Identiteit

Vertrouwen | Identiteit

Beschrijving

De capability ‘identiteit’ betreft het vermogen om de identiteit van bijvoorbeeld een systeem, persoon of organisatie met afdoende zekerheid vast te stellen. Dit vindt plaats door gebruik te maken van identificerende kenmerken (zoals een identificatienummer) en een identificatiemiddel (zoals een digitaal versleuteld certificaat). Identificatiemiddelen worden gebruikt om de identiteit van iets of iemand met zekerheid vast te kunnen stellen.

Identificerende kenmerken en identificatiemiddelen kunnen worden beheerd in een Identity Management (IM) oplossing. Voorbeelden van open-source oplossingen zijn de Keycloak-infrastructuur, het Apache Syncope IM-platform, het open-source IM-platform van het Shibboleth Consortium en het Fiware IM-framework.

Het binnen europa uitgeven van publieke identificatiemiddelen valt onder de eIDAS regulering.

Meer lezen

De capability Identiteit is gebaseerd op het Identity Management building block zoals beschreven in het OPEN DEI design principles position paper on Resources.

In de Blueprint van het Data Spaces Support Centre wordt het bewijzen van de identiteit met een Verifiable Credential (VC) beschreven in het Building Block Identity and Attestation Management. Dit houdt verband met het toegekende vertrouwen aan een beweerde identiteit in het Building Block Trust Framework.

Identiteit binnen het FDS

Binnen het FDS vindt uitwisseling van gegevens plaats tussen een aanbieder en een afnemer. Bij een uitwisseling binnen het FDS zijn zowel de afnemer als de aanbieder deelnemer van het FDS. Een deelnemer van het FDS is een organisatie met een publieke taak. Een organisatie kan als deelnemer worden toegelaten tot het FDS als deze is ingeschreven in het handelsregister als publiekrechtelijk of privaatrechtelijke rechtspersoon. Daarbij dient een privaatrechtelijke rechtspersoon een expliciet benoemde wettelijke taak te hebben. Zowel publiekrechtelijke als privaatrechtelijke rechtspersonen zijn ingeschreven in het handelsregister.

Binnen het FDS kan de deelnemer de daadwerkelijke uitwisseling plaats laten vinden door een verwerker. Een verwerker is een door de deelnemer aan te wijzen organisatie die de daadwerkelijke uitwisseling uitvoert. Een verwerker is een Nederlandse rechtspersoon, maar hoeft geen deelnemer te zijn aan het FDS en hoeft geen publieke taak te vervullen. Een verwerker wordt door de deelnemer aangewezen in een overeenkomst. Het aanwijzen vindt plaats door het benoemen van een identificerend kenmerk dat kan worden vastgesteld bij het leggen van de verbinding voor de gegevensuitwisseling.

Het deelnemen aan het FDS door een organisatie-onderdeel van een rechtspersoon is nog onderwerp van onderzoek (bijvoorbeeld de Belastingdienst is een organisatie-onderdeel van de publiekrechtelijke rechtspersoon Ministerie van Financiën).

Identificerende kenmerken

Binnen het FDS toepasbare identificerende kenmerken voor een deelnemer zijn:

In een overeenkomst kunnen andere identificerende kenmerken worden toegepast om de deelnemer of een door de deelnemer aangewezen verwerker te identificeren, zoals een hostname, public-key thumbprint of een certificaat-thumbprint.

Een deelnemer van het FDS heeft een Deelnemer-ID. Een deelnemer-ID kan als URL worden gebruikt om een linked data (RDF) bestand op te halen met deelnemer-kenmerken zoals het KvK-nummer, RSIN en/of OIN. Het Deelnemer-ID is een Linked Data URI. Deze structuur maakt het mogelijk om de Deelnemer-ID te gebruiken als decentralized identifier (DID) bij een Verifiable Credential (VC) volgens eIDAS 2.0.

Identificatiemiddelen binnen het FDS

Een deelnemer identificeert zich binnen het FDS met behulp van een identificatiemiddel.

Mogelijke identificatiemiddelen voor het ondertekenen van digitale (leverings)overeenkomsten:

Mogelijke identificatiemiddelen bij het leggen van een verbinding waarbij de deelnemer rechtstreeks wordt geidentificeerd:

Mogelijke identificatiemiddelen bij het leggen van een verbinding waarbij de deelnemer of een verwerker in een leveringsovereenkomst is aangewezen:

  • een eIDAS QWAC X.509 certificaat met een OIN of KvK-nummer
  • een PKIoverheid Services X.509 certificaat met een OIN tbv TLS
  • een X.509 certificaat uit een andere overeengekomen vertrouwde bron (alleen in combinatie met een hostname, public-key thumbprint of een certificaat-thumbprint als identificerend kenmerk)
  • een overig (eventueel self-signed) X.509 certificaat (alleen in combinatie met een certificaat-thumbprint als identificerend kenmerk)
  • een aanbiederspecifieke identificatiemethode (zie de documentatie van de aanbieder)

Een PKIoverheid Services certificaat tbv ondertekening van digitale documenten is ook een eIDAS Qualified eSeal. Er worden overigens ook eIDAS Qualified eSeals uitgegeven die géén PKIoverheid certificaat zijn. Een PKIoverheid Services certificaat tbv TLS wordt niet standaard vertrouwd door de browser en is geen eIDAS QWAC certifciaat. Een eIDAS QWAC certificaat wordt wel vertrouwd door de browser. Voor toepassing binnen het FDS is van belang dat het certificaat een geschikt identificerend kenmerk (zoals het OIN) bevat.

Een veelbelovende identificatiemiddel vormt de Verifiable Credential (VC) in eIDAS 2.0. De verwachting is dat VC’s in de toekomstig ook kunnen worden toegepast als identificatiemiddel.

Standaarden

Laatst gewijzigd 19.06.2024: description bijgewerkt (108b18f)