Geïntegreerd elektronisch gebruikers- en toegangsbeheer in de sociale en gezondheidssector op basis van de elektronische identiteitskaart frank.robben@ksz.fgov.be.

Presentatie over: "Geïntegreerd elektronisch gebruikers- en toegangsbeheer in de sociale en gezondheidssector op basis van de elektronische identiteitskaart frank.robben@ksz.fgov.be."— Transcript van de presentatie:

1 Geïntegreerd elektronisch gebruikers- en toegangsbeheer in de sociale en gezondheidssector op basis van de elektronische identiteitskaart

2 Algemeen overzicht 3 doelgroepen verschillende aspecten burgers
beroepsbeoefenaars ondernemingen en hun dienstverleners verschillende aspecten gebruikersbeheer registratie van de identiteit authenticatie van de identiteit registratie van kenmerken en mandaten verificatie van kenmerken en mandaten toegangsbeheer registratie van autorisaties verificatie van autorisaties

3 Gebruikersbeheer: begrippen
identiteit een uniek nummer of een reeks attributen van een entiteit (natuurlijke persoon, onderneming, vestiging van een onderneming, …) die toelaten om eenduidig te weten wie de entiteit is een entiteit heeft één en slechts één identiteit kenmerk een attribuut van een entiteit, ander dan de attributen die de identiteit van de entiteit bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie, ... een entiteit kan verschillende kenmerken hebben

4 Gebruikersbeheer: begrippen
mandaat een recht verstrekt door een geïdentificeerde entiteit aan een andere geïdentificeerde entiteit om in zijn naam en voor zijn rekening welbepaalde (juridische) handelingen te stellen een entiteit kan aan één of meerdere entiteiten één of meerdere mandaten verstrekken registratie het proces waarbij de identiteit van een entiteit, een kenmerk van een entiteit of een mandaat met een voldoende zekerheid wordt vastgesteld vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd

5 Gebruikersbeheer: begrippen
authenticatie van de identiteit het proces waarbij wordt nagegaan of de identiteit die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, de juiste identiteit is de authenticatie van de identiteit kan geschieden op basis van een controle van kennis (vb. een paswoord) bezit (vb. een certificaat op een elektronisch leesbare kaart) biometrische eigenschap(pen) een combinatie van één of meerdere van deze middelen

6 Gebruikersbeheer: begrippen
verificatie van een kenmerk of een mandaat het proces waarbij wordt nagegaan of een kenmerk of mandaat die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, effectief een kenmerk of een mandaat van deze entiteit is de verificatie van een kenmerk of een mandaat kan geschieden op basis van dezelfde soort middelen als deze gebruikt voor de authenticatie van de identiteit na authenticatie van de identiteit van een entiteit, door de raadpleging van een gegevensbank (authentieke bron) waarin kenmerken of mandaten m.b.t. een geïdentificeerde entiteit worden opgeslagen

7 Toegangsbeheer: begrippen
autorisatie de toelating voor een entiteit om een welbepaalde verwerking te verrichten of een welbepaalde dienst te gebruiken autorisatiegroep een groep van autorisaties rol een groep van autorisaties of autorisatie-groepen gerelateerd aan een welbepaalde dienst role based access control (RBAC) methode waarbij de toewijzing van autorisaties aan entiteiten geschiedt via autorisatiegroepen en rollen, om het beheer van de autorisaties en de toewijzing ervan aan entiteiten administratief te vereenvoudigen Autorisatie Entiteit Rol Dienst (groep)

8 EID EID kan worden gebruikt voor nog nood aan
elektronische identificatie en authenticatie van de identiteit van de houder elektronische handtekening van de houder nog nood aan een oplossing voor de elektronische identificatie en authenticatie van de identiteit van de personen die geen houder zijn van een EID (bvb. personen die niet in de Belgische bevolkingsregisters ingeschreven zijn, kinderen jonger dan 12 jaar, …) aanvullingen voor een volledig, geïntegreerd gebruikers- en toegangsbeheer, bvb. verificatie van relevante kenmerken van een persoon verificatie van een mandaat tussen een rechtspersoon of natuurlijke persoon waarop een elektronische dienst betrekking heeft en de persoon die deze dienst gebruikt autorisaties tot het gebruik van de diensten

9 Policy enforcement model
Actie op toepassing Actie GEWEIGERD Policy op toepassing Gebruiker Toepassing Toepassing TOEGESTAAN ( PEP ) Actie op toepassing Beslissings Beslissings aanvraag antwoord Informatie vraag / Ophalen Policy antwoord policies Beslissing ( PDP ) Informatie Vraag / Antwoord Autorisatie beheer Policy Administratie Policy Informatie Policy Informatie ( PAP ) ( PIP ) ( PIP ) Beheerder Policy Authentieke bron Authentieke bron repository

10 Policy Enforcement Point (PEP)
onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen toegang verlenen tot de toepassing en relevante credentials meegeven Actie op toepassing Actie GEWEIGERD Policy op Gebruiker Toepassing toepassing TOEGESTAAN Toepassing Actie ( PEP ) op toepassing Beslissings Beslissings aanvraag antwoord Policy Beslissing ( PDP )

11 Policy Decision Point (PDP)
op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP) de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP) de autorisatiebeslissing (permit/deny/not applicable) nemen en doorsturen naar het PEP Policy Toepassing ( PEP ) Beslissings Beslissings aanvraag antwoord Informatie Policy Vraag / Ophalen Antwoord Policies Beslissing ( PDP ) Informatie Vraag / Antwoord Policy Administratie Policy Informatie Policy Informatie ( PAP ) ( PIP ) ( PIP )

12 Policy Administration Point (PAP)
omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing ter beschikking stellen van de autorisation policies aan het PDP Autorisatie Ophalen beheer PAP Policies PDP Beheerder Policy repository

13 Policy Information Point (PIP)
ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten, …) Informatie Vraag/ PDP Antwoord Informatie Vraag/ Antwoord PIP 1 PIP 2 Authentieke bron Authentieke bron

14 Architectuur Be-Health Sociale sector (KSZ) Niet-sociale FOD’s (Fedict) USER USER USER APPLICATIONS APPLICATIONS APPLICATIONS Role Mapper DB PDP Provider PIP Attribute RIZIV XYZ WebApp Beheer GAB Authen - Authorisation Authen - Authorisation Authen - Authorisation tication PEP tication PEP WebApp tication PEP WebApp Role Role XYZ Role XYZ Mapper Mapper Mapper Role Role Mapper Mapper DB DB PAP PDP Role PDP PAP Role PAP Provider ‘’Kephas’’ Role Provider ‘’Kephas’’ Role Provider DB ‘’Kephas’’ Provider DB PIP PIP PIP PIP PIP PIP Attribute Attribute Attribute Attribute Attribute Attribute Provider Provider Provider Provider Provider Provider Provider DB DB Beheer DB DB Beheer Mandaten Mandaten UMAF DB Gerechts- deurwaar- ders DB XYZ GAB XYZ XYZ GAB

15 Platform met basisdiensten
Be-Health platform Patiënten en zorgverstrekkers PortaHealth SVA DTW Portaal SZ SVA SVA SVA DTW Portaal RIZIV Portal BeHealth MyCareNet SVA FOD-SZ SVA DTW SVA SVA DTW SVA SVA SVA DTW Gebruikers Be- Health Platform met basisdiensten GAB GAB GAB GAB GAB GAB Leveranciers

16 Be-Health platform basisdienst dienst met toegevoegde waarde (DTW)
een dienst ontwikkeld en ter beschikking gesteld door Be-Health, die door de aanbieder van een dienst met toegevoegde waarde kan worden gebruikt bij het ontwikkelen en aanbieden van een dienst met toegevoegde waarde dienst met toegevoegde waarde (DTW) een dienst die ter beschikking wordt gesteld van de patiënten en/of van de zorgverstrekkers de instantie die instaat voor de ontwikkeling en de terbeschikkingstelling van een dienst met toegevoegde waarde kan hiertoe gebruik maken van de basisdiensten aangeboden door Be-Health

17 Be-Health platform gevalideerde authentieke bron (GAB)
een gegevensbank met informatie waarop Be-Health een beroep doet de beheerder van de gegevensbank is verantwoordelijk voor de beschikbaarheid en de (organisatie van de) kwaliteit van de ter beschikking gestelde informatie

18 Beschikbare basisdiensten
netwerk, gebaseerd op bestaande infrastructuur (internet, Carenet, extranet sociale zekerheid, FedMAN, …) portaalomgeving ( met o.a. content management system zoekmotor orchestratie van processen persoonlijke elektronische brievenbus voor elke zorgverstrekker geïntegreerd gebruikers- en toegangsbeheer beheer van loggings time stamping

19 Portaal

20 Portaal

21 Gevalideerde authentieke bronnen
kadaster van de zorgverstrekkers beheerder: FOD Volksgezondheid bevat informatie over het diploma en de specialiteit van een zorgverstrekker geïdentificeerd aan de hand van zijn identificatienummer sociale zekerheid (INSZ) gegevensbank met de RIZIV-erkenningen beheerder: RIZIV bevat informatie over de erkenning door het RIZIV van een zorgverstrekker geïdentificeerd aan de hand van zijn INSZ gegevensbank met de personen die gemandateerd zijn om op te treden namens een zorginstelling beheerder: RSZ (onderdeel gebruikersbeheer ondernemingen) bevat informatie over welke personen geïdentificeerd aan de hand van hun INSZ gemandateerd zijn om namens een zorginstelling welke toepassingen te gebruiken

22 Voorziene diensten toegevoegde waarde
elektronische overmaking, door de verplegers, hun groeperingen en mandatarissen van hun facturen derde betaler aan de ziekenfondsen Medic-e: elektronische inbreng van de evaluatie van gehandicapten in het informatiesysteem van de FOD Sociale Zekerheid elektronische inbreng van gegevens in het Kankerregister Medattest: elektronische bestelling, door artsen, tandartsen, kinesisten, verplegers, logopedisten, orthopedisten, zorginstellingen en hun mandatarissen, van zorgvoorschriften ondersteuning elektronisch zorgvoorschrift in ziekenhuizen elektronische geboorte-aangifte door ziekenhuizen …

23 Burgers Niv Registratie identiteit burgers Authenticatie Toepassingen
geen openbare info/diensten 1 on line door ingave Rijksregisternummer, nummer identiteitskaart en nummer SIS-kaart gebruikersnummer en paswoord gekozen door gebruiker info/diensten van lage gevoeligheid 2 niveau 1 + verzending met activerings-url naar door burger opgegeven adres en verzending papieren token naar hoofdverblijfplaats burger in Rijksregister niveau 1 + ingave van 1 willekeurig gevraagde letterreeks vermeld op het token (bevat 24 letterreekss) info/diensten van gemiddelde gevoeligheid 3 fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID + paswoord per sessie info/diensten van hoge gevoeligheid 4 authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie diensten die elektronische handtekening vereisen

24 EID

25 Burgertoken

26 Burgers een burger krijgt op heden enkel toegang tot
openbare informatie en diensten niet-openbare diensten m.b.t. zichzelf dus enkel nood aan registratie van de identiteit authenticatie van de identiteit op een niveau aangepast aan de graad van gevoeligheid van de dienst (vooralsnog) geen verificatie van kenmerken verificatie van mandaten

27 Beroepsbeoefenaars wie ?
medewerkers van overheidsdiensten of instellingen van sociale zekerheid vrije beroepen: zorgverstrekkers (artsen, apothekers, …), notarissen, gerechtsdeurwaarders, boekhouders, … ... registratie en authenticatie van de identiteit zie burgers voor medewerkers van overheidsdiensten wordt bij niveau 2 het token evenwel opgestuurd naar de veiligheidsconsulent van de overheidsdienst waarvan de betrokkene een medewerker is en door die veiligheidsconsulent aan de medewerker overhandigd

28 Beroepsbeoefenaars registratie van kenmerken en mandaten
aanduiding door de overheid, per soort van beroepsbeoefenaar, van een instantie die met voldoende zekerheid het kenmerk of het mandaat kan vaststellen ingave van het kenmerk of mandaat door de betrokken instantie in een authentieke bron (PIP) toegankelijk voor alle belanghebbenden verificatie van kenmerken en mandaten raadpleging van de authentieke bron (PIP) toegankelijk voor alle belanghebbenden indien gebruik van het token, ook willekeurig gevraagde letterreeks vermeld op het token

29 Registratie identiteit Authenticatie identiteit
Ondernemingen Niv Registratie identiteit mandaathouders van ondernemingen Authenticatie identiteit Toepassingen geen openbare info/diensten 1 lokale beheerder: brief aan de RSZ vanwege de onderneming waarvoor de betrokkene als lokale beheerder optreedt andere medewerkers: validatie door de lokale beheerder gebruikersnummer en paswoord info/diensten van lage en gemiddelde gevoeligheid 2 fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID + paswoord per sessie info/diensten van hoge gevoeligheid 3 authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie diensten die elektronische handtekening vereisen

30 Registratie mandaten ondernemingen
voor alle belanghebbenden toegankelijke authentieke bron (PIP) bij de RSZ met per onderneming, mandaat van lokale beheerder om namens de onderneming gebruik te maken van bepaalde info/diensten per onderneming, eventueel mandaat van dienstverlener (erkend sociaal secretariaat of andere dienstverlener) om namens onderneming gebruik te maken van bepaalde info/diensten per dienstverlener, mandaat van lokale beheerder om namens dienstverlener gebruik te maken van bepaalde info/diensten mogelijkheid voor lokale beheerders om per cluster van info/diensten sub-lokale beheerder(s) aan te duiden mogelijkheid voor (sub-)lokale beheerders van ondernemingen/ dienstverleners om mandaten toe te kennen aan andere aangestelden van een onderneming/dienstverlener om namens onderneming/ dienstverlener gebruik te maken van bepaalde info/diensten

31 Registratie mandaten ondernemingen
voorziene evolutie uitbreiding toepassingsgebied tot alle ondernemingen en dienstverleners (was oorspronkelijk beperkt tot werkgevers) mogelijkheid tot elektronische registratie van het mandaat van de lokale beheerder van een onderneming/dienstverlener op basis van een elektronische handtekening van de persoon die bevoegd is om de onderneming/dienstverlener te verbinden aanpassing aan nieuwe behoeften van onderscheiden belanghebbenden onder coördinatie van een gebruikersgroep

32 Autorisaties registratie verificatie
ingave in een authentieke bron van autorisaties (PAP) door de aanbieder van de elektronische dienst, met specificatie van welke verwerkingen mogen worden verricht m.b.t. welke diensten onder welke voorwaarden (bvb. kenmerken, mandaten, …) gedurende welke tijdsperiode bepaalde entiteiten (vb. lokale beheerders) kunnen de aan hen toegekende autorisaties verder toekennen aan entiteiten die zij aanduiden door ingave in een authentieke bron van autorisaties (PAP) verificatie raadpleging van de relevante authentieke bronnen van autorisaties (PAP)

33 Enkele cijfers beschreven gebruikers- en toegangsbeheers-systeem werd in de sociale sector in 2006 gebruikt bij 511 miljoen elektronische transacties door zowat professionals in de sociale sector aan de hand van 190 soorten elektronische diensten 17,9 miljoen elektronische transacties door zowat werkgevers en hun dienstverleners aan de hand van 40 soorten elektronische diensten elektronische transacties door de burgers aan de hand van 3 soorten elektronische diensten

34 Welk veiligheidsniveau kiezen ?
verantwoordelijkheid van de aanbieder van een elektronische dienst onder toezicht van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer gebaseerd op risico-analyse en afhankelijk van o.a. soort verwerking: mededeling, raadpleging, wijziging, … personeel toepassingsgebied van de dienst: verwerking van de gegevens van enkel de gebruiker of ook van andere personen vertrouwelijkheidsgraad van de soorten verwerkte gegevens mogelijke impact van de verwerking bovenop het gewenste beveiligingsniveau kan het gebruik van de elektronische handtekening ook worden vereist om de aanbieder tegen elke latere betwisting te behoeden in sociale sector: beslissing door Beheerscomité van de Kruispuntbank van de Sociale Zekerheid, neergelegd in een gebruikersreglement

35 Cirkels van vertrouwen
doel vermijden van onnodige centralisatie vermijden van onnodige bedreigingen voor de persoonlijke levenssfeer vermijden van meervoudige identieke controles en opslag van loggings

36 Cirkels van vertrouwen
methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld wie welke loggings bijhoudt hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt

37 SIS-kaart en EID geleidelijke vervanging van de functies van de SIS-kaart de functie van elektronische identificatie wordt overgenomen door de elektronische identiteitskaart na de algemene uitreiking ervan de functie van bewijs van de verzekerbaarheid in de sector van de gezondheidszorg wordt overgenomen door een beveiligde on line toegang van de zorgverstrekkers tot de verzekerbaarheidsgegevens van hun patiënten beschikbaar bij de ziekenfondsen, met gebruik van de elektronische identiteitskaart of een ander instrument als middel voor de identificatie van de patiënt met een elektronische identificatie en authenticatie van de zorgverstrekkers

38 SIS-kaart en EID behoud van de SIS-kaart of van een gelijkwaardige oplossing voor de identificatie van de sociaal verzekerden die niet over een elektronische identiteitskaart beschikken (sociaal verzekerden die niet in België verblijven, kinderen jonger dan 12 jaar, …) alvast update van de leesapparatuur van de SIS-kaart opdat ze kan gebruikt worden om de elektronische identiteitskaart te lezen

39 Transnationale aspect
grote nood om de identiteit, de kenmerken en de mandaten van buitenlandse natuurlijke personen, rechtspersonen en feitelijke verenigingen op een elektronische wijze te kennen en te kunnen authentiseren grote nood aan uitvoering van de doelstelling en de eraan gerelateerde acties uit de interministeriële verklaring inzake E-government in de EU van 24 november 2005

40 Interministeriële verklaring
“By 2010 European citizens and business shall be able to benefit from secure means of electronic identification that maximise user convenience while respecting data protection regulations. Such means shall be made available under the responsibility of the Member States but recognised across the EU.”

41 Interministeriële verklaring
“Member States will, during 2006, agree a process and roadmap for achieving the electronic identity objectives and address the national and European legal barriers to the achievement of the electronic identity objectives; work in this area is essential for public administrations to deliver personalised electronic services with no ambiguity as to the user’s identity.” “Member States will, over the period , work towards the mutual recognition of national electronic identities by testing, piloting and implementing suitable technologies and methods.”

42 Voorstel van werkmethode
methode van de open coördinatie de lidstaten en de Europese Commissie stellen gemeenschappelijke doelstellingen vast en een planning om de doelstellingen te bereiken elke lidstaat rapporteert periodiek aan de Europese Commissie over de nationale stand van zaken inzake de mate waarin de gemeenschappelijke doelstellingen zijn bereikt de Europese Commissie maakt een grondige synthese van de nationale rapporten en doet, zo nodig, op basis van de aanbevelingen van de lidstaten, voorstellen om de doelstellingen bij te sturen de Europese Commissie organiseert de uitwisseling van best practices tussen de lidstaten

43 Voorstel van doelstellingen
op internationaal vlak worden authenticatieniveaus inzake de identiteit, de kenmerken en de mandaten vastgelegd elke land beschikt over registratieprocedures om de identiteit van natuurlijke personen die op hun grondgebied verblijven, vast te stellen in functie van de internationaal vastgelegde authenticatieniveaus elk land beschikt over registratieprocedures om de identiteit van rechtspersonen en feitelijke verenigingen die op hun grondgebied gevestigd zijn, vast te stellen in functie van de internationaal vastgelegde authenticatieniveaus

44 Voorstel van doelstellingen
elk land stelt aan elke natuurlijke persoon, elke rechtspersoon en elke feitelijke vereniging waarvan de identiteit is vastgesteld overeenkomstig de registratieprocedures een middel ter beschikking aan de hand waarvan de betrokkene zijn identiteit, al dan niet in een bepaalde context, lokaal en op afstand, mondeling, visueel en elektronisch kenbaar kan maken en bewijzen op het grondgebied van het betrokken land, zonder dat zijn identiteit kan worden verward met de identiteit van een andere natuurlijke persoon, rechtspersoon of feitelijke vereniging in dat land

45 Voorstel van doelstellingen
elk land beschikt over registratieprocedures om de soorten kenmerken die worden aangeduid door een bevoegd internationaal orgaan, vast te stellen in functie van de internationaal vastgelegde authenticatieniveaus elk land beschikt over registratieprocedures om het mandaat van een natuurlijk persoon om een rechtspersoon of een feitelijke vereniging te vertegenwoordigen en de andere soorten mandaten die worden aangeduid door een internationaal bevoegd orgaan vast te stellen in functie van de internationaal vastgelegde authenticatieniveaus

46 Voorstel van doelstellingen
elk land beschikt over de nodige systemen om de kenmerken en mandaten van natuurlijke personen, rechtspersonen en feitelijke verenigingen die volgens de registratieprocedures zijn vastgesteld, al dan in een bepaalde context, lokaal en op afstand, mondeling, visueel en elektronisch kenbaar te maken en te bewijzen op het grondgebied van het betrokken land, hetzij met toestemming van de betrokkene, hetzij in uitvoering van een wets- of reglementsbepaling

47 Voorstel van doelstellingen
onder coördinatie van de Europese Commissie werken de lidstaten van de EU standaarden en specificaties uit om de semantische en technische interoperabiliteit te waarborgen van middelen voor het elektronisch kenbaar maken en bewijzen van de identiteit, van kenmerken en van mandaten door of m.b.t. natuurlijke personen, rechtspersonen en feitelijke verenigingen op het grondgebied van de andere lidstaten

48 Besluit geïntegreerd basissysteem voor gebruikers- en toegangsbeheer voor burgers, beroepsbeoefenaars en ondernemingen bestaat met gecoördineerde toewijzing van taken aan meest geschikte partners toegankelijk via open standaarden systeem laat gebruik van basisdiensten toe zonder verlies van autonomie systeem is beschikbaar voor gebruik door andere belanghebbenden en kan verder evolueren volgens de behoeften van de gebruikers => meld u aub !

49 Voor meer informatie persoonlijke website Frank Robben
website Kruispuntbank van de Sociale Zekerheid portaal van de sociale zekerheid portaal Be-Health website Federale Overheidsdienst Informatie- en Communicatietechnologie (Fedict) elektronische identiteitskaart

50 u ! Vragen ?