Contouren Launching Plan 1e release eID Stelsel door middel van

eID Platform
Programma eID
www.eidstelsel.nl
Contactpersoon
Gerrit Jan van ´t Eind - Carlo Koch
T 06 - 54 33 43 05
Datum
31 juli 2014
Contouren Launching Plan 1e release eID Stelsel door
middel van pilots (voorheen “pilotplan`, afgestemd met
BAOeID en StuurgroepeID).
Contouren Launching Plan 1e release eID Stelsel door
middel van pilots (voorheen “pilotplan”) 1
Doel
Op verzoek van het eID-platform wordt een eerste aanzet gegeven hoe de pilots
straks vorm zouden kunnen krijgen. Op dit moment zijn er nog wel veel onzekerheden (bijvoorbeeld met betrekking tot de randvoorwaarden). Het streven is om
dit najaar een meer uitgewerkt plan vanuit het programma op te leveren. Overigens wordt door het programma een projectleider gezocht voor de pilots waarmee
de launch van het eID Stelsel vorm wordt gegeven.
Met het Launching Plan door middel van de pilots wordt beoogd om door daadwerkelijk gebruik het eID Stelsel te stimuleren. Om dat mogelijk te maken zijn
drie hoofddoelen te benoemen:
1. Zorgen dat er een samenwerking tot stand komt tussen enerzijds aanbieders
van digitale dienstverlening waarbij identificatie en autorisatie van gebruikers
een rol speelt en anderzijds aanbieders van eID-diensten die de identificatie en
autorisatie van gebruikers mogelijk maken.
2. Zorgen dat gebruikers over gaan tot het hebben en gebruik van eID-middelen.
3. Zorgen dat dienstaanbieders hun digitale diensten geschikt maken voor gebruik met een eID- middel, zodat gebruikers hun eID-middelen gaan gebruiken
en het nut ervan gaan ervaren.
In plaats van een big bang scenario, ondersteunt het plan een meer beheerste
invoering van het eID Stelsel, een zogenaamde “soft launch”. Deze “soft launch”
gebeurt door middel van pilots: beproeving van het stelsel in een productieomgeving met een controleerbaar aantal gebruikers. Deze pilots vinden, conform het
MasterplaneID, plaats in de 2e helft van 2015. Kortom: het is de start van de wer-
1
Dit plan heeft betrekking op de soft launch in de 2e helft van 2015 van het eID Stelsel. Ten aanzien
van het gebruik van BSN betreft het in juridische zin een pilot. Daarom is in het verleden de term pilot
geïntroduceerd, maar deze term dekt de lading niet geheel omdat het eID programma het stelsel in
productie (dus in een werkelijke situatie) wil beproeven.
Pagina 1 van 5
kelijke implementatie van het eID Stelsel met uitgekristalliseerde producten van
aanbieders van eID-diensten.
Datum
31 juli 2014
Onderstaand schema is een weergave van de hoofddoelen van de ‘lancering’ van
het eID Stelsel.
Governance eID
Dienstaanbieders
 private aanbieders
 publieke aanbieders
1
tot stand komen
samenwerking
Aanbieders van
eID-diensten
3
C2G
C2B
2
gebruik van eIDmiddelen bij
dienstaanbieders
Gebruikers
 burgers
 consumenten
aanschaf van eIDmiddelen
Gebruikers
De doelgroep van de soft launch zijn natuurlijke personen in de rol van burger en
consument, ook wel aangeduid als C2G 2 en C2B3.
Dienstaanbieders
De dienstaanbieders spelen ook een belangrijke rol bij het realiseren van de tweede doelstelling, namelijk gebruikers ‘over de streep trekken’ om een eID-middel te
gaan gebruiken. De bijdrage van de dienstaanbieders is dan dat er ‘aantrekkelijke’
diensten beschikbaar komen, waarbij een eID-middel gebruikt kan worden. Hierin
is een vergelijking te maken met het ontwikkelen van een nieuw winkelgebied.
Daar is het gebruikelijk om eerst te beginnen met een ABC-tje: eerst zorgen dat
er een AH, Blokker en C&A gevestigd worden. In de eerste release van het eID
Stelsel zijn we dus op zoek naar het ABC-tje van dienstaanbieders. Aan de overheidskant wordt gedacht aan diensten van de Belastingdienst, UWV, SVB en anderen. Aan de private kant aan bijvoorbeeld bepaalde diensten van webwinkels,
verzekeraars en anderen. Een dienstaanbieder heeft zelf de keuze om het eerste
gebruik van het eID Stelsel in het kader van de launching als een pilot te communiceren naar de eigen doelgroep en grip te houden op de omvang van dat eerste
gebruik.
2
3
Citizen to Government.
Consumer to Business.
Pagina 2 van 5
Aanbieders eID-diensten
De focus van de eID-diensten in de eerste release is het inzetten van herbruikbare
authenticatiemiddelen conform de opzet van het eID Stelsel. Voorzien wordt dat
er op hoofdlijnen twee ‘smaken’ authenticatiemiddelen beschikbaar zullen zijn:
a. Een authenticatiemiddel met een gemiddeld betrouwbaarheidsniveau, zodat
hiervoor geen (kostbaar) face-to-face uitgifte proces noodzakelijk is. Vanwege
gebruiksgemak zal veelal voor dit niveau een 1-factor middel worden gekozen,
bijvoorbeeld een gebruikersnaam met alleen een wachtwoord.
b. Een authenticatiemiddel met een hoog betrouwbaarheidsniveau, met daarbij
dus een zorgvuldige identiteitsvaststelling bij de uitgifte van het authenticatiemiddel en een 2-factor invulling in het gebruik.
Datum
31 juli 2014
De bedoeling is dat een privaat authenticatiemiddel ook in het BSN-domein bruikbaar is, in dat geval moet het middel met een hoog betrouwbaarheidsniveau zijn
uitgegeven. Ook voor bepaalde diensten in de private sector is een hoog betrouwbaarheidsniveau nodig.
Bij bovenstaande tweedeling van authenticatiemiddelen is één van de scenario’s
dat een gebruiker eerst via een laagdrempelig proces authenticatiemiddelen met
een gemiddeld betrouwbaarheidsniveau gaat gebruiken. Hiervoor zijn waarschijnlijk al diverse ‘uitgerolde’ authenticatiemiddelen herbruikbaar. Op initiatief van de
gebruiker zou zo’n middel dan via een aanvullende procedure kunnen worden
opgehoogd naar een hoog betrouwbaarheidsniveau. Deze functionaliteit kunnen
aanbieders van eID-diensten bieden.
Voor dienstaanbieders is het in een aantal gevallen tevens belangrijk om een aantal geverifieerde persoonsgegevens ter beschikking te krijgen. Bijvoorbeeld als
voor de eerste keer een eID-middel wordt gebruikt bij een bestaande account,
kan het nodig zijn om naast de pseudoID ook een aantal gevalideerde persoonsgegevens te verstrekken, zodat er meer zekerheid is dat het bestaande account
wordt gekoppeld aan de juiste persoon (‘trust binding’). Een ander voorbeeld is
het kunnen uitvoeren van een wettelijke vereiste leeftijdverificatie. Als onderdeel
van de eerste eID-release zal deze functionaliteit door aanbieders van eIDdiensten onder ‘user consent’ beschikbaar zijn.
De Minister BZK heeft aangegeven dat voor het burgerdomein een nader onderzoek moet worden uitgevoerd naar de mogelijke invulling van een publiek authenticatiemiddel met een hoog betrouwbaarheidsniveau. Indien het resultaat aangeeft dat een dergelijk publiek middel gewenst is, zal deze onderdeel uitmaken
van de dit traject. DigiD als 1-factor authenticatiemiddel kan in een pilot in het
kader van de launching worden meegenomen in het publieke domein. In de laatste StuurgroepeID is overigens ambtelijk bevestigd dat het uitgangspunt is dat ook
een publiek middel op hoog betrouwbaarheidsniveau ingebracht zal worden in het
eID Stelsel. De RDA-methodiek die onder regie van Logius wordt ontwikkeld kan
DigiD versterken. De ontwikkeling van de RDA-methodiek is geen onderdeel van het
eID-Programma, het volgen van de beproeving met een toepassing ervan wel.
Randvoorwaarden
Om de beoogde samenwerking tussen dienstaanbieders en aanbieders van eID-
Pagina 3 van 5
diensten in goede banen te leiden en de belangen van de gebruikers te borgen, is
een aantal randvoorwaarden te benoemen. Deze randvoorwaarden zijn vooralsnog
alleen van toepassing op de 1e release. De voorwaarden zijn:
Datum
31 juli 2014
1. Alle deelnemende organisaties (de dienstaanbieders en de aanbieders van eIDdiensten) committeren zich aan één gemeenschappelijke governance invulling.
2. Alle deelnemende organisaties werken samen op basis van één gezamenlijk
vastgesteld business model.
3. Alle afspraken en voorwaarden worden vastgelegd in het Afsprakenstelsel eID,
vastgesteld door de dan afgesproken governance.
4. Elke aanbieder van eID-diensten moet voldoen aan de gestelde eisen in het
Afsprakenstelsel voor de specifieke rol die de aanbieder wenst in te vullen. Dit
wordt ook wel aangeduid als het toetreden tot het Afsprakenstelsel eID.
5. De overheid richt een Beheerorganisatie in, die het toetreden van aanbieders
van eID-diensten faciliteert. De beschikbare resources van die beheerorganisatie zijn mede bepalend voor het tempo waarin nieuwe aanmeldingen afgehandeld kunnen worden. De beheerorganisatie ziet toe op de naleving van de
voorwaarden opgenomen in het Afsprakenstelsel. Vóór de start van dit traject
zullen de eisen, die aan de pilots in het kader van de launching worden gesteld, in het Launchingplan worden geformuleerd. Daarmee bestaat er een
door de StuurgroepeID gedragen beeld van die eisen.
6. Verondersteld wordt dat in het kader van de pilots er een lage betaalbaarheid
door de gebruiker is. Daarom wordt er voor de pilots vanuit gegaan dat de gebruiker geen of geringe kosten moet maken. Dit betekent dat de financiering
voor de pilots vooral van de zijde van de dienstaanbieders zal moeten plaatsvinden, dan wel uit generale middelen moet worden gefinancierd.
7. Elke voorstel in het kader van de launching van het eID Stelsel moet voldoen
aan de vigerende wet- en regelgeving, zoals onder andere de privacy bescherming van de gebruiker. De juridische werkgroep onderzoekt de “eventuele tijdelijke” wettelijke grondslag voor de diverse pilots in het kader van de launching van het eID Stelsel.
N.B. Momenteel wordt nog gewerkt aan het realiseren van alle benodigde randvoorwaarden om met de pilots te kunnen starten. Het kan ook zijn dat sommige
randvoorwaarden niet volledig zijn ingevuld als we met de pilots.
Scope van de eID-diensten in de eerste release
Op dit moment wordt het ontwerp van het eID Stelsel beoordeeld in de POC- en
POT-werkgroepen. De planning is dat het ontwerp eind van dit jaar als versie 2.0
wordt vastgesteld en bepaalt daarmee de functionaliteit van de 1 e release van het
eID Stelsel. Omdat op dit moment nog niet zeker is of alle beoogde functionaliteit
op tijd kan worden gerealiseerd, moet een voorbehoud worden gemaakt welke
functionaliteit beschikbaar zal zijn. Echter, daarop vooruitlopend, moet het voor
een gebruiker mogelijk zijn om de volgende handelingen te kunnen uitvoeren:
Authenticatie en attributen:
- Inloggen bij een private dienstaanbieder met een authenticatiemiddel van een
gemiddeld, respectievelijk een hoog betrouwbaarheidsniveau.
- Inloggen bij BSN-gerelateerde diensten met een authenticatiemiddel van een
hoog betrouwbaarheidsniveau.
Pagina 4 van 5
-
-
Vervangen van een dienstaanbieder-specifieke inlogmiddel door een eIDmiddel.
Openen van een nieuw account bij een private dienstaanbieder met behulp van
een eID-middel.
Onder user consent verstrekken van een beperkt aantal attributen aan een
dienstaanbieder.
Mogelijkheid om bij de Authenticatiedienst/Attribuutdienst een aantal instellingen te beheren.
Mogelijkheid om bij een Authenticatiedienst afgeleide andere authenticatiemiddelen te activeren, bijvoorbeeld voor authenticatie bij gebruik van Apps op een
mobiele device.
Inzage in het gebruik van “mijn authenticatiemiddel”.
Datum
31 juli 2014
Enkelvoudige machtigingen:
- Een belanghebbende kan online een persoon machtigen (beiden zijn digivaardig).
- Een gemachtigde kan een machtiging initiëren voor een niet-digivaardige belanghebbende, waarbij de belanghebbende via een opt-in procedure de machtiging bekrachtigt.
- Een gemachtigde logt in namens een ander om een dienst af te nemen of informatie te raadplegen.
Namens het programmamanagement,
Gerrit Jan van ´t Eind & Carlo Koch
Pagina 5 van 5