frank robben
DESCRIPTION
De aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens het principe van de cirkels van vertrouwen. Frank Robben. Documentatie. CBPL-aanbeveling nr. 01/2008 (24/09/08) - PowerPoint PPT PresentationTRANSCRIPT
De aanbeveling van de Commissie voor de Bescherming van de
Persoonlijke Levenssfeer inzake gebruikers- en toegangsbeheer in de overheidssector volgens het principe
van de cirkels van vertrouwen
Frank Robben
Documentatie
• CBPL-aanbeveling nr. 01/2008 (24/09/08)– http://www.privacycommission.be/nl/docs/
Commission/2008/aanbeveling_01_2008.pdf
• CBPL-aanbeveling nr. 03/2010 (09/06/10)– http://www.privacycommission.be/nl/docs/
Commission/2010/aanbeveling_03_2010.pdf
Probleemstelling
• elektronische dienstverlening biedt de mogelijkheid om een zicht te krijgen op (soms gevoelige) persoonsgegevens
• er moet worden gewaarborgd dat enkel bevoegde personen toegang kunnen krijgen
• er moet worden gewaarborgd dat de bevoegde personen enkel de handelingen kunnen stellen waartoe ze gerechtigd zijn
Oplossing
• uitbouw van een gecoördineerd systeem van gebruikers- en toegangsbeheer
• bij voorkeur gebaseerd op– de elektronische identiteitskaart (eID)– gevalideerde en gedistribueerde databanken
(authentieke bronnen)
Verschillende aspecten
• gebruikersbeheer– registratie van de identiteit– identificatie– authenticatie van de identiteit– registratie van kenmerken en mandaten– verificatie van kenmerken en mandaten
• toegangsbeheer– registratie van autorisaties– verificatie van autorisaties
Terminologie (1/4)
• identiteit– een uniek nummer of een reeks attributen van de
gebruiker (natuurlijke persoon, onderneming, vestiging van onderneming,…) die toelaten om eenduidig te weten wie de gebruiker is
– een entiteit heeft één en slechts één identiteit
• kenmerk– een attribuut van een gebruiker, ander dan de
attributen die de identiteit van de gebruiker bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie,...
– een gebruiker kan verschillende kenmerken hebben
Terminologie (2/4)• mandaat
– een recht verstrekt door een geïdentificeerde gebruiker aan een andere geïdentificeerde gebruiker om in zijn naam en voor zijn rekening welbepaalde (juridische) handelingen te stellen
– een gebruiker kan aan één of meerdere gebruikers één of meerdere mandaten verstrekken
• registratie– het proces waarbij de identiteit van een gebruiker,
een kenmerk van een gebruiker of een mandaat van een gebruiker met voldoende zekerheid wordt vastgesteld vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd
Terminologie (3/4)
• authenticatie van de identiteit van de gebruiker– het proces waarbij wordt nagegaan of de identiteit die
een gebruiker beweert te hebben om gebruik te kunnen maken van een elektronische dienst de juiste identiteit is
– kan gebeuren op basis van een controle van• kennis (vb. een paswoord)• bezit (vb. een certificaat op een elektronisch leesbare kaart)• biometrische eigenschap(pen)• een combinatie van één of meerdere van deze middelen
Terminologie (4/4)• verificatie van een kenmerk of een mandaat
– het proces waarbij wordt nagegaan of een kenmerk of mandaat dat een gebruiker beweert te hebben om gebruik te kunnen maken van een elektronische dienst effectief een kenmerk of een mandaat van deze gebruiker is
– kan gebeuren op basis van• dezelfde soort middelen als deze voor authenticatie van de
identiteit• na authenticatie van de identiteit van een gebruiker door de
raadpleging van een authentieke bron met kenmerken of mandaten aangaande een geïdentificeerde entiteit
• autorisatie– de toelating voor een gebruiker om een welbepaalde
verwerking te verrichten of een welbepaalde dienst te gebruiken
Registratie
• goede registratie van identiteit, relevante kenmerken en relevante mandaten vormt de grondslag van het systeem– toepassen van het gebruikers- en toegangsbeheer
houdt in dat de identiteit, relevante kenmerken en relevante mandaten van de gebruiker kunnen worden gecontroleerd aan de hand van betrouwbare bronnen
• geregistreerde informatie moet permanent geactualiseerd worden– wijzigingen van kenmerken en mandaten kunnen een
invloed hebben op de toegangsrechten van de gebruiker
Authenticatie van de identiteit
• bij voorkeur aan de hand van de eID• voordelen van de eID
– combineert het bezit van een specifiek document met het beschikken over bepaalde kennis (pincode)
– wettelijk beschermd officieel document– uitgereikt door de overheid– verlies/diefstal zal snel worden opgemerkt door de
rechtmatige bezitter– vinder/dief kan eID niet gebruiken zonder kennis van
de pincode– elektronische functies kunnen worden geschorst of
ingetrokken bij aangifte van verlies/diefstal
Verificatie kenmerken en mandaten
• kan niet aan de hand van de eID want die is enkel een instrument van identificatie en authenticatie van de identiteit
• moet dus gebeuren langs andere kanalen– niet wenselijk om te vertrouwen op niet-gevalideerde
informatie verstrekt door de gebruiker zelf– elementen moeten kunnen worden gecontroleerd
door een bron die waarborgen biedt inzake correctheid en actualiteit
– beheerder van de gevalideerde authentieke bron is verantwoordelijk voor de beschikbaarheid en de kwaliteit van de geregistreerde informatie
Verificatie kenmerken en mandaten
• inventaris van gevalideerde authentieke bronnen is cruciaal
• voorbeelden– Kruispuntbank van Ondernemingen– kadaster van zorgverstrekkers (FOD Volksgezondheid)– databank RIZIV-erkenningen– databanken gereglementeerde beroepen
• advocaten, notarissen, gerechtsdeurwaarders
• bij gebrek aan een bestaande gevalideerde authentieke bron moet worden nagegaan waar eventueel informatie beschikbaar is– die bron kan dan eventueel het statuut van gevalideerde
authentieke bron krijgen
Toegangsbeheer
• sluitstuk van het gebruikers- en toegangsbeheer• bestaat uit registratie en verificatie
– registratie van autorisaties impliceert het ingeven van autorisaties in een authentieke bron door de aanbieder van een elektronische dienst met specificatie van welke verwerkingen mogen worden verricht m.b.t. welke diensten onder welke voorwaarden gedurende welke tijdsperiode
– verificatie van autorisaties impliceert de raadpleging van de relevante authentieke bronnen van autorisaties
Cirkels van vertrouwen
• een efficiënt gebruikers- en toegangsbeheer (wie heeft toegang tot wat) veronderstelt samenwerking tussen de verschillende “schakels” in de “ketting”
• doel– vermijden van onnodige centralisatie– vermijden van onnodige bedreigingen voor de
persoonlijke levenssfeer– vermijden van meervoudige identieke controles en
opslag van loggings
Cirkels van vertrouwen
• methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake– wie welke authenticaties, verificaties en controles verricht aan de
hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is
– hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld
– wie welke loggings bijhoudt– hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief
van een controleorgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt
Voorbeeld
• artikel 6 wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfs-documenten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen
• de houder van de eID heeft recht op kennisname van alle instanties die gedurende de laatste zes maanden zijn gegevens bij het Rijksregister hebben geraadpleegd
Voorbeeld
• om aan het verzoek van de houder van de eID tegemoet te komen, is het vereist dat wordt bijgehouden wie het Rijksregister heeft geraadpleegd
• moet het Rijksregister echter zelf op de hoogte zijn van de identiteit van de eindgebruiker of volstaat het dat een andere instantie die informatie bijhoudt?
Voorbeeld• binnen de sociale zekerheid
– het Rijksregister weet enkel dat er een raadpleging vanuit het netwerk van de sociale zekerheid is geweest
– de KSZ weet enkel dat er via een instelling van sociale zekerheid uit haar primair netwerk een raadpleging is geweest
– de instelling van sociale zekerheid uit het primair netwerk weet in voorkomend geval enkel welke instelling van sociale zekerheid uit haar secundair netwerk een raadpleging heeft verricht
– het is enkel de raadplegende instelling van sociale zekerheid die kennis heeft van de identiteit van de natuurlijke persoon (medewerker) die de raadpleging concreet heeft verricht
Voorbeeld• standpunt CBPL
– bij onrechtstreekse raadpleging (bv. via de KSZ) stelt zich de vraag of de informatie m.b.t. de eindbestemmeling door het Rijksregister moet bijgehouden worden
– de CBPL stelt vast dat de wet van 19 juli 1991 dit niet oplegt
– de CBPL merkt op dat het Rijksregister daardoor zelfs in bepaalde gevallen toegang zouden kunnen krijgen tot gevoelige informatie over de betrokken personen (bv. de naam van het ziekenfonds waarbij zij aangesloten zijn)
– het opslaan van de identiteit van de eindgebruiker van een raadpleging van het Rijksregister door het Rijksregister zelf houdt een onnodige schending van de persoonlijke levenssfeer in en is disproportioneel in het licht van de “circles of trust”
Gebruiker
Policy
Toepassing (PEP )
Toepassing
Policy
Beslissing (PDP)
Actie op
toepassing Beslissingsaanvraag
Beslissingsantwoord
Actieop
toepassingTOEGESTAAN
Policy Informatie
(PIP)
InformatieVraag /
Antwoord
Policy Administratie(PAP)
Ophalenpolicies
Authentieke bron
Policy Informatie
(PIP)
Informatievraag /
antwoord
Policy repository
Actieop
toepassingGEWEIGERD
Beheerder
Autorisatiebeheer
Authentieke bron
Policy enforcement model
Policy Enforcement Point (PEP)
• onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving
• de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen
• toegang verlenen tot de toepassing en relevante credentials meegeven
GebruikerPolicy
Toepassing (PEP)
Toepassing
PolicyBeslissing (PDP)
Actie op
toepassing Beslissingsaanvraag
Beslissingsantwoord
Actieop
toepassingTOEGESTAAN
Actieop
toepassingGEWEIGERD
Policy Decision Point (PDP)• op basis van de ontvangen autorisatieaanvraag de
passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP)
• de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP)
• de autorisatiebeslissing nemen en doorsturen naar het PEP
Policy Toepassing
(PEP)
PolicyBeslissing (PDP)
Beslissingsaanvraag
Beslissingsantwoord
Policy Informatie (PIP)
Vraag / Antwoord
Policy Administratie(PAP)
OphalenPolicies
Policy Informatie (PIP)
InformatieVraag /
Antwoord
Informatie
Policy Administration Point (PAP)
• omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing
• ter beschikking stellen van de autorisation policies aan het PDP
PDPPAP
OphalenPolicies
Beheerder
Autorisatiebeheer
Policyrepository
Policy Information Point (PIP)
• ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten,…)
PDP
PIP 1
InformatieVraag/Antwoord
Authentieke bron
PIP 2
Authentieke bron
InformatieVraag/Antwoord