DigiD – De sleutel tot het DKD Versie 1.0 Datum: 26 februari 2007
DigiD – De sleutel tot het DKD versie 1.0
Inhoudsopgave 0. MANAGEMENT SAMENVATTING ................................................................ 3 1. INLEIDING ............................................................................................... 5 1.1 ALGEMEEN ........................................................................................... 5 1.2 DOELSTELLING DOCUMENT. ..................................................................... 6 1.3 SCOPE ................................................................................................ 6 1.4 BRONVERMELDING ................................................................................ 6 1.5 VERSIEGESCHIEDENIS ............................................................................ 7 1.6 GOEDKEURING EN ONDERHOUD ................................................................ 7 2. DIGITALE IDENTITEIT.............................................................................. 8 2.1 IDENTITEIT ......................................................................................... 8 2.2 DIGID ................................................................................................ 8 2.3 DIGID AUTHENTICATIE EN BETROUWBAARHEID ............................................ 9 2.4 AANSLUITVOORWAARDEN DIGID............................................................ 11 3. JURIDISCHE ASPECTEN .......................................................................... 12 3.1 WET ELEKTRONISCH BESTUURLIJK VERKEER .............................................. 12 3.2 WET ELEKTRONISCHE HANDTEKENING ...................................................... 14 3.3 WET SUWI EN WBP........................................................................... 16 3.4 ARCHIVERING/ BEWAARTERMIJNEN ........................................................ 18 3.5 AANSPRAKELIJKHEID / GEBRUIKERSVOORWAARDEN ................................... 19 4. BEPALING BENODIGD BETROUWBAARHEIDSNIVEAU DIGID .................. 21 4.1 PROCES BEPALING BETROUWBAARHEIDSNIVEAU DIGID ............................... 21 4.2 PROCESINRICHTING/BESCHRIJVING........................................................ 21 4.3 TOEPASSELIJKE WETGEVING .................................................................. 21 4.4 WID ................................................................................................ 21 4.5 CLASSIFICATIE PERSOONSGEGEVENS ....................................................... 22 4.6 AARD, INHOUD EN DOEL GEGEVENSVERWERKING ........................................ 24 4.7 RISICOPROFIEL WEBDIENST .................................................................. 25 4.8 BEOORDELING UITKOMSTEN PROCESTAPPEN EN MOTIVATIE KEUZE .................. 28 5. INZET DIGID BINNEN HET DKD PORTAAL .............................................. 30 5.1 PORTAAL SOCIALE ZEKERHEID - DKD ..................................................... 30 5.2 WEBDIENST “TONEN KLANTBEELD” ........................................................ 30 5.3 WEBDIENST “INSCHRIJVING WERK” ....................................................... 30 5.4 WEBDIENST “AANVRAAG WW / WWB”.................................................. 31 5.5 PERSOONLIJKE INTERNET PAGINA (PIP) ................................................. 31 5.6 OVERHEIDSVOORZIENING INZAGE EN CORRECTIERECHT ............................... 32 6. ONTWIKKELINGEN AUTHENTICATIE ...................................................... 33 6.1 GENERIEKE AUTHENTICATIEMIDDELEN ..................................................... 33 6.2 UITBREIDING AUTHENTICATIE MIDDELEN DIGID ........................................ 33
Pagina 2 van 37
DigiD – De sleutel tot het DKD versie 1.0
0.
MANAGEMENT SAMENVATTING
De SUWI ketenpartners willen webdiensten aan de burger aanbieden middels het internet. Als een burger naar een loket gaat, wordt daar de identiteit van de burger vastgesteld aan de hand van zijn identiteitsbewijs. Gaat de burger naar de site van de SUWI ketenpartners op het internet dan wordt het lastiger om de identiteit vast te stellen. Voor eigenaren van webdiensten binnen de keten van werk en inkomen is het nodig om met “voldoende zekerheid” te weten welke burger de diensten vraagt. Voor de webdiensten binnen de keten van werk en inkomen is het dan ook noodzakelijk om te beschikken over een authenticatievoorziening die de identiteit van de burger met een bepaalde mate van zekerheid vaststelt. Om te voorkomen dat de burgers straks met een complete digitale sleutelbos geconfronteerd wordt en voor het beheersen van de kosten is gekozen om één nationale authenticatievoorziening te ontwikkelen voor alle overheidsorganen. De overheids authenticatievoorziening DigiD biedt deze mogelijkheden. DigiD staat voor Digitale Identiteit. Het voorliggende document beschrijft de wettelijke kaders waarmee rekening gehouden moet worden bij het aanbieden van elektronische diensten via het portaal van DKD en de vereisten bij gebruik van de elektronische handtekening. Tevens worden de kaders aangegeven voor het vaststellen van de vereiste mate van zekerheid over de identiteit van de burger bij het raadplegen van eigen dossier(onderdelen) binnen DKD met DigiD. Hierbij wordt specifiek aandacht besteed aan de aard, inhoud en doel van de gegevensverwerking alsmede het risicoprofiel van de webdiensten. De wet SUWI en de Wet Bescherming Persoonsgegevens (WBP) geven aan dat met een bepaalde mate van zekerheid de identiteit van de burger vastgesteld moet worden voordat een dienst geleverd mag worden. De wet SUWI is concreet in de uitwerking op welke wijze en met welke mate van zekerheid de identiteit van de burger vastgesteld moet worden. De WBP spreekt over een deugdelijke vaststelling van de identiteit van de burger en gaat hier verder niet op in. Veelvuldig wordt gebruik gemaakt van de bij de WBP horende handreiking Achtergrondstudies en Verkenningen (AV-23) waarin beveiligingsmaatregelen worden aanbevolen voor de onderkende risicoklassen van persoonsgegevens. AV-23 heeft de focus op gegevensverwerking en beveiliging van persoonsgegevens binnen organisaties en niet op de ontsluiting van de persoonsgegevens naar de burgers. In de wet SUWI en WBP wordt geen onderscheid gemaakt in de fasering die bestaat binnen het dienstverleningsproces binnen de keten van werk en inkomen waarbij een andere mate van zekerheid van de identiteit toereikend kan zijn voor het verlenen van de (deel)diensten. Binnen de keten van werk en inkomen zal eerst vanuit de eigen verantwoordelijkheid van de ketenpartners en gebruikmakende van de wettelijke kaders de vereiste mate van zekerheid over de identiteit van de burger vastgesteld moeten worden. Hierna kan bij inzet van authenticatievoorzieningen als DigiD een verantwoorde keuze gemaakt worden voor het bijbehorende betrouwbaarheidsniveau van de identiteit van de burger. DigiD kent drie betrouwbaarheidsniveaus en bijbehorende authenticatiemiddelen welke een bepaalde mate van zekerheid bieden over de identiteit van de burger namelijk: •
Basis: Het authenticatie middel verschaft een beperkte mate van zekerheid over de authenticiteit van een gebruikersactie: op basis van iets dat je weet (pincode of wachtwoord)
Pagina 3 van 37
DigiD – De sleutel tot het DKD versie 1.0 • •
Midden: Het authenticatie middel verschaft een redelijke mate van zekerheid over de authenticiteit van een gebruikersactie: op basis van iets dat je weet (wachtwoord of pincode) en iets dat je bezit (magneetkaart of token) Hoog: Het authenticatie middel verschaft een hoge mate van zekerheid over de authenticiteit van een gebruikersactie: op basis van iets dat je weet (wachtwoord of pin) en iets dat je bezit (badge of token) en iets dat je bent (irisscan of vingerscan).
DigiD werkt aan de ontwikkeling en beschikbaarheid van de verschillende betrouwbaarheidsniveaus en bijbehorende authenticatiemiddelen. Momenteel is binnen DigiD het betrouwbaarheidsniveau basis en midden operationeel. DigiD kent ook een tijdelijke toegangscode. De toegangscode van DigiD heeft de status “tijdelijk” zolang de burger zijn account en wachtwoord niet heeft geactiveerd met de op het GBA huisadres ontvangen activeringscode. De vaststelling van de identiteit van de burger binnen het reguliere dienstverleningsproces van de keten werk en inkomen is te vergelijken met het betrouwbaarheidsniveau midden van DigiD (op basis van iets dat je weet en de fysieke aanwezigheid en iets wat je hebt namelijk een identiteitspapier). De vaststelling van de identiteit van de burger binnen het reguliere dienstverleningsproces van de keten werk en inkomen blijft gehandhaafd bij inzet van DigiD. Voor de DKD webdiensten kan een ander verificatieproces en mate van zekerheid van de identiteit volstaan. Het betrouwbaarheidsniveau basis van DigiD is verantwoord in bepaalde fasen van het dienstverleningsproces voor verwerking van persoonsgegevens tot en met risicoklasse II. Hierbij wordt uitgegaan van het feit dat de toets op de authenticiteit gebruik makend van een identificatiebewijs volledig is uitgevoerd voor een lopende dienst (bestaand dossier) of nog invulling gaat krijgen voor een nieuwe dienst. In dat geval is met een redelijke mate van zekerheid de identiteit van de burger bepaald binnen het reguliere dienstverleningsproces binnen de keten van werk en inkomen of wordt deze nog bepaald. Gebruik van DigiD basis wordt aanbevolen voor alle gegevensverwerkingen tot en met risicoklasse II voor DKD webdienst toepassingen waarbij enkel raadplegingen en/of aanvragen tot (nieuwe) uitkeringen plaatsvinden. Naast de beveiligingsmaatregelen van de authenticatievoorziening beschikken DigiD en de DKD webdiensten over noodzakelijke aanvullende organisatorische en technische maatregelen (onder andere alle communicatie tussen DKD en DigiD en de DKD webdienst met de burger is versleuteld). Mits gebruikt voor het vaststellen van de identiteit van de gebruiker biedt DigiD bij een groot aantal processen ten minste dezelfde betrouwbaarheid als bij de huidige schriftelijke of mondelinge werkwijzen. Bij DKD webdiensten waarbij verzoeken tot wijzigingen worden ingediend op persoonsgegevens tot en met risicoklasse II is authenticatie met het DigiD betrouwbaarheidsniveau basis verantwoord. Voor het verwerken van real-time meldingen en of wijzigingen is betrouwbaarheidsniveau midden van DigiD vereist. De elektronische ondertekening van de DKD webformulieren (aanvraag uitkeringen of voorzieningen) met de geactiveerde DigiD toegangscode (betrouwbaarheidsniveau basis) is in de meeste gevallen betrouwbaar. Het beslisschema in het laatste hoofdstuk geeft voor een aantal DKD webdiensten het vereiste betrouwbaarheidsniveau van DigiD aan.
Pagina 4 van 37
DigiD – De sleutel tot het DKD versie 1.0
1.
Inleiding
1.1
Algemeen
In december 2004 heeft de staatssecretaris van SZW een expertcommissie informatievoorziening en elektronische dienstverlening in het SUWI domein ingesteld. Deze commissie had als opdracht aanbevelingen te doen voor de verbetering en versnelling van de totstandkoming van de gewenste informatievoorziening en elektronische dienstverlening in het SUWI domein. Op 15 april 2005 heeft de Expertcommissie Informatievoorziening haar eindrapport, getiteld “ De burger bediend!” aangeboden aan de Eerste en Tweede Kamer der Staten Generaal en daarbij in een brief een aantal maatregelen aangekondigd die gericht zijn op het realiseren en borgen van eenmalige uitvraag en hergebruik van gegevens, te weten: • •
Wettelijk verbod op dubbele gegevensuitvraag Ontwikkeling digitaal klantdossier (DKD)
CWI heeft vervolgens de opdracht gekregen om in overleg met de ketenpartners UWV, VNG, CP-ICT, IB en BKWI het digitale klantdossier te ontwikkelen. Het digitaal klantdossier is een representatie van alle relevante (zowel actuele als historische) gegevens omtrent een klant binnen het SUWIdomein. Het digitaal klantdossier zal beschikbaar moeten zijn voor de klanten en medewerkers (professionals) van de Suwi partijen onafhankelijk van plaats en tijd. De klant zal centraal moeten staan in de uitvoering van werk en inkomen, het digitaal klantdossier zal dan ook organisatieoverstijgend (ketenbreed) worden ingericht en gebruikt. Binnen het nieuwe dienstverleningsconcept zoals beschreven in “De klant centraal” geven de samenwerkende partijen binnen de keten van werk en inkomen verdere invulling aan maatwerk richting de klanten als het gaat om de bereikbaarheid, het aanvragen van diensten en het leveren van gegevens. Hiertoe worden verschillende communicatiekanalen ingericht namelijk telefooncentra en elektronische dienstverlening via het DKD portaal. Als een burger naar een loket gaat, wordt daar de identiteit van de burger vastgesteld aan de hand van zijn identiteitsbewijs. Gaat de burger naar het DKD portal dan wordt het lastiger om de identiteit vast te stellen. Bij elektronische diensten waarbij persoonsgegevens uitgewisseld worden, zal met een bepaalde mate van zekerheid de identiteit vastgesteld moeten worden. Het is dan ook noodzakelijk om te beschikken over een authenticatievoorziening die de identiteit van de klant met een bepaalde mate van zekerheid vaststelt. Om te voorkomen dat iedere overheidsinstelling een eigen authenticatievoorziening gaat ontwikkelen en inzetten is er voor gekozen om één voorziening voor alle overheidsorganen te ontwikkelen. De overheids authenticatievoorziening is inmiddels ontwikkeld en heeft de naam DigiD meegekregen. DigiD staat voor Digitale Identiteit. Naast de financiële voordelen voor overheidsorganen, biedt DigiD voor de burger gebruiksgemak en voorkomt een digitale sleutelbos. De kernfunctie van DigiD is om een gebruiker/burger online te authenticeren (bijvoorbeeld op het basisniveau door controle op de juistheid van het wachtwoord bij de gebruiker-id) en om de vastgestelde identiteit van de gebruiker (BSN-nummer) door te geven aan de webdienst. Het authenticeren van de gebruiker kan gebeuren met een verschillende mate van zekerheid (basis, midden en hoog).
Pagina 5 van 37
DigiD – De sleutel tot het DKD versie 1.0
1.2
Doelstelling document.
Dit document beschrijft de wettelijke kaders waarmee de eigenaren van DKD webdiensten rekening moeten houden bij het aanbieden van elektronische diensten en het elektronisch ondertekenen van webformulieren met DigiD. Tevens worden de kaders aangegeven voor de vereiste mate van zekerheid over de identiteit van de burger bij het raadplegen van de eigen dossier(onderdelen) met gebruikmaking van DigiD.
1.3
Scope
De in dit document beschreven wettelijke kaders zijn bindend voor alle webdiensten binnen het DKD portaal, de webdiensten van de samenwerkende partners binnen de keten van werk en inkomen en voor de webdiensten welke via de Persoonlijke Internet Pagina (PIP) aan de burger worden geboden door de ketenpartners binnen de keten van werk en inkomen.
1.4 • • • • • • • • • • • • • • • • • • • • • • • • • • • •
Bronvermelding
Een gemeenschappelijke klantbenadering voor de SUWI-keten, advies aan AKO versie 0.91 De klant centraal – Gemeenschappelijk Dienstverleningsconcept Werkzoekenden, conceptversie 1.0 Multichanneling – Richting en Aanpak (verbinden en verdiepen) versie 0.44 Ontwikkelingsplan Digitaal Klantdossier versie 1.0 Design Specification Het Digitaal Klantdossier versie 0.2 Strategisch Beleid B&P UWV Tactisch Beleid B&P UWV Verantwoordingsrichtlijn Suwinet versie 2.0 UWV Risicoanalyse methode informatiesystemen versie 1.0 Adviesrapport Portaal integratie DKD Projectstartarchitectuur Internet/Intranet E-authenticatie voor managers ECP.nl Dossier e-Authenticatie ECP.nl Dossier Elektronische handtekening en certificatieverleners ECP.nl Stand van zaken e-Authenticatie in Nederland ECP.nl E-OK Raamwerk ECP.nl DigiD Betrouwbaarheidsniveaus Authenticatie en handtekening versie 1.3 Handreiking aanwijzingen en specificaties DigiD versie 1.0 - 12 juli 2005 Architectuur DigiD 1.3 PKI Overheid Factsheet De elektronische handtekening E-overheid De Wet Elektronische Handtekeningen Portaalintegratie DKD adviesrapport versie 0.1 PSA Digitaal Klantdossier UWV 2006 versie 0.4 Achtergrond Studies en Verkenningen 23 (AV-23) van CBP Wet SUWI en WBP Wet op de identificatieplicht Wet Elektronisch Bestuurlijk Verkeer (Webv) UWV Handreiking inzake gebruik DigiD (versie 0.3)
Pagina 6 van 37
DigiD – De sleutel tot het DKD versie 1.0
1.5
Versiegeschiedenis
Versie Datum
Verschil met voorgaande versie
0.1
6 november 2006 Eerste versie
0.2
6 december 2006
Opmerkingen verwerkt van Jan Breeman (BKWI), Rens ten Brink (IB), Sirkka Gleusteen en Johan van der Meer (AD UWV)
1.0
26 februari 2007
Vormgeving aangepast, geen inhoudelijke wijziging
1.6
Goedkeuring en onderhoud
Dit document is opgesteld door de DKD projectgroep beveiliging en privacy met betrokkenheid van beveiligingsdeskundigen en juristen. Het Beleidsdocument is afgestemd met de volgende partijen: • • • • • • •
UWV CWI SVB CP-ICT BKWI Inlichtingen Bureau (IB) IWI
De inhoudelijke goedkeuring van dit document vindt plaats binnen de Domeingroep Privacy en Beveiliging (DPB) van het BKWI. Vaststelling vindt plaats door het AKO overleg. Onderhoud van dit document wordt gedaan door de DPB. Nieuwe versies van dit document zullen door de DPB ter vaststelling worden voorgelegd aan het AKO overleg.
Pagina 7 van 37
DigiD – De sleutel tot het DKD versie 1.0
2.
Digitale Identiteit
2.1
Identiteit
Om persoonlijke elektronische diensten via het Internet te kunnen verlenen aan burgers is het essentieel voor een diensteigenaar om met “voldoende zekerheid” te weten wie de persoon is die de diensten vraagt. Het gaat dan bij elektronische authenticatie om de vraag of “iemand in een elektronische omgeving echt degene is die hij zegt te zijn”. Authenticatie dient hierbij niet verward te worden met autorisatie, dat iets zegt over de bevoegdheid van een persoon. Het aantonen en verifiëren van een elektronische identiteit kan op globaal drie manieren plaatsvinden met de daaraan verbonden authenticatiemiddelen: • • •
Door iets wat je weet (wachtwoord, PIN code, ‘shared secret’) Door iets wat je hebt (magneetstripkaart, chipcard, hardware token, software token) Door iets wat je bent (biometrie, bijvoorbeeld vingerafdruk, of iriscopie)
Ook worden de mogelijkheden in combinatie gebruikt (bijvoorbeeld een bankpas met een PIN-code). Een authenticatiemiddel koppelt met een bepaalde mate van betrouwbaarheid de identiteit van een gebruiker aan een technisch middel.
2.2
DigiD
Een aantal partijen (Belastingdienst, College van Zorgverzekeringen, Centrum voor Werk en Inkomen, Informatie Beheer Groep, Sociale Verzekeringsbank en UWV) vormen samen de Manifest-Groep. Deze groep heeft in juni 2003 in het Manifest “Innovatie in Uitvoering” aangekondigd gezamenlijk een laagdrempelig systeem te ontwikkelen voor burgers, waarmee de identiteit van burgers kan worden vastgesteld. Dit systeem is ontwikkeld onder de naam Nieuwe Authenticatievoorziening (NAV) en later omgedoopt tot Burgerpin. Het Bureau Keteninformatisering Werk en Inkomen (BKWI) heeft het systeem gerealiseerd. Gelijktijdig werkte het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan de conceptuele ontwikkeling van een landelijke authenticatievoorziening onder de naam OverheidsToegangsvoorziening (OTV). In oktober 2004 zijn NAV en OTV samengevoegd tot DigiD en sinds 1 januari 2005 is DigiD daadwerkelijk operationeel. De aanduiding DigiD staat voor Digitale Identiteit. Het is een gemeenschappelijk authenticatiesysteem waarmee de overheid op internet gebruikers kan authenticeren. Iedere burger woonachtig in Nederland en opgenomen in de GBA met een sofinummer (BSN) kan een DigiD-gebruikersnaam en wachtwoord aanvragen. Op www.DigiD.nl klikt de burger op aanvragen. Na het verplicht invullen van het sofinummer, geboortedatum, postcode en huisnummer, kiest de burger zelf een gebruikersnaam en wachtwoord. Bij iedere nieuwe aanvraag van een DigiDgebruikersnaam met wachtwoord wordt eenmalig een koppeling gemaakt met de Landelijk Raadpleegbare Deelverzameling (LRD) van de Gemeentelijke Basisadministratie (GBA). Op basis van de gegevens uit de GBA stuurt DigiD een brief met actiPagina 8 van 37
DigiD – De sleutel tot het DKD versie 1.0 veringscode naar het huisadres van de aanvrager, zoals dat bekend is bij zijn gemeente. Door die activeringscode samen met bijbehorend gebruikersnaam en wachtwoord in te vullen via de betreffende pagina op www.DigiD.nl activeert de burger zijn registratie. DigiD zorgt er als authenticatie Service Provider voor dat de identiteit van de bezoeker van de overheidswebsite wordt gecontroleerd. Na deze elektronische authenticatie kunnen overheidspartijen diensten op maat aanbieden of inzage geven in persoonlijke gegevens. Dienstverlening van overheidsorganisaties via het Internet – een van de doelstellingen in het actieprogramma Andere Overheid – komt hiermee een stap dichterbij. Binnen DigiD kunnen verschillende authenticatiemiddelen worden gebruikt met een verschillend betrouwbaarheidsniveau. Een authenticatiemiddel is een technische voorziening waaraan de identiteit van een eindgebruiker kan worden gekoppeld met een bepaalde mate van betrouwbaarheid. Denk hierbij aan de betrouwbaarheidsniveau’s ‘hoog’, ‘midden’ en ‘basis’. De eigenaar van de webdienst bepaald op basis van een risicoanalyse welk betrouwbaarheidsniveau is vereist voor het ontsluiten van de betreffende dienst. De kernfunctie van DigiD is een gebruiker online te authenticeren (bijvoorbeeld, op het basisniveau, door controle op juistheid van het wachtwoord bij de gebruiker-id) en om de vastgestelde identiteit van de gebruiker (BSN) door te geven aan de webdienst.
2.3
DigiD authenticatie en betrouwbaarheid
Elektronische Authenticatie is het proces om de identiteit van een gebruiker van een geautomatiseerde voorziening vast te stellen. Dat vaststellen gebeurt doordat de gebruiker een bewijs van zijn (elektronische) identiteit levert. Iedere gebruiker heeft een identiteit. Er wordt onderscheid gemaakt tussen de identiteit die gehanteerd wordt tussen gebruiker en DigiD (gebruikersnaam) en de formele identiteit van de gebruiker, geïdentificeerd door zijn sofi-nummer/BSN. Bij het aanvragen van een account levert een gebruiker een bewijs dat hij de persoon is die wordt geïdentificeerd door het sofi-nummer, en koppelt daar een gebruikersnaam aan vast. Het rechtmatige gebruik van gebruikersnaam wordt vervolgens bij het inloggen bewezen door het bijbehorende wachtwoord. De burger vraagt een toegangscode aan bij DigiD. Omdat DigiD aan de overheidswebdiensten een betrouwbaar identificatienummer moet kunnen leveren zal eerst voldoende zekerheid over de identiteit van de burger moeten zijn verkregen bij het aanvragen van een toegangscode. Het verkrijgen van deze zekerheid is een functie die is ondergebracht bij DigiD, en die dus niet is neergelegd bij een voor DigiD externe authenticatievoorziening. Deze functie houdt in dat een burger een toegangscode kan aanvragen bij DigiD, de identiteit van de burger gecontroleerd wordt als onderdeel van het aanvragen, een burger zijn account kan beheren. Aanvragen van een toegangscode gebeurt met Sofi-nummer Een burger identificeert zich bij DigiD met zijn Sofi-nummer. Dit nummer is gekozen omdat zo goed als alle potentiële gebruikers van DigiD beschikken over een Sofinummer, en dat ook weten. Bezien vanuit de pragmatische benadering is het accepPagina 9 van 37
DigiD – De sleutel tot het DKD versie 1.0 tabel dat niet 100% van alle potentiële gebruikers van DigiD een toegangscode kunnen aanvragen. Wanneer op termijn overgegaan zal worden op het BSN, zal deze beperking komen te vervallen. Betrouwbaarheidsniveau is gebaseerd op een brief naar het domicilie-adres. De door DigiD uitgereikte toegangscode moet met een bepaald niveau van betrouwbaarheid ook betrekking hebben op de betreffende, door het Sofi-nummer geïdentificeerde persoon. Dit wordt bereikt doordat na het aanvragen een brief naar het domicilieadres van de persoon met dit sofi-nummer wordt gestuurd. Als domicilieadres wordt genomen het adres dat is vastgelegd in de GBA. Omdat de aanvraag online afgehandeld moet kunnen worden, is ook een online bevraging van de GBA noodzakelijk. Dat gebeurt met behulp van de LRD. Dit levert een andere beperking op: alleen potentiële gebruikers die voorkomen in de GBA/LRD kunnen een toegangscode aanvragen. Betrouwbaarheidsniveau basis als start, doorgroei mogelijk naar andere niveaus Bovenstaande werkwijze leidt tot het zogenaamde betrouwbaarheidsniveau basis binnen DigiD na activering van de toegangscode. Tot het moment van activering heeft de burger een tijdelijke toegangscode van DigiD waarmee op beperkte schaal diensten kunnen worden afgenomen. Webdiensten dienen bij hun dienstverlening rekening te houden met de tijdelijke toegangscode en dus zo nodig bij de afhandeling van de dienst extra controles in het proces in te bouwen. De toevoeging van SMS authenticatie aan de bestaande gebruikersnaam wachtwoord combinatie bewerkstelligt dat een hogere mate van betrouwbaarheid wordt gehaald namelijk midden. De volgende drie betrouwbaarheidsniveaus worden onderkend binnen DigiD: Basis Midden Hoog
De DigiD verschaft een beperkte mate van zekerheid over de authenticiteit van een gebruikersactie. De DigiD verschaft een redelijke mate van zekerheid over de authenticiteit van een gebruikersactie. De DigiD verschaft een hoge mate van zekerheid over de authenticiteit van een gebruikersactie.
De burger kent en vertrouwt DigiD. DigiD is nadrukkelijk in beeld voor de burger. Het is noodzakelijk dat de burger weet dat zowel het aanvragen van een toegangscode (account), als het inloggen gebeurt bij DigiD. Dat betekent dat DigiD een zelfstandige voorziening is die wordt geleverd door één zelfstandige dienstverlener. Met zelfstandig wordt bedoeld dat er geen relatie is met welke webdienst dan ook. Het vertrouwen dat de burger heeft in DigiD is gebaseerd op het feit dat alle contacten van de burger met betrekking tot de toegangscode uitsluitend met DigiD gevoerd worden. DigiD werkt uniform voor alle webdiensten en heeft hetzelfde betrouwbaarheidsniveau Het betrouwbaarheidsniveau moet door DigiD in gelijke mate gegarandeerd kunnen worden aan alle webdiensten. Dat betekent dat alle soorten aanvragen op vergelijkbare wijze door DigiD gecontroleerd worden bij de LRD, en dat zeker gesteld wordt dat een brief op het domicilieadres ten grondslag ligt aan de toegangscode.
Pagina 10 van 37
DigiD – De sleutel tot het DKD versie 1.0
2.4
Aansluitvoorwaarden DigiD
Om gebruik te kunnen maken van DigiD als authenticatievoorziening voor de DKD webdiensten moeten de samenwerkende partners binnen de keten van werk en inkomen voldoen aan de aansluitvoorwaarden van DigiD. In de aansluitvoorwaarden wordt onder andere aandacht besteed aan beveiliging en omgang met beveiligingsincidenten. Zo moeten de eigenaren van webdiensten binnen de keten van werk en inkomen zelf het vereiste betrouwbaarheidsniveau bepalen dat vereist is voor het afnemen van een dienst door de burger. Aan de hand van wettelijke bepalingen en een risico analyse kan het betrouwbaarheidsniveau worden vastgesteld. Dit niveau moet in overeenstemming zijn met het betrouwbaarheidsniveau van de authenticatiedienst die bij DigiD wordt afgenomen. DigiD verifieert de identiteit van gebruikers (burgers en bedrijven) voor de webdienst. DigiD draagt geen verantwoordelijkheid voor autorisaties van gebruikers. DigiD verleent alleen toegang aan gebruikers tot het DKD portal. De proceseigenaren van de DKD webdiensten moeten zelf bepalen waartoe de gebruiker geautoriseerd wordt. De authenticiteit van de DKD webdienst en de vertrouwelijkheid van communicatie tussen de DKD webdienst en DigiD wordt gewaarborgd door gebruik te maken van een SSL verbinding. Hiertoe is beheerorganisatie van DKD verantwoordelijk voor het verkrijgen van een geldig services certificaat (SSL) conform PKI overheid. De beheerorganisatie van het DKD dient bij vermoeden van misbruik van DigiD contact op te nemen met de DigiD organisatie. De beheerorganisatie van DKD moet een contactpersoon opgeven bij de DigiD organisatie met wie de DigiD beheerorganisatie kan overleggen in het geval dat beveiligingsincidenten voordoen. Binnen de DigiD organisatie bestaan verschillende beheer en werkgroepen. Vertegenwoordigers uit de keten van werk en inkomen nemen in de verschillende beheer en werkgroepen van DigiD zitting. Binnen de beheerorganisatie van het DKD worden de noodzakelijke technische voorzieningen voor DigiD als een generieke voorziening centraal ingericht waarvoor ook het beheer en onderhoud moet worden uitgevoerd.
Pagina 11 van 37
DigiD – De sleutel tot het DKD versie 1.0
3.
Juridische Aspecten
3.1
Wet elektronisch bestuurlijk verkeer
De Wet elektronisch bestuurlijk verkeer (Webv) vult de Algemene wet bestuursrecht (Awb) aan met regels voor het verkeer langs elektronische weg tussen burgers en bestuursorganen en tussen bestuursorganen onderling. Onder elektronisch bestuurlijk verkeer wordt verstaan: iedere vorm van elektronische gegevensuitwisseling met een ander (bestuursorganen met burgers en bestuursorganen onderling). Het gaat hierbij onder meer om e-mail, Internet en Intranet, fax en sms. In de Webv wordt elektronisch verkeer in beginsel gelijkgesteld met schriftelijk verkeer. De Webv formuleert abstracte normen waaraan elektronisch verkeer moet voldoen teneinde voldoende beveiligd te zijn. De wijze waarop aan deze normen kan worden voldaan, is afhankelijk van de stand van de techniek. De normen kunnen technisch worden uitgewerkt in bijzondere regelgeving, gedragscodes of protocollen. De Webv heeft niet tot doel deze technische vereisten vast te leggen. De Webv kent een aantal algemene uitgangspunten Vrije kanaalkeuze burgers Burgers mogen er niet toe worden gedwongen om gebruik te maken van elektronisch verkeer. Het moet zijn gewaarborgd dat bepaalde burgers of groepen in de samenleving die niet wensen of kunnen deelnemen aan elektronisch verkeer toegang blijven houden tot informatie via de overige kanalen. Wanneer een bestuursorgaan een elektronisch bericht verzendt aan een geadresseerde, moet deze geadresseerde van tevoren kenbaar hebben gemaakt dat hij/zij langs deze weg bereikbaar is. Een verantwoordelijke mag er niet vanuit gaan dat een betrokkene via elektronisch verkeer voldoende bereikbaar is als deze, naast persoonsgegevens, ook zijn/haar emailadres heeft opgegeven. Ook voor bestuursorganen geldt dat de enkele beschikbaarheid van een elektronisch adres nog niet betekent dat daarmee voor alle mogelijke handelingen de elektronische weg openstaat. De elektronische bereikbaarheid kan zo dus stap voor stap worden uitgebouwd. Het bestuursorgaan kan dit zowel in een algemene regeling als in een bericht aan een of meer geadresseerden kenbaar maken. Het bestuur kan bijvoorbeeld via brochures, huis-aan-huisbladen of op een website te kennen geven hoe en waar de burger de aanvraag voor een bepaald soort vergunning kan doen, klachten kan indienen, en dergelijke. Als een bestuursorgaan documentinformatie, zoals een jaarverslag, bekend maakt, dan mag deze niet uitsluitend via de elektronische weg worden verstrekt. Ook een papieren versie van dit document zal naar de betrokkenen moeten worden gezonden. Uitzondering op deze regel zijn duidelijk te definiëren (af te bakenen) groepen, waarvan voldoende vaststaat dat zij als geheel toegang hebben tot de elektronische weg.
Pagina 12 van 37
DigiD – De sleutel tot het DKD versie 1.0
Indien een bestuursorgaan kiest om haar diensten op elektronische wijze aan te bieden, dan dient zij zich te conformeren aan deze wet. Daarnaast geldt dat in deze wet het principe van nevenschikking wordt gehanteerd. Hetgeen betekent dat het elektronische communicatiekanaal niet de papieren versie volledig kan verdringen. Immers, niet iedereen heeft toegang tot een computer. Op die grond is het een bestuursorgaan niet toegestaan bepaalde zaken alleen nog maar langs elektronische weg te doen, tenzij alle betrokkenen hiermee instemmen. Tijdstip van verzending/ontvangst Als tijdstip waarop een bericht door een bestuursorgaan elektronisch is verzonden, geldt het tijdstip waarop het bericht een systeem voor gegevensverwerking bereikt waarover het bestuursorgaan geen controle heeft (bijvoorbeeld het systeem van de internetserviceprovider). Indien het bestuursorgaan en de geadresseerde gebruik maken van hetzelfde systeem geldt het tijdstip waarop het bericht toegankelijk wordt voor de geadresseerde. Als tijdstip waarop een bericht door een bestuursorgaan wordt ontvangen, geldt het tijdstip waarop het bericht zijn systeem voor gegevensverwerking heeft bereikt (artikel 2:17 Awb). Het bestuursorgaan moet de ontvangst van een elektronisch ingediende aanvraag altijd bevestigen (artikel 4:3a Awb). Het is van belang om het tijdstip van verzending en ontvangst vast te stellen in verband met het vanaf dat tijdstip gaan lopen van bepaalde termijnen (bezwaartermijen, beslistermijnen). Als een betrokkene onvoldoende kenbaar heeft gemaakt dat hij/zij elektronisch bereikbaar is en/of niet gereageerd heeft op het bericht, kan er niet van uit worden gegaan dat een elektronisch bericht daadwerkelijk is aangekomen. In dat geval zal óók van de conventionele weg gebruik gemaakt moeten worden. De conventionele versie geldt dan als officiële juridische bekendmaking (artikel 3:42 Awb). Mate van betrouwbaarheid en vertrouwelijkheid Berichten die langs elektronische weg door bestuursorganen worden verzonden of ontvangen, dienen in voldoende mate beveiligd te zijn. In de Webv wordt deze eis tot uitdrukking gebracht door te spreken van betrouwbaarheid en vertrouwelijkheid. De volgende aanduidingen geven een goede uitwerking aan de open normen van betrouwbaarheid en vertrouwelijkheid: • Authenticiteit = oorsprong van het document: zijn de gegevens werkelijk van de afzender afkomstig? • Integriteit = de zekerheid dat gegevens volledig zijn en niet onbevoegdelijk zijn gewijzigd. • Onweerlegbaarheid = het voorkomen van weerlegbaarheid; onloochenbaarheid. • Transparantie = de mogelijkheid dat wijzigingen van de gegevens achteraf kunnen worden opgespoord en inzichtelijk kunnen worden gemaakt. • Beschikbaarheid = toegankelijkheid en bereikbaarheid van het document. • Flexibiliteit = de mate waarin aan nieuwe of oude gebruikseisen kan worden voldaan. Pagina 13 van 37
DigiD – De sleutel tot het DKD versie 1.0 •
Vertrouwelijkheid = exclusiviteit: het document is alleen toegankelijk voor hen voor wie het is bestemd. Bij elektronisch verkeer zal het bestuursorgaan deze beginselen in acht moeten nemen. Net als in de WBP vereist de Webv dat betrouwbaarheid en vertrouwelijkheid zijn gewaarborgd. De verantwoordelijke moet hierbij letten op de aard en inhoud van het bericht (risicoklasse) en het doel waarvoor het wordt gebruikt. Ofwel; steeds moet worden beoordeeld of en in hoeverre de elektronische vorm functioneel is en in voldoende mate de betrouwbaarheid verschaft die past bij de aard, inhoud en doel van het bericht. De elektronische weg moet ‘functioneel adequaat’ zijn, dat wil zeggen: met de elektronische weg moeten minstens dezelfde functies kunnen worden gerealiseerd als met de conventionele weg.
3.2
Wet elektronische handtekening
Artikel 2:16 Awb bepaalt dat een elektronische handtekening met een conventionele handtekening mag worden gelijkgesteld indien de methode voor authenticatie voldoende betrouwbaar is. Om te beoordelen of in een bepaald geval een elektronische handtekening voldoende betrouwbaar is, dient te worden gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt. De regels van de Wet elektronische handtekening (WEH), neergelegd in het Burgerlijk Wetboek, zijn van overeenkomstige toepassing voor het elektronisch verkeer. De Wet elektronische handtekening (WEH) biedt de mogelijkheid om documenten elektronisch te ondertekenen. De WEH onderscheidt verschillende soorten elektronische handtekeningen en geeft de waarborgen en de rechtskracht aan die de bij die verschillende soorten handtekeningen horen. De elektronische handtekening In het Burgerlijk Wetboek wordt een elektronische handtekening beschreven als een pakket dat bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authenticatie (art. 3:15a, vierde lid BW) Binnen de omschrijving van de elektronische handtekening, zoals het Burgerlijk Wetboek deze geeft, passen bijvoorbeeld: Pincode, biometrie, dynamische handtekening (digitale pen), ondertekening van de elektronische belastingaangifte. Door gebruik te maken van een elektronische handtekening bij het aanbieden van elektronische diensten kan in een passende beveiliging worden voorzien. De elektronische handtekening kan hierdoor worden ingezet om ervoor te zorgen dat elektronische correspondentie en transacties op belangrijke punten kunnen concurreren met de bekende ‘handtekening op papier’. De gewone elektronische handtekening Een gewone handtekening kan een e-mailbericht,webformulier zijn waarin persoonsgegevens staan of een ingescande handtekening. Uiteraard moet deze handtekening voldoen aan art. 3:15a, vierde lid BW, oftewel de elektronische handtekening moet bestaan uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die gegevens worden gebruikt als middel voor authenticatie.
Pagina 14 van 37
DigiD – De sleutel tot het DKD versie 1.0
De rechtskracht van een gewone elektronische handtekening Een gewone elektronische handtekening heeft dezelfde rechtskracht als een schriftelijke handtekening, maar bij twijfel moet de burger op een of andere manier de betrouwbaarheid van zijn elektronische handtekening aantonen en beslist de rechter over de geldigheid. De rechter is vrij in het toekennen van bewijskracht aan de elektronische handtekening. In het algemeen zal de rechter eerder besluiten de gebruikte elektronische handtekening dezelfde rechtsgevolgen als de handgeschreven handtekening toe te kennen als de rechter overtuigd is van de betrouwbaarheid en authenticiteit. Om te beoordelen of in een bepaald geval een elektronische handtekening voldoende betrouwbaar is, dient te worden gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt. Geavanceerde elektronische handtekening De geavanceerde elektronische handtekening bestaat uit gegevens over de ondertekenaar en een certificaat van een certificaatdienstverlener. Aan de geavanceerde elektronische handtekening worden een aantal vereisten gesteld boven op de eisen die aan een gewone elektronische handtekening worden gesteld, deze vereisten kan men hieronder vinden. De -
vereisten voor een geavanceerde elektronische handtekening Zij is op unieke wijze aan de ondertekenaar verbonden. Zij maakt het mogelijk de ondertekenaar te identificeren. Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden. - Zij is op zodanige wijze aan het elektronische bestand waarop zij betrekking heeft verbonden dat elke wijziging achteraf van de gegevens kan worden opgespoord. - Zij is gebaseerd op een gekwalificeerd certificaat dat voldoet aan strenge eisen zoals gesteld in de telecommunicatiewet. - Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen (bijvoorbeeld smartcard). De laatste twee vereisten zijn een gevolg van de inwerkingtreding van de WEH. De rechtskracht van een geavanceerde elektronische handtekening De handtekening heeft door het gekwalificeerde certificaat dwingende bewijskracht; aan de betrouwbaarheid van de handtekening wordt niet meer getwijfeld. DigiD basis als gewone elektronische handtekening De wet (artikel 4:2 Algemene wet bestuursrecht) stelt de eis dat de aanvraag tot het geven van een beslissing wordt ondertekend. Met de ondertekening kan de aanvrager geïdentificeerd worden: is de aanvraag afkomstig van de klant? Tegelijkertijd heeft de ondertekening een bewijsfunctie, met ondertekening van aanvraag gaat de klant akkoord met de inhoud. DigiD kan samen met een door de burger ingevuld webformulier en een druk op de OK-button aan het einde van zo’n formulier gelden als een gewone elektronische handtekening. Door het gebruik van DigiD op deze wijze wordt voldaan aan de vereisten die worden gesteld aan een gewone elektronische handtekening (art. 3:15a, vierde lid BW). De logisch geassocieerde gegevens moeten hierbij worden vastgelegd. Op die manier kan worden voldaan aan de wettelijk gestelde eis van ondertekening voor bijvoorbeeld de aanvraag van een uitkering, het indienen van een bezwaar- en beroepschrift. Pagina 15 van 37
DigiD – De sleutel tot het DKD versie 1.0
Vergelijking met huidig proces (conventionele methode) Het hangt uiteraard af van het niveau van de dienst/transactie die een overheidsorganisatie met de burger wil doen welke handtekening nodig is. Daarbij zijn belangrijk de waarborgen die een bepaalde handtekening biedt en de rechtskracht die de handtekening heeft. Uitgangspunt is dat de met de elektronische weg tenminste dezelfde functies gerealiseerd kunnen worden als met de conventionele weg. In de huidige processen wordt de schriftelijke ondertekening van de papieren formulieren/brieven (aanvraag uitkering, bezwaarschrift) gebruikt om de identiteit van de ondertekenaar vast te stellen. Ook bij DKD webdiensten waarbij er raadplegingen plaatsvinden op dossiers en aanvragen gedaan worden voor een uitkering heeft de handtekening geen hoger of ander doel dan de identiteit van de gebruiker en de wilsuiting vast te stellen. Dit geldt tevens voor de webdiensten waarbij wijzigingen worden doorgegeven. Voor de webdiensten binnen het DKD portaal moet het gebruik van DigiD basis daarom als voldoende betrouwbaar worden beschouwd om als gewone elektronische handtekening te dienen.
3.3
Wet SUWI en WBP
In artikel 55 van de Wet SUWI wordt aangegeven dat de Centrale organisatie werk en inkomen, het Uitvoeringsinstituut werknemersverzekeringen en Sociale Verzekeringsbank bij de uitoefening van hun taken en de hierbij horende dienstverlening de identiteit van de belanghebbenden (burgers) dienen vast te stellen aan de hand van een document zoals bedoeld in artikel 1, eerste lid, onder 1 tot 3, van de Wet op de Identificatieplicht voorzover dit nodig is voor de uitoefening van de taken. De Wet op de Identificatieplicht noemt de volgende documenten waarmee de identiteit van personen kan worden vastgesteld: • Een geldig paspoort; • De documenten waarover een vreemdeling ingevolge de Vreemdelingenwet 2000 moet beschikken ter vaststelling van zijn identiteit, de nationaliteit en verblijfsrechtelijke positie; • Een geldig nationaal, diplomatie of dienstpaspoort dat is afgegeven door het daartoe bevoegde gezag in een andere lidstaat van de Europese Gemeenschappen of in een andere staat die partij is bij de Overeenkomst betreffende de Europese Economische Ruimte, voorzover de houder de nationaliteit van die andere lidstaat bezit; De Wet Bescherming Persoonsgegevens (WBP) bepaalt in artikel 37 dat de verantwoordelijke zorg moet dragen voor een deugdelijke vaststelling van de identiteit van de verzoeker bij de uitoefening van zijn inzage- en correctierecht. Artikel 55 van de Wet Suwi en artikel 37 van de WBP bepalen dat de identiteit van de belanghebbenden (burgers) vastgesteld moet worden voordat een uitkering door de ketenpartners geleverd mag worden of opvolging wordt gegeven aan het inzage- en correctierecht.
Pagina 16 van 37
DigiD – De sleutel tot het DKD versie 1.0 De Wet Suwi is vrij concreet in de uitwerking op welke wijze de identiteit van de burger vastgesteld moet worden. De WBP echter is niet concreet in de uitwerking op welke wijze en met welke mate van zekerheid de identiteit van de burger vastgesteld moet worden. Veelvuldig wordt gebruik gemaakt van de bij de WBP horende niet bindende handreiking Achtergrondstudies en Verkenningen (AV-23) waarin beveiligingsmaatregelen worden aanbevolen voor de onderkende risicoklassen van persoonsgegevens. AV-23 heeft de focus op de gegevensverwerking en beveiliging van persoonsgegevens binnen organisaties en niet op de ontsluiting van persoonsgegevens naar burgers. In AV-23 wordt dan ook geen aandacht besteed aan de risicoklassen van de persoonsgegevens en de relatie met bijbehorende authenticatie vereisten bij ontsluiting van de persoonsgegevens naar burgers. In de Wet Suwi en WBP wordt bovendien geen onderscheid gemaakt in de fasering die bestaat binnen het dienstverleningsproces waarbij een andere mate van zekerheid van de identiteit toereikend kan zijn voor het verlenen van de (deel)diensten. In de keten van werk en inkomen wordt binnen het reguliere dienstverleningsproces de identiteit van de burger met een redelijke mate van zekerheid vastgesteld. De burger verschijnt aan de balie van de ketenpartners waarbij de identiteit van de burger aan de hand van een geldig identiteitsbewijs wordt vastgesteld. Een kopie van het identiteitsbewijs wordt opgeslagen in het fysieke of digitaal dossier. De vaststelling van de identiteit van de burger bij internetdiensten vindt via een authenticatievoorziening plaats. De vaststelling van de identiteit van de burger bij internetdiensten dient dezelfde mate van zekerheid te bieden als die bij de primaire dienstverlening binnen de keten van werk en inkomen als het gaat om een feitelijke levering van een dienst. Een uitkering mag pas worden geleverd als op een gegeven moment in het dienstverleningsproces volledige invulling is gegeven aan de Wet op de Identificatieplicht. Daar de vaststelling van de identiteit van de burger binnen het primaire dienstverleningsproces gehandhaafd blijft voor uitkeringen of voorzieningen, kan voor de internet (deel)diensten een ander verificatieproces en mate zekerheid van de identiteit volstaan. Hierbij moet echter wel onderscheid worden gemaakt in typen webdiensten. Zo kan men webdiensten onderkennen waarbij aanvragen worden gedaan tot een uitkering of voorziening dan wel een beroep wordt gedaan op een herlevingsrecht. Ook zijn er raadpleeg webdiensten voor actieve of slapende dossiers en webdiensten voor het doorgeven van meldingen of wijzigen op actieve of slapende dossiers (klantbeeld). Zo zal de verificatie van de identiteit van de burger en de daarbij vereiste mate van zekerheid per situatie anders kunnen zijn. Zie hiertoe het beslisschema in het laatste hoofdstuk. Bij diensten waarbij het gaat om enkel raadplegen van persoonsgegevens in actieve of slapende uitkeringsdossiers kan dus worden volstaan met een mindere mate van zekerheid van de identiteit. Eerder in het dienstverleningsproces is voor betreffend dossier al met een redelijke mate van zekerheid de identiteit vastgesteld. Bij herlevingen van rechten zal de voor de aanvraag tot het recht van herleving wel de aanvraag elektronisch gedaan kunnen worden en is een mindere mate van zekerheid van de identiteit toereikend. Voor de feitelijke levering van het herlevingsrecht zal de Wet op de Identificatieplicht opnieuw volledig nageleefd moeten worden. In hoofdstuk 4 en 5 zal aan de hand van de classificatie van de DKD gegevensset en een eerste risicoanalyse van de webdiensten binnen het DKD portaal beoordeeld Pagina 17 van 37
DigiD – De sleutel tot het DKD versie 1.0 worden of compenserende maatregelen noodzakelijk zijn bij gebruikmaking van het betrouwbaarheidsniveau basis van DigiD en/of een hoger mate van zekerheid noodzakelijk is voor de webdiensten.
3.4
Archivering/ bewaartermijnen
Archiefwet 1995 en Archiefbesluit 1995 Op 1 januari 1996 trad de Archiefwet 1995 in werking. Deze wet en de onderliggende regelgeving geldt voor zowel de overheid als bestuursorganen die gegevens verwerken. De Archiefwet 1995 ziet met name toe op de kwaliteitsborging van de archiefbescheiden. Onder archiefbescheiden worden niet alleen fysieke en digitale gevalsdossiers van cliënten, registraties van gegevens en financiële bescheiden verstaan, maar ook stukken van bestuursvergaderingen, beleidsnotities. De wet maakt een onderscheid tussen documenten (archiefbescheiden) die voor de “eeuwigheid” bewaard moeten blijven en documenten die op termijn voor vernietiging in aanmerking komen. Documenten die voor de “eeuwigheid” bewaard moeten worden zijn vaak documenten die zich in een zogeheten beleidsdossier bevinden. Documenten die voor vernietiging in aanmerking komen bevinden meestal in een zogeheten gevalsdossier, bijvoorbeeld een dossier van een uitkeringsgerechtigde. Eisen voor gevalsdossiers Voorts bepaalt de Archiefwet dat archiefbescheiden slechts kunnen worden vernietigd als er een officiële selectielijst is: het Basis SelectieDocument (BSD). Dit document omvat alle categorieën van gegevens die verwacht kunnen worden binnen de organisatie op het beleidsterrein waarbinnen wordt geopereerd. Daarbij wordt per categorie aangegeven of deze na een periode van 20 jaar zal worden overgebracht naar een bewaarplaats in de zin van de Archiefwet 1995 of dat zij, gelet op de daarbij gestelde termijn, vernietigd zal worden. Voor documenten die zich bevinden in gevalsdossiers gelden bewaartermijnen. Deze bewaartermijnen zijn vastgelegd in het BSD. Verder geldt als uitgangspunt dat documenten niet dubbel bewaard hoeven te worden. Zijn de gegevens digitaal opgeslagen dan hoeven ze niet ook nog op papier bewaard te worden. Voor gevalsdossiers worden verder eisen gesteld door de Wet SUWI en de Wet bescherming persoonsgegevens. Voor een goede uitvoering van de wettelijke taken van de ketenpartners moet wat betreft digitale documenten met de volgende aspecten rekening worden gehouden: - Documenten moeten binnen een redelijke termijn beschikbaar worden gesteld. Dit geldt voor zowel dynamische, semi-statische als statische documenten. - Documenten die van belang kunnen zijn in een juridische procedure moeten de toets van betrouwbaarheid en authenticiteit kunnen doorstaan. Dit kan bijvoorbeeld blijken uit een procedure die beschrijft hoe een document zonder aanvullingen of veranderingen, dus identiek aan het origineel, in het archief terecht is gekomen. Daarbij moet worden uitgesloten dat een document voor manipulatie vatbaar is geweest. - Als de bewaartermijn verstreken is, moeten de documenten vernietigd worden. Voor digitale documenten betekent dit dat ze op geen enkele manier
Pagina 18 van 37
DigiD – De sleutel tot het DKD versie 1.0 toegankelijk en leesbaar zijn. Voor de vernietiging van documenten geldt een procedure.
3.5
Aansprakelijkheid / Gebruikersvoorwaarden
In artikel 13 WBP staat dat persoonsgegevens moeten worden beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Een ontoereikende beveiliging van persoonsgegevens kan leiden tot ongewenste gevolgen voor de persoonlijke levenssfeer van één of meer betrokkenen. De verantwoordelijke en de bewerker van de persoonsgegevens kunnen aansprakelijk worden gesteld voor de door de betrokkene(n) geleden schade. Bij de beveiliging van persoonsgegevens is het belangrijk dat de te treffen maatregelen worden afgestemd op bedreigingen die realistisch zijn gezien de aard van de persoonsgegevens in relatie tot de omvang en de verwerkingen daarvan. Hierdoor kan het risico van verlies of onrechtmatige verwerking tot een aanvaardbaar niveau worden beperkt. Vergelijking met huidig proces Met de webdienst die de ketenpartners aanbieden moet gewaarborgd zijn dat de persoonsgegevens die de gebruiker (burger) met gebruikmaking van de dienst verstrekt, niet ter kennis worden gebracht aan onbevoegden. DigiD en de webdiensten binnen het DKD portaal beschikken over aanvullende noodzakelijke technische en organisatorische maatregelen (onder andere alle communicatie tussen het DKD portaal en DigiD en de burger is versleuteld met SSL) die deze authenticatievoorziening en de webdiensten van binnen het DKD portaal op het betrouwbaarheidsniveau tillen die ten minste gelijk staat aan het betrouwbaarheidsniveau van de huidige processen (briefwisseling per post). Misbruik of oneigenlijk gebruik van DigiD binnen de webdiensten van het DKD portaal zal beperkt moeten blijven tot het eigen klantdossier. Binnen de gebruikersvoorwaarden van DigiD wordt de burger nadrukkelijk gewezen op zorgvuldige omgang met de toegangscodes. Bij onzorgvuldige omgang bestaat het risico dat persoonsgegevens geraadpleegd kunnen worden. De burger kan met de DigiD toegangscode verzoeken indienen tot wijzigingen in persoonsgegevens. Misbruik en schade voor betrokkene in laatstgenoemde situatie kan beperkt worden door gebruik te maken van compenserende maatregelen zoals een schriftelijke bevestiging achteraf van het verzoek tot wijziging. Indien betrouwbaarheidsniveau midden van DigiD wordt ingezet, zijn compenserende maatregelen niet nodig. Gebruikersvoorwaarden DigiD Alvorens gebruik kan worden gemaakt van DigiD c.q. DigiD kan worden aangevraagd moet men de Gebruikersvoorwaarden DigiD accepteren. In deze gebruikersvoorwaarden wordt de gebruiker verantwoordelijk gesteld voor de juistheid en volledigheid van de door de hem/haar ingevoerde gegevens. Voorts wordt de gebruiker gewezen op het vertrouwelijke karakter van DigiD en de consequenties van misbruik en oneigenlijk gebruik. Gebruiksvoorwaarden DKD
Pagina 19 van 37
DigiD – De sleutel tot het DKD versie 1.0 De kans op schade door misbruik of oneigenlijk gebruik van DigiD is groter naar mate er meer personen dan de betrokkene kennis kunnen nemen van de verstrekte DigiD toegangscode. Hoewel de gebruikersvoorwaarden DigiD de gebruiker wijst op het vertrouwelijk karakter en strikte geheimhouding van zijn DigiD, is het risico dat huisgenoten en familieleden kennis nemen van DigiD van de gebruiker groot. Voor schade die het gevolg is van misbruik of oneigenlijk gebruik van DigiD stellen de ketenpartners zich niet aansprakelijk. In het algemeen geldt dat schade door het niet naleven van de Gebruikersvoorwaarden DigiD voor rekening van de gebruiker blijft. In de gebruikersvoorwaarden DKD moet een bepaling opgenomen worden waarin de ketenpartners alle aansprakelijkheid voor schade als gevolg van het niet naleven van de Gebruikersvoorwaarden DigiD bij het gebruik van de DKD webdiensten uitsluiten. Een dergelijke tekst zal tevens bijdragen aan de bewustwording bij de klant (gebruiker) dat DigiD strikt persoonlijk is en dat strikte geheimhouding geboden is. In de Gebruikersvoorwaarden DKD moet aandacht besteed worden aan onder andere de volgende onderwerpen: • Beveiliging • Privacy • Persoonsgegevens, inzage • Onderhoud
Pagina 20 van 37
DigiD – De sleutel tot het DKD versie 1.0
4.
Bepaling benodigd betrouwbaarheidsniveau DigiD
4.1
Proces bepaling betrouwbaarheidsniveau DigiD
In de voorgaande hoofdstukken is uiteengezet dat het vereiste betrouwbaarheidsniveau afhankelijk is van onder andere toepasselijke wetgeving en procesinrichting. Hiernaast speelt de classificatie van persoonsgegevens en het risicoprofiel van webdiensten een rol bij de bepaling van het betrouwbaarheidsniveau van DigiD. Door het uitvoeren van de volgende processtappen kan een gemotiveerde keuze worden gemaakt voor het benodigde betrouwbaarheidsniveau van DigiD voor de webdiensten binnen het DKD portaal. A - Procesinrichting/beschrijving B - Toepasselijke wetgeving C - WiD D - Classificatie persoonsgegevens E - Aard, inhoud en doel gegevensverwerking F - Risicoprofiel webdienst G - Beoordeling uitkomsten en motivatie keuze In de volgende paragrafen zullen de processtappen worden toegelicht.
4.2
Procesinrichting/beschrijving
De procesinrichting speelt een belangrijke rol bij de keuze van het benodigde betrouwbaarheidsniveau van DigiD. Vastgesteld moet worden of het verificatieproces voor de identiteit enkel aan de kop van het proces plaatsvindt of later herhaald wordt in het proces. Zo kan gestart worden met een mindere mate van betrouwbaarheid van de identiteit van de klant en later in het proces kan met een hogere mate van betrouwbaarheid de identiteit opnieuw worden geverifieerd. Ook kan de situatie voorkomen dat in het proces compenserende maatregelen zijn opgenomen die een hogere mate van betrouwbaarheid bieden over de identiteit van de klant binnen de keten van werk en inkomen.
4.3
Toepasselijke wetgeving
Een inventarisatie van de toepasselijke wetgeving is vereist om de benodigde mate van betrouwbaarheid over de identiteit vast te stellen. De Wet SUWI en WBP schrijven voor de keten van werk en inkomen voor dat de identiteit van de klant met een redelijke mate van zekerheid (betrouwbaarheidsniveau midden van DigiD) vastgesteld moet worden voordat diensten verstrekt kunnen worden. Ook kan de situatie zich voordoen dat de aanvraag tot een uitkering of bezwaarschrift ondertekend moet zijn door de klant wil het in behandeling genomen kunnen worden. De handtekening wordt hierbij gezien als de wilsuiting en het akkoord gaan met de inhoud van de aanvraag of het bezwaarschrift.
4.4
WiD
Het is van belang om te weten of de Wet op de Identificatieplicht van toepassing is voor de diensten binnen de keten van werk en inkomen. De uitvoering van de Wet op de Identificatieplicht biedt een redelijke mate van zekerheid over de identiteit van Pagina 21 van 37
DigiD – De sleutel tot het DKD versie 1.0 de klant welke vergelijkbaar is met betrouwbaarheidsniveau midden van DigiD. Zo kan binnen het DKD portaal het betrouwbaarheidsniveau basis van DigiD toereikend zijn voor webdiensten om aanvragen tot diensten of uitkeringen te doen. Later in het proces wordt dan de Wet op de Identiteitsplicht uitgevoerd welke een hogere mate van betrouwbaarheid bieden over de identiteit van de klant.
4.5
Classificatie persoonsgegevens
Gegevens vormen de belangrijkste de bron voor classificatie van bedrijfsprocessen en bijbehorende (ondersteunende) systemen. De volgende typen gegevens worden onderkend binnen het DKD:
STATUS GEGEVENS
PRIMAIRE GEGEVENS
22
11
5 CONTACT GEGEVENS
ELEKTRONISCH DOSSIER
44
33
BROCHURES EN FORMULIEREN
BEHEER EN LOGGING GEGEVENS
6
KLANTGEGEVENS
OVERIGE GEGEVENS
Klantgegevens (Persoonsgegevens) kunnen, zoals beschreven in Achtergrondstudies en Verkenningen 23 (AV-23) worden geclassificeerd in vier klassen: • • • •
risicoklasse risicoklasse risicoklasse risicoklasse
0 I II III
publiek niveau; basis niveau; verhoogd risico; hoog risico.
Bij de classificatie binnen AV-23 ligt de focus op persoonsgegevens. Binnen de keten van werk en inkomen komen ook andere typen gegevens zoals beheer en loggegevens welke ook geclassificeerd moeten worden. Deze gegevens kunnen getypeerd worden als de overige gegevens.
Pagina 22 van 37
DigiD – De sleutel tot het DKD versie 1.0 De te nemen beveiligingsmaatregelen voor elk van de vier klassen voor klantgegevens (persoonsgegevens) zullen gelijk zijn aan de te nemen maatregelen van de overige gegevens. Eerdere classificaties van de SUWI gegevensset en bijbehorende gegevensverwerkingen hebben aangetoond dat het merendeel van de uitgewisselde gegevens binnen de keten van werk en inkomen vallen in risicoklasse II van AV-23. AV-23 van het College Bescherming Persoonsgegevens geeft handvaten voor de indeling van persoonsgegevens in risicoklassen, die vervolgens maatgevend zijn voor de beveiligingseisen voor de verwerking van de betreffende persoonsgegevens. Opgemerkt moet worden dat AV-23 geen eisen heeft gedefinieerd voor authenticatie en autorisatie van burgers bij de ontsluiting van de persoonsgegevens. Voor zover eisen voorkomen voor authenticatie en autorisatie in AV-23 heeft dit betrekking op eigen medewerkers of medewerkers van derden in het geval van uitbesteding. Onderstaand zijn de AV-23 risicoklassen II en III nader toegelicht. AV23 risicoklasse II Indeling in AV-23 risicoklasse II (verhoogd risico) is van toepassing indien er extra negatieve gevolgen bestaan voor de betrokkenen bij verlies, onbehoorlijke of onzorgvuldige verwerking van de persoonsgegevens. De te nemen (informatie)beveiligingsmaatregelen moeten voldoen aan hogere normen dan die gelden voor het basis niveau. In deze klasse passen de verwerkingen van persoonsgegevens die voldoen aan één van de hieronder gegeven beschrijvingen: 1. de verwerkingen van bijzondere persoonsgegevens zoals bedoeld in artikel 16 WBP (de verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, evenals persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag). 2. de verwerking in het bank- en verzekeringswezen van gegevens over de persoonlijke of economische situatie van een betrokkene; 3. de gegevens die bij handelsinformatiebureaus worden verwerkt ten behoeve van kredietinformatie of schuldsanering; 4. de gegevens die worden verwerkt hebben betrekking op de gehele of grote delen van de bevolking (de impact van op zich onschuldige gegevens over een groot aantal betrokkenen); 5. alle verwerkingen van persoonsgegevens die met het bovenstaande vergelijkbaar zijn. Soms moet de verwerking van bijzondere gegevens vanwege een hoge gevoeligheidsgraad in het maatschappelijke verkeer, bijvoorbeeld wanneer het gegevens over levensbedreigende ziektes betreft, ondergebracht worden in risicoklasse III. AV23 risicoklasse III Indeling in AV-23 - Risicoklasse III (hoog risico) is van toepassing indien de verwerking van meerdere verzamelingen van bijzondere persoonsgegevens een dermate vergroot risico voor de betrokkene opleveren dat het gerechtvaardigd is deze verwerking van persoonsgegevens in risicoklasse III te plaatsen. Pagina 23 van 37
DigiD – De sleutel tot het DKD versie 1.0
De verwerking van persoonsgegevens die in deze klasse passen zijn onder andere de verwerkingen die betrekking hebben op opsporingsdiensten met bijzondere bevoegdheden of verwerkingen waarbij de belangen van de betrokkene ernstig kunnen worden geschaad indien dit onzorgvuldig of onbevoegd geschiedt. Bijzondere verwerkingen van persoonsgegevens, bijvoorbeeld een DNA-databank, vallen in deze klasse. Daarnaast valt de verwerking van persoonsgegevens waarop een bijzondere geheimhoudingsplicht van toepassing is binnen deze klasse. Deze geheimhoudingsplicht kan zowel wettelijk of anderszins formeel zijn geregeld door de overheid of door een private organisatie zijn ingevoerd voor haar medewerkers.
4.6
Aard, inhoud en doel gegevensverwerking
De Wet elektronisch bestuurlijk verkeer geeft slechts abstracte normen waaraan elektronisch verkeer moet voldoen teneinde voldoende beveiligd te zijn. Steeds zal moeten worden beoordeeld of en in hoeverre de elektronische vorm functioneel is en in voldoende mate de betrouwbaarheid verschaft die past bij de aard, inhoud en doel van de webdienst. Hierbij speelt de risicoclassificatie (AV-23) van de gegevens een rol. Dit geldt tevens voor het gebruik van de elektronische handtekening. Gegevensklasse Als we in de WBP zoeken naar de eigenschappen van persoonsgegevens is vast te stellen dat het merendeel van de binnen de keten van werk en inkomen verwerkte persoonsgegevens - in het geval van individuele elektronische dienstverlening - valt onder de risicoklasse 2 of in lagere klassen. Het volgende dient daarom bij individuele elektronische dienstverlening als uitgangspunt gezien te worden: • Binnen DKD worden ook persoonsgegevens verwerkt die vallen onder risicoklasse 0 en 1.
Pagina 24 van 37
DigiD – De sleutel tot het DKD versie 1.0 • •
•
Binnen DKD worden ook persoonsgegevens verwerkt over de persoonlijke, financiële en economische situatie van een betrokkene uit de risicoklasse 2. Binnen DKD kunnen bijzondere persoonsgegevens verwerkt worden passend in risicoklasse 2 zoals bedoeld in artikel 16 WBP; met name gegevens inzake de gezondheid van de persoon. (bijvoorbeeld het gegeven dat iemand ziek is of een WAO-uitkering ontvangt is al een gezondheidsgegeven). Binnen DKD worden bij de individuele elektronische dienstverlening geen persoonsgegevens uit de risicoklasse 3.
Dit betekent dat er voor de verwerking, anders dan bij de risicoklasse 0 ( publiek niveau) en risicoklasse 1 (basis niveau), bij risicoklasse 2 (verhoogd risico) aanvullende maatregelen op het gebied van vertrouwelijkheid getroffen moeten worden. Gegevens uit de risicoklasse 2 mogen niet zonder authenticatie verwerkt kunnen worden. Indeling in risicoklasse 2 wordt overigens bevestigd als we kijken naar twee andere eigenschappen die voor de toepassing van de WBP van belang zijn; i.c. de hoeveelheid persoonsgegevens en aard van de verwerking. De hoeveelheid persoongegevens die tijdens een individuele sessie via een internettoepassing worden verwerkt betreft uiteraard altijd één persoon; de persoon zelf. De aard van de verwerking kent een lage complexiteit, omdat er geen uitgebreide gegevensverwerking in een webdienst plaatsvindt; dit vindt plaats in een centraal (backend)systeem. Verwerking van persoongegevens uit de risicoklasse 3 (hoog risico) kan en mag bij elektronische dienstverlening nooit worden verleend op basis van het authenticatiemiddel basis van DigiD. Voor dit soort verwerkingen dient absoluut een authenticatiemiddel te worden toegepast van het betrouwbaarheidsniveau midden of hoog. Verwerkingssoorten binnen het DKD portaal De DKD diensten kunnen worden ondergebracht in drie typen webdienst toepassingen namelijk: • • •
Webdiensten waarbij een (eerste) aanvraag wordt gedaan voor een uitkering/voorziening of een beroep wordt gedaan op een herlevingsrecht. Webdiensten waarbij er raadplegingen plaatsvinden op actuele dan wel historische (uitkerings)dossiers Webdiensten waarbij real-time wijzigingen worden doorgevoerd of verzoeken tot wijzigingen worden aangevraagd op actuele of historische dossiers
De daadwerkelijke verwerking van de persoonsgegevens, zoals het wijzigen en verwijderen van persoonsgegevens in een administratie op een (backend)systeem, gebeurt op dezelfde wijze als dat ook nu al gebeurt. Tot op dit moment gebaseerd op schriftelijke gegevensaanlevering.
4.7
Risicoprofiel webdienst
Wanneer men voor de webdiensten binnen het DKD portaal gebruik wil maken van DigiD dan is het van belang dat DigiD voldoende waarborgen verschaft over de authenticiteit van gebruikersacties. Het betrouwbaarheidsniveau van de dienstverlening van DigiD zal moeten aansluiten bij het risicoprofiel van de webdiensten binnen het Pagina 25 van 37
DigiD – De sleutel tot het DKD versie 1.0 DKD portaal. Zo zal voor een webdienst binnen het DKD portaal waarbij gebruikers gevoelige informatie kunnen uitwisselen een hogere mate van zekerheid nodig zijn over de authenticiteit van gebruikersacties, dan een webdienst waarbinnen gebruikers alleen openbare informatie opvragen. Om het risicoprofiel van de webdiensten te kunnen vaststellen is een risicoanalyse noodzakelijk. Op basis van de risicoanalyse kan de potentiële gevolgschades (risico’s) bepaald worden welke gepaard gaat met (onder andere) een onjuiste authenticatie van gebruikers binnen de webdiensten van het DKD portaal. De algehele hoogte van de potentiële gevolgschade van een verkeerde authenticatie bij gebruikersacties en de mate waarin het management van de samenwerkende SUWIketenpartijen bereid zijn deze risico’s te accepteren (restrisico), is bepalend voor het vereiste betrouwbaarheidsniveau van de DigiD dienstverlening. In algemene zin zal gelden dat een webdienst met een laag risicoprofiel ten aanzien van de authenticatie bij gebruikersacties, een lager betrouwbaarheidsniveau zal vereisen met betrekking tot de dienstverlening. Webdiensten waarin gebruikers risicovolle acties kunnen uitvoeren zullen in het algemeen een hoger betrouwbaarheidsniveau vereisen. In de onderstaande tabel is de relatie tussen de genoemde aspecten weergegeven. De tabel is overgenomen uit het DigiD document “Betrouwbaarheidsniveaus Authenticatie en handtekening versie 1.3”. Risicoanalyse DKD webdiensten
Risicoprofiel
Geaccepteerd restrisico
Vereist betrouwbaarheidsniveau
Hoog
Minimaal Laag Midden Hoog Minimaal Laag Midden Minimaal Laag
Hoog Midden Basis Minimaal Midden Basis Minimaal Basis Minimaal
Midden
Basis
Tabel 1: Relatie tussen risicoprofiel, geaccepteerd risico en betrouwbaarheidsniveau zoals bepaald binnen DigiD Toepassing van het UWV risicoanalyse model levert eerste beeld op van het risicoprofiel van de webdiensten binnen het DKD portaal. Uitvoering van de quickscan (stap a) uit het UWV risicoanalyse methode levert op dat de webdiensten Inschrijving werk, Aanvraag WW en WWB en klantbeeld het risicoprofiel Midden krijgen. Onderstaand tabel is overgenomen uit de risicoanalysemethode van UWV met de eisen voor beschikbaarheid, integriteit en vertrouwelijkheid voor de UWV informatiesystemen. Eis wens Hoog
/
Beschikbaarheid herstelt binnen 1 dag
Integriteit
Vertrouwelijkheid
manipulatie van dit proces, systeem of informatie kan zeer grote schade veroorzaken
UWV gegevens over specifieke UWV klanten (eigen personeel, VIPS) en/of met verhoogd privacy gehalte
Pagina 26 van 37
DigiD – De sleutel tot het DKD versie 1.0 Eis / wens Midden
Laag
Beschikbaarheid
Integriteit
Vertrouwelijkheid
herstelt binnen 3 dagen tot 1 dag
manipulatie van dit proces, systeem of informatie kan grote schade veroorzaken
UWV gegevens over UWV klanten
herstelt later dan 3 dagen
manipulatie van dit proces, systeem of informatie kan geringe schade veroorzaken
Openbare gegevens en/of gewone UWV bedrijfsgegevens
De uitkomsten van de risicoanalyse van de webdiensten binnen het DKD portaal kunnen worden gepositioneerd in de tabel van DigiD met risicoprofiel, restrisico en de vereiste betrouwbaarheidsniveaus. Uitgaande van het feit dat binnen de keten van werk en inkomen gestreefd wordt gekozen voor een laag restrisico komen we tot onderstaand beeld in de tabel van DigiD. Het streven naar een minimaal restrisico is vanuit kosten baten overweging niet wenselijk en in de praktijk is het streven naar een minimaal restrisico niet haalbaar. Er blijven altijd risico’s over. Een laag restrisico is bovendien aanvaardbaar voor de keten van werk en inkomen als we kijken naar het doel en aard van de gegevensverwerking. Er is sprake van de verwerking van persoonsgegevens uit risicoklasse II van AV-23. Echter de hoeveelheid persoongegevens die tijdens een individuele sessie via de webdienst binnen het DKD portaal wordt verwerkt, is beperkt en heeft altijd betrekking op één persoon. De aard van de verwerking kent een lage complexiteit, omdat er geen uitgebreide gegevensverwerking in de webdienst zelf plaatsvindt maar in de achterliggende centrale (backend) systemen. Risicoanalyse DKD webdiensten
Risicoprofiel
Geaccepteerd restrisico
Hoog
Minimaal Laag Midden Hoog Minimaal Laag
Vereist betrouwbaarheidsniveau Hoog Midden Basis Minimaal Midden Basis
Midden Minimaal Laag
Minimaal Basis Minimaal
Midden Inschrijving werk, Aanvraag WW en WWB en Klantbeeld Basis
Tabel 2: Relatie risicoprofiel UWV webdiensten, geaccepteerd restrisico en betrouwbaarheidsniveaus van DigiD Uitgaande van het feit dat de vaststelling van de identiteit van de burger binnen het reguliere dienstverleningsproces van de keten voor werk en inkomen gehandhaafd blijft voor diensten en uitkeringen, kan voor de DKD (deel)diensten via het internet een ander verificatieproces en mate van zekerheid van de identiteit volstaan. Voor lopende diensten is reeds volledige invulling gegeven aan de wet op de identificatieplicht. Voor nieuwe diensten of herlevingen van rechten zal alsnog volledige invulling aan de wet op de identificatieplicht gegeven moeten worden. Het gebruik van DigiD
Pagina 27 van 37
DigiD – De sleutel tot het DKD versie 1.0 moet dan ook worden bezien binnen deze context. DigiD is een schakel binnen het verificatieproces van de keten van werk en inkomen. Binnen de DigiD beheerorganisatie wordt onderkend dat elke webtoepassing zijn eigen risico’s met zich meebrengt en dat hierbij ook naar de overige organisatorische en technische beveiligingsmaatregelen gekeken moet worden. Het uiteindelijke risicoprofiel van de webdienst samen met het geaccepteerde restrisico bepalen het vereiste betrouwbaarheidsniveau. Uit de tabel van DigiD kan afgeleid worden dat voor de webdiensten binnen het DKD portaal voor uitkeringsaanvragen het betrouwbaarheidsniveau basis van DigiD verantwoord is voor verwerking van persoonsgegevens tot en met risicoklasse II; gebruik van DigiD wordt dan ook aanbevolen voor alle gegevensverwerkingen tot en met risicoklasse II voor de webdienst toepassingen waarbij enkel raadplegingen en/of aanvragen plaatsvinden voor uitkeringsdossiers. DigiD en de webdiensten binnen het DKD portaal beschikken over noodzakelijke aanvullende maatregelen (onder andere alle communicatie tussen het DKD portaal en DigiD en het DKD portaal met de burger is versleuteld). Mits gebruikt voor het vaststellen van de identiteit van de gebruiker biedt DigiD bij een groot aantal processen tenminste dezelfde betrouwbaarheid als bij de huidige schriftelijke of mondelinge werkwijzen. Bij webdiensten waarbij verzoeken tot wijzigingen worden aangevraagd op persoonsgegevens tot en met risicoklasse II is authenticatie met DigiD betrouwbaarheidsniveau basis ook verantwoord, mits compenserende maatregelen worden getroffen. De compenserende maatregel hierbij is dat de daadwerkelijke verwerking van de persoonsgegevens, zoals het wijzigen en verwijderen van persoonsgegevens in een administratie op een (backend)systeem schriftelijk wordt bevestigd richting de burger. De burger kan binnen een vastgestelde termijn de wijziging herroepen. De compenserende maatregel kan komen te vervallen indien SMS authenticatie van DigiD met het betrouwbaarheidsniveau midden wordt ingezet. Met het betrouwbaarheidsniveau midden van DigiD kunnen real-time wijzigingen worden doorgevoerd op onderdelen van het uitkeringsdossiers. Webdiensten binnen het DKD portaal waarbij het gaat om raadplegingen en/of het werken met voorvullingen (omgekeerde intake) kunnen geen gebruik maken van de tijdelijke toegangscode basis van DigiD. Dit omdat binnen de webdiensten van DKD persoonsgegevens worden verwerkt die vallen in risicoklasse II van AV-23. Uiteraard kan het zijn dat binnen het DKD portaal ook webdiensten voorkomen welke vallen in risicoklasse 0 en I van AV-23 waarvoor de tijdelijke toegangscode van DigiD wel toereikend kan zijn. Voor de beveiliging van de persoonsgegevens en de verwerking ervan in de (backend)systemen blijven onverkort alle huidige eisen van toepassing. Het gebruik van DigiD kan nooit in de plaats komen van al aanwezige maatregelen, maar is ‘slechts’ een aanvullende maatregel. Met het gebruik van DigiD is alleen de authenticatie van de gebruikersactie gerealiseerd. Alle overige (wettelijke) vereisten zijn niet gerealiseerd met het gebruik van DigiD en hiervoor dienen alsnog de van toepassing zijnde maatregelen uit het Suwinet normenkader geïmplementeerd te worden.
4.8
Beoordeling uitkomsten procestappen en motivatie keuze
Pagina 28 van 37
DigiD – De sleutel tot het DKD versie 1.0 Aan de hand van de resultaten van de processtappen A t/m F zoals beschreven in paragraaf 4.1 kan het benodigde betrouwbaarheidsniveau van DigiD met bijbehorende motivatie vastgesteld worden voor de webdiensten binnen het DKD portaal.
Pagina 29 van 37
DigiD – De sleutel tot het DKD versie 1.0
5.
Inzet DigiD binnen het DKD portaal
5.1
Portaal Sociale Zekerheid - DKD
Binnen het SUWI ketenprogramma 2006 willen de ketenpartners CWI, UWV en VNG in 2006 wezenlijke stappen zetten naar een keten van werk en inkomen die door klanten (werkzoekenden én werkgevers) als één virtuele organisatie wordt beleefd. Eén van de initiatieven hiervoor is het creëren van een Digitaal Klantdossier (DKD). Iedere burger waarvan gegevens beschikbaar zijn in de keten heeft een digitaal klantdossier. Door het ontwikkelen van een digitaal klantdossier: • • •
Kan de burger inzicht krijgen in de gegevens die over hem binnen de SUWI keten bekend zijn; Hoeft de burger geen gegevens aan te leveren die reeds bekend zijn binnen en buiten de SUWI keten; Kunnen de medewerkers (professionals) van de ketenpartners gebruik maken van de gegeven die elders zijn verzameld en vastgelegd ongeacht tijd en plaats
Een belangrijk onderdeel van het digitale klantdossier is het portaal waarmee diensten en gegevens van de Suwi-partijen, en eventueel andere bronnen, ontsloten worden voor de klant en de professionals van de ketenparters.
5.2
Webdienst “Tonen Klantbeeld”
Het digitaal klantdossier is een representatie van alle relevante (zowel actuele als historische) gegevens over een klant binnen de keten van werk en inkomen. De voor de klant relevante gegevens moeten onafhankelijk van plaats en tijd elektronisch via het DKD portaal beschikbaar worden gesteld. Een deelverzameling van de relevante klantgegevens worden via de webdienst klantbeeld beschikbaar gesteld voor het klanten en professionals. Klantbeeld is een webdienst waarbij het enkel gaat om het raadplegen van actuele of historische gegevens. In voorgaande paragrafen is beschreven dat voor type diensten waarbij het enkel gaat om raadplegen het betrouwbaarheidsniveau basis van DigiD toereikend is. Aanvullende compenserende maatregelen zijn dan ook niet nodig voor de webdienst klantbeeld binnen het DKD portaal.
5.3
Webdienst “Inschrijving werk”
De webdienst Inschrijving werk is een wat complexer webdienst. Binnen de webdienst is sprake van raadpleging reeds bekende gegevens en het opgeven van aanvullende gegevens of het corrigeren van onvolledige of onjuiste gegevens. De omgekeerde intake mag vanuit de WBP niet op basis van de tijdelijke toegangscode van DigiD uitgevoerd worden. De geactiveerde toegangscode (betrouwbaarheidsniveau basis) is toereikend om de omgekeerde intake als webdienst beschikbaar te stellen. Het invullen van het webformulier voor inschrijving werk kan al met de tijdelijke toegangscode van DigiD mits er niet met voorvullingen wordt gewerkt. Het webformulier inschrijving werk kan met de tijdelijke of geactiveerde toegangscode van DigiD elektronisch ondertekend worden. Dit kan omdat de klant na indiening van de aanvraag volgens afspraak lijfelijk langs moet komen waarbij met een hogere mate van betrouwbaarheid de identiteit van de klant wordt vastgesteld en ook een verificatie van de wilsuiting kan plaatsvinden. Pagina 30 van 37
DigiD – De sleutel tot het DKD versie 1.0
5.4
Webdienst “Aanvraag WW / WWB”
Vanuit het DKD zal de webdienst “aanvraag WW en WWB” beschikbaar komen. Deze dienst zal ontwikkeld en aangeboden worden door het CWI. UWV en gemeenten zullen via de bestaande of nog te ontwikkelingen werkproceskoppelingen het resultaat van de webdienst “aanvraag WW en WWB” als ketenbericht elektronisch of schriftelijk ontvangen vanuit het CWI. De webdienst “Aanvraag WW of WWB” is een wat complexere type webdienst. Hier is sprake van raadpleging van reeds bekende gegevens binnen de keten van werk en inkomen en er kunnen aanvullingen gebracht worden binnen het webformulier. De elektronische ondertekening is een wettelijk vereiste. De DigiD toegangscode wordt hierbij gebruikt voor de identificatie maar ook voor de wilsuiting en het plaatsen van de gewone elektronische handtekening. Artikel 4.2 uit Algemene wet bestuursrecht stelt strikt de eis dat de aanvraag WW of WWB ondertekend moet zijn door de klant. De klant kan met een tijdelijke of geactiveerde toegangscode van DigiD het webformulier elektronisch ondertekenen. Later in het dienstverleningsproces wordt de identiteit van de klant met een hogere mate van betrouwbaarheid getoetst evenals de wilsuiting en ondertekening van de aanvraag door de klant. Ook bij deze webdienst mag de omgekeerde intake niet op basis van de tijdelijke toegangscode van DigiD plaatsvinden. De klant moet alle gegevens in het webformulier zelf invoeren.
5.5
Persoonlijke Internet Pagina (PIP)
In de kabinetsnotitie ‘op weg naar een elektronische overheid’ verwoordt het kabinet de ambitie om 65% van de diensten van de overheid in 2007 via elektronische weg te kunnen verlenen. In de notitie geeft het kabinet langs verschillende lijnen aan welke voorzieningen daartoe de komende jaren ontwikkeld worden. Dat omvat initiatieven op terreinen als transparantie, elektronische identificatie, persoonsnummers, basisregistraties en netwerkverbindingen. Aanvullend op deze activiteiten hebben uitvoeringsorganisaties (Manifestgroep) zich aanvang 2004 georiënteerd op mogelijkheden om elektronische diensten en informatie meer op maat van de burger of ondernemer aan te kunnen bieden, meer met elkaar in verband gebracht waar dat zinvol is. Deze oriëntatie heeft geleid tot een inventarisatie van de Werkgroep E-dossier naar de mogelijkheden om tot verdergaande samenwerking te komen tussen uitvoeringsinstellingen, gemeenten en andere overheidsorganisaties op het terrein van elektronische dienstverlening. Doel van die inventarisatie was om te komen tot een meer vraaggerichte, geïntegreerde digitale dienstverlening van de overheid. “Ga na of burger en ondernemer door samenwerking tussen instellingen op internet meer gemak, snelheid en eenvoud kunnen ervaren, zonder last van de grenzen tussen uitvoerende organisaties. Er is voldoende draagvlak om langs de weg der geleidelijkheid een start te maken met de ontwikkeling van de Persoonlijke Internet Pagina (PIP). De personalisering van dienstverlening over de grenzen van organisaties heen. De PIP stelt de gebruiker in staat ‘zaken te doen met één overheid’, informatie uit te wisselen, op elk gewenst moment, op de wijze die de gebruiker het beste bevalt, snel en goedkoop, met zo min mogelijk administratieve last. De PIP zal dienen als basisvoorziening waarmee alle overheden in staat worden gesteld hun dienstverlening meer persoonlijk en op maat aan de gebruiker/klant aan te bieden. Toegang krijgen (inloggen op) tot de PIP is op termijn (2007 e.v.) mogelijk vanaf vele, en in beginsel Pagina 31 van 37
DigiD – De sleutel tot het DKD versie 1.0 alle aangesloten overheidssites. Alleen in de aanvangsfase (2006-2007) zal toegang mogelijk beperkt blijven tot inloggen vanaf enkele bestaande websites, waaronder overheid.nl voor burgers. Authenticatie van de gebruiker vindt plaats met DigiD. De samenwerkende ketenpartners zullen de ontwikkelingen rondom de PIP moeten blijven volgen en de webdiensten binnen het DKD portaal kunnen koppelen op de PIP.
5.6
Overheidsvoorziening inzage en correctierecht
In overheidsland wordt gewerkt aan een centrale voorziening voor inzage en correctierecht. De dienstverleningsprocessen binnen de keten van werk en inkomen zullen hieraan moeten aansluiten. Zolang de elektronische overheidsoplossing voor inzage en correctierecht er niet is, zal binnen het DKD portaal de nodige processen en diensten uitgewerkt moeten worden voor de elektronische inzage en het correctierecht.
Pagina 32 van 37
DigiD – De sleutel tot het DKD versie 1.0
6.
Ontwikkelingen authenticatie
6.1
Generieke authenticatiemiddelen
De overheid is van plan om binnen enkele jaren de eNIK (elektronische Nationale Identiteits Kaart) beschikbaar te stellen aan alle Nederlanders om zich onder andere op het internet te kunnen identificeren (betrouwbaarheidsniveau hoog). De verwachting is dus dat er op termijn een generiek authenticatiemiddel zal komen waarmee sterke authenticatie mogelijk is. De vraag is of dit betekent of andere authenticatiemiddelen (naam/wachtwoord, SMS, etc,) zullen vervallen of dat verschillende middelen naast elkaar blijven bestaan. Voor de korte termijn is het realistisch er vanuit te gaan dat meerdere authenticatiemiddelen naast elkaar zullen blijven bestaan.
6.2
Uitbreiding authenticatie middelen DigiD
SMS authenticatie binnen DigiD is inmiddels beschikbaar. SMS authenticatie is het eerste middel op het niveau midden van DigiD. Hiermee kunnen webdiensten online worden aangeboden waarbij meer privacygevoelige informatie wordt uitgewisseld. Voor webdiensten binnen het DKD portaal betekent dit dat voor webdiensten waarbij meldingen en wijzigingen worden doorgevoerd geen compenserende maatregelen naast het betrouwbaarheidsniveau basis van DigiD nodig zijn. In voorkomende situaties kunnen de samenwerkende SUWIketenpartijen kiezen voor eigen authenticatiemiddelen voor bepaalde groepen klanten en eigen personeel.
Pagina 33 van 37
DigiD – De sleutel tot het DKD versie 1.0
Begrippen Authenticatiemiddel Een technisch middel waaraan de identiteit van een gebruiker kan worden gekoppeld met een bepaalde mate van betrouwbaarheid (bijvoorbeeld gebruikersnaam/wachtwoord, chipkaart, PKI certificaat of mobiele telefoon) Authenticatieoplossing Het geheel van een authenticatiemiddel, het uitgifteproces en de beheerorganisatie erachter (bijvoorbeeld de e-Identifier voor ABN-Amro internetbankieren, de ‘elektronische handtekening’ van de Belastingdienst). Betrouwbaarheidsniveau Een maat hoe sterk de koppeling is tussen een authenticatiemiddel en de identiteit van de gebruiker. Ook sterk afhankelijk van het uitgifteproces en beheersproces van het authenticatiemiddel (dus de authenticatieoplossing als geheel). Proceseigenaar Bedrijfsonderdeel die een dienst of proces via internet toegankelijk wil maken, maar daarbij behoefte heeft aan een betrouwbare identificatie van de gebruiker (oftewel behoefte aan authenticatie). Bijvoorbeeld de betaal specificatie WW die geraadpleegd kan worden online.
Pagina 34 van 37
DigiD – De sleutel tot het DKD versie 1.0
Beslisschema betrouwbaarheidsniveau DigiD bij webdiensten voor aanvragen en raadplegen
WId Actueel Historisch Voorvulling
– Wet op de Identificatieplicht – actueel dossier - slapend of historisch dossier - bij webformulieren voorinvulling van de NAW en overige gegevens
Pagina 35 van 37
DigiD – De sleutel tot het DKD versie 1.0
Beslisschema betrouwbaarheidsniveau DigiD bij webdiensten voor meldingen en wijzigingen
Pagina 36 van 37
DigiD – De sleutel tot het DKD versie 1.0
Pagina 37 van 37