overheid tenminste één digitale identiteit aan mij toekent die zodanig betrouwbaar is, dat ik daarmee over de gehele wereld, en dus ook in Nederland, digitale diensten van overheden -en zo mogelijk ook van private partijen- kan afnemen: een "digitaal paspoort", dat wereldwijd wordt geaccepteerd.
2. Daarnaast wil ik als burger dat ik zelf kan kiezen welke digitale identiteiten (lees: attributen die mijn identiteit representeren bepalen) ik inzet bij het afnemen van (digitale) diensten.
3. Als we naar 1 online, digitale identiteit bewegen en gebruiken voor SSI, dan is van belang dat deze vele malen beter beveiligd is dan nu met digitale identiteiten.
4. Mocht mijn digitale identiteit onverhoopt gestolen worden, dan verwacht ik van de overheid dat ik binnen 1 maand een geheel nieuwe betrouwbare identiteit krijg en dat de gevolgen van de gestolen identiteit worden teniet gedaan.
5. Verder vind ik het goed dat de overheid ook digitale identiteiten kan toekennen aan andere personen die met de Nederlandse overheid te maken krijgen, zoals asielaanvragers, tijdelijke werkenden uit buitenland en tijdelijke studenten uit buitenland. Dat zie ik echter als een tijdelijke oplossing, zolang die personen niet zo'n digitale identiteit hebben verkregen vanuit het land van hun nationaliteit.

Voor burgers in Nederland is het volgende geregeld voor Identiteitenbeheer

Authenticatie(middelen)beheer[bewerken]

1. Elimineren van de scheiding in authenticatiemiddelen die er nu bestaat tussen het private domein (digid, eHerkenning, eIdas, misschien ook iDin) en het publieke domein voor de medewerkers van de overheid. Alle authenticatiemiddelen die nu een BSN opleveren mogen nu niet voor werknemers gebruikt worden. Dus de kaders van de WDO doortrekken naar de werknemers.
2. En bij elk van die authenticatie-middelen zal de overheid aangeven welke mate van zekerheid dan over mijn identiteit bestaat (lees: welk niveau van authenticatie daarbij is gegarandeerd).
3. Ook wil ik bij mijn contacten met de overheid een Single-Sign-On "by default", zodat ik zo min mogelijk telkens opnieuw een authenticatie hoef uit te voeren.

Voor burgers in Nederland is het volgende geregeld voor Authenticatie(middelen)beheer

Bevoegdhedenbeheer[bewerken]

1. Als burger van Nederland wil ik dat er nationale (en liefst ook internationale) bevoegdhedenvoorzieningen beschikbaar zijn die mogen worden gebruikt door zowel publieke als private organisaties.

Voor burgers in Nederland is het volgende geregeld voor Bevoegdhedenbeheer

Machtigen[bewerken]

Punten die we meegeven:

1. Als burger van Nederland wil ik dat er nationale (en liefst ook internationale) machtigingenvoorzieningen beschikbaar zijn die mogen worden gebruikt door zowel publieke als private organisaties.
2. Efficiënt invulling voor het machtigen op een manier die aansluit bij de behoeften uit de realiteit. In real-life kan ik per activiteit/set handelingen iemand machtigen (bijvoorbeeld: “Persoon Y mag namens als advocaat optreden voor mij in Rechtszaak X” of “Persoon Y mag namens mij een omgevingsvergunning aanvragen voor alleen adres X”. Een door de overheid vertrouwde BYOID voorziening zodat ik als burger een dienst de toestemming kan geven om de attributen (zoals NAW en woonadres) daar op te halen in plaats van ze bij iedere overheidsdienst opnieuw te moeten invoeren. Daar hoort ook een mechanisme om gegevens gewaarborgd te ontvangen, denk daarbij aan bijvoorbeeld aan een door de belastingdienst afgegeven claim dat mijn jaarinkomen XXX is.
3. Machtigen zal belangrijker worden (m.n. door vergrijzing en specialisatie) en moet dus eenvoudig te regelen zijn. Zeker voor partners.

Toegangbeheer[bewerken]

1. Als burger van Nederland wil ik dat ik op digitale wijze diensten van de overheid kan afnemen (lees: toegang kan krijgen).
2. Veilige, betrouwbare en eenvoudige toegang, met oog voor de niet-digitale burger (m.n. de ouderen die niet meer digitaal vaardig zijn).
3. Mijn privacy moet daarbij worden beschermd: onbevoegden mogen niet zien voor welke diensten een authenticatie voor mij wordt uitgevoerd of welke diensten ik afneem.
4. Ook mogen alleen bevoegden toegang krijgen tot mijn gegevens. Deze bevoegdheid wordt mogelijk gemaakt o.b.v. een juiste samenstelling van attributen, zodanig dat onderhoud/beheer op autorisaties geminimaliseerd is en doelbinding gegarandeerd kan worden.

Voor burgers in Nederland is het volgende geregeld voor Toegang_verlenen

Voor de ambtenaren[bewerken]

1. Ik wil zonder veel poespas kunnen beschikken over de informatie die ik nodig heb om mijn werk te kunnen doen.
2. Ik wil dat door de IAM-experts meer overheidsbreed wordt gedacht ipv dat dat gebeurt vanuit de talloze hokjes die we nu kennen. En laten we beginnen met de Rijksoverheid.
3. Op het gebied van toegang wordt naar mijn mening te veel in termen van beveiliging en bescherming gedacht. We willen het vaak allemaal te goed doen, wellicht vanuit de angst om het fout te doen. Dat is denken in beperkingen ipv in mogelijkheden. Het gedrag en de aansturing van ambtenaren is daarom ook een belangrijk element als het gaat om IAM.
4. Maak gebruik van federatieve toegang.
5. Binnen de overheid leiden de beperkingen tav het gebruik van het BSN tot dure, suboptimale oplossingen.
6. Toegang moet eenvoudig te koppelen zijn aan een digitale identiteit van in- en externe medewerkers van de organisatie en aan interne rechten (ofwel rollen met rechten kunnen toewijzen voor specifieke systemen/ informatie)
7. Ondersteunende functies die leidinggevenden kunnen helpen om heel gericht uit te zoeken welke toegang tot systemen en informatie een medewerker echt moet hebben.
8. Audit-functionaliteit. Bijvoorbeeld om te zien wie wanneer voor het laatst in bepaalde applicaties heeft ingelogd en eventueel daarop specifiek te acteren.
9. Als ambtenaar wil ik dat alle identiteiten van de brede overheid ter beschikking wordt gesteld om samenwerking binnen 1 overheid te faciliteren (denk bijv. aan P-direct).
10. Als verantwoordelijke voor IAM binnen de overheid wil ik de totale populatie kennen wat tot ambtenaar kan worden gerekend of zij die taken van ambtenaren vervullen, anders kan ik de IAM risico’s niet beheersen.

Overige zaken voor IAM[bewerken]

1. We kunnen onderscheid maken tussen functies binnen de overheid (tussen ambtenaren) en van de overheid (tbv de burgers).
2. Ik denk dat passwordless authentication belangrijk wordt voor zowel burgers als ambtenaren.
3. Hogere eisen aan toegangsbeveiliging moeten niet automatisch leiden tot hogere drempels die tot (onveilige) workarounds leiden. (Zoals de beruchte geeltjes met wachtwoorden en het uitlenen van inloggegevens).
4. Autorisatie is onlosmakelijk verbonden met identificatie en authenticatie. Autorisatie aan de gegevenskant vergt wellicht meer dan 5 jaar om te kunnen realiseren. Het hybride kunnen omgaan met attribuutgerichte autorisatie en huidige ingerichte rolgebaseerde autorisatie in applicaties vergt ook nog de nodige inspanning om besef te laten groeien dat applicaties anders gebouwd dienen te worden.