Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Beheerorganisatie
RvIG
Relatie met huidige voorzieningen
[...] levert gegevens aan BRP (persoon) eIDAS koppelpunt levert gegevens aan [...] (persoon)
id-0298e208c5304d6cb188fa4ae8c25a1d
\ No newline at end of file
+Huidige voorzieningen > BRP koppelpunt
Huidige voorzieningen > BRP koppelpunt
Omschrijving
Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Beheerorganisatie
RvIG
Relatie met huidige voorzieningen
[...] levert gegevens aan BRP (persoon) eIDAS koppelpunt levert gegevens aan [...] (persoon)
id-0298e208c5304d6cb188fa4ae8c25a1d
\ No newline at end of file
diff --git a/docs/content/elements/id-02e2306f876145499ae002ebe38d89eb.html b/docs/content/elements/id-02e2306f876145499ae002ebe38d89eb.html
index e0f68aa7..d0dcf9fd 100644
--- a/docs/content/elements/id-02e2306f876145499ae002ebe38d89eb.html
+++ b/docs/content/elements/id-02e2306f876145499ae002ebe38d89eb.html
@@ -1 +1 @@
-Standaarden > ASN.1
Standaarden > ASN.1
Omschrijving
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
\ No newline at end of file
diff --git a/docs/content/elements/id-05cd71c3758c4182878ba143b870582f.html b/docs/content/elements/id-05cd71c3758c4182878ba143b870582f.html
index 6c36bea7..a16c2eab 100644
--- a/docs/content/elements/id-05cd71c3758c4182878ba143b870582f.html
+++ b/docs/content/elements/id-05cd71c3758c4182878ba143b870582f.html
@@ -1 +1 @@
-Principes > 4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Principes > 4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Rationale
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
Implicaties
1. Vertrouwende partijen hebben één generiek koppelvlak waarmee zij kunnen aansluiten op de toegangsinfrastructuur, naast de mogelijkheid om ook direct verbinding te leggen met specifieke voorzieningen voor partijen die daar behoefte aan hebben. 2. De toegangsinfrastructuur biedt achter het generieke koppelvlak ondersteuning voor meerdere authenticatiemiddelen en ontsluiting van alle landelijke machtingsregisters. 3. De toegangsinfrastructuur kan voor een voorgedefinieerde set van attributen relevante verklaringen bij bronregisters ophalen en meeleveren met de identiteitsverklaring naar vertrouwende partijen (al dan niet via een wallet). 4. De toegangsinfrastructuur ondersteunt toegang via alle relevante kanalen, inclusief geautomatiseerde toegang tot systemen (API’s). 5. Vertrouwende partijen worden niet gedwongen commerciële diensten af te nemen om meerdere authenticatiemiddelen en machtigingsregisters te ondersteunen.
\ No newline at end of file
+Principes > 4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Principes > 4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Rationale
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
Implicaties
1. Vertrouwende partijen hebben één generiek koppelvlak waarmee zij kunnen aansluiten op de toegangsinfrastructuur, naast de mogelijkheid om ook direct verbinding te leggen met specifieke voorzieningen voor partijen die daar behoefte aan hebben. 2. De toegangsinfrastructuur biedt achter het generieke koppelvlak ondersteuning voor meerdere authenticatiemiddelen en ontsluiting van alle landelijke machtingsregisters. 3. De toegangsinfrastructuur kan voor een voorgedefinieerde set van attributen relevante verklaringen bij bronregisters ophalen en meeleveren met de identiteitsverklaring naar vertrouwende partijen (al dan niet via een wallet). 4. De toegangsinfrastructuur ondersteunt toegang via alle relevante kanalen, inclusief geautomatiseerde toegang tot systemen (API’s). 5. Vertrouwende partijen worden niet gedwongen commerciële diensten af te nemen om meerdere authenticatiemiddelen en machtigingsregisters te ondersteunen.
\ No newline at end of file
diff --git a/docs/content/elements/id-070db4444e01499680cd7ce1a1669ccf.html b/docs/content/elements/id-070db4444e01499680cd7ce1a1669ccf.html
index 627474bd..2ceacada 100644
--- a/docs/content/elements/id-070db4444e01499680cd7ce1a1669ccf.html
+++ b/docs/content/elements/id-070db4444e01499680cd7ce1a1669ccf.html
@@ -1 +1 @@
-Gewenste voorzieningen > Centrale misbruikbestrijdiging
Gewenste voorzieningen > Centrale misbruikbestrijdiging
Omschrijving
Er is sprake van centrale misbruikbestrijding. Het doel is het bestrijden van ‘grootschalig’ misbruik met identificatiemiddelen. Centrale misbruikbestrijding is niet voor bestrijding van misbruik met individuele identificatiemiddelen. Centrale misbruikbestrijding is om misbruik aan te pakken die decentraal niet aangepakt kan worden. Hiervoor is het nodig om stelselbrede monitoring in te richten, omdat elke partij (gebruiker, dienstverlener, deelnemer, centrale team) een deel van de informatie heeft. Niemand weet alles.
\ No newline at end of file
+Gewenste voorzieningen > Centrale misbruikbestrijdiging
Gewenste voorzieningen > Centrale misbruikbestrijdiging
Omschrijving
Er is sprake van centrale misbruikbestrijding. Het doel is het bestrijden van ‘grootschalig’ misbruik met identificatiemiddelen. Centrale misbruikbestrijding is niet voor bestrijding van misbruik met individuele identificatiemiddelen. Centrale misbruikbestrijding is om misbruik aan te pakken die decentraal niet aangepakt kan worden. Hiervoor is het nodig om stelselbrede monitoring in te richten, omdat elke partij (gebruiker, dienstverlener, deelnemer, centrale team) een deel van de informatie heeft. Niemand weet alles.
\ No newline at end of file
diff --git a/docs/content/elements/id-0cde635010214166bfaa256db9f58bfe.html b/docs/content/elements/id-0cde635010214166bfaa256db9f58bfe.html
index 74bb91b9..45181ea7 100644
--- a/docs/content/elements/id-0cde635010214166bfaa256db9f58bfe.html
+++ b/docs/content/elements/id-0cde635010214166bfaa256db9f58bfe.html
@@ -1 +1 @@
-Veranderinitiatieven > Machtigen aan de balie
Veranderinitiatieven > Machtigen aan de balie
Omschrijving
Het is gewenst om het mogelijk te maken dat mensen aan de balie een machtiging kunnen aanmaken.
\ No newline at end of file
diff --git a/docs/content/elements/id-0e6a68545b2d470d841b82aa5e05d4a5.html b/docs/content/elements/id-0e6a68545b2d470d841b82aa5e05d4a5.html
index a652ad35..ce71701b 100644
--- a/docs/content/elements/id-0e6a68545b2d470d841b82aa5e05d4a5.html
+++ b/docs/content/elements/id-0e6a68545b2d470d841b82aa5e05d4a5.html
@@ -1 +1 @@
-Bedrijfsobjecten > Autorisatiebeslissing
\ No newline at end of file
diff --git a/docs/content/elements/id-1064b8991eb64f4e8adc8f35fc1396ea.html b/docs/content/elements/id-1064b8991eb64f4e8adc8f35fc1396ea.html
index 06e67887..b23b777d 100644
--- a/docs/content/elements/id-1064b8991eb64f4e8adc8f35fc1396ea.html
+++ b/docs/content/elements/id-1064b8991eb64f4e8adc8f35fc1396ea.html
@@ -1 +1 @@
-Architectuurprincipes
Architectuurprincipes
Architectuurprincipes zijn richtinggevende uitspraken die vooral uitting geven aan een streven. Ze bestaan uit een stelling die uitting geeft aan de overtuiging die eraan ten grondslag ligt, een rationale die meer informatie geeft over de drijfveren en implicaties die de consequenties beschrijven. Architectuurprincipes moeten vooral als argument worden meegenomen in het maken van keuzes, maar zijn niet per definitie doorslaggevend. Er kunnen contextueel altijd zwaarwegender argumenten zijn, waardoor het toch logischer is om van de principes af te wijken. Deze afweging moet wel expliciet worden gemaakt en vastgelegd. De architectuurprincipes zijn in de domeinarchitectuur gekoppeld aan de relevante wet- en regelgeving waar ze invulling aan geven en aan de bedrijfsfuncties die ingericht moeten zijn om ze te implementeren.
id-1064b8991eb64f4e8adc8f35fc1396ea
\ No newline at end of file
+Architectuurprincipes
Architectuurprincipes
Architectuurprincipes zijn richtinggevende uitspraken die vooral uitting geven aan een streven. Ze bestaan uit een stelling die uitting geeft aan de overtuiging die eraan ten grondslag ligt, een rationale die meer informatie geeft over de drijfveren en implicaties die de consequenties beschrijven. Architectuurprincipes moeten vooral als argument worden meegenomen in het maken van keuzes, maar zijn niet per definitie doorslaggevend. Er kunnen contextueel altijd zwaarwegender argumenten zijn, waardoor het toch logischer is om van de principes af te wijken. Deze afweging moet wel expliciet worden gemaakt en vastgelegd. De architectuurprincipes zijn in de domeinarchitectuur gekoppeld aan de relevante wet- en regelgeving waar ze invulling aan geven en aan de bedrijfsfuncties die ingericht moeten zijn om ze te implementeren.
id-1064b8991eb64f4e8adc8f35fc1396ea
\ No newline at end of file
diff --git a/docs/content/elements/id-121061d0dfc74da48a428a108e57b9d2.html b/docs/content/elements/id-121061d0dfc74da48a428a108e57b9d2.html
index 45aea58a..66efd888 100644
--- a/docs/content/elements/id-121061d0dfc74da48a428a108e57b9d2.html
+++ b/docs/content/elements/id-121061d0dfc74da48a428a108e57b9d2.html
@@ -1 +1 @@
-Bedrijfsfuncties > Vertalen van/naar europese identiteit
Bedrijfsfuncties > Vertalen van/naar europese identiteit
Omschrijving
Het vertalen van digitale identiteiten van en naar het Europese identiteiten.
\ No newline at end of file
diff --git a/docs/content/elements/id-13b5b97506004f0b82089095a6c5dae4.html b/docs/content/elements/id-13b5b97506004f0b82089095a6c5dae4.html
index 00be712d..baa29717 100644
--- a/docs/content/elements/id-13b5b97506004f0b82089095a6c5dae4.html
+++ b/docs/content/elements/id-13b5b97506004f0b82089095a6c5dae4.html
@@ -1 +1 @@
-Knelpunten > DigiD machtigen is lastig toegankelijk voor minder digitaal vaardigen
Knelpunten > DigiD machtigen is lastig toegankelijk voor minder digitaal vaardigen
Omschrijving
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd.
\ No newline at end of file
+Knelpunten > DigiD machtigen is lastig toegankelijk voor minder digitaal vaardigen
Knelpunten > DigiD machtigen is lastig toegankelijk voor minder digitaal vaardigen
Omschrijving
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd. Informatiepunten Digitale Overheid (IDO’s) bij bibliotheken zijn een voorbeeld van een alternatief kanaal. Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat IDO-medewerkers maar tot op bepaalde hoogte kunnen helpen, omdat ze beperkte mogelijkheden en bevoegdheden hebben. Ze mogen geen DigiD aanvragen voor klanten omdat in de wet is bepaald dat je alleen voor jezelf een DigiD mag aanvragen, en niet voor anderen.
\ No newline at end of file
diff --git a/docs/content/elements/id-145f9d6a34d947bda142eefaaf08c5ed.html b/docs/content/elements/id-145f9d6a34d947bda142eefaaf08c5ed.html
index 43a56656..87f3a106 100644
--- a/docs/content/elements/id-145f9d6a34d947bda142eefaaf08c5ed.html
+++ b/docs/content/elements/id-145f9d6a34d947bda142eefaaf08c5ed.html
@@ -1 +1 @@
-Bedrijfsobjecten > Horizontale machtiging
Bedrijfsobjecten > Horizontale machtiging
Omschrijving
Een machtiging waarbij er een vertegenwoordiging is van een persoon door een ander persoon zonder hiërarchische verhouding. (bron: GDI-architectuur M&V)
\ No newline at end of file
+Bedrijfsobjecten > Horizontale machtiging
Bedrijfsobjecten > Horizontale machtiging
Omschrijving
Een machtiging waarbij er een vertegenwoordiging is van een persoon door een ander persoon zonder hiërarchische verhouding. (bron: GDI-architectuur M&V)
\ No newline at end of file
diff --git a/docs/content/elements/id-17927bda4f344c499bfe987a64ee99b4.html b/docs/content/elements/id-17927bda4f344c499bfe987a64ee99b4.html
index 0d369183..3c94c1ab 100644
--- a/docs/content/elements/id-17927bda4f344c499bfe987a64ee99b4.html
+++ b/docs/content/elements/id-17927bda4f344c499bfe987a64ee99b4.html
@@ -1 +1 @@
-Standaarden > SAML
Standaarden > SAML
Omschrijving
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SAML moet worden toegepast op de uitwisseling van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten.
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SAML moet worden toegepast op de uitwisseling van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten.
\ No newline at end of file
diff --git a/docs/content/elements/id-19372d5882b8419692ad1594ab96eb7f.html b/docs/content/elements/id-19372d5882b8419692ad1594ab96eb7f.html
index 88924d5e..ecc133de 100644
--- a/docs/content/elements/id-19372d5882b8419692ad1594ab96eb7f.html
+++ b/docs/content/elements/id-19372d5882b8419692ad1594ab96eb7f.html
@@ -1 +1 @@
-Bedrijfsobjecten > Verticale machtiging
Bedrijfsobjecten > Verticale machtiging
Omschrijving
Een machtiging waarbij er een hiërarchische relatie bestaat binnen een niet-natuurlijk persoon. Een natuurlijk persoon binnen een organisatie (b.v. een accountant binnen een accountantskantoor) voert binnen die organisatie taken uit en doet zaken met andere organisaties. (bron: GDI-architectuur M&V)
\ No newline at end of file
+Bedrijfsobjecten > Verticale machtiging
Bedrijfsobjecten > Verticale machtiging
Omschrijving
Een machtiging waarbij er een hiërarchische relatie bestaat binnen een niet-natuurlijk persoon. Een natuurlijk persoon binnen een organisatie (b.v. een accountant binnen een accountantskantoor) voert binnen die organisatie taken uit en doet zaken met andere organisaties. (bron: GDI-architectuur M&V)
\ No newline at end of file
diff --git a/docs/content/elements/id-19881848ccce47c9974cf7bc005393e8.html b/docs/content/elements/id-19881848ccce47c9974cf7bc005393e8.html
index 5c1c032c..9070a58c 100644
--- a/docs/content/elements/id-19881848ccce47c9974cf7bc005393e8.html
+++ b/docs/content/elements/id-19881848ccce47c9974cf7bc005393e8.html
@@ -1 +1 @@
-Bedrijfsobjecten > Vertegenwoordigingsbevoegdheid
\ No newline at end of file
diff --git a/docs/content/elements/id-1b71cc98991f46659490e71021cc0594.html b/docs/content/elements/id-1b71cc98991f46659490e71021cc0594.html
index ae220be1..0a45bbb3 100644
--- a/docs/content/elements/id-1b71cc98991f46659490e71021cc0594.html
+++ b/docs/content/elements/id-1b71cc98991f46659490e71021cc0594.html
@@ -1 +1 @@
-Standaarden > NL GOV Assurance profile for OAuth 2.0
Standaarden > NL GOV Assurance profile for OAuth 2.0
Omschrijving
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.
\ No newline at end of file
+Standaarden > NL GOV Assurance profile for OAuth 2.0
Standaarden > NL GOV Assurance profile for OAuth 2.0
Omschrijving
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.
[...] levert gegevens aan CombiConnect (dienstverlener, dienst)
id-1c827b9387274ffe83285328a7e60046
\ No newline at end of file
diff --git a/docs/content/elements/id-1cb3ac18cb83432ebe33dacfbd3d2832.html b/docs/content/elements/id-1cb3ac18cb83432ebe33dacfbd3d2832.html
index 2da03f89..69e448cd 100644
--- a/docs/content/elements/id-1cb3ac18cb83432ebe33dacfbd3d2832.html
+++ b/docs/content/elements/id-1cb3ac18cb83432ebe33dacfbd3d2832.html
@@ -1 +1 @@
-Bedrijfsobjecten > Bevoegdheidsverklaring
Bedrijfsobjecten > Bevoegdheidsverklaring
Omschrijving
Een bewijs dat de geauthenticeerde digitale identiteit een bepaalde vertegenwoordigingsbevoegdheid heeft.
\ No newline at end of file
diff --git a/docs/content/elements/id-1d4b9092915d4da498102683f62a5d50.html b/docs/content/elements/id-1d4b9092915d4da498102683f62a5d50.html
index 990671ca..7c7e6232 100644
--- a/docs/content/elements/id-1d4b9092915d4da498102683f62a5d50.html
+++ b/docs/content/elements/id-1d4b9092915d4da498102683f62a5d50.html
@@ -1 +1 @@
-Capabilities > EDI Wallet als authenticatiemiddel
Capabilities > EDI Wallet als authenticatiemiddel
Omschrijving
Overheidsorganisaties kunnen een European Digital Identity Wallet accepteren voor het online en offline geven van toegang tot hun digitale diensten.
\ No newline at end of file
diff --git a/docs/content/elements/id-1e240322fbec495f9895c2f7cb22f552.html b/docs/content/elements/id-1e240322fbec495f9895c2f7cb22f552.html
index af0f13df..022d8cdb 100644
--- a/docs/content/elements/id-1e240322fbec495f9895c2f7cb22f552.html
+++ b/docs/content/elements/id-1e240322fbec495f9895c2f7cb22f552.html
@@ -1 +1 @@
-Bedrijfsfuncties > Inzage geven in vertegenwoordigingsbevoegdheden
Bedrijfsfuncties > Inzage geven in vertegenwoordigingsbevoegdheden
Omschrijving
Het ontsluiten van informatie over wettelijke vertegenwoordigingen, inclusief het gebruik.
\ No newline at end of file
diff --git a/docs/content/elements/id-1e41484c18bb4fdba146f33bee3f1979.html b/docs/content/elements/id-1e41484c18bb4fdba146f33bee3f1979.html
index 370132eb..2b11a960 100644
--- a/docs/content/elements/id-1e41484c18bb4fdba146f33bee3f1979.html
+++ b/docs/content/elements/id-1e41484c18bb4fdba146f33bee3f1979.html
@@ -1 +1 @@
-Bedrijfsobjecten > Wettelijke vertegenwoordiging
Bedrijfsobjecten > Wettelijke vertegenwoordiging
Omschrijving
Wettelijke of bij gerechtelijke uitspraak geregelde overdracht van rechten en plichten als gevolg van handelingsonbekwaamheid of handelingsonbevoegdheid, en worden zowel de bevoegdheden als de verantwoordelijkheden van een belanghebbende overgedragen naar de vertegenwoordiger. (bron: GDI-architectuur M&V)
\ No newline at end of file
+Bedrijfsobjecten > Wettelijke vertegenwoordiging
Bedrijfsobjecten > Wettelijke vertegenwoordiging
Omschrijving
Wettelijke of bij gerechtelijke uitspraak geregelde overdracht van rechten en plichten als gevolg van handelingsonbekwaamheid of handelingsonbevoegdheid, en worden zowel de bevoegdheden als de verantwoordelijkheden van een belanghebbende overgedragen naar de vertegenwoordiger. (bron: GDI-architectuur M&V)
\ No newline at end of file
diff --git a/docs/content/elements/id-205a788ad148484dbbf562d894a8ef1a.html b/docs/content/elements/id-205a788ad148484dbbf562d894a8ef1a.html
index 23f47def..dbc3413d 100644
--- a/docs/content/elements/id-205a788ad148484dbbf562d894a8ef1a.html
+++ b/docs/content/elements/id-205a788ad148484dbbf562d894a8ef1a.html
@@ -1 +1 @@
-Standaarden > TOTP
Standaarden > TOTP
Omschrijving
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
\ No newline at end of file
diff --git a/docs/content/elements/id-256454e9e1434b858b4214c65b1cb3ab.html b/docs/content/elements/id-256454e9e1434b858b4214c65b1cb3ab.html
index e94abcc7..8fe105f1 100644
--- a/docs/content/elements/id-256454e9e1434b858b4214c65b1cb3ab.html
+++ b/docs/content/elements/id-256454e9e1434b858b4214c65b1cb3ab.html
@@ -1 +1 @@
-Bedrijfsfuncties > Beheren bronnen en dienstverlening
Bedrijfsfuncties > Beheren bronnen en dienstverlening
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van (gegevens over) de gezaghebbende bronnen, dienstverleners, de digitale diensten die zij leveren en verklarende diensten.
\ No newline at end of file
+Bedrijfsfuncties > Beheren bronnen en dienstverlening
Bedrijfsfuncties > Beheren bronnen en dienstverlening
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van (gegevens over) de gezaghebbende bronnen, dienstverleners, de digitale diensten die zij leveren en verklarende diensten.
\ No newline at end of file
diff --git a/docs/content/elements/id-26a67ab67a2345c59d5176c597443a38.html b/docs/content/elements/id-26a67ab67a2345c59d5176c597443a38.html
index 258e2188..3d8fb6a9 100644
--- a/docs/content/elements/id-26a67ab67a2345c59d5176c597443a38.html
+++ b/docs/content/elements/id-26a67ab67a2345c59d5176c597443a38.html
@@ -1 +1 @@
-Knelpunten > Vertegenwoordigen werkt nog niet voor iedereen
Knelpunten > Vertegenwoordigen werkt nog niet voor iedereen
Omschrijving
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
\ No newline at end of file
+Knelpunten > Vertegenwoordigen werkt nog niet voor iedereen
Knelpunten > Vertegenwoordigen werkt nog niet voor iedereen
Omschrijving
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
\ No newline at end of file
diff --git a/docs/content/elements/id-276320a6bad14e10a39ac2bcfcd13178.html b/docs/content/elements/id-276320a6bad14e10a39ac2bcfcd13178.html
index 8a8b7171..030ab306 100644
--- a/docs/content/elements/id-276320a6bad14e10a39ac2bcfcd13178.html
+++ b/docs/content/elements/id-276320a6bad14e10a39ac2bcfcd13178.html
@@ -1 +1 @@
-Bedrijfsobjecten > Resource
Bedrijfsobjecten > Resource
Omschrijving
Een fysieke component of een eenheid van informatie waartoe een entiteit toegang zou kunnen krijgen.
\ No newline at end of file
diff --git a/docs/content/elements/id-2a183383b93c4065a1366d3266b50780.html b/docs/content/elements/id-2a183383b93c4065a1366d3266b50780.html
index a7f93724..d110723f 100644
--- a/docs/content/elements/id-2a183383b93c4065a1366d3266b50780.html
+++ b/docs/content/elements/id-2a183383b93c4065a1366d3266b50780.html
@@ -1,4 +1,4 @@
-Inhoudsopgave
\ No newline at end of file
diff --git a/docs/content/elements/id-2e4e3b531fa549b79b157b367825df17.html b/docs/content/elements/id-2e4e3b531fa549b79b157b367825df17.html
index 0838b38c..1f0d57d2 100644
--- a/docs/content/elements/id-2e4e3b531fa549b79b157b367825df17.html
+++ b/docs/content/elements/id-2e4e3b531fa549b79b157b367825df17.html
@@ -1 +1 @@
-Bedrijfsfuncties > Koppelen attributen aan digitale identiteit
Bedrijfsfuncties > Koppelen attributen aan digitale identiteit
Omschrijving
Het koppelen en ontkoppelen van attributen aan een digitale identiteit die bepaalde eigenschappen van deze digitale identiteit representeren.
\ No newline at end of file
diff --git a/docs/content/elements/id-3099a3491bf542f084b6b3defa72ef68.html b/docs/content/elements/id-3099a3491bf542f084b6b3defa72ef68.html
index 17657a56..c7f3d2a1 100644
--- a/docs/content/elements/id-3099a3491bf542f084b6b3defa72ef68.html
+++ b/docs/content/elements/id-3099a3491bf542f084b6b3defa72ef68.html
@@ -1 +1 @@
-Bedrijfsfuncties > Controleren autorisatie voor dienst
Bedrijfsfuncties > Controleren autorisatie voor dienst
Omschrijving
Het bepalen of een digitale identiteit geautoriseerd is voor een specifieke dienst.
\ No newline at end of file
diff --git a/docs/content/elements/id-3154a0a622914f4f9b5afc86fee4346e.html b/docs/content/elements/id-3154a0a622914f4f9b5afc86fee4346e.html
index 6731442e..fea45d10 100644
--- a/docs/content/elements/id-3154a0a622914f4f9b5afc86fee4346e.html
+++ b/docs/content/elements/id-3154a0a622914f4f9b5afc86fee4346e.html
@@ -1 +1 @@
-Knelpunten > Koppeling met meerdere authenticatiediensten
Knelpunten > Koppeling met meerdere authenticatiediensten
Omschrijving
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
\ No newline at end of file
+Knelpunten > Koppeling met meerdere authenticatiediensten
Knelpunten > Koppeling met meerdere authenticatiediensten
Omschrijving
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
\ No newline at end of file
diff --git a/docs/content/elements/id-379259c7ae384725a8f3f47867cb88a7.html b/docs/content/elements/id-379259c7ae384725a8f3f47867cb88a7.html
index 2cadfb25..3ad0b58b 100644
--- a/docs/content/elements/id-379259c7ae384725a8f3f47867cb88a7.html
+++ b/docs/content/elements/id-379259c7ae384725a8f3f47867cb88a7.html
@@ -1 +1 @@
-Standaarden > OAuth
Standaarden > OAuth
Omschrijving
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
\ No newline at end of file
diff --git a/docs/content/elements/id-381c214867254a289d1b1d06c91697b9.html b/docs/content/elements/id-381c214867254a289d1b1d06c91697b9.html
index 4f88786f..8aa377cb 100644
--- a/docs/content/elements/id-381c214867254a289d1b1d06c91697b9.html
+++ b/docs/content/elements/id-381c214867254a289d1b1d06c91697b9.html
@@ -1 +1 @@
-Beleid > Werkagenda Waardegedreven Digitaliseren
Beleid > Werkagenda Waardegedreven Digitaliseren
Omschrijving
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
\ No newline at end of file
+Beleid > Werkagenda Waardegedreven Digitaliseren
Beleid > Werkagenda Waardegedreven Digitaliseren
Omschrijving
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
\ No newline at end of file
diff --git a/docs/content/elements/id-388da3df069946eb8fcc9f6b801b1882.html b/docs/content/elements/id-388da3df069946eb8fcc9f6b801b1882.html
index 7cc28833..34ed6a48 100644
--- a/docs/content/elements/id-388da3df069946eb8fcc9f6b801b1882.html
+++ b/docs/content/elements/id-388da3df069946eb8fcc9f6b801b1882.html
@@ -1 +1 @@
-Knelpunten > Restgroepen worden niet goed ondersteund
Knelpunten > Restgroepen worden niet goed ondersteund
Omschrijving
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
\ No newline at end of file
+Knelpunten > Restgroepen worden niet goed ondersteund
Knelpunten > Restgroepen worden niet goed ondersteund
Omschrijving
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
\ No newline at end of file
diff --git a/docs/content/elements/id-38976dc3957b427a9f7cb363b11e8792.html b/docs/content/elements/id-38976dc3957b427a9f7cb363b11e8792.html
new file mode 100644
index 00000000..dfa508a4
--- /dev/null
+++ b/docs/content/elements/id-38976dc3957b427a9f7cb363b11e8792.html
@@ -0,0 +1 @@
+Knelpunten > Geen eIDAS hoog authenticatiemiddel
Knelpunten > Geen eIDAS hoog authenticatiemiddel
Omschrijving
We kunnen op dit moment nog geen eIDAS hoog authenticatiemiddel bieden aan burgers en organisaties (m.u.v. de zorgsector, die hiervoor de UZI-pas beschikbaar heeft) en voldoen daarmee als Nederland nog niet aan de eIDAS verordening. Hierdoor is het ook niet mogelijk om met DigiD of eHerkenning middelen digitale handtekeningen te zetten die gelijkwaardig zijn aan natte handtekeningen. Hiervoor moeten commerciële middelen worden aangeschaft.
id-38976dc3957b427a9f7cb363b11e8792
\ No newline at end of file
diff --git a/docs/content/elements/id-3901960cf6bc43669f04f6aa4baaf73e.html b/docs/content/elements/id-3901960cf6bc43669f04f6aa4baaf73e.html
index 0b305d55..d66398da 100644
--- a/docs/content/elements/id-3901960cf6bc43669f04f6aa4baaf73e.html
+++ b/docs/content/elements/id-3901960cf6bc43669f04f6aa4baaf73e.html
@@ -1 +1 @@
-Wet- en regelgeving
Wet- en regelgeving
De domeinarchitectuur beschrijft de belangrijkste wet- en regelgeving die van toepassing is op toegang. Dat betreft met name wet- en regelgeving vanuit Europa, inclusief de Nederlandse invulling daarvan, gegeven dat dit een belangrijke bron voor verandering is voor toegng. De wet- en regelgeving is in de architectuur doorvertaald naar capabilities die beschrijven wat overheidsorganisaties zouden moeten kunnen om deze te implementeren. Het is ook expliciet gekoppeld aan de architectuurprincipes die een belangrijke bijdrage leveren aan het implementeren van deze wet- en regelgeving.
id-3901960cf6bc43669f04f6aa4baaf73e
\ No newline at end of file
+Wet- en regelgeving
Wet- en regelgeving
De domeinarchitectuur beschrijft de belangrijkste wet- en regelgeving die van toepassing is op toegang. Dat betreft met name wet- en regelgeving vanuit Europa, inclusief de Nederlandse invulling daarvan, gegeven dat dit een belangrijke bron voor verandering is voor toegng. De wet- en regelgeving is in de architectuur doorvertaald naar capabilities die beschrijven wat overheidsorganisaties zouden moeten kunnen om deze te implementeren. Het is ook expliciet gekoppeld aan de architectuurprincipes die een belangrijke bijdrage leveren aan het implementeren van deze wet- en regelgeving.
id-3901960cf6bc43669f04f6aa4baaf73e
\ No newline at end of file
diff --git a/docs/content/elements/id-3a0dec6839e34aa99103415871ed4194.html b/docs/content/elements/id-3a0dec6839e34aa99103415871ed4194.html
index 3481628f..85355ee3 100644
--- a/docs/content/elements/id-3a0dec6839e34aa99103415871ed4194.html
+++ b/docs/content/elements/id-3a0dec6839e34aa99103415871ed4194.html
@@ -1 +1 @@
-Bedrijfsfuncties > Exporteren authenticatiemiddelen
Het in machineleesbare vorm beschikbaar stellen van gegevens over authenticatiemiddelen om authenticatie in doelsystemen te faciliteren. Denk daarbij met name aan het delen van publieke sleutels, waarmee de authenticiteit van private sleutels kan worden vastgesteld.
Het in machineleesbare vorm beschikbaar stellen van gegevens over authenticatiemiddelen om authenticatie in doelsystemen te faciliteren. Denk daarbij met name aan het delen van publieke sleutels, waarmee de authenticiteit van private sleutels kan worden vastgesteld.
\ No newline at end of file
diff --git a/docs/content/elements/id-3a8d1d87c09c4893ab51905141811cbf.html b/docs/content/elements/id-3a8d1d87c09c4893ab51905141811cbf.html
index a8e16a1c..a1ebcb01 100644
--- a/docs/content/elements/id-3a8d1d87c09c4893ab51905141811cbf.html
+++ b/docs/content/elements/id-3a8d1d87c09c4893ab51905141811cbf.html
@@ -1 +1 @@
-Ontwikkelingen > Contextuele toegangscontrole
Ontwikkelingen > Contextuele toegangscontrole
Omschrijving
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
id-3a8d1d87c09c4893ab51905141811cbf
\ No newline at end of file
+Ontwikkelingen > Contextuele toegangscontrole
Ontwikkelingen > Contextuele toegangscontrole
Omschrijving
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
id-3a8d1d87c09c4893ab51905141811cbf
\ No newline at end of file
diff --git a/docs/content/elements/id-3b7e8c741963447f8e98beb5612cbaf9.html b/docs/content/elements/id-3b7e8c741963447f8e98beb5612cbaf9.html
new file mode 100644
index 00000000..90e3358d
--- /dev/null
+++ b/docs/content/elements/id-3b7e8c741963447f8e98beb5612cbaf9.html
@@ -0,0 +1,2 @@
+Knelpunten > IT-architectuur van DigiD en eHerkenning onvoldoende
Knelpunten > IT-architectuur van DigiD en eHerkenning onvoldoende
Omschrijving
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt er geen actuele, eenduidige en volledige beschrijving is van de huidige IT-architectuur. Bij DigiD constateerden ze dat er geen samenvattend uniform vastgesteld beeld is van het IT-landschap. Er zijn verschillende visuele weergaven aangeleverd door organisaties zoals BZK, Logius en Capgemini. Deze weergaven verschilden steeds weer wat van elkaar. Voor eHerkenning werd niet duidelijk hoe componenten zich tot elkaar verhouden. De beschikbare rapportages zijn niet altijd een-op-een te matchen
+met specifieke componenten. Voor BSNk PP geldt dat de IT-architectuurplaten sinds 2018 niet meer zijn geactualiseerd. Dit brengt het volgende risico met zich mee. Het wijzigen van IT-onderdelen kan invloed hebben op aanpalende IT-onderdelen. Als niet bekend is welke dit zijn, kan dit gevolgen hebben voor de uiteindelijke IT-dienstverlening.
id-3b7e8c741963447f8e98beb5612cbaf9
\ No newline at end of file
diff --git a/docs/content/elements/id-3be2a0b7c4e74b64a89ab048535de88d.html b/docs/content/elements/id-3be2a0b7c4e74b64a89ab048535de88d.html
index 35976d5b..995a396d 100644
--- a/docs/content/elements/id-3be2a0b7c4e74b64a89ab048535de88d.html
+++ b/docs/content/elements/id-3be2a0b7c4e74b64a89ab048535de88d.html
@@ -1 +1 @@
-Bedrijfsfuncties > Versleutelen identifiers
Bedrijfsfuncties > Versleutelen identifiers
Omschrijving
Het versleutelen van de identifier en eventuele pseudoniemen van een digitale identiteit om de privacy te beschermen.
\ No newline at end of file
diff --git a/docs/content/elements/id-3bf258530a3844caa3d54966ec167808.html b/docs/content/elements/id-3bf258530a3844caa3d54966ec167808.html
index 13a5fbaa..9f7ef4c8 100644
--- a/docs/content/elements/id-3bf258530a3844caa3d54966ec167808.html
+++ b/docs/content/elements/id-3bf258530a3844caa3d54966ec167808.html
@@ -1 +1 @@
-Knelpunten > PKI-overheidscertificaten nodig voor authenticatie van systemen
Knelpunten > PKI-overheidscertificaten nodig voor authenticatie van systemen
Omschrijving
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
id-3bf258530a3844caa3d54966ec167808
\ No newline at end of file
+Knelpunten > PKI-overheidscertificaten nodig voor authenticatie van systemen
Knelpunten > PKI-overheidscertificaten nodig voor authenticatie van systemen
Omschrijving
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
id-3bf258530a3844caa3d54966ec167808
\ No newline at end of file
diff --git a/docs/content/elements/id-3c7bfb3e7cc040a789d4021a3cba1548.html b/docs/content/elements/id-3c7bfb3e7cc040a789d4021a3cba1548.html
index 63eb8faf..3869a358 100644
--- a/docs/content/elements/id-3c7bfb3e7cc040a789d4021a3cba1548.html
+++ b/docs/content/elements/id-3c7bfb3e7cc040a789d4021a3cba1548.html
@@ -1 +1 @@
-Standaarden > JWT
Standaarden > JWT
Omschrijving
JSON Web Token (JWT) is een compacte, URL-veilige manier om verklaringen uit te wisselen tussen twee partijen.
\ No newline at end of file
diff --git a/docs/content/elements/id-3d6bbaf27b0c44bf84e270f33ac5ed6a.html b/docs/content/elements/id-3d6bbaf27b0c44bf84e270f33ac5ed6a.html
index 7b354ecb..35e0b6e9 100644
--- a/docs/content/elements/id-3d6bbaf27b0c44bf84e270f33ac5ed6a.html
+++ b/docs/content/elements/id-3d6bbaf27b0c44bf84e270f33ac5ed6a.html
@@ -1 +1 @@
-Wetten > eIDAS
Wetten > eIDAS
Omschrijving
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
\ No newline at end of file
diff --git a/docs/content/elements/id-3ea9bbfd50ab47a1a874895944b74cca.html b/docs/content/elements/id-3ea9bbfd50ab47a1a874895944b74cca.html
index 255d8cf2..8403fa33 100644
--- a/docs/content/elements/id-3ea9bbfd50ab47a1a874895944b74cca.html
+++ b/docs/content/elements/id-3ea9bbfd50ab47a1a874895944b74cca.html
@@ -1 +1 @@
-Bedrijfsfuncties > Inzage geven in digitale identiteiten
Bedrijfsfuncties > Inzage geven in digitale identiteiten
Omschrijving
Het ontsluiten van informatie over digitale identiteiten.
\ No newline at end of file
diff --git a/docs/content/elements/id-4145089decc343f1b8a35540703eb738.html b/docs/content/elements/id-4145089decc343f1b8a35540703eb738.html
index 5e7b5f50..fdd8bcfc 100644
--- a/docs/content/elements/id-4145089decc343f1b8a35540703eb738.html
+++ b/docs/content/elements/id-4145089decc343f1b8a35540703eb738.html
@@ -1 +1 @@
-Bedrijfsobjecten > Authenticatiemiddel
Bedrijfsobjecten > Authenticatiemiddel
Omschrijving
Een verzameling van authenticatiefactoren die een bepaalde mate van zekerheid bieden over de digitale identiteit van een entiteit.
\ No newline at end of file
diff --git a/docs/content/elements/id-44448c40cae246fb9a87e33446f0c0d4.html b/docs/content/elements/id-44448c40cae246fb9a87e33446f0c0d4.html
index 94492725..aded2c36 100644
--- a/docs/content/elements/id-44448c40cae246fb9a87e33446f0c0d4.html
+++ b/docs/content/elements/id-44448c40cae246fb9a87e33446f0c0d4.html
@@ -1 +1 @@
-Ontwikkelingen > Verklaringen
Ontwikkelingen > Verklaringen
Omschrijving
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
id-44448c40cae246fb9a87e33446f0c0d4
\ No newline at end of file
+Ontwikkelingen > Verklaringen
Ontwikkelingen > Verklaringen
Omschrijving
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
id-44448c40cae246fb9a87e33446f0c0d4
\ No newline at end of file
diff --git a/docs/content/elements/id-4532a251a8ba490298dc08824ef4799a.html b/docs/content/elements/id-4532a251a8ba490298dc08824ef4799a.html
index 43df6723..fe161297 100644
--- a/docs/content/elements/id-4532a251a8ba490298dc08824ef4799a.html
+++ b/docs/content/elements/id-4532a251a8ba490298dc08824ef4799a.html
@@ -1 +1 @@
-Principes > 5. Beveiliging is niet afhankelijk van individuen
Principes > 5. Beveiliging is niet afhankelijk van individuen
Rationale
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
Implicaties
1. Er worden technische beveiligingsmaatregelen geïmplementeerd die zijn geautomatiseerd en niet zomaar door individuen kunnen worden gepasseerd. 2. Er wordt een zero trust beveiligingsmodel gehanteerd waarbij gebruikers en apparaten, zowel binnen als buiten het netwerk, worden behandeld als niet-vertrouwd en voortdurend worden geauthenticeerd en geautoriseerd op basis van factoren zoals apparaatstatus, netwerklocatie, tijd en gedrag. 3. Toegang tot diensten en informatie-objecten wordt beperkt tot alleen dat wat nodig is voor de verantwoordelijkheden (least priviledge). 4. Er worden geen privacy hotspots gecreëerd in systemen van individuele organisaties als dat kan worden voorkomen door bijvoorbeeld pseudonimisering.
id-4532a251a8ba490298dc08824ef4799a
\ No newline at end of file
+Principes > 5. Beveiliging is niet afhankelijk van individuen
Principes > 5. Beveiliging is niet afhankelijk van individuen
Rationale
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
Implicaties
1. Er worden technische beveiligingsmaatregelen geïmplementeerd die zijn geautomatiseerd en niet zomaar door individuen kunnen worden gepasseerd. 2. Er wordt een zero trust beveiligingsmodel gehanteerd waarbij gebruikers en apparaten, zowel binnen als buiten het netwerk, worden behandeld als niet-vertrouwd en voortdurend worden geauthenticeerd en geautoriseerd op basis van factoren zoals apparaatstatus, netwerklocatie, tijd en gedrag. 3. Toegang tot diensten en informatie-objecten wordt beperkt tot alleen dat wat nodig is voor de verantwoordelijkheden (least priviledge). 4. Er worden geen privacy hotspots gecreëerd in systemen van individuele organisaties als dat kan worden voorkomen door bijvoorbeeld pseudonimisering.
id-4532a251a8ba490298dc08824ef4799a
\ No newline at end of file
diff --git a/docs/content/elements/id-48d09a140e6140c5a0d848e8275c2590.html b/docs/content/elements/id-48d09a140e6140c5a0d848e8275c2590.html
index 80ba0660..85493f97 100644
--- a/docs/content/elements/id-48d09a140e6140c5a0d848e8275c2590.html
+++ b/docs/content/elements/id-48d09a140e6140c5a0d848e8275c2590.html
@@ -1 +1 @@
-Standaarden > XACML
Standaarden > XACML
Omschrijving
Dit is een taal voor het uitdrukken van regels voor toegangsverlening. Het definieert de gebruikte begrippen en bevat modellen en een beschrijving van architectuurcomponenten, waarop de modellen in het thema Logische Toegang van dit document zijn gebaseerd.
\ No newline at end of file
diff --git a/docs/content/elements/id-4c5fe57ec2ab485c9cb8bdef64d7d4d9.html b/docs/content/elements/id-4c5fe57ec2ab485c9cb8bdef64d7d4d9.html
index c80a0ad4..d2a43a8b 100644
--- a/docs/content/elements/id-4c5fe57ec2ab485c9cb8bdef64d7d4d9.html
+++ b/docs/content/elements/id-4c5fe57ec2ab485c9cb8bdef64d7d4d9.html
@@ -1 +1 @@
-Bedrijfsfuncties > Beheren autorisatieregels
Bedrijfsfuncties > Beheren autorisatieregels
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over autorisatieregels, die aangeven onder welke condities digitale identiteiten toegang hebben tot welke resources.
\ No newline at end of file
+Bedrijfsfuncties > Beheren autorisatieregels
Bedrijfsfuncties > Beheren autorisatieregels
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over autorisatieregels, die aangeven onder welke condities digitale identiteiten toegang hebben tot welke resources.
\ No newline at end of file
diff --git a/docs/content/elements/id-4d32e4b7ef9c4a85acfa2c562ad218d2.html b/docs/content/elements/id-4d32e4b7ef9c4a85acfa2c562ad218d2.html
index 6e1de66e..7233906b 100644
--- a/docs/content/elements/id-4d32e4b7ef9c4a85acfa2c562ad218d2.html
+++ b/docs/content/elements/id-4d32e4b7ef9c4a85acfa2c562ad218d2.html
@@ -1 +1 @@
-Bedrijfsobjecten > Rol
Bedrijfsobjecten > Rol
Omschrijving
Een set van taken en bevoegdheden van een entiteit.
\ No newline at end of file
diff --git a/docs/content/elements/id-4e14f612fda64d97ad15c9e7e10fe7d3.html b/docs/content/elements/id-4e14f612fda64d97ad15c9e7e10fe7d3.html
index de6095d4..5f566c9e 100644
--- a/docs/content/elements/id-4e14f612fda64d97ad15c9e7e10fe7d3.html
+++ b/docs/content/elements/id-4e14f612fda64d97ad15c9e7e10fe7d3.html
@@ -1 +1 @@
-Huidige voorzieningen > Bevoegdheidsverklaringsdienst
Huidige voorzieningen > Bevoegdheidsverklaringsdienst
Omschrijving
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
[...] levert gegevens aan Dienst (bevoegdheidsverklaring) Bewind levert gegevens aan [...] (bewindsverklaring) Gezag levert gegevens aan [...] (gezagsverklaring) Dienstencatalogus wettelijk vertegenwoordigen levert gegevens aan [...] (dienstverlener, dienst)
id-4e14f612fda64d97ad15c9e7e10fe7d3
\ No newline at end of file
+Huidige voorzieningen > Bevoegdheidsverklaringsdienst
Huidige voorzieningen > Bevoegdheidsverklaringsdienst
Omschrijving
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
[...] levert gegevens aan Dienst (bevoegdheidsverklaring) Bewind levert gegevens aan [...] (bewindsverklaring) Gezag levert gegevens aan [...] (gezagsverklaring) Dienstencatalogus wettelijk vertegenwoordigen levert gegevens aan [...] (dienstverlener, dienst)
id-4e14f612fda64d97ad15c9e7e10fe7d3
\ No newline at end of file
diff --git a/docs/content/elements/id-4e650de32bdf49b7b7c3ffc0727251bb.html b/docs/content/elements/id-4e650de32bdf49b7b7c3ffc0727251bb.html
new file mode 100644
index 00000000..34eeb88b
--- /dev/null
+++ b/docs/content/elements/id-4e650de32bdf49b7b7c3ffc0727251bb.html
@@ -0,0 +1 @@
+Knelpunten > Geen centraal onderzoek en meldpunt fraude
Knelpunten > Geen centraal onderzoek en meldpunt fraude
Omschrijving
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat er voor eHerkenning geen overkoepelende organisatie bestaat die fraudegevallen oppakt en dat er ook geen centraal fraudemeldpunt is. Het melden van en reageren op specifieke signalen en meldingen ligt decentraal: bij de organisaties zelf, bij de leverancier en/of dienstverlener. Hierdoor ontbreekt er een goed kwalitatief en kwantitatief beeld. Dit heeft als risico dat zaken langs elkaar heen lopen en fraude minder effectief wordt voorkomen dan wanneer dit beeld er wel zou zijn.
id-4e650de32bdf49b7b7c3ffc0727251bb
\ No newline at end of file
diff --git a/docs/content/elements/id-4ea810315dc14f11b115cef01338dca5.html b/docs/content/elements/id-4ea810315dc14f11b115cef01338dca5.html
index 78d45201..63682f77 100644
--- a/docs/content/elements/id-4ea810315dc14f11b115cef01338dca5.html
+++ b/docs/content/elements/id-4ea810315dc14f11b115cef01338dca5.html
@@ -1 +1 @@
-Bedrijfsfuncties > Ontsleutelen identifiers
Bedrijfsfuncties > Ontsleutelen identifiers
Omschrijving
Het terugvertalen van versleutelde identifiers en pseudoniemen naar een bruikbare vorm.
\ No newline at end of file
diff --git a/docs/content/elements/id-4eefdb44a0ee4526a6fbbca6143c69c1.html b/docs/content/elements/id-4eefdb44a0ee4526a6fbbca6143c69c1.html
index eacbe4fc..494e3951 100644
--- a/docs/content/elements/id-4eefdb44a0ee4526a6fbbca6143c69c1.html
+++ b/docs/content/elements/id-4eefdb44a0ee4526a6fbbca6143c69c1.html
@@ -1 +1 @@
-Standaarden > X509
Standaarden > X509
Omschrijving
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Authenticatie van applicaties, gebruikers, systemen middels certificaten op het internet, zoals www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS.
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Authenticatie van applicaties, gebruikers, systemen middels certificaten op het internet, zoals www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS.
\ No newline at end of file
diff --git a/docs/content/elements/id-51005498b71e4a7a81f126ec14e3ebb7.html b/docs/content/elements/id-51005498b71e4a7a81f126ec14e3ebb7.html
index 2a69d11b..0471ea7b 100644
--- a/docs/content/elements/id-51005498b71e4a7a81f126ec14e3ebb7.html
+++ b/docs/content/elements/id-51005498b71e4a7a81f126ec14e3ebb7.html
@@ -1 +1 @@
-Standaarden > FIDO
Standaarden > FIDO
Omschrijving
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
\ No newline at end of file
diff --git a/docs/content/elements/id-52aa4858c63d46faa3fa7c4b92716e53.html b/docs/content/elements/id-52aa4858c63d46faa3fa7c4b92716e53.html
index 125d5bfe..e3fbb32f 100644
--- a/docs/content/elements/id-52aa4858c63d46faa3fa7c4b92716e53.html
+++ b/docs/content/elements/id-52aa4858c63d46faa3fa7c4b92716e53.html
@@ -1 +1 @@
-Bedrijfsfuncties > Uitloggen
Bedrijfsfuncties > Uitloggen
Omschrijving
Het ervoor zorgen dat gecreëerde identiteitsverklaringen niet meer gebruikt kunnen worden om toegang te krijgen tot resources.
\ No newline at end of file
diff --git a/docs/content/elements/id-52b5d4fc77444fafaf55f7ea2df98e32.html b/docs/content/elements/id-52b5d4fc77444fafaf55f7ea2df98e32.html
index a179a1c7..3b2029ce 100644
--- a/docs/content/elements/id-52b5d4fc77444fafaf55f7ea2df98e32.html
+++ b/docs/content/elements/id-52b5d4fc77444fafaf55f7ea2df98e32.html
@@ -1 +1 @@
-Ontwikkelingen
Ontwikkelingen
In deze architectuur beschrijven we een aantal belangrijke (vooral technische) ontwikkelingen op het gebied van toegang. Deze impact van deze ontwikkelingen is meegenomen in de beschrijving van de architectuur.
id-52b5d4fc77444fafaf55f7ea2df98e32
\ No newline at end of file
+Ontwikkelingen
Ontwikkelingen
In deze architectuur beschrijven we een aantal belangrijke (vooral technische) ontwikkelingen op het gebied van toegang. Deze impact van deze ontwikkelingen is meegenomen in de beschrijving van de architectuur.
id-52b5d4fc77444fafaf55f7ea2df98e32
\ No newline at end of file
diff --git a/docs/content/elements/id-53323e6bf2be41b1a4d9a4571262a74c.html b/docs/content/elements/id-53323e6bf2be41b1a4d9a4571262a74c.html
index 12c211c1..8c36f550 100644
--- a/docs/content/elements/id-53323e6bf2be41b1a4d9a4571262a74c.html
+++ b/docs/content/elements/id-53323e6bf2be41b1a4d9a4571262a74c.html
@@ -1 +1 @@
-Huidige voorzieningen > Bewind
Huidige voorzieningen > Bewind
Omschrijving
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
\ No newline at end of file
+Huidige voorzieningen > Bewind
Huidige voorzieningen > Bewind
Omschrijving
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
\ No newline at end of file
diff --git a/docs/content/elements/id-57896b8c4e854e7b92ed667986aa09ee.html b/docs/content/elements/id-57896b8c4e854e7b92ed667986aa09ee.html
index b238139e..a5162cd0 100644
--- a/docs/content/elements/id-57896b8c4e854e7b92ed667986aa09ee.html
+++ b/docs/content/elements/id-57896b8c4e854e7b92ed667986aa09ee.html
@@ -1,4 +1,4 @@
-Architectuurvisie
Architectuurvisie
Deze architectuurvisie geeft een overzicht van de belangrijkste ideeën in de domeinarchitectuur. Het kan voor een belangrijk deel worden gezien als het overkoepelende verhaal en een samenvatting en verbinding van de architectuurprincipes. Het bevat dan ook verwijzingen naar deze architectuurprincipes, waar meer over hun rationale en implicaties kan worden gelezen. Het voegt echter ook informatie toe over zaken die niet principieel van aard zijn, maar wel belangrijk om te begrijpen.
+Architectuurvisie
Architectuurvisie
Deze architectuurvisie geeft een overzicht van de belangrijkste ideeën in de domeinarchitectuur. Het kan voor een belangrijk deel worden gezien als het overkoepelende verhaal en een samenvatting en verbinding van de architectuurprincipes. Het bevat dan ook verwijzingen naar deze architectuurprincipes, waar meer over hun rationale en implicaties kan worden gelezen. Het voegt echter ook informatie toe over zaken die niet principieel van aard zijn, maar wel belangrijk om te begrijpen.
Inleiding
Het is vanuit het perspectief van beveiliging en privacy dat alleen bekende en geautoriseerde personen toegang hebben tot gegevens en functionaliteit. Voor burgers is hiervoor de landelijke voorziening DigiD beschikbaar, inclusief functionaliteit voor machtigen. Voor bedrijven en andere organisaties is er het eHekenning ingericht, waarbij marktpartijen zich kunnen aanbieder als makelaar, machtingingsregister of middelenverstrekker. Er is ook een ketenmachtigingsvoorziening beschikbaar, waarmee organisaties elkaar kunnen machtigen voor specifieke diensten. Het is inmiddels ook mogelijk om grensoverstijgend toegang te krijgen tot digitale diensten van Europese lidstaten. Alhoewel de basisvoorzieningen hiermee beschikbaar zijn, valt er aan de huidige voorzieningen nog wel veel te verbeteren. Zo zijn er allerlei vormen van wettelijke vertegenwoordiging die nog niet worden ondersteund, zijn machtigen en vertegenwoordigen nog niet breed geïmplementeerd bij individuele overheidsorganisaties en is er behoefte aan meer uitgebreide functionaliteit voor machtigen.
Vanuit de wet- en regelgeving is met name de verordening "Electronic Identification And Trust Services" (eIDAS) een belangrijke drijfveer voor verandering. In Nederland is deze vertaald naar de Wet digitale overheid. In dat kader worden eisen gesteld aan de betrouwbaarheid van authenticatiemiddelen, waardoor overheidsorganisaties gedwongen worden op een meer professionele manier met toegang om te gaan. Het betekent ook dat er ook private authenticatiemiddelen zullen moeten worden ondersteund. Tegelijkertijd wordt er ook al hard gewerkt een de herziening van de eIDAS verordening. In dat kader wordt een European Digital Identity Wallet geïntroduceerd. Hiermee wordt het voor burgers en organisaties mogelijk om meer zelf in controle te komen van de gegevens die ze delen met dienstverleners. Dit is een belangrijke stap in de richting van Self Sovereign Identity. Dit is een visie op identiteiten waarbij de gebruiker zelf centraal staat. In die visie hebben gebruikers vooral zelf een identiteit en bepalen ze zelf wie ze hun gegevens verstrekken.
Bedrijfsfuncties > Beheren machtigingen voor informatieobjecten
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over vertegenwoordigingsbevoegdheden voor een specifieke resource zoals een zaak..
\ No newline at end of file
+Bedrijfsfuncties > Beheren machtigingen voor informatieobjecten
Bedrijfsfuncties > Beheren machtigingen voor informatieobjecten
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over vertegenwoordigingsbevoegdheden voor een specifieke resource zoals een zaak..
\ No newline at end of file
diff --git a/docs/content/elements/id-5cdac91d400e44a487d0c446d834abc0.html b/docs/content/elements/id-5cdac91d400e44a487d0c446d834abc0.html
index 120416ca..4957397f 100644
--- a/docs/content/elements/id-5cdac91d400e44a487d0c446d834abc0.html
+++ b/docs/content/elements/id-5cdac91d400e44a487d0c446d834abc0.html
@@ -1 +1 @@
-Knelpunten > Toegang inrichten kost veel inspanning
Knelpunten > Toegang inrichten kost veel inspanning
Omschrijving
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
\ No newline at end of file
+Knelpunten > Toegang inrichten kost veel inspanning
Knelpunten > Toegang inrichten kost veel inspanning
Omschrijving
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
\ No newline at end of file
diff --git a/docs/content/elements/id-61dc33c76ec94288b37d10018c2e8caa.html b/docs/content/elements/id-61dc33c76ec94288b37d10018c2e8caa.html
index 763ef855..b7cba883 100644
--- a/docs/content/elements/id-61dc33c76ec94288b37d10018c2e8caa.html
+++ b/docs/content/elements/id-61dc33c76ec94288b37d10018c2e8caa.html
@@ -1 +1 @@
-Veranderinitiatieven > Generieke voorziening voor vrijwillig machtigen van organisaties
Veranderinitiatieven > Generieke voorziening voor vrijwillig machtigen van organisaties
Omschrijving
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
\ No newline at end of file
+Veranderinitiatieven > Generieke voorziening voor vrijwillig machtigen van organisaties
Veranderinitiatieven > Generieke voorziening voor vrijwillig machtigen van organisaties
Omschrijving
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
\ No newline at end of file
diff --git a/docs/content/elements/id-61f80f9e50fb4cd9a923c0d82d612b27.html b/docs/content/elements/id-61f80f9e50fb4cd9a923c0d82d612b27.html
index a2f1548f..7c7c4ea9 100644
--- a/docs/content/elements/id-61f80f9e50fb4cd9a923c0d82d612b27.html
+++ b/docs/content/elements/id-61f80f9e50fb4cd9a923c0d82d612b27.html
@@ -1 +1 @@
-Knelpunten > Digikoppeling API profiel is beperkt
Knelpunten > Digikoppeling API profiel is beperkt
Omschrijving
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
\ No newline at end of file
+Knelpunten > Digikoppeling API profiel is beperkt
Knelpunten > Digikoppeling API profiel is beperkt
Omschrijving
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
\ No newline at end of file
diff --git a/docs/content/elements/id-6297e4b66d844a9fb8c054238841b313.html b/docs/content/elements/id-6297e4b66d844a9fb8c054238841b313.html
index e401c8f1..b7425a2e 100644
--- a/docs/content/elements/id-6297e4b66d844a9fb8c054238841b313.html
+++ b/docs/content/elements/id-6297e4b66d844a9fb8c054238841b313.html
@@ -1 +1 @@
-Bedrijfsfuncties > Vastleggen gebruik van authenticatiemiddel
Bedrijfsfuncties > Vastleggen gebruik van authenticatiemiddel
Omschrijving
Het vastleggen welk authenticatiemiddel is gebruikt bij een authenticatie, zodat daar op een later moment inzicht in kan worden gegeven.
[...] levert gegevens aan CombiConnect (vrijwillige machtiging)
id-67a39e2cf1274f5c9340308f07a77152
\ No newline at end of file
diff --git a/docs/content/elements/id-680a6d400c1c400d8126bb99497132ba.html b/docs/content/elements/id-680a6d400c1c400d8126bb99497132ba.html
index 5a29dca2..b8e624b5 100644
--- a/docs/content/elements/id-680a6d400c1c400d8126bb99497132ba.html
+++ b/docs/content/elements/id-680a6d400c1c400d8126bb99497132ba.html
@@ -1 +1 @@
-Standaarden > SCIM
Standaarden > SCIM
Omschrijving
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
\ No newline at end of file
diff --git a/docs/content/elements/id-6ed7f3d944764c60a45fe6780a041a42.html b/docs/content/elements/id-6ed7f3d944764c60a45fe6780a041a42.html
index 4ef37984..e035726f 100644
--- a/docs/content/elements/id-6ed7f3d944764c60a45fe6780a041a42.html
+++ b/docs/content/elements/id-6ed7f3d944764c60a45fe6780a041a42.html
@@ -1 +1 @@
-Bedrijfsobjecten > Bevoegdheid
Bedrijfsobjecten > Bevoegdheid
Omschrijving
Een toestemming van een entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de digitale identiteit.
\ No newline at end of file
+Bedrijfsobjecten > Bevoegdheid
Bedrijfsobjecten > Bevoegdheid
Omschrijving
Een toestemming van een entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de digitale identiteit.
\ No newline at end of file
diff --git a/docs/content/elements/id-6fda41fd347642f1851530495831c74b.html b/docs/content/elements/id-6fda41fd347642f1851530495831c74b.html
index de2a9c78..06128efa 100644
--- a/docs/content/elements/id-6fda41fd347642f1851530495831c74b.html
+++ b/docs/content/elements/id-6fda41fd347642f1851530495831c74b.html
@@ -1 +1 @@
-Standaarden > NL GOV Assurance Profile for OIDC
Standaarden > NL GOV Assurance Profile for OIDC
Omschrijving
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
\ No newline at end of file
+Standaarden > NL GOV Assurance Profile for OIDC
Standaarden > NL GOV Assurance Profile for OIDC
Omschrijving
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
\ No newline at end of file
diff --git a/docs/content/elements/id-71518055a4194c55844b0ed040dacbe2.html b/docs/content/elements/id-71518055a4194c55844b0ed040dacbe2.html
index 60ac9919..be1352cb 100644
--- a/docs/content/elements/id-71518055a4194c55844b0ed040dacbe2.html
+++ b/docs/content/elements/id-71518055a4194c55844b0ed040dacbe2.html
@@ -1 +1 @@
-Bedrijfsfuncties > Authenticeren
Bedrijfsfuncties > Authenticeren
Omschrijving
Het bepalen of er voldoende bewijs is dat iemand een digitale identiteit heeft en het creëren, controleren, vertalen en vernietigen van daarbij behorende tokens.
\ No newline at end of file
+Bedrijfsfuncties > Authenticeren
Bedrijfsfuncties > Authenticeren
Omschrijving
Het bepalen of er voldoende bewijs is dat iemand een digitale identiteit heeft en het creëren, controleren, vertalen en vernietigen van daarbij behorende tokens.
\ No newline at end of file
diff --git a/docs/content/elements/id-73b88bd90070486686904dbb96332455.html b/docs/content/elements/id-73b88bd90070486686904dbb96332455.html
index 14e1166b..366fa6ef 100644
--- a/docs/content/elements/id-73b88bd90070486686904dbb96332455.html
+++ b/docs/content/elements/id-73b88bd90070486686904dbb96332455.html
@@ -1 +1 @@
-Ontwikkelingen > Wachtwoordloos inloggen
Ontwikkelingen > Wachtwoordloos inloggen
Omschrijving
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
id-73b88bd90070486686904dbb96332455
\ No newline at end of file
+Ontwikkelingen > Wachtwoordloos inloggen
Ontwikkelingen > Wachtwoordloos inloggen
Omschrijving
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
id-73b88bd90070486686904dbb96332455
\ No newline at end of file
diff --git a/docs/content/elements/id-7417b19f5c21447d8bf281baf4315b20.html b/docs/content/elements/id-7417b19f5c21447d8bf281baf4315b20.html
index 152abc83..d4986433 100644
--- a/docs/content/elements/id-7417b19f5c21447d8bf281baf4315b20.html
+++ b/docs/content/elements/id-7417b19f5c21447d8bf281baf4315b20.html
@@ -1 +1 @@
-Bedrijfsobjecten > Attribuutsoort
[...] is gerelateerd aan Autorisatieregel (wordt gebruikt in) Attribuut is gerelateerd aan [...] (is van type) Rol is gerelateerd aan [...] (is specifiek soort)
id-7417b19f5c21447d8bf281baf4315b20
\ No newline at end of file
+Bedrijfsobjecten > Attribuutsoort
[...] is gerelateerd aan Autorisatieregel (wordt gebruikt in) Attribuut is gerelateerd aan [...] (is van type) Rol is gerelateerd aan [...] (is specifiek soort)
id-7417b19f5c21447d8bf281baf4315b20
\ No newline at end of file
diff --git a/docs/content/elements/id-75a11a6464244610b8679b4ccf487a9c.html b/docs/content/elements/id-75a11a6464244610b8679b4ccf487a9c.html
index f1349dc8..41ecdee3 100644
--- a/docs/content/elements/id-75a11a6464244610b8679b4ccf487a9c.html
+++ b/docs/content/elements/id-75a11a6464244610b8679b4ccf487a9c.html
@@ -1 +1 @@
-Veranderinitiatieven > DigiD geschikt maken voor inloggen zonder BSN
Veranderinitiatieven > DigiD geschikt maken voor inloggen zonder BSN
Omschrijving
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
\ No newline at end of file
+Veranderinitiatieven > DigiD geschikt maken voor inloggen zonder BSN
Veranderinitiatieven > DigiD geschikt maken voor inloggen zonder BSN
Omschrijving
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
\ No newline at end of file
diff --git a/docs/content/elements/id-76fc928a3c464f5b956348df1966b5d7.html b/docs/content/elements/id-76fc928a3c464f5b956348df1966b5d7.html
index 28952bb4..ccd7dab1 100644
--- a/docs/content/elements/id-76fc928a3c464f5b956348df1966b5d7.html
+++ b/docs/content/elements/id-76fc928a3c464f5b956348df1966b5d7.html
@@ -1 +1 @@
-Wetten > General Data Protection Regulation
Wetten > General Data Protection Regulation
Omschrijving
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
\ No newline at end of file
+Wetten > General Data Protection Regulation
Wetten > General Data Protection Regulation
Omschrijving
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
\ No newline at end of file
diff --git a/docs/content/elements/id-775ef59e4c5d4a9aa558a4f133714c46.html b/docs/content/elements/id-775ef59e4c5d4a9aa558a4f133714c46.html
index c8f9caa4..ef7766b6 100644
--- a/docs/content/elements/id-775ef59e4c5d4a9aa558a4f133714c46.html
+++ b/docs/content/elements/id-775ef59e4c5d4a9aa558a4f133714c46.html
@@ -1 +1 @@
-Standaarden > Verifiable Credentials
Standaarden > Verifiable Credentials
Omschrijving
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
\ No newline at end of file
+Standaarden > Verifiable Credentials
Standaarden > Verifiable Credentials
Omschrijving
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
\ No newline at end of file
diff --git a/docs/content/elements/id-7782bd71f9c64d9abfabddab89755b5c.html b/docs/content/elements/id-7782bd71f9c64d9abfabddab89755b5c.html
index 9291aebd..e3fb0986 100644
--- a/docs/content/elements/id-7782bd71f9c64d9abfabddab89755b5c.html
+++ b/docs/content/elements/id-7782bd71f9c64d9abfabddab89755b5c.html
@@ -1 +1 @@
-Huidige situatie
Huidige situatie
Dit hoofdstuk geeft een overzicht van de huidige situatie met betrekking tot toegang. Het beschrijft de knelpunten die er in algemene zin bestaan m.b.t. toegang. Daarnaast geeft het een overzicht van de belangrijkste landelijke voorzieningen op het gebied van toegang. Dat zijn met name GDI-voorzieningen, maar er worden ook een aantal voorzieningen beschreven die geen deel uitmaken van de GDI, maar wel in brede zin relevant zijn voor overheidsorganisaties.
id-7782bd71f9c64d9abfabddab89755b5c
\ No newline at end of file
+Huidige situatie
Huidige situatie
Dit hoofdstuk geeft een overzicht van de huidige situatie met betrekking tot toegang. Het beschrijft de knelpunten die er in algemene zin bestaan m.b.t. toegang. Daarnaast geeft het een overzicht van de belangrijkste landelijke voorzieningen op het gebied van toegang. Dat zijn met name GDI-voorzieningen, maar er worden ook een aantal voorzieningen beschreven die geen deel uitmaken van de GDI, maar wel in brede zin relevant zijn voor overheidsorganisaties.
id-7782bd71f9c64d9abfabddab89755b5c
\ No newline at end of file
diff --git a/docs/content/elements/id-77965a4ab86c43fb809656f759830dc1.html b/docs/content/elements/id-77965a4ab86c43fb809656f759830dc1.html
index 6cb408ec..5e996a4f 100644
--- a/docs/content/elements/id-77965a4ab86c43fb809656f759830dc1.html
+++ b/docs/content/elements/id-77965a4ab86c43fb809656f759830dc1.html
@@ -1 +1 @@
-Principes > 2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Principes > 2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Rationale
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Implicaties
1. Het is duidelijk wat de wettelijke grondslag is van de gegevensuitwisseling. 2. Bij het ontwerp van diensten moeten dienstverleners aangeven welke attributen van entiteiten noodzakelijk zijn om de dienst uit te kunnen voeren. 3. Gebruikers kunnen voorafgaand aan hun handelen zelf toetsen of zij de voor de dienst gevraagde attributen (persoonsgegevens) willen laten verwerken. 4. De toegangsinfrastructuur borgt dat alleen de vooraf benoemde attributen worden verstrekt. 5. Er kunnen ook gebruikers anoniem (met een pseudoniem) gebruik maken van diensten, zolang de precieze identiteit van iemand nog niet relevant is. 6. Als kan worden volstaan met een verklaring (zero knowledge proof) dan worden niet de onderliggende gegevens opgehaald; om te weten of iemand volwassen is hoef je niet zijn geboortedatum te kennen. 7. Specifieke verklaringen die relevant zijn voor toegang (inclusief de verklaring over de precieze identiteit van iemand) worden pas opgehaald op het moment dat een gebruiker aangeeft handelingen uit te willen voeren waardoor dit nodig is. 8. Opsporingsdiensten hebben de mogelijkheid om pseudoniemen te herleiden naar een natuurlijk persoon of organisatie.
\ No newline at end of file
+Principes > 2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Principes > 2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Rationale
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Implicaties
1. Het is duidelijk wat de wettelijke grondslag is van de gegevensuitwisseling. 2. Bij het ontwerp van diensten moeten dienstverleners aangeven welke attributen van entiteiten noodzakelijk zijn om de dienst uit te kunnen voeren. 3. Gebruikers kunnen voorafgaand aan hun handelen zelf toetsen of zij de voor de dienst gevraagde attributen (persoonsgegevens) willen laten verwerken. 4. De toegangsinfrastructuur borgt dat alleen de vooraf benoemde attributen worden verstrekt. 5. Er kunnen ook gebruikers anoniem (met een pseudoniem) gebruik maken van diensten, zolang de precieze identiteit van iemand nog niet relevant is. 6. Als kan worden volstaan met een verklaring (zero knowledge proof) dan worden niet de onderliggende gegevens opgehaald; om te weten of iemand volwassen is hoef je niet zijn geboortedatum te kennen. 7. Specifieke verklaringen die relevant zijn voor toegang (inclusief de verklaring over de precieze identiteit van iemand) worden pas opgehaald op het moment dat een gebruiker aangeeft handelingen uit te willen voeren waardoor dit nodig is. 8. Opsporingsdiensten hebben de mogelijkheid om pseudoniemen te herleiden naar een natuurlijk persoon of organisatie.
\ No newline at end of file
diff --git a/docs/content/elements/id-77f44709a232443f943f54fe68f3af8d.html b/docs/content/elements/id-77f44709a232443f943f54fe68f3af8d.html
index b8239433..ccdc8f0b 100644
--- a/docs/content/elements/id-77f44709a232443f943f54fe68f3af8d.html
+++ b/docs/content/elements/id-77f44709a232443f943f54fe68f3af8d.html
@@ -1 +1 @@
-Beleid
Beleid
id-77f44709a232443f943f54fe68f3af8d
\ No newline at end of file
+Beleid
Beleid
id-77f44709a232443f943f54fe68f3af8d
\ No newline at end of file
diff --git a/docs/content/elements/id-78b449aaa3e5492da0ec6d38975e9e8c.html b/docs/content/elements/id-78b449aaa3e5492da0ec6d38975e9e8c.html
index 63dc7af4..61a50259 100644
--- a/docs/content/elements/id-78b449aaa3e5492da0ec6d38975e9e8c.html
+++ b/docs/content/elements/id-78b449aaa3e5492da0ec6d38975e9e8c.html
@@ -1 +1 @@
-Referentie-architectuur
Referentie-architectuur
Dit hoofdstuk geeft een overzicht van de referentie-architectuur voor toegang. Het beschrijft de bedrijfsfuncties en bedrijfsobjecten die deel uitmaken van het domein toegang. Het start met een algemene beschrijving van wat bedrijfsfuncties en bedrijfsobjecten zijn en welke invulling eraan is gegeven in de domeinarchitectuur. Vervolgens worden diagrammen en overzichten van de bedrijfsfuncties en bedrijfsobjecten beschreven.
id-78b449aaa3e5492da0ec6d38975e9e8c
\ No newline at end of file
+Referentie-architectuur
Referentie-architectuur
Dit hoofdstuk geeft een overzicht van de referentie-architectuur voor toegang. Het beschrijft de bedrijfsfuncties en bedrijfsobjecten die deel uitmaken van het domein toegang. Het start met een algemene beschrijving van wat bedrijfsfuncties en bedrijfsobjecten zijn en welke invulling eraan is gegeven in de domeinarchitectuur. Vervolgens worden diagrammen en overzichten van de bedrijfsfuncties en bedrijfsobjecten beschreven.
id-78b449aaa3e5492da0ec6d38975e9e8c
\ No newline at end of file
diff --git a/docs/content/elements/id-796d8d20bc8947d29a2838fdb0886cfe.html b/docs/content/elements/id-796d8d20bc8947d29a2838fdb0886cfe.html
index e262187b..da055638 100644
--- a/docs/content/elements/id-796d8d20bc8947d29a2838fdb0886cfe.html
+++ b/docs/content/elements/id-796d8d20bc8947d29a2838fdb0886cfe.html
@@ -1 +1 @@
-Huidige voorzieningen > eHerkenning machtigingsregister
Huidige voorzieningen > eHerkenning machtigingsregister
Omschrijving
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
\ No newline at end of file
+Huidige voorzieningen > eHerkenning machtigingsregister
Huidige voorzieningen > eHerkenning machtigingsregister
Omschrijving
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
\ No newline at end of file
diff --git a/docs/content/elements/id-7a15da44f51b45d0b7b2d1449ea8def3.html b/docs/content/elements/id-7a15da44f51b45d0b7b2d1449ea8def3.html
index 6ed20973..f3cc4d28 100644
--- a/docs/content/elements/id-7a15da44f51b45d0b7b2d1449ea8def3.html
+++ b/docs/content/elements/id-7a15da44f51b45d0b7b2d1449ea8def3.html
@@ -1 +1 @@
-Bedrijfsobjecten > Autorisatieregel
Bedrijfsobjecten > Autorisatieregel
Omschrijving
Een regel die is gesteld voor toegang tot een resource en waaraan moet worden voldaan voordat een entiteit daadwerkelijke toegang krijgt tot een resource. (bron: NORA)
\ No newline at end of file
+Bedrijfsobjecten > Autorisatieregel
Bedrijfsobjecten > Autorisatieregel
Omschrijving
Een regel die is gesteld voor toegang tot een resource en waaraan moet worden voldaan voordat een entiteit daadwerkelijke toegang krijgt tot een resource. (bron: NORA)
\ No newline at end of file
diff --git a/docs/content/elements/id-7a16034297c64f98ac840c5d6897d749.html b/docs/content/elements/id-7a16034297c64f98ac840c5d6897d749.html
index 8438581e..be1e5a92 100644
--- a/docs/content/elements/id-7a16034297c64f98ac840c5d6897d749.html
+++ b/docs/content/elements/id-7a16034297c64f98ac840c5d6897d749.html
@@ -1 +1 @@
-Huidige voorzieningen > Autorisatielijst BSN-gerechtigden
Huidige voorzieningen > Autorisatielijst BSN-gerechtigden
Omschrijving
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
\ No newline at end of file
+Huidige voorzieningen > Autorisatielijst BSN-gerechtigden
Huidige voorzieningen > Autorisatielijst BSN-gerechtigden
Omschrijving
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
\ No newline at end of file
diff --git a/docs/content/elements/id-7a3c760780f84b49aae60cc45cbeb885.html b/docs/content/elements/id-7a3c760780f84b49aae60cc45cbeb885.html
index 0a399bc0..96865975 100644
--- a/docs/content/elements/id-7a3c760780f84b49aae60cc45cbeb885.html
+++ b/docs/content/elements/id-7a3c760780f84b49aae60cc45cbeb885.html
@@ -1 +1 @@
-Veranderinitiatieven
Veranderinitiatieven
De domeinarchitectuur beschrijft veranderinitiatieven die worden voorgesteld omdat ze voortvloeien uit zaken in de architectuur. Het zijn in eerste instantie alleen voorstellen en ze zijn ook nog niet voorzien van informatie over kosten en baten. Ze zijn vooral input voor portfoliomanagement en programmering, in het kader waarvan kosten en baten kunnen worden uitgewerkt.
id-7a3c760780f84b49aae60cc45cbeb885
\ No newline at end of file
+Veranderinitiatieven
Veranderinitiatieven
De domeinarchitectuur beschrijft veranderinitiatieven die worden voorgesteld omdat ze voortvloeien uit zaken in de architectuur. Het zijn in eerste instantie alleen voorstellen en ze zijn ook nog niet voorzien van informatie over kosten en baten. Ze zijn vooral input voor portfoliomanagement en programmering, in het kader waarvan kosten en baten kunnen worden uitgewerkt.
id-7a3c760780f84b49aae60cc45cbeb885
\ No newline at end of file
diff --git a/docs/content/elements/id-7af2fa9c66e94ac397595f5206032775.html b/docs/content/elements/id-7af2fa9c66e94ac397595f5206032775.html
index 6c49122c..311dbf81 100644
--- a/docs/content/elements/id-7af2fa9c66e94ac397595f5206032775.html
+++ b/docs/content/elements/id-7af2fa9c66e94ac397595f5206032775.html
@@ -1 +1 @@
-Knelpunten > Gebruikers moeten vaak opnieuw inloggen
Knelpunten > Gebruikers moeten vaak opnieuw inloggen
Omschrijving
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
\ No newline at end of file
+Knelpunten > Gebruikers moeten vaak opnieuw inloggen
Knelpunten > Gebruikers moeten vaak opnieuw inloggen
Omschrijving
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
\ No newline at end of file
diff --git a/docs/content/elements/id-7bc5e268a3694784b635db97849438dd.html b/docs/content/elements/id-7bc5e268a3694784b635db97849438dd.html
new file mode 100644
index 00000000..3d393626
--- /dev/null
+++ b/docs/content/elements/id-7bc5e268a3694784b635db97849438dd.html
@@ -0,0 +1 @@
+Knelpunten > DigiD ondersteunt geen pseudoniemen voor DigiD midden en substantieel
Knelpunten > DigiD ondersteunt geen pseudoniemen voor DigiD midden en substantieel
Omschrijving
DigiD is op dit moment niet in staat om een pseudoniem van een gebruiker op te leveren op DigiD betrouwbaarheidsniveaus midden en substantieel, waardoor het inzetgebied beperkt is op deze niveaus tot diensten waarvoor er een grondslag is voor verwerking van het BSN. Voor diensten waarvoor anoniem gebruik voldoende is kan DigiD dus ook niet worden gebruikt. Dit voldoet niet aan de eIDAS verordening.
id-7bc5e268a3694784b635db97849438dd
\ No newline at end of file
diff --git a/docs/content/elements/id-7cf7d264e6a84c85a50d8feefc8eae67.html b/docs/content/elements/id-7cf7d264e6a84c85a50d8feefc8eae67.html
index adf704ab..52aad005 100644
--- a/docs/content/elements/id-7cf7d264e6a84c85a50d8feefc8eae67.html
+++ b/docs/content/elements/id-7cf7d264e6a84c85a50d8feefc8eae67.html
@@ -1 +1 @@
-Bedrijfsfuncties > Toekennen rollen
Bedrijfsfuncties > Toekennen rollen
Omschrijving
Het creëren, wijzigen en verwijderen van relaties tussen digitale identiteiten en rollen.
\ No newline at end of file
diff --git a/docs/content/elements/id-7f4dc8e8532147a7bcaa8b5846799154.html b/docs/content/elements/id-7f4dc8e8532147a7bcaa8b5846799154.html
index 3a9f75e2..4cf74edd 100644
--- a/docs/content/elements/id-7f4dc8e8532147a7bcaa8b5846799154.html
+++ b/docs/content/elements/id-7f4dc8e8532147a7bcaa8b5846799154.html
@@ -1 +1 @@
-Ontwikkelingen > Adaptieve toegangscontrole
Ontwikkelingen > Adaptieve toegangscontrole
Omschrijving
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
id-7f4dc8e8532147a7bcaa8b5846799154
\ No newline at end of file
+Ontwikkelingen > Adaptieve toegangscontrole
Ontwikkelingen > Adaptieve toegangscontrole
Omschrijving
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
id-7f4dc8e8532147a7bcaa8b5846799154
\ No newline at end of file
diff --git a/docs/content/elements/id-82087c95385c4244a8993e31eb05b8a8.html b/docs/content/elements/id-82087c95385c4244a8993e31eb05b8a8.html
index 0826de81..bda9ed7f 100644
--- a/docs/content/elements/id-82087c95385c4244a8993e31eb05b8a8.html
+++ b/docs/content/elements/id-82087c95385c4244a8993e31eb05b8a8.html
@@ -1 +1 @@
-Veranderinitiatieven > Register met certificaten voor Europese toegang
Veranderinitiatieven > Register met certificaten voor Europese toegang
Omschrijving
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
\ No newline at end of file
+Veranderinitiatieven > Register met certificaten voor Europese toegang
Veranderinitiatieven > Register met certificaten voor Europese toegang
Omschrijving
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
\ No newline at end of file
diff --git a/docs/content/elements/id-8263de75e16b4b5189e83635d262aca6.html b/docs/content/elements/id-8263de75e16b4b5189e83635d262aca6.html
index 970986b3..21b00d19 100644
--- a/docs/content/elements/id-8263de75e16b4b5189e83635d262aca6.html
+++ b/docs/content/elements/id-8263de75e16b4b5189e83635d262aca6.html
@@ -1 +1 @@
-Huidige voorzieningen > eIDAS koppelpunt
Huidige voorzieningen > eIDAS koppelpunt
Omschrijving
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
[...] levert gegevens aan BRP koppelpunt (persoon) [...] levert gegevens aan DigiD (authenticatieverzoek) TVS levert gegevens aan [...] (authenticatieverzoek) Dienst levert gegevens aan [...] (authenticatieverzoek) BSNk Decryptie levert gegevens aan [...] (?) BSN-koppelregister polymorfe pseudoniemen levert gegevens aan [...] (PP, VP, sleutel) BRP levert gegevens aan [...] (persoon)
id-8263de75e16b4b5189e83635d262aca6
\ No newline at end of file
+Huidige voorzieningen > eIDAS koppelpunt
Huidige voorzieningen > eIDAS koppelpunt
Omschrijving
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
[...] levert gegevens aan BRP koppelpunt (persoon) [...] levert gegevens aan DigiD (authenticatieverzoek) TVS levert gegevens aan [...] (authenticatieverzoek) Dienst levert gegevens aan [...] (authenticatieverzoek) BSNk Decryptie levert gegevens aan [...] (?) BSN-koppelregister polymorfe pseudoniemen levert gegevens aan [...] (PP, VP, sleutel) BRP levert gegevens aan [...] (persoon)
id-8263de75e16b4b5189e83635d262aca6
\ No newline at end of file
diff --git a/docs/content/elements/id-82d6cfa0c9a747acb3737525882b4e5d.html b/docs/content/elements/id-82d6cfa0c9a747acb3737525882b4e5d.html
index 75563bc2..75e31e52 100644
--- a/docs/content/elements/id-82d6cfa0c9a747acb3737525882b4e5d.html
+++ b/docs/content/elements/id-82d6cfa0c9a747acb3737525882b4e5d.html
@@ -1 +1 @@
-Principes > 6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Principes > 6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Rationale
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
Implicaties
1. Autorisatie tot een service vindt plaats op basis van de identiteit van de overheidsorganisatie waarmee de juridische afspraak tot het afnemen van de dienst is gemaakt. 2. Autorisatie en authenticatie gebeurt bij de dienstverlener niet op een verder gedetailleerd niveau, zoals medewerker, afdeling, applicatie of wettelijke taak. 3. Afnemende organisaties definiëren zelf autorisaties van individuele medewerkers, en moeten daar controleerbaar verantwoording over afleggen. 4. Afnemerorganisatie zorgen dat verzoeken alleen worden gedaan door daartoe bevoegde medewerkers en applicaties/systemen. 5. Een dienstverlener kan alleen maar inzage kan geven in de organisaties aan wie gegevens zijn verstrekt. 6. De naam van de medewerker bij de afnemersorganisatie kan wel als inhoudelijk gegeven worden meegegeven bij het aanroepen van een dienst. 7. Als gebruik wordt gemaakt van een intermediair die gegevens inhoudelijk bewerkt dan wordt toegang tot de intermediair verleend op het niveau van de afnemersorganisatie en toegang tot de uiteindelijke dienst op het niveau van de intermediair.
id-82d6cfa0c9a747acb3737525882b4e5d
\ No newline at end of file
+Principes > 6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Principes > 6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Rationale
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
Implicaties
1. Autorisatie tot een service vindt plaats op basis van de identiteit van de overheidsorganisatie waarmee de juridische afspraak tot het afnemen van de dienst is gemaakt. 2. Autorisatie en authenticatie gebeurt bij de dienstverlener niet op een verder gedetailleerd niveau, zoals medewerker, afdeling, applicatie of wettelijke taak. 3. Afnemende organisaties definiëren zelf autorisaties van individuele medewerkers, en moeten daar controleerbaar verantwoording over afleggen. 4. Afnemerorganisatie zorgen dat verzoeken alleen worden gedaan door daartoe bevoegde medewerkers en applicaties/systemen. 5. Een dienstverlener kan alleen maar inzage kan geven in de organisaties aan wie gegevens zijn verstrekt. 6. De naam van de medewerker bij de afnemersorganisatie kan wel als inhoudelijk gegeven worden meegegeven bij het aanroepen van een dienst. 7. Als gebruik wordt gemaakt van een intermediair die gegevens inhoudelijk bewerkt dan wordt toegang tot de intermediair verleend op het niveau van de afnemersorganisatie en toegang tot de uiteindelijke dienst op het niveau van de intermediair.
id-82d6cfa0c9a747acb3737525882b4e5d
\ No newline at end of file
diff --git a/docs/content/elements/id-83db5a52a2914474a04a7152fa9d12e0.html b/docs/content/elements/id-83db5a52a2914474a04a7152fa9d12e0.html
index 504ef909..87e4d35d 100644
--- a/docs/content/elements/id-83db5a52a2914474a04a7152fa9d12e0.html
+++ b/docs/content/elements/id-83db5a52a2914474a04a7152fa9d12e0.html
@@ -1 +1 @@
-Bedrijfsfuncties > Beheren bevoegdheden
Bedrijfsfuncties > Beheren bevoegdheden
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van (gegevens over) bevoegdheden.
\ No newline at end of file
diff --git a/docs/content/elements/id-841e130c70094babbe08885826c0cc8a.html b/docs/content/elements/id-841e130c70094babbe08885826c0cc8a.html
index f6a904c5..ad246c58 100644
--- a/docs/content/elements/id-841e130c70094babbe08885826c0cc8a.html
+++ b/docs/content/elements/id-841e130c70094babbe08885826c0cc8a.html
@@ -1 +1 @@
-Capabilities > Betrouwbare authenticatiemiddelen
Capabilities > Betrouwbare authenticatiemiddelen
Omschrijving
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
\ No newline at end of file
+Capabilities > Betrouwbare authenticatiemiddelen
Capabilities > Betrouwbare authenticatiemiddelen
Omschrijving
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
\ No newline at end of file
diff --git a/docs/content/elements/id-85281b5bc24243a1a48172926e06f276.html b/docs/content/elements/id-85281b5bc24243a1a48172926e06f276.html
index ee5cd671..35a38aac 100644
--- a/docs/content/elements/id-85281b5bc24243a1a48172926e06f276.html
+++ b/docs/content/elements/id-85281b5bc24243a1a48172926e06f276.html
@@ -1 +1 @@
-Knelpunten > eHerkenning middelen kosten geld
Knelpunten > eHerkenning middelen kosten geld
Omschrijving
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
\ No newline at end of file
+Knelpunten > eHerkenning middelen kosten geld
Knelpunten > eHerkenning middelen kosten geld
Omschrijving
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
\ No newline at end of file
diff --git a/docs/content/elements/id-8644c99911184debb636e09e05e58610.html b/docs/content/elements/id-8644c99911184debb636e09e05e58610.html
index a30bf215..173fb9ac 100644
--- a/docs/content/elements/id-8644c99911184debb636e09e05e58610.html
+++ b/docs/content/elements/id-8644c99911184debb636e09e05e58610.html
@@ -1 +1 @@
-Capabilities > Dataminimalisatie
Capabilities > Dataminimalisatie
Omschrijving
Overheidsorganisaties kunnen de gegevens die ze verzamelen beperken tot dat wat nodig is voor het beoogde doel.
\ No newline at end of file
diff --git a/docs/content/elements/id-8691eedf50cd4b2ca91bda6750e009c0.html b/docs/content/elements/id-8691eedf50cd4b2ca91bda6750e009c0.html
index bdc46cf1..7122a779 100644
--- a/docs/content/elements/id-8691eedf50cd4b2ca91bda6750e009c0.html
+++ b/docs/content/elements/id-8691eedf50cd4b2ca91bda6750e009c0.html
@@ -1,4 +1,4 @@
-Gewenste voorzieningen > Aansluit- en beheerportaal
Gewenste voorzieningen > Aansluit- en beheerportaal
Omschrijving
Om dienstverleners in staat te stellen zo eenvoudig mogelijk hun aansluiting in te richten en te beheren wordt een aansluit- en beheerportaal beschikbaar gesteld. Dienstverleners beheren met deze voorziening de administratieve, functionele en technische onderdelen en gegevens van hun aansluiting. Ze beheren hun gegevens van de Stelselmetada via het Aansluit- en beheerportaal. Het Aansluit- en beheerportaal verzorgt het aansluiten op de Conformancetestomgeving en op de productieomgeving van het stelsel. Het Aansluit- en beheerportaal biedt ook een kanaal/platform voor informatievoorziening rond het stelsel.
+Gewenste voorzieningen > Aansluit- en beheerportaal
Gewenste voorzieningen > Aansluit- en beheerportaal
Omschrijving
Om dienstverleners in staat te stellen zo eenvoudig mogelijk hun aansluiting in te richten en te beheren wordt een aansluit- en beheerportaal beschikbaar gesteld. Dienstverleners beheren met deze voorziening de administratieve, functionele en technische onderdelen en gegevens van hun aansluiting. Ze beheren hun gegevens van de Stelselmetada via het Aansluit- en beheerportaal. Het Aansluit- en beheerportaal verzorgt het aansluiten op de Conformancetestomgeving en op de productieomgeving van het stelsel. Het Aansluit- en beheerportaal biedt ook een kanaal/platform voor informatievoorziening rond het stelsel.
Het portaal biedt de volgende functies aan dienstverleners en brokers voor de Conformancetestomgeving en de productie omgeving:
• Informeren over aansluiten;
diff --git a/docs/content/elements/id-87d20390ad9b43eea623acd8193d0428.html b/docs/content/elements/id-87d20390ad9b43eea623acd8193d0428.html
index 3c1b8ad8..e6e4dd83 100644
--- a/docs/content/elements/id-87d20390ad9b43eea623acd8193d0428.html
+++ b/docs/content/elements/id-87d20390ad9b43eea623acd8193d0428.html
@@ -1 +1 @@
-Bedrijfsfuncties > Creëren digitale identiteit
Bedrijfsfuncties > Creëren digitale identiteit
Omschrijving
Het creëren en vastleggen van de gegevens die horen bij een nieuwe digitale identiteit.
\ No newline at end of file
diff --git a/docs/content/elements/id-87efb23dd060485693d5d93dc857dbf4.html b/docs/content/elements/id-87efb23dd060485693d5d93dc857dbf4.html
index 6bdb2ca2..19971c66 100644
--- a/docs/content/elements/id-87efb23dd060485693d5d93dc857dbf4.html
+++ b/docs/content/elements/id-87efb23dd060485693d5d93dc857dbf4.html
@@ -1 +1 @@
-Bedrijfsfuncties > Routeren naar authenticatiedienst
Bedrijfsfuncties > Routeren naar authenticatiedienst
Omschrijving
Het routeren van een verzoek tot authenticatie naar een partij die de authenticatie uitvoert.
\ No newline at end of file
diff --git a/docs/content/elements/id-89c65a70db1b44d198856566c5d012be.html b/docs/content/elements/id-89c65a70db1b44d198856566c5d012be.html
index ba1b1614..a0e08170 100644
--- a/docs/content/elements/id-89c65a70db1b44d198856566c5d012be.html
+++ b/docs/content/elements/id-89c65a70db1b44d198856566c5d012be.html
@@ -1,2 +1,2 @@
-Bedrijfsobjecten > Informatieobject
Bedrijfsobjecten > Informatieobject
Omschrijving
Een op zichzelf staand geheel van gegevens met een eigen identiteit. (bron: MDTO)
+Bedrijfsobjecten > Informatieobject
Bedrijfsobjecten > Informatieobject
Omschrijving
Een op zichzelf staand geheel van gegevens met een eigen identiteit. (bron: MDTO)
\ No newline at end of file
diff --git a/docs/content/elements/id-89cae607ed114aa9b258920260a4499c.html b/docs/content/elements/id-89cae607ed114aa9b258920260a4499c.html
index eb815240..b6c57eae 100644
--- a/docs/content/elements/id-89cae607ed114aa9b258920260a4499c.html
+++ b/docs/content/elements/id-89cae607ed114aa9b258920260a4499c.html
@@ -1 +1 @@
-Bedrijfsfuncties > Auditing en monitoring
Bedrijfsfuncties > Auditing en monitoring
Omschrijving
Het vastleggen van relevante gebeurtenissen rondom toegang en het uitvoeren van controlerende activiteiten om misbruik of fraude vast te stellen.
\ No newline at end of file
diff --git a/docs/content/elements/id-8abc788d9ffe49ebbb0980c44d5f8b5d.html b/docs/content/elements/id-8abc788d9ffe49ebbb0980c44d5f8b5d.html
index a4034c5d..599b5473 100644
--- a/docs/content/elements/id-8abc788d9ffe49ebbb0980c44d5f8b5d.html
+++ b/docs/content/elements/id-8abc788d9ffe49ebbb0980c44d5f8b5d.html
@@ -1 +1 @@
-Knelpunten > Beperkte machtigingsfunctionaliteit
Knelpunten > Beperkte machtigingsfunctionaliteit
Omschrijving
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
\ No newline at end of file
+Knelpunten > Beperkte machtigingsfunctionaliteit
Knelpunten > Beperkte machtigingsfunctionaliteit
Omschrijving
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
\ No newline at end of file
diff --git a/docs/content/elements/id-8addb4bcb26c46019bd5ad035a87d236.html b/docs/content/elements/id-8addb4bcb26c46019bd5ad035a87d236.html
index 506560d1..dc50da32 100644
--- a/docs/content/elements/id-8addb4bcb26c46019bd5ad035a87d236.html
+++ b/docs/content/elements/id-8addb4bcb26c46019bd5ad035a87d236.html
@@ -1 +1 @@
-Bedrijfsfuncties > Uitgeven authenticatiemiddel
Bedrijfsfuncties > Uitgeven authenticatiemiddel
Omschrijving
Het overhandigen van authenticatiefactoren die behoren bij een authenticatiemiddel aan de entiteit met de bijbehorende digitale identiteit, volgens een proces dat voldoet aan de normen van een specifiek betrouwbaarheidsniveau.
\ No newline at end of file
+Bedrijfsfuncties > Uitgeven authenticatiemiddel
Bedrijfsfuncties > Uitgeven authenticatiemiddel
Omschrijving
Het overhandigen van authenticatiefactoren die behoren bij een authenticatiemiddel aan de entiteit met de bijbehorende digitale identiteit, volgens een proces dat voldoet aan de normen van een specifiek betrouwbaarheidsniveau.
\ No newline at end of file
diff --git a/docs/content/elements/id-8f607c3b2daa4f6fafff09a1c39691bc.html b/docs/content/elements/id-8f607c3b2daa4f6fafff09a1c39691bc.html
index c646ba0f..bd72c2cd 100644
--- a/docs/content/elements/id-8f607c3b2daa4f6fafff09a1c39691bc.html
+++ b/docs/content/elements/id-8f607c3b2daa4f6fafff09a1c39691bc.html
@@ -1 +1 @@
-Standaarden > SD-JWT
Standaarden > SD-JWT
Omschrijving
Selective Disclosure JWT (SD-JWT) is een standaard die het mogelijk maakt om een subset van verklaringen in een getekende JWT te delen.
\ No newline at end of file
diff --git a/docs/content/elements/id-904b487b4a5941c29b3d7d0d5f9b027c.html b/docs/content/elements/id-904b487b4a5941c29b3d7d0d5f9b027c.html
index f1b3bfa3..f25d245b 100644
--- a/docs/content/elements/id-904b487b4a5941c29b3d7d0d5f9b027c.html
+++ b/docs/content/elements/id-904b487b4a5941c29b3d7d0d5f9b027c.html
@@ -1,4 +1,4 @@
-Gewenste voorzieningen > Stelsel metadata
Gewenste voorzieningen > Stelsel metadata
Omschrijving
Stelselmetada is de betrouwbare en gezaghebbende bron van de gegevens van de deelnemende partijen en aangesloten dienstverleners die nodig zijn voor het gezamenlijk functioneren van de voorzieningen in het Stelsel Toegang. Elke partij mag ervan uit aan dat de gegevens in de Stelselmetada juist en actueel zijn en als betrouwbaar worden gekwalificeerd. Het betreft gegevens voor de functionele en de technische werking van de componenten van alle betrokken partijen.
+Gewenste voorzieningen > Stelsel metadata
Gewenste voorzieningen > Stelsel metadata
Omschrijving
Stelselmetada is de betrouwbare en gezaghebbende bron van de gegevens van de deelnemende partijen en aangesloten dienstverleners die nodig zijn voor het gezamenlijk functioneren van de voorzieningen in het Stelsel Toegang. Elke partij mag ervan uit aan dat de gegevens in de Stelselmetada juist en actueel zijn en als betrouwbaar worden gekwalificeerd. Het betreft gegevens voor de functionele en de technische werking van de componenten van alle betrokken partijen.
Stelselmetada bevat alleen publieke informatie en is voor iedereen toegankelijk. Alle deelnemers en aangesloten dienstverleners worden op basis van hun OIN in de Stelselmetada geregistreerd. Er kunnen aanvullende andere attributen opgenomen worden om een verder en verbeterd vertrouwen in het stelsel te waarborgen, zoals:
- Naam van de organisatie
diff --git a/docs/content/elements/id-906f182647604ffc90107fdb1c8d46de.html b/docs/content/elements/id-906f182647604ffc90107fdb1c8d46de.html
index b4f5c00f..31c56d0c 100644
--- a/docs/content/elements/id-906f182647604ffc90107fdb1c8d46de.html
+++ b/docs/content/elements/id-906f182647604ffc90107fdb1c8d46de.html
@@ -1 +1 @@
-Bedrijfsobjecten > Machtiging
Bedrijfsobjecten > Machtiging
Omschrijving
Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de vertegenwoordiger) om in naam van eerstgenoemde rechtshandelingen te verrichten. (bron: GDI-architectuur I&A)
\ No newline at end of file
+Bedrijfsobjecten > Machtiging
Bedrijfsobjecten > Machtiging
Omschrijving
Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de vertegenwoordiger) om in naam van eerstgenoemde rechtshandelingen te verrichten. (bron: GDI-architectuur I&A)
\ No newline at end of file
diff --git a/docs/content/elements/id-92b61d714b7f4ed6a2ffed3d71bc34be.html b/docs/content/elements/id-92b61d714b7f4ed6a2ffed3d71bc34be.html
index 015685b6..2387fc4c 100644
--- a/docs/content/elements/id-92b61d714b7f4ed6a2ffed3d71bc34be.html
+++ b/docs/content/elements/id-92b61d714b7f4ed6a2ffed3d71bc34be.html
@@ -1 +1 @@
-Huidige voorzieningen > eHerkenning makelaar
Huidige voorzieningen > eHerkenning makelaar
Omschrijving
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
\ No newline at end of file
+Huidige voorzieningen > eHerkenning makelaar
Huidige voorzieningen > eHerkenning makelaar
Omschrijving
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
\ No newline at end of file
diff --git a/docs/content/elements/id-93a1371d1b704ef9b0d88e433f3ab319.html b/docs/content/elements/id-93a1371d1b704ef9b0d88e433f3ab319.html
index 7944ea3c..2ccb571c 100644
--- a/docs/content/elements/id-93a1371d1b704ef9b0d88e433f3ab319.html
+++ b/docs/content/elements/id-93a1371d1b704ef9b0d88e433f3ab319.html
@@ -1 +1 @@
-Huidige voorzieningen > eHerkenning middelenverstrekker
Huidige voorzieningen > eHerkenning middelenverstrekker
Omschrijving
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
KvK levert gegevens aan [...] (KvK nummer, vestigingsnummer) eHerkenning makelaar levert gegevens aan [...] (authenticatieverzoek)
id-93a1371d1b704ef9b0d88e433f3ab319
\ No newline at end of file
+Huidige voorzieningen > eHerkenning middelenverstrekker
Huidige voorzieningen > eHerkenning middelenverstrekker
Omschrijving
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
Het creëren en vastleggen van gegevens over een authenticatiemiddel en de bijbehorende authenticatiefactoren, inclusief een koppeling met de digitale identiteit.
Het creëren en vastleggen van gegevens over een authenticatiemiddel en de bijbehorende authenticatiefactoren, inclusief een koppeling met de digitale identiteit.
\ No newline at end of file
diff --git a/docs/content/elements/id-9592d4808efb4be9aa2751e0019b4771.html b/docs/content/elements/id-9592d4808efb4be9aa2751e0019b4771.html
index 9a8e06c0..5a58938e 100644
--- a/docs/content/elements/id-9592d4808efb4be9aa2751e0019b4771.html
+++ b/docs/content/elements/id-9592d4808efb4be9aa2751e0019b4771.html
@@ -1 +1 @@
-Huidige voorzieningen
Huidige voorzieningen
id-9592d4808efb4be9aa2751e0019b4771
\ No newline at end of file
+Huidige voorzieningen
Huidige voorzieningen
id-9592d4808efb4be9aa2751e0019b4771
\ No newline at end of file
diff --git a/docs/content/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html b/docs/content/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html
index 8b881d04..06875ef6 100644
--- a/docs/content/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html
+++ b/docs/content/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html
@@ -1,4 +1,4 @@
-Inleiding
Inleiding
Aanleiding
+
Inleiding
Inleiding
Aanleiding
De overheid digitaliseert en dat roept vragen op over hoe overheidsorganisaties hun processen, gegevens en systemen moeten inrichten. De Generieke Digitale Infrastructuur (GDI) ondersteunt de digitale overheid met afspraken, standaarden en voorzieningen. In de MIDO governancestructuur werken overheidsorganisaties samen aan de doorontwikkeling van de digitale overheid en de GDI. Er is een Architectuur Digitale Overheid 2030 opgesteld die op hoofdlijnen beschrijft hoe de digitale overheid zich de komende jaren zou moeten ontwikkelen. Deze architectuur wordt uitgewerkt in vier domeinarchitecturen op het gebied van interactie, toegang, gegevensuitwisseling en infrastructuur. Toegang gaat over het kunnen benaderen van diensten en informatie-objecten die beveiligd zijn. Gegevensuitwisseling is het domein dat gaat over het uitwisselen van gegevens tussen de informatiesystemen van overheidsorganisaties en met andere organisaties. Deze gegevens worden richting gebruikers ontsloten in de context van het domein interactie. Domein infrastructuur ondersteunt de andere domeinen met generieke software en hardware.
Toegang is onderdeel van de maatregelen die genomen moeten worden in het kader van informatiebeveiliging. Het is grotendeels synoniem met wat ook wel "identity & access management" wordt genoemd. Dit is iets dat zowel binnen organisaties als over organisatiegrenzen heen aandacht vraagt. In de context van de GDI gaat het vooral over organisatie-overstijgende toegang voor burgers en organisaties. Dit staat relatief los van hoe organisaties hun eigen medewerkers toegang verlenen, alhoewel het ook gebruikt kan worden om medewerkers van de ene overheidsorganisatie toegang te geven tot andere overheidsorganisaties. Landelijke voorzieningen zoals DigiD en eHerkenning zijn de belangrijkste onderwerpen van gesprek, maar het toegangslandschap is tevens aan het veranderen. Zo zullen er in de toekomst ook private middelen worden toegelaten om toegang te verkrijgen tot overheidsdiensten. Daarnaast worden er in het kader van de nieuwe eIDAS 2.0 verordening European Digital Identity Wallets geïntroduceerd die ook als authenticatiemiddel kunnen worden ingezet. In meer algemene zin hebben ontwikkelingen zoals Self Sovereign Identity grote impact op hoe idealiter met toegang wordt omgegaan.
@@ -6,7 +6,7 @@
Dit document beschrijft de domeinarchitectuur voor toegang, als onderdeel van de Generieke Digitale Infrastructuur. Het is opgesteld in een interbestuurlijke werkgroep met vertegenwoordigers van verschillende overheidsorganisaties. Deze zijn ondersteund door bureau MIDO van het ministerie van BZK. Het beschrijft de ontwikkelingen en wet- en regelgeving en vertaalt deze naar een visie en kaders voor de inrichting van toegang tot overheidsorganisaties. Het document is vooral gericht op enterprise-, informatie- en security-architecten bij overheidsorganisaties. Het document is een doorontwikkeling van de eerdere domeinarchitecturen voor identificatie & authenticatie en machtigen & vertegenwoordigen maar kent een andere structuur en opzet. Zo is er voor gekozen om de architectuur zoveel mogelijk in de modelleertaal ArchiMate uit te werken en de details ervan alleen on-line beschikbaar te stellen. Dit document is daarmee een samenvatting en verwijzing naar details die on-line te vinden zijn. De architectuur wordt on-line ook doorontwikkeld en beheerd in GitHub, waardoor de meest actuele versie daar te vinden is. Daar zijn ook bestanden te vinden die direct kunnen worden ingelezen in het modelleertool Archi.
Deze domeinarchitectuur heeft een relatie met de andere domeinarchitecturen, de Architectuur Digitale Overheid en NORA. Met name de domeinarchitectuur gegevensuitwisseling is sterk gerelateerd aan deze domeinarchitectuur, omdat het uitwisselen van gegevens in veel gevallen om toegang vraagt. Er is bewust voor gekozen om geen delen uit de domeinarchitectuur gegevensuitwisseling in te kopiëren in deze architectuur, zodat er één duidelijke bron van informatie over gegevensuitwisseling is. De consequentie hiervan is dat lezers wordt gevraagd om de domeinarchitectuur gegevensuitwisseling ook te lezen om een volledig beeld van toegang te krijgen. Deze domeinarchitectuur is nadrukkelijk afgestemd op de Architectuur Digitale Overheid 2030 en de NORA. Hierdoor kun je de domeinarchitectuur zien als een doorvertaling en concretisering van deze overkoepelende architecturen.
-
De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld.
+
De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld. De architectuur moet vooral worden gezien als een beschrijving van best-practices. Ze geven richting aan ontwerpkeuzes die in programma's en projecten worden gemaakt.
Relatie met andere initiatieven
Er zijn allerlei andere intiatieven die zijn gerelateerd aan toegang. Het belangrijkste programma dat er op dit moment loopt is het programma/stelsel toegang. In het kader van dit intiatief is een doelarchitectuur toegang opgesteld die met name inzicht geeft in de impact van de eerste tranche van de Wet digitale overheid. Er is afgestemd dit programma om ervoor te zorgen dat er geen conflicten en overlap ontstaat. Deze domeinarchitectuur kijkt met name breder en verder dan de doelarchitectuur toegang.
Bedrijfsfuncties zijn activiteiten die organisaties uitvoeren, los van hoe ze zijn georganiseerd. In deze domeinarchitectuur hebben we functies benoemd die in het algemeen relevant zijn voor toegang. De functies beschrijven vooral activiteiten op organisatieniveau, maar ze zijn ook te zien als functies van informatiesystemen. Organisaties zullen ervoor moeten worden dat deze bedrijfsfuncties worden uitgevoerd door mensen en/of informatiesystemen. Daarbij kunnen ze ervoor kiezen om ze door andere organisaties te laten uitvoeren zoals aanbieders of andere soorten intermediars of dienstverleners. Op landelijk niveau zijn er ook generieke voorzieningen beschikbaar die invulling geven aan een aantal van deze functies. De lijst van functies kan gebruikt worden om inzicht te geven in de huidige en gewenste inrichting van organisatie, processen en informatiesystemen. In de domeinarchitectuur zijn ze gekoppeld aan de capabilities, architectuurprincipes, bedrijfsobjecten, voorzieningen en standaarden.
[...] is gerelateerd aan Verifiable Credentials [...] is gerelateerd aan SAML [...] is gerelateerd aan SCIM [...] is gerelateerd aan JWT [...] is gerelateerd aan XACML [...] is gerelateerd aan SD-JWT [...] is gerelateerd aan X509 [...] is gerelateerd aan SD-JWT VC
id-9e14841bf7a34845a4465fb9aa96cc53
\ No newline at end of file
+Bedrijfsobjecten > Digitale identiteit
Bedrijfsobjecten > Digitale identiteit
Omschrijving
Een verzameling gegevens (attributen) die een digitale representatie zijn van een entiteit binnen een bepaald digitaal toepassingsgebied.
[...] is gerelateerd aan Verifiable Credentials [...] is gerelateerd aan SAML [...] is gerelateerd aan SCIM [...] is gerelateerd aan JWT [...] is gerelateerd aan XACML [...] is gerelateerd aan SD-JWT [...] is gerelateerd aan X509 [...] is gerelateerd aan SD-JWT VC
id-9e14841bf7a34845a4465fb9aa96cc53
\ No newline at end of file
diff --git a/docs/content/elements/id-9e529c1639ee4c7e915ab3a586f9e415.html b/docs/content/elements/id-9e529c1639ee4c7e915ab3a586f9e415.html
index 658cfb94..15034184 100644
--- a/docs/content/elements/id-9e529c1639ee4c7e915ab3a586f9e415.html
+++ b/docs/content/elements/id-9e529c1639ee4c7e915ab3a586f9e415.html
@@ -1 +1 @@
-Veranderinitiatieven > TVS accepteren als GDI-voorziening
Veranderinitiatieven > TVS accepteren als GDI-voorziening
Omschrijving
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
\ No newline at end of file
+Veranderinitiatieven > TVS accepteren als GDI-voorziening
Veranderinitiatieven > TVS accepteren als GDI-voorziening
Omschrijving
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
\ No newline at end of file
diff --git a/docs/content/elements/id-9edaa105afef4c02bab19e78598847a7.html b/docs/content/elements/id-9edaa105afef4c02bab19e78598847a7.html
index d27b10af..714d30d5 100644
--- a/docs/content/elements/id-9edaa105afef4c02bab19e78598847a7.html
+++ b/docs/content/elements/id-9edaa105afef4c02bab19e78598847a7.html
@@ -1 +1 @@
-Capabilities
Capabilities
id-9edaa105afef4c02bab19e78598847a7
\ No newline at end of file
+Capabilities
Capabilities
id-9edaa105afef4c02bab19e78598847a7
\ No newline at end of file
diff --git a/docs/content/elements/id-9f8c3a76be074fb791acb27cd1335fbb.html b/docs/content/elements/id-9f8c3a76be074fb791acb27cd1335fbb.html
index d0d94331..15600ea3 100644
--- a/docs/content/elements/id-9f8c3a76be074fb791acb27cd1335fbb.html
+++ b/docs/content/elements/id-9f8c3a76be074fb791acb27cd1335fbb.html
@@ -1 +1 @@
-Bedrijfsobjecten > Verklarende partij
Bedrijfsobjecten > Verklarende partij
Omschrijving
Een organisatie die verifieerbare verklaringen uitgeeft.
\ No newline at end of file
diff --git a/docs/content/elements/id-a4046d419300443da3ec983b6a64884b.html b/docs/content/elements/id-a4046d419300443da3ec983b6a64884b.html
index c28a6d89..44dde0ee 100644
--- a/docs/content/elements/id-a4046d419300443da3ec983b6a64884b.html
+++ b/docs/content/elements/id-a4046d419300443da3ec983b6a64884b.html
@@ -1 +1 @@
-Knelpunten > Toegang zonder BSN niet mogelijk
Knelpunten > Toegang zonder BSN niet mogelijk
Omschrijving
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
\ No newline at end of file
+Knelpunten > Toegang zonder BSN niet mogelijk
Knelpunten > Toegang zonder BSN niet mogelijk
Omschrijving
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
\ No newline at end of file
diff --git a/docs/content/elements/id-a4763a1bfff84929bfaa0c3ed15da3a0.html b/docs/content/elements/id-a4763a1bfff84929bfaa0c3ed15da3a0.html
index be2a82af..a5b707fb 100644
--- a/docs/content/elements/id-a4763a1bfff84929bfaa0c3ed15da3a0.html
+++ b/docs/content/elements/id-a4763a1bfff84929bfaa0c3ed15da3a0.html
@@ -1 +1 @@
-Knelpunten > Certificaten worden gedeeld met derden
Knelpunten > Certificaten worden gedeeld met derden
Omschrijving
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
\ No newline at end of file
+Knelpunten > Certificaten worden gedeeld met derden
Knelpunten > Certificaten worden gedeeld met derden
Omschrijving
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
\ No newline at end of file
diff --git a/docs/content/elements/id-a692aa89784847fdae662c851c4796fe.html b/docs/content/elements/id-a692aa89784847fdae662c851c4796fe.html
index 605a1b19..831bdc92 100644
--- a/docs/content/elements/id-a692aa89784847fdae662c851c4796fe.html
+++ b/docs/content/elements/id-a692aa89784847fdae662c851c4796fe.html
@@ -1 +1 @@
-Wetten > Network and Information Systems (NIS) directive 2
Wetten > Network and Information Systems (NIS) directive 2
Omschrijving
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
\ No newline at end of file
+Wetten > Network and Information Systems (NIS) directive 2
Wetten > Network and Information Systems (NIS) directive 2
Omschrijving
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
\ No newline at end of file
diff --git a/docs/content/elements/id-a6d25074ed4746d78e7b3002de2175dc.html b/docs/content/elements/id-a6d25074ed4746d78e7b3002de2175dc.html
index 8cbd096c..2c2fff66 100644
--- a/docs/content/elements/id-a6d25074ed4746d78e7b3002de2175dc.html
+++ b/docs/content/elements/id-a6d25074ed4746d78e7b3002de2175dc.html
@@ -1 +1 @@
-Bedrijfsfuncties > Inzage geven in bevoegdheden
Bedrijfsfuncties > Inzage geven in bevoegdheden
Omschrijving
Het ontsluiten van informatie over bevoegdheden, inclusief de koppeling met diensten, dienstverleners, resources en digitale identiteiten.
\ No newline at end of file
diff --git a/docs/content/elements/id-a7c21d4ffac342acac28cc8c5f206960.html b/docs/content/elements/id-a7c21d4ffac342acac28cc8c5f206960.html
index 5da34de3..81fed078 100644
--- a/docs/content/elements/id-a7c21d4ffac342acac28cc8c5f206960.html
+++ b/docs/content/elements/id-a7c21d4ffac342acac28cc8c5f206960.html
@@ -1 +1 @@
-Knelpunten > Machtigen nog niet breed geïmplementeerd
Knelpunten > Machtigen nog niet breed geïmplementeerd
Omschrijving
Uit het rapport "DigiD helpt niet mee" van de nationale ombudsman blijkt dat veel overheidsorganisaties nog niet zijn aangesloten op DigiD machtigen.
\ No newline at end of file
diff --git a/docs/content/elements/id-a7f43379e5574a35aafc28219ec22422.html b/docs/content/elements/id-a7f43379e5574a35aafc28219ec22422.html
index 5b090bac..254f736f 100644
--- a/docs/content/elements/id-a7f43379e5574a35aafc28219ec22422.html
+++ b/docs/content/elements/id-a7f43379e5574a35aafc28219ec22422.html
@@ -1 +1 @@
-Standaarden > SD-JWT VC
Standaarden > SD-JWT VC
Omschrijving
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
\ No newline at end of file
+Standaarden > SD-JWT VC
Standaarden > SD-JWT VC
Omschrijving
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
\ No newline at end of file
diff --git a/docs/content/elements/id-aa33f5b4b12c4874a986941b75acbae2.html b/docs/content/elements/id-aa33f5b4b12c4874a986941b75acbae2.html
index 81d77a9a..9220da29 100644
--- a/docs/content/elements/id-aa33f5b4b12c4874a986941b75acbae2.html
+++ b/docs/content/elements/id-aa33f5b4b12c4874a986941b75acbae2.html
@@ -1 +1 @@
-Standaarden > OpenID Connect
Standaarden > OpenID Connect
Omschrijving
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
\ No newline at end of file
+Standaarden > OpenID Connect
Standaarden > OpenID Connect
Omschrijving
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
\ No newline at end of file
diff --git a/docs/content/elements/id-aac980f42cf24d6ebfabf9ef08be885e.html b/docs/content/elements/id-aac980f42cf24d6ebfabf9ef08be885e.html
index fbd75d59..003665c5 100644
--- a/docs/content/elements/id-aac980f42cf24d6ebfabf9ef08be885e.html
+++ b/docs/content/elements/id-aac980f42cf24d6ebfabf9ef08be885e.html
@@ -1,4 +1,4 @@
-Gewenste voorzieningen > Inzageregister
Gewenste voorzieningen > Inzageregister
Omschrijving
De centrale voorziening Inzageregister stelt de gebruikers van identificatiemiddelen in staat om met behulp van een inzagefunctie informatie te krijgen over hun identificatiemiddelen. Een gebruiker kan vaststellen of zijn identificatiemiddel binnen het stelsel is geactiveerd is of is geweest. De inzagefunctie biedt alleen de desbetreffende gebruiker inzicht in de status van het identificatiemiddel (bijvoorbeeld: actief, inactief of ingetrokken). Deze informatie geeft de gebruiker de mogelijkheid om actief te handelen bij (vermoeden van) fraude.
+Gewenste voorzieningen > Inzageregister
Gewenste voorzieningen > Inzageregister
Omschrijving
De centrale voorziening Inzageregister stelt de gebruikers van identificatiemiddelen in staat om met behulp van een inzagefunctie informatie te krijgen over hun identificatiemiddelen. Een gebruiker kan vaststellen of zijn identificatiemiddel binnen het stelsel is geactiveerd is of is geweest. De inzagefunctie biedt alleen de desbetreffende gebruiker inzicht in de status van het identificatiemiddel (bijvoorbeeld: actief, inactief of ingetrokken). Deze informatie geeft de gebruiker de mogelijkheid om actief te handelen bij (vermoeden van) fraude.
Het Inzageregister legt identiteiten in relatie tot uitgegeven identificatiemiddelen vast in één administratie.
diff --git a/docs/content/elements/id-af0cf3ea648f48739df811b8c6289063.html b/docs/content/elements/id-af0cf3ea648f48739df811b8c6289063.html
index 58135ed4..8418c761 100644
--- a/docs/content/elements/id-af0cf3ea648f48739df811b8c6289063.html
+++ b/docs/content/elements/id-af0cf3ea648f48739df811b8c6289063.html
@@ -1 +1 @@
-Veranderinitiatieven > Publiek zakelijk inlogmiddel
\ No newline at end of file
diff --git a/docs/content/elements/id-b4dce57205fe4d48b888481350c6fae1.html b/docs/content/elements/id-b4dce57205fe4d48b888481350c6fae1.html
index 84ac1191..f7dfe9b8 100644
--- a/docs/content/elements/id-b4dce57205fe4d48b888481350c6fae1.html
+++ b/docs/content/elements/id-b4dce57205fe4d48b888481350c6fae1.html
@@ -1 +1 @@
-Principes > 1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Principes > 1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Rationale
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Implicaties
1. Vertrouwende partijen sluiten aan bij voor hen relevante vertrouwensnetwerken en/of lijsten van vertrouwde partijen. 2. Vertrouwende partijen borgen bij het ontwerp van hun diensten dat er voldoende betrouwbare verklarende partijen zijn die kunnen verklaren over digitale identiteiten, hun eigenschappen en bevoegdheden. 3. De gebruiker kent de vertrouwende partij en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 4. De vertrouwende partij kent de partij die de verklaring afgeeft en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 5. De vertrouwende partij kent de gebruiker en vertouwt deze doordat daar bewijs voor is geleverd. 6. Als een verifieerbare verklaring afkomstig is uit een wallet dan heeft de vertrouwende partij bewijs dat deze verklaring hoort bij de wallet en niet gekopieerd is. 7. De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de actualiteit en of deze gekwalificeerd is. 8. Er kunnen verklaringen bij verschillende verklarende partijen worden opgehaald om voldoende vertrouwen te krijgen.
\ No newline at end of file
+Principes > 1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Principes > 1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Rationale
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Implicaties
1. Vertrouwende partijen sluiten aan bij voor hen relevante vertrouwensnetwerken en/of lijsten van vertrouwde partijen. 2. Vertrouwende partijen borgen bij het ontwerp van hun diensten dat er voldoende betrouwbare verklarende partijen zijn die kunnen verklaren over digitale identiteiten, hun eigenschappen en bevoegdheden. 3. De gebruiker kent de vertrouwende partij en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 4. De vertrouwende partij kent de partij die de verklaring afgeeft en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 5. De vertrouwende partij kent de gebruiker en vertouwt deze doordat daar bewijs voor is geleverd. 6. Als een verifieerbare verklaring afkomstig is uit een wallet dan heeft de vertrouwende partij bewijs dat deze verklaring hoort bij de wallet en niet gekopieerd is. 7. De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de actualiteit en of deze gekwalificeerd is. 8. Er kunnen verklaringen bij verschillende verklarende partijen worden opgehaald om voldoende vertrouwen te krijgen.
\ No newline at end of file
diff --git a/docs/content/elements/id-b750feb34d9c40588f9443c33145b59e.html b/docs/content/elements/id-b750feb34d9c40588f9443c33145b59e.html
index b8e79e06..84ed54c0 100644
--- a/docs/content/elements/id-b750feb34d9c40588f9443c33145b59e.html
+++ b/docs/content/elements/id-b750feb34d9c40588f9443c33145b59e.html
@@ -1 +1 @@
-Bedrijfsfuncties > Autoriseren
Bedrijfsfuncties > Autoriseren
Omschrijving
Het bepalen of een digitale identiteit geautoriseerd is voor diensten en daaronder liggende functies en gegevens en beschikken over de noodzakelijke vertegenwoordigingsbevoegdheden.
\ No newline at end of file
+Bedrijfsfuncties > Autoriseren
Bedrijfsfuncties > Autoriseren
Omschrijving
Het bepalen of een digitale identiteit geautoriseerd is voor diensten en daaronder liggende functies en gegevens en beschikken over de noodzakelijke vertegenwoordigingsbevoegdheden.
\ No newline at end of file
diff --git a/docs/content/elements/id-bbb53fd3512e4e3e84c8e3059b832164.html b/docs/content/elements/id-bbb53fd3512e4e3e84c8e3059b832164.html
index 159e9872..1146f253 100644
--- a/docs/content/elements/id-bbb53fd3512e4e3e84c8e3059b832164.html
+++ b/docs/content/elements/id-bbb53fd3512e4e3e84c8e3059b832164.html
@@ -1 +1 @@
-Bedrijfsfuncties > Inzage geven in authenticatiemiddelen
Bedrijfsfuncties > Inzage geven in authenticatiemiddelen
Omschrijving
Het ontsluiten van informatie over authenticatiemiddelen en hun gebruik.
De BVD faciliteert een handelend persoon om aan te geven namens welke burger (belanghebbende burger) hij bij een dienstverlener wil handelen. De handelend persoon kan hierbij ook optreden als vertegenwoordiger/medewerker van een organisatie.
+Gewenste voorzieningen > Bevoegdheidsklaringsdienst
De BVD faciliteert een handelend persoon om aan te geven namens welke burger (belanghebbende burger) hij bij een dienstverlener wil handelen. De handelend persoon kan hierbij ook optreden als vertegenwoordiger/medewerker van een organisatie.
De BVD raadpleegt de onderliggende registers voor vrijwillig machtigen, wettelijke vertegenwoordiging (ouderlijk gezag, bevoegd gezag) en laat de handelend persoon zijn keuze maken. De BVD levert het VP van de handelend persoon en de VI of VP van de belanghebbende burger aan de dienstverlener.
diff --git a/docs/content/elements/id-be3e1d7fce8c415190791ff10295f078.html b/docs/content/elements/id-be3e1d7fce8c415190791ff10295f078.html
index 2b2c91a7..a61cb4bd 100644
--- a/docs/content/elements/id-be3e1d7fce8c415190791ff10295f078.html
+++ b/docs/content/elements/id-be3e1d7fce8c415190791ff10295f078.html
@@ -1 +1 @@
-Ontwikkelingen > Zero trust
Ontwikkelingen > Zero trust
Omschrijving
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
id-be3e1d7fce8c415190791ff10295f078
\ No newline at end of file
+Ontwikkelingen > Zero trust
Ontwikkelingen > Zero trust
Omschrijving
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
id-be3e1d7fce8c415190791ff10295f078
\ No newline at end of file
diff --git a/docs/content/elements/id-be6fbcd2977a4dacb367e9b4abee32a4.html b/docs/content/elements/id-be6fbcd2977a4dacb367e9b4abee32a4.html
index 516e75b0..b86b139c 100644
--- a/docs/content/elements/id-be6fbcd2977a4dacb367e9b4abee32a4.html
+++ b/docs/content/elements/id-be6fbcd2977a4dacb367e9b4abee32a4.html
@@ -1 +1 @@
-Wetten > eIDAS 2.0
Wetten > eIDAS 2.0
Omschrijving
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
\ No newline at end of file
diff --git a/docs/content/elements/id-c01f60f9719f4ef2bfcb8cf050cc36d2.html b/docs/content/elements/id-c01f60f9719f4ef2bfcb8cf050cc36d2.html
index 7c154d29..330dfa2f 100644
--- a/docs/content/elements/id-c01f60f9719f4ef2bfcb8cf050cc36d2.html
+++ b/docs/content/elements/id-c01f60f9719f4ef2bfcb8cf050cc36d2.html
@@ -1 +1 @@
-Standaarden
Standaarden
In de domeinarchitectuur is een lijst van standaarden opgenomen die relevant zijn in het kader van toegang. De basis voor deze lijst zijn de lijsten van Forum Standaardisatie. Deze zijn aangevuld met andere standaarden die breder worden gebruikt of relevant zijn. De standaarden zijn voorzien van een aantal standaard eigenschappen zoals de beheerorganisatie en een URL naar meer informatie. Ze zijn ook gekoppeld aan bedrijfsfuncties en bedrijfsobjecten zodat hun toepassingsgebied duidelijk is. Bij de standaarden van Forum Standaardisatie zijn ook de status en het functioneel toepassingsgebied overgenomen.
id-c01f60f9719f4ef2bfcb8cf050cc36d2
\ No newline at end of file
+Standaarden
Standaarden
In de domeinarchitectuur is een lijst van standaarden opgenomen die relevant zijn in het kader van toegang. De basis voor deze lijst zijn de lijsten van Forum Standaardisatie. Deze zijn aangevuld met andere standaarden die breder worden gebruikt of relevant zijn. De standaarden zijn voorzien van een aantal standaard eigenschappen zoals de beheerorganisatie en een URL naar meer informatie. Ze zijn ook gekoppeld aan bedrijfsfuncties en bedrijfsobjecten zodat hun toepassingsgebied duidelijk is. Bij de standaarden van Forum Standaardisatie zijn ook de status en het functioneel toepassingsgebied overgenomen.
id-c01f60f9719f4ef2bfcb8cf050cc36d2
\ No newline at end of file
diff --git a/docs/content/elements/id-c048c8b43c71465d857b5285f8b621b7.html b/docs/content/elements/id-c048c8b43c71465d857b5285f8b621b7.html
index bb04b7de..05948dc0 100644
--- a/docs/content/elements/id-c048c8b43c71465d857b5285f8b621b7.html
+++ b/docs/content/elements/id-c048c8b43c71465d857b5285f8b621b7.html
@@ -1 +1 @@
-Veranderinitiatieven > Eénmalig inloggen mogelijk maken bij individuele overheidsorganisaties
Veranderinitiatieven > Eénmalig inloggen mogelijk maken bij individuele overheidsorganisaties
Omschrijving
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
\ No newline at end of file
+Veranderinitiatieven > Eénmalig inloggen mogelijk maken bij individuele overheidsorganisaties
Veranderinitiatieven > Eénmalig inloggen mogelijk maken bij individuele overheidsorganisaties
Omschrijving
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
\ No newline at end of file
diff --git a/docs/content/elements/id-c07b09ed9fcd46d98cd4efd9700d2c4c.html b/docs/content/elements/id-c07b09ed9fcd46d98cd4efd9700d2c4c.html
index e5bd159f..7e6f425b 100644
--- a/docs/content/elements/id-c07b09ed9fcd46d98cd4efd9700d2c4c.html
+++ b/docs/content/elements/id-c07b09ed9fcd46d98cd4efd9700d2c4c.html
@@ -1 +1 @@
-Bedrijfsfuncties > Controleren verschil tussen huidige en gewenste autorisaties
Bedrijfsfuncties > Controleren verschil tussen huidige en gewenste autorisaties
Omschrijving
Het bepalen of de daadwerkelijk in systemen aanwezige autorisaties overeenkomen met de gewenste autorisaties en het inzichtelijk maken van de verschillen.
\ No newline at end of file
+Bedrijfsfuncties > Controleren verschil tussen huidige en gewenste autorisaties
Bedrijfsfuncties > Controleren verschil tussen huidige en gewenste autorisaties
Omschrijving
Het bepalen of de daadwerkelijk in systemen aanwezige autorisaties overeenkomen met de gewenste autorisaties en het inzichtelijk maken van de verschillen.
\ No newline at end of file
diff --git a/docs/content/elements/id-c0de7aa4ef7742738f889c4de0e4cd08.html b/docs/content/elements/id-c0de7aa4ef7742738f889c4de0e4cd08.html
index 1e8ac74a..925de1db 100644
--- a/docs/content/elements/id-c0de7aa4ef7742738f889c4de0e4cd08.html
+++ b/docs/content/elements/id-c0de7aa4ef7742738f889c4de0e4cd08.html
@@ -1 +1 @@
-Veranderinitiatieven > DigiD substantieel ondersteunen voor restgroepen
Veranderinitiatieven > DigiD substantieel ondersteunen voor restgroepen
Omschrijving
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
\ No newline at end of file
+Veranderinitiatieven > DigiD substantieel ondersteunen voor restgroepen
Veranderinitiatieven > DigiD substantieel ondersteunen voor restgroepen
Omschrijving
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
\ No newline at end of file
diff --git a/docs/content/elements/id-c12d128305bc457daabfcad7a81d9f26.html b/docs/content/elements/id-c12d128305bc457daabfcad7a81d9f26.html
index 105b5d82..3d0a9758 100644
--- a/docs/content/elements/id-c12d128305bc457daabfcad7a81d9f26.html
+++ b/docs/content/elements/id-c12d128305bc457daabfcad7a81d9f26.html
@@ -1 +1 @@
-Veranderinitiatieven > Standaardiseren signing en encryptie van API's
Veranderinitiatieven > Standaardiseren signing en encryptie van API's
Omschrijving
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
\ No newline at end of file
+Veranderinitiatieven > Standaardiseren signing en encryptie van API's
Veranderinitiatieven > Standaardiseren signing en encryptie van API's
Omschrijving
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
\ No newline at end of file
diff --git a/docs/content/elements/id-c266e0540ad64714932a780fe9e74037.html b/docs/content/elements/id-c266e0540ad64714932a780fe9e74037.html
index da1f0baf..92cfd2d4 100644
--- a/docs/content/elements/id-c266e0540ad64714932a780fe9e74037.html
+++ b/docs/content/elements/id-c266e0540ad64714932a780fe9e74037.html
@@ -1 +1 @@
-Bedrijfsobjecten > Dienstverlener
\ No newline at end of file
diff --git a/docs/content/elements/id-c81088e8b4eb4a3f980a8a00fca853e3.html b/docs/content/elements/id-c81088e8b4eb4a3f980a8a00fca853e3.html
new file mode 100644
index 00000000..edd8d0e8
--- /dev/null
+++ b/docs/content/elements/id-c81088e8b4eb4a3f980a8a00fca853e3.html
@@ -0,0 +1 @@
+Knelpunten > DigiD en eHerkenning is lastig toegankelijk voor minder digitaal vaardigen
Knelpunten > DigiD en eHerkenning is lastig toegankelijk voor minder digitaal vaardigen
Omschrijving
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat DigiD en eHerkenning authenticatiemiddelen niet optimaal werken voor minder digitaal vaardigen. Dit komt met name doordat zij worden gedwongen om gebruik te gaan maken van smartphone apps (SMS wordt uitgefaseerd), terwijl zij veelal geen smartphone hebben of onvoldoende vaardig zijn om deze ten volle te kunnen gebruiken.
id-c81088e8b4eb4a3f980a8a00fca853e3
\ No newline at end of file
diff --git a/docs/content/elements/id-c89765631a7f4df58760c8fc9d6acea7.html b/docs/content/elements/id-c89765631a7f4df58760c8fc9d6acea7.html
index 1a55b8dd..7b9b98d9 100644
--- a/docs/content/elements/id-c89765631a7f4df58760c8fc9d6acea7.html
+++ b/docs/content/elements/id-c89765631a7f4df58760c8fc9d6acea7.html
@@ -1 +1 @@
-Bedrijfsfuncties > Beheren dienstverleners
Bedrijfsfuncties > Beheren dienstverleners
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over dienstverleners.
\ No newline at end of file
diff --git a/docs/content/elements/id-ce305936dfbe416dadd2fd748fa3e298.html b/docs/content/elements/id-ce305936dfbe416dadd2fd748fa3e298.html
index 20cc7924..cda4ba4f 100644
--- a/docs/content/elements/id-ce305936dfbe416dadd2fd748fa3e298.html
+++ b/docs/content/elements/id-ce305936dfbe416dadd2fd748fa3e298.html
@@ -1 +1 @@
-Capabilities > Ondersteunen van publieke en private middelen
Capabilities > Ondersteunen van publieke en private middelen
Omschrijving
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
\ No newline at end of file
+Capabilities > Ondersteunen van publieke en private middelen
Capabilities > Ondersteunen van publieke en private middelen
Omschrijving
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
\ No newline at end of file
diff --git a/docs/content/elements/id-d0f151a4be2047ecbc2019f47e419fc5.html b/docs/content/elements/id-d0f151a4be2047ecbc2019f47e419fc5.html
index 7bc86cd1..205daf0b 100644
--- a/docs/content/elements/id-d0f151a4be2047ecbc2019f47e419fc5.html
+++ b/docs/content/elements/id-d0f151a4be2047ecbc2019f47e419fc5.html
@@ -1 +1 @@
-Veranderinitiatieven > Implementatie van de FSC standaard
Veranderinitiatieven > Implementatie van de FSC standaard
Omschrijving
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
\ No newline at end of file
+Veranderinitiatieven > Implementatie van de FSC standaard
Veranderinitiatieven > Implementatie van de FSC standaard
Omschrijving
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
\ No newline at end of file
diff --git a/docs/content/elements/id-d1b6dbdd642f48b0b7c831258051bbc7.html b/docs/content/elements/id-d1b6dbdd642f48b0b7c831258051bbc7.html
index d7f98add..77b273cd 100644
--- a/docs/content/elements/id-d1b6dbdd642f48b0b7c831258051bbc7.html
+++ b/docs/content/elements/id-d1b6dbdd642f48b0b7c831258051bbc7.html
@@ -1 +1 @@
-Principes > 3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Principes > 3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Rationale
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Implicaties
1. Het optimaliseren van de interne organisatie van toegangsprocessen bij overheidsorganisaties is minder belangrijk dan het bieden van een optimale klantreis. 2. Gebruikers hoeven maar één keer in te loggen voor een bepaald betrouwbaarheidsniveau om gebruik te maken van verschillende diensten die voldoende hebben aan dit niveau. 3. Authenticaties worden uitgevoerd op een basisniveau van betrouwbaarheid en pas als een gebruiker een handeling wil uitvoeren die een hoger niveau vraagt dan wordt een aanvullende (step-up) authenticatie uitgevoerd. 4. Het liefst kun je iemand per direct digitaal machtigen namens jezelf voor specifieke handelingen, zonder daarvoor allerlei procedures te doorlopen. 5. Mensen kunnen ook bij de balie iemand machtigen. 6. Het zou een standaard optie moeten zijn om iemand te vertegenwoordigen bij het inloggen.
id-d1b6dbdd642f48b0b7c831258051bbc7
\ No newline at end of file
+Principes > 3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Principes > 3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Rationale
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Implicaties
1. Het optimaliseren van de interne organisatie van toegangsprocessen bij overheidsorganisaties is minder belangrijk dan het bieden van een optimale klantreis. 2. Gebruikers hoeven maar één keer in te loggen voor een bepaald betrouwbaarheidsniveau om gebruik te maken van verschillende diensten die voldoende hebben aan dit niveau. 3. Authenticaties worden uitgevoerd op een basisniveau van betrouwbaarheid en pas als een gebruiker een handeling wil uitvoeren die een hoger niveau vraagt dan wordt een aanvullende (step-up) authenticatie uitgevoerd. 4. Het liefst kun je iemand per direct digitaal machtigen namens jezelf voor specifieke handelingen, zonder daarvoor allerlei procedures te doorlopen. 5. Mensen kunnen ook bij de balie iemand machtigen. 6. Het zou een standaard optie moeten zijn om iemand te vertegenwoordigen bij het inloggen.
id-d1b6dbdd642f48b0b7c831258051bbc7
\ No newline at end of file
diff --git a/docs/content/elements/id-d47b52c30ccc4794a9de3b781eb20811.html b/docs/content/elements/id-d47b52c30ccc4794a9de3b781eb20811.html
index 2110fc57..5946a329 100644
--- a/docs/content/elements/id-d47b52c30ccc4794a9de3b781eb20811.html
+++ b/docs/content/elements/id-d47b52c30ccc4794a9de3b781eb20811.html
@@ -1 +1 @@
-Bedrijfsobjecten > Authenticatiefactor
Bedrijfsobjecten > Authenticatiefactor
Omschrijving
Iets dat iemand heeft, weet of is en waarmee bewijs kan worden geleverd van de identiteit.
\ No newline at end of file
diff --git a/docs/content/elements/id-d766d65c0ea14ecc9e01f99938d0b61b.html b/docs/content/elements/id-d766d65c0ea14ecc9e01f99938d0b61b.html
index a6407b0c..354def9a 100644
--- a/docs/content/elements/id-d766d65c0ea14ecc9e01f99938d0b61b.html
+++ b/docs/content/elements/id-d766d65c0ea14ecc9e01f99938d0b61b.html
@@ -1 +1 @@
-Bedrijfsobjecten > Attribuut
Bedrijfsobjecten > Attribuut
Omschrijving
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een digitale Identiteit; de digitale representatie van een eigenschap van een entiteit.
[...] is gerelateerd aan XACML [...] is gerelateerd aan SAML
id-d766d65c0ea14ecc9e01f99938d0b61b
\ No newline at end of file
+Bedrijfsobjecten > Attribuut
Bedrijfsobjecten > Attribuut
Omschrijving
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een digitale Identiteit; de digitale representatie van een eigenschap van een entiteit.
[...] levert gegevens aan eHerkenning makelaar (authenticatieverzoek) [...] levert gegevens aan eIDAS koppelpunt (authenticatieverzoek) [...] levert gegevens aan CombiConnect (authenticatieverzoek) Dienst levert gegevens aan [...] (authenticatieverzoek)
id-dc5c0503f1eb4cbeb6997d399ab5ccda
\ No newline at end of file
diff --git a/docs/content/elements/id-dcdf473919e14835becc91f9cd0ea123.html b/docs/content/elements/id-dcdf473919e14835becc91f9cd0ea123.html
index e54c8518..7d7d15f0 100644
--- a/docs/content/elements/id-dcdf473919e14835becc91f9cd0ea123.html
+++ b/docs/content/elements/id-dcdf473919e14835becc91f9cd0ea123.html
@@ -1 +1 @@
-Knelpunten > Certificaten niet internationaal bruikbaar
Knelpunten > Certificaten niet internationaal bruikbaar
Omschrijving
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
\ No newline at end of file
+Knelpunten > Certificaten niet internationaal bruikbaar
Knelpunten > Certificaten niet internationaal bruikbaar
Omschrijving
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
\ No newline at end of file
diff --git a/docs/content/elements/id-dcf64f87176748e19a4fbbcc16dd4f08.html b/docs/content/elements/id-dcf64f87176748e19a4fbbcc16dd4f08.html
index 8ce6a06c..fb2d2c50 100644
--- a/docs/content/elements/id-dcf64f87176748e19a4fbbcc16dd4f08.html
+++ b/docs/content/elements/id-dcf64f87176748e19a4fbbcc16dd4f08.html
@@ -1 +1 @@
-Knelpunten > Meerdere machtigingsregisters
Knelpunten > Meerdere machtigingsregisters
Omschrijving
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
\ No newline at end of file
+Knelpunten > Meerdere machtigingsregisters
Knelpunten > Meerdere machtigingsregisters
Omschrijving
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
\ No newline at end of file
diff --git a/docs/content/elements/id-dff8144cfd17470facd69310dc510c53.html b/docs/content/elements/id-dff8144cfd17470facd69310dc510c53.html
index 3aa94516..71c0bf9b 100644
--- a/docs/content/elements/id-dff8144cfd17470facd69310dc510c53.html
+++ b/docs/content/elements/id-dff8144cfd17470facd69310dc510c53.html
@@ -1 +1 @@
-Veranderinitiatieven > Vertegenwoordigen van nabestaanden en professionele bewindvoerders
Veranderinitiatieven > Vertegenwoordigen van nabestaanden en professionele bewindvoerders
Omschrijving
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
\ No newline at end of file
+Veranderinitiatieven > Vertegenwoordigen van nabestaanden en professionele bewindvoerders
Veranderinitiatieven > Vertegenwoordigen van nabestaanden en professionele bewindvoerders
Omschrijving
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
\ No newline at end of file
diff --git a/docs/content/elements/id-e3c05a29b4c149c785cc57d71372db2f.html b/docs/content/elements/id-e3c05a29b4c149c785cc57d71372db2f.html
index 7f826c53..d34b7c62 100644
--- a/docs/content/elements/id-e3c05a29b4c149c785cc57d71372db2f.html
+++ b/docs/content/elements/id-e3c05a29b4c149c785cc57d71372db2f.html
@@ -1 +1 @@
-Wetten > Wet digitale overheid
Wetten > Wet digitale overheid
Omschrijving
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
\ No newline at end of file
+Wetten > Wet digitale overheid
Wetten > Wet digitale overheid
Omschrijving
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
\ No newline at end of file
diff --git a/docs/content/elements/id-e572700165f84f9783f1b3d0e3162a5c.html b/docs/content/elements/id-e572700165f84f9783f1b3d0e3162a5c.html
index cb138507..1e9c00ad 100644
--- a/docs/content/elements/id-e572700165f84f9783f1b3d0e3162a5c.html
+++ b/docs/content/elements/id-e572700165f84f9783f1b3d0e3162a5c.html
@@ -1 +1 @@
-Gewenste situatie
Gewenste situatie
Dit hoofdstuk geeft een overzicht van de gewenste situatie met betrekking tot toegang. Het beschrijft de belangrijkste ontwikkelingen, beleid en wet- en regelgeving die van toepassing is en de capabilities die daaruit voortvloeien. Het vertaalt deze vervolgens naar een architectuurvisie die een overkoepelende beschrijving geeft van de gewenste situatie en de architectuurprincipes die de meer concrete overtuigingen beschrijft. Op basis hiervan worden veranderinitiatieven voorgesteld, die aangeven welke nieuwe afspraken, standaarden of voorzieningen of wijzigingen daarin wenselijk zijn. Het hoofdstuk sluit af met een overzicht van relevante standaarden. De basis daarvoor zijn de domeinoverstijgende standaarden op de "pas toe, leg uit" lijst en de lijst van aanbevolen standaarden van Forum Standaardisatie. Deze standaarden zijn aangevuld met andere gangbare en anderzijds relevante standaarden.
id-e572700165f84f9783f1b3d0e3162a5c
\ No newline at end of file
+Gewenste situatie
Gewenste situatie
Dit hoofdstuk geeft een overzicht van de gewenste situatie met betrekking tot toegang. Het beschrijft de belangrijkste ontwikkelingen, beleid en wet- en regelgeving die van toepassing is en de capabilities die daaruit voortvloeien. Het vertaalt deze vervolgens naar een architectuurvisie die een overkoepelende beschrijving geeft van de gewenste situatie en de architectuurprincipes die de meer concrete overtuigingen beschrijft. Op basis hiervan worden veranderinitiatieven voorgesteld, die aangeven welke nieuwe afspraken, standaarden of voorzieningen of wijzigingen daarin wenselijk zijn. Het hoofdstuk sluit af met een overzicht van relevante standaarden. De basis daarvoor zijn de domeinoverstijgende standaarden op de "pas toe, leg uit" lijst en de lijst van aanbevolen standaarden van Forum Standaardisatie. Deze standaarden zijn aangevuld met andere gangbare en anderzijds relevante standaarden.
id-e572700165f84f9783f1b3d0e3162a5c
\ No newline at end of file
diff --git a/docs/content/elements/id-eae8780242bb478496e912e708feeecf.html b/docs/content/elements/id-eae8780242bb478496e912e708feeecf.html
index 22f85572..fa9284fd 100644
--- a/docs/content/elements/id-eae8780242bb478496e912e708feeecf.html
+++ b/docs/content/elements/id-eae8780242bb478496e912e708feeecf.html
@@ -1 +1 @@
-Capabilities > In control over cyberbeveiliging
Capabilities > In control over cyberbeveiliging
Omschrijving
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
\ No newline at end of file
+Capabilities > In control over cyberbeveiliging
Capabilities > In control over cyberbeveiliging
Omschrijving
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
\ No newline at end of file
diff --git a/docs/content/elements/id-ec079e908ff84941a103d1e0bc024faa.html b/docs/content/elements/id-ec079e908ff84941a103d1e0bc024faa.html
index 601acf12..bb6e67a8 100644
--- a/docs/content/elements/id-ec079e908ff84941a103d1e0bc024faa.html
+++ b/docs/content/elements/id-ec079e908ff84941a103d1e0bc024faa.html
@@ -1,4 +1,4 @@
-Bedrijfsobjecten
Bedrijfsobjecten
+
Bedrijfsobjecten
Bedrijfsobjecten
Bedrijfsobjecten zijn dingen in de werkelijkheid waarover gegevens worden vastgelegd. Een model van bedrijfsobjecten is te zien als een hoog niveau gegevensmodel. Het geeft een overzicht van de belangrijkste begrippen die leiden tot gegevens die organisaties moeten vastleggen. Het is ook bruikbaar als checklist om verantwoordelijkheden van organisaties, mensen, processen en informatiesystemen toe te wijzen. In de domeinarchitectuur zijn ze gekoppeld aan de bedrijfsfuncties en standaarden.
Huidige voorzieningen > Tijdelijk Register Restgroepen
Huidige voorzieningen > Tijdelijk Register Restgroepen
Omschrijving
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Beheerorganisatie
Belastingdienst
id-ec568c296f91489aae1063c684b09ecb
\ No newline at end of file
+Huidige voorzieningen > Tijdelijk Register Restgroepen
Huidige voorzieningen > Tijdelijk Register Restgroepen
Omschrijving
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Beheerorganisatie
Belastingdienst
id-ec568c296f91489aae1063c684b09ecb
\ No newline at end of file
diff --git a/docs/content/elements/id-ec62f6503d6e4ebbbc1e8f7da58048ac.html b/docs/content/elements/id-ec62f6503d6e4ebbbc1e8f7da58048ac.html
index 6819b743..1b9be10b 100644
--- a/docs/content/elements/id-ec62f6503d6e4ebbbc1e8f7da58048ac.html
+++ b/docs/content/elements/id-ec62f6503d6e4ebbbc1e8f7da58048ac.html
@@ -1 +1 @@
-Knelpunten
Knelpunten
Knelpunten zijn aandachtspunten en risico's die ertoe leiden dat organisaties niet kunnen voldoen aan beleid of wet- en regelgeving. Er heeft in het kader van de domeinarchitectuur een globale analyse van knelpunten plaatsgevonden. De resultaten zijn samengevat en opgenomen in de architectuur.
id-ec62f6503d6e4ebbbc1e8f7da58048ac
\ No newline at end of file
+Knelpunten
Knelpunten
Knelpunten zijn aandachtspunten en risico's die ertoe leiden dat organisaties niet kunnen voldoen aan beleid of wet- en regelgeving. Er heeft in het kader van de domeinarchitectuur een globale analyse van knelpunten plaatsgevonden. De resultaten zijn samengevat en opgenomen in de architectuur.
id-ec62f6503d6e4ebbbc1e8f7da58048ac
\ No newline at end of file
diff --git a/docs/content/elements/id-ed79e8b5aed54001b5024d2c02233232.html b/docs/content/elements/id-ed79e8b5aed54001b5024d2c02233232.html
index 10f2c233..b9f71325 100644
--- a/docs/content/elements/id-ed79e8b5aed54001b5024d2c02233232.html
+++ b/docs/content/elements/id-ed79e8b5aed54001b5024d2c02233232.html
@@ -1 +1 @@
-Bedrijfsfuncties > Beheren verklarende partijen
Bedrijfsfuncties > Beheren verklarende partijen
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over verklarende partijen zoals authenticatiediensten, machtigingsdiensten en gezaghebbende bronnen.
\ No newline at end of file
+Bedrijfsfuncties > Beheren verklarende partijen
Bedrijfsfuncties > Beheren verklarende partijen
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over verklarende partijen zoals authenticatiediensten, machtigingsdiensten en gezaghebbende bronnen.
\ No newline at end of file
diff --git a/docs/content/elements/id-f16e5d0b4abc45fe9b1a0a5152478799.html b/docs/content/elements/id-f16e5d0b4abc45fe9b1a0a5152478799.html
index 9df0eea8..9929e0d5 100644
--- a/docs/content/elements/id-f16e5d0b4abc45fe9b1a0a5152478799.html
+++ b/docs/content/elements/id-f16e5d0b4abc45fe9b1a0a5152478799.html
@@ -1 +1 @@
-Standaarden > NEN-ISO/IEC 18013-5
Standaarden > NEN-ISO/IEC 18013-5
Omschrijving
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
\ No newline at end of file
+Standaarden > NEN-ISO/IEC 18013-5
Standaarden > NEN-ISO/IEC 18013-5
Omschrijving
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
\ No newline at end of file
diff --git a/docs/content/elements/id-f4548c8759f248f9a3ff3195c0b256c3.html b/docs/content/elements/id-f4548c8759f248f9a3ff3195c0b256c3.html
index 3f9adf14..2329a720 100644
--- a/docs/content/elements/id-f4548c8759f248f9a3ff3195c0b256c3.html
+++ b/docs/content/elements/id-f4548c8759f248f9a3ff3195c0b256c3.html
@@ -1 +1 @@
-Huidige voorzieningen > CombiConnect
Huidige voorzieningen > CombiConnect
Omschrijving
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
[...] levert gegevens aan DigiD (authenticatieverzoek) Identity broker levert gegevens aan [...] (authenticatieverzoek) TVS levert gegevens aan [...] (authenticatieverzoek) DigiD machtigen levert gegevens aan [...] (vrijwillige machtiging) Dienst levert gegevens aan [...] (authenticatieverzoek) DigiD machtigen dienstencatalogus levert gegevens aan [...] (dienstverlener, dienst)
id-f4548c8759f248f9a3ff3195c0b256c3
\ No newline at end of file
+Huidige voorzieningen > CombiConnect
Huidige voorzieningen > CombiConnect
Omschrijving
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
[...] levert gegevens aan DigiD (authenticatieverzoek) Identity broker levert gegevens aan [...] (authenticatieverzoek) TVS levert gegevens aan [...] (authenticatieverzoek) DigiD machtigen levert gegevens aan [...] (vrijwillige machtiging) Dienst levert gegevens aan [...] (authenticatieverzoek) DigiD machtigen dienstencatalogus levert gegevens aan [...] (dienstverlener, dienst)
id-f4548c8759f248f9a3ff3195c0b256c3
\ No newline at end of file
diff --git a/docs/content/elements/id-f51d4497b87b4751842effe518b903d5.html b/docs/content/elements/id-f51d4497b87b4751842effe518b903d5.html
index f9af82ed..4a5a316e 100644
--- a/docs/content/elements/id-f51d4497b87b4751842effe518b903d5.html
+++ b/docs/content/elements/id-f51d4497b87b4751842effe518b903d5.html
@@ -1 +1 @@
-Bedrijfsobjecten > Identiteitsverklaring
Bedrijfsobjecten > Identiteitsverklaring
Omschrijving
Uitkomst van een authenticatie die is uitgevoerd door een onafhankelijke partij.
\ No newline at end of file
diff --git a/docs/content/elements/id-f5ed40da3592429082e7f978de22be46.html b/docs/content/elements/id-f5ed40da3592429082e7f978de22be46.html
index d695eeab..0431329f 100644
--- a/docs/content/elements/id-f5ed40da3592429082e7f978de22be46.html
+++ b/docs/content/elements/id-f5ed40da3592429082e7f978de22be46.html
@@ -1 +1 @@
-Bedrijfsfuncties > Notificeren over vertegenwoordigingsbevoegdheden
Bedrijfsfuncties > Notificeren over vertegenwoordigingsbevoegdheden
Omschrijving
Het actief attenderen van personen over hun vertegenwoordigingsbevoegdheden of wijzigingen daarin.
\ No newline at end of file
diff --git a/docs/content/elements/id-f7bfe9749f2d4f56a5877841cac332d6.html b/docs/content/elements/id-f7bfe9749f2d4f56a5877841cac332d6.html
index f6367be1..f0005e73 100644
--- a/docs/content/elements/id-f7bfe9749f2d4f56a5877841cac332d6.html
+++ b/docs/content/elements/id-f7bfe9749f2d4f56a5877841cac332d6.html
@@ -1 +1 @@
-Veranderinitiatieven > Entiteitenregister inrichten en aansluiten
Veranderinitiatieven > Entiteitenregister inrichten en aansluiten
Omschrijving
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
\ No newline at end of file
+Veranderinitiatieven > Entiteitenregister inrichten en aansluiten
Veranderinitiatieven > Entiteitenregister inrichten en aansluiten
Omschrijving
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
\ No newline at end of file
diff --git a/docs/content/elements/id-f9da9684596a40cd91f4a8ec2cf0d73c.html b/docs/content/elements/id-f9da9684596a40cd91f4a8ec2cf0d73c.html
index 9b2c9a75..7b3a6dcd 100644
--- a/docs/content/elements/id-f9da9684596a40cd91f4a8ec2cf0d73c.html
+++ b/docs/content/elements/id-f9da9684596a40cd91f4a8ec2cf0d73c.html
@@ -1 +1 @@
-Standaarden > OpenID for Verifiable Credentials
Standaarden > OpenID for Verifiable Credentials
Omschrijving
Deze standaard maakt het mogelijk om verifieerbare verklaringen te gebruiken in de context van OpenID Connect.
\ No newline at end of file
diff --git a/docs/content/elements/id-fc14a5ba3d0946f5af78c7eeaed0d849.html b/docs/content/elements/id-fc14a5ba3d0946f5af78c7eeaed0d849.html
index 3b12efec..a7eb5057 100644
--- a/docs/content/elements/id-fc14a5ba3d0946f5af78c7eeaed0d849.html
+++ b/docs/content/elements/id-fc14a5ba3d0946f5af78c7eeaed0d849.html
@@ -1 +1 @@
-Ontwikkelingen > Self Sovereign Identity
Ontwikkelingen > Self Sovereign Identity
Omschrijving
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
id-fc14a5ba3d0946f5af78c7eeaed0d849
\ No newline at end of file
+Ontwikkelingen > Self Sovereign Identity
Ontwikkelingen > Self Sovereign Identity
Omschrijving
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
id-fc14a5ba3d0946f5af78c7eeaed0d849
\ No newline at end of file
diff --git a/docs/content/elements/id-fc732b8a0f0244939d9ab4216b8d065c.html b/docs/content/elements/id-fc732b8a0f0244939d9ab4216b8d065c.html
index 5c0e25d0..59c3f6e7 100644
--- a/docs/content/elements/id-fc732b8a0f0244939d9ab4216b8d065c.html
+++ b/docs/content/elements/id-fc732b8a0f0244939d9ab4216b8d065c.html
@@ -1 +1 @@
-Veranderinitiatieven > Autorisatie o.b.v. gebruiksvoorwaarden van gegevens
Veranderinitiatieven > Autorisatie o.b.v. gebruiksvoorwaarden van gegevens
Omschrijving
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
\ No newline at end of file
+Veranderinitiatieven > Autorisatie o.b.v. gebruiksvoorwaarden van gegevens
Veranderinitiatieven > Autorisatie o.b.v. gebruiksvoorwaarden van gegevens
Omschrijving
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
Het in machineleesbare vorm beschikbaar stellen van gegevens over digitale identiteiten, zodat diensten of systemen deze kunnen gebruiken als basisgegevens voor gebruikers.
Het in machineleesbare vorm beschikbaar stellen van gegevens over digitale identiteiten, zodat diensten of systemen deze kunnen gebruiken als basisgegevens voor gebruikers.
\ No newline at end of file
diff --git a/docs/content/views/Domeinarchitectuur toegang.html b/docs/content/views/Domeinarchitectuur toegang.html
index df3552ea..aac88948 100644
--- a/docs/content/views/Domeinarchitectuur toegang.html
+++ b/docs/content/views/Domeinarchitectuur toegang.html
@@ -1,4 +1,4 @@
-Domeinarchitectuur toegang
Domeinarchitectuur toegang
Inhoudsopgave
+
Domeinarchitectuur toegang
Domeinarchitectuur toegang
Inhoudsopgave
1
Inleiding
1.1
Aanleiding
@@ -29,7 +29,7 @@
1 Inleiding
Aanleiding
Dit document beschrijft de domeinarchitectuur voor toegang, als onderdeel van de Generieke Digitale Infrastructuur. Het is opgesteld in een interbestuurlijke werkgroep met vertegenwoordigers van verschillende overheidsorganisaties. Deze zijn ondersteund door bureau MIDO van het ministerie van BZK. Het beschrijft de ontwikkelingen en wet- en regelgeving en vertaalt deze naar een visie en kaders voor de inrichting van toegang tot overheidsorganisaties. Het document is vooral gericht op enterprise-, informatie- en security-architecten bij overheidsorganisaties. Het document is een doorontwikkeling van de eerdere domeinarchitecturen voor identificatie & authenticatie en machtigen & vertegenwoordigen maar kent een andere structuur en opzet. Zo is er voor gekozen om de architectuur zoveel mogelijk in de modelleertaal ArchiMate uit te werken en de details ervan alleen on-line beschikbaar te stellen. Dit document is daarmee een samenvatting en verwijzing naar details die on-line te vinden zijn. De architectuur wordt on-line ook doorontwikkeld en beheerd in GitHub, waardoor de meest actuele versie daar te vinden is. Daar zijn ook bestanden te vinden die direct kunnen worden ingelezen in het modelleertool Archi.
Deze domeinarchitectuur heeft een relatie met de andere domeinarchitecturen, de Architectuur Digitale Overheid en NORA. Met name de domeinarchitectuur gegevensuitwisseling is sterk gerelateerd aan deze domeinarchitectuur, omdat het uitwisselen van gegevens in veel gevallen om toegang vraagt. Er is bewust voor gekozen om geen delen uit de domeinarchitectuur gegevensuitwisseling in te kopiëren in deze architectuur, zodat er één duidelijke bron van informatie over gegevensuitwisseling is. De consequentie hiervan is dat lezers wordt gevraagd om de domeinarchitectuur gegevensuitwisseling ook te lezen om een volledig beeld van toegang te krijgen. Deze domeinarchitectuur is nadrukkelijk afgestemd op de Architectuur Digitale Overheid 2030 en de NORA. Hierdoor kun je de domeinarchitectuur zien als een doorvertaling en concretisering van deze overkoepelende architecturen.
-
De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld.
+
De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld. De architectuur moet vooral worden gezien als een beschrijving van best-practices. Ze geven richting aan ontwerpkeuzes die in programma's en projecten worden gemaakt.
Relatie met andere initiatieven
Er zijn allerlei andere intiatieven die zijn gerelateerd aan toegang. Het belangrijkste programma dat er op dit moment loopt is het programma/stelsel toegang. In het kader van dit intiatief is een doelarchitectuur toegang opgesteld die met name inzicht geeft in de impact van de eerste tranche van de Wet digitale overheid. Er is afgestemd dit programma om ervoor te zorgen dat er geen conflicten en overlap ontstaat. Deze domeinarchitectuur kijkt met name breder en verder dan de doelarchitectuur toegang.
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een digitale Identiteit; de digitale representatie van een eigenschap van een entiteit.
Een regel die is gesteld voor toegang tot een resource en waaraan moet worden voldaan voordat een entiteit daadwerkelijke toegang krijgt tot een resource. (bron: NORA)
Een toestemming van een entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de digitale identiteit.
Een machtiging waarbij er een vertegenwoordiging is van een persoon door een ander persoon zonder hiërarchische verhouding. (bron: GDI-architectuur M&V)
Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de vertegenwoordiger) om in naam van eerstgenoemde rechtshandelingen te verrichten. (bron: GDI-architectuur I&A)
Een machtiging waarbij er een hiërarchische relatie bestaat binnen een niet-natuurlijk persoon. Een natuurlijk persoon binnen een organisatie (b.v. een accountant binnen een accountantskantoor) voert binnen die organisatie taken uit en doet zaken met andere organisaties. (bron: GDI-architectuur M&V)
Wettelijke of bij gerechtelijke uitspraak geregelde overdracht van rechten en plichten als gevolg van handelingsonbekwaamheid of handelingsonbevoegdheid, en worden zowel de bevoegdheden als de verantwoordelijkheden van een belanghebbende overgedragen naar de vertegenwoordiger. (bron: GDI-architectuur M&V)
3 Huidige situatie
Dit hoofdstuk geeft een overzicht van de huidige situatie met betrekking tot toegang. Het beschrijft de knelpunten die er in algemene zin bestaan m.b.t. toegang. Daarnaast geeft het een overzicht van de belangrijkste landelijke voorzieningen op het gebied van toegang. Dat zijn met name GDI-voorzieningen, maar er worden ook een aantal voorzieningen beschreven die geen deel uitmaken van de GDI, maar wel in brede zin relevant zijn voor overheidsorganisaties.
3.1 Knelpunten
Knelpunten zijn aandachtspunten en risico's die ertoe leiden dat organisaties niet kunnen voldoen aan beleid of wet- en regelgeving. Er heeft in het kader van de domeinarchitectuur een globale analyse van knelpunten plaatsgevonden. De resultaten zijn samengevat en opgenomen in de architectuur.
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd.
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
4 Gewenste situatie
Dit hoofdstuk geeft een overzicht van de gewenste situatie met betrekking tot toegang. Het beschrijft de belangrijkste ontwikkelingen, beleid en wet- en regelgeving die van toepassing is en de capabilities die daaruit voortvloeien. Het vertaalt deze vervolgens naar een architectuurvisie die een overkoepelende beschrijving geeft van de gewenste situatie en de architectuurprincipes die de meer concrete overtuigingen beschrijft. Op basis hiervan worden veranderinitiatieven voorgesteld, die aangeven welke nieuwe afspraken, standaarden of voorzieningen of wijzigingen daarin wenselijk zijn. Het hoofdstuk sluit af met een overzicht van relevante standaarden. De basis daarvoor zijn de domeinoverstijgende standaarden op de "pas toe, leg uit" lijst en de lijst van aanbevolen standaarden van Forum Standaardisatie. Deze standaarden zijn aangevuld met andere gangbare en anderzijds relevante standaarden.
4.1 Ontwikkelingen
In deze architectuur beschrijven we een aantal belangrijke (vooral technische) ontwikkelingen op het gebied van toegang. Deze impact van deze ontwikkelingen is meegenomen in de beschrijving van de architectuur.
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
4.3 Wet- en regelgeving
De domeinarchitectuur beschrijft de belangrijkste wet- en regelgeving die van toepassing is op toegang. Dat betreft met name wet- en regelgeving vanuit Europa, inclusief de Nederlandse invulling daarvan, gegeven dat dit een belangrijke bron voor verandering is voor toegng. De wet- en regelgeving is in de architectuur doorvertaald naar capabilities die beschrijven wat overheidsorganisaties zouden moeten kunnen om deze te implementeren. Het is ook expliciet gekoppeld aan de architectuurprincipes die een belangrijke bijdrage leveren aan het implementeren van deze wet- en regelgeving.
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
4.5 Architectuurvisie
Deze architectuurvisie geeft een overzicht van de belangrijkste ideeën in de domeinarchitectuur. Het kan voor een belangrijk deel worden gezien als het overkoepelende verhaal en een samenvatting en verbinding van de architectuurprincipes. Het bevat dan ook verwijzingen naar deze architectuurprincipes, waar meer over hun rationale en implicaties kan worden gelezen. Het voegt echter ook informatie toe over zaken die niet principieel van aard zijn, maar wel belangrijk om te begrijpen.
Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de vertegenwoordiger) om in naam van eerstgenoemde rechtshandelingen te verrichten. (bron: GDI-architectuur I&A)
Een machtiging waarbij er een hiërarchische relatie bestaat binnen een niet-natuurlijk persoon. Een natuurlijk persoon binnen een organisatie (b.v. een accountant binnen een accountantskantoor) voert binnen die organisatie taken uit en doet zaken met andere organisaties. (bron: GDI-architectuur M&V)
Wettelijke of bij gerechtelijke uitspraak geregelde overdracht van rechten en plichten als gevolg van handelingsonbekwaamheid of handelingsonbevoegdheid, en worden zowel de bevoegdheden als de verantwoordelijkheden van een belanghebbende overgedragen naar de vertegenwoordiger. (bron: GDI-architectuur M&V)
3 Huidige situatie
Dit hoofdstuk geeft een overzicht van de huidige situatie met betrekking tot toegang. Het beschrijft de knelpunten die er in algemene zin bestaan m.b.t. toegang. Daarnaast geeft het een overzicht van de belangrijkste landelijke voorzieningen op het gebied van toegang. Dat zijn met name GDI-voorzieningen, maar er worden ook een aantal voorzieningen beschreven die geen deel uitmaken van de GDI, maar wel in brede zin relevant zijn voor overheidsorganisaties.
3.1 Knelpunten
Knelpunten zijn aandachtspunten en risico's die ertoe leiden dat organisaties niet kunnen voldoen aan beleid of wet- en regelgeving. Er heeft in het kader van de domeinarchitectuur een globale analyse van knelpunten plaatsgevonden. De resultaten zijn samengevat en opgenomen in de architectuur.
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat DigiD en eHerkenning authenticatiemiddelen niet optimaal werken voor minder digitaal vaardigen. Dit komt met name doordat zij worden gedwongen om gebruik te gaan maken van smartphone apps (SMS wordt uitgefaseerd), terwijl zij veelal geen smartphone hebben of onvoldoende vaardig zijn om deze ten volle te kunnen gebruiken.
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd. Informatiepunten Digitale Overheid (IDO’s) bij bibliotheken zijn een voorbeeld van een alternatief kanaal. Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat IDO-medewerkers maar tot op bepaalde hoogte kunnen helpen, omdat ze beperkte mogelijkheden en bevoegdheden hebben. Ze mogen geen DigiD aanvragen voor klanten omdat in de wet is bepaald dat je alleen voor jezelf een DigiD mag aanvragen, en niet voor anderen.
DigiD is op dit moment niet in staat om een pseudoniem van een gebruiker op te leveren op DigiD betrouwbaarheidsniveaus midden en substantieel, waardoor het inzetgebied beperkt is op deze niveaus tot diensten waarvoor er een grondslag is voor verwerking van het BSN. Voor diensten waarvoor anoniem gebruik voldoende is kan DigiD dus ook niet worden gebruikt. Dit voldoet niet aan de eIDAS verordening.
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat er voor eHerkenning geen overkoepelende organisatie bestaat die fraudegevallen oppakt en dat er ook geen centraal fraudemeldpunt is. Het melden van en reageren op specifieke signalen en meldingen ligt decentraal: bij de organisaties zelf, bij de leverancier en/of dienstverlener. Hierdoor ontbreekt er een goed kwalitatief en kwantitatief beeld. Dit heeft als risico dat zaken langs elkaar heen lopen en fraude minder effectief wordt voorkomen dan wanneer dit beeld er wel zou zijn.
We kunnen op dit moment nog geen eIDAS hoog authenticatiemiddel bieden aan burgers en organisaties (m.u.v. de zorgsector, die hiervoor de UZI-pas beschikbaar heeft) en voldoen daarmee als Nederland nog niet aan de eIDAS verordening. Hierdoor is het ook niet mogelijk om met DigiD of eHerkenning middelen digitale handtekeningen te zetten die gelijkwaardig zijn aan natte handtekeningen. Hiervoor moeten commerciële middelen worden aangeschaft.
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt er geen actuele, eenduidige en volledige beschrijving is van de huidige IT-architectuur. Bij DigiD constateerden ze dat er geen samenvattend uniform vastgesteld beeld is van het IT-landschap. Er zijn verschillende visuele weergaven aangeleverd door organisaties zoals BZK, Logius en Capgemini. Deze weergaven verschilden steeds weer wat van elkaar. Voor eHerkenning werd niet duidelijk hoe componenten zich tot elkaar verhouden. De beschikbare rapportages zijn niet altijd een-op-een te matchen
+met specifieke componenten. Voor BSNk PP geldt dat de IT-architectuurplaten sinds 2018 niet meer zijn geactualiseerd. Dit brengt het volgende risico met zich mee. Het wijzigen van IT-onderdelen kan invloed hebben op aanpalende IT-onderdelen. Als niet bekend is welke dit zijn, kan dit gevolgen hebben voor de uiteindelijke IT-dienstverlening.
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
4 Gewenste situatie
Dit hoofdstuk geeft een overzicht van de gewenste situatie met betrekking tot toegang. Het beschrijft de belangrijkste ontwikkelingen, beleid en wet- en regelgeving die van toepassing is en de capabilities die daaruit voortvloeien. Het vertaalt deze vervolgens naar een architectuurvisie die een overkoepelende beschrijving geeft van de gewenste situatie en de architectuurprincipes die de meer concrete overtuigingen beschrijft. Op basis hiervan worden veranderinitiatieven voorgesteld, die aangeven welke nieuwe afspraken, standaarden of voorzieningen of wijzigingen daarin wenselijk zijn. Het hoofdstuk sluit af met een overzicht van relevante standaarden. De basis daarvoor zijn de domeinoverstijgende standaarden op de "pas toe, leg uit" lijst en de lijst van aanbevolen standaarden van Forum Standaardisatie. Deze standaarden zijn aangevuld met andere gangbare en anderzijds relevante standaarden.
4.1 Ontwikkelingen
In deze architectuur beschrijven we een aantal belangrijke (vooral technische) ontwikkelingen op het gebied van toegang. Deze impact van deze ontwikkelingen is meegenomen in de beschrijving van de architectuur.
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
4.3 Wet- en regelgeving
De domeinarchitectuur beschrijft de belangrijkste wet- en regelgeving die van toepassing is op toegang. Dat betreft met name wet- en regelgeving vanuit Europa, inclusief de Nederlandse invulling daarvan, gegeven dat dit een belangrijke bron voor verandering is voor toegng. De wet- en regelgeving is in de architectuur doorvertaald naar capabilities die beschrijven wat overheidsorganisaties zouden moeten kunnen om deze te implementeren. Het is ook expliciet gekoppeld aan de architectuurprincipes die een belangrijke bijdrage leveren aan het implementeren van deze wet- en regelgeving.
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
4.5 Architectuurvisie
Deze architectuurvisie geeft een overzicht van de belangrijkste ideeën in de domeinarchitectuur. Het kan voor een belangrijk deel worden gezien als het overkoepelende verhaal en een samenvatting en verbinding van de architectuurprincipes. Het bevat dan ook verwijzingen naar deze architectuurprincipes, waar meer over hun rationale en implicaties kan worden gelezen. Het voegt echter ook informatie toe over zaken die niet principieel van aard zijn, maar wel belangrijk om te begrijpen.
Inleiding
Het is vanuit het perspectief van beveiliging en privacy dat alleen bekende en geautoriseerde personen toegang hebben tot gegevens en functionaliteit. Voor burgers is hiervoor de landelijke voorziening DigiD beschikbaar, inclusief functionaliteit voor machtigen. Voor bedrijven en andere organisaties is er het eHekenning ingericht, waarbij marktpartijen zich kunnen aanbieder als makelaar, machtingingsregister of middelenverstrekker. Er is ook een ketenmachtigingsvoorziening beschikbaar, waarmee organisaties elkaar kunnen machtigen voor specifieke diensten. Het is inmiddels ook mogelijk om grensoverstijgend toegang te krijgen tot digitale diensten van Europese lidstaten. Alhoewel de basisvoorzieningen hiermee beschikbaar zijn, valt er aan de huidige voorzieningen nog wel veel te verbeteren. Zo zijn er allerlei vormen van wettelijke vertegenwoordiging die nog niet worden ondersteund, zijn machtigen en vertegenwoordigen nog niet breed geïmplementeerd bij individuele overheidsorganisaties en is er behoefte aan meer uitgebreide functionaliteit voor machtigen.
Vanuit de wet- en regelgeving is met name de verordening "Electronic Identification And Trust Services" (eIDAS) een belangrijke drijfveer voor verandering. In Nederland is deze vertaald naar de Wet digitale overheid. In dat kader worden eisen gesteld aan de betrouwbaarheid van authenticatiemiddelen, waardoor overheidsorganisaties gedwongen worden op een meer professionele manier met toegang om te gaan. Het betekent ook dat er ook private authenticatiemiddelen zullen moeten worden ondersteund. Tegelijkertijd wordt er ook al hard gewerkt een de herziening van de eIDAS verordening. In dat kader wordt een European Digital Identity Wallet geïntroduceerd. Hiermee wordt het voor burgers en organisaties mogelijk om meer zelf in controle te komen van de gegevens die ze delen met dienstverleners. Dit is een belangrijke stap in de richting van Self Sovereign Identity. Dit is een visie op identiteiten waarbij de gebruiker zelf centraal staat. In die visie hebben gebruikers vooral zelf een identiteit en bepalen ze zelf wie ze hun gegevens verstrekken.
@@ -56,4 +57,4 @@
Vertrouwen
Laagdrempeligheid en ontzorgen
Toegang vraagt een goede balans tussen veiligheid en gebruikersvriendelijkheid. Gebruikers zouden niet moeten worden lastig gevallen met beveiligingsmaatregelen die meer zekerheid creëren dan nodig is voor specifieke gevallen. We moeten ervoor zorgen dat de dienstverlening van de overheid wel voldoende toegankelijk blijft en geen onnodige drempels opwerpt. In dat kader is ook belangrijk dat niet iedereen over de vaardigheden beschikt die nodig zijn om gebruik maken van de digitale diensten van de overheid. Er moeten ook andere manieren zijn voor mensen om toegang te krijgen tot dienstverlening, inclusief dienstverlening voor het verkrijgen van toegang zoals machtigen.
-
Binnen de Nederlandse overheid moeten we ook zaken efficiënt inrichten. Dat betekent dat individuele overheidsorganisaties moeten worden ontzorgd als dat mogelijk is. Zo zouden ze bijvoorbeeld niet zelf koppelingen met alle authenticatiediensten en machtigingsregisters moeten hoeven maken.
4.6 Architectuurprincipes
Architectuurprincipes zijn richtinggevende uitspraken die vooral uitting geven aan een streven. Ze bestaan uit een stelling die uitting geeft aan de overtuiging die eraan ten grondslag ligt, een rationale die meer informatie geeft over de drijfveren en implicaties die de consequenties beschrijven. Architectuurprincipes moeten vooral als argument worden meegenomen in het maken van keuzes, maar zijn niet per definitie doorslaggevend. Er kunnen contextueel altijd zwaarwegender argumenten zijn, waardoor het toch logischer is om van de principes af te wijken. Deze afweging moet wel expliciet worden gemaakt en vastgelegd. De architectuurprincipes zijn in de domeinarchitectuur gekoppeld aan de relevante wet- en regelgeving waar ze invulling aan geven en aan de bedrijfsfuncties die ingericht moeten zijn om ze te implementeren.
1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Rationale
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Implicaties
1. Vertrouwende partijen sluiten aan bij voor hen relevante vertrouwensnetwerken en/of lijsten van vertrouwde partijen. 2. Vertrouwende partijen borgen bij het ontwerp van hun diensten dat er voldoende betrouwbare verklarende partijen zijn die kunnen verklaren over digitale identiteiten, hun eigenschappen en bevoegdheden. 3. De gebruiker kent de vertrouwende partij en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 4. De vertrouwende partij kent de partij die de verklaring afgeeft en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 5. De vertrouwende partij kent de gebruiker en vertouwt deze doordat daar bewijs voor is geleverd. 6. Als een verifieerbare verklaring afkomstig is uit een wallet dan heeft de vertrouwende partij bewijs dat deze verklaring hoort bij de wallet en niet gekopieerd is. 7. De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de actualiteit en of deze gekwalificeerd is. 8. Er kunnen verklaringen bij verschillende verklarende partijen worden opgehaald om voldoende vertrouwen te krijgen.
2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Rationale
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Implicaties
1. Het is duidelijk wat de wettelijke grondslag is van de gegevensuitwisseling. 2. Bij het ontwerp van diensten moeten dienstverleners aangeven welke attributen van entiteiten noodzakelijk zijn om de dienst uit te kunnen voeren. 3. Gebruikers kunnen voorafgaand aan hun handelen zelf toetsen of zij de voor de dienst gevraagde attributen (persoonsgegevens) willen laten verwerken. 4. De toegangsinfrastructuur borgt dat alleen de vooraf benoemde attributen worden verstrekt. 5. Er kunnen ook gebruikers anoniem (met een pseudoniem) gebruik maken van diensten, zolang de precieze identiteit van iemand nog niet relevant is. 6. Als kan worden volstaan met een verklaring (zero knowledge proof) dan worden niet de onderliggende gegevens opgehaald; om te weten of iemand volwassen is hoef je niet zijn geboortedatum te kennen. 7. Specifieke verklaringen die relevant zijn voor toegang (inclusief de verklaring over de precieze identiteit van iemand) worden pas opgehaald op het moment dat een gebruiker aangeeft handelingen uit te willen voeren waardoor dit nodig is. 8. Opsporingsdiensten hebben de mogelijkheid om pseudoniemen te herleiden naar een natuurlijk persoon of organisatie.
3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Rationale
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Implicaties
1. Het optimaliseren van de interne organisatie van toegangsprocessen bij overheidsorganisaties is minder belangrijk dan het bieden van een optimale klantreis. 2. Gebruikers hoeven maar één keer in te loggen voor een bepaald betrouwbaarheidsniveau om gebruik te maken van verschillende diensten die voldoende hebben aan dit niveau. 3. Authenticaties worden uitgevoerd op een basisniveau van betrouwbaarheid en pas als een gebruiker een handeling wil uitvoeren die een hoger niveau vraagt dan wordt een aanvullende (step-up) authenticatie uitgevoerd. 4. Het liefst kun je iemand per direct digitaal machtigen namens jezelf voor specifieke handelingen, zonder daarvoor allerlei procedures te doorlopen. 5. Mensen kunnen ook bij de balie iemand machtigen. 6. Het zou een standaard optie moeten zijn om iemand te vertegenwoordigen bij het inloggen.
4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Rationale
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
Implicaties
1. Vertrouwende partijen hebben één generiek koppelvlak waarmee zij kunnen aansluiten op de toegangsinfrastructuur, naast de mogelijkheid om ook direct verbinding te leggen met specifieke voorzieningen voor partijen die daar behoefte aan hebben. 2. De toegangsinfrastructuur biedt achter het generieke koppelvlak ondersteuning voor meerdere authenticatiemiddelen en ontsluiting van alle landelijke machtingsregisters. 3. De toegangsinfrastructuur kan voor een voorgedefinieerde set van attributen relevante verklaringen bij bronregisters ophalen en meeleveren met de identiteitsverklaring naar vertrouwende partijen (al dan niet via een wallet). 4. De toegangsinfrastructuur ondersteunt toegang via alle relevante kanalen, inclusief geautomatiseerde toegang tot systemen (API’s). 5. Vertrouwende partijen worden niet gedwongen commerciële diensten af te nemen om meerdere authenticatiemiddelen en machtigingsregisters te ondersteunen.
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
Implicaties
1. Er worden technische beveiligingsmaatregelen geïmplementeerd die zijn geautomatiseerd en niet zomaar door individuen kunnen worden gepasseerd. 2. Er wordt een zero trust beveiligingsmodel gehanteerd waarbij gebruikers en apparaten, zowel binnen als buiten het netwerk, worden behandeld als niet-vertrouwd en voortdurend worden geauthenticeerd en geautoriseerd op basis van factoren zoals apparaatstatus, netwerklocatie, tijd en gedrag. 3. Toegang tot diensten en informatie-objecten wordt beperkt tot alleen dat wat nodig is voor de verantwoordelijkheden (least priviledge). 4. Er worden geen privacy hotspots gecreëerd in systemen van individuele organisaties als dat kan worden voorkomen door bijvoorbeeld pseudonimisering.
6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Rationale
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
Implicaties
1. Autorisatie tot een service vindt plaats op basis van de identiteit van de overheidsorganisatie waarmee de juridische afspraak tot het afnemen van de dienst is gemaakt. 2. Autorisatie en authenticatie gebeurt bij de dienstverlener niet op een verder gedetailleerd niveau, zoals medewerker, afdeling, applicatie of wettelijke taak. 3. Afnemende organisaties definiëren zelf autorisaties van individuele medewerkers, en moeten daar controleerbaar verantwoording over afleggen. 4. Afnemerorganisatie zorgen dat verzoeken alleen worden gedaan door daartoe bevoegde medewerkers en applicaties/systemen. 5. Een dienstverlener kan alleen maar inzage kan geven in de organisaties aan wie gegevens zijn verstrekt. 6. De naam van de medewerker bij de afnemersorganisatie kan wel als inhoudelijk gegeven worden meegegeven bij het aanroepen van een dienst. 7. Als gebruik wordt gemaakt van een intermediair die gegevens inhoudelijk bewerkt dan wordt toegang tot de intermediair verleend op het niveau van de afnemersorganisatie en toegang tot de uiteindelijke dienst op het niveau van de intermediair.
4.7 Veranderinitiatieven
De domeinarchitectuur beschrijft veranderinitiatieven die worden voorgesteld omdat ze voortvloeien uit zaken in de architectuur. Het zijn in eerste instantie alleen voorstellen en ze zijn ook nog niet voorzien van informatie over kosten en baten. Ze zijn vooral input voor portfoliomanagement en programmering, in het kader waarvan kosten en baten kunnen worden uitgewerkt.
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
4.8 Standaarden
In de domeinarchitectuur is een lijst van standaarden opgenomen die relevant zijn in het kader van toegang. De basis voor deze lijst zijn de lijsten van Forum Standaardisatie. Deze zijn aangevuld met andere standaarden die breder worden gebruikt of relevant zijn. De standaarden zijn voorzien van een aantal standaard eigenschappen zoals de beheerorganisatie en een URL naar meer informatie. Ze zijn ook gekoppeld aan bedrijfsfuncties en bedrijfsobjecten zodat hun toepassingsgebied duidelijk is. Bij de standaarden van Forum Standaardisatie zijn ook de status en het functioneel toepassingsgebied overgenomen.
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Dit is een taal voor het uitdrukken van regels voor toegangsverlening. Het definieert de gebruikte begrippen en bevat modellen en een beschrijving van architectuurcomponenten, waarop de modellen in het thema Logische Toegang van dit document zijn gebaseerd.
\ No newline at end of file
+
Binnen de Nederlandse overheid moeten we ook zaken efficiënt inrichten. Dat betekent dat individuele overheidsorganisaties moeten worden ontzorgd als dat mogelijk is. Zo zouden ze bijvoorbeeld niet zelf koppelingen met alle authenticatiediensten en machtigingsregisters moeten hoeven maken.
4.6 Architectuurprincipes
Architectuurprincipes zijn richtinggevende uitspraken die vooral uitting geven aan een streven. Ze bestaan uit een stelling die uitting geeft aan de overtuiging die eraan ten grondslag ligt, een rationale die meer informatie geeft over de drijfveren en implicaties die de consequenties beschrijven. Architectuurprincipes moeten vooral als argument worden meegenomen in het maken van keuzes, maar zijn niet per definitie doorslaggevend. Er kunnen contextueel altijd zwaarwegender argumenten zijn, waardoor het toch logischer is om van de principes af te wijken. Deze afweging moet wel expliciet worden gemaakt en vastgelegd. De architectuurprincipes zijn in de domeinarchitectuur gekoppeld aan de relevante wet- en regelgeving waar ze invulling aan geven en aan de bedrijfsfuncties die ingericht moeten zijn om ze te implementeren.
1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Rationale
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Implicaties
1. Vertrouwende partijen sluiten aan bij voor hen relevante vertrouwensnetwerken en/of lijsten van vertrouwde partijen. 2. Vertrouwende partijen borgen bij het ontwerp van hun diensten dat er voldoende betrouwbare verklarende partijen zijn die kunnen verklaren over digitale identiteiten, hun eigenschappen en bevoegdheden. 3. De gebruiker kent de vertrouwende partij en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 4. De vertrouwende partij kent de partij die de verklaring afgeeft en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 5. De vertrouwende partij kent de gebruiker en vertouwt deze doordat daar bewijs voor is geleverd. 6. Als een verifieerbare verklaring afkomstig is uit een wallet dan heeft de vertrouwende partij bewijs dat deze verklaring hoort bij de wallet en niet gekopieerd is. 7. De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de actualiteit en of deze gekwalificeerd is. 8. Er kunnen verklaringen bij verschillende verklarende partijen worden opgehaald om voldoende vertrouwen te krijgen.
2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Rationale
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Implicaties
1. Het is duidelijk wat de wettelijke grondslag is van de gegevensuitwisseling. 2. Bij het ontwerp van diensten moeten dienstverleners aangeven welke attributen van entiteiten noodzakelijk zijn om de dienst uit te kunnen voeren. 3. Gebruikers kunnen voorafgaand aan hun handelen zelf toetsen of zij de voor de dienst gevraagde attributen (persoonsgegevens) willen laten verwerken. 4. De toegangsinfrastructuur borgt dat alleen de vooraf benoemde attributen worden verstrekt. 5. Er kunnen ook gebruikers anoniem (met een pseudoniem) gebruik maken van diensten, zolang de precieze identiteit van iemand nog niet relevant is. 6. Als kan worden volstaan met een verklaring (zero knowledge proof) dan worden niet de onderliggende gegevens opgehaald; om te weten of iemand volwassen is hoef je niet zijn geboortedatum te kennen. 7. Specifieke verklaringen die relevant zijn voor toegang (inclusief de verklaring over de precieze identiteit van iemand) worden pas opgehaald op het moment dat een gebruiker aangeeft handelingen uit te willen voeren waardoor dit nodig is. 8. Opsporingsdiensten hebben de mogelijkheid om pseudoniemen te herleiden naar een natuurlijk persoon of organisatie.
3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Rationale
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Implicaties
1. Het optimaliseren van de interne organisatie van toegangsprocessen bij overheidsorganisaties is minder belangrijk dan het bieden van een optimale klantreis. 2. Gebruikers hoeven maar één keer in te loggen voor een bepaald betrouwbaarheidsniveau om gebruik te maken van verschillende diensten die voldoende hebben aan dit niveau. 3. Authenticaties worden uitgevoerd op een basisniveau van betrouwbaarheid en pas als een gebruiker een handeling wil uitvoeren die een hoger niveau vraagt dan wordt een aanvullende (step-up) authenticatie uitgevoerd. 4. Het liefst kun je iemand per direct digitaal machtigen namens jezelf voor specifieke handelingen, zonder daarvoor allerlei procedures te doorlopen. 5. Mensen kunnen ook bij de balie iemand machtigen. 6. Het zou een standaard optie moeten zijn om iemand te vertegenwoordigen bij het inloggen.
4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Rationale
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
Implicaties
1. Vertrouwende partijen hebben één generiek koppelvlak waarmee zij kunnen aansluiten op de toegangsinfrastructuur, naast de mogelijkheid om ook direct verbinding te leggen met specifieke voorzieningen voor partijen die daar behoefte aan hebben. 2. De toegangsinfrastructuur biedt achter het generieke koppelvlak ondersteuning voor meerdere authenticatiemiddelen en ontsluiting van alle landelijke machtingsregisters. 3. De toegangsinfrastructuur kan voor een voorgedefinieerde set van attributen relevante verklaringen bij bronregisters ophalen en meeleveren met de identiteitsverklaring naar vertrouwende partijen (al dan niet via een wallet). 4. De toegangsinfrastructuur ondersteunt toegang via alle relevante kanalen, inclusief geautomatiseerde toegang tot systemen (API’s). 5. Vertrouwende partijen worden niet gedwongen commerciële diensten af te nemen om meerdere authenticatiemiddelen en machtigingsregisters te ondersteunen.
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
Implicaties
1. Er worden technische beveiligingsmaatregelen geïmplementeerd die zijn geautomatiseerd en niet zomaar door individuen kunnen worden gepasseerd. 2. Er wordt een zero trust beveiligingsmodel gehanteerd waarbij gebruikers en apparaten, zowel binnen als buiten het netwerk, worden behandeld als niet-vertrouwd en voortdurend worden geauthenticeerd en geautoriseerd op basis van factoren zoals apparaatstatus, netwerklocatie, tijd en gedrag. 3. Toegang tot diensten en informatie-objecten wordt beperkt tot alleen dat wat nodig is voor de verantwoordelijkheden (least priviledge). 4. Er worden geen privacy hotspots gecreëerd in systemen van individuele organisaties als dat kan worden voorkomen door bijvoorbeeld pseudonimisering.
6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Rationale
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
Implicaties
1. Autorisatie tot een service vindt plaats op basis van de identiteit van de overheidsorganisatie waarmee de juridische afspraak tot het afnemen van de dienst is gemaakt. 2. Autorisatie en authenticatie gebeurt bij de dienstverlener niet op een verder gedetailleerd niveau, zoals medewerker, afdeling, applicatie of wettelijke taak. 3. Afnemende organisaties definiëren zelf autorisaties van individuele medewerkers, en moeten daar controleerbaar verantwoording over afleggen. 4. Afnemerorganisatie zorgen dat verzoeken alleen worden gedaan door daartoe bevoegde medewerkers en applicaties/systemen. 5. Een dienstverlener kan alleen maar inzage kan geven in de organisaties aan wie gegevens zijn verstrekt. 6. De naam van de medewerker bij de afnemersorganisatie kan wel als inhoudelijk gegeven worden meegegeven bij het aanroepen van een dienst. 7. Als gebruik wordt gemaakt van een intermediair die gegevens inhoudelijk bewerkt dan wordt toegang tot de intermediair verleend op het niveau van de afnemersorganisatie en toegang tot de uiteindelijke dienst op het niveau van de intermediair.
4.7 Veranderinitiatieven
De domeinarchitectuur beschrijft veranderinitiatieven die worden voorgesteld omdat ze voortvloeien uit zaken in de architectuur. Het zijn in eerste instantie alleen voorstellen en ze zijn ook nog niet voorzien van informatie over kosten en baten. Ze zijn vooral input voor portfoliomanagement en programmering, in het kader waarvan kosten en baten kunnen worden uitgewerkt.
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
4.8 Standaarden
In de domeinarchitectuur is een lijst van standaarden opgenomen die relevant zijn in het kader van toegang. De basis voor deze lijst zijn de lijsten van Forum Standaardisatie. Deze zijn aangevuld met andere standaarden die breder worden gebruikt of relevant zijn. De standaarden zijn voorzien van een aantal standaard eigenschappen zoals de beheerorganisatie en een URL naar meer informatie. Ze zijn ook gekoppeld aan bedrijfsfuncties en bedrijfsobjecten zodat hun toepassingsgebied duidelijk is. Bij de standaarden van Forum Standaardisatie zijn ook de status en het functioneel toepassingsgebied overgenomen.
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Dit is een op XML gebaseerde taal voor het uitdrukken van autorisatieregels.
\ No newline at end of file
diff --git a/docs/content/views/bedrijfsfuncties.html b/docs/content/views/bedrijfsfuncties.html
index 17613ba7..85e6fe5e 100644
--- a/docs/content/views/bedrijfsfuncties.html
+++ b/docs/content/views/bedrijfsfuncties.html
@@ -1 +1 @@
-Bedrijfsfuncties
Het bepalen of er voldoende bewijs is dat iemand een digitale identiteit heeft en het creëren, controleren, vertalen en vernietigen van daarbij behorende tokens.
Het bepalen of een digitale identiteit geautoriseerd is voor diensten en daaronder liggende functies en gegevens en beschikken over de noodzakelijke vertegenwoordigingsbevoegdheden.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over autorisatieregels, die aangeven onder welke condities digitale identiteiten toegang hebben tot welke resources.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van (gegevens over) de gezaghebbende bronnen, dienstverleners, de digitale diensten die zij leveren en verklarende diensten.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over vertegenwoordigingsbevoegdheden voor een specifieke resource zoals een zaak..
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over verklarende partijen zoals authenticatiediensten, machtigingsdiensten en gezaghebbende bronnen.
Het bepalen of de daadwerkelijk in systemen aanwezige autorisaties overeenkomen met de gewenste autorisaties en het inzichtelijk maken van de verschillen.
Het in machineleesbare vorm beschikbaar stellen van gegevens over authenticatiemiddelen om authenticatie in doelsystemen te faciliteren. Denk daarbij met name aan het delen van publieke sleutels, waarmee de authenticiteit van private sleutels kan worden vastgesteld.
Het in machineleesbare vorm beschikbaar stellen van gegevens over digitale identiteiten, zodat diensten of systemen deze kunnen gebruiken als basisgegevens voor gebruikers.
Het creëren en vastleggen van gegevens over een authenticatiemiddel en de bijbehorende authenticatiefactoren, inclusief een koppeling met de digitale identiteit.
Het overhandigen van authenticatiefactoren die behoren bij een authenticatiemiddel aan de entiteit met de bijbehorende digitale identiteit, volgens een proces dat voldoet aan de normen van een specifiek betrouwbaarheidsniveau.
Het bepalen of er voldoende bewijs is dat iemand een digitale identiteit heeft en het creëren, controleren, vertalen en vernietigen van daarbij behorende tokens.
Het bepalen of een digitale identiteit geautoriseerd is voor diensten en daaronder liggende functies en gegevens en beschikken over de noodzakelijke vertegenwoordigingsbevoegdheden.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over autorisatieregels, die aangeven onder welke condities digitale identiteiten toegang hebben tot welke resources.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van (gegevens over) de gezaghebbende bronnen, dienstverleners, de digitale diensten die zij leveren en verklarende diensten.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over vertegenwoordigingsbevoegdheden voor een specifieke resource zoals een zaak..
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over verklarende partijen zoals authenticatiediensten, machtigingsdiensten en gezaghebbende bronnen.
Het bepalen of de daadwerkelijk in systemen aanwezige autorisaties overeenkomen met de gewenste autorisaties en het inzichtelijk maken van de verschillen.
Het in machineleesbare vorm beschikbaar stellen van gegevens over authenticatiemiddelen om authenticatie in doelsystemen te faciliteren. Denk daarbij met name aan het delen van publieke sleutels, waarmee de authenticiteit van private sleutels kan worden vastgesteld.
Het in machineleesbare vorm beschikbaar stellen van gegevens over digitale identiteiten, zodat diensten of systemen deze kunnen gebruiken als basisgegevens voor gebruikers.
Het creëren en vastleggen van gegevens over een authenticatiemiddel en de bijbehorende authenticatiefactoren, inclusief een koppeling met de digitale identiteit.
Het overhandigen van authenticatiefactoren die behoren bij een authenticatiemiddel aan de entiteit met de bijbehorende digitale identiteit, volgens een proces dat voldoet aan de normen van een specifiek betrouwbaarheidsniveau.
Het wijzigen van de gegevens die horen bij een digitale identiteit.
\ No newline at end of file
diff --git a/docs/content/views/bedrijfsfunctiesdetails.html b/docs/content/views/bedrijfsfunctiesdetails.html
index 4f8c1480..8c21b20a 100644
--- a/docs/content/views/bedrijfsfunctiesdetails.html
+++ b/docs/content/views/bedrijfsfunctiesdetails.html
@@ -1 +1 @@
-Bedrijfsfuncties
Bedrijfsfuncties
Auditing en monitoring
Omschrijving
Het vastleggen van relevante gebeurtenissen rondom toegang en het uitvoeren van controlerende activiteiten om misbruik of fraude vast te stellen.
Het bepalen of er voldoende bewijs is dat iemand een digitale identiteit heeft en het creëren, controleren, vertalen en vernietigen van daarbij behorende tokens.
Het bepalen of een digitale identiteit geautoriseerd is voor diensten en daaronder liggende functies en gegevens en beschikken over de noodzakelijke vertegenwoordigingsbevoegdheden.
[...] is gerelateerd aan FIDO [...] is gerelateerd aan ASN.1 [...] is gerelateerd aan X509
Beheren autorisatieregels
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over autorisatieregels, die aangeven onder welke condities digitale identiteiten toegang hebben tot welke resources.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van (gegevens over) de gezaghebbende bronnen, dienstverleners, de digitale diensten die zij leveren en verklarende diensten.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over vertegenwoordigingsbevoegdheden voor een specifieke resource zoals een zaak..
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over verklarende partijen zoals authenticatiediensten, machtigingsdiensten en gezaghebbende bronnen.
Controleren verschil tussen huidige en gewenste autorisaties
Omschrijving
Het bepalen of de daadwerkelijk in systemen aanwezige autorisaties overeenkomen met de gewenste autorisaties en het inzichtelijk maken van de verschillen.
Het in machineleesbare vorm beschikbaar stellen van gegevens over authenticatiemiddelen om authenticatie in doelsystemen te faciliteren. Denk daarbij met name aan het delen van publieke sleutels, waarmee de authenticiteit van private sleutels kan worden vastgesteld.
Het in machineleesbare vorm beschikbaar stellen van gegevens over digitale identiteiten, zodat diensten of systemen deze kunnen gebruiken als basisgegevens voor gebruikers.
Het creëren en vastleggen van gegevens over een authenticatiemiddel en de bijbehorende authenticatiefactoren, inclusief een koppeling met de digitale identiteit.
Het overhandigen van authenticatiefactoren die behoren bij een authenticatiemiddel aan de entiteit met de bijbehorende digitale identiteit, volgens een proces dat voldoet aan de normen van een specifiek betrouwbaarheidsniveau.
Het bepalen of er voldoende bewijs is dat iemand een digitale identiteit heeft en het creëren, controleren, vertalen en vernietigen van daarbij behorende tokens.
Het bepalen of een digitale identiteit geautoriseerd is voor diensten en daaronder liggende functies en gegevens en beschikken over de noodzakelijke vertegenwoordigingsbevoegdheden.
[...] is gerelateerd aan FIDO [...] is gerelateerd aan ASN.1 [...] is gerelateerd aan X509
Beheren autorisatieregels
Omschrijving
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over autorisatieregels, die aangeven onder welke condities digitale identiteiten toegang hebben tot welke resources.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van (gegevens over) de gezaghebbende bronnen, dienstverleners, de digitale diensten die zij leveren en verklarende diensten.
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over vertegenwoordigingsbevoegdheden voor een specifieke resource zoals een zaak..
Het creëren, vastleggen, beschikbaarstellen, wijzigen en verwijderen van gegevens over verklarende partijen zoals authenticatiediensten, machtigingsdiensten en gezaghebbende bronnen.
Controleren verschil tussen huidige en gewenste autorisaties
Omschrijving
Het bepalen of de daadwerkelijk in systemen aanwezige autorisaties overeenkomen met de gewenste autorisaties en het inzichtelijk maken van de verschillen.
Het in machineleesbare vorm beschikbaar stellen van gegevens over authenticatiemiddelen om authenticatie in doelsystemen te faciliteren. Denk daarbij met name aan het delen van publieke sleutels, waarmee de authenticiteit van private sleutels kan worden vastgesteld.
Het in machineleesbare vorm beschikbaar stellen van gegevens over digitale identiteiten, zodat diensten of systemen deze kunnen gebruiken als basisgegevens voor gebruikers.
Het creëren en vastleggen van gegevens over een authenticatiemiddel en de bijbehorende authenticatiefactoren, inclusief een koppeling met de digitale identiteit.
Het overhandigen van authenticatiefactoren die behoren bij een authenticatiemiddel aan de entiteit met de bijbehorende digitale identiteit, volgens een proces dat voldoet aan de normen van een specifiek betrouwbaarheidsniveau.
\ No newline at end of file
diff --git a/docs/content/views/bedrijfsobjecten.html b/docs/content/views/bedrijfsobjecten.html
index c7508c89..35a06425 100644
--- a/docs/content/views/bedrijfsobjecten.html
+++ b/docs/content/views/bedrijfsobjecten.html
@@ -1,2 +1,2 @@
-Bedrijfsobjecten
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een digitale Identiteit; de digitale representatie van een eigenschap van een entiteit.
Een regel die is gesteld voor toegang tot een resource en waaraan moet worden voldaan voordat een entiteit daadwerkelijke toegang krijgt tot een resource. (bron: NORA)
Een toestemming van een entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de digitale identiteit.
Een machtiging waarbij er een vertegenwoordiging is van een persoon door een ander persoon zonder hiërarchische verhouding. (bron: GDI-architectuur M&V)
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een digitale Identiteit; de digitale representatie van een eigenschap van een entiteit.
Een regel die is gesteld voor toegang tot een resource en waaraan moet worden voldaan voordat een entiteit daadwerkelijke toegang krijgt tot een resource. (bron: NORA)
Een toestemming van een entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de digitale identiteit.
Een machtiging waarbij er een vertegenwoordiging is van een persoon door een ander persoon zonder hiërarchische verhouding. (bron: GDI-architectuur M&V)
Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de vertegenwoordiger) om in naam van eerstgenoemde rechtshandelingen te verrichten. (bron: GDI-architectuur I&A)
Een machtiging waarbij er een hiërarchische relatie bestaat binnen een niet-natuurlijk persoon. Een natuurlijk persoon binnen een organisatie (b.v. een accountant binnen een accountantskantoor) voert binnen die organisatie taken uit en doet zaken met andere organisaties. (bron: GDI-architectuur M&V)
Wettelijke of bij gerechtelijke uitspraak geregelde overdracht van rechten en plichten als gevolg van handelingsonbekwaamheid of handelingsonbevoegdheid, en worden zowel de bevoegdheden als de verantwoordelijkheden van een belanghebbende overgedragen naar de vertegenwoordiger. (bron: GDI-architectuur M&V)
\ No newline at end of file
diff --git a/docs/content/views/bedrijfsobjectendetails.html b/docs/content/views/bedrijfsobjectendetails.html
index 6ca61532..ad9075d9 100644
--- a/docs/content/views/bedrijfsobjectendetails.html
+++ b/docs/content/views/bedrijfsobjectendetails.html
@@ -1,2 +1,2 @@
-Bedrijfsobjecten
Bedrijfsobjecten
Attribuut
Omschrijving
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een digitale Identiteit; de digitale representatie van een eigenschap van een entiteit.
[...] is gerelateerd aan Autorisatieregel (wordt gebruikt in) Attribuut is gerelateerd aan [...] (is van type) Rol is gerelateerd aan [...] (is specifiek soort)
Authenticatiefactor
Omschrijving
Iets dat iemand heeft, weet of is en waarmee bewijs kan worden geleverd van de identiteit.
Een regel die is gesteld voor toegang tot een resource en waaraan moet worden voldaan voordat een entiteit daadwerkelijke toegang krijgt tot een resource. (bron: NORA)
Een toestemming van een entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de digitale identiteit.
[...] is gerelateerd aan Verifiable Credentials [...] is gerelateerd aan SAML [...] is gerelateerd aan SCIM [...] is gerelateerd aan JWT [...] is gerelateerd aan XACML [...] is gerelateerd aan SD-JWT [...] is gerelateerd aan X509 [...] is gerelateerd aan SD-JWT VC
Horizontale machtiging
Omschrijving
Een machtiging waarbij er een vertegenwoordiging is van een persoon door een ander persoon zonder hiërarchische verhouding. (bron: GDI-architectuur M&V)
Een op zichzelf staand geheel van gegevens met een eigen identiteit. (bron: MDTO)
+Bedrijfsobjecten
Bedrijfsobjecten
Attribuut
Omschrijving
Een enkelvoudig of samengesteld informatie element dat onderdeel is van een digitale Identiteit; de digitale representatie van een eigenschap van een entiteit.
[...] is gerelateerd aan Autorisatieregel (wordt gebruikt in) Attribuut is gerelateerd aan [...] (is van type) Rol is gerelateerd aan [...] (is specifiek soort)
Authenticatiefactor
Omschrijving
Iets dat iemand heeft, weet of is en waarmee bewijs kan worden geleverd van de identiteit.
Een regel die is gesteld voor toegang tot een resource en waaraan moet worden voldaan voordat een entiteit daadwerkelijke toegang krijgt tot een resource. (bron: NORA)
Een toestemming van een entiteit of danwel zelf, danwel als vertegenwoordiger van een belanghebbende, om toegang te krijgen tot een resource waarbij voorwaarden kunnen worden gedefinieerd op de attributen van de digitale identiteit.
[...] is gerelateerd aan Verifiable Credentials [...] is gerelateerd aan SAML [...] is gerelateerd aan SCIM [...] is gerelateerd aan JWT [...] is gerelateerd aan XACML [...] is gerelateerd aan SD-JWT [...] is gerelateerd aan X509 [...] is gerelateerd aan SD-JWT VC
Horizontale machtiging
Omschrijving
Een machtiging waarbij er een vertegenwoordiging is van een persoon door een ander persoon zonder hiërarchische verhouding. (bron: GDI-architectuur M&V)
Een herroepbare bevoegdheid die een vertegenwoordigde verleent aan een andere partij (de vertegenwoordiger) om in naam van eerstgenoemde rechtshandelingen te verrichten. (bron: GDI-architectuur I&A)
Een machtiging waarbij er een hiërarchische relatie bestaat binnen een niet-natuurlijk persoon. Een natuurlijk persoon binnen een organisatie (b.v. een accountant binnen een accountantskantoor) voert binnen die organisatie taken uit en doet zaken met andere organisaties. (bron: GDI-architectuur M&V)
Wettelijke of bij gerechtelijke uitspraak geregelde overdracht van rechten en plichten als gevolg van handelingsonbekwaamheid of handelingsonbevoegdheid, en worden zowel de bevoegdheden als de verantwoordelijkheden van een belanghebbende overgedragen naar de vertegenwoordiger. (bron: GDI-architectuur M&V)
\ No newline at end of file
diff --git a/docs/content/views/begrippen.html b/docs/content/views/begrippen.html
index 222b1b68..406ea7eb 100644
--- a/docs/content/views/begrippen.html
+++ b/docs/content/views/begrippen.html
@@ -1 +1 @@
-Begrippen
Begrippen
Naam
Definitie
\ No newline at end of file
+Begrippen
Begrippen
Naam
Definitie
\ No newline at end of file
diff --git a/docs/content/views/begrippendetails.html b/docs/content/views/begrippendetails.html
index 9216e1b7..7c8c581d 100644
--- a/docs/content/views/begrippendetails.html
+++ b/docs/content/views/begrippendetails.html
@@ -1 +1 @@
-Begrippen
Begrippen
\ No newline at end of file
+Begrippen
Begrippen
\ No newline at end of file
diff --git a/docs/content/views/beleid.html b/docs/content/views/beleid.html
index 6c78c1f0..87997095 100644
--- a/docs/content/views/beleid.html
+++ b/docs/content/views/beleid.html
@@ -1 +1 @@
-Beleid
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
\ No newline at end of file
diff --git a/docs/content/views/beleiddetails.html b/docs/content/views/beleiddetails.html
index 53fd3b75..247f8e94 100644
--- a/docs/content/views/beleiddetails.html
+++ b/docs/content/views/beleiddetails.html
@@ -1 +1 @@
-Beleid
Beleid
Werkagenda Waardegedreven Digitaliseren
Omschrijving
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
Als we willen dat digitale technologie vóór onze samenleving blijft werken, als we kansen willen benutten en risico’s willen mitigeren, dan moet digitalisering waardengedreven en mensgericht zijn vormgegeven en moeten we als samenleving, bedrijfsleven en overheid samen optrekken. Het kabinet heeft hier werk van gemaakt, onder meer door een eerste coördinerend bewindspersoon voor Digitalisering aan te stellen die met haar collega-bewindspersonen deze waardengedreven digitalisering verder vormgeeft. Op 4 november 2022 is de Werkagenda Waardengedreven Digitaliseren aan de Tweede Kamer aangeboden. De Werkagenda is een uitwerking van elementen uit de brief Hoofdlijnen Beleid Digitalisering met concrete doelen en acties. Hij omvat 5 sporen: meedoen, vertrouwen en regie in de digitale samenleving, een goede digitale overheid en het versterken van de digitale samenleving in het Caribisch deel van het Koninkrijk.
\ No newline at end of file
diff --git a/docs/content/views/capabilities.html b/docs/content/views/capabilities.html
index 87b4ac2b..8bd16980 100644
--- a/docs/content/views/capabilities.html
+++ b/docs/content/views/capabilities.html
@@ -1 +1 @@
-Capabilities
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
\ No newline at end of file
diff --git a/docs/content/views/capabilitiesdetails.html b/docs/content/views/capabilitiesdetails.html
index 407954e5..36e3c340 100644
--- a/docs/content/views/capabilitiesdetails.html
+++ b/docs/content/views/capabilitiesdetails.html
@@ -1 +1 @@
-Capabilities
Capabilities
Betrouwbare authenticatiemiddelen
Omschrijving
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
Overheidsorganisaties kunnen authenticatiemiddelen bieden met een substantiële of hoge mate van betrouwbaarheid die de door overheid op veiligheid en betrouwbaarheid zijn gecontroleerd.
Overheidsorganisaties die zijn aangewezen als essentiële dienst kunnen voldoen aan verplichtingen inzake risicobeheer, maatregelen en rapportage op het gebied van cyberbeveiliging.
Overheidsorganisaties kunnen alle toegelaten publieke en private authenticatiemiddelen accepteren voor het geven van toegang tot hun digitale diensten.
Om dienstverleners in staat te stellen zo eenvoudig mogelijk hun aansluiting in te richten en te beheren wordt een aansluit- en beheerportaal beschikbaar gesteld. Dienstverleners beheren met deze voorziening de administratieve, functionele en technische onderdelen en gegevens van hun aansluiting. Ze beheren hun gegevens van de Stelselmetada via het Aansluit- en beheerportaal. Het Aansluit- en beheerportaal verzorgt het aansluiten op de Conformancetestomgeving en op de productieomgeving van het stelsel. Het Aansluit- en beheerportaal biedt ook een kanaal/platform voor informatievoorziening rond het stelsel.
+Gewenste voorzieningen
Om dienstverleners in staat te stellen zo eenvoudig mogelijk hun aansluiting in te richten en te beheren wordt een aansluit- en beheerportaal beschikbaar gesteld. Dienstverleners beheren met deze voorziening de administratieve, functionele en technische onderdelen en gegevens van hun aansluiting. Ze beheren hun gegevens van de Stelselmetada via het Aansluit- en beheerportaal. Het Aansluit- en beheerportaal verzorgt het aansluiten op de Conformancetestomgeving en op de productieomgeving van het stelsel. Het Aansluit- en beheerportaal biedt ook een kanaal/platform voor informatievoorziening rond het stelsel.
Het portaal biedt de volgende functies aan dienstverleners en brokers voor de Conformancetestomgeving en de productie omgeving:
• Informeren over aansluiten;
diff --git a/docs/content/views/gewenste voorzieningendetails.html b/docs/content/views/gewenste voorzieningendetails.html
index 49fd9f00..d5a083ad 100644
--- a/docs/content/views/gewenste voorzieningendetails.html
+++ b/docs/content/views/gewenste voorzieningendetails.html
@@ -1,4 +1,4 @@
-Gewenste voorzieningen
Gewenste voorzieningen
Aansluit- en beheerportaal
Omschrijving
Om dienstverleners in staat te stellen zo eenvoudig mogelijk hun aansluiting in te richten en te beheren wordt een aansluit- en beheerportaal beschikbaar gesteld. Dienstverleners beheren met deze voorziening de administratieve, functionele en technische onderdelen en gegevens van hun aansluiting. Ze beheren hun gegevens van de Stelselmetada via het Aansluit- en beheerportaal. Het Aansluit- en beheerportaal verzorgt het aansluiten op de Conformancetestomgeving en op de productieomgeving van het stelsel. Het Aansluit- en beheerportaal biedt ook een kanaal/platform voor informatievoorziening rond het stelsel.
+Gewenste voorzieningen
Gewenste voorzieningen
Aansluit- en beheerportaal
Omschrijving
Om dienstverleners in staat te stellen zo eenvoudig mogelijk hun aansluiting in te richten en te beheren wordt een aansluit- en beheerportaal beschikbaar gesteld. Dienstverleners beheren met deze voorziening de administratieve, functionele en technische onderdelen en gegevens van hun aansluiting. Ze beheren hun gegevens van de Stelselmetada via het Aansluit- en beheerportaal. Het Aansluit- en beheerportaal verzorgt het aansluiten op de Conformancetestomgeving en op de productieomgeving van het stelsel. Het Aansluit- en beheerportaal biedt ook een kanaal/platform voor informatievoorziening rond het stelsel.
Het portaal biedt de volgende functies aan dienstverleners en brokers voor de Conformancetestomgeving en de productie omgeving:
• Informeren over aansluiten;
diff --git a/docs/content/views/groepen.html b/docs/content/views/groepen.html
index 5d57dda3..2ceb8581 100644
--- a/docs/content/views/groepen.html
+++ b/docs/content/views/groepen.html
@@ -1 +1 @@
-Groepen
Groepen
Naam
Rationale
\ No newline at end of file
+Groepen
Groepen
Naam
Rationale
\ No newline at end of file
diff --git a/docs/content/views/groependetails.html b/docs/content/views/groependetails.html
index 11160a74..b2492843 100644
--- a/docs/content/views/groependetails.html
+++ b/docs/content/views/groependetails.html
@@ -1 +1 @@
-Groepen
Groepen
\ No newline at end of file
+Groepen
Groepen
\ No newline at end of file
diff --git a/docs/content/views/huidige voorzieningen.html b/docs/content/views/huidige voorzieningen.html
index 33499ee7..96afc51b 100644
--- a/docs/content/views/huidige voorzieningen.html
+++ b/docs/content/views/huidige voorzieningen.html
@@ -1 +1 @@
-Huidige voorzieningen
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
\ No newline at end of file
+Huidige voorzieningen
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
\ No newline at end of file
diff --git a/docs/content/views/huidige voorzieningendetails.html b/docs/content/views/huidige voorzieningendetails.html
index b373480f..490555a2 100644
--- a/docs/content/views/huidige voorzieningendetails.html
+++ b/docs/content/views/huidige voorzieningendetails.html
@@ -1 +1 @@
-Huidige voorzieningen
Huidige voorzieningen
Autorisatielijst BSN-gerechtigden
Omschrijving
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Beheerorganisatie
RvIG
Relatie met huidige voorzieningen
[...] levert gegevens aan BRP (persoon) eIDAS koppelpunt levert gegevens aan [...] (persoon)
BSN-koppelregister polymorfe pseudoniemen
Omschrijving
Het BSNk PP zorgt voor de koppeling van een authenticatiemiddel aan het BSN en het genereren van de pseudoniemen die in het stelsel nodig zijn.
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
[...] levert gegevens aan Dienst (bevoegdheidsverklaring) Bewind levert gegevens aan [...] (bewindsverklaring) Gezag levert gegevens aan [...] (gezagsverklaring) Dienstencatalogus wettelijk vertegenwoordigen levert gegevens aan [...] (dienstverlener, dienst)
Bewind
Omschrijving
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
[...] levert gegevens aan eHerkenning makelaar (authenticatieverzoek) [...] levert gegevens aan eIDAS koppelpunt (authenticatieverzoek) [...] levert gegevens aan CombiConnect (authenticatieverzoek) Dienst levert gegevens aan [...] (authenticatieverzoek)
Tijdelijk Register Restgroepen
Omschrijving
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Beheerorganisatie
Belastingdienst
eHerkenning dienstencatalogus
Omschrijving
De registratie van de diensten waarvoor toegang kan worden verstrekt in de context van eHerkenning.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
KvK levert gegevens aan [...] (KvK nummer, vestigingsnummer) eHerkenning makelaar levert gegevens aan [...] (authenticatieverzoek)
eIDAS koppelpunt
Omschrijving
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
[...] levert gegevens aan BRP koppelpunt (persoon) [...] levert gegevens aan DigiD (authenticatieverzoek) TVS levert gegevens aan [...] (authenticatieverzoek) Dienst levert gegevens aan [...] (authenticatieverzoek) BSNk Decryptie levert gegevens aan [...] (?) BSN-koppelregister polymorfe pseudoniemen levert gegevens aan [...] (PP, VP, sleutel) BRP levert gegevens aan [...] (persoon)
\ No newline at end of file
+Huidige voorzieningen
Huidige voorzieningen
Autorisatielijst BSN-gerechtigden
Omschrijving
Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties waarvan RvIG heeft vastgesteld dat ze voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken.
Een voorziening die zorgt voor het vaststellen of een burger die met een buitenlands middel inlogt al in de BRP bekend is. Het BRP koppelpunt is een departementsverantwoordelijkheid van het ministerie van BZK. Het BRP koppelpunt geeft invulling aan de BZK verantwoordelijkheid voor registratie van natuurlijke personen. Het BRP koppelpunt registreert de koppeling tussen de uniqueness id en het BSN.
Beheerorganisatie
RvIG
Relatie met huidige voorzieningen
[...] levert gegevens aan BRP (persoon) eIDAS koppelpunt levert gegevens aan [...] (persoon)
BSN-koppelregister polymorfe pseudoniemen
Omschrijving
Het BSNk PP zorgt voor de koppeling van een authenticatiemiddel aan het BSN en het genereren van de pseudoniemen die in het stelsel nodig zijn.
Een voorziening die bevoegdheidsverklaringen opstelt voor een reeds geauthenticeerde digitale identiteit op basis van gezagsverklaringen en bewindsverklaringen.
[...] levert gegevens aan Dienst (bevoegdheidsverklaring) Bewind levert gegevens aan [...] (bewindsverklaring) Gezag levert gegevens aan [...] (gezagsverklaring) Dienstencatalogus wettelijk vertegenwoordigen levert gegevens aan [...] (dienstverlener, dienst)
Bewind
Omschrijving
Een voorziening die de bewindsrelatie (bewindvoering, curatele, mentorschap) voor professionele en particuliere vertegenwoordigers bepaalt op basis van actuele gegevens in het wettelijk vertegenwoordigingsregister van de Raad voor de Rechtspraak en hiervoor bewindsverklaring opstelt.
Een component dat een koppelvlak vormt richting DigiD en DigiD machtigen dat gebruikers routeert o.b.v. of ze alleen voor zichzelf inloggen of voor iemand anders.
[...] levert gegevens aan eHerkenning makelaar (authenticatieverzoek) [...] levert gegevens aan eIDAS koppelpunt (authenticatieverzoek) [...] levert gegevens aan CombiConnect (authenticatieverzoek) Dienst levert gegevens aan [...] (authenticatieverzoek)
Tijdelijk Register Restgroepen
Omschrijving
Het Tijdelijk Register Restgroepen (TRR) wordt gebruikt voor organisaties die niet in het Handelsregister kunnen worden ingeschreven en diensten van de Belastingdienst afnemen.
Beheerorganisatie
Belastingdienst
eHerkenning dienstencatalogus
Omschrijving
De registratie van de diensten waarvoor toegang kan worden verstrekt in de context van eHerkenning.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden.
Een rol binnen het eHerkenning stelsel die het single point of contact vormt waarlangs dienstverleners eHerkenningsdiensten afnemen, die het berichtenverkeer van en naar de dienstverleners ontkoppelt van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende authenticatiediensten en machtigingenregisters.
Een rol binnen het eHerkenning stelsel die de verantwoordelijkheid heeft voor het uitgeven van middelen conform de eisen van het gespecificeerde betrouwbaarheidsniveau.
KvK levert gegevens aan [...] (KvK nummer, vestigingsnummer) eHerkenning makelaar levert gegevens aan [...] (authenticatieverzoek)
eIDAS koppelpunt
Omschrijving
Het Nederlandse eIDAS Koppelpunt faciliteert de interoperabiliteit tussen het Nederlandse stelsel Toegang en de buitenlandse eIDAS koppelpunten. eIDAS koppelpunt houdt een registratie bij van de handelende personen en registreert per persoon de PP/PI.
[...] levert gegevens aan BRP koppelpunt (persoon) [...] levert gegevens aan DigiD (authenticatieverzoek) TVS levert gegevens aan [...] (authenticatieverzoek) Dienst levert gegevens aan [...] (authenticatieverzoek) BSNk Decryptie levert gegevens aan [...] (?) BSN-koppelregister polymorfe pseudoniemen levert gegevens aan [...] (PP, VP, sleutel) BRP levert gegevens aan [...] (persoon)
\ No newline at end of file
diff --git a/docs/content/views/knelpunten.html b/docs/content/views/knelpunten.html
index 22705740..743e4c98 100644
--- a/docs/content/views/knelpunten.html
+++ b/docs/content/views/knelpunten.html
@@ -1 +1,2 @@
-Knelpunten
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd.
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat DigiD en eHerkenning authenticatiemiddelen niet optimaal werken voor minder digitaal vaardigen. Dit komt met name doordat zij worden gedwongen om gebruik te gaan maken van smartphone apps (SMS wordt uitgefaseerd), terwijl zij veelal geen smartphone hebben of onvoldoende vaardig zijn om deze ten volle te kunnen gebruiken.
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd. Informatiepunten Digitale Overheid (IDO’s) bij bibliotheken zijn een voorbeeld van een alternatief kanaal. Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat IDO-medewerkers maar tot op bepaalde hoogte kunnen helpen, omdat ze beperkte mogelijkheden en bevoegdheden hebben. Ze mogen geen DigiD aanvragen voor klanten omdat in de wet is bepaald dat je alleen voor jezelf een DigiD mag aanvragen, en niet voor anderen.
DigiD is op dit moment niet in staat om een pseudoniem van een gebruiker op te leveren op DigiD betrouwbaarheidsniveaus midden en substantieel, waardoor het inzetgebied beperkt is op deze niveaus tot diensten waarvoor er een grondslag is voor verwerking van het BSN. Voor diensten waarvoor anoniem gebruik voldoende is kan DigiD dus ook niet worden gebruikt. Dit voldoet niet aan de eIDAS verordening.
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat er voor eHerkenning geen overkoepelende organisatie bestaat die fraudegevallen oppakt en dat er ook geen centraal fraudemeldpunt is. Het melden van en reageren op specifieke signalen en meldingen ligt decentraal: bij de organisaties zelf, bij de leverancier en/of dienstverlener. Hierdoor ontbreekt er een goed kwalitatief en kwantitatief beeld. Dit heeft als risico dat zaken langs elkaar heen lopen en fraude minder effectief wordt voorkomen dan wanneer dit beeld er wel zou zijn.
We kunnen op dit moment nog geen eIDAS hoog authenticatiemiddel bieden aan burgers en organisaties (m.u.v. de zorgsector, die hiervoor de UZI-pas beschikbaar heeft) en voldoen daarmee als Nederland nog niet aan de eIDAS verordening. Hierdoor is het ook niet mogelijk om met DigiD of eHerkenning middelen digitale handtekeningen te zetten die gelijkwaardig zijn aan natte handtekeningen. Hiervoor moeten commerciële middelen worden aangeschaft.
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt er geen actuele, eenduidige en volledige beschrijving is van de huidige IT-architectuur. Bij DigiD constateerden ze dat er geen samenvattend uniform vastgesteld beeld is van het IT-landschap. Er zijn verschillende visuele weergaven aangeleverd door organisaties zoals BZK, Logius en Capgemini. Deze weergaven verschilden steeds weer wat van elkaar. Voor eHerkenning werd niet duidelijk hoe componenten zich tot elkaar verhouden. De beschikbare rapportages zijn niet altijd een-op-een te matchen
+met specifieke componenten. Voor BSNk PP geldt dat de IT-architectuurplaten sinds 2018 niet meer zijn geactualiseerd. Dit brengt het volgende risico met zich mee. Het wijzigen van IT-onderdelen kan invloed hebben op aanpalende IT-onderdelen. Als niet bekend is welke dit zijn, kan dit gevolgen hebben voor de uiteindelijke IT-dienstverlening.
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
\ No newline at end of file
diff --git a/docs/content/views/knelpuntendetails.html b/docs/content/views/knelpuntendetails.html
index 3508a752..af1b1f9b 100644
--- a/docs/content/views/knelpuntendetails.html
+++ b/docs/content/views/knelpuntendetails.html
@@ -1 +1,2 @@
-Knelpunten
Knelpunten
Beperkte machtigingsfunctionaliteit
Omschrijving
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
DigiD machtigen is lastig toegankelijk voor minder digitaal vaardigen
Omschrijving
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd.
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
PKI-overheidscertificaten nodig voor authenticatie van systemen
Omschrijving
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
Restgroepen worden niet goed ondersteund
Omschrijving
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
Er is op dit moment beperkte machtigingsfunctionaliteit aanwezig in DigiD machtigen en eHerkenning machtigen en ketenmachtigen. Zo is het bijvoorbeeld niet mogelijk om te machtigen voor zaken of voor specifieke deelgebieden. Daarnaast is het niet mogelijk om een machtiging met/op een bepaald betrouwbaarheidsniveau te geven. Er zijn op dit moment ook geen standaarden of voorzieningen om systemen te machtigen voor toegang tot andere systemen. Mede om deze redenen zijn er ook machtigingsfunctionaliteiten in allerlei specifieke portalen en systemen gerealiseerd. Dit is overheidsbreed niet een kostenefficiënte oplossing.
In Nederland is gekozen voor de systematiek van PKI-overheidscertificaten. Hierdoor kunnen Nederlandse certificaten niet direct internationaal gebruikt worden en andersom.
Overheidsorganisaties maken veel gebruik van SaaS diensten en andere leveranciers die namens hen gegevens uitwisselen. Om deze rolverdeling te laten werken moeten certificaten van overheidsorganisaties worden gedeeld met dit soort derde partijen. Dit is niet een veilige en efficiënte manier om andere partijen te machtigen namens overheidsorganisaties.
DigiD en eHerkenning is lastig toegankelijk voor minder digitaal vaardigen
Omschrijving
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat DigiD en eHerkenning authenticatiemiddelen niet optimaal werken voor minder digitaal vaardigen. Dit komt met name doordat zij worden gedwongen om gebruik te gaan maken van smartphone apps (SMS wordt uitgefaseerd), terwijl zij veelal geen smartphone hebben of onvoldoende vaardig zijn om deze ten volle te kunnen gebruiken.
DigiD machtigen is lastig toegankelijk voor minder digitaal vaardigen
Omschrijving
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd. Informatiepunten Digitale Overheid (IDO’s) bij bibliotheken zijn een voorbeeld van een alternatief kanaal. Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat IDO-medewerkers maar tot op bepaalde hoogte kunnen helpen, omdat ze beperkte mogelijkheden en bevoegdheden hebben. Ze mogen geen DigiD aanvragen voor klanten omdat in de wet is bepaald dat je alleen voor jezelf een DigiD mag aanvragen, en niet voor anderen.
DigiD ondersteunt geen pseudoniemen voor DigiD midden en substantieel
Omschrijving
DigiD is op dit moment niet in staat om een pseudoniem van een gebruiker op te leveren op DigiD betrouwbaarheidsniveaus midden en substantieel, waardoor het inzetgebied beperkt is op deze niveaus tot diensten waarvoor er een grondslag is voor verwerking van het BSN. Voor diensten waarvoor anoniem gebruik voldoende is kan DigiD dus ook niet worden gebruikt. Dit voldoet niet aan de eIDAS verordening.
Digikoppeling API profiel is beperkt
Omschrijving
Er is een Digikoppeling profiel voor API's, maar deze is heel beperkt ingevuld en biedt bijvoorbeeld geen standaard voor het omgaan met signing en encryptie.
Alhoewel de technische mogelijkheden beschikbaar zijn, blijkt toch dat veel portalen expliciet vragen om in te loggen als de gebruiker even daarvoor ook is al is ingelogd. Zo vragen veel van de portalen binnen de Belastingdienst ook om opnieuw in te loggen. Dit is gebruiksonvriendelijk. Ook als gebruikers naar portalen van andere overheden gaan dan zouden ze eigenlijk opnieuw mogen inloggen.
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat er voor eHerkenning geen overkoepelende organisatie bestaat die fraudegevallen oppakt en dat er ook geen centraal fraudemeldpunt is. Het melden van en reageren op specifieke signalen en meldingen ligt decentraal: bij de organisaties zelf, bij de leverancier en/of dienstverlener. Hierdoor ontbreekt er een goed kwalitatief en kwantitatief beeld. Dit heeft als risico dat zaken langs elkaar heen lopen en fraude minder effectief wordt voorkomen dan wanneer dit beeld er wel zou zijn.
Geen eIDAS hoog authenticatiemiddel
Omschrijving
We kunnen op dit moment nog geen eIDAS hoog authenticatiemiddel bieden aan burgers en organisaties (m.u.v. de zorgsector, die hiervoor de UZI-pas beschikbaar heeft) en voldoen daarmee als Nederland nog niet aan de eIDAS verordening. Hierdoor is het ook niet mogelijk om met DigiD of eHerkenning middelen digitale handtekeningen te zetten die gelijkwaardig zijn aan natte handtekeningen. Hiervoor moeten commerciële middelen worden aangeschaft.
IT-architectuur van DigiD en eHerkenning onvoldoende
Omschrijving
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt er geen actuele, eenduidige en volledige beschrijving is van de huidige IT-architectuur. Bij DigiD constateerden ze dat er geen samenvattend uniform vastgesteld beeld is van het IT-landschap. Er zijn verschillende visuele weergaven aangeleverd door organisaties zoals BZK, Logius en Capgemini. Deze weergaven verschilden steeds weer wat van elkaar. Voor eHerkenning werd niet duidelijk hoe componenten zich tot elkaar verhouden. De beschikbare rapportages zijn niet altijd een-op-een te matchen
+met specifieke componenten. Voor BSNk PP geldt dat de IT-architectuurplaten sinds 2018 niet meer zijn geactualiseerd. Dit brengt het volgende risico met zich mee. Het wijzigen van IT-onderdelen kan invloed hebben op aanpalende IT-onderdelen. Als niet bekend is welke dit zijn, kan dit gevolgen hebben voor de uiteindelijke IT-dienstverlening.
Koppeling met meerdere authenticatiediensten
Omschrijving
Overheidsorganisaties zijn in de Wdo verplicht om alle toegelaten publieke en private authenticatiemiddelen te accepteren voor het geven van toegang tot hun digitale diensten. Dat betekent dat zij afspraken moeten maken en koppelingen moeten realiseren met meerdere authenticatiediensten. De routeringsdienst TVS kan overheidsorganisaties hier in ontzorgen, maar kan op dit moment niet worden gebruikt door veel overheidsorganisaties. Ze kunnen wel gebruik maken van dienste van commerciële partijen.
Er is op dit moment sprake van een groot aantal plaatsen waar vrijwillige machtigingen verstrekt kunnen worden. Naast DigiD machtigen en de machtigingsvoorzieningen die eHerkenning biedt zijn er ook in allerlei andere systemen functionaliteiten voor machtigingen gerealiseerd zoals bijvoorbeeld in Digipoort. Dit zorgt er voor dat de beheerslast onnodig hoog is, dat overheidsorganisaties op meerdere machtigingsregisters moeten aansluiten en dat gebruikers op allerlei plaatsen machtigingen moeten verstrekken of ontvangen, waardoor ze het overzicht verliezen. De machtigingsfunctionaliteit in Digipoort was bedoeld als tijdelijk en is niet goed geïmplementeerd, zeker niet voor inkomende berichten.
PKI-overheidscertificaten nodig voor authenticatie van systemen
Omschrijving
Voor toegang van systemen tot andere systemen moet gebruik worden gemaakt van PKI-overheidscertificaten, die moeten worden aangeschaft, geïnstalleerd en periodiek worden vernieuwd. Dit leidt tot allerlei beheerkosten en lasten bij overheidsorganisaties. PKI-overheidscertificaten zijn ook duurder dan normale certificaten.
Restgroepen worden niet goed ondersteund
Omschrijving
Er zijn allerlei groepen burgers en bedrijven die niet worden bediend met DigiD, eHerkenning en PKI-overheid omdat ze niet in de onderliggende registers geregistreerd staan en omdat de betreffende afsprakenstelsels hier geen oplossing voor bieden. Het gaat bijvoorbeeld om burgers zonder EER paspoort, ambassades en buitenlandse bedrijven die niet in het handelsregister zijn opgenomen. Overheidsorganisaties die deze restgroepen wel moeten bedienen zijn verantwoordelijk om zelf hiervoor een registratie te voeren en een authenticatiemiddel in te richten die voldoet aan de eisen in de Wdo en/of eIDAS. Er is inmiddels wel een tijdelijk register voor restgroepen in het bedrijvendomein, maar deze is alleen beschikbaar voor diensten van de Belastingdienst en alleen beschikbaar voor eHerkenning.
Het kost veel inspanning om authenticatie en autorisatie tot diensten goed in te richten. Naast het realiseren van functionaliteit voor autorisatie moeten er vaak netwerktechnisch ook allerlei zaken ingeregeld worden zoals het configureren van firewalls. Een deel van dit soort zaken kunnen meer generiek worden opgelost. Dit wordt relevanter als de hoeveelheid API's groeit, mede als er allerlei gegevensdiensten bij komen.
DigiD mag alleen gebruikt worden voor diensten waarvoor BSN gebruikt moet worden. Dat sluit het gebruik van DigiD uit voor allerlei diensten die ook zonder BSN gebruikt kunnen worden. Hierdoor zijn er geen betrouwbare middelen beschikbaar voor het geven van toegang tot dit soort diensten.
Professionele vertegenwoordigers van nabestaanden kunnen niet digitaal gemachtigd worden. Er zou ook een koppelvlak moeten zijn om via systemen nabestaanden te kunnen machtigen. Professionele dienstverleners zoals bewindvoerders kunnen ook nog niet als vertegenwoordiger optreden. Dat geldt ook voor ouders van minderjarige kinderen, curatoren, bewindvoerders, mentoren van volwassenen en niet-Nederlanders die buiten Nederland wonen, maar een band met de Nederlandse overheid hebben (zoals grensarbeiders).
Om gebruik te kunnen maken van eHerkenning moet een eHerkenning middel worden aangeschaft, wat tot jaarlijkse kosten leidt per medewerker. Dat geldt inmiddels ook voor diensten die in het verleden nog gratis waren, zoals het doen van een aangifte loonbelasting. Voor sommige bedrijven zijn de bijbehorende kosten substantieel en/of staan niet in verhouding tot het doen van een aangifte. Een ander aandachspunt is dat ook voor het kunnen machtigen in eHerkenning een authenticatiemiddel nodig is en dus kosten moeten worden gemaakt.
\ No newline at end of file
diff --git a/docs/content/views/ontwikkelingen.html b/docs/content/views/ontwikkelingen.html
index d248fa56..791d9986 100644
--- a/docs/content/views/ontwikkelingen.html
+++ b/docs/content/views/ontwikkelingen.html
@@ -1 +1 @@
-Ontwikkelingen
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
\ No newline at end of file
diff --git a/docs/content/views/ontwikkelingendetails.html b/docs/content/views/ontwikkelingendetails.html
index 2d15df5d..aeb4286f 100644
--- a/docs/content/views/ontwikkelingendetails.html
+++ b/docs/content/views/ontwikkelingendetails.html
@@ -1 +1 @@
-Ontwikkelingen
Ontwikkelingen
Adaptieve toegangscontrole
Omschrijving
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
Contextuele toegangscontrole
Omschrijving
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
Self Sovereign Identity
Omschrijving
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
Verklaringen
Omschrijving
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
Wachtwoordloos inloggen
Omschrijving
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
Zero trust
Omschrijving
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
\ No newline at end of file
+Ontwikkelingen
Ontwikkelingen
Adaptieve toegangscontrole
Omschrijving
Bij adaptieve toegangscontrole kan er dynamisch rekening worden gehouden met veranderende risicoprofielen en gebruikersgedrag. Ongebruikelijke gebruikspatronen kunnen daarbij aanleiding zijn om toegang te weigeren. Zo is toegang vanuit een ander land en/of vanaf een ander apparaat verdacht en kan dat reden zijn om de toegang te weigeren, de gebruiker om aanvullende authenitcatiemiddelen te vragen en/of de toegang expliciet te signaleren aan een beheerder. Er kan ook dynamisch worden bepaald of aanvullende authenticatiemiddelen nodig zijn als gegevens met een hoger beveilgingsrisico worden benaderd.
Contextuele toegangscontrole
Omschrijving
Voor het verstrekken van toegang wordt steeds meer contextuele informatie over een gebruiker gebruikt. Denk daarbij bijvoorbeeld aan de locatie van de gebruiker, het tijdstip van toegang, het gebruikte apparaat, het type sessie en het aantal gelijktijdige sessies. Hierdoor kan toegang meer gericht worden verstrekt en wordt ongeautoriseerde toegang dus verder voorkomen. Contextuele toegangsregels kunnen op groepsniveau, maar ook individueel worden toegekend.
Self Sovereign Identity
Omschrijving
Self Sovereign Identity (SSI) is een visie op identiteiten waarbij de gebruiker zelf centraal staat. Het basisprincipe is dat gebruikers zelf controle hebben over hun eigen identiteit. Identiteiten zijn dus niet gebonden aan een specifieke site of partij. Ze zijn en blijven ten alle tijden van de gebruiker en deze kan er altijd naar refereren, deze aanpassen of zelfs verbergen. Gebruikers kunnen hun identiteit voorzien van allerlei verklaringen, die deels van henzelf komen en die deels afkomstig zijn van anderen. Deze verklaringen en anderssoortige gegevens die deel uitmaken van de identiteit zijn altijd eenvoudig voor gebruikers te raadplegen. Verklaringen zijn daarmee niet noodzakelijkerwijs ook aan te passen door gebruikers, maar ze zijn er altijd bewust van. Gebruikers bepalen ook zelf aan wie ze de verklaringen en gegevens verstrekken en er worden ook geen gegevens verstrekt die niet nodig zijn. Identiteiten blijven ook lang geldig, in ieder geval zolang de gebruiker dat wil. Ze kunnen ook breed gebruikt worden. Er is niet één gemeenschappelijke interpretatie van de term SSI. Er zijn vooral allerlei interpretaties die een mate van overlap vertonen. Een deel van de oplossingen zoals voorgesteld voor SSI maakt gebruik van Blockchain technologie.
Verklaringen
Omschrijving
Daar waar in het verleden rechten van gebruikers vooral bepaald werden door hun rol, worden rechten tegenwoordig steeds meer bepaald door verklaringen (ook wel: claims of attestaties) van partijen. Deze verklaringen hoeven niet direct over een specifiek recht te gaan, maar kunnen over allerlei eigenschappen (ook wel: attributen) van de gebruiker gaan. Dit wordt ook wel Attribute Based Credentials (ABC) genoemd. Hiermee ontstaat een meer flexibele vorm van autorisatie, die gebruik kan maken van veel meer eigenschappen, die door allerlei partijen kunnen worden geleverd. Het leidt tot een veel minder centraal model voor het toekennen van autorisaties. Uitgevers van verklaringen hebben zelf ook geen zicht op het gebruik van de verklaringen. Verklaringen kunnen ook gericht zijn op het ondersteunen van specifieke informatiebehoeften, waardoor ze dataminimalisatie goed ondersteunen. Verklaringen zijn er in verschillende soorten, met een verschillend niveau van betrouwbaarheid. Verifieerbare verklaringen maken het mogelijk om de echtheid en geldigheid van de verklaring expliciet te controleren. In de context van de nieuwe eIDAS verordening wordt ook wel gesproken over gekwalificeerde verklaringen. Dat zijn verklaringen die voldoen aan hoge betrouwbaarheidseisen die zijn gesteld vanuit Europa. Ze staan juridisch gelijk aan een geschreven handtekening.
Wachtwoordloos inloggen
Omschrijving
Bij wachtwoordloos inloggen wordt in plaats van een wachtwoord een andere combinatie van authenticatiefactoren gebruikt. Dat is typisch een combinatie van een publieke identificatie (gebruikersnaam, telefoonnummer, emailadres, etc) en een geregistreerd apparaat of token, maar er kunnen ook andere authenticatiefactoren worden ingezet zoals biometrie. Hierdoor hoeven gebruikers dus geen wachtwoord meer te gebruiken. Dat in tegenstelling tot multi-factor authenticatie, waarbij wachtwoorden wel de basis blijven. Het gebruik van wachtwoorden is in het verleden vaker bekritiseerd, ondermeer omdat mensen wachtwoorden hergebruiken, mensen geneigd zijn ze te vergeten, ze periodiek aangepast moeten worden en ze hierdoor op minder veilige manieren worden vastgelegd. Wachtwoordloze inlogmethoden maken typisch gebruik van public-key cryptografie.
Zero trust
Omschrijving
Het is steeds minder duidelijk welke gebruikers en apparaten vertrouwd kunnen worden, bijvoorbeeld doordat het onderscheid tussen interne en externe medewerkers steeds minder scherp wordt en mensen steeds meer thuiswerken. In het zero trust model wordt ervan uitgegaan dat gebruikers en apparaten standaard niet vertrouwd kunnen worden, ook als de verbonden zijn aan het lokale netwerk. Uitgangspunt is dan dat identiteiten altijd sterk worden gecontroleerd voorafgaand aan het verstrekken van toegang. Gebruikers krijgen ook alleen de minimaal noodzakelijke toegang. Het niveau van beveiliging wordt hierdoor verhoogd. Autorisatie dient plaatst te vinden op functionaliteiten en op basis van het need-to-know principle. Dit betekent dat de gebruiker alleen toegang krijgt tot tools, data en zones die daadwerkelijk nuttig zijn voor het werk dat diegene doet.
\ No newline at end of file
diff --git a/docs/content/views/principes.html b/docs/content/views/principes.html
index c56fe7e3..2a8283b9 100644
--- a/docs/content/views/principes.html
+++ b/docs/content/views/principes.html
@@ -1 +1 @@
-Principes
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
\ No newline at end of file
diff --git a/docs/content/views/principesdetails.html b/docs/content/views/principesdetails.html
index db62b03b..ba67ec43 100644
--- a/docs/content/views/principesdetails.html
+++ b/docs/content/views/principesdetails.html
@@ -1 +1 @@
-Principes
Principes
1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Rationale
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Implicaties
1. Vertrouwende partijen sluiten aan bij voor hen relevante vertrouwensnetwerken en/of lijsten van vertrouwde partijen. 2. Vertrouwende partijen borgen bij het ontwerp van hun diensten dat er voldoende betrouwbare verklarende partijen zijn die kunnen verklaren over digitale identiteiten, hun eigenschappen en bevoegdheden. 3. De gebruiker kent de vertrouwende partij en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 4. De vertrouwende partij kent de partij die de verklaring afgeeft en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 5. De vertrouwende partij kent de gebruiker en vertouwt deze doordat daar bewijs voor is geleverd. 6. Als een verifieerbare verklaring afkomstig is uit een wallet dan heeft de vertrouwende partij bewijs dat deze verklaring hoort bij de wallet en niet gekopieerd is. 7. De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de actualiteit en of deze gekwalificeerd is. 8. Er kunnen verklaringen bij verschillende verklarende partijen worden opgehaald om voldoende vertrouwen te krijgen.
2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Rationale
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Implicaties
1. Het is duidelijk wat de wettelijke grondslag is van de gegevensuitwisseling. 2. Bij het ontwerp van diensten moeten dienstverleners aangeven welke attributen van entiteiten noodzakelijk zijn om de dienst uit te kunnen voeren. 3. Gebruikers kunnen voorafgaand aan hun handelen zelf toetsen of zij de voor de dienst gevraagde attributen (persoonsgegevens) willen laten verwerken. 4. De toegangsinfrastructuur borgt dat alleen de vooraf benoemde attributen worden verstrekt. 5. Er kunnen ook gebruikers anoniem (met een pseudoniem) gebruik maken van diensten, zolang de precieze identiteit van iemand nog niet relevant is. 6. Als kan worden volstaan met een verklaring (zero knowledge proof) dan worden niet de onderliggende gegevens opgehaald; om te weten of iemand volwassen is hoef je niet zijn geboortedatum te kennen. 7. Specifieke verklaringen die relevant zijn voor toegang (inclusief de verklaring over de precieze identiteit van iemand) worden pas opgehaald op het moment dat een gebruiker aangeeft handelingen uit te willen voeren waardoor dit nodig is. 8. Opsporingsdiensten hebben de mogelijkheid om pseudoniemen te herleiden naar een natuurlijk persoon of organisatie.
3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Rationale
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Implicaties
1. Het optimaliseren van de interne organisatie van toegangsprocessen bij overheidsorganisaties is minder belangrijk dan het bieden van een optimale klantreis. 2. Gebruikers hoeven maar één keer in te loggen voor een bepaald betrouwbaarheidsniveau om gebruik te maken van verschillende diensten die voldoende hebben aan dit niveau. 3. Authenticaties worden uitgevoerd op een basisniveau van betrouwbaarheid en pas als een gebruiker een handeling wil uitvoeren die een hoger niveau vraagt dan wordt een aanvullende (step-up) authenticatie uitgevoerd. 4. Het liefst kun je iemand per direct digitaal machtigen namens jezelf voor specifieke handelingen, zonder daarvoor allerlei procedures te doorlopen. 5. Mensen kunnen ook bij de balie iemand machtigen. 6. Het zou een standaard optie moeten zijn om iemand te vertegenwoordigen bij het inloggen.
4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Rationale
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
Implicaties
1. Vertrouwende partijen hebben één generiek koppelvlak waarmee zij kunnen aansluiten op de toegangsinfrastructuur, naast de mogelijkheid om ook direct verbinding te leggen met specifieke voorzieningen voor partijen die daar behoefte aan hebben. 2. De toegangsinfrastructuur biedt achter het generieke koppelvlak ondersteuning voor meerdere authenticatiemiddelen en ontsluiting van alle landelijke machtingsregisters. 3. De toegangsinfrastructuur kan voor een voorgedefinieerde set van attributen relevante verklaringen bij bronregisters ophalen en meeleveren met de identiteitsverklaring naar vertrouwende partijen (al dan niet via een wallet). 4. De toegangsinfrastructuur ondersteunt toegang via alle relevante kanalen, inclusief geautomatiseerde toegang tot systemen (API’s). 5. Vertrouwende partijen worden niet gedwongen commerciële diensten af te nemen om meerdere authenticatiemiddelen en machtigingsregisters te ondersteunen.
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
Implicaties
1. Er worden technische beveiligingsmaatregelen geïmplementeerd die zijn geautomatiseerd en niet zomaar door individuen kunnen worden gepasseerd. 2. Er wordt een zero trust beveiligingsmodel gehanteerd waarbij gebruikers en apparaten, zowel binnen als buiten het netwerk, worden behandeld als niet-vertrouwd en voortdurend worden geauthenticeerd en geautoriseerd op basis van factoren zoals apparaatstatus, netwerklocatie, tijd en gedrag. 3. Toegang tot diensten en informatie-objecten wordt beperkt tot alleen dat wat nodig is voor de verantwoordelijkheden (least priviledge). 4. Er worden geen privacy hotspots gecreëerd in systemen van individuele organisaties als dat kan worden voorkomen door bijvoorbeeld pseudonimisering.
6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Rationale
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
Implicaties
1. Autorisatie tot een service vindt plaats op basis van de identiteit van de overheidsorganisatie waarmee de juridische afspraak tot het afnemen van de dienst is gemaakt. 2. Autorisatie en authenticatie gebeurt bij de dienstverlener niet op een verder gedetailleerd niveau, zoals medewerker, afdeling, applicatie of wettelijke taak. 3. Afnemende organisaties definiëren zelf autorisaties van individuele medewerkers, en moeten daar controleerbaar verantwoording over afleggen. 4. Afnemerorganisatie zorgen dat verzoeken alleen worden gedaan door daartoe bevoegde medewerkers en applicaties/systemen. 5. Een dienstverlener kan alleen maar inzage kan geven in de organisaties aan wie gegevens zijn verstrekt. 6. De naam van de medewerker bij de afnemersorganisatie kan wel als inhoudelijk gegeven worden meegegeven bij het aanroepen van een dienst. 7. Als gebruik wordt gemaakt van een intermediair die gegevens inhoudelijk bewerkt dan wordt toegang tot de intermediair verleend op het niveau van de afnemersorganisatie en toegang tot de uiteindelijke dienst op het niveau van de intermediair.
\ No newline at end of file
+Principes
Principes
1. Vertrouwen wordt gebouwd op verifieerbare verklaringen van vertrouwde partijen
Rationale
Toegang wordt alleen verleend door vertrouwende partijen als zij voldoende vertrouwen hebben. Zij krijgen dit vertrouwen door van verklarende partijen die zij kennen en vertrouwen verifieerbare verklaringen te ontvangen over de digitale identiteit, eigenschappen en bevoegdheden van deze digitale identiteit. Gekwalificeerde verklaringen voldoen ook aan de eisen die de Europese Commissie stelt en hebben daarbij de voorkeur. Deze verklaringen geven echter alleen vertrouwen als de partijen die deze verklaringen uitgeven ook vertrouwd kunnen worden. Vertrouwen in partijen wordt verkregen door bijvoorbeeld een certificaat, het lidmaatschap van een vertrouwensnetwerk en/of registratie bij een lijst van vertrouwde partijen. Het Architecture and Reference Framework (ARF) dat is opgesteld in het kader van de nieuwe eIDAS verordening heeft dit soort vertrouwensaspecten in meer detail beschreven voor de European Digital Identity Wallet.
Implicaties
1. Vertrouwende partijen sluiten aan bij voor hen relevante vertrouwensnetwerken en/of lijsten van vertrouwde partijen. 2. Vertrouwende partijen borgen bij het ontwerp van hun diensten dat er voldoende betrouwbare verklarende partijen zijn die kunnen verklaren over digitale identiteiten, hun eigenschappen en bevoegdheden. 3. De gebruiker kent de vertrouwende partij en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 4. De vertrouwende partij kent de partij die de verklaring afgeeft en heeft daar vertrouwen in doordat daar bewijs voor is geleverd. 5. De vertrouwende partij kent de gebruiker en vertouwt deze doordat daar bewijs voor is geleverd. 6. Als een verifieerbare verklaring afkomstig is uit een wallet dan heeft de vertrouwende partij bewijs dat deze verklaring hoort bij de wallet en niet gekopieerd is. 7. De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de actualiteit en of deze gekwalificeerd is. 8. Er kunnen verklaringen bij verschillende verklarende partijen worden opgehaald om voldoende vertrouwen te krijgen.
2. Er wordt tussen partijen alleen strikt noodzakelijke gegevens over personen uitgewisseld
Rationale
Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de digitale identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Daarnaast moet wel rekening worden gehouden met zogenaamde comfortinformatie. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk om betekenisvol informatie te presenteren naar gebruikers zoals namen van mensen en organisaties.
Implicaties
1. Het is duidelijk wat de wettelijke grondslag is van de gegevensuitwisseling. 2. Bij het ontwerp van diensten moeten dienstverleners aangeven welke attributen van entiteiten noodzakelijk zijn om de dienst uit te kunnen voeren. 3. Gebruikers kunnen voorafgaand aan hun handelen zelf toetsen of zij de voor de dienst gevraagde attributen (persoonsgegevens) willen laten verwerken. 4. De toegangsinfrastructuur borgt dat alleen de vooraf benoemde attributen worden verstrekt. 5. Er kunnen ook gebruikers anoniem (met een pseudoniem) gebruik maken van diensten, zolang de precieze identiteit van iemand nog niet relevant is. 6. Als kan worden volstaan met een verklaring (zero knowledge proof) dan worden niet de onderliggende gegevens opgehaald; om te weten of iemand volwassen is hoef je niet zijn geboortedatum te kennen. 7. Specifieke verklaringen die relevant zijn voor toegang (inclusief de verklaring over de precieze identiteit van iemand) worden pas opgehaald op het moment dat een gebruiker aangeeft handelingen uit te willen voeren waardoor dit nodig is. 8. Opsporingsdiensten hebben de mogelijkheid om pseudoniemen te herleiden naar een natuurlijk persoon of organisatie.
3. Toegang tot diensten en gegevens is zo laagdrempelig als mogelijk voor het gevraagde betrouwbaarheidsniveau
Rationale
Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Het is duidelijk dat een hogere mate van veiligheid meer handelingen van gebruikers vragen. Tegelijkertijd zijn er ook allerlei handelingen in de processen gerelateerd aan toegang die kunnen worden vereenvoudigd, zonder het gebruikers moeilijk te maken. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden.
Implicaties
1. Het optimaliseren van de interne organisatie van toegangsprocessen bij overheidsorganisaties is minder belangrijk dan het bieden van een optimale klantreis. 2. Gebruikers hoeven maar één keer in te loggen voor een bepaald betrouwbaarheidsniveau om gebruik te maken van verschillende diensten die voldoende hebben aan dit niveau. 3. Authenticaties worden uitgevoerd op een basisniveau van betrouwbaarheid en pas als een gebruiker een handeling wil uitvoeren die een hoger niveau vraagt dan wordt een aanvullende (step-up) authenticatie uitgevoerd. 4. Het liefst kun je iemand per direct digitaal machtigen namens jezelf voor specifieke handelingen, zonder daarvoor allerlei procedures te doorlopen. 5. Mensen kunnen ook bij de balie iemand machtigen. 6. Het zou een standaard optie moeten zijn om iemand te vertegenwoordigen bij het inloggen.
4. De toegangsinfrastructuur ontzorgt vertrouwende partijen
Rationale
Gebruikers kunnen in de toekomst over meerdere authenticatiemiddelen beschikken. Er kunnen nu ook al authenticatiemiddelen uit andere lidstaten kunnen worden gebruikt. Met de nieuwe eIDAS verordening kunnen straks ook private middelen en European Digital Identity Wallets worden gebruikt. Vertrouwende partijen zullen hoe dan ook al dit soort authenticatiemiddelen moeten ondersteunen, maar het is inefficiënt en moeilijk voor partijen om dit zelf te ondersteunen. Daarnaast zijn er allerlei machtigingsregisters die van toepassing kunnen zijn en waarmee vertrouwende partijen niet allemaal losse afspraken en verbindingen mee willen maken.
Implicaties
1. Vertrouwende partijen hebben één generiek koppelvlak waarmee zij kunnen aansluiten op de toegangsinfrastructuur, naast de mogelijkheid om ook direct verbinding te leggen met specifieke voorzieningen voor partijen die daar behoefte aan hebben. 2. De toegangsinfrastructuur biedt achter het generieke koppelvlak ondersteuning voor meerdere authenticatiemiddelen en ontsluiting van alle landelijke machtingsregisters. 3. De toegangsinfrastructuur kan voor een voorgedefinieerde set van attributen relevante verklaringen bij bronregisters ophalen en meeleveren met de identiteitsverklaring naar vertrouwende partijen (al dan niet via een wallet). 4. De toegangsinfrastructuur ondersteunt toegang via alle relevante kanalen, inclusief geautomatiseerde toegang tot systemen (API’s). 5. Vertrouwende partijen worden niet gedwongen commerciële diensten af te nemen om meerdere authenticatiemiddelen en machtigingsregisters te ondersteunen.
We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten. Mensen hebben soms ook verkeerde intenties. Ervaring uit het verleden leert dat veel beveiligingsaanvallen van binnenuit organisaties komen. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Rusland en China zijn voorbeelden van landen waarvoor dit prominent geldt, maar er zijn ook allerlei andere landen waar mensen aan de macht komen die er andere waarden op na houden. Beveiliging zou dus ook zoveel mogelijk borgen moeten inbouwen om te beschermen tegen individuele machtshebbers die grenzen willen overschrijden.
Implicaties
1. Er worden technische beveiligingsmaatregelen geïmplementeerd die zijn geautomatiseerd en niet zomaar door individuen kunnen worden gepasseerd. 2. Er wordt een zero trust beveiligingsmodel gehanteerd waarbij gebruikers en apparaten, zowel binnen als buiten het netwerk, worden behandeld als niet-vertrouwd en voortdurend worden geauthenticeerd en geautoriseerd op basis van factoren zoals apparaatstatus, netwerklocatie, tijd en gedrag. 3. Toegang tot diensten en informatie-objecten wordt beperkt tot alleen dat wat nodig is voor de verantwoordelijkheden (least priviledge). 4. Er worden geen privacy hotspots gecreëerd in systemen van individuele organisaties als dat kan worden voorkomen door bijvoorbeeld pseudonimisering.
6. Autorisatie voor toegang tot diensten vindt plaats op organisatieniveau
Rationale
De afnemer is in de basis zelf verantwoordelijk voor de eigen informatiebeveiliging, en daarmee voor het op de juiste wijze autoriseren van eigen medewerkers. De dienstverlener wil ook liever niets weten over de individuele medewerkers van deze afnemer. Er bestaat brede consensus (ook in andere landen), dat dit ongewenst is.
Implicaties
1. Autorisatie tot een service vindt plaats op basis van de identiteit van de overheidsorganisatie waarmee de juridische afspraak tot het afnemen van de dienst is gemaakt. 2. Autorisatie en authenticatie gebeurt bij de dienstverlener niet op een verder gedetailleerd niveau, zoals medewerker, afdeling, applicatie of wettelijke taak. 3. Afnemende organisaties definiëren zelf autorisaties van individuele medewerkers, en moeten daar controleerbaar verantwoording over afleggen. 4. Afnemerorganisatie zorgen dat verzoeken alleen worden gedaan door daartoe bevoegde medewerkers en applicaties/systemen. 5. Een dienstverlener kan alleen maar inzage kan geven in de organisaties aan wie gegevens zijn verstrekt. 6. De naam van de medewerker bij de afnemersorganisatie kan wel als inhoudelijk gegeven worden meegegeven bij het aanroepen van een dienst. 7. Als gebruik wordt gemaakt van een intermediair die gegevens inhoudelijk bewerkt dan wordt toegang tot de intermediair verleend op het niveau van de afnemersorganisatie en toegang tot de uiteindelijke dienst op het niveau van de intermediair.
\ No newline at end of file
diff --git a/docs/content/views/richtlijnen.html b/docs/content/views/richtlijnen.html
index a3386fce..cfffbc7d 100644
--- a/docs/content/views/richtlijnen.html
+++ b/docs/content/views/richtlijnen.html
@@ -1 +1 @@
-Richtlijnen
Richtlijnen
Naam
Rationale
\ No newline at end of file
+Richtlijnen
Richtlijnen
Naam
Rationale
\ No newline at end of file
diff --git a/docs/content/views/richtlijnendetails.html b/docs/content/views/richtlijnendetails.html
index 06a713ad..43039d59 100644
--- a/docs/content/views/richtlijnendetails.html
+++ b/docs/content/views/richtlijnendetails.html
@@ -1 +1 @@
-Richtlijnen
Richtlijnen
\ No newline at end of file
+Richtlijnen
Richtlijnen
\ No newline at end of file
diff --git a/docs/content/views/rollen.html b/docs/content/views/rollen.html
index e028a4cf..375bcd7b 100644
--- a/docs/content/views/rollen.html
+++ b/docs/content/views/rollen.html
@@ -1 +1 @@
-Rollen
Rollen
Naam
Rationale
\ No newline at end of file
+Rollen
Rollen
Naam
Rationale
\ No newline at end of file
diff --git a/docs/content/views/rollendetails.html b/docs/content/views/rollendetails.html
index 24eec5e4..db484894 100644
--- a/docs/content/views/rollendetails.html
+++ b/docs/content/views/rollendetails.html
@@ -1 +1 @@
-Rollen
Rollen
\ No newline at end of file
+Rollen
Rollen
\ No newline at end of file
diff --git a/docs/content/views/standaarden.html b/docs/content/views/standaarden.html
index 93e585b4..5ddeb8af 100644
--- a/docs/content/views/standaarden.html
+++ b/docs/content/views/standaarden.html
@@ -1 +1 @@
-Standaarden
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Dit is een taal voor het uitdrukken van regels voor toegangsverlening. Het definieert de gebruikte begrippen en bevat modellen en een beschrijving van architectuurcomponenten, waarop de modellen in het thema Logische Toegang van dit document zijn gebaseerd.
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Dit is een op XML gebaseerde taal voor het uitdrukken van autorisatieregels.
\ No newline at end of file
diff --git a/docs/content/views/standaardendetails.html b/docs/content/views/standaardendetails.html
index f923e66e..9e516594 100644
--- a/docs/content/views/standaardendetails.html
+++ b/docs/content/views/standaardendetails.html
@@ -1 +1 @@
-Standaarden
Standaarden
ASN.1
Omschrijving
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SAML moet worden toegepast op de uitwisseling van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten.
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Authenticatie van applicaties, gebruikers, systemen middels certificaten op het internet, zoals www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS.
Dit is een taal voor het uitdrukken van regels voor toegangsverlening. Het definieert de gebruikte begrippen en bevat modellen en een beschrijving van architectuurcomponenten, waarop de modellen in het thema Logische Toegang van dit document zijn gebaseerd.
Abstract syntax notation one (ASN.1) wordt veel gebruikt voor het beschrijven van X.509 certificaten en toepassing daarvan. Voorbeeld van een toepassing is RSA public key voor beveiliging van het transactieverkeer in de elektronische handel. Hiernaast deze standaard een syntax om data in telecommunicatie en computer netwerken te representeren, te coderen, over te brengen en te decoderen.
Een verzameling normen voor het ondersteunen van wachtwoordloze authenticatie. FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
ISO/IEC 18013-5 is een internationale standaard die betrekking heeft op identiteitsdocumenten voor mobiliteitsdoeleinden, met de nadruk op smartphone-toepassingen.
Het NL GOV Assurance profile for OIDC 1.0 geeft door dienstverleners aangeboden diensten de mogelijkheid om de identiteit van een eindgebruiker te controleren gebaseerd op verschillende authenticatieservices (zoals DigiD), waarbij profielinformatie van de eindgebruiker volgens een gestandaardiseerde wijze beschikbaar wordt gesteld aan de daarvoor geautoriseerde diensten.
Het NL GOV OpenID Connect profiel moet worden toegepast bij het beschikbaar stellen en het gebruik van federatieve authenticatiediensten, inclusief vertegenwoordiging- en attribuutverstrekking.
NL GOV Assurance profile for OAuth 2.0 legt bindende afspraken vast over het gebruik van de de standaard OAuth 2.0 bij de Nederlandse overheid. In combinatie met onderliggende standaard OAuth 2.0 zorgt NL GOV Assurance profile for OAuth 2.0 ervoor dat de autorisatie van gebruikers van REST APIs van de overheid op een uniforme en eenduidige plaatsvindt.
NL GOV Assurance Profile for OAuth 2.0 moet worden toegepast bij applicaties waarbij gebruikers of ‘resource owners’ impliciet of expliciet toestemming geven aan een dienst van een derde om namens deze toegang te krijgen tot gegevens via een REST API waarvoor ze recht van toegang hebben.
Wanneer een gebruiker zich met succes authentiseert bij een webapplicatie met een OAuth 2.0-service, geeft de OAuth 2.0-service een token uit voor dit gebruikersaccount zodat de vertrouwende partijen de authenticatie op hun systemen kunnen accepteren. Door de verspreiding van API's die ontwikkelaars in staat stellen applicaties te maken die compatibel zijn met webgebaseerde platforms, is OAuth populair geworden als autorisatieprotocol en wordt het steeds vaker aangetroffen in bedrijfsweb- en desktoptoepassingen om gebruikersaccounts voor verschillende doeleinden toegang te geven tot applicaties.
OpenID Connect (OIDC) is een open en gedistribueerde manier om één authenticatiedienst naar keuze te kunnen hergebruiken bij meerdere (semi-)overheidsdienstverleners, bij gebruik vanuit onder andere webapplicaties en mobiele apps. Belangrijkste redenen om op OIDC in te zetten is de actieve ontwikkelingen en de mobile-first strategie ondersteuning van digitale overheidsdiensten.
Security Assertion Markup Language (SAML) is een standaard voor het veilig uitwisselen van authenticatie- en autorisatiegegevens van gebruikers tussen verschillende organisaties. SAML maakt het mogelijk om op een veilige manier via het internet toegang te krijgen tot diensten van verschillende organisaties, zonder dat je per dienst eigen inloggegevens nodig hebt, of bij elke dienst apart moet inloggen.
SAML moet worden toegepast op de uitwisseling van authenticatie- en autorisatiegegevens om gebruikers na eenmalig inloggen toegang te geven tot meerdere diensten.
SCIM zorgt ervoor dat identiteitsinformatie van gebruikers systeemoverstijgend op de juiste plek aanwezig is. Hierdoor kunnen gegevens die niet meer in systemen horen te staan, omdat een gebruiker bijvoorbeeld niet langer in dat systeem hoeft te zijn opgenomen, worden verwijderd. Doordat dit geautomatiseerd gebeurt is relatief weinig inspanning nodig om de gewenste toevoeging of verwijdering van gegevens te realiseren. Deze standaard is gericht op het reduceren van kosten en complexiteit en het voorbouwen op bestaande protocollen. SCIM heeft als doel om gebruikers snel, goedkoop en eenvoudig in, uit en tussen clouddiensten te brengen.
SD-JWT-based Verifiable Credentials (SD-JWT VC) is een specificatie die het mogelijk maakt om verifieerbare verklaringen op basis van de SD-JWT standaard te beschrijven en deze ook in JWS JSON te serializeren.
TOTP zorgt ervoor dat een twee-factor authenticatie mogelijk is via een eenmalig wachtwoord dat op dat moment gegenereerd wordt en daarmee nog niet in het bezit was vooraf aan de aanvraag. Hierdoor is het eenmalige wachtwoord uniek en zorgt voor een extra beveiliging naast wachtwoorden die vaker gebruikt worden om bijvoorbeeld in te loggen in een account. Daarnaast zorgt het korte tijdspad dat een wachtwoord beschikbaar is ervoor dat het eenmalige wachtwoord snel zijn waarde verliest.
Deze specificatie biedt een mechanisme om beweringen over iets of iemand uit te drukken op een manier die cryptografisch veilig is, de privacy respecteert en machinaal verifieerbaar is.
De standaard is belangrijk voor de authenticatie van applicaties, gebruikers, systemen via certificaten op het internet. Hierbij kan het gaan om www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS. Elke gebruiker kan op deze manier via bijvoorbeeld zijn browser verifiëren of het certificaat dat gebruikt wordt voor de beveiligde koppeling nog valide is of dat deze ingetrokken is en of een verbinding dus wel of niet veilig is.
Authenticatie van applicaties, gebruikers, systemen middels certificaten op het internet, zoals www, elektronische mail (beveiligd), gebruikers authenticatie en IPsec, SSL en TLS.
\ No newline at end of file
diff --git a/docs/content/views/veranderinitiatieven.html b/docs/content/views/veranderinitiatieven.html
index 17503502..fac8466c 100644
--- a/docs/content/views/veranderinitiatieven.html
+++ b/docs/content/views/veranderinitiatieven.html
@@ -1 +1 @@
-Veranderinitiatieven
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
\ No newline at end of file
diff --git a/docs/content/views/veranderinitiatievendetails.html b/docs/content/views/veranderinitiatievendetails.html
index e8c363f4..e7cb7692 100644
--- a/docs/content/views/veranderinitiatievendetails.html
+++ b/docs/content/views/veranderinitiatievendetails.html
@@ -1 +1 @@
-Veranderinitiatieven
Veranderinitiatieven
Autorisatie o.b.v. gebruiksvoorwaarden van gegevens
Omschrijving
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
Eénmalig inloggen mogelijk maken bij individuele overheidsorganisaties
Omschrijving
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
Generieke voorziening voor vrijwillig machtigen van organisaties
Omschrijving
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
Vertegenwoordigen van nabestaanden en professionele bewindvoerders
Omschrijving
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
Autorisatie o.b.v. gebruiksvoorwaarden van gegevens
Omschrijving
Een belangrijk deel van de autorisatie die nodig is om toegang te kunnen krijgen tot gegevens zou infrastructureel moeten worden ondersteund. Daarbij gaat het vooral om het geautomatiseerd toetsen of afnemers voldoen aan criteria zoals gedefinieerd in de gebruiksvoorwaarden van datasets en gegevensdiensten.n Standaarden zoals XACML en ODRL kunnen hierin ondersteunen.
DigiD zou geschikt moeten worden gemaakt voor diensten die geen BSN nodig hebben. Op dit moment zijn hiervoor geen betrouwbare authenticatiemiddelen beschikbaar.
Op dit moment kunnen burgers zonder EER paspoort geen gebruik maken van DigiD substantieel of hoog. Hierdoor hebben ze geen toegang tot een belangrijk deel van de digitale dienstverlening van de overheid.
Er zijn allerlei restgroepen die niet door eHerkenning worden ondersteund, met name doordat ze niet zijn ingeschreven in het handelsregister. Er is al eerder onderzoek gedaan naar de mogelijke inrichting van een entiteitenregister. Er moet nog uitvoering gegeven worden aan dit voorstel. eHerkenning zou dan ook dat entiteitenregister als bron moeten gebruiken. Ook moet het mogelijk gemaakt worden dat PKI-overheidscertificaten naar deze entiteiten kunnen verwijzen.
Eénmalig inloggen mogelijk maken bij individuele overheidsorganisaties
Omschrijving
Individuele overheidsorganisaties moeten ervoor zorgen dat de beschikbare technische mogelijkheden om éénmalig inloggen te ondersteunen goed worden geïmplementeerd. Binnen DigiD en eHerkenning zijn hiervoor standaard mechanismen aanwezig. Hiervoor is mogelijk een coördinerende activiteit nodig.
Generieke voorziening voor vrijwillig machtigen van organisaties
Omschrijving
Het is wenselijk om te onderzoeken of er een generieke machtigingsvoorzienig voor organisaties kan worden ingericht waarin alle veelvoorkomende vormen van vrijwillig machtiging kunnen worden ondersteund, inclusief zaakmachtigen. Een dergelijke voorziening zorgt ervoor dat het machtigingslandschap sterk kan worden vereenvoudigd. Het onderzoek zou zich moeten richten op het verzamelen van de eisen en wensen die gesteld worden aan een dergelijke generieke machtigingsvoorziening en zicht moeten geven op kosten en (financiële) baten.
De FSC standaard biedt standaard mogelijkheden voor veelvoorkomende uitdagingen bij het delen van gegevens tussen organisaties en het verstrekken van toegang. Er ligt een voorstel om Digikoppeling als basis te gebruiken voor het Digikoppeling API profiel. Als dit voorstel wordt goedgekeurd dan zal aandacht moeten worden gegeven aan de brede implementatie van deze standaard bij overheidsorganisaties.
Er zou een basisregister moeten komen met certificaten van natuurlijke personen en niet natuurlijke personen dat gebruikt kan worden door diverse nationale en internationale toegangs- en ondertekendiensten.
Er is behoefte aan standaardisering van signing en encryptie van API's. Het resultaat daarvan moet onderdeel zijn van het Digikoppeling profiel voor API's.
TVS kan overheidsorganisaties ontzorgen in het aansluiten op de diversiteit aan inlogmiddelen die ondersteund moet worden. Door TVS onderdeel te maken van de Generieke Digitale Infrastructuur worden belangrijke drempels voor het breed gebruik van TVS weggenomen.
Vertegenwoordigen van nabestaanden en professionele bewindvoerders
Omschrijving
Het zou mogelijk moeten zijn om organisaties als nabestaanden digitaal te machtigen. Daarnaast zouden burgers en organisaties als bewindvoerder moeten kunnen optreden. Er zouden registers moeten komen om deze doelgroepen te ondersteunen. De toegangsinfrastructuur moet vervolgens op deze registers worden aangesloten.
\ No newline at end of file
diff --git a/docs/content/views/wetten.html b/docs/content/views/wetten.html
index d78e52a8..2be83888 100644
--- a/docs/content/views/wetten.html
+++ b/docs/content/views/wetten.html
@@ -1 +1 @@
-Wetten
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
\ No newline at end of file
diff --git a/docs/content/views/wettendetails.html b/docs/content/views/wettendetails.html
index 1a0f4eea..d822f578 100644
--- a/docs/content/views/wettendetails.html
+++ b/docs/content/views/wettendetails.html
@@ -1 +1 @@
-Wetten
Wetten
General Data Protection Regulation
Omschrijving
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
Deze verordening standaardiseert de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de Europese Unie. Het doel van de verordening is het garanderen van de bescherming van persoonsgegevens binnen de Europese Unie en het waarborgen van het vrije verkeer van gegevens binnen de Europese interne markt. De verordening heeft rechtstreekse werking en hoeft niet geïmplementeerd te worden in de Nederlandse wetgeving. In Nederland staat de verordening bekend als de Algemene Verordening Gegevensbescherming (AVG).
De oorspronkelijke NIS- directive regelt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten (AED’s) en van digitale dienstverleners (DSP’s), onder meer door hen te laten voldoen aan een zorg- en meldplicht. Deze AED’s dienen door de lidstaten zelf te worden aangewezen. De NIS directive 2 vervangt de NIS-directive en stelt maatregelen vast om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te waarborgen. Dit betekent onder meer dat lidstaten nationale nationale strategieën voor cyberbeveiliging moeten vaststellen en nationale autoriteiten, centrale contactpunten en computer security incident response teams (CSIRT’s) moeten aanwijzen. Daarnaast worden eisen gesteld aan risicobeheer, rapportage en het delen van informatie op het gebied van cyberbeveiliging.
De Wet digitale overheid faciliteert de implementatie van de eIDAS verordening in Nederland. Het regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de (semi-)overheid. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps. De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
eIDAS staat voor ‘Electronic Identification And Trust Services’. Met eIDAS verordening hebben de Europese lidstaten afspraken gemaakt om dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck aan de voordeur. Hierdoor wordt het makkelijker en veiliger om binnen Europa online zaken te regelen. Concreet betekent dit dat burgers die de beschikking hebben over een erkend inlogmiddel dezelfde zaken moeten kunnen regelen als alle andere burgers in een lidstaat. Levert een dienstverlener digitale toegang, dan wordt deze daarom geadviseerd, niet alleen Nederlandse, maar ook Europees erkende inlogmiddelen toegang te verlenen.
De e-ID Verordening (eIDAS2.0) ziet erop om de tekortkomingen van de eIDAS-verordening op te lossen. De afkorting eIDAS staat voor ‘electronic IDentities And Trust Services’. De Europese Unie wil met de verordening Europees kader voor een digitale identiteit regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. De nieuwe verordening introduceert een Europese wallet waarmee burgers gebruik te maken van digitale diensten, welke voor verschillende doeleinden ingezet kan worden. De digitale identiteit is op vrijwillige basis en maakt het mogelijk voor individuen om controle te hebben over hun persoonsgegevens. De wallet kan gebruikt worden als een identificatiemiddel waarmee specifieke documenten aangeleverd kunnen worden.
\ No newline at end of file
diff --git a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-070db4444e01499680cd7ce1a1669ccf.html b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-070db4444e01499680cd7ce1a1669ccf.html
index 16d1df93..71fe1fa8 100644
--- a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-070db4444e01499680cd7ce1a1669ccf.html
+++ b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-070db4444e01499680cd7ce1a1669ccf.html
@@ -76,12 +76,12 @@
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd.
+
Mensen die minder digitaal vaardig zijn vinden het lastig om DigiD machtigen aan te vragen. Ze kunnen wel via andere kanalen een machtiging aanvragen, maar de betrouwbaarheid van die andere kanalen is lager. Daarnaast zijn er ook nog geen regels vastgesteld waar betrouwbare machtigingen aan moeten voldoen die niet via een digitaal proces zijn geregistreerd. Informatiepunten Digitale Overheid (IDO’s) bij bibliotheken zijn een voorbeeld van een alternatief kanaal. Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat IDO-medewerkers maar tot op bepaalde hoogte kunnen helpen, omdat ze beperkte mogelijkheden en bevoegdheden hebben. Ze mogen geen DigiD aanvragen voor klanten omdat in de wet is bepaald dat je alleen voor jezelf een DigiD mag aanvragen, en niet voor anderen.
We kunnen op dit moment nog geen eIDAS hoog authenticatiemiddel bieden aan burgers en organisaties (m.u.v. de zorgsector, die hiervoor de UZI-pas beschikbaar heeft) en voldoen daarmee als Nederland nog niet aan de eIDAS verordening. Hierdoor is het ook niet mogelijk om met DigiD of eHerkenning middelen digitale handtekeningen te zetten die gelijkwaardig zijn aan natte handtekeningen. Hiervoor moeten commerciële middelen worden aangeschaft.
+
+
+
\ No newline at end of file
diff --git a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-3a0dec6839e34aa99103415871ed4194.html b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-3a0dec6839e34aa99103415871ed4194.html
index 6ba1f908..86dd7b51 100644
--- a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-3a0dec6839e34aa99103415871ed4194.html
+++ b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-3a0dec6839e34aa99103415871ed4194.html
@@ -72,15 +72,15 @@
+
+ IT-architectuur van DigiD en eHerkenning onvoldoende
+
+
+ ()
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt er geen actuele, eenduidige en volledige beschrijving is van de huidige IT-architectuur. Bij DigiD constateerden ze dat er geen samenvattend uniform vastgesteld beeld is van het IT-landschap. Er zijn verschillende visuele weergaven aangeleverd door organisaties zoals BZK, Logius en Capgemini. Deze weergaven verschilden steeds weer wat van elkaar. Voor eHerkenning werd niet duidelijk hoe componenten zich tot elkaar verhouden. De beschikbare rapportages zijn niet altijd een-op-een te matchen
+met specifieke componenten. Voor BSNk PP geldt dat de IT-architectuurplaten sinds 2018 niet meer zijn geactualiseerd. Dit brengt het volgende risico met zich mee. Het wijzigen van IT-onderdelen kan invloed hebben op aanpalende IT-onderdelen. Als niet bekend is welke dit zijn, kan dit gevolgen hebben voor de uiteindelijke IT-dienstverlening.
Dit is een taal voor het uitdrukken van regels voor toegangsverlening. Het definieert de gebruikte begrippen en bevat modellen en een beschrijving van architectuurcomponenten, waarop de modellen in het thema Logische Toegang van dit document zijn gebaseerd.
+
Dit is een op XML gebaseerde taal voor het uitdrukken van autorisatieregels.
+
+ Geen centraal onderzoek en meldpunt fraude
+
+
+ ()
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat er voor eHerkenning geen overkoepelende organisatie bestaat die fraudegevallen oppakt en dat er ook geen centraal fraudemeldpunt is. Het melden van en reageren op specifieke signalen en meldingen ligt decentraal: bij de organisaties zelf, bij de leverancier en/of dienstverlener. Hierdoor ontbreekt er een goed kwalitatief en kwantitatief beeld. Dit heeft als risico dat zaken langs elkaar heen lopen en fraude minder effectief wordt voorkomen dan wanneer dit beeld er wel zou zijn.
diff --git a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-7bc5e268a3694784b635db97849438dd.html b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-7bc5e268a3694784b635db97849438dd.html
new file mode 100644
index 00000000..f15f9c1f
--- /dev/null
+++ b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-7bc5e268a3694784b635db97849438dd.html
@@ -0,0 +1,101 @@
+
+
+
+
+ DigiD ondersteunt geen pseudoniemen voor DigiD midden en substantieel
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+ DigiD ondersteunt geen pseudoniemen voor DigiD midden en substantieel
+
+
+ ()
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
DigiD is op dit moment niet in staat om een pseudoniem van een gebruiker op te leveren op DigiD betrouwbaarheidsniveaus midden en substantieel, waardoor het inzetgebied beperkt is op deze niveaus tot diensten waarvoor er een grondslag is voor verwerking van het BSN. Voor diensten waarvoor anoniem gebruik voldoende is kan DigiD dus ook niet worden gebruikt. Dit voldoet niet aan de eIDAS verordening.
diff --git a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html
index a1cab9a1..2763a6d6 100644
--- a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html
+++ b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9704fa59cc7b4b5e9daa53f1b32ec98d.html
@@ -59,7 +59,7 @@
<p>Dit document beschrijft de domeinarchitectuur voor toegang, als onderdeel van de Generieke Digitale Infrastructuur. Het is opgesteld in een interbestuurlijke werkgroep met vertegenwoordigers van verschillende overheidsorganisaties. Deze zijn ondersteund door bureau MIDO van het ministerie van BZK. Het beschrijft de ontwikkelingen en wet- en regelgeving en vertaalt deze naar een visie en kaders voor de inrichting van toegang tot overheidsorganisaties. Het document is vooral gericht op enterprise-, informatie- en security-architecten bij overheidsorganisaties. Het document is een doorontwikkeling van de eerdere domeinarchitecturen voor identificatie & authenticatie en machtigen & vertegenwoordigen maar kent een andere structuur en opzet. Zo is er voor gekozen om de architectuur zoveel mogelijk in de modelleertaal ArchiMate uit te werken en de details ervan alleen on-line beschikbaar te stellen. Dit document is daarmee een samenvatting en verwijzing naar details die on-line te vinden zijn. De architectuur wordt on-line ook doorontwikkeld en beheerd in <a href="https://github.com/minbzk/gdi-toegang">GitHub</a>, waardoor de meest actuele versie daar te vinden is. Daar zijn ook bestanden te vinden die direct kunnen worden ingelezen in het modelleertool Archi.
</p>
<p>Deze domeinarchitectuur heeft een relatie met de andere domeinarchitecturen, de Architectuur Digitale Overheid en NORA. Met name de domeinarchitectuur gegevensuitwisseling is sterk gerelateerd aan deze domeinarchitectuur, omdat het uitwisselen van gegevens in veel gevallen om toegang vraagt. Er is bewust voor gekozen om geen delen uit de domeinarchitectuur gegevensuitwisseling in te kopiëren in deze architectuur, zodat er één duidelijke bron van informatie over gegevensuitwisseling is. De consequentie hiervan is dat lezers wordt gevraagd om de <a href="https://github.com/minbzk/gdi-gegevensuitwisseling">domeinarchitectuur gegevensuitwisseling</a> ook te lezen om een volledig beeld van toegang te krijgen. Deze domeinarchitectuur is nadrukkelijk afgestemd op de <a href ="https://pgdi.nl/ado">Architectuur Digitale Overheid 2030</a> en de <a href="https://www.noraonline.nl">NORA</a>. Hierdoor kun je de domeinarchitectuur zien als een doorvertaling en concretisering van deze overkoepelende architecturen.</p>
-<p>De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld.
+<p>De architectuur is ingedeeld in drie categorieën: referentie-architectuur, huidige situatie en gewenste situatie. De referentie-architectuur geeft een (relatief) tijdloze beschrijving van het domein toegang. In de beschrijving van de huidige situatie is een beschrijving van een aantal bestaande overheidsbrede voorzieningen opgenomen alsook een beschrijving van de belangrijkste knelpunten. De beschrijving van de gewenste situatie geeft aan welke ontwikkelingen, wet- en regelgeving, beleid, architectuurprincipes en standaarden van toepassing zijn en welke veranderinitiatieven worden voorgesteld. De architectuur moet vooral worden gezien als een beschrijving van best-practices. Ze geven richting aan ontwerpkeuzes die in programma's en projecten worden gemaakt.
</p>
<p><b>Relatie met andere initiatieven</b></p>
<p>Er zijn allerlei andere intiatieven die zijn gerelateerd aan toegang. Het belangrijkste programma dat er op dit moment loopt is het programma/stelsel toegang. In het kader van dit intiatief is een doelarchitectuur toegang opgesteld die met name inzicht geeft in de impact van de eerste tranche van de Wet digitale overheid. Er is afgestemd dit programma om ervoor te zorgen dat er geen conflicten en overlap ontstaat. Deze domeinarchitectuur kijkt met name breder en verder dan de doelarchitectuur toegang.</p>
diff --git a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9c17bbae059d4c628bdacc1ee1520a38.html b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9c17bbae059d4c628bdacc1ee1520a38.html
index a3e2c488..7d432358 100644
--- a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9c17bbae059d4c628bdacc1ee1520a38.html
+++ b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-9c17bbae059d4c628bdacc1ee1520a38.html
@@ -83,15 +83,15 @@
-
diff --git a/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-c81088e8b4eb4a3f980a8a00fca853e3.html b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-c81088e8b4eb4a3f980a8a00fca853e3.html
new file mode 100644
index 00000000..f8df3862
--- /dev/null
+++ b/docs/id-3b66eec68cbc4ed8a552deca4e788391/elements/id-c81088e8b4eb4a3f980a8a00fca853e3.html
@@ -0,0 +1,101 @@
+
+
+
+
+ DigiD en eHerkenning is lastig toegankelijk voor minder digitaal vaardigen
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+ DigiD en eHerkenning is lastig toegankelijk voor minder digitaal vaardigen
+
+
+ ()
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Het rapport "Digitale identiteit vraagt veel van DigiD en eHerkenning" van de Algemene Rekenkamer uit 2023 stelt dat DigiD en eHerkenning authenticatiemiddelen niet optimaal werken voor minder digitaal vaardigen. Dit komt met name doordat zij worden gedwongen om gebruik te gaan maken van smartphone apps (SMS wordt uitgefaseerd), terwijl zij veelal geen smartphone hebben of onvoldoende vaardig zijn om deze ten volle te kunnen gebruiken.
