Ga naar inhoud
FTV Beeldmerk

Federatieve Toegangsverlening

Over het project

Opdracht

Scope

Fase 1

Fase 2

Fase 1

Doelstellingen

De beoogde resultaten van fase 1 zijn, zoals vastgelegd in de subsidie:

  1. Een overzicht van de stakeholders.
  2. Inventarisatie van de meest voorkomende huidige geïmplementeerde oplossingen.
  3. Onderzoek naar mogelijke moderne oplossingen passend bij APIs.
  4. Plan van Aanpak fase 2.
  5. Agendering van een besluit voor het in gang zetten van fase 2 op de programmeringstafel Gegevensuitwisseling/Toegang.

In april 2025 is fase 1 afgerond. De methodiek is besproken aan de programmeringstafel toegang. Dit heeft geleid tot een positief advies en duidelijke richting voor fase 2.

Activiteiten

Het project Federatieve Toegangsverlening (FTV) beoogt een standaard voor te stellen. Zowel het verkrijgen van een status als standaard als de adoptie ervan vergen veel communicatie. Een belangrijk deel van de aanpak richt zich daarom op het verkennen van het terrein, het contact maken met de spelers en het bijeen brengen van een diverse community. Beleidsmakers, aanbieders en afnemers van gegevens, implementatiepartners en technische visionairs zijn allemaal essentieel voor het slagen. Het project zal deze community faciliteren, de discussie begeleiden, de resultaten vastleggen en agenderen. Dit is iets anders dan de beste oplossing menen te hebben en die aan zoveel mogelijk partijen op te leggen.

Ook is het van belang dat de juiste balans gevonden wordt tussen beschrijven, uitleggen en uitdragen enerzijds en concrete technische resultaten laten zien anderzijds. Beide zullen nodig zijn om positieve zichtbaarheid en adoptie te verkrijgen.

De projectactiviteiten zijn ingedeeld volgens de bovengenoemde doelstellingen:

  1. Initiatie: inlezen in de materie, verkennen van het speelveld, leggen van eerste contacten.
  2. Zichtbaarheid: inrichten van een onlineomgeving waarin het project met alle resultaten en overwegingen publiek gemaakt wordt.
  3. Maken van de stakeholderkaart en verifiëren van de correctheid daarvan bij de betrokkenen. Naast kennis voor het project wordt hiermee vooral zichtbaarheid en contact bereikt.
  4. Inventariseren van de huidige werkwijzen, inclusief analyse van voor- en nadelen, en attitude ten opzichte van dit initiatief. Ook hiermee wordt breder contact en begrip nagestreefd, naast inhoudelijke kennis en inspiratie.
  5. Inventariseren van de moderne methodieken. Met desktop research, gesprekken met andere initiatieven en door het uitvoeren van concrete technische verkenning worden de mogelijkheden overwogen. Resultaat hiervan is ook expliciet laten zien dat de voorgestelde oplossing(en) correct en haalbaar zijn.
  6. Het uitvoeren van een proef samen met een implementatiepartner is een optie. Het valt nog te bezien of hier ruimte voor is qua tijd en of er goede use cases en partners gevonden kunnen worden.
  7. Houden van bijeenkomsten waarin de meest relevante en inspirerende resultaten tot nu toe gedeeld worden en deelnemers worden uitgenodigd om te reflecteren en mee te denken.
  8. Regelmatige afstemming van tussenresultaten en uitdaging bij de voornaamste klankborden: Federatief Datastelsel (FDS), overlegtafels en Digilab.

Risico's

Het voorstellen van een standaard en het verkrijgen van adoptie daarvan is niet eenvoudig. Dit zijn de belangrijkste risico’s die vooraf zijn geïdentificeerd.

  1. Complexiteit. Gegevensuitwisseling is een complex gebied. Er zijn veel lagen van techniek, standaarden en producten en er spelen veel belangen en behoeftes. Toegangsverlening raakt aan zowel techniek als inhoud, waardoor uitvoering en bestuur betrokken moeten zijn. Dit is een belangrijke reden waarom praktische uitvoering tot nu toe federatief niet ver gekomen is, ondanks technische mogelijkheden en organisatorische bereidheid.

    Een standaard kan de complexiteit in beeld brengen en een deel van de complexiteit wegnemen. Zeker als er bouwstenen en/of voorzieningen geboden worden. Daarnaast zullen de eerste wegbereiders laten zien wat er mogelijk is en als positief voorbeeld van adoptie dienen.

  2. Weerstand tegen verandering bij aanbieders en afnemers. Nu zijn aanbiedende partijen vrij om toegangsverlening te implementeren zoals zij dat het beste achten. Dat hebben zij in de praktijk ook gedaan. Het introduceren van een standaardmethode gaat hoe dan ook werk opleveren, zonder dat daar direct zichtbare verbeterde functionaliteit tegenover staat (‘het werkt nu toch ook’). Dit was ook het geval bij HaalCentraal: als koppelvlakstandaard is deze technisch duidelijk beter dan StUF of alleen REST. Toch bleef de adoptie steken en is de ontwikkeling stilgelegd.

    Het project zal moeten laten zien wat de belangrijkste drijfveren zijn (zoals kostenbesparing en voldoen aan de wet- en regelgeving), en moeten aantonen dat er sprake is van een kritische massa aan ondersteuning, voorstanders en geslaagde implementaties.

  3. Weerstand van leveranciers. Een bekend geluid is dat gemeentes en uitvoeringsinstanties veel geld kwijt zijn aan maatwerkoplossingen. Ze ervaren vast te zitten aan leveranciers (vendor lock-in). Het innoveren van bestaande oplossingen of overstappen wordt niet makkelijk gemaakt, uit (reële) angst voor omzetverlies door leveranciers.

    Het doorbreken van een dergelijke lock-in of monopolie kan, naast een goede standaard en uitleg, via de samenwerkingsplatforms die er al zijn, zoals Open Webconcept.

  4. Weerstand tegen verlegging van verantwoordelijkheden. Het juist beleggen van verantwoordelijkheden betekent bij veel gegevensuitwisselingen dat de afnemer meer moet doen en de aanbieder minder. Dat kan aan beide kanten bezwaren opleveren:

    • Aanbieders (of eigenlijk bronhouders) geven een taak uit handen en daarmee een stuk controle. Dat kan op weerstand stuiten.
    • Afnemers moeten meer verantwoording gaan afleggen. Ze zullen verplicht worden om verifieerbare verklaringen aan te vragen en het gebruik daarvan te implementeren, en daarmee een risico lopen dat dit niet goed gebeurt. Er is een kans dat niet meegewerkt wordt om dat risico te vermijden.

Planning en status

planning

Fase 1 was oorspronkelijk gepland voor heel 2024. Door een late start op 1 juli was het budget nog niet geheel benut op de einddatum. Daarom is fase 1 met twee maanden verlengd. Dankzij deze verlenging konden aan de resultaten een eerste versie van de standaard en een referentie-implementatie worden toegevoegd.

Resultaten

Dit zijn resultaten van fase 1:

Onderzoek

Stakeholders

  • Er is een inventarisatie gemaakt van de stakeholders.
  • Er is contact gemaakt met de belangrijkste stakeholders, en uitleg gegeven over het project en de toekomstige standaard.
  • De werkgroep FTV is van start gegaan.

Inventarisatie bij de Nederlandse overheid

De inventarisatie is afgerond en richtte zich op drie onderzoeksgebieden:

  • Hoe toegang nu geregeld is
  • Waar al adoptie is van Policy Based Access Control (PBAC)
  • Welke eerdere onderzoeken gedaan zijn

Inventarisatie van de markt

Er is gekeken naar:

  • Beschikbare producten, open source en commercieel. Gesprekken met de commerciële aanbieders zullen nog doorlopen.
  • Staat van zaken in Europees verband
  • Andere initiatieven tot standaardisatie

Standaard

Er is een keus gemaakt om bij OpenID AuthZEN aan te sluiten.