Federatief Identity Management in de Zorg Thema middag EZDA Jaap Kuipers Id Network Amstelveen 31 januari 2013
Identiteit: wie is iemand administratieve identiteit: naam, nummer, code Verpleegster Wijkverpleegkundige, TBC inspectie Manueel therapeut Orthopeed Tropen Arts Fysiotherapeut Arts Verpleegkundige Bewegingsleer, student geneeskunde, verpleeghuisarts, vroedvrouw, orhopedisch schoenmaker, vroedvrouw, student geneeskunde Fiscaal adviseur, accountant Accountant Onderwijzeres Verpleegkundige Adviseur identity management Accountant Controller Administratief: BIG rol, nummer, BSN, klantnummer, geboortedatum+naam, http://www.bigregister.nl/?bignummer=4 9020710202
Achtergrond meer dan 10 jaar identity management medeverantwoordelijk voor SURFfederatie betrokken bij DigiD en eherkenning lid NEN-7521 toegang patiënten data lid OASIS technical committee Trust Elevation Europees en internationaal verbonden inititatiefnemer Platform identity management Nederland www.pimn.nl
Agenda deel 1 Wat is federatief identity management? Waarom elektronische sleutelbos, gemak, veiligheid Voorbeelden Onderwijs (SURFnet, Kennisnet) Overheid (DigiD, eherkenning) Voordelen Business case
Agenda deel 2 Voorbeeld VECOZO single signon eherkenning Techniek protocol
Agenda deel 3 Architectuur Stip op de horizon Mogelijke pilot
Identity management Identiteit: wie iemand is, hoe iemand administratief bekend is namen, klantnummers, BSN, BIG-nummer Identiteiten beheer beheren: onstaan, uitreiken, gebruiken,blokkeren, vrijgeven, archiveren, stoppen Digitale identiteit koppeling van identiteit aan persoon (of apparaat) digitaal: userid (deel van een naam, nummer, emailadres) identiteit drager: pasje, bestandje, in chip, in telefoon, beveiligd met: wachtwoord, pincode, biometrie,
Wat is Federatief? Gebruik identiteit binnen één organisatie (micro niveau, niet federatief) Gebruik identiteit bij verschillende organisaties Federatief: afspraak over hergebruik Federatief: zoals bij reizen en paspoorten, geldautomaten, mobiele telefoons
Federatief inloggen bij een bank Je hoeft geen rekening (account) te openen bij een andere bank om geld op te kunnen nemen De banken moeten meedoen aan de federatie. De thuis bank controleert de PINcode en geeft een OK aan de andere bank
Mobiel bellen Telefoonmaatschappijen laten derden toe op hun netwerk wie ben je? waar kom je vandaan? identiteitscontrole Roaming bellen in het buitenland afrekenen in binnenland onderlinge verrekening
Waarom? voorkomen digitale sleutelbos hetzelfde password overal gebruiken is niet veilig het anti-password probleem security calculator is duur inloggen als losse functie, aparte bouwsteen iemand anders kan het inloggen voor je regelen
Ontwikkeling van de mogelijkheden A: afdelingsgewijs (elke afdeling beheert eigen identiteiten, is achterhaald) B: Zorginstelling (gecentraliseerd, één identiteit voor de hele organisatie) C: Een doorgeefluik (federatie) D: Confederatie (bijvoorbeeld 2 federaties onderling verbonden)
Bouwstenen Federatie Techniek en afspraken Connectis behandelt de techniek Strategisch bestuur (wie mogen meedoen) Operationeel beheer: planning nieuwe software Juridische afspraken en contracten Meedoen: wie, begin, einde Beveiliging: voorschriften en audit, zaken op orde? Kostenverdeling: aansluitkosten, abonnement Communicatie, voorlichting, helpdesk Techniek: definitie van gegevens (nurse, verpleegkundige, zr-b) in een gegevens schema
voorbeeld Kennisnet federatie YouTube filmpje over Kennisnet federatie als inleiding http://www.youtube.com/watch?v=za5fhigej48 groot aantal scholen, veel diensten (N:M) doorgeven van attributen, rollen is mogelijk gebruiksgemak is belangrijk de ontwikkeling en groei kost jaren
voorbeeld SURFfederatie YouTube filmpje legt uit hoe het werkt http://www.youtube.com/watch?v=uf8lygoykka Van studentenchipkaart in 1996 naar SURFfederatie in 2007 naar SURFconext al in 2005 inloggen met bankpas bij LUMC in 2012 opgenomen in SURFconext
Federatie geeft attributen door
DigiD 600 elektronische diensten (1:M) 9 mln gebruikers Burger mag DigiD gebruiken in groot deel van gezondheidszorg Voorbeeld MijnOverheid.nl portaal eenmalig inloggen machtigen mogelijk
Social Sign-on
Hybride inlogscherm
Meer inlog mogelijkheden bieden Bied verschillende mogelijkheden om in te loggen Sluit aan bij wat consumenten nu normaal gaan vinden Welkomst pagina voor zorgverlener en patient Let op eenduidige layout in federatie Voordeel gemak groeipad naar nieuwe situatie
Betrouwbaarheidsniveaus
e-identiteiten met verschillende niveaus
Voordelen federatief id management Gebruiksgemak voor de Zorg Betere beveiliging mogelijk Er is veel, voldoende ervaring in Nederland Er zijn producten op de markt EZDA kan een platform bieden Attentiepunten: Intern zaken op orde brengen (goede eigen gebruikers administratie) Kleine instellingen helpen Meer jaren geduld, groeipad. Leveranciers van diensten voorlichten.
Businesscase Makkelijke argumenten gebruiksgemak tijd besparing besparen op helpdesk meers token is te duur betere beveiliging inspectie eist voldoen aan regelgeving Lastige aspecten kostenverdeling de kosten van het doorberekenen zelf een andere afdeling, organisatie heeft het voordeel kosten worden zichtbaar Geen goede voorbeelden van kwantificering en tarieven. Wel kosten informatie. SURFnet wilde tarief, maar kosten zijn in de overhead gebleven. Overheid neemt de kosten centraal, DigiD is gratis voor burger. Mogelijk: gebruiker betaalt staffel, dienstverlener betaalt abonnement
Deel 2 Connectis presentatie van Connectis VECOZO eherkenning voor bedrijven machtigingenregister
Deel 3 Architectuur en toekomst Architectuur Martijn Kaag Tijdlijn Jaap Kuipers Discussie
Tijdlijn, stip op de horizon 2013 2014 2015 2016 2017 - stip - proef Eerste produktie Federatie beschikbaar 80% Jong volwassen status, het is vanzelfsprekend zorgverleners kunnen gemakkelijk en veilig toegang krijgen tot systemen binnen en buiten de organisatie ondersteuning van diverse samenwerkingsverbanden kosten zijn uiteindelijk gedaald, er zijn nieuwe mogelijkheden bij gekomen gebruikers zijn goed geregisteerd, tijdige aan- en afmelding van instroom en vertrek, goed verantwoording af te leggen samenwerking voldoet aan beveilgings eisen en ontvangt periodiek goedkeuring, systeem is robuust
Enkele begrippen user-id, password single log-on, single signon hybride sign-on social sign-on account linking provisioning, deprovisioning tokens broker autorisatie 2 factor authenticatie identiteitsverstrekker (IdP) betrouwbaarheidsniveau NEN-7510 beveiliging authenticatie externalisatie van authenticatie certificaat (soft, hard) SAML Oauth, OpenID connect
Hybride inlogscherm
Keuzevrijheid
Patiënt en Zorgverlener op één scherm
Single Sign-on
Vragen? Platform Identity Management Nederland deelt kennis over identity manangement, onder andere voor de Zorg. PIMN organiseert netwerkbijeenkomsten en brengt een nieuwsbrief uit. Deelname door aanmelding via de website www.pimn.nl Documentatie is beschikbaar voor de deelnemers. Momenteel circa 1000 deelnemers. Voor vragen: Jaap Kuipers (jaap.kuipers@id-network.nl)