Merge branch 'master' of https://github.com/MinBZK/gdi-toegang

model/business/id-3cd2cc8bd47a4442bb045fa63af162b2/Representation_id-9704fa59cc7b4b5e9daa53f1b32ec98d.xml

@@ -2,7 +2,7 @@
     xmlns:archimate="http://www.archimatetool.com/archimate"
     name="Inleiding"
     id="id-9704fa59cc7b4b5e9daa53f1b32ec98d"
-    documentation="<p><b>Aanleiding</b>
<p>De overheid digitaliseert en dat roept vragen op over hoe overheidsorganisaties hun processen, gegevens en systemen moeten inrichten. De Generieke Digitale Infrastructuur (GDI) ondersteunt de digitale overheid met afspraken, standaarden en voorzieningen. In de MIDO governancestructuur werken overheidsorganisaties samen aan de doorontwikkeling van de digitale overheid en de GDI. Er is een <a href ="https://pgdi.nl/ado">Architectuur Digitale Overheid 2030</a> opgesteld die op hoofdlijnen beschrijft hoe de digitale overheid zich de komende jaren zou moeten ontwikkelen. Deze architectuur wordt uitgewerkt in vier domeinarchitecturen op het gebied van interactie, toegang, gegevensuitwisseling en infrastructuur. Toegang gaat over het kunnen benaderen van diensten en informatie-objecten die beveiligd zijn. Gegevensuitwisseling is het domein dat gaat over het uitwisselen van gegevens tussen de informatiesystemen van overheidsorganisaties en met andere organisaties. Deze gegevens worden richting gebruikers ontsloten in de context van het domein interactie. Domein infrastructuur ondersteunt de andere domeinen met generieke software en hardware.</p>
<p>
<p>Toegang is onderdeel van de maatregelen die genomen moeten worden in het kader van informatiebeveiliging. Het is grotendeels synoniem met wat ook wel "identity & access management" wordt genoemd. Dit is iets dat zowel binnen organisaties als over organisatiegrenzen heen aandacht vraagt. In de context van de GDI gaat het vooral over organisatie-overstijgende toegang voor burgers en organisaties. Dit staat relatief los van hoe organisaties hun eigen medewerkers toegang verlenen, alhoewel het ook gebruikt kan worden om medewerkers van de ene overheidsorganisatie toegang te geven tot andere overheidsorganisaties. Landelijke voorzieningen zoals DigiD en eHerkenning zijn de belangrijkste onderwerpen van gesprek, maar het toegangslandschap is tevens aan het veranderen. Zo zullen er in de toekomst ook private middelen worden toegelaten om toegang te verkrijgen tot overheidsdiensten. Daarnaast worden er in het kader van de nieuwe eIDAS 2.0 verordening European Digital Identity Wallets geïntroduceerd die ook als authenticatiemiddel kunnen worden ingezet. In meer algemene zin hebben ontwikkelingen zoals Self Sovereign Identity grote impact op hoe idealiter met toegang wordt omgegaan.</p>
<p><b>Dit document</b></p>
<p>Dit document beschrijft de domeinarchitectuur voor toegang, als onderdeel van de Generieke Digitale Infrastructuur. Het is opgesteld in een interbestuurlijke werkgroep met vertegenwoordigers van verschillende overheidsorganisaties. Deze zijn ondersteund door bureau MIDO van het ministerie van BZK. Het beschrijft de ontwikkelingen en wet- en regelgeving en vertaalt deze naar een visie en kaders voor de inrichting van toegang tot overheidsorganisaties. Het document is vooral gericht op enterprise-, informatie- en security-architecten bij overheidsorganisaties. Het document is een doorontwikkeling van de eerdere domeinarchitecturen voor identificatie & authenticatie en machtigen & vertegenwoordigen maar kent een andere structuur en opzet. Zo is er voor gekozen om de architectuur zoveel mogelijk in de modelleertaal ArchiMate uit te werken en de details ervan alleen on-line beschikbaar te stellen. Dit document is daarmee een samenvatting en verwijzing naar details die on-line te vinden zijn. De architectuur wordt on-line ook doorontwikkeld en beheerd in <a href="https://github.com/minbzk/gdi-toegang">GitHub</a>, waardoor de meest actuele versie daar te vinden is. Daar zijn ook bestanden te vinden die direct kunnen worden ingelezen in het modelleertool Archi.
</p>
<p>Deze domeinarchitectuur heeft een relatie met de andere domeinarchitecturen, de Architectuur Digitale Overheid en NORA. Met name de domeinarchitectuur gegevensuitwisseling is sterk gerelateerd aan deze domeinarchitectuur, omdat het uitwisselen van gegevens in veel gevallen om toegang vraagt. Er is bewust voor gekozen om geen delen uit de domeinarchitectuur gegevensuitwisseling in te kopiëren in deze architectuur, zodat er één duidelijke bron van informatie over gegevensuitwisseling is. De consequentie hiervan is dat lezers wordt gevraagd om de <a href="https://github.com/minbzk/gdi-gegevensuitwisseling">domeinarchitectuur gegevensuitwisseling</a> ook te lezen om een volledig beeld van toegang te krijgen. Deze domeinarchitectuur is nadrukkelijk afgestemd op de <a href ="https://pgdi.nl/ado">Architectuur Digitale Overheid 2030</a> en de <a href="https://www.noraonline.nl">NORA</a>. Hierdoor kun je de domeinarchitectuur zien als een doorvertaling en concretisering van deze overkoepelende architecturen.</p>
<p>De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld.
</p>
<p><b>Relatie met andere initiatieven</b></p>
<p>Er zijn allerlei andere intiatieven die zijn gerelateerd aan toegang. Het belangrijkste programma dat er op dit moment loopt is het programma/stelsel toegang. In het kader van dit intiatief is een doelarchitectuur toegang opgesteld die met name inzicht geeft in de impact van de eerste tranche van de Wet digitale overheid. Er is afgestemd dit programma om ervoor te zorgen dat er geen conflicten en overlap ontstaat. Deze domeinarchitectuur kijkt met name breder en verder dan de doelarchitectuur toegang.</p>
<p>Andere belangrijke programma's die impact hebben op toegang zijn de programma's machtigen & vertegenwoordigen en het EDI programma. De eerste realiseert vooral nieuwe functionaliteit voor machtigen en vertegenwoordigen. Het programma EDI geeft aandacht aan de implementatie van de nieuwe eIDAS 2.0 verordening en het gebruik van European Digital Identity Wallets. Er is afgestemd met deze programma's om dat wat hierover duidelijk is in de architectuur een plek te geven.</p> ">
+    documentation="<p><b>Aanleiding</b>
<p>De overheid digitaliseert en dat roept vragen op over hoe overheidsorganisaties hun processen, gegevens en systemen moeten inrichten. De Generieke Digitale Infrastructuur (GDI) ondersteunt de digitale overheid met afspraken, standaarden en voorzieningen. In de MIDO governancestructuur werken overheidsorganisaties samen aan de doorontwikkeling van de digitale overheid en de GDI. Er is een <a href ="https://pgdi.nl/ado">Architectuur Digitale Overheid 2030</a> opgesteld die op hoofdlijnen beschrijft hoe de digitale overheid zich de komende jaren zou moeten ontwikkelen. Deze architectuur wordt uitgewerkt in vier domeinarchitecturen op het gebied van interactie, toegang, gegevensuitwisseling en infrastructuur. Toegang gaat over het kunnen benaderen van diensten en informatie-objecten die beveiligd zijn. Gegevensuitwisseling is het domein dat gaat over het uitwisselen van gegevens tussen de informatiesystemen van overheidsorganisaties en met andere organisaties. Deze gegevens worden richting gebruikers ontsloten in de context van het domein interactie. Domein infrastructuur ondersteunt de andere domeinen met generieke software en hardware.</p>
<p>
<p>Toegang is onderdeel van de maatregelen die genomen moeten worden in het kader van informatiebeveiliging. Het is grotendeels synoniem met wat ook wel "identity & access management" wordt genoemd. Dit is iets dat zowel binnen organisaties als over organisatiegrenzen heen aandacht vraagt. In de context van de GDI gaat het vooral over organisatie-overstijgende toegang voor burgers en organisaties. Dit staat relatief los van hoe organisaties hun eigen medewerkers toegang verlenen, alhoewel het ook gebruikt kan worden om medewerkers van de ene overheidsorganisatie toegang te geven tot andere overheidsorganisaties. Landelijke voorzieningen zoals DigiD en eHerkenning zijn de belangrijkste onderwerpen van gesprek, maar het toegangslandschap is tevens aan het veranderen. Zo zullen er in de toekomst ook private middelen worden toegelaten om toegang te verkrijgen tot overheidsdiensten. Daarnaast worden er in het kader van de nieuwe eIDAS 2.0 verordening European Digital Identity Wallets geïntroduceerd die ook als authenticatiemiddel kunnen worden ingezet. In meer algemene zin hebben ontwikkelingen zoals Self Sovereign Identity grote impact op hoe idealiter met toegang wordt omgegaan.</p>
<p><b>Dit document</b></p>
<p>Dit document beschrijft de domeinarchitectuur voor toegang, als onderdeel van de Generieke Digitale Infrastructuur. Het is opgesteld in een interbestuurlijke werkgroep met vertegenwoordigers van verschillende overheidsorganisaties. Deze zijn ondersteund door bureau MIDO van het ministerie van BZK. Het beschrijft de ontwikkelingen en wet- en regelgeving en vertaalt deze naar een visie en kaders voor de inrichting van toegang tot overheidsorganisaties. Het document is vooral gericht op enterprise-, informatie- en security-architecten bij overheidsorganisaties. Het document is een doorontwikkeling van de eerdere domeinarchitecturen voor identificatie & authenticatie en machtigen & vertegenwoordigen maar kent een andere structuur en opzet. Zo is er voor gekozen om de architectuur zoveel mogelijk in de modelleertaal ArchiMate uit te werken en de details ervan alleen on-line beschikbaar te stellen. Dit document is daarmee een samenvatting en verwijzing naar details die on-line te vinden zijn. De architectuur wordt on-line ook doorontwikkeld en beheerd in <a href="https://github.com/minbzk/gdi-toegang">GitHub</a>, waardoor de meest actuele versie daar te vinden is. Daar zijn ook bestanden te vinden die direct kunnen worden ingelezen in het modelleertool Archi.
</p>
<p>Deze domeinarchitectuur heeft een relatie met de andere domeinarchitecturen, de Architectuur Digitale Overheid en NORA. Met name de domeinarchitectuur gegevensuitwisseling is sterk gerelateerd aan deze domeinarchitectuur, omdat het uitwisselen van gegevens in veel gevallen om toegang vraagt. Er is bewust voor gekozen om geen delen uit de domeinarchitectuur gegevensuitwisseling in te kopiëren in deze architectuur, zodat er één duidelijke bron van informatie over gegevensuitwisseling is. De consequentie hiervan is dat lezers wordt gevraagd om de <a href="https://github.com/minbzk/gdi-gegevensuitwisseling">domeinarchitectuur gegevensuitwisseling</a> ook te lezen om een volledig beeld van toegang te krijgen. Deze domeinarchitectuur is nadrukkelijk afgestemd op de <a href ="https://pgdi.nl/ado">Architectuur Digitale Overheid 2030</a> en de <a href="https://www.noraonline.nl">NORA</a>. Hierdoor kun je de domeinarchitectuur zien als een doorvertaling en concretisering van deze overkoepelende architecturen.</p>
<p>De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld. De architectuur moet vooral worden gezien als een beschrijving van best-practices. Ze geven richting aan ontwerpkeuzes die in programma's en projecten worden gemaakt.
</p>
<p><b>Relatie met andere initiatieven</b></p>
<p>Er zijn allerlei andere intiatieven die zijn gerelateerd aan toegang. Het belangrijkste programma dat er op dit moment loopt is het programma/stelsel toegang. In het kader van dit intiatief is een doelarchitectuur toegang opgesteld die met name inzicht geeft in de impact van de eerste tranche van de Wet digitale overheid. Er is afgestemd dit programma om ervoor te zorgen dat er geen conflicten en overlap ontstaat. Deze domeinarchitectuur kijkt met name breder en verder dan de doelarchitectuur toegang.</p>
<p>Andere belangrijke programma's die impact hebben op toegang zijn de programma's machtigen & vertegenwoordigen en het EDI programma. De eerste realiseert vooral nieuwe functionaliteit voor machtigen en vertegenwoordigen. Het programma EDI geeft aandacht aan de implementatie van de nieuwe eIDAS 2.0 verordening en het gebruik van European Digital Identity Wallets. Er is afgestemd met deze programma's om dat wat hierover duidelijk is in de architectuur een plek te geven.</p> ">
   <profiles
       href="folder.xml#id-b5e689fa75694829b24cf22fd76eacee"/>
 </archimate:Representation>

model/diagrams/id-3043fb9e60f34504bda3f28a53243393/ArchimateDiagramModel_id-c535327b8e144674afbd41117a90a47e.xml

@@ -555,4 +555,64 @@
         xsi:type="archimate:WorkPackage"
         href="WorkPackage_id-fc732b8a0f0244939d9ab4216b8d065c.xml#id-fc732b8a0f0244939d9ab4216b8d065c"/>
   </children>
+  <children
+      xsi:type="archimate:DiagramModelArchimateObject"
+      id="id-96a916cc8a954b838092212380beb728">
+    <bounds
+        x="851"
+        y="578"
+        width="174"
+        height="55"/>
+    <archimateElement
+        xsi:type="archimate:Assessment"
+        href="Assessment_id-c81088e8b4eb4a3f980a8a00fca853e3.xml#id-c81088e8b4eb4a3f980a8a00fca853e3"/>
+  </children>
+  <children
+      xsi:type="archimate:DiagramModelArchimateObject"
+      id="id-bc35275648674710a5cfe12cb77eba8e">
+    <bounds
+        x="1044"
+        y="578"
+        width="174"
+        height="55"/>
+    <archimateElement
+        xsi:type="archimate:Assessment"
+        href="Assessment_id-7bc5e268a3694784b635db97849438dd.xml#id-7bc5e268a3694784b635db97849438dd"/>
+  </children>
+  <children
+      xsi:type="archimate:DiagramModelArchimateObject"
+      id="id-860ddc2925fe4a8a84fe42ac421554c7">
+    <bounds
+        x="1236"
+        y="674"
+        width="174"
+        height="55"/>
+    <archimateElement
+        xsi:type="archimate:Assessment"
+        href="Assessment_id-4e650de32bdf49b7b7c3ffc0727251bb.xml#id-4e650de32bdf49b7b7c3ffc0727251bb"/>
+  </children>
+  <children
+      xsi:type="archimate:DiagramModelArchimateObject"
+      id="id-91920eab59ee465bbac3fdd79ecb12c1">
+    <bounds
+        x="1236"
+        y="578"
+        width="174"
+        height="55"/>
+    <archimateElement
+        xsi:type="archimate:Assessment"
+        href="Assessment_id-38976dc3957b427a9f7cb363b11e8792.xml#id-38976dc3957b427a9f7cb363b11e8792"/>
+  </children>
+  <children
+      xsi:type="archimate:DiagramModelArchimateObject"
+      id="id-39b36cc44530446ca934692abb397753">
+    <bounds
+        x="1044"
+        y="674"
+        width="174"
+        height="55"/>
+    <archimateElement
+        xsi:type="archimate:Assessment"
+        href="Assessment_id-3b7e8c741963447f8e98beb5612cbaf9.xml#id-3b7e8c741963447f8e98beb5612cbaf9"/>
+  </children>
 </archimate:ArchimateDiagramModel>

model/motivation/id-4be76917b811420f9e35998fb301a3fd/Assessment_id-13b5b97506004f0b82089095a6c5dae4.xml

@@ -2,4 +2,4 @@
     xmlns:archimate="http://www.archimatetool.com/archimate"
     name="DigiD machtigen is lastig toegankelijk voor minder digitaal vaardigen"
     id="id-13b5b97506004f0b82089095a6c5dae4"
-    documentation="Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd. "/>
+    documentation="Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd. Informatiepunten Digitale Overheid (IDO’s) bij bibliotheken zijn een voorbeeld van een alternatief kanaal. Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat IDO-medewerkers maar tot op bepaalde hoogte kunnen helpen, omdat ze beperkte mogelijkheden en bevoegdheden hebben. Ze mogen geen DigiD aanvragen voor klanten omdat in de wet is bepaald dat je alleen voor jezelf een DigiD mag aanvragen, en niet voor anderen."/>

model/motivation/id-4be76917b811420f9e35998fb301a3fd/Assessment_id-38976dc3957b427a9f7cb363b11e8792.xml

@@ -0,0 +1,5 @@
+<archimate:Assessment
+    xmlns:archimate="http://www.archimatetool.com/archimate"
+    name="Geen eIDAS hoog authenticatiemiddel"
+    id="id-38976dc3957b427a9f7cb363b11e8792"
+    documentation="We kunnen op dit moment nog geen eIDAS hoog authenticatiemiddel bieden aan burgers en organisaties (m.u.v. de zorgsector, die hiervoor de UZI-pas beschikbaar heeft) en voldoen daarmee als Nederland nog niet aan de eIDAS verordening. Hierdoor is het ook niet mogelijk om met DigiD of eHerkenning middelen digitale handtekeningen te zetten die gelijkwaardig zijn aan natte handtekeningen. Hiervoor moeten commerciële middelen worden aangeschaft."/>

model/motivation/id-4be76917b811420f9e35998fb301a3fd/Assessment_id-3b7e8c741963447f8e98beb5612cbaf9.xml

@@ -0,0 +1,5 @@
+<archimate:Assessment
+    xmlns:archimate="http://www.archimatetool.com/archimate"
+    name="IT-architectuur van DigiD en eHerkenning onvoldoende"
+    id="id-3b7e8c741963447f8e98beb5612cbaf9"
+    documentation="Het rapport &quot;Digitale identiteit vraagt veel van DigiD en eHerkenning&quot; van de Algemene Rekenkamer uit 2023 stelt er geen actuele, eenduidige en volledige beschrijving is van de huidige IT-architectuur. Bij DigiD constateerden ze dat er geen samenvattend uniform vastgesteld beeld is van het IT-landschap. Er zijn verschillende visuele weergaven aangeleverd door organisaties zoals BZK, Logius en Capgemini. Deze weergaven verschilden steeds weer wat van elkaar. Voor eHerkenning werd niet duidelijk hoe componenten zich tot elkaar verhouden. De beschikbare rapportages zijn niet altijd een-op-een te matchen&#xD;&#xA;met specifieke componenten. Voor BSNk PP geldt dat de IT-architectuurplaten sinds 2018 niet meer zijn geactualiseerd. Dit brengt het volgende risico met zich mee. Het wijzigen van IT-onderdelen kan invloed hebben op aanpalende IT-onderdelen. Als niet bekend is welke dit zijn, kan dit gevolgen hebben voor de uiteindelijke IT-dienstverlening."/>

model/motivation/id-4be76917b811420f9e35998fb301a3fd/Assessment_id-4e650de32bdf49b7b7c3ffc0727251bb.xml

@@ -0,0 +1,5 @@
+<archimate:Assessment
+    xmlns:archimate="http://www.archimatetool.com/archimate"
+    name="Geen centraal onderzoek en meldpunt fraude"
+    id="id-4e650de32bdf49b7b7c3ffc0727251bb"
+    documentation="Het rapport &quot;Digitale identiteit vraagt veel van DigiD en eHerkenning&quot; van de Algemene Rekenkamer uit 2023 stelt dat er voor eHerkenning geen overkoepelende organisatie bestaat die fraudegevallen oppakt en dat er ook geen centraal fraudemeldpunt is. Het melden van en reageren op specifieke signalen en meldingen ligt decentraal: bij de organisaties zelf, bij de leverancier en/of dienstverlener. Hierdoor ontbreekt er een goed kwalitatief en kwantitatief beeld. Dit heeft als risico dat zaken langs elkaar heen lopen en fraude minder effectief wordt voorkomen dan wanneer dit beeld er wel zou zijn."/>