<p>Dit hoofdstuk beschrijft de belangrijkste rollen, hun verantwoordelijkheden en onderlinge samenhang. Het geeft ook richtlijnen voor deze rollen.</p> <h3>Overzicht</h3> <p> De volgende figuur geeft een overzicht van de kernrollen en hun samenhang. Tussen de rollen zijn de belangrijkste gegevensstromen weergegeven. Alleen de kernrollen zijn opgenomen in de figuur. Zo zijn bijvoorbeeld de regisseur van de toegangsinfrastructuur, verleners van vertrouwensdiensten, de toezichthouder en centrale misbruikbestrijding niet opgenomen. Een volledige lijst van rollen is opgenomen in de bijlagen. </p> <p><center><img src="https://minbzk.github.io/gdi-toegang/images/kernrollen.svg"></center></p> <p> In de volgende paragrafen worden de kernrollen verder beschreven (met uitzondering van de rol gebruiker). Bij elke rol worden functies benoemd, gebaseerd op het functiemodel. Er worden ook richtlijnen beschreven, die zijn gebaseerd op onder meer de architectuurprincipes en knelpunten, alsook op van toepassing zijnde wet- en regelgeving. Daarnaast staan er voorbeelden van partijen of voorzieningen die bij deze rol horen. Strikt genomen zijn de beheerpartijen van de voorzieningen de verantwoordelijke voor de rol, maar om redenen van herkenbaarheid staat er de naam van de voorziening. </p> <h4>Aanbieder van identiteitsgegevens</h4> <p> Een aanbieder is verantwoordelijk voor het aanbieden van gegevens van bronhouders op een manier die aansluit bij de behoeften en het gebruik van afnemers. In de context van toegang zijn dat identiteitsgegevens. Een aanbieder van identiteitsgegevens is een verlener van vertrouwensdiensten, omdat deze ook in staat moet zijn om verifieerbare verklaringen te kunnen leveren. </p> <p>Functies: <ul> <li>Elektronisch verklaren;</li> <li>Verstrekken identiteitsgegevens.</li> </ul> </p> <p>Voorbeelden: RvIG, KvK, RDW, QTSP.</p> <p> Een aanbieder van identiteitsgegevens: <ul> <li> biedt identiteitsgegevens aan in de vorm van verifieerbare verklaringen;</li> <li> kan verifieerbare verklaringen aanbieden die voldoen aan de standaarden voor de EDI wallet (OpenID for Verifiable Credentials en NEN-ISO/IEC 18013-5).</li> </ul> </p> <h4>Authenticatiedienst</h4> <p>Een authenticatiedienst geeft authenticatieverklaringen af op basis van een identificatiemiddel.</p> <p>Voorbeelden: DigiD, eHerkenning authenticatiedienst.</p> <p>Functies: <ul> <li>Uitvoeren authenticatie;</li> <li>Vastleggen auditlog;</li> <li>Vastleggen gebruik identificatiemiddel;/li> <li>Uitloggen;</li> <li>Bestrijden fraude en misbruik./li> </ul> </p> <p> Een authenticatiedienst: <ul> <li>controleert bij een authenticatieverzoek de authenticiteit en geldigheid van het gebruikte identificatiemiddel bij de verantwoordelijke middelenuitgever;</li> <li>registreert authenticatieverzoeken en hun resultaat in een auditlog;</li> <li>registreert metagegevens over authenticatieverzoeken en hun resultaat in een inzageregister;</li> <li>ondersteunt de OpenID Connect standaard conform het Nederlands profiel OpenID.NLGov (geldt niet voor EDI Wallet);</li> <li>ondersteunt het uitloggen van entiteiten met een bepaalde identiteit;</li> <li>is verantwoordelijk voor het voorkomen, detecteren, opvolgen en herstellen van fraude met identificatiemiddelen;/li> <li>stuurt metagegevens over authenticatieverzoeken en hun resultaat door naar centrale misbruikbestrijding./li> </ul> </p> <h4>Broker</h4> <p>Een broker biedt één ingangspunt voor het routeren, vertalen en aggregeren van verklaringen van één of meer verklarende partijen.</p> <p>Voorbeelden: CombiConnect, TVS, Bevoegdhedenverklaringsdienst, eHerkenning makelaar, eIDAS koppelpunt, EDI Wallet.</p> <p>Functies: <ul> <li>Orkestreren login;</li> <li>Vertalen authenticatieverklaring;</li> <li>Vertalen identifier.</li> </ul> </p> <p> Een broker: <ul> <li> kan het inlogproces richting een eindgebruiker orkestreren;</li> <li>kan vertalingen uitvoeren op verifieerbare verklaringen;</li> <li>kan gebruik maken van andere brokers.</li> </ul> <p> Een broker die het inlogproces orkestreert: <ul> <li> biedt gebruikers een klantreis die voldoet aan de afspraken voor het inlogproces;</li> <li>maakt het standaard mogelijk om iemand te vertegenwoordigen bij het inloggen;</li> <li>ontzorgt dienstverleners in het verkrijgen van veelvoorkomende (voor toegang relevante) attributen;</li> <li>ondersteunt de OpenID Connect standaard conform het Nederlands profiel OpenID.NLGov (geldt niet voor EDI Wallet).</li> </ul> </p> <h4>Dienstverlener</h4> <p>Een dienstverlener levert volgens afspraken diensten aan een klant. Een dienstverlener is een vertrouwende partij.</p> <p>Voorbeelden: rijksoverheden, uitvoeringsorganisaties, gemeenten, provincies, waterschappen, commerciële dienstverleners.</p> <p>Functies: <li>Auditing, monitoring en misbruikbestrijding;</li> <li>Autoriseren;</li> <li>Beheren eigen bevoegdheden.</li> </ul> </p> <p>Een dienstverlener: <ul> <li>biedt diensten die zijn afgestemd op de specifieke soorten gebruikers en hun specifieke taken;</li> <li>bepaalt voor elke dienst een noodzakelijk betrouwbaarheidsniveau;</li> <li>eist geen hoger betrouwbaarheidsniveau dan wat nodig is voor het verkrijgen van toegang tot een dienst; </li> <li> accepteert alle erkende publieke en private identificatiemidellen;</li> <li>registreert de attributen die nodig zijn voor het verstrekken van toegang tot een dienst in de toeganginfrastructuur;</li> <li>maakt duidelijk welke wettelijke grondslag en doelbinding ten grondslag liggen aan de attributen die worden gevraagd;</li> <li>maakt duidelijk aan welke derde partijen attributen worden doorgegeven en op basis van welke wettelijke grondslag en doelbinding;</li> <li>vraagt niet meer attributen dan wat strikt noodzakelijk is voor het leveren van een dienst;</li> <li>geeft gebruikers voorafgaand aan hun handelen inzicht in de voor een dienst gevraagde attributen;</li> <li>kan zelf kiezen of deze gebruik maakt van een broker of verifieerbare verklaringen direct haalt bij een authenticatiedienst, machtigingsdienst of andere aanbieder van identiteitsgegevens;</li> <li>controleert of verifieerbare verklaringen valide, integer, authentiek en geldig zijn;</li> <li>kan omgaan met gebruikers die andere entiteiten vertegenwoordigen;</li> <li>minimaliseert het aantal keer dat gebruikers wordt gevraagd om in te loggen;</li> <li>is zelf verantwoordelijk voor het autoriseren van entiteiten met een bepaalde identiteit;</li> <li>biedt alleen toegang tot diensten, functionaliteiten en gegevens die passen bij de aangeleverde verklaringen en bijbehorende attributen;</li> <li>baseert autorisaties in achterliggende systemen op de identiteit van de gebruiker;</li> <li>registreert gevoelige verwerkingen die een entiteit uitvoert in een auditlog.</li> </ul> </p> <h4>Machtigingsdienst</h4> <p>Een machtigingsdienst kan machtigingen vastleggen en op basis daarvan bevoegdheids-verklaringen afgeven.</p> <p>Voorbeelden: DigiD machtigen, eHerkenning machtigingsdienst.</p> <p>Een machtigingsdienst: <ul> <li>registreert metagegevens over machtigingen, wijzigingen daarin en bevoegdheidsverklaringen die deze afgeeft in een inzageregister;</li> <li>registreert het betrouwbaarheidsniveau waarop een machtiging is afgegeven;</li> <li>maakt het mogelijk om het betrouwbaarheidsniveau van een machtiging op te hogen;</li> <li>notificeert vertegenwoordigden en vertegenwoordigers over wijzigingen in machtigingen;</li> <li>stuurt metagegevens over afgegeven bevoegdheidsverklaringen door naar centrale misbruikbestrijding./li> </ul> <h4>Middelenuitgever</h4> <p>Een middelenuitgever draagt zorg voor de uitgifte van erkende identificatiemiddelen aan natuurlijke personen of niet-natuurlijke personen.</p> <p>Voorbeelden: RvIG (paspoort), RDW (rijbewijs), DigiD, eHerkenning middelenuitgever, EDI Wallet aanbieder.</p> <p>Functies: <ul> <li>Beheren identificatiemiddelen</li> </ul> </p> <p>Een middelenuitgever: <ul> <li>registreert het uitgeven en intrekken van identificatiemiddelen in een inzageregister;</li> <li>ondersteunt het intrekken van een identificatiemiddel.</li> </ul> </p>