MASTERPLAN eid. Versiegeschiedenis: Verantwoordelijk programmamanagement Carlo Koch, Gerrit Jan van t Eind Concipiënt Bart Schmidt

MASTERPLANeID Versiegeschiedenis: Versie

Datum

Geadresseerden

Aanpassingen

Vs 0.80

28 mei 2014

StuurgroepeID

Versie t.b.v. StuurgroepeID 05-06-2014

Vs 0.95

4 juli 2014

StuurgroepeID

Inhoudelijk vastgesteld door StuurgroepeID 10-07-2014

Vs 1.00

11 september 2014

StuurgroepeID

Integraal, inclusief financiën separaat, vastgesteld door

StuurgroepeID van 11-09-2014 Versiebeheer: op de definitieve versies van dit document is versiebeheer van toepassing. Definitieve versies hebben een geheel getal als nummer.

Verantwoordelijk programmamanagement Carlo Koch, Gerrit Jan van ‘t Eind Concipiënt Bart Schmidt Versie Versie 1.00 Status Definitief Titel MasterplaneID Datum vaststelling 11 september 2014

Toelichting bij publicatie van deze versie van het Masterplan in oktober 2014 Het Masterplan eID is een werkdocument bedoeld voor de operationele sturing van het eID programma en de ambtelijke sturing door de stuurgroep. Deze 1.00-versie is in de zomerperiode 2014 totstandgekomen. In de inmiddels verstreken programmaperiode is op een aantal onderdelen het inzicht inmiddels veranderd en/of is de programmakoers bijgesteld.

Programma eID

Index Managementsamenvatting 1

Over dit document

8

2

Programmadefinitie 2.1 Aanleiding eID Stelsel 2.2 Doelen Programma eID 2.3 Uitgangspunten 2.4 Scope & afbakening 2.5 Draagvlak onder private partijen binnen het eID Stelsel 2.6 Planning 2.7 Inrichting Kwaliteitsborging t.b.v. het programma eID

9 9 11 13 14 14 16

Stand van zaken Programma / projecten 3.1 Afsprakenstelsel 3.2 Stand van zaken projecten mei 2014

17 17

Hoofdplateau 1 4.1 Inleiding 4.2 Pilots 4.3 Realisatie voorzieningen 4.3.1 Realisatie stelselvoorzieningen 4.3.2 Aanpassingen DigiD 4.3.3 Realiseren private eID diensten 4.3.4 Aansluiten dienstaanbieders 4.4 Kritische succesfactoren

21 22 23 23 24 25 25 25

Implementatie 5.1 Implementatie, migratie en roadmap 5.2 Het Publieke Middel voor het BSN-domein op hoog niveau. 5.3 Communicatie (migratie) 5.4 Businessmodel 5.5 Afsprakenstelsel eID 5.6 Internationaal

27 28 30 30 32 34

Governance eID stelsel 6.1 Scope en afbakening 6.2 eID-platform 6.3 Opdrachtformulering 6.4 Forum standaardisatie 6.5 De voorgestelde aanpak en planning

36 36 37 38 38

Beheer eID 7.1 Inrichten beheerorganisatie eID Stelsel 7.2 Betrouwbaarheidsniveaus 7.3 Toezicht

39 40 40

3

4

5

6

7

Programma eID Vs1.00

2

8

Juridische aspecten 8.1 Wetgeving 8.2 Juridisch kader pilots 8.3 Juridische onderdelen afsprakenstelsel 8.4 Advisering over overige juridische aspecten

43 46 46 46

Communicatie extern 9.1 Inleiding 9.2 Doelstelling en resultaten 9.3 Aanpak 9.4 Naamgeving 9.5 Woordvoering, media en stakeholders

47 47 47 48 48

10 Programmamanagementstructuur 10.1 Inrichting 10.2 Besluitvormings- en overlegstructuur 10.3 Inrichting projecten 10.4 Communicatie 10.5 Positionering

50 50 53 55 56

9

Bijlage 1 Risicomanagement Bijlage 2 Programmaproducten Bijlage 3 Bestaande normenkaders Bijlage 4 Brondocumenten


3

Managementsamenvatting MasterplaneID Algemeen Dit document is het MasterplaneID vs. 1.0 voor het programma eID. In dit MasterplaneID zijn de uitgangspunten voor het programma herijkt en afgestemd met de betrokken organisaties in de StuurgroepeID. Zo is er een gedeelde lijn met betrekking tot de publieke middelen en is er een door alle betrokken publieke organisaties onderschreven ontwikkelingslijn geformuleerd. Ten slotte is er gekozen voor een eenduidige lijn met betrekking tot het juridisch traject, waarin alle betrokken departementen bijdragen leveren. De sturing van het programma is aangepast. De StuurgroepeID wordt voorbereid door een overleg op tactisch niveau, het BAOeID (Beleids en Adviesoverleg eID), waarin de adviseurs van de StuurgroepeID gezamenlijk de StuurgroepeID voorbereiden onder leiding van het programmamanagement. Er is een PVOeID (Programma Voortgangsoverleg eID) waarin de projectleiders met elkaar de voortgang bespreken en de inhoudelijke afstemming bewaken. Het interne communicatieproces is er op gericht dat elke betrokkene op de hoogte is van wat er speelt en welke besluiten er zijn genomen. De gekozen werkwijze leidt soms tot compromissen, waarbij één of meerdere organisaties water bij de wijn hebben moeten doen. Maar: in een succesvol programma zullen altijd compromissen moeten worden gesloten, want: als “iedereen alles wil” krijgt “niemand iets”. De missie van het eID Stelsel is als volgt geformuleerd: Het eID Stelsel maakt het mogelijk om de online identiteit en bevoegdheid van een persoon optimaal vast te stellen, zodat mensen kunnen vertrouwen op online dienstverlening van de overheid en het bedrijfsleven. Deze missie van het eID Stelsel kan worden vertaald in de volgende hoofddoelstelling van het Programma eID:

Het opzetten van het eID Stelsel, dat het mogelijk maakt om de identiteit en bevoegdheid van burgers en bedrijven met een voor de relevante transactiedienst voldoende mate van zekerheid vast te stellen.

Planning Dit document bevat een vernieuwde samenhangende planning van de verdere ontwikkeling van het eID Stelsel. In die zin is het een herbevestiging van eerdere besluiten. De programmaplanning is gebaseerd op een stip op de horizon in 2017. De weg daar naartoe is onderverdeeld in drie hoofdplateaus, waarvan het eerste eind 2015 is gerealiseerd. De hiervoor benoemde hoofddoelstelling leidt voor dat eerste hoofdplateau tot de volgende doelstelling:

Het opleveren van een eerste werkend eID Stelsel, dat getest is in Proofs of Technology (POT’s) en Proofs of Concept (POC’s) en waarbinnen verschillende pilots draaien in productie.

De kritieke uitgangspunten voor het programma zijn in de Stuurgroep eID van 5 juni voorgelegd. Zo is onder meer de multimiddelenstrategie (i.c. het naast elkaar bestaan van private en publieke leveranciers van authenticatiemiddelen) herbevestigd.


4

Hoofdplateau 1 In hoofdplateau 1 worden verschillende voorzieningen ontwikkeld en ingericht. Te denken valt o.m. aan een Stelselregistratiedienst1, de testfaciliteit en de dienstencatalogus. Benoemd worden tevens de aanpassingen DigiD, “Machtigingen” en eHerkenning. Hier is voortgang nodig om de pilots in de 2e helft van 2015 te kunnen starten. POC’s en POT’s In september 2014 worden de Proofs of Concept (POC’s) en Proofs of technology (POT’s) ten behoeve van versie 2.0 van het Afsprakenstelsel afgewikkeld en dit wordt eind 2014 bestuurlijk afgehecht. Er is inmiddels gestart met de trajecten inzake de POC's/POT's. In dit MasterplaneID wordt voorgesteld om de ontwikkelde RDA-methodiek zo snel mogelijk te laten beproeven en verder uit te laten werken. Belangrijk is dat in dit RDA-traject ook inzicht wordt verkregen in de impact op DigiD. Pilots Er wordt een pilotplan opgesteld met daarin de doelen die met de pilots worden beoogd. Daarbij wordt regie gevoerd over de totstandkoming van het pilotplan door het programmamanagement. De pilots zullen ‘echte’ productie zijn en de pilots worden geduid als Productie Hoofdplateau 1 van het eID Stelsel. Ook hiervoor geldt het uitgangspunt van level playing field uit het “Afwegingskader Publiek Privaat”. Het uitgangspunt van het pilotplan is dat we de multi-middelen strategie in productie beproeven. Over de pilots en de planning van de pilots worden in oktober 2014 in de Stuurgroep eID besluiten genomen. Het streven is om de pilots medio 2015 te starten. Aan de hand van de resultaten kunnen dan door publieke èn private partijen besluiten worden genomen over de planning van het vervolg (de gewenste massale uitrol). Er wordt nog nagegaan op welke wijze zoveel mogelijk snelheid kan worden gerealiseerd met de pilots. De StuurgroepeID heeft op 5 juni jl. besloten dat er versneld gewerkt moet worden aan de ontwikkeling van de voor de pilots noodzakelijke centrale voorzieningen (zoals de Stelselregistratiedienst en het BSN-koppelregister). Het publieke middel Tot nu toe was er onvoldoende helderheid over het publieke middel. In dit MasterplaneID wordt de volgende lijn gekozen: De publieke middelen worden in de lijn, i.c. het betrokken departement, (door)ontwikkeld en gerealiseerd, inclusief de daarvoor benodigde wetgeving. De overall coördinatie op alle gezamenlijke activiteiten en check op compliancy van deze middelen en hun ‘leveranciers’ met de Stelselspecificaties verloopt via de StuurgroepeID, zodat alle onderdelen van het eID Stelsel bij elkaar komen. In dit MasterplaneID is wel een aantal uitgangspunten geformuleerd ten aanzien van de publieke middelen teneinde, via de StuurgroepeID, de samenhang met het programma te borgen.

1 Aanvankelijk had deze voorziening als werktitel ‘Stelselautoriteit’. Dit suggereert een juridische identiteit terwijl het een voorziening is.


5

Implementatie In de Roadmap worden een Hoofdspoor en een migratiespoor onderkend. In het migratiespoor worden per plateau de technische voorzieningen benoemd die noodzakelijk zijn. Om de gestelde ambitie van het starten van de pilots medio 2015 te halen, dienen verschillende zaken te zijn gerealiseerd. Governance Voor de inrichting van de governance op het eID stelsel wordt gekeken naar ‘best practices’ van onder meer Standard Business Reporting (SBR) en eHerkenning. De planning hiervan stuurt erop aan om eind 2014 een voorstel voor de definitieve governance in het eID-platform voor te leggen. Beheerorganisatie De (tijdelijke) beheerorganisatie richt zich op stelselbeheer (niet op het beheer van individuele voorzieningen en middelen). Het project Inrichting beheerorganisatie stelt zich ten doel op 1 januari 2015 zover te zijn, dat men gereed is om het eID-afsprakenstelsel in beheer te nemen zodra dat gereed (genoeg) is. Toezicht Vertrouwen en veiligheid zijn de kritische succesfactoren voor het eID Stelsel. Essentiële onderdelen daarvan zijn specifieke overheidstaken. Dat vereist dat er aan de hoogste betrouwbaarheidsnormen wordt voldaan bij de inrichting en gebruik van het eID Stelsel. Een streng (en onafhankelijk) toezicht is noodzakelijk om het vertrouwen in het systeem te borgen. Wetgeving en juridische aspecten In het MasterplaneID wordt een voorstel gedaan voor de planning van het wetgevingstraject. Voorts is vastgesteld om de verschillende juridische werkgroepen te integreren tot één Juridische WerkgroepeID onder aansturing van het programmamanagement. Deze werkgroep is, in samenwerking met de wetgevingsdirecties van BZK en EZ, ook verantwoordelijk voor het wetgevingstraject voor het eID Stelsel (waarbij de specifieke wetgeving voor publieke middelen in de lijn is belegd en de overall-coördinatie bij het programma). In de prioritering van de Juridische WerkgroepeID wordt als eerste bezien wat er nodig is voor de pilots. De startnotitie voor het wetgevingstraject, waar al stappen zijn gezet, is in juli 2014 in de StuurgroepeID besproken. Wetgeving rondom eID zal worden gecoördineerd met en worden ingepast binnen het op te zetten overheidsbrede wetgevingsprogramma voor Digitale Infrastructuur. Omdat dit de verantwoordelijkheid is van de Nationaal Commissaris Digitale Overheid, zal dit worden afgestemd met de Nationaal Commissaris i/o. In de Juridische WerkgroepeID zullen naast wetgeving ook de civielrechtelijke aspecten worden opgepakt, zoals aansluitvoorwaarden en Dienstenniveauovereenkomsten. Communicatie Eerder is er voor gekozen om alles rondom de elektronische identiteit met de naam eID Stelsel te duiden. De naam eID Stelsel blijkt echter merkenrechtelijk niet bruikbaar. Om die reden heeft het programma een onderzoek gedaan naar een andere naam voor het eID Stelsel. Deze nieuwe naam is bekend en goedgekeurd door de StuurgroepeID en de minister. Het ProgrammabureaueID werkt aan een strategie voor de lancering van de nieuwe naam.


6

De positionering van het ProgrammabureaueID en de netwerkorganisatie In dit MasterplaneID wordt voorgesteld om de netwerkorganisatie te handhaven. Het programmamanagement stelt voor het programmabureau organiek onder te brengen bij ICTU, waarbij de inhoudelijke sturing volledig en uitsluitend bij de Stuurgroep eID blijft liggen. In het programma wordt onderscheid gemaakt tussen beleidsmatige activiteiten bij BZK en EZ en activiteiten die onder de verantwoordelijkheid van het programmamanagement worden uitgevoerd.


7

1.0 Over dit document Dit document is het MasterplaneID voor het programma eID, een door de StuurgroepeID goedgekeurde herijking van het Programmaplan eID 2. Herijking van zowel de doelen en de aanpak, als van de eerdere besluiten van de StuurgroepeID. Ook de hoofdlijnen van de programmaplanning zijn bijgesteld op basis van ontwikkelingen en inzichten. De onderliggende projectplanningen worden waar nodig nog aangepast op de bijstellingen in dit plan. Verder omvat dit MasterplaneID een analyse van hetgeen onderdeel uitmaakt van het programma en waar de “lijn” voor verantwoordelijk is. Omdat lijn en programma qua besluitvorming congruent zullen moeten zijn, wordt in dit plan ook ingegaan op de sturing en de samenhang in de sturing. Dit plan is in overleg met medewerkers uit het (ambtelijke) programma tot stand gekomen 3. Het is dan ook nadrukkelijk geschreven vanuit het perspectief van het programma.

2 3

Programmaplan eID, versie 0.995, dd. 19 september 2013, programmamanager Albert de Vries. Een aanzet van het Masterplan eID is ontwikkeld in de Heidagen van het programma op 6 en 7 mei 2014. In het eIDPlatform van 21 mei en 3 september 2014 is een presentatie gegeven over het Masterplan.


8

2.0 Programmadefinitie 2.1 Aanleiding eID Stelsel De Nederlandse economie maakt dagelijks gebruik van de mogelijkheden die internet te bieden heeft en is er inmiddels sterk van afhankelijk. Denk aan het ophalen en uitwisselen van informatie, het delen van privacygevoelige gegevens en financiële transacties. Die afhankelijkheid zorgt voor een groot belang van vertrouwen in online identificatie en autorisatie. Het met grote zekerheid kunnen vaststellen van iemands identiteit en bevoegdheid is cruciaal in een online samenleving. Daartegenover wordt fraudebestrijding steeds complexer en neemt de complexiteit van systemen toe en daarmee ook het beheer en de kosten ervan. Een van de kerntaken van de Nederlandse overheid is om kaders en voorwaarden te scheppen voor een goed functionerende maatschappij, zo ook online. Een betrouwbare vaststelling van iemands online identiteit en waartoe deze persoon bevoegd is om online transacties te mogen uitvoeren staat aan de basis hiervan. Er is binnen de overheid en het bedrijfsleven een sterke behoefte aan een standaard in betrouwbare online identiteitsvaststelling die toekomstbestendig is en past binnen het Europese kader: het eID Stelsel. Vanwege die breed gedragen behoefte zijn de overheid en het bedrijfsleven een samenwerking aangegaan in het eID-platform. Daarmee geven zij aan samen te willen werken aan een standaard voor toegang tot online dienstverlening. Betrouwbaarheid kent meerdere dimensies: allereerst de betrouwbaarheid van de identiteitsvaststelling die qua niveau moet passen bij de zwaarte en privacygevoeligheid van de transactiedienst4. Ten tweede de beschikbaarheid van de online identiteitsvaststelling, die zodanig moet zijn dat de transacties niet stilvallen als een middel tijdelijk uitvalt5. Daarmee luidt de missie van het eID Stelsel als volgt: Het eID Stelsel maakt het mogelijk om de online identiteit en bevoegdheid van een persoon optimaal vast te stellen, zodat mensen kunnen vertrouwen op online dienstverlening van de overheid en het bedrijfsleven. 2.2 Doelen Programma eID Het Programmaplan eID van september 2013 vermeldt als hoofddoelen van het programma: 1. Het realiseren van een betrouwbaar en robuust eID Stelsel met een hiervoor ingerichte governance op basis van een zorgvuldige migratie met draagvlak onder relevante publieke en private partijen.

4

Voorbeeld is het proces van aangifte inkomstenbelasting. Dit is nu op het niveau naam-wachtwoord en in 2006 was dat logisch. Inmiddels hebben we vooringevulde aangifte. Dat is een zwaardere dienst en het is de vraag of het toen gekozen niveau nog voldoet.

5

Een uitval van DigiD heeft direct consequenties voor de levering van publieke diensten en bij tijdelijke uitval van de bankidentificatie kunnen we niet meer online bankieren.


9

2.

De afgifte van een publiek middel voor burgers op hoog betrouwbaarheidsniveau (DigiD-kaart) beschikbaar vanaf Q1 2015 en massaal uitgegeven eind 2017.

De eerste hoofddoelstelling is nog onverminderd van kracht, al is de genoemde datum als gevolg van verschillende oorzaken niet haalbaar. In de hoofdstukken 4 en 5 van dit MasterplaneID wordt dit nader uitgewerkt. De tweede hoofddoelstelling, de beschikbaarheid van een DigiD-kaart vanaf Q1 2015, is niet realiseerbaar. Derhalve is formeel besloten dat de doelstelling om een DigiD-kaart te introduceren geheel wordt losgelaten. Hierdoor zal de scope van het programma op dit punt schuiven naar coördinatie/ondersteuning op de publieke middelen (zie 2.4). De missie van het eID Stelsel kan worden vertaald in de volgende hoofddoelstelling van het Programma eID:

Het opzetten van het eID Stelsel, dat het mogelijk maakt om de identiteit en bevoegdheid van burgers en bedrijven met een voor de relevante transactiedienst voldoende mate van zekerheid vast te stellen.

Deze hoofddoelstelling van het programma heeft het kabinetsvoornemen Digitale overheid 2017 als grondslag.6 In de onderhavige versie van het MasterplaneID wordt geredeneerd vanuit die stip op de horizon in 2017. Op basis daarvan zijn de stappen geformuleerd die tussen medio 2014 en medio 2015 nodig (en mogelijk) zijn. Eind 2015 en eind 2016 zal er een bijgestelde versie van dit MasterplaneID worden opgesteld. Er kunnen zich namelijk allerlei ontwikkelingen voordoen, die een bijstelling van het pad naar die stip op de horizon nodig maken. Die ontwikkelingen kunnen gelegen zijn in het programma en de voortgang, maar ook in externe ontwikkelingen. Daarom wil het programmamanagement een “rollende” stip die elk jaar tegen het licht wordt gehouden en die met de ontwikkelingen binnen het programma leiden tot een nieuwe versie van het MasterplaneID. De programmaplanning is onderverdeeld in drie hoofdplateaus, waarvan het eerste eind 2015 is gerealiseerd. (In hoofdstuk 2.6 wordt hier nader op ingegaan.) De hiervoor benoemde hoofdoelstelling leidt voor het eerste hoofdplateau tot de volgende doelstelling:

Het opleveren van een eerste werkend eID Stelsel, dat getest is in Proofs of Technology (POT’s) en Proofs of Concept (POC’s) en waarbinnen verschillende pilots draaien in productie.

6

Visie digitale overheid 2017 (Kamerstuk 26643, nr. 280)


10

Deze doelstelling vertaalt zich door naar verschillende projectresultaten, die onder aansturing van het programmamanagement zullen worden gerealiseerd. Om deze doelstelling van Hoofdplateau 1 te realiseren levert het Programma eID verschillende programmaproducten op. Deze zijn opgenomen in Bijlage 2 Programmaproducten. 2.3 Uitgangspunten In dit plan wordt uitgegaan van een aantal besluiten, die eerder door de StuurgroepeID zijn genomen. Deze gelden als kritieke uitgangspunten voor het programma. Deze besluiten zijn herbevestigd, waar nodig aangescherpt en aangevuld met nieuwe besluiten in de StuurgroepeID van 5 juni en 10 juli 2014: 1. Ten aanzien van de multimiddelenstrategie: o De StuurgroepeID handhaaft dit uitgangspunt, conform eerdere besluitvorming. 2. Ten aanzien van de publieke middelen: a) Er komt geen separate publieke “DigiD-kaart” als middel op een hoog betrouwbaarheidsniveau. Dit blijkt niet de gewenste versnelling op te leveren als gevolg van de doorlooptijd van het wetgevingstraject. De minister is ambtelijk geadviseerd om wel één of meer publieke middelen op hoog betrouwbaarheidsniveau voor het BSN-domein te gaan ontwikkelen. De middelen komen op bestaande dragers, zoals bijvoorbeeld de NIK of het rijbewijs. b) Het programmamanagement zal deze ontwikkelingsactiviteiten ondersteunen en coördineren om zorg te dragen dat de publieke middelen alle dezelfde functionaliteiten krijgen en dat de verschillende kaarten/chips aan dezelfde standaards voldoen. Het programmamanagement waakt ervoor dat de e-faciliteiten op de middelen niet conflicteren en is betrokken bij de aanbesteding door BZK van de e-faciliteit op de verschillende documenten. Het publieke middel op hoog betrouwbaarheidsniveau kan ook worden gebruikt voor leeftijdsverificatie wanneer private dienstaanbieders dat willen. c) Er wordt onderzocht of de distributie van bestaande middelen ook leidt tot een voldoende dekking bij burgers. d) In de advisering wordt het volgende aangegeven: bij de uitrol van het publieke middel wordt rekening gehouden met het “Afwegingskader Publiek Privaat”, de adviezen van het eID-platform, de ontwikkeling van de private middelen en de urgentie die publieke uitvoerders hebben om op een hoger betrouwbaarheidsniveau diensten te kunnen aanbieden. 3. Het voorstel is gedaan om voor het BSN-domein DigiD door te ontwikkelen met behulp van een elektronische scan van de chip op het paspoort. Dat is de zogenaamde RDA methodiek (Remote Document Authentication). Met betrekking tot deze methodiek heeft de StuurgroepeID het volgende besloten: a) De RDA-methodiek wordt in samenwerking met Logius op haalbaarheid verder uitgewerkt en beproefd. b) Dit wordt afgestemd met het POT/POC-traject van eID. c) De RDA methodiek is een doorontwikkeling van DigiD, naar (minimaal) STORK 3 niveau. d) De ontwikkeling valt buiten de scope van het programma, er vindt wel afstemming plaats.


11

e) Logius zal de noodzakelijke aanpassingen aan DigiD onderzoeken en agenderen in het Afnemersoverleg DigiD. Hier vindt tevens besluitvorming en opdrachtverstrekking plaats. f) De RDA methodiek loopt mee in de migratie van DigiD naar het eID Stelsel (2e helft 2015) g) De RDA-methodiek wordt getoetst aan het “Afwegingskader Publiek Privaat”. De resultaten worden gedeeld in het eID-platform. 4. Ten aanzien van de voor de pilots noodzakelijke voorzieningen: a) Er wordt versneld gewerkt aan de noodzakelijke publieke stelselvoorzieningen (zoals de Stelselregistratiedienst7 en het BSNkoppelregister). b) De hiervoor nodige juridische kaders worden prioritair in een Juridische WerkgroepeID opgepakt. c) Deze versnelling zorgt er tevens voor dat de ontwikkeling van de RDAmethodiek niet alleen een doorontwikkeling is van DigiD, maar dat het ook bijdraagt aan de ontwikkeling van het eID Stelsel als geheel. d) De departementen willen zo snel mogelijk de definitieve specificaties hebben van het stelsel om ook mogelijke pilots te kunnen identificeren.

5. De leden van de StuurgroepeID committeren zich aan het gebruik van diensten uit het eID Stelsel, zodra deze in productie beschikbaar zijn en zij zullen dit ook actief uitdragen in hun domein. 6. Over de financiering van de publieke middelen en de kaartlezers: a) De StuurgroepeID kan nog geen definitieve uitspraak doen over de financiering van de publieke middelen en van de kaartlezers. b) Dat is aan de departementen die politiek verantwoordelijk zijn voor de kaarten. c) De StuurgroepeID neemt wel de positie in dat er bij de voorbereiding van de wetgeving vooralsnog van wordt uitgegaan dat de burger betaalt voor de upgrade van het bestaande middel naar een elektronisch middel op een hoog betrouwbaarheidsniveau. Inzicht in de concrete hoogte van de door de burgers te betalen bijdrage is hierbij van belang. 7. De netwerkorganisatie wordt gehandhaafd en het Programmabureau wordt ondergebracht bij ICTU, onder de randvoorwaarde dat de sturing bij de StuurgroepeID blijft. 8. Met betrekking tot de verdere ontwikkeling van wetgeving en andere juridische aspecten: a) Er komt één Juridische WerkgroepeID. b) Het programmamanagement stuurt op proces en samenhang van de centrale wetgeving, maar de lijnverantwoordelijkheid van de departementen blijft gehandhaafd. c) De StuurgroepeID heeft de startnotitie wetgeving in juli 2014 besproken. Daarin is helder gemaakt wat de verantwoordelijkheid is van de Juridische WerkgroepeID en het programmamanagement aan de ene kant en de

7 Aanvankelijk had deze voorziening als werktitel ‘Stelselautoriteit’. Dit gaf echter veel verwarring.


12

departementen aan de andere kant. Nadere werkafspraken worden gemaakt. d) De Juridische WerkgroepeID levert de primaire kaders voor het starten van het wetgevingstraject, gegeven keuzes met betrekking tot inhoudelijke onderwerpen door BAOeID en StuurgroepeID. 9. Met betrekking tot het informeren van de Tweede Kamer: a) De Tweede Kamer is eind juni 2014 over de voortgang van het traject geïnformeerd.

2.4 Scope afbakening Ten aanzien van de afbakening van de scope van het programma is eveneens een aantal besluiten genomen door de StuurgroepeID. Ook deze zijn hieronder volledigheidshalve nog eens benoemd:  Het zogenoemde ‘noodscenario DigiD’, ten behoeve van risicomitigatie voor het geval dat (het vertrouwen in) de veiligheid van DigiD-gebruik in het geding is, is niet in scope van het programma. (Wel kan uit de pilots een technische en/of procesmatige oplossing voortkomen, die als risicomitigerende maatregel kan worden gebruikt.)  De migratie van bestaande publieke voorzieningen als DigiD en eHerkenning naar het eID stelsel is niet in scope van het programma. Wel zal er rekening worden gehouden met de analyse hiervan die mogelijk invloed heeft op het Stelsel.  De (door-)ontwikkeling van de publieke middelen vindt plaats onder verantwoordelijkheid van de betrokken departementen. Afstemming vindt wel plaats met het programmamanagement eID en de StuurgroepeID, om zorg te dragen voor aansluiting tussen departementale ontwikkelingen en ontwikkelingen binnen het programma.  Tevens zal er coördinatie plaatsvinden op bijvoorbeeld standaarden (functionaliteit), samenhang tussen bijvoorbeeld kaarten, chips, etc., aanbesteding, centrale communicatie naar minister/politiek, etc.  Het programma eID zal, daar waar mogelijk en/of nodig, bijdragen aan de realisatie van een of meerdere publieke middelen. Politieke verantwoordelijkheid





BZK en EZ zijn politiek verantwoordelijk. Het programma draagt zorg voor de informatie die nodig is om die politieke verantwoordelijkheid in te vullen. BZK, EZ, W&R, VenJ, Buitenlandse Zaken en I&M zijn verantwoordelijk voor de in hun domein vigerende publieke middelen en regelgeving. Het programmamanagement eID steunt deze departementen bij de invulling van deze verantwoordelijkheden door hen te informeren indien dat nodig is en hen altijd op de hoogte te houden van de voortgang. Het programma is voorts uitdrukkelijk betrokken bij de aansturing van de ontwikkeling van regelgeving alsmede de publieke middelen omdat beide voorwaardelijk zijn voor het succes van het programma als geheel. De politieke advisering, waaronder Kamervragen en WOB-verzoeken, vallen buiten de scope van het programma eID. Het programma eID zorgt wel voor de informatie die de departementen nodig hebben om hun verantwoordelijkheid in te kunnen vullen.


13

2.5 Draagvlak onder private partijen binnen het eID Stelsel Een van de subdoelen van het programma eID is het stimuleren van gebruik van het stelsel. Het succes van het eID Stelsel als publiek – privaat vehikel voor het faciliteren van online identificatie is immers volledig afhankelijk van het gebruik ervan door zowel publieke als private partijen. Belangrijk aandachtspunt is het verkrijgen en behouden van het draagvlak onder (potentieel) geïnteresseerde private partijen. Met de lancering van het eID-platform en de concrete start van de POC’s en POT’s, waarin meerdere private partijen participeren, is daartoe een eerste stap gezet. In hoofdstuk 5.4 wordt nader ingegaan op het zogenoemde businessmodel, dat een belangrijk onderdeel is van het eID Stelsel. De rollen, en daarmee ruimte, die zowel publieke als private partijen daarbinnen (kunnen) innemen, zijn van groot belang voor het draagvlak onder private partijen. Een van de programma deliverables is het opleveren van een Plan van Aanpak Intensivering draagvlak private partijen in Q4 2014, waarin staat welke doelen het programma wil bereiken met de private partijen en op welke wijze. Belangrijk daarbij is het in kaart brengen welk segment van het bedrijfsleven het meest gebaat is bij het eID Stelsel, maar ook op welke wijze we dit segment benaderen. 2.6 Planning In onderstaande figuur is de stip op de horizon voor het programma geschetst in 2017. Er worden 3 hoofdplateaus onderkend, waarbij in het eerste, startplateau een eerste werkend stelsel is opgeleverd, dat getest is in POC’s en POT’s en waarbinnen verschillende pilots draaien in productie. Randvoorwaardelijke zaken als stelselvoorzieningen zijn ook in dit eerste Hoofdplateau gerealiseerd. Dit Hoofdplateau 1 is eind 2015 gerealiseerd. Een nadere uitwerking van Hoofdplateau 1 is opgenomen in hoofdstuk 3, Hoofdplateau 1.


14

Aan het einde van Hoofdplateau 1 is de situatie zodanig dat burgers en bedrijven gebruik (kunnen) maken van een eID-middel voor een transactie via een webportaal. In Hoofdplateau 2 (2016) heeft het programma eID de volgende doelstelling:

Het uitbreiden van het eID Stelsel met nieuwe functionaliteiten en het realiseren van een integratieslag tussen de verschillende bestaande voorzieningen voor wat betreft governance en toezicht.

In Hoofdplateau 3 (2017) rondt het programma eID haar activiteiten af. De doelstelling luidt dan: Het afronden van het programma en overdragen van de voorzieningen, de (tijdelijke) governance en toezicht naar de definitieve situatie, onder de dan geldende (nieuwe) wetgeving.


15

2.7 Inrichting Kwaliteitsborging ten behoeve van het Programma eID Het expertisegebied Kwaliteitsborging van het programma eID is op dit moment onvoldoende ingericht. Teneinde dit op het vereiste niveau te brengen zal een Quality Assurance (QA) officer worden aangetrokken, die onderdeel wordt van het programmabureau. Deze medewerker zal de binnen het programma opgeleverde producten en resultaten continu toetsen op aspecten als kwaliteit, tijdigheid, kosten, consistentie en onderlinge afhankelijkheden. Tevens ziet deze medewerker toe op de inrichting en werking van een correct programma-dossier. Voorgesteld wordt om eind september 2014 een Gateway-0 review (gateway op plannen) uit te voeren. In dat verband zullen dan ook de opgeleverde (eventueel bijgestelde) projectplannen tegen het licht worden gehouden. Op basis van de Hoofdplateauplanning zullen kritieke mijlpalen worden vastgesteld, waarop een volgende Gateway review en/of gerichte audits moeten worden afgenomen.


16

3.0 Stand van zaken Programma / projecten 3.1 Afsprakenstelsel Het afsprakenstelsel bestaat uit de volgende onderdelen (zie onderstaand schema). Voor de uiteindelijke definitieve versie van het Afsprakenstelsel zullen alle onderdelen beschreven en vastgesteld moeten zijn. Ten behoeve van de pilots die plaats vinden binnen bestaande juridische kaders, zal een beperkt deel vastgesteld moeten zijn. Het gaat hierbij met name om de technische elementen van het afsprakenstelsel. Hier is in begin 2014 een eerste versie (versie 1.0) opgeleverd.

De samenhang van bovenstaande kan nog wijzigen n.a.v. o.a. projectplannen en verdere ontwikkelingen. 3.2 Stand van zaken projecten mei 2014 Hieronder wordt kort de stand van zaken van de verschillende huidige projecten binnen het programma eID tot en met medio mei weergegeven.

Project / Expertise Afsprakenstelsel: algemeen

Status project / expertise  




Uitgangspunten en ontwerpeisen van het eID Afsprakenstelsel versie 1.0 zijn in oktober 2013 opgeleverd. Deelproject Afsprakenstelsel levert een gedeelte van het gehele Afsprakenstelsel eID. Andere producten zijn belegd bij de andere deelprojecten. De sturing op het geheel en de onderlinge afhankelijkheden is de eindverantwoordelijkheid van het programmamanagement. Scope van op te leveren versies van het ontwerp van het afsprakenstelsel wordt bepaald door de roadmap migratie en het pilotplan, i.c. de plateauplanning. Het betreft hier een

17





  

Afsprakenstelsel: oplevering versie 2.0





planning van’ buiten naar binnen’. Er worden geen afzonderlijke besluiten over componenten uit het stelsel genomen zonder impactanalyse op de consequenties voor het gehele stelsel (een adequaat changemanagement) De technische migratie van eHerkenning naar eID blijft een verantwoordelijkheid van eHerkenning. Het eID programma financiert en levert capaciteit om RFC’s voor de wijzigingen te produceren. Dit kan worden uitgevoerd door de beheerorganisatie i.o. Verantwoordelijkheid voor migratietraject blijft echter bij eHerkenning liggen. Resultaten uit POT’s en POC’s worden meegenomen in de volgende versie van het Afsprakenstelsel. Een algehele risicoanalyse vindt vanuit het Beheer plaats en start z.s.m. Programmamanagement draagt zorg voor samenhang architectuur van een eventueel publiek middel met stelselarchitectuur.

De komende tijd zullen iteratief volgende versies worden opgeleverd en zo kan ook toegewerkt worden naar een 2.0 versie per 1-11-2014. Afhankelijkheden zijn er op de volgende gebieden binnen het programma: Heroverweging (Roadmap) Migratie, Wetgeving en Governance. Buiten het programma wordt de actieve participatie publiek-privaat in de POT’s en POC’s cruciaal. Belangstelling voor participatie is groot. Twee werkgroepen, zowel leveranciers als dienstaanbieders, zijn inmiddels gestart om het afsprakenstelsel 1.0 in publiek/private samenwerking te beproeven.

Afsprakenstelsel: POC’s en POT’s



Er is een voorstel voor POC’s en POT’s gemaakt. De uitnodiging voor deelname aan de POC’s en POT’s is begin april op tendernet gepubliceerd. Op 9 mei is het POT traject gestart en op 16 mei het POC traject. De belangstelling vanuit de marktpartijen is groot. Eind september 2014 zal dit traject zijn afgerond. De resultaten uit deze trajecten zullen worden verwerkt in de versie 2.0 van het Afsprakenstelsel.

Afsprakenstelsel: Migratie en Ontwikkeling



Er heeft een eerste toetsing plaats gevonden op de versie 1.0 door eHerkenning. Het Tactisch Overleg eHerkenning heeft een positief oordeel gegeven, maar ook een aantal aandachtspunten bij de verdere uitwerking.

Afsprakenstelsel: pilots



Er is in week 20 gestart met het plan van aanpak (vanuit roadmap).


18

Afsprakenstelsel: Publiek middel

Project / Expertise Governance en businessmodel: eIDplatform



Status project / expertise 



Governance en businessmodel: definitieve Governance stelsel

Project / Expertise Roadmap migratie

Project / Expertise Toezicht (schets eerste contouren)


Na besluitvorming door de Stuurgroep dd. 10 april 2014 is de ontwikkeling DigiD-kaart gestopt. In het kader van de verdere ontwikkeling worden in par. 4.2 van dit MasterplaneID voorstellen gedaan voor de eventuele ontwikkeling van publieke middelen op Stork 3/4 niveau.



Het eID-Platform komt sinds 4 april jl. 2014 bij elkaar. Enkele nieuwe kandidaten hebben zich gemeld voor deelname in het platform. Met een aantal is inmiddels gesproken voor een nadere toelichting. Mogelijke toetreding van partijen wordt door de voorzitter van het platform afgestemd met de voorzitter van de StuurgroepeID. Er wordt gewerkt aan een bijgestelde intentieverklaring voor partijen die de ontwikkeling van het stelsel ondersteunen, maar niet toetreden tot het platform (i.s.m. Communicatie).

Gewerkt wordt aan een startnotitie voor de inrichting van de definitieve governance van het eID Stelsel; veldonderzoek en afstemming met andere projectgroepen.


De Roadmap migratie is vastgesteld in de Stuurgroepvergadering van 10 april jl.. In samenwerking met o.a. ICTU worden voorstellen gemaakt voor realisatie van de stelselvoorzieningen. Het voorstel voor de realisatie van een Stelselregistratiedienst is in mei opgeleverd. Aanpassingen DigiD en DigiD Machtigen lopen via de huidige lijn. Door het programmamanagement is onderzoek gestart om te bezien hoe het klantcontact het beste kan worden ingericht.


Doel is om de verschillende beleidsvraagstukken v.w.b. de inrichting van toezicht de komende maanden in samenhang te beantwoorden met toezichtvraagstukken in andere dossiers (denk bijvoorbeeld aan de Verordening elektronische identiteiten en vertrouwensdiensten, eHerkenning, Trusted Third Parties (TTP), Algemene Wet Basisvoorzieningen Elektronische Overheid voor Ondernemers). Mede op basis van de beantwoording van de beleidsvragen zijn de eerste contouren van het toezicht geschetst. Dit stuk is besproken in de Stuurgroep van 10 april. De verdere uitwerking van de beleidsvragen en van de contouren van het toezicht gebeurt in afstemming met het PVOeID. Parallel hieraan is er een

19

onderzoek gestart naar de mogelijke integratie van de reeds bestaande toezichtsarrangementen van PKI, DigiD, DigiDMachtigen en eHerkenning.

Project / Expertise DigiD-kaart

Project / Expertise Communicatie

Project / Expertise Voorbereiden politieke besluitvorming

Project / Expertise Juridica en wetgeving



Begin 2014 heeft Communicatie een communicatieplan voorgelegd aan de Stuurgroep eID. Op dit plan is positief gereageerd. Dit plan is nog niet goedgekeurd, omdat er ook een communicatiestrategie in stond voor de DigiD-kaart, waarover nog geen politiek besluit is. In maart jl. is de website www.eID Stelsel.nl live gegaan. Er is in de Stuurgroep een besluit genomen over de nieuwe naam voor het eID Stelsel.


In december 2013 hebben BZK en EZ een brief naar de Tweede Kamer gestuurd over de stand van zaken rondom het eID Stelsel en de DigiD-kaart. Tegelijkertijd zijn de media geïnformeerd over het eID Stelsel in een technische briefing. N.a.v. het AO op 5 maart 2014 is een brief naar de Tweede Kamer gestuurd over de oprichting van en de start van het eID-platform. Op verzoek van de commissie Binnenlandse Zaken van de Tweede Kamer heeft op 16 april jl. een technische briefing over het eID Stelsel plaatsgevonden. Op 20 juni jl. is een brief m.b.t. de voortgang van het programma eID naar de TK gestuurd en op 25 juni jl. heeft wederom een AO plaatsgehad.





Na besluitvorming Stuurgroep is de ontwikkeling DigiD-kaart gestopt. In het kader van de verdere ontwikkeling worden in par. 4.2 van dit MasterplaneID voorstellen gedaan voor de eventuele ontwikkeling van publieke middelen op hoog niveau.

Er is een eerste inventarisatie en planning gemaakt. Deze is besproken in de werkgroep en diverse overleggen. Er zijn nadere afspraken gemaakt over de uitwerking en ligt een startnotitie met planning voor in de StuurgroepeID van 10 juli 2014 welke inmiddels is goedgekeurd. In de Juridische werkgroepeID is een eerste analyse gedaan naar modaliteiten voor de inrichting van wetgeving (o.a. over onderscheid tussen stelsel en publieke diensten daarin).

20

Project / Expertise Internationaal

Status project / expertise  

Project / Expertise Inrichten Beheerorganisatie

Met architecten is een tweetal internationale scenario’s doorlopen. Tussen project Afsprakenstelsel en Internationaal is nu overleg over de impact van de EU-verordening op het stelsel. Hieruit volgt een memo.




Uitgaande van de huidige situatie wordt vanuit de tijdelijke beheerorganisatie (Logius) o.m. een beeld geschetst van de gewenste eindsituatie voor wat betreft de inrichting van het toezicht. Onderdeel hiervan vormt een voorstel voor een normenkader. Dit plan van aanpak is besproken in het PVOeID van april. In dit verband op te leveren producten: 1. Voorstel welke onderdelen onder het operationeel toezicht en de naleving vallen geredeneerd vanuit de huidige toezichtarrangementen en de mogelijke verbeteringen; 2. Voorstel welke onderdelen en verbeteringen uit de toezichtsarrangementen voor eHerkenning, DigiD, gekwalificeerde certificaten en PKI-overheid toepasbaar zijn voor het eID Stelsel; 3. Voorstel voor een normenkader en risicoanalyse voor het eID Stelsel, waarbij zoveel mogelijk wordt geput uit / aangesloten bij bestaande normenkaders voor eHerkenning, DigiD, gekwalificeerde certificaten en PKIoverheid; 4. Voorstel welke bestaande sanctiemogelijkheden van eHerkenning, DigiD en PKI kunnen worden overgenomen en toepasbaar zijn binnen het eID Stelsel; 5. Voorstel hoe het document rechten en plichten een geïntegreerd geheel met het Afsprakenstelsel eID wordt.




Vormgeven van de wettelijke basis voor het toezicht, vereist nadere afstemming met Juridische werkgroepeID en is mede afhankelijk van de beantwoording de beleidsvragen.

21

4.0 Hoofdplateau 1 4.1 Inleiding

In hoofdstuk 2.6 is de stip op de horizon van het programma richting 2017 geschetst, waarbij drie Hoofdplateau’s zijn onderkend. Hieronder wordt Hoofdplateau 1, dat in tijd loopt tot eind 2015, meer in detail uitgewerkt. De specifieke migratieactiviteiten en –planning zijn nader uitgewerkt in hoofdstuk 5, Implementatie. In het traject om zowel functioneel, technisch en procedureel tot een werkend eID Stelsel te komen is het van belang om, gedurende het traject te beproeven of hetgeen uitgedacht is ook in de praktijk kan werken en waar eventuele verbeteringen mogelijk zijn. Binnen het project Afsprakenstelsel worden hiervoor Proofs of Concept (POC’s) en Proofs of Technology (POT’s) uitgevoerd. Daarnaast is het van belang om in een later stadium van realisatie door middel van het uitvoeren van pilots voor burgers te beproeven hoe het Stelsel zich, op beperkte schaal, in de productieomgeving gedraagt. Tevens is van belang om de migratie van eHerkenning te ondersteunen. In dit hoofdstuk wordt voorgesteld om de pilots met burgers en de migratie van eHerkenning aan te duiden als Hoofdplateau 1 van het eID Stelsel. In onderstaande figuur wordt in overzicht aangegeven welke onderdelen gereed moeten zijn voor de realisatie van Hoofdplateau 1.

Organiseren

Hoofdplateau 1

Afsprakenstelsel

Functionaliteit: • Migratieplateau 1 Roadmap • online authenticatie • eenvoudige machtigingen • attributen • 1e migratie plateau eHerk.

Governance en businessmodel Toezicht Juridica en Wetgeving Beheerorganisatie Pilots

Invoering Resultaten test beoordelen en verwerken in ontwerp 2.0

Publiek en private partijen testen ontwerp 1.0 in POC en POT traject mei 2014

sep 2014

Stuurgroep 10 juli

nov 2014

Migratieplateau 1: realiseren van de voorzieningen

De gerealiseerde voorzieningen worden getest

mrt 2015

Productie Plateau 1: • pilots met burgers

• migratie eHerkenning

aug 2015

jan 2016

Realisatie voorzieningen A. Realisatie Stelselvoorzieningen 1e versies van Stelselregistratiedienst, testfaciliteit en dienstencatalogus B. Aanpassingen DigiD Verstevigen DigiD, BSN-koppelregister, tijdelijke makelaarsfunctie eHerkenning

C. Realisatie private eID-diensten

Burgers Bedrijven

Voorlichting en Publieke Opinie

D. Aansluiten Dienstaanbieders: • publiek: BD, KvK, RDW, SVB, UWV, ... • privaat: verzekeraars, zorg, ...

Communicatie en Marktbewerking


22

Doel van de pilots voor burgers is om in een besloten productieomgeving8 (beperking van het aantal gebruikers en transacties), de werking en gebruikerservaring van het eID stelsel te beproeven. Tevens draagt dit bij aan de geleidelijke ontwikkeling van het eID Stelsel, de beschikbaarheid van hoogwaardige eID-middelen (geen big bang) en de wijze waarop de multimiddelen strategie vorm krijgt. De onderdelen van het thema “Organiseren” en “Communicatie” worden elders in het plan toegelicht. 4.2 Pilots Er wordt een pilotplan opgesteld met daarin de doelen die met de pilots worden beoogd. Intussen zijn de contouren voor genoemd plan vastgesteld. De pilots zullen ‘echte’ productie zijn en de pilots worden geduid als Productie Hoofdplateau 1 van het eID Stelsel. Ook hiervoor geldt het uitgangspunt van level playing field uit het “Afwegingskader Publiek Privaat”. Het uitgangspunt van het pilotplan is dat we de multimiddelen strategie in productie beproeven. Over de pilots en de planning van de pilots worden in oktober 2014 in de StuurgroepeID besluiten genomen. Het streven is om de pilots medio 2015 te starten. Er wordt nog nagegaan op welke wijze zoveel mogelijk snelheid kan worden gerealiseerd met de pilots. De StuurgroepeID heeft op 5 juni 2014 besloten dat er versneld gewerkt moet worden aan de ontwikkeling van de voor de pilots noodzakelijke centrale voorzieningen (zoals de Stelselregistratiedienst en het BSN-koppelregister). 4.3 Realisatie voorzieningen Om het eerste plateau van de implementatie van het eID Stelsel te kunnen laten werken is een aantal van de benoemde technische voorzieningen noodzakelijk. Het is in deze fase nog niet nodig dat deze voorzieningen volledig ontwikkeld en geschaald zijn, er moeten echter wel bepaalde basisfunctionaliteiten op bepaalde momenten in tijd beschikbaar zijn. De ontwikkeling van de voorzieningen kan na de ingebruikname van Plateau 1 worden voortgezet. Bijkomend voordeel is dat op deze manier de “lessons learned” uit de pilots kunnen worden meegenomen in de doorontwikkeling. 4.3.1 Realisatie Stelselvoorzieningen Stelselregistratiedienst Deze voorziening dient voor realisatie van Plateau 1 de volgende functies te vervullen;  Sleutel beheer zodat de toegetreden authenticatiediensten binnen het stelsel kunnen communiceren.  Vastleggen en controleren van stamgegevens van gebruikers van middelen binnen het stelsel.  Het uitgeven van persoonsgebonden pseudoniemen. In deze fase is het realiseren van de functionaliteit, die ingezet kan worden om authenticaties binnen het stelsel tot personen te herleiden in het kader van fraude bestrijding, niet voorzien. Hiervoor is een wettelijk kader benodigd.

8 Hierin onderscheidt een pilot zich van een POC of POT, waarbij de beproeving in een labsetting plaatsvindt.


23

Testfaciliteit Deze voorziening dient beschikbaar te zijn op het moment dat de diverse betrokken partijen bezig zijn met het ontwikkelen en in de fase komen dat deze in de keten getest moeten worden. De testfaciliteit zorgt er voor dat alle opgeleverde bouwblokken in het stelsel zich gedragen zoals in de functionele en technische specificatie beschreven. Hiervoor kan de huidige testfaciliteit van eHerkenning worden gebruikt. Mogelijk is hiervoor een tussenrelease van deze voorziening noodzakelijk.9 Dienstencatalogus De dienstencatalogus zorgt er voor dat de aangesloten dienstaanbieders met hun diensten en het daarbij behorende betrouwbaarheidsniveau worden vastgelegd binnen het stelsel zodat deze bekend zijn voor de voorzieningen in het stelsel. Ook hiervoor geldt dat de huidige catalogus van eHerkenning, zeker in eerste instantie kan worden gebruikt. Op termijn zal binnen het stelsel, zeker in relatie tot machtigen, behoefte ontstaan aan een uitgebreidere catalogus waardoor er ook een vorm van hiërarchie in diensten kan worden aangebracht (bijvoorbeeld: machtig ik iemand voor alle diensten van de Belastingdienst of alleen voor inkomstenbelasting? Of alleen voor de inkomstenbelasting 2015?). Deze aanpassingen zullen na realisatie van plateau 1 worden opgepakt.10 4.3.2 Aanpassingen DigiD Om de aansluiting van de publieke dienstaanbieders in plateau 1 op het stelsel eenvoudig te kunnen implementeren moet de realisatie van de rol van DigiD als migratiemakelaar worden gerealiseerd. Hierdoor hoeven de publieke pilot partijen in plateau 1 niet aan te sluiten op de eID Makelaar, maar kan gebruik worden gemaakt van de huidige DigiD koppelvlakken. Dit betekent dat het te ontvangen bericht voor dienstaanbieders in eerste instantie niet wijzigt, waardoor de impact van de aansluiting op het stelsel beperkt blijft. Deze migratie via DigiD was voorzien in Plateau 3 van de roadmap, maar moet hierdoor naar voren worden gehaald. De aanpassing aan DigiD betreft: 







Tijdelijke eID-makelaar: DigiD moet tijdelijk als makelaar gaan functioneren en dus naast DigiD de gebruiker kunnen doorverwijzen naar andere authenticatiediensten in het stelsel. Koppelvlak migratie: a. Deze doorverwijzing zal zoveel mogelijk conform koppelvlakken van het stelsel moeten gebeuren (ook om te voorkomen dat de authenticatiediensten met extra wijzigen te maken krijgen). b. DigiD moet het bericht dat terugkomt vanuit de authenticatiedienst conform stelsel kunnen vertalen naar een bericht dat gelijk is aan het bestaande DigiD koppelvlak. BSN-omnummervoorziening: De BSN tabel van het huidige DigiD moet zo ingericht worden dat deze voor de authenticatiediensten in het stelsel de rol van de Sector ID dienst BSN vervuld.11 Implementeren RDA (versteviging DigiD)

9 Nader onderzocht moet worden wat de impact is van de aanpassing op de testfaciliteit van eHerkenning. 10 Nader onderzocht moet worden wat de impact is van de benodigde aanpassingen op de dienstencatalogus eHerkenning. 11 Nader onderzocht moet worden wat de impact is van deze aanpassing en wat dit voor consequenties heeft voor de releasekalender van DigiD.


24

RDA implementatie Het door de RDA ingezette traject om de chips op bestaande WID’s te gebruiken voor de verbetering van het huidige authenticatie niveau van DigiD dient te worden gerealiseerd. Voorzien wordt dat deze oplossing voor plateau 1 de invulling van het publieke middel op minimaal niveau Stork 3 zal invullen. Dit handhaaft vooralsnog wel het feit dat DigiD een ‘single point of failure’ is. In de stuurgroep is beslist om de ontwikkelde RDA-methodiek zo snel mogelijk te laten beproeven en verder uit te laten werken. Belangrijk is dat in dit RDA-traject ook inzicht wordt verkregen over de impact op DigiD. Daarmee wordt het volgende inzichtelijk gemaakt: 

Dat allerlei activiteiten rondom DigiD gaan concurreren op capaciteit bij DigiD, zonder dat dit vooraf bekend is.



Een eventuele verstoring van RDA of DigiD bij het migratiepad naar het eID Stelsel.

Afhankelijk van de impact van de RDA oplossing kan herprioritering van de ontwikkelagenda van DigiD nodig zijn. Deze herprioritering kan ook de migratie van DigiD naar het eID Stelsel beïnvloeden. Er wordt zorg gedragen dat over de resultaten van RDA en indien nodig het noodzakelijke migratiepad van DigiD samenhangende besluiten worden genomen. 4.3.3 Realiseren private eID Diensten De private partijen zullen voor plateau 1 de volgende zaken moeten realiseren   

De authenticatiediensten moeten voor het aanvragen en registreren van middelen kunnen communiceren met de Stelselregistratiedienst. Voor de aansluiting van private partijen moeten eID makelaars (of voorlopers daarvan die in ieder geval het eID Koppelvlak ondersteunen) beschikbaar zijn. Machtigingsdiensten moeten werken conform eisen van het stelsel en de koppelvlakken ondersteunen.

4.3.4 Aansluiten Dienstaanbieders De dienstaanbieders die in plateau 1 toetreden, moeten worden aangesloten op het stelsel. Hiervoor zal waar nodig ondersteuning beschikbaar moeten zijn en zal een ketentest traject moeten worden ingericht. Bij deze tests zal niet alleen worden gekeken naar de functionele werking, maar ook naar security aspecten en andere aansluiteisen die vanuit de beheerorganisatie worden gesteld. 4.4 Kritische succesfactoren Het pilotplan is gericht op het realiseren van een eerste productie plateau van het eID Stelsel. Het succes van het stelsel wordt bepaald of er daadwerkelijk gebruik wordt gemaakt van de voorzieningen die in dat plateau beschikbaar komen. Succesvol gebruik wordt bepaald door de medewerking van de volgende doelgroepen: A. Overheid In termen van voorzieningen vervult de overheid drie rollen: zorgdragen voor het beschikbaar zijn van de benodigde Stelselvoorzieningen, realiseren van de benodigde aanpassingen aan DigiD en (uitvoerders van) de overheid die ervoor zorgen dat diensten via de eID-standaard afgenomen kunnen worden door burgers en bedrijven.


25

B. Private Dienstaanbieders Partijen die ervoor zorgen dat diensten via de eID-standaarden afgenomen kunnen worden. C. Private eID-deelnemers Partijen die ervoor zorgen dat de authenticatie en autorisatie diensten voor burgers en bedrijven beschikbaar komen: hoogwaardige authenticatiemiddelen, gevalideerde attributen, machtigingsregisters en eID-makelaars. D. Burgers en Bedrijven Burgers en bedrijven die daadwerkelijk overgaan tot het verwerven en gebruiken van eIDdiensten. Om de benodigde medewerking van bovenstaande partijen voor elkaar te krijgen, worden de volgende kritische succesfactoren onderkend: KSF1. Financiële ruimte en capaciteit in de planning van Logius en ICTU voor het tijdig realiseren van de benodigde Stelselvoorzieningen en aanpassingen aan DigiD. KSF2. Commitment van publieke Dienstaanbieders welke digitale diensten concreet voor welke doelgroep vanaf welke datum beschikbaar zijn in plateau 1. KSF3. Commitment van private Dienstaanbieders om digitale diensten aan te bieden. Dit commitment wordt in grote mate beïnvloed door de positie die de overheid zelf inneemt en communiceert, de kosten die door een Dienstaanbieder gemaakt moeten worden (de individuele business case) en het zicht op een brede beschikbaarheid van authenticatiemiddelen bij de consument. KSF4. Commitment van private partijen om eID-diensten aan te bieden aan burgers en bedrijven. Dit commitment wordt in grote mate bepaald door de individuele business case die elke aanbieder zal opstellen. Een aanbieder heeft dan de volgende duidelijkheid nodig: wat wordt het geschat transactievolume aan eID-diensten de komende jaren; wat is het verdienmodel voor de verschillende soorten eID-transacties. Voor het verdienmodel is belangrijk wat de invulling van het business model wordt en de wijze waarop de overheid al dan niet een eigen publiek middel ‘in de markt zet’. KSF5. De bereidheid van burgers en bedrijven om daadwerkelijk eID-diensten te gaan gebruiken. Deze bereidheid kan in belangrijke mate worden beïnvloed door de publieke opinie. Een negatieve opinie zoals destijds bij het patiëntendossier zorgt voor falen van de doelstelling.


26

5.0 Implementatie 5.1 Implementatie, migratie en roadmap Het eID Stelsel bestaat, naast een set afspraken en ingericht toezicht etc. ook uit een aantal technische voorzieningen die er voor moeten zorgen dat gebruikers zich daadwerkelijk kunnen authenticeren binnen het stelsel en dat dienstaanbieders ook kunnen vaststellen dat deze authenticatie geldig is en dat bijvoorbeeld een transactie kan worden verricht. De functionele werking hiervan wordt beschreven door het project “Afsprakenstelsel”. De te realiseren voorzieningen worden voor een groot gedeelte ingevuld door private partijen. Hierbij valt bijvoorbeeld te denken aan de eID Makelaar. Daarnaast is vastgesteld dat een aantal functies publiek moet worden ingevuld om de werking van het stelsel als geheel te kunnen garanderen. Het gaat hierbij om de volgende voorzieningen:    

Stelselregistratiedienst (nieuw te realiseren). Sectorale attribuutdienst BSN (nieuw te realiseren). Dienstencatalogus (wordt naar verwachting gemigreerd vanuit huidige eHerkenning, gedeeltelijk ook uit DigiD). Testfaciliteit (wordt naar verwachting gemigreerd vanuit huidige eHerkenning).

De marktpartijen eHerkenning willen dat aan een aantal randvoorwaarden wordt voldaan voordat zij eHerkenning migreren naar eID. Eén van die randvoorwaarden is het commitment van de publieke dienstverleners verenigd in de StuurgroepeID om in 2015 daadwerkelijk aan te sluiten op het eID Stelsel. In de Roadmap implementatie eID Stelsel wordt verder ingegaan op de realisatie van deze voorzieningen en wordt aan de hand van een plateauplanning inzichtelijk gemaakt in welke fase welke voorzieningen beschikbaar moeten zijn om tot een werkend stelsel te komen. De plateaus in de Roadmap gaan uit van een fasering op basis van beschikbare functionaliteit voor gebruikers (burgers / bedrijven / dienstaanbieders) van het stelsel. In onderstaand overzicht wordt de planning op hoofdlijnen weergegeven. 12

12 Onderstaande planning is opgenomen in het, in de StuurgroepeID van 10 april 2014 besproken, projectplan Roadmap migratie. Deze is op een enkel onderdeel inmiddels veranderd, naar aanleiding van de door de Stuurgroep eID gewenste versnelling.


27

Een ander belangrijk aspect voor dit project is de migratie van de bestaande publieke voorzieningen DigiD en DigiD Machtigen naar het eID Stelsel. De realisatie hiervan valt buiten de scope van het programma eID, maar gezien het belang voor de totstandkoming van het stelsel (via de migratie van DigiD worden de huidige dienstaanbieders gemigreerd naar het Stelsel) wordt dit wel beschreven in de Roadmap en wordt over de migratie gerapporteerd aan de StuurgroepeID. In dit project worden de beschreven functionele specificaties gerealiseerd. Er bestaat dus een rechtstreekse afhankelijkheid tussen dit project en het project Afsprakenstelsel. Bij wijziging van functionaliteit en het beschikbaar komen van nieuwe versies van de specificaties moet telkens gekeken worden naar de impact hiervan op de realisatie en migratie trajecten. 5.2 Het publieke middel voor het BSN-domein op hoog niveau In de afgelopen periode is onderzocht of er een afzonderlijk publiek middel voor het BSNdomein zou moeten komen13. Geconstateerd is dat dit aanvullende regelgeving vraagt en dit

13

In de fysieke werkelijkheid is identificatie een publieke taak van de overheid om haar burgers te voorzien van een identiteit en documenten waarmee burgers hun identiteit, ook in het private domein, kunnen bewijzen; namelijk bewijzen dat ze zijn, wie ze claimen te zijn (identificeren en authenticeren). In de digitale wereld wordt het steeds belangrijker dat de identiteit van de burger betrouwbaar vastgesteld kan worden. Dit is niet wezenlijk anders dan al in de fysieke wereld.


28

wetgevingstraject langer gaat duren dan verwacht. Daarmee is deze lijn voor de StuurgroepeID afgesloten. Daarmee is overigens nog niet gezegd dat er geen publiek middel moet komen op een hoger niveau. Wel of geen publiek middel op hoog niveau, gekoppeld aan bestaande kaarten, zoals de NIK of het Rijbewijs, kent de volgende voor- en nadelen:

Voor- en nadelen van een publiek middel op hoog niveau

Voordelen

gekoppeld aan een bestaand

nadelen

middel Geen publiek middel op hoog



Het is simpel en kost geen geld.

niveau



Er is nooit sprake van oneigenlijke



publieke taak en deze wordt voor

concurrentie: de markt creëert

elektronisch verkeer niet adequaat

dan z’n eigen level playing field.

Identiteitsvaststelling is een

uitgevoerd. 

VWS heeft hier een probleem want er is een middel op hoog niveau nodig voor burgers t.b.v. inzage in medische gegevens.

Wel publiek middel op hoog



niveau

Identiteitsvaststelling is een



publieke taak en deze wordt voor

publieke domein of door burgers

elektronisch verkeer adequaat uitgevoerd. 

Het kost geld dat of door het moet worden betaald.



Er ligt een vraagstuk rondom

Meer overheidsdiensten kunnen

Markt en overheid en een publiek

veilig elektronisch worden

middel voor het BSN-domein mag

aangeboden.

niet van invloed zijn op bedrijven die zelf een kaart op de markt willen zetten: het is heel wel denkbaar dat er dan geen private middelen op hoog niveau gaan komen, terwijl de markt er wel klaar voor is. 

De multimiddelenstrategie zou kunnen mislukken.

Hieruit zou het volgende scenario kunnen worden ontwikkeld: 

Er komen één of meer publieke middelen voor het BSN-domein op hoog niveau.



Om te voorkomen dat er een nieuw uitgifteproces moet worden ontwikkeld wordt het middel gekoppeld aan bestaande middelen, zoals de NIK, het Rijbewijs, het vreemdelingendocument en / of de geprivilegieerdenkaart. Aanvullende wetgeving zal hiervoor nodig zijn. De kosten van de chip op de kaart worden opgenomen in de leges van de kaarten. Het gaat (indicatief) om 3 à 5 € per kaart. Dat is het financiële kader dat nodig is om de kaart in productie te brengen. Ook de kaartlezers worden door burgers betaald. De uitrol van het middel start nadat de kaart productiegereed is en nieuwe kaarten bevatten het elektronische identificatiemiddel. De kaart wordt in het publieke domein gebruikt en kan vanaf het moment dat de kaart in productie is genomen voor elektronisch verkeer worden geëist. Om te voorkomen dat er bij burgers onnodige kosten worden gemaakt, is hier een overgangstermijn van 10 jaar.



 


29



De publieke middelen worden in het BSN-domein voor diensten gebruikt en zouden voor de private sector de moederkaart kunnen worden op basis waarvan uitgifte van private middelen kan worden vereenvoudigd. Het gebruik van een publiek middel als moederkaart, is dan aan de private partijen.



Voor het private domein wordt de kaart gezien als moederkaart die bij de uitgifte van private kaarten door bedrijven kan worden gebruikt. Die keuze is aan de private sector zelf, maar gezien de ingroei periode van 10 jaar, zal het bedrijfsleven dat naar verwachting pas vanaf 2020 gaan doen.



De publieke middelen worden in de lijn (departement) ontwikkeld en gerealiseerd, inclusief de daarvoor benodigde wetgeving. De overall coördinatie op alle gezamenlijke activiteiten en check op compliancy van deze middelen en hun ‘leveranciers’ met de Stelselspecificaties verloopt via de Stuurgroep eID, zodat alle onderdelen van het eID Stelsel bij elkaar komen.

Bovenstaande wordt helder gecommuniceerd met private partijen, zodat deze partijen duidelijkheid hebben over de ruimte die bestaat om met private middelen te komen. Doelgroep & dekkingsgraad De reikwijdte van de doelgroep van de publieke middelen is: Nederlanders (zowel ingezetene als niet ingezetene) en Niet Nederlanders met relatie met de Nederlandse overheid. In de Basis Register Personen zijn 18,3 miljoen mensen opgenomen. Hiervan zijn er 16,8 miljoen ingezetenen en 1,5 miljoen niet ingezetenen. Momenteel zijn er 8,3 miljoen Nederlandse identiteitskaarten en 10,9 miljoen rijbewijzen in omloop. Een derde van de rijbewijshouders heeft ook een NIK, daarmee komt de dekking voor deze documenten op ongeveer 15,5 miljoen personen, van met name 16 jaar en ouder. Overigens kunnen individuen die nu alleen een paspoort hebben, ook vrijwillig een NIK aanschaffen. Daarmee wordt de dekkingsvraag nog hoger. Dan resteren wel een tweetal vragen die nader moet worden onderzocht:  

De vraag of er een restgroep is, die niet kan worden bediend door enig bestaand publiek middel. Voor zo’n eventuele restgroep zal moeten worden onderzocht in hoeverre hiervoor aanvullende voorzieningen nodig zijn dan wel dat een privaat middel een goed alternatief is.

5.3 Communicatie (migratie) De communicatieadviseurs van het Programma eID ondersteunen de projectleider migratie en afsprakenstelsel bij de communicatie. Daarbij werken zij nauw samen met de communicatieadviseurs van de bestaande voorzieningen die migreren naar eID. De eigenaren van de bestaande voorzieningen zijn namelijk zelf verantwoordelijk voor de communicatie over de migratie. 5.4 Businessmodel Het businessmodel is een belangrijk onderdeel van het Afsprakenstelsel eID, omdat het bepalend is voor de economische afweging die partijen maken om wel of niet deel te nemen in het stelsel c.q. gebruik te maken van het stelsel.


30

De centrale vraag voor het businessmodel is: Op welke manier kan het businessmodel bijdragen aan de realisatie van de multimiddelen strategie door het scheppen van randvoorwaarden voor een snelle beschikbaarheid en adoptie van hoogwaardige eID-middelen voor eindgebruikers (burgers en bedrijven)? Een snelle beschikbaarheid van hoogwaardige (stork 3 en 4) middelen draagt bij aan:  Een snelle ontwikkeling en adoptie van het eID Stelsel en de voorzieningen daarbinnen.  Het realiseren van de doelstellingen voor veilige en betrouwbare elektronisch identificatie.  Het op korte termijn kunnen beschikbaar stellen van transacties die een hoogwaardig middel voor authenticatie vereisen.  Intracommunautaire elektronische authenticatie mogelijk maken.  Laagdrempelige uitrol van afgeleide aanvullende middelen (met lager betrouwbaarheidsniveaus en hoger gebruiksgemak). Vanuit het programma is van belang om het proces te faciliteren dat er besluitvorming komt over het businessmodel; met een zo breed mogelijk draagvlak. Het proces voor het opstellen van het businessmodel kan helpen bij het betrekken van veel private stakeholders bij het eID stelsel. Gebleken is dat in de overwegingen over eventuele deelname door private partijen duidelijkheid nodig is over de wijze waarop de overheid een eigen publiek middel positioneert. Duidelijkheid daarover is een belangrijke component in de invulling van het businessmodel. In de uitwerking van het businessmodel is het mogelijk om onderscheid te maken in een model om een eerste uitrol van het stelsel op gang te brengen en een model meer gericht op de fase daarna. In de uitwerking moet tevens rekening worden gehouden met de ondersteuning van de pilotfase en de gerealiseerde invulling door het stelsel eHerkenning.

Op te leveren resultaten De volgende resultaten zijn voorzien: 1. Instellen publiek private werkgroep Hiervoor zullen partijen worden uitgenodigd, zullen er werkafspraken gemaakt worden en het proces tot uitwerking en draagvlak worden bepaald. 2. Opstellen eerste notitie met scenario’s In deze notitie zullen de belangrijkste scenario’s of varianten zijn beschreven. Deze notitie zal ook de inzichten en meningen van de verschillende partijen in beeld moeten brengen. 3. Concept eindrapportage Op basis van een, door de werkgroep gedragen, concept eindrapportage zal er een breder toetsing van het draagvlak voor één of meerdere scenario’s worden uitgevoerd. 4. Eindrapport Dit eindrapport zal, voorzien van een oplegmemo, worden voorgelegd aan het tactisch overleg eHerkenning, het eID-platform en de StuurgroepeID.


31

De voorgestelde aanpak en planning De planning en fasering voor het businessmodel ziet er als volgt uit: Actie

Wanneer

Actor

Instellen werkgroep

Mei-Juni 2014

eID programma

Eerste notitie (scenario’s) bespreken in eID-platform op 3 september 2014

Juni-Aug 2014

“

Concept eindrapport / Toetsing voor draagvlak

Sep-Okt 2014

“

Eindrapport

Okt 2014

Bespreken in eID-platform op 27 oktober 2014

5.5 eID Afsprakenstelsel Het eID Afsprakenstelsel is het geheel van afspraken op grond waarop alle deelnemers en gebruikers van het eID Stelsel zich kunnen aansluiten en zich vervolgens ook aan moeten houden. Het project Afsprakenstelsel is hier binnen verantwoordelijk voor de functionele werking en het ontwerp van de benodigde technische koppelvlakken. De opdracht luidt dan ook: Ontwikkel de functionele werking van het eID Afsprakenstelsel, gebaseerd op de visie en de uitgangspunten van “De Strategische Verkenning eID Stelsel.Nl”. Deze functionele werking vindt zijn weerslag in verschillende producten die in samenhang de werking zodanig beschrijven dat op grond hiervan deelnemers publiek en privaat nieuwe voorzieningen kunnen ontwikkelen en aanbieden en bestaande voorzieningen kunnen migreren en dienstaanbieders (publiek en privaat) vervolgens kunnen aansluiten. Het project levert vier soorten producten op: 







Ontwerp, waaronder de uitgangspunten, opzet, definitie en werking van het eID Stelsel, maar ook aspecten als standaarden, betrouwbaarheidsniveaus en aansluiting op Europa. Producten die de inhoudelijke basis vormen van Toezicht en Beheer, niet zijnde governance en juridica, waaronder usecases, ontwerp testvoorzieningen, normenkader, privacy impactanalyses en beveiligingsanalyses. POT’s en POCs, waarin het ontwerp wordt beproefd en bovendien op inhoud draagvlak wordt gecreëerd bij stakeholders en specifiek bij de potentiële deelnemers aan het stelsel. Communicatie en Businessconsultancy ten behoeve van draagvlak en impactanalyses.

Het project Afsprakenstelsel heeft 5 mijlpalen voor het eID Afsprakenstelsel geformuleerd, waarvan er twee zijn gerealiseerd; de 0.7 en de 1.0 versie van het Afsprakenstelsel. De resterende mijlpalen en tussenresultaten zijn hieronder weergegeven in een tabel.


32

Actie (product)

Wanneer

Actor

PIA op versie 1.0; privacyimpactanalyse op ontwerp versie 1.0

Jan-Juni 2014

Project Afsprakenstelsel

Pot’s en poc’s 1e ronde; beproevingen ontwerp in publiek/private samenwerking met potentiële deelnemers en dienstaanbieders van het stelsel

Mei-Okt 2014


Mijlpaal 3:

Sep-Dec 2014


PIA op versie 2.0; vervolg privacy analyse

Okt 2014-Feb 2015

Project Afsprakenstelsel / Juridische WerkgroepeID

Pot’s en poc’s 2e ronde; beproevingen voortkomend uit evaluatie 1e ronde en op aanvullingen ontwerp(m2m)

Jan-Apr 2015

Div.

Beveiligingsanalyse op versie 2.0; beveiligingsanalyse van belang of security goed verankerd zit in het ontwerp en is tevens input voor afspraken en maatregelen in het stelsel voor de deelnemers

Jan-Maart 2015

Div.

Mijlpaal 4:

Apr-Juni 2015


Juli 2016


Versie 2.0; nadruk op werking, basis voor bouw centrale componenten, bouwactiviteiten marktpartijen, migratie bestaande voorzieningen voor plateau 1. Deze versie bevat aanpassingen en aanvullingen op grond van pot/ poc traject, aansluiting op Europa (1e versie). normenkaders(concept), betrouwbaarheidsniveau’s (concept), maatregelen uit eerste privacy impactanalyse, ontwerp testvoorzieningen (1e versie tbd)

Versie 3.0; aanvullingen m2m,verwachting: vooral aanvullingen, geen wijzigingen. voornaamste inspanning: herontwerp m2m voorzieningen. basis voor beheer. is gereed om voorbereidingen te treffen voor het volgende plateau 2. het bevat de maatregelen voortkomend uit de eerste beveiligingsanalyse, de tweede privacyanalyse , fraudeopsporing, en aanvullingen en wijzigingen n.a.v. aanvullende pots en pocs. Mijlpaal 5: Versie 4.0; eventuele eindversie ter volledige overdracht aan de beheerorganisatie

Het Afsprakenstelsel is, als stelsel, in opzet complexer dan een individuele voorziening en introduceert bovendien vraagstukken als:    

Het borgen van veiligheid en continuïteit van het stelsel Het snel en adequaat oplossen van incidenten en calamiteiten Het snel en adequaat detecteren en tegengaan van fraude De zorg dat klanten van het stelsel niet van het kastje naar de muur worden gestuurd

Teneinde de maatregelen te identificeren voor het borgen van veiligheid, continuïteit en klantvriendelijkheid van het stelsel zal een onderzoek worden opgestart. Onderdeel daarvan is een fit-gap analyse, waarin de bestaande inrichting t.a.v. boven genoemde onderwerpen wordt afgezet tegen de arrangementen zoals deze bestaan voor DigiD, eHerkenning, PKIoverheid etc. Dit onderzoek is naar verwachting in oktober a.s. afgerond.


33

Ten aanzien van fraudepreventie en fraudebestrijding wordt er een bijeenkomst georganiseerd met deskundigen vanuit BZK (identiteitsfraude), V&J (fraude coördinatie) en opsporingsdiensten. Daarbij wordt ingegaan op de volgende vragen: 1. Is het ontwerp van het eID Stelsel fraudebestendig of biedt het -onbedoeldnieuwe mogelijkheden voor fraude? (voorkomen is beter dan bestrijden) 2. Blijft vroegtijdige signalering van fraude mogelijk of beperkt het eID stelsel dit? 3. Heeft het eID stelsel invloed op de bestaande mogelijkheden van detectie en opsporing/vervolging van fraudegevallen (opheffen van de pseudoID)? 5.6 Internationaal De internationalisering van de elektronische dienstverlening is een belangrijke ontwikkeling in de omgeving van het programma eID Stelsel NL en oefent invloed uit op het programma. De in april 2014 aangenomen Verordening elektronische identiteiten en vertrouwensdiensten stelt eisen aan het eID Stelsel NL. Binnen het Europese integratieproject wordt gewerkt aan één interne digitale markt door de realisatie van internationale, grensoverschrijdende, eOverheid toepassingen die de administratieve lasten voor burgers en bedrijven verlagen en de Europese integratie bevorderen. Een voorbeeld hiervan is het STORK project waar een infrastructuur ontwikkeld wordt voor grensoverschrijdende authenticatie. Veilige toegang tot deze grensoverschrijdende dienstverlening is een randvoorwaarde om fraude en misbruik te voorkomen en het vertrouwen van burgers en bedrijfsleven in deze ontwikkelingen te behouden. Een goede aansluiting tussen de ontwikkelingen in het eID Stelsel NL en de Europese ontwikkelingen is dan ook noodzakelijk. Het expertisegebied ‘Internationaal’ geeft hier invulling aan. De opdracht voor het expertisegebied Internationaal luidt dat men toeziet op een goede aansluiting tussen de ontwikkelingen in het eID Stelsel en de Europese ontwikkelingen. Daarbij kan gedacht worden aan: o o o

Europese verordeningen als eIDAS, Privacy en de Dienstenrichtlijn; De ‘implementing acts’ (uitvoeringsbesluiten) die een verdere invulling geven van eIDAS; programma’s zoals eSENS en STORK.

Daarnaast dient geborgd te worden dat er een goede aansluiting is op technisch en organisatorisch vlak met de eID voorzieningen voor grensoverschrijdende authenticatie en de Europese vereisten hiervoor (met name de PEPS en V-IdP zoals ontwikkeld in STORK) en de eisen die voortvloeien uit de eIDAS verordening en bijbehorende implementing acts. Vanuit het expertisegebied wordt tevens het eID Stelsel vertegenwoordigd bij relevante gremia in Europa. De volgende producten zullen opgeleverd worden: 

Europese impact: Wat is de impact van de verschillende Europese ontwikkelingen op eID Stelsel NL? o Technische analyse van de koppeling tussen eID Stelsel NL, service providers, de PEPS en V-IDP bouwblokken van de STORK infrastructuur. Input hiervoor zal voornamelijk komen uit ervaringen opgedaan in:  De STORK Grensboeren pilot waar de Nederlandse PEPS gekoppeld wordt aan enerzijds eHerkenning en anderzijds de Belgische infrastructuur (juli 2014).  De STORK Grensboerenpilot met Duitsland op basis van het V-IdP model en ‘der neue Personalausweis’.


34

De andere STORK2.0 pilots van de workpackage 5.3 partnerlanden waarbij NL optreedt als authenticatieprovider voor dienstaanbieders van deze partnerlanden. o Impact assessment van EU Verordening voor elektronische identiteiten en vertrouwensdiensten (eIDAS) en de bijbehorende implementing acts14 op het eID Stelsel NL (mei 2014). Nadere uitwerking van de impact van de eIDAS verordening en de technische analyse. Denk hierbij aan de gevolgen van de Verordening voor het business model en de publiek-private context van het Stelsel en de transformaties die gemaakt moeten worden om aan te sluiten vanuit het Stelsel op de STORK PEPS. Hierbij zal samenwerking met andere trajecten uit het programma zoals de business model, governance en eID Stelsel specificaties/architectuur nodig zijn (oktober 2014). Functionele uitwerking en architectuurbeschrijving op basis van uitgewerkte scenario’s (use cases) voor grensoverschrijdende authenticatie. Welke functionele componenten zijn nodig en hoe loopt het berichtenverkeer ertussen om de Europese scenario’s te realiseren? In de uitwerking zullen ook de resultaten uit de technische analyse en de impact assessment meegenomen worden. Denk hierbij aan een omnummervoorziening, de unieke identifier, een EU landenknop op de website voor inloggen, de eID NL herkenningsmakelaar en de PEPS-NL STORK component inclusief V-IDP (juli 2014). Normenkader voor authenticatieniveaus: om interoperabiliteit met andere lidstaten in Europa te bewerkstelligen is een normenkader voor authenticatieniveaus nodig. Het STORK normenkader kan als startpunt dienen maar is niet voldoende normatief. eHerkenning werkt momenteel aan een meer normatief normenkader. Echter dit normenkader is niet 1-op-1 toepasbaar voor eID Stelsel NL omdat de laatste zich bijvoorbeeld nadrukkelijk ook in het burgerdomein begeeft waar andere criteria van toepassing zijn. Er zal voor eID Stelsel NL een nieuw normenkader voor authenticatieniveaus opgesteld moeten worden. In deze activiteit maken we hiervoor een eerste aanzet (december 2014). Verankering: Het borgen van de resultaten in het eID Stelsel NL en richting Europa. Belangrijk is dat de resultaten (en tussenresultaten) tijdig en op een goede manier geborgd worden in het eID Stelsel NL. Dat zal gebeuren door het ontsluiten van kennis en informatie voor de verschillende doelgroepen in het programma. Dit kan via de bestaande overlegstructuren en/of 1-op-1 gesprekken met betrokken personen. Daarnaast zal Nederland bij de verdere uitwerking van de eIDAS verordening (de uitvoeringsbesluiten of ‘implementing acts’) bepaalde standpunten moeten innemen die aansluiten op het eID Stelsel NL. Onderdeel van deze activiteit is beleidsmedewerkers die betrokken zijn bij deze activiteiten te adviseren. (continu, december 2014). Communicatie: Het eID Stelsel NL vertegenwoordigen en uitdragen bij relevante gremia in Europa (continu). 













14 De implementing acts worden in de loop van 2014 en 2015 opgesteld. Vanzelfsprekend kan de impact hiervan op het eID Stelsel NL pas na het opstellen van het document worden bepaald.


35

6.0 Governance eID stelsel 6.1 Scope en afbakening Beleidswerk en uitvoeringswerk Het Programma eID staat voor de uitvoering en heeft als doel het eID Stelsel te realiseren. Tegelijkertijd is er een onmiskenbare beleidsverantwoordelijkheid bij zowel EZ als BZK. Bovendien is er een wetgevingstraject dat noodzakelijk is voor de uitvoering, maar waar EZ en BZK primair verantwoordelijk voor zijn. De ministeriële verantwoordelijkheid voor de publieke middelen (kaart of anderszins) ligt bij de minister van BZK en voor het eID Stelsel bij de ministers van EZ en BZK. Het programma eID zal effectiever zijn, wanneer de voorbereiding van politieke besluitvorming en de advisering aan de politieke leiding geen (direct) onderdeel is van het programma, maar via de contactlijn tussen de programmamanagers en de beleidsverantwoordelijke departementen wordt geregeld. Wetgeving is hierbij zo’n noodzakelijke voorwaarde voor het succes van het programma dat het programmamanagement eID hier nauw bij wordt betrokken en hier ook inhoudelijk coördinerend op zal moeten zijn. Daarom zullen ook relevante beleidsdocumenten via BAOeID naar de StuurgroepeID lopen en zal het programmamanagement ook de coördinatie van het wetgevingstraject en het juridisch traject op zich nemen. Dat draagt bij aan de samenhang van beleid en uitvoering. Het eID Stelsel wordt ingericht als netwerk waarin publieke en private partijen diensten leveren om een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur te realiseren. De publieke en private partijen in het stelsel werken volgens gezamenlijke afspraken. Om een dergelijk netwerk op een betrouwbare manier tot stand te brengen, te laten functioneren en te evolueren, is een goede governance voor het stelsel noodzakelijk die een afspiegeling biedt van de posities, verwachtingen en belangen van de samenwerkende organisaties. Onder governance wordt verstaan het raamwerk voor sturing, besluitvorming en verantwoording over en in het eID Stelsel in zowel de realisatiefase als de beheerfase. In een goed werkende governance voor het eID Stelsel, weten de betrokken partijen welke rol ze hebben en waarom ze die rol hebben. De betrokken partijen weten hoe ze hun taken, bevoegdheden en verantwoordelijkheden in het stelsel kunnen uitvoeren. Stakeholders hebben voldoende inzicht in de wijze waarop de governance van buitenaf bezien werkt en waar ze terecht kunnen met vragen, opmerkingen en issues. Binnen de overheid is ten aanzien van andere, qua complexiteit en omvang vergelijkbare, programma’s gewerkt aan ontwikkeling, inrichting en operationalisering van governance. Vanuit het programma eID wordt gekeken naar de ‘best practices’ van onder andere SBR (Standard Business Reporting) en eHerkenning. 6.2 eID-platform 1. Over het eID-platform Een aantal publieke en private organisaties dat betrokken is bij de ontwikkeling van het eID Stelsel ontmoet elkaar vanaf het tweede kwartaal 2014 op bestuurlijk niveau in het eID-platform. Dit platform is ingericht voor de duur van de programmafase van het eID Stelsel. Het eID-platform geeft gevraagd en ongevraagd strategisch advies aan de Stuurgroep eID over de ontwikkeling en realisatie van het eID Stelsel.


36

2. Doelstelling van het eID-platform Doel van het eID-platform is het bieden van een basis voor overleg tussen betrokken publieke en private partijen met diverse rollen die binnen het stelsel worden voorzien. De toegevoegde waarde van het eID-platform is gelegen in de tijdige inbreng van private partijen bij de ontwikkeling van het stelsel alsook voor de inhoudelijke inbreng en afstemming met marktpartijen. Dit is er op gericht om te bevorderen dat de gewenste voorzieningen daadwerkelijk door de markt worden ontwikkeld met het oog op deelname aan het stelsel. 3. Invulling eID-platform Het platform heeft een publiekprivate samenstelling en kent leden uit de volgende groepen: 

afvaardiging vanuit de StuurgroepeID;



een aantal representatieve leden vanuit de doelgroep potentiële leveranciers van toegangsdiensten en van andere voorzieningen binnen het eID Stelsel;



een aantal representatieve leden vanuit de doelgroepen publieke en private dienstaanbieders;



een vertegenwoordigende organisatie vanuit de doelgroep gebruikers/burgers.

Het platform komt minimaal 4x per jaar bijeen onder onafhankelijk voorzitterschap. De ondersteuning wordt uitgevoerd vanuit het ProgrammaeID/project Beheer.

6.3 Opdrachtformulering Governance plateau 1: het eID-platform is in mei 2014 van start gegaan met haar werkzaamheden. De vaste samenstelling van het eID-platform is bekend, maar organisaties met interesse in publiek-private samenwerking melden zich nog steeds, en aansluiting aan het eID-platform is nog steeds mogelijk15. Vanuit het project governance wordt met hen onderzocht op welke wijze invulling kan worden gegeven aan de behoefte om betrokken te zijn bij de ontwikkeling van het eID Stelsel. Ten aanzien van de governance inrichting in realisatieplateau 1 wordt zoveel mogelijk gewerkt vanuit bestaande regelgeving en governance(s). Waar nodig zullen vanuit het project governance voor de pilots aanvullende bestuurlijke arrangementen worden voorgesteld. Dit geldt ook voor het eID-platform, welke een steeds belangrijker gremium wordt naarmate de publiek-private samenwerking concreter wordt. Het project governance doet tot slot een voorstel hoe om te gaan met de governance van de nieuw te ontwikkelen generieke voorzieningen zoals de Stelselregistratiedienst en de omnummervoorziening BSN. Governance plateau 2 en verder: vanuit het project wordt de inrichting en werking van de governance vanaf de beheerfase voorbereid. Plateaus twee en verder vereisen een stevige doorontwikkeling, waarbij tegelijkertijd het stelsel operationeel gaat. Een bijpassende governance moet (uiteindelijk) voldoende juridische (wettelijke) basis hebben om het stelsel te kunnen legitimeren en besturen. In het voorstel wordt ingegaan op de publiek-private

15

Hierbij pas wel de kanttekening dat het eID-platform praktisch een maximale omvang moet hebben. Daarom wordt samen met

het eID-platform ook nagedacht over getrapte vertegenwoordiging. Daarnaast is ook voorzien in andere vormen van betrokkenheid, zoals netwerkbijeenkomsten zoals het eID-café. Bovendien wordt het bedrijfsleven betrokken bij POC’s en bij POT’s (zie par.4.5).


37

samenwerking door bijvoorbeeld een getrapte vertegenwoordiging vanuit de verschillende sectoren. Ook voor de definitieve positionering van de beheerorganisatie wordt een voorstel gedaan. 6.4 Forum Standaardisatie Het programma eID leidt tot een afsprakenstelsel, hetgeen uiteindelijk een standaard is die voor het publieke domein en het private domein zal moeten worden vastgesteld. Het Forum Standaardisatie en uiteindelijk het College Standaardisatie spelen hierbij een centrale rol. Wanneer de standaarden die uit het programma komen zijn ingedaald in de praktijk, zal het Forum een oordeel geven en zal het College Standaardisatie de standaarden voor de publieke sector gaan vaststellen. Dit wordt in 2017 opgepakt, wanneer het stelsel in voldoende mate is uitgerold over publieke en private partijen. 6.5 De voorgestelde aanpak en planning De planning en fasering voor de inrichting van de governance ziet er als volgt uit: Actie

Wanneer

Actor

eID-platform

Doorlopend (incidenteel)

Als er aanpassingen plaatsvinden: vz platform ism vz stuurgroep

Voorstel inrichting governance pilotfase

Mei-Dec 2014

Stuurgroep, gehoord hebbende eIDplatform

Voorstel voor de werkwijze en invulling van de definitieve governance voor het eID Stelsel

Mei-Dec 2014

Stuurgroep, gehoord hebbende eIDplatform


38

7.0 Beheer eID 7.1 Inrichten beheerorganisatie eID Stelsel Doelstelling van het project Inrichten Beheer eID Stelsel De doelstelling is het realiseren van een beheerorganisatie voor het eID Stelsel gedurende 2014, die op 1 januari 2015 gereed is om eID-producten in beheer te nemen. Die beheerorganisatie is uitsluitend gericht op stelselbeheer en dus niet het beheer van individuele voorzieningen en middelen binnen het eID Stelsel (bijvoorbeeld DigiD of andere middelen/makelaars). Met ‘stelselbeheer’ wordt bedoeld het beheer van de set afspraken voor de instandhouding en doorontwikkeling van het eID Stelsel, de ondersteuning van de governance en communicatie, voorlichting, operationeel toezicht en naleving, en (eventuele) ondersteuning en coördinatie bij de toetreding en uittreding tot het stelsel. Hierbij horen tevens de technische componenten die nodig zijn voor het stelselbeheer van het operationele netwerk. Dit zijn generieke stelselvoorzieningen: de dienstencatalogus, en testfaciliteiten. Deze generieke stelselvoorzieningen zijn nodig als sluitstuk op het stelselbeheer. Mijlpalen De belangrijkste mijlpalen/resultaten voor dit project zijn als volgt: 1. Het inrichten van een beheerorganisatie gedurende 2014, die op 1 januari 2015 gereed is om eID-producten in beheer te nemen. De beheerorganisatie is daarmee op tijd klaar om een eerste productierijpe versie van het eIDafsprakenstelsel in beheer te nemen. a. Het opstellen van acceptatiecriteria en -proces voor een soepele en zorgvuldige inbeheername van het Afsprakenstelsel eID en generieke stelselvoorzieningen. b. De eigen processen van de beheerorganisatie gereed maken voor eID Stelsel. 2. Het opleveren van het Operationeel Handboek als onderdeel van het Afsprakenstelsel eID. Daarin zijn de stelselbrede beheerprocessen beschreven, zoals het change- en releaseproces, het toetredingsproces, het incidentmanagementproces, onderhoudsprocessen voor het operationele netwerk etc. Deze beheerprocessen zijn nodig om de taken van de beheerorganisatie te kunnen uitvoeren. Het Operationeel Handboek moet uiterlijk 1 november 2014 gereed zijn. a. Deze stelselbeheerprocessen zijn in belangrijke mate gerelateerd aan het besluitvormingsproces cq. governancestructuur van het eID Stelsel. Voor de uitvoering van vrijwel alle processen is besluitvorming nodig van de diverse gremia die het stelsel beheren en doorontwikkelen. Onzekerheden De belangrijkste onzekerheden voor dit project zijn als volgt: 1. De beheerfase treedt in wanneer er een productierijpe versie van het eID afsprakenstelsel wordt vastgesteld. Het is dan ook een risico dat er vertraging optreedt in de planning van het project Inrichten Beheer eID Stelsel, wanneer het Afsprakenstelsel niet tijdig wordt opgeleverd. 2. Het is vooralsnog onduidelijk welke partij stelselverantwoordelijke zal zijn voor het eID afsprakenstelsel wanneer de beheerfase start. De vraag is welke partij de stelselverantwoordelijkheid op zich zal nemen en daarmee ook de


39

aansturing is voor de beheerorganisatie. Hierover moet worden besloten alvorens de beheerorganisatie haar werk kan starten. 3. Het is vooralsnog onduidelijk hoe operationele toezicht en naleving worden uitgevoerd wanneer de beheerfase start. Hoe is de relatie tussen de beheerorganisatie en de toezichthouder? Hierover moet worden besloten alvorens de beheerorganisatie haar werk kan starten. Randvoorwaarden 1. Opleverplanning vanuit het programma eID voor (alle onderdelen van) het afsprakenstelsel eID. Wie levert wat wanneer? 2. Beslissing over welke partij stelselverantwoordelijke is alvorens de beheerfase start. 3. Beslissing over de wijze waarop operationele toezicht wordt uitgevoerd alvorens de beheerfase start. 7.2 Betrouwbaarheidsniveaus Een belangrijke functie van het eID Stelsel NL is de authenticatie van gebruikers voor dienstaanbieders. De betrouwbaarheid van de uitgevoerde authenticatie is medebepalend of gebruikers toegang krijgen tot diensten. De betrouwbaarheid hangt af van: a. b. c.

De kwaliteit van het registratieproces van de gebruiker door de authenticatiedienst. De wijze waarop het authenticatiemiddel ter beschikking is gesteld aan de gebruiker. De robuustheid van het authenticatiemiddel tegen compromitteren.

Er zijn verschillende normenkaders voor het bepalen van het niveau van de betrouwbaarheid van de authenticatie. Het normenkader betrouwbaarheidsniveaus zal onderdeel worden van het Afsprakenstelsel eID op basis waarvan toezicht en handhaving kan worden uitgevoerd. Analyse bestaande normenkaders (zie bijlage 3): Aansluiten bij een gestandaardiseerd normenkader is wenselijk. Dit voorkomt discussies en vertaalslagen van niveaus tussen verschillende kaders. De Europese eIDAS verordening gaat uit van slechts drie niveaus in plaats van de in STORK en ISO gebruikelijke vier niveaus. 7.3 Toezicht Vertrouwen en veiligheid zijn de kritische succesfactoren voor het eID Stelsel. Het eID Stelsel lijkt het best te vergelijken met de bankensector: een vitale infrastructuur voor de gehele maatschappij. Essentiële onderdelen daarvan zijn specifieke overheidstaken. Dat vereist dat er aan de hoogste betrouwbaarheidsnormen wordt voldaan bij de inrichting en gebruik van het eID Stelsel. Een streng (en onafhankelijk) toezicht is noodzakelijk om aan te kunnen tonen dat iedereen binnen het stelsel zich houdt aan de afspraken en daarmee het vertrouwen in het systeem te borgen. Het inrichten van onafhankelijk toezicht (organisatorisch beleggen en wettelijk verankeren) kost tijd. Daarom wordt een gefaseerde aanpak nagestreefd. Fasen die deels parallel lopen: 

De totstandkoming van het eID Stelsel vergt allereerst het samenvoegen van verschillende vertrouwensdiensten. Zaak is dat het toezicht op de verschillende onderdelen van deze vertrouwensdiensten geïntegreerd plaats gaat vinden. Hierbij dient


40

 

uiteraard rekening te worden gehouden met de lessen geleerd uit de Diginotar-zaak (lees: aanbevelingen OVV en Logica) alsook met de nieuwe Europese ‘Verordening elektronische identiteiten en vertrouwensdiensten’. Het geïntegreerde toezicht daadwerkelijk beleggen bij een onafhankelijk toezichthouder. De wettelijke grondslag van deze toezichthouder moet gerealiseerd worden.

Stap 1 (korte termijn): Het toezichtkader van de bestaande vertrouwensdiensten PKI, DigiD en eHerkenning moet in elkaar geschoven worden. Het idee is dat er op korte termijn een integratie van het toezicht van de bestaande vertrouwensdiensten PKI, DigiD en eHerkenning tot stand kan komen en dat deze zich verder kan doorontwikkelen naar een ook beleidsmatig gewenste situatie met een publiek wettelijke grondslag. Als basis en uitgangspunt zal eHerkenning worden gebruikt. Uitgaande van de huidige situatie wordt vanuit de beheerorganisatie Logius een beeld geschetst van de gewenste situatie op de korte termijn voor wat betreft de inrichting van het toezicht. Daarbij hebben de volgende punten de aandacht:  welke onderdelen vallen onder het operationeel toezicht en de naleving geredeneerd vanuit de huidige toezichtarrangementen en de mogelijke verbeteringen;  welke onderdelen en verbeteringen uit de toezichtsarrangementen voor eHerkenning, DigiD, gekwalificeerde certificaten en PKI-overheid zijn toepasbaar voor het eID Stelsel;  er wordt een voorstel gedaan voor een normenkader en risicoanalyse voor het eID Stelsel, waarbij zoveel mogelijk wordt geput uit / aangesloten bij bestaande normenkaders voor eHerkenning, DigiD, gekwalificeerde certificaten en PKIoverheid;  er wordt een analyse gemaakt of en welke bestaande sanctiemogelijkheden van eHerkenning, DigiD en PKI kunnen worden overgenomen en toepasbaar zijn binnen het eID Stelsel;  er wordt een voorstel gedaan hoe het document Rechten en plichten, wat nu nog een separaat document is binnen eHerkenning, een geïntegreerd geheel met het Afsprakenstelsel eID wordt. Randvoorwaarde daarbij is dat het een geïntegreerd toezicht wordt met minimale lasten voor de betrokkenen. Bovendien moet er een goede scheiding zijn tussen beheer en toezicht. Hiervoor is inmiddels een plan van aanpak opgesteld. Stappen 2 en 3 (middellange en lange termijn): toezicht op eID Stelsel beleggen bij een onafhankelijk toezichthouder en toewerken naar een toezichthouder voor de digitale overheidsinfrastructuur. eID voorziet in de algemene behoefte van de samenleving naar beschikbaarheid van betrouwbare middelen voor veilige elektronische communicatie. Het gaat om algemene infrastructuur ten dienste van ons allen, vergelijkbaar met rijkswegen en het elektriciteitsnet. De overheid waarborgt ook niet dat er bepaald aanbod is o.i.d. – in beginsel is dit marktgestuurd - maar de overheid zorgt wel dat er algemeen toezicht is op degenen die middelen aanbieden en zorgt voor ordening zodanig dat het als een stelsel kan functioneren. Toezicht wordt in dit kader belegd bij een onafhankelijk toezichthouder (stap 2). De toezichthouder op het eID Stelsel heeft een wettelijke grondslag nodig. Die moet gecreëerd worden. De vormgeving van het toezicht op het eID Stelsel kan niet los worden gezien van een recent voorstel van Rob Kuipers waarin hij pleit voor een Generieke Digitale


41

Infrastructuur16. Hieronder vallen ook essentiële generieke onderdelen van de overheidsinfrastructuur, waaronder eID. Het ligt voor de hand om het toezicht op de essentiële onderdelen van deze digitale infrastructuur, waaronder dus ook het toezicht op het eID Stelsel, uiteindelijk ook bij deze toezichthouder te beleggen (stap 3). Daarnaast vereist de vormgeving van het toezicht de beantwoording van diverse beleidsvragen. Daarbij moet vooral gekeken worden naar de voorwaarden waaronder het toezicht kan worden uitgevoerd, bijvoorbeeld in welke mate dient het eerstelijns toezicht ook door de toezichthouder te worden uitgevoerd? Planning Actie

Wanneer

Actor

Onderzoek gewenste eindsituatie vanuit Beheer

Q1-Nov 2014

Project Toezicht

Uitwerken beleidsvragen / vormgeven toezicht

Q3-Q4 2014

Project Toezicht

Start beheerorganisatie eID

Jan 2015

Programma eID

16

Geen goede overheidsdienstverlening zonder een uitstekende digitale infrastructuur, Rob Kuipers (ABD Topconsult), 14 januari 2014.


42

8.0 Juridische aspecten In het kader van eID zijn de belangrijkste juridische aspecten de volgende:

1.

Wetgeving

2.

Juridische kaders pilot

3.

Juridische onderdelen Afsprakenstelsel.

4.

Juridische advisering.

5.

Overige juridische aspecten, zoals ondersteunen bij Kamervragen.

8.1 Wetgeving Voor het volledig operationeel kunnen zijn van alle elementen van het eID Stelsel is formele wetgeving een voorwaarde. In deze paragraaf is een indicatieve planning van het wetgevingstraject opgenomen. Op hoofdlijnen is het doorlooptraject voor wetgeving circa 31 maanden na oplevering van de startnotitie, waarbij voorzien is in advisering door het College Bescherming Persoonsgegevens. Doel van de startnotitie is de contouren van de te ontwerpen wettelijke regeling te schetsen en daarbij aan te geven op welke aspecten invulling en beleidsvorming nodig is om tot nadere uitwerking van een wettelijke regeling te komen. De regie op de wetgeving voor het eID Stelsel ligt bij de schrijfgroep wetgeving als onderdeel van de Juridische WerkgroepeID. Deze schrijfgroep wordt gevormd door wetgevingsjuristen van de twee verantwoordelijke ministeries BZK en EZ alsmede de juridisch adviseur van de Belastingdienst en wordt gecoördineerd door de juridische directeuren van de directie CZW van BZK en Directie WJZ van EZ. De overige leden van de Juridische WerkgroepeID fungeren voor dit deel van het werk als Klankbord voor de schrijfgroep en zijn daarnaast verantwoordelijk voor andere juridische aspecten (aansluitvoorwaarden, contracten, etc.), welke door de Juridische Werkgroep eID in kaart moeten worden gebracht. De juridisch directeuren van BZK en EZ zijn verantwoordelijk voor de afstemming met de betrokken beleidsdirecties van BZK en EZ en voor de kwaliteit en voortgang van de wetgeving. Het programmamanagement is – namens de StuurgroepeID - verantwoordelijk voor het doen realiseren van de benodigde besluitvorming en het actief monitoren van de voortgang. Beslispunten worden via de Juridisch Directeuren en de gebruikelijke programmalijn aan de StuurgroepeID voorgelegd. Het programmamanagement neemt voor dit onderwerp deel aan de bespreking met de Juridisch Directeuren. Belangrijk is dat de resultaten met zoveel mogelijk partijen wordt gedeeld. Dit is gericht op het verkrijgen van draagvlak. Om deze reden wordt een Klankbordgroep "Juridische aspecten eID" ingesteld met juristen van andere dienstaanbieders. Deze Klankbordgroep "Juridische aspecten eID" zorgt voor afstemming van producten van de Juridische WerkgroepeID (inclusief wetgeving). De planning van het gehele structurele wetgevingstraject en de andere juridische aspecten als contracten, aansluitvoorwaarden en Dienstenniveauovereenkomsten staat in onderstaande tabel.


43

Actie 

wanneer

Actor

juni 2014

overleg met BZK (B&I, CZW)

Te komen tot één Juridische werkgroepeID onder aansturing van het programmamanagement. Naast BZK/B&I/CZW worden andere leden van de StuurgroepeID gevraagd deelnemers te leveren voor dit juridisch overleg.



In de prioritering van de Juridische WerkgroepeID als eerste te bezien wat er nodig is voor de pilots en hierover in juli 2014

Programmamanagement in

de StuurgroepeID nader te informeren. Er ligt al een eerste

en EZ

analyse. Voor uitputtend juridisch advies is nodig dat eerst een plan van aanpak voor de pilots beschikbaar is waaruit blijkt hoe die er precies gaan uitzien.

Programmamanagement in 

Opnemen van het wetgevingsproject in de

juni 2014

wetgevingskalender van BZK

o

overleg met de Juridische WerkgroepeID

Startnotitie Wetgeving/IAK ter bespreking in het BAOeID en StuurgroepeID met:de lijst van noodzakelijke beslispunten;

o

Het uitzetten van de vraag aan alle departementen voor

juli 2014

Juridische WerkgroepeID

juli 2014

BZK

een inventarisatie van aan te passen regelgeving. o

Inventarisatie van hetgeen in wetgeving, lagere regelgeving of in civielrechtelijke afspraken moet komen.



Na StuurgroepeID toezenden aan toetsingscommissie administratieve lasten



Beantwoording openstaande beleidsvragen, opstellen conceptregeling met toelichting.

juli 2014 – jan 2015


Juridische WerkgroepeID in 

Besluitvorming over juridische aspecten van de pilots,

sept. 2014

waaronder de Stelselregistratiedienst, auditing en toezicht.



Inrichten Klankbordgroep "Juridische aspecten eID"



Ondersteuning PIA (privacy) 2.0 Afsprakenstelsel 2.0

overleg met Programmamanagement

sept. 2014

okt. 2014

Juridische WerkgroepeID in overleg met BAOeID Juridische WerkgroepeID Juridische WerkgroepeID i.c.



Eerste aanzet wetsvoorstel en MvT

jan. 2015

Klankbordgroep "Juridische aspecten eID" en daarna via BAOeID naar de StuurgroepeID



Melding aan CBP dat BZK voornemens is om een wetsontwerp eID te ontwikkelen en dat er een adviesaanvrage komt.

jan. 2015

BZK

Succes van het traject wordt beter geborgd, wanneer het CBP er in een vroegtijdig stadium bij wordt betrokken. 

Juridische WerkgroepeID i.c.

1e concept aansluitvoorwaarden eID en Dienstenniveauovereenkomst of SLA met dienstenleveranciers en middelenleveranciers. Dit zal nog nader moeten worden onderzocht ivm afweging over hetgeen op wetgevingsniveau en op het niveau van overeenkomsten moet worden geregeld.


Klankbordgroep "Juridische feb. 2015

aspecten eID" en daarna met advies aan de StuurgroepeID via het BAOeID,

44

feb-maart 

Interdepartementale afstemming



Consultatie



BZK-wetgevingstoets



WKB-wetgevingstoets



Adviesaanvraag CBP

2015 apr-juni 2015

Juridische WerkgroepeID /BZK


juli 2015 (2



Behandeling voorportaal, onderraad, ministerraad



Wetsvoorstel naar de Raad van State



Nader Rapport aan De Koning



Wetsvoorstel naar TK



Starten met het opstellen van eventuele uitvoeringsregelgeving (gedelegeerd, AMvB’s en Ministeriële Regelingen. Die zullen tegelijk klaar zijn met de wet om het geheel per 1 januari 2017 te kunnen laten werken.

BZK

wk.) juli 2015

BZK/VenJ

aug. 2015


okt. 2015

Juridische WerkgroepeID /departementen

nov 2015 –

Departementen

jan 2016 feb. 2016

Departementen

mrt. 2016

Departementen

mrt. 2016


apr-sep. 

Debat in TK en besluitvorming in TK



Wetsvoorstel naar EK

Departementen

2016 sep-okt.

Departementen

2016

Juridische WerkgroepeID. Te bespreken in de 

Besluitvorming voorbereiden over eventuele uitvoeringsregelgeving (gedelegeerd, AMvB’s en Ministeriële

sept. 2016

Regelingen.

Klankbordgroep "Juridische aspecten eID" en daarna met een advies naar de StuurgroepeID via het BAOeID.

okt 2016

Debat in EK



Implementatie wetgeving, ondertekening



Staatsblad, inwerkingtreding

Departementen

jan 2017 jan. 2017

Departementen

feb. 2017

Programmamanagement

De detailplanning is opgenomen in een separate startnotitie wetgeving/IAK. Door de Juridische WerkgroepeID zal tevens een bijdrage worden geleverd aan het daadwerkelijk implementeren van het Toezicht en de Stelselregistratiedienst. De Stelselregistratiedienst is zelfs al nodig wanneer de pilots starten. Hier ligt een opgave voor Q3 en Q4 2014. Daarbij zal ook moeten worden bezien hoe dat tijdelijk juridisch kan worden ingebed.


45

8.2 Juridisch kader pilots Gezien de planning van de wetgeving moeten de pilots in 2015 worden uitgevoerd binnen de huidige wettelijke kaders. Er komt een overkoepelend pilotplan, terwijl elke organisatie die een pilot gaat uitvoeren intern een plan opstelt. De Juridische werkgroep eID verleent hierbij zo nodig ondersteuning aan de juristen van de betrokken organisaties. Het plan wordt in ieder geval voorgelegd aan de Juridische WerkgroepeID. Het gaat hierbij om bijvoorbeeld de volgende vragen. Vraagstukken ten aanzien van de pilots (waarover formeel nog moet worden besloten) zijn bijvoorbeeld: 

Kunnen de pilots plaats vinden binnen de juridische kaders van eHerkenning en DigiD? Of is er aanvullende regelgeving nodig



Is de huidige weten regelgeving op het terrein van toezicht toereikend?



Wat is juridisch nodig om een beheerorganisatie zijn werk te kunnen laten doen en welke beheerorganisatie is waarvoor verantwoordelijk?



Is toelating tot het afsprakenstelsel eHerkenning een voorwaarde om juridisch valide transacties in het kader van de pilots te kunnen doen?

Afhankelijk van de uitkomsten kan een planning voor vervolgactiviteiten ten behoeve van juridische verankering van de pilots worden gemaakt. 8.3 Juridische onderdelen Afsprakenstelsel De juridische hoofdstukken zijn een belangrijk onderdeel van het Afsprakenstelsel. Hierin zullen een aantal zaken juridisch geborgd moeten worden zoals verantwoordelijkheden en aansprakelijkheid. De documenten uit eHerkenning, PKI en DigiD worden nu geanalyseerd om te bepalen welke rechten en plichten we minimaal ook in het eID stelsel nodig hebben en hoe de relatie tussen wettelijke regeling en Afsprakenstelsel ingericht gaat worden. Daarmee wordt de bestaande praktijk gebruikt om een en ander in het eID Stelsel structureel te regelen. Deze onderdelen hebben een sterke relatie met de voorgaande twee onderdelen. De Juridische WerkgroepeID is verantwoordelijk voor het aanleveren van de juridische onderdelen van het afsprakenstelsel. Tevens zal er een minimale afstemming moeten plaatsvinden met de Juridische WerkgroepeID inzake de planning en totstandkoming van de PIA 2.0. Voor de versie van het Afsprakenstelsel 2.0 (voorzien in november), zullen de eerste documenten zijn opgeleverd (na analyse eHerkenning, PKIoverheid en organisatie DigiD).

8.4 Advisering over overige juridische aspecten Naast de bovenstaande zaken zullen alle voorkomende juridische vragen die binnen het programma opkomen aan de werkgroep worden voorgelegd. Het kan hierbij gaan om vragen over privacy/gegevensbescherming, intellectuele eigendom, aanbesteding, Europees recht, (ondersteuning bij) Kamervragen etc. De Juridische WerkgroepeID voert regie op de beantwoording hiervan. De behandeling kan ook bij andere onderdelen van de ministeries worden neergelegd.


46

9.0 Communicatie extern 9.1 Inleiding In dit hoofdstuk wordt de externe communicatie voor het programma eID beschreven. Begin 2014 heeft het eID-communicatieam een communicatieplan voorgelegd aan de StuurgroepeID. Op dit plan is positief gereageerd. Dit plan is echter niet vastgesteld, omdat er ook een communicatiestrategie in stond voor de DigiD-kaart, waarover nog geen politiek besluit was/is. Het plan fungeert momenteel wel als uitgangspunt bij de operationele activiteiten van Communicatie. 9.2 Doelstelling en resultaten Communicatie draagt op de volgende wijze bij aan de realisatie van het programmaresultaat: 1. Het informeren van communicatiedoelgroepen over de komst van het eID Stelsel en (bij positieve besluitvorming) over de ontwikkeling van een publiek middel hoog. 2. Het merk eID(-stelsel) onder de nieuwe naam op de juiste wijze positioneren. 3. Het pro-actief signaleren, analyseren en terugkoppelen van de wijze waarop eID bij de verschillende communicatiedoelgroepen wordt beleefd. 4. Het stimuleren van de aansluiting van dienstaanbieders op het eID Stelsel. 5. Het stimuleren van leveranciers om deel te nemen aan het eID Stelsel. 9.3 Aanpak Voor het behalen van de doelstellingen en resultaten wordt de volgende communicatiestrategie gehanteerd: 1. In onze communicatie sluiten we aan bij de brede behoefte van overheid en bedrijfsleven aan meer zekerheid over digitale identiteit. 2. Het programma eID informeert in 2014 primair dienstaanbieders en leveranciers. 3. Richting gebruikers is het uitgangspunt: ‘need to know’-communicatie 4. Benadruk in de communicatie de publiek-private samenwerking. 5. Communiceer over het eID Stelsel in samenhang met bestaande voorzieningen. Toelichting: Ad 1. In onze communicatie sluiten we aan bij de brede behoefte van overheid en bedrijfsleven aan meer zekerheid over digitale identiteit In de communicatie over het eID Stelsel wordt altijd verwezen naar de reden voor het ontwikkelen van een eID Stelsel, namelijk de breed gedragen wens van overheden en bedrijven om meer zekerheid te hebben over de online identiteit van personen en organisaties.


47

Ad 2. Programma eID informeert in 2014 primair dienstaanbieders en leveranciers. In 2014 richt het programma eID zich primair op publieke en private dienstaanbieders en ICT leveranciers (eID-deelnemers). Zonder hen is er geen werkend stelsel. Als het stelsel werkt, is het de bedoeling dat de beheerorganisatie eID informatie geeft over het eID Stelsel en informatie verstrekt over het aansluiten daarop aan dienstaanbieders. Als de dienstaanbieders zijn aangesloten is het aan hen om hun klanten te informeren over de wijze van inloggen. Het verleiden van gebruikers om een identificatiemiddel van het eID Stelsel aan te schaffen is primair de taak van de middelenleveranciers. Ad. 3 Richting gebruikers is het uitgangspunt: ‘need to know’-communicatie Voor de gebruikers is het eID Stelsel alleen relevant vanwege de bijbehorende authenticatiemiddelen, waarmee ze online zaken kunnen doen. De strategie richting gebruikers is dan ook om niet actief te communiceren over het stelsel. Het eID Stelsel is zichtbaar op de achtergrond, vertrouwd aanwezig en uitlegbaar voor geïnteresseerden. ‘Need to know’-communicatie, is het uitgangspunt. Net als bij iDeal komen gebruikers het eID Stelsel vanzelf tegen als ze zich online identificeren. Ad 4. Benadruk in de communicatie de publiek-private samenwerking Het is van belang dat het eID Stelsel laat zien dat het een publiek-private samenwerking is. Dit geeft vertrouwen in het slagen van het project. Dit moet je ook laten terugkomen in de positionering van het Stelsel, bijvoorbeeld in de naam en het logo. Ad 5. Communiceer over het eID Stelsel in samenhang met bestaande voorzieningen Als het voor de doelgroep relevant is, wordt bij communicatie over het eID Stelsel aangegeven wat de gevolgen zijn voor bestaande authenticatieoplossingen en -middelen van de overheid, zoals DigiD (Machtigen), eHerkenning en PKIoverheid. Om te voorkomen dat partijen niet willen of twijfelen over aansluiten op eHerkenning, wordt in de communicatie-uitingen aangegeven dat eHerkenning migreert naar/ aansluit op het eID Stelsel. 9.4 Naamgeving Tot nu toe is er binnen het programma en de betrokken organisaties gesproken over eID en het eID Stelsel. Deze blijken echter merkenrechtelijk niet bruikbaar, omdat de term eID ook elders wordt gebruikt, bijvoorbeeld in domeinnamen of als geregistreerde merknaam. Bovendien is gebleken dat de naam eID Stelsel communicatief niet goed werkt. Ter voorbereiding van de komst van het eID Stelsel is na onderzoek een nieuwe naam voorgelegd aan de StuurgroepeID en goedgekeurd. De nieuwe naam is voorgelegd aan beide ministers en akkoord bevonden. Tegelijkertijd worden enkele lanceringscenario’s ontwikkeld en wordt het wel of niet meegaan in de rijkshuisstijl of het ontwikkelen van een eigen huisstijl inclusief logo onderzocht. Het laatste heeft vooral te maken met nog te maken keuzes over positionering van het eID Stelsel door betrokken organisaties en marktpartijen. 9.5 Woordvoering, media en stakeholders -

-

BZK en EZ zijn verantwoordelijk voor het eID Stelsel. De woordvoering is belegd bij BZK, in afstemming met EZ. Beide stemmen af met Communicatie van het ProgrammaeID. Het programmaeID is verantwoordelijk voor de mediastrategie. Het eIDcommunicatieteam maakt elke maand een Signalering voor het PVOeID, waarin signalen van media of externe stakeholders worden omgezet in adviezen voor het


48

Programma. Daarnaast maakt zij elk kwartaal een media-analyse, om de te kijken of de mediastrategie zoals beschreven in het communicatieplan aanpassing behoeft. Tot slot maakt het team ieder half jaar een stakeholdersanalyse. Dit is een middel om beter zicht te krijgen op de omgeving, waardoor eventuele crises of negatieve media voorkomen kunnen worden.


49

10.0 Programmamanagement 10.1 Inrichting De inrichting van het programma is gebaseerd op ‘spelregels’. Eenduidige spelregels dragen bij aan de duidelijkheid in wederzijdse verwachtingen van organisaties en personen, die actief zijn binnen het programma. Ook voor partijen die geen onderdeel zijn van het programma, maar daar wel een belang bij hebben, is dat van belang. Het startpunt is dat er een programmabureau eID is met een programmamanagement. De StuurgroepeID besluit en het programmamanagement levert via het BAOeID informatie aan. In het BAOeID vindt de inhoudelijke discussie plaats. De StuurgroepeID besluit dan op basis van committent of “agreement to disagree” die in het BAOeID tot uiting is gekomen. Het programma functioneert op basis van een aantal leidende principes:



In principe worden alle stukken voor de StuurgroepeID voorbesproken in de vooroverleggen BAOeID (Beleids en Adviesoverleg eID) en PVOeID (Programma Voortgangsoverleg eID). Indien hiervan wordt afgeweken, wordt dat toegelicht.



Onderwerpen die van belang zijn voor het toekomstige functioneren van het eID Stelsel (structurele zaken), worden van advies voorzien door het eID-platform. Voor de structureel inhoudelijke onderdelen van het eID Stelsel neemt de stuurgroep eID het advies van het eID-platform mee in de besluitvorming.



Transparantie binnen het programma en tussen programma en betrokken ‘lijn’organisaties is van belang; zowel ten aanzien van inhoud als proces.



De verantwoordelijkheidsverdeling en taakverdeling tussen de verschillende gremia is voor iedereen helder.

10.2 Besluitvormings- en overlegstructuur De besluitvormings- en overlegstructuur binnen het programma is hieronder uiteengezet. Ten opzichte van de huidige structuur is in de kern niet veel veranderd. Er is nog steeds een operationeel / inhoudelijk, een tactisch en een strategisch niveau te onderkennen. Echter, het doel is om in de praktijk het samenspel tussen deze overleggremia eenduidiger en meer rolzuiver te laten verlopen; conform de bij 10.1 benoemde spelregels. 

De StuurgroepeID: o De StuurgroepeID is het sturingsorgaan voor het programma als geheel. o De StuurgroepeID neemt besluiten op basis van de in het BAOeID besproken opleggers en het advies van het eID-platform. o De DGBK is technisch voorzitter van de StuurgroepeID. o In de StuurgroepeID zijn in ieder geval betrokken de directeuren van de betrokken departementen en de voorzitter van de Manifestgroep. De RDW zal ook deel uitmaken van de StuurgroepeID tenzij wordt besloten dat er geen eRijbewijs komt. o De relatie met de “andere overheden” wordt nog bezien.


50

o o

De voorzitter van de StuurgroepeID en het programmamanagement hebben periodiek overleg en onderhouden, waar nodig, intensief contact. Het Tactisch Overleg eHerkenning kan de StuurgroepeID adviseren met betrekking tot stelselafspraken. Ook in relatie tot eHerkenning hebben de voorzitter van de StuurgroepeID en het programmamanagement, waar nodig, intensief contact.



Het BAOeID (Beleids en Adviesoverleg eID): o De BAOeID is het voorportaal van de StuurgroepeID en kan binnen de mandatering door de StuurgroepeID zelf besluiten nemen. o In het BAOeID zitten in ieder geval de adviseurs van alle leden van de StuurgroepeID. o Het BAOeID bereidt de StuurgroepeID voor en bespreekt de door projectleiders en programmamanagement voorbereide documenten en opleggers voor de StuurgroepeID. o In deze opleggers staan de beslispunten (met betrekking tot geld, politieke aspecten, planning, voortgang, etc.) en zonodig “agreements to disagree”. o Het BAOeID zorgt ervoor dat de consequenties van besluiten helder zijn voor de leden van de StuurgroepeID. o Één van de programmamanagers is voorzitter van het BAOeID.



Het PVOeID (Programma Voortgangsoverleg eID): o Het PVOeID is het overleg van de projectleiders en andere inhoudelijk deskundigen. o In het PVOeID wordt de voortgang van projecten en vooral samenhang en afhankelijkheden tussen projecten besproken. o Daarnaast verzorgt het PVOeID de inhoudelijke voorbereiding van adviezen aan het BAOeID en de StuurgroepeID. o Één van de programmamanagers is voorzitter van het PVOeID.



Het eID-platform: o Het eID-platform is het overlegorgaan tussen private en publieke sector met betrekking tot de ontwikkeling van het eID Stelsel. o De voorzitter van het eID-platform is een onafhankelijk aangestelde voorzitter. o Het eID-platform kan de StuurgroepeID gevraagd en ongevraagd adviseren op relevante terreinen. Met relevante terreinen wordt bedoeld inhoudelijke onderwerpen die in de toekomst van belang zijn voor het functioneren van het werkende eID Stelsel. Bijvoorbeeld het businessmodel, de definitieve governancestructuur, informatiebeveiliging, het ontwerp van het stelsel, risicomanagement etc. Indien private partijen in een project- of werkgroep betrokken zijn, zal het eID-platform rechtstreeks worden geïnformeerd. Gelijktijdig zullen ook het BAOeID en de StuurgroepeID worden geïnformeerd. o In het eID-platform kunnen ook zaken geagendeerd en behandeld worden vanuit andere leden dan het programma eID. Leden kunnen ook zelf onderwerpen aandragen bij het eID-platform secretariaat. o De voorzitter van de StuurgroepeID en de voorzitter van het eID-platform stemmen vooraf de conceptagenda van het eID-platform af.

In aanvulling op de hiervoor geschetste structuur is er een periodiek overleg (PO) van de programmamanagers met de verantwoordelijke directies van EZ èn BZK.


51

De lijn die is gekozen is er één van zorgvuldigheid. Soms verhoudt zich dat niet met snelheid die ook noodzakelijk is op sommige punten. In zo’n geval kan het programmamanagement in overleg met de voorzitter van de StuurgroepeID besluiten stappen over te slaan. Omwille van het transparant delen van informatie zal het programmamanagement hierover altijd het PVOeID, het BAOeID en het eID-platform informeren. Met het bovenstaande ziet de overlegstructuur er als volgt uit:

-

Samenhang met beleid, met de ontwikkeling van DigiD en eHerkenning Sommige aspecten worden voorbereid in het beleidscircuit van in ieder geval BZK en EZ. Deze documenten worden door de beleidsmakers via het PVOeID en het BAOeID voorgelegd aan de StuurgroepeID. De ontwikkeling van DigiD en eHerkenning heeft impact op de keuzes die worden gemaakt in het kader van eID. Daarom zal met DigiD en eHerkenning worden overlegd om relevante besluiten te bespreken met het programmamanagement eID. Indien nodig kan het programmamanagement eID de punten agenderen in de StuurgroepeID.


52

10.3Inrichting projecten In het programmaplan eID van september 2013 worden een aantal projecten en zogenoemde ‘ondersteunende’ activiteiten onderkend. Elk project kent een projectleider; elke ondersteunende activiteit een trekker. Zie onderstaande tabel. Project / “Ondersteuning” Afsprakenstelsel eID Governance eID Stelsel Roadmap migratie Toezicht DigiD-kaart

Communicatie Marktbewerking Voorbereiden politieke besluitvorming Juridica en wetgeving Internationaal Kwaliteitsborging


53

Voor de meeste lopende projecten en expertisegebieden binnen het programma geldt dat de herijking van het programmaplan geen grote implicaties heeft voor de onderscheiden project doelstellingen. Voor de doorlooptijden, scope en specifieke projectresultaten kan dat overigens wel het geval zijn. Voor het project DigiD-kaart daarentegen is, op grond van recente inzichten en verwachte besluiten, sprake van een significante scope-aanpassing. De StuurgroepeID heeft op 5 juni 2014 besloten deze programma doelstelling te laten vervallen, waarmee ook dit project vervalt. Ten aanzien van Voorbereiden politieke besluitvorming geldt dat dit vervalt als expertisegebied binnen het programma als uitvloeisel van de beoogde duidelijkheid ten aanzien van de scheidslijn tussen beleid en uitvoering. Het voorbereiden van de politieke besluitvorming behoort tot de verantwoordelijkheid van de betrokken departementen. Vanzelfsprekend dient er wel inhoudelijke afstemming gezocht te worden met het programmamanagement voor onderwerpen die de scope van het programma raken. Nader bekeken zal worden hoe dit kan worden geborgd in de overlegstructuur (bijvoorbeeld door een departementale vertegenwoordiger in het PVOeID.) Daar staat tegenover dat een aantal programma resultaten dusdanig belangrijk en/of omvangrijk zijn, dat deze ook als separaat (deel)project zullen worden ingericht. Het betreft dan de (nieuwe) projecten:  Inrichten beheerorganisatie  Realisatie pilots eID De realisatie van de Stelselregistratiedienst zal, omwille van het belang, specifiek als deelproject (met een eigen deelprojectleider) worden ingericht; binnen het project Roadmap migratie. De ‘ondersteunende’ activiteit Kwaliteitsborging in het oorspronkelijke programmaplan is in de praktijk niet ingevuld. In dit MasterplaneID is deze belangrijke rol voorzien als onderdeel van het programmabureau. Dit leidt tot het volgende overzicht aan projecten en expertisegebieden binnen het programma eID:

Project / Expertisegebied Afsprakenstelsel eID Governance eID Stelsel Roadmap migratie, w.o. 

Deelproject Stelselregistratiedienst

Toezicht Inrichten beheerorganisatie Pilots eID


54

Communicatie en Marktbewerking Juridische WerkgroepeID Internationaal

Programmabureau, w.o. borging van 

Architectuur



Kwaliteit

Uniformiteit van zowel beleid en uitvoering ‘overheidsbreed’ is van groot belang. Daar waar interne inspanningen op diverse (deel)gebieden van de elektronische identiteit worden geleverd is afstemming gewenst. Zichtbaarheid van het programma eID kan tot samenwerking en synergie leiden met andere departementen die eigen trajecten in ontwikkeling hebben die het eID Stelsel raken. Tijdig overleg, advisering en (deel)participatie levert niet alleen uniformiteit op maar kan ook tot een (her)synchronisatie van trajecten en kennisdeling leiden, wat rijksbreed voordeel kan opleveren. Gedacht moet worden aan rijksweb, gastsprekers op diverse symposia en het gericht benaderen van programma’s, projecten en beleidstrajecten. Dit kan gerealiseerd en gecoördineerd worden vanuit bijvoorbeeld een ‘eID Kenniscentrum’ waar, onder andere, expertise en informatie gebracht en gehaald kan worden. Secundair is er al een actieve participatie van externe marktpartijen door middel van bijvoorbeeld het eID-platform. Dit heeft een gericht doel van actieve participatie, marktontwikkeling, etc., welke synchroon lopen aan het traject van ontwikkeling, uitrol en beheer van het eID Stelsel. Bovenstaand voorstel van aanpak binnen de overheid kan, in het kader van marktontwikkeling en kennisdeling, hier ook van toepassing zijn.

10.4 Communicatie Om te zorgen dat het programma als geheel eenzelfde boodschap naar buiten uitdraagt, en richting de juiste doelgroepen, worden alle aanvragen voor presentaties over eID gemeld bij Communicatie. Bij twijfel wordt in het programmabureau besloten of de aanvraag wel of niet gehonoreerd wordt. Presentaties worden vooraf afgestemd met Communicatie. Interne communicatie is de verantwoordelijkheid van het programmamanagement, ondersteund door de programmasecretaris. Communicatie geeft indien gewenst advies of leest mee. Om de communicatie over het programma eID Stelsel te laten slagen is het van belang input te krijgen van en samen te werken met verschillende betrokken organisaties. Daarom zorgt Communicatie voor afstemming met communicatieafdelingen, - adviseurs van de organisaties van de leden van de Stuurgroep en het eID-platform. De woordvoering over het programma eID is belegd bij BZK. Eerste contactpersoon van de woordvoerder is de trekker Communicatie. Zij voorziet BZK van informatie en bespreekt de


55

mediastrategie (in overleg met het programmamanagement). Andere betrokken partijen bij het programma, communiceren niet met de media over het programma. De projectleiders zijn verantwoordelijk voor de communicatiedoelen van hun project (intern en extern), waarbij zij communicatieadvies en – ondersteuning afnemen bij Communicatie. De projectleiders nemen de kosten voor extra, projectspecifieke communicatie op binnen hun projectbegroting. 10.5 Positionering Het programma is momenteel ingericht als netwerkorganisatie, waarbij de medewerkers zowel in Den Haag als in Utrecht werkzaam zijn. Gezien de behoefte aan een centrale locatie in het land (voor de medewerkers die uit andere delen dan het westen van het land komen) enerzijds en de nauwe contacten met de verschillende beleidsdepartementen anderzijds zal deze inrichting worden gehandhaafd. Het programmamanagement wordt door een klein programmabureau ondersteund. Dat bureau bestaat, naast de programmamanagers, uit een inhoudelijk adviseur (parttime), de coördinator ‘juridisch, politiek, interdepartementaal’, de programma-architect, de QA officer, een medewerker communicatie, de programmasecretaris en de secretaresse. Ten aanzien van de positionering, ofwel organieke structuur, van het programmabureau zijn hieronder de voor- en nadelen geschetst van een ‘ophanging’ bij verschillende mogelijke partijen. Voor de goede orde: de StuurgroepeID blijft hoe dan ook opdrachtgever voor het programma(management); ongeacht de organieke ‘ophanging’. Organieke positionering van het Programmabureau eID Beleid en uitvoering zijn twee verschillende zaken die ook om functiescheiding vragen. Een heldere, onafhankelijke positionering van het programma schept vertrouwen bij de partners binnen en buiten de publieke sector. Er zijn verschillende varianten voor de organieke positionering van het Programmabureau eID, die elk zijn voor- en nadelen heeft:

Positionering

Voordeel

Nadeel

BZK





Snel te regelen.

Koppeling beleid en uitvoering: geen functiescheiding.



Door HNW lopen beleid en uitvoering nog meer door elkaar.

EZ



Snel duidelijkheid of het te regelen is.



Beeldvorming bij de partners dat we BZK zijn.



Koppeling beleid en uitvoering: geen functiescheiding.

Belastingdienst



Snel te regelen.



Dicht bij de groep in Utrecht.

RDW ICTU



Niet helder is of er werkplekken zijn.



Acceptatie door de andere uitvoerders.



Acceptatie door de andere uitvoerders.



Past binnen de doelen van ICTU.



Suggestie dat het duur is.



Snel te regelen.



Weerstand bij uitvoerders.



Kennis delende organisatie op het


56

terrein van I-overheid, PKI en authenticatie. 

Dit kan snel worden geregeld.



Er is ruimte.



Beleid en uitvoering lopen niet door elkaar.



Afstand tot beleid, maar fysiek dicht genoeg bij BZK en EZ.



Onafhankelijk e-mailadres.



Voor private partijen aantrekkelijke organisatie.

Logius



Snel te regelen.



Te dicht tegen de beheerder.



Kennis delende organisatie op het



Logius heeft een belang.

terrein van I-overheid, PKI en



authenticatie.. 

Dit kan snel worden geregeld.



Er is ruimte.



Beleid en uitvoering lopen niet door elkaar.



Afstand tot beleid.



Onafhankelijk e-mailadres.



Voor private partijen aantrekkelijke organisatie.

Separaat elders



Onafhankelijkheid wordt op alle fronten



Is gewoon duur.

benadrukt.



Kost veel tijd.



Er staat kantoorruimte van de overheid leeg.



Beeldvorming in maatschappij en politiek.

Alles overwegende heeft positionering van het programmabureau eID bij ICTU de voorkeur, juist vanwege de onafhankelijkheid van deze positionering. ICTU lijkt op zich een dure oplossing, maar dat wordt veroorzaakt door het feit dat bij ICTU alle kosten in beeld zijn, terwijl de kosten bij departementen vaak impliciet zijn. Tot slot wordt nog eens benadrukt dat de organieke ‘ophanging’ geheel los staat van de opdrachtgevers – nemers relatie tussen de StuurgroepeID en het programmamanagement.


57

Bijlage 1 Risicomanagement (risico’s en maatregelen) ID Omschrijving

Domein

Impact Kans

Waarde Beheersmaatregel

Verschillende verwachtingen t.a.v. de programmadoelstellingen bij leden van de StuurgroepeID.

Programma

Hoog

Hoog

Hoog

Expliciteren in de StuurgroepeID.

Niet tijdige oplevering van een gedragen afsprakenstelsel. Onvoldoende afstemming met de omgeving kan leiden tot het niet accepteren van het product door die omgeving.

Stelsel

Hoog

Hoog

Hoog

Intensieve samenwerking binnen programma, met publiek-private werkgroepen en met eHerkenning en DigiD.

Projecten lopen uit/langs elkaar. De samenhang van de verschillende projecten is nog onvoldoende duidelijk. Dit kan zich wreken.

Stelsel

Hoog

Midden

Hoog

Integrale planning en voortgangsbewaking; integraal programmaoverleg en samenwerking.

Mismatch bestaand & nieuw. Aanpassing bestaande voorzieningen en beoogde werking toekomstige (nog te realiseren) voorzieningen sluit niet op elkaar aan.

Migratie

Hoog

Midden

Hoog

In het project migratie wordt nauw samengewerkt met eigenaren van de bestaande voorzieningen.

Vertraging besluitvorming of aanpassing functionele eisen en daardoor inefficiënt releaseproces. Besluitvorming over werking van het stelsel vertraagd waardoor de planning in de roadmap niet gehaald kan worden. Ook kan het zijn dat er verderop in de looptijd van het programma wensen voor aanpassing komen. Beide situaties hebben een vertragend effect op de realisatie van de aanpassing van de bestaande voorziening.

Migratie

Hoog

Hoog

Hoog

De releasekalender voor de bestaande voorzieningen en de roadmap voor de migratie naar het eID Stelsel worden op elkaar afgestemd en in samenhang aangeboden voor besluitvorming door de stuurgroep. Waar vertraging in het programma optreedt of een aanvullende wens wordt geformuleerd, is het advies om een snelle impactscan door het project uit te laten voeren op de aspecten tijd, geld en kwaliteit en zonodig aanvullende besluitvorming voor te leggen aan de stuurgroep

Geen financiering beschikbaar voor de benodigde aanpassingen aan en realisatie van nieuwe voorzieningen

Migratie

Hoog

Hoog

Hoog

De financieringsbehoefte goed onder de aandacht brengen bij zowel stuurgroep(leden) als bij de NCDO.

Verbinding c.q. inventarisatie projecten, departementen, etc. t.b.v. wetgeving.

Juridica

Midden

Hoog

Hoog

Centrale coördinatie. Inrichten schrijf- en klankbordgroep

Doordat veel partijen deelname eisen in het eID-platform, wordt de werkbaarheid verminderd.

Governance

Midden

Midden

Midden

Door een zorgvuldig communicatie traject en overleg te voeren, moet er een gedragen en werkbare oplossing worden gevonden in samenwerking met de voorzitters van Stuurgroep en platform.

De ambitie om alles m.b.t. Toezicht (PKI-O, DigiD en eHerkenning) te willen stroomlijnen is te hoog gegrepen, waardoor er vertraging dreigt.

Toezicht

Midden

Midden

Midden

Door te prioriteren en door de aanpak te faseren, wordt voorkomen dat bij eventuele vertragingen alles vertraagd.


58

ID Omschrijving Door incidenten (zoals m.b.t. het publieke middel) kan het hele stelsel een negatieve connotatie krijgen.


Domein

Impact Kans

Waarde Beheersmaatregel

Communicatie

Midden

Midden

Midden

Door zorgvuldige communicatie, strakke aansturing vanuit communicatieteam en standaard presentaties wordt getracht dit te voorkomen. Door intensief communicatie uitingen te volgen, kan snel ingegrepen worden als er verkeerde informatie of beelden in de media komen.

59

Bijlage 2

Programmaproducten

Hieronder zijn de programmaproducten benoemd die in de komende periode, tot aan eind 2015 (i.c. gedurende Hoofdplateau 1) in ieder geval zullen worden opgeleverd. Zonodig zal dit overzicht worden aangevuld met de producten die in een later stadium alsnog nodig blijken. Programmaproduct

Oplevering

MasterplaneID versie 0.80

Juni 2014


Juli 2014


Juli 2014

Leidraad Pilots

Juli 2014

Projectplan Inrichten beheerorganisatie

Juli 2014

Startnotitie Wetgeving

Juli 2014

Bijgestelde projectplannen o.b.v. MasterplaneID versie 1.00

September 2014

Plan van Aanpak Pilots

September / Oktober 2014

Deelprojectplan Stelselregistratiedienst

September 2014

Plan van Aanpak Intensivering draagvlak private dienstaanbieders

November 2014

MasterplaneID versie 1.50 (incl. nieuwe financiële kaders)

Januari 2015


December 2015


December 2016


60

Bijlage 3 Bestaande normenkaders STORK Het STORK project voor eID interoperabiliteit in Europa hanteert vier betrouwbaarheidsniveaus:    

STORK STORK STORK STORK

1 2 3 4

= = = =

zo goed als geen zekerheid over de identiteit van de gebruiker redelijke zekerheid substantiële zekerheid hoge zekerheid

De niveaus zijn oorspronkelijk bedoeld om de eID oplossingen en hun niveaus van de verschillende lidstaten op elkaar af te kunnen stemmen. Het STORK niveau wordt bepaald door de betrouwbaarheid van het registratieproces en dat van het authenticatiemiddel. Onlangs is er een evaluatie geweest van de STORK niveaus. De lidstaten is gevraagd feedback te geven op de niveaus. De conclusie van de is dat de huidige STORK niveaus te weinig normatief zijn en onvoldoende aansluiten bij de huidige registratie processen voor het uitgeven van authenticatiemiddelen. Hierdoor ontstaat er regelmatig discussie over de toekenning van een niveau aan een authenticatie-oplossing. De feedback is meegenomen bij het opstellen van de implementatierichtlijnen van de eIDAS verordening. De door de lidstaten aangemelde authenticatie-oplossingen en hun betrouwbaarheidsniveaus zullen door de EC getoetst moeten worden. Hiervoor zal een normenkader moeten komen. Hiermee zal de werkgroep na goedkeuring van de verordening gaan beginnen (zie verder hieronder bij het kopje eIDAS). eHerkenning eHerkenning maakt ook gebruik van betrouwbaarheidsniveaus. Deze niveaus zijn gebaseerd op die van STORK. Echter, eHerkenning kent vijf niveaus: 1, 2, 2+, 3 en 4. De mapping van de eHerkenning naar STORK niveaus is als volgt: eH 1 = STORK 1 eH 2 = STORK 2 eH 2+ = STORK 3 eH 3 = STORK 3 eH 4 = STORK 4 Ook eHerkenning loopt tegen het feit aan dat de STORK niveaus te weinig normatief en daardoor slecht auditeerbaar zijn. Op dit moment loopt er een onderzoek bij eHerkenning om de niveaus beter auditeerbaar te maken. ISO 29115 Het ISO 29115 Entity Authentication Assurance Framework kent ook vier niveaus welke op sommige punten afwijken van de STORK niveaus. Daar waar STORK de registratieprocessen en de sterkte van het authenticatiemiddel in ogenschouw neemt, voegt ISO daar een derde element aan toe: authenticatiemiddelen life-cycle management met veel aandacht voor creatie, initialisatie, binding, uitgifte, activatie, opslag, intrekken, vernieuwen en het vastleggen van alle handelingen.


61

eIDAS verordening Op 3 april 2014 is de Europese verordening over elektronische identificatie en vertrouwensdiensten voor elektronische transacties (eIDAS) in de interne markt aangenomen. De verordening vervangt de huidige richtlijn Elektronische handtekeningen (1999/93/EG) die aldus de commissie niet het gewenste niveau van harmonisatie heeft bewerkstelligd. De verordening zal rond juni 2018 daadwerkelijk van kracht worden. Vanaf dat moment zal Nederland de bij de EC aangemelde oplossingen van andere lidstaten moeten erkennen en vice versa. eIDAS definieert drie niveaus voor betrouwbaarheid en stelt voor om de plicht tot wederzijdse erkenning alleen van toepassing te laten zijn wanneer de online publieke dienst multifactor authenticatie vereist en de gebruikte middelen voldoen aan de twee hoogste betrouwbaarheidsniveaus: “midden” (STORK 3) en “hoog” (STORK 4). Lidstaten worden derhalve alleen verplicht om de middelen van burgers uit andere lidstaten te erkennen als deze aan een van deze niveaus (STORK 3 of 4) voldoen en bovendien gelijkwaardig is aan wat in de lidstaat zelf door de dienstaanbieder wordt geëist. De verordening maakt grensoverschrijdend gebruik van vertrouwensdiensten mogelijk en biedt daartoe een gemeenschappelijk Europees juridisch kader voor elektronische handtekeningen en -zegels, tijdsstempels, elektronische documenten en bezorgingdiensten, en gekwalificeerde website-authenticatie. Daarnaast wordt de wederzijdse erkenning en het grensoverschrijdend gebruik van door nationale lidstaten bij de commissie aangemelde elektronische identificatieschema’s voor het verkrijgen van toegang tot online publieke diensten geregeld.


62

Bijlage 4 Brondocumenten 

Visie digitale overheid 2017 (Kamerstuk 26643, nr. 280)



Programmaplan eID (Albert de Vries, 19 september 2013)



Startnotitie wetgeving eID Stelsel – Integraal afwegingskader eID Stelsel



Geen goede overheidsdienstverlening zonder een uitstekende digitale infrastructuur, Rob Kuipers (ABD Topconsult), 14 januari 2014.


63

MASTERPLAN eid. Versiegeschiedenis: Verantwoordelijk programmamanagement Carlo Koch, Gerrit Jan van t Eind Concipiënt Bart Schmidt

Recommend Documents