!"
!
%
&
! (!
'
)
&
!
($
'
"!
. /# ' $ 0 1$ , 2( 3 4 5 13672( 08 ) 1.62( 9 : ;; 5 1< =2( : 3 ; 13 2( . ; $ > 0 1) 2( : $ ) 1 ,2( 9 : = 1&.?@6@2( : ; $ 3 5 ; 17$72( # $ 3 ' 1# )2( . ; $ # 137<2( A $ . 1.B 2( : / ? 17# 2( A = 1 /2( ) 3 1& 5 $ & , ; 2( 9 3 1 ) 2( # 4 - 13 + 2( = ' 9 1 - + ; 2( # A ; 13 $ 2 *
+ ,
$
?
-
7
-( 0
9
$
> .
(
!" " !
!
#
"
$ %&' # $
%
% ! ( $
#
!$
& '
"
$
(
!"
.
/ 0
$
!"
!
.
( + ) *
!
+ ' , $ !
,
, • • •
&
( (
C !/
'
"
" /
!/
'
1
)
$
*
+
,!
#
$
!"
%
&'
# &
(
$ $ &')
% )
&
&
&
'( & ) $ ( + & ( ( ( & ( ) '( $ ) ( 7 ( ) ) + .
$ &
$ * ) (
$
$
(
)
$
&
(
$
+
' )
5
) '
*
* 5 )
)
(
$
( ) '
) )
$ $
$
(
&
&
$
'
& ( & 8 (
& $
(
'( $ &
$ ) ) *
)
&
)
( ) 95
( * $
)
&
$ & ( ) & - *
:'
(
( !"
5
! 1 $ $ ) & & ( $ * *
$ (
& 12* &
3
) 6 /5
&
!"
$ (
* (
8
'
$
(
5 $
5 $ * * $
$
(
$ +
)
&
) *
, & $ ) $ ) - * . ) $
/0
&
$
+
+
4
(
!
$
) )
* $ 5' $
(*
$
)
* &' )
(
$ ;
$ +
)
&
)
(
+
!" 8 ( &
$
( !"
&
#
!$
&
(
( ' $
$ $ ) * $ 5 )$ ) " $
$
& "
& (
" &'
3 ;
3)
)
5 &
5
$ (
$ &'
<8
&
!"
'( * )
& ! 8 $
) )
$ $
$
)
$
$
!
*
3 & '$
&
)
$
# $
*
(
)
( ) 5
$ $
! / 5
1
/ $
1
'(
$
&
$ )
)
, &
*&
/ 1$ )
* ) )
( )
$
)
$
$ + = $
$ $
$
'(
5
) $
)
& "
:+ $
( > ) $
(
/ 1$ ) $ )
(
5 :+
3$
&' )
' *
$ &
(
$
&
&
)
'
&
&
& $ ($ 5
& (
5 )
$
&
)
,
)
( 5
)
(
(
' 13
) $
(
) & & ) $ $
* 5 )
($
&
&
/
& '( & '
* *
)
$
)
$ & ( ? ( ( $ 5 * ) $ * (&
& & *
$
$
)
$ % & * ( $
) $ +
)
* )
(
( *
!
$
*
( (
&
$
$ *
"
# $
%
(( )
(
$
$
&' * ((
& ( &'5
$
)
$
)
5 (
#
$
Afwegingskader publieke diensten in het eID-stelsel NL
19 september 2013 1
0. Managementsamenvatting 0.2 Vertrekpunt Een belangrijk beleidsuitgangspunt van het eID-stelsel NL zoals beschreven in de Strategische verkenning is een multimiddelen-benadering. Dat betekent dat meerdere diensten voor authenticatie en autorisatie naast elkaar kunnen bestaan. Dat kunnen zowel publieke als private diensten zijn, inzetbaar voor transacties met zowel publieke als private dienstverleners. De gedachte achter dit uitgangspunt is dat het de groei van elektronisch verkeer – in de publieke én de private sector – zoveel mogelijk bevordert en afhankelijkheid van dedicated oplossingen vermindert. De keuze van de overheid om ook of zelfs uitsluitend een of meer publieke authenticatie- of autorisatiediensten aan te bieden in het stelsel mag niet leiden tot oneerlijke concurrentie tussen publieke en private partijen die in het stelsel diensten verrichten of middelen uitgeven. Dat betekent dat de overheid goed moet kunnen definiëren en onderbouwen waar het belang van realisatie van publieke diensten in het stelsel ligt.
0.3 Beoordeling voor vier mogelijke publieke diensten De vraag naar het al dan niet inzetten van publieke diensten in het eID-stelsel is op dit moment1 met name aan de orde voor de volgende diensten: •
een eID-middel van een hoog betrouwbaarheidsniveau voor natuurlijke personen.
•
(een) machtigingsregister(s) voor het registreren van zogenoemde horizontale machtigingen voor digitale dienstverlening van overheidsdienstaanbieders.
•
(een) eID-makelaar(s) voor overheidsdienstaanbieders die gebruik maken van eID-diensten uit het stelsel.
•
een BSN-koppelregister voor overheidsdienstaanbieders die gebruik maken van eID-diensten uit het stelsel .
Van andere functionaliteiten zoals bedrijfsgebonden authenticatiemiddelen buiten het BSN-domein, verticaal machtigen (autorisaties binnen een bedrijf), makelaars voor private dienstaanbieders etc. staat al vast dat geen behoefte bestaat aan invulling met een publieke dienst. Wel kan het soms zo zijn dat bij afwezigheid van marktvoorzieningen een publieke voorziening is getroffen. Dan is een overgangsregeling nodig in afwachting van een werkbare marktvoorziening.
0.4 Afweging 1: Publieke diensten aangewezen voor digitale dienstverlening overheid? Met een afwegingskader wordt eerst afgewogen of een publieke dienst aangewezen is voor toegang tot digitale dienstverlening van de overheid. Als een publieke dienst niet aangewezen is, is de afweging afgerond: de overheid onthoudt zich van het inzetten van publieke diensten. Er zijn alleen private diensten. Het afwegingskader bestaat uit beleidsaspecten en juridische aspecten.
1
Daarnaast is nog enig onderzoek nodig naar een bijkomende voorziening, de zgn. dienstencatalogus. Dit is vermoedelijk eenvoudig te duiden.
2
De beleidsaspecten betreffen de vraag of een publieke dienst aangewezen is, vanuit het principe dat bij voorkeur zoveel mogelijk wordt overgelaten aan de markt of het zelfregulerende vermogen van de samenleving. In feite gaat het hier om de vraag naar de rechtvaardiging voor overheidsinterventie (doctrine klassieke overheidstaken en vraagstukken van welvaartsverdeling en werking van markten). De beleidsaspecten zijn: Toegankelijkheid De overheid draagt er zorg voor dat burgers en bedrijven hun verplichtingen jegens de overheid kunnen naleven en hun aanspraken jegens de overheid geldend kunnen maken. Indien dat in een elektronische omgeving gebeurt, hoort daar ook de zorg voor betrouwbare toegang bij, met name uit oogpunt van vertrouwelijkheid van hun (persoons)gegevens. Hierbij heeft de overheid een specifieke zorgplicht ten aanzien van sociaal en economisch kwetsbare groepen. Beschikbaarheid Elektronisch berichtenverkeer met de overheid moet op bewezen en schaalbare voorzieningen steunen, mede gezien de beoogde verbreding van het elektronisch verkeer in de komende jaren. Indien het direct volledig overlaten van die dienstverlening aan de markt een onaanvaardbare kwetsbaarheid van informatieketens en -systemen zou opleveren, kan dat een reden zijn voor de overheid om dergelijke diensten zelf te leveren, in elk geval in de transitieperiode naar beschikbaar komen van adequate diensten in de markt. Uitgangspunt in de Strategische Verkenning was keuzevrijheid voor burgers en bedrijven. De overheid moet zorgdragen voor deze keuzevrijheid; zonodig door zelf voorzieningen aan te bieden. Concurrentiegevoeligheid Binnen de kaders van het eID Stelsel is het mogelijk dat marktpartijen die actief zijn in het domein van eID-diensten, dat ook zijn in het domein van dienstverlening aan burgers en bedrijven bij het regelen van hun zaken met de overheid. Dat zou ertoe kunnen leiden dat deze dienstverleners gegevens over hun klanten zouden moeten onderbrengen bij concurrenten. In beginsel worden in het eID Stelsel de eisen vastgelegd om onwenselijke consequenties hiervan te ondervangen (beveiliging, functiescheiding ed.) en wordt voorzien in (publiek) toezicht hierop. Afhankelijk van de omstandigheden van het geval zou dit aspect kunnen leiden tot de keuze om (ook) een publieke dienst beschikbaar te stellen, zodat altijd een van deelnemende partijen in het stelsel onafhankelijke dienst voorhanden is. Efficiency Het realiseren en in stand houden van koppelingen met en tussen meerdere partijen in het stelsel zou voor bepaalde voorzieningen tot hoge transactiekosten kunnen leiden. Uit oogpunt van efficiency (beperking van koppelvlakken en (daarmee) aansluitkosten) kan het aangewezen zijn om dergelijke centrale diensten in het stelsel als publieke dienst neer te zetten. Veiligheid De multimiddelen-benadering in het eID Stelsel dient tevens de veiligheid: afhankelijkheid van één oplossing voor authenticatie of autorisatie wordt vermeden, wat de kwetsbaarheid voor 3
compromittering van het elektronisch verkeer met de overheid en tussen private partijen vermindert. Uit oogpunt van veiligheid kan het echter ook van belang zijn om het aantal koppelingen te beperken (vergelijk de vesting met slechts één poort en een slotgracht) en bepaalde diensten in het stelsel centraal en publiek te realiseren. Wel is van belang vanuit het oogpunt van privacy ‘hotspots’ in beginsel te vermijden en uit het oogpunt van continuïteit geen ‘single points of failure’ te introduceren. De volgende juridische aspecten stellen randvoorwaarden aan het realiseren van publieke diensten in het eID Stelsel. Wettelijke identificatieplicht Voor bepaalde transacties met de overheid, maar ook in de private sfeer, geldt een wettelijke identificatieplicht. Voorbeeld is de aangifte van een geboorte (meer algemeen: het creëren of muteren van een authentiek gegeven in een basisregistratie) of de leeftijdsverificatie bij aankoop van alcohol en tabak (op basis van Drank- en horecawet en Tabakswet). Gelet op de aard en het belang van deze transacties is een fysieke identiteitsvaststelling aan de hand van een identiteitsbewijs als bedoeld in de Wet op de identificatieplicht (WID) vereist. Om deze transacties en de daarbij behorende authenticatie (op persoon of leeftijd) op termijn ook digitaal te laten plaatsvinden, is het nodig dat de daarvoor beschikbare authenticatiedienst wettelijk geregeld wordt. De regeling moet zowel de dienst zelf (aanwijzing van het middel als WID-document, echtheidskenmerken), het uitgifteproces als de uitgevende instantie betreffen. Bescherming persoonsgegevens/BSN Vrijwel al het transactieverkeer tussen overheid en burger (natuurlijke persoon) wordt op basis van het BSN uitgevoerd. Uit de huidige BSN-wetgeving vloeit voort dat diensten in het stelsel waarin (directe) verwerking van het BSN aan de orde is, altijd onder de verantwoordelijkheid van een overheidspartij vallen. De taak van deze overheidsorganisatie behoeft een wettelijke grondslag. Het is mogelijk dat deze overheidspartij de voorziening of dienst aanbesteedt in de markt. De marktpartij treedt in dat geval op als bewerker van de persoonsgegevens, de overheid blijft verantwoordelijke, in termen van de Wet bescherming persoonsgegevens. In dat geval zijn op grond van de Wbp strikte afspraken vereist over beveiliging van de gegevensverwerking in die diensten (bewerkersovereenkomst). Ook los van het BSN vindt in het kader van authenticatie- en autorisatiediensten verwerking van persoonsgegevens plaats. De Wet bescherming persoonsgegevens vereist toestemming van de betrokkene voor de verwerking van zijn persoonsgegevens, tenzij de verwerking plaatsvindt ter uitvoering van een publieke taak en van een wettelijke grondslag is voorzien. Voor publieke voorzieningen in het stelsel waarin verwerking van persoonsgegevens aan de orde is, is wettelijke regeling aangewezen. Mededinging (Markt en Overheid) Het wettelijk kader voor markt en overheid zoals neergelegd in de Mededingingswet, vereist dat een overheidsorganisatie bij het verrichten van marktactiviteiten (het aanbieden van diensten aan derden, zijnde niet-overheidspartijen) de integrale kostprijs in rekening brengt. Dit om te zorgen dat 4
geen oneerlijke concurrentie ontstaat ten opzichte van activiteiten van private partijen op dezelfde markt. Van dit uitgangspunt kan worden afgeweken indien de activiteiten aan de overheidsorganisatie zijn opgedragen ter uitvoering van een dienst van algemeen economisch belang. Diensten van algemeen economisch belang zijn diensten die voor de samenleving van algemeen belang worden geacht; er zijn publieke belangen mee gemoeid op het vlak van bijvoorbeeld kwaliteit, toegankelijkheid of leveringszekerheid. Dergelijke diensten moeten bij wettelijk voorschrift zijn opgedragen aan de desbetreffende overheidsorganisatie. Indien de overheid bepaalde diensten in het stelsel – naast private diensten – onder de integrale kostprijs (of gratis) ter beschikking zou willen stellen, is derhalve wettelijke verankering nodig. Verder kan er een taak zijn voor de overheid bij marktfalen, met name wanneer dat tot administratieve lastenverhoging zou leiden (hoge tarieven en/of slecht werkende marktvoorzieningen).
Aan de hand van dit afwegingskader is de vraag naar het al dan niet inzetten van publieke diensten als volgt beoordeeld: Conclusie 1 Voor toegang van natuurlijke personen tot digitale dienstverlening van publieke dienstverleners hebben de aspecten toegankelijkheid en wettelijke identificatieplicht relatief het zwaarste gewicht. Gelet hierop is publieke uitgifte van een eID-hoog – naast eventuele private authenticatiemiddelen – gerechtvaardigd. Randvoorwaarde is dat er voldoende juridische grondslag is. Bij afweging 2 komt de positionering van eenmanszaken en de toegang tot private dienstverleners aan de orde. Conclusie 2 Voor wat betreft een publiek machtigingsregister tussen natuurlijke personen, in ieder geval in hun hoedanigheid van burgers, is de toegankelijkheid van elektronische diensten voor kwetsbare groepen doorslaggevend. Dat aspect vergt dat een eenduidige overheidsdienst voor machtigingen beschikbaar is. DigiD Machtigen is hiervoor al beschikbaar en kan hiertoe worden uitgebouwd . Bij afweging 2 komt de positionering van eenmanszaken aan de orde. Voor publieke realisatie van een machtigingsregister tussen natuurlijke persoon en rechtspersoon2 (burger en zakelijk dienstverlener, bedrijf en zakelijk dienstverlener) en tussen rechtspersonen (bedrijf en zakelijk dienstverlener) is de afweging negatief, mits bij private oplossingen prijs, kwaliteit en betrouwbaarheid op een voor de afnemers van de machtigingsdienst acceptabele wijze zijn geregeld. Conclusie 3 Het aspect van bescherming persoonsgegevens (verwerking BSN) weegt in de afweging over realisatie van een eID-makelaar voor de publieke sector zwaar. De eID makelaarsfunctie kan desondanks
2
Vennootschappen onder firma, commanditaire vennootschappen en maatschappen zijn niet-natuurlijke personen en worden hier gerekend tot de categorie rechtspersonen.
5
privaat worden geregeld, omdat technische maatregelen (pseudo-id, encryptie) kunnen borgen dat van BSN-verwerking door de eID-makelaar geen sprake is. Overheidsdienstaanbieders die een vergelijkbare doelgroep bedienen en dezelfde invulling van een eID makelaar voor ogen hebben, kunnen uit efficiency overwegingen gezamenlijk kiezen voor één eid makelaar (of twee: redundantie). Omdat er geen reden is voor een publieke makelaarsfunctie hoeft de eID-makelaar bij Afweging 2 niet meer aan de orde te komen. De functionaliteit wordt immers geheel overgelaten aan de private sector. Wel moet nog worden bezien hoe om te gaan met de huidige (basis)functionaliteit makelaar bij DigiD. Een overgangsregime lijkt nodig en mogelijk. Conclusie 4 De verwerking van het BSN maakt voor het koppelregister-BSN een exclusieve publieke dienst noodzakelijk. Daarnaast kunnen private koppelregisters bestaan voor het koppelen van pseudo-ID’s aan klantnummers bij private dienstaanbieders. Daarom behoeft het koppelregister BSN geen behandeling bij Afweging 2. Er is geen mogelijkheid voor en geen vraag naar een private invulling.
0.5 Afweging 2: speelveld houden voor private diensten Uit het voorgaande blijkt dat voor eID middel Hoog en voor machtigingsregister natuurlijke personen – natuurlijke personen een publieke dienst is aangewezen . Voor deze twee middelen moeten in een vervolgafweging nog de volgende vragen worden beantwoord: -
is aangewezen dat er uitsluitend een publieke dienst is, dus private diensten worden niet toegelaten? als aangewezen is dat zowel publieke als private diensten worden geboden: hoe wordt een speelveld gecreëerd met een gezonde coëxistentie3tussen beide diensten? Aan de orde komen: • de situatie in andere landen; EU-ontwikkeling • perspectief van burger/bedrijf • al dan niet beprijzen van publieke diensten inzet publieke/private authenticatiemiddelen in publieke en private dienstverlening • de positionering van de eenmanszaak • het belang van fall-back
Is een exclusieve publieke dienst aangewezen? Conclusie 5 3
Hier wordt ook wel de term ‘level playing field’ gebruikt. Eigenlijk dekt deze term de lading hier niet. Aan de term is doorgaans de consequentie verbonden dat partijen tenminste de integrale kostprijs voor hun dienst in rekening brengen. Dit is echter niet het geval voor een publieke partij als het een dienst van algemeen economisch belang betreft en als de zorgplicht van de overheid met zich meebrengt dat de dienst gratis is of tegen een beperkte bijdrage verkrijgbaar.
6
Er is geen aanleiding voor een exclusief publiek eID-middel Hoog. Wel is voor elektronisch ondersteunen van processen waarvoor een wettelijke identificatieplicht geldt, een in de WID vastgelegde status van het eID-middel Hoog nodig. Het is niet volledig duidelijk of dit, maar dan alleen voor deze processen, een exclusieve status oplevert voor een publiek eID-middel Hoog. Het vergt nader onderzoek om vast te stellen of ook private middelen als WID-middel zouden kunnen worden aangewezen . Conclusie 6 Er is geen reden voor een exclusief publiek machtigingsregister natuurlijke personen - natuurlijke personen, ook niet voor transacties tussen burgers en publieke dienstverleners.
Speelveld houden voor private diensten Voor het eID-middel Hoog en voor het machtigingsregister natuurlijke personen - natuurlijke personen is dus aangewezen dat zowel publieke als private diensten worden geboden. De vraag is of en hoe een speelveld kan worden gecreëerd met een gezonde coëxistentie van beide diensten. Verschillende aspecten spelen een rol. Ze komen hier eerst aan de orde voor het eID-middel Hoog. De situatie in andere landen; EU-ontwikkeling Voorzover bekend is er geen land ter wereld waar een werkend stelsel is zoals dat nu in Nederland wordt beoogd. Nergens is de situatie bereikt van een standaard die er voor heeft gezorgd dat publieke en private middelen volledig naast elkaar bestaan, onderling uitwisselbaar zijn en zowel worden gebruikt in het publieke als private domein. Conclusie 7: De mate van volwassenheid elders indiceert voor Nederland dat de invoering van een volledig mixed publiek-privaat stelsel een beweging is van jaren en misschien zelfs nooit geheel realiseerbaar is. Niet alle elementen kunnen in een keer worden geïmplementeerd, een groeimodel ligt voor de hand. De ontwikkeling van regelgeving in de EU leidt in ieder geval tot gemengd gebruik van private en publieke middelen.
Perspectief van burger/bedrif Wat zijn verwachtingen van burger/bedrijf ten aanzien van het eID Stelsel? Er is nog nauwelijks onderzoek naar gedaan. De volgende aspecten spelen waarschijnlijk een rol: -
Steeds meer digitaal: Met een soepele ontwikkeling van het Stelsel wordt de komende jaren een gebruikspotentieel ontsloten voor een grote markt van eID Stelseldiensten. Keuzevrijheid: men wil kunnen kiezen uit meer middelen. Diversiteit in typen gebruik. Sommige gebruikers kiezen bij voorkeur voor zo weinig mogelijk middelen, velen zullen er juist voor kiezen om naast elkaar verschillende middelen te gebruiken. Overwegingen van functiescheiding, gevoelde waarde van een specifieke pas, gemak en herkenbaarheid spelen een rol. 7
-
-
Veiligheid. Er is bewustzijn bij burgers/bedrijven dat daarom voortdurende ontwikkeling in veiligheid nodig blijft. Als op de veiligheid wordt ingebroken, moeten vervangende voorzieningen beschikbaar zijn. Kosten. Er is maar beperkte bereidheid om bijdragen te betalen voor deze diensten. Hoge kosten worden (nog) niet goed begrepen/geaccepteerd. Privacy. De privacy moet worden geborgd. Zorgplicht en systeemverantwoordelijkheid overheid. Men verwacht dat de overheid zorgt voor basisvoorzieningen waarmee men zijn verplichtingen/rechten jegens de overheid geldend kan maken en dat de overheid zorgt voor het zonder grote verstoringen en veilig functioneren van de samenleving en daarmee ook van de digitale dienstverlening.
Conclusie 8 Burger/bedrijf willen steeds meer digitale dienstverlening gebruiken. Met de soepele ontwikkeling van een stelsel wordt een gebruikspotentieel ontsloten voor een grote markt van eID Stelseldiensten. Er is diversiteit in type gebruikers en daarmee in het aantal middelen dat men wil gebruiken. Gebruik van meer middelen naast elkaar ligt meestal voor de hand. Men verlangt dat de overheid zorgt voor basisvoorzieningen en dat de overheid toeziet op veiligheid en privacy. Er is beperkte bereidheid ervoor te betalen.
Al dan niet beprijzen van een publiek eID middel Hoog Bij de vraag of het verkrijgen van een publiek middel eID Hoog (en kaartlezer) moet worden beprijsd spelen verschillende overwegingen. Als wordt uitgegaan van zuivere marktwerking moet de prijs van publieke middelen in beginsel marktconform zijn. Anders kan de private markt niet goed tot ontwikkeling komen. Wetgeving op terrein van mededinging schrijft daarom voor dat de integrale kostprijs wordt berekend. Er zijn echter ook argumenten voor een gratis, dan wel slechts tegen een beperkte bijdrage verkrijgbaar publiek middel eID Hoog: • Er is bij overheid behoefte aan snelle uitrol van een eID-middel Hoog (max. enkele jaren). Niet beprijzen of beperkt beprijzen bevordert dat de burgers gemakkelijk het middel aanschaffen. • De snelle uitrol van een eID middel Hoog betekent een groeimarkt voor aanvullende private authenticatiediensten en die weer aan een groei van de digitale dienstverlening in de 'grote' economie. • Als toegankelijkheid van overheidsdiensten zwaar weegt is het moeilijk verdedigbaar om de integrale kostprijs te vragen. Het publieke belang vergt dan juist wettelijke regeling in afwijking van het algemene M & O - kader van de Mededingingswet. • Beprijzen is voor financieel kwetsbare groepen lastig in relatie tot de zorgplicht van de overheid. Het toch beprijzen en treffen van individuele compensatiemaatregelen (fiscaal of anderszins) voor kwetsbare groepen is in de praktijk moeilijk uitvoerbaar. • Bij het vragen van een prijs worden de lasten voor de burger hoger.
8
•
Naast de kosten van fysieke identiteitbewijzen moet de gebruiker betalen voor digitale middelen. Dat geeft weerstand bij de burger.
Er zijn ook argumenten tegen gratis verstrekking, en vóór een zekere bijdrage, die echter niet de integrale kostprijs hoeft te zijn: • profijtbeginsel, zeker als het middel ook bruikbaar is bij private dienstaanbieders (webwinkels etc.). • perceptie van waarde. • eigen verantwoordelijkheid voor veiligheid. • financierbaarheid van de voorziening. De ontwikkeling en het beheer van een publiek eID middel Hoog is een aanmerkelijke financieringslast die nog nergens in de begroting van de overheid wordt gedekt. • het in rekening brengen van een zekere bijdrage houdt beter rekening met de wens naar marktwerking. Het is discutabel of een objectieve integrale kostprijsberekening mogelijk is en ook of er objectieve vergelijking mogelijk is tussen kostprijzen van middelen. Dit maakt het werken op basis van integrale kostprijs moeizaam. Marktpartijen kunnen gemakkelijk bezwaar maken tegen kostprijsberekeningen van overheidsmiddelen. Het zal dus vooralsnog moeilijk zijn om een kostprijs te bepalen die voor alle partijen acceptabel is. Naast de initiële kosten zijn er kosten van exploitatie en beheer. Bij verder onderzoek naar beprijzing wordt ook dat meegewogen.
Conclusie 9 Beprijzing van de aanschaf van het publiek eID middel Hoog (en kaartlezer) tegen de integrale kostprijs ligt bij het uitgangspunt van marktwerking in de rede. Er zijn echter veel argumenten tegen doorberekening van de integrale kostprijs, dat is dus niet gewenst. Er zal daarom een vorm van 'compensatie' moeten worden gezocht. Zie hierna: ‘private activatie’ voor bepaalde digitale dienstverlening. Bij de vraag of gratis verstrekking gewenst is dan wel het in rekening brengen van een zekere bijdrage speelt een groot aantal deels op elkaar inspelende factoren. Alles overwegende wordt geconcludeerd dat gratis verstrekking van een eID middel Hoog (en voorzieningen als kaartlezers) niet gewenst is. Het in rekening brengen van een bijdrage ligt in de rede. De hoogte daarvan zal nog nader moeten worden bepaald. Inzet publieke/private authenticatiemiddelen in publieke en private dienstverlening Enerzijds is een vlotte uitrol van een publiek eID middel Hoog gewenst, anderzijds is gewenst dat private aanbieders van authenticatiemiddelen een volwaardig aanbod kunnen hebben dat hen ook voor dit gebied doet meegroeien in het eID Stelsel. Een mogelijke oplossing is de volgende. Het eID middel Hoog heeft enkele rollen. Het is zelf een authenticatiemiddel. Daarnaast is het (mits niveau STORK-4) een 'moederkaart' die basis is voor uitgifte van private authenticatiemiddelen en 9
voor het desgewenst op het eID middel Hoog tegen betaling bijplaatsen van toegevoegde waardediensten. Dit noemen we ‘private activatie’. Onderstaand schema geeft een overzicht.
Moederrol
Basis voor uitgifte authenticatiemiddel
Authenticatiemiddelen
Sectoren
Rechtspersonen (RSIN) Middel rechtspersoon
Alle sectoren Paspoort
Middel werknemer rechtspersoon
NIK eID Hoog, mits STORK-4
Natuurlijke personen (BSN)
BSN-sector
Rijbewijs
eID Hoog
Private sector
Private middelen
Blauw = privaat
default
Groen = publiek
na private activatie
Specifieke sectoren (bijv. advocatuur, HR)
Paspoort, NIK, rijbewijs of eID-middel hoog (mits STORK-4) hebben een ‘moederrol’4. Ze zijn basis voor uitgifte van authenticatiemiddelen. Voor rechtspersonen zijn er alleen authenticatiemiddelen uit de markt, ook als het gaat om attributen als ‘werknemer’, of ‘bestuurder’. Dus een middel waarmee een werknemer zich namens een bedrijf authenticeert is ook altijd een privaat middel. Er wordt geen onderscheid gemaakt naar sectoren van dienstverlening. Alle sectoren worden alleen ‘bestreken’ met private middelen. Natuurlijke personen kunnen een eID-middel Hoog aanschaffen en/of een privaat authenticatiemiddel. Het eID-middel Hoog heeft ook de rol van authenticatiemiddel. Daarmee kan zowel gebruik worden gemaakt van dienstverlening in de ‘BSN-sector’ als in de private sector. Voor specifieke sectoren is ‘private activatie’ nodig. Als men bijvoorbeeld de bevoegdheid advocaat, de authenticatie met het KvK-nummer, of de BIG-bevoegdheid wil bijplaatsen is dat mogelijk, maar alleen door op de markt een toegevoegde waarde-dienst aan te schaffen. Men kan ook private authenticatiemiddelen aanschaffen. Daarmee kan men zowel terecht in de BSNsector als de private sector en de specifieke sectoren. Voor wat betreft het laatste: in het geval van een advocaat kan deze er dus voor kiezen de advocatenbevoegdheid bij te plaatsen op het eID-
4
Paspoort, NIK en rijbewijs zijn daarbij nog iets hoger in ‘hiërarchie’ dan het eID-middel Hoog, want ze zijn ook de basis voor uitgifte van het eID-middel Hoog.
10
middel Hoog dan wel een afzonderlijke advocatenpas te gebruiken. In beide gevallen schaft hij deze aan als private voorziening. Er zijn daarnaast nog verschillende toegevoegde waarde-diensten mogelijk.
Conclusie 10 Deze oplossing vraagt nadere uitwerking en validatie, maar lijkt goede mogelijkheden te scheppen voor een evenwichtige benadering van publieke en private belangen en houdt het stelsel open naar de toekomst. De positionering van de eenmanszaak De eenmanszaak wordt gevoerd door een natuurlijk persoon. Zijn ondernemerschap is geen afzonderlijke juridische entiteit. In de hoedanigheid van natuurlijk persoon heeft hij verplichtingen naar of rechten ten opzichte van de overheid. Er is geen goede grond om te verlangen dat hij een privaat eID-middel aanschaft naast een publiek middel om daarmee aan zijn verplichtingen te voldoen of zijn rechten geldend te maken. Het is bovendien niet eenvoudig om BSN-gerelateerde dienstverlening voor ondernemers te onderscheiden van BSN-gerelateerde dienstverlening aan natuurlijke personen in hun hoedanigheid van burger. Als de eenmanszaak zich voor digitale dienstverlening moet authenticeren met het KvK-nummer heeft hij een privaat middel nodig of private activatie van het eD middel Hoog. Daarnaast staat het de eenmanszaak natuurlijk vrij om voor digitale dienstverlening met de overheid een privaat authenticatiemiddel aan te schaffen. Conclusie 11 Er is geen aanleiding om aan de eenmanszaak het gebruik van een eID middel Hoog te ontzeggen voor BSN-gerelateerde dienstverlening met de overheid. Voor diensten waarvoor hij zich authenticeert met het KvK-nummer is een privaat middel nodig of private activatie van het eID-middel Hoog.
Het belang van fall-back Een uitgangspunt van de strategische verkenning eID Stelsel is dat er meer middelen zijn, zodat bij calamiteiten overgegaan kan worden op een alternatief middel. Dit is een indicatie voor het naast elkaar bestaan van publieke en private middelen en/of private middelen onderling die elkaar kunnen vervangen. In de bovengeschetste ontwikkeling van naast elkaar bestaande inzetmogelijkheden van publieke en private authenticatiemiddelen kunnen fall-backmogelijkheden goed worden gerealiseerd. Conclusie 12
11
In de bovengeschetste ontwikkeling van naast elkaar bestaande inzetmogelijkheden van publieke en private authenticatiemiddelen kunnen de gewenste fall-backmogelijkheden voor authenticatiemiddelen goed worden gerealiseerd.
Het machtigingsregister natuurlijke personen - natuurlijke personen De afwegingen of en hoe voor eID middel Hoog een speelveld kan worden gecreëerd met een gezonde coëxistentie met private diensten gelden ook voor het machtigingsregister natuurlijke personen - natuurlijke personen. Conclusie 13 Voor de eenmanszaak is het gebruik van het publiek machtigingsregister mogelijk voor BSNgerelateerde dienstverlening met de overheid. Dit geldt alleen voor portaaldienstverlening van de overheid. Voor machine-machineverkeer tussen eenmanszaak en overheidsdienstverlener moet voor BSN-gerelateerde dienstverlening gebruik worden gemaakt van een privaat machtigingsregister. Voor KvK-nummer gerelateerde dienstverlening moet de eenmanszaak steeds gebruik maken van een privaat machtigingsregister.
12
!"
%
$
)
$
% (
''
& ' $
& '
( (
(
'
+ $
,
$
!
( * *
"
+
(. $
$ % ( &.
$
$
+
(
$
,
'
$
$
( $ ,
* (
$ , '
'
*
&
/ * $
( *
&
( (
.' . ( '
.'
$ * '
&
2 * ,
( +
*
'
$
*
* 3
( $
/ )
*
$
$
( ,
(
*
(
(
!
,
'
(
, 4. *
(. * ! (
& *
$ ( ' 5 , 7$ $
*
, '' .' (
& $ ( * ' ( * ( ' $
(
'
0
' . ' ' $ * ( * '( ' .' , '
$ '
* $
1
, $ $
*
) . 6 $ '*
*
1
$ * (.
' / .
(. &
( /
$ '(
'
.
$ ,
+
'
#
!$
(.
'
$ . $ '$
'
(
2 /
& *$ ( ' $
8
$ (
% '
' !"
!
! ( ( # , ,
'
* ) '
*
'
& (
' 9
, ( *
$ $ ! & * & 1 ( $ $ * (
/
$
*
(
, ' , '
"
, 2
(
,
$ $
9 1 *
& (
$
! &
, $ $
',
$ *
' (
,
$
$
)
" $ • •
*
0 , (
, (
$ * (( o
, ' (.
: (
$
'
$
, ' $ , 61
$ '
, ( *
0''
*
,
* $
'
( $ *
*
( .$
(
5
*
, *
*
(
( ,
) •
/ .'*
$
; $
$
!" #
$ %
! #
$
Probleemanalyse Businessmodel eID Programma eID
Auteur: Huub Janssen Versie:
0.9
Status:
ter bespreking
Titel:
Probleemanalyse Businessmodel eID
Datum: 12 mei 2014
Versiegeschiedenis Versiebeheer: op de definitieve versies van dit document is versiebeheer van toepassing. Definitieve versies hebben een geheel getal als nummer. versie
datum
geadresseerden
Aanpassingen
9 januari 2014
Presentatie probleemanalyse in
Input meegenomen bij opstellen
stuurgroep
stukken.
Bespreking probleemanalyse in
Input meegenomen bij opstellen
Stelselraad eHerkenning
stukken.
9 en 16 april
Bespreking inhoud in informele
Aanscherping van de randvoorwaarden.
2014
bijeenkomsten met
Februari 2014
dienstaanbieders en potentiële leveranciers 0.9
8 mei 2014
eID-platform
Probleemanalyse businessmodel | 21 januari 2014
1
Inleiding
Voor het afnemen van digitale diensten is het gewenst dat eindgebruikers een eID-middel aanschaffen, maar eindgebruikers hebben in het begin nog weinig gebruiksmogelijkheden en voordeel. Dienstaanbieders investeren tegelijkertijd niet in aansluiting op het eID Stelsel, zolang nog een beperkt aantal eindgebruikers over middelen beschikt. Dus zonder aanvullende afspraken te maken, is zowel bij publieke als private partijen de verwachting dat het gebruik van het stelsel langzaam op gang komt en daarmee ook de ontwikkelingen van voorzieningen binnen het stelsel. Bij een trage ontwikkeling zal ook de potentiële winst voor dienstaanbieders voorlopig niet bereikt worden. De verwachting is dat de potentiële winst van de grote groepen publieke en private dienstaanbieders in Nederland groter is dan de kosten van de middelen. Het inrichten van een businessmodel kan helpen dit op gang te brengen. In het afsprakenstelsel eID kan ook het businessmodel worden beschreven. De vraag is wat en in hoeverre er in het afsprakenstelsel hierover iets moet worden bepaald; dit zou nl. aan de markt kunnen worden overgelaten. Op macroniveau levert dit winst op voor alle partijen, indien een deel van de potentiële winst van dienstaanbieders tijdelijk, gedurende de opstartfase, gebruikt kan worden om goedkoop en snel de eindgebruikers (burgers en bedrijven) aan een hoogwaardig middel te helpen. In het kader van de Europese Verordening zullen burgers over een hoogwaardig middel (STORK betrouwbaarheidsniveaus 3 of 4) moeten beschikken voor intracommunautaire transacties. Daar voldoet het huidige DigiD niet aan. Achterliggend probleem is dat de kosten en de winst bij verschillende (rechts-)personen liggen en het aantal spelers groot is. Dit vraagt om gezamenlijke afspraken om dit dilemma op te lossen. Doel van deze analyse is om: 1. de problematiek nader te beschrijven, en 2. richting te geven tot mogelijke oplossing.
Pagina 3 van 8
Probleemanalyse businessmodel | 12 mei 2014
2
Probleemstelling
Met deze analyse wordt beschreven op welke wijze we de volgende vraag kunnen beantwoorden: Op welke manier kan het businessmodel bijdragen aan een snelle beschikbaarheid en adoptie van hoogwaardige eID middelen voor eindgebruikers (burgers en bedrijven)? Een snelle beschikbaarheid van hoogwaardige (stork 3 en 4) middelen draagt bij aan: Een snelle ontwikkeling van het eID Stelsel en de voorzieningen daarbinnen. Het realiseren van de doelstellingen voor veilige en betrouwbare elektronisch identificatie Het op korte termijn kunnen beschikbaar stellen van transacties die een hoogwaardig middel voor authenticatie vereisen. Intracommunautaire elektronisch authenticatie mogelijk maken. Laagdrempelige uitrol van afgeleide aanvullende middelen (met lager betrouwbaarheidsniveaus en hoger gebruiksgemak). De focus van de analyse is gericht op de middelen, omdat eerder bij eHerkenning al is gebleken dat
in een beginnende markt het onvoldoende aantrekkelijk is voor gebruikers om middelen aan te schaffen.. Maar bij de uitwerking moet ook rekening gehouden worden met de consequenties voor andere dienstverlening binnen het stelsel. Daarnaast zal het businessmodel de economische exploitatie van de verschillende voorzieningen binnen het stelsel mogelijk kunnen maken. Bijkomende wensen die meegenomen zouden kunnen worden: De mogelijkheid om financiële middelen beschikbaar te stellen voor een calamiteitenfonds; zodat bij het vervallen van bepaalde middelen in het stelsel de eindgebruiker gecompenseerd kan worden voor de aanschaf van een nieuw middel. De mogelijkheid financiële middelen beschikbaar te stellen voor de bekostiging van de beheerorganisatie en de governance. Er hoeft bij de uitwerking niet tot één vaststaand model te worden gekomen. Gegeven de mogelijke impact, kunnen er ook groeimodellen en/of pilots voorgesteld worden om bepaalde modellen in de praktijk te toetsen. Voor de toetsing van de werking van het eID Stelsel zullen er in 2015 pilots plaats vinden. Hiervoor zal er een of meerdere keuzes omtrent het businessmodel moeten zijn gemaakt. Parallel aan de discussie hierover binnen het eID programma, speelt dezelfde discussie ook binnen eHerkenning. Gedurende de uitwerking van het businessmodel, zal zoveel mogelijk getracht worden de inhoud, aanpak en activiteiten op elkaar af te stemmen/elkaar te laten versterken. Bij de uitwerking zal met name gekeken moeten worden naar “freeriders” gedrag dat een dempende werking op de introductie van het eID Stelsel kan hebben. Met name private dienstaanbieders hebben aangegeven wel te overwegen mee te doen, maar niet als hun concurrenten dan goedkoop kunnen meeliften.
Pagina 4 van 8
Probleemanalyse businessmodel | 21 januari 2014
3
Uitgangspunten
Bij de uitwerking van het businessmodel gelden de volgende uitgangspunten: - Er is helderheid over de wijze waarop het publieke middel beschikbaar komt - Alle rollen binnen het stelsel moeten economisch rendabel kunnen zijn - Het businessmodel moet onderscheid maken naar de betrouwbaarheidsniveaus en de daaraan toegekende waarde ondersteunen (prijsverschil per betrouwbaarheidsniveau) - Het businessmodel moet een grote verscheidenheid van dienstverlening en bijbehorende betaalbereidheid ondersteunen - Het model moet ruimte bieden aan marktpartijen voor de ontwikkeling van specifieke proposities - Het model moet voorspelbaarheid in kosten voor dienstaanbieders kunnen bieden (mogelijkheid tot bundels, staffels en flat fee) - Het moet transparant zijn welk deel van de kosten wordt veroorzaakt door de afdracht van marktpartijen voor centrale voorzieningen (bijvoorbeeld de beheerorganisatie, een calamiteitenfonds)De wijze van verrekening moet juridische toegestaan zijn (o.a. Mededingingswet)
4
Uitwerking problematiek
Het gebruik van het eID Stelsel zal een trage start kennen, door een onbalans op dat moment tussen de kosten (met name door de lage betaalbereidheid van eindgebruikers die een middel moeten aanschaffen) en de opbrengsten (met name bij publieke en private dienstaanbieders). De betaalbereidheid zal bij eindgebruikers toenemen, naar mate meer diensten via zo’n middel beschikbaar zijn. Meer dienstaanbieders zullen via het eID Stelsel hun diensten aanbieden naar mate er meer gebruikers over een middel beschikken.
Pagina 5 van 8
Probleemanalyse businessmodel | 12 mei 2014
In de loop van de tijd zal dit probleem zichzelf oplossen door toename van het aantal beschikbare diensten en door een groter aanbod aan mogelijkheden als gevolg van concurrentie en innovatie. Dit betekent dat in de loop van de tijd, de behoefte aan (de inrichting van) het businessmodel kan veranderen. Het businessmodel is dan ook dynamisch en gerelateerd aan de betaalbereidheid van gebruikers en dienstaanbieder. Versnelling hiervan bij het oplossen van dit kip-ei probleem kan door: - Gebruik verplicht stellen door de overheid - Door hergebruik van bestaande of uitgifte nieuwe middelen financieel te belonen In de uitwerking van het businessmodel zal op dit laatste punt worden ingegaan, immers voor het eerste punt hoeft het businessmodel geen bijdrage te leveren. Het businessmodel zal de ontwikkeling van de ‘ist’ situatie naar de ‘soll’ situatie moeten stimuleren. Een goed businessmodel: - Verlaagt de prijs voor gebruikers - Stimuleert hergebruik bestaande middelen - Faciliteert nieuwe middelen - Keuze voor gebruikers en dienstaanbieders - Stimuleert aansluiting dienstaanbieders - Stimuleert marktgroei en concurrentie g
Pagina 6 van 8
Probleemanalyse businessmodel | 21 januari 2014
5
Voorzetten voor mogelijke oplossingen
Voor het realiseren van het doel, zal het businessmodel moeten zorgen voor het herstellen van de financiële onbalans tussen baten en lasten. Er zal een financiële verrekening moeten komen. Dit kan binnen het stelsel en buiten het stelsel gebeuren.
Hieronder wordt een korte toelichting op de twee varianten gegeven. Overigens zijn deze modellen in de verdere uitwerking geen vaststaand kader. Alternatieven kunnen ook ingebracht worden. 1 Verrekening binnen het eID Stelsel Deelnemers (aanbieders) aan het stelsel spreken af: - Makelaar betaalt deel van de opbrengst van de dienstaanbieder door aan de authenticatiedienst - Authenticatiedienst verwerkt dit in zijn aanbod aan de gebruiker - Verrekening neemt af, naarmate de ‘betaalbereidheid’ van de gebruiker groeit Voordelen: - Eenvoud voor de gebruikers en dienstaanbieders, complexiteit zit in het netwerk - Beproefd bij marktontwikkeling van payments en telecom - Schaalbaar - Zowel nieuwe als bestaande middelen Nadelen: - Alle participanten op 1 lijn krijgen - Uitvoering en governance binnen stelsel - Bodem in de marktprijs voor makelaarsdiensten - Geen keuze voor dienstaanbieders, iedereen moet meedoen
Pagina 7 van 8
Probleemanalyse businessmodel | 12 mei 2014
2 Verrekening buiten het eID Stelsel Dienstaanbieders (afnemers) van het stelsel spreken af: Kosten voor middelen worden gedeeld pro-rato van het nut voor iedere dienstaanbieder Zetten gezamenlijke inkoop/stimuleringsregeling op Zowel overheid als bedrijfsleven Voordelen: Kosten worden optimaal gedeeld Uitvoering buiten het stelsel, alleen rapportage nodig vanuit stelsel Zowel nieuwe als bestaande middelen Keuze voor dienstaanbieders in wel/niet meedoen Nadelen: Niet alle dienstaanbieders zullen meedoen Communicatie uitdaging richting eindgebruikers wegens twee soorten middelen (gratis en niet gratis). Eenvoudige upgrade moet mogelijk zijn Deze en eventuele andere varianten zullen verder worden uitgewerkt en getoetst ten aanzien van het realiseren van de doelstelling en de uitgangspunten.
Pagina 8 van 8
!"
!
"
%
&'
*
$ '
*
$
( $
(
)
) (
)
+ ,
!
/ $ 0$
(
* 4 (
4'
3 ) !
) 1
2 -
1
1
$ 1
)
$
-
) ) $! 5 68 1 $
7
$
- '3 $
6 (
$
)
7
$
$
(
. 9 & & -
$ :( & ( ' ( $ 5- * 1 -
-
(
$
(
-
$
) =4 '
- &
) &
( '$
$ ( 53 &
(
1
( ' ( '
-
( ( - '3 3
-
1 '
*
1
3 2 ; &
)
)
$
$
) ( (
& 1 (
4'( 1 • • •
.
$ $
"
$ $
$
& 1. ( $ 1 & 1 $! = 1 ---
) )
<5 3 (
$
3'
5' & $ $
$
! )
5 !
& ,
& 1
(
!" $
-
#
!$
"
4 & # $ -
'1 -
1 $! (
3 ?$
1
4' & 3
$
1 &
& ' 1
$
(
!"
3 ( 3
1
$
-
)
<
!
'1
$ &
> $
-
( ' 3 1
$
! ,
& ( $
'1
,
#
$
1
&
$
1
!
' 9
&
(
& (
:
% &
$
'
4
$
$
(
53 , 1 ( $
$
$
& $ ( @
& $
-
1
$
A 0 $ 1 $
&
'1 $ $ $
$ $ $
$
( - 1 )
1 1 (
$
$
1
-
-
$
-
(
1 $
(
3 &
11
! 3 ( $ • • • • 1
1$ 11 > 3 > 4 4 ( 1
+ -
$
B $ 4 B $ 4 '1
$ $
1
$ 3
$
$ ( 9> B:C 9> 4:C 94 B:C 94 4:C 1 $
(
&
5
$
$
-
!
0 $
& 1 $ ( 1 &' & ( $ -
!
1 3
$
D $ $
1
$
$
( $
&'3 $
(
(
& $
&
D
1
$
11 3 D (
&
-
( '$
1 &'
$
*
#
$
"
( -
(
'1
(
,
1
(
(
1 &
$ 94 B
$ , B B:
4 4
0 -
% 1
-
$
& (
1
$
1
(
1 1
! " #$ 0 (
( (
-
$
# $
$ 1 '
4)
&
!
(
$ -
(
&
9> 4
1$
> B: '1
=
$
$
(
&
(
(
$ :
$
( 3
$ $
1 $
-
4)
(
. (
$
& $ 1
'
-
(
$ 1
'
&
3
$ 1
$ 5&
"
(
1
$ 9 $
!"
# ) % 13
/ &'( 0$ 1
& 1
$
" , !
1
( $ 94 B: 94 4:
)
)
(
4)
&'
0
&
9$
$
& 3 ' 9> 4:
" #$
&
,
1$
% 1$
B &
,
-
( 5
"
1
&
)
!
:5 3
$
$ -
( 1 1
$ -
$
1$
#$
$ #$
* 3
+ !"
, #
-
.
/0
12
1
#
"$
"
Roadmap implementatie eID Stelsel ten behoeve van eID-platform
Versie 1.0
Inhoud
Roadmap implementatie eID Stelsel ten behoeve van eID-platform ...................................................................................................... 1 Inhoud ........................................................................................... 2 Inleiding ........................................................................................ 3 1
Implementatie eID Stelsel ....................................................... 4 1.1 Waar heen ............................................................................ 4 1.1.1 Scope ............................................................................. 4 1.2
Vertrekpunt .......................................................................... 5
1.3
Componenten ........................................................................ 5
1.4
Uitgangspunten ..................................................................... 8
1.5 Hoofd- en migratiespoor ......................................................... 8 1.5.1 Big Bang scenario ............................................................ 9 1.5.2 Plateaus migratiespoor ................................................... 10 2
Plateaus in het migratiespoor ................................................ 12 2.1 Plateau 1: Pilots met stelselvoorzieningen en publieke en private middelen..................................................................................... 12 2.2
Plateau 2: Consumer 2 Business ............................................ 13
2.3 Plateau 3 Citizen to Government publieke en private middelen (Migratie huidige dienstaanbieders) ................................................ 15 2.3.1 Plateau 3a Gebruik private makelaars in BSN domein ......... 17 2.4
Plateau 4 Machine naar machine verkeer ................................ 18
2.5 Plateau 5 Gebruik sectorale omnummervoorzieningen en attribuutverstrekking .................................................................... 19 2.6 3
Plateau 6 Volledige functionaliteit stelsel in place ..................... 21
Planning realisatie plateaus ................................................... 22
Bijlage 1 Visuele Uitwerking Plateaus 1, 2, 3 en 3a ..................... 23
Pagina 2 van 27
Inleiding
Deze roadmap gaat over de manier waarop de functionele beschrijving van de werking van het eID Stelsel (“Werking van het Stelsel 1.0”) kan worden omgezet in werkende technische componenten. Hierbij gaat het zowel om nieuw te realiseren functionaliteit als om de migratie van de bestaande componenten die een plaats in het stelsel krijgen. Op basis van de beschreven werking van het stelsel kan een route worden uitgestippeld om op de beste wijze, bij het eindpunt, een werkend eID Stelsel te komen. Hierbij is gekozen om niet de werking van het stelsel, maar het gebruik van het stelsel als uitgangspunt te nemen. Op basis van zeer korte user stories wordt een route uitgezet en wordt inzichtelijk gemaakt welke componenten noodzakelijk zijn om een bepaalde user story te ondersteunen. Bij toetsing van de haalbaarheid van deze stories is uiteraard ook gekeken naar andere aspecten dan techniek, zo zijn bij het uitwerken van de scenario’s ook de juridische kaders getoetst. De juridische werkgroep heeft in een afzonderlijke notitie een aantal opmerkingen bij deze versie geplaatst, dat is waar nodig verwerkt. Bij verdere uitwerking van de plateaus naar concrete use cases zal dat wederom worden getoetst. Voor de Roadmap geldt dat deze gebaseerd is op de op dit moment bekende uitgangspunten. Zodra omstandigheden wijzigen, uitgangspunten veranderen etc zal worden getoetst of herijking van de Roadmap noodzakelijk is.
Pagina 3 van 27
1
Implementatie eID Stelsel
1.1
Waar heen Bij het vaststellen van een route is het natuurlijk van belang duidelijk vast te stellen waar je naar toe gaat. Voor deze roadmap wordt hierbij aangehaakt bij de uitgangspunten zoals verwoord in de Strategische Verkenning; “Om de afhankelijkheid van één specifiek elektronisch identificatiemiddel (eID-middel) te beperken is het van belang een strategie te hebben waarin meerdere middelen beschikbaar zijn om dienstverlening te ontsluiten, een zogenoemde multi-middelen strategie. Daarmee wordt een fallback bij calamiteiten gecreëerd.” “…afzonderlijke (overheids-) dienstverleners moeten ‘ontzorgd’ worden, zodat zij geen directe migratie- en koppelafhankelijkheid hebben van de diverse eID-dienstverleners (identiteit leveranciers) en niet zelf hun eigen voorzieningen hoeven te ontwikkelen en beheren.” De verdere uitwerking en behoefte achter de Strategische Verkenning wordt voor de gebruikers van deze routekaart bekend geacht.
1.1.1
Scope
Deze roadmap is gericht op de ICT-componenten. Zaken als marketing, governance en toezicht vallen buiten deze roadmap maar zijn geborgd in het programma eID.
Deze roadmap is gericht op functionele componenten. De doorontwikkeling van de fysieke en infrastructurele inrichting valt buiten de scope van dit document maar niet noodzakelerijkwijs buiten het programma eID.
Deze roadmap is gebaseerd op de set specificaties die zijn opgeleverd door het project afsprakenstelsel v 1.0. Deze beschrijven de functionele werking van het stelsel. Deze roadmap gaat dan ook over de realisatie van de benodigde IT componenten van het stelsel. Waar andere deelprojecten zoals Wetgeving, Toezicht en Governance worden geraakt, wordt dit benoemd. .
De roadmap betreft de realisatie van en de aanpassing aan de publieke componenten van het stelsel. Daarnaast wordt inzichtelijk gemaakt wanneer welke functionaliteit van marktpartijen wordt verwacht. Hiervoor worden echter geen
Pagina 4 van 27
mogelijke doorlooptijden en kosten aangegeven aangezien het aan de marktpartijen is of en hoe ze hier invulling aangeven.
1.2
Voor het publiek middel geldt dat hiervoor een afzonderlijk traject binnen het programma is ingericht. Deze roadmap geeft zicht op de benodigde stelselfunctionaliteit voor het gebruik van de middelen. De realisatie van specifieke componenten voor gebruik van het publieke middel worden benoemd, er worden geen uitspraken gedaan over de realisatie van dit middel.
Voor PKIoverheid geldt dat, op basis van de huidige specificaties, de functionele werking hiervan niet zal worden beïnvloed door de implementatie van het eID Stelsel. Bij het opnemen van PKIoverheid in het stelsel zal vooral aandacht moeten zijn voor de huidige Governance / Beheer en het Toezicht op dit stelsel.
Voor aansluiting op het EU netwerk geldt dat dit verder uitgewerkt wordt binnen het project buitenland. Op dit moment is onvoldoende duidelijk op welke wijze dit binnen het stelsel zal worden geborgd. Zodra hier meer zicht op is zal de roadmap herijkt worden.
Vertrekpunt Er zijn op dit moment voor authenticatie in het publieke domein voorzieningen beschikbaar zoals DigiD en eHerkenning. Ook de mogelijkheid om te machtigen is in dat aanbod geborgd. Daarnaast is PKIoverheid beschikbaar waarmee op hoog niveau de betrouwbaarheid van bijvoorbeeld websites en authenticatie in het M2M verkeer kan worden verzorgd. Vooral voor de middelen die beschikbaar zijn voor burgers geldt dat deze niet voldoen aan de gestelde eisen van betrouwbaarheid om te kunnen spreken van toekomstvaste oplossingen voor de digitale dienstverlening van de overheid. Voor de private sector geldt dat er een veelheid aan middelen bestaat, vaak specifiek per leverancier of transactie waardoor gebruikers met een veelheid aan inlogcodes wordt opgescheept. Om tot een werkend stelsel te komen, dat zowel publiek als privaat voor betrouwbare authenticaties moet gaan zorgen, moet gekeken worden welke componenten er in de beschrijving van de werking van het stelsel zijn benoemd, hoe deze zich verhouden tot het huidige (publieke) landschap en wat we nog missen. Om dit duidelijk in beeld te brengen wordt in onderstaand overzicht, gebaseerd op de beschrijving van de werking van het stelsel (v1.0) een driedeling aangebracht in deze componenten.
1.3
Componenten
Pagina 5 van 27
Specifiek voor transacties door BSN gerechtigde partijen ICT voorzieningen eID Stelsel
Fundament van het stelsel Nodig in elke verschijningsvorm van het stelsel
Bouwblokken noodzakelijk werking stelsel
Bouwblokken werking Stelsel publieke domein
Bouwblokken te leveren door private partijen
Stelsel autoriteit
Sectoraal koppelregister BSN
eID Makelaars
Dienstencatalogus
DigiD
Authenticatie diensten
Testfaciliteit
Publiek middel*
Machtigingsdiensten
DigiD Machtigen
Te realiseren door private partijen
Atributendienst
Sectorale koppelregisters
Groen = nieuw te realiseren Blauw = bestaande voorzieningen aanpassen Geel = door marktpartijen aan te passen of te realiseren voorzieningen Voor de werking van het stelsel is vooral de Stelsel Autoriteit van belang en vraagt extra toelichting. Om deze voorziening, en de werking van het stelsel goed te kunnen plaatsen, volgt een korte beschrijving van de voornaamste functie en de juridische aspecten. Een volledige beschrijving is te vinden in de specificaties “Werking van het Stelsel 1.0”. Functie Stelsel Autoriteit Het vastleggen van stamgegevens bij aanvraag van een authenticatiemiddel binnen het stelsel. Dit gebeurt aan de hand van een controle van een aantal op het WID aanwezige gegevens (voornamen, achternaam, geboorte datum en geboorte plaats). Deze gegevens worden gecontroleerd tegen een verschijningsvorm van de BRP die geschikt is voor bevraging op deze gegevens. Op basis van deze controle wordt een ID aangemaakt in het stelsel dat alleen tot deze persoon te herleiden is. Voor gebruik in het stelsel wordt hiervoor in verband met privacy bescherming een volgens cryptografische technieken versleutelde ID gebruikt. Deze is in geval van opsporingsnoodzaak te herleiden tot de stamgegevens. Deze manier van werken zorgt voor afdoende privacybescherming, maar maakt het ook mogelijk meerdere middelen te hebben binnen het stelsel of om over te stappen zonder verlies van gegevens. Pagina 6 van 27
Aangezien het vastleggen van de stamgegevens in dit systeem plaatsvindt is het randvoorwaardelijk dat het stelsel vanaf de start van deze voorziening gebruik kan maken. Stelselautoriteit juridische aspecten De Stelselautoriteit is met name belast met het aanmaken van een stelsel-ID, op basis van een set stamgegevens uit een WID-document, te weten naam, voornamen, geboortedatum en geboorteplaats. Omdat op basis van deze identificerende gegevens dubbelingen niet uit te sluiten zijn, moet de Stelselautoriteit een check kunnen doen op (het nummerregister van) de BV-BSN of de BRP. Voor het raadplegen van (het nummerregister van) de BV-BSN is een wettelijke basis nodig; het gebruik van het register is alleen mogelijk in combinatie met gebruik van het BSN zelf door een organisatie (artikelen 14 en 15 Wabb). In dat geval zou dus wetgeving nodig zijn voor het functioneren van de Stelselautoriteit. Voordeel van het kunnen raadplegen van het nummerregister in de BVBSN is dat deze voorziening slimmere zoekmogelijkheden biedt dan de BRP. Dit zou kunnen worden ondervangen doordat de Stelselautoriteit de beschikking krijgt over een duplicaat van de BRP, waarin (op basis van de broncode van het systeem van de BV-BSN) geavanceerdere zoekmogelijkheden worden ingebouwd. Voor het verstrekken van de BRPgegevens is een autorisatie op grond van de Wet Brp vereist. Autorisatiebesluiten worden genomen door de Minister van BZK indien het gaat om verstrekking aan overheidsorganisaties. Deze autorisatie zou aan Logius verstrekt kunnen worden indien deze taak van de Stelselautoriteit bij Logius wordt ondergebracht (analoog aan de taken die Logius nu uitvoert ten behoeve van DigiD). Ingevolge de Wet Brp is het ook mogelijk dat het College van B&W gegevens uit de BRP verstrekt aan derden, niet zijnde overheidsorganen. Voor dit laatste is nodig dat door die derden te verrichten “werkzaamheden van gewichtig maatschappelijk belang”, worden aangewezen bij amvb. Hiervoor is dus wetgeving nodig, doch niet op het niveau van een formele wet. Het tot stand brengen van een amvb kost gemiddeld 6 tot 9 maanden. Een aandachtspunt is nog wel de populatie: de BRP omvat zowel ingezetenen als niet-ingezetenen. Indien het om reden van fraudepreventie of - bestrijding wenselijk wordt gevonden om het aanvragen van een authenticatiemiddel te kunnen beperken tot bijvoorbeeld ingezetenen, dan zal hiermee bij de inrichting van de Stelselautoriteit rekening moeten worden gehouden. Bij beperking naar doelgroepen is ook wetgeving nodig. Bovengenoemde aspecten met betrekking tot de werking van de Stelsel Autoriteit gelden voor alle hieronder beschreven uitwerkingen van de plateaus. Uiteindelijk moeten, om tot een werkend stelsel te komen, alle noodzakelijke componenten op het juiste moment beschikbaar zijn. Voor de inrichting van het migratiespoor is gekeken naar de mogelijkheden binnen de bestaande wet- en regelgeving. Op basis hiervan zijn een aantal plateaus gedefinieerd voor het invullen van bepaalde gebruikerswensen. De volgorde van het breed beschikbaar komen van functionaliteit vormt de route van het migratiespoor.
Pagina 7 van 27
In plateau 1 waarin de pilots worden uitgevoerd moet worden gekeken op welke wijze de benodigde functionaliteit beschikbaar kan worden gesteld. Dit dient uitgewerkt te worden in een afzonderlijk op te stellen aanpak voor de uitvoering van de pilots. (zie hieronder de beschrijving van plateau 1). 1.4
Uitgangspunten Om de in deze roadmap beschreven plateaus te kunnen schetsen is een aantal uitgangspunten benoemd die bij het vaststellen van de juiste route leidend zijn.
1.5
Er wordt een migratiespoor(incl pilots) en een hoofdspoor gevolgd. Voor het hoofdspoor staat wetgeving centraal. Het hoofdspoor is randvoorwaardelijk om tot een werkend eID Stelsel te kunnen komen. Om de ontwikkeling toch door te kunnen zetten geeft het migratiespoor invulling aan mogelijkheden binnen bestaande kaders rondom DigiD en eHerkenning, eventueel aanhakend bij lopende ontwikkelingen op dit terrein, Het migratiespoor wordt ingevuld in de plateaus van deze roadmap. Er wordt geen bestaande functionaliteit ingeleverd (wat nu kan moet bij start van het eID Stelsel ook kunnen). Bij start uitreiking van de middelen moet er een werkend stelsel zijn (voor zover dit nodig is voor werking van de middelen). De middelen moeten kunnen worden gebruikt bij start uitgifte(in eerste instantie in pilot omgevingen). DigiD maakt deel uit van het nieuwe eID Stelsel (huidige niveaus basis en midden). Het huidige DigiD zal, in ieder geval gedurende het migratiespoor, alleen voor het publieke domein beschikbaar zijn. DigiD Machtigen maakt deel uit van het eID Stelsel als basisvoorziening voor gebruik van de burger – burger machtiging in het publieke (BSN) domein, overige machtigingen worden aan private partijen overgelaten. (Her)gebruik van voorzieningen waar mogelijk. Markt waar kan, overheid waar moet.
Hoofd- en migratiespoor In het hoofdspoor wordt gezorgd voor een duurzaam en alomvattend wettelijk kader voor zowel het eID Stelsel zelf als een publiek middel op een hoog betrouwbaarheidsniveau (Stork 4 of vergelijkbaar hiermee). Het migratiespoor heeft tot doel om zoveel mogelijk van de potentie van het eID Stelsel reeds te benutten binnen bestaande kaders zoals: de huidige (juridische en toezicht) kaders en de praktijk waarbinnen eHerkenning opereert, de huidige (juridische en toezichts) kaders en de praktijk waarbinnen DigiD en DigiD Machtigen opereren, eventueel de wetgeving die op dit moment met betrekking tot eHerkenning in voorbereiding is,
Pagina 8 van 27
eventueel de wetgeving die op dit moment voor MijnOverheid en de Berichtenbox in voorbereiding is (verplicht elektronisch beschikken toeslagen).
In de bijgevoegde plaat wordt de fasering tussen het hoofd- en het migratiespoor inzichtelijk gemaakt.
*Voor de planning van Plateau M2M is een tijdspad aangegeven dat nog onzeker is. De werking van het stelsel voor dit kanaal is onvoldoende is beschreven in de 1.0 versie van het stelsel. Er wordt de komende periode gewerkt aan deze specificaties en het bepalen van de impact van de benodigde wijzigingen op zowel het Stelsel als op het M2M kanaal (in de verschillende relevante verschijningsvormen). Zodra deze impact gereed is zal inzicht worden gegeven wat de daadwerkelijke doorlooptijd is en wat nodig is om daarin eventueel nog te kunnen versnellen indien wenselijk. De snelheid waarmee de impact analyse gereed is is afhankelijk van prioritering binnen het programma en de beschikbaarheid van de benodigde expertise voor het uitwerken van de specificaties.
1.5.1
Big Bang scenario Met de keuze voor het hoofd- en implementatiespoor vervalt de optie van een Big Bang scenario. Bij implementatie kan weliswaar worden gekozen voor een zogenaamd Big Bang scenario waarbij het gehele stelsel als een functioneel werkend geheel op één datum wordt geïmplementeerd. Een dergelijke migratiestrategie brengt grote risico’s met zich mee. Ter illustratie, het huidige DigiD kent meer dan 600 aangesloten Dienstaanbieders. Om deze met een Big Bang over te zetten naar een stelsel dat in zijn werking principieel anders is dan de huidige situatie, brengt onaanvaardbare risico’s met zich mee voor de continuïteit van bestaande systemen en aansluitingen en daarmee voor de digitale dienstverlening van de overheid. Een zorgvuldig uitgevoerd Big Bang scenario kent bovendien een lange doorlooptijd en veel externe afhankelijkheden. Pagina 9 van 27
1.5.2
Plateaus migratiespoor De verschillende gebieden en raakvlakken van de werking van het stelsel, Citizen 2 Government (C2G); Consumer 2 Business (C2B); Business 2 Government (B2G); Business 2 Business (B2B); maken het mogelijk na te denken over een aantal te realiseren plateaus. De plateaus kunnen deels parallel en in eerste instantie in de vorm van pilots worden gerealiseerd. Hieronder worden deze plateaus kort weergegeven. In hoofdstuk 2 wordt dit verder uitgewerkt; De volgende plateaus zijn beschreven van uit gebruikers perspectief; Plateau 1 Pilots Er wordt gestart met een aantal pilots1 waarbij zowel gebruik kan worden gemaakt van publieke als private middelen. Voor het uitvoeren van deze pilots wordt aangehaakt bij de processen van de uitvoeringsorganisaties. Voor de pilots worden conform beschreven werking van het stelsel op beperkte schaal transacties bij de pilot organisaties gedaan. Daarnaast wordt de werking van het publieke middel als moederkaart beproeft. Plateau 2 Consumer to Business (+ migratie eHerkenning) In plateau 2 implementeert het huidige eHerkenning het eID Stelsel. Hiermee wordt het mogelijk authenticatiemiddelen uit te reiken aan burgers die in eerste instantie de relatie consumer 2 business toepasbaar zijn (C2B). De bestaande dienstverlening van eHerkenning wordt conform uitgangspunten ook gemigreerd (B2G en B2B en G2G). Plateau 3 Citizen to Government (publieke en private middelen binnen BSN domein) Er wordt gestart met het gebruik van publieke en private middelen binnen het stelsel, de migratie van de huidige DigiD populatie krijgt vorm 3a Ook de werking van makelaars in het BSN domein wordt vormgegeven. Plateau 4 Machine naar Machine verkeer Er wordt een specifiek spoor ingericht voor het gebruik van het stelsel binnen het machine 2 machine kanaal (B2G) (B2B)
Plateau 5 Gebruik attribuutdiensten Gebruik van andere registraties dan BSN. (C2B en C2G) en het toe laten van andere attributendiensten zoals bijvoorbeeld BKR (voor dat laatste is regelgeving nodig (zie hfst 2)
1
Met een Pilot wordt een situatie bedoeld waarbij een of meerdere geselecteerde en duidelijk afgebakende processen in de praktijk en met een beperkte groep echte eindgebruikers worden beproefd om een duidelijk beeld te krijgen hoe het geheel van mensen, middelen en processen in de praktijk uitwerken. Voorafgaand aan deze pilots worden gedurende het ontwikkeltraject al een aantal POC’s (proof of concept) en POT’s uitgevoerd waarbij de gekozen oplossingen in een “lab” situatie worden gesimuleerd of op zeer beperkte schaal gerealiseerd om de werking van het concept aan te kunnen tonen. Pagina 10 van 27
Plateau 6 Volledige functionaliteit stelsel in place Het volledig inrichten van de Stelsel Autoriteit en het sectorale koppelregister BSN conform eisen eID Stelsel. Ook zal in deze fase naar verwachting de aansluiting op Europa worden vormgegeven.
Pagina 11 van 27
2
Plateaus in het migratiespoor
2.1
Plateau 1: Pilots met stelselvoorzieningen en publieke en private middelen In dit plateau wordt een aantal pilots ingericht waarbij voor specifieke stromen, met specifiek geselecteerde doelgroepen, een aantal praktijk proeven met het stelsel en de publieke en private middelen wordt uitgevoerd. Voor het uitvoeren van de pilots dienen de benodigde voorzieningen zoveel mogelijk “in place” te zijn. Er is dus een directe verbinding tussen het invoegen van de pilots en de planning van de migratie plateaus. Bij het beschrijven van diverse pilots moet gekeken worden welke voorzieningen van het stelsel hiervoor noodzakelijk zijn en of bijvoorbeeld kan worden volstaan met een tussenversie die beperkte functionaliteit levert waarmee aan de must haves voor de pilots kan worden voldaan, maar die nog niet volledig zijn uitontwikkeld. De pilots hebben op hoofdlijnen twee doelen: 1) de werking van het ontworpen stelsel aan te tonen 2) het verstrekken en gebruiken van zowel publieke als private middelen in de praktijk te beproeven De aanname is dat deze pilots zich hoofdzakelijk zullen richten op authenticatie binnen het BSN domein. Het is echter ook zeer wenselijk dat er pilot komen waarbij diensten van private partijen worden beproefd;
Als burger wil ik met mijn publieke eID middel hoog een toeslag aanvragen; Als burger wil ik met mijn publieke eID middel hoog mijn patiëntengegevens inzien bij mijn zorgverlener; Als burger wil ik bij een webwinkel inloggen om een product aan te schaffen.
Voor de werking van het moederkaart concept moet hierbij ook worden gekeken naar de user story;
Als burger wil ik met mijn publiek middel een tweede middel aanschaffen bij een private middelen leverancier in het eID Stelsel
Voor het inrichten van deze pilots zijn de volgende, in ROOD weergegeven componenten van het stelsel noodzakelijk.
Pagina 12 van 27
Randvoorwaardelijk voor het kunnen realiseren van deze pilots is dat het gebruik van het BSN gedurende de pilots is toegestaan binnen het stelsel. Op dit moment is hier nog onvoldoende duidelijkheid over. Op basis van een notitie van de juridische werkgroep lijkt dit voor de pilot (onder gebruikersvoorwaarden) mogelijk. Voor het ondersteunen van de pilots zullen minimale functionele varianten van de SA en de BSN omnummervoorziening worden gerealiseerd. Deze zullen voor ondersteuning van de verdere plateaus worden doorontwikkeld. De uitvoeringsorganisaties dienen processen aan te dragen die geschikt zijn voor het uitvoeren van deze pilots. Het is daarnaast de verwachting dat het noodzakelijk is dat het programma een visie op de pilots ontwikkelt en capaciteit moet organiseren om de inrichting en uitvoering van deze pilots te ondersteunen. Te denken valt aan support bij aanschaf of realisatie van middelen, de aanschaf en implementatie van de benodigde eID Makelaar, het verstrekken van de middelen etc.
2.2
Plateau 2: Consumer 2 Business Het uitbreiden van de functionaliteit van het huidige eHerkenning met Consumer to Business (C2B) conform eID 1.0 kan doordat het huidige eHerkenning de specificaties van eID implementeert. Hierdoor kan het gebruik in het C2B verkeer groeien. Daarnaast kunnen gebruikers die al een eHerkenningsmiddel hebben voor B2B-verkeer, dit ook gaan Pagina 13 van 27
gebruiken in hun hoedanigheid van particulier/consument (C2B) (hoe dit exact vorm wordt gegeven is onderdeel van de migratie eHerkenning). Op deze manier kunnen de volgende user stories worden ingevuld: x Als burger wil ik met mijn eID middel een verzekering af kunnen sluiten (niet zijnde een zorgverzekering). x Als burger wil ik met mijn eID middel inloggen bij een webwinkel. x Als burger wil ik met mijn eID middel mijn leeftijd laten verifiëren omdat de dienstverlener dit vereist voor de dienst die ik wil afnemen (leeftijd wordt in dit scenario door de authenticatiedienst meegegeven onder user consent; de gegevens worden vastgelegd bij uitreiken van het authenticatiemiddel, het gaat niet om controle conform WID zoals van toepassing bij aankoop van drank en sigaretten) De benodigde voorzieningen zijn aangegeven in ROOD. Voor de stelsel autoriteit wordt net als in de pilots uitgegaan van een beperkte versie met voldoende functionaliteit om het scenario te ondersteunen.
Juridische aspecten De hiervoor naast de Stelselautoriteit benodigde voorzieningen en diensten kunnen zonder nadere (wettelijke) regels worden ingericht. Op de authenticatiediensten is het afsprakenstelsel eHerkenning van toepassing. Aangezien het huidige eHerkenning deze functionaliteit reeds biedt, is de aanname gedaan dat dit binnen de bestaande kaders mogelijk is. Voorstel: Richt een kort nader onderzoek in naar mogelijke extra’s die nodig zijn voor Toezicht bij het inrichten van C2B
Pagina 14 van 27
2.3
Plateau 3 Citizen to Government publieke en private
middelen (Migratie huidige dienstaanbieders) Gebruik middel (hoog) in publieke domein. Na uitvoering van de pilots zijn slechts een zeer gering aantal organisaties aangesloten op het stelsel (en mogelijk nog slechts op een tijdelijke voorziening). Voor de overgrote meerderheid van de aangesloten publieke dienstaanbieders geldt dat er een migratie dient te worden gerealiseerd naar de omgeving van het nieuwe stelsel. Hiervoor is in dit plateau de volgende strategie bedacht; De huidige authenticatiedienst DigiD treedt toe tot het stelsel. Daarnaast wordt DigiD uitgebreid met de mogelijkheid om bij het gebruik van DigiD naast de niveaus basis en midden ook te kiezen voor gebruik van een hoog betrouwbaar middel. DigiD zorgt in dit scenario voor het koppelen van de stelsel-ID van de burger en het BSN op basis van de huidige werking van DigiD. De berichten uit het stelsel worden via de bestaande koppelvlakken afgeleverd bij de publieke dienstaanbieders. Er is dus in eerste instantie voor het gebruik van authenticatiemiddelen uit het stelsel geen aansluiting bij eID-makelaars nodig en de oude koppelvlakken blijven voor transacties in het publieke domein bruikbaar. Het moet volslagen duidelijk zijn (zowel richting publieke dienstaanbieders als richting markt) dat het hier om een tijdelijke situatie gaat die gericht is op het ondersteunen van de implementatie van het stelsel. Deze situatie mag maximaal 2 jaar bestaan, daarna moeten alle dienstaanbieders aangesloten zijn op een eID-makelaar. Met dit scenario wordt het mogelijk met publieke en private eID-middelen van een hoog betrouwbaarheidsniveau transacties te doen binnen het publieke domein zonder dat er een sectorale omnummervoorziening BSN hoeft te zijn. DigiD vervult dit koppelproces ten behoeve van de BSN gemachtigde dienstaanbieder. DigiD basis en midden zijn in dit scenario alleen te gebruiken voor transacties in het publieke domein! Met deze invulling worden de volgende user stories ondersteund: Als burger wil ik met mijn eID-middel hoog een toeslag aanvragen. Als burger wil ik met mijn eID-middel hoog mijn patiëntengegevens inzien bij mijn zorgverlener. Als burger wil ik mijn buurman kunnen machtigen om een bouwvergunning aan te vragen Als publieke dienstaanbieder heb ik behoefte aan een overgangsregeling om het nieuwe koppelvlak van het eID Stelsel te kunnen implementeren en wil ik geleidelijk overstappen.
De benodigde bouwblokken in ROOD. DigiD als migratiemakelaar en koppelregister in PAARS.
Pagina 15 van 27
Kansen: x Voor huidige aansluitingen van publieke dienstaanbieders is in eerste instantie geen aanpassing van koppelvlakken nodig x Dienstaanbieders kunnen op korte termijn diensten aanbieden waarvoor een hoog authenticatieniveau noodzakelijk is. x Er kan snel worden gestart met de uitrol van hoogwaardig authenticatiemiddelen. Dit draagt in hoge mate bij aan de ambitie van de Digitale Overheid 2017. x Middelen met authenticatieniveau hoog zijn bruikbaar in het stelsel Bedreigingen x De Stelsel Autoriteit dient in place en werkend te zijn voor dat dit scenario kan worden gerealiseerd x Er bestaat onduidelijkheid over de wijze waarop omgegaan moet worden met aansprakelijkheid waar het gaat om het gebruik van een publiek middel in het private domein (dit punt vervalt bij exclusief gebruik van het publieke middel als moederkaart) Beheersmaatregelen x Duidelijk vastleggen (desnoods in regelgeving hoofdspoor) per wanneer ondersteuning oude DigiD koppelvlakken komt te vervallen x Door het publieke middel alleen te ontsluiten via de DigiD migratie makelaar en niet via de eID Makelaars blijft het gebruik beperkt tot het publieke domein. Pagina 16 van 27
x
Bij toevoegen private middelen is het (indien gewenst) eenvoudig de werking van het publieke middel te beperken tot het publieke domein door de makelaars het publieke middel bij private transacties niet te laten tonen.
Voor een verdere visuele uitwerking zie Bijlage 1. 2.3.1
Plateau 3a Gebruik private makelaars in BSN domein In dit plateau wordt een combinatie gemaakt met het resultaat van plateau 3 waarin het BSN vanuit huidige DigiD omgeving wordt doorgestuurd naar de eID Makelaar. Hiermee kunnen bijvoorbeeld overheidsdienstaanbieders die nu al een aansluiting op eHerkenning hebben, met hun makelaar mee migreren naar het eID Stelsel Deze optie zorgt ervoor dat er aanbod van zowel makelaars als middelen komt van private partijen. Hiermee kunnen serieuze stappen worden gezet in het oplossen van het continuïteitsprobleem rondom DigiD en het bereiken van de stip op de horizon “een volwassen eID Stelsel”. Voor een verdere visuele uitwerking zie bijlage 1 Benodigde IT voorzieningen in ROOD weergegeven. Verschil tov scenario 3 is toepassing eID-makelaars.
Juridische aspecten Bij deze invulling wordt ervan uitgegaan dat de huidige juridische kaders voor DigiD voldoende zijn voor het verwerken van BSN en andere Pagina 17 van 27
persoonsgegevens door Logius. Als de variant met de eID-makelaar ( zie scenario 3a) wordt toegepast, zal het BSN dat bij de makelaar ‘over de lijn’ gaat zodanig versleuteld moeten worden dat deze daarvan nooit kennis kan nemen. In dat geval is hij niet aan te merken als be- of verwerker van het BSN in het kader van de Wet bescherming persoonsgegevens (vgl. de positie van internet/telecomproviders, zoals omschreven in de Memorie van Toelichting bij de Wet bescherming persoonsgegevens). Een inrichting die dit mogelijk maakt lijkt (door encryptie en gebruik van pseudo-ID’s) in het stelsel gerealiseerd te kunnen worden.
Voor de stelselautoriteit geldt dat deze voorziening, net als bij de pilots, in eerste instantie in beperkte vorm zal worden gerealiseerd zodat o.a. de afgifte van middelen kan worden ingevuld er (pseudo) ID’s worden afgegeven aan de authenticatiedienst. Voor het omnummeren van BSN kan in deze constructie worden gekeken of het mogelijk is dit via de omgeving van het huidige DigiD in te richten zolang de voorziening en het benodigde kader nog niet voldoende zijn ingericht.
Kans: toegevoegde waarde van het stelsel is van meet af aan duidelijk, er komen meerdere middelen beschikbaar, markt krijgt kans voor uitleveren middelen Bij invulling 3a wordt continuïteit van de dienstverlening van de eoverheid structureel versterkt Bedreiging: De stelsel autoriteit dient tijdig gereed te zijn en de werking van het stelsel(eID-makelaar) dient geïmplementeerd te zijn door de private partijen. Beheersmaatregel Ondersteun eHerkenning bij implementatie. Stel in overleg met de partijen vast waar een eventuele behoefte bestaat.
2.4
Plateau 4 Machine naar machine verkeer De huidige uitwerking van het eID Stelsel voorziet nog niet in functionele specificaties voor M2M verkeer. Voor het migratiespoor is het echter wel degelijk van belang om deze invulling te verkennen, omdat concrete businessvragen aan ten grondslag liggen zoals SBR en het verstrekken van VIA gegevens richting fiscaal intermediairs. Het gaat hierbij concreet om het vastleggen van een machtiging waarmee een fiscaal intermediair kan aantonen dat hij namens de klant gemachtigd is aangifte te doen en hiervoor van de Belastingdienst de vooringevulde gegevens te ontvangen en een kopie van de ingestuurde aangifte zoals door de Belastingdienst ontvangen. Pagina 18 van 27
Om de impact van het stelsel op het M2M verkeer in beeld te krijgen worden de komende tijd sessies georganiseerd tussen Logius (Digipoort) en het eID-programma (project concretisering afsprakenstelsel). De hiervoor benodigde machtiging wordt verstrekt door een privaat machtigingsregister (immers DigiD Machtigen is beperkt tot Burger Burger). De gegevens over de machtiging moeten met het bericht mee gezonden worden zodat de Belastingdienst de machtiging kan controleren en de gevraagde gegevens kan verstrekken. De, naar verwachting, voorzieningen in ROOD: g benodigde g g
Voor werking M2M verkeer is nadere uitwerking van de specificaties noodzakelijk. Zodra dit afdoende inzichtelijk is wordt dit uitgewerkt in een herijkte roadmap waarin ook de planning en doorlooptijd beter inzichtelijk wordt gemaakt dan nu mogelijk is.
2.5
Plateau 5 Gebruik sectorale omnummervoorzieningen en attribuutverstrekking Hierdoor wordt het mogelijk dat eID middelen voor een bepaalde sector worden gebruikt, door koppeling van het pseudo-ID aan een in die sector gebruikt id. Te denken valt aan sectoren als notariaat, advocatuur, zorgverleners (BIG-register). Deze registers kunnen worden toegelaten tot het stelsel. Op deze manier kunnen middelen in het stelsel gekoppeld worden aan deze registers en indien de huidige leveranciers van bijvoorbeeld de advocatenpas dit toestaan de specifieke middelen voor Pagina 19 van 27
deze sectoren gebruikt worden in het stelsel. De volgende user story wordt hiermee ondersteund: x Ik heb een eID-middel en wil hiermee als advocaat kunnen inloggen bij de Rechtspraak. Daarnaast kan door middel van attribuutverstrekking bij bepaalde transacties onder user consent gegevens uit andere registraties worden verstrekt. Een bekend voorbeeld hiervan is de controle met betrekking tot de kredietwaardigheid via het BKR. Een voorbeeld hiervan kan zijn; x
Als dienstaanbieder wil ik voor ik instem met een financiering voor de aankoop van een televisie op basis van de binnen het stelsel afgegeven identiteit een controle laten uitvoeren op de kredietwaardigheid van mijn potentiële klant.
Benodigde IT voorzieningen van het stelsel in ROOD: g g
Juridische aspecten Een sectoraal nummer kan in deze uitwerking niet een wettelijk voorgeschreven nummer als bedoeld in artikel 24 Wbp zijn (zoals het BSN). Dat kan namelijk alleen worden verwerkt voor doeleinden bij de desbetreffende wet bepaald. Een dergelijk nummer zou door een sectoraal koppelregister dus niet zonder meer verwerkt mogen worden. Het advocatennummer (BAR-nummer) heeft geen wettelijke status, voor de andere genoemde nummers geldt waarschijnlijk hetzelfde, doch dit moet nog gecheckt worden.
Pagina 20 van 27
Voor de beschreven user story met raadplegen BKR is in ieder geval wetgeving noodzakelijk. Voor gebruik andere registers zoals BIG en BAR is dit op basis van deze inzichten niet noodzakelijk. Daarnaast speelt bij dit onderwerp nog een belangrijke beleidsmatige vraag, namelijk of de mogelijkheid tot het vormen van sectoren waarin een identificerend nummer wordt gedeeld door partijen, moet worden beperkt. Concreet gaat het om de vraag of ook private dienstaanbieders (webwinkels ed.) een sector zouden kunnen vormen met een gezamenlijk klantnummer (vgl. de samenwerking tussen AH, Shell, V&D, bol.com etc. rond de Airmileskaart). Als de burger hiermee instemt, kunnen zijn aankopen ed. worden gecombineerd door de partijen in de sector. Als de overheid het een taak vindt om de burger hiertegen te beschermen, is wetgeving nodig om die bepaalde (private) partijen uit te sluiten van sectorvorming (of die sectorvorming zelfs geheel te beperken tot partijen in het publieke domein). Indien het wenselijk wordt geacht om de vorming van sectoren te beperken (bv. tot partijen in het publieke domein), dan zal dit wettelijk geregeld moeten worden.
2.6
Plateau 6 Volledige functionaliteit stelsel in place In dit plateau zijn alle voorzieningen gerealiseerd en beschikbaar. Ten opzichte van de voorgaande plateaus is het grote verschil dat het sectorale koppelregister BSN conform wettelijk kader is gerealiseerd. De stelsel autoriteit is volledig werkend conform specificaties en vult ook zaken als revocatie en opsporing in. De DigiD migratie makelaar is uitgefaseerd en de publieke dienstaanbieders zijn gemigreerd naar een eID Makelaar. Naar verwachting worden in deze fase ook stappen voor de aansluiting op de Europese ontwikkelingen gezet.
Pagina 21 van 27
3
Planning realisatie plateaus
In onderstaande planning wordt inzichtelijk gemaakt op welke wijze de beschreven plateaus in tijd gerealiseerd kunnen worden. Dit is een overzicht op hoofdlijnen. In de plannen voor de realisatie van de diverse voorzieningen (eerste stap na goedkeuring van de Roadmap) zullen deze worden uitgewerkt worden in detailplanningen met daarbij ook aandacht voor afhankelijkheden bij het uitvoeren van keten en integratie testen.
Activiteit / Tijd
Q1
Q2
Q3
Q4
Q1
Q2
Q3
Q4
Q1
Q2
Q3
Q4
‘14
‘14
‘14
‘14
‘15
‘15
‘15
‘15
‘16
‘16
‘16
‘16
1.Hoofdspoor wetgeving Plateau 1 Pilots met private en publieke middelen Plateau 2 C2B Plateau 3 C2G Plateau 4 M2M Plateau 5 sector en attributen Plateau 6 Volledige realisatie
Pagina 22 van 27
Bijlage 1 Visuele Uitwerking Plateaus 1, 2, 3 en 3a
Plateau 1 Pilots Private en publieke middelen
Pagina 23 van 27
Plateau 2 Consumer 2 Business
Pagina 24 van 27
Plateau 3 Migratie publieke dienstaanbieders
Transformatie
Stelsel Autorite riteit a.i. Autoriteit K7
Publieke blieke icattieDienst AuthenticatieDienst
Private Privat authenticatiediensten
Migratiemakelaar e ema emakelaar DigiD (WW/SMS)
CGI
SOAP SAML
WSDL
Over Ove Overheid Overhei Over ver erheid heid he heid hei eid e ei iid O Overheid Over dd Overheid O verheid Overheid DienstAanbieder Di iienstAanbieder enstAanbiede enstAanb stAanbiede er DD DienstAanbieder Die ienstAanbieder stAanbieder DienstAanbieder Di Dien stAanbieder DienstAanbieder
4
Logius, dienst digitale overheid 13 mei 2014
Geschikt voor gebruik hoog middel x DigiD zorgt dat gebruiker die met hoog middel willen inloggen naar die voorziening worden doorgeleid. Dus bij aankomst in DigiD omgeving komt de vraag: o Wilt u inloggen met: DigiD basis o Digid midden o Publiek middel hoog o Privaat middel x DigiD zorgt vervolgens voor doorzetten naar de authenticatiedienst van het hoge middel. x Krijgt een bericht terug dat authenticatie is geslaagd. x DigiD haalt vervolgens uit bestaande tabellen het BSN dat bij deze authenticatie hoort x Stuurt dat over bestaande koppelvlakken terug met meegeven dat het om een hoog middel gaat (dat gebeurt nu ook al met basis of midden dus niet nieuw, maar moet uiteraard wel worden beproefd) x DigiD moet in dit scenario dus worden aangepast zodat het de makelaars functie kan invullen. Impact beperkt. x Daarnaast moet er een relatie kunnen worden gemaakt tussen het bericht dat de authenticatiedienst teruggeeft en het BSN zoals vastgelegd in huidige DigiD. x De registratie die ontstaat zal bij inwerking treden stelsel moeten worden aangeboden en ingelezen in de stelsel autoriteit. Deze migratie kan een ingrijpend karakter hebben.
Plateau 3a
Pagina 25 van 27
Pagina 26 van 27
Eindsituatie
Pagina 27 van 27
Introductie op het eID Stelsel programma eID Versie:
1.0
Datum: 21 januari 2014 Status:
Definitief
Pagina 1 van 18
Colofon
Programma eID Deelproject Afsprakenstelsel
Bezoekadres: Herman Gorterstraat 5 Utrecht
Versie
1.0
Opdrachtgever
Stuurgroep eID
Bijlage(n)
Aantal pagina’s
18
Exemplaarnummer
Copyright © 2014 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Den Haag
De Staat der Nederlanden (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties) maakt een voorbehoud als bedoeld in artikel 15b van de Auteurswet 1912 met betrekking tot de verstrekte informatie in deze publicatie. Ingeval een derde op welke wijze dan ook zonder toestemming inbreuk maakt op het auteursrecht, kan de Staat stappen ondernemen.
Pagina 3 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
Inhoud
Colofon—3 Inhoud—4 Inleiding—5 1
De context van het eID Stelsel—7
1.1
Huidige situatie—7
1.1.1
Zakendoen met de overheid—7
1.1.2
Zakendoen met het bedrijfsleven—7
1.1.3
Zakendoen met bepaalde sectoren—8
1.1.4
Situatie voor de gebruiker—8
1.2
Nieuwe situatie—8
1.2.1
Pijlers eID Stelsel—8
1.2.2
Situatie voor de gebruiker—8
2
Een digitale transactie in het eID Stelsel—9
2.1
Wie ben je?—9
2.2
Mag je dit?—10
2.3
Ondertekenen—11
3
Ontwerpeisen—12
3.1
Ontkoppelen en ontzorgen van de DIENSTAANBIEDER—12
3.2
Waarborgen privacy—12
3.3
Marktwerking mogelijk maken—14
3.4
Gebruikersgemak bevorderen—14
3.5
Opsporing en toezicht inrichten—15
4
Basisinvulling van het eID Stelsel—16
4.1
De componenten van het eID Stelsel—16
4.2
Berekening van een PSEUDOID—17
Pagina 4 van 18
Inleiding
Overheden en bedrijven bieden mensen en organisaties in toenemende mate de mogelijkheid om diensten digitaal af te nemen. Ook de Nederlandse overheid en de Europese commissie stimuleren een verdergaande dienstverlening via internet. De Nederlandse overheid wil in 2017 alle transacties voor burgers en bedrijven digitaal kunnen laten verlopen. Bij de ontwikkeling van digitale dienstverlening moet iedere organisatie een aantal vraagstukken op het terrein van geautoriseerde toegang oplossen. Het eID Stelsel is een manier om die vraagstukken te uniformeren, zodat niet iedere organisatie ‘het wiel opnieuw uitvindt’. Het eID Stelsel gaat dus niet over de inhoud van de digitale diensten, maar bestaat uit een uniforme set van standaarden en afspraken voor De term ‘eID’ staat voor geautoriseerde toegang tot digitale diensten. elektronische identiteit. Deze De invoering van eID Stelsel is een ontwikkelingstraject gebruik je als je bijvoorbeeld waarbij de invulling in een samenwerking tussen online gegevens over jezelf overheid, markt en wetenschap tot stand moet komen. met een organisatie deelt. Dankzij het eID Stelsel kunnen organisaties veilig en betrouwbaar toegang geven tot hun digitale dienstverlening omdat ze met voldoende zekerheid weten ‘wie er aan de andere kant van de lijn zit’. Hierbij kan het ook gaan om het aantonen dat een leeftijdsgrens is gepasseerd, maar ook dat iemand namens een bedrijf een elektronische handtekening mag zetten.
Voor de burger biedt het eID Stelsel naast veiligheid ook gebruiksgemak. Als hij een digitale dienst wil afnemen, kan hij bij organisaties die zijn aangesloten bij het eID Stelsel zelf kiezen met welk middel hij zichzelf identificeert. Zo kan hij één (of een beperkte set) middel(en) gebruiken om veilig online zaken te doen met meerdere organisaties. Wat in de fysieke wereld wordt bereikt met persoonlijk contact, kopieën van paspoorten, op papier getekende contracten en verklaringen van de Kamer van Koophandel, wordt zo ook mogelijk in de online wereld.
Met het ontwerp van het eID Stelsel wordt het volgende geregeld: 9 Er komt een gestandaardiseerde manier om de authenticatie en bevoegdheid voor het afnemen van alle digitale diensten vast te stellen. 9 Het gaat hierbij om persoonsgebonden digitale diensten. Dat hoeft niet altijd te betekenen dat de identiteit eenduidig vastgesteld moet worden. Het kan ook gaan om andere kenmerken van een persoon, bijvoorbeeld of de persoon ouder dan 18 jaar is, of juist kunnen aantonen dat de persoon jonger is dan 12 jaar. 9 Er komt een technologie-onafhankelijk ontwerp. Hierdoor kunnen zowel bestaande als nieuwe manieren voor het vaststellen van de authenticatie en de bevoegdheid worden ingezet. Pagina 5 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
9 Voor natuurlijke en niet-natuurlijke personen gelden dezelfde standaarden, met als resultaat dat het vaststellen van de authenticatie en de bevoegdheid in het burger- en het bedrijvendomein uitwisselbaar is. 9 Bovendien zijn de verantwoordelijkheden van de verschillende partijen die betrokken zijn bij de levering van een digitale dienst en het vaststellen van de authenticatie en bevoegdheid van de persoon die deze dienst afneemt duidelijk beschreven. Hierbij zijn maatregelen genomen die ervoor zorgen dat de privacy gewaarborgd wordt.
Leeswijzer x
In Hoofdstuk 1 wordt de context van het eID Stelsel toegelicht aan de hand van de huidige situatie rondom toegang tot digitale dienstverlening.
x
Hoofdstuk 2 beschrijft het verloop van een digitale transactie en gaat in op de randvoorwaardelijke basis, namelijk het kunnen herkennen van iemands identiteit en het vaststellen van de bijbehorende bevoegdheid.
x
Hoofdstuk 3 bespreekt de vier belangrijkste ontwerpeisen voor het eID Stelsel en gaat in op welke wijze deze in het ontwerp verankerd worden.
x
Hoofdstuk 4 geeft een eerste indruk van het ontwerp van het eID Stelsel, waarbij onder andere wordt ingegaan op het gebruik van verklaringen en de berekening van pseudoniemen binnen het stelsel.
Pagina 6 van 18
1 De context van het eID Stelsel
1.1 Huidige situatie Mensen en organisaties beschikken over een veelvoud aan authenticatiemiddelen waarmee ze online hun identiteit kunnen aangeven en transacties kunnen doen. Denk aan gebruikersnaamwachtwoordcombinaties eventueel aangevuld met sms-code, bankpas/reader en tokens voor toegang tot de eigen bedrijfsinformatie. Organisaties die digitale diensten aanbieden hebben meestal een eigen EID-MIDDEL ontwikkeld waarmee toegang kan worden verkregen tot de digitale diensten. Deze organisaties hebben vaak hoge kosten om deze EID-MIDDELEN te beheren. Ook specifieke sectoren hebben voor (bijvoorbeeld) beroepsgroepen eigen digitale identificatiemiddelen ontwikkeld. 1.1.1 Zakendoen met de overheid Binnen de overheid zijn de laatste jaren stappen gezet om EID-MIDDELEN van overheidsorganisaties te ontkoppelen. Op deze wijze kan hetzelfde EID-MIDDEL bij meerdere organisaties gebruikt worden. Voor het burgerdomein is DigiD geïntroduceerd en in het bedrijvendomein is het stelsel eHerkenning geïntroduceerd. Met een persoonlijke DigiD (gebruikersnaam en wachtwoord, optioneel aangevuld met sms-code) kan iemand zich identificeren op websites van de overheid en van organisaties die een overheidstaak uitvoeren. Het is bij DigiD mogelijk om iemand te machtigen die namens een ander individu een transactie uitvoert. DigiD kent inmiddels ruim honderd miljoen authenticatie transacties per jaar. Voor bedrijven die zakendoen met de overheid is eHerkenning geïntroduceerd. Ondernemers loggen in met eHerkenning op websites van de overheid, zoals burgers dat doen met hun DigiD. eHerkenning kent verschillende betrouwbaarheidsniveaus waarop de identiteit van de gebruiker kan worden vastgesteld, waarbij ook het hoogste niveau beschikbaar is. Overheidsorganisaties geven aan in het burgerdomein behoefte te hebben aan een hoger betrouwbaarheidsniveau van EID-MIDDELEN zodat ze meer dienstverlening digitaal kunnen aanbieden en ze met meer zekerheid kunnen vaststellen wat de identiteit van de handelende persoon is. Dit mogen zowel publiek als privaat uitgegeven EID-MIDDELEN zijn. Zo wordt een fallback-optie gecreëerd voor het geval dat een EID-MIDDEL onverhoopt niet gebruikt kan worden bij een transactie. Bovendien levert het onderscheid burger/bedrijf bij een aantal organisaties en bij de handelende persoon extra administratieve lasten op, denk daarbij bijvoorbeeld aan de grote groep ZZP’ers. Het is daarom wenselijk dat een EID-MIDDEL in beide domeinen gebruikt kan worden. 1.1.2 Zakendoen met het bedrijfsleven Commerciële organisaties hebben er belang bij dat online zakendoen snel, gemakkelijk en veilig verloopt. Veel organisaties hebben eigen inlogprocedures en voorzieningen ingericht om een online transactie succesvol te laten verlopen. Soms wordt ook informatie hergebruikt die al online gedeeld is, bijvoorbeeld door de klant toe te staan om in te loggen met een Facebookaccount. De huidige situatie houdt in dat organisaties veelal ieder voor zich investeren in online zakendoen en lang niet altijd over een fallback-optie beschikken als hun voorziening (tijdelijk) niet werkt. Ook zijn ze Pagina 7 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
kosten kwijt aan niet inbare facturen omdat de identiteit van hun klanten onbetrouwbaar is gebleken. Bovendien kunnen ze soms met moeite of alleen tegen hoge kosten betrouwbare aanvullende informatie over een consument verifiëren zoals kredietwaardigheid of het voldoen aan een leeftijdsgrens. 1.1.3 Zakendoen met bepaalde sectoren Een aantal sectoren heeft zelf voorzieningen ingericht waarmee iemand kan aantonen dat hij (bijvoorbeeld) tot een bepaalde beroepsgroep behoort. De pas voor advocaten is hier een voorbeeld van, evenals de UZI-pas waarmee zorgaanbieders (zorgverleners en zorginstellingen) en indicatieorganen (CIZ en Bureaus Jeugdzorg) via de elektronische weg veilig toegang kunnen krijgen tot vertrouwelijke patiëntinformatie. Deze voorzieningen geven toegang tot specifieke informatie die voor de uitwisseling van gegevens en/of de uitvoering van een transactie of taak van belang is. 1.1.4 Situatie voor de gebruiker Voor mensen en organisaties leidt het huidige landschap van toegangsvoorzieningen voor online zakendoen tot de noodzaak om een veelvoud aan EID-MIDDELEN te beheren. Ze moeten vaak een hele lijst aan usernames en wachtwoorden onthouden.
1.2 Nieuwe situatie 1.2.1 Pijlers eID Stelsel Het eID Stelsel maakt het mogelijk dat mensen en organisaties digitaal zaken kunnen doen met een EID-MIDDEL van hun keuze. De basis voor het ontwerp van het stelsel is gebaseerd op drie pijlers: 1. Om vast te stellen: “Wie ben je” en “Mag je dit” wordt gebruik gemaakt van een gestandaardiseerde en uniforme invulling van de ‘bewijsstukken’. Deze bewijsstukken worden in de vorm van verklaringen voor elke digitale dienst gecreëerd. 2. De identiteit van partijen die in het stelsel eID-diensten aanbieden (bijvoorbeeld authenticatie- en machtigingsdiensten), wordt vastgesteld met een hoge mate van zekerheid. Deze partijen conformeren zich tevens aan de toezichtregels die als onderdeel van het stelsel worden geïmplementeerd. 3. De rollen en verantwoordelijkheden van betrokkenen in een keten van digitale transacties zijn helder en afzonderlijk gedefinieerd. 1.2.2 Situatie voor de gebruiker Een gebruiker kan met één (of een beperkte set) EID-MIDDEL(en) online transacties uitvoeren, waarbij hij zelf kan aangeven of hij dat (bijvoorbeeld) als consument, beroepshalve of als bedrijf doet.
Pagina 8 van 18
2 Een digitale transactie in het eID Stelsel
Bij een digitale transactie worden online gegevens uitgewisseld met een bepaald doel, bijvoorbeeld het invullen en indienen van een belastingaangifte, het boeken van een vakantie, of het indienen van een declaratie via het webportaal van een verzekeringsmaatschappij. Bij de zorgvuldige totstandkoming van een transactie zijn er drie vragen van belang:
Wie ben je? Mag je dit? Hoe wordt de transactie ‘onbetwistbaar’ (ondertekenen)?
In onderstaande figuur zijn deze vragen weergegeven, samen met een aantal sleutelbegrippen1 bij de totstandkoming van een transactie in het eID Stelsel.
De HANDELENDE PERSOON is de persoon die de dienst afneemt. Hij kan voor zichzelf of voor een ander handelen. De DIENSTAANBIEDER is de organisatie die de dienst aanbiedt. Een dienst is gericht op het tot stand komen van een recht, het leveren van een product of het beantwoorden van een informatievraag. Een digitale transactie is in het kader van een dienst de onloochenbare totstandkoming van een verrichting tussen een HANDELENDE PERSOON PARTIJ en een DIENSTAANBIEDER via een digitale weg.
2.1 Wie ben je? Bij de vraagstelling ‘wie ben je?’ gaat het erom dat de DIENSTAANBIEDER kan vaststellen welke persoon zich meldt. Met andere woorden, kan de persoon zich identificeren? In de digitale wereld verloopt het herleiden van de identiteit in twee stappen:
a. Identificatie: wie ben je? b. Authenticatie: bewijs dat maar.
1
Een uitgebreide beschrijving van alle begrippen die binnen het eID Stelsel worden gehanteerd zijn opgenomen in Sectie 5: begrippenlijst. Pagina 9 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
Ad a. Identificatie: wie ben je? Bij identificatie gaat het om eenduidig de ene persoon van de andere persoon te kunnen onderscheiden. In het dagelijkse leven zijn aan één natuurlijke persoon veel verschillende identificerende nummers gekoppeld. Denk aan het burgerservicenummer, het klantnummer bij de bank, het klantnummer bij een verzekeraar, het klantnummer bij een webwinkel, etc. Afhankelijk van bij welke DIENSTAANBIEDER een transactie wordt afgenomen, zal steeds een ander identificerend nummer van toepassing zijn. Ad b. Authenticatie; bewijs dat maar Om in het digitale verkeer de identiteit van de gebruiker te kunnen bevestigen zijn hulpmiddelen nodig. Deze hulpmiddelen worden aangeduid met de term AUTHENTICATIEMIDDELEN. Een voorbeeld van een AUTHENTICATIEMIDDEL is de gebruikersnaam-wachtwoordcombinatie van DigiD. Het proces van authentiseren wordt geleverd door een AUTHENTICATIEDIENST (bijvoorbeeld de dienst DigiD wordt geleverd door Logius). De door de AUTHENTICATIEDIENST vastgestelde (administratieve) identiteit, is vastgesteld met een bepaalde mate van betrouwbaarheid. Deze betrouwbaarheid is mede afhankelijk van het gebruikte AUTHENTICATIEMIDDEL. 2.2 Mag je dit? Bij de beantwoording van de vraag “wie ben je” is voor de DIENSTAANBIEDER duidelijk geworden wie de persoon is die gebruik wil maken van de dienst. Voor veel diensten zal de DIENSTAANBIEDER ook de vraag stellen of de persoon wel bevoegd is om de dienst af te nemen. Kortom, de DIENSTAANBIEDER stelt de vraag ‘mag je dit?’. Het eID Stelsel standaardiseert de wijze waarop de bevoegdheidsgegevens ter beschikking worden gesteld aan de DIENSTAANBIEDER. Een persoon kan bevoegd zijn op basis van de volgende drie situaties: 1. De persoon handelt namens zichzelf en is rechtstreeks BELANGHEBBENDE bij de gevraagde dienst. Dit is een veel voorkomende situatie: de consument die voor zichzelf een boek bestelt, de rekeninghouder die zijn eigen bankrekening via internetbankieren beheert, de belastingplichtige die zelf zijn aangifte opstelt en instuurt naar de Belastingdienst. In deze situatie kan het echter voorkomen dat de handelingsbevoegdheid van de persoon is ingeperkt. Voor een DIENSTAANBIEDER kan het relevant zijn om vast te kunnen stellen of de persoon handelingsbekwaam is voor de gevraagde dienst, bijvoorbeeld of de persoon minderjarig is of de persoon onder curatele is gesteld. 2. De persoon handelt niet voor zichzelf en treedt op voor een andere partij. De persoon is bevoegd gemaakt:
door middel van een machtiging. door middel van een rechterlijke uitspraak, zodat er sprake is van een wettelijke vertegenwoordiging. Een voorbeeld hierbij is een bewindvoerder bij een faillissement.
3. De persoon handelt niet voor zichzelf en er is geen specifieke bevoegdheidsrelatie naar de BELANGHEBBENDE vastgelegd. De persoon moet dan ingeschreven zijn in een specifiek register waaraan vervolgens bevoegdheden worden ontleend. Bijvoorbeeld een persoon die is ingeschreven in het register van het notariaat, is dan als notaris bevoegd om authentieke akten op te maken. Een ander voorbeeld is de geregistreerde bevoegdheden van personen in het BIG-register (beroepen in de individuele gezondheidszorg).
Pagina 10 van 18
2.3 Ondertekenen Het is voor zowel de HANDELENDE PARTIJ als voor de DIENSTAANBIEDER belangrijk dat de uitgevoerde transactie onbetwistbaar is en ook nadien onbetwistbaar blijft. In de papieren wereld wordt dit meestal ingevuld door het plaatsen van een handtekening op een document. Deze handtekening heeft vier functies:
vaststellen van de identiteit van de persoon die ondertekent. vaststellen of de persoon bevoegd is om te ondertekenen. vaststellen dat de persoon de inhoud van het document kent en dit wil inzenden (wilsuiting). de inhoud van het document onlosmakelijk en betrouwbaar binden aan de persoon.
In de digitale wereld is de behoefte aan een goede invulling van bovenstaande functies nog belangrijker. Immers, in de digitale wereld kan de schaalgrootte van mogelijke fraude enorm zijn. In de huidige praktijk worden twee hoofdvormen van elektronisch ondertekenen onderscheiden:
De persoon beschikt over een middel dat bij een digitale transactie gebruikt kan worden als een elektronische handtekening. De meer betrouwbare middelen zijn bijvoorbeeld gebaseerd op het toepassen van PKI-certificaten. Tijdens de digitale transactie krijgt de gebruiker de mogelijkheid om de digitale transactie te bevestigen. Bijvoorbeeld door een vinkje te zetten bij de tekst: “ik verklaar stellig en zonder voorbehoud…”.
In alle gevallen is het belangrijk dat de gebruiker controle heeft op het verbinden van zijn elektronische handtekening aan de digitale transactie. De DIENSTAANBIEDER is verantwoordelijk dat de handtekening aan de juiste inhoud van de transactie wordt gekoppeld (ook wel associëren genoemd).
Pagina 11 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
3 Ontwerpeisen
Bij 1. 2. 3. 4. 5.
de totstandkoming van het eID Stelsel zijn de volgende ontwerpeisen leidend: Ontkoppelen en ontzorgen van de DIENSTAANBIEDER Waarborgen privacy Marktwerking mogelijk maken Gebruikersgemak bevorderen Toezicht en opsporing inrichten
3.1 Ontkoppelen en ontzorgen van de DIENSTAANBIEDER Beoogde effect: • DIENSTAANBIEDER is ontkoppeld van (technologisch) aanbod van leveranciers van AUTHENTICATIEMIDDELEN. • Het inlogproces wordt door de DIENSTAANBIEDER als dienst afgenomen van een EID-MAKELAAR (vergelijkbaar met een iDeal-betaling). • Dezelfde standaarden voor zowel portaaldiensten als machine-to-machinediensten Nevenstaande figuur illustreert de ontkoppeling van het EIDvan de DIENSTAANBIEDER. De DIENSTAANBIEDER kiest de EID-MAKELAAR waarmee de gebruiker kan inloggen. Een EIDMAKELAAR is een aparte dienst die onder andere inlogprocessen aanbiedt. Deze EID-MAKELAAR laat de EIDMIDDELEN zien waarmee de gebruiker kan inloggen. De gebruiker kan vervolgens zelf het EID-MIDDEL selecteren waarmee hij wil inloggen. Op deze wijze kan hij met hetzelfde middel terecht bij meerdere DIENSTAANBIEDERs. Via gestandaardiseerde verklaringen weet de DIENSTAANBIEDER met wie hij te maken heeft (via een IDENTITEITSVERKLARING) en wat deze gebruiker mag (via een BEVOEGDHEIDSVERKLARING). Vervolgens bepaalt de DIENSTAANBIEDER of de gebruiker de gewenste handeling mag uitvoeren. Dit is het autorisatiebesluit. MIDDEL
3.2 Waarborgen privacy Beoogde effect: • Een gebruiker kan naar elke DIENSTAANBIEDER een andere identiteit kenbaar maken (pseudoniem) en behoudt daarmee zijn digitale privacy. • Een DIENSTAANBIEDER kan alleen op basis van doelbinding autorisatie aanvragen om (sommige) gegevens te kunnen ontvangen. • De gegevens worden pas verstrekt nadat de gebruiker hiervoor toestemming heeft verleend. Met privacy wordt de bescherming van de persoonlijke levenssfeer bedoeld. In de digitale wereld moet iemand zelf kunnen bepalen wie welke informatie over hem krijgt en er moet voorkomen worden dat hij te maken krijgt met willekeurige of onwettige inmenging in zijn privéleven. De overheid gaat dus zorgvuldig om met persoonsgegevens; dit is verankerd in de Wet Bescherming Persoonsgegevens. In het ontwerp voor het eID Stelsel wordt met pseudo-identiteiten (PSEUDOID) gewerkt. Een PSEUDOID is een nummer dat de afnemer van een dienst identificeert en dat door een AUTHENTICATIEDIENST aan Pagina 12 van 18
een DIENSTAANBIEDER wordt verstrekt. Binnen het domein van alle AUTHENTICATIEDIENSTEN is elke PSEUDOID uniek en is gekoppeld aan één bepaalde DIENSTAANBIEDER. Elke DIENSTAANBIEDER ontvangt een PSEUDOID dat speciaal aan hem is gericht. Hierdoor kunnen verschillende DIENSTAANBIEDERS de ontvangen PSEUDOID’s van eenzelfde persoon niet vergelijken. Deze PSEUDOID’s zijn persistent: iedere volgende authenticatie ten behoeve van dezelfde DIENSTAANBIEDER levert dezelfde PSEUDOID op. Zoals hierboven beschreven levert elke authenticatie een DIENSTAANBIEDER-specifieke PSEUDOID op. De DIENSTAANBIEDER zal echter in veel gevallen dat PSEUDOID willen koppelen aan het administratieve nummer waaronder de persoon bij de DIENSTAANBIEDER bekend staat (het eigen interne klantnummer). De gebruiker moet daarvoor toestemming geven en zet met zijn AUTHENTICATIEMIDDEL een eenmalig koppelproces in gang. Figuur: illustratie van een authenticatie voor een DIENSTAANBIEDER. g
Sectoren Er is in Nederland een aantal sectoren waarin meerdere DIENSTAANBIEDERs onderling gebruik maken van hetzelfde identificerende nummer van een persoon. Binnen een dergelijke sector bestaat een register waarin het sectorale nummer van de persoon is opgenomen. In dit geval moet de authenticatie niet een DIENSTAANBIEDER-specifieke PSEUDOID opleveren, maar een sector-specifieke PSEUDOID. Per sector wordt een koppelregister ingericht. Hierin wordt, na toestemming van de gebruiker, de koppeling door de sector zelf geregistreerd tussen het PSEUDOID en het sectorale nummer. Figuur: illustratie van een de sectorale koppeling. g pp g
Pagina 13 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
3.3 Marktwerking mogelijk maken Beoogde effect: • EID-MIDDELEN bruikbaar maken in alle domeinen en sectoren die zijn aangesloten op het eID Stelsel. • Geen onderscheid maken tussen private en publieke invulling, maar dezelfde standaarden en toezicht voor beide domeinen. • Fallback eenvoudiger te realiseren, zowel voor gebruiker als voor DIENSTAANBIEDER. • Hergebruik van AUTHENTICATIEMIDDELEN mogelijk maken. De architectuur van het stelsel wordt zo opgesteld dat er duidelijke, afgebakende rollen in het stelsel te onderscheiden zijn. Iedere rol kan zowel privaat als publiek ingevuld worden, waarbij het uitgangspunt geldt dat dit waar mogelijk privaat gebeurt. Iedere organisatie die aantoonbaar aan de afspraken van het eID Stelsel voldoet en toegelaten wordt tot het stelsel kan meerdere rollen vervullen en aanbieder worden van de bijbehorende diensten. Figuur: illustratie van de samenwerking van een aantal rollen binnen het stelsel.
3.4 Gebruikersgemak bevorderen Beoogde effect: • •
•
De gebruiker kiest zelf hoeveel AUTHENTICATIEMIDDELEN hij wil gebruiken en voor welke diensten. Overstappen moet makkelijk kunnen op basis van eigen keuze, bijvoorbeeld: : • nieuw middel, dan zelfde PSEUDOID; • tweede middel, dan zelfde PSEUDOID; • veranderen van AUTHENTICATIEDIENST, dan zelfde PSEUDOID. Het recht om vergeten te worden moet ook gehonoreerd kunnen worden. Dat houdt in: een AUTHENTICATIEMIDDEL niet meer willen gebruiken en bijvoorbeeld een andere aanschaffen.
Pagina 14 van 18
Zolang de gebruiker hetzelfde AUTHENTICATIEMIDDEL gebruikt, wordt steeds dezelfde PSEUDOID gebruikt en blijft de koppeling met het ‘klantnummer’ van de DIENSTAANBIEDER in het koppelregister in tact. In de praktijk zullen echter veel gebruikssituaties voorkomen waarbij de gebruiker een ander AUTHENTICATIEMIDDEL gaat gebruiken. Bijvoorbeeld: 9 Mijn middel is verlopen, ik krijg een nieuwe. Dan wil ik met mijn nieuwe middel nog steeds bij mijn bestaande klantaccount kunnen inloggen. 9 Ik wil met een tweede middel kunnen inloggen bij een bestaand klantaccount. 9 Ik stap over naar een andere AUTHENTICATIEDIENST en krijg daar een nieuw middel. Met dat nieuwe middel wil ik nog steeds kunnen inloggen bij een bestaand klantaccount. Bovenstaande is als beeld te vergelijken met het nummerbehoud bij abonnementen van mobiele telefoons. De houder kan ervoor kiezen om bij wijziging van provider het mobiele nummer te behouden. Dezelfde werkwijze wordt ook ondersteund in het eID Stelsel. De houder van een middel moet zelf de keuze kunnen maken om aan een AUTHENTICATIEDIENST te verzoeken dat een nieuw middel dezelfde PSEUDOID’S genereert. De PSEUDOID’S zijn dan niet afhankelijk van het specifieke middel, maar zijn persistent gemaakt op persoonsniveau. Het voordeel hierbij is dat bij een nieuw middel de bestaande koppelingen bij diverse DIENSTAANBIEDERS intact blijven. Om persoonlijke redenen (bijvoorbeeld privacy) kan een gebruiker ervoor kiezen om bij een nieuw AUTHENTICATIEMIDDEL juist wel nieuwe PSEUDOID’S te genereren. Om zijn bestaande klantaccount bij een DIENSTAANBIEDER dan te behouden, zal er wel een nieuwe koppeling tot stand moeten komen. 3.5 Opsporing en toezicht inrichten Beoogde effect:
Het toezicht op het eID Stelsel is ingericht. Fraude kan worden opgespoord.
Toezicht moet ervoor zorgen dat misbruik en falen van het eID Stelsel zoveel mogelijk wordt voorkomen. Wanneer een incident optreedt dan moet snel en adequaat kunnen worden ingegrepen. Indien fraude is geconstateerd dan is het ondanks alle privacymaatregelen mogelijk dat een opsporingsdienst de identiteit van de betrokken personen kan opsporen. Dit moet uiteraard alleen mogelijk zijn op basis van een wettelijke verankering.
De drie ontwerpeisen:
xgebruikersgemak bevorderen, xprivacy garanderen, en xtoezicht en opsporing inrichten zijn vanuit hun aard conflicterende eisen. Bij veel gebruikersgemak kan de privacy moeilijker worden gegarandeerd. Bij veel privacy bevorderende maatregelen is opsporing en toezicht weer moeilijker. Daarom wordt in het ontwerp van het eID Stelsel steeds een weloverwogen afweging gemaakt tussen deze drie ontwerpeisen.
Pagina 15 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
4 Basisinvulling van het eID Stelsel
In Hoofdstuk 3 werden de belangrijkste ontwerpeisen beschreven. In dit hoofdstuk wordt een eerste indruk gegeven van het ontwerp van het eID Stelsel. - -
In de eerste paragraaf staat een overzicht met de belangrijkste componenten van het stelsel. In de tweede paragraaf staat beschreven hoe de identificerende verwijzing naar een persoon is vormgegeven. Deze verwijzing wordt de PSEUDOID genoemd.
4.1 De componenten van het eID Stelsel In onderstaande figuur zijn de componenten van het eID Stelsel weergegeven.
Toelichting bij bovenstaande figuur: De GEBRUIKER die online zaken wil doen met een DIENSTAANBIEDER, doet dat via het eID Stelsel op de volgende wijze. -
In het inlogscherm kiest hij de AUTHENTICATIEDIENST die zijn authenticatie kan doen. Hij authentiseert zich en de AUTHENTICATIEDIENST levert vervolgens een IDENTITEITSVERKLARING aan de DIENSTAANBIEDER met daarin de PSEUDOID van de GEBRUIKER, specifiek gericht aan de DIENSTAANBIEDER.
-
Aanvullend kan er informatie verstrekt worden die toegang tot specifieke digitale diensten mogelijk maakt. Denk aan het voldoen aan een leeftijdsgrens of het handelen namens iemand anders. Deze informatie ontvangt de DIENSTAANBIEDER via een ATTRIBUUTVERKLARING en/of een BEVOEGDHEIDSVERKLARING. De GEBRUIKER moet hier wel expliciet toestemming voor geven.
-
Tot slot kan de GEBRUIKER de transactie bevestigen via een online handtekening waarmee hij (digitaal) instemt met de inhoud van de transactie. Deze ondertekening wordt opgenomen in een ASSOCIATIEVERKLARING.
Pagina 16 van 18
4.2 Berekening van een PSEUDOID
In Hoofdstuk 3 is de ontwerpeis ‘waarborgen privacy’ geïntroduceerd. Als ontwerpinvulling is daarbij het gebruik van zogenaamde PSEUDOID’S beschreven. Deze invulling is fundamenteel voor de gehele werking van stelsel. Zonder al te veel in de details te treden, wordt in deze paragraaf de essentie beschreven. Dat wordt in twee stappen toegelicht:
- In de eerste stap wordt het initiële proces beschreven waarbij een GEBRUIKER wordt opgenomen in het stelsel door een AUTHENTICATIEDIENST. Het resultaat is dat de GEBRUIKER daarna beschikt over een AUTHENTICATIEMIDDEL. - In de tweede stap wordt het gebruik van het AUTHENTICATIEMIDDEL uitgelegd: het verstrekken van een PSEUDOID aan een DIENSTAANBIEDER. Stap 1: Inschrijving van een persoon bij een AUTHENTICATIEDIENST. Als basis voor het registreren van de persoonskenmerken en daarmee de identiteit van de persoon, wordt een identiteitsdocument gebruikt. Voor elke persoon wordt een vaste set aan persoonsgegevens vastgelegd, in de figuur hieronder aangeduid met de term ‘stamgegevens’. Deze stamgegevens vormen de basis voor de unieke sleutel van de persoon. De STELSELAUTORITEIT past een cryptografisch algoritme toe om op basis van onder andere de stamgegevens een unieke persoonsgebonden geanonimiseerde sleutel te berekenen, de zogenaamde POLYMORFE PSEUDOID.
Pagina 17 van 18
Concept | Introductie op het eID Stelsel | 21 januari 2014
Stap 2: Gebruik van een AUTHENTICATIEMIDDEL bij een DIENSTAANBIEDER. In de vorige stap heeft de GEBRUIKER bij de AUTHENTICATIEDIENST de beschikking over zijn POLYMORFE PSEUDOID. Vervolgens wil de GEBRUIKER inloggen bij een bepaalde DIENSTAANBIEDER. In het ontwerp is afgesproken dat een GEBRUIKER voor elke DIENSTAANBIEDER een andere PSEUDOID gebruikt. Die afspraak wordt in deze stap gerealiseerd. De POLYMORFE PSEUDOID wordt cryptografisch gecombineerd met een identificerend kenmerk van de DIENSTAANBIEDER. Het resultaat is een PSEUDOID die DIENSTAANBIEDERspecifiek is.
Authenticatie Dienst
Polymorf PseudoID
2
Authenticatie middel
Versleuteld PseudoID
1
Dienst Aanbieder 3 PseudoID
1
De G EBRUIKER wil inloggen bij een DIENSTAANBIEDER . De DIENSTAANBIEDEr levert aan de AUTHENTICATIEDIENST zijn STELSELCERTIFICAAT (met daarin de naam en identiteit van de DIENSTAANBIEDER ) en vraagt om een IDENTITEITSVERKLARING met daarin een voor de DIENSTAANBIEDER leesbare PSEUDOID van de G EBRUIKER.De G EBRUIKER voert vervolgens een authenticatiesessie uit bij de AUTHENTICATIEDIENST.
2
De AUTHENTICATIEDIENST herkent de G EBRUIKER op basis van deze authenticatiesessie en raadpleegt de persoonlijke sleutel van de G EBRUIKER (de POLYMORF PSEUDOID ). De AUTHENTICATIEDIENST berekent op basis daarvan en op basis van de identiteit van de DIENSTAANBIEDER de PSEUDOID, die daarmee DIENSTAANBIEDER-specifiek wordt. Deze PSEUDOID wordt nog extra versleuteld, zodat alleen de DIENSTAANBIEDER deze kan lezen. Tijdens het transport heet deze dan de V ERSLEUTELDE PSEUDOID.
3
DE DIENSTAANBIEDER ontvangt de V ERSLEUTELDE PSEUDOID en ontsleutelt deze, zodat voor hem de PSEUDOID leesbaar wordt.
Pagina 18 van 18
Werking van het eID Stelsel programma eID Versie:
1.0
Datum: 21 januari 2014 Status:
Definitief
Concept | Werking van het eID Stelsel | 21 januari 2014
Colofon
Programma eID Deelproject Afsprakenstelsel
Bezoekadres: Herman Gorterstraat 5 Utrecht
Versie
1.0
Opdrachtgever
Stuurgroep eID
Bijlage(n)
Aantal pagina’s
35
Exemplaarnummer
Copyright © 2014 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Den Haag
De Staat der Nederlanden (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties) maakt een voorbehoud als bedoeld in artikel 15b van de Auteurswet 1912 met betrekking tot de verstrekte informatie in deze publicatie. Ingeval een derde op welke wijze dan ook zonder toestemming inbreuk maakt op het auteursrecht, kan de Staat stappen ondernemen.
Pagina 2 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Pagina 3 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Referenties
[1] [2] [3]
eID Stelsel - Memo - PSEUDOIDs - v04. Programma eID, 9 december 2013. Beheervoorziening BSN - Aanvullende functionele specificaties. Versie 1.5, Agentschap BPR, 2 mei 2006. Interface Specification. STORK document D5.8.2b, October 4, 2010.
Pagina 4 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Inhoud
Colofon—2 Referenties—4 Inhoud—5 Inleiding—7 1
Systeemdiagram eID Stelsel—9
2
De rollen van het eID Stelsel—11
2.1
AUTHENTICATIEDIENST—11
2.2
SECTORID-DIENST—12
2.3
MACHTIGINGSDIENST—12
2.4
EID-MAKELAAR—13
2.5
DIENSTAANBIEDER en DIENSTBEMIDDELAAR—13
2.6
ATTRIBUTENDIENST—14
2.7
Maskeren van gegevens—15
3
Pseudoniemen—16
3.1
Rollen en PERSONAGES—16
3.2
Stappen in het tot stand komen van een PSEUDOID—16
3.3
Aanvragen van een POLYMORFE PSEUDOID: de STELSELAUTORITEIT—17
3.4
Van POLYMORF PSEUDOID naar VERSLEUTELD PSEUDOID—19
3.5
Van VERSLEUTELD PSEUDOID naar PSEUDOID—19
3.6
Het gebruik van SECTORID’S—20
3.7
Gebruik van identiteiten in een IDENTITEITSVERKLARING—22
3.8
Niet-natuurlijke personen—22
4
Omvormen van pseudoniemen—23
4.1
Gebruik van PSEUDOID bij MACHTIGINGSDIENST—23
4.2
Fraudebestrijding: van PSEUDOID terug naar STAMSLEUTEL—25
5
De cryptografie van het stelsel—26
5.1
STAMSLEUTEL—26
5.2
POLYMORFE PSEUDOID—26
6
De SECTORID-DIENST BSN—28
Pagina 5 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
6.1
Koppelen BSN op aanvraag—28
Bijlagen—29 Bijlage A
Overzicht eigenschappen—29
Bijlage B
Overzicht eigenschappen vs. ontwerpeisen—32
Pagina 6 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Inleiding
Deze sectie beschrijft de algemene werking van het eID Stelsel. Het benoemt de componenten en beschrijft hun interacties. Verondersteld wordt dat de lezer bekend is met de globale beschrijving van het stelsel, zoals beschreven in Sectie 1: Introductie op het eID Stelsel. In de gehele tekst zijn de belangrijkste eigenschappen van de ontwerpinvulling gemarkeerd met afwijkende achtergrond en een volgnummer van het type Pnn. Deze “Properties” zullen worden opgenomen in een afzonderlijke kruistabel met de ontwerpeisen. Deze tabel geeft daarmee inzicht in hoe de ontwerpeisen worden gerealiseerd binnen het stelsel. Begrippen die zijn terug te vinden in de begrippenlijst van het stelsel (Sectie 5) zijn gemarkeerd met KLEIN KAPITAAL. Deze sectie is als volgt opgebouwd.
In Hoofdstuk 1 wordt een systeemdiagram van het stelsel gepresenteerd, met daarin alle componenten van het stelsel en hun interacties. In Hoofdstuk 0 worden de belangrijkste eigenschappen van de componenten besproken. In Hoofdstuk 0 wordt een beschrijving gegeven hoe in het stelsel wordt omgegaan met pseudoniemen. Pseudoniemen vormen het fundament van het stelsel en inzicht in hun werking is essentieel voor een begrip van het stelsel als geheel. Hier wordt ook de STELSELAUTORITEIT geïntroduceerd, die een centrale rol speelt in het mechanisme van toekennen van pseudoniemen. Hoofdstuk 0 gaat verder in op het transformeren van pseudoniemen, noodzakelijk voor het functioneren van MACHTIGINGSDIENSTEN en voor het bestrijden van identiteitsfraude. Hoofdstuk 0 is gereserveerd voor een verdieping van de cryptografie van het stelsel. Dit hoofdstuk is niet essentieel voor het begrijpen van de voorgaande hoofdstukken, maar wel van belang voor bijvoorbeeld het opstellen van een privacy-impactanalyse. Hoofdstuk 0 beschrijft de SECTORID-DIENST BSN in wat meer detail over zowel de invulling als het gebruik. Deze SECTORID-DIENST is essentieel voor de bruikbaarheid van het stelsel voor de overheid.
Pagina 7 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
1
Systeemdiagram eID Stelsel
Onderstaand diagram toont de verschillende componenten van het stelsel en de belangrijkste koppelvlakken. De hier geschetste componenten zijn rollen. Er zijn EID-DEELNEMERS die gecertificeerd zijn en hun diensten aanbieden aan andere partijen of aan GEBRUIKERS. EID-DEELNEMERS kunnen zich specialiseren en bijvoorbeeld alleen een makelaarsdienst aanbieden, maar ze kunnen ook kiezen om meerdere rollen in te vullen en daarmee een compleet scala aan eID-diensten aan te bieden. Deze keuzevrijheid geldt voor alle partijen. Zo kan een DIENSTAANBIEDER ervoor kiezen om zelf op te treden als DIENSTBEMIDDELAAR; voor veel kleinschalige diensten zal dit zelfs een voor de hand liggende invulling zijn. Een ander voorbeeld is een bedrijf dat zelf BEVOEGDHEIDSVERKLARINGEN afgeeft voor zijn
Figuur 1: Systeemdiagram eID Stelsel
Pagina 9 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
eigen werknemers en dus optreedt als MACHTIGINGSDIENST. P01
Het eID Stelsel is neutraal ten aanzien van partijen die een rol invullen; het formuleert alleen eisen waaraan een partij voor een bepaalde rol moet voldoen.
De uitzondering is de STELSELAUTORITEIT die een sleutelrol speelt in het beheer van de encryptie en het toezicht op het stelsel. De rol komt vooral naar voren bij het toetreden van partijen ( EID-DEELNEMERS en GEBRUIKERS) tot het stelsel, en niet bij bijvoorbeeld het uitvoeren van authenticaties en bij het verstrekken van verklaringen. P02
De rol van STELSELAUTORITEIT wordt ingevuld door de overheid.
Het stelsel is gebaseerd op het aanvragen en opstellen van verklaringen. Dit is een belangrijke eigenschap van het eID Stelsel die gestandaardiseerd gebruik in een grote verscheidenheid aan gebruikstoepassingen mogelijk maakt. Zo kan interactief (online) gebruik en system-to-system gebruik onder één noemer worden gebracht. Verklaringen worden ondertekend door de partij die ze opstelt. P03
Een gecertificeerde E ID-DEELNEMER kan verklaringen afgeven over derden (natuurlijke of niet-natuurlijke personen).
Er zijn beperkingen en voorwaarden aan verklaringen die deelnemers zelf opstellen, willen ze door andere deelnemers aan het stelsel kunnen worden geaccepteerd. Zo moet de verklaring onder meer voldoen aan de vormvereisten van het stelsel, en de verklaring moet worden ondertekend met een PKIoverheid-certificaat. P04
Een persoon kan zelf een BEVOEGDHEIDSVERKLARING afgeven met een machtiging waarin hij als VERTEGENWOORDIGDE voorkomt.
P05
Een GEBRUIKER kan een IDENTITEITSVERKLARING of ATTRIBUUTVERKLARING afgeven over zichzelf.
Pagina 10 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
2
De rollen van het eID Stelsel
In dit hoofdstuk worden de verschillende rollen binnen het EID STELSEL in meer detail besproken. 2.1
AUTHENTICATIEDIENST P06
Een AUTHENTICATIEDIENST geeft AUTHENTICATIEMIDDELEN uit.
Om de AUTHENTICATIEMIDDELEN te kunnen uitgeven registreert de AUTHENTICATIEDIENST zijn GEBRUIKERS. Bij dit registratieproces wordt een koppeling gelegd tussen de identiteit van de GEBRUIKER in de werkelijkheid en de identiteit(en) van de GEBRUIKER zoals deze wordt opgenomen in het eID Stelsel. Dit wordt verder uitgewerkt in Hoofdstuk 0. In theorie zouden de rollen van MIDDELENUITGEVER en AUTHENTICATIEDIENST kunnen worden gescheiden. De ervaring heeft geleerd dat in de praktijk deze rollen altijd gecombineerd worden. P07
Een AUTHENTICATIEDIENST ontkoppelt AUTHENTICATIEMIDDELEN van D IENSTAANBIEDERS .
Een MIDDELENUITGEVER is verantwoordelijk voor de koppeling tussen het AUTHENTICATIEMIDDEL en de AUTHENTICATIEDIENST. Deze koppeling blijft voor het stelsel verborgen en is daarmee onafhankelijk van de gekozen technologie van het AUTHENTICATIEMIDDEL. Elke AUTHENTICATIEDIENST wordt via het uniforme koppelvlak K1 benaderd. Dit betekent dat nieuwe middelen kunnen worden toegevoegd en andere middelen kunnen worden ingetrokken zonder dat dit impact heeft op de DIENSTBEMIDDELAARs en DIENSTAANBIEDERs. Het resultaat van een authenticatie is altijd een formele verklaring, ondertekend door de AUTHENTICATIEDIENST. P08
Een AUTHENTICATIEDIENST levert een getekende IDENTITEITSVERKLARING . Een IDENTITEITSVERKLA1 RING kan gericht zijn aan meerdere O NTVANGENDE P ARTIJEN .
Een IDENTITEITSVERKLARING bevat een pseudoniem2; een pseudoniem is een unieke verwijzing naar de GEBRUIKER in het domein van de ONTVANGENDE PARTIJ. Dit voorkomt dat deze partijen gegevens over dezelfde GEBRUIKER uitwisselen en relateren op basis van informatie die door het eID Stelsel is geleverd. P09
Een AUTHENTICATIEDIENST realiseert inzage voor de GEBRUIKER in het gebruik dat van zijn of haar AUTHENTICATIEMIDDELEN is gemaakt.
Een AUTHENTICATIEDIENST houdt een audit trail bij van het gebruik dat er van de dienst wordt gemaakt. Dat is een onderdeel van de beveiliging van het eID Stelsel: als een AUTHENTICATIEMIDDEL vermist wordt of anderszins gecompromitteerd wordt, dan kan aan de hand van de audit trail worden vastgesteld of er misbruik van een AUTHENTICATIEMIDDEL is gemaakt. Dit helpt om de impact van een dergelijk incident te beperken. Het nadeel van een audit trail is dat het gegevens zijn die iets zeggen over de diensten die een GEBRUIKER heeft afgenomen. Dat maakt ze privacygevoelig. Daarom geldt aanvullend: P10
Een audit trail mag door een A UTHENTICATIEDIENST uitsluitend worden gebruikt voor het geven van inzicht aan de GEBRUIKER welk gebruik er van zijn middelen is gemaakt.
P11
EEN A UTHENTICATIEDIENST kan facultatief de mogelijkheid bieden aan een GEBRUIKER om af te zien van het bijhouden van een audit trail.
1
O NTVANGENDE PARTIJ is de verzamelnaam voor iedere partij die informatie uit het stelsel ontvangt. Dit ku nnen dus zowel partijen binnen het stelsel zijn ( EID-MAKELAAR s, MACHTIGINGSDIENST , etc.) als partijen die zijn aangesloten op het stelsel (D IENSTAANBIEDERS en D IENSTBEMIDDELAARS ). 2
In dit document wordt pseudoniem gebruikt als een algemene term. Een concrete implementatie met spec ifieke kenmerken wordt aangeduid als pseudo-identiteit of kortweg PSEUDOID. Zie Hoofdstuk 3 voor een beschrijving van de stappen waarin een PSEUDO ID tot stand komt.
Pagina 11 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Zie ook eigenschap P41. P12
2.2
De keuze voor een AUTHENTICATIEDIENST en voor het te gebruiken AUTHENTICATIEMIDDEL berust bij de GEBRUIKER .
SECTORID-DIENST Het eID Stelsel is ontworpen voor het gebruik van pseudoniemen, maar het biedt daarnaast de mogelijkheid om gebruik te maken van sectorale nummers, hier SECTORID’S genoemd. Een sector wordt in dit verband gedefinieerd als een groep DIENSTAANBIEDERS die gegevens uitwisselen op basis van een gemeenschappelijk identificerend nummer (zoals bijvoorbeeld het BSN). Voor burgers is de hele overheid in deze betekenis dus één sector. P13
Een SECTOR ID-DIENST wordt geraadpleegd door een E ID-MAKELAAR op het moment dat een DIENSTAANBIEDER aangeeft dat voor het verlenen van een bepaalde dienst een SECTORID nodig is.
Dit wordt vastgelegd in de definitie van de dienst, in een DIENSTENCATALOGUS. Het proces van het toevoegen van een SECTORID aan een PSEUDOID verloopt globaal als volgt. 1. 2. 3. 4.
5.
2.3
De EID-MAKELAAR geeft in zijn authenticatieverzoek aan de dat de IDENTITEITSVERKLARING gebruikt moet kunnen worden bij de SECTORID-DIENST. De AUTHENTICATIEDIENST verstrekt een IDENTITEITSVERKLARING met een PSEUDOID die specifiek is voor de SECTORID-DIENST. De EID-MAKELAAR stuurt de ontvangen IDENTITEITSVERKLARING samen met het STELSELCERTIFICAAT van de beoogde ONTVANGENDE PARTIJ (DIENSTAANBIEDER of DIENSTBEMIDDELAAR) naar de SECTORID-DIENST. De SECTORID-DIENST controleert het STELSELCERTIFICAAT van de ONTVANGENDE PARTIJ. Als deze inderdaad recht heeft op de verlangde SECTORID, dan zoekt hij deze op in een conversietabel aan de hand van de PSEUDOID. De SECTORID-DIENST verpakt de SECTORID in een ATTRIBUUTVERKLARING, hecht deze (onlosmakelijk) aan de ontvangen IDENTITEITSVERKLARING en stuurt het geheel terug naar de EID-MAKELAAR.
MACHTIGINGSDIENST P14
Een MACHTIGINGSDIENST registreert een bevoegdheid van een persoon (de G EMACHTIGDE ) om een bepaalde dienst of groep van diensten af te nemen namens een ander persoon (de VERTEGENWOORDIGDE ).
De betrokken personen kunnen zowel natuurlijke personen als niet-natuurlijke personen zijn. Machtigingen kunnen gecombineerd worden in een keten: A machtigt B, B machtigt C – zodat uiteindelijk C de handeling namens A uitvoert. P15
Een MACHTIGINGSDIENST kan de identiteit van een VERTEGENWOORDIGDE vaststellen aan de hand van een IDENTITEITSVERKLARING van een A UTHENTICATIEDIENST of op basis van een eigen registratieproces. In het registratieproces van de machtiging wordt ook vastgesteld dat de VERTEGENWOORDIGDE de wil heeft de machtiging tot stand te laten komen.
Het eigen registratieproces verloopt op dezelfde manier als bij een AUTHENTICATIEDIENST (zie §3.3). Het is essentieel dat de identiteit van de GEMACHTIGDE betrouwbaar wordt vastgesteld. Daarom moet een GEMACHTIGDE een machtiging expliciet accepteren. P16
Een machtiging is pas geldig op het moment dat hij door de GEMACHTIGDE is geaccepteerd. De MACHTIGINGSDIENST stelt de identiteit van een GEMACHTIGDE vast op het moment van acceptatie.
Machtigingen worden opgeleverd in de vorm van een verklaring. P17
Een MACHTIGINGSDIENST levert op aanvraag een BEVOEGDHEIDSVERKLARING, waarmee een HANDELENDE P ERSOON ten overstaan van een D IENSTBEMIDDELAAR of D IENSTAANBIEDER kan aantonen dat hij gemachtigd is om een dienst af te nemen namens een VERTEGENWOORDIGDE .
Dit is de meest elementaire vorm van een machtiging, te vergelijken met een machtiging zoals bij een
Pagina 12 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
notaris wordt vastgelegd. Er zijn complexere vormen van machtigingen denkbaar, waarbij de bevoegdheid afhankelijk is van de aard van de transactie (bijvoorbeeld of een bedrag dat met de transactie gemoeid is een bepaalde grens niet te boven gaat). Deze vormen worden niet expliciet beschreven in het eID Stelsel; het stelsel kan ze verwerken zolang het resultaat kan worden vastgelegd in een standaard BEVOEGDHEIDSVERKLARING. P18
De keuze bij welke MACHTIGINGSDIENST een machtiging wordt geregistreerd berust bij degene die de machtiging aanvraagt.
Een machtiging wordt vastgelegd op basis van pseudoniemen. Als een DIENSTAANBIEDER een BEVOEGDHEIDSVERKLARING op basis van een BSN of een andere SECTORID nodig heeft, dan zorgt de EIDMAKELAAR ervoor dat de benodigde ATTRIBUUTVERKLARING worden opgehaald bij de SECTORID-DIENST en aan de BEVOEGDHEIDSVERKLARING wordt gehecht. Een MACHTIGINGSDIENST doet dit nooit zelf. 2.4
EID-MAKELAAR
De interactie tussen de verschillende rollen in het stelsel is complex. Daarom is in het stelsel een afzonderlijke rol gedefinieerd die als taak heeft om de interactie in goede banen te leiden en zo de DIENSTAANBIEDERs en DIENSTBEMIDDELAARS te “ontzorgen”. Deze rol is de EID-MAKELAAR. P19
De E ID-MAKELAAR vraagt aan de GEBRUIKER van welke AUTHENTICATIEDIENST hij gebruik wil maken en (indien van toepassing) waar de machtigingen van de GEBRUIKER zijn geregistreerd. Op basis van de antwoorden routeert hij de GEBRUIKER door naar de juiste voorzieningen.
P20
De E ID-MAKELAAR verricht zijn werkzaamheden op basis van een contract of bewerkersovereenkomst met de DIENSTBEMIDDELAAR of DIENSTAANBIEDER . De keuze voor een bepaalde E ID- MAKELAAR berust bij de D IENSTBEMIDDELAAR of D IENSTAANBIEDER .
Het is de verantwoordelijkheid van de DIENSTBEMIDDELAAR of DIENSTAANBIEDER om te zorgen voor het invullen van de rol van een EID-MAKELAAR voor het ontsluiten van zijn diensten. Ze kunnen ervoor kiezen om een contract af te sluiten met twee of meer EID-MAKELAARs omwille van de continuïteit van de dienstverlening. In beginsel heeft de EID-MAKELAAR daarmee het recht om dezelfde gegevens te verwerken als de DIENSTAANBIEDER in wiens opdracht hij werkt. Echter, een EID-MAKELAAR kan werken in opdracht van meerdere DIENSTAANBIEDERs. Dat zou betekenen dat bij de EID-MAKELAAR een ongewenste concentratie van gegevens ontstaat. Het gebruik van versleutelde pseudoniemen (§3.4) en het maskeren van persoonsgegevens (§2.7) voorkomt dat. 2.5
DIENSTAANBIEDER en DIENSTBEMIDDELAAR In het model van het stelsel wordt onderscheid gemaakt tussen DIENSTAANBIEDERs en DIENSTBEMIDDELAARs. Meestal zal de DIENSTAANBIEDER ook het “zichtbare” deel van de dienst tonen: het is de plaats waar de authenticatie en machtigingen van de GEBRUIKER en alle andere gegevens die nodig zijn voor het afnemen van een dienst worden opgevraagd. Het komt echter ook voor dat een andere partij de GEBRUIKER ondersteunt in het afnemen van een digitale dienst. Deze dienstverlenende partij wordt de DIENSTBEMIDDELAAR genoemd en hij biedt dan het “zichtbare” deel van de dienst aan. P21
Een D IENSTBEMIDDELAAR bundelt de verkregen verklaringen en de bijbehorende gegevens en ondertekent het geheel. Daarmee verklaart de D IENSTBEMIDDELAAR dat alle verklaringen en gegevens bij elkaar horen (ook associëren genoemd).
De gebundelde verklaringen worden via een webservice of soortgelijke techniek (koppelvlak K4) aangeboden aan de DIENSTAANBIEDER, die na controle van de gegevens besluit of de gevraagde transactie doorgang kan vinden (autorisatiebesluit) en vervolgens de gevraagde dienst ook werkelijk uitvoert. Een DIENSTBEMIDDELAAR kan op de volgende twee manieren gepositioneerd worden binnen het stelsel. 1. Als onderdeel van een DIENSTAANBIEDER of als bewerker namens een DIENSTAANBIEDER. De DIENSTBEMIDDELAAR heeft dezelfde rechten als de DIENSTAANBIEDER en presenteert zich ook zo aan de GEBRUI-
Pagina 13 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
KER. Dat werkt doordat de DIENSTBEMIDDELAAR de beschikking heeft over het STELSELCERTIFICAAT van de DIENSTAANBIEDER.
2. Als zelfstandige verschijning binnen het EID STELSEL. De DIENSTBEMIDDELAAR doorloopt een eigen toelatingstraject en krijgt op basis daarvan een eigen STELSELCERTIFICAAT. P22
Een D IENSTBEMIDDELAAR kan optreden als bewerker namens een D IENSTAANBIEDER of op eigen titel worden geregistreerd als E ID-DEELNEMER .
Naast DIENSTAANBIEDER en DIENSTBEMIDDELAAR wordt in het stelsel ook nog het begrip DIENSTEIGENAAR gebruikt. P23
De DIENSTEIGENAAR is de partij die beslist over onder de indeling en naamgeving van de diensten en over alle beleidsmatige aspecten die gelden voor de betreffende dienst, zoals het vereiste BETROUWBAARHEIDSNIVEAU.
Voor diensten waarvoor in het stelsel maar één DIENSTAANBIEDER is, is de DIENSTAANBIEDER tevens DIENSTEIGENAAR. Als de dienst door meerdere partijen wordt aangeboden fungeert een overkoepelend orgaan als DIENSTEIGENAAR. 2.6
ATTRIBUTENDIENST Het eID Stelsel is in beperkte mate geschikt voor het doorgeven van attributen (anders dan de eerder genoemde SECTORID). ‘Beperkt’ houdt in dat het uitsluitend gaat over gegevens die met instemming van de GEBRUIKER worden verstrekt. Attributen kunnen worden onderscheiden in: -
comfortinformatie (informatie die kan worden toegevoegd aan een IDENTITEITSVERKLARING of een BEVOEGDHEIDSVERKLARING ter wille van de herkenbaarheid); actuele attributen uit een welomschreven bron. De architectuur van het eID Stelsel legt geen beperkingen op aan de attributen die kunnen worden verwerkt. De eerste implementatie beperkt zich evenwel tot de set gegevens die in het kader van STORK is vastgesteld (zie ref [3]).
P24
Comfortinformatie wordt in het stelsel vastgelegd op het moment van ontlening aan een authentieke bron (bijvoorbeeld WID, STORK-verklaring, Basisregistratie, Eigen Verklaring).
P25
Comfortinformatie wordt alleen op verzoek van de betrokken persoon geactualiseerd door opnieuw de authentieke bron te raadplegen.
P26
Bij alle attributen wordt vastgelegd aan welke bron ze zijn ontleend en op welke datum dat is gebeurd.
Het stelsel kent geen classificatie voor de betrouwbaarheid van attributen. Het begrip “welomschreven” laat enige ruimte voor interpretatievrijheid. Basisregistraties van de overheid voldoen in ieder geval aan dit criterium. Voor andere bronnen geldt als minimale voorwaarde dat de bron zelf onderzoek doet naar de juistheid en actualiteit van de gegevens en de resultaten daarvan ter beschikking stelt aan de partijen die gebruik zouden willen maken van de gegevens. Aanvullende criteria kunnen deel uitmaken van de toetredingseisen voor het eID Stelsel. De gegevens over de ontlening worden mee verstrekt met de attributen zelf. Het is aan de ONTVANGENDE PARTIJ om op basis van de ter beschikking gestelde gegevens te bepalen of de attributen voldoende betrouwbaar en actueel zijn voor de gevraagde dienst. Wat betreft toegang tot attributen geldt: een ONTVANGENDE PARTIJ krijgt niet meer gegevens dan waar hij recht op heeft. Dit is in lijn met het principe van dataminimalisatie.
Pagina 14 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
P27
Het eID Stelsel dwingt af 3 dat een D IENSTAANBIEDER niet meer gegevens ontvangt dan waar hij recht op heeft. Dit recht wordt vastgesteld bij het aansluiten van de die DIENSTAANBIEDER op het stelsel.
P28
De gegevens waar de DIENSTAANBIEDER volgens het autorisatiebesluit recht op heeft worden vastgelegd in de aansluitovereenkomst van de D IENSTAANBIEDER .
P29
Attributen worden uitsluitend verstrekt op basis van instemming van de GEBRUIKER . Instemming kan expliciet of impliciet worden verleend.
Impliciete toestemming wordt verondersteld voor bijvoorbeeld het verstrekken van een PSEUDOID of een SECTORID; het heeft weinig zin om nog een keer om toestemming van de GEBRUIKER daarvoor te vragen. In alle andere gevallen moet de GEBRUIKER toestemming verlenen. Dat kan eenmalig, voorafgaande aan de eigenlijke verstrekking, of op het moment dat de gegevens feitelijk worden opgevraagd. Als gebruik wordt gemaakt van voorafgaande instemming, dan moet er ook een mogelijkheid zijn om de toestemming weer in te trekken. Daarmee wordt meteen duidelijk dat het mechanisme van een ATTRIBUTENDIENST niet dient ter vervanging van bestaande vorm van gegevensuitwisseling binnen de overheid (die plaats vinden op wettelijke gronden en meestal zonder instemming van de GEBRUIKER), maar als aanvulling. 2.7
Maskeren van gegevens In het eID Stelsel is de functionaliteit verdeeld over meerdere partijen. Dat betekent dat alle partijen gegevens hanteren die niet direct voor hen bedoeld zijn. P30
Persoonsgegevens die tussen partijen worden getransporteerd worden zodanig versleuteld dat alleen de ONTVANGENDE PARTIJ deze weer kan ontsleutelen.
Dit staat los van het feit dat verbindingen op transportniveau beveiligd worden; dit vormt een tweede laag van beveiliging. Gegevenstransport wordt verder beschreven in Sectie 4. Voor identiteiten wordt het mechanisme in de volgende paragrafen beschreven, maar het geldt voor alle persoonsgegevens die in het stelsel worden getransporteerd.
3
De details van de manier waarop deze restrictie wordt afgedwongen zijn nog niet vastgesteld. Gedac ht kan worden aan vastlegging in een S TELSELCERTIFICAAT dat wordt uitgereikt door de S TELSELAUTORITEIT /SLEUTELBEHEER , zoals dat ook bij de Duitse NPA gebeurt.
Pagina 15 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
3
Pseudoniemen
Zoals gezegd is het eID Stelsel ontworpen voor het gebruik van pseudoniemen. Dit hoofdstuk beschrijft hoe pseudoniemen tot stand komen. 3.1
Rollen en PERSONAGES Een persoon kan in verschillende contexten verschillende rollen spelen, bijvoorbeeld betaler van belastingen, klant van een webshop of vertegenwoordiger van een bedrijf. Als een persoon aangeeft van het eID Stelsel gebruik te willen gaan maken, wordt hem of haar gevraagd te kiezen hoe hij of zij daar als GEBRUIKER mee om wil gaan. Hij kan ervoor kiezen om voor iedere rol een apart AUTHENTICATIEMIDDEL te gebruiken, desgewenst bij verschillende AUTHENTICATIEDIENSTEN, of om in iedere context hetzelfde middel te gebruiken. Evenzo kan hij ervoor kiezen meerdere middelen aan te schaffen die door elkaar gebruikt kunnen worden. Anders gezegd, de GEBRUIKER bepaalt zelf hoe dik zijn sleutelbos moet zijn. Binnen het stelsel zullen we voor de manier waarop de GEBRUIKER zich manifesteert de term PERSONAGE4 gebruiken. P31
Een GEBRUIKER kan kiezen voor meerdere PERSONAGES of voor een enkele. Aan een bepaald PERSONAGE kan hij één of meerdere AUTHENTICATIEMIDDELEN koppelen.
Als een GEBRUIKER in een bepaalde rol een dienst af wil nemen, genereert het eID Stelsel een PSEUDOID als representatie van het PERSONAGE van de GEBRUIKER bij de DIENSTAANBIEDER. Dat gebeurt in een aantal stappen die in de volgende paragrafen zullen worden omschreven. P32
Een PSEUDO ID binnen het stelsel is betekenisloos. Hij is uniek voor een bepaald PERSONAGE en voor een bepaalde DIENSTAANBIEDER .
P33
De PSEUDO ID is onafhankelijk van het gebruikte A UTHENTICATIEMIDDEL en van de gebruikte AUTHENTICATIEDIENST .
Deze laatste eigenschap geeft de GEBRUIKER keuzevrijheid, enigszins vergelijkbaar met nummerbehoud van telefoons: een telefoonabonnee kan kiezen voor één of meerdere telefoons, en als hij van telefoonmaatschappij wisselt, kan hij kiezen voor een nieuw nummer of voor behoud van zijn oude nummer. 3.2
Stappen in het tot stand komen van een PSEUDOID De stappen in het tot stand komen van een PSEUDOID zullen eerst worden toegelicht voor het eenvoudigste geval: de PSEUDOID die wordt gemaakt als een GEBRUIKER zelf inlogt bij een DIENSTAANBIEDER (§§ 3.3 - 3.5). In §3.6 wordt toegelicht hoe het ontwerp werkt in combinatie met een SECTORID-DIENST. De meest uitgebreide variant treffen we aan bij MACHTIGINGSDIENSTEN (§4.1). De eerste stap wordt gezet op het moment dat de GEBRUIKER zich meldt als (nieuwe) klant van een AUTHENTICATIEDIENST. De AUTHENTICATIEDIENST vraagt voor de nieuwe klant een zogenaamde POLYMORFE PSEUDOID aan. Deze POLYMORFE PSEUDOID is de kern van de encryptie van het stelsel. De POLYMORFE PSEUDOID is voor iedere AUTHENTICATIEDIENST verschillend; sterker nog, als een AUTHENTICATIEDIENST voor dezelfde persoon de aanvraag opnieuw indient, zal het resultaat een andere POLYMORFE PSEUDOID zijn. Toch leveren al deze verschijningsvormen na twee transformaties (de eerste bij de AUTHENTICATIEDIENST, de tweede bij de DIENSTAANBIEDER) steeds dezelfde PSEUDOID op. Deze PSEUDOID voldoet aan de eisen die in §3.1 zijn gesteld. De wijze waarop de POLYMORFE PSEUDOID tot stand komt en vervolgens de transformatie naar een PSEUDOID specifiek voor de ONTVANGENDE PARTIJ maakt, wordt in de volgende paragrafen beschreven.
4
Er is nog niet vastgesteld welke regels precies gelden voor PERSONAGES , en met name hoe een G EBRUIKER PERSONAGES beheert. Dit zal onderwerp van onderzoek zijn in de volgende fase van de realisatie van het eID Stelsel.
Pagina 16 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Figuur 2: Genereren van PSEUDOID'S
3.3
Aanvragen van een POLYMORFE PSEUDOID: de STELSELAUTORITEIT In deze paragraaf wordt de aanvraag van een POLYMORFE PSEUDOID voor een natuurlijke persoon beschreven. Zie voor rechtspersonen en samenwerkingsverbanden §3.8. Een POLYMORFE PSEUDOID wordt berekend en uitgereikt door een vertrouwde centrale partij binnen het stelsel: de STELSELAUTORITEIT/PSEUDONIEMEN. De POLYMORFE PSEUDOID wordt aangevraagd door een AUTHENTICATIEDIENST op het moment dat een GEBRUIKER zich daar registreert. P34
De POLYMORFE PSEUDO ID wordt uitgereikt door de STELSELAUTORITEIT aan een A UTHENTICATIEDIENST .
De aanvraag is gebaseerd op een beperkte set persoonsgegevens, die opgenomen zijn in een WID
Pagina 17 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
(een document als bedoeld in lid 1 van de Wet op de Identificatieplicht of een daarmee gelijk te stellen buitenlands identiteitsdocument). De te gebruiken gegevens zijn geslachtsnaam, eerste voornaam, overige voorletters, geboortedatum en geboorteplaats; als één van de gegevens niet bekend is wordt een nader te bepalen standaardwaarde gebruikt. Samen vormen deze gegevens de STAMSLEUTEL. Door hiervoor niet het BSN te gebruiken worden problemen vermeden met identiteitsdocumenten waar geen BSN opstaat en met de wettelijke restricties die gelden voor het gebruik van het BSN. P35
Een POLYMORFE PSEUDO ID wordt afgeleid van persoonskenmerken, opgenomen in een ident iteitsdocument. Daarbij wordt geen gebruik gemaakt van persoonsnummers.
Een sleutel die niet is gebaseerd op een persoonsnummer is niet gegarandeerd uniek. Voordat de STELSELAUTORITEIT een aanvraag voor een POLYMORFE PSEUDOID honoreert wordt gecontroleerd op uniciteit door de aangeleverde gegevens te controleren tegen de beheervoorziening BSN. Dit is de voorziening die ook wordt geraadpleegd bij eerste inschrijving in de GBA om dubbele inschrijvingen te voorkomen. Ook wordt gecontroleerd of een persoon al eerder is opgenomen in de administratie van de STELSELAUTORITEIT om te voorkomen dat eenzelfde persoon onder twee verschillende STAMSLEUTELS wordt ingeschreven, bijvoorbeeld door een klein verschil in de fonetische schrijfwijze van een buitenlandse naam. Hiervoor wordt gebruik gemaakt van dezelfde zoekalgoritmes die voor de beheervoorziening BSN zijn ontwikkeld. P36
De STELSELAUTORITEIT controleert de STAMSLEUTEL bij de beheervoorziening BSN en in een eigen administratie. Daarmee voorkomt de STELSELAUTORITEIT dubbele inschrijvingen en signaleert hij niet-unieke STAMSLEUTELS .
Als de controles een eenduidig resultaat opleveren registreert de STELSELAUTORITEIT de persoonskenmerken. Het BSN wordt genegeerd. Als de controle signaleert dat de STAMSLEUTEL niet uniek is, moeten aanvullende gegevens worden gebruikt. Een private AUTHENTICATIEDIENST beschikt daartoe niet over de nodige controlemogelijkheden. In de (zeldzame) gevallen dat deze situatie zich voordoet zal de GEBRUIKER moeten worden doorverwezen naar de gemeenteloketten die wel geëquipeerd zijn voor deze functie. Ook voor deze situatie biedt de beheervoorziening BSN in de praktijk beproefde algoritmen die uiteindelijk tot een uniek resultaat leiden. Resultaat zal zijn dat de STAMSLEUTEL wordt uitgebreid met een gegeven dat de STAMSLEUTEL alsnog uniek maakt. P37
Als een STAMSLEUTEL niet uniek is worden aanvullende gegevens gebruikt om tot een unieke sleutel te komen. Dit proces wordt uitgevoerd door de gemeentelijke balies.
De STAMSLEUTEL wordt door de STELSELAUTORITEIT gebruikt om de POLYMORFE PSEUDOID af te leiden; dit is in Figuur 2 aangegeven als CT1 (Cryptografische Transformatie 1). De POLYMORFE PSEUDOID wordt vervolgens geleverd aan de AUTHENTICATIEDIENST. De POLYMORFE PSEUDOID heeft de volgende eigenschappen: P38
EEN POLYMORF PSEUDO ID is randomiseerbaar (aangegeven met een dubbele lijn in Figuur 2). Dat houdt in dat er extra gegevens aan de POLYMORFE PSEUDO ID kunnen worden toegevoegd zonder dat dit invloed heeft op de PSEUDO ID’S die van het POLYMORFE PSEUDO ID worden afgeleid.
Dit randomiseren kan op meerdere plaatsen worden toegepast, onder andere bij de STELSELAUTORITEIT zelf. Dit betekent dat als er meerdere malen een POLYMORFE PSEUDOID voor een GEBRUIKER wordt aangevraagd, het resultaat er steeds anders uit zal zien. P39
Een POLYMORFE PSEUDO ID is specifiek voor de AUTHENTICATIEDIENST die de POLYMORFE PSEUDO ID heeft aangevraagd, zonder dat dit invloed heeft op de PSEUDO ID’S die van de POLYMORFE PSEUDO ID worden afgeleid.
Hier wordt P33 gerealiseerd: als twee AUTHENTICATIEDIENSTEN hun aanvraag voor een POLYMORFE PSEUDOID baseren op dezelfde STAMSLEUTEL, zullen ze bij één en dezelfde DIENSTAANBIEDER dezelfde PSEUDOID opleveren.
Pagina 18 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
3.4
Van POLYMORF PSEUDOID naar VERSLEUTELD PSEUDOID De AUTHENTICATIEDIENST slaat de ontvangen POLYMORFE PSEUDOID op. Als de AUTHENTICATIEDIENST gebruik maakt van een “secure device”5 (bijvoorbeeld een geavanceerde smartcard) als AUTHENTICATIEMIDDEL, dan kan de POLYMORFE PSEUDOID op het middel zelf worden opgeslagen. AUTHENTICATIEDIENSTEN die gebruik maken van middelen die dit niet ondersteunen (zoals gebruikersnaam/wachtwoord of een eenvoudigere vorm van smartcard ) slaan de POLYMORFE PSEUDOID’S op in de eigen administratie. P40
Een POLYMORFE PSEUDO ID kan worden opgeslagen op een extern “secure device” of in de administratie van de A UTHENTICATIEDIENST .
Hiermee wordt de oplossing bruikbaar voor een breed scala aan AUTHENTICATIEMIDDELEN. Een POLYMORFE PSEUDOID die is opgeslagen op een “secure device” kan bij uitlezen door het middel zelf worden gerandomiseerd. Dat betekent dat de AUTHENTICATIEDIENST de POLYMORFE PSEUDOID niet meer zal herkennen en dus de authenticatie kan uitvoeren zonder te weten over welke van zijn klanten het gaat. Dit biedt een extra niveau van privacybescherming. Het gaat evenwel ten koste van de volledigheid van de informatie in de audit trail: het is niet meer mogelijk om precies vast te leggen welk gebruik er van een kaart wordt gemaakt. De keuze is hier aan de GEBRUIKER. P41
De informatie in een audit trail is voor een A UTHENTICATIEDIENST afhankelijk van de gebruikte techniek.
Als de GEBRUIKER zich door tussenkomst van de AUTHENTICATIEDIENST ergens wil authentiseren, berekent de AUTHENTICATIEDIENST uit de POLYMORFE PSEUDOID een VERSLEUTELDE PSEUDOID. P42
Een AUTHENTICATIEDIENST ontvangt van de STELSELAUTORITEIT /SLEUTELBEHEER een geheime sleutel ten behoeve van het berekenen van VERSLEUTELDE P SEUDO ID’s.
Deze sleutel (in Figuur 2 aangeduid als METAMORFOSESLEUTEL, omdat hij de verschijningsvorm van de POLYMORFE PSEUDOID bepaalt) wordt op een zeer specifiek wijze (aangeduid als CT2) afgeleid van de identiteit van de AUTHENTICATIEDIENST. De VERSLEUTELDE PSEUDOID wordt berekend op basis van de POLYMORFE PSEUDOID van de GEBRUIKER, het PERSONAGE dat de GEBRUIKER heeft gekozen6, en de identiteit van de ONTVANGENDE PARTIJ. Deze omzetting is aangeduid als CT3. Een VERSLEUTELDE PSEUDOID heeft de volgende eigenschappen.
3.5
P43
Een VERSLEUTELDE PSEUDO ID is randomiseerbaar.
P44
Een VERSLEUTELDE PSEUDO ID is alleen leesbaar voor de ONTVANGENDE PARTIJ .
Van VERSLEUTELD PSEUDOID naar PSEUDOID De laatste stap in het aanmaken van de PSEUDOID wordt uitgevoerd door de ONTVANGENDE PARTIJ. Deze heeft hiertoe van de STELSELAUTORITEIT/SLEUTELBEHEER een eigen geheime sleutel ontvangen. Door deze toe te passen op het ontvangen VERSLEUTELD PSEUDOID berekent hij het feitelijk te gebruiken pseudoniem (PSEUDOID) dat het resultaat is van de authenticatie. P45
Een PSEUDO ID is persistent, uniek voor de O NTVANGENDE PARTIJ en alleen afhankelijk van de STAMSLEUTEL van de GEBRUIKER en het gekozen PERSONAGE .
Anders gezegd, het geheel van de transformaties CT1, CT2, CT3 en CT4 is zodanig dat het eindresultaat onafhankelijk is van de AUTHENTICATIEDIENST die de authenticatie uitvoert en van het
5
Het eID Stelsel zal nader definiëren aan welke voorwaarden een “secure device” moet voldoen.
6
Er is nog niet vastgesteld hoe de G EBRUIKER deze keuze kenbaar maakt. Een mogelijke invulling is dat het PERSONAGE wordt gekoppeld aan het middel; dat zou inhouden dat de G EBRUIKER voor ieder PERSONAGE een apart middel moet aanschaffen. Implementaties die koppelen van meerdere PERSONAGES aan één middel mogelijk maken zijn ook denkbaar. Intern in het stelsel wordt een PERSONAGE gepresenteerd door een getal met een nader te bepalen bereik.
Pagina 19 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
toevoegen van random informatie aan de POLYMORFE PSEUDOID en de VERSLEUTELDE PSEUDOID. Deze eigenschap is cruciaal; hij zorgt ervoor dat de oplossing tegelijkertijd voldoet aan alle eisen van keuzevrijheid van de GEBRUIKER, privacybescherming en onafhankelijkheid van toegepaste middelen. 3.6
Het gebruik van SECTORID’S In Hoofdstuk 0 is al aangegeven dat het eID Stelsel ook de mogelijkheid biedt voor DIENSTAANBIEDERS om gebruik te maken van SECTORID’s. Het bekendste voorbeeld van een SECTORID is het BSN. Om dit gebruik mogelijk te maken is het noodzakelijk dat er een verband word gelegd tussen PERSONAGE en een SECTORID. Dit is de taak van een SECTORID-DIENST. Daarvoor wordt niet rechtstreeks gebruik gemaakt van de POLYMORFE PSEUDOID; die is daarvoor door zijn steeds wisselende verschijningsvorm niet geschikt. In plaats daarvan wordt er gebruik gemaakt van een PSEUDOID. In feite gedraagt een SECTORID-DIENST zich op dit punt als een gewone ATTRIBUTENDIENST. Deze oplossing zorgt ervoor dat een SECTORID gebruikt kan worden in combinatie met een willekeurig AUTHENTICATIEMIDDEL van een willekeurige AUTHENTICATIEDIENST. Het is niet wenselijk en niet nodig dat een SECTORID aan ieder PERSONAGE van een GEBRUIKER wordt gekoppeld: als een burger besluit om een bepaald PERSONAGE nooit te gebruiken voor bepaalde sector, dan kan deze link achterwege blijven. Dit geldt dus ook voor het BSN. P46
Een SECTOR ID wordt uitsluitend op verzoek van de GEBRUIKER en via een expliciete koppelprocedure gekoppeld aan een PERSONAGE .
De procedure voor het maken van de koppeling hoeft niet voor alle SECTORID’s hetzelfde te zijn. De procedure kan deel uitmaken van de uitgifteprocedure voor nieuwe middelen. De eisen die aan de procedure worden gesteld kunnen daarom verschillend zijn, al naar gelang het door de sector gewenste BETROUWBAARHEIDSNIVEAU (STORK-level). P47
Het in stand houden van een SECTOR ID-DIENST is de verantwoordelijkheid van de sector zelf.
Een belangrijk voorbeeld van een SECTORID-DIENST is de SECTORID-DIENST BSN; deze wordt beschreven in Hoofdstuk 0. Stel nu dat een GEBRUIKER een dienst wil afnemen bij een DIENSTAANBIEDER die daarvoor een SECTORID nodig heeft. Dit feit wordt vastgelegd in de DIENSTENCATALOGUS. Het authenticatieproces verloopt in deze situatie als volgt (zie Figuur 3). 1. De AUTHENTICATIEDIENST gebruikt in CT3 niet de identiteit van de DIENSTAANBIEDER, maar de identiteit van de SECTORID-DIENST. 2. Het resultaat is een VERSLEUTELDE PSEUDOID, behorend bij het gebruikte PERSONAGE. Deze VERSLEUTELDE PSEUDOID kan alleen door de SECTORID-DIENST worden gelezen.
Pagina 20 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Figuur 3: Pseudoniemen en sectorale nummers
3. De SECTORID-DIENST past op deze VERSLEUTELDE PSEUDOID zijn eigen geheime sleutel toe en verkrijgt zo de PSEUDOID waaronder de GEBRUIKER bij hem bekend is. 4. De SECTORID-DIENST zoekt de bijbehorende SECTORID op. Deze SECTORID wordt in een ATTRIBUUTVERKLARING opgenomen. De oorspronkelijke IDENTITEITSVERKLARING wordt aan de ATTRIBUUTVERKLARING gehecht in een IDENTITEITSKETEN. Het geheel wordt vervolgens teruggegeven aan de aanvrager (de EID-MAKELAAR – zie §2.4). Evenals een IDENTITEITSVERKLARING kan een ATTRIBUUTVERKLARING meerdere geadresseerden hebben (zie eigenschap P08).
Pagina 21 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
3.7
Gebruik van identiteiten in een IDENTITEITSVERKLARING Iedere IDENTITEITSVERKLARING bevat tenminste één VERSLEUTELDE PSEUDOID. Als hij geadresseerd is aan meerdere ONTVANGENDE PARTIJEN (zie eigenschap P08), dan bevat hij even zoveel VERSLEUTELDE PSEUDOID’s. Afhankelijk van de context waarin de IDENTITEITSVERKLARING gebruikt moet worden kan hij als zelfstandige verklaring voorkomen, kan hij gehecht zijn aan een ATTRIBUUTVERKLARING (zie §3.6) of aan een BEVOEGDHEIDSVERKLARING. Zowel attributen als identiteiten zijn kenmerken van een persoon. Een identiteit legt een eenduidig verband tussen een persoon en een verzameling gegevens over meerdere personen, zoals een klantenbestand of een registratie van beroepsbeoefenaren. Daarmee geeft de identiteit het door de HANDELENDE PERSOON beoogde gebruik van de keten van verklaringen aan. Neem als voorbeeld een advocaat die zowel een BSN als een advocatennummer (BAR-nummer) heeft. Hij zal zijn BSN gebruiken als hij als burger zaken doet met de overheid en zijn advocatennummer wanneer hij als advocaat handelt. Daarom geldt de volgende regel. P48
Een IDENTITEITSKETEN kan per ONTVANGENDE PARTIJ slechts één identiteit (PSEUDO ID of SECTORID) bevatten.
Aan een ATTRIBUUTVERKLARING is altijd een IDENTITEITSVERKLARING gehecht. In de meeste gevallen zal dat een IDENTITEITSVERKLARING zijn met twee geadresseerden: de ATTRIBUTENDIENST zelf en de ONTVANGENDE PARTIJ van de ATTRIBUUTVERKLARING. Er zijn echter ook situaties waarin de ATTRIBUTENDIENST de enige geadresseerde is. Immers, PSEUDOID's zoals hier gebruikt zijn persistent (i.e. bij ieder gebruik hetzelfde). Een persistent gegeven, hoe betekenisloos ook, stelt de ontvanger in staat om een historie op te bouwen van het gebruik van de HANDELENDE PERSOON van het stelsel. Dat is niet nodig in de situatie dat bijvoorbeeld alleen een specifiek eigenschap van de HANDELENDE PERSOON (bijvoorbeeld ‘ouder dan 18?’) vereist wordt. In dat geval bevat de IDENTITEITSVERKLARING alleen de VERSLEUTELDE PSEUDOID voor de ATTRIBUTENDIENST. Dat is voor de ONTVANGENDE PARTIJ verder niet leesbaar. Hij kan uit de ontvangen keten afleiden dat de identiteit deugdelijk is vastgesteld, dat de persoon in kwestie inderdaad ouder dan 18, maar niet over wie het gaat. Daarmee bevat de keten precies voldoende informatie voor de ONTVANGENDE PARTIJ. 3.8
Niet-natuurlijke personen In het voorgaande lag de nadruk op natuurlijke personen. Bij niet-natuurlijke personen (bedrijven, stichtingen, overheden) klemmen de vraagstukken van privacy minder, maar ook daar kan afscherming van gegevens van belang zijn – bijvoorbeeld voor het beschermen van concurrentiegevoelige informatie. P49
Uitgangspunt is dat niet-natuurlijke personen in het stelsel op dezelfde manier worden behandeld als natuurlijke personen.
Voor niet-natuurlijke personen wordt er ook gewerkt met een STAMSLEUTEL. De STAMSLEUTEL wordt samengesteld uit een indicatie van het register waar de gegevens van de niet-natuurlijke persoon zijn vastgelegd, en een uniek kenmerk van de persoon. Dat laatste kan van register tot register verschillen. [aan te vullen in de volgende versie]. De STAMSLEUTEL wordt vervolgens gebruikt op de manier als eerder beschreven voor natuurlijke personen.
Pagina 22 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
4
Omvormen van pseudoniemen
Er is een aantal situaties waarin een specifiek pseudoniem moet worden omgevormd in een ander pseudoniem om bruikbaar te zijn. Deze situaties worden in dit hoofdstuk besproken. 4.1
Gebruik van PSEUDOID bij MACHTIGINGSDIENST Een GEBRUIKER kan bij een MACHTIGINGSDIENST meerdere machtigingen voor verschillende DIENSTAANBIEDERs vastleggen. De eis van transparantie houdt dan het volgende in. P50
Een GEBRUIKER moet kunnen inloggen bij een MACHTIGINGSDIENST en al zijn machtigingen zien en beheren (zowel de machtigingen waarin hij als VERTEGENWOORDIGDE voorkomt als die waarin hij als GEMACHTIGDE voorkomt).
In deze situatie ligt het voor de hand om de MACHTIGINGSDIENST te beschouwen als een DIENSTAANBIEDER die de dienst “Beheer Machtigingen” verleent aan de GEBRUIKER. De GEBRUIKER wordt geauthentiseerd aan de hand van een PSEUDOID die specifiek is voor de MACHTIGINGSDIENST. Op het moment dat op basis van de geregistreerde machtiging een BEVOEGDHEIDSVERKLARING moet worden gemaakt, dient deze persoon echter te worden aangeduid op de manier waarop de ONTVANGENDE PARTIJ deze persoon kent, dus met de PSEUDOID voor de ONTVANGENDE PARTIJ. Het mag voor de ONTVANGENDE PARTIJ immers geen verschil maken of de VERTEGENWOORDIGDE zélf inlogt of dat iemand anders dat namens hem of haar doet op basis van een machtiging. Dat kan binnen de cryptografie van het stelsel alleen als de BEVOEGDHEIDSVERKLARING de VERSLEUTELDE PSEUDOID van de VERTEGENWOORDIGDE en de GEMACHTIGDE bevat.
Pagina 23 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
P51
Een BEVOEGDHEIDSVERKLARING bevat de DIENSTAANBIEDER -specifieke VERSLEUTELDE PSEUDO ID van de GEMACHTIGDE en de VERTEGENWOORDIGDE .
Voor de laatste GEMACHTIGDE in een keten kan dat worden gerealiseerd door de AUTHENTICATIEDIENST. P52
Een AUTHENTICATIEDIENST levert op verzoek zowel een VERSLEUTELDE PSEUDO ID voor de DIENSTAANBIEDER als voor de M ACHTIGINGSDIENST .
Voor de overige GEMACHTIGDEN in een keten en voor de VERTEGENWOORDIGDE dient de MACHTIGINGSDIENST te kunnen beschikken over POLYMORFE PSEUDOID’s van de betrokken personen. Deze worden door de MACHTIGINGSDIENST aangevraagd bij de STELSELAUTORITEIT/PSEUDONIEMEN als onderdeel van het registratieproces van een machtiging – zie Figuur 4. Dit hoeft alleen de eerste keer dat de GEBRUIKER een machtiging registreert; de MACHTIGINGSDIENST zal de ontvangen POLYMORFE PSEUDOID opslaan en bij een volgende gelegenheid hergebruiken. Er zijn meerdere varianten van het aanvraag proces mogelijk, maar als onderdeel van het proces dienen de hier beschreven stappen zowel voor de VERTEGENWOORDIGDE als voor de GEMACHTIGDE te worden doorlopen. Het proces begint ermee dat bijvoorbeeld de VERTEGENWOORDIGDE inlogt bij de MACHTIGINGSDIENST om een
Figuur 4: Pseudoniemen bij een MACHTIGINGSDIENST
Pagina 24 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
aanvraag voor een machtiging in te dienen. In deze context is de MACHTIGINGSDIENST de DIENSTAANBIEDER, dus de AUTHENTICATIEDIENST genereert een VERSLEUTELDE PSEUDOID (CT3) die alleen gelezen kan worden door de MACHTIGINGSDIENST. Deze ontcijfert de VERSLEUTELDE PSEUDOID en verkrijgt op die manier de PSEUDOID van de VERTEGENWOORDIGDE voor zijn eigen administratie. Als onderdeel van de authenticatie vraagt de MACHTIGINGSDIENST om de attributen waaruit de STAMSLEUTEL van de GEBRUIKER is opgebouwd. Deze worden als aanvullende attributen meegeleverd in de IDENTITEITSVERKLARING. Uit hoofde van zijn rol zal de MACHTIGINGSDIENST daarvoor bij toetreding tot het stelsel autorisatie voor hebben gekregen. De MACHTIGINGSDIENST gebruikt vervolgens deze gegevens om een eigen aanvraag voor een POLYMORFE PSEUDOID in te dienen bij de STELSELAUTORITEIT/PSEUDONIEMEN. Omdat deze gegevens al een keer eerder zijn gebruikt om een POLYMORFE PSEUDOID aan te vragen, zijn daarbij geen complicaties zoals een nietunieke STAMSLEUTEL te verwachten. De STELSELAUTORITEIT/PSEUDONIEMEN berekent een nieuwe POLYMORFE PSEUDOID ten behoeve van de MACHTIGINGSDIENST die als onderdeel van de machtigingstriple7 wordt opgeslagen. P53
Een MACHTIGINGSDIENST vraagt voor het genereren van PSEUDO ID’s een eigen POLYMORFE PSEUDO ID aan bij de STELSELAUTORITEIT / PSEUDONIEMEN .
Op het moment dat de POLYMORFE PSEUDOID is ontvangen kan de MACHTIGINGSDIENST de voor het samenstellen van de STAMSLEUTEL verkregen attributen verwijderen, voor zover ze niet als comfortinformatie deel uitmaken van de machtiging. In de praktijk zal dit betekenen dat de geboorteplaats en eventuele aanvullende gegevens geschrapt kunnen worden. De MACHTIGINGSDIENST beschikt net als een AUTHENTICATIEDIENST over een METAMORFOSESLEUTEL. Als de machtiging wordt opgevraagd, gebruikt de MACHTIGINGSDIENST deze om uit de POLYMORFE PSEUDOID een VERSLEUTELDE PSEUDOID ten behoeve van de DIENSTAANBIEDER te genereren. De DIENSTAANBIEDER haalt bij binnenkomst van de BEVOEGDHEIDSVERKLARING zijn private sleutel over de VERSLEUTELDE PSEUDOID en verkrijgt zo de PSEUDOID van de GEBRUIKER. Op basis van de algemene eigenschappen van de cryptografie (eigenschap P45) weten we dan dat dit dezelfde PSEUDOID is als de AUTHENTICATIEDIENST voor de VERTEGENWOORDIGDE genereert wanneer de VERTEGENWOORDIGDE zelf zou inloggen bij de DIENSTAANBIEDER. Wanneer de machtiging tot stand komt via een balieproces verloopt het feitelijk op dezelfde wijze, alleen wordt de STAMSLEUTEL van de VERTEGENWOORDIGDE dan afgeleid van de gegevens op het WID. Deze vormt dan de basis voor de aanvraag van de POLYMORFE PSEUDOID. P54
4.2
De gegevens voor het aanvragen van een POLYMORFE PSEUDO ID verkrijgt de MACHTIGINGSDIENST uit een I DENTITEITSVERKLARING of uit een eigen registratieproces.
Fraudebestrijding: van PSEUDOID terug naar STAMSLEUTEL Er is een situatie waarin de bescherming die een PSEUDOID biedt moet kunnen worden onderbroken, namelijk wanneer ondersteuning moet worden geboden bij het opsporen van fraude. Dit kan identiteitsfraude zijn, maar ook op andere juridische gronden kan opsporing van een GEBRUIKER noodzakelijk zijn. Als de ONTVANGENDE PARTIJ een vermoeden heeft van identiteitsfraude, dan kan hij via een daartoe bevoegde instantie een rechtshulpverzoek doen8. Op basis dit verzoek daarvan kan de speciale afdeling STELSELAUTORITEIT/OPSPORING een transformatie uitvoeren waarmee de PSEUDOID wordt herleid tot de achterliggende STAMSLEUTEL. In Figuur 2 (blz. 17) is dit aangeduid als CT5. Voor deze transformatie is uitvoering van een brute-force operatie op de administratie van de STELSELAUTORITEIT/PSEUDONIEMEN nodig, wat een garantie biedt dat deze weg alleen bij uitzondering gevolgd zal worden. P55
De STELSELAUTORITEIT ondersteunt ter bestrijding van fraude de mogelijkheid om een PSEUDO ID terug te herleiden tot de STAMSLEUTEL waarop de P SEUDO ID was gebaseerd.
7
Met de machtigingstriple worden de V ERTEGENWOORDIGDE , de G EMACHTIGDE en de betrokken dienst bedoeld.
8
Nader onderzoek moet invulling geven aan de voorwaarden waaraan een dergelijk verzoek moet voldoen.
Pagina 25 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
5
De cryptografie van het stelsel
In dit hoofdstuk wordt nader ingegaan op de cryptografische principes die in de voorgaande hoofdstukken zijn gebruikt. De volledige beschrijving van de cryptografische technieken wordt in een afzonderlijk document vastgelegd. 5.1
STAMSLEUTEL De gegevens waaruit de STAMSLEUTEL (zie §3.2) wordt opgebouwd zijn: geslachtsnaam, eerste voornaam, overige voorletters, geboortedatum en geboorteplaats. Om problemen met spelling te voorkomen wordt gebruik gemaakt van een vereenvoudigde schrijfwijze van achternaam en voornaam, zoals ontwikkeld voor de beheervoorziening BSN (ref. [2]). De beheervoorziening BSN wordt geraadpleegd om botsingen (“collisions”: de situatie dat twee verschillende personen dezelfde STAMSLEUTEL hebben) te detecteren. Indien een botsing wordt vastgesteld wordt aan de STAMSLEUTEL een volgnummer ongelijk aan 0 toegevoegd om de STAMSLEUTEL alsnog uniek te maken; het volgnummer is 0 als er geen botsing is. De uitgevende partij zal wel nader onderzoek moeten doen om vast te stellen dat het daadwerkelijk om twee verschillende personen gaat. Dit onderzoek kan mogelijk niet door alle uitgevers van AUTHENTICATIEMIDDELen worden uitgevoerd; het is mogelijk dat de GEBRUIKER dan moet worden doorverwezen naar een gemeentelijk uitgiftepunt. Het algoritme voor de controle van de STAMSLEUTEL is globaal als volgt.
5.2
Indien de GEBRUIKER beschikt over een Nederlands WID (in dat geval moet hij of zij ook in de BRP zijn ingeschreven), dan wel zelf aangeeft te zijn ingeschreven in de BRP: 1. Vraag het BSN van de GEBRUIKER op bij de beheervoorziening BSN. 2. Indien één unieke match: rond de registratie af. Het BSN wordt genegeerd. 3. Indien geen match: verwijs de GEBRUIKER naar de afdeling burgerzaken van zijn gemeente, dan wel een RNI-loket. De gegevens op zijn of haar WID zijn kennelijk niet in overeenstemming met de gegevens in de GBA. De gemeente is de aangewezen instelling om dit te onderzoeken en eventuele correcties door te voeren. 4. Indien meerdere matches: stel het BSN vast op basis van aanvullende zoekgegevens. Deze procedure kan alleen worden uitgevoerd door een instantie die volledige toegang heeft tot de GBA en de beheervoorziening BSN; in de praktijk zal dit ook de gemeente zijn. Het zoekpad dat gevolgd wordt is hetzelfde als dat in de beheervoorziening BSN. Vul de STAMSLEUTEL aan met een volgnummer en registreer welke gegevens zijn gebruikt om de STAMSLEUTEL aan te vullen. Indien de persoon niet beschikt over een Nederlands WID en geen BSN heeft: 1. Controleer bij de beheervoorziening BSN of de GEBRUIKER niet toch een BSN heeft. 2. Indien geen match (de verwachte situatie): rond de registratie af. Er wordt uiteraard geen BSN gekoppeld. 3. Indien wel een of meerdere matches: verwijs de GEBRUIKER naar een gemeentelijke balie. Er zal ondubbelzinnig moeten worden vastgesteld of de GEBRUIKER daadwerkelijk een ander persoon is dan de in de BRP gevonden mogelijke matches. Immers, er zijn toepassingen van het eID Stelsel (zoals referenda en polls) waarin dit onderscheid van wezenlijk belang is.
POLYMORFE PSEUDOID Een POLYMORFE PSEUDOID wordt berekend door: 1. een hash te berekenen over de combinatie van STAMSLEUTEL, PERSONAGE en volgnummer; 2. deze hash te versleutelen met een geheime sleutel van de STELSELAUTORITEIT. De sleutel van de STELSELAUTORITEIT geldt voor het hele stelsel, en dient dus uiteraard zwaar beveiligd te worden. Opslag in een HSM is hierbij een vereiste. Het polymorfe karakter van de gegenereerde pseudoniemen (het feit dat ze zich in verschillende gedaanten kunnen manifesteren) maakt ze tot een gevoelig punt, te vergelijken met een
Pagina 26 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
encryptiesleutel. AUTHENTICATIEDIENSTEN dienen daarom POLYMORFE PSEUDOID’S te bewaren in een HSM.
Pagina 27 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
6
De SECTORID-DIENST BSN
Het BSN is een nummer dat alleen gebruikt mag worden door overheidsorganen en partijen die belast zijn met de uitvoering van een overheidstaak. Gevolg van P47 is dan: P56
De overheid is verantwoordelijk is voor het ontwikkelen van een SECTORID- DIENST BSN.
Merk op dat er dus geen noodzaak is dat een AUTHENTICATIEDIENST of een MACHTIGINGSDIENST het BSN gebruikt. Dat vereenvoudigt het toelaten van private partijen als AUTHENTICATIEDIENST of MACHTIGINGSDIENST. 6.1
Koppelen BSN op aanvraag Voor het vullen van de conversietabel wordt wederom gebruikt van de beheervoorziening BSN. Dit werkt als volgt. 1. De GEBRUIKER geeft aan dat zijn of haar middel9 te willen gebruiken bij de overheid. Dit kan meteen bij de aanvraag van het middel, maar het proces kan ook naderhand worden doorlopen. 2. De GEBRUIKER wordt doorgeleid naar de SECTORID-DIENST BSN en doorloopt daar een normaal inlogproces. Als onderdeel van dit proces verkrijgt de SECTORID-DIENST de gegevens voor de STAMSLEUTEL. Omdat het hier om een SECTORID-DIENST gaat is de dienst gerechtigd om deze gegevens te ontvangen. 3. De SECTORID-DIENST BSN vraagt bij de beheervoorziening BSN het BSN op. Deze vraag is identiek aan de vraag die de STELSELAUTORITEIT/PSEUDONIEMEN heeft gebruikt om het uniek zijn van de STAMSLEUTEL te verifiëren. Omdat de sleutel eerder is gebruikt zijn er verder geen complicaties te verwachten: het BSN wordt gevonden, of de GEBRUIKER beschikt niet over een BSN. In het laatste geval wordt de procedure afgebroken. 4. Op dat moment beschikt de SECTORID-DIENST BSN over de combinatie PSEUDOID en BSN. Deze combinatie wordt vastgelegd in de conversietabel. De gegevens van de STAMSLEUTEL kunnen worden verwijderd. P57
De SECTOR ID-DIENST BSN wordt gevuld op aanvraag vanuit een AUTHENTICATIEDIENST middels het raadplegen van de beheervoorziening BSN.
De procedure vertoont dus grote overeenkomst met de procedure die de MACHTIGINGSDIENST volgt om een POLYMORFE PSEUDOID aan te vragen bij de STELSELAUTORITEIT/PSEUDONIEMEN.10 De verwachting is dat de procedure voor andere SECTORID-DIENSTEN op dezelfde wijze kan verlopen. Voorwaarde is dat in de sector een dienst aanwezig is die ook de gegevens voor de STAMSLEUTEL bevat. Gezien het generieke karakter van deze gegevens is dat aannemelijk.
9
Strikt genomen wordt een PERSONAGE gekoppeld, niet een A UTHENTICATIEMIDDEL . Impliciete veronderstelling is hier dus dat een middel gebruikt wordt om een PERSONAGE te selecteren.
10
Vanuit de werkgroep cryptografie is voorgesteld om in plaats van de hier geschetste procedure gebruik te maken van een polymorf versleutelde vorm van het BSN. Deze suggestie wordt nader onderzocht.
Pagina 28 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Bijlagen
Bijlage A
Overzicht eigenschappen
P01
Het eID Stelsel is neutraal ten aanzien van partijen die een rol invullen; het formuleert alleen eisen waaraan een partij voor een bepaalde rol moet voldoen. ................................... 10
P02
De rol van STELSELAUTORITEIT wordt ingevuld door de overheid. ............................................. 10
P03
Een gecertificeerde EID-DEELNEMER kan verklaringen afgeven over derden (natuurlijke of niet-natuurlijke personen)............................................................................................... 10
P04
Een persoon kan zelf een BEVOEGDHEIDSVERKLARING afgeven met een machtiging waarin hij als VERTEGENWOORDIGDE voorkomt. ..................................................................................... 10
P05
Een GEBRUIKER kan een IDENTITEITSVERKLARING of ATTRIBUUTVERKLARING afgeven over zichzelf. ....... 10
P06
Een AUTHENTICATIEDIENST geeft AUTHENTICATIEMIDDELEN uit. ...................................................... 11
P07
Een AUTHENTICATIEDIENST ontkoppelt AUTHENTICATIEMIDDELEN van DIENSTAANBIEDERS. ..................... 11
P08
Een AUTHENTICATIEDIENST levert een getekende IDENTITEITSVERKLARING. Een IDENTITEITSVERKLARING kan gericht zijn aan meerdere ONTVANGENDE PARTIJEN. ............................. 11
P09
Een AUTHENTICATIEDIENST realiseert inzage voor de GEBRUIKER in het gebruik dat van zijn of haar AUTHENTICATIEMIDDELEN is gemaakt. ............................................................................. 11
P10
Een audit trail mag door een AUTHENTICATIEDIENST uitsluitend worden gebruikt voor het geven van inzicht aan de GEBRUIKER welk gebruik er van zijn middelen is gemaakt. ................ 11
P11
EEN AUTHENTICATIEDIENST kan facultatief de mogelijkheid bieden aan een GEBRUIKER om af te zien van het bijhouden van een audit trail. .................................................................... 11
P12
De keuze voor een AUTHENTICATIEDIENST en voor het te gebruiken AUTHENTICATIEMIDDEL berust bij de GEBRUIKER. .................................................................................................. 12
P13
Een SECTORID-DIENST wordt geraadpleegd door een EID-MAKELAAR op het moment dat een DIENSTAANBIEDER aangeeft dat voor het verlenen van een bepaalde dienst een SECTORID nodig is. ....................................................................................................................... 12
P14
Een MACHTIGINGSDIENST registreert een bevoegdheid van een persoon (de GEMACHTIGDE) om een bepaalde dienst of groep van diensten af te nemen namens een ander persoon (de VERTEGENWOORDIGDE). ................................................................................................. 12
P15
Een MACHTIGINGSDIENST kan de identiteit van een VERTEGENWOORDIGDE vaststellen aan de hand van een IDENTITEITSVERKLARING van een AUTHENTICATIEDIENST of op basis van een eigen registratieproces. In het registratieproces van de machtiging wordt ook vastgesteld dat de VERTEGENWOORDIGDE de wil heeft de machtiging tot stand te laten komen. ......................................................................................................................... 12
P16
Een machtiging is pas geldig op het moment dat hij door de GEMACHTIGDE is geaccepteerd. De MACHTIGINGSDIENST stelt de identiteit van een GEMACHTIGDE vast op het moment van acceptatie. ................................................................................................. 12
P17
Een MACHTIGINGSDIENST levert op aanvraag een BEVOEGDHEIDSVERKLARING, waarmee een HANDELENDE PERSOON ten overstaan van een DIENSTBEMIDDELAAR of DIENSTAANBIEDER kan aantonen dat hij gemachtigd is om een dienst af te nemen namens een VERTEGENWOORDIGDE. ........................................................................................................ 12
Pagina 29 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
P18
De keuze bij welke MACHTIGINGSDIENST een machtiging wordt geregistreerd berust bij degene die de machtiging aanvraagt. ............................................................................... 13
P19
De EID-MAKELAAR vraagt aan de GEBRUIKER van welke AUTHENTICATIEDIENST hij gebruik wil maken en (indien van toepassing) waar de machtigingen van de GEBRUIKER zijn geregistreerd. Op basis van de antwoorden routeert hij de GEBRUIKER door naar de juiste voorzieningen. ............................................................................................................... 13
P20
De EID-MAKELAAR verricht zijn werkzaamheden op basis van een contract of bewerkersovereenkomst met de DIENSTBEMIDDELAAR of DIENSTAANBIEDER. De keuze voor een bepaalde EID-MAKELAAR berust bij de DIENSTBEMIDDELAAR of DIENSTAANBIEDER. ...................... 13
P21
Een DIENSTBEMIDDELAAR bundelt de verkregen verklaringen en de bijbehorende gegevens en ondertekent het geheel. Daarmee verklaart de DIENSTBEMIDDELAAR dat alle verklaringen en gegevens bij elkaar horen (ook associëren genoemd). ................................. 13
P22
Een DIENSTBEMIDDELAAR kan optreden als bewerker namens een DIENSTAANBIEDER of op eigen titel worden geregistreerd als EID-DEELNEMER. ............................................................ 14
P23
De DIENSTEIGENAAR is de partij die beslist over onder de indeling en naamgeving van de diensten en over alle beleidsmatige aspecten die gelden voor de betreffende dienst, zoals het vereiste BETROUWBAARHEIDSNIVEAU. ........................................................................ 14
P24
Comfortinformatie wordt in het stelsel vastgelegd op het moment van ontlening aan een authentieke bron (bijvoorbeeld WID, STORK-verklaring, Basisregistratie, Eigen Verklaring). ................................................................................................................... 14
P25
Comfortinformatie wordt alleen op verzoek van de betrokken persoon geactualiseerd door opnieuw de authentieke bron te raadplegen. .............................................................. 14
P26
Bij alle attributen wordt vastgelegd aan welke bron ze zijn ontleend en op welke datum dat is gebeurd. .............................................................................................................. 14
P27
Het eID Stelsel dwingt af dat een DIENSTAANBIEDER niet meer gegevens ontvangt dan waar hij recht op heeft. Dit recht wordt vastgesteld bij het aansluiten van de die DIENSTAANBIEDER op het stelsel. ......................................................................................... 15
P28
De gegevens waar de DIENSTAANBIEDER volgens het autorisatiebesluit recht op heeft worden vastgelegd in de aansluitovereenkomst van de DIENSTAANBIEDER. ............................... 15
P29
Attributen worden uitsluitend verstrekt op basis van instemming van de GEBRUIKER. Instemming kan expliciet of impliciet worden verleend. ...................................................... 15
P30
Persoonsgegevens die tussen partijen worden getransporteerd worden zodanig versleuteld dat alleen de ONTVANGENDE PARTIJ deze weer kan ontsleutelen. .............................. 15
P31
Een GEBRUIKER kan kiezen voor meerdere PERSONAGES of voor een enkele. Aan een bepaald PERSONAGE kan hij één of meerdere AUTHENTICATIEMIDDELEN koppelen........................... 16
P32
Een PSEUDOID binnen het stelsel is betekenisloos. Hij is uniek voor een bepaald PERSONAGE en voor een bepaalde DIENSTAANBIEDER................................................................ 16
P33
De PSEUDOID is onafhankelijk van het gebruikte AUTHENTICATIEMIDDEL en van de gebruikte AUTHENTICATIEDIENST. ........................................................................................................ 16
P34
De POLYMORFE PSEUDOID wordt uitgereikt door de STELSELAUTORITEIT aan een AUTHENTICATIEDIENST. ........................................................................................................ 17
P35
Een POLYMORFE PSEUDOID wordt afgeleid van persoonskenmerken, opgenomen in een identiteitsdocument. Daarbij wordt geen gebruik gemaakt van persoonsnummers. ................ 18
P36
De STELSELAUTORITEIT controleert de STAMSLEUTEL bij de beheervoorziening BSN en in een eigen administratie. Daarmee voorkomt de STELSELAUTORITEIT dubbele inschrijvingen en signaleert hij niet-unieke STAMSLEUTELS. ............................................................................. 18
P37
Als een STAMSLEUTEL niet uniek is worden aanvullende gegevens gebruikt om tot een
Pagina 30 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
unieke sleutel te komen. Dit proces wordt uitgevoerd door de gemeentelijke balies................ 18 P38
EEN POLYMORF PSEUDOID is randomiseerbaar (aangegeven met een dubbele lijn in Figuur 2). Dat houdt in dat er extra gegevens aan de POLYMORFE PSEUDOID kunnen worden toegevoegd zonder dat dit invloed heeft op de PSEUDOID’S die van het POLYMORFE PSEUDOID worden afgeleid. .............................................................................................. 18
P39
Een POLYMORFE PSEUDOID is specifiek voor de AUTHENTICATIEDIENST die de POLYMORFE PSEUDOID heeft aangevraagd, zonder dat dit invloed heeft op de PSEUDOID’S die van de POLYMORFE PSEUDOID worden afgeleid. ................................................................................ 18
P40
Een POLYMORFE PSEUDOID kan worden opgeslagen op een extern “secure device” of in de administratie van de AUTHENTICATIEDIENST. .......................................................................... 19
P41
De informatie in een audit trail is voor een AUTHENTICATIEDIENST afhankelijk van de gebruikte techniek. ........................................................................................................ 19
P42
Een AUTHENTICATIEDIENST ontvangt van de STELSELAUTORITEIT/SLEUTELBEHEER een geheime sleutel ten behoeve van het berekenen van VERSLEUTELDE PSEUDOID’s. .................................... 19
P43
Een VERSLEUTELDE PSEUDOID is randomiseerbaar. .................................................................. 19
P44
Een VERSLEUTELDE PSEUDOID is alleen leesbaar voor de ONTVANGENDE PARTIJ. .............................. 19
P45
Een PSEUDOID is persistent, uniek voor de ONTVANGENDE PARTIJ en alleen afhankelijk van de STAMSLEUTEL van de GEBRUIKER en het gekozen PERSONAGE. ................................................ 19
P46
Een SECTORID wordt uitsluitend op verzoek van de GEBRUIKER en via een expliciete koppelprocedure gekoppeld aan een PERSONAGE. ................................................................. 20
P47
Het in stand houden van een SECTORID-DIENST is de verantwoordelijkheid van de sector zelf. ............................................................................................................................. 20
P48
Een IDENTITEITSKETEN kan per ONTVANGENDE PARTIJ slechts één identiteit (PSEUDOID of SECTORID) bevatten. ....................................................................................................... 22
P49
Uitgangspunt is dat niet-natuurlijke personen in het stelsel op dezelfde manier worden behandeld als natuurlijke personen. ................................................................................. 22
P50
Een GEBRUIKER moet kunnen inloggen bij een MACHTIGINGSDIENST en al zijn machtigingen zien en beheren (zowel de machtigingen waarin hij als VERTEGENWOORDIGDE voorkomt als die waarin hij als GEMACHTIGDE voorkomt). ......................................................................... 23
P51
Een BEVOEGDHEIDSVERKLARING bevat de DIENSTAANBIEDER-specifieke VERSLEUTELDE PSEUDOID van de GEMACHTIGDE en de VERTEGENWOORDIGDE. ................................................................... 24
P52
Een AUTHENTICATIEDIENST levert op verzoek zowel een VERSLEUTELDE PSEUDOID voor de DIENSTAANBIEDER als voor de MACHTIGINGSDIENST. ................................................................... 24
P53
Een MACHTIGINGSDIENST vraagt voor het genereren van PSEUDOID’s een eigen POLYMORFE PSEUDOID aan bij de STELSELAUTORITEIT/PSEUDONIEMEN. ........................................................... 25
P54
De gegevens voor het aanvragen van een POLYMORFE PSEUDOID verkrijgt de MACHTIGINGSDIENST uit een IDENTITEITSVERKLARING of uit een eigen registratieproces. .................. 25
P55
De STELSELAUTORITEIT ondersteunt ter bestrijding van fraude de mogelijkheid om een PSEUDOID terug te herleiden tot de STAMSLEUTEL waarop de PSEUDOID was gebaseerd. .............. 25
P56
De overheid is verantwoordelijk is voor het ontwikkelen van een SECTORID-DIENST BSN. .......... 28
P57
De SECTORID-DIENST BSN wordt gevuld op aanvraag vanuit een AUTHENTICATIEDIENST middels het raadplegen van de beheervoorziening BSN. ...................................................... 28
Pagina 31 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
Bijlage B
Overzicht eigenschappen vs. ontwerpeisen
In deze bijlage zijn bij de verschillende ontwerpeisen (Exx) uit het document Stakeholders, belangen en ontwerpeisen verwijzingen opgenomen naar ontwerpeigenschappen (Pxx) uit het document Werking van het eID Stelsel. E01 Ontzorgen van de DIENSTAANBIEDERS. Verwijst naar ontwerpeigenschappen: • P07 Een AUTHENTICATIEDIENST ontkoppelt AUTHENTICATIEMIDDELEN van DIENSTAANBIEDERS. • P13 Een SECTORID-DIENST wordt geraadpleegd door een EID-MAKELAAR op het moment dat een DIENSTAANBIEDER aangeeft dat voor het verlenen van een bepaalde dienst een SECTORID nodig is. • P20 De EID-MAKELAAR verricht zijn werkzaamheden op basis van een contract of bewerkersovereenkomst met de DIENSTBEMIDDELAAR of DIENSTAANBIEDER. De keuze voor een bepaalde EID-MAKELAAR berust bij de DIENSTBEMIDDELAAR of DIENSTAANBIEDER. • P28 De gegevens waar de DIENSTAANBIEDER volgens het autorisatiebesluit recht op heeft worden vastgelegd in de aansluitovereenkomst van de DIENSTAANBIEDER. E02 Bruikbaar voor digitaal minder vaardigen. Verwijst naar ontwerpeigenschappen: • P15 Een MACHTIGINGSDIENST kan de identiteit van een VERTEGENWOORDIGDE vaststellen aan de hand van een IDENTITEITSVERKLARING van een AUTHENTICATIEDIENST of op basis van een eigen registratieproces. In het registratieproces van de machtiging wordt ook vastgesteld dat de VERTEGENWOORDIGDE de wil heeft de machtiging tot stand te laten komen. • P54 De gegevens voor het aanvragen van een POLYMORFE PSEUDOID verkrijgt de MACHTIGINGSDIENST uit een IDENTITEITSVERKLARING of uit een eigen registratieproces. E03 Derden moeten namens een DIENSTAANBIEDER digitale diensten kunnen aanbieden. Verwijst naar ontwerpeigenschappen: • P21 Een DIENSTBEMIDDELAAR bundelt de verkregen verklaringen en de bijbehorende gegevens en ondertekent het geheel. Daarmee verklaart de DIENSTBEMIDDELAAR dat alle verklaringen en gegevens bij elkaar horen (ook associëren genoemd). • P22 Een DIENSTBEMIDDELAAR kan optreden als bewerker namens een DIENSTAANBIEDER of op eigen titel worden geregistreerd als EID-DEELNEMER. E04 Opheffen domeinscheiding burgers / bedrijven. Verwijst naar ontwerpeigenschappen: • P31 Een GEBRUIKER kan kiezen voor meerdere PERSONAGES of voor een enkele. Aan een bepaald personage kan hij één of meerdere middelen koppelen. • P49 Uitgangspunt is dat niet-natuurlijke personen in het stelsel op dezelfde manier worden behandeld als natuurlijke personen. E05 Sectoren met eigen nummers moeten ondersteund kunnen worden. Verwijst naar ontwerpeigenschappen: • P13 Een SECTORID-DIENST wordt geraadpleegd door een EID-MAKELAAR op het moment dat een DIENSTAANBIEDER aangeeft dat voor het verlenen van een bepaalde dienst een SECTORID nodig is. • P47 Het in stand houden van een SECTORID-DIENST is de verantwoordelijkheid van de sector zelf. • P56 De overheid is verantwoordelijk is voor het ontwikkelen van een SECTORID-DIENST BSN. • P57 De SECTORID-DIENST BSN wordt gevuld op aanvraag vanuit een AUTHENTICATIEDIENST middels raadplegen van de beheervoorziening BSN. E11 Multimiddelenstrategie. Verwijst naar ontwerpeigenschappen: • P31 Een GEBRUIKER kan kiezen voor meerdere PERSONAGES of voor een enkele. Aan een bepaald PERSONAGE kan hij één of meerdere AUTHENTICATIEMIDDELEN koppelen. • P33 De PSEUDOID is onafhankelijk van het gebruikte AUTHENTICATIEMIDDEL en van de gebruikte AUTHENTICATIEDIENST.
Pagina 32 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
E13 Zorg ervoor dat alle partijen gelijke kansen hebben. Verwijst naar ontwerpeigenschappen: • P01 Het eID Stelsel is neutraal ten aanzien van partijen die een rol invullen; het formuleert alleen eisen waaraan een partij voor een bepaalde rol moet voldoen. • P03 Een gecertificeerde EID-DEELNEMER kan verklaringen afgeven over derden (natuurlijke of nietnatuurlijke personen). E21 Wees laagdrempelig, gebruikersvriendelijk en consistent voor betrokkenen. Verwijst naar ontwerpeigenschappen: • P04 Een persoon kan zelf een BEVOEGDHEIDSVERKLARING afgeven met een machtiging waarin hij als VERTEGENWOORDIGDE voorkomt. • P05 Een GEBRUIKER kan een IDENTITEITSVERKLARING of ATTRIBUUTVERKLARING afgeven over zichzelf. • P12 De keuze voor een AUTHENTICATIEDIENST en voor het te gebruiken AUTHENTICATIEMIDDEL berust bij de GEBRUIKER. • P18 De keuze bij welke MACHTIGINGSDIENST een machtiging wordt geregistreerd berust bij degene die de machtiging aanvraagt. • P19 De EID-MAKELAAR vraagt aan de GEBRUIKER van welke AUTHENTICATIEDIENST hij gebruik wil maken en (indien van toepassing) waar de machtigingen van de GEBRUIKER zijn geregistreerd. Op basis van de antwoorden routeert hij de GEBRUIKER door naar de juiste voorzieningen. • P50 Een GEBRUIKER moet kunnen inloggen bij een MACHTIGINGSDIENST en al zijn machtigingen zien en beheren (zowel de machtigingen waarin hij als VERTEGENWOORDIGDE voorkomt als die waarin hij als GEMACHTIGDE voorkomt). E22 BELANGHEBBENDE kan zelf machtigingen en activiteiten achteraf controleren. Verwijst naar ontwerpeigenschappen: • P09 Een AUTHENTICATIEDIENST realiseert inzage voor de GEBRUIKER in het gebruik dat van zijn of haar AUTHENTICATIEMIDDELEN is gemaakt. • P10 Een audit trail mag door een AUTHENTICATIEDIENST uitsluitend worden gebruikt voor het geven van inzicht aan de GEBRUIKER welk gebruik er van zijn middelen is gemaakt. • P11 Een AUTHENTICATIEDIENST kan facultatief de mogelijkheid bieden aan een GEBRUIKER om af te zien van het bijhouden van een audit trail. E23 GEBRUIKERS houden de controle over machtigingen en gegevens. Verwijst naar ontwerpeigenschappen: • P16 Een machtiging is pas geldig op het moment dat hij door de GEMACHTIGDE is geaccepteerd. De MACHTIGINGSDIENST stelt de identiteit van een GEMACHTIGDE vast op het moment van acceptatie. • P25 Comfortinformatie wordt alleen op verzoek van de betrokken persoon geactualiseerd door opnieuw de authentieke bron te raadplegen. • P29 Attributen worden uitsluitend verstrekt op basis van instemming van de GEBRUIKER. Instemming kan expliciet of impliciet worden verleend. • P46 Een SECTORID wordt uitsluitend op verzoek van de GEBRUIKER en via een expliciete koppelprocedure gekoppeld aan een PERSONAGE. E24 Keuzevrijheid in aanschaf en gebruik. Verwijst naar ontwerpeigenschap: • P31 Een GEBRUIKER kan kiezen voor meerdere PERSONAGES of voor een enkele. Aan een bepaald PERSONAGE kan hij één of meerdere AUTHENTICATIEMIDDELEN koppelen. E31 Bescherming privacy betrokkenen. Verwijst naar ontwerpeigenschappen: • P30 Persoonsgegevens die tussen partijen worden getransporteerd worden zodanig versleuteld dat alleen de ONTVANGENDE PARTIJ deze weer kan ontsleutelen. • P32 Een PSEUDOID binnen het stelsel is betekenisloos. Hij is uniek voor een bepaald PERSONAGE en voor een bepaalde DIENSTAANBIEDER. • P33 De PSEUDOID is onafhankelijk van het gebruikte AUTHENTICATIEMIDDEL en van de gebruikte AUTHENTICATIEDIENST.
Pagina 33 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
• P38 Een POLYMORFE PSEUDOID is randomiseerbaar. Dat houdt in dat er extra gegevens aan de POLYMORFE PSEUDOID kunnen worden toegevoegd zonder dat dit invloed heeft op de PSEUDOID’S die van de POLYMORFE PSEUDOID worden afgeleid. • P43 Een VERSLEUTELDE PSEUDOID is randomiseerbaar. • P45 Een PSEUDOID is persistent, uniek voor de ONTVANGENDE PARTIJ en alleen afhankelijk van de STAMSLEUTEL van de GEBRUIKER en het gekozen PERSONAGE. E32 Een EID-DEELNEMER krijgt niet meer gegevens dan strikt noodzakelijk is voor het uitvoeren van zijn taak. Verwijst naar ontwerpeigenschappen: • P27 Het eID Stelsel dwingt af dat een DIENSTAANBIEDER niet meer gegevens ontvangt dan waar hij recht op heeft. Dit recht wordt vastgesteld bij het aansluiten van de die DIENSTAANBIEDER op het stelsel. • P28 De gegevens waar de DIENSTAANBIEDER volgens het autorisatiebesluit recht op heeft worden vastgelegd in de aansluitovereenkomst van de DIENSTAANBIEDER. • P30 Persoonsgegevens die tussen partijen worden getransporteerd worden zodanig versleuteld dat alleen de bedoelde ONTVANGENDE PARTIJ deze weer kan ontsleutelen. • P39 Een POLYMORFE PSEUDOID is specifiek voor de AUTHENTICATIEDIENST die de POLYMORFE PSEUDOID heeft aangevraagd, zonder dat dit invloed heeft op de PSEUDOID’S die van de POLYMORFE PSEUDOID worden afgeleid. • P44 Een VERSLEUTELDE PSEUDOID is alleen leesbaar voor de ONTVANGENDE PARTIJ. • P48 Een IDENTITEITSKETEN kan per ONTVANGENDE PARTIJ slechts één identiteit (PSEUDOID of SECTORID) bevatten. • P51 Een BEVOEGDHEIDSVERKLARING bevat het DIENSTAANBIEDER-specifieke VERSLEUTELDE PSEUDOID van de GEMACHTIGDE en de VERTEGENWOORDIGDE. • P52 Een AUTHENTICATIEDIENST levert op verzoek zowel een VERSLEUTELDE PSEUDOID voor de DIENSTAANBIEDER als voor de MACHTIGINGSDIENST. • P53 Een MACHTIGINGSDIENST vraagt voor het genereren van PSEUDOID’S een eigen POLYMORFE PSEUDOID aan bij de STELSELAUTORITEIT /PSEUDONIEMEN. E33 DIENSTAANBIEDER (en andere deelnemende partijen) kunnen verantwoording afleggen. Verwijst naar ontwerpeigenschappen: • P10 Een audit trail mag door een AUTHENTICATIEDIENST uitsluitend worden gebruikt voor het geven van inzicht aan de GEBRUIKER welk gebruik er van zijn middelen is gemaakt. • P11 Een AUTHENTICATIEDIENST kan facultatief de mogelijkheid bieden aan een GEBRUIKER om af te zien van het bijhouden van een audit trail. • P41 De informatie in een audit trail is voor een AUTHENTICATIEDIENST afhankelijk van de gebruikte techniek. E41 Zorg voor robuustheid, flexibiliteit en veerkracht in het ontwerp. Verwijst naar ontwerpeigenschappen: • P01 Het eID Stelsel is neutraal ten aanzien van partijen die een rol invullen; het formuleert alleen eisen waaraan een partij voor een bepaalde rol moet voldoen. • P02 De rol van STELSELAUTORITEIT wordt ingevuld door de overheid. • P06 Een AUTHENTICATIEDIENST geeft AUTHENTICATIEMIDDELEN uit. • P08 Een AUTHENTICATIEDIENST levert een getekende IDENTITEITSVERKLARING. Een IDENTITEITSVERKLARING kan gericht zijn aan meerdere ONTVANGENDE PARTIJEN. • P14 Een MACHTIGINGSDIENST registreert een bevoegdheid van een persoon (de GEMACHTIGDE) om een bepaalde dienst of groep van diensten af te nemen namens een ander persoon (de VERTEGENWOORDIGDE). • P17 Een MACHTIGINGSDIENST levert op aanvraag een BEVOEGDHEIDSVERKLARING, waarmee een HANDELENDE PERSOON ten overstaan van een DIENSTBEMIDDELAAR of DIENSTAANBIEDER kan aantonen dat hij gemachtigd is om een dienst af te nemen namens een VERTEGENWOORDIGDE. • P21 Een DIENSTBEMIDDELAAR bundelt de verkregen verklaringen en de bijbehorende gegevens en ondertekent het geheel. Daarmee verklaart de DIENSTBEMIDDELAAR dat alle verklaringen en gegevens bij elkaar horen (ook associëren genoemd). • P23 De DIENSTEIGENAAR is de partij die beslist over onder de indeling en naamgeving van de diensten en over alle beleidsmatige aspecten die gelden voor de betreffende dienst, zoals het vereiste BETROUWBAARHEIDSNIVEAU.
Pagina 34 van 35
Concept | Werking van het eID Stelsel | 21 januari 2014
• P24 Comfortinformatie wordt in het stelsel vastgelegd op het moment van ontlening aan een authentieke bron (bijvoorbeeld WID, STORK-verklaring, Basisregistratie, Eigen Verklaring). • P26 Bij alle attributen wordt vastgelegd aan welke bron ze zijn ontleend en op welke datum dat is gebeurd. • P35 Een POLYMORFE PSEUDOID wordt afgeleid van persoonskenmerken, opgenomen in een identiteitsdocument. Daarbij wordt geen gebruik gemaakt van persoonsnummers. • P37 Als een STAMSLEUTEL niet uniek is worden aanvullende gegevens gebruikt om tot een unieke sleutel te komen. Dit proces wordt uitgevoerd door de gemeentelijke balies. • P40 Een POLYMORFE PSEUDOID kan worden opgeslagen op een extern “secure device” of in de administratie van de AUTHENTICATIEDIENST. • P42 Een AUTHENTICATIEDIENST ontvangt van de STELSELAUTORITEIT /SLEUTELBEHEER een geheime sleutel ten behoeve van het berekenen van VERSLEUTELDE PSEUDOID’S. E51 Misbruik kan eenvoudig ontdekt en opgespoord worden. Verwijst naar ontwerpeigenschappen: • P34 De POLYMORFE PSEUDOID wordt uitgereikt door de STELSELAUTORITEIT aan een AUTHENTICATIEDIENST. • P36 De STELSELAUTORITEIT controleert de STAMSLEUTEL bij de beheervoorziening BSN en in een eigen administratie. Daarmee voorkomt de STELSELAUTORITEIT dubbele inschrijvingen en signaleert hij nietunieke STAMSLEUTELS. • P55 De STELSELAUTORITEIT ondersteunt ter bestrijding van fraude de mogelijkheid om een PSEUDOID terug te herleiden tot de STAMSLEUTEL waarop de PSEUDOID was gebaseerd.
Pagina 35 van 35
! "# $ %%%&
'
&
$(
--
. /-
0 (
) ) * + !! & ,
* -
1
- .
2
3
. /--
. /-
0
1
- .
--
4
'
-
. /' %
' ' '
'
.
-
&
1
-
3
&
5
&6 767
'
84
'
'
' "
'
- &.
' %
&$ 4 %
9
9 1 :
3
.
1 . /-
( 2
(
-
;
'
. -
3 (
. /
% $ . /. 1 . /&
' %
% • • • • •
'
-
.
1
4'
(
-
3 -
.
/ '
<
& = (
-& % 9
3 % '
% 3 &" 3
(' %
(' . /-
&
-
% %
' %
&
&
' %
&
.
1
' 7 ;>
3
&
3 %
&" %
% @
(
%
' ' ?? (
-
-3 (' 3 -
' % (' -'
( &
( (' % &
% 3
%
-
4 (
(
. /'
&
4
(
&
9
('
'
' 3
* -
'
'
'
'
' (
4
-
&
%
-
%
. /-
&
%
. /-
.
-
-
. /-
&" %
3 <4 %
(( '
'
% %
.
1
&
% A ' '
4
&
! . /-
'
'
-
-
%
4%
-
&B &
• • -
(
-
1 ('
3
"B/
3 -
- .
. -
3
9 - ( ( (C & % . /'
'
& '
%
4
%
3 % --
. /-
'
1
1 - . 4
&
$
4
& ' % -
• • •
:
•
@
-
-
. /-
% ' % .
9
'
o (
-
1
.
1
4%
& -
Platform eID
Programma eID Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Contactpersoon Agnes Hekman T 06 - 52 80 91 46 Datum 17 april 2014
Terugkoppeling Stuurgroep eID
Tijdens de stuurgroep van 10 april jl., is de eerste bijeenkomst van het eID Platform besproken. De stuurgroepleden hebben het concept-verslag van het Platform eID toegezonden gekregen. Enkele leden van de stuurgroep waren bij de eerste bijeenkomst zelf aanwezig. De reacties in de stuurgroep zijn positief en de bijeenkomst wordt als een goede aftrap bestempeld. Algemene instemming met het feit dat er gemotiveerde mensen aan tafel zitten en dat door de leden van het platform een intentieverklaring is ondertekend waarin men bevestigd dat de ontwikkeling van het eID Stelsel wordt ondersteund. Tijdens de stuurgroep programma eID is het belang van de transparantie van het Platform benadrukt. Ook is gesproken over het voornemen om pilots te ontwikkelen als onderdeel van het migratietraject. Er is uitgelegd dat binnen de werkgroepen die zich bezig houden met de POT's, POC's en pilots, ruimte wordt geboden aan private partijen om hieraan deel te nemen en dat pilots in het private domein ook noodzakelijk zijn. Ook over de deelname aan het platform is gesproken. Partijen die zich melden voor het eID Platform moeten worden doorgegeven aan de projectleider governance. Vanuit het project governance zal met deze partijen een gesprek worden aangegaan om te bekijken welke behoefte ze hebben en op welke wijze ze betrokken willen en kunnen zijn bij de ontwikkeling van het eID Stelsel. Als een partij de intentieverklaring wil ondertekenen en wil deelnemen aan het platform volgt tevens een gesprek met de voorzitter van het platform. Het is de taak van de voorzitter om te zorgen dat het platform functioneel blijft. Indien de voorzitter zich kan vinden in deelname van een extra partij, kan zij deze na overleg met de voorzitter van de stuurgroep eID uitnodigen voor het eID platform.
Pagina 1 van 1