Voorstellen inrichting geïntegreerd toezicht Logius
Download
Report
Transcript Voorstellen inrichting geïntegreerd toezicht Logius
Programmabureau
eID
Directoraat-Generaal
Project
Wonen,Toezicht
Bouwen en
Integratie
Contactpersoon
Nanke Asjes
Voorstellen inrichting geïntegreerd toezicht
Logius programma eID
T 06-21162302
E [email protected]
www.eid-stelsel.nl
Datum
12 oktober 2014
Aantal pagina's
29
Versiegeschiedenis:
Versie
Datum
0.2
15 aug 2014
Geadresseerden
Aanpassingen
Eerste versie
0.3
22 aug 2014
Bijgesteld n.a.v. review
werkgroepen
04
27 aug 2014
Bijgesteld n.a.v. review
Mirjam Gerritsen
05
2 sept 2014
Bijgesteld n.a.v. reviewronde
werkgroepen
06
9 sept 2014
Bijgesteld n.a.v. review Paul
van der Pal
07/08
12 okt 2014
Bijgesteld n.a.v. review
Versiebeheer: op de definitieve versies van dit document is versiebeheer van toepassing.
Definitieve versies hebben een geheel getal als nummer.
Verantwoordelijk programmamanagement
Carlo Koch, Gerrit Jan van ‘t Eind
Concipiënt
Bart Schmidt
Versie
Status
Titel
Datum
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Inhoud
Inhoud .................................................................................................................... 2
1
2
Inleiding ......................................................................................................... 4
1.1
Aanleiding en context .......................................................................... 4
1.2
Uitgangspunten ...................................................................................... 4
1.3
Afbakening ............................................................................................... 5
1.4
Gevolgde aanpak ................................................................................... 5
1.5
Lees Wijzer ............................................................................................... 5
Scope van het geïntegreerde toezicht ......................................... 6
2.1
Inleiding .................................................................................................... 6
2.2
Afbakening van de integratie van het toezicht........................... 6
2.3
Afbakening van het toezicht op het eID Stelsel ......................... 6
3 Het bestaande toezicht op eHerkenning, DigiD en
PKIoverheid ........................................................................................................ 8
3.1
Inleiding .................................................................................................... 8
3.2 Het bestaande toezichtarrangement Afsprakenstelsel
eHerkenning ....................................................................................................... 8
3.2.1 Hoe wordt toezicht gehouden? .................................................. 8
3.2.2 Op basis van wat wordt toezicht gehouden? ....................... 9
3.2.3 Nalevingsaspecten ....................................................................... 10
3.3 Het bestaande toezichtarrangement PKIoverheid .................. 10
3.3.1 Hoe wordt toezicht gehouden? ................................................ 11
3.3.2 Op basis van wat wordt toezicht gehouden? ..................... 12
3.3.3 Nalevingsaspecten ....................................................................... 13
3.4 Het bestaande toezichtarrangement DigiD ................................ 13
3.4.1 Inleiding: drie te onderscheiden elementen van de DigiD
voorziening .................................................................................................... 13
3.4.2 Hoe wordt toezicht gehouden? ................................................ 14
3.4.3 Op basis van wat wordt toezicht gehouden? ..................... 14
3.4.4 Nalevingsaspecten ....................................................................... 15
4
5
Contouren van het geïntegreerde toezicht eID Stelsel .... 16
4.1
Inleiding .................................................................................................. 16
4.2
Hoe wordt toezicht gehouden ......................................................... 17
4.3
Op basis van wat wordt toezicht gehouden? ............................ 19
4.4
Nalevingsaspecten............................................................................... 21
Issues ............................................................................................................ 23
5.1
Fraudemanagement ............................................................................ 23
Pagina 2 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
5.2 Toezicht op naleving aansluitvoorwaarden,
gebruiksvoorwaarden ................................................................................... 24
5.3
eID Normenkaders en de nog ontbrekende producten eID 25
5.4
Issues naleving ..................................................................................... 25
6 BIJLAGE Samenvatting Rollen en Activiteiten in het
toezicht eID ....................................................................................................... 27
Pagina 3 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
1
Inleiding
1.1
Aanleiding en context
Met het oog op de voorgenomen pilots met eID medio 2015 is het
noodzakelijk het toezicht op het eID Stelsel in ieder geval voorlopig te
gaan invullen. De voorgestelde invulling van het toezicht moet worden
gezien als een eerste pragmatische stap die aangevuld en gewijzigd kan
en moet worden naarmate er meer elementen van het Stelsel eID
ingevuld worden.
In het document “Analyse bestaande toezicht arrangementen t.b.v.
aanpak inrichting toezicht eID Stelsel versie 10, 30 januari 2014”, is
weergegeven welke vragen er zijn met betrekking tot de inrichting van het
toezicht voor eID. Voor het beantwoorden van deze vragen is onderscheid
gemaakt tussen het onderzoek naar de gewenste eindsituatie vanuit het
nu bestaande en het uitwerken van de beleidsvragen. Het idee is dat er op
korte termijn een integratie van het toezicht van de bestaande
vertrouwensdiensten PKIoverheid, DigiD en eHerkenning tot stand kan
komen. Op langere termijn kan deze zich verder door ontwikkelen naar
een beleidsmatig gewenste situatie inclusief een wettelijke grondslag en
publiek toezicht. De reden hiervoor is dat het aanpassen van wetgeving en
het inrichten van onafhankelijk publiek toezicht tijd nodig heeft.
In de nota “Contouren toezicht” worden drie stappen onderscheiden:
1. geïntegreerd toezicht (integratie van het bestaande);
2. toezicht op eID Stelsel door onafhankelijke toezichthouder;
3. toezichthouder voor de digitale overheidsinfrastructuur.
In het plan van aanpak Geïntegreerd Toezicht Logius Programma eID (juli
2014), is aangegeven dat de voorstellen in dit document onderdeel zijn
van stap 1. Als onderdeel van stap 2 zal ook een risicoanalyse voor eID
worden gemaakt welke kan putten uit het resultaat van stap 1.
1.2
Uitgangspunten
De voorstellen in dit document zijn gericht op het inrichten van het
toezicht op de korte termijn, de periode waarin nog geen wettelijke kaders
voor het eID Stelsel en het toezicht daarop bestaat.
De beschrijving van het toezicht op het eID Stelsel voor de korte termijn
wordt opgehangen aan de kernrollen Eigenaar, Beheerorganisatie en
Toezichthouder. Deze rollen worden in het document verder uitgewerkt.
De voorstellen voor het toezicht zijn opgesteld met de volgende
uitgangspunten:
1. Governance van het eID Stelsel:
a. Er is een Eigenaar van het eID Stelsel bestaande uit één of
meer ministeries;
b. Er bestaat een Stelselraad voor inhoudelijke koers en
ontwikkeling van het stelsel;
c. Er bestaat een raad op Tactisch niveau die op basis van
risicoafweging besluit over wijzigingen in het stelsel;
d. Er bestaat een Beheerorganisatie die opdracht van de
Eigenaar de processen voor operatie en governance van
het Stelsel eID faciliteert.
Pagina 4 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
2. Het Afsprakenstelsel (AS) eHerkenning migreert in de loop van de
tijd naar het AS eID.
3. Het burgerdomein (DigiD) integreert met AS eID of krijgt nauwere
relaties hiermee.
4. Het geïntegreerde toezicht wordt met minimale lasten voor de
betrokkenen ingericht.
5. Het toezicht wordt gescheiden van het beheer.
6. Het toezicht op PKIoverheid wordt waar mogelijk geïntegreerd met
het toezicht op het AS eID (eHerkenning en DigiD).
Op basis van de bestaande toezichtarrangementen voor DigiD,
PKIoverheid en eHerkenning worden in dit document voorstellen gedaan
voor de korte termijn. Hierbij worden er geen nieuwe aspecten
geïntroduceerd voor de inrichting van het toezicht op eID.
1.3
Afbakening
De voorstellen voor een geïntegreerd toezicht in dit document worden
gedaan vanuit de bestaande elementen voor het toezicht op PKIoverheid,
DigiD en eHerkenning die herbruikbaar zijn voor het eID Stelsel. Waar dat
opportuun is worden voorstellen tot integratie gedaan. In een latere fase
van dit project volgt de uitwerking van de normenkaders die de basis zijn
voor het toezicht en wijze waarop de toetsing plaats moet vinden. Daar
waar er toezichtelementen ontbreken of belangrijke issues zijn
aangetroffen die een relatie hebben met het verwezenlijken van het
geïntegreerde toezicht worden deze geadresseerd.
De daadwerkelijke integratie van het toezicht volgt de eID
plateauplanning.
1.4
Gevolgde aanpak
Met experts die direct verbonden zijn met de DigiD-voorzieningen,
PKIoverheid en eHerkenning zijn in een aantal werkgroep sessies de
toezichtelementen geïnventariseerd die herbruikbaar zijn voor het
geïntegreerde toezicht. Ook zijn issues en vragen benoemd die in het
kader van het toezicht van belang zijn, maar voor nu buiten de scope van
deze opdracht vallen.
1.5
Lees Wijzer
In hoofdstuk 2 wordt de scope van het geïntegreerde toezicht beschreven.
De scope is conform de besluiten van de stuurgroep eID op voorstel van
het ministerie van EZ. Hoofdstuk 3 bevat de beschrijving van de relevante
elementen van het huidige toezicht op de DigiD voorzieningen,
eHerkenning en PKIoverheid. Hoofdstuk 4 bevat een contourenschets van
het geïntegreerde toezicht die wordt voorgesteld op basis van het
hergebruik van de in hoofdstuk 3 aangegeven elementen.
Hoofdstuk 5 bevat enkele issues en vragen die relevant zijn in dit kader en
aandacht nodig hebben, maar buiten de scope van de opdracht vallen.
Hoofdstuk 6 bevat een bijlage bij hoofdstuk 4 met een overzichtstabel met
daarin de voorgestelde rollen en activiteiten van het toezicht op eID
Pagina 5 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
2
Scope van het geïntegreerde toezicht
2.1
Inleiding
Deze paragraaf beschrijft de afbakening van de voorstellen voor het
toezicht op het eID Stelsel. De beschreven afbakening is afgestemd met
de door de Stuurgroep eID op d.d. 10 juli 2014 gekozen lijn.
2.2
Afbakening van de integratie van het toezicht
De voorstellen betreffen de integratie bestaande toezichtsarrangementen
van de voorzieningen:
DigiD (inclusief DigiD Machtigen en DigiD Balie);
Afsprakenstelsel eHerkenning;
PKIoverheid.
De voorstellen beperken zicht tot het hergebruik van bestaande
elementen voor het toezicht op deze voorzieningen en voegen geen
nieuwe elementen toe.
Het is denkbaar is dat op termijn het geïntegreerde toezicht uitgebreid
wordt met het toezicht op andere voorzieningen die betrekking hebben op
de ‘digitale overheid’.
2.3
Afbakening van het toezicht op het eID Stelsel
Het geïntegreerde toezicht wordt beperkt tot het beheer van
Afsprakenstelsel eID en de deelnemers in het eID netwerk.
Figuur 1: Afbakening van het Toezicht op het eID Stelsel, het eID Netwerk wordt
gevormd door Deelnemers in de rollen Herkenningsmakelaar (HM),
Authenticatiedienst AD, Machtigingenregister (MR), Middelenuitgever (MU) en
Beheerorganisatie (BO).
Pagina 6 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
De Beheerorganisatie ziet toe op de naleving door deelnemers in het
stelsel van de technische en procedurele afspraken die nodig zijn om het
eID netwerk te laten functioneren. De Toezichthouder zie met name toe
op de aspecten betrouwbaarheid en veiligheid van het stelsel en in dat
kader ook op het adequaat functioneren van de beheerorganisatie.
Het toezicht op het gebruik van eID authenticatiemiddelen, gebruik van
het machtigingenregisters en op de naleving van aansluitvoorwaarden
door op de eID aangesloten dienstverleners vindt uitsluitend op een
indirecte wijze plaats. De issues die dit uitgangspunt met zich mee brengt
zijn in hoofdstuk 5 opgenomen.
Pagina 7 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
3
Het bestaande toezicht op eHerkenning, DigiD en
PKIoverheid
3.1
Inleiding
Deze paragraaf beschrijft de elementen voor het toezicht op eHerkenning,
PKIoverheid en DigiD met het oog op de herbruikbaarheid voor het stelsel
eID. In het onderstaande figuur zijn de meest belangrijke elementen
weergegeven. In de volgende paragrafen worden deze elementen voorzien
van beschrijvende tekst.
Figuur 2 Bestaande elementen van het toezicht
3.2
Het bestaande toezichtarrangement Afsprakenstelsel eHerkenning
eHerkenning is opgezet voor bedrijven. Medewerkers die namens het
bedrijf handelen kunnen zich online als zodanig identificeren bij door het
bedrijf vastgestelde onlinediensten. eHerkenning maakt het mogelijk een
betrouwbaarheid niveau te koppelen aan de identificatie van personen van
de online-dienst gebruik willen maken van de dienst.
3.2.1
Hoe wordt toezicht gehouden?
Het beheermatige toezicht (management) op het afsprakenstelsel en
functioneren van het Afspraken Stelsel voor eHerkenning wordt
uitgeoefend door de rollen van Eigenaar, Beheerorganisatie, Stelselraad,
Tactisch Overleg en het Operationeel Overleg. Het betreft hier een
sluitend managementsysteem dat de koers bepaalt van het stelsel, besluit
over toetreding, uittreding, functionele wijzigingen, risico’s en
maatregelen.
De Stelselraad stelt de strategische kaders vast voor het
(door)ontwikkelen van het stelsel. Het Tactisch Overleg besluit over de
inhoudelijke wijzigingen in het afsprakenstelsel binnen de kaders van de
Stelselraad. Het Operationeel Overleg adviseert het Tactisch Overleg en
stemt de uitvoering van besluiten af.
Pagina 8 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Het Ministerie van Economische Zaken (EZ) vervult de rollen van Eigenaar
en Toezichthouder. Vanuit de toezichthouderrol is het ministerie
verantwoordelijk voor het toezicht op het adequaat functioneren van de
governance, de integriteit van het netwerk voor eHerkenning en de
naleving van de stelselafspraken. Als Eigenaar laat het ministerie jaarlijks
een Stelselaudit uitvoeren die door een externe auditor wordt uitgevoerd.
Als Eigenaar is het ministerie verantwoordelijk voor besluiten over het
toetreden van marktpartijen tot het stelsel en een eventuele schorsing of
uitsluiting van toegetreden deelnemers in geval van het niet naleven van
stelselafspraken.
De Eigenaar is opdrachtgever van de Beheerorganisatie van het stelsel
(Logius). De Beheerorganisatie ondersteunt de Eigenaar, en faciliteert in
opdracht van de Eigenaar de governanceprocessen en coördineert de
uitvoering van afspraken en besluiten en stemt deze af met de
deelnemers in het netwerk voor eHerkenning. De Eigenaar ziet toe op het
adequaat functioneren van de beheerorganisatie. De Beheerorganisatie is
daarom bij de jaarlijkse Stelselaudit eveneens object van de audit.
Voor de behandeling van formele klachten en geschillen tussen de diverse
betrokken partijen die niet binnen de gewone lijnen kunnen worden
opgelost is een onafhankelijke geschillencommissie ingericht. De
commissie brengt advies uit aan de betrokken partijen. Indien een advies
niet wordt opgevolgd, staat voor de betrokken partijen de weg naar de
civiele rechter open.
3.2.2
Op basis van wat wordt toezicht gehouden?
eHerkenning kent de volgende elementen als basis voor het toezicht:
1. Het Afsprakenstelsel eHerkenning omvat alle technische,
procedurele en juridische elementen die nodig zijn om te kunnen
functioneren. Deelnemers hebben zich contractueel verbonden om
de stelselafspraken na te komen.
2. Het ministerie van EZ heeft een contract met Logius gesloten voor
de invulling van de rol van Beheerorganisatie voor het
Afsprakenstelsel.
3. De Stelselrisicoanalyse betreft een overzicht van de risico’s op het
niveau van het stelsel en is de basis voor het beveiligingsbeleid
van het stelsel en het stelselnormenkader.
4. Het Informatiebeveiligingsbeleid (IB) voor het stelsel bevat eisen
die deels ook geoperationaliseerd zijn in verschillende
normenkaders, operationele afspraken, contracten etc.
5. Het Gemeenschappelijk Normenkader (GNK) is een set normen die
gebaseerd is op de internationale norm voor informatiebeveiliging
IEC/ISO 27001:2005.
6. Van de Deelnemers en de Beheerorganisatie wordt geëist dat zij
een IEC/ISO 27001:2005 certificaat bezitten. Tevens wordt geëist
dat de deelnemers het GNK opnemen in hun eigen verklaring van
toepasselijkheid (VvT) en dat zij de gedefinieerde stelselrisico’s
aantoonbaar meenemen in hun eigen risicoanalyses.
7. Het Normenkader Betrouwbaarheidsniveau’s waarin de afspraken
voor middelenuitgifte en registratie van machtigingen toetsbaar
zijn gemaakt.
Pagina 9 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
8. Het Stelselnormenkader voor de Stelselaudit dat door de Eigenaar
aan de stelselauditor wordt meegegeven voor de uitvoering van de
stelselaudit.
3.2.3
Nalevingsaspecten
1. Deelnemers aan eHerkenning zijn contractueel verplicht om zich
te laten certificeren conform de internationale norm voor het
management van Informatiebeveiliging IEC/ISO 27001:2005
(wordt IEC/ISO 27001:2013) en te voldoen aan het
Gemeenschappelijk Normenkader (GNK). Bij fundamentele
stelselwijzigingen of toetreding van een deelnemer tot een andere
betrouwbaarheidsniveaus of toetreding tot andere rollen is een
her-audit vereist.
2. Het certificaat met de Verklaring van Toepasselijkheid en de
auditrapportage moeten aan de beheerorganisatie beschikbaar
gesteld worden ter verificatie.
3. Deelnemers die zich niet aan de stelselafspraken houden kunnen
in principe in opdracht van de Eigenaar worden geschorst of
uitgesloten. De Beheerorganisatie effectueert deze schorsing of
uitsluiting.
4. Logius heeft een aantal mogelijkheden om op beperkte schaal
naleving af te dwingen:
a. Opleggen van boetes aan deelnemers en de
beheerorganisatie eHerkenning die zich niet houden aan
het afgesproken tijdpad voor nieuwe releases. De
opbrengst wordt onder de deelnemers verdeeld.
b. Formele brief met een vermaning, aanzegging of deadline.
Een formele brief kan na akkoord ook uit naam van de
Eigenaar en Toezichthouder (EZ) worden gezonden.
5. De Eigenaar en Toezichthouder bepaalt op basis van het
auditrapport van de Stelselaudit welke verbeteringen moeten
worden doorgevoerd in het afsprakenstelsel. Via de
Beheerorganisatie en stelselgovernance worden de verbeteringen
van het stelsel afgedwongen.
3.3
Het bestaande toezichtarrangement PKIoverheid
PKIoverheid (PKIo) is een voorziening voor digitale certificaten die door
Logius wordt beheerd. Overheidsorganisaties gebruiken PKIoverheid
services certificaten om op een vertrouwelijke wijze gegevens uit te
wisselen. Een PKIoverheid-certificaat wordt gebruikt bij het beveiligen van
websites, authenticatie op afstand, rechtsgeldige elektronische
handtekeningen, versleuteling van elektronische berichten. Voor elk van
die toepassingen bestaan er digitale certificaten.
Onder de vlag van PKIoverheid worden diverse elektronische certificaten
gedefinieerd waarmee personen of bedrijven zich met een hoog
betrouwbaarheidsniveau kunnen identificeren. Die certificaten kunnen
zowel ‘gekwalificeerd’ als ‘niet-gekwalificeerd’ zijn. De PKIo-certificaten
worden door marktpartijen uitgegeven die voldoen aan de door PKIo
gestelde eisen als Certificate Service Provider (CSP).
Gekwalificeerde PKIo-certificaten kunnen ook binnen het netwerk stelsel
voor eHerkenning worden ingezet als basis voor een eHerkenning
authenticatiemiddel.
Pagina 10 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
3.3.1
Hoe wordt toezicht gehouden?
Eigenaar en beheerorganisatie
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is
opdrachtgever van Logius voor het beheer van PKIoverheid (PKIo) en
vervult daarmee de rol van Eigenaar. De Beheerorganisatie voor
PKIoverheid is ondergebracht bij Logius.
Toezichthouders voor gekwalificeerde certificaten en PKIoverheidcertificaten:
De beheerorganisatie van PKIoverheid wordt conform internationale
standaarden ‘ Policy Authority’ (PA) genoemd. De PA beheert de Centrale
Hiërarchie, het Programma van Eisen van PKIoverheid. De PA ziet ook toe
op de uitgifte van PKIo certificaten onder de Centrale Hiërarchie door
partijen in de rol van Certificate Service Providers (CSP). Er is specifiek
toezicht op de activiteiten van de PA georganiseerd.
De Autoriteit Consument en Markt (ACM, v.h. OPTA) ziet toe op de markt
voor uitgifte van gekwalificeerde PKI certificaten in brede zin. Er bestaat
overlap tussen het toezicht van de PA voor PKIoverheid en het toezicht
door de ACM. De overlap betreft de CSP’s die gekwalificeerde PKIocertificaten uitgeven. De marktpartijen (CSP’s) die geregistreerd zijn bij
ACM leveren vrijwel allemaal zowel gewone gekwalificeerde certificaten en
niet-gekwalificeerde certificaten als gekwalificeerde- en niet
gekwalificeerde PKIo certificaten.
Het ministerie van Economische Zaken is opdrachtgever van de ACM en is
opdrachtgever van ECP.NL voor het beheer van het TTP.NL auditschema
voor certificaatdienstverleners (CSP’s). Het ministerie is doende een
wetswijziging voor het toezicht op certificatiedienstverlening voor te
bereiden. Deze wijziging betreft onder andere het ook onder toezicht
brengen van niet-gekwalificeerde certificaten. Daarmee wordt de overlap
tussen het toezicht door de PA en de Toezichthouder op certificatiedienstverlening groter.
Leemten in het toezicht op PKIoverheid:
De organisatie van het toezicht op PKIoverheid is in de huidige situatie
niet ontwikkeld. Het toezicht op de partijen die PKIo-certificaten uitgeven.
Deze leemte wordt deels ingevuld door de ACM omdat partijen die PKIo
certificaten leveren, vaak ook onduidelijk, ook onder toezicht van de ACM
staan.
Logius geeft zelf opdracht om de PA door een externe auditor te laten
auditen. Het toezicht op de activiteiten van de PA in PKIoverheid dat
losstaat van de beheerrol van Logius is niet geborgd, wat kan leiden tot
rolconflicten tussen rollen van beheerder en toezichthouder. Een vorm
van periodieke toetsing van de PA door een onafhankelijke auditor in
opdracht van de Eigenaar van PKIoverheid zou mogelijke rolconflicten al
kunnen verminderen. De leemte in het toezicht op de PA wordt op dit
moment dus door Logius ingevuld hoewel dat vanwege de dubbelrol
uiteindelijk niet wenselijk wordt geacht.
Het toezichtarrangement in de praktijk:
In het kader van de scope van dit document zijn een aantal Bij uitoefening
van het toezicht is een aantal aspecten van belang om in het kader van dit
document te melden.
Pagina 11 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
1. Driepartijenoverleg: De beheerder van de PA (Logius) en de ACM
trekken deels gezamenlijk op bij het uitoefenen van het toezicht,
door met een regelmaat te overleggen over functionele
veranderingen, auditbevindingen en marktontwikkelingen. In dit
overleg worden de auditors betrokken die de CSP certificeren.
2. Eerstelijnstoezicht: Logius legt als beheerder van de PA per PKIo
leverancier twee-jaarlijks een bedrijfsbezoek af waarbij een select
aantal normen wordt getoetst op basis van een risico-afweging.
Hierbij worden ook de wijzigingen in het PvE meegenomen die in
de tussenliggende tijd zijn gepubliceerd.
3. Tweedelijnstoezicht: De PA analyseert de auditrapporten van de
CSP’s van audits die zij in het kader van hun certificering laten
uitvoeren, volgt de correctie van auditbevindingen. De ACM doet
dit zelfde maar dan alleen met betrekking tot CSP’s die
gekwalificeerde certificaten uitgeven. Op basis van de
auditrapporten en het eerder genoemde driepartijenoverleg maakt
de ACM een plan met speerpunten voor gesprekken met CSP’s. Bij
de bezoeken aan de CSP’s worden deze speerpunt onderwerpen
aan de orde gesteld.
4. Certificering: CSP’s zijn verplicht zich te laten certificeren om
opgenomen te kunnen worden in het register van gekwalificeerde
PKI-certificaatdienstverleners. Deze certificering is ook verplicht
om PKIoverheid-certificaten te mogen uitgeven. De certificering
wordt gedaan door een certificerende instelling. De certificerende
instelling en daarmee de auditor die de audit uitvoert staat onder
toezicht staat van de Raad van Accreditatie. Indien de auditor ook
een Register IT Auditor (RE) is staat deze auditor ook onder
toezicht van de beroepsvereniging NOREA die zich heeft
vastgelegd op internationale afspraken over de kwaliteit van
uitvoering van formele Assurance opdrachten.
3.3.2
Op basis van wat wordt toezicht gehouden?
Het beheer van PKI structuren en uitgifte van PKI certificaten en daarmee
ook van de PKIoverheid-structuur en PKIoverheid-certificaten moet
voldoen aan de nationale en internationale standaarden die daarvoor zijn.
Het gaat om de volgende standaarden:
1. De Europese norm ETSI EN 319 411-2 (op het moment van
schrijven nog ETSI 101 456) wordt in dit kader wettelijk
verankerd als geaccepteerd voor certificatie van de partijen
(CSP’s) die gekwalificeerde PKI certificaten uitgeven.
2. De Europese normen ETSI 319 411-3 en op termijn tevens ETSI
EN 319 411-1 als opvolger van ETSI TS 102 042 voor nietgekwalificeerde PKIoverheid certificaten.
3. Het Programma van Eisen (PvE) voor PKIoverheid met de eisen
die specifiek zijn voor partijen die PKIoverheid-certificaten
uitgeven.
4. TTP.NL audit schema voor de certificatie van
certificaatdienstverleners (CSP) die gekwalificeerde en nietgekwalificeerde certificaten uitgeven. Voor het beheer wordt
momenteel een stichting opgericht totdat hiervoor een bruikbare
ETSI norm in werking treedt. De strekking van het schema is dus
breder dan PKIoverheid en het schema wordt momenteel ook
gebruikt in het buitenland.
Pagina 12 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
5. Voor toezicht op de auditors en certificerende instellingen bestaan
de regels van de Raad van Accreditatie en regels van de NOREA
met betrekking tot de uitvoering van Assurance-opdrachten.
3.3.3
Nalevingsaspecten
Zowel de ACM als de Policy Authority (Logius) hebben een aantal
mogelijkheden om naleving af te dwingen. Hieronder volgt een overzicht
van de mogelijkheden.
1. Policy Authority m.b.t. PKIo-certificaten
Aangaan van gesprek;
Formeel verzoek al of niet uit naam van het Ministerie van BZK
met het verzoek aan een PKIo-certificaatleverancier om de
tekortkoming op te lossen binnen gestelde tijd;
Voor overheid CSP’s: het informeren van de
beveiligingsambtenaar (BVA) of RijksBVA over (ernstige)
tekortkomingen;
Laten intrekken van de foutieve PKIoeindgebruikerscertificaten die een CSP heeft uit uitgegeven;
Intrekken of opschorten van de bevoegdheid om PKIocertificaten uit te geven.
2. ACM m.b.t. gekwalificeerde certificaten
Formeel verzoek;
Aanwijzing onder lastgeving;
Boete;
Beëindiging van de registratie als leverancier van
gekwalificeerde certificaten.
Zowel de Polici Authority PKIoverheid als ACM geven aan dat deze formele
middelen zelden of nooit gebruikt hoeven te worden. Wanneer men een
tekortkoming signaleert, zorgen de CSP’s nagenoeg altijd direct voor een
oplossing. Men is er zich terdege van bewust dat tekortkomingen zo snel
mogelijk moeten worden opgelost, om de betrouwbaarheid van de
certificaten te kunnen garanderen. Zelfs een formeel verzoek van een
toezichthouder om gebreken te herstellen zou al een zodanig
reputatieschade met zich mee kunnen brengen, dat dit het einde van hun
dienstverlening betekent. Om diezelfde reden willen ook de
toezichthouders het liefst niet tot een formeel verzoek laten komen.
3.4
Het bestaande toezichtarrangement DigiD
DigiD is een authenticatiemiddel dat door de Rijksoverheid aan burgers ter
beschikking wordt gesteld om zich online te identificeren bij onlinediensten die overheden en uitvoeringsorganisaties aanbieden.
3.4.1
Inleiding: drie te onderscheiden elementen van de DigiD voorziening
DigiD:
Het betreft hier de authenticatievoorziening voor burgers. De voorziening
betreft de aanvraag,uitgifte van DigiD-accounts middels een brief en het
gebruik van DigiD. DigiD wordt door dienstverleners - zoals gemeenten,
UWV, belastingdienst of pensioenfondsen - ingezet voor de authenticatie
van de identiteit van burgers bij de toegang tot elektronische diensten en
dossiers.
DigiD Balie:
Het betreft hier een specifieke functionaliteit van de voorziening voor de
uitgifte van een DigiD via een fysieke balie. De specifieke invulling heeft
Pagina 13 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
betrekking op de processen van aanvraag en uitgifte van een DigiD. Het
infrastructurele deel dat benodigd is voor het gebruik van de voorziening,
is dezelfde als hierboven. De infrastructuur op de balielocatie valt onder
de verantwoordelijkheid van de gemeenten die deze balies voeren.
DigiD Machtigen:
Dit betreft een voorziening voor de registratie van volmachten. Een burger
machtigt een andere burger of beroepsmatig actief persoon om voor hem
gespecificeerde handelingen te verrichten, die het gebruik van een DigiD
vereisen zoals belastingaangifte of aanvraag van toeslagen of vergunning.
3.4.2
Hoe wordt toezicht gehouden?
Eigenaar en beheerorganisatie
Het Ministerie van BZK is beleidsverantwoordelijke van de DigiD
voorzieningen DigiD, DigiD Machtigen en DigiD Balie. BZK heeft Logius
opdracht gegeven de voorzieningen te beheren en vervult de rol van
Eigenaar. Logius heeft productie van de voorzieningen aan marktpartijen
uitbesteed.
Toezichthouder
De rol van Toezichthouder voor de DigiD voorzieningen is niet volledig
ontwikkeld, het toezicht op de voorziening wordt daarom in de praktijk
ook door beheerder Logius uitgevoerd.
1. Het Ministerie van BZK ziet als Eigenaar toe op de naleving van de
eisen door op DigiD aangesloten partijen (aansluitvoorwaarden).
Elke aangeslotene moet bijvoorbeeld jaarlijks een zogenaamde
DigiD-assessment laten uitvoeren door een onafhankelijke
Register IT auditor, het auditrapport moet worden verstrekt aan
Logius die dit beoordeelt. Binnen twee maanden na een nieuwe
aansluiting moet de assessment met positief resultaat zijn
afgerond. Aansluitend bij de beschreven scope van het toezicht op
eID (zie hoofdstuk 2) zou dat betekenen dat deze eisen of
vergelijkbare eisen onderdeel moeten zijn van de
aansluitvoorwaarden op eID..
2. Jaarlijks laat de Beheerorganisatie (Logius) door de Auditdienst
Rijk (ADR) een audit uitvoeren op het beheer dat zijn uitvoert van
de DigiD-voorzieningen. De auditor toetst zowel de technische
implementatie en beheerprocessen van de leveranciers als de
Logius-beheerprocessen voor DigiD en DigiD Machtigen.
3. Voor DigiD Balie is op het moment van dit schrijven een zestal
partijen (gemeenten) verzocht/aangewezen voor uitvoering van
de processen voor aanvraag en uitgifte van een DigiD. De
betreffende partijen moeten een zelfassessment uitvoeren en
daarover rapporteren aan Logius. Periodiek (eens maal per half
jaar) laat Logius een externe auditor de balieprocessen bij de
betrokken gemeenten auditeren.
3.4.3
Op basis van wat wordt toezicht gehouden?
De volgende standaarden en normenkaders worden gehanteerd bij het
toezicht op de DigiD voorzieningen.
Generiek voor de DigiD-voorzieningen:
1. Het normenkader ICT Beveiligingsassessments voor de DigiD die
elke aangesloten partij (dienstverlener) moet laten uitvoeren door
Pagina 14 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
een externe auditor en waarvan het auditrapport en verbeterplan
moeten worden opgestuurd aan Logius.
2. Logius normenkader voor generieke beheerprocessen. Dit
normenader wordt als auditkader gebruikt door die Auditdienst
Rijk die op verzoek van Logius jaarlijks een audit uitvoert op de
DigiD voorzieningen. De generieke beheernormen zijn ontleent
aan het NOREA normenkader voor IT beheerprocessen.
3. De informatiebeveiligingsplannen voor de DigiD-voorzieningen
bevatten de analyse van de beveiligingsrisico’s en de specificatie
van de daarbij behorende beveiligingsmaatregelen voor de
voorzieningen. De risicoanalyse en gedefinieerde maatregelen zijn
mede input voor het oordeel van de ADR over de voorziening en
de beoordeling van Logius van de implementatie van
beveiligingsmaatregelen door de leverancier.
Specifiek voor DigiD en DigiD Machtigen:
4. Logius-normenkader voor DigiD waarin specifieke eisen zijn
opgenomen. Dit normenkader wordt door de ADR gebruikt voor de
jaarlijkse audit op de DigiD voorzieningen.
5. Het Programma van Eisen (ten dele) voor DigiD dat de basis is
van de uitbesteding bij de leverancier en de beveiligingsspecificaties bevat voor de voorziening.
Specifiek voor DigiD Balie:
6. Logius-normenkader specifiek voor de uitgifteprocessen en de
onderliggende infrastructuur bij de uitgifte balies. Dit nomenkader
wordt gebruikt voor het uitvoeren de zelf-assessment en
periodieke externe audit.
3.4.4
Nalevingsaspecten
Hierna volgt een overzicht van de mogelijkheden om naleving af te
dwingen die BZK en Logius tot hun beschikking hebben.
Ministerie van Binnenlandse Zaken
1. Besluit om Logius een aangesloten partij af te laten sluiten.
2. Op verzoek van Logius ‘aanspreken’ van een aangesloten partij in
de vorm van bijvoorbeeld een formele brief aan de Directie of
Bestuur van de aangesloten partij.
3. Ontbinden van de opdracht aan Logius om de DigiD
voorziening(en) te beheren.
Logius
4. Aangaan van het gesprek met de aangesloten partij over risico’s
van het niet naleven van de eisen.
5. Het formeel aanspreken van een partij.
6. Logius heeft de opdracht van BZK om bij een acuut
beveiligingsrisico door een kwetsbare implementatie de op DigiD
aangesloten partij af te sluiten waarbij de verantwoording
daarover achteraf plaats vindt.
7. Het aanspreken van, of ontbinden van het contract met, de
leveranciers van de infrastructuur van DigiD (applicatiebeheer, IT
infrastructuur, sms, drukwerk, bezorging).
Pagina 15 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
4
Contouren van het geïntegreerde toezicht eID Stelsel
4.1
Inleiding
Deze paragraaf beschrijft de contouren van het geïntegreerde toezicht
voor eID op de korte termijn. De elementen van het toezicht zijn
gebaseerd op de bestaande elementen van het toezicht op PKIoverheid,
DigiD en eHerkenning die in hoofdstuk 3 zijn beschreven.
Voorafgaand aan de beschrijving van de contouren wordt eerst een aantal
uitgangspunten beschreven.
PKIoverheid verschilt essentieel van DigiD en eHerkenning
De relatie van PKIoverheid met het eID Stelsel is indirect:
Gekwalificeerde PKIo certificaten maar ook niet-PKIo certificaten
kunnen gebruikt worden om eID authenticatiemiddelen op een
hoog betrouwbaarheidsniveau te maken en uit te geven.
PKIoverheid vervult niet zelf de eID-rol van middelenuitgever of
andere eID-rol. Een aantal CSP’s die PKIo-certificaten uitgeven,
vervullen binnen het bestaande eHerkenning wel de rol van
Middelenuitgever.
PKIoverheid omvat ook typen certificaten zoals servercertificaten
en niet gekwalificeerde PKIo certificaten die geen enkele relatie
met eID-middelen hebben. Dit betekent dat op zich zelf de
toezichthouder op PKIo en eID dezelfde toezichthouder kan zijn
maar dat het toezicht op PKIo en eID niet binnen dezelfde context
plaats kan vinden en dat de mogelijkheid voor integratie van het
toezicht in de praktijk beperkt is. De DigiD-voorzieningen zijn
daarentegen in het kader van het eID Stelsel op te vatten als
authenticatiemiddel, authenticatiedienst, makelaar en
machtigingenregister (voor het burgerdomein). Daarmee is de
mogelijkheid voor integratie van het toezicht op DigiD met het
toezicht op eHerkenning ten behoeve van het eID Stelsel groter
dan de integratie met het toezicht op PKIo.
Uitgangspunt publieke toezichthouder
Het voorstel gaat uit van een publieke toezichthouder voor het eID
Stelsel. In dit voorstel wordt geen uitspraak gedaan over wie de
toezichthouder moet zijn of welk ministerie verantwoordelijk is voor de
toezichthouder. Voor het toezicht op PKIoverheid werkt het ministerie van
EZ aan een wetswijziging voor het toezicht op PKIoverheid dat in juli 2016
geïmplementeerd moet zijn. Een hier relevante essentie van de wijziging
is om het toezicht op de daadwerkelijke naleving van afspraken en eisen
door betrokken partijen te waarborgen. Dit conform het advies van de
Onderzoeksraad voor de Veiligheid naar aanleiding van het DigiNotar
incident.
Uitgangspunt voor de stelselgovernance
Voor het eID Stelsel is afgesproken dat de governance en de afspraken
van het stelsel eHerkenning worden gebruikt om het eID Stelsel in te
richten. Dit betekent dat de wijze waarop de inhoudelijke ontwikkeling van
het eID Stelsel vorm wordt gegeven, in elk geval voor de korte termijn
gehandhaafd blijft middels de stelselgovernance van eHerkenning
(Stelselraad, Tactisch overleg, Operationeel overleg).
Pagina 16 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Uitgangspunt eID wordt gebouwd op de basis van eHerkenning
Gekozen is om het eID Stelsel op te bouwen op de basis van eHerkenning.
Totdat de wettelijke kaders voor het eID Stelsel er zijn, betekent dit dat
de invulling van de taakverdeling tussen rollen en van Eigenaar,
Beheerorganisatie en Toezichthouder en nog (deels) voortbouwen op de
situatie bij eHerkenning. Bij de definitieve situatie kunnen de
verschillende rollen, waaronder die van toezichthouder, een gewijzigde
scope en invulling krijgen. In de voorstellen voor de korte termijn wordt
gesproken over contractuele verplichtingen die Deelnemers aangaan bij
toetreding tot het eID Stelsel. Als bijvoorbeeld voor de definitieve situatie
gekozen wordt voor een vergunningenstelsel, betekent dit mogelijk ook
een wijziging van taken die de rollen van Eigenaar, Beheerorganisatie en
Toezichthouder krijgen ten opzichte van beschreven korte termijn situatie.
4.2
Hoe wordt toezicht gehouden
Deze paragraaf schetst de contouren voor het toezicht op het eID Stelsel
aan de hand van de verschillende rollen in het toezicht.
De Eigenaar
De Eigenaar is verantwoordelijk voor de integriteit van het stelsel, besluit
over toetreding van nieuwe deelnemers en eventuele schorsing en
ontbinding van het contract met deelnemers.
De Eigenaar is opdrachtgever van de Beheerorganisatie , die namens de
Eigenaar van het eID Stelsel de naleving van contractuele verplichtingen
controleert. De beheerorganisatie coördineert de behandeling van
(beveiligings-)incidenten en escaleert indien nodig naar de Eigenaar. Bij
incidenten van een nog te bepalen ernst wordt ook de Toezichthouder
geïnformeerd. De Eigenaar besluit in principe na een escalatie door de
Beheerorganisatie of de toezichthouder moet worden geïnformeerd over
het incident.
De Eigenaar laat jaarlijks een onafhankelijke auditor de naleving van de
stelselafspraken toetsen middels een Stelselaudit. De Beheerorganisatie
heeft geen rol in de opdracht aan de auditor daar zij zelf ook object van
onderzoek is.
De Beheerorganisatie
In opdracht van de Eigenaar controleert de Beheerorganisatie op
operationeel niveau de naleving van contractuele verplichtingen. Het
betreft dan bijvoorbeeld de toetsing van technische implementaties bij
Deelnemers, de omgang met het merk eID in communicatie-uitingen.
Daarnaast faciliteert de Beheerorganisatie de operationele procedures
voor het aanbrengen en toetsen van wijzigingen in het stelsel.
De Beheerorganisatie coördineert de behandeling van (beveiligings)incidenten in samenwerking met de beveiligingsfunctionaris van de
deelnemers in het netwerk voor eID. Bij majeure incidenten escaleert de
Beheerorganisatie de incidentbehandeling naar de Eigenaar. De
Beheerorganisatie coördineert de analyse van incidenten in samenwerking
met de deelnemers en de verbeteringen die daaruit voortvloeit.
De Toezichthouder
De Toezichthouder heeft als primaire taak toe te zien op de effectiviteit en
integriteit van het stelsel in de lijn van de Eigenaar-BeheerorganisatieDeelnemers en in de inhoudelijke lijn van de stelselgovernance
(Stelselraad, Tactisch beraad, Operationeel Overleg).
Conform het advies van de Onderzoeksraad voor de Veiligheid is in dit
voorstel het toezicht door de Toezichthouder meer direct dan in de
Pagina 17 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
uitgangssituatie. Dit betekent dat ook rechtstreeks toezicht wordt
gehouden op de individuele Deelnemers en op de Beheerorganisatie. De
Toezichthouder kijkt dus niet alleen mee over de schouder van de
Eigenaar, Beheerorganisatie en stelselgovernance, maar toetst ook
zelfstanding of voldaan wordt aan de eisen. De Toezichthouder bezoekt
daarom periodiek de Deelnemers van het stelsel en de Beheerorganisatie,
en voert inspecties uit of laat additionele audits uitvoeren.
Toezicht op Deelnemers en Beheerorganisatie middels audits en
certificering
Zowel eHerkenning als PKIoverheid kennen de situatie waarbij
Deelnemers, respectievelijk CSP’s, gecertificeerd moeten zijn om hun
diensten in dit kader te mogen leveren. Voorzien is dat deze vorm ook
voor het geïntegreerde toezicht ingezet kan worden.
De Toezichthouder heeft inzage in de auditrapporten van Deelnemers en
Beheerorganisatie. Op basis van de auditrapportages bepaalt de
Toezichthouder de onderwerpen die in de bedrijfsbezoeken aan
Deelnemers en Beheerorganisatie aan de orde moeten komen. Mogelijke
onderwerpen zijn de opvolging van de eventuele auditbevindingen,
implementaties n.a.v. recente stelselwijzigingen en incidenten.
Toezicht in relatie tot klachten en geschillen
Geschillen worden in eerste instantie door de deelnemers aan het stelsel
en de beheerorganisatie in samenspraak opgelost. Indien dit niet lukt,
bijvoorbeeld door de complexiteit of omvang van een geschil, kunnen
deelnemers, afnemers, dienstverleners en gebruikers terecht bij een
onafhankelijke Klachten- en Geschillencommissie. Deze commissie geeft
advies aan de betrokken partijen over de oplossing van de klacht of het
geschil. De partijen kunnen dit advies opvolgen of beargumenteerd
afwijzen waarna de gang naar de (civiele) rechter openstaat. Onderzocht
moet worden of dit afdoende is in geval van klachten van individuen over
deelnemers of dienstverleners. De reden hiervoor is dat individuen
doorgaans minder middelen hebben om zich juridisch te laten bijstaan. De
Klachten- en Geschillencommissie staat los van de Toezichthouder. Voor
de korte termijn moet bepaald worden welke aanpassingen van het
instellingsbesluit van eHerkenning met betrekking tot de klachten en
verschillen nodig zijn voor de pilot situatie van het eID Stelsel.
De Toezichthouder en informatie-uitwisseling met relevante
partijen
Naast de bezoeken aan de deelnemers en beheerorganisatie vanuit de
toetsende rol voert de Toezichthouder ook informatieve gesprekken met
het oog op de effectiviteit en efficiëntie van het toezicht.
1. De Toezichthouder en (certificerende) auditors wisselen periodiek
informatie uit over de status van de naleving van Deelnemers van
de normen. De Beheerorganisatie maakt in tegenstelling tot de
huidig situatie bij PKIoverheid, geen deel uit van dit overleg
omdat zij zelf ook object van het toezicht is.
2. De Toezichthouder en de Eigenaar en Beheerorganisatie wisselen
in ieder geval informatie uit over de trends in
beveiligingsincidenten, continuïteit van het stelsel, wijzigingen in
het stelsel, wijzigingen van Deelnemers in het stelsel en andere
onderwerpen issues die zij relevant achten.
3. De Toezichthouder en de voorzitters van Stelselraad en Tactisch
overleg wisselen informatie uit over de o.a. visies op de
Pagina 18 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
stelselontwikkeling, wijzigingen en effectiviteit van de governance
van het stelsel.
4. De Toezichthouder neemt het initiatief tot periodieke gesprekken
met de Klachten- en Geschillencommissie over de effectiviteit van
de afhandeling en inhoudelijke trends ten aanzien van klachten en
geschillen.
Op basis van de overleggen maakt de Toezichthouder een plan voor het
toezicht in de komende perioden. In dit plan zijn de prioriteiten en
speerpunten opgenomen voor bedrijfsbezoeken, onderzoeken en audits
die hij bij deelnemers en beheerorganisaties wil houden. Dit aspect is
bestaand voor PKIoverheid en nieuw voor eHerkenning.
Beheer eID en DigiD
Logius vervult met DigiD ook de rol van Middelenuitgever in het Stelsel.
De Beheerorganisaties van eID en DigiD zijn daarom ook gescheiden van
elkaar. Ieder jaar geeft Logius de Auditdienst Rijk (ADR) de opdracht om
een audit uit te voeren ter verantwoording van het beheer van haar
producten en diensten. Hierbij wordt Logius zelf als Middelenuitgever voor
DigiD getoetst.
4.3
Op basis van wat wordt toezicht gehouden?
Idealiter wordt toezicht gehouden op basis van toetsbare normen. Deze
normen zijn zowel bruikbaar als leidraad voor implementaties door
deelnemers als voor toetsing door professionele auditors van die
implementaties. De toetsingskaders zijn opgebouwd uit eisen die
voortvloeien uit wet- en regelgeving, eisen die specifiek zijn voor de
voorziening en generieke eisen aan beheerprocessen.
Het toezicht op de kwaliteit van audits door auditors wordt uitgeoefend in
de lijn van de beroepsorganisaties van geregistreerde IT auditors en de
raad van accreditatie (Certificatie-audits). Dit type toezicht is gebaseerd
op internationale normen voor de uitvoering van audits en certificeringen.
Voorzien is dat deze vormen van toezicht gehandhaafd blijft omdat er ook
sprake blijft van certificering conform (inter-)nationale standaarden.
Figuur 4 Elementen waaruit toetsingskaders zijn opgebouwd.
Normen afgeleid uit wet- en regelgeving
Logius-juristen toetsen bij de voorzieningen die Logius in beheer heeft aan
de hand van checklists of de voorziening voldoet aan de relevante
wetgeving. Voorgesteld wordt dat deze checklist als basis worden gebruikt
Pagina 19 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
voor het opstellen van de normen die voorvloeien uit wet- en regelgeving.
Deze normen zijn deels generiek voor Logius voorzieningen en deels
specifiek voor eID.
Bestaande (inter-)nationale normenkaders hergebruikt
Voorgesteld wordt om de bestaande normenkaders van eHerkenning,
risicoanalyse, Informatiebeveiligingsbeleid als basis te nemen en de DigiD
specifieke elementen voor het burgerdomein daarin te integreren.
Voor de toetsing van de betrouwbaarheidsniveaus van middelen en
machtigingen vormen de huidige eHerkenning afspraken en de DigiDnormen het uitgangspunt. De verwachting is dat met name de
risicoanalyses en de normen voor de betrouwbaarheidsniveaus van
eHerkenning door de introductie van risico’s uit het burgerdomein
wijziging nodig hebben omdat eHerkenning op dit moment alleen het
bedrijvendomein bedient. Daarnaast verschilt het machtigingenregister
van eHerkenning (bedrijf machtig medewerker) essentieel van DigiD
Machtigen (burger, al dan niet handelingsbekwaam, machtigt een
zaakwaarnemer).
Figuur 5 Normenkaders relevant voor het geïntegreerde toezicht samengevat
Toezicht op aansluitvoorwaarden en gebruiksvoorwaarden eID
Zoals eerder in hoofdstuk 2 is aangegeven, is het directe toezicht door de
Toezichthouder beperkt tot de Deelnemers aan het stelsel. De naleving
van aansluitvoorwaarden en gebruiksvoorwaarden worden binnen de
contractrelaties van Deelnemers en aangeslotenen, afnemers van een
machtigingenregister en gebruikers van middelen getoetst. De
Toezichthouder monitort de effectiviteit de manier waarop Deelnemers de
naleving van de aansluitvoorwaarden / gebruiksvoorwaarden afdwingen.
De aansluitvoorwaarden/gebruiksvoorwaarden zijn onderdeel van het
afsprakenstelsel en daarmee ook object van het toezicht door de
Toezichthouder.
Dit betekent voor de pilotsituatie met betrekking tot DigiD als eID middel
de DigiD-assessments voor op de herkenningsmakelaar aangesloten
partijen worden gehandhaafd en dat de controle daarop door het
Ministerie van BZK (ook Eigenaar van DigiD) wordt uitgeoefend. De
Pagina 20 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Toezichthouder houdt slechts toezicht op de effectiviteit van deze
constructie. Voor de definitieve situatie moet door BKZ en het programma
eID worden bepaald of- en hoe de eisen uit de DigiD Assessments een
plaats kunnen of moeten krijgen in de aansluit- en gebruiksvoorwaarden.
4.4
Nalevingsaspecten
De nalevingsaspecten zijn beschreven vanuit de volgende situatie:
Er is nog geen wettelijke verankering van het eID Stelsel en het
Toezicht daarop.
Dit betekent dat de mogelijkheden voor het houden van toezicht op- en
eventueel afdwingen van naleving in deze situatie waarschijnlijk beperkter
zijn dan gewenst voor de definitieve situatie. Daarnaast kan voor de
definitieve situatie de betrokkenheid van de Toezichthouder bij het
afdwingen van de naleving anders worden gekozen. De mate van
betrokkenheid houdt nauw samen met wijze waarop de rol van Eigenaar
ingericht wordt of kan worden.
Het eID Stelsel wordt gebouwd op de basis van eHerkenning. Op
belangrijke punten verschilt eID van eHerkenning, zoals de voorziene
samenstelling van het veld aan deelnemers (publiek-privaat). Dit heeft
mogelijk juridische consequenties voor wijze waarop de naleving ingericht
kan en moet worden. Uitwerking van de nalevingsaspecten vallen buiten
het kader van dit project. In hoofdstuk 5.4 wordt daarom voorgesteld om
de geconstateerde aandachtspunten met betrekking tot het huidige
nalevingsbeleid van eHerkenning met het oog op het eID Stelsel nader
nog uit te werken.
Middelen van het toezicht om naleving af te dwingen
Voorzien wordt dat alle de bestaande middelen kunnen worden ingezet in
het kader van het geïntegreerde toezicht.
1. De Eigenaar
Uit laten voeren van de Stelselaudit en sturen op oplevering en
uitvoering van een correctief actieplan;
Opdracht aan Beheerorganisatie om een deelnemer uit het
operationele netwerk te verwijderen(afsluiten);
Opdracht geven aan Beheerorganisatie om de contractuele relatie
met een deelnemer te ontbinden;
Intrekken van de opdracht aan Logius om het beheer van het eID
Stelsel uit te voeren.
2. De
Beheerorganisatie (Logius)
Aangaan van een informeel gesprek met de deelnemer;
Uitvoeren van de compensatieregeling horende bij implementatie;
Afsluiten van een dienstverlener in opdracht van de Eigenaar In
opdracht van de Eigenaar ontbinden van de contractuele relatie
met een deelnemer.
3. De Toezichthouder
Informeel gesprek al dan niet op verzoek van de Eigenaar;
Formeel schriftelijk verzoek aan partijen om tekortkomingen op te
heffen;
Deelnemers niet toestaan nog nieuwe middelen uit te geven;
Deelnemers niet toestaan nog nieuwe machtigingen te
registreren;
Pagina 21 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Deelnemers niet toestaan een bepaalde rol nog te vervullen
gedurende een bepaalde tijd;
Uit(laten)voeren van een audit/inspectie bij een Deelnemer en de
Beheerorganisatie.
Pagina 22 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
5
Issues
Deze paragraaf bevat de issues en vragen die zijn gerezen rond het
geïntegreerde toezicht op eID. Deze issues en vragen moeten worden nog
uitgewerkt. Dit past echter niet binnen deze opdracht.
5.1
Fraudemanagement
Het management van fraude en misbruik vind plaats binnen de specifieke
juridische context van opsporing en is daarmee niet gelijk het houden van
toezicht op de veiligheid en betrouwbaarheid van het eID stelsel.
Wat behelst het Fraudemanagement bij DigiD?
Logius heeft voor de DigiD voorziening, dat het burgerdomein
vertegenwoordigd, een actieve vorm van fraude detectie ingericht. Het
Fraudeteam van Logius onderzoekt het realiteitsgehalte van technische
signalen die een indicatie zijn voor mogelijk frauduleus handelen. Indien
gerede vermoedens zijn voor frauduleus handelen informeert Logius de
betreffende aangesloten partij en treedt in contact met de betreffende
opsporingsinstanties. De verdere afhandeling vindt plaats bij de
opsporingsinstantie, dienstverlener en overige betrokkenen. Het
Fraudeteam van Logius vervult alleen een signalerende en informerende
rol.
eHerkenning heeft geen actief fraudemanagement ingericht, maar
afspraken gemaakt over hoe te handelen indien een opsporingsinstantie
om informatie verzoekt.
In de eID pilot situatie wordt voorzien dat het huidige fraudemanagement
voor de DigiD voorziening gehandhaafd blijft. In de periode na de pilots
zouden condities geschapen moeten worden om fraudedetectie mogelijk
te maken voor alle authenticatiemiddelen die in het eID netwerk worden
gebruikt. Deze condities hebben impact op het stelsel.
Waarom is fraudemanagement ook voor eID van belang?
Aanleidingen:
“Lektober”: De technische implementaties van online diensten door
gemeenten en andere dienstverleners bleken kwetsbaar waardoor ook
DigiD als middel in diskrediet gebracht werd. De minister van BZK
greep daarop in met de verplichting voor aangesloten partijen om hun
implementaties gerelateerd aan DigiD extern te laten toetsen.
‘Toeslagen fraudes”: Herhaalde gevallen van fraude en misbruik met
toeslagen hebben de aandacht van politiek en media en daardoor
fraudebestrijding tot een speerpunt gemaakt voor de Rijksoverheid.
‘Gevolgen van Identiteitsdiefstal’: De toename van het gebruik van
elektronische identiteiten voor informatietransacties tussen burgers en
overheden, bedrijven en overheden, bedrijven onderling, en
consumenten met bedrijven maakt dat diefstal van elektronische
identiteiten voor criminele activiteiten interessant is geworden. De
gevolgen van het crimineel gebruik van gestolen identiteiten kunnen
vooral voor burgers en consumenten buitenproportioneel groot zijn.
Als een misbruikte identiteit wordt uitgesloten van de mogelijkheid tot
het doen van transacties (sluiten van lening of aangaan van
contracten) kan dat een individu levenslang achtervolgen terwijl de
Pagina 23 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
mogelijkheden van de getroffen persoon zelf zeer beperkt zijn om de
gevolgen ongedaan te maken.
Conclusie:
Voor het eID Stelsel is het te voorzien dat er meer aanbieders
komen van authenticatiemiddelen voor burgers om informatietransacties met overheden en ander publieke en private
dienstverleners. Fraudemanagement is op dit moment echter
gekoppeld aan de DigiD-voorziening en de specifieke technische
implementatie daarvan. Voor het eID Stelsel is nog geen vorm van
fraudemanagement voorzien.
Voor het vertrouwen van burgers een bedrijven in het eID Stelsel
is het essentieel dat vooral de burger en consument actief wordt
beschermd tegen misbruik van zijn of haar elektronische identiteit
en dat het onderzoek naar het voorkomende misbruik wordt
ondersteund..
Advies voor nader uit te werken issues in het kader van het
toezicht.
1. Onderzoek de technische-, organisatorische- en juridische
implicaties voor de eID Stelselafspraken. Voor het proactief
onderzoeken van potentiële identiteitsfraude zijn gegevens over
het gebruik van authenticatiemiddelen en transacties
noodzakelijk. Deze gegevens zijn binnen het eID Stelsel verspreid
over verschillende systemen en partijen.
2. Bepaal welke organisatorische plaats fraudemanagement dient te
krijgen; binnen of buiten de stelsel governance.
3. Bepaal onder welke wettelijke condities fraudemanagement mag
worden geïmplementeerd en bepaal de wijze van toezicht op de
uitvoering er van.
5.2
Toezicht op naleving aansluitvoorwaarden, gebruiksvoorwaarden
In hoofdstuk 2 is aangegeven dat de Toezichthouder op het eID Stelsel
alleen indirect toezicht houdt op de naleving van aansluitvoorwaarden en
gebruiksvoorwaarden door aangeslotenen dienstverleners, afnemers en
gebruikers. Het aantal partijen waarop anders toezicht gehouden zou
moeten worden is gewoonweg te omvangrijk voor een directe vorm van
toezicht. Dit uitgangspunt heeft echter een aantal consequenties die nader
onderzocht en uitgewerkt moeten worden.
Wat betreft het toezicht op aangesloten partijen van DigiD?
Indirect toezicht op aangeslotene partijen betekent dat het toezicht op
naleving van gebruiksvoorwaarden en aansluitvoorwaarden primair binnen
de contractrelaties (privaat domein) plaats vindt. Deze wijze van toezicht
heeft consequenties:
De eisen die in het kader van de huidige DigiD voorzieningen
worden gesteld aan de partijen met een aansluiting zouden
onderdeel moeten zijn van de aansluitvoorwaarden. Hierbij is het
voorstelbaar dat aan dienstverleners die het BSN verwerken (b.v.
gemeenten, UWV etc.) hogere eisen worden gesteld dan aan
dienstverleners die dat niet doen (webwinkel, bedrijven in het
kader van B2B).
De Eigenaar is essentieel voor de handhaving. De Eigenaar is
namelijk verantwoordelijk voor het handhaven van de integriteit
van het stelsel en daarmee ook voor het afsluiten van een
dienstverlener wanneer deze de integriteit van het stelsel in
Pagina 24 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
gevaar brengt. De Toezichthouder, die alleen indirect toezicht
houdt, kan alleen de Eigenaar op zijn verantwoordelijkheid wijzen
als hij dat nodig acht.
Waarom is proactief toezicht op dienstverleners van belang voor
eID?
Dit uitgangpunt om indirecte toezicht te houden op dienstverleners is
begrijpelijk maar laat mogelijk ook een gat in de keten vallen. Beveiliging
kost geld en dus worden door dienstverleners in meer of mindere mate
risico’s geaccepteerd. Cybercriminaliteit ontwikkelt zich voortdurend
waardoor bescherming per definitie achterloopt. Simpelweg omdat het
mogelijk is (Murhpy’s Law) zullen er zich situaties voor gaan doen waarbij
dienstverlener (bedrijf, uitvoeringsorganisatie of overheid) is betrokken en
dat om wat voor oorzaak dan ook de integriteit of reputatie van het stelsel
wordt bedreigt. Dit komt simpelweg omdat het mogelijk is en het dus ook
zal gebeuren.
Het is niet realistisch te verwachten dat een herkenningsmakelaar volledig
zelfstandig een dienstverlener kan dwingen tot het nemen van
maatregelen of in het meest vergaande geval gaat afsluiten. De Eigenaar
van het eID Stelsel is primair verantwoordelijk voor de handhaving van de
integriteit van het stelsel en zou daarom ook belangrijke een rol moeten
spelen bij de eventuele afsluiting van dienstverleners. Het is nog niet
duidelijke of de Toezichthouder en rol in moet of kan hebben.
Advies voor nadere uitwerking in het kader van toezicht op het
eID Stelsel
Ontwikkel een of meerdere wijzen waarop een proactief toezicht op
dienstverleners, die op eID zijn aangesloten, naleving afgedongen kan
worden. Deze wijzen moeten de Herkenningsmakelaar ondersteunen in
het nemen van zijn verantwoordelijkheid om een en ander binnen de
contractrelatie af te kunnen handelen.
5.3
eID Normenkaders en de nog ontbrekende producten eID
In de voorstellen is uitgegaan van de bestaande situatie waarin het
programma eID nog geen stelselrisicoanalyse heeft opgeleverd of een
definitieve architectuur. Idealiter worden normenkaders worden opgesteld
op basis van een risicoanalyse en architectuur.
Advies
Dit betekent dat de normenkaders, die in het kader van de pilots worden
opgeleverd, geëvalueerd en waar nodig bijgesteld moeten gaan worden op
basis van de nog op te leveren eID Stelselrisicoanalyse en architectuur.
5.4
Issues naleving
Als uitgangspunt is gekozen om het eID Stelsel middels
wijzigingsvoorstellen te bouwen op eHerkenning. De constellatie van
betrokken partijen van eID een mix van publieke en private Deelnemers is
anders dan bij eHerkenning dat bestaat alleen private Deelnemers kent.
De manier waarop naleving kan worden afgedwongen is in samengestelde
publiek-private context is complex en moet nader worden onderzocht.
In het kader van dit project is een analyse gemaakt van de op korte
termijn herbruikbare elementen van eHerkenning voor het toezicht en
verbeterpunten. De herbruikbare delen en verbeterpunten voor de korte
termijn zijn dit document verwerkt de overige verbeterpunten zijn voor
verdere uitwerking in een apart document ondergebracht.
Pagina 25 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Advies
Onderzoek de (juridische) consequenties met betrekking tot de
nalevingsaspecten in de samengestelde publiek-private context van het
eID veld van deelnemers.
Werk de verbeterpunten met betrekking tot naleving bij eHerkenning uit
rekening houdend met het eID Stelsel.
Pagina 26 van 29
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
6
BIJLAGE Samenvatting Rollen en Activiteiten in het
toezicht eID
De bijlage heeft tot doel om de tekst in hoofdstuk 4 met betrekking tot
het voorstel voor de manier waarop het toezicht op het stelsel eID werkt
samen te vatten.
Voorstel tekst: De bijlage geeft een overzicht van het voorstel uit
hoofdstuk 4 voor de manier waarop het toezicht op het eID Stelsel kan
worden ingericht.
Pagina 27 van 29
Rol
Beheerorganisatie
Stelsel governance
Activiteit
Inrichten Governance
Afsprakenstelsel
opstellen wijzigen
Voorbereiden
Toetreden van
partijen
- Faciliteren proces
- Technische test en
rapport resultaat aan
Eigenaar.
Uitvoeren na besluit
Eigenaar
-Testen technische
implementatie
incl. penetratietesten bij
Deelnemers (eID)
-Administratieve
Sanctioneren van
toegetreden partijen
Toetsen
naleving van
stelseleisen
-Voorbereiden
besluiten door
Operationeel beraad
-Besluiten door
Tactisch Beraad
binnen kaders van de
Stelselraad.
Eigenaar
(externe auditor)
Voorbereiden en
besluiten over
instelling
Inbreng via Stelsel
governance (?)
Besluiten
Besluiten
- Beoordelen
kwaliteit van de
Beheerorganisatie
- Uit laten voeren
Stelselaudit
- Uitvoeren
Stelselaudit in
opdracht van
Eigenaar
- Informatie-
Commissie Klachten
en Geschillen
Toezichthouder
- Toezien op kwaliteit
en integriteit van de
stelselafspraken
m.b.t. Informatiebeveiliging
- Geven gevraagd en
ongevraagd advies
aan Stelsel
governance en
Eigenaar.
Beoordelen
auditrapport en
advies- of aanwijzing
geven aan Eigenaar
Advies of aanwijzing
geven aan Eigenaar
-Beoordelen van
auditrapporten
- Bezoek aan- / audit
van deelnemers en
beheerorganisatie
| Concept | Voorstellen inrichting geïntegreerd toezicht Logius programma eID | 12 oktober 2014
Rol
Beheerorganisatie
Stelsel governance
Eigenaar
(externe auditor)
Commissie Klachten
en Geschillen
Toezichthouder
Activiteit
controle en
documentatie van
certificeringen etc.
-Informatie uitwisselen
met toezichthouder
uitwisselen met
toezichthouder
Geen rol
Geen rol
Behandelen formele
klachten van- en
geschillen tussendeelnemers,
afnemers,
dienstverleners en
gebruikers,
beheerorganisatie
Geen rol
Behandelen
operationele- en
beveiligingsincidenten
Certificeren tegen
(inter-)nationale
standaarden zoals ISO
ETSI, Webstrust, NCSC
Primaire afhandeling en
escalatie
Ondersteunen
Eigenaar bij risicoafweging
Incidentafhandeling
na escalatie
In opdracht van
Eigenaar
onderzoeken
Toezien op kwaliteit
incidentafhandeling
Opdrachtgeven
certificeren
beheerorganisatie
Vaststellen
stelselafspraken
hieromtrent
Opdrachtgeven
Stelselaudit
-In opdracht
uitvoeren en
rapporteren aan
opdrachtgever
Analyseren
auditrapportages.
Pagina 29 van 29
Geen rol
- Behandelen
- Advies aan
betrokken partijen (is
een advies zwaar
genoeg ingeval
geschil
burger/consument
en dienstverlener of
deelnemer?)
- Advies of aanwijzing
geven aan Eigenaar
- Uitwisselen
informatie met
beheerorganisatie en
(externe) auditors
-Toezien op kwaliteit
en effectiviteit
klachtenafhandeling
-Advies aanwijzing
aan Eigenaar.
(Rol in beroep?)