| Rationale | Dienstverlening moet voor iedereen toegankelijk zijn en dat betekent dat er ook toegang tot alle diensten verzorgd moet worden. Er mogen geen maatregelen worden genomen die ertoe leiden dat bepaalde groepen of individuen worden gediscrimineerd of uitgesloten. Er is specifieke aandacht nodig voor mensen met een functiebeperking of minder digitaal vaardigen. De focus van de toegangsinfrastructuur ligt op toegang tot digitale publieke diensten, maar faciliteert mogelijk ook toegang tot niet-digitale diensten. |
| Implicaties | 1. Er is bij verantwoordelijken voor de toegangsinfrastructuur zicht op alle groepen van mensen en organisaties die toegang zouden moeten hebben tot een dienst. 2. Er zijn voor alle doelgroepen gezaghebbende bronnen waarin hun identiteitsgegevens worden beheerd en deze registers zijn aangesloten op de toegangsinfrastructuur. 3. De toegangsinfrastructuur legt geen beperkingen op die bepaalde groepen onnodig uitsluiten of benadelen. 4. De toegangsinfrastructuur voldoet aan de eisen van de Digitoegankelijk standaard (die verplicht is via de Wdo), zodat ook mensen met een functiebeperking er zoveel mogelijk gebruik van kunnen maken. 5. Er wordt in de toegangsinfrastructuur expliciet rekening gehouden met minder digitaal vaardigen. 6. Diensten zijn ook via niet-digitale kanalen beschikbaar, inclusief bijbehorende toegangsvoorzieningen. 7. Mensen en organisaties hebben het recht om zich te laten vertegenwoordigen (conform Awb). |
| Rationale | Dienstverleners kunnen vertrouwen op een identiteit als zij hierover verifieerbare verklaringen ontvangen. Door het gebruik van verifieerbare verklaringen is ook minder relevant of bevoegdheden centraal worden geadministreerd. Het verdient de voorkeur om administratie te laten daar waar het hoort. |
| Implicaties | 1. Dienstverleners gebruiken verifieerbare verklaringen voor het verlenen van toegang. 2. Er is bewijs dat een verifieerbare verklaring hoort bij de gebruiker (of vertegenwoordigde). 3. Een verklaring wordt alleen vertrouwd als deze valide, integer, authentiek en geldig is (bepaalde toepassingen staan wel een bepaalde overschrijding van de geldigheidstermijn toe). 4. De mate van vertrouwen in een verklaring is gebaseerd op onder meer het betrouwbaarheidsniveau, de geldigheid, de verstrekker, de actualiteit en of deze gekwalificeerd is. 5. Dienstverleners kunnen verklaringen bij verschillende verklarende partijen ophalen om voldoende vertrouwen te krijgen. 6. Gebruikers kunnen ook dingen over zichzelf verklaren en deze beschikbaar stellen als verifieerbare verklaring. 7. Bij toegang namens een organisatie is er een verifieerbare verklaring die de vertegenwoordigingsbevoegdheid bevat voor het vertegenwoordigen van de organisatie. 8. Verklaringen kunnen ook weer worden ingetrokken en partijen moeten daarom de geldigheid van verklaringen kunnen verifiëren. |
| Relatie met wetten | [...] geeft invulling aan eIDAS 2.0 |
| Rationale | Dataminimalisatie is een uitgangspunt in de AVG en betekent dat de persoonsgegevens die worden gebruikt zijn beperkt tot het hoogst noodzakelijke. Dit heeft in de context van toegang vooral betrekking op de verklaringen die worden gevraagd aan verklarende partijen over de identiteiten en de eigenschappen die in deze verklaringen zitten. Informatie is ook niet altijd voor alle handelingen binnen een dienst relevant. Het zou daarom niet passend zijn om specifieke verklaringen en informatie op te halen als niet zeker is dat deze ook daadwerkelijk nodig is. Voor veel diensten is het helemaal niet relevant wie de precieze persoon is, welke BSN daarbij hoort en of deze persoon uit Nederland komt of niet. Voor deze diensten volstaat een pseudoniem. Opsporingsdiensten hebben wel duidelijk andere informatiebehoeften en bevoegdheden. Veel belangrijker is het om te weten of de gebruiker over de juiste bevoegdheden beschikt. Daarnaast kan het nodig zijn om comfortinformatie uit te wisselen. Dat is informatie die strikt genomen niet nodig is, maar wel belangrijk is om betekenisvol informatie te presenteren naar gebruikers in een gebruikersinterface zoals namen van mensen en organisaties. |
| Implicaties | 1. Het is duidelijk wat de wettelijke grondslag en de doelbinding is van het gebruik waarvoor de gegevens worden uitgewisseld. 2. In de toegangsinfrastructuur wordt geregistreerd welke (voor toegang relevante) attributen van entiteiten noodzakelijk zijn om een dienst uit te kunnen voeren. 3. De attributen die dienstverleners vragen zijn strikt noodzakelijk voor de doelbinding. 4. Gebruikers hebben voorafgaand aan hun handelen inzicht in de voor de dienst gevraagde attributen (en kunnen besluiten een dienst niet af te nemen). 5. De toegangsinfrastructuur verstrekt alleen de attributen die eerder zijn geregistreerd bij de dienst. 6. Afhankelijk van het betrouwbaarheidsniveau van de dienst kunnen gebruikers anoniem, met een pseudoniem of met een bekende identiteit toegang krijgen tot de dienst. 7. Als kan worden volstaan met het resultaat van het toepassen van een regel dan worden niet de onderliggende gegevens opgehaald; om te weten of iemand volwassen is hoef je niet zijn geboortedatum te kennen. 8. Bij het gebruik van pseudoniemen, wordt per dienstverlener een apart pseudoniem gebruikt, zodat dienstverleners gezamenlijk geen 'profiel' van een persoon kunnen maken op basis van één pseudoniem. 9. Bevoegde autoriteiten hebben vanuit toezicht en handhaving de mogelijkheid om pseudoniemen te herleiden naar een natuurlijk persoon of organisatie. |
| Relatie met bedrijfsfuncties | Versleutelen pseudoniem realiseert [...] Creëren pseudoniem realiseert [...] |
| Relatie met wetten | [...] geeft invulling aan General Data Protection Regulation |
| Rationale | De toegangsinfrastructuur is in ontwikkeling en evolueert. Er kunnen bijvoorbeeld nieuwe identificatiemiddelen worden toegelaten. Met de herziene eIDAS verordening kunnen straks ook European Digital Identity Wallets worden gebruikt. Daarnaast zijn er allerlei machtigingsdiensten die van toepassing kunnen zijn. Het is inefficiënt voor dienstverleners als ieder voor zich met alle authenticatie- en machtigingsdiensten individuele afspraken en koppelingen moeten maken en beheren. Het is voor bronhouders inefficiënt als zij zelf alles moeten inrichten voor het verstrekken van verifieerbare verklaringen. De GDI is een verzameling afspraken, standaarden en voorzieningen, waarbij afspraken de voorkeur hebben boven standaarden boven voorzieningen. |
| Implicaties | 1. Er zijn afspraken, standaarden en mogelijk ook voorzieningen die het partijen eenvoudiger maken om aan te sluiten op de toegangsinfrastructuur. 2. Voorzieningen worden zoveel mogelijk optioneel gemaakt, zodat partijen ook zelf kunnen besluiten om eigen inrichtingskeuzes te maken. 3. De toegangsinfrastructuur ontzorgt dienstverleners in het verkrijgen van veelvoorkomende (voor toegang relevante) attributen. 4. De toegangsinfrastructuur ontzorgt bronhouders in het verstrekken van verifieerbare verklaringen voor veelvoorkomende (voor toegang relevante) attributen. 5. De toegangsinfrastructuur hanteert voor de uitwisseling van voor toegang relevante attributen dezelfde afspraken en standaarden als de infrastructuur voor gegevensuitwisseling. |
| Relatie met wetten | [...] geeft invulling aan Wet digitale overheid [...] geeft invulling aan eIDAS 1.0 |
| Rationale | Veiligheid en gebruikersvriendelijkheid staan op gespannen voet. Een hogere mate van veiligheid vraagt in veel gevallen meer handelingen van gebruikers. Er zijn ook vereenvoudigingen in de toegangsprocessen mogelijk die de veiligheid niet verlagen. Dit is niet alleen vriendelijker voor de gebruiker, het voorkomt ook dat mensen minder veilige omwegen bedenken om hetzelfde te bereiken. Daarnaast zijn alle digitale handelingen drempels voor minder digitaal vaardigen en zouden ook alternatieve kanalen moeten worden geboden. |
| Implicaties | 1. Het optimaliseren van de interne organisatie van toegangsprocessen bij overheidsorganisaties is minder belangrijk dan het bieden van een optimale klantreis. 2. Gebruikers hoeven maar één keer in te loggen (mogelijk wel met herbevestiging) voor een bepaald betrouwbaarheidsniveau om gebruik te maken van verschillende diensten die voldoende hebben aan dit niveau. 3. Dienstverleners eisen geen hoger betrouwbaarheidsniveau dan wat nodig is voor het verkrijgen van toegang tot een dienst (ondanks dat dit wettelijk is toegestaan). 4. Er wordt een aanvullende (step-up) authenticatie uitgevoerd als een gebruiker een handeling wil uitvoeren die een hoger betrouwbaarheidsniveau vraagt dan waarmee deze initieel is ingelogd. 5. Het is een standaard optie om iemand te vertegenwoordigen bij het inloggen, en dit is transparant voor een dienstverlener. |
| Rationale | Het beperken van toegang tot alleen de diensten en gegevens die strikt noodzakelijk zijn voor het uitvoeren van de activiteiten van een entiteit verhoogt de veiligheid en is een kernaspect van zero-trust. Het aanvalsoppervlak wordt geminimaliseerd, de potentiële schade bij een beveiligingsbreuk wordt beperkt en schade door onbedoelde acties wordt zoveel mogelijk voorkomen. Het vereenvoudigt ook het beheer van bevoegdheden en voorkomt een wildgroei van bevoegdheden. Het stimuleert ook het veiligheidsbewustzijn. |
| Implicaties | 1. Dienstverleners definiëren bevoegdheden voor hun diensten, gegevens en functionaliteiten die zijn afgestemd op de specifieke soorten gebruikers en hun specifieke taken. 2. Machtigingen worden beperkt tot bevoegdheden die precies voldoende zijn voor een vertegenwoordiger. 3. Entiteiten krijgen op basis van hun verifieerbare verklaringen alleen toegang tot diensten, functionaliteiten en gegevens die passen bij de aangeleverde verklaringen. 4. Organisaties hebben processen waarbij de rollen en (vertegenwoordigings)bevoegheden van medewerkers regelmatig worden geevalueerd en aangepast, zoals bij doorstroom en uitstroom. 5. Organisaties geven hun certificaten en/of sleutels niet af aan derde partijen, die daar vervolgens bevoegdheden mee krijgen die ze kunnen misbruiken, maar verstrekken hen alleen een machtiging. |
| Relatie met wetten | [...] geeft invulling aan General Data Protection Regulation |
| Rationale | We gaan er vaak standaard vanuit dat we de overheid kunnen vertrouwen. In de realiteit bestaat de overheid vooral uit mensen en mensen maken fouten en hebben soms verkeerde intenties. De impact van beslissingen van de overheid op het leven van mensen kan echter heel groot zijn. Daarnaast komen we er ook steeds meer achter dat bepaalde machtshebbers andere morele waarden hanteren waardoor de belangen van individuen eenvoudig opzij kunnen worden geschoven. Er zouden daarom waarborgen moeten zijn ingebouwd om te beschermen tegen (medewerkers van) overheidsorganisaties die grenzen willen overschrijden. De fundamentele rechten en vrijheden van individuen moeten worden bewaakt. De NIS2 richtlijn beschrijft ook een aantal maatregelen die een hiervoor een basis kunnen bieden, zoals de verplichting tot het aanwijzen van een toezichthoudende autoriteit. In Nederland is hiervoor de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen. |
| Implicaties | 1. Er wordt bij de uitwerking van maatschappelijke vraagstukken bewust nagedacht over welke gegevens door de overheid moeten worden beheerd en/of mogen worden gedeeld, rekening houdend met beveiligings- en privacyrisico’s, alsook met de fundamentele rechten en vrijheden van individuen. 2. Er worden geen privacy hotspots (grote concentraties van persoonsgegevens) gecreëerd in systemen van individuele (overheids)organisaties als dat kan worden voorkomen door bijvoorbeeld pseudonimisering. 3. Beveiligingsmaatregelen zijn vooraf toetsbaar en achteraf auditeerbaar door de toezichthoudende autoriteit.. 4. Burgers en organisaties hebben regie op hun eigen gegevens (zie principe in domeinarchitectuur gegevensuitwisseling). 5. Burgers en organisaties hebben inzicht in wie toegang heeft gekregen tot gegevens over henzelf en op basis van welk identificatiemiddel, welke vertegenwoordigingsbevoegdheden en welke autorisatieregels. |
| Relatie met wetten | [...] geeft invulling aan Network and Information Systems (NIS) directive 2 |
| Rationale | Door autorisatie van gebruikers in alle belangrijke systemen in de keten plaats te laten vinden worden beveiligingsrisico's geminimaliseerd. Het voorkomt dat er halverwege de keten met een generieke identiteit (bijvoorbeeld een systeemaccount) toch ongeautoriseerd toegang kan worden verkregen tot persoonsgegevens. Tegelijkertijd kunnen overheidsorganisaties een wettelijke basis hebben om gegevens van gebruikers te delen, zonder dat de gebruiker daar expliciet toestemming voor geeft. In die gevallen is het propageren van de identiteit van de gebruiker niet relevant. |
| Implicaties | 1. Autorisaties in alle systemen in de keten, zijn gebaseerd op de identiteit van de gebruiker. 2. Relevante (delen van) de authenticatieverklaring en bevoegdheidsverklaringen van de gebruiker worden doorgegeven in de keten van gebruikersinterface tot achterliggende systemen. |