Authenticatie en autorisatie
31 mei 2012
Inhoud •
Wat is het
•
Waarom belangrijk
•
Het speelveld
•
Waar gaan we naar toe
•
Invulling voor Belastingdienst
•
eID Stelsel NL
Wat is het? • Authenticatie: ben je, die je zegt te zijn? − Bijvoorbeeld met je DigiD, maar ook pincode, wachtwoord, PKI-certificaat etc. − Betrouwbaarheid verschilt.
• Autorisatie: mag je doen (evt. voor een ander) wat je wilt doen? − Bijvoorbeeld met DigiD Machtigen. − Betrouwbaarheid verschilt.
Waarom is het belangrijk er eisen aan te stellen? Meer e-dienstverlening
Waarborgen continuïteit
• Grootschalige communicatie, zonder digitale sleutelbos. • Snelheid • Toegang niet-zelfredzamen.
• Stelsel en zwakste schakel. • Voorkomen systeemfraude. • Risico’s onzekerheid afzender door massale/vluchtige digitale communicatie.
Zorgvuldig met gegevens omgaan
Kosten en complexiteit terugdringen
• Zekerheid, veiligheid en privacy gegevens garanderen.
• Van lappendeken naar eenduidigheid.
Inspelen op markt nieuwe dienstverlening
•On-line serviceproviders, on-line boekhouden, cloudcomputing •Langere en complexe ketens/diensten en samenwerkingsverbanden.
Internationalisering • Standaardisatie • Regelgeving • (Logistieke) ketens grensoverschrijdend.
• Uiteraard meer nodig dan goede authenticatie en autorisatie, maar zonder kan niet. • Nieuwe balans vinden.
De A. en A. stakeholders: een veelzijdig speelveld…. V en J
Waterschappen
EL & I
BZK
Certificaatleveranciers
Internetbankieren
Uitvoeringsorganisaties, w.o. Gemeenten Belastingdienst
Toezichthouders security, auditors
Uitgevers authenticatiemiddelen Beheerders authenticatiediensten
Webwinkels
A. en A. Burgers Bedrijven
Beheerders machtingenregisters
On-line serviceprovicers
Leveranciers bedrijfssoftware (fin. etc.)
Maatschappelijke dienstverleners Consument
Commerciële dienstverleners (fiscaal, douane)
Waar willen we naar toe?
Een opstapje over authenticeren…
Waar staan we nu…
Digitale Sleutelbos
Rollen: Burger Ondernemer Consument
Onhandig, kostbaar, complex, onveilig…. GEBRUIKER
Voor ieder proces een eigen authenticatiemiddel
DIENSTAANBIEDER
Daarom … GEBRUIKER
!
Authenticatie ontkoppelen van Dienstaanbieder
DIENSTAANBIEDER
Authenticatiemiddelen zonder strakke scheiding burgers en bedrijven: eenmanszaak kan ook met DigiD werken.
Naar een eID stelsel NL GEBRUIKER
publieke en private voorzieningen
DIENSTAANBIEDER
! C2G B2G G2G C2B B2B
Stelsel mag niet omvallen en moet robuust zijn. Nodig: • Goede verantwoordelijkheidsverdeling • Toezicht • Fall-back • Entry en -exitregels • Standaarden • Acceptatie • Internationale aansluiting
publieke en private dienstaanbieders
Een strategisch beleidsuitgangspunt: technologieonafhankelijkheid Invulling Authenticatie eID-Stelsel-NL Authenticatiediensten huidig DigiD
Omnummer voorziening
eNIK
huidig eHerkenning
Herkennings makelaar
Dienstaanbieder “MijnBelastingdienst”
huidig Banken
= Identiteitsverklaring
10
Gebruiker “Handelende Partij”
Betrouwbare authenticatie • Wens: naar hoog niveau • Zo mogelijk parallel: eNIK, banken, eHerkenning, PKI • Maatschappelijke acceptatie, breed gebruik • Redelijk kostenniveau • The race never ends.
Betrouwbaarheidsniveaus STORK indeling hoog
4 3 2
PKI-middel en face-to-face uitgifte
PKI-O
DigiD Hoog gebr.naam/wachtwoord en PKI BAPI code en/of face-to-face uitgifte
gebr.naam/wachtwoord met aanvullend extra code
DigiD Midden DigiD Basis
gebr.naam/wachtwoord
1 activatie via authentiek adres PD Ondern. BAPI-PIN 0
gebr.naam/wachtwoord activatie via email
laag
En een opstapje over autoriseren…..
Autorisatie: regelen dat bevoegdheden van derden expliciet duidelijk zijn. Belastingdienst
Belanghebbende Zelfaangever/zelfaanvrager incl. medewerker bedrijf Niet-inhoudelijk dienstverlener Inhoudelijk gemachtigd Familie, kennis Maatschappelijke Intermediair Fiscale Dienstverlener Douane Dienstverlener Wettelijk vertegenwoordiger Bewindvoerder Curator Namens erfgenamen
Verklaring “dat je dit mag”
Verklaring “dat je dit mag”
Verklaring “dat je dit mag”
Naar een eID stelsel NL ook voor autoriseren. Gebruikers van onlinevoorziening maken gebruik van authenticatie-dienst.
DIENSTAANBIEDER
GEBRUIKER
! Publieke en private dienstaanbieders • DigiD Machtigen • Publiek machtigingenregister bedrijven (transitie) • Private machtigingsvoorzieningen met toegevoegde waarde-diensten
• In uitwerking aandacht voor specifieke vormen zoals bij aangewezen Service Punten TSL en bij Douane.
Waar gaan we naar toe? Hoe werkt het uit voor de Belastingdienst…..
Eindbeeld: gewenste invulling hetzelfde: • voor de ‘kleuren’ • voor burgers en bedrijven • voor publieke portaal, balie en private diensten • voor alle vormen van dienstverlenen en alle vormen van machtigen
Zelfaangever/aanvrager Gemachtigde Familie, kennis Maatschap. Interm. Fiscale Dienstverl. Douane Dienstverl.
Zelfaangever/aanvrager Gemachtigde Fiscale Dienstverl. Douane Dienstverl.
Front end Publieke Portaal
Balie
Private diensten
Belastingdienst Portaal - MijnBD, MijnTSL - PD Ondernemers
Back end
Private Partij Software Pakket/portaal
Verklaring “wie je bent”
Authenticatie dienst
Belastingdienst
Verklaring “wat je mag voor wie”
Machtigings register
Borgen wat we bereikt hebben en verder doorontwikkelen eID Stelsel NL
Strategisch beleid van de overheid Stelselspecificaties en -afspraken
Digid eNIK DigiD Machtigen
Diensten
Auth. diensten eHerkenning Macht. registers eHerkenning
Diensten
Bijvoorb. auth. diensten van banken
Auth. diensten andere EU-landen
Diensten
Diensten
....
Diensten