Identiteit

Vertrouwen | Identiteit
|
Categories:

(klik aan om te navigeren)

Capabilities

De capabilities van het federatief datastelsel.

Interoperabiliteit
Modellen
Dataservices
Traceerbaarheid

Vertrouwen
Identiteit
Toegang
Veiligheid

Datawaarde
Metadata
Verantwoording
Publicatie

Governance
Bestuurlijk
Operationeel
Beheer

Beschrijving

De capability ‘identiteit’ betreft het vermogen om de identiteit van bijvoorbeeld een systeem, persoon of organisatie met afdoende zekerheid vast te stellen. Dit vindt plaats door gebruik te maken van identificerende kenmerken (zoals een identificatienummer) en een identificatiemiddel (zoals een digitaal versleuteld certificaat). Identificatiemiddelen worden gebruikt om de identiteit van iets of iemand met zekerheid vast te kunnen stellen.

Identificerende kenmerken en identificatiemiddelen kunnen worden beheerd in een Identity Management (IM) oplossing. Voorbeelden van open-source oplossingen zijn de Keycloak-infrastructuur, het Apache Syncope IM-platform, het open-source IM-platform van het Shibboleth Consortium en het Fiware IM-framework.

Het binnen europa uitgeven van publieke identificatiemiddelen valt onder de eIDAS regulering.

Meer lezen

De capability Identiteit is gebaseerd op het Identity Management building block zoals beschreven in het OPEN DEI design principles position paper on Resources.

In de Blueprint van het Data Spaces Support Centre wordt het bewijzen van de identiteit met een Verifiable Credential (VC) beschreven in het Building Block Identity and Attestation Management. Dit houdt verband met het toegekende vertrouwen aan een beweerde identiteit in het Building Block Trust Framework.

Identiteit binnen het FDS

Binnen het FDS vindt uitwisseling van gegevens plaats tussen een aanbieder en een afnemer. Bij een uitwisseling binnen het FDS zijn zowel de afnemer als de aanbieder deelnemer van het FDS. Een deelnemer van het FDS is een organisatie met een publieke taak. Een organisatie kan als deelnemer worden toegelaten tot het FDS als deze is ingeschreven in het handelsregister als publiekrechtelijk of privaatrechtelijke rechtspersoon. Daarbij dient een privaatrechtelijke rechtspersoon een expliciet benoemde wettelijke taak te hebben. Zowel publiekrechtelijke als privaatrechtelijke rechtspersonen zijn ingeschreven in het handelsregister.

Binnen het FDS kan de deelnemer de daadwerkelijke uitwisseling plaats laten vinden door een verwerker. Een verwerker is een door de deelnemer aan te wijzen organisatie die de daadwerkelijke uitwisseling uitvoert. Een verwerker is een Nederlandse rechtspersoon, maar hoeft geen deelnemer te zijn aan het FDS en hoeft geen publieke taak te vervullen. Een verwerker wordt door de deelnemer aangewezen in een overeenkomst. Het aanwijzen vindt plaats door het benoemen van een uniek identificerend kenmerk dat kan worden vastgesteld bij het leggen van de verbinding voor de gegevensuitwisseling. Indien een verwerker voor meerdere deelnemers uitwissseling laat plaats vinden dan wordt er per deelnemer verwerker relatie een uniek identificerend kenmerk vastgesteld en gebruikt.

Het deelnemen aan het FDS door een organisatie-onderdeel van een rechtspersoon is nog onderwerp van onderzoek (bijvoorbeeld de Belastingdienst is een organisatie-onderdeel van de publiekrechtelijke rechtspersoon Ministerie van Financiën).

Identificerende kenmerken

Binnen het FDS toepasbare identificerende kenmerken voor een deelnemer zijn:

In een overeenkomst kunnen andere identificerende kenmerken worden toegepast om de deelnemer of een door de deelnemer aangewezen verwerker te identificeren, zoals een hostname, public-key thumbprint of een certificaat-thumbprint.

Identificatiemiddelen binnen het FDS

Een deelnemer identificeert zich binnen het FDS met behulp van een identificatiemiddel.

Mogelijke identificatiemiddelen voor het ondertekenen van digitale (leverings)overeenkomsten:

Mogelijke identificatiemiddelen bij het leggen van een verbinding waarbij de deelnemer rechtstreeks wordt geidentificeerd:

Mogelijke identificatiemiddelen bij het leggen van een verbinding waarbij de deelnemer of een verwerker in een leveringsovereenkomst is aangewezen:

  • een eIDAS QWAC X.509 certificaat met een OIN of KvK-nummer
  • een PKIoverheid Services X.509 certificaat met een OIN tbv TLS
  • een X.509 certificaat uit een andere overeengekomen vertrouwde bron (alleen in combinatie met een hostname, public-key thumbprint of een certificaat-thumbprint als identificerend kenmerk)
  • een overig (eventueel self-signed) X.509 certificaat (alleen in combinatie met een certificaat-thumbprint als identificerend kenmerk)
  • een aanbiederspecifieke identificatiemethode (zie de documentatie van de aanbieder)

Een PKIoverheid Services certificaat tbv ondertekening van digitale documenten is ook een eIDAS Qualified eSeal. Er worden overigens ook eIDAS Qualified eSeals uitgegeven die géén PKIoverheid certificaat zijn. Een PKIoverheid Services certificaat tbv TLS wordt niet standaard vertrouwd door de browser en is geen eIDAS QWAC certifciaat. Een eIDAS QWAC certificaat wordt wel vertrouwd door de browser. Voor toepassing binnen het FDS is van belang dat het certificaat een geschikt identificerend kenmerk (zoals het OIN) bevat.

Een veelbelovende identificatiemiddel vormt de Verifiable Credential (VC) in eIDAS 2.0. De verwachting is dat VC’s in de toekomstig ook kunnen worden toegepast als identificatiemiddel.

Standaarden

Laatst gewijzigd October 14, 2024: Kenmerk in identiteit bij meerdere deelnemers per verwerker toegevoegd. (51935b8)