De aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens het principe van de cirkels van vertrouwen Frank Robben

Documentatie CBPL-aanbeveling nr. 01/2008 (24/09/08) – Commission/2008/aanbeveling_01_2008.pdf CBPL-aanbeveling nr. 03/2010 (09/06/10) – Commission/2010/aanbeveling_03_2010.pdf

Probleemstelling elektronische dienstverlening biedt de mogelijkheid om een zicht te krijgen op (soms gevoelige) persoonsgegevens er moet worden gewaarborgd dat enkel bevoegde personen toegang kunnen krijgen er moet worden gewaarborgd dat de bevoegde personen enkel de handelingen kunnen stellen waartoe ze gerechtigd zijn

Oplossing uitbouw van een gecoördineerd systeem van gebruikers- en toegangsbeheer bij voorkeur gebaseerd op –de elektronische identiteitskaart (eID) –gevalideerde en gedistribueerde databanken (authentieke bronnen)

Verschillende aspecten gebruikersbeheer –registratie van de identiteit –identificatie –authenticatie van de identiteit –registratie van kenmerken en mandaten –verificatie van kenmerken en mandaten toegangsbeheer –registratie van autorisaties –verificatie van autorisaties

Terminologie (1/4) identiteit –een uniek nummer of een reeks attributen van de gebruiker (natuurlijke persoon, onderneming, vestiging van onderneming,…) die toelaten om eenduidig te weten wie de gebruiker is –een entiteit heeft één en slechts één identiteit kenmerk –een attribuut van een gebruiker, ander dan de attributen die de identiteit van de gebruiker bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie,... –een gebruiker kan verschillende kenmerken hebben

Terminologie (2/4) mandaat –een recht verstrekt door een geïdentificeerde gebruiker aan een andere geïdentificeerde gebruiker om in zijn naam en voor zijn rekening welbepaalde (juridische) handelingen te stellen –een gebruiker kan aan één of meerdere gebruikers één of meerdere mandaten verstrekken registratie –het proces waarbij de identiteit van een gebruiker, een kenmerk van een gebruiker of een mandaat van een gebruiker met voldoende zekerheid wordt vastgesteld vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd

Terminologie (3/4) authenticatie van de identiteit van de gebruiker –het proces waarbij wordt nagegaan of de identiteit die een gebruiker beweert te hebben om gebruik te kunnen maken van een elektronische dienst de juiste identiteit is –kan gebeuren op basis van een controle van kennis (vb. een paswoord) bezit (vb. een certificaat op een elektronisch leesbare kaart) biometrische eigenschap(pen) een combinatie van één of meerdere van deze middelen

Terminologie (4/4) verificatie van een kenmerk of een mandaat –het proces waarbij wordt nagegaan of een kenmerk of mandaat dat een gebruiker beweert te hebben om gebruik te kunnen maken van een elektronische dienst effectief een kenmerk of een mandaat van deze gebruiker is –kan gebeuren op basis van dezelfde soort middelen als deze voor authenticatie van de identiteit na authenticatie van de identiteit van een gebruiker door de raadpleging van een authentieke bron met kenmerken of mandaten aangaande een geïdentificeerde entiteit autorisatie –de toelating voor een gebruiker om een welbepaalde verwerking te verrichten of een welbepaalde dienst te gebruiken

Registratie goede registratie van identiteit, relevante kenmerken en relevante mandaten vormt de grondslag van het systeem –toepassen van het gebruikers- en toegangsbeheer houdt in dat de identiteit, relevante kenmerken en relevante mandaten van de gebruiker kunnen worden gecontroleerd aan de hand van betrouwbare bronnen geregistreerde informatie moet permanent geactualiseerd worden –wijzigingen van kenmerken en mandaten kunnen een invloed hebben op de toegangsrechten van de gebruiker

Authenticatie van de identiteit bij voorkeur aan de hand van de eID voordelen van de eID –combineert het bezit van een specifiek document met het beschikken over bepaalde kennis (pincode) –wettelijk beschermd officieel document –uitgereikt door de overheid –verlies/diefstal zal snel worden opgemerkt door de rechtmatige bezitter –vinder/dief kan eID niet gebruiken zonder kennis van de pincode –elektronische functies kunnen worden geschorst of ingetrokken bij aangifte van verlies/diefstal

Verificatie kenmerken en mandaten kan niet aan de hand van de eID want die is enkel een instrument van identificatie en authenticatie van de identiteit moet dus gebeuren langs andere kanalen –niet wenselijk om te vertrouwen op niet-gevalideerde informatie verstrekt door de gebruiker zelf –elementen moeten kunnen worden gecontroleerd door een bron die waarborgen biedt inzake correctheid en actualiteit –beheerder van de gevalideerde authentieke bron is verantwoordelijk voor de beschikbaarheid en de kwaliteit van de geregistreerde informatie

Verificatie kenmerken en mandaten inventaris van gevalideerde authentieke bronnen is cruciaal voorbeelden –Kruispuntbank van Ondernemingen –kadaster van zorgverstrekkers (FOD Volksgezondheid) –databank RIZIV-erkenningen –databanken gereglementeerde beroepen advocaten, notarissen, gerechtsdeurwaarders bij gebrek aan een bestaande gevalideerde authentieke bron moet worden nagegaan waar eventueel informatie beschikbaar is –die bron kan dan eventueel het statuut van gevalideerde authentieke bron krijgen

Toegangsbeheer sluitstuk van het gebruikers- en toegangsbeheer bestaat uit registratie en verificatie –registratie van autorisaties impliceert het ingeven van autorisaties in een authentieke bron door de aanbieder van een elektronische dienst met specificatie van welke verwerkingen mogen worden verricht m.b.t. welke diensten onder welke voorwaarden gedurende welke tijdsperiode –verificatie van autorisaties impliceert de raadpleging van de relevante authentieke bronnen van autorisaties

Cirkels van vertrouwen een efficiënt gebruikers- en toegangsbeheer (wie heeft toegang tot wat) veronderstelt samenwerking tussen de verschillende “schakels” in de “ketting” doel –vermijden van onnodige centralisatie –vermijden van onnodige bedreigingen voor de persoonlijke levenssfeer –vermijden van meervoudige identieke controles en opslag van loggings

Cirkels van vertrouwen methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake –wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is –hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld –wie welke loggings bijhoudt –hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controleorgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt

Voorbeeld artikel 6 wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfs- documenten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen de houder van de eID heeft recht op kennisname van alle instanties die gedurende de laatste zes maanden zijn gegevens bij het Rijksregister hebben geraadpleegd

Voorbeeld om aan het verzoek van de houder van de eID tegemoet te komen, is het vereist dat wordt bijgehouden wie het Rijksregister heeft geraadpleegd moet het Rijksregister echter zelf op de hoogte zijn van de identiteit van de eindgebruiker of volstaat het dat een andere instantie die informatie bijhoudt?

Voorbeeld binnen de sociale zekerheid –het Rijksregister weet enkel dat er een raadpleging vanuit het netwerk van de sociale zekerheid is geweest –de KSZ weet enkel dat er via een instelling van sociale zekerheid uit haar primair netwerk een raadpleging is geweest –de instelling van sociale zekerheid uit het primair netwerk weet in voorkomend geval enkel welke instelling van sociale zekerheid uit haar secundair netwerk een raadpleging heeft verricht –het is enkel de raadplegende instelling van sociale zekerheid die kennis heeft van de identiteit van de natuurlijke persoon (medewerker) die de raadpleging concreet heeft verricht

Voorbeeld standpunt CBPL –bij onrechtstreekse raadpleging (bv. via de KSZ) stelt zich de vraag of de informatie m.b.t. de eindbestemmeling door het Rijksregister moet bijgehouden worden –de CBPL stelt vast dat de wet van 19 juli 1991 dit niet oplegt –de CBPL merkt op dat het Rijksregister daardoor zelfs in bepaalde gevallen toegang zouden kunnen krijgen tot gevoelige informatie over de betrokken personen (bv. de naam van het ziekenfonds waarbij zij aangesloten zijn) –het opslaan van de identiteit van de eindgebruiker van een raadpleging van het Rijksregister door het Rijksregister zelf houdt een onnodige schending van de persoonlijke levenssfeer in en is disproportioneel in het licht van de “circles of trust”

Gebruiker Policy Toepassing (PEP) Toepassing Policy Beslissing(PDP) Actie op toepassing Beslissings aanvraag Beslissings antwoord Actie op toepassing TOEGESTAAN Policy Informatie (PIP) Informatie Vraag/ Antwoord Policy Administratie (PAP) Ophalen policies Authentieke bron Policy Informatie (PIP) Informatie vraag/ antwoord Policy repository Actie op toepassing GEWEIGERD Beheerder Autorisatie beheer Authentieke bron Policy enforcement model

Policy Enforcement Point (PEP) onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen toegang verlenen tot de toepassing en relevante credentials meegeven Gebruiker Policy Toepassing (PEP) Toepassing Policy Beslissing(PDP) Actie op toepassing Beslissings aanvraag Beslissings antwoord Actie op toepassing TOEGESTAAN Actie op toepassing GEWEIGERD

Policy Decision Point (PDP) op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP) de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP) de autorisatiebeslissing nemen en doorsturen naar het PEP Policy Toepassing (PEP) Policy Beslissing(PDP) Beslissings aanvraag Beslissings antwoord Policy Informatie (PIP) Vraag / Antwoord Policy Administratie (PAP) Ophalen Policies Policy Informatie (PIP) Informatie Vraag/ Antwoord Informatie

Policy Administration Point (PAP) omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing ter beschikking stellen van de autorisation policies aan het PDP PDP PAP Ophalen Policies Beheerder Autorisatie beheer Policy repository

Policy Information Point (PIP) ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten,…) PDP PIP1 Informatie Vraag/ Antwoord Authentieke bron PIP2 Authentieke bron Informatie Vraag/ Antwoord