Informatiebeveiliging en privacy worden, mede door de komst van de AVG, steeds belangrijker. Identificatie, authenticatie en autorisatie (IAA) zijn belangrijke aspecten hierin. De GAB-werkgroep wil een bijeenkomst organiseren waarin voor verschillende overheidsdomeinen de huidige situatie en de ideeën over de toekomst van IAA bij elkaar worden gebracht. Deze discussie is ter voorbereiding daarvan en heeft als doel om relevante vragen en ontwikkelingen te inventariseren. De volgende vragen zijn in de GAB-werkgroep al genoemd.
- Hoe richt je de overgang van IAA in de 'front office' (person to system) naar de 'back office' (system to system) in?
- Wat is de samenhang tussen front office standaarden als SAML en back office standaarden als Digikoppeling?
- Welke standaarden en best practices zijn er bij het gebruik van RESTful APIs en hoe is dan de overgang van front naar back office?
- Hoe ga je om met 'verklaringen' van IAA en hoe geef je die door in de keten?
- Hoe geef je invulling aan de eisen van doelbinding?
De GAB werkgroep ziet de volgende relevante domeinen en ontwikkelingen:
- Het werk- en inkomen domein (Suwi, BKWI)
- Onderwijs (Kennisnet)
- Gemeenten (KING, gegevenslandschap, regie op gegevens)
- Zorg
Welke vragen en relevante ontwikkelingen zijn er nog meer?
We zijn bij het DSO dit kwartaal een PoC aan het uitvoeren waarbij aan de voorkant wordt ingelogd met SAML en de identiteit van de ingelogde gebruiker met OAuth wordt doorgegeven door de hele keten heen naar de backoffice. Ik zal aan het einde van het kwartaal de lessen en het uiteindelijke ontwerp hiervoor delen.
We zijn vanuit Geonovum bezig met het opzetten van een platform APIs (vergelijkbaar met het platform Linked Data) waar een van de werkgroepen een toepassings profiel voor OAuth in de nederlandse overheid gaat opstellen. Dit toepassingsprofiel is nodig om OAuth op de pas toe of leg uit lijst te krijgen. Het toepassingsprofiel OAuth heeft heel veel raakvlakken aangezien ook daar de verhouding tussen OAuth en SAML belangrijk is.
Dit is een hot topic, zie veel afzonderlijke initiatieven die tecnische voorzieningen optuigen om precies dit te regelen. Consolidatie van initiatieven / denkwerk is dus zeker gewenst.
In eigen analyses kom ik er op uit dat het beter is een nieuwe omgeving op te tuigen naast de huidige, waarin op basis van de modernste technieken en architectuurinzichten invulling wordt gegeven aan al deze uitdagingen. Pogingen om 'oud' en 'nieuw' binnen 1 systeem van dienst te zijn zorgen dat het te traag of wellicht helemaal niet tot stand komt.
Als onderwerp stel ik dus voor om het transitiepad afzonderlijk te agenderen, en de (on)mogelijkheden die we daarin zien als input te gebruiken voor de oplossingsrichting.
Mijn voorschot daarop:
- Doelbinding, AVG, beheersbaarheid is alleen goed te regelen in totaal nieuwe omgeving. Zet dus compromisloos in op de technieken van nu, doe geen moeite de huidige uitwisselingen te fixen, maar zet in op het proces voor proces, voorziening voor voorziening opbouwen in de nieuwe werkelijkheid
- Omzetting SAML naar Oauth e.d. zijn ook een vraag uit dat verleden. SAML is nu relevant omdat het wordt gebruikt vanuit DIgiD e.d. - ook dat kan worden veranderd. De vraag is of het denken terecht is dat een authenticatie in frontend (loketten, apps) uberhaupt rechtstreeks incl. identiteit door moet werken naar een request aan een service in een landelijke voorziening - ik pleit voor het doorbreken van de identiteitsketen op logische plekken en alleen de doelbindingsclaim geborgd door de multilayer architectuur te laten reizen.
Frank en Eelco, dank voor jullie reactie. Zoals Eelco al zegt, het is een hot topic en het is daarom belangrijk om van elkaar te leren. De uitkomsten van de PoC van het DSO zijn daarom ook erg relevant. Een bijeenkomst in het eerste kwartaal van 2018 lijkt een goed moment.
Vanuit de koppelvlakken is ook een sterke behoefte aan aansluiting op moderne standaarden als OAuth.
Deze autorisatie en authenticatie behoefte gaat voornamelijk over die van medewerkers over systemen heen, dus niet van burgers, maar het is belangrijk dat ook daar gebruik gemaakt gaat worden van dezelfde moderne technieken als aan de voorkant.
In de StUF expert groep is dit momenteel een issue: https://vng-realisatie.github.io/StUF-Standaarden/discussie/gemma/stuf-301/plaats-stuurgegevens-soap-header-ipv-payload
De eerste gedachten over een bijeenkomst. Graag reacties.
Een bijeenkomst in de ochtend of middag, drie uur. Waarschijnlijk in Utrecht.
Beginnen met een aantal presentaties vanuit verschillende domeinen over de huidige ontwikkelingen en de uitdagingen voor de toekomst:
Aansluitend een discussie over uitdagingen, raakvlakken en mogelijkheden voor samen optrekken en vervolgacties.
Ben altijd te porren voor een dergelijk overleg. Wel nieuwsgierig wat het GAB is, waar het vandaan komt, wat missie/doel is etc. Waar heeft GAB een plek in het woud der gremia?
Bij dat overleg zouden een collega van mij of ik zelf ook graag bij aan willen sluiten.
Als Rijksdienst voor Identiteitsgegevens zijn wij verantwoordelijk voor het beheren van de identiteiten, identiteitsgegevens en de dragers van (reis) documenten van mensen die door de Nederlandse overheid als individu zijn geregistreerd. In een snel veranderende maatschappij waarin de relatie tussen de werkelijkheid en de digitale wereld steeds inniger wordt, kijken wij welke meerwaarde wij op identiteitsniveau kunnen bieden en welke technieken ons daarbij kunnen helpen. Veiligheid en privacy staan daarbij voorop; wij gaan immers over zeer privacygevoelige gegevens van echte mensen.
Vanuit onze rol als ketenregisseur vinden wij dat een aanvullende service van betrouwbaar gemak noodzakelijk is om de burger meer regie te geven over zijn identiteit en de daaraan gerelateerde gegevens in de digitale wereld. Wij zien blockchain als een kansrijke technologie om die aanvullende service te bieden. De uitgangspunten die we hierbij hanteren zijn afkomstig van wereldwijde ontwikkeling rondom Self Sovereign Identiteit waarin de mens centraal wordt gezet en zelf kan bepalen met wie hij wat en wanneer wil delen. Dit alles op een veilige manier met maximaal behoud van zijn privacy.
Momenteel wordt de ontwikkeling van het identiteitsspoor binnen de Dutch Blockchain Coalition concreet ter hand genomen onder leiding van de TU Delft (Dr.Ir. Pouwelse) in samenwerking met partners als Techruption, TNO, de Rabobank, ING en Alliander. Fundamenteel uitgangspunt daarbij is dat de voorziening voldoet aan de uitgangpunten van Self Sovereign Identiteit, volledig open source is en een internationale standaard (IETF) gaat worden. Naast het ontwikkelen van deze standaard, gaan we deze combineren met de identiteiten van dingen en organisaties. Een relevante partij waarmee we in dit kader samenwerken is de Kamer van Koophandel (identiteiten van organisaties). Het combineren en testen in de praktijk zal gaan plaatsvinden in samenhang met gemeenten. In dat verband starten we een strategische samenwerking met Brainport en de gemeente Amsterdam. De Vereniging van Nederlandse Gemeenten vragen we ook om aan te haken om op bestuurlijk niveau mee te denken en het mogelijk te maken dat ook andere gemeenten kunnen deelnemen.
Voor ons van de RvIG is, naast het verbeteren van de veiligheid en de privacy voor de mens in de digitale wereld, het ook belangrijk om de juridische kader en wetgeving te verkennen en eventueel te verruimen om het mogelijk te maken dat mensen een nieuwe, veilige positie in de digitale wereld kunnen innemen. In dat verband zullen ook afspraken moeten worden gemaakt hoe een dergelijk nieuw stelsel daadwerkelijk gebruikt kan gaan worden door mensen, bedrijven en overheidsinstellingen. Kortom dat sluit helemaal bij deze vraagstelling aan.