Programmabureau eID Directoraat-Generaal Project Wonen,Toezicht Bouwen en Integratie Contactpersoon Nanke Asjes
Voorstellen inrichting geïntegreerd toezicht Logius programma eID
T 06-21162302 E
[email protected] www.eid-stelsel.nl Datum 12 oktober 2014 Aantal pagina's 29
Versiegeschiedenis: Versie
Datum
0.2
15 aug 2014
Geadresseerden
Aanpassingen
Eerste versie
0.3
22 aug 2014
Bijgesteld n.a.v. review werkgroepen
04
27 aug 2014
Bijgesteld n.a.v. review Mirjam Gerritsen
05
2 sept 2014
Bijgesteld n.a.v. reviewronde werkgroepen
06
9 sept 2014
Bijgesteld n.a.v. review Paul van der Pal
07/08
12 okt 2014
Bijgesteld n.a.v. review
Versiebeheer: op de definitieve versies van dit document is versiebeheer van toepassing. Definitieve versies hebben een geheel getal als nummer.
Verantwoordelijk programmamanagement Carlo Koch, Gerrit Jan van ‘t Eind Concipiënt Bart Schmidt Versie Status Titel Datum
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Inhoud
Inhoud .................................................................................................................... 2 1
2
Inleiding ......................................................................................................... 4 1.1
Aanleiding en context .......................................................................... 4
1.2
Uitgangspunten ...................................................................................... 4
1.3
Afbakening ............................................................................................... 5
1.4
Gevolgde aanpak ................................................................................... 5
1.5
Lees Wijzer ............................................................................................... 5
Scope van het geïntegreerde toezicht ......................................... 6 2.1
Inleiding .................................................................................................... 6
2.2
Afbakening van de integratie van het toezicht........................... 6
2.3
Afbakening van het toezicht op het eID Stelsel ......................... 6
3 Het bestaande toezicht op eHerkenning, DigiD en PKIoverheid ........................................................................................................ 8 3.1
Inleiding .................................................................................................... 8
3.2 Het bestaande toezichtarrangement Afsprakenstelsel eHerkenning ....................................................................................................... 8 3.2.1 Hoe wordt toezicht gehouden? .................................................. 8 3.2.2 Op basis van wat wordt toezicht gehouden? ....................... 9 3.2.3 Nalevingsaspecten ....................................................................... 10 3.3 Het bestaande toezichtarrangement PKIoverheid .................. 10 3.3.1 Hoe wordt toezicht gehouden? ................................................ 11 3.3.2 Op basis van wat wordt toezicht gehouden? ..................... 12 3.3.3 Nalevingsaspecten ....................................................................... 13 3.4 Het bestaande toezichtarrangement DigiD ................................ 13 3.4.1 Inleiding: drie te onderscheiden elementen van de DigiD voorziening .................................................................................................... 13 3.4.2 Hoe wordt toezicht gehouden? ................................................ 14 3.4.3 Op basis van wat wordt toezicht gehouden? ..................... 14 3.4.4 Nalevingsaspecten ....................................................................... 15 4
5
Contouren van het geïntegreerde toezicht eID Stelsel .... 16 4.1
Inleiding .................................................................................................. 16
4.2
Hoe wordt toezicht gehouden ......................................................... 17
4.3
Op basis van wat wordt toezicht gehouden? ............................ 19
4.4
Nalevingsaspecten............................................................................... 21
Issues ............................................................................................................ 23 5.1
Fraudemanagement ............................................................................ 23
Pagina 2 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
5.2 Toezicht op naleving aansluitvoorwaarden, gebruiksvoorwaarden ................................................................................... 24 5.3
eID Normenkaders en de nog ontbrekende producten eID 25
5.4
Issues naleving ..................................................................................... 25
6 BIJLAGE Samenvatting Rollen en Activiteiten in het toezicht eID ....................................................................................................... 27
Pagina 3 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
1
Inleiding
1.1
Aanleiding en context Met het oog op de voorgenomen pilots met eID medio 2015 is het noodzakelijk het toezicht op het eID Stelsel in ieder geval voorlopig te gaan invullen. De voorgestelde invulling van het toezicht moet worden gezien als een eerste pragmatische stap die aangevuld en gewijzigd kan en moet worden naarmate er meer elementen van het Stelsel eID ingevuld worden. In het document “Analyse bestaande toezicht arrangementen t.b.v. aanpak inrichting toezicht eID Stelsel versie 10, 30 januari 2014”, is weergegeven welke vragen er zijn met betrekking tot de inrichting van het toezicht voor eID. Voor het beantwoorden van deze vragen is onderscheid gemaakt tussen het onderzoek naar de gewenste eindsituatie vanuit het nu bestaande en het uitwerken van de beleidsvragen. Het idee is dat er op korte termijn een integratie van het toezicht van de bestaande vertrouwensdiensten PKIoverheid, DigiD en eHerkenning tot stand kan komen. Op langere termijn kan deze zich verder door ontwikkelen naar een beleidsmatig gewenste situatie inclusief een wettelijke grondslag en publiek toezicht. De reden hiervoor is dat het aanpassen van wetgeving en het inrichten van onafhankelijk publiek toezicht tijd nodig heeft. In de nota “Contouren toezicht” worden drie stappen onderscheiden: 1. geïntegreerd toezicht (integratie van het bestaande); 2. toezicht op eID Stelsel door onafhankelijke toezichthouder; 3. toezichthouder voor de digitale overheidsinfrastructuur. In het plan van aanpak Geïntegreerd Toezicht Logius Programma eID (juli 2014), is aangegeven dat de voorstellen in dit document onderdeel zijn van stap 1. Als onderdeel van stap 2 zal ook een risicoanalyse voor eID worden gemaakt welke kan putten uit het resultaat van stap 1.
1.2
Uitgangspunten De voorstellen in dit document zijn gericht op het inrichten van het toezicht op de korte termijn, de periode waarin nog geen wettelijke kaders voor het eID Stelsel en het toezicht daarop bestaat. De beschrijving van het toezicht op het eID Stelsel voor de korte termijn wordt opgehangen aan de kernrollen Eigenaar, Beheerorganisatie en Toezichthouder. Deze rollen worden in het document verder uitgewerkt. De voorstellen voor het toezicht zijn opgesteld met de volgende uitgangspunten: 1. Governance van het eID Stelsel: a. Er is een Eigenaar van het eID Stelsel bestaande uit één of meer ministeries; b. Er bestaat een Stelselraad voor inhoudelijke koers en ontwikkeling van het stelsel; c. Er bestaat een raad op Tactisch niveau die op basis van risicoafweging besluit over wijzigingen in het stelsel; d. Er bestaat een Beheerorganisatie die opdracht van de Eigenaar de processen voor operatie en governance van het Stelsel eID faciliteert. Pagina 4 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
2. Het Afsprakenstelsel (AS) eHerkenning migreert in de loop van de tijd naar het AS eID. 3. Het burgerdomein (DigiD) integreert met AS eID of krijgt nauwere relaties hiermee. 4. Het geïntegreerde toezicht wordt met minimale lasten voor de betrokkenen ingericht. 5. Het toezicht wordt gescheiden van het beheer. 6. Het toezicht op PKIoverheid wordt waar mogelijk geïntegreerd met het toezicht op het AS eID (eHerkenning en DigiD). Op basis van de bestaande toezichtarrangementen voor DigiD, PKIoverheid en eHerkenning worden in dit document voorstellen gedaan voor de korte termijn. Hierbij worden er geen nieuwe aspecten geïntroduceerd voor de inrichting van het toezicht op eID. 1.3
Afbakening De voorstellen voor een geïntegreerd toezicht in dit document worden gedaan vanuit de bestaande elementen voor het toezicht op PKIoverheid, DigiD en eHerkenning die herbruikbaar zijn voor het eID Stelsel. Waar dat opportuun is worden voorstellen tot integratie gedaan. In een latere fase van dit project volgt de uitwerking van de normenkaders die de basis zijn voor het toezicht en wijze waarop de toetsing plaats moet vinden. Daar waar er toezichtelementen ontbreken of belangrijke issues zijn aangetroffen die een relatie hebben met het verwezenlijken van het geïntegreerde toezicht worden deze geadresseerd. De daadwerkelijke integratie van het toezicht volgt de eID plateauplanning.
1.4
Gevolgde aanpak Met experts die direct verbonden zijn met de DigiD-voorzieningen, PKIoverheid en eHerkenning zijn in een aantal werkgroep sessies de toezichtelementen geïnventariseerd die herbruikbaar zijn voor het geïntegreerde toezicht. Ook zijn issues en vragen benoemd die in het kader van het toezicht van belang zijn, maar voor nu buiten de scope van deze opdracht vallen.
1.5
Lees Wijzer In hoofdstuk 2 wordt de scope van het geïntegreerde toezicht beschreven. De scope is conform de besluiten van de stuurgroep eID op voorstel van het ministerie van EZ. Hoofdstuk 3 bevat de beschrijving van de relevante elementen van het huidige toezicht op de DigiD voorzieningen, eHerkenning en PKIoverheid. Hoofdstuk 4 bevat een contourenschets van het geïntegreerde toezicht die wordt voorgesteld op basis van het hergebruik van de in hoofdstuk 3 aangegeven elementen. Hoofdstuk 5 bevat enkele issues en vragen die relevant zijn in dit kader en aandacht nodig hebben, maar buiten de scope van de opdracht vallen. Hoofdstuk 6 bevat een bijlage bij hoofdstuk 4 met een overzichtstabel met daarin de voorgestelde rollen en activiteiten van het toezicht op eID
Pagina 5 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
2
Scope van het geïntegreerde toezicht
2.1
Inleiding Deze paragraaf beschrijft de afbakening van de voorstellen voor het toezicht op het eID Stelsel. De beschreven afbakening is afgestemd met de door de Stuurgroep eID op d.d. 10 juli 2014 gekozen lijn.
2.2
Afbakening van de integratie van het toezicht De voorstellen betreffen de integratie bestaande toezichtsarrangementen van de voorzieningen:
DigiD (inclusief DigiD Machtigen en DigiD Balie); Afsprakenstelsel eHerkenning; PKIoverheid.
De voorstellen beperken zicht tot het hergebruik van bestaande elementen voor het toezicht op deze voorzieningen en voegen geen nieuwe elementen toe. Het is denkbaar is dat op termijn het geïntegreerde toezicht uitgebreid wordt met het toezicht op andere voorzieningen die betrekking hebben op de ‘digitale overheid’. 2.3
Afbakening van het toezicht op het eID Stelsel Het geïntegreerde toezicht wordt beperkt tot het beheer van Afsprakenstelsel eID en de deelnemers in het eID netwerk.
Figuur 1: Afbakening van het Toezicht op het eID Stelsel, het eID Netwerk wordt gevormd door Deelnemers in de rollen Herkenningsmakelaar (HM), Authenticatiedienst AD, Machtigingenregister (MR), Middelenuitgever (MU) en Beheerorganisatie (BO). Pagina 6 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
De Beheerorganisatie ziet toe op de naleving door deelnemers in het stelsel van de technische en procedurele afspraken die nodig zijn om het eID netwerk te laten functioneren. De Toezichthouder zie met name toe op de aspecten betrouwbaarheid en veiligheid van het stelsel en in dat kader ook op het adequaat functioneren van de beheerorganisatie. Het toezicht op het gebruik van eID authenticatiemiddelen, gebruik van het machtigingenregisters en op de naleving van aansluitvoorwaarden door op de eID aangesloten dienstverleners vindt uitsluitend op een indirecte wijze plaats. De issues die dit uitgangspunt met zich mee brengt zijn in hoofdstuk 5 opgenomen.
Pagina 7 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
3
Het bestaande toezicht op eHerkenning, DigiD en PKIoverheid
3.1
Inleiding Deze paragraaf beschrijft de elementen voor het toezicht op eHerkenning, PKIoverheid en DigiD met het oog op de herbruikbaarheid voor het stelsel eID. In het onderstaande figuur zijn de meest belangrijke elementen weergegeven. In de volgende paragrafen worden deze elementen voorzien van beschrijvende tekst.
Figuur 2 Bestaande elementen van het toezicht
3.2
Het bestaande toezichtarrangement Afsprakenstelsel eHerkenning eHerkenning is opgezet voor bedrijven. Medewerkers die namens het bedrijf handelen kunnen zich online als zodanig identificeren bij door het bedrijf vastgestelde onlinediensten. eHerkenning maakt het mogelijk een betrouwbaarheid niveau te koppelen aan de identificatie van personen van de online-dienst gebruik willen maken van de dienst.
3.2.1
Hoe wordt toezicht gehouden? Het beheermatige toezicht (management) op het afsprakenstelsel en functioneren van het Afspraken Stelsel voor eHerkenning wordt uitgeoefend door de rollen van Eigenaar, Beheerorganisatie, Stelselraad, Tactisch Overleg en het Operationeel Overleg. Het betreft hier een sluitend managementsysteem dat de koers bepaalt van het stelsel, besluit over toetreding, uittreding, functionele wijzigingen, risico’s en maatregelen. De Stelselraad stelt de strategische kaders vast voor het (door)ontwikkelen van het stelsel. Het Tactisch Overleg besluit over de inhoudelijke wijzigingen in het afsprakenstelsel binnen de kaders van de Stelselraad. Het Operationeel Overleg adviseert het Tactisch Overleg en stemt de uitvoering van besluiten af.
Pagina 8 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Het Ministerie van Economische Zaken (EZ) vervult de rollen van Eigenaar en Toezichthouder. Vanuit de toezichthouderrol is het ministerie verantwoordelijk voor het toezicht op het adequaat functioneren van de governance, de integriteit van het netwerk voor eHerkenning en de naleving van de stelselafspraken. Als Eigenaar laat het ministerie jaarlijks een Stelselaudit uitvoeren die door een externe auditor wordt uitgevoerd. Als Eigenaar is het ministerie verantwoordelijk voor besluiten over het toetreden van marktpartijen tot het stelsel en een eventuele schorsing of uitsluiting van toegetreden deelnemers in geval van het niet naleven van stelselafspraken. De Eigenaar is opdrachtgever van de Beheerorganisatie van het stelsel (Logius). De Beheerorganisatie ondersteunt de Eigenaar, en faciliteert in opdracht van de Eigenaar de governanceprocessen en coördineert de uitvoering van afspraken en besluiten en stemt deze af met de deelnemers in het netwerk voor eHerkenning. De Eigenaar ziet toe op het adequaat functioneren van de beheerorganisatie. De Beheerorganisatie is daarom bij de jaarlijkse Stelselaudit eveneens object van de audit. Voor de behandeling van formele klachten en geschillen tussen de diverse betrokken partijen die niet binnen de gewone lijnen kunnen worden opgelost is een onafhankelijke geschillencommissie ingericht. De commissie brengt advies uit aan de betrokken partijen. Indien een advies niet wordt opgevolgd, staat voor de betrokken partijen de weg naar de civiele rechter open. 3.2.2
Op basis van wat wordt toezicht gehouden? eHerkenning kent de volgende elementen als basis voor het toezicht: 1. Het Afsprakenstelsel eHerkenning omvat alle technische, procedurele en juridische elementen die nodig zijn om te kunnen functioneren. Deelnemers hebben zich contractueel verbonden om de stelselafspraken na te komen. 2. Het ministerie van EZ heeft een contract met Logius gesloten voor de invulling van de rol van Beheerorganisatie voor het Afsprakenstelsel. 3. De Stelselrisicoanalyse betreft een overzicht van de risico’s op het niveau van het stelsel en is de basis voor het beveiligingsbeleid van het stelsel en het stelselnormenkader. 4. Het Informatiebeveiligingsbeleid (IB) voor het stelsel bevat eisen die deels ook geoperationaliseerd zijn in verschillende normenkaders, operationele afspraken, contracten etc. 5. Het Gemeenschappelijk Normenkader (GNK) is een set normen die gebaseerd is op de internationale norm voor informatiebeveiliging IEC/ISO 27001:2005. 6. Van de Deelnemers en de Beheerorganisatie wordt geëist dat zij een IEC/ISO 27001:2005 certificaat bezitten. Tevens wordt geëist dat de deelnemers het GNK opnemen in hun eigen verklaring van toepasselijkheid (VvT) en dat zij de gedefinieerde stelselrisico’s aantoonbaar meenemen in hun eigen risicoanalyses. 7. Het Normenkader Betrouwbaarheidsniveau’s waarin de afspraken voor middelenuitgifte en registratie van machtigingen toetsbaar zijn gemaakt.
Pagina 9 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
8. Het Stelselnormenkader voor de Stelselaudit dat door de Eigenaar aan de stelselauditor wordt meegegeven voor de uitvoering van de stelselaudit. 3.2.3
Nalevingsaspecten 1. Deelnemers aan eHerkenning zijn contractueel verplicht om zich te laten certificeren conform de internationale norm voor het management van Informatiebeveiliging IEC/ISO 27001:2005 (wordt IEC/ISO 27001:2013) en te voldoen aan het Gemeenschappelijk Normenkader (GNK). Bij fundamentele stelselwijzigingen of toetreding van een deelnemer tot een andere betrouwbaarheidsniveaus of toetreding tot andere rollen is een her-audit vereist. 2. Het certificaat met de Verklaring van Toepasselijkheid en de auditrapportage moeten aan de beheerorganisatie beschikbaar gesteld worden ter verificatie. 3. Deelnemers die zich niet aan de stelselafspraken houden kunnen in principe in opdracht van de Eigenaar worden geschorst of uitgesloten. De Beheerorganisatie effectueert deze schorsing of uitsluiting. 4. Logius heeft een aantal mogelijkheden om op beperkte schaal naleving af te dwingen: a. Opleggen van boetes aan deelnemers en de beheerorganisatie eHerkenning die zich niet houden aan het afgesproken tijdpad voor nieuwe releases. De opbrengst wordt onder de deelnemers verdeeld. b. Formele brief met een vermaning, aanzegging of deadline. Een formele brief kan na akkoord ook uit naam van de Eigenaar en Toezichthouder (EZ) worden gezonden. 5. De Eigenaar en Toezichthouder bepaalt op basis van het auditrapport van de Stelselaudit welke verbeteringen moeten worden doorgevoerd in het afsprakenstelsel. Via de Beheerorganisatie en stelselgovernance worden de verbeteringen van het stelsel afgedwongen.
3.3
Het bestaande toezichtarrangement PKIoverheid PKIoverheid (PKIo) is een voorziening voor digitale certificaten die door Logius wordt beheerd. Overheidsorganisaties gebruiken PKIoverheid services certificaten om op een vertrouwelijke wijze gegevens uit te wisselen. Een PKIoverheid-certificaat wordt gebruikt bij het beveiligen van websites, authenticatie op afstand, rechtsgeldige elektronische handtekeningen, versleuteling van elektronische berichten. Voor elk van die toepassingen bestaan er digitale certificaten. Onder de vlag van PKIoverheid worden diverse elektronische certificaten gedefinieerd waarmee personen of bedrijven zich met een hoog betrouwbaarheidsniveau kunnen identificeren. Die certificaten kunnen zowel ‘gekwalificeerd’ als ‘niet-gekwalificeerd’ zijn. De PKIo-certificaten worden door marktpartijen uitgegeven die voldoen aan de door PKIo gestelde eisen als Certificate Service Provider (CSP). Gekwalificeerde PKIo-certificaten kunnen ook binnen het netwerk stelsel voor eHerkenning worden ingezet als basis voor een eHerkenning authenticatiemiddel.
Pagina 10 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
3.3.1
Hoe wordt toezicht gehouden? Eigenaar en beheerorganisatie Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is opdrachtgever van Logius voor het beheer van PKIoverheid (PKIo) en vervult daarmee de rol van Eigenaar. De Beheerorganisatie voor PKIoverheid is ondergebracht bij Logius. Toezichthouders voor gekwalificeerde certificaten en PKIoverheidcertificaten: De beheerorganisatie van PKIoverheid wordt conform internationale standaarden ‘ Policy Authority’ (PA) genoemd. De PA beheert de Centrale Hiërarchie, het Programma van Eisen van PKIoverheid. De PA ziet ook toe op de uitgifte van PKIo certificaten onder de Centrale Hiërarchie door partijen in de rol van Certificate Service Providers (CSP). Er is specifiek toezicht op de activiteiten van de PA georganiseerd. De Autoriteit Consument en Markt (ACM, v.h. OPTA) ziet toe op de markt voor uitgifte van gekwalificeerde PKI certificaten in brede zin. Er bestaat overlap tussen het toezicht van de PA voor PKIoverheid en het toezicht door de ACM. De overlap betreft de CSP’s die gekwalificeerde PKIocertificaten uitgeven. De marktpartijen (CSP’s) die geregistreerd zijn bij ACM leveren vrijwel allemaal zowel gewone gekwalificeerde certificaten en niet-gekwalificeerde certificaten als gekwalificeerde- en niet gekwalificeerde PKIo certificaten. Het ministerie van Economische Zaken is opdrachtgever van de ACM en is opdrachtgever van ECP.NL voor het beheer van het TTP.NL auditschema voor certificaatdienstverleners (CSP’s). Het ministerie is doende een wetswijziging voor het toezicht op certificatiedienstverlening voor te bereiden. Deze wijziging betreft onder andere het ook onder toezicht brengen van niet-gekwalificeerde certificaten. Daarmee wordt de overlap tussen het toezicht door de PA en de Toezichthouder op certificatiedienstverlening groter. Leemten in het toezicht op PKIoverheid: De organisatie van het toezicht op PKIoverheid is in de huidige situatie niet ontwikkeld. Het toezicht op de partijen die PKIo-certificaten uitgeven. Deze leemte wordt deels ingevuld door de ACM omdat partijen die PKIo certificaten leveren, vaak ook onduidelijk, ook onder toezicht van de ACM staan. Logius geeft zelf opdracht om de PA door een externe auditor te laten auditen. Het toezicht op de activiteiten van de PA in PKIoverheid dat losstaat van de beheerrol van Logius is niet geborgd, wat kan leiden tot rolconflicten tussen rollen van beheerder en toezichthouder. Een vorm van periodieke toetsing van de PA door een onafhankelijke auditor in opdracht van de Eigenaar van PKIoverheid zou mogelijke rolconflicten al kunnen verminderen. De leemte in het toezicht op de PA wordt op dit moment dus door Logius ingevuld hoewel dat vanwege de dubbelrol uiteindelijk niet wenselijk wordt geacht. Het toezichtarrangement in de praktijk: In het kader van de scope van dit document zijn een aantal Bij uitoefening van het toezicht is een aantal aspecten van belang om in het kader van dit document te melden. Pagina 11 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
1. Driepartijenoverleg: De beheerder van de PA (Logius) en de ACM trekken deels gezamenlijk op bij het uitoefenen van het toezicht, door met een regelmaat te overleggen over functionele veranderingen, auditbevindingen en marktontwikkelingen. In dit overleg worden de auditors betrokken die de CSP certificeren. 2. Eerstelijnstoezicht: Logius legt als beheerder van de PA per PKIo leverancier twee-jaarlijks een bedrijfsbezoek af waarbij een select aantal normen wordt getoetst op basis van een risico-afweging. Hierbij worden ook de wijzigingen in het PvE meegenomen die in de tussenliggende tijd zijn gepubliceerd. 3. Tweedelijnstoezicht: De PA analyseert de auditrapporten van de CSP’s van audits die zij in het kader van hun certificering laten uitvoeren, volgt de correctie van auditbevindingen. De ACM doet dit zelfde maar dan alleen met betrekking tot CSP’s die gekwalificeerde certificaten uitgeven. Op basis van de auditrapporten en het eerder genoemde driepartijenoverleg maakt de ACM een plan met speerpunten voor gesprekken met CSP’s. Bij de bezoeken aan de CSP’s worden deze speerpunt onderwerpen aan de orde gesteld. 4. Certificering: CSP’s zijn verplicht zich te laten certificeren om opgenomen te kunnen worden in het register van gekwalificeerde PKI-certificaatdienstverleners. Deze certificering is ook verplicht om PKIoverheid-certificaten te mogen uitgeven. De certificering wordt gedaan door een certificerende instelling. De certificerende instelling en daarmee de auditor die de audit uitvoert staat onder toezicht staat van de Raad van Accreditatie. Indien de auditor ook een Register IT Auditor (RE) is staat deze auditor ook onder toezicht van de beroepsvereniging NOREA die zich heeft vastgelegd op internationale afspraken over de kwaliteit van uitvoering van formele Assurance opdrachten. 3.3.2
Op basis van wat wordt toezicht gehouden? Het beheer van PKI structuren en uitgifte van PKI certificaten en daarmee ook van de PKIoverheid-structuur en PKIoverheid-certificaten moet voldoen aan de nationale en internationale standaarden die daarvoor zijn. Het gaat om de volgende standaarden: 1. De Europese norm ETSI EN 319 411-2 (op het moment van schrijven nog ETSI 101 456) wordt in dit kader wettelijk verankerd als geaccepteerd voor certificatie van de partijen (CSP’s) die gekwalificeerde PKI certificaten uitgeven. 2. De Europese normen ETSI 319 411-3 en op termijn tevens ETSI EN 319 411-1 als opvolger van ETSI TS 102 042 voor nietgekwalificeerde PKIoverheid certificaten. 3. Het Programma van Eisen (PvE) voor PKIoverheid met de eisen die specifiek zijn voor partijen die PKIoverheid-certificaten uitgeven. 4. TTP.NL audit schema voor de certificatie van certificaatdienstverleners (CSP) die gekwalificeerde en nietgekwalificeerde certificaten uitgeven. Voor het beheer wordt momenteel een stichting opgericht totdat hiervoor een bruikbare ETSI norm in werking treedt. De strekking van het schema is dus breder dan PKIoverheid en het schema wordt momenteel ook gebruikt in het buitenland.
Pagina 12 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
5. Voor toezicht op de auditors en certificerende instellingen bestaan de regels van de Raad van Accreditatie en regels van de NOREA met betrekking tot de uitvoering van Assurance-opdrachten. 3.3.3
Nalevingsaspecten Zowel de ACM als de Policy Authority (Logius) hebben een aantal mogelijkheden om naleving af te dwingen. Hieronder volgt een overzicht van de mogelijkheden. 1. Policy Authority m.b.t. PKIo-certificaten Aangaan van gesprek; Formeel verzoek al of niet uit naam van het Ministerie van BZK met het verzoek aan een PKIo-certificaatleverancier om de tekortkoming op te lossen binnen gestelde tijd; Voor overheid CSP’s: het informeren van de beveiligingsambtenaar (BVA) of RijksBVA over (ernstige) tekortkomingen; Laten intrekken van de foutieve PKIoeindgebruikerscertificaten die een CSP heeft uit uitgegeven; Intrekken of opschorten van de bevoegdheid om PKIocertificaten uit te geven. 2. ACM m.b.t. gekwalificeerde certificaten Formeel verzoek; Aanwijzing onder lastgeving; Boete; Beëindiging van de registratie als leverancier van gekwalificeerde certificaten. Zowel de Polici Authority PKIoverheid als ACM geven aan dat deze formele middelen zelden of nooit gebruikt hoeven te worden. Wanneer men een tekortkoming signaleert, zorgen de CSP’s nagenoeg altijd direct voor een oplossing. Men is er zich terdege van bewust dat tekortkomingen zo snel mogelijk moeten worden opgelost, om de betrouwbaarheid van de certificaten te kunnen garanderen. Zelfs een formeel verzoek van een toezichthouder om gebreken te herstellen zou al een zodanig reputatieschade met zich mee kunnen brengen, dat dit het einde van hun dienstverlening betekent. Om diezelfde reden willen ook de toezichthouders het liefst niet tot een formeel verzoek laten komen.
3.4
Het bestaande toezichtarrangement DigiD DigiD is een authenticatiemiddel dat door de Rijksoverheid aan burgers ter beschikking wordt gesteld om zich online te identificeren bij onlinediensten die overheden en uitvoeringsorganisaties aanbieden.
3.4.1
Inleiding: drie te onderscheiden elementen van de DigiD voorziening DigiD: Het betreft hier de authenticatievoorziening voor burgers. De voorziening betreft de aanvraag,uitgifte van DigiD-accounts middels een brief en het gebruik van DigiD. DigiD wordt door dienstverleners - zoals gemeenten, UWV, belastingdienst of pensioenfondsen - ingezet voor de authenticatie van de identiteit van burgers bij de toegang tot elektronische diensten en dossiers. DigiD Balie: Het betreft hier een specifieke functionaliteit van de voorziening voor de uitgifte van een DigiD via een fysieke balie. De specifieke invulling heeft Pagina 13 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
betrekking op de processen van aanvraag en uitgifte van een DigiD. Het infrastructurele deel dat benodigd is voor het gebruik van de voorziening, is dezelfde als hierboven. De infrastructuur op de balielocatie valt onder de verantwoordelijkheid van de gemeenten die deze balies voeren. DigiD Machtigen: Dit betreft een voorziening voor de registratie van volmachten. Een burger machtigt een andere burger of beroepsmatig actief persoon om voor hem gespecificeerde handelingen te verrichten, die het gebruik van een DigiD vereisen zoals belastingaangifte of aanvraag van toeslagen of vergunning. 3.4.2
Hoe wordt toezicht gehouden? Eigenaar en beheerorganisatie Het Ministerie van BZK is beleidsverantwoordelijke van de DigiD voorzieningen DigiD, DigiD Machtigen en DigiD Balie. BZK heeft Logius opdracht gegeven de voorzieningen te beheren en vervult de rol van Eigenaar. Logius heeft productie van de voorzieningen aan marktpartijen uitbesteed. Toezichthouder De rol van Toezichthouder voor de DigiD voorzieningen is niet volledig ontwikkeld, het toezicht op de voorziening wordt daarom in de praktijk ook door beheerder Logius uitgevoerd. 1. Het Ministerie van BZK ziet als Eigenaar toe op de naleving van de eisen door op DigiD aangesloten partijen (aansluitvoorwaarden). Elke aangeslotene moet bijvoorbeeld jaarlijks een zogenaamde DigiD-assessment laten uitvoeren door een onafhankelijke Register IT auditor, het auditrapport moet worden verstrekt aan Logius die dit beoordeelt. Binnen twee maanden na een nieuwe aansluiting moet de assessment met positief resultaat zijn afgerond. Aansluitend bij de beschreven scope van het toezicht op eID (zie hoofdstuk 2) zou dat betekenen dat deze eisen of vergelijkbare eisen onderdeel moeten zijn van de aansluitvoorwaarden op eID.. 2. Jaarlijks laat de Beheerorganisatie (Logius) door de Auditdienst Rijk (ADR) een audit uitvoeren op het beheer dat zijn uitvoert van de DigiD-voorzieningen. De auditor toetst zowel de technische implementatie en beheerprocessen van de leveranciers als de Logius-beheerprocessen voor DigiD en DigiD Machtigen. 3. Voor DigiD Balie is op het moment van dit schrijven een zestal partijen (gemeenten) verzocht/aangewezen voor uitvoering van de processen voor aanvraag en uitgifte van een DigiD. De betreffende partijen moeten een zelfassessment uitvoeren en daarover rapporteren aan Logius. Periodiek (eens maal per half jaar) laat Logius een externe auditor de balieprocessen bij de betrokken gemeenten auditeren.
3.4.3
Op basis van wat wordt toezicht gehouden? De volgende standaarden en normenkaders worden gehanteerd bij het toezicht op de DigiD voorzieningen. Generiek voor de DigiD-voorzieningen: 1. Het normenkader ICT Beveiligingsassessments voor de DigiD die elke aangesloten partij (dienstverlener) moet laten uitvoeren door
Pagina 14 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
een externe auditor en waarvan het auditrapport en verbeterplan moeten worden opgestuurd aan Logius. 2. Logius normenkader voor generieke beheerprocessen. Dit normenader wordt als auditkader gebruikt door die Auditdienst Rijk die op verzoek van Logius jaarlijks een audit uitvoert op de DigiD voorzieningen. De generieke beheernormen zijn ontleent aan het NOREA normenkader voor IT beheerprocessen. 3. De informatiebeveiligingsplannen voor de DigiD-voorzieningen bevatten de analyse van de beveiligingsrisico’s en de specificatie van de daarbij behorende beveiligingsmaatregelen voor de voorzieningen. De risicoanalyse en gedefinieerde maatregelen zijn mede input voor het oordeel van de ADR over de voorziening en de beoordeling van Logius van de implementatie van beveiligingsmaatregelen door de leverancier. Specifiek voor DigiD en DigiD Machtigen: 4. Logius-normenkader voor DigiD waarin specifieke eisen zijn opgenomen. Dit normenkader wordt door de ADR gebruikt voor de jaarlijkse audit op de DigiD voorzieningen. 5. Het Programma van Eisen (ten dele) voor DigiD dat de basis is van de uitbesteding bij de leverancier en de beveiligingsspecificaties bevat voor de voorziening. Specifiek voor DigiD Balie: 6. Logius-normenkader specifiek voor de uitgifteprocessen en de onderliggende infrastructuur bij de uitgifte balies. Dit nomenkader wordt gebruikt voor het uitvoeren de zelf-assessment en periodieke externe audit. 3.4.4
Nalevingsaspecten Hierna volgt een overzicht van de mogelijkheden om naleving af te dwingen die BZK en Logius tot hun beschikking hebben. Ministerie van Binnenlandse Zaken 1. Besluit om Logius een aangesloten partij af te laten sluiten. 2. Op verzoek van Logius ‘aanspreken’ van een aangesloten partij in de vorm van bijvoorbeeld een formele brief aan de Directie of Bestuur van de aangesloten partij. 3. Ontbinden van de opdracht aan Logius om de DigiD voorziening(en) te beheren. Logius 4. Aangaan van het gesprek met de aangesloten partij over risico’s van het niet naleven van de eisen. 5. Het formeel aanspreken van een partij. 6. Logius heeft de opdracht van BZK om bij een acuut beveiligingsrisico door een kwetsbare implementatie de op DigiD aangesloten partij af te sluiten waarbij de verantwoording daarover achteraf plaats vindt. 7. Het aanspreken van, of ontbinden van het contract met, de leveranciers van de infrastructuur van DigiD (applicatiebeheer, IT infrastructuur, sms, drukwerk, bezorging).
Pagina 15 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
4
Contouren van het geïntegreerde toezicht eID Stelsel
4.1
Inleiding Deze paragraaf beschrijft de contouren van het geïntegreerde toezicht voor eID op de korte termijn. De elementen van het toezicht zijn gebaseerd op de bestaande elementen van het toezicht op PKIoverheid, DigiD en eHerkenning die in hoofdstuk 3 zijn beschreven. Voorafgaand aan de beschrijving van de contouren wordt eerst een aantal uitgangspunten beschreven. PKIoverheid verschilt essentieel van DigiD en eHerkenning De relatie van PKIoverheid met het eID Stelsel is indirect: Gekwalificeerde PKIo certificaten maar ook niet-PKIo certificaten kunnen gebruikt worden om eID authenticatiemiddelen op een hoog betrouwbaarheidsniveau te maken en uit te geven. PKIoverheid vervult niet zelf de eID-rol van middelenuitgever of andere eID-rol. Een aantal CSP’s die PKIo-certificaten uitgeven, vervullen binnen het bestaande eHerkenning wel de rol van Middelenuitgever. PKIoverheid omvat ook typen certificaten zoals servercertificaten en niet gekwalificeerde PKIo certificaten die geen enkele relatie met eID-middelen hebben. Dit betekent dat op zich zelf de toezichthouder op PKIo en eID dezelfde toezichthouder kan zijn maar dat het toezicht op PKIo en eID niet binnen dezelfde context plaats kan vinden en dat de mogelijkheid voor integratie van het toezicht in de praktijk beperkt is. De DigiD-voorzieningen zijn daarentegen in het kader van het eID Stelsel op te vatten als authenticatiemiddel, authenticatiedienst, makelaar en machtigingenregister (voor het burgerdomein). Daarmee is de mogelijkheid voor integratie van het toezicht op DigiD met het toezicht op eHerkenning ten behoeve van het eID Stelsel groter dan de integratie met het toezicht op PKIo. Uitgangspunt publieke toezichthouder Het voorstel gaat uit van een publieke toezichthouder voor het eID Stelsel. In dit voorstel wordt geen uitspraak gedaan over wie de toezichthouder moet zijn of welk ministerie verantwoordelijk is voor de toezichthouder. Voor het toezicht op PKIoverheid werkt het ministerie van EZ aan een wetswijziging voor het toezicht op PKIoverheid dat in juli 2016 geïmplementeerd moet zijn. Een hier relevante essentie van de wijziging is om het toezicht op de daadwerkelijke naleving van afspraken en eisen door betrokken partijen te waarborgen. Dit conform het advies van de Onderzoeksraad voor de Veiligheid naar aanleiding van het DigiNotar incident. Uitgangspunt voor de stelselgovernance Voor het eID Stelsel is afgesproken dat de governance en de afspraken van het stelsel eHerkenning worden gebruikt om het eID Stelsel in te richten. Dit betekent dat de wijze waarop de inhoudelijke ontwikkeling van het eID Stelsel vorm wordt gegeven, in elk geval voor de korte termijn gehandhaafd blijft middels de stelselgovernance van eHerkenning (Stelselraad, Tactisch overleg, Operationeel overleg).
Pagina 16 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Uitgangspunt eID wordt gebouwd op de basis van eHerkenning Gekozen is om het eID Stelsel op te bouwen op de basis van eHerkenning. Totdat de wettelijke kaders voor het eID Stelsel er zijn, betekent dit dat de invulling van de taakverdeling tussen rollen en van Eigenaar, Beheerorganisatie en Toezichthouder en nog (deels) voortbouwen op de situatie bij eHerkenning. Bij de definitieve situatie kunnen de verschillende rollen, waaronder die van toezichthouder, een gewijzigde scope en invulling krijgen. In de voorstellen voor de korte termijn wordt gesproken over contractuele verplichtingen die Deelnemers aangaan bij toetreding tot het eID Stelsel. Als bijvoorbeeld voor de definitieve situatie gekozen wordt voor een vergunningenstelsel, betekent dit mogelijk ook een wijziging van taken die de rollen van Eigenaar, Beheerorganisatie en Toezichthouder krijgen ten opzichte van beschreven korte termijn situatie. 4.2
Hoe wordt toezicht gehouden Deze paragraaf schetst de contouren voor het toezicht op het eID Stelsel aan de hand van de verschillende rollen in het toezicht. De Eigenaar De Eigenaar is verantwoordelijk voor de integriteit van het stelsel, besluit over toetreding van nieuwe deelnemers en eventuele schorsing en ontbinding van het contract met deelnemers. De Eigenaar is opdrachtgever van de Beheerorganisatie , die namens de Eigenaar van het eID Stelsel de naleving van contractuele verplichtingen controleert. De beheerorganisatie coördineert de behandeling van (beveiligings-)incidenten en escaleert indien nodig naar de Eigenaar. Bij incidenten van een nog te bepalen ernst wordt ook de Toezichthouder geïnformeerd. De Eigenaar besluit in principe na een escalatie door de Beheerorganisatie of de toezichthouder moet worden geïnformeerd over het incident. De Eigenaar laat jaarlijks een onafhankelijke auditor de naleving van de stelselafspraken toetsen middels een Stelselaudit. De Beheerorganisatie heeft geen rol in de opdracht aan de auditor daar zij zelf ook object van onderzoek is. De Beheerorganisatie In opdracht van de Eigenaar controleert de Beheerorganisatie op operationeel niveau de naleving van contractuele verplichtingen. Het betreft dan bijvoorbeeld de toetsing van technische implementaties bij Deelnemers, de omgang met het merk eID in communicatie-uitingen. Daarnaast faciliteert de Beheerorganisatie de operationele procedures voor het aanbrengen en toetsen van wijzigingen in het stelsel. De Beheerorganisatie coördineert de behandeling van (beveiligings)incidenten in samenwerking met de beveiligingsfunctionaris van de deelnemers in het netwerk voor eID. Bij majeure incidenten escaleert de Beheerorganisatie de incidentbehandeling naar de Eigenaar. De Beheerorganisatie coördineert de analyse van incidenten in samenwerking met de deelnemers en de verbeteringen die daaruit voortvloeit. De Toezichthouder De Toezichthouder heeft als primaire taak toe te zien op de effectiviteit en integriteit van het stelsel in de lijn van de Eigenaar-BeheerorganisatieDeelnemers en in de inhoudelijke lijn van de stelselgovernance (Stelselraad, Tactisch beraad, Operationeel Overleg). Conform het advies van de Onderzoeksraad voor de Veiligheid is in dit voorstel het toezicht door de Toezichthouder meer direct dan in de Pagina 17 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
uitgangssituatie. Dit betekent dat ook rechtstreeks toezicht wordt gehouden op de individuele Deelnemers en op de Beheerorganisatie. De Toezichthouder kijkt dus niet alleen mee over de schouder van de Eigenaar, Beheerorganisatie en stelselgovernance, maar toetst ook zelfstanding of voldaan wordt aan de eisen. De Toezichthouder bezoekt daarom periodiek de Deelnemers van het stelsel en de Beheerorganisatie, en voert inspecties uit of laat additionele audits uitvoeren. Toezicht op Deelnemers en Beheerorganisatie middels audits en certificering Zowel eHerkenning als PKIoverheid kennen de situatie waarbij Deelnemers, respectievelijk CSP’s, gecertificeerd moeten zijn om hun diensten in dit kader te mogen leveren. Voorzien is dat deze vorm ook voor het geïntegreerde toezicht ingezet kan worden. De Toezichthouder heeft inzage in de auditrapporten van Deelnemers en Beheerorganisatie. Op basis van de auditrapportages bepaalt de Toezichthouder de onderwerpen die in de bedrijfsbezoeken aan Deelnemers en Beheerorganisatie aan de orde moeten komen. Mogelijke onderwerpen zijn de opvolging van de eventuele auditbevindingen, implementaties n.a.v. recente stelselwijzigingen en incidenten. Toezicht in relatie tot klachten en geschillen Geschillen worden in eerste instantie door de deelnemers aan het stelsel en de beheerorganisatie in samenspraak opgelost. Indien dit niet lukt, bijvoorbeeld door de complexiteit of omvang van een geschil, kunnen deelnemers, afnemers, dienstverleners en gebruikers terecht bij een onafhankelijke Klachten- en Geschillencommissie. Deze commissie geeft advies aan de betrokken partijen over de oplossing van de klacht of het geschil. De partijen kunnen dit advies opvolgen of beargumenteerd afwijzen waarna de gang naar de (civiele) rechter openstaat. Onderzocht moet worden of dit afdoende is in geval van klachten van individuen over deelnemers of dienstverleners. De reden hiervoor is dat individuen doorgaans minder middelen hebben om zich juridisch te laten bijstaan. De Klachten- en Geschillencommissie staat los van de Toezichthouder. Voor de korte termijn moet bepaald worden welke aanpassingen van het instellingsbesluit van eHerkenning met betrekking tot de klachten en verschillen nodig zijn voor de pilot situatie van het eID Stelsel. De Toezichthouder en informatie-uitwisseling met relevante partijen Naast de bezoeken aan de deelnemers en beheerorganisatie vanuit de toetsende rol voert de Toezichthouder ook informatieve gesprekken met het oog op de effectiviteit en efficiëntie van het toezicht. 1. De Toezichthouder en (certificerende) auditors wisselen periodiek informatie uit over de status van de naleving van Deelnemers van de normen. De Beheerorganisatie maakt in tegenstelling tot de huidig situatie bij PKIoverheid, geen deel uit van dit overleg omdat zij zelf ook object van het toezicht is. 2. De Toezichthouder en de Eigenaar en Beheerorganisatie wisselen in ieder geval informatie uit over de trends in beveiligingsincidenten, continuïteit van het stelsel, wijzigingen in het stelsel, wijzigingen van Deelnemers in het stelsel en andere onderwerpen issues die zij relevant achten. 3. De Toezichthouder en de voorzitters van Stelselraad en Tactisch overleg wisselen informatie uit over de o.a. visies op de
Pagina 18 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
stelselontwikkeling, wijzigingen en effectiviteit van de governance van het stelsel. 4. De Toezichthouder neemt het initiatief tot periodieke gesprekken met de Klachten- en Geschillencommissie over de effectiviteit van de afhandeling en inhoudelijke trends ten aanzien van klachten en geschillen. Op basis van de overleggen maakt de Toezichthouder een plan voor het toezicht in de komende perioden. In dit plan zijn de prioriteiten en speerpunten opgenomen voor bedrijfsbezoeken, onderzoeken en audits die hij bij deelnemers en beheerorganisaties wil houden. Dit aspect is bestaand voor PKIoverheid en nieuw voor eHerkenning. Beheer eID en DigiD Logius vervult met DigiD ook de rol van Middelenuitgever in het Stelsel. De Beheerorganisaties van eID en DigiD zijn daarom ook gescheiden van elkaar. Ieder jaar geeft Logius de Auditdienst Rijk (ADR) de opdracht om een audit uit te voeren ter verantwoording van het beheer van haar producten en diensten. Hierbij wordt Logius zelf als Middelenuitgever voor DigiD getoetst. 4.3
Op basis van wat wordt toezicht gehouden? Idealiter wordt toezicht gehouden op basis van toetsbare normen. Deze normen zijn zowel bruikbaar als leidraad voor implementaties door deelnemers als voor toetsing door professionele auditors van die implementaties. De toetsingskaders zijn opgebouwd uit eisen die voortvloeien uit wet- en regelgeving, eisen die specifiek zijn voor de voorziening en generieke eisen aan beheerprocessen. Het toezicht op de kwaliteit van audits door auditors wordt uitgeoefend in de lijn van de beroepsorganisaties van geregistreerde IT auditors en de raad van accreditatie (Certificatie-audits). Dit type toezicht is gebaseerd op internationale normen voor de uitvoering van audits en certificeringen. Voorzien is dat deze vormen van toezicht gehandhaafd blijft omdat er ook sprake blijft van certificering conform (inter-)nationale standaarden.
Figuur 4 Elementen waaruit toetsingskaders zijn opgebouwd.
Normen afgeleid uit wet- en regelgeving Logius-juristen toetsen bij de voorzieningen die Logius in beheer heeft aan de hand van checklists of de voorziening voldoet aan de relevante wetgeving. Voorgesteld wordt dat deze checklist als basis worden gebruikt Pagina 19 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
voor het opstellen van de normen die voorvloeien uit wet- en regelgeving. Deze normen zijn deels generiek voor Logius voorzieningen en deels specifiek voor eID. Bestaande (inter-)nationale normenkaders hergebruikt Voorgesteld wordt om de bestaande normenkaders van eHerkenning, risicoanalyse, Informatiebeveiligingsbeleid als basis te nemen en de DigiD specifieke elementen voor het burgerdomein daarin te integreren. Voor de toetsing van de betrouwbaarheidsniveaus van middelen en machtigingen vormen de huidige eHerkenning afspraken en de DigiDnormen het uitgangspunt. De verwachting is dat met name de risicoanalyses en de normen voor de betrouwbaarheidsniveaus van eHerkenning door de introductie van risico’s uit het burgerdomein wijziging nodig hebben omdat eHerkenning op dit moment alleen het bedrijvendomein bedient. Daarnaast verschilt het machtigingenregister van eHerkenning (bedrijf machtig medewerker) essentieel van DigiD Machtigen (burger, al dan niet handelingsbekwaam, machtigt een zaakwaarnemer).
Figuur 5 Normenkaders relevant voor het geïntegreerde toezicht samengevat
Toezicht op aansluitvoorwaarden en gebruiksvoorwaarden eID Zoals eerder in hoofdstuk 2 is aangegeven, is het directe toezicht door de Toezichthouder beperkt tot de Deelnemers aan het stelsel. De naleving van aansluitvoorwaarden en gebruiksvoorwaarden worden binnen de contractrelaties van Deelnemers en aangeslotenen, afnemers van een machtigingenregister en gebruikers van middelen getoetst. De Toezichthouder monitort de effectiviteit de manier waarop Deelnemers de naleving van de aansluitvoorwaarden / gebruiksvoorwaarden afdwingen. De aansluitvoorwaarden/gebruiksvoorwaarden zijn onderdeel van het afsprakenstelsel en daarmee ook object van het toezicht door de Toezichthouder. Dit betekent voor de pilotsituatie met betrekking tot DigiD als eID middel de DigiD-assessments voor op de herkenningsmakelaar aangesloten partijen worden gehandhaafd en dat de controle daarop door het Ministerie van BZK (ook Eigenaar van DigiD) wordt uitgeoefend. De Pagina 20 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Toezichthouder houdt slechts toezicht op de effectiviteit van deze constructie. Voor de definitieve situatie moet door BKZ en het programma eID worden bepaald of- en hoe de eisen uit de DigiD Assessments een plaats kunnen of moeten krijgen in de aansluit- en gebruiksvoorwaarden. 4.4
Nalevingsaspecten De nalevingsaspecten zijn beschreven vanuit de volgende situatie: Er is nog geen wettelijke verankering van het eID Stelsel en het Toezicht daarop. Dit betekent dat de mogelijkheden voor het houden van toezicht op- en eventueel afdwingen van naleving in deze situatie waarschijnlijk beperkter zijn dan gewenst voor de definitieve situatie. Daarnaast kan voor de definitieve situatie de betrokkenheid van de Toezichthouder bij het afdwingen van de naleving anders worden gekozen. De mate van betrokkenheid houdt nauw samen met wijze waarop de rol van Eigenaar ingericht wordt of kan worden. Het eID Stelsel wordt gebouwd op de basis van eHerkenning. Op belangrijke punten verschilt eID van eHerkenning, zoals de voorziene samenstelling van het veld aan deelnemers (publiek-privaat). Dit heeft mogelijk juridische consequenties voor wijze waarop de naleving ingericht kan en moet worden. Uitwerking van de nalevingsaspecten vallen buiten het kader van dit project. In hoofdstuk 5.4 wordt daarom voorgesteld om de geconstateerde aandachtspunten met betrekking tot het huidige nalevingsbeleid van eHerkenning met het oog op het eID Stelsel nader nog uit te werken. Middelen van het toezicht om naleving af te dwingen Voorzien wordt dat alle de bestaande middelen kunnen worden ingezet in het kader van het geïntegreerde toezicht. 1. De Eigenaar Uit laten voeren van de Stelselaudit en sturen op oplevering en uitvoering van een correctief actieplan; Opdracht aan Beheerorganisatie om een deelnemer uit het operationele netwerk te verwijderen(afsluiten); Opdracht geven aan Beheerorganisatie om de contractuele relatie met een deelnemer te ontbinden; Intrekken van de opdracht aan Logius om het beheer van het eID Stelsel uit te voeren. 2. De
Beheerorganisatie (Logius) Aangaan van een informeel gesprek met de deelnemer; Uitvoeren van de compensatieregeling horende bij implementatie; Afsluiten van een dienstverlener in opdracht van de Eigenaar In opdracht van de Eigenaar ontbinden van de contractuele relatie met een deelnemer.
3. De Toezichthouder Informeel gesprek al dan niet op verzoek van de Eigenaar; Formeel schriftelijk verzoek aan partijen om tekortkomingen op te heffen; Deelnemers niet toestaan nog nieuwe middelen uit te geven; Deelnemers niet toestaan nog nieuwe machtigingen te registreren; Pagina 21 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Deelnemers niet toestaan een bepaalde rol nog te vervullen gedurende een bepaalde tijd; Uit(laten)voeren van een audit/inspectie bij een Deelnemer en de Beheerorganisatie.
Pagina 22 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
5
Issues
Deze paragraaf bevat de issues en vragen die zijn gerezen rond het geïntegreerde toezicht op eID. Deze issues en vragen moeten worden nog uitgewerkt. Dit past echter niet binnen deze opdracht. 5.1
Fraudemanagement Het management van fraude en misbruik vind plaats binnen de specifieke juridische context van opsporing en is daarmee niet gelijk het houden van toezicht op de veiligheid en betrouwbaarheid van het eID stelsel. Wat behelst het Fraudemanagement bij DigiD? Logius heeft voor de DigiD voorziening, dat het burgerdomein vertegenwoordigd, een actieve vorm van fraude detectie ingericht. Het Fraudeteam van Logius onderzoekt het realiteitsgehalte van technische signalen die een indicatie zijn voor mogelijk frauduleus handelen. Indien gerede vermoedens zijn voor frauduleus handelen informeert Logius de betreffende aangesloten partij en treedt in contact met de betreffende opsporingsinstanties. De verdere afhandeling vindt plaats bij de opsporingsinstantie, dienstverlener en overige betrokkenen. Het Fraudeteam van Logius vervult alleen een signalerende en informerende rol. eHerkenning heeft geen actief fraudemanagement ingericht, maar afspraken gemaakt over hoe te handelen indien een opsporingsinstantie om informatie verzoekt. In de eID pilot situatie wordt voorzien dat het huidige fraudemanagement voor de DigiD voorziening gehandhaafd blijft. In de periode na de pilots zouden condities geschapen moeten worden om fraudedetectie mogelijk te maken voor alle authenticatiemiddelen die in het eID netwerk worden gebruikt. Deze condities hebben impact op het stelsel. Waarom is fraudemanagement ook voor eID van belang? Aanleidingen: “Lektober”: De technische implementaties van online diensten door gemeenten en andere dienstverleners bleken kwetsbaar waardoor ook DigiD als middel in diskrediet gebracht werd. De minister van BZK greep daarop in met de verplichting voor aangesloten partijen om hun implementaties gerelateerd aan DigiD extern te laten toetsen. ‘Toeslagen fraudes”: Herhaalde gevallen van fraude en misbruik met toeslagen hebben de aandacht van politiek en media en daardoor fraudebestrijding tot een speerpunt gemaakt voor de Rijksoverheid. ‘Gevolgen van Identiteitsdiefstal’: De toename van het gebruik van elektronische identiteiten voor informatietransacties tussen burgers en overheden, bedrijven en overheden, bedrijven onderling, en consumenten met bedrijven maakt dat diefstal van elektronische identiteiten voor criminele activiteiten interessant is geworden. De gevolgen van het crimineel gebruik van gestolen identiteiten kunnen vooral voor burgers en consumenten buitenproportioneel groot zijn. Als een misbruikte identiteit wordt uitgesloten van de mogelijkheid tot het doen van transacties (sluiten van lening of aangaan van contracten) kan dat een individu levenslang achtervolgen terwijl de Pagina 23 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
mogelijkheden van de getroffen persoon zelf zeer beperkt zijn om de gevolgen ongedaan te maken. Conclusie: Voor het eID Stelsel is het te voorzien dat er meer aanbieders komen van authenticatiemiddelen voor burgers om informatietransacties met overheden en ander publieke en private dienstverleners. Fraudemanagement is op dit moment echter gekoppeld aan de DigiD-voorziening en de specifieke technische implementatie daarvan. Voor het eID Stelsel is nog geen vorm van fraudemanagement voorzien. Voor het vertrouwen van burgers een bedrijven in het eID Stelsel is het essentieel dat vooral de burger en consument actief wordt beschermd tegen misbruik van zijn of haar elektronische identiteit en dat het onderzoek naar het voorkomende misbruik wordt ondersteund.. Advies voor nader uit te werken issues in het kader van het toezicht. 1. Onderzoek de technische-, organisatorische- en juridische implicaties voor de eID Stelselafspraken. Voor het proactief onderzoeken van potentiële identiteitsfraude zijn gegevens over het gebruik van authenticatiemiddelen en transacties noodzakelijk. Deze gegevens zijn binnen het eID Stelsel verspreid over verschillende systemen en partijen. 2. Bepaal welke organisatorische plaats fraudemanagement dient te krijgen; binnen of buiten de stelsel governance. 3. Bepaal onder welke wettelijke condities fraudemanagement mag worden geïmplementeerd en bepaal de wijze van toezicht op de uitvoering er van. 5.2
Toezicht op naleving aansluitvoorwaarden, gebruiksvoorwaarden In hoofdstuk 2 is aangegeven dat de Toezichthouder op het eID Stelsel alleen indirect toezicht houdt op de naleving van aansluitvoorwaarden en gebruiksvoorwaarden door aangeslotenen dienstverleners, afnemers en gebruikers. Het aantal partijen waarop anders toezicht gehouden zou moeten worden is gewoonweg te omvangrijk voor een directe vorm van toezicht. Dit uitgangspunt heeft echter een aantal consequenties die nader onderzocht en uitgewerkt moeten worden. Wat betreft het toezicht op aangesloten partijen van DigiD? Indirect toezicht op aangeslotene partijen betekent dat het toezicht op naleving van gebruiksvoorwaarden en aansluitvoorwaarden primair binnen de contractrelaties (privaat domein) plaats vindt. Deze wijze van toezicht heeft consequenties: De eisen die in het kader van de huidige DigiD voorzieningen worden gesteld aan de partijen met een aansluiting zouden onderdeel moeten zijn van de aansluitvoorwaarden. Hierbij is het voorstelbaar dat aan dienstverleners die het BSN verwerken (b.v. gemeenten, UWV etc.) hogere eisen worden gesteld dan aan dienstverleners die dat niet doen (webwinkel, bedrijven in het kader van B2B). De Eigenaar is essentieel voor de handhaving. De Eigenaar is namelijk verantwoordelijk voor het handhaven van de integriteit van het stelsel en daarmee ook voor het afsluiten van een dienstverlener wanneer deze de integriteit van het stelsel in Pagina 24 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
gevaar brengt. De Toezichthouder, die alleen indirect toezicht houdt, kan alleen de Eigenaar op zijn verantwoordelijkheid wijzen als hij dat nodig acht. Waarom is proactief toezicht op dienstverleners van belang voor eID? Dit uitgangpunt om indirecte toezicht te houden op dienstverleners is begrijpelijk maar laat mogelijk ook een gat in de keten vallen. Beveiliging kost geld en dus worden door dienstverleners in meer of mindere mate risico’s geaccepteerd. Cybercriminaliteit ontwikkelt zich voortdurend waardoor bescherming per definitie achterloopt. Simpelweg omdat het mogelijk is (Murhpy’s Law) zullen er zich situaties voor gaan doen waarbij dienstverlener (bedrijf, uitvoeringsorganisatie of overheid) is betrokken en dat om wat voor oorzaak dan ook de integriteit of reputatie van het stelsel wordt bedreigt. Dit komt simpelweg omdat het mogelijk is en het dus ook zal gebeuren. Het is niet realistisch te verwachten dat een herkenningsmakelaar volledig zelfstandig een dienstverlener kan dwingen tot het nemen van maatregelen of in het meest vergaande geval gaat afsluiten. De Eigenaar van het eID Stelsel is primair verantwoordelijk voor de handhaving van de integriteit van het stelsel en zou daarom ook belangrijke een rol moeten spelen bij de eventuele afsluiting van dienstverleners. Het is nog niet duidelijke of de Toezichthouder en rol in moet of kan hebben. Advies voor nadere uitwerking in het kader van toezicht op het eID Stelsel Ontwikkel een of meerdere wijzen waarop een proactief toezicht op dienstverleners, die op eID zijn aangesloten, naleving afgedongen kan worden. Deze wijzen moeten de Herkenningsmakelaar ondersteunen in het nemen van zijn verantwoordelijkheid om een en ander binnen de contractrelatie af te kunnen handelen. 5.3
eID Normenkaders en de nog ontbrekende producten eID In de voorstellen is uitgegaan van de bestaande situatie waarin het programma eID nog geen stelselrisicoanalyse heeft opgeleverd of een definitieve architectuur. Idealiter worden normenkaders worden opgesteld op basis van een risicoanalyse en architectuur. Advies Dit betekent dat de normenkaders, die in het kader van de pilots worden opgeleverd, geëvalueerd en waar nodig bijgesteld moeten gaan worden op basis van de nog op te leveren eID Stelselrisicoanalyse en architectuur.
5.4
Issues naleving Als uitgangspunt is gekozen om het eID Stelsel middels wijzigingsvoorstellen te bouwen op eHerkenning. De constellatie van betrokken partijen van eID een mix van publieke en private Deelnemers is anders dan bij eHerkenning dat bestaat alleen private Deelnemers kent. De manier waarop naleving kan worden afgedwongen is in samengestelde publiek-private context is complex en moet nader worden onderzocht. In het kader van dit project is een analyse gemaakt van de op korte termijn herbruikbare elementen van eHerkenning voor het toezicht en verbeterpunten. De herbruikbare delen en verbeterpunten voor de korte termijn zijn dit document verwerkt de overige verbeterpunten zijn voor verdere uitwerking in een apart document ondergebracht. Pagina 25 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Advies Onderzoek de (juridische) consequenties met betrekking tot de nalevingsaspecten in de samengestelde publiek-private context van het eID veld van deelnemers. Werk de verbeterpunten met betrekking tot naleving bij eHerkenning uit rekening houdend met het eID Stelsel.
Pagina 26 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
6
BIJLAGE Samenvatting Rollen en Activiteiten in het toezicht eID
De bijlage heeft tot doel om de tekst in hoofdstuk 4 met betrekking tot het voorstel voor de manier waarop het toezicht op het stelsel eID werkt samen te vatten. Voorstel tekst: De bijlage geeft een overzicht van het voorstel uit hoofdstuk 4 voor de manier waarop het toezicht op het eID Stelsel kan worden ingericht.
Pagina 27 van 29
Rol
Beheerorganisatie
Stelsel governance
Activiteit Inrichten Governance
Afsprakenstelsel opstellen wijzigen
Voorbereiden
Toetreden van partijen
- Faciliteren proces - Technische test en rapport resultaat aan Eigenaar. Uitvoeren na besluit Eigenaar -Testen technische implementatie incl. penetratietesten bij Deelnemers (eID) -Administratieve
Sanctioneren van toegetreden partijen Toetsen naleving van stelseleisen
-Voorbereiden besluiten door Operationeel beraad -Besluiten door Tactisch Beraad binnen kaders van de Stelselraad.
Eigenaar
(externe auditor)
Voorbereiden en besluiten over instelling Inbreng via Stelsel governance (?)
Besluiten
Besluiten - Beoordelen kwaliteit van de Beheerorganisatie - Uit laten voeren Stelselaudit
- Uitvoeren Stelselaudit in opdracht van Eigenaar - Informatie-
Commissie Klachten en Geschillen
Toezichthouder
- Toezien op kwaliteit en integriteit van de stelselafspraken m.b.t. Informatiebeveiliging - Geven gevraagd en ongevraagd advies aan Stelsel governance en Eigenaar. Beoordelen auditrapport en advies- of aanwijzing geven aan Eigenaar Advies of aanwijzing geven aan Eigenaar -Beoordelen van auditrapporten - Bezoek aan- / audit van deelnemers en beheerorganisatie
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Rol
Beheerorganisatie
Stelsel governance
Eigenaar
(externe auditor)
Commissie Klachten en Geschillen
Toezichthouder
Activiteit controle en documentatie van certificeringen etc. -Informatie uitwisselen met toezichthouder
uitwisselen met toezichthouder
Geen rol
Geen rol
Behandelen formele klachten van- en geschillen tussendeelnemers, afnemers, dienstverleners en gebruikers, beheerorganisatie
Geen rol
Behandelen operationele- en beveiligingsincidenten Certificeren tegen (inter-)nationale standaarden zoals ISO ETSI, Webstrust, NCSC
Primaire afhandeling en escalatie
Ondersteunen Eigenaar bij risicoafweging
Incidentafhandeling na escalatie
In opdracht van Eigenaar onderzoeken
Toezien op kwaliteit incidentafhandeling
Opdrachtgeven certificeren beheerorganisatie
Vaststellen stelselafspraken hieromtrent
Opdrachtgeven Stelselaudit
-In opdracht uitvoeren en rapporteren aan opdrachtgever
Analyseren auditrapportages.
Pagina 29 van 29
Geen rol
- Behandelen - Advies aan betrokken partijen (is een advies zwaar genoeg ingeval geschil burger/consument en dienstverlener of deelnemer?)
- Advies of aanwijzing geven aan Eigenaar - Uitwisselen informatie met beheerorganisatie en (externe) auditors -Toezien op kwaliteit en effectiviteit klachtenafhandeling -Advies aanwijzing aan Eigenaar. (Rol in beroep?)