Identificatie
- Joost Wisselink
- Leon Roseleur (Unlicensed)
Definitie: Het proces waarbij iemand nagaat of een gebruiker, een computer of applicatie* daadwerkelijk is wie deze beweert te zijn.
* Binnen de scope valt ook de netwerkidentificatie – identificatie van netwerk-nodes en alle andere entiteiten die verantwoordelijk zijn voor het verzenden, ontvangen en bewerken van de informatie binnen het stelsel.
Principes en randvoorwaarden identificatie
Een principe, in de lijst met de letter P aangeduid, vertegenwoordigt een intentieverklaring waaraan elk gedigitaliseerd informatieobject, dus ook een koopovereenkomst, moet voldoen. Achter elk principe wordt een beperkende factor benoemd die de realisatie van doelen kan belemmeren. Dit zijn de randvoorwaarden. Deze worden in de lijst met de letter C (constraint) aangeduid.
P1. Alle entiteiten die betrokken zijn bij het ZV-stelsel zijn verplicht zich te identificeren zodat ze geauthenticeerd kunnen worden.
C1.1. Systemen in de keten behoren de identiteiten van andere entiteiten zoals systeemcomponenten, netwerk nodes, applicaties etc. vast te stellen met een identificatiemechanisme dat wederzijds erkend wordt door betrokken partijen.
C1.2. Bij identificatie worden transactiegegevens vastgelegd in een (audit)log zodat de gevoelige handelingen herleidbaar zijn naar de betrokken entiteiten.
P2. Identificatie voldoet aan de wettelijke eisen voor dataminimalisatie.
C.2.1. Het risico op overvraging of overidentificatie wordt door het stelsel gereduceerd door gebruik van de minimale identificatie-dataset (attributen).
P3. De identificatie van personen voldoet aan toegankelijkheidseisen en aan het hoogste niveau van betrouwbaarheid bij uitgifte en gebruik.
C3.1. Systemen in de keten behoren de identiteit van personen vast te stellen met een mechanisme voor identificatie dat aan eIDAS-regelgeving betrouwbaarheidsniveau hoog voldoet.
P4. Het identificatieproces binnen het stelsel is eenvoudig, privacy-vriendelijk, interoperabel, decentraal, veilig, betrouwbaar en open voor iedereen die wil deelnemen aan het stelsel.
C4.1. Identificatie beperkt zich tot het minimaliseren van (persoons)gegevens.C4.2. Het volgt, zo mogelijk, Europese en (inter)nationale standaarden.
C4.3. Informatiemodel, metagegevensmodel, berichtmodel, presentatiemodel en interfacespecificaties van Zorgeloos Vastgoed dienen gehanteerd te worden.
P5. De consument kiest zelf bij welke (Qualified) Identity Service Provider (QISP) of eID-provider hij/zij de identiteit kenbaar maakt.
C5.1 Gedwongen gebruik moet voorkomen worden i.v.m. regie op gegevens.
C5.2. De dienstverleners in de keten begeleiden de consument in het proces van het verkrijgen van de juiste identiteit, indien de consument nog niet in het bezit hiervan is.
C5.3. De eID-Provider is een instantie die door de Europese Unie is erkend (zie de eIDAS QTSP-lijst van de Europese Unie).
Uitgangspunten voor een gedigitaliseerde koopovereenkomst
Voor een overeenkomst (koop, levering, hypotheek, etc.) of ander document (taxatierapport, offerte, etc.) waarin (persoonlijke) data worden gebruikt, gelden een aantal basale uitgangspunten. Deze zijn hieronder in de vorm van een User Story geformuleerd.
Identificatie
US1. Als consument wil ik mij, in overeenstemming met actuele beveiligingsnormen, kunnen identificeren en authenticeren zodat onbevoegden geen toegang krijgen tot mijn data en alleen ik of degene die ik heb gemachtigd mijn data kan beheren en (al dan niet tijdelijk) toestemming kan geven aan degenen die mijn data mogen zien én ik met mijn digitale identiteit een digitale handtekening kan zetten.