Programma eID eID-platform
Datum 3 februari 2015 Aantal pagina's 2
eID-platform #6
Vergaderdatum en tijd Vergaderplaats
Deelnemers
Andere aanwezigen
10 februari 2015, 14.00 - 16.30 uur NH Hotel Den Haag, Prinses Margrietplantsoen 100 Elly Plooij-van Gorsel (voorzitter), Hankie van Baasbank (KvK), Leo De Boer (Verbond van Verzekeraars), Jelle Boonstra (TLN), Lotte de Bruijn (Nederland ICT), Peter van Buijtene (PostNL), Haydar Cimen (KPN), Marlies van Elst (Equens), Wijnand Jongen (Thuiswinkel.org), Joop Kroon (Belastingdienst), Gé Linssen (EZ), Hedde van der Lugt (Nictiz), Piet Mallekoote (Betaalvereniging Nederland), Erik van de Poel (BKR), Ab van Ravenstein (RDW), Jacqueline Rutjens (BZK), Paul Schumacher (Bouwend Nederland), Winfried de Valk (Logius), Marcel Wendt (Digidentity), Jan-Hein Willemse (VECOZO) Gerrit Jan van ’t Eind (programmamanager), Nicole Damen (secretaris)
1. Opening, mededelingen en vaststellen agenda 2. Verslag en actielijst van de vorige vergadering Verslag en actielijst van 4 december 2014 vaststellen. 3. Stand van zaken bij de leden De leden kunnen hier input uit hun eigen organisatie of sector inbrengen ter informatie of ter discussie. 4. Voorstel implementatie eID-Governance Toelichting op het voorstel implementatie eID-governance. 5. Jaarplan 2015 en stand van zaken eID programma Toelichting op het Jaarplan 2015 en de stand van zaken van het eID programma. Dit Jaarplan(vs0.70 concept) beschrijft de activiteiten om de introductie van het eID Stelsel mogelijk te maken en de besluitvorming over doorontwikkeling voor te bereiden.
6. Toezicht Toelichting op voortgang werkgroep toezicht. Het eID-platform wordt gevraagd in te stemmen met het splitsen van de werkgroep Toezicht, conform het voorstel in de “Notitie werkgroepen Toezicht”.
Programma eID eID-platform Datum 3 februari 2015
7. W.v.v.t.k. 8. Rondvraag 9. Sluiting
Pagina 2 van 2
Programma eID eID-platform Datum 3 februari 2015 Aantal pagina's 10
Voorstel implementatie eID-Governance
Agendapunt
4. Migratie Governance
Onderwerp
Voorstel implementatie eID-Governance
Status
Ter bespreking
Voorstel
De leden van het eID-platform worden gevraagd om:
•
advies te geven ten aanzien van het voorliggende stuk, om zodoende te komen tot de inrichting van de definitieve publiek-private governance voor het eID Stelsel.
Het achterliggende stuk, het voorstel voor implementatie van de eID-governance, ligt onder andere in het eID-platform voor om de publiek-private governance van het eID Stelsel vast te leggen. Vooruitlopend op een wettelijke basis, is het voorstel in deze notitie de eerste stap richting de definitieve eID-governance.1 In dit memo is een voorstel opgenomen hoe de eID-governance er in detail uitziet en op welke wijze de migratie van de huidige overleggremia naar de nieuwe overleggremia eruit ziet. Achtereenvolgens worden de volgende onderwerpen behandeld:
1. Inleiding 2. Noodzaak aanpassing governance eHerkenning 3. Migratievoorstel Strategisch eID-Beraad 4. Voorstel migratie Tactisch eID-Beraad 5. Operationeel eID-Beraad 6. Uitwerking sectorale vertegenwoordiging 7. Vervolg besluitvorming eID Stelsel 8. Naamgeving
1
De term definitieve eID governance heeft betrekking op de governance die geldt nadat de wettelijke verankering van het eID Stelsel van kracht is.
1. Inleiding Het doel van het eID-programma, zoals ook verwoord in de strategische verkenning, is om te komen tot een stelsel van normen en standaarden voor identificatie met daarin middelen op hoog betrouwbaarheidsniveau voor burgers en bedrijven. Deze notitie gaat in op één van de onderdelen hiervan: de publiekprivate governance van het eID Stelsel. Vooruitlopend op een wettelijke basis, is het voorstel in deze notitie de eerste stap richting de definitieve eID-governance.
Programma eID eID-platform Datum 3 februari 2015
In december 2014 is in het eID-platform en de StuurgroepeID goedkeuring gegeven op de hoofdlijnen voor de inrichting van de governance van het eID Stelsel. In dit memo is een voorstel opgenomen hoe de eID-governance er in detail uitziet en op welke wijze de migratie van de huidige overleggremia naar de nieuwe overleggremia eruit ziet. Politiek is er nog geen onomkeerbaar besluit genomen ten aanzien van het gebruik van private middelen in het publieke (c.q. BSN-) domein via het eID Stelsel. Bij de uitwerking van dit voorstel is hier rekening mee gehouden. Mocht de politiek op enig moment besluiten om geen integratie van het publieke en private domein binnen het Stelsel te willen, zal dit geen probleem mogen zijn met de governance zoals die nu wordt ingericht en hier is beschreven. 2. Noodzaak aanpassing governance eHerkenning a. Huidige besluitvormingsproces wijzigingen afsprakenstelsel In de StuurgroepeID van 11 december 2014 is besloten ten behoeve van een soepele migratie dat de bestaande governance van eHerkenning wordt omgevormd naar de eID-governance. Om dit doel te bereiken vindt een samenvoeging van de governance van eHerkenning en het eID-platform plaats (in bijlage 1 is een overzicht van de huidige samenstelling van deze gremia opgenomen). De noodzaak om te komen tot een eID governance is dat er nu nog twee parallelle besluitvormingsprocedures (van bestaande governance van eHerkenning en van het eID-programma zijn: het eID-platform en de StuurgroepeID). Het is noodzakelijk om een effectieve besluitvormingsprocedure in te richten. Immers, voor besluiten over de inhoud van het eID Stelsel geldt op dit moment de volgende procedure: • Voorstellen worden opgesteld door het eID-programma; • Voorstellen worden besproken in het BAO; • Voorstellen worden voor advies voorgelegd aan het Tactisch Overleg eHerkenning (TO); • Voorstellen gaan met advies van het TO voor advies naar het eIDplatform; • Voorstellen gaan met de adviezen voor besluitvorming naar de; o StuurgroepeID • De rfc’s (requests for change) n.a.v. de besluiten van de StuurgroepeID worden daarna volgens het standaard proces van eHerkenning voorgelegd voor advisering in het Operationeel Overleg eHerkenning (OO); • De rfc’s worden daarna voorgelegd voor besluitvorming in het TO. Pas als het TO instemt met de rfc’s wordt het afsprakenstelsel eHerkenning aangepast. Pagina 2 van 10
Het is duidelijk dat de huidige parallelle besluitvormingsprocedures langdurig en omslachtig zijn. Voor snelle en zorgvuldige besluitvorming, is een eenduidige besluitvormingsprocedure van belang. Daarom zal op korte termijn de rfc’s ten aanzien van de governance en daarmee dus de wijziging van de huidige besluitvormingsprocedure via bovenstaande overleggremia vastgesteld moeten worden.
Programma eID eID-platform Datum 3 februari 2015
b. Tijdspad Op voordracht van het Tactisch Overleg eHerkenning, wil men op korte termijn de eID-governance vaststellen; liefst vóór de vaststelling van de rfc’s voor het Introductieplateau (op 16 maart in het Tactisch Overleg eHerkenning). Onzeker is of dit haalbaar zal zijn. Er zal, indien het tijdig lukt, een extra release van eHerkenning komen begin maart 2015, zodat de rfc’s voor het Introductieplateau worden vastgesteld voor de eID-governance. De besluitvorming over de aanpassing van de governance doorloopt de volgende stappen: Bespreking
Datum overleg
BAO: bespreking voorstel eID-platform: bespreking voorstel en advies TO TO: voorstel en rfc’s tbv advies StuurgroepeID: goedkeuring voorstel Stelselraad: instemming verzoek aan MEZ tot aanpassing Instellingsbesluit Extra besluitvormingsmoment Tactisch Overleg eHerkenning om de rfc’s van de governance vast te stellen
12 februari 10 februari
Datum verzenden 6 februari 3 februari
18 februari 26 februari 5 maart
12 februari 20 februari 17 februari
6 maart 2015
17 februari (gelijk met stukken Stelselraad)
Na implementatie van de nieuwe governance, zullen alle wijzigingen op het Afsprakenstelsel eID de volgende procedure doorlopen: • Bespreken en voorzien van advies en impact in het Operationeel eIDBeraad • Vaststelling in het Tactisch eID-Beraad, mits binnen de kaders van het Strategische eID-Beraad. Wijzigingen worden voorbereid vanuit het eID programma; zeker voor zover ze betrekking hebben op de publieke belangen zoals privacy en security. c. Nieuwe verdeling verantwoordelijkheden en besluitvormingsprocedure Met de vaststelling van het nieuwe instellingsbesluit en de nieuwe bemensing van de eID-raden, is de eID-governance gerealiseerd. Na realisatie van die eIDgovernance, is er nog maar één overlegstructuur die besluiten neemt over de inhoud van het eID Stelsel zoals dat verwoord is in het afsprakenstelsel eID: de publiek-private governance van het eID Stelsel. Het huidige eID-platform gaat op/over in de nieuwe publiek-private eIDgovernance; zoals bij de oprichting van het eID-platform is aangegeven. De Pagina 3 van 10
Minister van EZ heeft een goedkeuringsbevoegdheid m.b.t. het afsprakenstelsel. Via die lijn heeft de StuurgroepeID invloed op de ontwikkeling van het afsprakenstelsel. Daarnaast zal het eID programma de (beleidsmatig gewenste) doorontwikkeling van afsprakenstelsel voorbereiden onder verantwoordelijkheid van en door de StuurgroepeID. Tenslotte heeft/houdt de overheid c.q. StuurgroepeID een n verantwoordelijkheid ten aanzien van bijvoorbeeld wetgeving, toezicht, financiën, eigenaarschap en Rijksbeleid. Dit zal worden voorbereid in de publieke governance. Op dit moment is er nog discussie over de wijze waarop de publieke governance wordt ingericht. ericht. Het gaat hierbij om de verdeling van taken en verantwoordelijkverantwoordelijk heden tussen EZ en BZK en de afstemming met de Digicommissaris (c.q. de Regieraad Identiteit en Authenticatie Authenticatie). Deze discussie valt buiten de scope van deze notitie. Zodra hier meer over ove bekend is, zal dit worden gemeld in het Strategisch eID-Beraad. Uitgangspunt in de inrichting van de governance is dat leden in de governance een vertegenwoordiger van hun achterban zijn (op strategisch niveau via koepels en op tactisch en operationeel niveau via individuele organisaties). Daarom zullen ook de private partijen hun eigen overleggremia hebben voor de afstemming van de inbreng in de publiek-private private governance. Hieronder is opgenomen welke vertegenwoordigingen er in de publiek-private governance zitten:
Figuur 1 Verdeling van vertegenwoordiging in de eID-governance eID Mocht de politiek authenticatie in het publieke domein met private middelen niet wenselijk achten, dan moet in bovenstaande figuur voor ‘burger/consument’ ‘consument’ gelezen worden. Hier zal bij de fe feitelijke bezetting rekening gehouden worden.
Programma eID eID-platform Datum 3 februari 2015
private governance zullen de wensen en belangen van de publieke In de publiek-private en private partijen worden besproken en afgewogen. Voor een goede inbreng zullen de publieke en private partijen hun eigen afstemmingsoverleg afstemmin hebben. Hieronder is de rol- en verantwoordelijkheidsverdeling van de publieke, private en publiek-private private governance opgenomen.
Figuur 2 Schematisch overzicht van taken en verantwoordelijkheden
3. Migratievoorstel Strategisch eID-Beraad eID a. Belangrijkste wijzigingen t.o.v. eHerkenning Vooruitlopend op de wettelijke basis voor het eID Stelsel, is in de StuurgroepeID 2 besloten om te starten met het juridisch kader van eHerkenning en de daarbij behorende besluitvormende gremia. De belangrijkste e wijzigingen ten opzicht van de governance van eHerkenning is: • Uitbreiding met het burgerdomein; • De verschuiving naar een sectorale vertegenwoordiging (een afgevaardigafgevaardi de namens een groep); op strategisch niveau met name door middel van koepelorganisaties; • Mogelijkheid van een toehoorder in het Strategisch eID-Beraad. eID Het instellingsbesluit zal worden aangevuld met twee rollen: r • Afgevaardigde. Dit is een vertegenwoordiger die namens een dienstverl dienstverlener, deelnemer of gebruiker zitting heeft in het Strategisch Beraad, het Tactisch Beraad of het Operationeel Beraad. • Toehoorder. Dit is een vertegenwoordiger van een rechtspersoon die niet is toegetreden tot het afsprakenstelsel fsprakenstelsel die zonder stemrecht aanwezig aanwezig is in het Strategisch Beraad. De achtergrond hiervan is dat binnen het Strat Strategisch Beraad ook gesproken kan worden met belangrijke partijen die echec 2
Voor verdere onderbouwing en toelichting zie de notitie over de publiek publiek-private governaneID ce die geagendeerd is in de Stuurgroep van 11 december 2014.
Programma eID eID-platform Datum 3 februari 2015
ter (nog) niet deelnemen aan het afsprakenstelsel, op dit moment de banken. b. Uitgangspunten migratie naar Strategisch eID-Beraad In het voorstel over de publiek-private governance van eind 2014, heeft de StuurgroepeID ingestemd met de uitgangspunten voor de uiteindelijke governance. Hieronder is aangegeven hoe de governance van eID eruit ziet en op welke wijze die richting het eindbeeld migreert.
Programma eID eID-platform Datum 3 februari 2015
Voorgesteld wordt om als uitgangspunt te hanteren bij de publiek-private eIDgovernance: • Behoud van voldoende continuïteit: er moet sprake zijn van een zorgvuldige migratie. De continuïteit van bestaande voorzieningen mag niet in gevaar komen door de wijzigingen in de governance. • De huidige benoemingstermijnen van de leden in de governance van eHerkenning blijven gerespecteerd. Bij afloop van de huidige benoemingstermijn vindt aanpassing richting de voorgestelde eID-governance plaats. • Tijdelijke oververtegenwoordiging van sommige doelgroepen qua personen wordt voor deze migratieperiode geaccepteerd. Bij formele stemmingen geldt echter de stemverhouding van iedere groep zoals opgenomen in het voorstel dat in december 2014 is goedgekeurd in de StuurgroepeID en eIDplatform. Als er dus tijdelijk meerdere personen namens één doelgroep in het strategisch eID-Beraad zitten terwijl ze officieel maar één vertegenwoordiging hebben, zullen ze samen ook maar één stem kunnen uitbrengen. Op deze wijze blijft de balans van belangen gewaarborgd; ondanks een overgangsregime. Dit is wenselijk om inhoudelijke en juridische redenen. De leden zitten in het overleg namens hun achterban. Zij zullen dus vooraf de mening en het standpunt (bij stemmingen) met hun achterban moeten afstemmen. • Partijen uit het eID-platform die een doelgroep vertegenwoordigen treden ook toe tot het Strategisch eID-Beraad omdat dit aansluit bij het uitgangspunt dat op strategisch niveau vooral doelgroep vertegenwoordigers zitten. Het gaat hierbij concreet om het Verbond van Verzekeraars, Thuiswinkel.org en Nederland ICT. • Dit leidt echter tot tijdelijke oververtegenwoordiging van een categorie in het Strategisch eID-Beraad. Echter daarmee blijft het “stemrecht” voor de categorie gelijk. Als voorbeeld de categorie “private dienstaanbieders”: o BKR en PostNL behouden hun benoeming vanuit de Stelselraad eHerkenning; o Verbond van Verzekeraars en Thuiswinkel.org treden toe vanuit het eID-platform. Het voorstel is om alle vier de partijen deel te laten nemen in het Strategisch eID-Beraad. Daarbij is deze categorie tijdelijk “bovenformatief”. Op het moment dat de benoemingstermijn van SBR en PostNL afloopt, zullen Thuiswinkel.org en het VvV de leden zijn die de groep “private dienstaanbieders” vertegenwoordigen. Deze tijdelijke dubbele bezetting draagt bij aan de continuïteit van de expertise vanuit het eID-platform en Stelselraad eHerkenning.
Pagina 6 van 10
•
•
•
Andere leden van het eID-platform kunnen deelnemer worden in het Tactisch eID-Beraad. Het gaat hierbij om bijvoorbeeld Logius (of BPR als vertegenwoordigers van publieke voorzieningen)3, Equens en Vecozo. Aangezien de verzekeraars reeds vertegenwoordigd zijn via het Verbond van Verzekeraars is het voorstel dat Nictiz geen deel uitmaakt van het Strategisch eID-Beraad. Voorgaande uitgangspunt kan leiden tot een tijdelijk erg grote bezetting van het Strategisch eID-Beraad. In goed overleg met betrokkenen zal gekeken worden of versneld naar de uiteindelijke bezetting gekomen kan worden.
Programma eID eID-platform Datum 3 februari 2015
Als gevolg van de continuïteit zal de bezetting van het Strategisch eID-Beraad voornamelijk bestaan uit mensen die reeds zitting hebben in het eID-platform en de Stelselraad eHerkenning. 4. Voorstel migratie Tactisch eID-Beraad Voor de bezetting van het Tactisch eID-Beraad was als voorstel opgenomen om deze ten opzichte van het Tactisch Overleg eHerkenning iets uit te breiden in verband met de grotere diversiteit aan belangen dat vertegenwoordigd moet worden. Ten opzichte van eHerkenning wordt het tactisch overleg uitgebreid met één afgevaardigde namens de dienstaanbieders en één afgevaardigde namens de deelnemers. Hierdoor blijft het aantal leden met stemrecht op een oneven aantal. Ook op tactisch niveau worden de huidige benoemingstermijnen van de leden van het Tactisch Overleg gerespecteerd. Wel zullen de volgende wijzigingen plaatsvinden: • Er is een vacante plek voor een vertegenwoordiger namens burgers/consumenten; • Er is een vacante plek voor een vertegenwoordiger namens decentrale overheden; • Logius, Vecozo en Equens uit het eID-platform worden leden van het tactisch overleg. Consequentie van deze wijzigingen is dat er bij de start van het Tactisch eIDBeraad een overbezetting is bij: • De vertegenwoordiging namens de rijksoverheid. Het voorstel is dat beide vertegenwoordigers (CBS en KvK) in het Tactisch Overleg blijven, maar dat na afloop van de benoemingstermijn er één vertegenwoordiger over blijft. Beiden hebben in die tijd bij stemmingen echter gezamenlijk één stem. • De private deelnemers. Het voorstel is dat alle huidige vertegenwoordigers in Tactisch Overleg eHerkenning en eID-platform (Zetsolutions, Creaim, Digidentity en Equens) in het Tactisch Overleg blijven, maar dat na afloop van de benoemingstermijn twee vertegenwoordigers over blijven. Beiden hebben in die tijd bij stemmingen echter gezamenlijk twee stemmen. Om op een goede wijze invulling te kunnen geven aan de vertegenwoordigingsrol door de leden in het Strategisch eID-Beraad, zullen vergaderstukken twee weken van te voren beschikbaar worden gesteld. 3
Deze keuze zal nog gemaakt moeten worden. Pagina 7 van 10
5. Operationeel eID-Beraad De leden van het operationeel eID-Beraad worden gekozen door het Tactisch eIDBeraad. Ook in het Operationeel eID-Beraad zullen er vertegenwoordigers vanuit de diverse geledingen zitten (zie figuur 1). Voor de leden van het Operationeel eID-Beraad geldt ook dat zij afgevaardigden zijn namens hun achterban.
Programma eID eID-platform Datum 3 februari 2015
6. Uitwerking sectorale vertegenwoordiging Leden zitten in de eID-gremia namens een doelgroep. Zij zullen invulling moeten geven aan de wijze waarop zij het belang van hun achterban borgen. Hiervoor ligt bij de leden de verantwoordelijkheid om expliciet en openbaar aan te geven op welke manier zij dit waarmaken. Alle potentiële geïnteresseerde organisaties of personen, zullen in principe bij een vertegenwoordigende organisatie terecht moeten kunnen om hun geluid te laten horen en dat zal op een gelijkwaardige (t.o.v. andere organisaties of personen) wijze moeten worden meegenomen. Zoals weergegeven in figuur 1, zullen ook private partijen moeten zorgen voor een goede afstemming met hun achterban. De verantwoordelijkheid om dit te organiseren ligt bij elke afzonderlijke vertegenwoordiger. Zij zullen wel richting de beheerorganisatie moeten aangeven op welke wijze zij die afstemming op een verantwoorde wijze invullen. 7. Vervolg besluitvorming eID Stelsel Na deze wijziging van de governance, worden er in ieder geval voor de volgende onderdelen van het afsprakenstelsel nog wijzigingen (rfc’s) voorzien: • Techniek; • Juridisch kader; • Gebruiksvoorwaarden; • Deelnemersovereenkomst; • Toezicht; • Nalevingsbeleid; • Normenkader. 8. Naamgeving Over het gebruik van de naam van het afsprakenstelsel, eHerkenning, eID Stelsel of Idensys, zal binnen de publiek-private governance afspraken gemaakt moeten worden. Dit zal leiden tot een rfc op het afsprakenstelsel. In die rfc zal worden opgenomen wie, wanneer en in welke gevallen welke merknaam mag of moet worden gebruikt. Vooruitlopend daarop is het voorstel om in het Instellingsbesluit (die ook het merkenrecht op de naamgeving regelt) nu reeds op te nemen dat deze verschillende namen mogelijk zijn. Als gevolg hiervan zal ook de “aanhalingstitel” van het Instellingsbesluit wijzigen.
Pagina 8 van 10
Bijlage 1: overzicht huidige bezetting eID-platform, Stelselraad en Tactisch Overleg eHerkenning
eID-platform Elly Plooij-van Gorsel Hankie van Baasbank Hans Blokpoel Leo De Boer Jelle Boonstra Lotte de Bruijn Peter van Buijtene Haydar Cimen Marlies van Elst Erik van 't Geloof Wijnand Jongen Gé Linssen Hedde van der Lugt Piet Mallekoote Erik van de Poel Ab van Ravenstein Jacqueline Rutjens Paul Schumacher Marcel Wendt Jan-Hein Willemse
Programma eID eID-platform Datum 3 februari 2015
Voorzitter Kamer van Koophandel Belastingdienst Verbond van Verzekeraars Transport en Logistiek Nederland Nederland ICT PostNL KPN Equens Logius Thuiswinkel.org ministerie van EEZ Nictiz Betaalvereniging Nederland BKR RDW ministerie van BZK Bouwend Nederland Digidentity VECOZO
Programma eID eID-platform
Stelselraad eHerkenning Elly Plooij-van Gorsel Voorzitter Hankie van Baasbank Kamer van Koophandel Joop Kroon Belastingdienst Hans van der Stelt NCDO Mark Vermeer Gemeente Rotterdam Haydar Cimen KPN Martijn Kaag Connectis Lex van Lent Zet Solutions Lex Samuels Quo Vadis Jelle Boonstra TLN Erik van der Poel BKR de heer P.S. van Buijtene Post NL Paul Schumacher Bouwend Nederland
benoemingstermijn 1-11-2015 1-10-2016 1-2-2017 1-11-2015 1-10-2016 1-11-2015 1-11-2015 1-11-2015 1-11-2015 1-11-2015 1-3-2016 1-5-2017 1-11-2015
Tactisch Overleg eHerkenning Koos Veefkind voorzitter Hank Hermans CBS Hylke Wierda BZK John Sloof KvK Jacob Bosma Zet Solutions Frank Jonker CreAim Marcel Wendt Digidentity Ron van den Bosch UMC Groningen Eddie Meerveld Eneco Hans van der Zwaag PGGM
benoemingstermijn 1-11-2015 24-4-2016 22-5-2016 21-5-2017 24-4-2016 24-4-2016 24-4-2016 24-4-2016 24-4-2016 17-9-2017
Alle rechten voorbehouden © 2014 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Den Haag. Er kunnen geen rechten worden ontleend aan deze publicatie.
Datum 3 februari 2015
Programma eID
Datum 3 februari 2015
Toezicht
6. Toezicht
Agendapunt Onderwerp
Voorstel voor betrekken van belanghebbenden bij het verder inrichten van het toezicht op het eID Stelsel.
Status
Ter bespreking
Voorstel
Het eID-platform wordt gevraagd: 1. In te stemmen met het voortzetten van de expertgroepen. 2. Indien gewenst nog leden voor te dragen voor de expertgroepen, waarbij met name publieke dienstaanbieders gevraagd wordt te gaan participeren
1. Aanleiding en achtergrond In het eID platform van 3 september 2014 is ingestemd met het voorstel voor het inrichten van een publiekprivate werkgroep en een expertgroep om belanghebbenden te betrekken bij het inrichten van het toezicht op het eID Stelsel en zo te komen tot de afgewogen en gedragen notitie “Contouren toezicht eID Stelsel”. Deze notitie is in het platform van 4 december 2014 en door de StuurgroepeID van 11 december 2014 goedgekeurd. De belangrijkste punten uit deze notitie zijn: • Er wordt een scheiding aangebracht tussen drie verschillende rollen, te weten die van Eigenaar1, Beheerder en Toezichthouder van het eID Stelsel. De taken en verantwoordelijkheden van de verschillende rollen evenals de samenhang tussen de drie rollen worden beschreven. Hiermee krijgt het toezicht een nadrukkelijkere invulling dan nu bij eHerkenning het geval is. • Het toezicht is proactief (toetst zelfstandig) en niet meer alleen beoordeling achteraf op basis van certificering en auditrapportage. Hiermee wordt invulling gegeven aan het advies van de Onderzoeksraad voor de Veiligheid en de lessen die zijn geleerd uit calamiteiten en andere ervaringen. De notitie is tot stand gekomen met inbreng van specialisten en is afgestemd met de expertgroep. In deze expertgroep hebben vrijwel alle marktpartijen van
1
De term Eigenaar is niet bedoeld als synoniem voor de termen ‘juridisch eigenaar’ of ‘politiek verantwoordelijke’.
eHerkenning zitting en zijn Equens, Thuiswinkel.org, het Verbond van Verzekeraars en BKR vertegenwoordigd. 2. Vervolg Organisatorisch: Wie gaat toezicht houden en op welke wijze? Nu de notitie “Contouren toezicht eID Stelsel” is goedgekeurd, kan de verdere detaillering worden aangebracht wat betreft de beschrijving van taken en bevoegdheden van de verschillende rollen. Deze notitie vormt de basis voor de verdere inrichting van het toezicht en zal naar verwachting in april worden voorgelegd aan het eID-platform.
Programma eID eID-platform Datum 3 februari 2015
In deze notitie staat niet welke organisatie of organisatieonderdeel de rol van Toezichthouder zal vervullen. Een voorstel, voor de periode voordat er een wettelijk vastgelegd kader is, zal ook in april aan het eID-platform worden voorgelegd. Na bespreking in het eID-platform zullen deze notities ter besluitvorming worden ingebracht in de StuurgroepeID. Inhoudelijk: Op basis van welke kaders wordt er toezicht gehouden? Verder zullen de risicoanalyse en de normenkaders, op basis waarvan het toezicht wordt gehouden, nadere invulling moeten krijgen in 2015. Het betreft de risicoanalyse en het normenkader voor informatiebeveiliging, en omvat ook het normenkader voor betrouwbaarheidsniveaus. Bij het beantwoorden van de inhoudelijke vragen rond de betrouwbaarheidsniveaus wordt verder gewerkt met de kaders die het Tactisch Overleg eHerkenning vorig jaar al heeft laten verbeteren/opstellen door een werkgroep. Dit impliceert dat het normenkader wordt gebaseerd op een internationale standaard, ISO 29115, en daarmee een meer directe link krijgt met het normenkader Informatiebeveiliging wat de auditeerbaarheid ten goede komt. Het project wil de samenwerking met de werkgroep voortzetten in de vorm van een expertgroep. Dit alles moet ertoe bijdragen dat er een veilig en betrouwbaar Introductieplateau eID komt waarvan vertrouwen uitgaat naar zowel dienstaanbieders als gebruikers. 3. Proces Om te komen tot afgewogen adviesnota’s in april 2015 en afgestemde kaderstelling later in het jaar, wil het project Toezicht graag twee expertgroepen instellen. Dit om onderscheid te kunnen maken tussen: 1. De meer organisatorische onderwerpen zoals de inrichting van het toezicht; 2. De meer specialistische informatiebeveiligingsonderwerpen zoals de invulling van de risicoanalyse en de normenkaders. Het voorstel is om: 1. De eerder ingestelde expertgroep verder te laten gaan met de detaillering van de inrichting van het toezicht en het raamwerk voor toezicht, de “expertgroep inrichten toezicht”; 2. De werkgroep normenkader betrouwbaarheidsniveaus van eHerkenning verder te laten gaan als “expertgroep normenkaders” voor de risicoanalyse en de normenkaders. De leden van het eID-platform kunnen indien gewenst extra deelnemers voor de
Pagina 2 van 3
expertgroepen voordragen. In het bijzonder worden publieke dienstaanbieders gevraagd om deel te nemen, daar zij in de voormalige expertgroepen niet vertegenwoordigd zijn. Aanmelding voor de expertgroepen kan via de secretaris van het eID-platform. Voor deelname in de expertgroepen wordt gedacht aan mensen met een achtergrond of functie als: • Auditor; • Jurist; • Securitymanagers, risicomanager, compliance? Of; • Informatiebeveiliging specialist. Affiniteit met het onderwerp en enige kennis van eHerkenning en/of eID is nodig om een zinvolle bijdrage te kunnen leveren. Voor de expertgroep normenkaders is enige kennis en ervaring met risicoanalyses en normenkaders noodzakelijk.
Programma eID eID-platform Datum 3 februari 2015
4.Voorstel De leden van het eID-platform worden gevraagd om: 1. In te stemmen met het voortzetten van de expertgroepen als onder 3 beschreven, met als doel mee te denken over de voorstellen. 2. Indien gewenst nog leden voor te dragen voor de expertgroepen, waarbij in het bijzonder publieke dienstaanbieders gevraagd wordt te gaan participeren.
Alle rechten voorbehouden © 2014 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Den Haag. Er kunnen geen rechten worden ontleend aan deze publicatie.
Pagina 3 van 3