U bevindt zich op: Forum Standaardisatie Thema's  Authenticatie en autorisatie

Autorisatie en authenticatie

Het groeiende volume digitale transacties en de toenemende afhankelijkheid van digitale voorzieningen maken een robuuste, veilige, betrouwbare en gebruikersvriendelijke voorziening voor authenticatie en autorisatie noodzakelijk. Ook in de digitale wereld moet je er immers op kunnen vertrouwen dat degene met wie je zaken doet ook daadwerkelijk is wie hij zegt te zijn en geautoriseerd is voor wat hij doet. Authenticatie en autorisatie (toegang, machtigingen, eenduidig vastleggen van wilsuitingen, traceerbaarheid van transacties tot op persoon) zijn daarbij van centraal belang. Forum Standaardisatie streeft er naar om activiteiten in de keten toewijzen van een identiteit, authenticatie, autorisatie, machtiging, digitale handtekening en privacy in onderlinge samenhang te bekijken en te adresseren.

Rapporten en Verkenningen

Al in 2007 heeft het Forum een advies uitgebracht om geleidelijk te komen tot een federatieve opzet van authenticatie waarbij dienstenaanbieders zelf aangeven welk betrouwbaarheidsniveau van authenticatiemiddelen voor hun dienst nodig is. Vervolgens kunnen burgers en bedrijven dan zelf kiezen welk authenticatiemiddel (dat aan dat betrouwbaarheidsniveau voldoet) zij feitelijk willen gebruiken. Onderstaande verkenning 'Roeien met de riemen die je hebt' onderbouwt hoe dat kan worden ingericht. Dit rapport is gebruikt bij de ontwikkeling van het stelsel e-Herkenning.

Handreiking betrouwbaarheidsniveaus

Bij elektronische transacties met bedrijven en burgers moeten overheden weten met wie ze van doen hebben. Daarvoor zijn authenticatiemiddelen nodig. De zwaarte van het in te zetten middel hangt af van de aard van de transactie en de gevolgen ervan (zoals financiele of juridische gevolgen). Om overheidsorganisaties te helpen bij het maken van een keuze voor het gewenste betrouwbaarheidsniveau voor een electronische dienst heeft Forum Standaardisatie een handreiking uitgebracht, die aansluit op de Europese classificatie (STORK) die vier betrouwbaarheidsniveaus onderkent. De handreiking helpt beleidsmakers, architecten, informatiebeveiligers, juristen en bestuurders om op basis van een eenvoudig en generiek beoordelingsmodel een beredeneerde keuze te maken voor het benodigde betrouwbaarheidsniveau. Zoals de naam al zegt is de publicatie slechts een handreiking. Het helpt bestuurders, maar zij blijven zelf verantwoordelijk voor het gekozen betrouwbaarheidsniveau. Indien zij menen dat gebruik van de handreiking voor hun specifieke dienst niet wenselijk is, kunnen zij een volledige risicoanalyse uitvoeren.

Indien u interesse heeft in een gedrukt exemplaar van deze brochure dan kunt u een bericht sturen aan Bureau Forum Standaardisatie via forumstandaardisatie@logius.nl om de brochure aan te vragen.

Adviescommissie Authenticatie en Autorisatie Bedrijven

Op verzoek van de Directeuren-Generaal van BZK, Financien en EL&I heeft de adviescommissie A3 een advies opgesteld hoe stapsgewijs te komen tot een samenhangende authenticatie- en autorisatiesystematiek voor bedrijven. Daarbij dient rekening te worden gehouden met bestaande voorzieningen als DigiD en DigiD Machtigen. Het advies vertrekt vanuit de uitgangspunten:

  1. dat het afsprakenstelsel eHerkenning de generieke voorziening moet zijn voor authenticatie en autorisatie van bedrijven en 
  2. dat de markt de ruimte krijgt om de rollen binnen het afsprakenstelsel eHerkenning in de vullen.

Kernpunten van het advies zijn:

  • de markt voldoende tijd te geven om in hun rol te groeien zodat er over twee jaar een robuust stelsel staat; 
  • de markt te ondersteunen bij die groei door krachtige actie aan zowel de aanbodkant (aanbod van diensten die met eHerkenning worden ontsloten) als de vraagkant (aanschaf van authenticatiemiddelen door bedrijven); 
  • streven naar aansluiting van de nu nog volledig gescheiden stelsels voor burgers (DigiD) en bedrijven (eHerkenning) door gebruik van dezelfde standaarden en koppelvlakken; 
  • ontwikkels zo spoedig mogelijk een 'DigiD Hoog' (eID), dat naast het BSN een persistent pseudoniem bevat
  • sta zolang 'DigiD Hoog' er nog niet is toe dat eenmanszaken voor identificatie en authenticatie DigiD en DigiD Machtigen te gebruiken.

Hieronder kunt u het eindadvies downloaden.

Eindadvies Adviescommissie Authenticatie en Autorisatie Bedrijven (PDF| 843 kB)