Betrouwbaarheidsniveaus digitale dienstverlening

Authenticatiemiddelen zorgen ervoor dat de overheden weten met welke burger of welk bedrijf ze van doen hebben. Deze middelen zijn er op verschillende betrouwbaarheidsniveaus. Het niveau hangt af van de aard van de (gegevens)transactie en de gevolgen ervan (zoals financieel of juridisch).

De handreiking betrouwbaarheidsniveaus is een hulpmiddel bij de dienstverlening van overheidsorganisaties. Afhankelijk van de aard van de dienst en de gevolgen ervan, worden er striktere eisen aan de betrouwbaarheid gesteld. Als er bijvoorbeeld privacy aspecten zijn, of mogelijke financiële of juridische gevolgen, dan is een hoger betrouwbaarheidsniveau nodig. De handreiking helpt het passende niveau te bepalen. Voor het bekijken van een overheidswebsite bijvoorbeeld hoeft iemands identiteit niet gecontroleerd te worden. Voor het verstrekken van een paspoort moet dat juist heel serieus gebeuren. De handreiking helpt overheden om een eenduidige, efficiënte en bewuste keuze te maken voor de betrouwbaarheidsniveaus van digitale overheidsdiensten.

Authenticatiemiddelen

Overheden wisselen digitaal gegevens uit met bedrijven en burgers. Authenticatiemiddelen zorgen ervoor dat de overheden weten met wie ze te maken hebben. De overheid werkt aan algemeen inzetbare oplossingen (zoals DigiD, PKIoverheid en eHerkenning). Deze middelen zijn er op verschillende betrouwbaarheidsniveaus. Want er zijn veel verschillende digitale diensten en het is niet mogelijk om voor die diensten één uniforme oplossing voor authenticatie vast te stellen. Voor eenvoudige diensten is een tijdrovende en kostbare authenticatieprocedure ongewenst. Maar voor een kritieke dienst is authenticatie op een laag niveau een risico.

Europese regels

De Europese Unie wil grensoverschrijdende dienstverlening ondersteunen. Inwoners uit de lidstaten moeten met goedgekeurde authenticatiemiddelen ook in andere EU-landen digitale diensten kunnen afnemen. Daarom zijn in de eIDAS-verordeninguniforme Europese betrouwbaarheidsniveaus voor authenticatiemiddelen vastgesteld. Er zijn 3 niveaus bepaald: Laag, substantieel en hoog, met minimumeisen voor die 3 niveaus. De handreiking Betrouwbaarheidsniveaus neemt de eIDAS-verordening als uitgangspunt voor het kiezen van betrouwbaarheidsniveaus.

Een betrouwbaarheidsniveau kiezen

De handreiking bevat een classificatiemodel om een vereenvoudigde risicoanalyse van een digitale dienst te maken. Hiermee kunnen beleidsmakers, architecten, informatiebeveiligers, juristen en bestuurders een afgewogen keuze maken voor het betrouwbaarheidsniveau dat nodig is. In de meeste gevallen leidt dit tot een passende keuze. Als er afwijkende omstandigheden zijn, zal toch een volwaardige risicoanalyse uitgevoerd moet worden.

De handreiking adviseert over onderwerpen als:

• Machtigingen
• Communicatie tussen applicaties
• Retourstromen
• Eenmalig inloggen
• Ondertekenen

Online een betrouwbaarheidsniveau bepalen

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een Regelhulp Betrouwbaarheidsniveaus opgezet. Deze (nieuwe) regelhulp is gebaseerd op het wetsvoorstel digitale overheid en de conceptregeling betrouwbaarheidsniveaus. Aan de hand van een aantal vragen over het type gegevens dat via de dienst wordt uitgewisseld en een inschatting van de kans op misbruik van de dienst en het effect daarvan, geeft de tool het passende betrouwbaarheidsniveau voor uw dienst: laag, substantieel of hoog. De tool bevat bovendien een exportfunctie, zodat u de gemaakte keuzes en uitslag in een rapportage beschikbaar hebt. Dit is bijvoorbeeld handig op het moment dat u met een middelenverstrekker een gesprek aan wilt gaan. De nieuwe regelhulp vervangt de bestaande regelhulp van Forum Standaardisatie die was opgesteld op basis van de Handreiking Betrouwbaarheidsniveaus.

Veranderende regelgevingen

Digitale dienstverlening verandert continu. En ook de regelgeving die daarop van toepassing is. Zo was de Algemene verordening gegevensbescherming (AVG) nog niet van toepassing op het moment van verschijnen van versie 4 van de handreiking. En per 1 januari 2020 vervangt de Baseline Informatiebeveiliging Overheid (BIO) de verschillende baselines informatieveiligheid voor diverse groepen overheden. Mogelijk leidt dit tot een volgende versie van de handreiking.

U downloadt de Handreiking Betrouwbaarheidsniveaus via onze publicatiepagina.

U downloadt de Assurance levels for digital service provision via onze overige publicatiepagina.

Of kijk op onze themapagina's voor meer informatie.