Titel Verantwoording over 2013, 2014, 2015 Datum Status 27 november 2015 V1.0, concept ter bespreking en besluitvorming Goedgekeurd door Tactisch Beraad op 25/11/15 Ter informatie bij het meerjarenplan 2016-2018 en het jaarplan 2016 1 Aanleiding Het Strategisch Beraad en Tactisch Beraad kunnen terugkijken op een drietal jaren waarin mooie resultaten zijn geboekt. Het merendeel van de gestelde mijlpalen en activiteiten die zijn verwerkt in het meerjarenplan 2014-2016 en jaarplannen voor 2014 en 2015 zijn de afgelopen jaren uitgevoerd. In deze verantwoording wordt toegelicht wat de stand van zaken is rondom de doelstellingen, mijlpalen en bijbehorende acties uit het meerjarenplan 2014-2016 en het jaarplan van 2014 en 2015. Het verantwoordingsdocument bevat: 1. Een overzicht van de behaalde resultaten. Dit geeft de behaalde mijlpalen en afgeronde activiteiten weer in relatie tot de gestelde doelstellingen uit het meerjarenplan 2014-2016 en het jaarplan van 2014 en 2015. 2. Mijlpalen die deels of (nog) niet zijn behaald. 2. Algemeen beeld De governance kan terugkijken op een drietal jaren waarin veel succesvolle ontwikkelingen hebben plaatsgevonden. Merendeel van de mijlpalen en activiteiten zijn gerealiseerd. Een mooi voorbeeld is de toevoeging van het gebruik van eherkenning door consumenten en het bereiken van doelgroepen in kansrijke sectoren. Een beperkt aantal mijlpalen is doorgeschoven en vergen nog aandacht, zoals het business model vraagstuk en het Europaproof maken van het stelsel. 2.1 Behaalde resultaten Onderstaande resultaten hebben bijgedragen aan de realisatie van de doelstellingen uit het meerjarenplan 2014-2016 en de jaarplannen van 2014 en 2015 2.1.1. Migratie eherkenning naar eid stelsel (heet nu Idensys) De doelstelling is om eherkenning te migreren naar het eid Stelsel, om een nationaal stelsel te creëren waarbij de verschillende authenticatievoorzieningen die naast elkaar bestaan onder één stelsel te brengen. Februari 2014. Tactisch Overleg reviewt Afsprakenstelsel eid 1.0 en brengt naar aanleiding hiervan advies uit aan de Stuurgroep eid. 1
Februari 2014. Werkgroep migratie is opgericht om gezamenlijk aan migratiepad van eherkenning naar eid Stelsel te werken. Voorjaar 2014. Randvoorwaarden voor migratie van eherkenning naar het eid Stelsel geformuleerd. Nov-dec 2014. Migratie van eherkenning naar het eid stelsel uitgesteld naar 2015 (als gevolg van externe factoren en complexiteit). Beslissing wordt genomen om verder te werken met het Introductieplateau eid en ontwerp eid 1.0 en 2.0 te parkeren. Maart 2015. Release 1.9 is goedgekeurd door het Tactisch Overleg. Dit is de release voor het Introductieplateau eid. Met deze release bevat het afsprakenstelsel de technische specificaties voor eherkenning en de Idensys pilots. April 2015. De governance van eherkenning wordt gemigreerd. Het Instellingsbesluit elektronische toegangsdiensten is gepubliceerd in de Staatscourant. De governance van eherkenning en Idensys (voorheen eid Stelsel) is daarmee formeel vastgesteld. De bezetting van het Strategisch Beraad en het Tactisch Beraad wordt conform de nieuwe situatie aangepast. September 2015. Release 1.9b. Na de technische release worden nu ook de andere aspecten in het afsprakenstelsel aangepast aan de nieuwe situatie. De juridica, normenkaders, communicatie en organisatie wordt aangepast. Daarmee is een consequent afsprakenstelsel gecreëerd. Sept-dec 2015. Het implementatietraject (bouw van systemen) voor de migratie van eherkenning en de pilots van Idensys is in volle gang. De implementatie- en communicatieplannen voor de release zijn vastgesteld door het Tactisch Beraad. 2.1.2. Ontwikkeling en vernieuwing eherkenning heeft het voornemen om nieuwe toepassingen en value added services te ontwikkelen die aansluiten bij de wensen van dienstverleners en gebruikers. December 2013. Plan van aanpak werkgroep toetreden is goedgekeurd. De opdracht is om het normenkader betrouwbaarheidsniveaus beter toetsbaar te maken en het proces toetreden te verscherpen. Januari 2014: release 1.7 gaat live. eherkenning is daardoor gereed gemaakt voor gebruik in de business-to-consumer sector, gevalideerde attributen, ketenmachtiging, beroepsbeoefenaren en single sign-on. Januari 2014. Administratieve release 1.8 is vastgesteld. De opvolger, release 1.8b, is in maart 2014 ook vastgesteld. Daardoor zijn administratieve zaken verbeterd (zonder dat de koppelvlakken zijn gewijzigd). Release 1.8c gaat in oktober 2014 live. Mei 2015. Tactisch Beraad stelt werkgroepen in voor de functionaliteiten M2M, Mobiel en Ondertekenen. Naar verwachting zullen de resultaten worden meegenomen in de release van 1.9c in december. Vooralsnog worden deze functionaliteiten met beperkte scope ingebracht in het stelsel. Er volgen nog voorstellen voor verdere doorontwikkeling, waardoor de scope van de functionaliteiten wordt uitgebreid. 2
2.1.3. Groei en volume toename De groeidoelstellingen van eherkenning zijn opgenomen in het Jaarplan 2014 en 2015. Het streven is om bij sleutelpartijen, met name grote uitvoeringsinstanties, de adoptie van eherkenning te versnellen. De afgelopen jaren is eherkenning gestaag gegroeid. In het Tactisch Beraad zijn groei ambities afgesproken voor het jaar 2015. Eind augustus lopen we (relatief) voor op deze ambities (vooral het aantal transacties): Ambities voor aug. 2015 Realisatie t/m eind aug. 2015 Transacties 2.200.000 3.558.107 Middelen 210.000 228.419 Dienstverleners 176 168 De hoeveelheid beschikbare middelen in het netwerk bedraagt in juli 2015 224.074, een groei van 89 procent ten opzichte van juli 2014. Het aantal aangesloten dienstverleners is in augustus 2015 met 73 procent gestegen ten opzicht van augustus 2014 naar 168 dienstverleners. Uitrolstrategie met cases heeft goed gewerkt. Dit blijkt uit de overgang van dienstverleners zoals RVO en TLN op eherkenning. Doelgroepen in kansrijke sectoren (UMCG, TLN, BKR, Digiloket) zijn geselecteerd voor pilots met eherkenning en Idensys 2.1.4. Naamsbekendheid & communicatie In het verlengde van de groei en volumetoename doelstelling, is het streven ook om meer naamsbekendheid te creëren (ook in het businessdomein) en aandacht te besteden aan de communicatie over eherkenning. Eind 2014. Lancering van een verbeterde website voor eherkenning, waardoor deze beter aansluit op de behoeften van de bezoekers. Deze voldoet tevens aan de webrichtlijnen. Stijgend bezoek op website en aantal volgers op twitter, door structurele inzet van twitter. Mogelijkheden en functionaliteiten eherkenning worden duidelijker benadrukt op de website en door diverse factsheets (ook voor bestuurders) die zijn ontwikkeld. Samenwerking opgestart met brancheorganisaties. 2015. Betrokken bij het initiatief Combideal (vanuit EZ), waarin 3 voorzieningen (Berichtenbox voor ondernemers, Ondernemersdossier en eherkenning) in samenhang worden gepresenteerd. Maart 2015. Testimonials van grote dienstverleners in de kansrijke sectoren gepubliceerd. Vier organisaties (Gemeente Rotterdam, Antwoord voor Bedrijven, Omgevingsloket Online en Ministerie V&J Dienst Justis) hebben hieraan meegewerkt. Deze testimonials zijn via de eigen kanalen, maar ook via andere kanalen (goedopgelost, digitaleoverheid.nl, KING) verspreid. 3
Juli 2015. eherkenning bestaat 5 jaar en viert dit tijdens het Congres Publiek Private Samenwerking en Identity Management. Augustus 2015. Het Tactisch Beraad stemt in met het opzetten van klanttevredenheidsmeting bij eindgebruikers. De einddoelstelling is een reviewsysteem op de website om keuzestress voor aanschaf eherkenningsmiddel te minimaliseren. 2.1.5. Vertrouwen en veiligheid De doelstelling is om het stelsel goed te organiseren op het gebied van veiligheid en betrouwbaarheid, zodat stakeholders blijven vertrouwen in het stelsel. 2014 tot okt. 2015. 66 incidenten (voor het hele stelsel) zijn adequaat afgehandeld volgens de daartoe gestelde richtlijnen. September 2014 is eherkenning toegevoegd aan de Overweeglijst van Forum Standaardisatie. Dit houdt in dat eherkenning geschikt is bevonden voor brede inzet binnen de publieke sector. eherkenning wordt daarmee aanbevolen voor hergebruik aan alle overheidsorganisaties die een dergelijke functionaliteit binnen hun digitale omgeving nodig hebben. Juli 2015. Pentest uitgevoerd door Deloitte. Hoewel de rapportage van Deloitte ten tijde van dit schrijven nog niet is ontvangen, is wel bekend dat er geen grote kwetsbaarheden zijn gesignaleerd. In ieder geval niet met een zogenaamde CVSS score van High/High. Bevindingen zijn na behoren opgelost Maart 2015. Release 1.9 is vastgesteld. Hierin zijn functionaliteiten opgenomen die de veiligheid en privacy van gebruikers nog verder beschermt, zoals, end-to-end encryptie, gebruik van backend channels, verscherpen van processen, herijkte risicoanalyse. Informatiebeveiliging is verscherpt door de oprichting van een security management systeem dat voldoet aan de internationaal erkende norm (ISO27001) voor het beveiligen van informatie. eherkenning is overgestapt naar de ISO27001 2013 norm. Oktober 2015. Calamiteitenplan getest en vastgesteld. Op 13 oktober heeft er een simulatie plaatsgevonden. Penetratietest. Gedurende 2014 en 2015 zijn er vier penetratietesten uitgevoerd op de deelnemers en de beheerorganisatie van het netwerk. De beheerorganisatie organiseert en begeleidt deze testen. Bevindingen worden naar behoren opgepakt en uitgevoerd. Stelselaudit. Jaarlijks wordt een stelselaudit uitgevoerd onder verantwoordelijkheid van een gekwalificeerde IT-auditor om de informatiebeveiliging van het stelsel te controleren. Naar aanleiding van de resultaten worden aanbevelingen gedaan door door de stelselauditor. De resultaten zijn eveneens besproken in het security officers overleg van 29 juli 2015. De opvolging van de bevindingen wordt gemonitord door de beheerorganisatie. 4
2.2 Openstaande mijlpalen Op dit moment zijn de onderstaande mijlpalen deels of (nog) niet behaald. Jaarplan 2015 Migratie eherkenning naar eid Stelsel (afsprakenstelsel 2.0). Dit lijkt vooralsnog niet relevant in verband met de beslissing om verder te gaan langs de weg van het Introductieplateau eid. Innovatieworkshop is nog niet uitgevoerd. Vanwege vele diverse doorontwikkelingsactiviteiten is dit on hold gezet. Indien de behoefte er is, kan een dergelijke workshop alsnog uitgevoerd worden. Meerjarenplan 2014-2016 Een analyse op het beheer van het interne netwerk is uitgevoerd in het kader van de pilots. Aanscherpingen inzake interne beheerprocessen zijn verricht en gereedgemaakt voor release 1.9. Bij verdere schaalvergroting in de toekomst is het mogelijk dat aanvullende maatregelen vereist zijn. Hier zal tzt een risicoanalyse voor moeten worden uitgevoerd. De doelstelling is om een krachtige set aanbieders te behouden in het stelsel. Met de start van pilots Idensys komt er naar verwachting aan het einde van dit jaar een aantal nieuwe leveranciers bij. Daarmee wordt de slagkracht van het stelsel, grootte van de markt en multimiddelenstrategie gestimuleerd. De doelstelling is om het stelsel Europaproof te krijgen in verband met de eidas wetgeving. Er zijn grensoverschrijdende pilots uitgevoerd op initiatief van EZ. De verwachting is dat ter voorbereiding op eidas nog additionele maatregelen genomen moeten worden inzake betrouwbaarheidsniveaus en de aansluiting met andere lidstaten. Hier wordt een project voor opgestart om dit verder uit te werken. De beheerorganisatie en de eigenaar EZ hadden initieel een overeenkomst voor drie jaar. Daarna zou het beheer worden geëvalueerd. Met de komst van Idensys leek het omwille van de stabiliteit niet wenselijk om op dat moment de organisatie van het beheer te wijzigen. Wellicht kan de behoefte in de toekomst veranderen. De organisatie van het beheer van het stelsel kan dan alsnog geëvalueerd worden. Bestaande authenticatie-oplossingen van de overheid gericht op bedrijven dienen nog steeds gemigreerd of uitgefaseerd te worden. Dit is deels wel gebeurd, bijvoorbeeld bij RVO. Maar er zijn bij overheidsinstellingen ook nog eigen oplossingen in gebruik. Het financieringsvraagstuk is een complex dossier. Er dient nog een passend financieel structuur te komen. Voor het einde van jaar wordt er een beslissing genomen inzake het business model. 5