Notitie van eid over verwerking Forum-adviespunten Ontvangen van Hans-Rob de Reus op

Vergelijkbare documenten
Reactie op Ontwerp op hoofdlijnen van de werking van het eid Stelsel NL d.d. 7 juni 2013 (versie 0.9)

Welkom. Het eid Stelsel maakt het mogelijk dat mensen altijd en veilig online zaken kunnen doen met de overheid en het bedrijfsleven.

% &# / "0!( /!!!"2 3 4"2- % 3,"2!#5*! % 3!" 3 6"!"!. 1!#74 2-"

Het eid Stelsel maakt het mogelijk dat mensen altijd en veilig online zaken kunnen doen met de overheid en het bedrijfsleven.

eid Stelsel NL & eid Wenkend perspectief

Den Haag, 28 oktober Ontwerp op hoofdlijnen van de werking van het eid Stelsel NL

CreAim. De SBR en eherkenning specialist. Frank Jonker Directeur CreAim CreAim B.V.

Authenticatie en autorisatie. 31 mei 2012

eid Stelsel NL Het eid Stelsel maakt het mogelijk dat mensen altijd en veilig online zaken kunnen doen met de overheid en het bedrijfsleven

eherkenning Douwe Lycklama Adviseur eherkenning

Presentatie Kennisplatform Softwareleveranciers

Samenwerken in vertrouwen!

eherkenning Douwe Lycklama Adviseur eherkenning

Ondertekendienst binnen eherkenning. Congres eherkenning Publiek Private Samenwerking & Identity Management Jacob Bosma 7 juli

Begrippenlijst eid Afsprakenstelsel. programma eid. Versie: 1.0. Datum: 21 januari Status: Definitief. Pagina 1 van 14

Een architectuur voor authenticatie en autorisatie van burgers en bedrijven voor de overheid (een tussenstand)

Idensys & BankID IN VOGELVLUCHT DE ONTWIKKELING VAN DE STELSELS IDENSYS EN BANKID. What s SURFconext d.d. 24 november Bart Kerver

kansen voor bedrijven & (semi) overheidsorganisaties 12 juni 2012

Introductie op het eid Stelsel. programma eid. Versie: 1.0. Datum: 21 januari Status: Definitief. Pagina 1 van 18

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1

iemand aan wie hij/zij is, bij authenticatie wordt vastgesteld of deze persoon ook daadwerkelijk is wie die zegt dat die is.

SBR Platform. Inhoud. 5 juni Indra Henneman Jeroen van Hulten. Waar staan we. Waar gaan we naar toe. Gebruik certificaten binnen SBR

eid Stelsel Het eid Stelsel maakt het mogelijk dat mensen altijd en veilig online zaken kunnen doen met de overheid en het bedrijfsleven Programma eid

Congres Publiek Private Samenwerking en Identity Management Op het juiste spoor met eherkenning

Opening. Peter Benschop

Authenticatie en autorisatie SBR-stromen

Ik ga op reis en ik neem mee

Tweede Kamer der Staten-Generaal

Overzicht eidas en eherkenning juli EH ontwikkelingen gerelateerd aan eidas

Zoals we het nu zien, zouden we de vraagstelling voor jullie als volgt formuleren:

Gebruiksvoorwaarden eherkenning

Hoe aansluiten op het koppelvlak voor eherkenning & eidas?

Datum 6 maart 2019 Betreft Kamervragen van de leden Van der Molen, Pieter Heerma en Van den Berg (allen CDA)

Bijlage II: De werking en de stapsgewijze uitrol van de multimiddelenaanpak

Eerste voorstel businessmodel eid Stelsel

Het nieuwe eid-stelsel Wat betekent dit voor de zorg?

IAM voor het onderwijs in 2020 Ton Verschuren m7

SBR/XBRL Praktijkdag voor intermediairs De rol van certificaten en CSP s (Certificate Service Provider)

Gespreksnotitie over punten van consensus en discussie binnen het Nederlandse eid afsprakenstelsel.

Afsprakenstelsel eherkenning

Betrouwbaar, veilig en gebruiksvriendelijk inloggen bij overheid en bedrijfsleven

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015

Gebruikersdag NORA 29 november 2018

Afsprakenstelsel Elektronische Toegangsdiensten Inhoudsopgave 1. Gebruiksvoorwaarden Elektronische Toegangsdiensten Artikel 1. Definities...

Opname eherkenning op de lijst voor. Datum: 26 oktober 2012 Versie 0.9

Aanvragen en gebruik Overheids IdentificatieNummer (OIN)

eherkenning, ook voor het onderwijs René van den Assem zelfstandig adviseur

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Bring Your Own ID HET NIEUWE INLOGGEN VOOR OVERHEID EN BEDRIJFSLEVEN

Toelichting op vraagstuk businessmodel Idensys en SEO rapport voor consultatiebijeenkomst 22 en 23 september 2015

Gelet op de artikelen 3.1 en 3.2 van de Wet basisregistratie personen wordt op dit verzoek als volgt besloten.

Wat betekent dit voor de zorg?

Single Sign On. voor. Residentie.net en Denhaag.nl

Menno Stigter Informatie Architect, Gemeente Den Haag 18 april 2018

Handleiding voor aansluiten op DigiD

Adviescommissie Authenticatie en Autorisatie Bedrijven (A3 Bedrijven)

Digitale transformatie

Standaardisatiemogelijkheden afsprakenstelsel eherkenning. Ten behoeve van Forum Standaardisatie april 2010

Gebruik van polymorfe pseudoniemen in het onderwijs

UPGRADE YOUR BUSINESS PROCESSES and change the way you work

Afsprakenstelsel ElD. september Kennisplatform Administratieve Software

Werking van het eid Stelsel. programma eid. Versie: 1.0. Datum: 21 januari Status: Definitief

Bijlage I - Introductie: authenticatie en eid

Altijd waakzaam en betrouwbaar

Polymorfe Encryptie en Pseudonimisering in het eid stelsel. Building digital trust 15 juni Op persoonlijke titel

eidas voor de SURF-doelgroep

eid in de zorg Wat betekent dit voor u? Bob van Os Nictiz Ruben de Boer - Ministerie van VWS 20 juni 2019

IAA begrippen. Status

HOE GA JE OVER NAAR VERSIE 1.11 EN WAAR MOET JE OP LETTEN?

Handleiding Amyyon Care BSN functionaliteit. Rondomzorg

Gebruiksvoorwaarden eherkenning

Handleiding Communicatie eherkenning. eherkenning. dé digitale sleutel voor ondernemers en de overheid

Productpaper Z login: inlog en signing service

Bronnenlijst Literatuur: Boeken: Internetsites:

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

What s

idin, de nieuwe manier van online identificeren

Visie op toegang! Identity management als speerpunt! H-P Köhler, Kennisnet Roel Rexwinkel, Surfnet

Op 6 oktober is tijdens het TO vo/mbo de nieuwe versie van het attributenbeleid besproken.

Website:

Memo. Leden van het Edu-K Platform. Programma Implementatie nummervoorziening. Datum 27 maart 2017

Inleiding Recht op informatie Recht op inzage Recht op correctie en verwijdering Mogelijkheid om een klacht in te dienen

Whitepaper. Privacybescherming en uitwisseling van medische informatie

Bijlage 1. Overzicht van de basisvoorziening in het NUP: afspraken en gevolgen voor de gemeente

Klantcase. Applicatiebeheer Dennis van Noort van HDSR: Met eherkenning kunnen wij mensen veel beter van dienst zijn

SAMENVATTING ONDERZOEK TOEGANG TOT PATIËNTPORTALEN

Het UZI-register. Eerste hulp bij veilige elektronische communicatie in de zorgsector. Renate de Rijk projectleider implementatie 8 december 2005

Wat als.? U met één aansluiting zowel online diensten voor burgers als organisaties kunt aanbieden, zowel in het publieke als private domein?

Voorwaarden Digilevering

Bijlage 1 Toelichting op de functies en de werking van de Persoonlijke Internet Pagina

Overheidskoppelvlak eherkenning

S E C U R I T Y C O N G R E S D A T A I N T H E F U T U R E E-ID, de toekomst van de digitale identificatie (Idensys)

NORA nodigt je uit bij ICTU

VIAG THEMADAG State of the art internet beveiliging

Business Case. <<Naam project>>

Isala en e-id. Isala

Even bijpraten. Auteur Datum. Jan Bartling (sambo-ict) en Leo Bakker (Kennisnet) 18 januari 2019

Eerste Kamer der Staten-Generaal

Transcriptie:

Notitie van eid over verwerking Forum-adviespunten Ontvangen van Hans-Rob de Reus op 27-1-2014 Het eid-stelsel wordt gepresenteerd als nationale infrastructuur. Dit roept de vraag op of en, zo ja, hoe rekening wordt gehouden met aansluiting op buitenlandse en Europese infrastructuren. Het is aan te bevelen om te leren en te kopiëren van buitenlandse overheden die vergelijkbare oplossingen al hebben gerealiseerd (zoals Zweden, Finland, Noorwegen en Estland). Op het niveau van standaarden zijn o.a. STORK en het Kantara SAML egov profile relevante ontwikkelingen die kunnen helpen om een interfederatie met buitenlandse overheden te realiseren. Het koppelvlak met de dienstencatalogus, dat is terugkomt in paragraaf 6.2, is niet helemaal uitgewerkt. De koppeling met (basis)registraties komt nog niet erg uitgewerkt terug. Zij zijn als leveranciers van attribuutverklaringen waarschijnlijk een belangrijke actor. Het koppelvlak met de Handelende Partij is niet uitgewerkt. o Hoe transparant is eid voor de gebruiker? Welke gegevens moet hij aanleveren en wat ziet hij terug in zijn scherm? Kan hij bijvoorbeeld zien/bepalen welke attributen worden gedeeld? Kan hij zijn verschillende pseudo-id s inzien? Is hij degene die pseudo-id s mag koppelen en ontkoppelen aan een (sectoraal) persoonsnummer? o Door de federatieve opzet met een veelheid aan middelen zal standaardisatie van de gebruikersinterface (koppelvlak naar eindgebruiker) zeer relevant zijn. Het is niet duidelijk of het eid-stelsel ook inzetbaar is voor overheidsmedewerkers die zich moeten authenticeren bij hun eigen organisatie en bij andere overheidsorganisaties. Dit is een relevante use case o.a. in het SUWI-domein. De relatie met bestaande voorzieningen, zoals DigiD en E- Op twee onderdelen: - door aan te sluiten op PEPS - als basis voor de registratie van een persoon, worden persoonsgegevens gehanteerd en niet bijvoorbeeld het BSN. Deze persoonsgegevens kunnen ook van een buitenlands (e)id-document komen. Er is gekeken naar oplossingen van buitenlandse overheden. Met name naar Duitsland, maar ook naar oplossingen in andere landen. Voor betrouwbaarheidsniveaus volgen wij STORK (en de handreiking van het Forum) voor authenticatie. Voor machtigen en ondertekenen wachten wij nog op nieuwe handreikingen. Is nog niet beschreven Koppelvlak attribuutverklaring wel beschreven, niet specifiek voor basisregistraties. Gevolgen voor deze basisregistraties zijn ook nog niet in beeld gebracht. Nee, wel in storyboards. Verder met name interactie ontwerp. Eisen zijn wel geformuleerd. Transparantie is nu nog alleen in de vorm van ontwerpeisen. User consent komt wel al terug in de beschrijving van de werking. De koppelprocessen moeten nog worden uitgewerkt (ook o.b.v. betrouwbaarheidsniveaus) waarbij elke sector een eigen invulling kan kiezen. Op basis van het ontwerp gebaseerd op persoonsgegevens is koppeling goed uitvoerbaar. Het is niet de bedoeling dat een gebruiker een pseudoid ziet (is een technische sleutel). Klopt, vergelijk gemaakt met Ideal, zie ook storyboards Niet expliciet, maar in opzet zeker mogelijk. Het nieuwe RIN is voorbeeld van een Sector invulling. Deze voorzieningen worden

Herkenning, is nog niet zo sterk uitgewerkt. De nummers van de koppelvlakken komen niet overal consistent terug (zie verschil figuren in paragraaf 4.3 op p. 19 en 20). De primaire identifier tussen partijen in het eid-stelsel is de zogenoemde pseudo-id. Vanuit privacy-perspectief is dat een verstandige keuze. Het is van belang dat dit de pseudo-id op een onomkeerbare wijze wordt berekend ( one way ), bijv. op basis van de gangbare standaard SHA-2. In het ontwerp staat dat de pseudo-id persistent is (p.9 en 11). Het is niet duidelijk hoe de persistentie zicht verhoudt tot het scenario dat een dienstaanbieder geen identificerend persoonsnummer nodig heeft, maar bijv. alleen hoeft te weten of iemand ouder is dan 16. In dat geval zou de dienstaanbieder namelijk voldoende moeten hebben aan een transient (tijdelijk) pseudo-id. Op ieder koppelvlakken zullen (tenminste) twee berichten (vraag/antwoord) worde uitgewisseld. Nu staan in paragraaf 6.3 alleen de antwoorden te zijn beschreven. Het verdient aanbeveling om de dialoog qua berichten functioneel te beschrijven. De attribuutverklaring is niet verder uitgewerkt in paragraaf 6.3. Je zou verwachten dat in iedere verklaring de identiteit van de partijen waartussen het bericht wordt uitgewisseld terugkomt (eid-makelaar, Authenticatiedienst, Machtigingsdienst, Attribuut-leverancier). Dat lijkt nu niet het geval. De berichten voor K4 (tussen Dienstaanbieder en eidmakelaar) zijn niet nader gedefinieerd. De definitie van Verklaarder is niet duidelijk. Kan dit de Wat is een Gecertificeerde Partij? identiteit van dienstaanbieder : o Er wordt geen unieke identifier van de dienst meegegeven (Dienst-ID). Dat lijkt een hiaat. In deze identifier kan ook de identiteit van de dienstaanbieder worden opgenomen. o Hoe stellen andere partijen (eid-makelaar, Authenticatiedienst etc.) de identiteit van de dienst en dienstaanbieder betrouwbaar vast? o Andere partijen in het stelsel (eid-makelaar, Authenticatiedienst, Machtigingsdienst, Attribuut-leverancier) weten wanneer een gebruiker een bepaalde dienst gebruikt. Vanuit privacy-perspectief is dat onwenselijk, tenzij hiertegen maatregelen worden genomen. gevraagde minimale STORK-niveau : o In paragraaf 6.2 staat dat dit in het dienstenregister is vastgelegd. Het is niet duidelijk hoe het koppelvlak met dit register eruit ziet. ja/nee-waarde of een niet-natuurlijk persoon als handelende partij is toegestaan voor de dienst. : o Moet dit niet in het dienstenregister worden opgenomen? o ja/nee-waarde lijkt wat te beperkt als je ervan uit gaat dat een natuurlijk en/of niet-natuurlijk-persoon zijn toegestaan. gemigreerd obv eid Stelsel. Hiervoor wordt een apart migratieplan opgesteld. Punt van aandacht in laatste review Werkwijze pseudoid uitgebreid beschreven in werking stelsel Zie werking, zie story board spec s spec s Zie werking stelsel spec s. Koppeling met dienstencatalogus moet in volgende versie nader worden uitgewerkt. spec s. In het ontwerp zijn veel PET invullingen gemaakt. Zie ontwerp beschrijving. Nog niet opgenomen Beschrijving en eisen aan dienstencatalogus in volgende versie. Ja, moet nog worden gespecificeerd. Klopt T.a.v. antwoord (p.30)

Er wordt hier (nog) geen onderscheid gemaakt tussen Identiteitsverklaring van Authenticatiedienst (K1) en Identiteitsverklaring van Koppelregister (K2). In het antwoord ontbreekt het veld Dienst-ID. Veld VerklaringID : Hiervoor kan een hashwaarde over bepaalde gegevens worden gebruikt. Bijv. o.b.v. de standaad SHA-2 die op de lijst met gangbare standaarden van het Forum Standaardisatie staat Veld Uitgiftemoment : Op de lijst met gangbare standaarden van het Forum Standaardisatie opgenomen de standaard ISO 8601 voor de notatie van datum en tijd opgenomen. Veld Ondertekening : o Wordt het bericht ook versleuteld? o Op wiens naam staat het PKI-certificaat? Veld HandeldendePartij : o Wat is NHP en ( NNHP )? Veld Condities : o Niet geheel duidelijk wat met tijd, doel of doelgroep wordt bedoeld. Veld Comfort Informatie tbv Belanghebbende : o Dit lijken attributen te zijn, waarvan het niet altijd nodig/toegestaan is om deze uit te wisselen. Moeten ze in het ontwerp niet als zodanig terugkomen? o Waarom is de samengestelde naam van de Handelende Partij verplicht als het een Gemachtigde betreft? Veld Herleidbaarheid : o De twee opgenomen definities verschillen van elkaar. o Het is niet geheel duidelijk wat de betekenis is van dit veld. Het lijkt erop dat het bedoeld is om de Bevoegdheidsketen vast te leggen. K3. Bevoegdheidsverklaring (tussen eid-makelaar en Machtigingsdienst) T.a.v. aanroep (p.15) Bevoegdheidsverklaring is enigszins misleidend, wellicht is vertegenwoordigingsverklaring een betere term. Identiteit van de belanghebbende : In het antwoordbericht wordt deze Vertegenwoordigde genoemd. Het gaat hier waarschijnlijk om identificerende gegevens, zoals BSN. T.a.v. antwoord (p.30) Zie opmerkingen over overeenkomstige velden onder K1&2. Identiteitsverklaring. Veld BevoegdePartij o Het gaat hier om een HandelendePartij die wel/niet gemachtigd om in naam van een Vertegenwoordigde een bepaalde Dienst te gebruiken. Koppelregister heet nu SectorID dienst. Deze levert een attribuutverklaring van het sectornummer. Deze wordt technisch onlosmakelijk verbonden aan de identiteitsverklaring. Wordt nog toegevoegd. Er worden alleen functionele eisen gesteld. SAML laat dit verder vrij. Wordt gevolgd. Zie koppelvlakspecificaties Het bericht alleen op transportniveau (TLS). Alle persoonsgegevens worden versleuteld (SAML Encrypted Attribute) Het signing certificaat staat op naam van de Issuer van de SAML Assertion (de verklaring) Natuurlijke Handelende Persoon (geboren) Niet Natuurlijk Handelende Persoon (opgericht) Ja, User consent en in certificaat van ontvangende partij moet hiervoor toestemming staan. Onlosmakelijk verbonden eerder verklaringen. Gaat om de definitie Het gaat hier om een identiteit. In de meeste gevallen een pseudo ID. Ja

o Het lijkt handiger om dit veld HandelendePartij te noemen en een los veld (attribuut) Machtiging met als veldwaarden Ja/Nee op te nemen. o De Machtigingsdienst ontvangt nu het sectorale persoonsnummer van zowel de Bevoegde Partij als de Vertegenwoordigde. Zou je dit net als bij de Dienstaanbieder ook met pseudo-id s kunnen doen? Veld Bevoegdheid : o Dit lijkt een overbodig veld. De omvang van de machtiging betreft de dienst. Zoals onder K1&2 Identiteitsverklaring is aangegeven moet wel de Dienst-ID zijn opgenomen. Er lijkt geen rekening gehouden met het stapelen van Bevoegdheidsverklaringen ( doormachtigen ). Is dat een bewuste keuze? K5. Associatieverklaring (tussen Dienstverlener en Dienstaanbieder) De aanroep vindt plaats door het Transactiebericht. In de definitie van het Transactiebericht staat echter dat deze de Associatieverklaring bevat. Dit lijkt zich niet goed tot elkaar te verhouden. T.a.v. antwoord (p.23 en 32) Op p.23 staat onder antwoord resultaatbericht. Dit moet waarschijnlijk de Associatieverklaring zijn. Zie opmerkingen over overeenkomstige velden onder K1&2. Identiteitsverklaring. Bevoegdheidsketen : Hoe verhoudt dit zich tot het veld Herleidbaarheid in de andere Verklaringen? De identiteit van de Dienstverlener (en/of zijn IntermediaireDienst-ID) en de Dienstaanbieder (en/of Dienst- ID) ontbreken in het bericht. 3.4 Beveiliging en privacy Bepaalde partijen, zoals de authenticatiedienstaanbieder,de makelaar en het (sectoraal) koppelregister kunnen veel persoonsgebonden informatie over het gebruik van diensten vastleggen en mogelijk misbruiken. Het is niet duidelijk welke (technische en organisatorische) maatregelen zijn genomen om dit te voorkomen. Het pseudo-id is een persoonsgegeven en mag dus niet zomaar uitgewisseld worden tussen sectorale dienstaanbieders. Goed om dit expliciet te laten terugkomen. Een Dienstaanbieder (en eid-makelaar) mag uiteraard niet zomaar bij alle attributen van een persoon. In het ontwerp komt deze autorisatie van de Dienstaanbieder niet terug. De HandelendePartij kan in het geven toestemming voor het leveren van attributen ook een rol in spelen. Op p.17 staat privacy hotaspot risico genoemd, maar niet duidelijk wordt hoe het moet worden vermeden (moet er wellicht staan één eid-makelaar (...) moet worden vermeden?). Is wel van belang, zeker je nu je je zoveel moeite getroost met de pseudo-identiteiten. 3.5 Overige opmerkingen Single Sign On komt niet terug. Step Up Authentication, wat bijvoorbeeld voor ondertekening relevant kan zijn, komt niet terug in het ontwerp. Nu in Engels Ja, is aangepast Doormachtigen kan. Deze verklaring wordt (met bijbehorend koppelvlak) nog verder uitgewerkt. In werking stelsel nu duidelijker beschreven Zie werking stelsel en eerdere opmerkingen. Hotspots zijn zoveel als mogelijk beperkt Hier is user consent op van toepassing. Nu wel beschreven in werking stelsel In nieuwe beschrijving moet dit duidelijk zijn Komt terug in volgende versie Ondertekenen moet nog verder worden uitgewerkt

In het ontwerp is uitgegaan van centrale attribuutleveranciers. Daarnaast kan een Dienstaanbieder uiteraard ook zelf (buiten eid-stelsel om) toegang hebben tot attribuutinformatie. Attribuut-informatie kan eventueel ook bij de gebruiker zijn vastgelegd, bijv. op een kaart. Het is niet geheel duidelijk of het ontwerp hierin voorziet. Pseudo-identiteiten maken het complex (en het is al complex met de verschillende middelleveranciers, intermediairs etc), dus: o manage deze complexiteit goed (hoe doe je pseudonummerportabiliteit precies: goed, goedkoop en AL vriendelijk) o hoe zorg je ervoor dat de pseudonummers uniek zijn (er geen dubbele worden gegenereerd) beschrijf pseudonummerfunctionaliteit zo dat het niet perse het middel is dat het genereert (die indruk ontstaat op p.11), maar ook de dienst kan zijn (op p.12 staat dat goed). Simpeler middelen (zoals DigiD) kunnen via de dienst zo ook pseudonummerfunctionaliteit bieden. o hou het gebruiksvriendelijk: hou de complexiteit weg bij de eindgebruiker als deze dat wil (niet iedereen wil elke nieuwe OV kaart opnieuw activeren voor automatisch opladen, ov-fiets etc.; luie gebruiker moet ook bediend worden). Nog niet duidelijk wordt hoe de koppeltabellen gevuld worden voor met name bestaande klanten (p.9, 10 en 19). Hoe doe je dat goed, goedkoop en AL vriendelijk. Hoe voorkom je dat je dezelfde gebruiker meerdere keren voor gaat komen? Ga je dat bijvoorbeeld met attribuut vergelijking doen (voorletters+achternaam+geb. datum+geb. plaats etc), of anders? Wellicht noemen (p.8 of p.10) dat binnen de overheid t.a.v. burgers met het BSN nummer gewerkt zal worden (geen sectornummers). Op p12 staat de authenticatiedienst die een bedrijfsgebonden middel aan een medewerker verstrekt registreert welke bevoegdheden deze medewerker heeft. Aandachtspunt is de wijze waarop de diensten daarbij beschreven worden. Bij overheden, maar nog moeilijker bij private partijen. Daarbij komt nog de uitdaging van evt. gewenste hierarchiën hierin (al mijn belastingzaken, cq. iemand is bevoegd kantoorartikelen te kopen) Het is goed dat in het document begrippen worden gedefinieerd. Niet alle begrippen zijn echter eenduidig gedefinieerd en worden ook niet altijd consequent toegepast. Bijv. onderscheid dienst en transactie niet geheel helder en beide begrippen niet consistent gebruikt. Ook bijv. worden handelende partij en gebruiker door elkaar gebruikt. Wellicht handig om alle nader gedefinieerde termen in het document te markeren. Het lijkt ook slim om qua terminologie zoveel mogelijk aan te sluiten bij bestaande begrippenkaders bijv. van de genoemde Europese (concept-)verordening, van eherkenning en/of van standaarden zoals ISO10181-3, SAML en XACML. Identificatie, authenticatie en autorisatie kunnen nog wat strakker worden gedefinieerd en gehanteerd. Hieronder een voorzet: Identificatie ('Wie bent u?' --> 'Ik ben mr X.') Je naam en/of andere persoonsattributen (zoals woonplaats en Klopt, is voorzien Voorstel is om dit samen met marktpartijen concreet te maken in de POC s. Zie werking stelsel Pseudoniemen is uitgebreid beschreven in werking stelsel Gebruikersgemak is een ontwerpeis. Ook keuzevrijheid Zie werking stelsel en storyboards Wordt terloops duidelijk, maar gaat over implementatie. Het stelsel zelf is breder dan alleen overheid. Dienstencatalogus en toegangsbeleid zijn idd belangrijke punten die nog verder uitgewerkt moeten worden. Nieuwe begrippenlijst opgeleverd Is gedaan met small caps Ook een Engelse term toegevoegd. Koppelvlak spec s in het Engels Zie nieuwe begrippenlijst Zie beschrijving: werking stelsel en

geboortedatum) aan een ander bekend maken. Authenticatie ('Kunt u aantonen dat u mr X bent?' --> 'ja, zie dit bewijs.') Het identificeren staven mbv een middel ('iets dat je weet (bijv. wachtwoord), hebt (bijv. paspoort) en/of bent (bijv. iris-scan)'). Voor de sterkte van een authenticatiemiddel is de inrichting van het proces van uitgifte, gebruik en intrekking bepalend. Een authenticatiemiddel kan afgeleid zijn van een ander sterker middel (bijv. bankpas van paspoort). Autorisatie ('Is mr X bevoegd?' --> 'ja,mr X is ouder dan 18 jaar, dus mag hij dienst Z gebruiken' of ja, mr X staat te boek als vertegenwoordigervan onderneming Y, dus mag hij dienst Z gebruiken') Iemand na betrouwbare authenticatie op basis van iemands persoonsattributen (toegangs-)rechten geven. De persoonsattributen (bijv. woonplaats, geboortedatum, vertegenwoordigingsbevoegdheid) kunnen worden opgevraagd uit registers of uitgelezen van het authenticatiemiddel. De bevoegdheid kan ex ante of ex post (d.w.z. voor of na de rechtshandeling) worden gevalideerd. introductie eid

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback