Carlo Koch (programmamanager), Gerrit Jan van t Eind (programmamanager), Nicole Damen (secretaris)

Programma eID eID-platform

Datum 27 november 2014 Aantal pagina's 2

eID-platform #5

Vergaderdatum en tijd Vergaderplaats

4 december 2014, 12.30 - 15.00 uur Logius, paars 0.04 en 0.06

Deelnemers

Elly Plooij-van Gorsel (voorzitter), Hankie van Baasbank (KvK), Hans Blokpoel (Belastingdienst), Leo De Boer (Verbond van Verzekeraars), Jelle Boonstra (TLN), Lotte de Bruijn (Nederland ICT), Peter van Buijtene (PostNL), Haydar Cimen (KPN), Marlies van Elst (Equens), Erik van 't Geloof (Logius), Wijnand Jongen (Thuiswinkel.org), Gé Linssen (EZ), Hedde van der Lugt (Nictiz), Piet Mallekoote (Betaalvereniging Nederland), Erik van de Poel (BKR), Ab van Ravenstein (RDW), Jacqueline Rutjens (BZK), Paul Schumacher (Bouwend Nederland), Marcel Wendt (Digidentity), Jan-Hein Willemse (VECOZO)

Andere aanwezigen

Carlo Koch (programmamanager), Gerrit Jan van ’t Eind (programmamanager), Nicole Damen (secretaris)

1. Opening, mededelingen en vaststellen agenda 2. Verslag en actielijst van de vorige vergadering Verslag en actielijst van 27 oktober 2014 vaststellen 3. Stand van zaken bij de leden De leden kunnen hier input uit hun eigen organisatie of sector inbrengen ter informatie of ter discussie 4a. Introductieplateau eID Het eID-platform wordt gevraagd om een reactie. In de vergadering zal een mondelinge toelichting worden gegeven op het Introductieplateau eID. 4b. Pilots “Memo pilots” ligt voor ter bespreking. In de vergadering wordt een mondelinge toelichting gegeven. 5. Voorstel governance “Voorstel inrichting publiek-private governance eID Stelsel” ligt voor ter

bespreking.


6. Inrichten toezichtsarrangementen Notitie “Contouren toezicht eID Stelsel“ ligt voor ter bespreking.

Datum 27 november 2014

7. W.v.v.t.k. 8. Rondvraag 9. Sluiting

Pagina 2 van 2

Programma eID eID-platform Datum 27 november 2014 Aantal pagina's 3

Oplegnotitie Introductieplateau eID

Agendapunt Onderwerp

4a. Introductieplateau eID Introductieplateau eID en doorontwikkeling 2016 en verder

Status

Ter bespreking

Voorstel

Het eID-platform wordt gevraagd om een reactie op het voorgestelde Introductieplateau eID: Hoe staat u tegenover deze bijgestelde richting? Het programmamanagement zal de reactie van het eIDplatform betrekken bij de bespreking in de StuurgroepeID op 11 december.

1. Achtergrond Op 11 december bespreekt de StuurgroepeID het voorstel om te komen tot een Introductieplateau eID en de ontwikkeling van het programma eID in 2016. Daartoe staan de volgende stukken op de agenda van de StuurgroepeID: • een (samenvattende) Paraplunotitie (bijlage 1); • een notitie Hoofdlijnen Introductieplateau eID (bijlage 2) • een programmabegroting 2015 • een kort memo over de geplande pilots (bijlage 3). Graag vernemen wij de reactie van het eID-platform op genoemde stukken. De bijlage over de begroting en het bijbehorende beslispunt in de Paraplunotitie zijn weggelaten, omdat dit interne besluitvorming van de overheid betreft. Graag willen wij benadrukken dat de notitie Hoofdlijnen Introductieplateau eID (bijlage 1), een versie 0.7 betreft en nog redactioneel in bewerking is. 2. Aanleiding: Afsprakenstelsel 1.0: op dit moment een brug te ver Op basis van de ambitie en ontwerpuitgangspunten1 van het eID Stelsel, is een eerste ontwerp voor het stelsel gemaakt: Afsprakenstelsel 1.0. Hierop is samen met een brede vertegenwoordiging van stakeholders een proof of concept en een proof of technology uitgevoerd. Hierop is een Privacy Impact Assessment (PIA) uitgevoerd. Het Afsprakenstelsel 1.0 is in grote lijnen positief uit de PIA gekomen, maar dit Afsprakenstelsel bleek niet op brede steun te kunnen rekenen, noch van bedrijfsleven, noch vanuit de overheid. Dit najaar kreeg het programma eID 1

Uitgangspunten eID Stelsel zie: http://www.eid-stelsel.nl/over-eid-stelsel/uitgangspunten-voor-het-stelsel/

signalen dat de ministeries van EZ en Afsprakenstelsel onvoldoende kunnen betrokken private partijen, met name hen betreft onnodig ingewikkeld is en

BZK de beleidsconsequenties van het overzien. Ook kwamen er signalen van de middelenleveranciers, dat het stelsel wat daarmee waarschijnlijk ook te kostbaar is.

Programma eID eID-platform Datum 27 november 2014

Deze signalen zijn aanleiding om opnieuw de dialoog aan te gaan over de vraag wat er nodig is om te komen tot een stelsel dat voldoet aan de gestelde ambities, maar ook uitvoerbaar is en kan rekenen op draagvlak. Dit heeft ertoe geleid dat het programmamanagement een voorstel heeft gedaan voor bijstelling, zoals verwoord in de bijlagen. 3. De kern van het voorstel : een eID Stelsel dat in 2015 werkt in de praktijk De essentie van het Introductieplateau eID is als volgt samen te vatten: • Het Introductieplateau eID is gebaseerd op eHerkenning 1.9 in combinatie met een BSN-koppelregister zoals beschreven in de notitie Hoofdlijnen Introductieplateau eID (bijlage 1); • Het omvat daarmee de huidige ‘going concern’ diensten van eHerkenning, uitgebreid met pilots in het burger- en consumenten domein; • Het gehele Introductieplateau eID wordt bij de gebruiker geïntroduceerd onder de merknaam Idensys. Voor de gebruiker wordt de merknaam herkenbaar door één knop op de websites van de dienstverlener en wordt vanaf dat moment onder die naam aangestuurd op basis van een nieuwe governance. Tot die tijd blijft de naam eID Stelsel gehanteerd; • De pilots in het BSN domein beperken zich tot natuurlijke personen die zijn ingeschreven in het BRP en een wettig Nederlands identiteitsdocument hebben; • DigiD blijft gedurende het Introductieplateau eID buiten het Stelsel en behoudt zijn zelfstandige label; • Gedurende de pilotperiode is er sprake van een ‘freeze’ op het Introductieplateau eID; • De nog uit te voeren kwetsbaarheidsanalyse informatiebeveiliging en de Privacy Impact Assessment (PIA) kunnen mogelijk tot aanvullende maatregelen leiden. Met deze bijstelling wil het programmamanagement: • Een haalbare en onomkeerbare stap zetten naar het eID stelsel in de praktijk, zodanig dat er met de ervaringen uit het Introductieplateau eID verder kan worden ontwikkeld naar een uit te werken Visieplateau eID; • Concrete oplossingen bieden voor de meest urgente problemen; • Ruimte bieden om op zorgvuldige wijze een discussie over privacybeschermende maatregelen en de impact daarvan te voeren; • Ruimte bieden om te bezien op welke wijze fraudebestrijding kan gaan werken zonder de privacy onnodig aan te tasten; • Een einde maken aan de onzekerheid in de markt over de toekomst van eHerkenning en eID; • Tegemoet komen aan de belangrijkste kritiekpunten van de stakeholders; • Gebruikmaken van wat er al is (eHerkenning als basis).

Pagina 2 van 3

4. Bespreking in het eID-platform Vanuit het programma zijn de stukken over het Introductieplateau eID besproken met publieke partijen, private partijen en het Tactisch Overleg eHerkenning. Het programmamanagement heeft op basis van deze gesprekken de indruk dat er steun is vanuit deze partijen voor de bijgestelde koers. Allereerst is het Introductieplateau eID eenvoudiger dan de oorspronkelijke koers en daarmee beter haalbaar. Ten tweede zijn de beleidsmatige consequenties nu wel in beeld gebracht. Ten derde wordt ten behoeve van de doorontwikkeling 2016 een aantal acties ingang gezet, zoals de dialoog over privacy en fraudebestrijding en de evaluatie van de pilots.


Het eID-platform wordt gevraagd om een reactie op de voorliggende stukken. Deze reactie zal worden betrokken bij de bespreking van de stukken in de StuurgroepeID op 11 december aanstaande.

Alle rechten voorbehouden © 2014 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Den Haag. Er kunnen geen rechten worden ontleend aan deze publicatie.

Pagina 3 van 3

Aan: BAOeID

Programmabureau eID

[Versie ter bespreking eID-platform 4 december 2014]


Op weg naar een eID Stelsel dat in 2015 in de praktijk werkt!

Beslisnotitie Introductieplateau eID 2015 en doorontwikkeling 2016 en verder ten behoeve van StuurgroepeID van 11 december 2014, concept voor het BAOeID van 27 november 2014

1. Over deze Paraplunotitie In de StuurgroepeID van 6 november jongstleden is gesproken over de voortgang van het programmaeID. Daarbij is geconstateerd dat er om diverse redenen een bijstelling nodig is in de vorm van een Introductieplateau eID. De StuurgroepeID heeft het programma gevraagd dit Introductieplateau eID nader uit te werken en ter besluitvorming voor te leggen. Daarbij is benadrukt dat de StuurgroepeID zicht wil hebben op de vraag wat er met dit Introductieplateau eID wel en niet wordt bereikt ten opzichte van de oorspronkelijke ambitie. Ook is gevraagd inzicht te geven in de beleidsmatige consequenties van dit Introductieplateau eID en hoe hiermee om te gaan. In de voorliggende Paraplunotitie wordt ingegaan op de beleidsmatige consequenties van dit voorstel en worden de door de StuurgroepeID te nemen besluiten samengevat. Kern van het voorstel is dat het vervolg van het programma eID plaats vindt via de volgende lijnen: Eerste lijn: Het Stelsel werkt in de praktijk (jan 2015-juni 2016) •

De eerste lijn (korte termijn) is het uitwerken en realiseren van een Introductieplateau eID gebaseerd op eHerkenning 1.9 en een BSN-Koppelregister, zodat op basis van dit plateau pilots in productie kunnen worden uitgevoerd. Governance, beheer en toezicht is ingericht. Het Stelsel werkt in de praktijk;

Tweede lijn: dialoog en nadere standpuntbepaling over privacy, security en fraudebestrijding en nieuwe functionaliteiten bepalen de kaders voor doorontwikkeling (jan 2015-juni 2016) •

De tweede, deels parallele lijn (langere termijn) is het voeren van een dialoog over privacy en fraudebestrijding, uitmondend in een standpuntbepaling van de ministeries EZ, BZK en V&J. Op basis van dit standpunt, de uitkomsten van de

pilots en de wens om nieuwe functionaliteiten toe te voegen vindt besluitvorming plaats over de doorontwikkeling van het Stelsel in 2016 en 2017.

2. Door de StuurgroepeID te nemen besluiten Hieronder worden alle door de StuurgroepeID te nemen besluiten samengevat: a) De StuurgroepeID wordt gevraagd in te stemmen met de Hoofdlijnen Introductieplateau eID en het gelijktijdig vanuit het programma voorbereiden van de doorontwikkeling: bestaande uit een dialoog over privacy, security en fraudebestrijding , de evaluatie van de pilots en de gewenste uitbreiding van functionaliteiten. Waarbij de essentie van het Introductieplateau eID als volgt is samen te vatten: - Het Introductieplateau eID is gebaseerd op eHerkenning 1.9 in combinatie met een BSN-koppelregister zoals beschreven in de notitie Hoofdlijnen Introductieplateau eID (bijlage 1); - Het omvat daarmee de huidige ‘going concern’ diensten van eHerkenning, uitgebreid met pilots in het burger- en consumenten domein; - Het gehele Introductieplateau eID wordt bij de gebruiker geïntroduceerd onder de merknaam Idensys. Voor de gebruiker wordt de merknaam herkenbaar door één knop op de websites van de dienstverlener en wordt vanaf dat moment onder die naam aangestuurd op basis van een nieuwe governance. Tot die tijd blijft de naam eID Stelsel gehanteerd; - De pilots in het BSN domein beperken zich tot natuurlijke personen die zijn ingeschreven in het BRP en een wettig Nederlands identiteitsdocument hebben; - DigiD blijft gedurende het Introductieplateau eID buiten het Stelsel en behoudt zijn zelfstandige label; - Gedurende de pilotperiode is er sprake van een ‘freeze’ op het Introductieplateau eID; - De nog uit te voeren kwetsbaarheidsanalyse informatiebeveiliging en de Privacy Impact Assessment (PIA) kunnen mogelijk tot aanvullende maatregelen leiden. En vervolgens, als gevolg van dit besluit: Vaststellen van de begroting b) [beslispunt begroting programma is weggelaten] c)

[beslispunt begroting programma is weggelaten] Uitwerken van het Introductieplateau eID tot een formeel Afsprakenstelsel

d) Het programmamanagement de opdracht te geven dit Introductieplateau eID op hoofdlijnen, nader uit te werken en te integreren in één formeel Afsprakenstelsel (hèt ‘boekje’) waarin alle aspecten van het Introductieplateau eID (technisch ontwerp, governance, instellingsbesluit, toezicht, beheer, toetredingseisen, contracten, afspraken) overzichtelijk zijn samengevoegd en juridische status krijgen. PIA en Kwetsbaarheidsanalyse e) Het programmamanagement opdracht te geven een kwetsbaarheidsanalyse op de informatiebeveiliging en een externe Privacy Impact Assessment (PIA) uit laten te voeren en de resultaten hiervan uiterlijk februari 2015 voor te leggen.

Pagina 2 van 9

BSN-Koppelregister f) Het programmamanagement opdracht te geven een BSN-Koppelregister te laten ontwikkelen die het tevens mogelijk maakt onderzoek te doen naar eventuele fraude en voldoet aan de door het ministerie van BZK gestelde eisen. g) Het eigenaarschap van het BSN-koppelregister te beleggen bij BZK en het beheer van het BSN-koppelregister te beleggen bij Logius of BZK/BPR; besluitvorming over de keuze van de beheerder vindt plaats uiterlijk 1 april 2015. Pilots in productie h) In te stemmen met de uitgangspunten, doelen en planning voor de pilots. Masterplan 2015 i) Het programmamanagement opdracht te geven een MasterplaneID 2015 op te stellen met daarin de voor het Introductieplateau eID en de doorontwikkeling benodigde producten, organisatie, planning en begroting en dit uiterlijk in februari 2015 in de StuurgroepeID ter besluitvorming in te brengen. j) Het programmamanagement opdracht te geven een procesvoorstel op te stellen voor de dialoog en standpuntbepaling over privacy en fraudebestrijding en dit uiterlijk eind januari 2015 ter besluitvorming voor te leggen;

3. De functionaliteiten van het Introductieplateau eID ten opzichte van de Ambitie 2017 Het Introductieplateau eID omvat minder componenten dan het Afsprakenstelsel 2.0 en is daarmee technisch en bestuurlijk beter haalbaar. De StuurgroepeID heeft gevraagd inzicht te geven in wat er wel en niet wordt gerealiseerd ten opzichte van de oorspronkelijk geformuleerde ambitie. De belangrijkste functionaliteiten die het eID stelsel ondersteunen zijn: • • • • •

Authenticeren: de identiteit van de gebruiker vaststellen Attributen: het verstrekken van een beperkte set van persoonsgegevens Machtigingen: iemand zaken laten doen namens of voor andere personen, het eigen of een ander bedrijf. Ondertekenen: wilsuitingen vastleggen, zoals het ondertekenen van contracten en vergunningen Vaststellen bevoegdheden: iemand laten aantonen dat hij bijvoorbeeld tot een bepaalde beroepsdoelgroep of leeftijdscategorie behoort

3.1 De functionaliteiten van het Introductieplateau eID Belangrijkste winstpunt van het Introductieplateau eID is dat het mogelijk wordt met draagvlak van de stakeholders over te gaan tot pilots in productie en er een einde komt aan de nu heersende onzekerheid in de markt over hoe het verder gaat met eID, eHerkenning en DigiD. Ook wordt de domeinscheiding publiek-privaat opgeheven. De belangrijkste functionaliteiten die worden toegevoegd is: het gebruiken van een hoogwaardig middel in zowel het publieke als private domein. Dit is een aanzienlijke verbetering ten opzichte van de huidige situatie. Samengevat worden de volgende functionaliteiten gerealiseerd in het Introductieplateau: •

Authenticeren: de identiteit van de gebruiker vaststellen

Pagina 3 van 9

Introductieplateau 2015 (web)

Ambitie eID 2017 (web en M2M)

Voor het burgerdomein • Introductie van hoog betrouwbare authenticatiemiddelen • Gebruik van private inlogmiddelen wordt mogelijk • Een eventueel pubiek middel kan in een pilot worden beproefd

Groeipad • Steeds meer middelenleveranciers en dienstenaanbieders sluiten aan op het eID Stelsel • Aansluiting op eIDAS (2018)

In het consumenten- en bedrijven domein • Inloggen met authenticatiemiddelen op betrouwbaarheidsniveau naar keuze

•

Attributen: het verstrekken van een beperkte set persoonsgegevens



Voor alle domeinen • Beperkte set van attributen (algemene persoonsgegevens, zoals NAW

Groeipad • Voor alle domeinen uitgebreide(re) attributen kunnen registeren en aanroepen bij een eID deelnemer naar keuze binnen het eID Stelsel

•

Machtigingen: iemand zaken laten dien namens of voor andere personen, het eigen of een ander bedrijf



Voor het bedrijvendomein • Bestaande machtigingsfunctionaliteit van eHerkenning

Groeipad • Voor alle domeinen machtigingen kunnen registeren bij een eID deelnemer naar keuze binnen het eID Stelsel • Idem ketenmachtigingen

Voor het burgerdomein • DigiD Machtigen ‘as is’. Deze laatste wordt in dit plateau niet ondersteund door het Stelsel, dienstenaanbieders dienen hier zelf op aan te sluiten •

Ondertekenen: wilsuitingen vastleggen, zoals het ondertekenen van contracten en vergunningen



Geen ondertekenfunctionaliteit • Deze wordt door de dienstaanbieder zelf ingericht door middel van bijvoorbeeld herauthenticatie

Groeipad • Voor alle domeinen wilsuitingen kunnen vastleggen bij een eID deelnemer naar keuze binnen het eID Stelsel.

Pagina 4 van 9

•

•

Afzonderlijke ondertekendiensten

Vaststellen bevoegdheden: iemand laten aantonen dat hij bijvoorbeeld tot een bepaalde beroepsdoelgroep of leeftijdscategorie behoort



Voor alle domeinen • Beperkte set van attributen (leeftijdsverificatie)

Groeipad • Voor alle domeinen uitgebreide(re) bevoegdheden kunnen registeren en aanroepen bij een eID deelnemer naar keuze binnen het eID Stelsel

3.3 Overzicht introductieplateau vanuit stakeholders: Burgers

Dienstaanbieders

Veiliger inloggen & zelf kiezen bij pilotorganisaties

Fallback & authenticatie op hoog betrouwbaarheidsniveau

Toegang BSN domein voor private leveranciers

Inlogmiddelen met hoger betrouwbaarheidsniveau

De single point of failure wordt opgeheven doordat er meerdere authenticatie-middelen kunnen worden toegepast.

Private authenticatiemiddelen van burgers kunnen voor het eerst in het publieke BSN- domein worden toegepast.

Met private inlogmiddelen toegang tot het publieke domein

Middelenleveranciers

Er is een toekomstvast koppelvlak beschikbaar voor private- en publieke dienstenaanbieders.  

In de notitie Hoofdlijnen Introductieplateau eID (bijlage 1) is meer uitgebreid aangegeven hoe het Introductieplateau eID scoort ten opzichte van de Ambitie 2017.

4. Contouren Masterplan eID 2015 4.1. Beleidsconsequenties Introductieplateau eID Samen met de ministeries BZK, EZ en VenJ zijn de beleidsconsequenties van het Introductieplateau eID bekeken. Daarnaast is ook gekeken wat dit plateau betekent voor het huidige Masterplan. Hieronder worden de belangrijkste consequenties samengevat. Conclusie is dat er een aantal nadere acties nodig is, maar dat er geen

sprake is van structurele belemmeringen. Hieronder worden de beleidsconsequenties op een rijtje gezet. Gebruik BSN-Koppelregister BZK is akkoord met het gebruik van een BSN-Koppelregister, mits het registratie- en koppelproces door de Authenticatiedienst aan onderstaande uitgangspunten voldoet (zie bijlage A): o De fysieke identiteitvaststelling door de Authenticatiedienst vindt plaats aan de hand van een geldig Nederlands identiteitsdocument. o De Authenticatiedienst haalt het BSN en aanvullende persoonsgegevens eenmalig uit het identiteitsdocument en levert deze eenmalig, samen met de ‘eID’, aan bij het BSN-koppelregister. Het BSN wordt dus niet door de Authenticatiedienst opgeslagen. o De verificatie van de aangeleverde gegevens met BRP gebeurt op basis van het BSN door de beheerder van het BSN-koppelregister. o Het authenticatiemiddel (of een deel daarvan) wordt door de Authenticatiedienst aan de gebruiker ter hand gesteld. Bovenstaande uitgangspunten worden nog nader geconcretiseerd en aangevuld met mogelijke procesinvullingen (best practises). Voor het gebruik van het BSN-Koppelregister zijn, naast regelgeving, civielrechtelijke contracten nodig. Dit kan binnen de planning worden geregeld (zie onder: weten regelgeving). De eigenaar van het BSN-Koppelregister is BZK, het beheer komt bij Logius of BZK/BPR. Hiervoor wordt uiterlijk april 2015 een afgewogen voorstel voorgelegd. De beheerkosten komen gedurende de programmaperiode ten laste van de programmabegroting, na 2017 komen de structurele kosten ten laste van BZK. Publiek-private samenwerking Op dit moment wordt het programma eID gestuurd door de ambtelijke StuurgroepeID , geadviseerd door het publiek private eID-platform. Door de private partijen is herhaaldelijk aangegeven dat de huidige governance geen recht doet aan de beoogde publiek-private samenwerking. Nu het eID Stelsel in uitvoering komt, is bovendien een governance nodig die juridisch is verankerd in een instellingsbesluit. Zonder een instellingsbesluit kunnen de pilots in productie niet plaatsvinden. Een voorstel voor de publiek-private governande komt in agendapunt 6 aan de orde. Beheerorganisatie Voor de start van het Introductieplateau eID is een Stelsel-beheerorganisatie nodig. Er is dan immers sprake van een werkend en operationeel Stelsel. De beheerorganisatie beheert namens de Stelselverantwoordelijke de operationele gang van zaken in het Stelsel. Het Introductieplateau eID kan in 2015 starten met de uitvoering van beheer en exploitatie van het Introductieplateau eID. De besluitvorming hierover wordt in het kader van het nog op te stellen migratievoorstel Governance meegenomen. Wet- en regelgeving Tijdens het Introductieplateau eID is nog geen formele wetgeving van kracht. Er komt, zoals eerder is vastgesteld in de Stuurgroep eID een ‘tijdelijk juridisch kader’ voor, onder andere, de uitvoering van de pilots. Het betreft twee ministeriële besluiten: 1. Een besluit van EZ, ter vervanging van het huidige Instellingsbesluit e-Herkenning. Hiervoor worden civielrechtelijk, indien nodig, contracten en/of aansluitvoorwaarden

Pagina 6 van 9

gemaakt c.q. aangepast of wordt er een overgangsregime gecreëerd in het instellingsbesluit. 2. Er wordt een ministerieel besluit van BZK voorbereid voor de taakopdracht van het BSN-Koppelregister. Deze voorziening maakt het mogelijk dat private middelen in het publieke domein worden gebruikt, naast het publieke middel DigiD. Beide besluiten zullen t.z.t. opgaan in de definitieve wet eID Stelsel (2017). Beide besluiten vallen onder een ministeriële regeling welke niet gebaseerd is op een bovenliggende wet. Toezicht Elders op de agenda van de Stuurgroep eID staat een notitie geagendeerd waarin staat beschreven hoe we het toezicht op het eID Stelsel willen vormgeven. De besluitvorming hierover vindt onder dat betreffende agendapunt plaats. Het voorstel is om een scheiding aan te brengen tussen drie verschillende rollen, te weten die van eigenaar van het Stelsel, die van beheerder en die van toezichthouder. De taken en verantwoordelijkheden van de rollen en de samenhang tussen die drie rollen staan beschreven in de betreffende notitie. Voorzien is dat bij de wettelijke vastlegging van het Stelsel (de definitieve situatie) ook een wettelijke publieke toezichthouder wordt ingesteld. In de periode tot die definitieve situatie (de tijdelijke situatie) moeten de taken van de toezichthouder belegd worden. De tijdelijke situatie moet geïmplementeerd zijn op het moment dat de pilots van start gaan. Hiervoor zal in februari 2015 een notitie worden voorgelegd. Pilots De doelen, uitgangspunten en planning van de pilots zijn in bijlage C opgenomen. DigiD In het Introductieplateau blijft DigiD als huidige inlogwijze apart beschikbaar en wordt niet opgenomen in de Idensys inlogwijze. Bij de besluitvorming over de doorontwikkeling (2016) of uiterlijk bij de afronding van het programma (2017) dient een besluit te worden genomen over het toekomstperspectief van DigiD; of het wordt opgenomen in het eID Stelsel dan wel wordt uitgefaseerd. Fraudebestrijding In het kader van fraudebestrijding moet, net als in de fysieke wereld, rechercheonderzoek mogelijk zijn. Dit wordt meegegeven als ontwerpeis voor het BSNKoppelregister. Betrouwbaarheidsniveau Het Introductieplateau eID gaat uit van een hoogwaardig middel in het BSN-domein. Tot op heden was Stork de referentie voor het betrouwbaarheidsniveau. In de praktijk blijkt dit echter geen eenduidige norm te zijn, bovendien is de normgeving in Europees verband onderhevig aan nieuwe inzichten. Voor het Introductieplateau worden de normen voor een hoogwaardig middel uitgeschreven en daarna vertaald naar een normenkader dat aansluit bij Europese ontwikkelingen.

4.2 Voorbereiding doorontwikkeling De doorontwikkeling na het Introductieplateau eID vindt plaats op basis van de uitkomsten van een dialoog over privacy, security en fraudebestrijding, de evaluatie van de pilots en een keuze over de gewenste uitbreiding van functionaliteiten. De laatste twee onderwerpen spreken voor zich. Deze paragraaf gaat vooral over de te organiseren dialoog.

Pagina 7 van 9

In het oorspronkelijke eID Stelsel 1.0 en 2.0 was sprake van ‘privacy bij design.’ Dit betekent dat privacymaatregelen technisch werden afgedwongen in plaats van contractueel geregeld. De technische uitwerking hiervan in een Stelselregistratiedienst en het gebruik van polymorfe pseudo-ID’s is op dit moment een brug te ver. Stakeholders vinden het op het eerste oog te ingewikkeld, onnodig of kunnen de consequenties niet goed overzien. Hier speelt in mee dat de bestaande wetgeving alleen op hoofdlijnen uitspraken doet over privacy en geen uitsluitsel biedt over de (on)wenselijkheid van privacy by design. Het is dus zaak tot nadere keuzes te komen en die keuzes goed te onderbouwen. Daarnaast speelt de vraag op welke wijze opsporing en fraudebestrijding vorm moeten krijgen binnen het stelsel. Daarom wil het programma een dialoog voeren met de meest betrokken stakeholders over privacy en fraudebestrijding, waarbij niet de technische uitwerkingen, maar de bovenliggende keuzes ten aanzien van privacy en fraudebestrijding bij het inloggen in webdiensten het gespreksthema zijn. Het is van groot belang daarbij met name de opvattingen van de gebruiker, in de rol van burger en consument, beter in beeld te krijgen. Tijdens deze dialoog wordt in een ‘civil lab’ het gesprek aangegaan met gebruikers aan de hand van use cases. Aan de hand van die uitkomsten worden ook andere stakeholders geconsulteerd. Op basis van de dialoog zullen de ministeries van BZK en EZ (in samenspraak met de NDCO en het CBP) tot een standpuntbepaling komen. Op basis van dit standpunt, de evaluatie van de pilots en de gewenste nieuwe functionaliteiten wordt juni 2016 een programma van eisen voor de doorontwikkeling opgesteld en ter besluitvorming gebracht. In februari 2015 wordt een nader uitgewerkt procesvoorstel ter besluitvorming voorgelegd voor de dialoog over privacy.

4.3 Begroting en planning op hoofdlijnen 2015 Met het Introductieplateau eID wordt, zoals ook oorspronkelijk gepland, in 2015 overgegaan tot pilots in productie, en is er dus sprake van een werkend Stelsel. De manier om daar te komen is wel gewijzigd; het invoeren van een Introductieplateau eID vergt andere werkzaamheden en daarmee een met het huidige Masterplan worden gewijzigd. Er is op hoofdlijnen een nieuwe productbreakdown gemaakt. Op basis hiervan is de begroting 2015 bijgesteld (zie bijlage b). In een nog op te stellen Masterplan eID 2015 wordt te realiseren baten, producten, uit te voeren projecten, de planning, begroting en de programmaorganisatie toegespitst op het Introductieplateau eID 2015 en de doorontwikkeling 2016. In dat kader worden ook de opdrachten voor de beheerder en toezichthouder meegenomen. De definitieve aangepaste planning zal worden opgenomen in het Masterplan eID 2015. Vooralsnog zijn de belangrijkste mijlpalen in onderstaande figuur samengevat.

Belangrijkste mijlpalen 1 april 2015 1 september 2015 April 2016

Medio 2016 2017

Pagina 9 van 9

Formeel Afsprakenstelsel vastgesteld Start pilots Evaluatie pilots in productie Uitkomsten dialoog Standpuntbepaling ministeries over privacy bij inloggen Besluit over programma van eisen Doorontwikkeling 2016 Volledige overdracht aan beheerorganisatie

Programmabureau eID Directoraat-Generaal Wonen, Bouwen en Integratie Datum 27 november 2014

Hoofdlijnen Introductieplateau eID (bijlage A bij Paraplunotitie Paraplunotitie)

Versie

0.7

Datum Status

1 oktober 2014 Concept

Aantal pagina's 25

Hoofdlijnen Introductieplateau eID, 21 november 2014

Versiegeschiedenis: Versie

Datum

Geadresseerden

Aanpassingen

0.1

5-11-2014

Hans-Rob de Reus, Noortje

Eerste concept

0.9

10-11-2014

Verheij Marieke Hofstee, Michiel

Tweede concept

Groeneveld

Versiebeheer: op de definitieve versies van dit document is versiebeheer van toepassing. Definitieve versies hebben een geheel getal als nummer.

Verantwoordelijk programmamanagement Carlo Koch, Gerrit Jan van ‘t Eind Concipiënt Programmabureau eID

Pagina 2 van 25


Inhoud

Inhoud .................................................................................................................... 3 Inleiding ................................................................................................................ 4 1

Aanleiding ..................................................................................................... 5 1.1 Onze ambitie: een nieuwe standaard voor online dienstverlening .................................................................................................. 5

2

1.2

Afsprakenstelsel 1.0: op dit moment een brug te ver ............ 5

1.3

Bijstelling: stap voor stap .................................................................. 6

1.4

Status: besluitvorming in december 2014................................... 7

Introductieplateau ................................................................................... 9 2.1

Introductieplateau: eHerkenning met BSN-koppelregister ... 9

2.2

Wat levert het op ten aanzien van gestelde ambities? ......... 10

2.3

Introductieplateau: pilots en going concern samen ............... 12

2.4

Uitgangspunten Introductieplateau .............................................. 13

Bijlage I Het Introductieplateau gevisualiseerd ......................... 17 Bijlage II Requirementsanalyse Introductieplateau ................ 20 1.1

Ontkoppelen van DIENSTAANBIEDERS. ............................................. 20

1.2

Marktwerking stimuleren .................................................................. 21

1.3

Gebruikersgemak bevorderen ........................................................ 22

1.4

Privacy garanderen ............................................................................. 23

1.5

Zorgen voor een toekomstvast ontwerp..................................... 24

1.6

Inrichten van toezicht en opsporing ............................................. 25

Pagina 3 van 25


Inleiding

Status van dit document Deze notitie is een inhoudelijke uitwerking van het Introductieplateau eID en is een onderliggend document bij de Paraplunotitie. Een eerdere versie van deze notitie is oriënterend besproken met publieke en private partijen. Er vindt na het BAO nog een redactieslag plaats op dit document.

Doel van dit document Dit document geeft inzicht in de aanleidingen en de consequenties van het voorstel om het eID Stelsel te realiseren via een aantal incrementele stappen, te starten met een Introductieplateau eID dat voortbouwt op eHerkenning. Leeswijzer In Hoofdstuk 1 leest u de aanleiding om te komen tot een bijgestelde introductie van het eID Stelsel via een Introductieplateau eID en een doorontwikkeling op basis van een dialoog over privacy en fraudebestrijding, de uitkomsten van de pilots en de wens te komen tot nieuwe functionaliteiten. In Hoofdstuk 2 wordt het Introductieplateau eID verder uitgewerkt.

Pagina 4 van 25


1

Aanleiding

1.1

Onze ambitie: een nieuwe standaard voor online dienstverlening Overheid en bedrijfsleven willen samen aan het eID Stelsel werken, een nieuwe standaard voor veilige en betrouwbare toegang tot online dienstverlening van overheid en bedrijfsleven. In het eID Stelsel worden verschillende publieke en private inlogmiddelen ondergebracht en uitwisselbaar gemaakt. Ook gaat het eID stelsel een hoger betrouwbaarheidsniveau van online identificatie stimuleren. Bovendien gaat het eID Stelsel ervoor zorgen dat een persoon een ander persoon kan machtigen en dat het stelsel Attributen kan gaan leveren aan Dienstaanbieders. Op deze wijze zal het eID stelsel een belangrijke bijdrage gaan leveren aan de digitale overheid 2017 en de digitale economie. Op dit moment zijn er vanuit de overheid twee verschillende authenticatiesystemen: burgers gebruiken DigiD en ondernemers eHerkenning. In het private domein zijn er daarnaast verschillende systemen om klanten online te herkennen. Webwinkels werken met hun eigen gebruikersnaam en wachtwoorden en de banken hebben verschillende eigen systemen met smartcards, tokens en mobiele telefoons. Allemaal losse inlogmiddelen voor de eigen webdienst of sector. In het eID Stelsel zal er één standaard voor authenticatie en autorisatie voor zowel publieke als private dienstverlening. Burgers, consumenten en ondernemers kunnen daarbij zelf het inlogmiddel gaan kiezen waarmee ze bij een organisatie willen inloggen. Inlogmiddelen zijn dan niet meer beperkt tot één webdienst of sector. Vergelijk het met iDEAL waarbij je via je eigen bankmiddel betaalt bij een webwinkel. De inlogmiddelen die toegelaten zullen worden tot het stelsel, moeten aan de eisen van het eID Stelsel voldoen en een bepaald betrouwbaarheidsniveau hebben.

1.2

Afsprakenstelsel 1.0: op dit moment een brug te ver Op basis van de deze ambitie en ontwerpuitgangspunten1 is een eerste ontwerp voor het stelsel gemaakt: Afsprakenstelsel 1.0. Hierop is samen met een brede vertegenwoordiging van stakeholders een proof of concept en een proof of technology uitgevoerd. Hierop is een Privacy Impact Assessment (PIA) uitgevoerd. Het Afsprakenstelsel 1.0 is in grote lijnen positief uit de PIA gekomen, maar dit Afsprakenstelsel bleek niet op brede steun te kunnen rekenen, noch van bedrijfsleven, noch vanuit de overheid. Het Afsprakenstelsel 1.0 gaat uit van privacybeschermende maatregelen “by design”. Dat wil zeggen privacybescherming wordt afgedwongen in het technisch ontwerp en niet door controlemaatregelen achteraf2. Het gaat in het Afsprakenstelsel 1.0 daarbij vooral om de privacybeschermende maatregelen met behoud van gebruiksgemak, in de vorm van een centrale Stelselregistratiedienst en het toepassen van polymorfe pseudoniemen. 1

2

Uitgangspunten eID Stelsel zie: http://www.eid-stelsel.nl/over-eid-stelsel/uitgangspunten-voor-hetstelsel/ Vergelijk het met het verschil tussen een snelheidsbegrenzer die voorkomt dat auto’s te hard kunnen rijden en het controleren en beboeten achteraf van een eenmaal gemaakte overtreding. Pagina 5 van 25


Dit najaar kreeg het programma eID signalen dat de ministeries van EZ en BZK de beleidsconsequenties van het Afsprakenstelsel onvoldoende kunnen overzien. Ook kwamen er signalen van de betrokken private partijen, met name middelenleveranciers, aan dat het stelsel wat hen betreft onnodig ingewikkeld en daarmee waarschijnlijk ook te kostbaar is. Tevens heeft een aantal leveranciers aangegeven dat onvoldoende is aangetoond waarom het huidige eHerkenning niet voldoet en vindt men de huidige governance onvoldoende recht doen aan de publiek-private samenwerking. Deze signalen zijn aanleiding om opnieuw de dialoog aan te gaan over de vraag wat er nodig is om te komen tot een stelsel dat voldoet aan de gestelde ambities, maar ook uitvoerbaar is en kan rekenen op draagvlak. Dit heeft ertoe geleid dat het programmamanagement een voorstel heeft gedaan voor bijstelling. 1.3

Bijstelling: met kleine stappen komen we veel verder De kern van de bijstelling van de eerder opgestelde plannen is het toepassen van een meer incrementele aanpak, die uitgaat van een stapsgewijze opbouw van het stelsel. Daarbij wordt een onderscheid gemaakt tussen de korte en langere termijn. Op de korte termijn (september 2015) start het Introductieplateau eID. Dit Introductieplateau eID is gebaseerd op release 1.9 van eHerkenning, gecombineerd met een te ontwikkelen BSN-koppelregister. In dit plateau is nu geen Stelselregistratiedienst voorzien, vooral omdat de discussie gaat over juist deze voorziening. De consequenties daarvan is dat een Afsprakenstelsel met een Stelselregistratiedienst niet op korte termijn haalbaar lijkt te zijn. Op het Introductieplateau eID worden pilots gedaan (voorzien vanaf derde kwartaal 2015). Hierdoor wordt het mogelijk de wens te realiseren dat burgers kunnen inloggen in het publieke en private domein met een hoogwaardig inlogmiddel. Bovendien komt daarmee een einde aan de heersende onzekerheid in de markt over de vraag wat er met eHerkenning en eID gaat gebeuren. Dit gebeurt op een pragmatische manier, door gebruik te maken van wat er al is (eHerkenning) en zonder de door de middelenleveranciers en ministeries op dit moment als ingewikkelde en kostbare uitwerking van de Stelselregistratiedienst en het Polymorfe pseudo-ID. Het Introductieplateau eID biedt de ruimte om in 2015 een dialoogte voeren over privacybeschermende maatregelen en randvoorwaarden voor opsporing bij fraude. Deze dialoog moet samen met de uitkomsten van pilots en de en de wens voor uitbreiding van functionaliteiten leiden tot keuzes en besluitvorming richting een volgende stap in het Stelsel. Want met het Introductieplateau eID wordt weliswaar een stevige eerste stap gezet, het realiseert niet alle ambities en uitgangspunten uit het MasterplaneID. Die ambities blijven onverkort gehandhaafd, de manier om die ambities te bereiken is inzet van de discussie. Dit is onderwerp van gesprek tijdens ten behoeve van doorontwikkeling. Deze dialoog start parallel aan het Introductieplateau eID. Daarbij worden alle betrokken stakeholders, inclusief een vertegenwoordiging van gebruikers, gesproken over de vraag op welke wijze de oorspronkelijke ambities van eID kunnen worden gerealiseerd. Het gaat dan vooral om vragen met betrekking tot privacy en informatiebeveiliging waarin het Introductieplateau eID nog niet geautomatiseerd in voorziet (zie par.2.2). Pagina 6 van 25


Kortom, met deze bijstelling wil het programmamanagement:

een haalbare en onomkeerbare stap zetten naar het eID stelsel in de praktijk, zodanig dat er met de ervaringen uit het Introductieplateau eID verder kan worden ontwikkeld naar een uit te werken Visieplateau eID; concrete oplossingen bieden voor de meest urgente problemen; ruimte bieden om op zorgvuldige wijze een discussie over privacybeschermende maatregelen en de impact daarvan te voeren; ruimte bieden om te bezien op welke wijze fraudebestrijding kan gaan werken zonder de privacy onnodig aan te tasten; een einde maken aan de onzekerheid in de markt over de toekomst van eHerkenning en eID; tegemoet komen aan de belangrijkste kritiekpunten van de stakeholders; gebruikmaken van wat er al is (eHerkenning als basis).

Onderstaande figuur vat de oorspronkelijke en bijgestelde aanpak kort samen:

Deze notitie: voorstel voor Introductieplateau Deze notitie richt zich met name op het Introductieplateau. Voor de dialoog wordt in februari 2015 een procesvoorstel voorgelegd. 1.4

Status: besluitvorming in december 2014 De hoofdlijn van deze notitie is besproken in de StuurgroepeID van 6 november. Het programmamanagement is gevraagd het Introductieplateau eID verder uit te werken en op 11 december 2014 ter besluitvorming voor te leggen. Ter voorbereiding van die besluitvorming zijn er 4 acties nodig:


1. Bespreking van het Introductieplateau eID met de publieke en private partijen om te onderzoeken of de gedachtevorming over het Introductieplateau eID op steun kan rekenen. 2. In beeld brengen van de beleidsconsequenties en impact van het Introductieplateau eID voor de beleidsectoren. 3. Uitvoeren van een Privacy Impact Assesment (PIA) en een kwetsbaarheidsanalyse ten aanzien van de informatiebeveiliging van het Introductieplateau. Dit om zeker te stellen dat zowel de overheid als de private partijen voldoen aan de vigerende weten regelgeving van privacy en informatiebeveiliging. 4. Uitwerken van een eerste plan van aanpak voor pilots in productie op basis van dit Introductieplateau. Deze acties vinden in november/december plaats. De kwetsbaarheidsanalyse en PIA zijn, gezien de doorlooptijd van deze producten, niet op 11 december gereed.

Pagina 8 van 25


2

Introductieplateau

2.1

Introductieplateau eID: eID eHerkenning met BSN-koppelregister Zoals gezegd, is het Introd Introductieplateau eID bedoeld als eerste,, haalbare en onomkeerbare stap naar een eID stelsel in de praktijk. Het meest urgente probleem, zoals aangegeven door stakeholders, is dat er geen hoogwaardig middel is om zowel in het publieke als private domein in te loggen. oggen. In deze eerste stap van het eID stelsel willen we dat mogelijk maken. Dit kan door versie 1.9 van eHerkenning te combineren met een BSN-koppelregister. De belangrijke ingrediënten van het beoogde ontwerp van het eID stelsel, de Stelselregistratiedienst en het gebruik van polymorfe pseudoniemen seudoniemen, worden vooralsnog niet toegepast.

De basis voor het Introductieplateau eID is de versie 1.9 van eHerkenning waar op dit moment aan wordt gewerkt. Deze release is oorspronkelijk bedoeld als tussenstap in de migratie van eHerkenning naar het eID stelsel. Door het gebruik van de eID eID-koppelvlakken draagt deze release bij aan dataminimalisatie (o.a. bij de makelaar) en is het toekomstvast, ook bij de doorontwikkeling van het eID stelsel stelsel. Door aan deze release het BSN-koppelregister koppelregister toe te voegen, ontstaat een stelsel dat zowel bin binnen nen als buiten het BSN-domein domein gebruikt kan worden. Daarmee wordt een belangrijke stap gezet en de huidige domeinscheiding tussen privaat en publiek opgeheven. Overheidspartijen kunnen een contract sluiten met een makelaar en daarop aansluiten met het beoogde eID koppelvlak, naast hun eventueel bestaande aansluiting op DigiD. Bezitters van een eHerkenning authenauthen ticatiemiddel middel kunnen dan met dit middel bij deze partijen inloggen. In principe kunnen ook private dienstaanbieders aansluiten. De meerwaarde voor deze partijen bestaat eruit dat ze gebruik kunnen maken van een koppelvlak dat toekomstvast is.


Samengevat is het Introductieplateau eID een combinatie van de going concern van eHerkenning in combinatie met een vernieuwing en aanvulling voor het burger- en consumentendomein. 2.2

Wat levert het Introductieplateau eID op ten aanzien van gestelde ambities? Het Introductieplateau eID omvat minder componenten dan het Afsprakenstelsel 2.0 en daarmee technisch en bestuurlijk beter haalbaar. De StuurgroepeID heeft gevraagd inzicht te geven in wat er wel en niet wordt gerealiseerd ten opzichte van de oorspronkelijk geformuleerde ambitie. De belangrijkste functionaliteiten die het eID stelsel ondersteunen zijn: • • • • •

Authenticeren: de identiteit van de gebruiker vaststellen Attributen: het verstrekken van een beperkte set van persoonsgegevens Machtigingen: iemand zaken laten doen namens of voor andere personen, het eigen of een ander bedrijf. Ondertekenen: wilsuitingen vastleggen, zoals het ondertekenen van contracten en vergunningen Vaststellen bevoegdheden: iemand laten aantonen dat hij bijvoorbeeld tot een bepaalde beroepsdoelgroep of leeftijdscategorie behoort

De functionaliteiten van het Introductieplateau eID Belangrijkste winstpunt van het Introductieplateau eID is dat het mogelijk wordt met draagvlak van de stakeholders over te gaan tot pilots in productie en er een einde komt aan de nu heersende onzekerheid in de markt over hoe het verder gaat met eID, eHerkenning en DigiD. Ook wordt de domeinscheiding publiek-privaat opgeheven. De belangrijkste functionaliteiten die worden toegevoegd is: het gebruiken van een hoogwaardig middel in zowel het publieke als private domein. Dit is een aanzienlijke verbetering ten opzichte van de huidige situatie. Samengevat worden de volgende functionaliteiten gerealiseerd in het Introductieplateau: •

Authenticeren: de identiteit van de gebruiker vaststellen



Voor het burgerdomein • Introductie van hoog betrouwbare authenticatiemiddelen • Gebruik van private inlogmiddelen wordt mogelijk • Een eventueel pubiek middel kan in een pilot worden beproefd

Groeipad • Steeds meer middelenleveranciers en dienstenaanbieders sluiten aan op het eID Stelsel. • Aansluiting op eIDAS (2018)

In het consumenten- en bedrijven domein • Inloggen met Pagina 10 van 25


authenticatiemiddelen op betrouwbaarheidsniveau naar keuze

•

Attributen: het verstrekken van een beperkte set persoonsgegevens



Voor alle domeinen • Beperkte set van attributen (algemene persoonsgegevens, zoals NAW

Groeipad • Voor alle domeinen uitgebreide(re) attributen kunnen registeren en aanroepen bij een eID deelnemer naar keuze binnen het eID Stelsel.

•

Machtigingen: iemand zaken laten dien namens of voor andere personen, het eigen of een ander bedrijf



Voor het bedrijvendomein • Bestaande machtigingsfunctionaliteit van eHerkenning.

Groeipad • Voor alle domeinen machtigingen kunnen registeren bij een eID deelnemer naar keuze binnen het eID Stelsel. • Idem ketenmachtigingen.

Voor het burgerdomein • DigiD Machtigen ‘as is’. Deze laatste wordt in dit plateau niet ondersteund door het Stelsel, dienstenaanbieders dienen hier zelf op aan te sluiten. •

Ondertekenen: wilsuitingen vastleggen, zoals het ondertekenen van contracten en vergunningen



Geen ondertekenfunctionaliteit • Deze wordt door de dienstaanbieder zelf ingericht door middel van bijvoorbeeld herauthenticatie.

Groeipad • Voor alle domeinen wilsuitingen kunnen vastleggen bij een eID deelnemer naar keuze binnen het eID Stelsel. • Afzonderlijke ondertekendiensten

•

Vaststellen bevoegdheden: iemand laten aantonen dat hij bijvoorbeeld tot een bepaalde beroepsdoelgroep of Pagina 11 van 25


leeftijdscategorie behoort Introductieplateau 2015 (web)


Voor alle domeinen • Beperkte set van attributen (leeftijdsverificatie)

Groeipad • Voor alle domeinen uitgebreide(re) bevoegdheden kunnen registeren en aanroepen bij een eID deelnemer naar keuze binnen het eID Stelsel.

Overzicht introductieplateau vanuit stakeholders: Burgers

Dienstaanbieders

Middelenleveranciers

Veiliger inloggen & zelf kiezen bij pilotorganisaties

Fallback & authenticatie op hoog betrouwbaarheidsniveau

Toegang BSN domein voor private leveranciers

Inlogmiddelen met hoger betrouwbaarheidsniveau

De single point of failure wordt opgeheven doordat er meerdere authenticatiemiddelen kunnen worden toegepast.

Met private inlogmiddelen toegang tot het publieke domein

Private authenticatiemiddelen van burgers kunnen voor het eerst in het publieke BSNdomein worden toegepast.

Er is een toekomstvast koppelvlak beschikbaar voor private- en publieke dienstenaanbieders.  

2.3

Introductieplateau eID: pilots en going concern samen Het Introductieplateau eID wordt in de praktijk uitgevoerd. Het gaat dan enerzijds om pilots in het burger- en consumentendomein, en anderzijds om de huidige dienstverlening van eHerkenning in het private domein. Deze vormen samen de eerste werkende versie van het eID stelsel onder de nieuwe naam. De doelstelling en planning van de pilots wordt apart uitgewerkt en is op hoofdlijnen begin december beschikbaar. Inzet is dat er pilots in het publieke en private domein starten vanaf september 2015. De voorbereiding (bouw van het BSN-koppelregister, gereedmaken van


koppelvlakken, maken van samenwerkingsafspraken) vindt vanaf januari 2015 plaats. 2.4

Uitgangspunten Introductieplateau eID Voordat het Introductieplateau eID wordt vrijgegeven om productie-pilots te kunnen ondersteunen, moet nog wel een aantal zaken nader worden vastgesteld. In deze uitwerking worden de volgende uitgangspunten gehanteerd: 1. Het Introductieplateau eID van het Afsprakenstelsel moet beschikbaar zijn voor pilots uiterlijk in het derde kwartaal van 2015. 2. Er wordt zowel een kwetsbaarheidsanalyse op de informatiebeveiliging als een privacy-impactassessment (PIA) uitgevoerd op het ontwerp van het Introductieplateau, inclusief eHerkenning 1.8 en 1.9, alvorens tot een definitieve GO-no-GO beslissing te komen. 3. Het ontwerp van het Introductieplateau eID is een eerste stap in de ontwikkeling van het eID Stelsel en is geschikt voor doorontwikkeling naar de volledige eID ambities. 4. Er wordt maximaal gebruik gemaakt van reeds bestaande voorzieningen. 5. Vindt plaats op basis van de noodzakelijke juridische uitvoering voorwaarden3. 6. Voor de publieke dienstaanbieders wordt de rol van eID makelaar door de markt ingevuld. 7. Fraudebestrijding: bijvoorbeeld indien sprake is van fraude kan, net als in de fysieke wereld, rechercheonderzoek worden verricht. Er zal een nader voorstel worden uitgewerkt op welke wijze de governance en het toezicht wordt ingericht voor het Introductieplateau eID. De voorziene pilots in het burgerdomein betreffen vooral een uitbreiding van het huidige eHerkenning naar het burgerdomein: het mogelijk maken dat een authenticatiemiddel aan een BSN gekoppeld kan worden. De

doelstelling voor het vaststellen van een betrouwbare vaststelling van de identiteit in het BSN-domein via een elektronische weg, is het voorkomen van identiteit verwisseling, identiteitdiefstal en fraude. Voor het Introductieplateau wordt de volgende invulling voorgesteld: A. Populatie gebruikers tijdens pilots in BSN-domein - Alle gebruikers zijn ingeschreven in de BRP en beschikken over een BSN. - Het verlenen van toegang voor EIDAS-gebruikers en personen zonder BSN wordt in het Introductieplateau nog niet ondersteund. B. Gebruik BSN door private authenticatiediensten - De Wet Algemene Bepalingen Burgerservicenummer (Wabb) staat niet toe het BSN door een private authenticatiedienst te laten verwerken. 3

De huidige inschatting is dat dit mogelijk is met minimale wetswijzigingen (Ministeriële Regeling, civielrechtelijke contracten, Service Level Agreements en handleidingen om aan te sluiten bij het eID Stelsel).

Pagina 13 van 25


- Om het toch mogelijk te maken om een privaat authenticatiemiddel te koppelen aan het BSN wordt in het overheidsdomein een zogenaamd BSN-koppelregister tot stand gebracht. - De private authenticatiedienst genereert zelf een landelijke unieke identifier (pseudoID) van de gebruiker en meldt deze aan bij het BSN-koppelregister. - In de aanmelding door de authenticatiedienst wordt het BSN meegeleverd. De techniek waarbij het BSN door de authenticatiedienst wordt aangeleverd, zal zo worden ontworpen dat er geen persistente opslag van het BSN in dit kader plaatsvindt bij de authenticatiedienst. Het juridische kader van het Introductieplateau regelt eventueel benodigde aanvullende regelgeving. C. Betrouwbaarheidseisen koppelproces authenticatiemiddel naar BSN - In het Introductieplateau mogen alleen authenticatiemiddelen aan het BSN worden gekoppeld die zijn gekwalificeerd als betrouwbaarheidsniveau Hoog. - De eisen die worden gesteld aan het betrouwbaarheidsniveau Hoog worden op vier aspecten nader uitgeschreven. Deze zijn: 1. De kwaliteit van de identiteit vaststelling van de persoon tijdens het aanvraagproces van het authenticatiemiddel. 2. De kwaliteit van de procedure waarin het authenticatiemiddel aan deze persoon wordt uitgereikt. En van de procedures voor het vernieuwen, (de)activeren en intrekken van het authenticatiemiddel (life cycle management). 3. De beveiligingskenmerken van het authenticatiemechanisme waarmee het authenticatiemiddel iedere keer dat het gebruikt wordt op afstand (via internet) herkend wordt. 4. De kwaliteit van de management en organisatorische processen bij het verwerken van digitale identiteiten. - De invulling van de eisen worden als uitgangspunten geformuleerd. De komende maanden worden deze nader geconcretiseerd en als eenduidige normen opgenomen in het Afsprakenstelsel Introductieplateau. D. Uitgangspunten kwalificatie betrouwbaarheidsniveau Hoog 1. De kwaliteit van de identiteit vaststelling van de persoon tijdens het aanvraagproces van het authenticatiemiddel: - Fysieke (face-to-face) vaststelling van de identiteit van de persoon aan de hand van een geldig identiteitsdocument. Deze vaststelling moet ook look-alike fraude kunnen voorkomen. In het kader van de pilots wordt de voorkeur gegeven aan een beperking tot Nederlandse WIDs, omdat daarop het BSN vermeld staat. Bij buitenlandse IDs zou het BSN afzonderlijk geleverd moeten worden, hetgeen risico’s Pagina 14 van 25


op fouten vergroot. Bovendien kunnen de Nederlandse WID’s elektronisch worden uitgelezen. - Voor de check op de geldigheid van de WIDs zou een check op de betreffende registers ingericht moeten zijn op de vraag of het aangeboden document in inloop mag zijn. Uitgangspunt is dat de controle op de vraag of het WID in inloop mag zijn, zal moeten plaatsvinden door het BSNkoppelregister. Dit betekent dat het documentnummer meegeleverd zal moeten worden door de authenticatiedienst. - Verificatie van de aangeleverde persoonsgegevens bij BRP wordt noodzakelijk geacht om te voorkomen dat een BSN aan verkeerde naam wordt verbonden (toetsen ihkv pilots of deze fouten er uit gehaald worden). Aandachtspunt is het gegeven dat een BSN soms dubbel is uitgegeven en dat soms een persoon beschikt over meer dan één BSN. Deze controle moet zo zijn ingericht dat bij naam wordt nagegaan of daarbij meer BSN bekend zijn en vice versa of bij het BSN meer namen bekend zijn. - Indien voor de identiteit vaststelling voor een nieuw authenticatiemiddel Hoog een bestaand geldig authenticatiemiddel Hoog wordt gebruikt, is een fysieke (face-to-face) identiteitvaststelling niet meer vereist. 2. De kwaliteit van de procedure waarin het authenticatiemiddel aan deze persoon wordt uitgereikt. En van de procedures voor het vernieuwen, (de)activeren en intrekken van het authenticatiemiddel (life cycle management). - Het is van groot belang dat het authenticatiemiddel dat wordt gekoppeld aan het BSN van een persoon ook daadwerkelijk wordt uitgegeven aan die persoon. De beveiligingskenmerken van het authenticatiemechanisme is minimaal een two factor invulling. Het is wenselijk om die of tegelijkertijd fysiek over te dragen of via verschillende kanalen (bijvoorbeeld de PIN via post of email en het technische device via fysieke uitgifte). 3. De beveiligingskenmerken van het authenticatiemechanisme waarmee het authenticatiemiddel iedere keer dat het gebruikt wordt op afstand (via internet) herkend wordt. - De beveiligingskenmerken van het authenticatiemechanisme is minimaal een two factor invulling. Hierbij moet ook rekening worden gehouden met derobuustheid van het authenticatiemechanisme tegen guessing, eavesdropping, replay of manipulatie van de communicatie door een kwaadwillende hacker (man-in-the-middle).

Pagina 15 van 25


4. De kwaliteit van de management en organisatorische processen bij het verwerken van digitale identiteiten. - Nog nader te bepalen.

Schets invulling Introductieplateau voor het BSN-domein

Introductieplateau eID Landschap medio 2015 (voorbeeld inloggen Mijn BSN-dienst) BSN

BSN

BSN Koppelregister

Makelaar BSN

BSN

• private invulling eID eID

eID Landschap • eHerkenning • nieuwe publieke middelen

Keuze Burger/ZZP’er Maarten

eID

Ma arten

786401

...

...


Bijlage I Het et Introductieplateau eID gevisualiseerd

Aan de hand van een aantal afbeeldingen wordt het scenario geïllustreerd. Deze afbeeldingen zijn een vereenvoudigde weergave van het proces, bedoeld om de essentie van de verandering weer te geven. De kernfunctionaliteit van dit plateau is mogelijk te maken om met private middelen in te kunnen inloggen in het publ publieke domein. Het probleem dat in dat geval moet worden opgelost, is het feit dat een private authenticatiedienst geen gebruik mag maken van BSN in het inlogproces. Zie onderstaande afbeelding.

Om dit vraagstuk op te lossen wordt in dit scenario een BSNkoppelregister ontwikkeld. Zie volgende afbeelding. De functie is dat de pseudoniem(en) van Maarten nu worden gekoppeld aan het BSN van Maarten. Maarten kan nu ook met private middelen zaken doen in BSN BSNdomein.


In onderstaande plaat wordt het reg registratieproces in dit scenario weergegeven. De authenticatiedienst genereert het pseudoniem en verzendt dit met de persoonsgegevens en het BSN aan het BSNBSN koppelregister. Door een uitvraag te doen op de BRP wordt het BSN met de persoonsgegevens gecheckt. Door Door deze verificatieslag wordt de sterkte van de keten vergroot.

Hierbij zijn onder anderen nog de volgende vraagstukken te onderkennen:


• •

Welke gegevens mogen/moeten worden gebruikt bij het aanmelden Welke verificatie wordt uitgevoerd

In onderstaand plaatje wordt een reguliere inlogsessie weergegeven in dit scenario waarbij Maarten dus via een onafhankelijke authenticatiedienst inlogt in het BSN domein.

Hierbij zijn o. a. nog de volgende vraagstukken de signaleren: • Welke eisen worden gesteld aan de betrouwbaarheid van de gebruikte sleutel • Welke eisen worden gesteld aan de invulling van de eID


Bijlage II Requirementsanalyse Introductieplateau

In deze bijlage is een requirementsanalyse gemaakt voor het introductieplateau. De ontwerpeisen uit de versie Afsprakenstelsel eID 1.0 zijn gebruikt. Deze zijn afgezet tegen het voorgenomen Introductieplateau. 1.1

Ontkoppelen van DIENSTAANBIEDERS. Anders dan bij het CG domein geldt dat bij meerdere middelen of verlies van middel, de dienstaanbieders zelf een koppeling tussen de verschillende pseudoniemen en de klant bijgehouden moet worden.

Nr. E01

Ontwerpeis Ontzorgen van DIENSTAANBIEDERS Ontkoppeling tussen diensteninfrastructuur van publieke- en private DIENSTAANBIEDERS en de infrastructuur van EID-MIDDELEN. DIENSTAANBIEDERS worden op deze manier ontzorgd en hoeven niet separaat steeds grotere investeringen in kennis en techniek op te brengen om aan steeds hogere veiligheidseisen te voldoen. De leveranciers van EID-MIDDELEN worden ook ontzorgd omdat deze niet op iedere DIENSTAANBIEDER afzonderlijk hoeven aan te sluiten.

E02

Bruikbaar voor digitaal minder vaardigen Digitaal minder vaardigen moeten ook de gelegenheid hebben om gebruik te maken van de diensten die de overheid aanbiedt.

E03

Derden moeten namens een DIENSTAANBIEDER digitale diensten kunnen aanbieden. Een publieke DIENSTAANBIEDER is niet altijd in staat om goed aan te sluiten op de processen van de GEBRUIKER. Om er toch voor te zorgen dat deze aansluiting wordt gerealiseerd wil de GEBRUIKER (of DIENSTAANBIEDER) vaak gebruik maken van een derde partij. Deze is vaak veel beter in staat om kwaliteit aan de digitale diensten toe te voegen en hiermee het gebruikersgemak te vergroten.

Introductieplateau Deze ontwerpeis wordt voor het Authenticatiedeel gerealiseerd. De Dienstaanbieders kunnen aansluiten op het standaard koppelvlak met de makelaar. Het plateau biedt echter geen nette oplossing voor het Machtigingendeel. De Dienstaanbieder kan wel direct aansluiten op DigiD machtigen maar dit gaat buiten het plateau om. eHerkenning biedt ook wel mogelijkheden om te machtigen. Hier is echter het probleem dat deze registers sterk verbonden zijn aan de Authenticatiedienst van dezelfde partij. In theorie is het wel mogelijk om de machtigingenregister ook door andere authenticatiediensten te ontsluiten maar in de praktijk zal dit erg lastig zijn. Het is niet mogelijk om DigiD machtigen binnen het plateau te ontsluiten. De Dienstaanbieder kan wel zelf een aansluiting realiseren. Hierdoor kunnen de functies die DigiD machtigen bieden tav digitaal minder vaardigen wel beschikbaar komen voor de Dienstaanbieder, maar niet als onderdeel van het stelsel. Het plateau biedt geen oplossing voor nabestaanden en wettelijke vertegenwoordigers Dienstverleners die gebruik maken van eigen software kunnen gebruik maken van de diensten uit het introductieplateau. In theorie kunnen ze nu ook zelf kiezen bij welke partij ze de machtigingen gaan registreren. In de praktijk zal blijken dat ze verplicht zijn om voor de registratie van de machtigingen gebruik te maken van dezelfde leverancier als de leverancier die hen het Authenticatiemiddel heeft verstrekt.

Pagina 20 van 25


Nr. E04

E05

E06

E07

Ontwerpeis Opheffen domeinscheiding burgers / bedrijven In Nederland kennen we inmiddels ruim 850.000 eenmanszaken. Bij eenmanszaken komen de rollen van burger en bedrijf samen in één persoon met één burgerservicenummer (BSN). Het moet mogelijk worden dat een persoon zich voor burgerzaken en voor bedrijfszaken kan authentiseren met hetzelfde middel. Sectoren met eigen nummers moeten ondersteund kunnen worden Vanuit het belang van privacybescherming worden binnen het eID Stelsel PSEUDOID’s gebruikt. De DIENSTAANBIEDER wil echter een identiteit die binnen de eigen sector te herleiden is. Voorbereiden op aansluiten EU middelen AUTHENTICATIEMIDDELEN en MACHTIGINGEN die in het Buitenland (EU) zijn afgegeven moeten gebruikt kunnen worden binnen het eID Stelsel (volgens EU-verordeningen). AUTHENTICATIEMIDDELEN en MACHTIGINGEN die binnen het eID Stelsel zijn afgegeven moeten ook gebruikt kunnen worden om diensten van buitenlandse DIENSTAANBIEDERS af te kunnen nemen. Verschillende betrouwbaarheidsniveaus ondersteunen De toegang tot digitale diensten moet geregeld worden op een adequaat beveiligingsniveau (zoals vastgelegd in de Handreiking Betrouwbaarheidsniveaus).

1.2

E11

Introductieplateau Het introductieplateau ondersteunt zowel de burgers (koppelregister bsn) als ook de bedrijven (KVKnr of RSIN). De domeinscheiding is hierdoor opgeheven. Hierbij geldt wel dezelfde beperking als mbt DigiD en DigiD machtigen (zie E01)

Het plateau introduceert een koppelregister BSN. Hierdoor wordt gerealiseerd dat de BSNsector gebruik kan maken van het introductieplateau. Het plateau biedt geen oplossing voor andere sectoren. Het plateau staat een aansluiting van EU middelen niet in de weg. De PEP moet ingericht worden als een Authenticatiedienst binnen het stelsel. Deze dienst moet voor de Gebruikers een Pseudoniem creëren. Voor de BSN sector moet dit Pseudoniem in het koppelregister worden gekoppeld aan het BSN (RNI).

Het plateau ondersteunt alle betrouwbaarheidsniveaus die nu al binnen eHerkenning worden aangeboden. Dit is een afwijkende normering. Binnen het eID Stelsel wordt geanticipeerd op ontwikkelingen op dit gebied vanuit europa. (STORK gaat waarschijnlijk over naar IS29051).

Marktwerking stimuleren

Ontwerpeis Multimiddelenstrategie Door de multimiddelenstrategie zijn er binnen het eID Stelsel meerdere EID-MIDDELEN beschikbaar. Voordelen hiervan zijn dat de gehele populatie van mogelijke GEBRUIKERS sneller afgedekt wordt en dat men indien nodig direct terug kan vallen op een ander middel. De middelen zijn daarnaast breed inzetbaar; bedrijven en consumenten kunnen dezelfde middelen voor de diensten van zowel de overheid als van bedrijven gebruiken. Bedrijven hoeven daardoor niet te investeren in het uitgeven van eigen middelen om diensten te kunnen aanbieden aan burgers. Een multimiddelenstrategie voorziet in fallback-mogelijkheden. Als om de een of

Introductieplateau Het plateau kent een beperking in de multimiddelenstrategie. Ieder middel moet nu afzonderlijk worden gekoppeld in het BSNkoppelregister. Ook het gebruik van machtigingenregisters wordt ingeperkt in dit plateau.

Pagina 21 van 25


E12

E13

E14

Ontwerpeis andere reden een middel niet te gebruiken is of onveilig is, dan kunnen burgers en bedrijven meteen gebruik maken van een ander middel voor diezelfde dienst.

Introductieplateau

Hergebruik bestaande voorzieningen Zowel aan de kant van de overheid als van marktpartijen zijn er verschillende ICTvoorzieningen die, na migratie, opgenomen worden in het eID Stelsel. Denk hierbij aan: DigiD, DigiD Machtigen, eHerkenning en PKIoverheid. Zorg ervoor dat alle partijen gelijke kansen hebben. De keuze van de overheid om ook of zelfs uitsluitend een of meer publieke AUTHENTICATIEDIENSTEN of MACHTIGINGSDIENSTEN aan te bieden in het eID Stelsel mag niet leiden tot oneerlijke concurrentie tussen publieke en private partijen die in het eID Stelsel diensten aanbieden of middelen uitgeven. Dat betekent dat de overheid goed moet kunnen definiëren en onderbouwen waar het belang van realisatie van publieke diensten in het eID Stelsel ligt. Daarnaast moet er ruimte zijn voor alle partijen om innovatie door te voeren binnen de geldende afspraken van het eID Stelsel. Businessmodel t.b.v. investeren private partijen Dit model zou het voor deelnemers aantrekkelijk moeten maken zelfstandig, proactief te investeren. Het businessmodel moet hiertoe de juiste prikkels geven.

Het plateau voorziet in het hergebruik van de middelen die nu reeds binnen eHerkenning zijn uitgegeven. Binnen dit plateau is het niet mogelijk om DigiD en DigiD machtigen te hergebruiken.

1.3 Nr.

De aanschaf van een eHerkenning middel kost geld. In veel gevallen hebben de Gebruikers nu de beschikking over een gratis middel. De kans is groot dat het heel lastig is om de Gebruikers te verleiden om over te stappen op een eHerkenningsmiddel.

Er wordt een apart voorstel gedaan voor de governance; hierbij wordt rekening gehouden met de ervaringen die zijn opgedaan met eHerkenning.

Gebruikersgemak bevorderen

Ontwerpeis

Introductieplateau

Pagina 22 van 25


Nr. E21

E22

E23

E24

Ontwerpeis Wees laagdrempelig, gebruikersvriendelijk en consistent voor betrokkenen Beveiliging is mede afhankelijk van de mate waarin de GEBRUIKERS het toegangs- en machtigingsproces begrijpen. GEBRUIKERS (met name burgers) moeten het toegangs- en vertegenwoordigingsproces willen en durven gebruiken. Gebruiksacceptatie is één van de belangrijkste voorwaarden voor het slagen van het eID Stelsel. BELANGHEBBENDE kan zelf machtigingen en activiteiten achteraf controleren Een hogere betrouwbaarheid: de BELANGHEBBENDE (of zijn daartoe bevoegde vertegenwoordiger) kan beoordelen of een machtiging correct is of dat een activiteit door een bevoegde is uitgevoerd. De mogelijkheid van zelfcontrole zorgt voor betrouwbaardere machtigingen en snellere ontdekking van misbruik. GEBRUIKERS houden de controle over machtigingen en gegevens GEBRUIKERS blijven baas over eigen gegevens. Keuzevrijheid in aanschaf en gebruik Burgers en bedrijven hebben keuzevrijheid ten aanzien van de EID-MIDDELEN die zij willen gebruiken. Men kan kiezen voor één publiek of privaat EID-MIDDEL. Men kan er ook voor kiezen om meerdere EID-MIDDELEN naast elkaar te gebruiken. Met andere woorden, de GEBRUIKER heeft de mogelijkheid om zelf te bepalen wat de samenstelling wordt van zijn digitale sleutelbos. Een GEBRUIKER moet overstapvrijheid hebben om van de ene aanbieder van EID-MIDDELEN naar een andere aanbieder van EID-MIDDELEN over te kunnen stappen. Dit is goed vergelijkbaar met het nummerbehoud in de telecomsector. Als de GEBRUIKER kiest voor nummerbehoud, dan verandert zijn mobiele nummer niet bij verandering van telecomaanbieder. Voor het eID Stelsel betekent dit: als de GEBRUIKER overstapt naar een andere aanbieder en kiest voor nummerbehoud, dan moet de GEBRUIKER het nieuwe eID-middel zonder conversie kunnen gebruiken bij al bestaande ‘klant accounts’ bij de DIENSTAANBIEDERS. 1.4

Nr.

Introductieplateau Het plateau introduceert de rol van de makelaar waarin de Gebruiker moet kiezen uit 1 van de aangesloten Authenticatiediensten. Dit geeft al een extra complexiteit. Daarnaast zal de huidige wijze van Authentiseren nog actief zijn. Dit geeft nog een extra complexiteit. De verwachting is dat het erg lastig wordt om aan de burger uit te leggen wat hij nu precies moet doen. Dit kan worden voorkomen door het plateau alleen open te zetten voor kleine besloten pilots. Voor machtigen maken we gebruik van bestaande voorzieningen binnen eHerkenning. Dezelfde functionaliteit die nu hiervoor beschikbaar is zal ook in dit plateau beschikbaar zijn.

Zie hiervoor

De keuzevrijheid voor een machtigingsregister is in het introductieplateau beperkt. In het BSN domein kan dat nog worden opgelost om de gemachtigde en vertegenwoordigde te identificeren met een BSN. (Uitzoeken of dit op wettelijke problemen stuit als dit register door een private partij wordt aangeboden). Buiten het BSN domein moet zowel de gemachtigde als de wettelijke vertegenwoordiger gebruik maken van een eHerkenningsmiddel van de Authenticatiedienst die het machtigingsregister aanbiedt. De overstapvrijheid is ook beperkt. Binnen het BSN domein is dit nog op te lossen door gebruik te maken van een BSN. Ieder middel moet dan wel opnieuw geregistreerd worden. Buiten het BSN domein is er geen mogelijkheid tot nummerbehoud.

Privacy garanderen

Ontwerpeis

Introductieplateau

Pagina 23 van 25


Nr. E31

E32

E33

Ontwerpeis Bescherming privacy betrokkenen Verbeterde vertrouwelijkheid, privacy en de privacywet- en regelgeving (o.a. WBP) zijn gerespecteerd. GEBRUIKERS mogen volledig vertrouwen op de borging van hun privacy en het zorgvuldig handelen van de deelnemende partijen. Organisaties mogen volledig vertrouwen op het bewaken van gevoelige informatie. Een EID-DEELNEMER krijgt niet meer gegevens dan strikt noodzakelijk is voor het uitvoeren van zijn taak. Deze ontwerpeis is van belang voor E31, maar ook voor verbeterde continuïteit. Indien een EID-DEELNEMER is gehackt, dan is slechts een beperkt aantal gegevens gecompromitteerd. Het is dan eenvoudiger om de deelnemer uit het eID Stelsel te verwijderen zonder dat dit grote gevolgen heeft voor het eID Stelsel. DIENSTAANBIEDERS (en andere deelnemende partijen) kunnen verantwoording afleggen. De verschillende partijen binnen het eID Stelsel moeten verantwoording kunnen afleggen over hun elektronische activiteiten. Een DIENSTAANBIEDER moet kunnen aantonen dat hij vertrouwelijke informatie terecht heeft afgeven. Ook andere partijen (bijvoorbeeld AUTHENTICATIEDIENSTEN en MACHTIGINGSDIENSTEN) moeten achteraf kunnen aantonen dat ze terecht informatie hebben afgegeven.

1.5 Nr. E41

Introductieplateau Het introductieplateau gaat uit van een end to end encryptie. Dat betekent dat de privacy beter gegarandeerd kan worden. De makelaar die eerder nog het gevaar van een hotspot in zich had zal nu blind worden voor alle gevoelige informatie.

Deze eis wordt voor zover mogelijk ingevuld

De aanname is dat gebruik wordt gemaakt van de toetredingseisen die nu voor eHerkenning gelden. Deze ontwerpeis kan wel in dit plateau worden ingevuld maar dan moeten wel die toetredingseisen hier op worden aangepast.

Zorgen voor een toekomstvast ontwerp

Ontwerpeis Zorg voor robuustheid, flexibiliteit en veerkracht in het ontwerp Door het ontwerp zo technologieonafhankelijk mogelijk op basis van rollen en relaties daartussen te formuleren, is er veerkracht en flexibiliteit mogelijk. Het ontwerp geeft duidelijkheid welke rollen er onderkend worden en wat een deelnemer moet doen om een rol in te vullen. Periodieke releases maken innovatie en uitbreiding van functionaliteit mogelijk.

Introductieplateau Een belangrijk onderdeel van het eID stelsel is de Stelselregistratiedienst. Een belangrijke functie van dit onderdeel is om ervoor te zorgen dat over de verschillende deelnemers heen een gebruiker op dezelfde manier kan worden geïdentificeerd. Dit geeft ondersteuning aan bv multimiddelenstrategie. Door dit los te laten ontstaat het gevaar dat deze ontwerpeis ook op een later moment niet kan worden ingevuld met het argument, het werkt dus waarom zouden we verder gaan.

Pagina 24 van 25


Nr. E42

E43

Ontwerpeis Zoveel mogelijk ontkoppelen van techniek Zoveel mogelijk ontkoppeling tussen de gebruikte technologieën van DE EID-MIDDELEN en het verkrijgen van toegang bij de DIENSTAANBIEDER. Alleen daar waar strikt noodzakelijk schrijft het eID Stelsel de technische invulling van de verschillende rollen voor. Hierdoor kunnen in het stelsel nieuwe technologieën en middelen worden opgenomen en verouderde technologieën en middelen worden uitgefaseerd. Het eID Stelsel wordt daarmee toekomstbestendig (toekomstvaste adaptiviteit i.p.v. technologieafhankelijkheid). De koppelvlakken tussen de deelnemers zijn gestandaardiseerd en daar zullen dan ook technische specificaties vanuit het stelsel voor worden opgelegd. Aansluiten op (Europese) standaarden In overeenstemming met het rijksbeleid inzake ICT wordt gewerkt met open standaarden. Hiervan kan alleen met goede redenen en uitdrukkelijke toestemming van de Stuurgroep eID worden afgeweken. 1.6

Nr. E51

Introductieplateau Het plateau doet geen uitspraak over de te gebruiken techniek. Allen voor het koppelvlak is, net als in versie 2.0, gekozen voor SAML. Aan deze ontwerpeis wordt voldaan.

eHerkenning kent zijn eigen betrouwbaarheidsniveaus. In het Introductieplateau wordt niet gebruik gemaakt van europese standaarden op dit gebied.

Inrichten van toezicht en opsporing

Ontwerpeis Misbruik kan eenvoudig ontdekt en opgespoord worden Het is van groot belang dat er vertrouwen is in het eID Stelsel. Om die reden moet misbruik eenvoudig ontdekt en opgespoord kunnen worden.

Introductieplateau Dit plateau biedt minder mogelijkheden om opsporing te ondersteunen. Via het koppelregister moet op basis van de aan het BSN gekoppelde Pseudoniemen van de verschillende Authenticatiediensten bij deze AD’s de ware identiteit van de gebruiker worden achterhaald.

Pagina 25 van 25


pilots


4b. Pilots Pilots eID

Status

Ter informatie

Voorstel

Het eID-platform platform wordt gevraagd voorliggend memo ter kennisgeving aan te nemen.

1. Aanleiding en doelstelling Zoals verwoord in het MasterplaneID wordt in 2015 een start gemaakt met de pilots van het eID Stelsel.. De ambitie is om in 2015 een gecontroleerde uitrol van het eID Stelsel te realiseren.. Daarvoor komen er pilots met transacties in zowel het publieke als private domein met zowel private als publieke eID-middelen op een hoog betrouwbaarheidsniveau. Een pilot is een beproeving van het stelsel in een productieomgeving met een controleerbaar aantal gebruikers en op basis van het tijdelijke juridisch kader. In de pilots wordt uitgegaan van het eID S Stelsel zoals vastgesteld in het Introductieplateau, d.w.z. eHerkenning v.1.9 1.9 met een BSN-koppelregister, een aangepaste governance en toezicht. Onderstaand schema is een weergave van de stakeholders van de pilots en de dynamiek die door middel del van de pilots een stimulans krijgt.

Gebruikers De doelgroep van de pilots zijn natuurlijke personen in de rol van burger en consument, ook wel aangeduid als Citizen2Government en Customer2Business. De domeinen Business2Governement en Business2Business worden al door de dienstverlening van eHerkenning bediend.


Dienstaanbieders Publieke en private dienstaanbieders bieden gewenste diensten aan die via een eID-middel gebruikt kunnen worden. Aanbieders eID-diensten De aanbieders van eID-diensten zorgen voor herbruikbare authenticatiemiddelen conform de opzet van het eID Stelsel. 2. Onderzoeksvragen Door middel van het uitvoeren van pilots zullen onderstaande vragen worden beantwoord: • Hoe blijkt in de praktijk de werking van het stelsel qua techniek en proces, voor wat betreft: o Gebruiksvriendelijkheid; o Betrouwbaarheid; o Aansluitgemak dienstaanbieders, en o Beheer. • Is het stelsel fraudebestendig? • Hoe is het gebruikersperspectief? • Zijn er gewenste en / of ongewenste neveneffecten? • Welke ervaringen zijn er opgedaan die kunnen dienen als input voor de verdere ontwikkeling en toekomstbestendigheid van het eID Stelsel? 3. Te onderzoeken functionaliteit Om gestalte te geven aan de ambitie en zorg te dragen dat de onderzoeksvragen kunnen worden beantwoord gaan er pilots plaatsvinden met private en publieke middelen in het BSN-domein. Hierbij is ook meegenomen dat een specifieke groep burgers (bijvoorbeeld een groep chronisch zieken) kan inloggen bij meerdere publieke organisaties en met meerdere eID-middelen bij één publieke organisatie. Naast deze nieuwe functionaliteit worden er ook pilots gestart met het leveren van attributen. Ondanks dat deze functionaliteit technisch geleverd kan worden in de huidige eHerkenning wordt het (vrijwel) niet gebruikt. Het leveren van attributen wordt daarom meegenomen in de pilots. Tevens is in de StuurgroepeID ambtelijk als uitgangspunt genomen dat ook een publiek middel op hoog betrouwbaarheidsniveau ingebracht zal worden in het eID Stelsel. De voorgestelde RDA-methodiek zou DigiD hierbij kunnen versterken. De ontwikkeling van de RDA-methodiek is geen onderdeel van het eID Programma, het volgen van de beproeving met een toepassing ervan wel. 4. Aanpak en planning Het doel van het project pilots is om vanaf heden tot 1 april 2015, wanneer het afsprakenstelsel voor het Introductieplateau gereed is, private en publieke organisaties te committeren om deel te nemen aan de pilots. Vanaf april tot september 2015 kunnen deze organisaties zich dan voorbereiden waarna vanaf september

Pagina 2 van 3

2015 de pilots live kunnen gaan. Medio 2016 zullen dan de evaluatie, bevindingen bevind en ervaringen worden gepubliceerd in een aanbevelingsrapport voor de landelijke landeli uitrol. Schematisch ziet het proces er als volgt uit:


5. Aansluitproces pilotdeelnemer dienstaanbieder Een organisatie die wil deelnemen aan een eID eID-pilot zal de volgende stappen doorlopen: Stap Stap Stap Stap Stap Stap Stap Stap Stap Stap Stap

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

In kaart brengen aan te bieden diensten Bepalen betrouwbaarheidsniveau Bepalen mee te leveren attributen Projectleider aanstellen Technische impact analyse Contract tract sluiten met makelaar (welke?) Technische aansluiting (implementatie koppelvlak) realiseren Testen aansluiting Communicatie Eventuele middelen voor gebruiker beschikbaar stellen Onderdeel van de dienste dienstencatalogus (het productienetwerk)

6. Stand van zaken Vanuit het programma zijn er vele gesprekken gaande met zowel publieke publieke- als private partijen. Publieke ublieke partijen die interesse hebben getoond en waarmee verdere uitwerkingssessies zijn gepland zijn de belastingdienst, belas UWV, SVB en de NVVB. Private partijen die via het eID eID-platform, interesse hebben getoond zijn onder andere BKR, KPN, PostNL, Equens, Verbond van Verzekeraars, Delta Lloyd en Thuiswinkels.org. In december 2014 worden er meerdere sessie sessies gepland met private dienstaanbieders om te onderzoeken hoe te participeren in de pilots.


Inrichting publiek-private governance eID Stelsel


5. Voorstel Governance Inrichting publiek-private governance eID Stelsel

Status

Ter instemming Het eID-platform wordt verzocht in te stemmen met het voorstel voor de nieuwe governance, zoals beschreven in de notitie “Voorstel inrichting publiek-private governance eID Stelsel”.

Voorstel

1. Inleiding De achterliggende notitie, ‘Voorstel inrichting publiek-private governance eID Stelsel’, is opgesteld voor zowel het eID-platform als de StuurgroepeID. De opgestelde uitgangspunten in de notitie hebben deels betrekking op de publiek-private governance en deels op de publieke governance. De beslispunten in deze oplegger richten zich op de publiek-private governance. 2. Afstemming Dit voorstel is gebaseerd op gesprekken met personen uit publieke en private organisaties. Dit voorstel is door het project governance van het eID programma opgesteld en getoetst c.q. meegelezen door eHerkenning (Koos Veefkind) en het Verbond van Verzekeraars (Peter Vogelsang). Dit naar aanleiding van de oproep die in het vorige eID-platform is gedaan om een publiek-private samenstelling te maken om de governance van het eID Stelsel verder vorm te geven. 3. Instemming De belangrijkste punten uit dit voorstel zijn: • De publiek-private instellingsbeschikking van eHerkenning is het uitgangspunt. • De governance van het eID Stelsel bestaat uit drie lagen, te weten het strategische beraad, het tactisch beraad en het operationeel beraad. • Op ieder niveau zijn de drie invalshoeken vertegenwoordigd: eindgebruikers, dienstaanbieders en deelnemers/leveranciers. Deze invalshoeken kennen ieder nog twee subinvalshoeken, te weten: o De eindgebruiker kent de volgende twee sub-invalshoeken: burgers/consumenten en bedrijven/instellingen; o De dienstaanbieder kent de volgende twee sub-invalshoeken: publieke en private dienstaanbieders;

De deelnemers/leveranciers kent de volgende twee subinvalshoeken: publieke en private deelnemers/leveranciers. Voor de borging van de ontwikkeling van het eID Stelsel in de sturing van de Digitale Overheid als geheel (dè Digicommissaris) is een koppeling noodzakelijk. Het voorstel is dat de voorzitter van het Strategisch eIDBeraad deelneemt in de Regieraad Identiteit en Authenticatie. o

•


Het programmamanagement is van mening dat adequate eenduidige sturing wordt bevorderd door een kleiner Strategisch eID-Beraad. Het voorstel voor de bezetting van het strategisch eID-Beraad, dat gebaseerd is op basis van de interviews, is vrij groot. • Bent u er mee eens dat een kleiner Strategisch eID-Beraad effectiever is? • Hoe kijkt u aan tegen: o In het Strategisch eID-Beraad voor ieder van de 6 invalshoeken (burger, bedrijven, private en publieke deelnemers/leveranciers en publieke en private dienstaanbieders) neemt maximaal 1 vertegenwoordiger deel. Dat verkleint de omvang van het Strategisch eID-Beraad. o Het belang van de consument en burger is in het voorstel geborgd door deelname van de consumentenbond. Het programmamanagement is van mening dat deze borging beter in de voorbereiding kan plaats vinden door op tactisch niveau te overleggen, dan deelname op strategisch niveau. Wat is uw mening? o Is het wenselijk dat de banken deelnemen in het Strategisch eIDBeraad? o Is er een onafhankelijk voorzitter of kiest het Strategisch eIDBeraad de voorzitter uit hun midden? 4. Planning van het migratiepad Voordat de pilots kunnen starten zal de Instellingsbeschikking aangepast moeten zijn waarin de aangepaste governance is opgenomen. De planning is dit vóór 1 juli 2015 te realiseren. Daarvoor moet vóór 1 april 2015 besluitvorming over de nieuwe governance hebben plaats gevonden, zodat daarna de Instellingsbeschikking wordt aangepast en de benoemingen plaatsvinden. In het eID-platform en de StuurgroepeID van februari 2015 zal besluitvorming moeten plaatsvinden over het migratiepad naar de nieuwe governance. Daarvoor zal er in januari 2015 door het Programma eID een bijeenkomst worden georganiseerd over het migratietraject en de daadwerkelijke personele bezetting. De resultaten worden met de voorzitters van de bestaande gremia (StuurgroepeID, eIDplatform en Tactisch Overleg eHerkenning) besproken alvorens het voorstel voor besluitvorming wordt ingebracht.

Pagina 2 van 3


Figuur 1 Overzicht structuur publiek-private publiek governance

Figuur 2 Voorstel bezetting publiek-private publiek governance


Programmabureau eID Directoraat-Generaal Wonen, Bouwen en Integratie Datum 27 november 2014

Voorstel inrichting publiek publiek-private governance eID Stelsel

Versie

0.8

Datum

1 oktober 2014

Status

Concept

Versiebeheer: op de definitieve versies van dit document is versiebeheer van toepassing. Definitieve versies hebben een geheel getal als nummer.

Aantal pagina's 15

| Concept | Plan | 1 oktober 2014

Inhoud

Inhoud ...................................................................................... 2 Inleiding .................................................................................... 3 1.

Juridisch kader introductieplateau eID Stelsel ........................... 3

2.

Ministeriële verantwoordelijkheid ........................................... 3

3.

Scope publiek-private governance .......................................... 4

a.

Beheerorganisatie eID Stelsel ................................................ 5

b.

Programma organisatie eID ................................................... 5

c.

Nationaal Commissaris Digitale Overheid (Digicommissaris) .......... 5

4.

Uitgangspunten voorstel governance ...................................... 5

5.

Voorstel governance eID Stelsel ............................................. 6

a.

Algemeen........................................................................... 7

b.

Strategisch niveau ............................................................... 9

c.

Tactisch niveau .................................................................... 11

d.

Operationeel niveau ........................................................... 12

6.

Planning .......................................................................... 13

Bijlage: begrippenlijst ................................................................ 14

Pagina 2 van 15


Inleiding In deze notitie is een voorstel opgenomen voor de inrichting van de publiek-private governance van het eID Stelsel. De governance is integraal onderdeel van het juridisch kader voor het Afsprakenstelsel eID en zal geïmplementeerd moeten zijn voordat de introductie van eID via pilots en de migratie van eHerkenning plaats kan vinden. Dit voorstel is opgesteld op basis van vele interviews met publieke en private betrokkenen, mede gebaseerd op vergelijkbare publiek-private samenwerking en op basis van bestaande juridische kaders. In de notitie wordt daarom eerst ingegaan op het juridisch kader en vervolgens op het inhoudelijke voorstel. Op basis van besluiten over de nieuwe governance zal er in samenspraak met de voorzitters van de bestaande gremia worden gesproken over het migratietraject. In dit publiek-private governance voorstel zal niet worden ingegaan op de (verdere) publieke invulling van de governance. De overheid zal dit zelf nader organiseren. In de bijlage is een begrippenlijst opgenomen m.b.t. de termen die in deze notitie zijn opgenomen. 1. Juridisch kader introductieplateau eID Stelsel Het juridische kader voor de eerste versie van het Afsprakenstelsel eID is het bestaande juridische kader van eHerkenning. Binnen het juridische kader van eHerkenning is de publiek-private governance ingesteld door middel van het “Instellingsbesluit besturing eHerkenning” van de minister van Economische Zaken. Op het moment dat het instellingsbesluit is aangepast ten behoeve van het eID Stelsel, ligt de verantwoordelijkheid voor het beheer en doorontwikkeling van het eID Stelsel én eHerkenning bij de publiekprivate governance van het eID Stelsel. Het is wenselijk om dan de bestaande overleggremia aan te passen: • Het voorstel in deze notitie betekent een aanpassing/migratie van de bestaande publiek-private governance van eHerkenning naar de nieuwe governance van het eID Stelsel. • De rol van het informele eID-platform gaat op in de nieuwe formele publiek-private governance van het eID Stelsel. • De besluitvormende rol t.a.v. de inhoud van het Afsprakenstelsel eID verschuift van de StuurgroepeID naar de nieuwe publiekprivate governance van het eID Stelsel. Als in dit voorstel gesproken wordt over de governance van eID dan wordt gedoeld op de publiek-private governance die gebaseerd is op het aangepaste Instellingsbesluit van eHerkenning. 2. Ministeriële verantwoordelijkheid De governance begint met de eigenaar en verantwoordelijke voor het eID Stelsel. Op basis van het huidige juridisch kader ligt die rol bij de verantwoordelijke minister. Omdat de instellingsbeschikking van eHerkenning wordt overgenomen is dat op dit moment de Minister van EZ. Bij de minister ligt op dit moment tevens de verantwoordelijkheid voor onafhankelijk toezicht (op basis van wetgeving) en de

Pagina 3 van 15


beleidsverantwoordelijkheid. Momenteel spelen er nog verschillende vragen waarover beslissingen moeten worden genomen: • Wie wordt de verantwoordelijke minister voor het eID Stelsel? • Ligt bij de minister ook de verantwoordelijkheid voor het Toezicht? • Moet het eigenaarschap van het Afsprakenstelsel bij de overheid liggen? Zodra over deze zaken besluiten zijn genomen, kan dit tot aanpassing van de governance leiden. Er is voorzien dat er in 2017 een nieuw wetgevend kader komt voor het eID Stelsel. Sommige van deze besluiten zullen hierin worden meegenomen. Dit kan leiden tot een andere rol of verantwoordelijkheid vanuit de overheid of een andere verantwoordelijke minister. In deze notitie kan en zal daar niet op vooruit worden gelopen: beleidsmatig zal hier nog een keuze moeten worden gemaakt. Door middel van de instellingsbeschikking wordt het beheer en doorontwikkeling van het Afsprakenstelsel eID Stelsel neergelegd bij een publiek-private governance. Daartoe zullen er overleggremia moeten zijn waar over relevante belangen gesproken kan worden. Hieronder wordt hiervoor een voorstel uitgewerkt. 3. Scope publiek-private governance Om meer helderheid te verschaffen over de reikwijdte van de governance eID is het belangrijk om de scope in beeld te hebben. De publiek-private eID-governance heeft betrekking op: • Het beheer en de doorontwikkeling van het Afsprakenstelsel (inclusief het beheer van de eerder vastgestelde versies van eHerkenning); • Besluitvormende overleggremia1: De overlegstructuur binnen het publiek-private domein is erop gericht om door tijdige afstemmings- en consultatierondes relevante partijen in staat te stellen om invloed uit te oefenen op de doorontwikkeling van het Afsprakenstelsel. . In deze notitie wordt niet ingegaan op de afstemming die de verschillende partijen organiseren voor de afstemming met hun achterban/sector of die partijen (zoals de overheidsorganisaties) organiseren voor de coördinatie van hun inbreng in de overleggremia. De eID overlegstructuur kent reeds een publiek-private samenstelling op strategisch, tactisch en operationeel niveau. Het programma eID is echter zodanig “in beweging” en brengt zo diverse domeinen en sectoren in beeld, dat het nodig is de participatie in de governance flexibel te houden. Hierbij zijn behoud van de publiek-private samenstelling en (h)erkenning van de verantwoordelijkheid van elke partij als zodanig van groot belang. De flexibiliteit krijgt invulling door in de tijd veranderingen in bezetting namens een bepaalde invalshoek te faciliteren en het recht toe te kennen aan het strategisch eID-niveau om (tijdelijke) adviesorganen of werkgroepen in te stellen. Het is aan de governance om zelf invulling aan de flexibiliteit te geven door het eventueel instellen van adviesorganen of werkgroepen. 1 Besluiten van het Strategisch Beraad gelden als adviezen richting de Minister. De Minister kan slechts adviezen niet overnemen indien het publieke belang of het recht zich daartegen verzet. Pagina 4 van 15


a. Beheerorganisatie eID Stelsel De beheerorganisatie wordt ondergebracht bij Logius. Deze organisatie ondersteunt de publiek-private governance van het eID Stelsel en beheert namens de stelselverantwoordelijke het eID Stelsel volgens de daartoe vastgestelde beheerprocessen. Deze onafhankelijke beheerorganisatie wordt door het Ministerie van Economische Zaken aangesteld. b. Programma eID Na de start van het Introductieplateau zal er verdere doorontwikkeling plaatsvinden. Daarvoor moet in 2015 en 2016 nog een aantal zaken gerealiseerd worden in zowel het publieke domein (wetgeving en toezicht) als in het publiek-private domein (doorontwikkeling e.d.). Het is de taak van de programmaorganisatie om de integrale afstemming van deze verschillende projecten te bewaken. Het programma wordt aangestuurd vanuit de overheid. Het programma informeert de publiek-private governance over de voortgang van het geheel en zal de resultaten van de projecten die betrekking hebben op de doorontwikkeling van het eID Stelsel inbrengen in de publiek-private governance via de daartoe vastgestelde processen. c. Nationaal Commissaris Digitale Overheid (Digicommissaris) De Digicommissaris voert regie op de totstandkoming van een digitale overheidsdienstverlening, waarmee burgers en bedrijven snel en gemakkelijk al hun zaken met de overheid digitaal kunnen regelen. De Digicommissaris heeft deze opdracht gekregen van en rapporteert aan een Ministeriële Commissie Digitale Overheid. De Generieke Digitale Infrastructuur, waar eID onderdeel van uitmaakt, is een onmisbaar onderdeel van die digitale overheidsdienstverlening. De totstandkoming van eID is één van de prioriteiten uit het Digiprogramma. Het Nationaal Beraad is het voorportaal voor de Ministeriële Commissie. Het Nationaal Beraad wordt gevoed vanuit 4 regieraden, waaronder de regieraad Identiteit en Authenticatie. Deze Regieraad gaat sturen op de samenhang en de afstemming tussen verschillende elkaar rakende onderwerpen en voorzieningen op het gebied van Identiteit en Authenticatie: eID, DigiD, eHerkenning, etc. Voor de borging van de ontwikkeling van het eID-Stelsel in de sturing van de Digitale Overheid een koppeling noodzakelijk. Daarom is het voorstel dat de voorzitter van het Strategisch eID-Beraad deelneemt in de Regieraad Identiteit en Authenticatie. Tevens is de verantwoordelijk minister voor het eID Stelsel lid van zowel deze Regieraad, maar ook van het Nationaal Beraad en de Ministeriële Commissie. 4. Uitgangspunten voorstel governance De afgelopen maanden zijn gesprekken gevoerd met publiek en private partijen om te spreken over de invulling van de definitieve governance eID. In de notitie gericht aan het eID-platform van 27 oktober jl., is onder Pagina 5 van 15


andere opgemerkt dat de onderstaande punten van essentieel belang zijn: • Meer samenwerking tussen publieke en private partijen • Duidelijk beleggen van rollen en de daarmee samenhangende verantwoordelijkheden • Wederzijds vertrouwen. Het voorstel is deels gebaseerd op de huidige invulling van de governance van eHerkenning, maar zal aangepast moeten worden vanwege onder andere: • Uitbreiding met het burgerdomein • Uitbreiding van het aantal betrokken partijen, waardoor meer met getrapte besluitvorming gewerkt moet gaan worden • Toetreding van publieke voorzieningen in het stelsel Bij de uitwerking van het voorstel zijn de volgende uitgangspunten gehanteerd: • Leden zitten er niet in vanuit een eigen belang. Wel zullen de leden een bepaalde afgestemde invalshoek moeten inbrengen in de discussie; • Leden in de governance zijn verantwoordelijk voor een gedragen inbreng vanuit de invalshoek waarvoor zij aanwezig zijn en dragen zorg voor een georganiseerde wijze van afstemming en inbreng namens hun achterban (last en ruggespraak); • De primaire invalshoeken zijn: eindgebruikers, dienstaanbieders en deelnemers (onder deelnemers wordt verstaan: middelenuitgevers, attribuutleveranciers, machtigingenregisters en makelaars); • Bij de invalshoeken van de dienstaanbieders en deelnemers/leveranciers kunnen zowel publieke als private partijen zijn vertegenwoordigd. De belangen van zowel publiek als private partijen moeten evenwichtig zijn belegd; • De positie van de overheid is afhankelijk van de rol die wordt vervuld: dienstaanbieders, deelnemer/leverancier, toezichthouder, beleidsverantwoordelijk een/of eigenaar. Dit sluit ook aan bij het parlementair onderzoek naar ICT projecten van de overheid waarin gesteld wordt dat: `De rollen en verantwoordelijkheden binnen alle ICT-projecten van de Rijksoverheid, inclusief die van publiekrechtelijke zelfstandige bestuursorganen, zijn duidelijk belegd. Er is altijd één bewindspersoon eindverantwoordelijk voor een ICT-project met een groot publiek belang´; • De eindgebruikers zijn primair burgers en bedrijven; • Voor de governance wordt een onderscheid gemaakt tussen een strategisch, tactisch en operationeel niveau; • Alleen partijen die daadwerkelijk aangesloten zijn op het eID Stelsel kunnen deelnemen in de governance. Het is geen vrijblijvend overleg. Een uitzondering zijn de koepelorganisaties. Tot 1 juli 2016 is een uitzonderingsperiode i.v.m. de opstartfase en de pilots eID. Partijen die deelnemen moeten wel verklaren voor 1 juli 2016 aangesloten te zijn; • Op strategisch niveau borgen van de betrokkenheid van de banken. 5. Voorstel governance eID Stelsel In het onderstaande voorstel, worden organisaties genoemd die een rol kunnen vervullen. Met deze organisaties heeft informele afstemming Pagina 6 van 15


plaats gevonden. Pas nadat het eID-platform en StuurgroepeID ingestemd hebben met het voorstel, zal aan deze organisaties formeel worden gevraagd of zij de voorgestelde rol op zich willen nemen. Ook zal met partijen die niet direct zitting hebben in de nieuwe governance worden gesproken. Doel van de governance is om “tafels” te hebben waar over de relevante belangen met elkaar gesproken kan worden. Doel is om die tafels evenwichtig in te richten. Het voorstel ziet er als volgt uit: a. Algemeen 1. Er zijn drie niveaus: strategisch, tactisch en operationeel: o Het Strategisch eID-Beraad is een strategisch adviesorgaan dat op eigen initiatief en op verzoek van de Minister van Economische Zaken adviseert over het strategisch beheer van het Afsprakenstelsel eID. De onderwerpen zijn van strategische aard zoals financiering, (door)ontwikkeling, gebruik van nieuwe voorzieningen, gebruik in nieuwe domeinen, transparantie (prijzen, producten) en veiligheid. o Het Tactisch eID-Beraad vormt de verbinding tussen de feitelijke technische werking van eID en het Afsprakenstelsel. Het Tactisch Beraad kan zelfstandig beslissingen nemen over wijzigingen in het Afsprakenstelsel eID (mits deze overeenkomen met de kaders die zijn vastgesteld door het Strategisch eIDBeraad). o Het Operationeel eID-Beraad bereidt wijzigingen voor ten aanzien van het Afsprakenstelsel eID. De centrale vraag hierbij is of de voorgestelde wijziging implementeerbaar is en wat de impact hiervan is op het huidige Afsprakenstelsel en de voorzieningen die daarbinnen functioneren. Over die vraag brengt het Operationeel Beraad advies uit aan het Tactisch Beraad.

Pagina 7 van 15


Figuur 1 Overzicht structuur publiek publiek-private governance

2. Op ieder niveau zijn de drie invalshoeken vertegenwoordigd: eindgebruikers, dienstaanbieders en deelnemers/leveranciers. o De eindgebruiker kent de volgende twee subinvalshoeken: burgers/consumenten en bedrijven/instellingen; o De dienstaanbieder kent de volgende twee subinvalshoeken: publieke en private dienstaanbieders; o De deelnemers/leveranciers kent de volgende twee subinvalshoeken: publieke en private deelnemers/leveranciers. 3. Er zijn enkele onderwerpen die op een goede manier geborgd moeten worden in de governance, zoals privacy, security, fraudebestrijding en de Europese ontwikkelingen. Het borgen borgen van privacy, fraudebestrijding en de Europese ontwikkelingen ligt bij de verantwoordelijke beleidsdepartementen en security (zoals afstemming met het NCSC) is een taak die bij de beheerorganisatie ligt. Bekeken zal moeten worden of deze ontwerpen op deze wijze voldoende geborgd zijn of dat op later moment hiervoor een aanpassing in de bezetting van de governance noodzakelijk is.


Figuur 2 Voorstel bezetting publiek-private publiek governance b. Strategisch niveau 1. Op strategisch niveau wordt het meerjarenbeleid bepaald alsmede de kaders voor het tactische niveau. 2. De naam voor het strategische gremium wordt “Strategisch Beraad”. 3. De overheid in zijn rol als beleidsverantwoordelijke/toezichthouder is geen deelnemer in de governance in het kader van functiescheiding. Op dit moment is, binnen eHerkenning, deze rol belegd bij de minister van EZ. EZ is waarnemer bij het strategische overleg in verband met de inhoudelijke betrokkenheid en afstemming. 4. Er is een onafhankelijk voorzitter. Deze word wordt benoemd door de Minister vanwege vanuit eindverantwoordelijkheid voor het eID stelsel. 5. Voor de afstemming en consistentie met het Tactisch Beraad, zal de voorzitter van het Tactisch eID-Beraad als toehoorder aanwezig zijn in het Strategisch eID-Beraad. 6. Gebruikers: o Namens de burgers/consumenten2 wordt een lid voorgedragen3 door de Consumentenbond4. o Namens de bedrijven en instellingen wordt er een lid voorgedragen door VNO VNO-NCW/ MKB-Nederland. 7. Dienstaanbieders: o Namens de private dienstaanbieders worden er 2 leden voorgedragen vanuit relevante economische sectoren. Hierbij kan gedacht worden aan sectoren zoals de zorg, webwinkels, financiële sector, verzekeraars en dergelijk. Ook in het Tactisch en Operationeel Be Beraad zullen er 2 Burgers en consumenten is een zeer brede groep die moeilijk door een enkele persoon of organisatie vertegenwoordigd kan worden. Het Strategisch Beraad zou dit kunnen ondervangen door met burgerpanels of onderzoeken te werken voor een behoeftepeiling onder deze doelgroep. 3 Met de term ‘voorgedragen’ wordt bedoeld dat een persoon wordt voorgedragen. Die hoeft niet werkzaam te zijn bij de voorgestelde organisatie. 4 Er is een eerste gesprek gevoerd met de Consumentenbond. Zij moeten zich nog beraden op


vertegenwoordigers namens deze sectoren zijn. Er zal een relevante en evenredige verdeling van deze sectoren in de verschillende gremia zijn. o Namens de overheid in zijn rol als dienstaanbieder is er een vertegenwoordiger namens de uitvoeringsorganisatie en een vertegenwoordiger namens de decentrale overheden. Deze worden voorgedragen door respectievelijk de Manifestpartijen en IPO/VNG. 8. Deelnemers/leveranciers: o Namens de overheid zal er een lid zijn vanuit de rol van publieke deelnemer. Deze wordt voorgedragen door BZK, omdat op dit moment vooral BZK (via Logius) relevante voorzieningen heeft (DigiD, DigiD machtigen). o Namens de private deelnemers is er een lid. Deze wordt voorgedragen door Nederland ICT. 9. Toehoorders: o Voor de afstemming met de banken, wordt er een lid voorgedragen door de Nederlandse Vereniging van Banken. o EZ zit als waarnemer in het overleg. 10. Leden worden benoemd voor een periode van 3 jaar door de Minister van EZ. Verlengde aanstelling is mogelijk.

De bezetting ziet er dan als volgt uit:

Strategisch Beraad vertegenwoordiging door of namens: onafhankelijk voorzitter voorzitter Tactisch Beraad gebruikers burgers/consumenten bedrijven/instellingen dienstaanbieders publieke dienstaanbieders rijksoverheid decentrale overheden private dienstaanbieders sectorale invulling

consumentenbond VNO-NCW/ MKB-Nederland

Manifestpartijen IPO/ VNG 2x

deelnemers/leveranciers publieke deelnemers private deelnemers

BZK Nederland ICT

Toehoorders Banken waarnemer namens minister

Nederlandse Vereniging van Banken EZ


c. Tactisch niveau 1. Op tactisch niveau wordt, binnen de kader van het strategische niveau, de (mutaties op de) inhoud van het Afsprakenstelsel vastgesteld. 2. De naam voor het tactische gremium wordt “Tactisch Beraad”. 3. Er is een onafhankelijk voorzitter. Deze wordt benoemd door de Minister vanwege zijn eindverantwoordelijkheid voor het eID stelsel. 4. Voor de afstemming en consistentie met het Operationeel Beraad, zal de voorzitter van het Operationeel Beraad deelnemen in het Tactisch Beraad. 5. Gebruikers: o Namens de gebruikers wordt een lid voorgedragen door de Consumentenbond. o Namens de bedrijven en instellingen wordt er twee leden aangedragen door VNO-NCW/ MKB Nederland. 6. Dienstaanbieders: o Namens de private dienstaanbieders worden er twee leden voorgedragen vanuit relevante economische sectoren. De leden komen vanuit organisaties die gebruik maken van eID5. o Namens de overheid in zijn rol als dienstaanbieder is er een lid namens de rijksoverheid en een namens de decentrale overheden. De leden komen vanuit organisaties die gebruik maken van eID. Deze worden voorgedragen door respectievelijk de NCDO en IPO/VNG. 7. Deelnemers/leveranciers: o Namens de overheid zullen er twee leden zijn vanuit de rol van deelnemer: als leverancier van een authenticatiedienst en als attribuutregister. Deze worden voorgedragen door BZK6. o Namens de private deelnemers zijn er twee leden. De leden komen vanuit organisaties die gebruik maken van eID. Deze worden voorgedragen door Nederland ICT. 8. Leden worden benoemd voor een periode van 3 jaar door de Minister van EZ. Verlengde aanstelling is mogelijk.

5 Hiermee wordt gewaarborgd dat alleen organisaties die ook daadwerkelijk gebruik maken van eID deelnemen. Omdat dit in de opstartfase niet kan, zullen partijen in ieder geval moeten verklaren de intentie te hebben om vóór 1 juli 2016 aan te sluiten op het eID Stelsel. 6 Naar verwachting zullen dit bij het begin Logius (authenticatiedienstverlener) en KvK (attribuutleverancier) zijn. Pagina 11 van 15


De bezetting ziet er dan als volgt uit:

Tactisch Beraad vertegenwoordiging door of namens: onafhankelijk voorzitter voorzitter Operationeel Beraad gebruikers burgers/consumenten bedrijven/instellingen


dienstaanbieders publieke dienstaanbieders rijksoverheid decentrale overheden private dienstaanbieders sectorale invulling

2x

deelnemers/leveranciers publieke dienstaanbieders authenticatiedienst attribuutdienst private dienstaanbieders

BZK BZK Nederland ICT (2x)

Manifestpartij IPO of VNG

d. Operationeel niveau 1. Op operationeel niveau wordt besluitvorming over de mutatie van het Afsprakenstelsel in het Tactisch Overleg voorbereid. 2. De naam voor het tactische gremium wordt “Operationeel Beraad”. 3. Er is een onafhankelijk voorzitter. Deze is afkomstig van de beheerorganisatie. 4. Gebruikers: o Namens de gebruikers wordt een lid voorgedragen door de Consumentenbond. o Namens de bedrijven en instellingen wordt er twee leden aangedragen door VNO-NCW/ MKB Nederland. 5. Dienstaanbieders: o Namens de private dienstaanbieders worden er twee leden voorgedragen vanuit relevante economische sectoren. De leden komen vanuit organisaties die gebruik maken van eID7. o Namens de overheid in zijn rol als dienstaanbieder is er een lid namens de rijksoverheid en een namens de decentrale overheden. De leden komen vanuit organisaties die gebruik maken van eID. Deze worden voorgedragen door respectievelijk de NCDO en IPO/VNG.

7 Hiermee wordt gewaarborgd dat alleen organisaties die ook daadwerkelijk gebruik maken van eID deelnemen. Omdat dit in de opstartfase niet kan, zullen partijen in ieder geval moeten verklaren de


6. Deelnemers/leveranciers: o Namens de overheid zullen er twee leden zijn vanuit de rol van deelnemer: als leverancier van een authenticatiedienst en als attribuutregister. Deze worden voorgedragen door respectievelijk BZK en de Manifestpartijen. o Namens de private deelnemers zijn er twee leden. De vertegenwoordigers komen vanuit organisaties die gebruik maken van eID. Deze worden voorgedragen door Nederland ICT. 7. Leden worden benoemd voor een periode van 3 jaar door de Minister van EZ. Verlengde aanstelling is mogelijk. De bezetting ziet er dan als volgt uit:

Operationeel Beraad onafhankelijk voorzitter

vertegenwoordiging door of namens: beheerorganisatie

gebruikers burgers/consumenten bedrijven/instellingen


dienstaanbieders publieke dienstaanbieders rijksoverheid decentrale overheden private dienstaanbieders sectorale invulling deelnemers/leveranciers publieke dienstaanbieders authenticatiedienst attribuutdienst private dienstaanbieders

Manifestpartij IPO of VNG 2x

BZK Manifestpartijen Nederland ICT

6. Planning Voordat de pilots kunnen starten zal de Instellingsbeschikking aangepast moeten zijn waarin de aangepaste governance is opgenomen. Dit moet dus voor 1 juli 2015 zijn gerealiseerd. Daarvoor moet vóór 1 april 2015 besluitvorming over de nieuwe governance hebben plaats gevonden, zodat daarna de Instellingsbeschikking kan worden aangepast en de benoemingen kunnen plaats vinden. In het eID-platform en de StuurgroepeID van februari 2015 zal besluitvorming moeten plaats vinden over het migratiepad naar de nieuwe governance. Daarvoor zal er in januari 2015 door het Programma eID een bijeenkomst worden georganiseerd over het migratietraject en de daadwerkelijke personele bezetting. De resultaten worden met de voorzitters van de bestaande gremia (stuurgroepeID, eID-platform en Tactisch Overleg eHerkenning) besproken alvorens het voorstel voor besluitvorming wordt ingebracht.


Bijlage: begrippenlijst

Nederlands

English

Beschrijving

Attributendienst

Attribute Provider (AP)

Een EID-DEELNEMER die leverancier is van attributen.

Authenticatiedienst (AD)

Identity Provider (IDP)

Een AUTHENTICATIEDIENST is een EID-DEELNEMER en heeft als specifieke dienst het vaststellen van de identiteit van DE HANDELENDE PERSOON. De AUTHENTICATIEDIENSt hanteert daarbij voor elke persoon een bestendige unieke persoonsaanduiding. Ter ondersteuning van het identificatieproces stelt de AUTHENTICATIEDIENST een persoonsgebonden AUTHENTICATIEMIDDEL beschikbaar. Voor de invulling van het AUTHENTICATIEMIDDEL kan een AUTHENTICATIEDIENST eigen technologie inzetten, bijvoorbeeld smartcardtechnologie of het gebruik van mobiele telefoons. Ook de specifieke invulling van de authenticatiedialoog met de gebruiker wordt door de AUTHENTICATIEDIENST bepaald.

Dienstaanbieder (DA)

Service Provider (SP)

Een DIENSTAANBIEDER is een persoon (natuurlijk of nietnatuurlijk) die kenbaar heeft gemaakt dat het elektronisch bereikbaar is voor burgers en bedrijven, zodat zij als HANDELENDE PERSOON in staat worden gesteld om digitale transacties in het kader van een dienst te kunnen uitvoeren.

eHerkenning

eRecognition

eHerkenning is het publiekprivate stelsel dat regelt dat bedrijven zich digitaal kunnen authentiseren en autoriseren wanneer ze online zaken regelen met de overheid en met private partijen.

Pagina 14 van 15


Nederlands

English

Beschrijving

eID Stelsel

eID Scheme Network

Het operationele netwerk van voorzieningen dat is ingericht en zich gedraagt volgens het eID Afsprakenstelsel.

eID Afsprakenstelsel

eID Scheme

De set van documenten die de rollen binnen het eID Stelsel beschrijft, inclusief de noodzakelijke afspraken tussen deze rollen die nodig zijn om een publiek/privaat eID Stelsel te laten werken en daarbij ruimte laat voor aanvullende dienstverlening.

Pagina 15 van 15



Toezicht

Agendapunt

6. Inrichten toezichtsarrangementen

Onderwerp

Voorstel voor de inrichting van geïntegreerd toezicht op het eID Stelsel.

Status Voorstel

Ter bespreking Het eID-platform wordt gevraagd om een oordeel ten aanzien van het inrichten van het toezicht, zoals beschreven in de bijbehorende notitie “Contouren toezicht eID Stelsel“: •

•

•

Het aanbrengen van een scheiding tussen de rollen van Eigenaar, Beheerder en Toezichthouder van het eID Stelsel; De taken en verantwoordelijkheden van de verschillende rollen evenals de samenhang tussen de rollen; Het uitvoeren van proactief toezicht.

1. Aanleiding In de stuurgroep eID van 10 juli is een nota met richtinggevende voorstellen voor het inrichten van het toezicht besproken. De gekozen richting is: • •

•

Er komt op termijn een publieke toezichthouder op het eID Stelsel; BZK en EZ gaan samen de instelling van deze toezichthouder wettelijk vormgeven, richtend op het eID Stelsel, maar rekening houdend met eventuele uitbreiding naar andere onderdelen van de digitale infrastructuur; De scope van het toezicht wordt beperkt tot het stelsel en de partijen die binnen het stelsel hun diensten aanbieden.

In het eID platform van 3 september is ingestemd met het voorstel voor het inrichten van een publiekprivate werkgroep en een expertgroep om belanghebbenden te betrekken bij het inrichten van het toezicht op het eID Stelsel en zo te komen tot een afgewogen en gedragen voorstel. 2. Toelichting Waarom geintegreerd toezicht? eHerkenning is een afsprakenstelsel met rollen vergelijkbaar met die in het eID

Stelsel. De verwachting is dat de inrichting van het toezicht op eHerkenning herbruikbare elementen bevat. Echter eHerkenning is oorspronkelijk ontworpen voor het bedrijvendomein. Een werknemer kan met een eHerkenningsmiddel diensten afnemen bij de overheid en bedrijven namens zijn werkgever. De werkgever heeft een grote verantwoordelijkheid bij het juist registreren van zijn werknemers bij de deelnemende marktpartijen. De risicoanalyse van eHerkenning is gemaakt op deze basis. Risico’s op het gebied van privacy en fraude worden anders gewogen als ook het burgerdomein betrokken wordt. Daar waar bij bedrijven deskundig personeel wordt ingezet om zaken digitaal af te handelen, is er bij burgers een veel grotere diversiteit en mate van bekwaamheid in het omgaan met digitale wegen. Dat verhoogt bij gebruik door burgers in een aantal gevallen de risico’s. Dit heeft direct consequenties voor de inrichting van het toezicht. Er is daarom ook nadrukkelijk gekeken naar de manier waarop toezicht wordt gehouden in het DigiD domein.


eID integreert het bedrijvendomein met het burgerdomein en dat vraagt om een geïntegreerd toezicht op het moment dat de pilots medio 2015 van start gaan. De grote lijnen van de wijze waarop het geïntegreerde toezicht vorm kan krijgen staan beschreven in bijgaande notitie.

3. Inhoud notitie “Contouren toezicht eID Stelsel” In hoofdstuk 3 van de bijgevoegde notitie staat beschreven: • • •

hoe het toezicht kan worden ingericht; op basis waarvan toezicht gehouden moet worden (normenkaders); en hoe de naleving vorm kan krijgen.

De belangrijkste punten uit dit voorstel zijn: • Er wordt een scheiding aangebracht tussen drie verschillende rollen, te weten die van Eigenaar1, Beheerder en Toezichthouder van het eID Stelsel. De taken en verantwoordelijkheden van de verschillende rollen evenals de samenhang tussen de drie rollen worden beschreven. Hiermee krijgt het toezicht een nadrukkelijkere invulling dan nu bij eHerkenning het geval is. • Het toezicht is proactief (toetst zelfstandig) en niet meer alleen beoordeling achteraf op basis van certificering en auditrapportage. Hiermee wordt invulling gegeven aan het advies van de onderzoeksraad voor de Veiligheid en de lessen die zijn geleerd uit calamiteiten en andere ervaringen. 4.Proces De bijgaande notitie is tot stand gekomen met inbreng van specialisten eHerkenning, PKIoverheid en DigiD en consultatie van de ACM en Auditdienst Rijk. De notitie is afgestemd binnen het eID programma en in een expertgroep en twee bijeenkomsten van een publiekprivate werkgroep. In de expertgroep hebben vrijwel alle marktpartijen van eHerkenning zitting en zijn Equens, Thuiswinkel.org, het Verbond van Verzekeraars en de BKR vertegenwoordigd. De werkgroepbijeenkomsten waren voor iedereen die belangstelling had toegankelijk

1

De term Eigenaar is niet bedoeld als synoniem voor de termen ‘juridisch eigenaar’ of

‘politiek verantwoordelijke’. Pagina 2 van 3

en zijn bezocht door meer dan dertig geinteresseerden. Dit heeft veel nuttig input opgeleverd uit verschillende domeinen en sectoren. De resultaten van de bespreking in het BAO donderdag 27 november zullen mondeling teruggekoppeld worden.


5. Vervolg Na bespreking in het eID-platform zal deze nota ook worden ingebracht bij de Stuurgroep eID. In de bijgaande notitie staat niet welke organisatie of organisatieonderdeel de rol van Toezichthouder zal vervullen. Een voorstel, voor de periode voordat er een wettelijk vastgelegd kader is, zal in het eerste kwartaal 2015 worden voorgelegd. Wanneer bijgaande notitie wordt goedgekeurd, zal volgend jaar nog verdere detaillering moeten worden aangebracht wat betreft de beschrijving van taken en bevoegdheden van de verschillende rollen. Verder zullen de normenkaders op basis waarvan het toezicht plaatsvindt nadere invulling moeten krijgen vanwege de integratie van het burger- en het bedrijvendomein. Daarnaast zijn er in hoofdstuk 4 van de notitie nog openstaande punten beschreven. De belangrijkste zijn: 1. Bescherming tegen diefstal van digitale identiteiten en fraudebestrijding; 2. Het verder vormgeven van het indirecte toezicht op de gebruiker en de dienstaanbieder. Binnen het eID programma zullen bovenstaande punten volgend jaar meegenomen worden. 6. Voorstel Het eID-platform wordt gevraagd om in te stemmen met het voorstel voor het inrichten van het toezicht zoals beschreven in de bijbehorende notitie “Contouren toezicht eID Stelsel“: • • •

Het aanbrengen van een scheiding tussen de rollen van Eigenaar, Beheerder en Toezichthouder van het eID Stelsel; De taken en verantwoordelijkheden van de verschillende rollen evenals de samenhang tussen de rollen; Het uitvoeren van proactief toezicht.

Bijlage: Notitie “Contouren toezicht eID Stelsel”


Pagina 3 van 3

Definitief|Contouren toezicht eID Stelsel |

Contouren toezicht op eID Stelsel

Pagina 1 van 27

Projectnaam

Contouren toezicht eID Stelsel

Versienummer

1.0

Contactpersoon Organisatie

Definitief |Contouren toezicht eID Stelsel |

Mirjam Gerritsen Logius Postbus 96810 2509JE Den Haag

Documentbeheer

Datum

Versie

Auteur

Opmerkingen

15 aug 2014

0.2

Johan van den Bosch

Eerste versie

Johan van den Bosch

Bijgesteld n.a.v. review werkgroepen

22 aug 2014

0.3

27 aug 2014

04

Johan van den Bosch

Bijgesteld n.a.v. review Mirjam Gerritsen

2 september

05

Johan van den Bosch

Bijgesteld n.a.v. reviewronde werkgroepen

9 september

06

Johan van den Bosch

Bijgesteld n.a.v. review Paul van der Pal

07/08/09

Johan van den Bosch

n.a.v. div. reviews eID projecten, expertgroep en externe werkgroepen

10

Johan van den Bosch

Managementsamenvatting toegevoegd

12 oktober

26 november

Vereiste goedkeuringen

Naam

Functie

Versie

Datum

Handtekening/mail voor akkoord n.v.t.

Pagina 2 van 27


Inhoudsopgave Managementsamenvatting

4

Inleiding 1.1 Aanleiding en context 1.2 Gevolgde aanpak 1.3 Leeswijzer

6 6 7 7

2 Het bestaande toezicht op eHerkenning, DigiD en PKIoverheid 2.1 Inleiding 2.2 Het bestaande toezichtarrangement Afsprakenstelsel eHerkenning 2.2.1 Hoe wordt toezicht gehouden? 2.2.2 Op basis van welk instrumentarium wordt toezicht gehouden? 2.2.3 Nalevingsaspecten 2.3 Het bestaande toezichtarrangement PKIoverheid 2.3.1 Hoe wordt toezicht gehouden? 2.3.2 Op basis van welk instrumentarium wordt toezicht gehouden? 2.3.3 Nalevingsaspecten 2.4 Het bestaande toezichtarrangement DigiD 2.4.1 Inleiding: drie te onderscheiden elementen van de DigiD voorziening 2.4.2 Hoe wordt toezicht gehouden? 2.4.3 Op basis van welk instrumentarium wordt toezicht gehouden? 2.4.4 Nalevingsaspecten

8 8 8 8 9 10 10 10 12 12 13 13 13 14 14

3 Contouren van het toezicht op het eID Stelsel 3.1 Inleiding 3.2 Hoe wordt toezicht gehouden 3.3 Op basis van welk instrumentarium wordt toezicht gehouden? 3.4 Nalevingsaspecten

15 15 16 18 20

4 Issues 4.1 Misbruik en oneigenlijk gebruik van digitale identiteiten (fraude) 4.2 Toezicht op naleving aansluitvoorwaarden, gebruiksvoorwaarden 4.3 Toezicht op nieuwe producten eID 4.4 Issues Klachten en geschillen

21 21 22 23 23

5 BIJLAGE Samenvatting Rollen en Verantwoordelijkheden in het toezicht eID

24

Pagina 3 van 27


Managementsamenvatting

Aanleiding en context In dit document worden de contouren geschetst van het toezicht op het eID Stelsel. Deze contouren worden gebruikt om het toezicht op het eID stelsel uit te werken en in te richten.

Uitgangspunten en voorstel De voorstellen voor het toezicht zijn opgesteld op basis van de nota ‘Richtinggevende uitspraken toezicht eID Stelsel’ (28 augustus 2014) en met de volgende uitgangspunten die door de stuurgroep eID op 10 juli 2014 zijn vastgesteld: 1. 2.

3.

Er komt op termijn een publieke toezichthouder op het eID Stelsel; BZK en EZ gaan samen de instelling van deze toezichthouder wettelijk vormgeven, richtend op het eID Stelsel, maar rekening houdend met eventuele uitbreiding naar andere onderdelen van de digitale infrastructuur; De scope van het toezicht wordt beperkt tot het stelsel en de partijen die binnen het stelsel hun diensten aanbieden zijn (zie figuur onder).

Figuur: Afbakening van het Toezicht op het eID Stelsel, het eID Netwerk wordt gevormd door Deelnemers in de rollen Herkenningsmakelaar (HM), Authenticatiedienst AD, Machtigingenregister (MR), Middelenuitgever (MU) en Beheerorganisatie (BO). De definitieve architectuur van eID is nog niet vastgesteld daarom is in dit document de terminologie van eHerkenning gebruikt.

Pagina 4 van 27


Kernpunten in het voorstel: rollen en focus in het toezicht •

•

Er wordt een scheiding aangebracht tussen drie verschillende rollen, te weten die van Eigenaar, Beheerder en Toezichthouder van het eID Stelsel. De taken en verantwoordelijkheden van de verschillende rollen evenals de samenhang tussen de drie rollen worden beschreven. Hiermee krijgt het toezicht een nadrukkelijkere invulling dan nu bij eHerkenning het geval is. Het toezicht is proactief (toetst zelfstandig) en niet meer alleen beoordeling achteraf op basis van certificering en auditrapportage. Hiermee wordt invulling gegeven aan het advies van de onderzoeksraad voor de Veiligheid en de lessen die zijn geleerd uit calamiteiten en andere ervaringen.

De term Eigenaar in dit document is niet bedoeld als synoniem voor de termen ‘juridisch eigenaar’ of ‘politiek verantwoordelijke’. De rol van Eigenaar is beschreven in termen van taken en verantwoordelijkheden. Met de term Beheerorganisatie wordt de Beheerorganisatie eID bedoeld en niet Logius als beheerorganisatie van eOverheidsvoorzieningen. Samenvatting taken en verantwoordelijkheden in het toezicht Hoofdstuk 4 beschrijft op hoofdlijnen de taken en verantwoordelijkheden van de Eigenaar, Beheerorganisatie en Toezichthouder. Hieronder schetsen we de essenties: De Eigenaar: • • •

Is eindverantwoordelijk en controleert en monitort op stelselniveau het veilig en betrouwbaar functioneren van het stelsel. Is opdrachtgever van de Beheerorganisatie eID Is eindverantwoordelijk voor de beslissing om partijen te laten toetreden tot het stelsel of van deelname aan het stelsel uit te sluiten.

De Toezichthouder: • • • •

Toetst onafhankelijk de naleving van de stelselafspraken inzake veiligheid en betrouwbaarheid door de partijen die deelnemen aan het stelsel (inclusief de beheerorganisatie). Toetst zowel proactief als reactief. Bezoekt daartoe partijen die deelnemen aan het stelsel en vormt een onafhankelijke mening over de effectiviteit en naleving. Sanctioneert partijen die deelnemen aan het stelsel indien afspraken niet worden nagekomen. Adviseert de Eigenaar over toetreding tot- en uitsluiting van het stelsel.

Beheerorganisatie: • • • •

Is opdrachtnemer van de Eigenaar van het stelsel. Beheert de stelselafspraken en faciliteert de (governance)processen voor operatie van het stelsel en de wijziging van stelselafspraken. Controleert en monitort zowel administratief als technisch de naleving van stelselafspraken. Voert daartoe de administratie. Is informant bij toetsing van de naleving en de sanctionering van partijen die deelnemen aan het stelsel.

Issues Bij het tot stand komen van dit document is een aantal issues naar voren gekomen die in de aankomende periode aandacht behoeven (zie hoofdstuk 4): • • • •

Proactieve bescherming tegen identiteitsdiefstal en fraudemanagement. Toezicht op de publieke- en private dienstaanbieders die hun diensten ontsluiten via het stelsel. Deze vallen buiten de scope van het toezicht op het eID Stelsel. Toezicht op nieuwe producten, rollen of diensten die onderdeel worden van het eID Stelsel. De wenselijkheid of noodzakelijkheid van versterking van de positie van de Klachten- en geschillencommissie.

Pagina 5 van 27


Inleiding

1.1 Aanleiding en context In de nota “Richtinggevende uitspraken toezicht eID stelsel (concept 10 juni en definitief 28 augustus 2014) ” worden drie stappen onderscheiden: 1. 2. 3.

geïntegreerd toezicht (integratie van burgerdomein en bedrijvendomein op basis van het bestaande); toezicht op eID Stelsel door onafhankelijke publieke toezichthouder; publieke toezichthouder voor de digitale overheidsinfrastructuur.

In dit document worden de contouren geschetst van het toezicht op het eID Stelsel. Deze contouren maken het ook mogelijk om de noodzakelijke toezichtselementen in te richten voor de periode dat er nog geen wettelijke grondslag voor het eID Stelsel en het toezicht daarop bestaat. Het inrichten van toezicht op de korte termijn is nodig omdat met de start van de pilots medio 2015 het burgerdomein dat nu nog alleen door DigiD wordt vertegenwoordigd integreert met het bedrijvendomein van eHerkenning Dit gaat gepaard met dezelfde risico’s als waar DigiD zich voor gesteld ziet, terwijl de huidige organisatie van het toezicht op eHerkenning daar niet op is berekend. De belangrijkste punten uit dit Voorstel zijn: •

•

Er wordt een scheiding aangebracht tussen drie verschillende rollen, te weten die van Eigenaar, Beheerder en Toezichthouder van het eID Stelsel. De taken en verantwoordelijkheden van de verschillende rollen evenals de samenhang tussen de drie rollen worden beschreven. Hiermee krijgt het toezicht een nadrukkelijkere invulling dan nu bij eHerkenning het geval is. Het toezicht is proactief (toetst zelfstandig) en niet meer alleen beoordeling achteraf op basis van certificering en auditrapportage. Hiermee wordt invulling gegeven aan het advies van de Onderzoeksraad voor de Veiligheid en de lessen die zijn geleerd uit calamiteiten en andere ervaringen.

Bedoeld is om de rol van Eigenaar te beschrijven in termen van taken en verantwoordelijkheden. De term Eigenaar in dit document is niet bedoeld als synoniem voor de termen ‘juridisch eigenaar’ of ‘politiek verantwoordelijke’. Met de term Beheerorganisatie wordt de Beheerorganisatie eID bedoeld en niet Logius als beheerorganisatie van eOverheidsvoorzieningen

Uitgangspunten De voorstellen voor het toezicht zijn opgesteld op basis van de nota ‘Richtinggevende uitspraken toezicht eID Stelsel’ (28 augustus 2014) en met de volgende uitgangspunten die door de stuurgroep eID op 10 juli 2014 zijn vastgesteld: 4. 5.

6.

Er komt op termijn een publieke toezichthouder op het eID Stelsel; BZK en EZ gaan samen de instelling van deze toezichthouder wettelijk vormgeven, richtend op het eID Stelsel, maar rekening houdend met eventuele uitbreiding naar andere onderdelen van de digitale infrastructuur; De scope van het toezicht wordt beperkt tot het stelsel en de partijen die binnen het stelsel hun diensten aanbieden zijn.

Pagina 6 van 27


1.2 Gevolgde aanpak Met experts die direct verbonden zijn met de DigiD-voorzieningen, PKIoverheid en eHerkenning zijn in een aantal werkgroep sessies de toezichtelementen geïnventariseerd die herbruikbaar zijn voor het geïntegreerde toezicht. Op diverse momenten zijn versies van dit document voorgelegd aan eID projectleiders, juridische werkgroep eID, de Expert werkgroep bestaande uit deelnemers in het eID Platform en aan twee open werkgroepsessies met diverse geïnteresseerde vertegenwoordigers van gemeentelijke en rijksoverheden, publieke- en private dienstverleners en marktpartijen. Daarnaast is kennis en ervaring opgehaald bij bestaande toezichthouders zoals de ACM, Agentschap Telecom en de Rijks Audit Dienst. In het traject van informatieverzameling en reviews zijn issues naar bovengekomen die in het kader van het toezicht van belang zijn om te benomen, maar buiten de scope van de opdracht vallen. In hoofdstuk 5 van dit document zijn deze issues vastgelegd.

1.3 Leeswijzer In hoofdstuk 2 bevat de beschrijving van de bestaande toezichtsarrangementen op de DigiD voorzieningen, eHerkenning en PKIoverheid. Hoofdstuk 3 bevat de contourenschets van het toezicht op het eID Stelsel. De contouren zijn opgebouwd met hergebruik van de in hoofdstuk 2 beschreven toezichtselementen. Hoofdstuk 4 bevat de issues die in het kader van het toezicht aandacht nodig hebben, maar buiten de scope van deze opdracht vallen. In de bijlage (5) is een tabel opgenomen met daarin een samenvattend overzicht en afbakening van de relevante rollen en verantwoordelijkheden m.b.t. het toezicht op het eID Stelsel. Het begrippenkader van het eID Stelsel verschilt op sommige punten van het begrippenkader van eHerkenning. Zo gebruikt het eID Stelsel voor publieke en private partijen die online diensten aanbieden via het stelsel van ‘Dienstaanbieders’ en het stelsel eHerkenning van Dienstverleners. In afwachting van definitieve besluiten over de inrichting en architectuur van het eID Stelsel gebruikt dit document en behoeve van de leesbaarheid het begrippenkader van het stelsel eHerkenning.

Pagina 7 van 27


2 Het bestaande toezicht op eHerkenning, DigiD en PKIoverheid

2.1 Inleiding Deze paragraaf beschrijft de elementen voor het toezicht op eHerkenning, PKIoverheid en DigiD met het oog op de herbruikbaarheid voor het eID Stelsel. In het onderstaande figuur zijn de meest belangrijke elementen weergegeven. In de volgende paragrafen worden deze elementen voorzien van beschrijvende tekst.

Figuur 1 Bestaande elementen van het toezicht

2.2 Het bestaande toezichtarrangement Afsprakenstelsel eHerkenning eHerkenning is opgezet voor bedrijven. Medewerkers die namens het bedrijf handelen kunnen zich online identificeren bij door het bedrijf vastgestelde onlinediensten. eHerkenning maakt het mogelijk dat een Dienstverlener een betrouwbaarheidsniveau kan koppelen aan zijn online dienst en dat een bedrijf ervoor kan kiezen om specifieke medewerkers voor specifieke diensten en betrouwbaarheidsniveaus in het Machtigingenregister te autoriseren.

2.2.1 Hoe wordt toezicht gehouden? Het beheermatige toezicht (management) op het afsprakenstelsel en functioneren van eHerkenning wordt uitgeoefend door de (merk)Eigenaar, Beheerorganisatie eHerkenning, Stelselraad, Tactisch Overleg en het Operationeel Overleg. Het betreft hier een sluitend systeem dat de koers bepaalt van

Pagina 8 van 27


het stelsel, besluit over toetreding, uittreding, functionele wijzigingen, risico’s en maatregelen. De Stelselraad stelt de strategische kaders vast voor het (door)ontwikkelen van het stelsel. Het Tactisch Overleg besluit over de inhoudelijke wijzigingen in het afsprakenstelsel binnen de kaders van de Stelselraad. Het Operationeel Overleg adviseert het Tactisch Overleg en stemt de uitvoering van besluiten af. Het Ministerie van Economische Zaken (EZ) vervult de rol van (merk)Eigenaar en meer impliciet ook de rol van Toezichthouder. Vanuit de toezichthouderrol ziet het ministerie toe op het adequaat functioneren van de governance, de integriteit van het netwerk voor eHerkenning en de naleving van de stelselafspraken. Als Eigenaar laat het ministerie jaarlijks een Stelselaudit uitvoeren door een externe auditor. Als Eigenaar is het ministerie verantwoordelijk voor de instemming met het toetreden van marktpartijen tot het stelsel en een eventuele schorsing of uitsluiting van toegetreden deelnemers in geval van het niet naleven van stelselafspraken. De Eigenaar is opdrachtgever van Logius voor het vervullen van de rol van de Beheerorganisatie van het stelsel eHerkenning. Daar waar over Beheerorganisatie wordt gesproken is dit dus niet gelijk aan Logius als beheerorganisatie voor overheidsvoorzieningen. De Beheerorganisatie eHerkenning ondersteunt de Eigenaar, en faciliteert in opdracht van de Eigenaar de governance van het stelsel waaronder de coördinatie van het wijzigingenproces en uitvoering van gemaakt afspraken en besluiten. De Eigenaar ziet toe op het adequaat functioneren van de beheerorganisatie. De Beheerorganisatie eHerkenning is daarom bij de jaarlijkse Stelselaudit eveneens object van de audit. Voor de behandeling van formele klachten en geschillen tussen de diverse betrokken partijen die niet binnen de reguliere processen kunnen worden opgelost is een onafhankelijke klachten- en geschillencommissie ingericht. De commissie brengt advies uit aan de betrokken partijen. Indien een advies niet wordt opgevolgd, bestaat voor de betrokken partijen de mogelijkheid van een civiele rechtsgang.

2.2.2 Op basis van welk instrumentarium wordt toezicht gehouden? eHerkenning kent de volgende elementen als basis voor het toezicht: 1.

2. 3. 4. 5. 6.

7. 8.

Het Afsprakenstelsel eHerkenning omvat alle technische, procedurele en juridische elementen die nodig zijn om te kunnen functioneren. Deelnemers hebben zich contractueel verbonden om de stelselafspraken na te komen. Het ministerie van EZ heeft een contract met Logius gesloten voor de invulling van de rol van Beheerorganisatie voor het Afsprakenstelsel. De Stelselrisicoanalyse betreft een overzicht van de risico’s op het niveau van het stelsel en is de basis voor het beveiligingsbeleid van het stelsel en het stelselnormenkader. Het Informatiebeveiligingsbeleid (IB) voor het stelsel bevat eisen die deels ook geoperationaliseerd zijn in verschillende normenkaders, operationele afspraken, contracten etc. Het Gemeenschappelijk Normenkader (GNK) is een set normen die gebaseerd is op de internationale norm voor informatiebeveiliging IEC/ISO 27001:2005. Van de Deelnemers en de Beheerorganisatie wordt geëist dat zij een geldig IEC/ISO 27001:2005 certificaat bezitten. Tevens wordt geëist dat de deelnemers het GNK opnemen in hun eigen verklaring van toepasselijkheid (VvT) en dat zij de gedefinieerde stelselrisico’s aantoonbaar meenemen in hun eigen risicoanalyses. Het Normenkader Betrouwbaarheidsniveaus waarin de afspraken voor middelenuitgifte en registratie van machtigingen toetsbaar zijn gemaakt. Het Stelselnormenkader voor de Stelselaudit dat door de Eigenaar aan de stelselauditor wordt meegegeven voor de uitvoering van de Stelselaudit.

Pagina 9 van 27


2.2.3 Nalevingsaspecten 1.

2. 3.

4.

5.

Deelnemers aan eHerkenning zijn contractueel verplicht om zich te laten certificeren conform de internationale norm voor het management van Informatiebeveiliging IEC/ISO 27001:2005 (wordt IEC/ISO 27001:2013) en te voldoen aan het Gemeenschappelijk Normenkader (GNK). Bij fundamentele stelselwijzigingen of toetreding van een deelnemer tot een andere betrouwbaarheidsniveaus of rollen is een her-audit vereist. Het certificaat met de Verklaring van Toepasselijkheid en de auditrapportage moeten aan de Beheerorganisatie beschikbaar gesteld worden ter verificatie. Deelnemers die zich niet aan de stelselafspraken houden kunnen in principe in opdracht van de Eigenaar worden geschorst of uitgesloten. De Beheerorganisatie effectueert deze schorsing of uitsluiting. Logius heeft een aantal mogelijkheden om op beperkte schaal naleving af te dwingen: a. Opleggen van een compensatiemaatregel aan deelnemers die zich niet houden aan het afgesproken tijdpad voor nieuwe releases. De opbrengst wordt onder de deelnemers verdeeld. Daar Logius deze toezichthoudende functie heeft gescheiden van de Beheerorganisatie eHerkenning kan in theorie ook aan de Beheerorganisatie eHerkenning een compensatiemaatregel worden opgelegd. Logius beschikt echter niet over doorzettingsmacht op juridische basis hetgeen de mogelijkheden voor handhaving beperkt. b. Deelnemers niet toestaan om nieuwe middelen uit te geven, machtigingen te registreren of dienstverleners aan te sluiten. Deze aanzegging in de vorm een formele brief kan na akkoord uit naam van de Eigenaar en Toezichthouder (EZ) worden gezonden. De Eigenaar en Toezichthouder bepaalt op basis van het auditrapport van de Stelselaudit welke verbeteringen moeten worden doorgevoerd in het afsprakenstelsel. Via de Beheerorganisatie en Stelselgovernance worden de verbeteringen van het stelsel afgedwongen.

2.3 Het bestaande toezichtarrangement PKIoverheid PKIoverheid (PKIo) is een voorziening voor digitale certificaten die door Logius wordt beheerd. Overheidsorganisaties gebruiken PKIoverheid services certificaten om op een vertrouwde wijze gegevens uit te wisselen. Een PKIoverheid-certificaat wordt gebruikt bij het beveiligen van websites, authenticatie op afstand, rechtsgeldige elektronische handtekeningen, versleuteling van elektronische berichten. Voor elk van die toepassingen bestaan er digitale certificaten. Onder de vlag van PKIoverheid worden diverse elektronische certificaten gedefinieerd waarmee personen of bedrijven zich met een hoog betrouwbaarheidsniveau kunnen identificeren. Die certificaten kunnen zowel ‘gekwalificeerd’ als ‘niet-gekwalificeerd’ zijn. De PKIo-certificaten worden door marktpartijen uitgegeven die voldoen aan de door PKIo gestelde eisen als Certificate Service Provider (CSP). Gekwalificeerde PKIo-certificaten kunnen ook binnen eHerkenning worden ingezet als basis voor een eHerkenning authenticatiemiddel.

2.3.1 Hoe wordt toezicht gehouden? Eigenaar en beheerorganisatie Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is opdrachtgever van Logius voor het beheer van PKIoverheid (PKIo) en vervult daarmee de rol van Eigenaar. De rol van Beheerorganisatie voor PKIoverheid is ondergebracht bij Logius. Toezichthouders voor gekwalificeerde certificaten en PKIoverheid-certificaten: De beheerorganisatie van PKIoverheid wordt conform internationale standaarden ‘ Policy Authority’ (PA) genoemd. De PA beheert de Centrale Hiërarchie, het Programma van Eisen van PKIoverheid. De PA ziet ook toe op de uitgifte van PKIo certificaten onder de Centrale Hiërarchie door partijen in de rol van Certificate Service Providers (CSP). Er is specifiek toezicht op de activiteiten van de PA georganiseerd.

Pagina 10 van 27


De Autoriteit Consument en Markt (ACM, v.h. OPTA) ziet toe op de markt voor uitgifte van gekwalificeerde PKI certificaten in brede zin. Er bestaat overlap tussen het toezicht van de PA voor PKIoverheid en het toezicht door de ACM. De overlap betreft de CSP’s die gekwalificeerde PKIocertificaten uitgeven. De marktpartijen (CSP’s) die geregistreerd zijn bij ACM leveren vrijwel allemaal zowel gewone gekwalificeerde certificaten en niet-gekwalificeerde certificaten als gekwalificeerde- en niet gekwalificeerde PKIo certificaten. Het ministerie van Economische Zaken is opdrachtgever van de ACM en is opdrachtgever van ECP.NL voor het beheer van het TTP.NL auditschema voor certificaatdienstverleners (CSP’s). Het ministerie is doende een wetswijziging voor het toezicht op certificatiedienstverlening voor te bereiden. Deze wijziging betreft onder andere ook het onder toezicht brengen van niet-gekwalificeerde certificaten. Daarmee wordt de overlap tussen het toezicht door de PA en de Toezichthouder op certificatiedienstverlening groter. Daarnaast is het Ministerie van EZ opdrachtgever van ECP.NL inzake het beheer van het TTP.NL auditschema voor certificaatdienstverleners.

Leemten in het toezicht op PKIoverheid: Het onafhankelijke toezicht op PKIoverheid is in de huidige situatie niet ontwikkeld. Partijen die PKIocertificaten uitgeven staan onder toezicht van de PA die feitelijk ook onderdeel is van de voorziening PKIoverheid. Deze leemte wordt deels ingevuld door de ACM omdat partijen die gekwalificeerde PKIo certificaten leveren ook onder toezicht staan van de ACM. Logius geeft zelf opdracht om de PA door een externe auditor te laten auditen. Het opdrachtgeverschap van deze audit (een vorm van toezicht op de activiteiten van de PA in PKIoverheid) heeft Logius afgescheiden van de PKIo beheerrol maar kan nog steeds leiden tot rolconflicten tussen Logius in de rol van beheerder en Logius in de rol van toezichthouder. Periodieke toetsing van de PA door een onafhankelijke auditor in opdracht van de Eigenaar van PKIoverheid (BZK) kan mogelijke rolconflicten tussen taken van Logius als beheerder van PKIo en als toezichthouder op PKIo dienstverlening al kunnen verminderen.

Het toezichtarrangement in de praktijk: Bij uitoefening van het toezicht is een aantal aspecten van belang om in het kader van dit document te melden. 1.

2.

3.

4.

Driepartijenoverleg: De beheerder van de PA (Logius) en de ACM trekken deels gezamenlijk op bij het uitoefenen van het toezicht, door met een regelmaat te overleggen over functionele veranderingen, auditbevindingen en marktontwikkelingen. In dit overleg worden de auditors betrokken die de CSP’s certificeren. Eerstelijnstoezicht: Logius legt als beheerder van de PA per PKIo leverancier halfjaarlijks een bedrijfsbezoek af waarbij een select aantal normen wordt getoetst op basis van een risicoafweging. Hierbij worden ook de wijzigingen in het PvE meegenomen die in de tussenliggende tijd zijn gepubliceerd. Tweedelijnstoezicht: De PA analyseert de auditrapporten van de CSP’s van audits die zij in het kader van hun certificering laten uitvoeren, volgt de correctie van auditbevindingen. De ACM doet dit zelfde maar dan alleen met betrekking tot CSP’s die gekwalificeerde certificaten uitgeven. Op basis van de auditrapporten en het eerder genoemde driepartijenoverleg maakt de ACM een plan met speerpunten voor gesprekken met CSP’s. Bij de bezoeken aan de CSP’s worden deze speerpunt onderwerpen aan de orde gesteld. Certificering: CSP’s zijn verplicht zich te laten certificeren om opgenomen te kunnen worden in het register van gekwalificeerde PKI-certificaatdienstverleners. Deze certificering is ook verplicht om PKIoverheid-certificaten te mogen uitgeven. De certificering wordt gedaan door een certificerende instelling. De certificerende instelling en daarmee de auditor die de audit uitvoert staat onder toezicht staat van de Raad van Accreditatie. Indien de auditor ook een Register IT Auditor (RE) is staat deze auditor ook onder toezicht van de beroepsvereniging NOREA die zich heeft vastgelegd op internationale afspraken over de kwaliteit van uitvoering van formele Assurance opdrachten.

Pagina 11 van 27


2.3.2 Op basis van welk instrumentarium wordt toezicht gehouden? Het beheer van PKI structuren en uitgifte van PKI certificaten en daarmee ook van de PKIoverheidstructuur en PKIoverheid-certificaten moet voldoen aan de nationale en internationale standaarden die daarvoor zijn. Het gaat om de volgende standaarden: 1.

2. 3. 4.

5.

De Europese norm ETSI EN 319 411-2 (op het moment van schrijven nog ETSI 101 456) wordt in dit kader wettelijk verankerd als geaccepteerd voor certificatie van de partijen (CSP’s) die gekwalificeerde certificaten uitgeven. De Europese normen ETSI 319 411-3 en op termijn tevens ETSI EN 319 411-1 als opvolger van ETSI TS 102 042 voor niet-gekwalificeerde certificaten. Het Programma van Eisen (PvE) voor PKIoverheid met aanvullende eisen die specifiek zijn voor partijen die PKIoverheid-certificaten uitgeven. TTP.NL audit schema voor de certificatie van certificaatdienstverleners (CSP) die gekwalificeerde en niet-gekwalificeerde certificaten uitgeven. Het beheer van het schema wordt momenteel overgedragen van ECP.NL naar een stichting (in oprichting). De toepassing van het schema is brederdan alleen de CSP’s binnen PKIoverheid. Het wordt door de Nederlandse certificerende instellingen ook gebruikt voor de certificering van diverse CSP’s in het buitenland. ETSI ontwikkelt momenteel een Europees certificatieschema. Zodra dit beschikbaar is kan dit door de certificerende instellingen worden gehanteerd en kan het TTP.nl schema en het beheer door de stichting vervallen. Voor toezicht op de auditors en certificerende instellingen bestaan de regels van de Raad van Accreditatie en gedragsregels van de NOREA met betrekking tot de uitvoering van Assuranceopdrachten.

2.3.3 Nalevingsaspecten Zowel de ACM als de Policy Authority (Logius) hebben een aantal mogelijkheden om naleving af te dwingen. Hieronder volgt een overzicht van de mogelijkheden. 1.

Policy Authority m.b.t. PKIo-certificaten • Aangaan van gesprek; • Formeel verzoek al of niet uit naam van het Ministerie van BZK met het verzoek aan een PKIo-certificaatleverancier om de tekortkoming op te lossen binnen gestelde tijd; • Voor overheid CSP’s: het informeren van de beveiligingsambtenaar (BVA) of RijksBVA over (ernstige) tekortkomingen; • Laten intrekken van de foutieve PKIo-eindgebruikerscertificaten die een CSP heeft uitgegeven; • Intrekken of opschorten van de bevoegdheid om PKIo-certificaten uit te geven. 2. ACM m.b.t. gekwalificeerde certificaten • Formeel verzoek; • Aanwijzing onder lastgeving; • Boete; • Beëindiging van de registratie als leverancier van gekwalificeerde certificaten. Zowel de Policy Authority PKIoverheid als ACM geven aan dat deze formele middelen zelden of nooit gebruikt hoeven te worden. Wanneer men een tekortkoming signaleert, zorgen de CSP’s nagenoeg altijd direct voor een oplossing. Men is er zich terdege van bewust dat tekortkomingen zo snel mogelijk moeten worden opgelost, om de betrouwbaarheid van de certificaten te kunnen garanderen. Zelfs een formeel verzoek van een toezichthouder om gebreken te herstellen zou al een zodanig reputatieschade met zich mee kunnen brengen, dat dit het einde van hun dienstverlening betekent. Om diezelfde reden willen ook de toezichthouders het liever niet tot een formeel verzoek laten komen.

Pagina 12 van 27


2.4 Het bestaande toezichtarrangement DigiD DigiD is een authenticatiemiddel dat door de Rijksoverheid aan burgers ter beschikking wordt gesteld om zich online te identificeren bij online-diensten die overheden en uitvoeringsorganisaties aanbieden.

2.4.1 Inleiding: drie te onderscheiden elementen van de DigiD voorziening DigiD: Het betreft hier de authenticatievoorziening voor burgers. De voorziening betreft de aanvraag, uitgifte van DigiD-accounts en het gebruik van DigiD. DigiD wordt door dienstverleners - zoals gemeenten, UWV, belastingdienst of pensioenfondsen - ingezet voor de authenticatie van de identiteit van burgers bij de toegang tot elektronische diensten en dossiers. DigiD Balie: Het betreft hier een specifieke functionaliteit van de voorziening voor de uitgifte van een DigiD via een fysieke balie. De specifieke invulling heeft betrekking op de processen van aanvraag en uitgifte van een DigiD. Het infrastructurele deel dat benodigd is voor het gebruik van de voorziening, is dezelfde als hierboven. De infrastructuur op de balielocatie valt onder de verantwoordelijkheid van de gemeenten die deze balies voeren. DigiD Machtigen: Dit betreft een voorziening voor de registratie van volmachten. Een burger machtigt een andere burger of beroepsmatig actief persoon om voor hem gespecificeerde handelingen te verrichten, die het gebruik van een DigiD vereisen zoals belastingaangifte of aanvraag van toeslagen of vergunning. 2.4.2 Hoe wordt toezicht gehouden? Eigenaar en beheerorganisatie Het Ministerie van BZK is beleidsverantwoordelijke van de DigiD voorzieningen DigiD, DigiD Machtigen en DigiD Balie. BZK heeft Logius opdracht gegeven de voorzieningen te beheren en vervult de rol van Eigenaar. Logius heeft productie van de voorzieningen aan marktpartijen uitbesteed. Toezichthouder De rol van Toezichthouder voor de DigiD voorzieningen is niet volledig ontwikkeld, het toezicht op de voorziening wordt daarom in de praktijk ook door beheerder Logius uitgevoerd. 1.

2.

3.

Het Ministerie van BZK ziet als Eigenaar toe op de naleving van de eisen op DigiD aangesloten partijen (aansluitvoorwaarden). Elke aangeslotene moet bijvoorbeeld jaarlijks een zogenaamde DigiD-assessment laten uitvoeren door een onafhankelijke Register IT auditor. Het auditrapport moet worden verstrekt aan Logius die dit beoordeelt. Binnen twee maanden na een nieuwe aansluiting moet de assessment met positief resultaat zijn afgerond. In lijn met de beschreven scope van het toezicht op het eID Stelsel zou dat betekenen dat vergelijkbare eisen onderdeel moeten zijn van het contract dat de Herkenningsmakelaar aanbiedt aan de Dienstverlener die wil aansluiten op het eID netwerk. Jaarlijks laat de Beheerorganisatie (Logius) door de Auditdienst Rijk (ADR) een audit uitvoeren op het beheer dat zijn uitvoert voor de DigiD-voorzieningen. De auditor toetst zowel de technische implementatie en beheerprocessen van de leveranciers als de Logius-beheerprocessen voor DigiD en DigiD Machtigen. Voor DigiD Balie is op het moment van dit schrijven een zestal partijen (gemeenten) verzocht/aangewezen voor uitvoering van de processen voor aanvraag en uitgifte van een DigiD. De betreffende partijen moeten een zelfassessment uitvoeren en daarover rapporteren aan Logius. Periodiek (eens maal per half jaar) laat Logius een externe auditor de balieprocessen bij de betrokken gemeenten auditeren.

Pagina 13 van 27


2.4.3 Op basis van welk instrumentarium wordt toezicht gehouden? De volgende standaarden en normenkaders worden gehanteerd bij het toezicht op de DigiD voorzieningen. Generiek voor de DigiD-voorzieningen: 1.

2.

3.

Het normenkader ICT Beveiligingsassessments voor de DigiD die elke aangesloten partij (dienstverlener) moet laten uitvoeren door een externe auditor en waarvan het auditrapport en verbeterplan moeten worden opgestuurd aan Logius. Logius normenkader voor generieke beheerprocessen. Dit normenader wordt als auditkader gebruikt door die Auditdienst Rijk die op verzoek van Logius jaarlijks een audit uitvoert op de DigiD voorzieningen. De generieke beheernormen zijn ontleent aan het NOREA normenkader voor IT beheerprocessen. De informatiebeveiligingsplannen voor de DigiD-voorzieningen bevatten de analyse van de beveiligingsrisico’s en de specificatie van de daarbij behorende beveiligingsmaatregelen voor de voorzieningen. De risicoanalyse en gedefinieerde maatregelen zijn mede input voor het oordeel van de ADR over de voorziening en de beoordeling van Logius van de implementatie van beveiligingsmaatregelen door de leverancier.

Specifiek voor DigiD en DigiD Machtigen: 4. 5.

Logius-normenkader voor DigiD waarin specifieke eisen zijn opgenomen. Dit normenkader wordt door de ADR gebruikt voor de jaarlijkse audit op de DigiD voorzieningen. Het Programma van Eisen (ten dele) voor DigiD dat de basis is van de uitbesteding bij de leverancier en de beveiligings-specificaties bevat voor de voorziening.

Specifiek voor DigiD Balie: 6.

Logius-normenkader specifiek voor de uitgifteprocessen en de onderliggende infrastructuur bij de uitgifte balies. Dit nomenkader wordt gebruikt voor het uitvoeren de zelf-assessment en periodieke externe audit.

2.4.4 Nalevingsaspecten Hierna volgt een overzicht van de mogelijkheden om naleving af te dwingen die BZK en Logius tot hun beschikking hebben. Ministerie van Binnenlandse Zaken 1. 2. 3.

Besluit om Logius een aangesloten partij af te laten sluiten. Op verzoek van Logius ‘aanspreken’ van een aangesloten partij in de vorm van bijvoorbeeld een formele brief aan de Directie of Bestuur van de aangesloten partij. Ontbinden van de opdracht aan Logius om de DigiD voorziening(en) te beheren.

Logius 4. 5. 6.

7.

Aangaan van het gesprek met de aangesloten partij over risico’s van het niet naleven van de eisen. Het formeel aanspreken van een partij. Logius heeft de opdracht van BZK om bij een acuut beveiligingsrisico door een kwetsbare implementatie de op DigiD aangesloten partij af te sluiten waarbij de verantwoording daarover achteraf plaats vindt. Het aanspreken van, of ontbinden van het contract met, de leveranciers van de infrastructuur van DigiD (applicatiebeheer, IT infrastructuur, sms, drukwerk, bezorging).

Pagina 14 van 27


3 Contouren van het toezicht op het eID Stelsel

3.1 Inleiding Deze paragraaf beschrijft de contouren van het toezicht voor het eID Stelsel. De elementen van het toezicht zijn gebaseerd op de bestaande elementen van het toezicht op PKIoverheid, DigiD en eHerkenning die in hoofdstuk 2 zijn beschreven. Voorafgaand aan de beschrijving van de contouren wordt eerst een aantal uitgangspunten weergegeven die de stuurgroep eID heeft meegegeven.

Uitgangspunt publieke toezichthouder Het voorstel gaat uit van een publieke toezichthouder voor het eID Stelsel. In dit voorstel wordt geen uitspraak gedaan over wie de toezichthouder moet zijn of welk ministerie verantwoordelijk is voor de toezichthouder. Voor de periode tot aan de wettelijke verankering van het stelsel (2017) en het toezicht daarop moet de juridische basis voor het toezicht nog nader worden uitgewerkt. Voor het toezicht op PKIoverheid werkt het ministerie van EZ aan een wetswijziging voor het toezicht op PKIoverheid dat in juli 2016 geïmplementeerd moet zijn. Een hier relevante essentie van de wijziging is om het toezicht op de daadwerkelijke naleving van afspraken en eisen door betrokken partijen te waarborgen. Dit conform het advies van de Onderzoeksraad voor de Veiligheid naar aanleiding van het DigiNotar incident. Voor het eID Stelsel is een vergelijkbare waarborg voorzien met betrekking tot het houden van toezicht.

Uitgangspunt scope van het toezicht Het toezicht wordt beperkt tot het Afsprakenstelsel eID, de naleving van stelselafspraken, de Beheersorganisatie eID en de partijen die deelnemen in het eID netwerk. Het aantal gebruikers van authenticatiemiddelen en dienstverleners is te groot om op systematische wijze effectief direct op toe te zien. Het toezicht op het gebruik van eID authenticatiemiddelen, gebruik van het machtigingenregisters en op de naleving van aansluitvoorwaarden door op de eID aangesloten dienstverleners vindt uitsluitend op een indirecte wijze plaats. Indirect toezicht betekent hier dat de deelnemer in de rol van Makelaar via zijn contractrelatie met de Dienstverleners waarborgt dat de Dienstverlener de aansluitvoorwaarden naleeft. De Toezichthouder ziet toe op de effectiviteit van de waarborgen die de Makelaar heeft ingericht en de kwaliteit van de aansluitvoorwaarden die op stelselniveau zijn vastgelegd. De issues die dit uitgangspunt met zich mee brengt zijn in hoofdstuk 4 opgenomen.

Pagina 15 van 27


Figuur 2: Afbakening van het Toezicht op het eID Stelsel, het eID Netwerk wordt gevormd door Deelnemers in de rollen Herkenningsmakelaar (HM), Authenticatiedienst AD, Machtigingenregister (MR), Middelenuitgever (MU) en Beheerorganisatie (BO). De definitieve architectuur van eID is nog niet vastgesteld daarom is in dit document de terminologie van eHerkenning gebruikt.

3.2 Hoe wordt toezicht gehouden Deze paragraaf schetst de contouren voor het toezicht op het eID Stelsel aan de hand van de verschillende rollen in het toezicht. De Eigenaar De Eigenaar is verantwoordelijk voor de integriteit van het stelsel (o.a. veilige en betrouwbare werking), de instemming1 met de toetreding van nieuwe deelnemers en de eventuele schorsing en ontbinding van het contract met deelnemers. De Eigenaar is opdrachtgever van de Beheerorganisatie, die namens de Eigenaar van het eID Stelsel de naleving van contractuele verplichtingen controleert. De beheerorganisatie coördineert de behandeling van (beveiligings-)incidenten en escaleert indien nodig naar de Eigenaar. Bij incidenten van een nog te bepalen ernst wordt ook de Toezichthouder geïnformeerd. De Eigenaar besluit in principe na een escalatie door de Beheerorganisatie of de toezichthouder moet worden geïnformeerd over het incident. De Eigenaar laat jaarlijks een onafhankelijke auditor de naleving van de stelselafspraken toetsen middels een Stelselaudit. De Beheerorganisatie heeft geen rol in de opdracht aan de auditor daar zij zelf ook object van onderzoek is. De Beheerorganisatie In opdracht van de Eigenaar controleert de Beheerorganisatie op operationeel niveau de naleving van contractuele verplichtingen. Het betreft dan bijvoorbeeld de toetsing van technische implementaties bij

1

De verwachting is dat een of meerdere ministeries de rol van eigenaar vullen. Het woord ‘instemming’ voorkomt verwarring met het woord ‘besluit’ dat een specifieke publiekrechtelijke betekenis heeft.

Pagina 16 van 27


Deelnemers, de omgang met het merk eID in communicatie-uitingen. Daarnaast faciliteert de Beheerorganisatie de operationele procedures voor het aanbrengen en toetsen van wijzigingen in het stelsel. De Beheerorganisatie coördineert de behandeling van (beveiligings-)incidenten in samenwerking met de beveiligingsfunctionaris van de Deelnemers in het netwerk voor eID. Bij majeure incidenten escaleert de Beheerorganisatie de incidentbehandeling naar de Eigenaar. De Beheerorganisatie coördineert de analyse van incidenten in samenwerking met de deelnemers en de verbeteringen die daaruit voortvloeit. De Toezichthouder De Toezichthouder heeft als primaire taak toe te zien op de effectiviteit en integriteit van het stelsel en vormt zich daartoe een oordeel over betrouwbare en veilige werking. Conform het advies van de Onderzoeksraad voor de Veiligheid zal de Toezichthouder meer direct en ex-ante toezicht houden dan huidige situatie bij eHerkenning. Dit betekent dat meer direct toezicht wordt gehouden op de individuele Deelnemers en op de Beheerorganisatie. De Toezichthouder kijkt dus niet alleen mee over de schouder van de Eigenaar, Beheerorganisatie en Stelselgovernance, maar toetst ook zelfstanding of voldaan wordt aan de eisen. De Toezichthouder bezoekt daarom periodiek de Deelnemers van het stelsel en de Beheerorganisatie en voert daarnaast inspecties uit of laat additionele audits uitvoeren. De Toezichthouder moet uiteindelijk in staat worden gesteld om niet alleen te reageren op voorvallen en incidenten maar ook issues te kunnen adresseren die op termijn kunnen uitgroeien tot incidenten. De toezichthouder

Toezicht op Deelnemers en Beheerorganisatie middels audits en certificering Zowel eHerkenning als PKIoverheid kennen de situatie waarbij Deelnemers, respectievelijk CSP’s, gecertificeerd moeten zijn om hun diensten in dit kader te mogen leveren. Voorzien is dat deze vorm ook voor het geïntegreerde toezicht ingezet kan worden. De Toezichthouder heeft inzage in de auditrapporten van Deelnemers en Beheerorganisatie. Op basis van de auditrapportages bepaalt de Toezichthouder de onderwerpen die in de bedrijfsbezoeken aan Deelnemers en Beheerorganisatie aan de orde moeten komen. Mogelijke onderwerpen zijn de opvolging van de eventuele auditbevindingen, implementaties n.a.v. recente stelselwijzigingen en incidenten. Toezicht in relatie tot klachten en geschillen Geschillen worden in eerste instantie door de Deelnemers aan het Stelsel en de Beheerorganisatie in samenspraak opgelost. Indien dit niet lukt, bijvoorbeeld door de complexiteit of omvang van een geschil, kunnen deelnemers, afnemers, dienstverleners en gebruikers terecht bij een onafhankelijke Klachten- en geschillencommissie. Deze commissie geeft advies aan de betrokken partijen over de oplossing van de klacht of het geschil. Onderzocht moet worden in welke mate dit advies bindend moet zijn of niet in het geval van klachten van individuele gebruikers over deelnemers of dienstverleners. Dit punt is als nader uit te werken issue in hoofdstuk 4 geadresseerd. De reden hiervoor is dat individuen doorgaans minder middelen hebben om zich juridisch te laten bijstaan. De Klachten- en Geschillencommissie staat los van de Toezichthouder. De Toezichthouder en informatie-uitwisseling met relevante partijen Naast de bezoeken aan de deelnemers en beheerorganisatie vanuit de toetsende rol voert de Toezichthouder ook informatieve gesprekken met het oog op de effectiviteit en efficiëntie van het toezicht. 1. De Toezichthouder en (certificerende) auditors wisselen periodiek informatie uit over de status van de naleving van Deelnemers van de normen. De Beheerorganisatie maakt in tegenstelling tot de huidig situatie bij PKIoverheid, geen deel uit van dit overleg omdat zij zelf ook object van het toezicht is. 2. De Toezichthouder en de Eigenaar en Beheerorganisatie wisselen in ieder geval informatie uit over de trends in beveiligingsincidenten, continuïteit van het stelsel, wijzigingen in het stelsel, wijzigingen van Deelnemers in het stelsel en andere onderwerpen issues die zij relevant achten. 3. De Toezichthouder en de voorzitters van het strategisch overleg en het tactisch overleg binnen de Governacne van eID wisselen informatie uit over de o.a. visies op de stelselontwikkeling, wijzigingen en effectiviteit van de governance van het stelsel.

Pagina 17 van 27


4.

De Toezichthouder neemt het initiatief tot periodieke gesprekken met de Klachten- en geschillencommissie over de effectiviteit van de afhandeling en inhoudelijke trends ten aanzien van klachten en geschillen.

Op basis van de overleggen maakt de Toezichthouder een plan voor het toezicht in de komende perioden. In dit plan zijn de prioriteiten en speerpunten opgenomen voor bedrijfsbezoeken, onderzoeken en audits die hij bij deelnemers en beheerorganisaties wil houden. Dit aspect is bestaand voor PKIoverheid en nieuw voor eHerkenning.

3.3 Op basis van welk instrumentarium wordt toezicht gehouden? Idealiter wordt toezicht gehouden op basis van toetsbare normen. Deze normen zijn zowel bruikbaar als leidraad voor implementaties door deelnemers als voor toetsing door professionele auditors van die implementaties. De toetsingskaders zijn opgebouwd uit eisen die voortvloeien uit weten regelgeving, eisen die specifiek zijn voor de voorziening en generieke eisen aan beheerprocessen. Het toezicht op de kwaliteit van audits door auditors wordt uitgeoefend in de lijn van de beroepsorganisaties van geregistreerde IT auditors en de raad van accreditatie (Certificatie-audits). Dit type toezicht is gebaseerd op internationale normen voor de uitvoering van audits en certificeringen. Voorzien is dat deze vormen van toezicht gehandhaafd blijft omdat er ook sprake blijft van certificering conform (inter-)nationale standaarden.

Figuur 3 Elementen waaruit toetsingskaders zijn opgebouwd.

Normen afgeleid uit weten regelgeving Logius-juristen toetsen bij de voorzieningen die Logius in beheer heeft aan de hand van checklists of de voorziening voldoet aan de relevante wetgeving. Voorgesteld wordt dat deze checklists als basis worden gebruikt bij het opstellen van de normen voor informatiebeveiliging voor het eID Stelsel die voorvloeien uit weten regelgeving. Bestaande (inter-)nationale normenkaders hergebruikt Voorgesteld wordt om de bestaande normenkaders van eHerkenning, risicoanalyse, Informatiebeveiligingsbeleid als basis te nemen en de specifieke elementen voor het burgerdomein die uit DigiD voortkomen daarin te integreren. Voor de toetsing van de betrouwbaarheidsniveaus van middelen en machtigingen vormen de huidige eHerkenning afspraken en de DigiD-normen het uitgangspunt. De verwachting is dat met name de

Pagina 18 van 27


risicoanalyses en de normen voor de betrouwbaarheidsniveaus van eHerkenning door de introductie van risico’s uit het burgerdomein wijziging nodig hebben omdat eHerkenning op dit moment alleen het bedrijvendomein bedient. Daarnaast verschilt het machtigingenregister van eHerkenning (bedrijf machtig medewerker) essentieel van DigiD Machtigen (burger, al dan niet handelingsbekwaam, machtigt een zaakwaarnemer). In de definitieve situatie na wettelijke verankering van het stelsel en het toezicht daarop moet er voor worden gezorgd dat de totale auditlast voor Deelnemers in het stelsel, publieke en private Dienstverleners niet toeneemt. De Toezichthouder die op termijn toe gaat zien op meerdere eOverheidsvoorzieningen heeft daar een belangrijke rol in. Daar waar dat kan moeten in de periode tot de wettelijke verankering pogingen worden gedaan om eisen voor informatiebeveiliging uit verschillende normenkaders die generiek van aard zijn ook zoveel mogelijk tegelijkertijd aan een toets te onderwerpen.

Figuur 4 Normenkaders relevant voor het geïntegreerde toezicht samengevat

Toezicht op aansluitvoorwaarden en gebruiksvoorwaarden eID Zoals eerder in hoofdstuk 2 is aangegeven, is het directe toezicht door de Toezichthouder beperkt tot de Deelnemers aan het stelsel. De naleving van aansluitvoorwaarden en gebruiksvoorwaarden worden binnen de contractrelaties van Deelnemers en aangeslotenen, afnemers van een machtigingenregister en gebruikers van middelen getoetst. De Toezichthouder monitort de effectiviteit van de manier waarop Deelnemers de naleving van de aansluitvoorwaarden / gebruiksvoorwaarden afdwingen. De aansluitvoorwaarden/gebruiksvoorwaarden zijn onderdeel van het afsprakenstelsel en daarmee ook object van het toezicht door de Toezichthouder.

Pagina 19 van 27


3.4 Nalevingsaspecten Deze paragraaf beschrijft voor de rollen van eigenaar, beheerder en toezichthouder de middelen die nodig zijn om naleving af te dwingen. De genoemde elementen zijn ontleent aan de bestaande toezichtarrangementen van eHerkenning, PKIoverheid en DigiD.

1.

De Eigenaar • Uit laten voeren van de Stelselaudit en sturen op oplevering en uitvoering van een correctief actieplan; • Opdracht aan Beheerorganisatie om een deelnemer uit het operationele netwerk te verwijderen(afsluiten); • Opdracht geven aan Beheerorganisatie om de contractuele relatie met een deelnemer te ontbinden; • Intrekken van de opdracht aan Logius om de rol van Beheerorganisatie van het eID Stelsel in te vullen.

2.

De Beheerorganisatie eID Stelsel • Aangaan van een informeel gesprek met de deelnemer; • Afsluiten van een dienstverlener in opdracht van de Eigenaar In opdracht van de Eigenaar ontbinden van de contractuele relatie met een deelnemer. • Administratieve en technische monitoring en controle van de naleving van stelselafspraken, informeren van de eigenaar en toezichthouder over de uitkomsten van de monitoring en uitgevoerde controles.

3.

De • • • • • • • • •

Toezichthouder Informeel gesprek al dan niet op verzoek van de Eigenaar; Formeel schriftelijk verzoek aan partijen om tekortkomingen op te heffen; Deelnemers niet toestaan nog nieuwe middelen uit te geven; Deelnemers niet toestaan nog nieuwe machtigingen te registreren; Deelnemers niet toestaan een bepaalde rol nog te vervullen gedurende een bepaalde tijd; Uit(laten)voeren van een audit/inspectie bij een Deelnemer en de Beheerorganisatie. Het opleggen van een boete of een compensatiemaatregelen aan Deelnemers en Beheerorganisatie Dringend advies aan de Eigenaar om een Deelnemer aan het eID Stelsel uit te sluiten Dringend advies aan de Eigenaar om een Private of Publieke Dienstverlener af te laten sluiten van het eID netwerk.

Pagina 20 van 27


4 Issues

Deze paragraaf bevat de issues en vragen die zijn gerezen rond het toezicht op eID. Deze issues en vragen moeten worden nog uitgewerkt. Dit past echter niet binnen deze opdracht. 4.1 Misbruik en oneigenlijk gebruik van digitale identiteiten (fraude) Het kunnen herkennen en beëindigen van misbruik en oneigenlijk gebruik is een operationele activiteit en vergt samenwerking binnen het stelsel. Het staat daarmee niet gelijk het houden van toezicht op het eID stelsel. De wijze waarop deze operationele verantwoordelijkheid wordt ingevuld kan op dezelfde manier als andere stelselaspecten wel onderwerp zijn van toezicht.

Wat behelst het fraudemanagement bij DigiD en eHerkenning? Logius heeft voor de DigiD voorziening (burgerdomein) een fraudeteam ingericht. Het fraudeteam van Logius onderzoekt signalen van misbruik en oneigenlijk gebruik, en neemt zo nodig maatregelen. Daarbij werkt het fraudeteam samen met ketenpartners en opsporingsinstanties. eHerkenning (bedrijvendomein) heeft geen actief fraudemanagement ingericht, maar afspraken gemaakt over hoe te handelen indien een opsporingsinstantie om informatie verzoekt. In de eID pilot situatie wordt voorzien dat het huidige fraudemanagement voor de DigiD voorziening gehandhaafd blijft. In de periode na de pilots zouden condities geschapen moeten worden om fraudedetectie mogelijk te maken voor alle authenticatiemiddelen die in het eID netwerk worden gebruikt. Deze condities hebben impact op het stelsel.

Waarom is fraudemanagement ook voor eID van belang? Aanleidingen: -‐

-‐

-‐

“Lektober”: De technische implementaties van online diensten door gemeenten en andere dienstverleners bleken kwetsbaar waardoor ook DigiD als middel in diskrediet gebracht werd. De minister van BZK greep daarop in met de verplichting voor aangesloten partijen om hun implementaties gerelateerd aan DigiD extern te laten toetsen. ‘Toeslagen fraudes”: Herhaalde gevallen van fraude en misbruik met toeslagen hebben de aandacht van politiek en media en daardoor fraudebestrijding tot een speerpunt gemaakt voor de Rijksoverheid. ‘Gevolgen van Identiteitsdiefstal’: De toename van het gebruik van elektronische identiteiten voor informatietransacties tussen burgers en overheden, bedrijven en overheden, bedrijven onderling, en consumenten met bedrijven maakt dat diefstal van elektronische identiteiten voor criminele activiteiten interessant is geworden. De gevolgen van het crimineel gebruik van gestolen identiteiten kunnen vooral voor burgers en consumenten buitenproportioneel groot zijn. Als een misbruikte identiteit wordt uitgesloten van de mogelijkheid tot het doen van transacties (sluiten van lening of aangaan van contracten) kan dat een individu levenslang achtervolgen terwijl de mogelijkheden van de getroffen persoon zelf zeer beperkt zijn om de gevolgen ongedaan te maken.

Conclusie: -‐

-‐

Voor het eID Stelsel is het te voorzien dat er meer aanbieders komen van authenticatiemiddelen voor burgers om informatie-transacties met overheden en ander publieke en private dienstverleners. Voor het eID Stelsel is nog niet duidelijk of en hoe in fraudemanagement wordt voorzien. Voor het vertrouwen van burgers een bedrijven in het eID Stelsel is het essentieel dat vooral de burger en consument actief wordt beschermd tegen misbruik van zijn of haar elektronische identiteit en dat het onderzoek naar het voorkomende misbruik wordt ondersteund..

Pagina 21 van 27


Advies voor nader uit te werken issues in het kader van het toezicht. 1.

2. 3.

Onderzoek de technische-, organisatorische- en juridische implicaties voor de eID Stelselafspraken. Om (potentiële) identiteitsfraude te kunnen voorkomen of aanwijzingen daarvoor te kunnen verzamelen zijn gegevens over het gebruik van authenticatiemiddelen en transacties noodzakelijk. Deze gegevens zijn binnen het eID Stelsel verspreid over verschillende systemen en partijen. Bepaal welke positie het fraudemanagement dient te krijgen; binnen of buiten de stelsel governance. Bepaal onder welke wettelijke condities fraudemanagement mag worden geïmplementeerd en bepaal de wijze van toezicht op de uitvoering er van.

4.2 Toezicht op naleving aansluitvoorwaarden, gebruiksvoorwaarden In hoofdstuk 3 is aangegeven dat de Toezichthouder op het eID Stelsel alleen indirect toezicht houdt op de naleving van contractvoorwaarden door aangeslotenen publieke en private dienstverleners die door een herkenningsmakelaar worden aangesloten, en de gebruiksvoorwaarden afnemers van machtigingenregisters en gebruikers van authenticatiemiddelen. Het aantal partijen waarop anders toezicht gehouden zou moeten worden is eenvoudigweg te omvangrijk voor een directe vorm van toezicht. Dit uitgangspunt heeft echter een aantal consequenties die nader onderzocht en uitgewerkt moeten worden.

Wat betreft het toezicht op aangesloten partijen van DigiD? Indirect toezicht op aangeslotene partijen betekent dat het toezicht op naleving van gebruiksvoorwaarden en aansluitvoorwaarden primair binnen de contractrelaties (privaat domein) plaats vindt. Deze wijze van toezicht heeft consequenties: •

•

De eisen die in het kader van de huidige DigiD voorzieningen worden gesteld aan de partijen met een aansluiting zouden onderdeel moeten zijn van de aansluitvoorwaarden. Hierbij is het voorstelbaar dat aan dienstverleners die het BSN verwerken (b.v. gemeenten, UWV etc.) hogere eisen worden gesteld dan aan dienstverleners die dat niet doen (webwinkel, bedrijven in het kader van B2B). De Eigenaar is essentieel voor de handhaving. De Eigenaar is namelijk verantwoordelijk voor het handhaven van de integriteit van het stelsel en daarmee ook voor het afsluiten van een dienstverlener wanneer deze de integriteit van het stelsel in gevaar brengt. De Toezichthouder, die alleen indirect toezicht houdt, kan alleen de Eigenaar op zijn verantwoordelijkheid wijzen als hij dat nodig acht.

Waarom is proactief toezicht op dienstverleners van belang voor eID? Dit uitgangpunt om indirect toezicht te houden op dienstverleners is begrijpelijk maar laat mogelijk ook een gat in de keten vallen. Beveiliging kost geld en dus worden door dienstverleners in meer of mindere mate risico’s geaccepteerd. Cybercriminaliteit ontwikkelt zich voortdurend waardoor bescherming per definitie achterloopt. Simpelweg omdat het mogelijk is (Murhpy’s Law) zullen er zich situaties voor gaan doen waarbij dienstverlener (bedrijf, uitvoeringsorganisatie of overheid) is betrokken en dat om wat voor oorzaak dan ook de integriteit of reputatie van het stelsel wordt bedreigt. Dit komt simpelweg omdat het mogelijk is en het dus ook zal gebeuren. Het is niet realistisch te verwachten dat een herkenningsmakelaar volledig zelfstandig een dienstverlener kan dwingen tot het nemen van maatregelen of in het meest vergaande geval gaat afsluiten. De Eigenaar van het eID Stelsel is primair verantwoordelijk voor de handhaving van de integriteit van het stelsel en zou daarom ook belangrijke een rol moeten spelen bij de eventuele afsluiting van dienstverleners. Het is nog niet duidelijke of de Toezichthouder een rol in moet of kan hebben.

Pagina 22 van 27


Advies voor nadere uitwerking in het kader van toezicht op het eID Stelsel Ontwikkel een of meerdere wijzen waarop een proactief toezicht op dienstverleners, die op eID zijn aangesloten, naleving afgedongen kan worden. Deze wijzen moeten de Herkenningsmakelaar ondersteunen in het nemen van zijn verantwoordelijkheid om een en ander binnen de contractrelatie af te kunnen handelen.

4.3 Toezicht op nieuwe producten eID Het toezicht op het eID Stelsel zoals in hoofdstuk 3 is beschreven is uit gegaan van de huidige status (november 2014) van de ontwikkeling van het stelsel. Dit betekent dat er geen analyse is gedaan van de consequenties die voortvloeien uit nieuwe producten of diensten in het stelsel. Van producten zoals de omnummervoorziening, is nog niet in dit document beschreven hoe het toezicht vorm kan krijgen. Advies Onderzoek de consequenties voor het eigenaarschap, beheer en toezicht van de positie die nieuwe producten/diensten innemen die aan het stelsel worden toegevoegd ten opzichte van het huidige eHerkenning.

4.4 Issues Klachten en geschillen In het huidige eHerkenning stelsel bestaat een Klachten- en geschillencommissie. De commissie geeft een advies aan de betrokken partijen. De partijen kunnen dit advies naast zich neer leggen waarna voor de partij die de klacht heeft ingezien niet tevreden is de gang naar de rechter overblijft. De Klachten- en geschillencommissie van eHerkenning heeft aangegeven dat zij te weinig effectief kan optreden omdat er geen bindende uitspraak gedaan kan worden. In het geval van het eID Stelsel neemt het aantal individuele gebruikers van het stelsel ten opzichte van eHerkenning toe. De mogelijkheden van individuele burgers om zicht juridische te laten ondersteunen in vergelijking met bedrijven, Deelnemers en Dienstverlener beperkt.

Advies Onderzoekt of het wenselijk is en mogelijk is om de zeggingskracht van de Klachten- en geschillencommissie voor het eID Stelsel te versterken.

Pagina 23 van 27


5 BIJLAGE Samenvatting Rollen en Verantwoordelijkheden in het toezicht eID

De bijlage geeft een overzicht van het voorstel uit hoofdstuk 3 voor de manier waarop het toezicht op het eID Stelsel kan worden ingericht.

Pagina 24 van 27



Communiqué Stuurgroep eID 6 november jl.


4a. Introductieplateau eID Communiqué Stuurgroep eID

Status

Ter informatie

Voorstel

Het eID-platform wordt gevraagd dit communiqué ter kennisgeving aan te nemen.

Tijdens de laatste StuurgroepeID is hoofdzakelijk gesproken over het introductieplateau eID. Door middel van dit communiqué informeert het programmamanagement u over de bespreking in de StuurgroepeID van 6 november jl., en wat de laatste ontwikkelingen zijn. Het programmamanagement heeft toegelicht dat naar aanleiding van gevoerde gesprekken met departementen en Nederland ICT het volgende is gebleken: • Er blijkt geen of onvoldoende steun voor het afsprakenstelsel 2.0 (in wording) van het bedrijfsleven en er is een onvoldoende gedeelde opvatting tussen publieke en private partijen. • Het blijkt dat BZK en EZ de beleidsmatige consequenties van afsprakenstelsel 2.0 (in wording), zoals afgerond in februari 2014, niet zonder meer delen. • Het rapport Elias, dat vraagt om kleine projectstappen is in oktober uitgekomen. • De publieke dienstaanbieders komen nog onvoldoende met pilotvoorstellen. Met deze punten komt een deel van het Stelsel, de Stelselregistratiedienst als onderdeel van het Stelsel 2.0 (in wording), in toenemende mate op het kritieke pad te liggen. Hierbij was de Stelselregistratiedienst vooral bedoeld als methodiek voor de bescherming van privacy en voor forensisch onderzoek indien sprake is van fraude waarbij het eID Stelsel wordt gebruikt. Daarom heeft het programmamanagement in september aan de lead-architect gevraagd een alternatief te ontwikkelen, dat aan de volgende eisen voldoet en voor de pilots kan worden gebruikt (het “Introductieplateau eID”): • Het krijgt steun van de (meeste) middelenleveranciers; • Het krijgt steun van publieke en private leveranciers van diensten; • Het krijgt steun van BZK en EZ omdat de beleidsmatige consequenties minder ingrijpend zijn, bekend zijn en begrepen worden; • Het is een overzichtelijke stap in de richting van een volledig stelsel, met indien dan gewenst een Stelselregistratiedienst;

•

Het is technisch haalbaar voor medio 2015.

Het programmamanagement vraagt met deze presentatie geen besluit over de precieze invulling van het introductieplateau eID aangezien het daarvoor nog niet voldoende is gedeeld, maar vraagt expliciet om instemming van de StuurgroepeID om de voorgestelde richting in te slaan. In de StuurgroepeID van december 2014 zal om een definitief besluit worden gevraagd. Hierbij zullen beleidsmatige consequenties in beeld zijn gebracht en weten we wat de financiële consequenties voor 2015 zijn. Tevens zal een heldere stip op de horizon en een planning gerealiseerd moeten zijn. Ook is besloten dat daarbij opgetekend moet worden wat er niet zal zijn als het introductieplateau eID de te volgen koers gaat worden.


De StuurgroepeID heeft aangegeven deze lijn te steunen. Afgesproken is dat de lijn in z’n consequenties wordt uitgewerkt richting de StuurgroepeID van 11 december 2014 en via het BAOeID van 27 november 2014.


Pagina 2 van 2

Carlo Koch (programmamanager), Gerrit Jan van t Eind (programmamanager), Nicole Damen (secretaris)

Recommend Documents