Deze maatregel borgt dat authenticatie van personen en autorisatie tot hun persoonlijke gegevens betrouwbaar plaatsvindt en effectief en veilig is ingericht.

Authenticatie en autorisatie van personen (eindgebruikers) moet plaatsvinden aansluitend bij het Informatieclassificatiebeleid en het bijbehorende eIDAS niveau (zie Forum Standaardisatie en Logius). 

De rechten die gebruikers hebben binnen applicaties (inclusief beheerders) zijn zo ingericht dat autorisaties kunnen worden toegewezen aan organisatorische functies en scheiding van niet verenigbare autorisaties mogelijk is.

Misbruik van applicaties in het ecosysteem kan plaats vinden doordat een gebruiker effectief meer rechten, of combinaties van rechten heeft dan gewenst.

A.9.4.1 Beperking toegang tot informatie

• Stel vast dat aan het vereiste authenticatie- en autorisatieniveau wordt voldaan in het toegang geven van personen tot informatie. 

• Stel vast dat voldoende maatregelen zijn ingericht die waarborgen dat na succesvolle authenticatie de personen alleen toegang krijgen tot hun eigen persoonlijke gegevens.

• Welke informatie / procedures (incl. versienummers) zijn ingezien. 

• Ondersteunende bewijslast m.b.t. de ingerichte maatregelen. Dit omvat bijvoorbeeld gedocumenteerde use-cases of het uitvoeren van een ‘walk through’ vanuit het perspectief van de eindgebruiker.

• Met wie gesproken is ter bevestiging van toepassing van de maatregelen.