Naar de inhoud Naar de navigatie

Werkruimte:Visie op IAM


Dit is een werkversie, Schakel naar Visie op IAM (live versie) of vergelijk beide.

LET OP: Deze pagina heeft geen formele status.

De NORA geeft op basis van actuele inzichten diverse handvatten voor het toepassen van Identiteit en Toegang (IAM) in het ontwerp van een dienst en voor het inrichten van IAM in een (overheids)organisatie. Daarbij houden we rekening met ontwikkelingen die zich wereldwijd afspelen. Het internet houdt immers niet op bij de Nederlandse grens.

We zien het volgende voor ons:

In deze context verstaan wij onder een entiteit een natuurlijk persoon of een organisatie. Een apparaat is geen entiteit, maar kan wel een identiteit hebben die onderdeel is van het IAM-stelsel. Onder identiteit verstaan wij de verzameling van kenmerkende eigenschappen van een entiteit of apparaat.

Er is een wereldwijd stelsel van afspraken waarbij nationale paspoorten en andere formele reisdocumenten de natuurlijke personen in staat stellen zich vrij te bewegen over onze planeet. Willen we vertrouwen kunnen hebben in de identiteiten, dan zullen we ook zo’n afsprakenstelsel moeten hebben voor de reizen die we elke dag maken. Anders zullen organisaties en landen niet op voorhand vertrouwen op die identiteiten (je weet dan immers niet zeker met wie je te maken hebt) en gaan dan extra eigen identiteiten uitgeven die ze zelf wel vertrouwen. Dat is echter omslachtig en zorgt voor het risico dat de natuurlijke personen te veel identiteiten krijgen, met alle risico’s en gevolgen van dien.

Stel je dan eens voor:

  • dat geregeld zou zijn dat iedere natuurlijk persoon ten minste één identiteit heeft (het kunnen er dus ook meer zijn) die zodanig betrouwbaar is, dat die daarmee over de gehele wereld, en dus ook in Nederland, diensten van overheidsorganisaties - en zo mogelijk ook van private organisaties - kan afnemen;
  • dat geregeld zou zijn dat bij die identiteit ook één of meer identificatiemiddelen beschikbaar zijn waarmee door alle betrokken partijen kan worden geverifieerd of degene die zegt een bepaald natuurlijk persoon te zijn dat ook daadwerkelijk is;
  • dat geregeld zou zijn dat van elk van die identificatiemiddelen is vastgesteld welke mate van zekerheid dan bestaat dat die bewering juist is;
  • dat geregeld zou zijn dat er (inter)nationale autorisatie- en machtigingenvoorzieningen beschikbaar zijn die mogen worden gebruikt door zowel publieke als private organisaties;

Als dat allemaal zou zijn geregeld, dan kan elke dienstaanbieder die voor zijn dienst heeft bepaald met welke zekerheid de identiteit van de afnemer bekend moet zijn, hergebruik (laten) maken van de beschreven IAM-voorzieningen.
En indien de afnemer van de dienst aan de gestelde eisen voldoet, kan de dienst worden geleverd of afgenomen.
In de praktijk zijn we echter nog niet zo ver. Diverse obstakels zullen nog te overwinnen zijn voordat bovenstaande beeld werkelijkheid wordt. Zeker een stuk wet- en regelgeving, maar daarnaast ook een (wereldwijd) vertrouwensnetwerk, constructieve samenwerking van betrokken partijen en diverse technische voorzieningen.

En toch denken we al aan een stap verder ...
Wereldwijd zien we een ontwikkeling waarbij gegevens niet meer worden gekopieerd van de ene plek (lees: registratie of database) naar de andere plek, maar waar op basis van het stellen van vragen ("Is deze natuurlijk persoon ouder dan 18 jaar?") een antwoord wordt gegeven (ja, nee) waarmee een dienstverlener kan besluiten om een dienst wel of juist niet te leveren. We zien daarbij een stelsel ontstaan van zogenaamde Attribute Service Providers, waar alle gegevens- en informatie-uitwisseling voor de dienstverlening mee kan worden geregeld.
Het lijkt mogelijk dat de attributen die relevant zijn voor Identiteit en Toegang (IAM) straks onderdeel worden van dat stelsel.

Een paar voorbeelden van initiatieven die gebaseerd zijn op deze visie zijn:

Noot: Het streefbeeld dat we hierboven hebben neergezet lijkt voor sommigen een koele analytische vaststelling, waarbij mogelijk te lichtzinnig over maatschappelijke en morele zaken wordt heengestapt. Zo zijn geen voorbeelden opgenomen van wat mis kan gaan e.d. Denk bijvoorbeeld aan identiteitsfraude, tweedeling in de samenleving door het wel of niet hebben van een formele registratie van een Nederlandse identiteit, of (politieke) misbruik van het systeem van de overheid.
Het is niet de intentie om een koele analytische vaststelling weer te geven, maar juist een pragmatisch beeld wat wij als natuurlijke personen zouden kunnen wensen. Ethiek en risico's zijn daarbij aspecten die altijd belichting nodig hebben.

Momenteel hebben we nog beperkt zicht op welke streefbeelden bestaan bij de overheidsorganisaties. Daarnaast is er vrijwel geen zicht op het groeipad dat die overheidsorganisatie willen volgen om hun streefbeeld te realiseren en ook niet welke kaders en voorzieningen zij daarbij hanteren.
Het verkrijgen van zicht op de benodigde eisen, normen, richtlijnen of producten is daarom onderdeel van deze ontwikkeling in de NORA. Gelukkig zien we al enige beweging op dit vlak. Vanuit de GDI-Architectuur (GA) is medio 2020 een aantal Pressure Cooker-sessies gehouden, waarbij visies zijn opgesteld voor Generieke Functies als Interactie, Gegevensuitwisseling, Infrastructuur en (onderdelen van) IAM. De uitwerking van de Generieke Functies van GA zijn beschikbaar via deze visualisatie.

Daarnaast is door dit initiatief met werkgroepen voor de GDI-Architectuur ook een verbinding gelegd met de expertgroep IAM van de NORA. Vanuit de NORA is toen een overzicht opgesteld met relaties en mogelijke verbeteringen die worden gezien door de toepassing van de GDI-Architectuur, zie Identificatie & Autorisatie.

Een bepaald voorkomen van iets.

Naar de pagina met de definitie van ‘versie’

De representatie van een toekomstige werkelijkheid.

Naar de pagina met de definitie van ‘ontwerp’

Een ondersteunde voorziening.

Naar de pagina met de definitie van ‘dienst’

Een systeem waarbinnen organisaties via afspraken, standaarden en/of voorzieningen samenwerken om bepaalde functionaliteit te realiseren.

Naar de pagina met de definitie van ‘stelsel’

Een entiteit die iets afneemt van een andere entiteit.

Naar de pagina met de definitie van ‘afnemer’

Een vastgelegde waarneming of bewering over een eigenschap van een object.

Naar de pagina met de definitie van ‘gegeven’

Een organisatie die een dienst levert aan een organisatie of een natuurlijke persoon.

Naar de pagina met de definitie van ‘dienstverlener’

De betekenis die mensen geven aan gegevens in een context.

Naar de pagina met de definitie van ‘informatie’

Een korte verklaring over een gewenste toekomst waar de organisatie een bijdrage aan wenst te leveren.

Naar de pagina met de definitie van ‘visie’

Een samenhangend en geïntegreerd geheel van componenten die elkaar wederzijds beïnvloeden.

Naar de pagina met de definitie van ‘systeem’

Een samenhangend en geïntegreerd geheel van componenten die elkaar wederzijds beïnvloeden.

Naar de pagina met de definitie van ‘systeem’

Een ondersteunde voorziening.

Naar de pagina met de definitie van ‘dienst’
Overgenomen van "https://www.noraonline.nl/index.php?title=Werkruimte:Visie_op_IAM&oldid=91971"