eID Platform Programma eID www.eidstelsel.nl Contactpersoon Gerrit Jan van ´t Eind - Carlo Koch T 06 - 54 33 43 05 Datum 31 juli 2014 Contouren Launching Plan 1e release eID Stelsel door middel van pilots (voorheen “pilotplan`, afgestemd met BAOeID en StuurgroepeID). Contouren Launching Plan 1e release eID Stelsel door middel van pilots (voorheen “pilotplan”) 1 Doel Op verzoek van het eID-platform wordt een eerste aanzet gegeven hoe de pilots straks vorm zouden kunnen krijgen. Op dit moment zijn er nog wel veel onzekerheden (bijvoorbeeld met betrekking tot de randvoorwaarden). Het streven is om dit najaar een meer uitgewerkt plan vanuit het programma op te leveren. Overigens wordt door het programma een projectleider gezocht voor de pilots waarmee de launch van het eID Stelsel vorm wordt gegeven. Met het Launching Plan door middel van de pilots wordt beoogd om door daadwerkelijk gebruik het eID Stelsel te stimuleren. Om dat mogelijk te maken zijn drie hoofddoelen te benoemen: 1. Zorgen dat er een samenwerking tot stand komt tussen enerzijds aanbieders van digitale dienstverlening waarbij identificatie en autorisatie van gebruikers een rol speelt en anderzijds aanbieders van eID-diensten die de identificatie en autorisatie van gebruikers mogelijk maken. 2. Zorgen dat gebruikers over gaan tot het hebben en gebruik van eID-middelen. 3. Zorgen dat dienstaanbieders hun digitale diensten geschikt maken voor gebruik met een eID- middel, zodat gebruikers hun eID-middelen gaan gebruiken en het nut ervan gaan ervaren. In plaats van een big bang scenario, ondersteunt het plan een meer beheerste invoering van het eID Stelsel, een zogenaamde “soft launch”. Deze “soft launch” gebeurt door middel van pilots: beproeving van het stelsel in een productieomgeving met een controleerbaar aantal gebruikers. Deze pilots vinden, conform het MasterplaneID, plaats in de 2e helft van 2015. Kortom: het is de start van de wer- 1 Dit plan heeft betrekking op de soft launch in de 2e helft van 2015 van het eID Stelsel. Ten aanzien van het gebruik van BSN betreft het in juridische zin een pilot. Daarom is in het verleden de term pilot geïntroduceerd, maar deze term dekt de lading niet geheel omdat het eID programma het stelsel in productie (dus in een werkelijke situatie) wil beproeven. Pagina 1 van 5 kelijke implementatie van het eID Stelsel met uitgekristalliseerde producten van aanbieders van eID-diensten. Datum 31 juli 2014 Onderstaand schema is een weergave van de hoofddoelen van de ‘lancering’ van het eID Stelsel. Governance eID Dienstaanbieders private aanbieders publieke aanbieders 1 tot stand komen samenwerking Aanbieders van eID-diensten 3 C2G C2B 2 gebruik van eIDmiddelen bij dienstaanbieders Gebruikers burgers consumenten aanschaf van eIDmiddelen Gebruikers De doelgroep van de soft launch zijn natuurlijke personen in de rol van burger en consument, ook wel aangeduid als C2G 2 en C2B3. Dienstaanbieders De dienstaanbieders spelen ook een belangrijke rol bij het realiseren van de tweede doelstelling, namelijk gebruikers ‘over de streep trekken’ om een eID-middel te gaan gebruiken. De bijdrage van de dienstaanbieders is dan dat er ‘aantrekkelijke’ diensten beschikbaar komen, waarbij een eID-middel gebruikt kan worden. Hierin is een vergelijking te maken met het ontwikkelen van een nieuw winkelgebied. Daar is het gebruikelijk om eerst te beginnen met een ABC-tje: eerst zorgen dat er een AH, Blokker en C&A gevestigd worden. In de eerste release van het eID Stelsel zijn we dus op zoek naar het ABC-tje van dienstaanbieders. Aan de overheidskant wordt gedacht aan diensten van de Belastingdienst, UWV, SVB en anderen. Aan de private kant aan bijvoorbeeld bepaalde diensten van webwinkels, verzekeraars en anderen. Een dienstaanbieder heeft zelf de keuze om het eerste gebruik van het eID Stelsel in het kader van de launching als een pilot te communiceren naar de eigen doelgroep en grip te houden op de omvang van dat eerste gebruik. 2 3 Citizen to Government. Consumer to Business. Pagina 2 van 5 Aanbieders eID-diensten De focus van de eID-diensten in de eerste release is het inzetten van herbruikbare authenticatiemiddelen conform de opzet van het eID Stelsel. Voorzien wordt dat er op hoofdlijnen twee ‘smaken’ authenticatiemiddelen beschikbaar zullen zijn: a. Een authenticatiemiddel met een gemiddeld betrouwbaarheidsniveau, zodat hiervoor geen (kostbaar) face-to-face uitgifte proces noodzakelijk is. Vanwege gebruiksgemak zal veelal voor dit niveau een 1-factor middel worden gekozen, bijvoorbeeld een gebruikersnaam met alleen een wachtwoord. b. Een authenticatiemiddel met een hoog betrouwbaarheidsniveau, met daarbij dus een zorgvuldige identiteitsvaststelling bij de uitgifte van het authenticatiemiddel en een 2-factor invulling in het gebruik. Datum 31 juli 2014 De bedoeling is dat een privaat authenticatiemiddel ook in het BSN-domein bruikbaar is, in dat geval moet het middel met een hoog betrouwbaarheidsniveau zijn uitgegeven. Ook voor bepaalde diensten in de private sector is een hoog betrouwbaarheidsniveau nodig. Bij bovenstaande tweedeling van authenticatiemiddelen is één van de scenario’s dat een gebruiker eerst via een laagdrempelig proces authenticatiemiddelen met een gemiddeld betrouwbaarheidsniveau gaat gebruiken. Hiervoor zijn waarschijnlijk al diverse ‘uitgerolde’ authenticatiemiddelen herbruikbaar. Op initiatief van de gebruiker zou zo’n middel dan via een aanvullende procedure kunnen worden opgehoogd naar een hoog betrouwbaarheidsniveau. Deze functionaliteit kunnen aanbieders van eID-diensten bieden. Voor dienstaanbieders is het in een aantal gevallen tevens belangrijk om een aantal geverifieerde persoonsgegevens ter beschikking te krijgen. Bijvoorbeeld als voor de eerste keer een eID-middel wordt gebruikt bij een bestaande account, kan het nodig zijn om naast de pseudoID ook een aantal gevalideerde persoonsgegevens te verstrekken, zodat er meer zekerheid is dat het bestaande account wordt gekoppeld aan de juiste persoon (‘trust binding’). Een ander voorbeeld is het kunnen uitvoeren van een wettelijke vereiste leeftijdverificatie. Als onderdeel van de eerste eID-release zal deze functionaliteit door aanbieders van eIDdiensten onder ‘user consent’ beschikbaar zijn. De Minister BZK heeft aangegeven dat voor het burgerdomein een nader onderzoek moet worden uitgevoerd naar de mogelijke invulling van een publiek authenticatiemiddel met een hoog betrouwbaarheidsniveau. Indien het resultaat aangeeft dat een dergelijk publiek middel gewenst is, zal deze onderdeel uitmaken van de dit traject. DigiD als 1-factor authenticatiemiddel kan in een pilot in het kader van de launching worden meegenomen in het publieke domein. In de laatste StuurgroepeID is overigens ambtelijk bevestigd dat het uitgangspunt is dat ook een publiek middel op hoog betrouwbaarheidsniveau ingebracht zal worden in het eID Stelsel. De RDA-methodiek die onder regie van Logius wordt ontwikkeld kan DigiD versterken. De ontwikkeling van de RDA-methodiek is geen onderdeel van het eID-Programma, het volgen van de beproeving met een toepassing ervan wel. Randvoorwaarden Om de beoogde samenwerking tussen dienstaanbieders en aanbieders van eID- Pagina 3 van 5 diensten in goede banen te leiden en de belangen van de gebruikers te borgen, is een aantal randvoorwaarden te benoemen. Deze randvoorwaarden zijn vooralsnog alleen van toepassing op de 1e release. De voorwaarden zijn: Datum 31 juli 2014 1. Alle deelnemende organisaties (de dienstaanbieders en de aanbieders van eIDdiensten) committeren zich aan één gemeenschappelijke governance invulling. 2. Alle deelnemende organisaties werken samen op basis van één gezamenlijk vastgesteld business model. 3. Alle afspraken en voorwaarden worden vastgelegd in het Afsprakenstelsel eID, vastgesteld door de dan afgesproken governance. 4. Elke aanbieder van eID-diensten moet voldoen aan de gestelde eisen in het Afsprakenstelsel voor de specifieke rol die de aanbieder wenst in te vullen. Dit wordt ook wel aangeduid als het toetreden tot het Afsprakenstelsel eID. 5. De overheid richt een Beheerorganisatie in, die het toetreden van aanbieders van eID-diensten faciliteert. De beschikbare resources van die beheerorganisatie zijn mede bepalend voor het tempo waarin nieuwe aanmeldingen afgehandeld kunnen worden. De beheerorganisatie ziet toe op de naleving van de voorwaarden opgenomen in het Afsprakenstelsel. Vóór de start van dit traject zullen de eisen, die aan de pilots in het kader van de launching worden gesteld, in het Launchingplan worden geformuleerd. Daarmee bestaat er een door de StuurgroepeID gedragen beeld van die eisen. 6. Verondersteld wordt dat in het kader van de pilots er een lage betaalbaarheid door de gebruiker is. Daarom wordt er voor de pilots vanuit gegaan dat de gebruiker geen of geringe kosten moet maken. Dit betekent dat de financiering voor de pilots vooral van de zijde van de dienstaanbieders zal moeten plaatsvinden, dan wel uit generale middelen moet worden gefinancierd. 7. Elke voorstel in het kader van de launching van het eID Stelsel moet voldoen aan de vigerende wet- en regelgeving, zoals onder andere de privacy bescherming van de gebruiker. De juridische werkgroep onderzoekt de “eventuele tijdelijke” wettelijke grondslag voor de diverse pilots in het kader van de launching van het eID Stelsel. N.B. Momenteel wordt nog gewerkt aan het realiseren van alle benodigde randvoorwaarden om met de pilots te kunnen starten. Het kan ook zijn dat sommige randvoorwaarden niet volledig zijn ingevuld als we met de pilots. Scope van de eID-diensten in de eerste release Op dit moment wordt het ontwerp van het eID Stelsel beoordeeld in de POC- en POT-werkgroepen. De planning is dat het ontwerp eind van dit jaar als versie 2.0 wordt vastgesteld en bepaalt daarmee de functionaliteit van de 1 e release van het eID Stelsel. Omdat op dit moment nog niet zeker is of alle beoogde functionaliteit op tijd kan worden gerealiseerd, moet een voorbehoud worden gemaakt welke functionaliteit beschikbaar zal zijn. Echter, daarop vooruitlopend, moet het voor een gebruiker mogelijk zijn om de volgende handelingen te kunnen uitvoeren: Authenticatie en attributen: - Inloggen bij een private dienstaanbieder met een authenticatiemiddel van een gemiddeld, respectievelijk een hoog betrouwbaarheidsniveau. - Inloggen bij BSN-gerelateerde diensten met een authenticatiemiddel van een hoog betrouwbaarheidsniveau. Pagina 4 van 5 - - Vervangen van een dienstaanbieder-specifieke inlogmiddel door een eIDmiddel. Openen van een nieuw account bij een private dienstaanbieder met behulp van een eID-middel. Onder user consent verstrekken van een beperkt aantal attributen aan een dienstaanbieder. Mogelijkheid om bij de Authenticatiedienst/Attribuutdienst een aantal instellingen te beheren. Mogelijkheid om bij een Authenticatiedienst afgeleide andere authenticatiemiddelen te activeren, bijvoorbeeld voor authenticatie bij gebruik van Apps op een mobiele device. Inzage in het gebruik van “mijn authenticatiemiddel”. Datum 31 juli 2014 Enkelvoudige machtigingen: - Een belanghebbende kan online een persoon machtigen (beiden zijn digivaardig). - Een gemachtigde kan een machtiging initiëren voor een niet-digivaardige belanghebbende, waarbij de belanghebbende via een opt-in procedure de machtiging bekrachtigt. - Een gemachtigde logt in namens een ander om een dienst af te nemen of informatie te raadplegen. Namens het programmamanagement, Gerrit Jan van ´t Eind & Carlo Koch Pagina 5 van 5
© Copyright 2024 ExpyDoc