NORA Gebruikersraad/2017-06-20

Uit NORA Online
< NORA Gebruikersraad
Naar navigatie springen Naar zoeken springen
Dit verslag is nog niet volledig en wat al af is staat onder voorbehoud online. Verslagen van de NORA Gebruikersraad worden in concept gepubliceerd en pas officieel vastgesteld door de Gebruikersraad in de volgende vergadering. Tot die tijd kunnen fouten hersteld worden. Zie je een fout, stel dan zelf een correctie voor (zie evt. Help/Bewerken) of mail even naar nora@ictu.nl


Bijeenkomst van NORA Gebruikersraad op dinsdag 20 juni 2017, 13.00-17.00, locatie: ICTU, Wilhelmina van Pruisenweg 104, 2595 AN DEN HAAG. .

Welkomstwoord[bewerken]

Door Wiepke Maljers, Directeur Advies / plaatsvervangend Algemeen Directeur ICTU. Introductie van ICTU en ICTU's bijdrage aan digitalisering van de overheid. Wiepke vertelt dat ICTU ca 400 medewerkers telt, waarvan zo'n 270 externen. Architecten worden bij voorkeur als vaste medewerkers in dienst genomen, of waar toch extra capaciteit nodig is gekoppeld aan een interne buddy. Die keuze past bij het doel van ICTU: een betere digitale overheid waarin samenwerking en digitale dienstverlening mogelijk is over de grenzen van organisaties, overheidslagen en landen heen. De 13 architecten van ICTU zorgen dat die interoperabiliteit van het geheel niet uit het oog verloren wordt in opdrachten die ICTU uitvoert voor individuele overheidsopdrachtgevers.

De bandbreedte van die opdrachten is erg groot, waardoor het een uitdaging is de kwaliteit te borgen. De externe normen die beschikbaar zijn op de verschillende vakgebieden zetten ze in om het professionele gesprek aan te gaan: wanneer kunnen we zeggen dat we deze opdracht goed doen? NORA vormt zo'n kader van externe normen, en de NORA Gebruikersraad is een plek waar je dat professionele gesprek bij uitstek kunt aangaan.

Opening en mededelingen (13.45 – 14.00 uur)[bewerken]

Door Saco Bekius (voorzitter). Mededelingen en gevraagde besluiten:

  • Er zijn, in reactie op de inventarisatie van het netwerk van de Gebruikersraad, behoorlijk wat nieuwe gezichten aanwezig, dus we beginnen met een voorstelrondje.
  • Paul de Frankrijker is voor het laatst aanwezig als vertegenwoordiger van de WILMA in de Gebruikersraad.
  • De bijeenkomst van het Overheid Mobiele apps Overleg van donderdag 22 juni gaat helaas niet door, een nieuwe datum wordt op korte termijn bekend gemaakt. Wie nog wil aansluiten bij OMO kan zich aanmelden via omo@ictu.nl.
  • De agenda van vandaag wordt aangepast: de presentatie over het Agile ontwerpen van software onder architectuur vanuit ICTU vervalt helaas. De ruimte die daarmee vrijkomt wordt opgevuld met een presentatie over de resultaten die NORA het (bijna) afgelopen halfjaar heeft weten te realiseren. Deze presentatie zal ook ter beschikking gesteld worden van de Regieraad.
  • De vergadering stelt het verslag van de vorige bijeenkomst vast zonder wijzigingen.
  • Openstaande actiepunten: Het Actiepunt op naam van Eric Brouwer en Peter Leijnse (het specificeren van de behoefte van Logius aan architectuur over de bouwstenen) is inmiddels uitgevoerd. Het resultaat moet in een volgende Gebruikersraad of Kennissessie aan de orde komen (in Backlog agendaonderwerpen Gebruikersraad en Familie geplaatst). Het actiepunt op naam van GEMMA en NORA Beheer over gegevensmanagement wordt verder uitgewerkt in een (serie van) Kennissessie(s). Het doel hiervan is om met geïnteresseerden uit de diverse domeinen te kijken welke kennis uit het GEMMA Katern generiek gemaakt kan worden en of er nog witte vlekken zijn. Ook dit onderwerp is in de backlog geplaatst.
  • De lijst met contactgegevens voor de NORA Gebruikersraad wordt op het moment geschoond: alle leden kunnen een mail verwachten met de gegevens zoals die bij ons bekend staan en de vraag of deze nog kloppen. Deze mail is afkomstig van nora@ictu.nl en ondertekend door Anuskha (projectsecretariaat ICTU).

Acties vorige keer (Dominique Wijn): Regieraad Interconnectiviteit[bewerken]

Er ligt een stuk voor de Regieraad Interconnectiviteit op basis van de prioriteiten die we in de vorige Gebruikersraad hebben vastgesteld n.a.v. hun verzoek om focus. Saco en Dominique zullen dit op 27 juni in de Regieraad presenteren, waarbij ze de laatste opmerkingen van de Gebruikersraad mee zullen nemen. Dit heeft uiteindelijk geresulteerd in dit vergaderstuk (PDF, 212 kB) met financiële bijlage (PDF, 19 kB).

Opmerkingen over het concept:

  • Zoek bij het focuspunt identiteit contact met de architecten die hier al naar kijken voor bijvoorbeeld de stuurgroep EID. Zo voorkom je dat je langs elkaar heen werkt of dubbel werk levert. De bestaande governance kijkt per bouwsteen, maar niet naar het grote geheel, dus daar ligt de meerwaarde van NORA.
  • Bekijk de zaken vooral bottom-up vanuit de impact die gebruik in de domeinen gaat hebben, juist ook door de combinatie met andere bestaande bouwstenen. Hoe zie je dat werken in een breed spectrum aan aanwezigen? Procesmatig kun je leren van de ervaringen in de Onderwijssector: bepaal de impact eerst in je eigen organisatie, bespreek dan per domein wat generiek is (lager onderwijs, middelbaar, hoger), leg dat in de sector neer (Onderwijs) en als het daar ook generiek is moet het op NORA-niveau worden ingebracht.
  • Het plan zoals dat is rondgestuurd kan/moet nog wel concreter kunnen: wat gaan we opleveren? Daar wordt nog hard aan gewerkt deze week.

Andere werkwijze vergaderingen / relatie met dochters[bewerken]

Het advies (PDF, 594 kB) is af en wordt ingediend bij de opdrachtgever bij Binnenlandse Zaken. Opmerkingen: Dit is een goede benadering, vanuit de SVB willen we ook liever werken met verschillende vertegenwoordigers die afhankelijk van het onderwerp meedraaien, dan met een vaste vertegenwoordiger ongeacht het onderwerp. Het zou fijn zijn om scherper te hebben over welke lijn wat besloten wordt en wie er dus mee beslist. Voorlopig is er echter nog veel onzekerheid (ook over de Regieraden), dus laten we het komende half jaar gebruiken om het gewoon volgens het voorstel te proberen. Daarna kunnen we dan evalueren en aanscherpen waar dat nodig is, in de context van een nieuw kabinetsbeleid.

Berichtenbox: voorstel Manifestgroep[bewerken]

Martijn Hiensch (UWV) presenteert (PDF, 416 kB) het voorstel (PDF, 395 kB) dat de Architectuurraad van de Manifestgroep heeft uitgebracht voor een verbeterde versie van de Berichtenbox.

De Manifestgroep is een groep grote uitvoerders die elkaar weten te vinden, geen formeel bestuursorgaan. In het verleden stond de Manifestgroep aan de wieg van DigiD en ze spelen een belangrijke rol in de governance van Logius. Met de overgang van de Berichtenbox naar Logius en de geplande migratie naar een nieuwe omgeving met hogere capaciteit (project Globe), kreeg de Architectuurraad het verzoek te verkennen hoe de Berichtenbox verbeterd kon worden. De kernvraag hierbij was of er geen beter alternatief is dan het effectief digitaliseren van de analoge post, zoals een federatief stelsel.

Het voorstel is een federatief stelsel van meerdere berichtenboxen naast elkaar, die toch als één geheel functioneren. In feite zou je zo bij elk portaal terug kunnen zien of er nog berichten voor je zijn, ook van andere overheden. Wil je die berichten lezen dan word je doorgeleid naar het relevante portaal. Berichten zelf nemen af in belang, notificaties worden steeds belangrijker. Bij het portaal waar je kunt zien welke pensioenpotjes je hebt werken ze al op een dergelijke manier: bij inloggen checkt de techniek bij alle pensioenfondsen of ze iets te melden hebben over jou.

Opmerkingen bij de sheets:

  • Een van de knelpunten die ontstaat door de beperkte capaciteit is dat op piekmomenten voor grote aanbieders als de Belastingdienst andere aanbieders nauwelijks berichten kunnen aanbieden: er moet telkens gepland worden hoeveel post er tegelijk gestuurd kan worden.
  • De trend is dat meer aanbieders ook een eigen portaal hebben, waardoor berichten ofwel dubbel moeten worden verstuurd en bewaard, of de burger in twee portalen in moet loggen.
  • Waarom staat het feit dat het eenrichtingsverkeer is, waarbij de burger niet kan reageren, niet tussen de knelpunten? Omdat dit niet per se een knelpunt is vanuit de aanbieder: ze hebben liever dat de burger de geeigende kanalen gebruikt om te reageren. Directe replies zouden veel extra werk opleveren. Het is wel een behoefte van de klant, dus je zou het wel mee moeten nemen in het dienstverleningsconcept, desnoods als optie die je ook uit kunt zetten als zender.
  • Blijft Globe op termijn bestaan? In principe wel, organisaties die geen eigen portal hebben of willen kunnen daar gebruik van blijven maken.
  • Is het BIT geraadpleegd, of gaan jullie dat doen? Pas als er een realistische kans is dat er echt iets gemaakt gaat worden, dit was pas een eerste verkenning. Het is sowieso de vraag of je dit als een groot systeem wilt zien, of het juist klein houdt als losse elementen. Vanuit het BIT wordt echter aangegeven juist zo snel mogelijk te raadplegen, ruim voor de realisatiefase.
  • Worden de nadelen ook bekeken, bijvoorbeeld wat betreft beveiliging en privacy? In feite verandert er op dat gebied niet zo veel. Aan de achterkant is alleen de schakelingscomponent nieuw. Aan de voorkant zijn de notificaties wellicht minder beveiligd, maar het bericht zelf zit achter de inlog van het portaal: de informatiebeveiliging van deze portalen is ook nu al belangrijk. Misschien wordt het er zelfs wel veiliger op.

GDI: authenticatie[bewerken]

Vincent van de Laar (ICTU) geeft een presentatie (PDF, 412 kB) over de ontwikkelingen in eID, eIDAS en Idensys. In de internetconsultatie die net geweest is zijn een hoop reacties binnengekomen, wat daar precies mee gaat gebeuren is nog niet duidelijk. Deze presentatie richt zich daarom op de geschiedenis en de basis van digitale identificatie en authenticatie in Nederland: wat was de bedoeling, wat gebeurt er al en welke ontwikkelingen spelen een rol voor de toekomst.

De term eID is in feite onjuist: het is geen identiteit, maar een identiteitsbewijs of een 'digitale sleutelbos.' Het programma eID wilde oorspronkelijk een oplossing bieden die de wildgroei aan digitale sleutelbossen door één gebruiksvriendelijk eID zou vervangen. De scope bestond eerst uit alle Nederlandse sleutelbossen, zowel privaat en publiek, maar al snel werd die verkleind tot alleen de publieke: je moet er mee gebruik kunnen maken van de Nederlandse digitale overheidsdiensten. Tegelijk zijn echter ook op Europees niveau afspraken gemaakt, waar elke Nederlandse oplossing mee te maken zal krijgen.

Tip:

RVO Nederland en het Forum Standaardisatie hebben een tool gemaakt om te bepalen welk betrouwbaarheidsniveau je nodig hebt voor je dienst. Het forum heeft ook een

themapagina authenticatie

In het EU-programma STORK zijn een aantal betrouwbaarheidsniveau's vastgesteld voor authenticatiemiddelen. De mate van betrouwbaarheid is niet alleen afhankelijk van de werking van het middel zelf, maar vooral ook van de procedure die gevolgd wordt om er een te krijgen: hoe zeker weet degene die het middel verstrekt dat jij bent wie je zegt te zijn? De Nederlandse DigID variant met SMS-code is daarom niet niveau 3 maar niveau 2+: je krijgt je gegevens per post opgestuurd en er is geen controle mogelijk of dit daadwerkelijk jouw telefoonnummer is. Waarschijnlijk staan straks alle niveaus tot en met 2+ als 'laag betrouwbaar' bekend, hetgeen betekent dat we in Nederland geen publiek authenticatiemiddel hebben voor middel of hoog. De enige uitzondering is PKIoverheid met face-to-face afgifte, hetgeen echter voor veel toepassingen te duur is (een paar honderd euro per pas die elke drie jaar vervangen moet worden). Door de face-to-face afgifte is het ook niet realistisch voor niet-ingezetenen om een PKIoverheidsmiddel verplicht te stellen bij het inloggen bij bijvoorbeeld een pensioenportaal of een diplomaregister.

Een tweede Europese ontwikkeling is de eIDAS-verordening, die stelt dat digitale diensten die overheden beschikbaar stellen ook gebruikt moeten kunnen worden door in te loggen met goedgekeurde publieke authenticatiemiddelen uit andere lidstaten. Dit vereist van de digitale dienst dus de flexibiliteit om meerdere authenticatiemiddelen toe te staan en ook op een later moment nog middelen toe te voegen, als een nieuw middel wordt goedgekeurd. Nederland is overigens niet verplicht om zelf een ID te laten goedkeuren voor gebruik, of überhaupt een publiek middel aan te bieden. De acceptatieplicht van andere middelen zal echter vanaf september 2018 gelden.

De oplossing waar Nederland al een paar jaar op voorsorteert is het Stelsel Elektronische Toegangsdiensten, dat voortbouwt op de afspraken uit eHerkenning. Voor bedrijven blijft dit eHerkenning heten, voor burgers is de merknaam Idensys. In het stelsel wordt de daadwerkelijke authenticatie losgekoppeld van de dienst op een manier die vergelijkbaar is met de betaling via iDEAL bij diverse webshops: als gebruiker ga je naar de dienst toe en krijg je de vraag via welke aanbieder van authenticatiemiddelen je wilt inloggen. De website geleidt je automatisch door naar die aanbieder, waar je inlogt en weer terug geleid wordt naar de dienst zelf. Als aanbieder van diensten hoef je niet zelf alle authenticatiemiddelen te ondersteunen, maar sluit je een contract met een makelaar die dat voor je regelt.

Het Stelsel heeft een serie ambitieuze doelstellingen, die soms op gespannen voet met elkaar staan. Zo wil men private partijen de rol van makelaar en verstrekker van authenticatiemiddelen laten vervullen, gedrag monitoren om mogelijk misbruik te voorkomen èn tegelijk ook voorkomen dat misbruik gemaakt wordt van de persoonlijke gegevens van gebruikers. De werking van het stelsel is hetzelfde voor burgers en bedrijven maar, de betrokken partijen zijn niet identiek: er is geen verplichting om als onderneming zowel voor burgers als bedrijven authenticatiemiddelen aan te bieden, of ze als makelaar beide te accepteren. Ook kan een bedrijf besluiten op een later moment uit het stelsel te stappen, of een rol niet langer uit te voeren.

Naast deze twee publieke sleutelbossen wordt ook iDIN in Nederland ontwikkeld, een private oplossing waar de banken aan werken. IDIN heeft als voordeel ten opzichte van de publieke middelen dat bijna iedere burger reeds een bankpas en bijbehorend inlogmiddel in huis heeft. De banken hebben echter de Uniforme Set van Eisen om toe te treden tot het Stelsel afgewezen, waardoor de kans op het moment verkeken lijkt om ook met je bankpas overheidsdiensten te ontsluiten en andersom. De toekomst is echter onzeker: de consultatie over de wet GDI is net geweest en het is nog onduidelijk wat er met de forse kritiek die is geleverd gaat gebeuren. De extra kosten om zelf een publiek middel te ontwikkelen en uit te rollen onder alle burgers zal zeker invloed hebben op de koers, dus misschien dat iDIN op een later moment weer in beeld komt.

Opmerking uit de zaal: je zou moeten proberen de architectuurkant en de politieke kant te scheiden, zodat de juiste mensen zich bezig houden met de juiste dingen. Is dat echter wel mogelijk als je het in een wet hebt over authenticatie? Bovendien zijn er naast de wet GDI zelf ook nog talloze onderliggende regelgeving die impact hebben op de opties die je als architect straks hebt.

Een belangrijk kenmerk van de keuzes tot nu toe is dat de authenticatie niet rechtstreeks tussen gebruiker en dienstaanbieder gaat, maar is belegd bij een derde partij. Het is bovendien bijzonder belangrijk dat die derde partij goed en betrouwbaar is, waar de accreditatie-eisen voor bedoeld zijn.

Actiepunt 2017-06/1: NORA Beheer: Organiseert een of meerdere kennissessies over eID, binnen de context van het Focuspunt Authenticatie en Identificatie.​​[1]

ICTU Architectuur-advies obv NORA / NORA reviews[bewerken]

Architecten van ICTU worden ook ingeschakeld door overheidsorganisaties voor extern advies op basis van een opdracht. Paul van Raaij (ICTU) licht toe welke type opdrachten dat zijn en hoe daarin NORA een rol speelt, met name in “NORA Reviews”.

De visualisaties die Paul in zijn presentatie liet zien zijn gemaakt met de open source tool Blender en gebaseerd op de iDEA methode zoals die ook op de pagina Visualisatie te zien is. ICTU is de visualisatie van de GDI verder aan het doorontwikkelen, een concept van dit 3d model van idEA staat al in de NORA-wiki.

Resultaten NORA in 2017 tot nu toe[bewerken]

Op verzoek van de voorzitter geeft Eric Brouwer (NORA Beheer) een presentatie (PDF, 879 kB) van de acties die NORA Beheer het eerste halfjaar van 2017 heeft opgeleverd. Deze presentatie zal ook voor de Regieraad gegeven en beschikbaar gesteld worden (vergadering 27 juni), dus als er wijzigingen nodig zijn neem dan direct even contact op met Eric via nora@ictunl).

Actiepunten[bewerken]

  1. Actiepunt 2017-06/1: NORA Beheer: Organiseert een of meerdere kennissessies over eID, binnen de context van het Focuspunt Authenticatie en Identificatie.​​