Toegang

Identificatie, authenticatie en logging.

Toegang

Toegang is een technische stelselfunctie.

  • Doel Identificatie, authenticatie en logging. Het gaat om verantwoording datagebruik in relatie tot de wettelijke grondslagen.
  • Status Dit is een technische subfunctie van de Poortwachtersfunctie en wordt binnen dat kader (en via beproeving in het Digilab) ontwikkeld.

Achtergrond

Her en der zijn er diverse definities in gebruik voor de begrippen identificatie, authenticatie en autorisatie. Voor het federatief datastelsel is ooit de technische functie identificatie, authenticatie en logging (beveiligings- en veranwoordingsfunctie) benoemd.

FDS context & positionering

Voor het federatief datastelsel gaat het als stelselfunctie om toegang tot data onder de juiste voorwaarden, de API van de service die data deelt met een bevragende toepassing, client. Het federatief datastelsel voorziet ook op dit vlak in afspraken en standaarden.

De voorwaarden die van toepassing zijn bestaan uit het FDS afsprakenkader dat eventueel is aangevuld met (sector) specifieke voorwaarden. Hierin zijn voorwaarden beschreven bij het gebruiksdoel en de technische voorwaarden. Met de [in- en overzicht stelselfunctie] (welke functie is dit precies?) weten gebruikers wat deze voorwaarden zijn.

Aansluitend op de toegang zijn er technische functies voor monitoring en logging voorzien passend bij de organisatorische functies van poortwachter en toezichthouder in het federatieve stelsel. Toegang onder de juiste voorwaarden qua beveiliging en verantwoording is hiermee mogelijk.

Zie ook Position paper Policy Based Access Control.

Inhoudelijke verdieping

Identificatie en authenticatie

Voor het delen van data is identificatie van de aanbieder en afnemer nodig. Het digitale identiteitenbeheer van personen en organisaties (natuurlijke en niet-natuurlijke personen) is een vraagstuk op zich.

Voor het FDS gaan we er vanuit dat een partij beschikt over een middel dat een digitale identiteit aantoont. De authenticatie betreft de verificatie hiervan. Vervolgens is het middel in te zetten om te komen tot het wederzijds veilig opzetten van een verbinding voor de uitwisseling van data.

Delegatie

Het kan zijn dat een bevragende toepassing werkt met een gedelegeeerde toegangsfunctie. In een dergelijk geval bevraagt de toepassing namens een bepaalde partij anders dan eigenaar een service. Die partij verleent de toepassing de bevoegdheid voor de bevraging.

Autorisatie met verantwoording

Kernelement van het federatief datastelsel is dat datagebruik in overeenstemming is met publieke waarden. Het stelsel voorziet in gecontroleerde toegang tot gevoelige data. Voor het toegang bieden en afnemen van data die niet gevoelig zijn, volstaan veelal algemene toegangsregels, bijvoorbeeld bij een aanbieder van open data.

Het bijpassende beleid dat bij een aanbieder en afnemer het gebruik bepaalt, de rechten van gebruik toekent vormt de autorisatie. Dit is direct verbonden met de voorwaarden die van toepassing zijn voor de betreffende data.

Logging die hier zo mogelijk een rol bij speelt met oog op verantwoording is bij zowel afnemer als aanbieder aanwezig (afhankelijk van de voorwaarden, gevoeligheid van data).

Aan de kant van de afnemer ligt de verantwoordelijkheid om goed om te gaan met de data, bijvoorbeeld om er voor te zorgen dat een eindgebruiker van een toepassing binnen een aangegeven doelbinding blijft.

Standaardisatie

Een standaard waarmee in het FDS toegang langs deze route is in te regelen is de Federatieve Service Connectiviteit Standaard.

Laatst gewijzigd September 30, 2024: opsplitsing stelselfuncties (e9ba45b)