| Omschrijving | Een voorziening die een geactiveerde polymorfe identiteit (PI) en polymorf pseudoniem (PP) vertaalt naar een versleutelde identiteit (VI) en versleuteld pseudoniem (VP). |
| Beheerorganisatie | Logius |
| URL | https://www.logius.nl/domeinen/toegang/bsnk-pp |
| Relatie met bedrijfsfuncties | [...] ondersteunt Versleutelen identiteit |
| Relatie met huidige voorzieningen | [...] levert gegevens aan eHerkenning authenticatiedienst (VI/VP@DV) [...] levert gegevens aan eHerkenning machtigingsregister (VI/VP@DV) [...] levert gegevens aan eIDAS koppelpunt (VI/VP@DV) BSNk-Sleutelbeheer levert gegevens aan [...] (BSNk sleutel) |
id-01049568026845549513722ef5e8079b
| Omschrijving | Een voorziening die een geactiveerde polymorfe identiteit (PI) en polymorf pseudoniem (PP) vertaalt naar een versleutelde identiteit (VI) en versleuteld pseudoniem (VP). |
| Beheerorganisatie | Logius |
| URL | https://www.logius.nl/domeinen/toegang/bsnk-pp |
| Relatie met bedrijfsfuncties | [...] ondersteunt Versleutelen identiteit |
| Relatie met huidige voorzieningen | [...] levert gegevens aan eHerkenning machtigingsregister (VI/VP@DV) [...] levert gegevens aan eIDAS koppelpunt (VI/VP@DV) [...] levert gegevens aan eHerkenning authenticatiedienst (VI/VP@DV) BSNk-Sleutelbeheer levert gegevens aan [...] (BSNk sleutel) |
id-01049568026845549513722ef5e8079b
| Rationale | Er kunnen meer identificatiemiddelen worden toegelaten. Met de herziene eIDAS verordening kunnen straks ook European Digital Identity Wallets worden gebruikt. Daarnaast zijn er allerlei machtigingsdiensten die van toepassing kunnen zijn. Het is inefficiënt voor dienstverleners als ieder voor zich met alle authenticatie- en machtigingsdiensten individuele afspraken en koppelingen moeten maken en beheren. De GDI is een verzameling afspraken, standaarden en voorzieningen, waarbij afspraken de voorkeur hebben boven standaarden boven voorzieningen. |
| Implicaties | 1. Er zijn overheidsbrede afspraken en standaarden (koppelvlakspecificaties) waarmee snel kan worden aangesloten op authenticatie- en machtigingsdiensten. 2. Authenticatiediensten en machtigingsdiensten conformeren zich aan de overheidsbrede afspraken en standaarden. 3. Er zijn voorzieningen die het dienstverleners eenvoudiger maken om aan te sluiten op de toegangsinfrastructuur. 4. De toegangsinfrastructuur levert een dienst waarmee voor een voorgedefinieerde set van veelvoorkomende (voor toegang relevante) attributen, relevante verklaringen bij bronregisters kunnen worden opgehaald. |
| Relatie met wetten | [...] geeft invulling aan Wet digitale overheid [...] geeft invulling aan eIDAS 2.0 |
id-05cd71c3758c4182878ba143b870582f
| Rationale | De toegangsinfrastructuur is in ontwikkeling en evolueert. Er kunnen bijvoorbeeld nieuwe identificatiemiddelen worden toegelaten. Met de herziene eIDAS verordening kunnen straks ook European Digital Identity Wallets worden gebruikt. Daarnaast zijn er allerlei machtigingsdiensten die van toepassing kunnen zijn. Het is inefficiënt voor dienstverleners als ieder voor zich met alle authenticatie- en machtigingsdiensten individuele afspraken en koppelingen moeten maken en beheren. Het is voor bronhouders inefficiënt als zij zelf alles moeten inrichten voor het verstrekken van verifieerbare verklaringen. De GDI is een verzameling afspraken, standaarden en voorzieningen, waarbij afspraken de voorkeur hebben boven standaarden boven voorzieningen. |
| Implicaties | 1. Er zijn afspraken, standaarden en voorzieningen die het partijen eenvoudiger maken om aan te sluiten op de toegangsinfrastructuur. 2. Voorzieningen worden zoveel mogelijk optioneel gemaakt, zodat partijen ook zelf kunnen besluiten om eigen inrichtingskeuzes te maken. 3. De toegangsinfrastructuur ontzorgt dienstverleners in het verkrijgen van veelvoorkomende (voor toegang relevante) attributen. 4. De toegangsinfrastructuur ontzorgt bronhouders in het verstrekken van verifieerbare verklaringen voor veelvoorkomende (voor toegang relevante) attributen. 5. De toegangsinfrastructuur hanteert voor de uitwisseling van voor toegang relevante attributen dezelfde afspraken en standaarden als de infrastructuur voor gegevensuitwisseling. |
| Relatie met wetten | [...] geeft invulling aan Wet digitale overheid [...] geeft invulling aan eIDAS 2.0 |
id-05cd71c3758c4182878ba143b870582f
| Omschrijving | Het creëren, vastleggen, beschikbaarstellen, wijzigen en (logisch) verwijderen van (gegevens over) identiteiten. |
| Relatie met bedrijfsfuncties | [...] bestaat uit Creëren identiteit [...] bestaat uit Inzage geven in digitale identiteiten [...] bestaat uit Beëindigen identiteit [...] bestaat uit Provisioning identiteiten [...] bestaat uit Wijzigen identiteitsgegevens [...] bestaat uit Koppelen attributen aan identiteit |
| Relatie met bedrijfsobjecten | [...] gebruikt Identiteit |
| Relatie met rollen | Gezaghebbende bron is toegekend aan [...] |
| Relatie met standaarden | [...] is gerelateerd aan SCIM [...] is gerelateerd aan DID |
| Relatie met veranderinitiatieven | Restgroepen ondersteunen is gerelateerd aan [...] |
id-079caeb56ec2440cad449a57741e2837
| Omschrijving | Het creëren, vastleggen, beschikbaarstellen, wijzigen en (logisch) verwijderen van (gegevens over) identiteiten. |
| Relatie met bedrijfsfuncties | [...] bestaat uit Vastleggen identiteitsgegevens [...] bestaat uit Inzage geven in identiteiten [...] bestaat uit Provisioning identiteiten [...] bestaat uit Wijzigen en beëindigen identiteit [...] bestaat uit Identificeren |
| Relatie met bedrijfsobjecten | [...] gebruikt Identiteit |
| Relatie met rollen | Gezaghebbende bron is toegekend aan [...] |
| Relatie met standaarden | [...] is gerelateerd aan SCIM [...] is gerelateerd aan DID |
| Relatie met veranderinitiatieven | Restgroepen ondersteunen is gerelateerd aan [...] |
id-079caeb56ec2440cad449a57741e2837
| Omschrijving | Het bepalen van de entiteit die behoort bij een identiteit op basis van een verzameling identiteitsgegevens. |
| Relatie met bedrijfsfuncties | Beheren identiteiten bestaat uit [...] |
id-2980fa7cd93e40608ccf46e879fea5e0
| Omschrijving | De protocollaire basisadministratie die gegevens beheert over ambassades. |
| Beheerorganisatie | Belastingdienst |
| Relatie met bedrijfsfuncties | [...] ondersteunt Inzage geven in digitale identiteiten [...] ondersteunt Beëindigen identiteit [...] ondersteunt Koppelen attributen aan identiteit [...] ondersteunt Wijzigen identiteitsgegevens [...] ondersteunt Creëren identiteit [...] ondersteunt Beheren wettelijke vertegenwoordiging [...] ondersteunt Provisioning identiteiten |
| Relatie met huidige voorzieningen | [...] levert gegevens aan eHerkenning machtigingsregister (PROBAS uittreksel) |
id-2c07431cc7424fb48ec82c197cb2aa5f
| Omschrijving | De protocollaire basisadministratie die gegevens beheert over ambassades. |
| Beheerorganisatie | Belastingdienst |
| Relatie met bedrijfsfuncties | [...] ondersteunt Inzage geven in identiteiten [...] ondersteunt Wijzigen en beëindigen identiteit [...] ondersteunt Vastleggen identiteitsgegevens [...] ondersteunt Beheren wettelijke vertegenwoordiging [...] ondersteunt Provisioning identiteiten |
| Relatie met huidige voorzieningen | [...] levert gegevens aan eHerkenning machtigingsregister (PROBAS uittreksel) |
id-2c07431cc7424fb48ec82c197cb2aa5f
| Omschrijving | Het ontsluiten van informatie over identiteiten. |
| Relatie met bedrijfsfuncties | Beheren identiteiten bestaat uit [...] |
| Relatie met huidige voorzieningen | PROBAS ondersteunt [...] Handelsregister ondersteunt [...] BRP ondersteunt [...] |
id-3ea9bbfd50ab47a1a874895944b74cca
| Omschrijving | Het ontsluiten van identiteitsgegevens. |
| Relatie met bedrijfsfuncties | Beheren identiteiten bestaat uit [...] |
| Relatie met huidige voorzieningen | PROBAS ondersteunt [...] Handelsregister ondersteunt [...] BRP ondersteunt [...] |
id-3ea9bbfd50ab47a1a874895944b74cca
| Omschrijving | Het voorkomen, detecteren, opvolgen en herstellen van fraude met identificatiemiddelen. |
| Relatie met capabilities | [...] realiseert Identiteitsfraude bestrijden |
| Relatie met bedrijfsfuncties | Auditing, monitoring en fraudebestrijding bestaat uit [...] |
| Relatie met rollen | Authenticatiedienst is toegekend aan [...] |
| Relatie met huidige voorzieningen | Webportaal ondersteunt [...] eHerkenning authenticatiedienst ondersteunt [...] DigiD ondersteunt [...] |
id-40c81c1087394f71aa0ad0c1775a97fb
| Omschrijving | Het voorkomen, detecteren, opvolgen en herstellen van fraude met identificatiemiddelen. |
| Relatie met capabilities | [...] realiseert Identiteitsfraude bestrijden |
| Relatie met bedrijfsfuncties | Auditing, monitoring en fraudebestrijding bestaat uit [...] |
| Relatie met rollen | Authenticatiedienst is toegekend aan [...] |
| Relatie met huidige voorzieningen | Webportaal ondersteunt [...] DigiD ondersteunt [...] eHerkenning authenticatiedienst ondersteunt [...] |
id-40c81c1087394f71aa0ad0c1775a97fb
| Omschrijving | Een object dat gedrag kan vertonen. |
| Relatie met bedrijfsobjecten | [...] is gerelateerd aan Identiteit (heeft) |
id-532a8fb36d024c0da03b4890db4de4d8
-Naast toegankelijkheid is ook veiligheid belangrijk. Organisaties moeten voldoende beveiligingsmaatregelen nemen om de impact van mensen met kwade bedoelingen zoveel mogelijk te beperken. Het toepassen van een zero-trust beveiligingsmodel is daarvoor een belangrijke basis. Zero-trust betekent dat er niet van wordt uitgegaan dat gebruikers, apparaten en het netwerk vertrouwd kunnen worden. Alle toegang tot resources wordt voortdurend geverifieerd en gevalideerd. Het betekent ook dat toegang wordt beperkt tot dat wat strikt noodzakelijk is voor het uitvoeren van taken (least privilege). Organisaties zullen verder specifiek aandacht moeten geven aan allerlei nieuwe cyberdreigingen en een deel van de (overheids)organisaties wordt daar door de Europese NIS2-richtlijn ook toe gedwongen. Er geldt een zorg-, melding- en registratieplicht en organisaties vallen onder toezicht. Dit betekent bijvoorbeeld dat zij expliciet een risicobeoordeling moeten uitvoeren, gebruik moeten maken van sterke authenticatie en dat ze een plicht hebben om incidenten binnen 24 uur te melden. Overheidsorganisaties hebben daarbij een bijzondere positie. We willen ze in de basis kunnen vertrouwen, maar de realiteit is dat de overheid ook uit mensen bestaat en daarmee inherent gevoelig is voor fouten en verkeerde intenties. De impact van beslissingen van de overheid op het leven van mensen kan echter heel groot zijn. Er zou daarom expliciete aandacht moeten zijn om misbruik door overheden te voorkomen. Uiteraard vraagt ook potentieel misbruik en fraude door niet-overheden expliciete aandacht. +Naast toegankelijkheid is ook veiligheid belangrijk. Organisaties moeten voldoende beveiligingsmaatregelen nemen om de impact van mensen met kwade bedoelingen zoveel mogelijk te beperken. Het toepassen van een zero-trust beveiligingsmodel is daarvoor een belangrijke basis. Zero-trust betekent dat er niet van wordt uitgegaan dat gebruikers, apparaten en het netwerk vertrouwd kunnen worden. Alle toegang tot resources wordt voortdurend geverifieerd en gevalideerd. Het betekent ook dat toegang wordt beperkt tot dat wat strikt noodzakelijk is voor het uitvoeren van taken (least privilege). Als er sprake is van een inbraak of ander ernstig incident dan moet snel kunnen worden ingegrepen, en gecompromitteerde partijen moeten snel kunnen worden ontkoppeld van de toegangsinfrastructuur. Organisaties zullen verder specifiek aandacht moeten geven aan allerlei nieuwe cyberdreigingen en een deel van de (overheids)organisaties wordt daar door de Europese NIS2-richtlijn ook toe gedwongen. Er geldt een zorg-, melding- en registratieplicht en organisaties vallen onder toezicht. Dit betekent bijvoorbeeld dat zij expliciet een risicobeoordeling moeten uitvoeren, gebruik moeten maken van sterke authenticatie en dat ze een plicht hebben om incidenten binnen 24 uur te melden. Overheidsorganisaties hebben daarbij een bijzondere positie. We willen ze in de basis kunnen vertrouwen, maar de realiteit is dat de overheid ook uit mensen bestaat en daarmee inherent gevoelig is voor fouten en verkeerde intenties. De impact van beslissingen van de overheid op het leven van mensen kan echter heel groot zijn. Er zou daarom expliciete aandacht moeten zijn om misbruik door overheden te voorkomen. Uiteraard vraagt ook potentieel misbruik en fraude door niet-overheden expliciete aandacht.
De toegangsinfrastructuur moet partijen ontzorgen met afspraken, standaarden en voorzieningen. Daarbij hebben afspraken de voorkeur boven standaarden boven voorzieningen. Daarnaast beweegt de GDI van centrale voorzieningen naar stelsels en standaarden, zoals beschreven in de meerjarenvisie. Een goed gedefinieerd en toekomstvast koppelvlak dat door allerlei partijen kan worden ondersteund, is in veel gevallen waardevoller en flexibeler dan een centrale voorziening. Deze beweging is ook zichtbaar rondom gegevensuitwisseling, waar de Europese Commissie inzet op gegevensruimtes en er in Nederland gewerkt wordt aan een federatief datastelsel. Het is bijvoorbeeld niet haalbaar om alle vormen van machtiging in één centrale voorziening vast te leggen. Het gebruik van verifieerbare verklaringen maakt het eenvoudiger om gegevens meer decentraal te administreren. De beschikbaarheid van een verifieerbare verklaring is voldoende om vertrouwen te krijgen in de validiteit, integriteit, authenticiteit en geldigheid van identiteiten, hun attributen en bevoegdheden. @@ -34,4 +34,4 @@
-Voor toegang van systemen tot andere systemen is het PKIoverheid afsprakenstelsel ingericht. Tegelijkertijd zijn er Europese afspraken en standaarden waar we als Nederland op zouden moeten aansluiten. De Federated Service Connectivity standaard, zoals ontwikkeld in de context van het Common Ground programma, biedt waardevolle mogelijkheden voor toegang zoals het kunnen machtigen van partijen voor het geautomatiseerd uitwisselen van gegevens. Er is in de Europese datastrategie ook aandacht voor gegevensruimtes, waarvoor inmiddels ook een aantal afsprakenstelsels en voorzieningen beschikbaar zijn. Deze bieden ook oplossingen voor toegang tussen systemen, waarbij datasoevereiniteit het uitgangspunt is. In de context daarvan ontstaat meer aandacht voor Policy Based Access Control, waarbij meer fijnmazig, contextueel en adaptief toegang kan worden verstrekt. Het is ook in bredere zin relevanter aan het worden, bijvoorbeeld om autorisatieregels los van applicaties te kunnen beheren. Het is ook een kernaspect van zero-trust architecturen en daarmee een maatregel om de beveiliging te verhogen.
id-57896b8c4e854e7b92ed667986aa09ee