250 likes | 415 Views
De aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens het principe van de cirkels van vertrouwen. Frank Robben. Documentatie. CBPL-aanbeveling nr. 01/2008 (24/09/08)
E N D
De aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens het principe van de cirkels van vertrouwen Frank Robben
Documentatie • CBPL-aanbeveling nr. 01/2008 (24/09/08) • http://www.privacycommission.be/nl/docs/ Commission/2008/aanbeveling_01_2008.pdf • CBPL-aanbeveling nr. 03/2010 (09/06/10) • http://www.privacycommission.be/nl/docs/ Commission/2010/aanbeveling_03_2010.pdf
Probleemstelling • elektronische dienstverlening biedt de mogelijkheid om een zicht te krijgen op (soms gevoelige) persoonsgegevens • er moet worden gewaarborgd dat enkel bevoegde personen toegang kunnen krijgen • er moet worden gewaarborgd dat de bevoegde personen enkel de handelingen kunnen stellen waartoe ze gerechtigd zijn
Oplossing • uitbouw van een gecoördineerd systeem van gebruikers- en toegangsbeheer • bij voorkeur gebaseerd op • de elektronische identiteitskaart (eID) • gevalideerde en gedistribueerde databanken (authentieke bronnen)
Verschillende aspecten • gebruikersbeheer • registratie van de identiteit • identificatie • authenticatie van de identiteit • registratie van kenmerken en mandaten • verificatie van kenmerken en mandaten • toegangsbeheer • registratie van autorisaties • verificatie van autorisaties
Terminologie (1/4) • identiteit • een uniek nummer of een reeks attributen van de gebruiker (natuurlijke persoon, onderneming, vestiging van onderneming,…) die toelaten om eenduidig te weten wie de gebruiker is • een entiteit heeft één en slechts één identiteit • kenmerk • een attribuut van een gebruiker, ander dan de attributen die de identiteit van de gebruiker bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie,... • een gebruiker kan verschillende kenmerken hebben
Terminologie (2/4) • mandaat • een recht verstrekt door een geïdentificeerde gebruiker aan een andere geïdentificeerde gebruiker om in zijn naam en voor zijn rekening welbepaalde (juridische) handelingen te stellen • een gebruiker kan aan één of meerdere gebruikers één of meerdere mandaten verstrekken • registratie • het proces waarbij de identiteit van een gebruiker, een kenmerk van een gebruiker of een mandaat van een gebruiker met voldoende zekerheid wordt vastgesteld vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd
Terminologie (3/4) • authenticatie van de identiteit van de gebruiker • het proces waarbij wordt nagegaan of de identiteit die een gebruiker beweert te hebben om gebruik te kunnen maken van een elektronische dienst de juiste identiteit is • kan gebeuren op basis van een controle van • kennis (vb. een paswoord) • bezit (vb. een certificaat op een elektronisch leesbare kaart) • biometrische eigenschap(pen) • een combinatie van één of meerdere van deze middelen
Terminologie (4/4) • verificatie van een kenmerk of een mandaat • het proces waarbij wordt nagegaan of een kenmerk of mandaat dat een gebruiker beweert te hebben om gebruik te kunnen maken van een elektronische dienst effectief een kenmerk of een mandaat van deze gebruiker is • kan gebeuren op basis van • dezelfde soort middelen als deze voor authenticatie van de identiteit • na authenticatie van de identiteit van een gebruiker door de raadpleging van een authentieke bron met kenmerken of mandaten aangaande een geïdentificeerde entiteit • autorisatie • de toelating voor een gebruiker om een welbepaalde verwerking te verrichten of een welbepaalde dienst te gebruiken
Registratie • goede registratie van identiteit, relevante kenmerken en relevante mandaten vormt de grondslag van het systeem • toepassen van het gebruikers- en toegangsbeheer houdt in dat de identiteit, relevante kenmerken en relevante mandaten van de gebruiker kunnen worden gecontroleerd aan de hand van betrouwbare bronnen • geregistreerde informatie moet permanent geactualiseerd worden • wijzigingen van kenmerken en mandaten kunnen een invloed hebben op de toegangsrechten van de gebruiker
Authenticatie van de identiteit • bij voorkeur aan de hand van de eID • voordelen van de eID • combineert het bezit van een specifiek document met het beschikken over bepaalde kennis (pincode) • wettelijk beschermd officieel document • uitgereikt door de overheid • verlies/diefstal zal snel worden opgemerkt door de rechtmatige bezitter • vinder/dief kan eID niet gebruiken zonder kennis van de pincode • elektronische functies kunnen worden geschorst of ingetrokken bij aangifte van verlies/diefstal
Verificatie kenmerken en mandaten • kan niet aan de hand van de eID want die is enkel een instrument van identificatie en authenticatie van de identiteit • moet dus gebeuren langs andere kanalen • niet wenselijk om te vertrouwen op niet-gevalideerde informatie verstrekt door de gebruiker zelf • elementen moeten kunnen worden gecontroleerd door een bron die waarborgen biedt inzake correctheid en actualiteit • beheerder van de gevalideerde authentieke bron is verantwoordelijk voor de beschikbaarheid en de kwaliteit van de geregistreerde informatie
Verificatie kenmerken en mandaten • inventaris van gevalideerde authentieke bronnen is cruciaal • voorbeelden • Kruispuntbank van Ondernemingen • kadaster van zorgverstrekkers (FOD Volksgezondheid) • databank RIZIV-erkenningen • databanken gereglementeerde beroepen • advocaten, notarissen, gerechtsdeurwaarders • bij gebrek aan een bestaande gevalideerde authentieke bron moet worden nagegaan waar eventueel informatie beschikbaar is • die bron kan dan eventueel het statuut van gevalideerde authentieke bron krijgen
Toegangsbeheer • sluitstuk van het gebruikers- en toegangsbeheer • bestaat uit registratie en verificatie • registratie van autorisaties impliceert het ingeven van autorisaties in een authentieke bron door de aanbieder van een elektronische dienst met specificatie van welke verwerkingen mogen worden verricht m.b.t. welke diensten onder welke voorwaarden gedurende welke tijdsperiode • verificatie van autorisaties impliceert de raadpleging van de relevante authentieke bronnen van autorisaties
Cirkels van vertrouwen • een efficiënt gebruikers- en toegangsbeheer (wie heeft toegang tot wat) veronderstelt samenwerking tussen de verschillende “schakels” in de “ketting” • doel • vermijden van onnodige centralisatie • vermijden van onnodige bedreigingen voor de persoonlijke levenssfeer • vermijden van meervoudige identieke controles en opslag van loggings
Cirkels van vertrouwen • methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake • wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is • hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld • wie welke loggings bijhoudt • hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controleorgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt
Voorbeeld • artikel 6 wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfs-documenten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen • de houder van de eID heeft recht op kennisname van alle instanties die gedurende de laatste zes maanden zijn gegevens bij het Rijksregister hebben geraadpleegd
Voorbeeld • om aan het verzoek van de houder van de eID tegemoet te komen, is het vereist dat wordt bijgehouden wie het Rijksregister heeft geraadpleegd • moet het Rijksregister echter zelf op de hoogte zijn van de identiteit van de eindgebruiker of volstaat het dat een andere instantie die informatie bijhoudt?
Voorbeeld • binnen de sociale zekerheid • het Rijksregister weet enkel dat er een raadpleging vanuit het netwerk van de sociale zekerheid is geweest • de KSZ weet enkel dat er via een instelling van sociale zekerheid uit haar primair netwerk een raadpleging is geweest • de instelling van sociale zekerheid uit het primair netwerk weet in voorkomend geval enkel welke instelling van sociale zekerheid uit haar secundair netwerk een raadpleging heeft verricht • het is enkel de raadplegende instelling van sociale zekerheid die kennis heeft van de identiteit van de natuurlijke persoon (medewerker) die de raadpleging concreet heeft verricht
Voorbeeld • standpunt CBPL • bij onrechtstreekse raadpleging (bv. via de KSZ) stelt zich de vraag of de informatie m.b.t. de eindbestemmeling door het Rijksregister moet bijgehouden worden • de CBPL stelt vast dat de wet van 19 juli 1991 dit niet oplegt • de CBPL merkt op dat het Rijksregister daardoor zelfs in bepaalde gevallen toegang zouden kunnen krijgen tot gevoelige informatie over de betrokken personen (bv. de naam van het ziekenfonds waarbij zij aangesloten zijn) • het opslaan van de identiteit van de eindgebruiker van een raadpleging van het Rijksregister door het Rijksregister zelf houdt een onnodige schending van de persoonlijke levenssfeer in en is disproportioneel in het licht van de “circles of trust”
Policy enforcement model Actie op Actie toepassing op Policy GEWEIGERD toepassing Gebruiker Toepassing Toepassing TOEGESTAAN ( PEP ) Actie op toepassing Beslissings Beslissings aanvraag antwoord Informatie vraag / Policy Ophalen antwoord policies Beslissing ( PDP ) Informatie Vraag / Antwoord Autorisatie Policy Administratie Policy Informatie Policy Informatie beheer ( PAP ) ( PIP ) ( PIP ) Beheerder Authentieke bron Authentieke bron Policy repository
Policy Enforcement Point (PEP) • onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving • de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen • toegang verlenen tot de toepassing en relevante credentials meegeven Actie op Actie toepassing op Policy GEWEIGERD toepassing Gebruiker Toepassing Toepassing TOEGESTAAN ( PEP ) Actie op toepassing Beslissings Beslissings aanvraag antwoord Policy Beslissing ( PDP )
Policy Decision Point (PDP) • op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP) • de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP) • de autorisatiebeslissing nemen en doorsturen naar het PEP Policy Toepassing ( PEP ) Beslissings Beslissings aanvraag antwoord Informatie Vraag / Policy Ophalen Antwoord Policies Beslissing ( PDP ) Informatie Vraag / Antwoord Policy Administratie Policy Informatie Policy Informatie ( PAP ) ( PIP ) ( PIP )
Policy Administration Point (PAP) • omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing • ter beschikking stellen van de autorisation policies aan het PDP Autorisatie Ophalen beheer Policies PDP PAP Beheerder Policy repository
Policy Information Point (PIP) • ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten,…) Informatie Vraag/ Antwoord PDP Informatie Vraag/ Antwoord PIP 1 PIP 2 Authentieke bron Authentieke bron