Masterplan eID vs1 00 def.pdf

MASTERPLANeID

Versiegeschiedenis:

Versie Datum Geadresseerden Aanpassingen

Vs 0.80 28 mei 2014 StuurgroepeID Versie t.b.v. StuurgroepeID 05-06-2014

Vs 0.95 4 juli 2014 StuurgroepeID Inhoudelijk vastgesteld door StuurgroepeID 10-07-2014

Vs 1.00 11 september 2014 StuurgroepeID Integraal, inclusief financiën separaat, vastgesteld door

StuurgroepeID van 11-09-2014

Versiebeheer: op de definitieve versies van dit document is versiebeheer van toepassing. Definitieve versies hebben een geheel getal als

nummer.

Verantwoordelijk programmamanagement

Carlo Koch, Gerrit Jan van ‘t Eind

Concipiënt

Bart Schmidt

Versie

Versie 1.00

Status

Definitief

Titel

MasterplaneID

Datum vaststelling

11 september 2014

Toelichting bij publicatie van

deze versie van het Masterplan

in oktober 2014

Het Masterplan eID is een

werkdocument bedoeld voor de

operationele sturing van het eID

programma en de ambtelijke

sturing door de stuurgroep.

Deze 1.00-versie is in de

zomerperiode 2014 totstand-

gekomen. In de inmiddels

verstreken programmaperiode is op

een aantal onderdelen het inzicht

inmiddels veranderd en/of is de

programmakoers bijgesteld.

Programma eID Vs1.00 2

Programma eID

Index

Managementsamenvatting

1 Over dit document 8

2 Programmadefinitie

2.1 Aanleiding eID Stelsel 9

2.2 Doelen Programma eID 9

2.3 Uitgangspunten 11

2.4 Scope & afbakening 13

2.5 Draagvlak onder private partijen binnen het eID Stelsel 14

2.6 Planning 14

2.7 Inrichting Kwaliteitsborging t.b.v. het programma eID 16

3 Stand van zaken Programma / projecten

3.1 Afsprakenstelsel 17

3.2 Stand van zaken projecten mei 2014 17

4 Hoofdplateau 1

4.1 Inleiding 21

4.2 Pilots 22

4.3 Realisatie voorzieningen 23

4.3.1 Realisatie stelselvoorzieningen 23

4.3.2 Aanpassingen DigiD 24

4.3.3 Realiseren private eID diensten 25

4.3.4 Aansluiten dienstaanbieders 25

4.4 Kritische succesfactoren 25

5 Implementatie

5.1 Implementatie, migratie en roadmap 27

5.2 Het Publieke Middel voor het BSN-domein op hoog niveau. 28

5.3 Communicatie (migratie) 30

5.4 Businessmodel 30

5.5 Afsprakenstelsel eID 32

5.6 Internationaal 34

6 Governance eID stelsel

6.1 Scope en afbakening 36

6.2 eID-platform 36

6.3 Opdrachtformulering 37

6.4 Forum standaardisatie 38

6.5 De voorgestelde aanpak en planning 38

7 Beheer eID

7.1 Inrichten beheerorganisatie eID Stelsel 39

7.2 Betrouwbaarheidsniveaus 40

7.3 Toezicht 40


8 Juridische aspecten

8.1 Wetgeving 43

8.2 Juridisch kader pilots 46

8.3 Juridische onderdelen afsprakenstelsel 46

8.4 Advisering over overige juridische aspecten 46

9 Communicatie extern

9.1 Inleiding 47

9.2 Doelstelling en resultaten 47

9.3 Aanpak 47

9.4 Naamgeving 48

9.5 Woordvoering, media en stakeholders 48

10 Programmamanagementstructuur

10.1 Inrichting 50

10.2 Besluitvormings- en overlegstructuur 50

10.3 Inrichting projecten 53

10.4 Communicatie 55

10.5 Positionering 56

Bijlage 1 Risicomanagement

Bijlage 2 Programmaproducten

Bijlage 3 Bestaande normenkaders

Bijlage 4 Brondocumenten


Managementsamenvatting MasterplaneID

Algemeen Dit document is het MasterplaneID vs. 1.0 voor het programma eID. In dit MasterplaneID zijn de

uitgangspunten voor het programma herijkt en afgestemd met de betrokken organisaties in de

StuurgroepeID. Zo is er een gedeelde lijn met betrekking tot de publieke middelen en is er een door

alle betrokken publieke organisaties onderschreven ontwikkelingslijn geformuleerd. Ten slotte is er

gekozen voor een eenduidige lijn met betrekking tot het juridisch traject, waarin alle betrokken

departementen bijdragen leveren.

De sturing van het programma is aangepast. De StuurgroepeID wordt voorbereid door een overleg

op tactisch niveau, het BAOeID (Beleids en Adviesoverleg eID), waarin de adviseurs van de

StuurgroepeID gezamenlijk de StuurgroepeID voorbereiden onder leiding van het

programmamanagement. Er is een PVOeID (Programma Voortgangsoverleg eID) waarin de

projectleiders met elkaar de voortgang bespreken en de inhoudelijke afstemming bewaken. Het

interne communicatieproces is er op gericht dat elke betrokkene op de hoogte is van wat er speelt

en welke besluiten er zijn genomen. De gekozen werkwijze leidt soms tot compromissen, waarbij

één of meerdere organisaties water bij de wijn hebben moeten doen. Maar: in een succesvol

programma zullen altijd compromissen moeten worden gesloten, want: als “iedereen alles wil”

krijgt “niemand iets”.

De missie van het eID Stelsel is als volgt geformuleerd:

Het eID Stelsel maakt het mogelijk om de online identiteit en bevoegdheid van een persoon

optimaal vast te stellen, zodat mensen kunnen vertrouwen op online dienstverlening van de

overheid en het bedrijfsleven.

Deze missie van het eID Stelsel kan worden vertaald in de volgende hoofddoelstelling van het

Programma eID:

Het opzetten van het eID Stelsel, dat het mogelijk maakt om de identiteit en bevoegdheid van

burgers en bedrijven met een voor de relevante transactiedienst voldoende mate van zekerheid

vast te stellen.

Planning

Dit document bevat een vernieuwde samenhangende planning van de verdere ontwikkeling van het

eID Stelsel. In die zin is het een herbevestiging van eerdere besluiten. De programmaplanning is

gebaseerd op een stip op de horizon in 2017. De weg daar naartoe is onderverdeeld in drie

hoofdplateaus, waarvan het eerste eind 2015 is gerealiseerd. De hiervoor benoemde

hoofddoelstelling leidt voor dat eerste hoofdplateau tot de volgende doelstelling:

Het opleveren van een eerste werkend eID Stelsel, dat getest is in Proofs of Technology (POT’s) en

Proofs of Concept (POC’s) en waarbinnen verschillende pilots draaien in productie.

De kritieke uitgangspunten voor het programma zijn in de StuurgroepeID van 5 juni voorgelegd. Zo

is onder meer de multimiddelenstrategie (i.c. het naast elkaar bestaan van private en publieke

leveranciers van authenticatiemiddelen) herbevestigd.


Hoofdplateau 1

In hoofdplateau 1 worden verschillende voorzieningen ontwikkeld en ingericht. Te denken valt o.m.

aan een Stelselregistratiedienst1, de testfaciliteit en de dienstencatalogus. Benoemd worden tevens

de aanpassingen DigiD, “Machtigingen” en eHerkenning. Hier is voortgang nodig om de pilots in de

2e helft van 2015 te kunnen starten.

POC’s en POT’s

In september 2014 worden de Proofs of Concept (POC’s) en Proofs of technology (POT’s) ten

behoeve van versie 2.0 van het Afsprakenstelsel afgewikkeld en dit wordt eind 2014 bestuurlijk

afgehecht. Er is inmiddels gestart met de trajecten inzake de POC's/POT's. In dit MasterplaneID

wordt voorgesteld om de ontwikkelde RDA-methodiek zo snel mogelijk te laten beproeven en

verder uit te laten werken. Belangrijk is dat in dit RDA-traject ook inzicht wordt verkregen in de

impact op DigiD.

Pilots

Er wordt een pilotplan opgesteld met daarin de doelen die met de pilots worden beoogd. Daarbij

wordt regie gevoerd over de totstandkoming van het pilotplan door het programmamanagement.

De pilots zullen ‘echte’ productie zijn en de pilots worden geduid als Productie Hoofdplateau 1 van

het eID Stelsel. Ook hiervoor geldt het uitgangspunt van level playing field uit het “Afwegingskader

Publiek Privaat”.

Het uitgangspunt van het pilotplan is dat we de multi-middelen strategie in productie beproeven.

Over de pilots en de planning van de pilots worden in oktober 2014 in de StuurgroepeID besluiten

genomen. Het streven is om de pilots medio 2015 te starten. Aan de hand van de resultaten

kunnen dan door publieke èn private partijen besluiten worden genomen over de planning van het

vervolg (de gewenste massale uitrol). Er wordt nog nagegaan op welke wijze zoveel mogelijk

snelheid kan worden gerealiseerd met de pilots.

De StuurgroepeID heeft op 5 juni jl. besloten dat er versneld gewerkt moet worden aan de

ontwikkeling van de voor de pilots noodzakelijke centrale voorzieningen (zoals de

Stelselregistratiedienst en het BSN-koppelregister).

Het publieke middel

Tot nu toe was er onvoldoende helderheid over het publieke middel. In dit MasterplaneID wordt de

volgende lijn gekozen:

De publieke middelen worden in de lijn, i.c. het betrokken departement, (door)ontwikkeld en

gerealiseerd, inclusief de daarvoor benodigde wetgeving. De overall coördinatie op alle

gezamenlijke activiteiten en check op compliancy van deze middelen en hun ‘leveranciers’ met de

Stelselspecificaties verloopt via de StuurgroepeID, zodat alle onderdelen van het eID Stelsel bij

elkaar komen.

In dit MasterplaneID is wel een aantal uitgangspunten geformuleerd ten aanzien van de publieke

middelen teneinde, via de StuurgroepeID, de samenhang met het programma te borgen.

1 Aanvankelijk had deze voorziening als werktitel ‘Stelselautoriteit’. Dit suggereert een juridische identiteit terwijl het een voorziening is.


Implementatie

In de Roadmap worden een Hoofdspoor en een migratiespoor onderkend. In het migratiespoor

worden per plateau de technische voorzieningen benoemd die noodzakelijk zijn. Om de gestelde

ambitie van het starten van de pilots medio 2015 te halen, dienen verschillende zaken te zijn

gerealiseerd.

Governance

Voor de inrichting van de governance op het eID stelsel wordt gekeken naar ‘best practices’ van

onder meer Standard Business Reporting (SBR) en eHerkenning. De planning hiervan stuurt erop

aan om eind 2014 een voorstel voor de definitieve governance in het eID-platform voor te leggen.

Beheerorganisatie

De (tijdelijke) beheerorganisatie richt zich op stelselbeheer (niet op het beheer van individuele

voorzieningen en middelen). Het project Inrichting beheerorganisatie stelt zich ten doel op 1

januari 2015 zover te zijn, dat men gereed is om het eID-afsprakenstelsel in beheer te nemen

zodra dat gereed (genoeg) is.

Toezicht

Vertrouwen en veiligheid zijn de kritische succesfactoren voor het eID Stelsel.

Essentiële onderdelen daarvan zijn specifieke overheidstaken. Dat vereist dat er aan de hoogste

betrouwbaarheidsnormen wordt voldaan bij de inrichting en gebruik van het eID Stelsel. Een streng

(en onafhankelijk) toezicht is noodzakelijk om het vertrouwen in het systeem te borgen.

Wetgeving en juridische aspecten

In het MasterplaneID wordt een voorstel gedaan voor de planning van het wetgevingstraject. Voorts

is vastgesteld om de verschillende juridische werkgroepen te integreren tot één Juridische

WerkgroepeID onder aansturing van het programmamanagement. Deze werkgroep is, in

samenwerking met de wetgevingsdirecties van BZK en EZ, ook verantwoordelijk voor het

wetgevingstraject voor het eID Stelsel (waarbij de specifieke wetgeving voor publieke middelen in

de lijn is belegd en de overall-coördinatie bij het programma). In de prioritering van de Juridische

WerkgroepeID wordt als eerste bezien wat er nodig is voor de pilots. De startnotitie voor het

wetgevingstraject, waar al stappen zijn gezet, is in juli 2014 in de StuurgroepeID besproken.

Wetgeving rondom eID zal worden gecoördineerd met en worden ingepast binnen het op te zetten

overheidsbrede wetgevingsprogramma voor Digitale Infrastructuur. Omdat dit de

verantwoordelijkheid is van de Nationaal Commissaris Digitale Overheid, zal dit worden afgestemd

met de Nationaal Commissaris i/o.

In de Juridische WerkgroepeID zullen naast wetgeving ook de civielrechtelijke aspecten worden

opgepakt, zoals aansluitvoorwaarden en Dienstenniveauovereenkomsten.

Communicatie

Eerder is er voor gekozen om alles rondom de elektronische identiteit met de naam eID Stelsel te

duiden. De naam eID Stelsel blijkt echter merkenrechtelijk niet bruikbaar. Om die reden heeft het

programma een onderzoek gedaan naar een andere naam voor het eID Stelsel. Deze nieuwe naam

is bekend en goedgekeurd door de StuurgroepeID en de minister. Het ProgrammabureaueID werkt

aan een strategie voor de lancering van de nieuwe naam.


De positionering van het ProgrammabureaueID en de netwerkorganisatie

In dit MasterplaneID wordt voorgesteld om de netwerkorganisatie te handhaven. Het

programmamanagement stelt voor het programmabureau organiek onder te brengen bij ICTU,

waarbij de inhoudelijke sturing volledig en uitsluitend bij de StuurgroepeID blijft liggen.

In het programma wordt onderscheid gemaakt tussen beleidsmatige activiteiten bij BZK en EZ en

activiteiten die onder de verantwoordelijkheid van het programmamanagement worden uitgevoerd.


1.0 Over dit document

Dit document is het MasterplaneID voor het programma eID, een door de StuurgroepeID

goedgekeurde herijking van het Programmaplan eID2. Herijking van zowel de doelen en de

aanpak, als van de eerdere besluiten van de StuurgroepeID. Ook de hoofdlijnen van de

programmaplanning zijn bijgesteld op basis van ontwikkelingen en inzichten. De

onderliggende projectplanningen worden waar nodig nog aangepast op de bijstellingen in dit

plan.

Verder omvat dit MasterplaneID een analyse van hetgeen onderdeel uitmaakt van het

programma en waar de “lijn” voor verantwoordelijk is. Omdat lijn en programma qua

besluitvorming congruent zullen moeten zijn, wordt in dit plan ook ingegaan op de sturing en

de samenhang in de sturing.

Dit plan is in overleg met medewerkers uit het (ambtelijke) programma tot stand gekomen3.

Het is dan ook nadrukkelijk geschreven vanuit het perspectief van het programma.

2 Programmaplan eID, versie 0.995, dd. 19 september 2013, programmamanager Albert de Vries.

3 Een aanzet van het Masterplan eID is ontwikkeld in de Heidagen van het programma op 6 en 7 mei 2014. In het eID-

Platform van 21 mei en 3 september 2014 is een presentatie gegeven over het Masterplan.


2.0 Programmadefinitie

2.1 Aanleiding eID Stelsel

De Nederlandse economie maakt dagelijks gebruik van de mogelijkheden die internet te

bieden heeft en is er inmiddels sterk van afhankelijk. Denk aan het ophalen en uitwisselen

van informatie, het delen van privacygevoelige gegevens en financiële transacties.

Die afhankelijkheid zorgt voor een groot belang van vertrouwen in online identificatie en

autorisatie. Het met grote zekerheid kunnen vaststellen van iemands identiteit en

bevoegdheid is cruciaal in een online samenleving. Daartegenover wordt fraudebestrijding

steeds complexer en neemt de complexiteit van systemen toe en daarmee ook het beheer en

de kosten ervan.

Een van de kerntaken van de Nederlandse overheid is om kaders en voorwaarden te

scheppen voor een goed functionerende maatschappij, zo ook online. Een betrouwbare

vaststelling van iemands online identiteit en waartoe deze persoon bevoegd is om online

transacties te mogen uitvoeren staat aan de basis hiervan.

Er is binnen de overheid en het bedrijfsleven een sterke behoefte aan een standaard in

betrouwbare online identiteitsvaststelling die toekomstbestendig is en past binnen het

Europese kader: het eID Stelsel. Vanwege die breed gedragen behoefte zijn de overheid en

het bedrijfsleven een samenwerking aangegaan in het eID-platform. Daarmee geven zij aan

samen te willen werken aan een standaard voor toegang tot online dienstverlening.

Betrouwbaarheid kent meerdere dimensies: allereerst de betrouwbaarheid van de

identiteitsvaststelling die qua niveau moet passen bij de zwaarte en privacygevoeligheid van

de transactiedienst4. Ten tweede de beschikbaarheid van de online identiteitsvaststelling, die

zodanig moet zijn dat de transacties niet stilvallen als een middel tijdelijk uitvalt5.

Daarmee luidt de missie van het eID Stelsel als volgt:

Het eID Stelsel maakt het mogelijk om de online identiteit en bevoegdheid van een

persoon optimaal vast te stellen, zodat mensen kunnen vertrouwen op online

dienstverlening van de overheid en het bedrijfsleven.

2.2 Doelen Programma eID

Het Programmaplan eID van september 2013 vermeldt als hoofddoelen van het

programma:

1. Het realiseren van een betrouwbaar en robuust eID Stelsel met een hiervoor

ingerichte governance op basis van een zorgvuldige migratie met draagvlak

onder relevante publieke en private partijen.

4 Voorbeeld is het proces van aangifte inkomstenbelasting. Dit is nu op het niveau naam-wachtwoord en in 2006 was

dat logisch. Inmiddels hebben we vooringevulde aangifte. Dat is een zwaardere dienst en het is de vraag of het toen

gekozen niveau nog voldoet.

5 Een uitval van DigiD heeft direct consequenties voor de levering van publieke diensten en bij tijdelijke uitval van de

bankidentificatie kunnen we niet meer online bankieren.


2. De afgifte van een publiek middel voor burgers op hoog betrouwbaarheidsniveau

(DigiD-kaart) beschikbaar vanaf Q1 2015 en massaal uitgegeven eind 2017.

De eerste hoofddoelstelling is nog onverminderd van kracht, al is de genoemde datum als

gevolg van verschillende oorzaken niet haalbaar. In de hoofdstukken 4 en 5 van dit

MasterplaneID wordt dit nader uitgewerkt.

De tweede hoofddoelstelling, de beschikbaarheid van een DigiD-kaart vanaf Q1 2015, is niet

realiseerbaar. Derhalve is formeel besloten dat de doelstelling om een DigiD-kaart te

introduceren geheel wordt losgelaten. Hierdoor zal de scope van het programma op dit punt

schuiven naar coördinatie/ondersteuning op de publieke middelen (zie 2.4).

De missie van het eID Stelsel kan worden vertaald in de volgende hoofddoelstelling van het

Programma eID:

Het opzetten van het eID Stelsel, dat het mogelijk maakt om de identiteit en

bevoegdheid van burgers en bedrijven met een voor de relevante transactiedienst

voldoende mate van zekerheid vast te stellen.

Deze hoofddoelstelling van het programma heeft het kabinetsvoornemen Digitale overheid

2017 als grondslag.6 In de onderhavige versie van het MasterplaneID wordt geredeneerd

vanuit die stip op de horizon in 2017. Op basis daarvan zijn de stappen geformuleerd die

tussen medio 2014 en medio 2015 nodig (en mogelijk) zijn.

Eind 2015 en eind 2016 zal er een bijgestelde versie van dit MasterplaneID worden

opgesteld. Er kunnen zich namelijk allerlei ontwikkelingen voordoen, die een bijstelling van

het pad naar die stip op de horizon nodig maken. Die ontwikkelingen kunnen gelegen zijn in

het programma en de voortgang, maar ook in externe ontwikkelingen. Daarom wil het

programmamanagement een “rollende” stip die elk jaar tegen het licht wordt gehouden en

die met de ontwikkelingen binnen het programma leiden tot een nieuwe versie van het

MasterplaneID.

De programmaplanning is onderverdeeld in drie hoofdplateaus, waarvan het eerste eind

2015 is gerealiseerd. (In hoofdstuk 2.6 wordt hier nader op ingegaan.) De hiervoor

benoemde hoofdoelstelling leidt voor het eerste hoofdplateau tot de volgende doelstelling:

Het opleveren van een eerste werkend eID Stelsel, dat getest is in Proofs of

Technology (POT’s) en Proofs of Concept (POC’s) en waarbinnen verschillende pilots

draaien in productie.

6 Visie digitale overheid 2017 (Kamerstuk 26643, nr. 280)


Deze doelstelling vertaalt zich door naar verschillende projectresultaten, die onder

aansturing van het programmamanagement zullen worden gerealiseerd. Om deze

doelstelling van Hoofdplateau 1 te realiseren levert het Programma eID verschillende

programmaproducten op. Deze zijn opgenomen in Bijlage 2 Programmaproducten.

2.3 Uitgangspunten

In dit plan wordt uitgegaan van een aantal besluiten, die eerder door de StuurgroepeID zijn

genomen. Deze gelden als kritieke uitgangspunten voor het programma. Deze besluiten zijn

herbevestigd, waar nodig aangescherpt en aangevuld met nieuwe besluiten in de

StuurgroepeID van 5 juni en 10 juli 2014:

1. Ten aanzien van de multimiddelenstrategie:

o De StuurgroepeID handhaaft dit uitgangspunt, conform eerdere

besluitvorming.

2. Ten aanzien van de publieke middelen:

a) Er komt geen separate publieke “DigiD-kaart” als middel op een hoog

betrouwbaarheidsniveau. Dit blijkt niet de gewenste versnelling op te

leveren als gevolg van de doorlooptijd van het wetgevingstraject. De

minister is ambtelijk geadviseerd om wel één of meer publieke middelen op

hoog betrouwbaarheidsniveau voor het BSN-domein te gaan ontwikkelen. De

middelen komen op bestaande dragers, zoals bijvoorbeeld de NIK of het

rijbewijs.

b) Het programmamanagement zal deze ontwikkelingsactiviteiten

ondersteunen en coördineren om zorg te dragen dat de publieke middelen

alle dezelfde functionaliteiten krijgen en dat de verschillende kaarten/chips

aan dezelfde standaards voldoen. Het programmamanagement waakt ervoor

dat de e-faciliteiten op de middelen niet conflicteren en is betrokken bij de

aanbesteding door BZK van de e-faciliteit op de verschillende documenten.

Het publieke middel op hoog betrouwbaarheidsniveau kan ook worden

gebruikt voor leeftijdsverificatie wanneer private dienstaanbieders dat willen.

c) Er wordt onderzocht of de distributie van bestaande middelen ook leidt tot

een voldoende dekking bij burgers.

d) In de advisering wordt het volgende aangegeven: bij de uitrol van het

publieke middel wordt rekening gehouden met het “Afwegingskader Publiek

Privaat”, de adviezen van het eID-platform, de ontwikkeling van de private

middelen en de urgentie die publieke uitvoerders hebben om op een hoger

betrouwbaarheidsniveau diensten te kunnen aanbieden.

3. Het voorstel is gedaan om voor het BSN-domein DigiD door te ontwikkelen met behulp

van een elektronische scan van de chip op het paspoort. Dat is de zogenaamde RDA

methodiek (Remote Document Authentication). Met betrekking tot deze methodiek heeft

de StuurgroepeID het volgende besloten:

a) De RDA-methodiek wordt in samenwerking met Logius op haalbaarheid

verder uitgewerkt en beproefd.

b) Dit wordt afgestemd met het POT/POC-traject van eID.

c) De RDA methodiek is een doorontwikkeling van DigiD, naar (minimaal)

STORK 3 niveau.

d) De ontwikkeling valt buiten de scope van het programma, er vindt wel

afstemming plaats.


e) Logius zal de noodzakelijke aanpassingen aan DigiD onderzoeken en

agenderen in het Afnemersoverleg DigiD. Hier vindt tevens besluitvorming

en opdrachtverstrekking plaats.

f) De RDA methodiek loopt mee in de migratie van DigiD naar het eID Stelsel

(2e helft 2015)

g) De RDA-methodiek wordt getoetst aan het “Afwegingskader Publiek Privaat”.

De resultaten worden gedeeld in het eID-platform.

4. Ten aanzien van de voor de pilots noodzakelijke voorzieningen:

a) Er wordt versneld gewerkt aan de noodzakelijke publieke

stelselvoorzieningen (zoals de Stelselregistratiedienst7 en het BSN-

koppelregister).

b) De hiervoor nodige juridische kaders worden prioritair in een Juridische

WerkgroepeID opgepakt.

c) Deze versnelling zorgt er tevens voor dat de ontwikkeling van de RDA-

methodiek niet alleen een doorontwikkeling is van DigiD, maar dat het ook

bijdraagt aan de ontwikkeling van het eID Stelsel als geheel.

d) De departementen willen zo snel mogelijk de definitieve specificaties hebben

van het stelsel om ook mogelijke pilots te kunnen identificeren.

5. De leden van de StuurgroepeID committeren zich aan het gebruik van diensten uit het

eID Stelsel, zodra deze in productie beschikbaar zijn en zij zullen dit ook actief uitdragen

in hun domein.

6. Over de financiering van de publieke middelen en de kaartlezers:

a) De StuurgroepeID kan nog geen definitieve uitspraak doen over de

financiering van de publieke middelen en van de kaartlezers.

b) Dat is aan de departementen die politiek verantwoordelijk zijn voor de

kaarten.

c) De StuurgroepeID neemt wel de positie in dat er bij de voorbereiding van de

wetgeving vooralsnog van wordt uitgegaan dat de burger betaalt voor de

upgrade van het bestaande middel naar een elektronisch middel op een

hoog betrouwbaarheidsniveau. Inzicht in de concrete hoogte van de door de

burgers te betalen bijdrage is hierbij van belang.

7. De netwerkorganisatie wordt gehandhaafd en het Programmabureau wordt

ondergebracht bij ICTU, onder de randvoorwaarde dat de sturing bij de StuurgroepeID

blijft.

8. Met betrekking tot de verdere ontwikkeling van wetgeving en andere juridische

aspecten:

a) Er komt één Juridische WerkgroepeID.

b) Het programmamanagement stuurt op proces en samenhang van de

centrale wetgeving, maar de lijnverantwoordelijkheid van de departementen

blijft gehandhaafd.

c) De StuurgroepeID heeft de startnotitie wetgeving in juli 2014 besproken.

Daarin is helder gemaakt wat de verantwoordelijkheid is van de Juridische

WerkgroepeID en het programmamanagement aan de ene kant en de

7 Aanvankelijk had deze voorziening als werktitel ‘Stelselautoriteit’. Dit gaf echter veel verwarring.


departementen aan de andere kant. Nadere werkafspraken worden

gemaakt.

d) De Juridische WerkgroepeID levert de primaire kaders voor het starten van

het wetgevingstraject, gegeven keuzes met betrekking tot inhoudelijke

onderwerpen door BAOeID en StuurgroepeID.

9. Met betrekking tot het informeren van de Tweede Kamer:

a) De Tweede Kamer is eind juni 2014 over de voortgang van het traject

geïnformeerd.

2.4 Scope afbakening

Ten aanzien van de afbakening van de scope van het programma is eveneens een aantal

besluiten genomen door de StuurgroepeID. Ook deze zijn hieronder volledigheidshalve nog

eens benoemd:

Het zogenoemde ‘noodscenario DigiD’, ten behoeve van risicomitigatie voor het

geval dat (het vertrouwen in) de veiligheid van DigiD-gebruik in het geding is, is

niet in scope van het programma. (Wel kan uit de pilots een technische en/of

procesmatige oplossing voortkomen, die als risicomitigerende maatregel kan

worden gebruikt.)

De migratie van bestaande publieke voorzieningen als DigiD en eHerkenning naar

het eID stelsel is niet in scope van het programma. Wel zal er rekening worden

gehouden met de analyse hiervan die mogelijk invloed heeft op het Stelsel.

De (door-)ontwikkeling van de publieke middelen vindt plaats onder

verantwoordelijkheid van de betrokken departementen. Afstemming vindt wel

plaats met het programmamanagement eID en de StuurgroepeID, om zorg te

dragen voor aansluiting tussen departementale ontwikkelingen en ontwikkelingen

binnen het programma.

Tevens zal er coördinatie plaatsvinden op bijvoorbeeld standaarden

(functionaliteit), samenhang tussen bijvoorbeeld kaarten, chips, etc.,

aanbesteding, centrale communicatie naar minister/politiek, etc.

Het programma eID zal, daar waar mogelijk en/of nodig, bijdragen aan de

realisatie van een of meerdere publieke middelen.

Politieke verantwoordelijkheid

BZK en EZ zijn politiek verantwoordelijk. Het programma draagt zorg voor de

informatie die nodig is om die politieke verantwoordelijkheid in te vullen. BZK,

EZ, W&R, VenJ, Buitenlandse Zaken en I&M zijn verantwoordelijk voor de in hun

domein vigerende publieke middelen en regelgeving. Het

programmamanagement eID steunt deze departementen bij de invulling van

deze verantwoordelijkheden door hen te informeren indien dat nodig is en hen

altijd op de hoogte te houden van de voortgang. Het programma is voorts

uitdrukkelijk betrokken bij de aansturing van de ontwikkeling van regelgeving

alsmede de publieke middelen omdat beide voorwaardelijk zijn voor het succes

van het programma als geheel. De politieke advisering, waaronder Kamervragen en WOB-verzoeken, vallen

buiten de scope van het programma eID. Het programma eID zorgt wel voor de

informatie die de departementen nodig hebben om hun verantwoordelijkheid in

te kunnen vullen.


2.5 Draagvlak onder private partijen binnen het eID Stelsel

Een van de subdoelen van het programma eID is het stimuleren van gebruik van het stelsel.

Het succes van het eID Stelsel als publiek – privaat vehikel voor het faciliteren van online

identificatie is immers volledig afhankelijk van het gebruik ervan door zowel publieke als

private partijen. Belangrijk aandachtspunt is het verkrijgen en behouden van het draagvlak

onder (potentieel) geïnteresseerde private partijen. Met de lancering van het eID-platform

en de concrete start van de POC’s en POT’s, waarin meerdere private partijen participeren,

is daartoe een eerste stap gezet.

In hoofdstuk 5.4 wordt nader ingegaan op het zogenoemde businessmodel, dat een

belangrijk onderdeel is van het eID Stelsel. De rollen, en daarmee ruimte, die zowel

publieke als private partijen daarbinnen (kunnen) innemen, zijn van groot belang voor het

draagvlak onder private partijen.

Een van de programma deliverables is het opleveren van een Plan van Aanpak Intensivering

draagvlak private partijen in Q4 2014, waarin staat welke doelen het programma wil

bereiken met de private partijen en op welke wijze. Belangrijk daarbij is het in kaart

brengen welk segment van het bedrijfsleven het meest gebaat is bij het eID Stelsel, maar

ook op welke wijze we dit segment benaderen.

2.6 Planning

In onderstaande figuur is de stip op de horizon voor het programma geschetst in 2017. Er

worden 3 hoofdplateaus onderkend, waarbij in het eerste, startplateau een eerste werkend

stelsel is opgeleverd, dat getest is in POC’s en POT’s en waarbinnen verschillende pilots

draaien in productie. Randvoorwaardelijke zaken als stelselvoorzieningen zijn ook in dit

eerste Hoofdplateau gerealiseerd. Dit Hoofdplateau 1 is eind 2015 gerealiseerd.

Een nadere uitwerking van Hoofdplateau 1 is opgenomen in hoofdstuk 3, Hoofdplateau 1.


Aan het einde van Hoofdplateau 1 is de situatie zodanig dat burgers en bedrijven gebruik

(kunnen) maken van een eID-middel voor een transactie via een webportaal.

In Hoofdplateau 2 (2016) heeft het programma eID de volgende doelstelling:

Het uitbreiden van het eID Stelsel met nieuwe functionaliteiten en het realiseren van een

integratieslag tussen de verschillende bestaande voorzieningen voor wat betreft governance

en toezicht.

In Hoofdplateau 3 (2017) rondt het programma eID haar activiteiten af. De doelstelling luidt

dan:

Het afronden van het programma en overdragen van de voorzieningen, de (tijdelijke)

governance en toezicht naar de definitieve situatie, onder de dan geldende (nieuwe)

wetgeving.


2.7 Inrichting Kwaliteitsborging ten behoeve van het Programma eID

Het expertisegebied Kwaliteitsborging van het programma eID is op dit moment

onvoldoende ingericht. Teneinde dit op het vereiste niveau te brengen zal een Quality

Assurance (QA) officer worden aangetrokken, die onderdeel wordt van het

programmabureau. Deze medewerker zal de binnen het programma opgeleverde producten

en resultaten continu toetsen op aspecten als kwaliteit, tijdigheid, kosten, consistentie en

onderlinge afhankelijkheden. Tevens ziet deze medewerker toe op de inrichting en werking

van een correct programma-dossier.

Voorgesteld wordt om eind september 2014 een Gateway-0 review (gateway op plannen)

uit te voeren. In dat verband zullen dan ook de opgeleverde (eventueel bijgestelde)

projectplannen tegen het licht worden gehouden.

Op basis van de Hoofdplateauplanning zullen kritieke mijlpalen worden vastgesteld, waarop

een volgende Gateway review en/of gerichte audits moeten worden afgenomen.


3.0 Stand van zaken Programma / projecten

3.1 Afsprakenstelsel

Het afsprakenstelsel bestaat uit de volgende onderdelen (zie onderstaand schema). Voor de

uiteindelijke definitieve versie van het Afsprakenstelsel zullen alle onderdelen beschreven en

vastgesteld moeten zijn. Ten behoeve van de pilots die plaats vinden binnen bestaande

juridische kaders, zal een beperkt deel vastgesteld moeten zijn. Het gaat hierbij met name

om de technische elementen van het afsprakenstelsel. Hier is in begin 2014 een eerste

versie (versie 1.0) opgeleverd.

De samenhang van bovenstaande kan nog wijzigen n.a.v. o.a. projectplannen en verdere

ontwikkelingen.

3.2 Stand van zaken projecten mei 2014

Hieronder wordt kort de stand van zaken van de verschillende huidige projecten binnen het

programma eID tot en met medio mei weergegeven.

Project / Expertise Status project / expertise

Afsprakenstelsel:

algemeen

Uitgangspunten en ontwerpeisen van het eID Afsprakenstelsel

versie 1.0 zijn in oktober 2013 opgeleverd.

Deelproject Afsprakenstelsel levert een gedeelte van het gehele

Afsprakenstelsel eID. Andere producten zijn belegd bij de

andere deelprojecten. De sturing op het geheel en de

onderlinge afhankelijkheden is de eindverantwoordelijkheid van

het programmamanagement.

Scope van op te leveren versies van het ontwerp van het

afsprakenstelsel wordt bepaald door de roadmap migratie en

het pilotplan, i.c. de plateauplanning. Het betreft hier een


planning van’ buiten naar binnen’.

Er worden geen afzonderlijke besluiten over componenten uit

het stelsel genomen zonder impactanalyse op de consequenties

voor het gehele stelsel (een adequaat changemanagement)

De technische migratie van eHerkenning naar eID blijft een

verantwoordelijkheid van eHerkenning. Het eID programma

financiert en levert capaciteit om RFC’s voor de wijzigingen te

produceren. Dit kan worden uitgevoerd door de

beheerorganisatie i.o. Verantwoordelijkheid voor migratietraject

blijft echter bij eHerkenning liggen.

Resultaten uit POT’s en POC’s worden meegenomen in de

volgende versie van het Afsprakenstelsel.

Een algehele risicoanalyse vindt vanuit het Beheer plaats en

start z.s.m.

Programmamanagement draagt zorg voor samenhang

architectuur van een eventueel publiek middel met

stelselarchitectuur.

Afsprakenstelsel:

oplevering versie 2.0

De komende tijd zullen iteratief volgende versies worden

opgeleverd en zo kan ook toegewerkt worden naar een 2.0

versie per 1-11-2014.

Afhankelijkheden zijn er op de volgende gebieden binnen het

programma: Heroverweging (Roadmap) Migratie, Wetgeving en

Governance. Buiten het programma wordt de actieve

participatie publiek-privaat in de POT’s en POC’s cruciaal.

Belangstelling voor participatie is groot. Twee werkgroepen,

zowel leveranciers als dienstaanbieders, zijn inmiddels gestart

om het afsprakenstelsel 1.0 in publiek/private samenwerking te

beproeven.

Afsprakenstelsel:

POC’s en POT’s

Er is een voorstel voor POC’s en POT’s gemaakt. De uitnodiging

voor deelname aan de POC’s en POT’s is begin april op

tendernet gepubliceerd. Op 9 mei is het POT traject gestart en

op 16 mei het POC traject. De belangstelling vanuit de

marktpartijen is groot. Eind september 2014 zal dit traject zijn

afgerond. De resultaten uit deze trajecten zullen worden

verwerkt in de versie 2.0 van het Afsprakenstelsel.

Afsprakenstelsel:

Migratie en

Ontwikkeling

Er heeft een eerste toetsing plaats gevonden op de versie 1.0

door eHerkenning. Het Tactisch Overleg eHerkenning heeft een

positief oordeel gegeven, maar ook een aantal

aandachtspunten bij de verdere uitwerking.

Afsprakenstelsel:

pilots

Er is in week 20 gestart met het plan van aanpak (vanuit

roadmap).


Afsprakenstelsel:

Publiek middel

Na besluitvorming door de Stuurgroep dd. 10 april 2014 is de

ontwikkeling DigiD-kaart gestopt. In het kader van de verdere

ontwikkeling worden in par. 4.2 van dit MasterplaneID

voorstellen gedaan voor de eventuele ontwikkeling van

publieke middelen op Stork 3/4 niveau.


Governance en

businessmodel: eID-

platform

Het eID-Platform komt sinds 4 april jl. 2014 bij elkaar. Enkele

nieuwe kandidaten hebben zich gemeld voor deelname in het

platform. Met een aantal is inmiddels gesproken voor een

nadere toelichting.

Mogelijke toetreding van partijen wordt door de voorzitter van

het platform afgestemd met de voorzitter van de StuurgroepeID.

Er wordt gewerkt aan een bijgestelde intentieverklaring voor

partijen die de ontwikkeling van het stelsel ondersteunen, maar

niet toetreden tot het platform (i.s.m. Communicatie).

Governance en

businessmodel:

definitieve

Governance stelsel

Gewerkt wordt aan een startnotitie voor de inrichting van de

definitieve governance van het eID Stelsel; veldonderzoek en

afstemming met andere projectgroepen.


Roadmap migratie De Roadmap migratie is vastgesteld in de

Stuurgroepvergadering van 10 april jl.. In samenwerking met

o.a. ICTU worden voorstellen gemaakt voor realisatie van de

stelselvoorzieningen. Het voorstel voor de realisatie van een

Stelselregistratiedienst is in mei opgeleverd. Aanpassingen

DigiD en DigiD Machtigen lopen via de huidige lijn. Door het

programmamanagement is onderzoek gestart om te bezien hoe

het klantcontact het beste kan worden ingericht.


Toezicht (schets

eerste contouren)

Doel is om de verschillende beleidsvraagstukken v.w.b. de

inrichting van toezicht de komende maanden in samenhang te

beantwoorden met toezichtvraagstukken in andere dossiers

(denk bijvoorbeeld aan de Verordening elektronische

identiteiten en vertrouwensdiensten, eHerkenning, Trusted

Third Parties (TTP), Algemene Wet Basisvoorzieningen

Elektronische Overheid voor Ondernemers). Mede op basis van

de beantwoording van de beleidsvragen zijn de eerste

contouren van het toezicht geschetst. Dit stuk is besproken in

de Stuurgroep van 10 april. De verdere uitwerking van de

beleidsvragen en van de contouren van het toezicht gebeurt in

afstemming met het PVOeID. Parallel hieraan is er een


onderzoek gestart naar de mogelijke integratie van de reeds

bestaande toezichtsarrangementen van PKI, DigiD,

DigiDMachtigen en eHerkenning.


DigiD-kaart Na besluitvorming Stuurgroep is de ontwikkeling DigiD-kaart

gestopt. In het kader van de verdere ontwikkeling worden in

par. 4.2 van dit MasterplaneID voorstellen gedaan voor de

eventuele ontwikkeling van publieke middelen op hoog niveau.


Communicatie Begin 2014 heeft Communicatie een communicatieplan

voorgelegd aan de Stuurgroep eID. Op dit plan is positief

gereageerd. Dit plan is nog niet goedgekeurd, omdat er ook

een communicatiestrategie in stond voor de DigiD-kaart,

waarover nog geen politiek besluit is. In maart jl. is de website

www.eID Stelsel.nl live gegaan. Er is in de Stuurgroep een

besluit genomen over de nieuwe naam voor het eID Stelsel.


Voorbereiden politieke

besluitvorming

In december 2013 hebben BZK en EZ een brief naar de Tweede

Kamer gestuurd over de stand van zaken rondom het eID

Stelsel en de DigiD-kaart. Tegelijkertijd zijn de media

geïnformeerd over het eID Stelsel in een technische briefing.

N.a.v. het AO op 5 maart 2014 is een brief naar de Tweede

Kamer gestuurd over de oprichting van en de start van het

eID-platform. Op verzoek van de commissie Binnenlandse

Zaken van de Tweede Kamer heeft op 16 april jl. een

technische briefing over het eID Stelsel plaatsgevonden. Op 20

juni jl. is een brief m.b.t. de voortgang van het programma eID

naar de TK gestuurd en op 25 juni jl. heeft wederom een AO

plaatsgehad.


Juridica en wetgeving Er is een eerste inventarisatie en planning gemaakt. Deze is

besproken in de werkgroep en diverse overleggen. Er zijn

nadere afspraken gemaakt over de uitwerking en ligt een

startnotitie met planning voor in de StuurgroepeID van 10 juli

2014 welke inmiddels is goedgekeurd.

In de Juridische werkgroepeID is een eerste analyse gedaan

naar modaliteiten voor de inrichting van wetgeving (o.a. over

onderscheid tussen stelsel en publieke diensten daarin).



Internationaal Met architecten is een tweetal internationale scenario’s

doorlopen.

Tussen project Afsprakenstelsel en Internationaal is nu overleg

over de impact van de EU-verordening op het stelsel. Hieruit

volgt een memo.


Inrichten

Beheerorganisatie

Uitgaande van de huidige situatie wordt vanuit de tijdelijke

beheerorganisatie (Logius) o.m. een beeld geschetst van de

gewenste eindsituatie voor wat betreft de inrichting van het

toezicht. Onderdeel hiervan vormt een voorstel voor een

normenkader. Dit plan van aanpak is besproken in het PVOeID

van april.

In dit verband op te leveren producten:

1. Voorstel welke onderdelen onder het operationeel toezicht

en de naleving vallen geredeneerd vanuit de huidige

toezichtarrangementen en de mogelijke verbeteringen;

2. Voorstel welke onderdelen en verbeteringen uit de

toezichtsarrangementen voor eHerkenning, DigiD,

gekwalificeerde certificaten en PKI-overheid toepasbaar zijn

voor het eID Stelsel;

3. Voorstel voor een normenkader en risicoanalyse voor het

eID Stelsel, waarbij zoveel mogelijk wordt geput uit /

aangesloten bij bestaande normenkaders voor

eHerkenning, DigiD, gekwalificeerde certificaten en PKI-

overheid;

4. Voorstel welke bestaande sanctiemogelijkheden van

eHerkenning, DigiD en PKI kunnen worden overgenomen

en toepasbaar zijn binnen het eID Stelsel;

5. Voorstel hoe het document rechten en plichten een

geïntegreerd geheel met het Afsprakenstelsel eID wordt.

Vormgeven van de wettelijke basis voor het toezicht, vereist

nadere afstemming met Juridische werkgroepeID en is mede

afhankelijk van de beantwoording de beleidsvragen.


4.0 Hoofdplateau 1

4.1 Inleiding

In hoofdstuk 2.6 is de stip op de horizon van het programma richting 2017 geschetst,

waarbij drie Hoofdplateau’s zijn onderkend. Hieronder wordt Hoofdplateau 1, dat in tijd loopt

tot eind 2015, meer in detail uitgewerkt. De specifieke migratieactiviteiten en –planning zijn

nader uitgewerkt in hoofdstuk 5, Implementatie.

In het traject om zowel functioneel, technisch en procedureel tot een werkend eID Stelsel te

komen is het van belang om, gedurende het traject te beproeven of hetgeen uitgedacht is

ook in de praktijk kan werken en waar eventuele verbeteringen mogelijk zijn. Binnen het

project Afsprakenstelsel worden hiervoor Proofs of Concept (POC’s) en Proofs of Technology

(POT’s) uitgevoerd. Daarnaast is het van belang om in een later stadium van realisatie door

middel van het uitvoeren van pilots voor burgers te beproeven hoe het Stelsel zich, op

beperkte schaal, in de productieomgeving gedraagt. Tevens is van belang om de migratie

van eHerkenning te ondersteunen. In dit hoofdstuk wordt voorgesteld om de pilots met

burgers en de migratie van eHerkenning aan te duiden als Hoofdplateau 1 van het eID

Stelsel.

In onderstaande figuur wordt in overzicht aangegeven welke onderdelen gereed moeten zijn

voor de realisatie van Hoofdplateau 1.

sep2014

mei2014

nov2014

Productie Plateau 1:• pilots met burgers• migratie eHerkenning

jan2016

mrt2015

aug2015

A. Realisatie Stelselvoorzieningen1e versies van Stelselregistratiedienst, testfaciliteit en dienstencatalogus

C. Realisatie private eID-diensten

B. Aanpassingen DigiDVerstevigen DigiD, BSN-koppelregister, tijdelijke makelaarsfunctie

D. Aansluiten Dienstaanbieders:• publiek: BD, KvK, RDW, SVB, UWV, ...• privaat: verzekeraars, zorg, ...

Organiseren

Invoering

Realisatie voorzieningen

Communicatie en Marktbewerking

BurgersBedrijven

Voorlichting enPublieke Opinie

Stuurgroep10 juli

eHerkenning

Publiek en privatepartijen testenontwerp 1.0 inPOC en POT traject

Resultaten test beoordelenen verwerkenin ontwerp 2.0

Migratieplateau 1: realiseren van devoorzieningen

De gerealiseerdevoorzieningenworden getest

Functionaliteit:• Migratieplateau 1 Roadmap• online authenticatie• eenvoudige machtigingen• attributen• 1e migratie plateau eHerk.

Hoofdplateau 1

Afsprakenstelsel

Governance en businessmodel

Toezicht

Juridica en Wetgeving

Beheerorganisatie

Pilots


Doel van de pilots voor burgers is om in een besloten productieomgeving8 (beperking van het

aantal gebruikers en transacties), de werking en gebruikerservaring van het eID stelsel te

beproeven. Tevens draagt dit bij aan de geleidelijke ontwikkeling van het eID Stelsel, de

beschikbaarheid van hoogwaardige eID-middelen (geen big bang) en de wijze waarop de

multimiddelen strategie vorm krijgt.

De onderdelen van het thema “Organiseren” en “Communicatie” worden elders in het plan

toegelicht.

4.2 Pilots

Er wordt een pilotplan opgesteld met daarin de doelen die met de pilots worden beoogd.

Intussen zijn de contouren voor genoemd plan vastgesteld.

De pilots zullen ‘echte’ productie zijn en de pilots worden geduid als Productie Hoofdplateau

1 van het eID Stelsel. Ook hiervoor geldt het uitgangspunt van level playing field uit het

“Afwegingskader Publiek Privaat”.

Het uitgangspunt van het pilotplan is dat we de multimiddelen strategie in productie

beproeven. Over de pilots en de planning van de pilots worden in oktober 2014 in de

StuurgroepeID besluiten genomen. Het streven is om de pilots medio 2015 te starten. Er

wordt nog nagegaan op welke wijze zoveel mogelijk snelheid kan worden gerealiseerd met

de pilots.

De StuurgroepeID heeft op 5 juni 2014 besloten dat er versneld gewerkt moet worden aan de

ontwikkeling van de voor de pilots noodzakelijke centrale voorzieningen (zoals de

Stelselregistratiedienst en het BSN-koppelregister).

4.3 Realisatie voorzieningen

Om het eerste plateau van de implementatie van het eID Stelsel te kunnen laten werken is

een aantal van de benoemde technische voorzieningen noodzakelijk. Het is in deze fase nog

niet nodig dat deze voorzieningen volledig ontwikkeld en geschaald zijn, er moeten echter

wel bepaalde basisfunctionaliteiten op bepaalde momenten in tijd beschikbaar zijn. De

ontwikkeling van de voorzieningen kan na de ingebruikname van Plateau 1 worden

voortgezet. Bijkomend voordeel is dat op deze manier de “lessons learned” uit de pilots

kunnen worden meegenomen in de doorontwikkeling.

4.3.1 Realisatie Stelselvoorzieningen

Stelselregistratiedienst

Deze voorziening dient voor realisatie van Plateau 1 de volgende functies te vervullen;

Sleutel beheer zodat de toegetreden authenticatiediensten binnen het stelsel kunnen

communiceren.

Vastleggen en controleren van stamgegevens van gebruikers van middelen binnen

het stelsel.

Het uitgeven van persoonsgebonden pseudoniemen.

In deze fase is het realiseren van de functionaliteit, die ingezet kan worden om

authenticaties binnen het stelsel tot personen te herleiden in het kader van fraude

bestrijding, niet voorzien. Hiervoor is een wettelijk kader benodigd.

8 Hierin onderscheidt een pilot zich van een POC of POT, waarbij de beproeving in een labsetting plaatsvindt.


Testfaciliteit

Deze voorziening dient beschikbaar te zijn op het moment dat de diverse betrokken partijen

bezig zijn met het ontwikkelen en in de fase komen dat deze in de keten getest moeten

worden. De testfaciliteit zorgt er voor dat alle opgeleverde bouwblokken in het stelsel zich

gedragen zoals in de functionele en technische specificatie beschreven. Hiervoor kan de

huidige testfaciliteit van eHerkenning worden gebruikt. Mogelijk is hiervoor een

tussenrelease van deze voorziening noodzakelijk.9

Dienstencatalogus

De dienstencatalogus zorgt er voor dat de aangesloten dienstaanbieders met hun diensten

en het daarbij behorende betrouwbaarheidsniveau worden vastgelegd binnen het stelsel

zodat deze bekend zijn voor de voorzieningen in het stelsel. Ook hiervoor geldt dat de

huidige catalogus van eHerkenning, zeker in eerste instantie kan worden gebruikt. Op

termijn zal binnen het stelsel, zeker in relatie tot machtigen, behoefte ontstaan aan een

uitgebreidere catalogus waardoor er ook een vorm van hiërarchie in diensten kan worden

aangebracht (bijvoorbeeld: machtig ik iemand voor alle diensten van de Belastingdienst of

alleen voor inkomstenbelasting? Of alleen voor de inkomstenbelasting 2015?). Deze

aanpassingen zullen na realisatie van plateau 1 worden opgepakt.10

4.3.2 Aanpassingen DigiD

Om de aansluiting van de publieke dienstaanbieders in plateau 1 op het stelsel eenvoudig te

kunnen implementeren moet de realisatie van de rol van DigiD als migratiemakelaar worden

gerealiseerd. Hierdoor hoeven de publieke pilot partijen in plateau 1 niet aan te sluiten op de

eID Makelaar, maar kan gebruik worden gemaakt van de huidige DigiD koppelvlakken. Dit

betekent dat het te ontvangen bericht voor dienstaanbieders in eerste instantie niet wijzigt,

waardoor de impact van de aansluiting op het stelsel beperkt blijft. Deze migratie via DigiD

was voorzien in Plateau 3 van de roadmap, maar moet hierdoor naar voren worden gehaald.

De aanpassing aan DigiD betreft:

Tijdelijke eID-makelaar: DigiD moet tijdelijk als makelaar gaan functioneren en dus

naast DigiD de gebruiker kunnen doorverwijzen naar andere authenticatiediensten in het

stelsel.

Koppelvlak migratie:

a. Deze doorverwijzing zal zoveel mogelijk conform koppelvlakken van het stelsel

moeten gebeuren (ook om te voorkomen dat de authenticatiediensten met extra

wijzigen te maken krijgen).

b. DigiD moet het bericht dat terugkomt vanuit de authenticatiedienst conform

stelsel kunnen vertalen naar een bericht dat gelijk is aan het bestaande DigiD

koppelvlak.

BSN-omnummervoorziening: De BSN tabel van het huidige DigiD moet zo ingericht

worden dat deze voor de authenticatiediensten in het stelsel de rol van de Sector ID

dienst BSN vervuld.11

Implementeren RDA (versteviging DigiD)

9 Nader onderzocht moet worden wat de impact is van de aanpassing op de testfaciliteit van eHerkenning.

10 Nader onderzocht moet worden wat de impact is van de benodigde aanpassingen op de dienstencatalogus eHerkenning.

11 Nader onderzocht moet worden wat de impact is van deze aanpassing en wat dit voor consequenties heeft voor de

releasekalender van DigiD.


RDA implementatie

Het door de RDA ingezette traject om de chips op bestaande WID’s te gebruiken voor de

verbetering van het huidige authenticatie niveau van DigiD dient te worden gerealiseerd.

Voorzien wordt dat deze oplossing voor plateau 1 de invulling van het publieke middel op

minimaal niveau Stork 3 zal invullen. Dit handhaaft vooralsnog wel het feit dat DigiD een

‘single point of failure’ is.

In de stuurgroep is beslist om de ontwikkelde RDA-methodiek zo snel mogelijk te laten

beproeven en verder uit te laten werken. Belangrijk is dat in dit RDA-traject ook inzicht

wordt verkregen over de impact op DigiD. Daarmee wordt het volgende inzichtelijk gemaakt:

Dat allerlei activiteiten rondom DigiD gaan concurreren op capaciteit bij DigiD,

zonder dat dit vooraf bekend is.

Een eventuele verstoring van RDA of DigiD bij het migratiepad naar het eID Stelsel.

Afhankelijk van de impact van de RDA oplossing kan herprioritering van de ontwikkelagenda

van DigiD nodig zijn. Deze herprioritering kan ook de migratie van DigiD naar het eID Stelsel

beïnvloeden. Er wordt zorg gedragen dat over de resultaten van RDA en indien nodig het

noodzakelijke migratiepad van DigiD samenhangende besluiten worden genomen.

4.3.3 Realiseren private eID Diensten

De private partijen zullen voor plateau 1 de volgende zaken moeten realiseren

De authenticatiediensten moeten voor het aanvragen en registreren van middelen

kunnen communiceren met de Stelselregistratiedienst.

Voor de aansluiting van private partijen moeten eID makelaars (of voorlopers daarvan

die in ieder geval het eID Koppelvlak ondersteunen) beschikbaar zijn.

Machtigingsdiensten moeten werken conform eisen van het stelsel en de

koppelvlakken ondersteunen.

4.3.4 Aansluiten Dienstaanbieders

De dienstaanbieders die in plateau 1 toetreden, moeten worden aangesloten op het stelsel.

Hiervoor zal waar nodig ondersteuning beschikbaar moeten zijn en zal een ketentest traject

moeten worden ingericht. Bij deze tests zal niet alleen worden gekeken naar de functionele

werking, maar ook naar security aspecten en andere aansluiteisen die vanuit de

beheerorganisatie worden gesteld.

4.4 Kritische succesfactoren

Het pilotplan is gericht op het realiseren van een eerste productie plateau van het eID

Stelsel. Het succes van het stelsel wordt bepaald of er daadwerkelijk gebruik wordt gemaakt

van de voorzieningen die in dat plateau beschikbaar komen. Succesvol gebruik wordt

bepaald door de medewerking van de volgende doelgroepen:

A. Overheid In termen van voorzieningen vervult de overheid drie rollen: zorgdragen voor het

beschikbaar zijn van de benodigde Stelselvoorzieningen, realiseren van de benodigde

aanpassingen aan DigiD en (uitvoerders van) de overheid die ervoor zorgen dat diensten via

de eID-standaard afgenomen kunnen worden door burgers en bedrijven.


B. Private Dienstaanbieders Partijen die ervoor zorgen dat diensten via de eID-standaarden afgenomen kunnen worden.

C. Private eID-deelnemers Partijen die ervoor zorgen dat de authenticatie en autorisatie diensten voor burgers en

bedrijven beschikbaar komen: hoogwaardige authenticatiemiddelen, gevalideerde attributen,

machtigingsregisters en eID-makelaars.

D. Burgers en Bedrijven Burgers en bedrijven die daadwerkelijk overgaan tot het verwerven en gebruiken van eID-

diensten.

Om de benodigde medewerking van bovenstaande partijen voor elkaar te krijgen, worden de

volgende kritische succesfactoren onderkend:

KSF1. Financiële ruimte en capaciteit in de planning van Logius en ICTU voor het tijdig

realiseren van de benodigde Stelselvoorzieningen en aanpassingen aan DigiD.

KSF2. Commitment van publieke Dienstaanbieders welke digitale diensten concreet voor

welke doelgroep vanaf welke datum beschikbaar zijn in plateau 1.

KSF3. Commitment van private Dienstaanbieders om digitale diensten aan te bieden. Dit

commitment wordt in grote mate beïnvloed door de positie die de overheid zelf inneemt en

communiceert, de kosten die door een Dienstaanbieder gemaakt moeten worden (de

individuele business case) en het zicht op een brede beschikbaarheid van

authenticatiemiddelen bij de consument.

KSF4. Commitment van private partijen om eID-diensten aan te bieden aan burgers en

bedrijven. Dit commitment wordt in grote mate bepaald door de individuele business case

die elke aanbieder zal opstellen. Een aanbieder heeft dan de volgende duidelijkheid nodig:

wat wordt het geschat transactievolume aan eID-diensten de komende jaren;

wat is het verdienmodel voor de verschillende soorten eID-transacties.

Voor het verdienmodel is belangrijk wat de invulling van het business model wordt en de

wijze waarop de overheid al dan niet een eigen publiek middel ‘in de markt zet’.

KSF5. De bereidheid van burgers en bedrijven om daadwerkelijk eID-diensten te gaan

gebruiken. Deze bereidheid kan in belangrijke mate worden beïnvloed door de publieke

opinie. Een negatieve opinie zoals destijds bij het patiëntendossier zorgt voor falen van de

doelstelling.


5.0 Implementatie

5.1 Implementatie, migratie en roadmap

Het eID Stelsel bestaat, naast een set afspraken en ingericht toezicht etc. ook uit een aantal

technische voorzieningen die er voor moeten zorgen dat gebruikers zich daadwerkelijk

kunnen authenticeren binnen het stelsel en dat dienstaanbieders ook kunnen vaststellen dat

deze authenticatie geldig is en dat bijvoorbeeld een transactie kan worden verricht. De

functionele werking hiervan wordt beschreven door het project “Afsprakenstelsel”.

De te realiseren voorzieningen worden voor een groot gedeelte ingevuld door private

partijen. Hierbij valt bijvoorbeeld te denken aan de eID Makelaar.

Daarnaast is vastgesteld dat een aantal functies publiek moet worden ingevuld om de

werking van het stelsel als geheel te kunnen garanderen. Het gaat hierbij om de volgende

voorzieningen:

Stelselregistratiedienst (nieuw te realiseren).

Sectorale attribuutdienst BSN (nieuw te realiseren).

Dienstencatalogus (wordt naar verwachting gemigreerd vanuit huidige

eHerkenning, gedeeltelijk ook uit DigiD).

Testfaciliteit (wordt naar verwachting gemigreerd vanuit huidige eHerkenning).

De marktpartijen eHerkenning willen dat aan een aantal randvoorwaarden wordt voldaan

voordat zij eHerkenning migreren naar eID. Eén van die randvoorwaarden is het

commitment van de publieke dienstverleners verenigd in de StuurgroepeID om in 2015

daadwerkelijk aan te sluiten op het eID Stelsel.

In de Roadmap implementatie eID Stelsel wordt verder ingegaan op de realisatie van deze

voorzieningen en wordt aan de hand van een plateauplanning inzichtelijk gemaakt in welke

fase welke voorzieningen beschikbaar moeten zijn om tot een werkend stelsel te komen.

De plateaus in de Roadmap gaan uit van een fasering op basis van beschikbare

functionaliteit voor gebruikers (burgers / bedrijven / dienstaanbieders) van het stelsel. In

onderstaand overzicht wordt de planning op hoofdlijnen weergegeven.12

12 Onderstaande planning is opgenomen in het, in de StuurgroepeID van 10 april 2014 besproken, projectplan Roadmap migratie.

Deze is op een enkel onderdeel inmiddels veranderd, naar aanleiding van de door de StuurgroepeID gewenste versnelling.


Een ander belangrijk aspect voor dit project is de migratie van de bestaande publieke

voorzieningen DigiD en DigiD Machtigen naar het eID Stelsel. De realisatie hiervan valt

buiten de scope van het programma eID, maar gezien het belang voor de totstandkoming

van het stelsel (via de migratie van DigiD worden de huidige dienstaanbieders gemigreerd

naar het Stelsel) wordt dit wel beschreven in de Roadmap en wordt over de migratie

gerapporteerd aan de StuurgroepeID.

In dit project worden de beschreven functionele specificaties gerealiseerd. Er bestaat dus

een rechtstreekse afhankelijkheid tussen dit project en het project Afsprakenstelsel. Bij

wijziging van functionaliteit en het beschikbaar komen van nieuwe versies van de

specificaties moet telkens gekeken worden naar de impact hiervan op de realisatie en

migratie trajecten.

5.2 Het publieke middel voor het BSN-domein op hoog niveau

In de afgelopen periode is onderzocht of er een afzonderlijk publiek middel voor het BSN-

domein zou moeten komen13. Geconstateerd is dat dit aanvullende regelgeving vraagt en dit

13 In de fysieke werkelijkheid is identificatie een publieke taak van de overheid om haar burgers te voorzien

van een identiteit en documenten waarmee burgers hun identiteit, ook in het private domein, kunnen

bewijzen; namelijk bewijzen dat ze zijn, wie ze claimen te zijn (identificeren en authenticeren). In de

digitale wereld wordt het steeds belangrijker dat de identiteit van de burger betrouwbaar vastgesteld kan

worden. Dit is niet wezenlijk anders dan al in de fysieke wereld.


wetgevingstraject langer gaat duren dan verwacht. Daarmee is deze lijn voor de

StuurgroepeID afgesloten. Daarmee is overigens nog niet gezegd dat er geen publiek middel

moet komen op een hoger niveau. Wel of geen publiek middel op hoog niveau, gekoppeld

aan bestaande kaarten, zoals de NIK of het Rijbewijs, kent de volgende voor- en nadelen:

Voor- en nadelen van een

publiek middel op hoog niveau

gekoppeld aan een bestaand

middel

Voordelen nadelen

Geen publiek middel op hoog

niveau

Het is simpel en kost geen geld.

Er is nooit sprake van oneigenlijke

concurrentie: de markt creëert

dan z’n eigen level playing field.

Identiteitsvaststelling is een

publieke taak en deze wordt voor

elektronisch verkeer niet adequaat

uitgevoerd.

VWS heeft hier een probleem

want er is een middel op hoog

niveau nodig voor burgers t.b.v.

inzage in medische gegevens.

Wel publiek middel op hoog

niveau

Identiteitsvaststelling is een

publieke taak en deze wordt voor

elektronisch verkeer adequaat

uitgevoerd.

Meer overheidsdiensten kunnen

veilig elektronisch worden

aangeboden.

Het kost geld dat of door het

publieke domein of door burgers

moet worden betaald.

Er ligt een vraagstuk rondom

Markt en overheid en een publiek

middel voor het BSN-domein mag

niet van invloed zijn op bedrijven

die zelf een kaart op de markt

willen zetten: het is heel wel

denkbaar dat er dan geen private

middelen op hoog niveau gaan

komen, terwijl de markt er wel

klaar voor is.

De multimiddelenstrategie zou

kunnen mislukken.

Hieruit zou het volgende scenario kunnen worden ontwikkeld:

Er komen één of meer publieke middelen voor het BSN-domein op hoog niveau.

Om te voorkomen dat er een nieuw uitgifteproces moet worden ontwikkeld wordt

het middel gekoppeld aan bestaande middelen, zoals de NIK, het Rijbewijs, het

vreemdelingendocument en / of de geprivilegieerdenkaart. Aanvullende

wetgeving zal hiervoor nodig zijn.

De kosten van de chip op de kaart worden opgenomen in de leges van de

kaarten. Het gaat (indicatief) om 3 à 5 € per kaart. Dat is het financiële kader

dat nodig is om de kaart in productie te brengen. Ook de kaartlezers worden

door burgers betaald.

De uitrol van het middel start nadat de kaart productiegereed is en nieuwe

kaarten bevatten het elektronische identificatiemiddel.

De kaart wordt in het publieke domein gebruikt en kan vanaf het moment dat de

kaart in productie is genomen voor elektronisch verkeer worden geëist. Om te

voorkomen dat er bij burgers onnodige kosten worden gemaakt, is hier een

overgangstermijn van 10 jaar.


De publieke middelen worden in het BSN-domein voor diensten gebruikt en

zouden voor de private sector de moederkaart kunnen worden op basis waarvan

uitgifte van private middelen kan worden vereenvoudigd. Het gebruik van een

publiek middel als moederkaart, is dan aan de private partijen.

Voor het private domein wordt de kaart gezien als moederkaart die bij de uitgifte

van private kaarten door bedrijven kan worden gebruikt. Die keuze is aan de

private sector zelf, maar gezien de ingroei periode van 10 jaar, zal het

bedrijfsleven dat naar verwachting pas vanaf 2020 gaan doen.

De publieke middelen worden in de lijn (departement) ontwikkeld en

gerealiseerd, inclusief de daarvoor benodigde wetgeving. De overall coördinatie

op alle gezamenlijke activiteiten en check op compliancy van deze middelen en

hun ‘leveranciers’ met de Stelselspecificaties verloopt via de StuurgroepeID, zodat

alle onderdelen van het eID Stelsel bij elkaar komen.

Bovenstaande wordt helder gecommuniceerd met private partijen, zodat deze partijen

duidelijkheid hebben over de ruimte die bestaat om met private middelen te komen.

Doelgroep & dekkingsgraad

De reikwijdte van de doelgroep van de publieke middelen is: Nederlanders (zowel

ingezetene als niet ingezetene) en Niet Nederlanders met relatie met de Nederlandse

overheid. In de Basis Register Personen zijn 18,3 miljoen mensen opgenomen. Hiervan zijn

er 16,8 miljoen ingezetenen en 1,5 miljoen niet ingezetenen.

Momenteel zijn er 8,3 miljoen Nederlandse identiteitskaarten en 10,9 miljoen rijbewijzen in

omloop. Een derde van de rijbewijshouders heeft ook een NIK, daarmee komt de dekking

voor deze documenten op ongeveer 15,5 miljoen personen, van met name 16 jaar en

ouder. Overigens kunnen individuen die nu alleen een paspoort hebben, ook vrijwillig een

NIK aanschaffen. Daarmee wordt de dekkingsvraag nog hoger. Dan resteren wel een

tweetal vragen die nader moet worden onderzocht:

De vraag of er een restgroep is, die niet kan worden bediend door enig bestaand

publiek middel.

Voor zo’n eventuele restgroep zal moeten worden onderzocht in hoeverre

hiervoor aanvullende voorzieningen nodig zijn dan wel dat een privaat middel

een goed alternatief is.

5.3 Communicatie (migratie)

De communicatieadviseurs van het Programma eID ondersteunen de projectleider migratie

en afsprakenstelsel bij de communicatie. Daarbij werken zij nauw samen met de

communicatieadviseurs van de bestaande voorzieningen die migreren naar eID. De

eigenaren van de bestaande voorzieningen zijn namelijk zelf verantwoordelijk voor de

communicatie over de migratie.

5.4 Businessmodel

Het businessmodel is een belangrijk onderdeel van het Afsprakenstelsel eID, omdat het

bepalend is voor de economische afweging die partijen maken om wel of niet deel te nemen

in het stelsel c.q. gebruik te maken van het stelsel.


De centrale vraag voor het businessmodel is:

Op welke manier kan het businessmodel bijdragen aan de realisatie van de multimiddelen

strategie door het scheppen van randvoorwaarden voor een snelle beschikbaarheid en

adoptie van hoogwaardige eID-middelen voor eindgebruikers (burgers en bedrijven)?

Een snelle beschikbaarheid van hoogwaardige (stork 3 en 4) middelen draagt bij aan:

Een snelle ontwikkeling en adoptie van het eID Stelsel en de voorzieningen

daarbinnen.

Het realiseren van de doelstellingen voor veilige en betrouwbare elektronisch

identificatie.

Het op korte termijn kunnen beschikbaar stellen van transacties die een

hoogwaardig middel voor authenticatie vereisen.

Intracommunautaire elektronische authenticatie mogelijk maken.

Laagdrempelige uitrol van afgeleide aanvullende middelen (met lager

betrouwbaarheidsniveaus en hoger gebruiksgemak).

Vanuit het programma is van belang om het proces te faciliteren dat er besluitvorming komt

over het businessmodel; met een zo breed mogelijk draagvlak. Het proces voor het

opstellen van het businessmodel kan helpen bij het betrekken van veel private stakeholders

bij het eID stelsel.

Gebleken is dat in de overwegingen over eventuele deelname door private partijen

duidelijkheid nodig is over de wijze waarop de overheid een eigen publiek middel

positioneert. Duidelijkheid daarover is een belangrijke component in de invulling van het

businessmodel.

In de uitwerking van het businessmodel is het mogelijk om onderscheid te maken in een

model om een eerste uitrol van het stelsel op gang te brengen en een model meer gericht

op de fase daarna. In de uitwerking moet tevens rekening worden gehouden met de

ondersteuning van de pilotfase en de gerealiseerde invulling door het stelsel eHerkenning.

Op te leveren resultaten

De volgende resultaten zijn voorzien:

1. Instellen publiek private werkgroep

Hiervoor zullen partijen worden uitgenodigd, zullen er werkafspraken gemaakt worden

en het proces tot uitwerking en draagvlak worden bepaald.

2. Opstellen eerste notitie met scenario’s

In deze notitie zullen de belangrijkste scenario’s of varianten zijn beschreven. Deze

notitie zal ook de inzichten en meningen van de verschillende partijen in beeld moeten

brengen.

3. Concept eindrapportage

Op basis van een, door de werkgroep gedragen, concept eindrapportage zal er een

breder toetsing van het draagvlak voor één of meerdere scenario’s worden uitgevoerd.

4. Eindrapport

Dit eindrapport zal, voorzien van een oplegmemo, worden voorgelegd aan het tactisch

overleg eHerkenning, het eID-platform en de StuurgroepeID.


De voorgestelde aanpak en planning

De planning en fasering voor het businessmodel ziet er als volgt uit:

5.5 eID Afsprakenstelsel

Het eID Afsprakenstelsel is het geheel van afspraken op grond waarop alle deelnemers en

gebruikers van het eID Stelsel zich kunnen aansluiten en zich vervolgens ook aan moeten

houden. Het project Afsprakenstelsel is hier binnen verantwoordelijk voor de functionele

werking en het ontwerp van de benodigde technische koppelvlakken.

De opdracht luidt dan ook:

Ontwikkel de functionele werking van het eID Afsprakenstelsel, gebaseerd op de visie en de

uitgangspunten van “De Strategische Verkenning eID Stelsel.Nl”. Deze functionele werking

vindt zijn weerslag in verschillende producten die in samenhang de werking zodanig

beschrijven dat op grond hiervan deelnemers publiek en privaat nieuwe voorzieningen

kunnen ontwikkelen en aanbieden en bestaande voorzieningen kunnen migreren en

dienstaanbieders (publiek en privaat) vervolgens kunnen aansluiten.

Het project levert vier soorten producten op:

Ontwerp, waaronder de uitgangspunten, opzet, definitie en werking van het eID

Stelsel, maar ook aspecten als standaarden, betrouwbaarheidsniveaus en

aansluiting op Europa.

Producten die de inhoudelijke basis vormen van Toezicht en Beheer, niet zijnde

governance en juridica, waaronder usecases, ontwerp testvoorzieningen,

normenkader, privacy impactanalyses en beveiligingsanalyses.

POT’s en POCs, waarin het ontwerp wordt beproefd en bovendien op inhoud

draagvlak wordt gecreëerd bij stakeholders en specifiek bij de potentiële

deelnemers aan het stelsel.

Communicatie en Businessconsultancy ten behoeve van draagvlak en

impactanalyses.

Het project Afsprakenstelsel heeft 5 mijlpalen voor het eID Afsprakenstelsel geformuleerd,

waarvan er twee zijn gerealiseerd; de 0.7 en de 1.0 versie van het Afsprakenstelsel. De

resterende mijlpalen en tussenresultaten zijn hieronder weergegeven in een tabel.

Actie Wanneer Actor

Instellen werkgroep Mei-Juni 2014 eID programma

Eerste notitie (scenario’s) bespreken in

eID-platform op 3 september 2014

Juni-Aug 2014 “

Concept eindrapport / Toetsing voor

draagvlak

Sep-Okt 2014 “

Eindrapport Okt 2014 Bespreken in eID-platform op 27

oktober 2014


Actie (product) Wanneer Actor

PIA op versie 1.0; privacyimpactanalyse op ontwerp versie 1.0 Jan-Juni 2014 Project Afsprakenstelsel

Pot’s en poc’s 1e ronde; beproevingen ontwerp in publiek/private

samenwerking met potentiële deelnemers en dienstaanbieders van

het stelsel

Mei-Okt 2014 Project Afsprakenstelsel

Mijlpaal 3:

Versie 2.0; nadruk op werking, basis voor bouw centrale

componenten, bouwactiviteiten marktpartijen, migratie bestaande

voorzieningen voor plateau 1.

Deze versie bevat aanpassingen en aanvullingen op grond van pot/

poc traject, aansluiting op Europa (1e versie).

normenkaders(concept), betrouwbaarheidsniveau’s (concept),

maatregelen uit eerste privacy impactanalyse, ontwerp

testvoorzieningen (1e versie tbd)

Sep-Dec 2014 Project Afsprakenstelsel

PIA op versie 2.0; vervolg privacy analyse Okt 2014-Feb

2015

Project Afsprakenstelsel /

Juridische WerkgroepeID

Pot’s en poc’s 2e ronde; beproevingen voortkomend uit evaluatie 1e

ronde en op aanvullingen ontwerp(m2m)

Jan-Apr 2015 Div.

Beveiligingsanalyse op versie 2.0; beveiligingsanalyse van belang of

security goed verankerd zit in het ontwerp en is tevens input voor

afspraken en maatregelen in het stelsel voor de deelnemers

Jan-Maart 2015 Div.

Mijlpaal 4:

Versie 3.0; aanvullingen m2m,verwachting: vooral aanvullingen,

geen wijzigingen. voornaamste inspanning: herontwerp m2m

voorzieningen. basis voor beheer. is gereed om voorbereidingen te

treffen voor het volgende plateau 2. het bevat de maatregelen

voortkomend uit de eerste beveiligingsanalyse, de tweede

privacyanalyse , fraudeopsporing, en aanvullingen en wijzigingen

n.a.v. aanvullende pots en pocs.

Apr-Juni 2015 Project Afsprakenstelsel

Mijlpaal 5:

Versie 4.0; eventuele eindversie ter volledige overdracht aan de

beheerorganisatie

Juli 2016 Project Afsprakenstelsel

Het Afsprakenstelsel is, als stelsel, in opzet complexer dan een individuele voorziening en

introduceert bovendien vraagstukken als:

Het borgen van veiligheid en continuïteit van het stelsel

Het snel en adequaat oplossen van incidenten en calamiteiten

Het snel en adequaat detecteren en tegengaan van fraude

De zorg dat klanten van het stelsel niet van het kastje naar de muur worden

gestuurd

Teneinde de maatregelen te identificeren voor het borgen van veiligheid, continuïteit en

klantvriendelijkheid van het stelsel zal een onderzoek worden opgestart. Onderdeel daarvan

is een fit-gap analyse, waarin de bestaande inrichting t.a.v. boven genoemde onderwerpen

wordt afgezet tegen de arrangementen zoals deze bestaan voor DigiD, eHerkenning,

PKIoverheid etc. Dit onderzoek is naar verwachting in oktober a.s. afgerond.


Ten aanzien van fraudepreventie en fraudebestrijding wordt er een bijeenkomst

georganiseerd met deskundigen vanuit BZK (identiteitsfraude), V&J (fraude coördinatie) en

opsporingsdiensten. Daarbij wordt ingegaan op de volgende vragen:

1. Is het ontwerp van het eID Stelsel fraudebestendig of biedt het -onbedoeld-

nieuwe mogelijkheden voor fraude? (voorkomen is beter dan bestrijden)

2. Blijft vroegtijdige signalering van fraude mogelijk of beperkt het eID stelsel dit?

3. Heeft het eID stelsel invloed op de bestaande mogelijkheden van detectie en

opsporing/vervolging van fraudegevallen (opheffen van de pseudoID)?

5.6 Internationaal

De internationalisering van de elektronische dienstverlening is een belangrijke ontwikkeling

in de omgeving van het programma eID Stelsel NL en oefent invloed uit op het programma.

De in april 2014 aangenomen Verordening elektronische identiteiten en

vertrouwensdiensten stelt eisen aan het eID Stelsel NL. Binnen het Europese

integratieproject wordt gewerkt aan één interne digitale markt door de realisatie van

internationale, grensoverschrijdende, eOverheid toepassingen die de administratieve lasten

voor burgers en bedrijven verlagen en de Europese integratie bevorderen. Een voorbeeld

hiervan is het STORK project waar een infrastructuur ontwikkeld wordt voor

grensoverschrijdende authenticatie. Veilige toegang tot deze grensoverschrijdende

dienstverlening is een randvoorwaarde om fraude en misbruik te voorkomen en het

vertrouwen van burgers en bedrijfsleven in deze ontwikkelingen te behouden. Een goede

aansluiting tussen de ontwikkelingen in het eID Stelsel NL en de Europese ontwikkelingen is

dan ook noodzakelijk. Het expertisegebied ‘Internationaal’ geeft hier invulling aan.

De opdracht voor het expertisegebied Internationaal luidt dat men toeziet op een goede

aansluiting tussen de ontwikkelingen in het eID Stelsel en de Europese ontwikkelingen.

Daarbij kan gedacht worden aan:

o Europese verordeningen als eIDAS, Privacy en de Dienstenrichtlijn;

o De ‘implementing acts’ (uitvoeringsbesluiten) die een verdere invulling

geven van eIDAS;

o programma’s zoals eSENS en STORK.

Daarnaast dient geborgd te worden dat er een goede aansluiting is op technisch en

organisatorisch vlak met de eID voorzieningen voor grensoverschrijdende authenticatie en

de Europese vereisten hiervoor (met name de PEPS en V-IdP zoals ontwikkeld in STORK) en

de eisen die voortvloeien uit de eIDAS verordening en bijbehorende implementing acts.

Vanuit het expertisegebied wordt tevens het eID Stelsel vertegenwoordigd bij relevante

gremia in Europa.

De volgende producten zullen opgeleverd worden:

Europese impact: Wat is de impact van de verschillende Europese ontwikkelingen

op eID Stelsel NL?

o Technische analyse van de koppeling tussen eID Stelsel NL, service

providers, de PEPS en V-IDP bouwblokken van de STORK infrastructuur.

Input hiervoor zal voornamelijk komen uit ervaringen opgedaan in:

De STORK Grensboeren pilot waar de Nederlandse PEPS gekoppeld

wordt aan enerzijds eHerkenning en anderzijds de Belgische

infrastructuur (juli 2014).

De STORK Grensboerenpilot met Duitsland op basis van het V-IdP

model en ‘der neue Personalausweis’.


De andere STORK2.0 pilots van de workpackage 5.3 partnerlanden

waarbij NL optreedt als authenticatieprovider voor dienstaanbieders

van deze partnerlanden.

o Impact assessment van EU Verordening voor elektronische identiteiten en

vertrouwensdiensten (eIDAS) en de bijbehorende implementing acts14 op het

eID Stelsel NL (mei 2014).

Nadere uitwerking van de impact van de eIDAS verordening en de technische

analyse. Denk hierbij aan de gevolgen van de Verordening voor het business

model en de publiek-private context van het Stelsel en de transformaties die

gemaakt moeten worden om aan te sluiten vanuit het Stelsel op de STORK PEPS.

Hierbij zal samenwerking met andere trajecten uit het programma zoals de

business model, governance en eID Stelsel specificaties/architectuur nodig zijn

(oktober 2014).

Functionele uitwerking en architectuurbeschrijving op basis van uitgewerkte

scenario’s (use cases) voor grensoverschrijdende authenticatie. Welke

functionele componenten zijn nodig en hoe loopt het berichtenverkeer ertussen

om de Europese scenario’s te realiseren? In de uitwerking zullen ook de

resultaten uit de technische analyse en de impact assessment meegenomen

worden. Denk hierbij aan een omnummervoorziening, de unieke identifier, een

EU landenknop op de website voor inloggen, de eID NL herkenningsmakelaar en

de PEPS-NL STORK component inclusief V-IDP (juli 2014).

Normenkader voor authenticatieniveaus: om interoperabiliteit met andere

lidstaten in Europa te bewerkstelligen is een normenkader voor

authenticatieniveaus nodig. Het STORK normenkader kan als startpunt dienen

maar is niet voldoende normatief. eHerkenning werkt momenteel aan een meer

normatief normenkader. Echter dit normenkader is niet 1-op-1 toepasbaar voor

eID Stelsel NL omdat de laatste zich bijvoorbeeld nadrukkelijk ook in het

burgerdomein begeeft waar andere criteria van toepassing zijn. Er zal voor eID

Stelsel NL een nieuw normenkader voor authenticatieniveaus opgesteld moeten

worden. In deze activiteit maken we hiervoor een eerste aanzet (december

2014).

Verankering: Het borgen van de resultaten in het eID Stelsel NL en richting

Europa. Belangrijk is dat de resultaten (en tussenresultaten) tijdig en op een

goede manier geborgd worden in het eID Stelsel NL. Dat zal gebeuren door het

ontsluiten van kennis en informatie voor de verschillende doelgroepen in het

programma. Dit kan via de bestaande overlegstructuren en/of 1-op-1 gesprekken

met betrokken personen. Daarnaast zal Nederland bij de verdere uitwerking van

de eIDAS verordening (de uitvoeringsbesluiten of ‘implementing acts’) bepaalde

standpunten moeten innemen die aansluiten op het eID Stelsel NL. Onderdeel

van deze activiteit is beleidsmedewerkers die betrokken zijn bij deze activiteiten

te adviseren. (continu, december 2014).

Communicatie: Het eID Stelsel NL vertegenwoordigen en uitdragen bij relevante

gremia in Europa (continu).

14 De implementing acts worden in de loop van 2014 en 2015 opgesteld. Vanzelfsprekend kan de impact hiervan op het eID

Stelsel NL pas na het opstellen van het document worden bepaald.


6.0 Governance eID stelsel

6.1 Scope en afbakening

Beleidswerk en uitvoeringswerk

Het Programma eID staat voor de uitvoering en heeft als doel het eID Stelsel te realiseren.

Tegelijkertijd is er een onmiskenbare beleidsverantwoordelijkheid bij zowel EZ als BZK.

Bovendien is er een wetgevingstraject dat noodzakelijk is voor de uitvoering, maar waar EZ

en BZK primair verantwoordelijk voor zijn. De ministeriële verantwoordelijkheid voor de

publieke middelen (kaart of anderszins) ligt bij de minister van BZK en voor het eID Stelsel

bij de ministers van EZ en BZK.

Het programma eID zal effectiever zijn, wanneer de voorbereiding van politieke besluit-

vorming en de advisering aan de politieke leiding geen (direct) onderdeel is van het

programma, maar via de contactlijn tussen de programmamanagers en de beleidsverant-

woordelijke departementen wordt geregeld. Wetgeving is hierbij zo’n noodzakelijke

voorwaarde voor het succes van het programma dat het programmamanagement eID hier

nauw bij wordt betrokken en hier ook inhoudelijk coördinerend op zal moeten zijn. Daarom

zullen ook relevante beleidsdocumenten via BAOeID naar de StuurgroepeID lopen en zal het

programmamanagement ook de coördinatie van het wetgevingstraject en het juridisch

traject op zich nemen. Dat draagt bij aan de samenhang van beleid en uitvoering.

Het eID Stelsel wordt ingericht als netwerk waarin publieke en private partijen diensten

leveren om een toekomstbestendige en betrouwbare elektronische identiteitsinfrastructuur

te realiseren. De publieke en private partijen in het stelsel werken volgens gezamenlijke

afspraken. Om een dergelijk netwerk op een betrouwbare manier tot stand te brengen, te

laten functioneren en te evolueren, is een goede governance voor het stelsel noodzakelijk

die een afspiegeling biedt van de posities, verwachtingen en belangen van de

samenwerkende organisaties.

Onder governance wordt verstaan het raamwerk voor sturing, besluitvorming en

verantwoording over en in het eID Stelsel in zowel de realisatiefase als de beheerfase. In

een goed werkende governance voor het eID Stelsel, weten de betrokken partijen welke rol

ze hebben en waarom ze die rol hebben. De betrokken partijen weten hoe ze hun taken,

bevoegdheden en verantwoordelijkheden in het stelsel kunnen uitvoeren. Stakeholders

hebben voldoende inzicht in de wijze waarop de governance van buitenaf bezien werkt en

waar ze terecht kunnen met vragen, opmerkingen en issues.

Binnen de overheid is ten aanzien van andere, qua complexiteit en omvang vergelijkbare,

programma’s gewerkt aan ontwikkeling, inrichting en operationalisering van governance.

Vanuit het programma eID wordt gekeken naar de ‘best practices’ van onder andere SBR

(Standard Business Reporting) en eHerkenning.

6.2 eID-platform

1. Over het eID-platform

Een aantal publieke en private organisaties dat betrokken is bij de ontwikkeling van

het eID Stelsel ontmoet elkaar vanaf het tweede kwartaal 2014 op bestuurlijk niveau

in het eID-platform. Dit platform is ingericht voor de duur van de programmafase

van het eID Stelsel. Het eID-platform geeft gevraagd en ongevraagd strategisch

advies aan de Stuurgroep eID over de ontwikkeling en realisatie van het eID Stelsel.


2. Doelstelling van het eID-platform

Doel van het eID-platform is het bieden van een basis voor overleg tussen betrokken

publieke en private partijen met diverse rollen die binnen het stelsel worden

voorzien. De toegevoegde waarde van het eID-platform is gelegen in de tijdige

inbreng van private partijen bij de ontwikkeling van het stelsel alsook voor de

inhoudelijke inbreng en afstemming met marktpartijen. Dit is er op gericht om te

bevorderen dat de gewenste voorzieningen daadwerkelijk door de markt worden

ontwikkeld met het oog op deelname aan het stelsel.

3. Invulling eID-platform

Het platform heeft een publiekprivate samenstelling en kent leden uit de volgende

groepen:

afvaardiging vanuit de StuurgroepeID;

een aantal representatieve leden vanuit de doelgroep potentiële leveranciers van

toegangsdiensten en van andere voorzieningen binnen het eID Stelsel;

een aantal representatieve leden vanuit de doelgroepen publieke en private

dienstaanbieders;

een vertegenwoordigende organisatie vanuit de doelgroep gebruikers/burgers.

Het platform komt minimaal 4x per jaar bijeen onder onafhankelijk voorzitterschap. De

ondersteuning wordt uitgevoerd vanuit het ProgrammaeID/project Beheer.

6.3 Opdrachtformulering

Governance plateau 1: het eID-platform is in mei 2014 van start gegaan met haar

werkzaamheden. De vaste samenstelling van het eID-platform is bekend, maar organisaties

met interesse in publiek-private samenwerking melden zich nog steeds, en aansluiting aan

het eID-platform is nog steeds mogelijk15. Vanuit het project governance wordt met hen

onderzocht op welke wijze invulling kan worden gegeven aan de behoefte om betrokken te

zijn bij de ontwikkeling van het eID Stelsel. Ten aanzien van de governance inrichting in

realisatieplateau 1 wordt zoveel mogelijk gewerkt vanuit bestaande regelgeving en

governance(s). Waar nodig zullen vanuit het project governance voor de pilots aanvullende

bestuurlijke arrangementen worden voorgesteld. Dit geldt ook voor het eID-platform, welke

een steeds belangrijker gremium wordt naarmate de publiek-private samenwerking

concreter wordt. Het project governance doet tot slot een voorstel hoe om te gaan met de

governance van de nieuw te ontwikkelen generieke voorzieningen zoals de

Stelselregistratiedienst en de omnummervoorziening BSN.

Governance plateau 2 en verder: vanuit het project wordt de inrichting en werking van de

governance vanaf de beheerfase voorbereid. Plateaus twee en verder vereisen een stevige

doorontwikkeling, waarbij tegelijkertijd het stelsel operationeel gaat. Een bijpassende

governance moet (uiteindelijk) voldoende juridische (wettelijke) basis hebben om het stelsel

te kunnen legitimeren en besturen. In het voorstel wordt ingegaan op de publiek-private

15 Hierbij pas wel de kanttekening dat het eID-platform praktisch een maximale omvang moet hebben. Daarom wordt samen met

het eID-platform ook nagedacht over getrapte vertegenwoordiging. Daarnaast is ook voorzien in andere vormen van betrokkenheid, zoals

netwerkbijeenkomsten zoals het eID-café. Bovendien wordt het bedrijfsleven betrokken bij POC’s en bij POT’s (zie par.4.5).


samenwerking door bijvoorbeeld een getrapte vertegenwoordiging vanuit de verschillende

sectoren. Ook voor de definitieve positionering van de beheerorganisatie wordt een voorstel

gedaan.

6.4 Forum Standaardisatie

Het programma eID leidt tot een afsprakenstelsel, hetgeen uiteindelijk een standaard is die

voor het publieke domein en het private domein zal moeten worden vastgesteld. Het Forum

Standaardisatie en uiteindelijk het College Standaardisatie spelen hierbij een centrale rol.

Wanneer de standaarden die uit het programma komen zijn ingedaald in de praktijk, zal het

Forum een oordeel geven en zal het College Standaardisatie de standaarden voor de

publieke sector gaan vaststellen. Dit wordt in 2017 opgepakt, wanneer het stelsel in

voldoende mate is uitgerold over publieke en private partijen.

6.5 De voorgestelde aanpak en planning

De planning en fasering voor de inrichting van de governance ziet er als volgt uit:

Actie Wanneer Actor

eID-platform Doorlopend

(incidenteel)

Als er aanpassingen plaatsvinden: vz

platform ism vz stuurgroep

Voorstel inrichting governance pilotfase Mei-Dec 2014 Stuurgroep, gehoord hebbende eID-

platform

Voorstel voor de werkwijze en invulling

van de definitieve governance voor het

eID Stelsel

Mei-Dec 2014 Stuurgroep, gehoord hebbende eID-

platform


7.0 Beheer eID

7.1 Inrichten beheerorganisatie eID Stelsel

Doelstelling van het project Inrichten Beheer eID Stelsel

De doelstelling is het realiseren van een beheerorganisatie voor het eID Stelsel gedurende

2014, die op 1 januari 2015 gereed is om eID-producten in beheer te nemen. Die

beheerorganisatie is uitsluitend gericht op stelselbeheer en dus niet het beheer van

individuele voorzieningen en middelen binnen het eID Stelsel (bijvoorbeeld DigiD of andere

middelen/makelaars).

Met ‘stelselbeheer’ wordt bedoeld het beheer van de set afspraken voor de instandhouding

en doorontwikkeling van het eID Stelsel, de ondersteuning van de governance en

communicatie, voorlichting, operationeel toezicht en naleving, en (eventuele) ondersteuning

en coördinatie bij de toetreding en uittreding tot het stelsel. Hierbij horen tevens de

technische componenten die nodig zijn voor het stelselbeheer van het operationele netwerk.

Dit zijn generieke stelselvoorzieningen: de dienstencatalogus, en testfaciliteiten. Deze

generieke stelselvoorzieningen zijn nodig als sluitstuk op het stelselbeheer.

Mijlpalen

De belangrijkste mijlpalen/resultaten voor dit project zijn als volgt:

1. Het inrichten van een beheerorganisatie gedurende 2014, die op 1 januari

2015 gereed is om eID-producten in beheer te nemen. De beheerorganisatie

is daarmee op tijd klaar om een eerste productierijpe versie van het eID-

afsprakenstelsel in beheer te nemen.

a. Het opstellen van acceptatiecriteria en -proces voor een soepele en

zorgvuldige inbeheername van het Afsprakenstelsel eID en generieke

stelselvoorzieningen.

b. De eigen processen van de beheerorganisatie gereed maken voor eID

Stelsel.

2. Het opleveren van het Operationeel Handboek als onderdeel van het

Afsprakenstelsel eID. Daarin zijn de stelselbrede beheerprocessen

beschreven, zoals het change- en releaseproces, het toetredingsproces, het

incidentmanagementproces, onderhoudsprocessen voor het operationele

netwerk etc. Deze beheerprocessen zijn nodig om de taken van de

beheerorganisatie te kunnen uitvoeren. Het Operationeel Handboek moet

uiterlijk 1 november 2014 gereed zijn.

a. Deze stelselbeheerprocessen zijn in belangrijke mate gerelateerd aan

het besluitvormingsproces cq. governancestructuur van het eID

Stelsel. Voor de uitvoering van vrijwel alle processen is besluitvorming

nodig van de diverse gremia die het stelsel beheren en

doorontwikkelen.

Onzekerheden

De belangrijkste onzekerheden voor dit project zijn als volgt:

1. De beheerfase treedt in wanneer er een productierijpe versie van het eID

afsprakenstelsel wordt vastgesteld. Het is dan ook een risico dat er vertraging

optreedt in de planning van het project Inrichten Beheer eID Stelsel, wanneer

het Afsprakenstelsel niet tijdig wordt opgeleverd.

2. Het is vooralsnog onduidelijk welke partij stelselverantwoordelijke zal zijn

voor het eID afsprakenstelsel wanneer de beheerfase start. De vraag is welke

partij de stelselverantwoordelijkheid op zich zal nemen en daarmee ook de


aansturing is voor de beheerorganisatie. Hierover moet worden besloten

alvorens de beheerorganisatie haar werk kan starten.

3. Het is vooralsnog onduidelijk hoe operationele toezicht en naleving worden

uitgevoerd wanneer de beheerfase start. Hoe is de relatie tussen de

beheerorganisatie en de toezichthouder? Hierover moet worden besloten

alvorens de beheerorganisatie haar werk kan starten.

Randvoorwaarden

1. Opleverplanning vanuit het programma eID voor (alle onderdelen van) het

afsprakenstelsel eID. Wie levert wat wanneer?

2. Beslissing over welke partij stelselverantwoordelijke is alvorens de

beheerfase start.

3. Beslissing over de wijze waarop operationele toezicht wordt uitgevoerd

alvorens de beheerfase start.

7.2 Betrouwbaarheidsniveaus

Een belangrijke functie van het eID Stelsel NL is de authenticatie van gebruikers voor

dienstaanbieders. De betrouwbaarheid van de uitgevoerde authenticatie is medebepalend of

gebruikers toegang krijgen tot diensten. De betrouwbaarheid hangt af van:

a. De kwaliteit van het registratieproces van de gebruiker door de

authenticatiedienst.

b. De wijze waarop het authenticatiemiddel ter beschikking is gesteld aan de

gebruiker.

c. De robuustheid van het authenticatiemiddel tegen compromitteren.

Er zijn verschillende normenkaders voor het bepalen van het niveau van de

betrouwbaarheid van de authenticatie. Het normenkader betrouwbaarheidsniveaus zal

onderdeel worden van het Afsprakenstelsel eID op basis waarvan toezicht en handhaving

kan worden uitgevoerd.

Analyse bestaande normenkaders (zie bijlage 3):

Aansluiten bij een gestandaardiseerd normenkader is wenselijk. Dit voorkomt discussies en

vertaalslagen van niveaus tussen verschillende kaders. De Europese eIDAS verordening

gaat uit van slechts drie niveaus in plaats van de in STORK en ISO gebruikelijke vier

niveaus.

7.3 Toezicht

Vertrouwen en veiligheid zijn de kritische succesfactoren voor het eID Stelsel. Het eID

Stelsel lijkt het best te vergelijken met de bankensector: een vitale infrastructuur voor de

gehele maatschappij. Essentiële onderdelen daarvan zijn specifieke overheidstaken. Dat

vereist dat er aan de hoogste betrouwbaarheidsnormen wordt voldaan bij de inrichting en

gebruik van het eID Stelsel. Een streng (en onafhankelijk) toezicht is noodzakelijk om aan

te kunnen tonen dat iedereen binnen het stelsel zich houdt aan de afspraken en daarmee

het vertrouwen in het systeem te borgen. Het inrichten van onafhankelijk toezicht

(organisatorisch beleggen en wettelijk verankeren) kost tijd. Daarom wordt een gefaseerde

aanpak nagestreefd. Fasen die deels parallel lopen:

De totstandkoming van het eID Stelsel vergt allereerst het samenvoegen van

verschillende vertrouwensdiensten. Zaak is dat het toezicht op de verschillende

onderdelen van deze vertrouwensdiensten geïntegreerd plaats gaat vinden. Hierbij dient


uiteraard rekening te worden gehouden met de lessen geleerd uit de Diginotar-zaak

(lees: aanbevelingen OVV en Logica) alsook met de nieuwe Europese ‘Verordening

elektronische identiteiten en vertrouwensdiensten’.

Het geïntegreerde toezicht daadwerkelijk beleggen bij een onafhankelijk toezichthouder.

De wettelijke grondslag van deze toezichthouder moet gerealiseerd worden.

Stap 1 (korte termijn): Het toezichtkader van de bestaande vertrouwensdiensten PKI, DigiD

en eHerkenning moet in elkaar geschoven worden.

Het idee is dat er op korte termijn een integratie van het toezicht van de bestaande

vertrouwensdiensten PKI, DigiD en eHerkenning tot stand kan komen en dat deze zich verder

kan doorontwikkelen naar een ook beleidsmatig gewenste situatie met een publiek wettelijke

grondslag. Als basis en uitgangspunt zal eHerkenning worden gebruikt.

Uitgaande van de huidige situatie wordt vanuit de beheerorganisatie Logius een beeld

geschetst van de gewenste situatie op de korte termijn voor wat betreft de inrichting van het

toezicht. Daarbij hebben de volgende punten de aandacht:

welke onderdelen vallen onder het operationeel toezicht en de naleving geredeneerd

vanuit de huidige toezichtarrangementen en de mogelijke verbeteringen;

welke onderdelen en verbeteringen uit de toezichtsarrangementen voor eHerkenning,

DigiD, gekwalificeerde certificaten en PKI-overheid zijn toepasbaar voor het eID

Stelsel;

er wordt een voorstel gedaan voor een normenkader en risicoanalyse voor het eID

Stelsel, waarbij zoveel mogelijk wordt geput uit / aangesloten bij bestaande

normenkaders voor eHerkenning, DigiD, gekwalificeerde certificaten en PKI-

overheid;

er wordt een analyse gemaakt of en welke bestaande sanctiemogelijkheden van

eHerkenning, DigiD en PKI kunnen worden overgenomen en toepasbaar zijn binnen

het eID Stelsel;

er wordt een voorstel gedaan hoe het document Rechten en plichten, wat nu nog een

separaat document is binnen eHerkenning, een geïntegreerd geheel met het

Afsprakenstelsel eID wordt.

Randvoorwaarde daarbij is dat het een geïntegreerd toezicht wordt met minimale lasten voor

de betrokkenen. Bovendien moet er een goede scheiding zijn tussen beheer en toezicht.

Hiervoor is inmiddels een plan van aanpak opgesteld.

Stappen 2 en 3 (middellange en lange termijn): toezicht op eID Stelsel beleggen bij een

onafhankelijk toezichthouder en toewerken naar een toezichthouder voor de digitale

overheidsinfrastructuur.

eID voorziet in de algemene behoefte van de samenleving naar beschikbaarheid van

betrouwbare middelen voor veilige elektronische communicatie. Het gaat om algemene

infrastructuur ten dienste van ons allen, vergelijkbaar met rijkswegen en het elektriciteitsnet.

De overheid waarborgt ook niet dat er bepaald aanbod is o.i.d. – in beginsel is dit

marktgestuurd - maar de overheid zorgt wel dat er algemeen toezicht is op degenen die

middelen aanbieden en zorgt voor ordening zodanig dat het als een stelsel kan functioneren.

Toezicht wordt in dit kader belegd bij een onafhankelijk toezichthouder (stap 2).

De toezichthouder op het eID Stelsel heeft een wettelijke grondslag nodig. Die moet

gecreëerd worden. De vormgeving van het toezicht op het eID Stelsel kan niet los worden

gezien van een recent voorstel van Rob Kuipers waarin hij pleit voor een Generieke Digitale


Infrastructuur16. Hieronder vallen ook essentiële generieke onderdelen van de overheids-

infrastructuur, waaronder eID. Het ligt voor de hand om het toezicht op de essentiële

onderdelen van deze digitale infrastructuur, waaronder dus ook het toezicht op het eID

Stelsel, uiteindelijk ook bij deze toezichthouder te beleggen (stap 3).

Daarnaast vereist de vormgeving van het toezicht de beantwoording van diverse

beleidsvragen. Daarbij moet vooral gekeken worden naar de voorwaarden waaronder het

toezicht kan worden uitgevoerd, bijvoorbeeld in welke mate dient het eerstelijns toezicht ook

door de toezichthouder te worden uitgevoerd?

Planning

16 Geen goede overheidsdienstverlening zonder een uitstekende digitale infrastructuur, Rob Kuipers (ABD Topconsult), 14 januari

2014.

Actie Wanneer Actor

Onderzoek gewenste eindsituatie vanuit

Beheer

Q1-Nov 2014 Project Toezicht

Uitwerken beleidsvragen / vormgeven

toezicht

Q3-Q4 2014 Project Toezicht

Start beheerorganisatie eID Jan 2015 Programma eID


8.0 Juridische aspecten

In het kader van eID zijn de belangrijkste juridische aspecten de volgende:

1. Wetgeving

2. Juridische kaders pilot

3. Juridische onderdelen Afsprakenstelsel.

4. Juridische advisering.

5. Overige juridische aspecten, zoals

ondersteunen bij Kamervragen.

8.1 Wetgeving

Voor het volledig operationeel kunnen zijn van alle elementen van het eID Stelsel is formele

wetgeving een voorwaarde. In deze paragraaf is een indicatieve planning van het

wetgevingstraject opgenomen.

Op hoofdlijnen is het doorlooptraject voor wetgeving circa 31 maanden na oplevering van de

startnotitie, waarbij voorzien is in advisering door het College Bescherming

Persoonsgegevens. Doel van de startnotitie is de contouren van de te ontwerpen wettelijke

regeling te schetsen en daarbij aan te geven op welke aspecten invulling en beleidsvorming

nodig is om tot nadere uitwerking van een wettelijke regeling te komen.

De regie op de wetgeving voor het eID Stelsel ligt bij de schrijfgroep wetgeving als

onderdeel van de Juridische WerkgroepeID. Deze schrijfgroep wordt gevormd door

wetgevingsjuristen van de twee verantwoordelijke ministeries BZK en EZ alsmede de

juridisch adviseur van de Belastingdienst en wordt gecoördineerd door de juridische

directeuren van de directie CZW van BZK en Directie WJZ van EZ. De overige leden van de

Juridische WerkgroepeID fungeren voor dit deel van het werk als Klankbord voor de

schrijfgroep en zijn daarnaast verantwoordelijk voor andere juridische aspecten

(aansluitvoorwaarden, contracten, etc.), welke door de Juridische WerkgroepeID in kaart

moeten worden gebracht.

De juridisch directeuren van BZK en EZ zijn verantwoordelijk voor de afstemming met de

betrokken beleidsdirecties van BZK en EZ en voor de kwaliteit en voortgang van de

wetgeving. Het programmamanagement is – namens de StuurgroepeID - verantwoordelijk

voor het doen realiseren van de benodigde besluitvorming en het actief monitoren van de

voortgang. Beslispunten worden via de Juridisch Directeuren en de gebruikelijke

programmalijn aan de StuurgroepeID voorgelegd. Het programmamanagement neemt voor

dit onderwerp deel aan de bespreking met de Juridisch Directeuren.

Belangrijk is dat de resultaten met zoveel mogelijk partijen wordt gedeeld. Dit is gericht op

het verkrijgen van draagvlak. Om deze reden wordt een Klankbordgroep "Juridische

aspecten eID" ingesteld met juristen van andere dienstaanbieders. Deze Klankbordgroep

"Juridische aspecten eID" zorgt voor afstemming van producten van de Juridische

WerkgroepeID (inclusief wetgeving).

De planning van het gehele structurele wetgevingstraject en de andere juridische aspecten

als contracten, aansluitvoorwaarden en Dienstenniveauovereenkomsten staat in

onderstaande tabel.


Actie wanneer Actor

Te komen tot één Juridische werkgroepeID onder aansturing

van het programmamanagement. Naast BZK/B&I/CZW

worden andere leden van de StuurgroepeID gevraagd

deelnemers te leveren voor dit juridisch overleg.

In de prioritering van de Juridische WerkgroepeID als eerste te

bezien wat er nodig is voor de pilots en hierover in juli 2014

de StuurgroepeID nader te informeren. Er ligt al een eerste

analyse. Voor uitputtend juridisch advies is nodig dat eerst

een plan van aanpak voor de pilots beschikbaar is waaruit

blijkt hoe die er precies gaan uitzien.

juni 2014

Programmamanagement in

overleg met BZK (B&I, CZW)

en EZ

Opnemen van het wetgevingsproject in de

wetgevingskalender van BZK

juni 2014

Programmamanagement in

overleg met de Juridische

WerkgroepeID

o Startnotitie Wetgeving/IAK ter bespreking in het BAOeID

en StuurgroepeID met:de lijst van noodzakelijke

beslispunten;

o Het uitzetten van de vraag aan alle departementen voor

een inventarisatie van aan te passen regelgeving.

o Inventarisatie van hetgeen in wetgeving, lagere

regelgeving of in civielrechtelijke afspraken moet

komen.

juli 2014 Juridische WerkgroepeID

Na StuurgroepeID toezenden aan toetsingscommissie

administratieve lasten

juli 2014 BZK

Beantwoording openstaande beleidsvragen, opstellen

conceptregeling met toelichting.

juli 2014 –

jan 2015 Juridische WerkgroepeID

Besluitvorming over juridische aspecten van de pilots,

waaronder de Stelselregistratiedienst, auditing en toezicht.

sept. 2014

Juridische WerkgroepeID in

overleg met

Programmamanagement

Inrichten Klankbordgroep "Juridische aspecten eID" sept. 2014

Juridische WerkgroepeID in

overleg met BAOeID

Ondersteuning PIA (privacy) 2.0 Afsprakenstelsel 2.0 okt. 2014 Juridische WerkgroepeID

Eerste aanzet wetsvoorstel en MvT jan. 2015

Juridische WerkgroepeID i.c.

Klankbordgroep "Juridische

aspecten eID" en daarna via

BAOeID naar de StuurgroepeID

Melding aan CBP dat BZK voornemens is om een wetsontwerp

eID te ontwikkelen en dat er een adviesaanvrage komt.

Succes van het traject wordt beter geborgd, wanneer het CBP

er in een vroegtijdig stadium bij wordt betrokken.

jan. 2015 BZK

1e concept aansluitvoorwaarden eID en Dienstenniveau-

overeenkomst of SLA met dienstenleveranciers en

middelenleveranciers. Dit zal nog nader moeten worden

onderzocht ivm afweging over hetgeen op wetgevingsniveau

en op het niveau van overeenkomsten moet worden geregeld.

feb. 2015

Juridische WerkgroepeID i.c.


aspecten eID" en daarna met

advies aan de StuurgroepeID

via het BAOeID,


Interdepartementale afstemming

feb-maart

2015 Juridische WerkgroepeID /BZK

Consultatie

apr-juni

2015 Juridische WerkgroepeID /BZK

BZK-wetgevingstoets

juli 2015 (2

wk.) BZK

WKB-wetgevingstoets juli 2015 BZK/VenJ

Adviesaanvraag CBP aug. 2015 Juridische WerkgroepeID /BZK

Behandeling voorportaal, onderraad, ministerraad okt. 2015


/departementen

Wetsvoorstel naar de Raad van State

nov 2015 –

jan 2016 Departementen

Nader Rapport aan De Koning feb. 2016 Departementen

Wetsvoorstel naar TK mrt. 2016 Departementen

Starten met het opstellen van eventuele

uitvoeringsregelgeving (gedelegeerd, AMvB’s en Ministeriële

Regelingen. Die zullen tegelijk klaar zijn met de wet om het

geheel per 1 januari 2017 te kunnen laten werken.

mrt. 2016 Juridische WerkgroepeID

Debat in TK en besluitvorming in TK

apr-sep.

2016 Departementen

Wetsvoorstel naar EK

sep-okt.

2016 Departementen

Besluitvorming voorbereiden over eventuele

uitvoeringsregelgeving (gedelegeerd, AMvB’s en Ministeriële

Regelingen.

sept. 2016

Juridische WerkgroepeID. Te

bespreken in de


aspecten eID" en daarna met

een advies naar de

StuurgroepeID via het BAOeID.

Debat in EK

okt 2016-

jan 2017 Departementen

Implementatie wetgeving, ondertekening jan. 2017 Departementen

Staatsblad, inwerkingtreding feb. 2017 Programmamanagement

De detailplanning is opgenomen in een separate startnotitie wetgeving/IAK.

Door de Juridische WerkgroepeID zal tevens een bijdrage worden geleverd aan het

daadwerkelijk implementeren van het Toezicht en de Stelselregistratiedienst. De

Stelselregistratiedienst is zelfs al nodig wanneer de pilots starten. Hier ligt een opgave voor

Q3 en Q4 2014. Daarbij zal ook moeten worden bezien hoe dat tijdelijk juridisch kan worden

ingebed.


8.2 Juridisch kader pilots

Gezien de planning van de wetgeving moeten de pilots in 2015 worden uitgevoerd binnen

de huidige wettelijke kaders. Er komt een overkoepelend pilotplan, terwijl elke organisatie

die een pilot gaat uitvoeren intern een plan opstelt. De Juridische werkgroep eID verleent

hierbij zo nodig ondersteuning aan de juristen van de betrokken organisaties. Het plan

wordt in ieder geval voorgelegd aan de Juridische WerkgroepeID. Het gaat hierbij om

bijvoorbeeld de volgende vragen.

Vraagstukken ten aanzien van de pilots (waarover formeel nog moet worden besloten) zijn bijvoorbeeld:

Kunnen de pilots plaats vinden binnen de juridische kaders van eHerkenning en DigiD? Of is er aanvullende

regelgeving nodig

Is de huidige weten regelgeving op het terrein van toezicht toereikend?

Wat is juridisch nodig om een beheerorganisatie zijn werk te kunnen laten doen en welke beheerorganisatie is

waarvoor verantwoordelijk?

Is toelating tot het afsprakenstelsel eHerkenning een voorwaarde om juridisch valide transacties in het kader van de

pilots te kunnen doen?

Afhankelijk van de uitkomsten kan een planning voor vervolgactiviteiten ten behoeve van

juridische verankering van de pilots worden gemaakt.

8.3 Juridische onderdelen Afsprakenstelsel

De juridische hoofdstukken zijn een belangrijk onderdeel van het Afsprakenstelsel. Hierin

zullen een aantal zaken juridisch geborgd moeten worden zoals verantwoordelijkheden en

aansprakelijkheid.

De documenten uit eHerkenning, PKI en DigiD worden nu geanalyseerd om te bepalen

welke rechten en plichten we minimaal ook in het eID stelsel nodig hebben en hoe de relatie

tussen wettelijke regeling en Afsprakenstelsel ingericht gaat worden. Daarmee wordt de

bestaande praktijk gebruikt om een en ander in het eID Stelsel structureel te regelen.

Deze onderdelen hebben een sterke relatie met de voorgaande twee onderdelen. De

Juridische WerkgroepeID is verantwoordelijk voor het aanleveren van de juridische

onderdelen van het afsprakenstelsel.

Tevens zal er een minimale afstemming moeten plaatsvinden met de Juridische

WerkgroepeID inzake de planning en totstandkoming van de PIA 2.0.

Voor de versie van het Afsprakenstelsel 2.0 (voorzien in november), zullen de eerste

documenten zijn opgeleverd (na analyse eHerkenning, PKIoverheid en organisatie DigiD).

8.4 Advisering over overige juridische aspecten

Naast de bovenstaande zaken zullen alle voorkomende juridische vragen die binnen het

programma opkomen aan de werkgroep worden voorgelegd. Het kan hierbij gaan om

vragen over privacy/gegevensbescherming, intellectuele eigendom, aanbesteding, Europees

recht, (ondersteuning bij) Kamervragen etc.

De Juridische WerkgroepeID voert regie op de beantwoording hiervan. De behandeling kan

ook bij andere onderdelen van de ministeries worden neergelegd.


9.0 Communicatie extern

9.1 Inleiding

In dit hoofdstuk wordt de externe communicatie voor het programma eID beschreven. Begin

2014 heeft het eID-communicatieam een communicatieplan voorgelegd aan de

StuurgroepeID. Op dit plan is positief gereageerd. Dit plan is echter niet vastgesteld, omdat er

ook een communicatiestrategie in stond voor de DigiD-kaart, waarover nog geen politiek

besluit was/is. Het plan fungeert momenteel wel als uitgangspunt bij de operationele

activiteiten van Communicatie.

9.2 Doelstelling en resultaten

Communicatie draagt op de volgende wijze bij aan de realisatie van het

programmaresultaat:

1. Het informeren van communicatiedoelgroepen over de komst van het eID Stelsel

en (bij positieve besluitvorming) over de ontwikkeling van een publiek middel hoog.

2. Het merk eID(-stelsel) onder de nieuwe naam op de juiste wijze positioneren.

3. Het pro-actief signaleren, analyseren en terugkoppelen van de wijze waarop eID bij

de verschillende communicatiedoelgroepen wordt beleefd.

4. Het stimuleren van de aansluiting van dienstaanbieders op het eID Stelsel.

5. Het stimuleren van leveranciers om deel te nemen aan het eID Stelsel.

9.3 Aanpak

Voor het behalen van de doelstellingen en resultaten wordt de volgende

communicatiestrategie gehanteerd:

1. In onze communicatie sluiten we aan bij de brede behoefte van overheid en

bedrijfsleven aan meer zekerheid over digitale identiteit.

2. Het programma eID informeert in 2014 primair dienstaanbieders en leveranciers.

3. Richting gebruikers is het uitgangspunt: ‘need to know’-communicatie

4. Benadruk in de communicatie de publiek-private samenwerking.

5. Communiceer over het eID Stelsel in samenhang met bestaande voorzieningen.

Toelichting:

Ad 1. In onze communicatie sluiten we aan bij de brede behoefte van overheid en

bedrijfsleven aan meer zekerheid over digitale identiteit

In de communicatie over het eID Stelsel wordt altijd verwezen naar de reden voor het

ontwikkelen van een eID Stelsel, namelijk de breed gedragen wens van overheden en

bedrijven om meer zekerheid te hebben over de online identiteit van personen en

organisaties.


Ad 2. Programma eID informeert in 2014 primair dienstaanbieders en leveranciers.

In 2014 richt het programma eID zich primair op publieke en private dienstaanbieders en

ICT leveranciers (eID-deelnemers). Zonder hen is er geen werkend stelsel. Als het stelsel

werkt, is het de bedoeling dat de beheerorganisatie eID informatie geeft over het eID

Stelsel en informatie verstrekt over het aansluiten daarop aan dienstaanbieders. Als de

dienstaanbieders zijn aangesloten is het aan hen om hun klanten te informeren over de

wijze van inloggen. Het verleiden van gebruikers om een identificatiemiddel van het eID

Stelsel aan te schaffen is primair de taak van de middelenleveranciers.

Ad. 3 Richting gebruikers is het uitgangspunt: ‘need to know’-communicatie

Voor de gebruikers is het eID Stelsel alleen relevant vanwege de bijbehorende

authenticatiemiddelen, waarmee ze online zaken kunnen doen. De strategie richting

gebruikers is dan ook om niet actief te communiceren over het stelsel. Het eID Stelsel is

zichtbaar op de achtergrond, vertrouwd aanwezig en uitlegbaar voor geïnteresseerden.

‘Need to know’-communicatie, is het uitgangspunt. Net als bij iDeal komen gebruikers

het eID Stelsel vanzelf tegen als ze zich online identificeren.

Ad 4. Benadruk in de communicatie de publiek-private samenwerking

Het is van belang dat het eID Stelsel laat zien dat het een publiek-private samenwerking

is. Dit geeft vertrouwen in het slagen van het project. Dit moet je ook laten terugkomen

in de positionering van het Stelsel, bijvoorbeeld in de naam en het logo.

Ad 5. Communiceer over het eID Stelsel in samenhang met bestaande voorzieningen

Als het voor de doelgroep relevant is, wordt bij communicatie over het eID Stelsel

aangegeven wat de gevolgen zijn voor bestaande authenticatieoplossingen en -middelen

van de overheid, zoals DigiD (Machtigen), eHerkenning en PKIoverheid. Om te

voorkomen dat partijen niet willen of twijfelen over aansluiten op eHerkenning, wordt in

de communicatie-uitingen aangegeven dat eHerkenning migreert naar/ aansluit op het

eID Stelsel.

9.4 Naamgeving

Tot nu toe is er binnen het programma en de betrokken organisaties gesproken over eID en

het eID Stelsel. Deze blijken echter merkenrechtelijk niet bruikbaar, omdat de term eID ook

elders wordt gebruikt, bijvoorbeeld in domeinnamen of als geregistreerde merknaam.

Bovendien is gebleken dat de naam eID Stelsel communicatief niet goed werkt. Ter

voorbereiding van de komst van het eID Stelsel is na onderzoek een nieuwe naam

voorgelegd aan de StuurgroepeID en goedgekeurd. De nieuwe naam is voorgelegd aan beide

ministers en akkoord bevonden. Tegelijkertijd worden enkele lanceringscenario’s ontwikkeld

en wordt het wel of niet meegaan in de rijkshuisstijl of het ontwikkelen van een eigen

huisstijl inclusief logo onderzocht. Het laatste heeft vooral te maken met nog te maken

keuzes over positionering van het eID Stelsel door betrokken organisaties en marktpartijen.

9.5 Woordvoering, media en stakeholders

- BZK en EZ zijn verantwoordelijk voor het eID Stelsel. De woordvoering is belegd bij

BZK, in afstemming met EZ. Beide stemmen af met Communicatie van het

ProgrammaeID.

- Het programmaeID is verantwoordelijk voor de mediastrategie. Het eID-

communicatieteam maakt elke maand een Signalering voor het PVOeID, waarin

signalen van media of externe stakeholders worden omgezet in adviezen voor het


Programma. Daarnaast maakt zij elk kwartaal een media-analyse, om de te kijken of

de mediastrategie zoals beschreven in het communicatieplan aanpassing behoeft.

Tot slot maakt het team ieder half jaar een stakeholdersanalyse. Dit is een middel om beter

zicht te krijgen op de omgeving, waardoor eventuele crises of negatieve media voorkomen

kunnen worden.


10.0 Programmamanagement

10.1 Inrichting

De inrichting van het programma is gebaseerd op ‘spelregels’. Eenduidige spelregels dragen

bij aan de duidelijkheid in wederzijdse verwachtingen van organisaties en personen, die

actief zijn binnen het programma. Ook voor partijen die geen onderdeel zijn van het

programma, maar daar wel een belang bij hebben, is dat van belang. Het startpunt is dat er

een programmabureau eID is met een programmamanagement. De StuurgroepeID besluit en

het programmamanagement levert via het BAOeID informatie aan. In het BAOeID vindt de

inhoudelijke discussie plaats. De StuurgroepeID besluit dan op basis van committent of

“agreement to disagree” die in het BAOeID tot uiting is gekomen.

Het programma functioneert op basis van een aantal leidende principes:

In principe worden alle stukken voor de StuurgroepeID voorbesproken in de

vooroverleggen BAOeID (Beleids en Adviesoverleg eID) en PVOeID (Programma

Voortgangsoverleg eID). Indien hiervan wordt afgeweken, wordt dat toegelicht.

Onderwerpen die van belang zijn voor het toekomstige functioneren van het eID

Stelsel (structurele zaken), worden van advies voorzien door het eID-platform. Voor

de structureel inhoudelijke onderdelen van het eID Stelsel neemt de stuurgroep eID

het advies van het eID-platform mee in de besluitvorming.

Transparantie binnen het programma en tussen programma en betrokken ‘lijn’-

organisaties is van belang; zowel ten aanzien van inhoud als proces.

De verantwoordelijkheidsverdeling en taakverdeling tussen de verschillende gremia is

voor iedereen helder.

10.2 Besluitvormings- en overlegstructuur

De besluitvormings- en overlegstructuur binnen het programma is hieronder uiteengezet.

Ten opzichte van de huidige structuur is in de kern niet veel veranderd. Er is nog steeds een

operationeel / inhoudelijk, een tactisch en een strategisch niveau te onderkennen. Echter,

het doel is om in de praktijk het samenspel tussen deze overleggremia eenduidiger en meer

rolzuiver te laten verlopen; conform de bij 10.1 benoemde spelregels.

De StuurgroepeID:

o De StuurgroepeID is het sturingsorgaan voor het programma als geheel.

o De StuurgroepeID neemt besluiten op basis van de in het BAOeID besproken

opleggers en het advies van het eID-platform.

o De DGBK is technisch voorzitter van de StuurgroepeID.

o In de StuurgroepeID zijn in ieder geval betrokken de directeuren van de betrokken

departementen en de voorzitter van de Manifestgroep. De RDW zal ook deel

uitmaken van de StuurgroepeID tenzij wordt besloten dat er geen eRijbewijs komt.

o De relatie met de “andere overheden” wordt nog bezien.


o De voorzitter van de StuurgroepeID en het programmamanagement hebben

periodiek overleg en onderhouden, waar nodig, intensief contact.

o Het Tactisch Overleg eHerkenning kan de StuurgroepeID adviseren met betrekking

tot stelselafspraken. Ook in relatie tot eHerkenning hebben de voorzitter van de

StuurgroepeID en het programmamanagement, waar nodig, intensief contact.

Het BAOeID (Beleids en Adviesoverleg eID):

o De BAOeID is het voorportaal van de StuurgroepeID en kan binnen de mandatering

door de StuurgroepeID zelf besluiten nemen.

o In het BAOeID zitten in ieder geval de adviseurs van alle leden van de

StuurgroepeID.

o Het BAOeID bereidt de StuurgroepeID voor en bespreekt de door projectleiders en

programmamanagement voorbereide documenten en opleggers voor de

StuurgroepeID.

o In deze opleggers staan de beslispunten (met betrekking tot geld, politieke

aspecten, planning, voortgang, etc.) en zonodig “agreements to disagree”.

o Het BAOeID zorgt ervoor dat de consequenties van besluiten helder zijn voor de

leden van de StuurgroepeID.

o Één van de programmamanagers is voorzitter van het BAOeID.

Het PVOeID (Programma Voortgangsoverleg eID):

o Het PVOeID is het overleg van de projectleiders en andere inhoudelijk

deskundigen.

o In het PVOeID wordt de voortgang van projecten en vooral samenhang en

afhankelijkheden tussen projecten besproken.

o Daarnaast verzorgt het PVOeID de inhoudelijke voorbereiding van adviezen aan het

BAOeID en de StuurgroepeID.

o Één van de programmamanagers is voorzitter van het PVOeID.

Het eID-platform:

o Het eID-platform is het overlegorgaan tussen private en publieke sector met

betrekking tot de ontwikkeling van het eID Stelsel.

o De voorzitter van het eID-platform is een onafhankelijk aangestelde voorzitter.

o Het eID-platform kan de StuurgroepeID gevraagd en ongevraagd adviseren op

relevante terreinen. Met relevante terreinen wordt bedoeld inhoudelijke

onderwerpen die in de toekomst van belang zijn voor het functioneren van het

werkende eID Stelsel. Bijvoorbeeld het businessmodel, de definitieve

governancestructuur, informatiebeveiliging, het ontwerp van het stelsel,

risicomanagement etc. Indien private partijen in een project- of werkgroep

betrokken zijn, zal het eID-platform rechtstreeks worden geïnformeerd.

Gelijktijdig zullen ook het BAOeID en de StuurgroepeID worden geïnformeerd.

o In het eID-platform kunnen ook zaken geagendeerd en behandeld worden vanuit

andere leden dan het programma eID. Leden kunnen ook zelf onderwerpen

aandragen bij het eID-platform secretariaat.

o De voorzitter van de StuurgroepeID en de voorzitter van het eID-platform

stemmen vooraf de conceptagenda van het eID-platform af.

In aanvulling op de hiervoor geschetste structuur is er een periodiek overleg (PO) van de

programmamanagers met de verantwoordelijke directies van EZ èn BZK.


De lijn die is gekozen is er één van zorgvuldigheid. Soms verhoudt zich dat niet met snelheid die ook noodzakelijk is op sommige punten. In zo’n geval kan het programmamanagement in overleg met de voorzitter van de StuurgroepeID besluiten stappen over te slaan. Omwille van het transparant delen van informatie zal het programmamanagement hierover altijd het PVOeID, het BAOeID en het eID-platform informeren. Met het bovenstaande ziet de overlegstructuur er als volgt uit:

-

Samenhang met beleid, met de ontwikkeling van DigiD en eHerkenning

Sommige aspecten worden voorbereid in het beleidscircuit van in ieder geval BZK en EZ. Deze documenten worden door de beleidsmakers via het PVOeID en het BAOeID voorgelegd aan de StuurgroepeID. De ontwikkeling van DigiD en eHerkenning heeft impact op de keuzes die worden gemaakt in het kader van eID. Daarom zal met DigiD en eHerkenning worden overlegd om relevante besluiten te bespreken met het programmamanagement eID. Indien nodig kan het programmamanagement eID de punten agenderen in de StuurgroepeID.


10.3 Inrichting projecten

In het programmaplan eID van september 2013 worden een aantal projecten en zogenoemde ‘ondersteunende’ activiteiten onderkend. Elk project kent een projectleider; elke ondersteunende activiteit een trekker. Zie onderstaande tabel.

Project / “Ondersteuning”

Afsprakenstelsel eID

Governance eID Stelsel

Roadmap migratie

Toezicht

DigiD-kaart

Communicatie

Marktbewerking

Voorbereiden politieke besluitvorming

Juridica en wetgeving

Internationaal

Kwaliteitsborging


Voor de meeste lopende projecten en expertisegebieden binnen het programma geldt dat de

herijking van het programmaplan geen grote implicaties heeft voor de onderscheiden project

doelstellingen. Voor de doorlooptijden, scope en specifieke projectresultaten kan dat

overigens wel het geval zijn.

Voor het project DigiD-kaart daarentegen is, op grond van recente inzichten en verwachte

besluiten, sprake van een significante scope-aanpassing. De StuurgroepeID heeft op 5 juni

2014 besloten deze programma doelstelling te laten vervallen, waarmee ook dit project

vervalt.

Ten aanzien van Voorbereiden politieke besluitvorming geldt dat dit vervalt als

expertisegebied binnen het programma als uitvloeisel van de beoogde duidelijkheid ten

aanzien van de scheidslijn tussen beleid en uitvoering. Het voorbereiden van de politieke

besluitvorming behoort tot de verantwoordelijkheid van de betrokken departementen.

Vanzelfsprekend dient er wel inhoudelijke afstemming gezocht te worden met het

programmamanagement voor onderwerpen die de scope van het programma raken. Nader

bekeken zal worden hoe dit kan worden geborgd in de overlegstructuur (bijvoorbeeld door

een departementale vertegenwoordiger in het PVOeID.)

Daar staat tegenover dat een aantal programma resultaten dusdanig belangrijk en/of

omvangrijk zijn, dat deze ook als separaat (deel)project zullen worden ingericht. Het betreft

dan de (nieuwe) projecten:

Inrichten beheerorganisatie

Realisatie pilots eID

De realisatie van de Stelselregistratiedienst zal, omwille van het belang, specifiek als

deelproject (met een eigen deelprojectleider) worden ingericht; binnen het project Roadmap

migratie.

De ‘ondersteunende’ activiteit Kwaliteitsborging in het oorspronkelijke programmaplan is in

de praktijk niet ingevuld. In dit MasterplaneID is deze belangrijke rol voorzien als onderdeel

van het programmabureau. Dit leidt tot het volgende overzicht aan projecten en

expertisegebieden binnen het programma eID:

Project / Expertisegebied

Afsprakenstelsel eID

Governance eID Stelsel

Roadmap migratie, w.o.

Deelproject

Stelselregistratiedienst

Toezicht

Inrichten beheerorganisatie

Pilots eID


Communicatie en Marktbewerking


Internationaal

Programmabureau, w.o. borging van

Architectuur

Kwaliteit

Uniformiteit van zowel beleid en uitvoering ‘overheidsbreed’ is van groot belang. Daar waar

interne inspanningen op diverse (deel)gebieden van de elektronische identiteit worden

geleverd is afstemming gewenst. Zichtbaarheid van het programma eID kan tot

samenwerking en synergie leiden met andere departementen die eigen trajecten in

ontwikkeling hebben die het eID Stelsel raken. Tijdig overleg, advisering en (deel)participatie

levert niet alleen uniformiteit op maar kan ook tot een (her)synchronisatie van trajecten en

kennisdeling leiden, wat rijksbreed voordeel kan opleveren. Gedacht moet worden aan

rijksweb, gastsprekers op diverse symposia en het gericht benaderen van programma’s,

projecten en beleidstrajecten. Dit kan gerealiseerd en gecoördineerd worden vanuit

bijvoorbeeld een ‘eID Kenniscentrum’ waar, onder andere, expertise en informatie gebracht

en gehaald kan worden.

Secundair is er al een actieve participatie van externe marktpartijen door middel van

bijvoorbeeld het eID-platform. Dit heeft een gericht doel van actieve participatie,

marktontwikkeling, etc., welke synchroon lopen aan het traject van ontwikkeling, uitrol en

beheer van het eID Stelsel. Bovenstaand voorstel van aanpak binnen de overheid kan, in het

kader van marktontwikkeling en kennisdeling, hier ook van toepassing zijn.

10.4 Communicatie

Om te zorgen dat het programma als geheel eenzelfde boodschap naar buiten uitdraagt, en

richting de juiste doelgroepen, worden alle aanvragen voor presentaties over eID gemeld bij

Communicatie. Bij twijfel wordt in het programmabureau besloten of de aanvraag wel of niet

gehonoreerd wordt. Presentaties worden vooraf afgestemd met Communicatie.

Interne communicatie is de verantwoordelijkheid van het programmamanagement,

ondersteund door de programmasecretaris. Communicatie geeft indien gewenst advies of

leest mee.

Om de communicatie over het programma eID Stelsel te laten slagen is het van belang input

te krijgen van en samen te werken met verschillende betrokken organisaties. Daarom zorgt

Communicatie voor afstemming met communicatieafdelingen, - adviseurs van de

organisaties van de leden van de Stuurgroep en het eID-platform.

De woordvoering over het programma eID is belegd bij BZK. Eerste contactpersoon van de

woordvoerder is de trekker Communicatie. Zij voorziet BZK van informatie en bespreekt de


mediastrategie (in overleg met het programmamanagement). Andere betrokken partijen bij

het programma, communiceren niet met de media over het programma.

De projectleiders zijn verantwoordelijk voor de communicatiedoelen van hun project (intern

en extern), waarbij zij communicatieadvies en – ondersteuning afnemen bij Communicatie.

De projectleiders nemen de kosten voor extra, projectspecifieke communicatie op binnen hun

projectbegroting.

10.5 Positionering

Het programma is momenteel ingericht als netwerkorganisatie, waarbij de medewerkers

zowel in Den Haag als in Utrecht werkzaam zijn. Gezien de behoefte aan een centrale locatie

in het land (voor de medewerkers die uit andere delen dan het westen van het land komen)

enerzijds en de nauwe contacten met de verschillende beleidsdepartementen anderzijds zal

deze inrichting worden gehandhaafd. Het programmamanagement wordt door een klein

programmabureau ondersteund. Dat bureau bestaat, naast de programmamanagers, uit een

inhoudelijk adviseur (parttime), de coördinator ‘juridisch, politiek, interdepartementaal’, de

programma-architect, de QA officer, een medewerker communicatie, de

programmasecretaris en de secretaresse.

Ten aanzien van de positionering, ofwel organieke structuur, van het programmabureau zijn

hieronder de voor- en nadelen geschetst van een ‘ophanging’ bij verschillende mogelijke

partijen. Voor de goede orde: de StuurgroepeID blijft hoe dan ook opdrachtgever voor het

programma(management); ongeacht de organieke ‘ophanging’.

Organieke positionering van het Programmabureau eID

Beleid en uitvoering zijn twee verschillende zaken die ook om functiescheiding vragen. Een

heldere, onafhankelijke positionering van het programma schept vertrouwen bij de partners

binnen en buiten de publieke sector.

Er zijn verschillende varianten voor de organieke positionering van het Programmabureau

eID, die elk zijn voor- en nadelen heeft:

Positionering Voordeel Nadeel

BZK Snel te regelen. Koppeling beleid en uitvoering: geen

functiescheiding.

Door HNW lopen beleid en uitvoering nog meer

door elkaar.

Beeldvorming bij de partners dat we BZK zijn.

EZ Snel duidelijkheid of het te regelen is. Koppeling beleid en uitvoering: geen

functiescheiding.

Niet helder is of er werkplekken zijn.

Belastingdienst Snel te regelen.

Dicht bij de groep in Utrecht.

Acceptatie door de andere uitvoerders.

RDW Acceptatie door de andere uitvoerders.

ICTU Past binnen de doelen van ICTU.

Snel te regelen.

Kennis delende organisatie op het

Suggestie dat het duur is.

Weerstand bij uitvoerders.


terrein van I-overheid, PKI en

authenticatie.

Dit kan snel worden geregeld.

Er is ruimte.

Beleid en uitvoering lopen niet door

elkaar.

Afstand tot beleid, maar fysiek dicht

genoeg bij BZK en EZ.

Onafhankelijk e-mailadres.

Voor private partijen aantrekkelijke

organisatie.

Logius Snel te regelen.

Kennis delende organisatie op het

terrein van I-overheid, PKI en

authenticatie..

Dit kan snel worden geregeld.

Er is ruimte.

Beleid en uitvoering lopen niet door

elkaar.

Afstand tot beleid.

Onafhankelijk e-mailadres.

Voor private partijen aantrekkelijke

organisatie.

Te dicht tegen de beheerder.

Logius heeft een belang.

Separaat elders Onafhankelijkheid wordt op alle fronten

benadrukt.

Is gewoon duur.

Kost veel tijd.

Er staat kantoorruimte van de overheid leeg.

Beeldvorming in maatschappij en politiek.

Alles overwegende heeft positionering van het programmabureau eID bij ICTU de voorkeur,

juist vanwege de onafhankelijkheid van deze positionering. ICTU lijkt op zich een dure

oplossing, maar dat wordt veroorzaakt door het feit dat bij ICTU alle kosten in beeld zijn,

terwijl de kosten bij departementen vaak impliciet zijn. Tot slot wordt nog eens benadrukt

dat de organieke ‘ophanging’ geheel los staat van de opdrachtgevers – nemers relatie tussen

de StuurgroepeID en het programmamanagement.


Bijlage 1 Risicomanagement (risico’s en maatregelen)

ID Omschrijving Domein Impact Kans Waarde Beheersmaatregel

Verschillende verwachtingen t.a.v. de

programmadoelstellingen bij leden

van de StuurgroepeID.

Programma Hoog Hoog Hoog Expliciteren in de StuurgroepeID.

Niet tijdige oplevering van een

gedragen afsprakenstelsel.

Onvoldoende afstemming met de

omgeving kan leiden tot het niet

accepteren van het product door die

omgeving.

Stelsel Hoog Hoog Hoog Intensieve samenwerking binnen

programma, met publiek-private

werkgroepen en met eHerkenning en

DigiD.

Projecten lopen uit/langs elkaar. De

samenhang van de verschillende

projecten is nog onvoldoende

duidelijk. Dit kan zich wreken.

Stelsel Hoog Midden Hoog Integrale planning en

voortgangsbewaking; integraal

programmaoverleg en samenwerking.

Mismatch bestaand & nieuw.

Aanpassing bestaande voorzieningen

en beoogde werking toekomstige

(nog te realiseren) voorzieningen sluit

niet op elkaar aan.

Migratie

Hoog Midden Hoog In het project migratie wordt nauw

samengewerkt met eigenaren van de

bestaande voorzieningen.

Vertraging besluitvorming of

aanpassing functionele eisen en

daardoor inefficiënt releaseproces.

Besluitvorming over werking van het

stelsel vertraagd waardoor de

planning in de roadmap niet gehaald

kan worden. Ook kan het zijn dat er

verderop in de looptijd van het

programma wensen voor aanpassing

komen. Beide situaties hebben een

vertragend effect op de realisatie van

de aanpassing van de bestaande

voorziening.

Migratie Hoog Hoog Hoog De releasekalender voor de bestaande

voorzieningen en de roadmap voor de

migratie naar het eID Stelsel worden op

elkaar afgestemd en in samenhang

aangeboden voor besluitvorming door de

stuurgroep. Waar vertraging in het

programma optreedt of een aanvullende

wens wordt geformuleerd, is het advies

om een snelle impactscan door het

project uit te laten voeren op de

aspecten tijd, geld en kwaliteit en

zonodig aanvullende besluitvorming voor

te leggen aan de stuurgroep

Geen financiering beschikbaar voor

de benodigde aanpassingen aan en

realisatie van nieuwe voorzieningen

Migratie Hoog Hoog Hoog De financieringsbehoefte goed onder de

aandacht brengen bij zowel

stuurgroep(leden) als bij de NCDO.

Verbinding c.q. inventarisatie

projecten, departementen, etc. t.b.v.

wetgeving.

Juridica Midden Hoog Hoog Centrale coördinatie. Inrichten schrijf- en

klankbordgroep

Doordat veel partijen deelname eisen

in het eID-platform, wordt de

werkbaarheid verminderd.

Governance Midden Midden Midden Door een zorgvuldig communicatie

traject en overleg te voeren, moet er een

gedragen en werkbare oplossing worden

gevonden in samenwerking met de

voorzitters van Stuurgroep en platform.

De ambitie om alles m.b.t. Toezicht

(PKI-O, DigiD en eHerkenning) te

willen stroomlijnen is te hoog

gegrepen, waardoor er vertraging

dreigt.

Toezicht Midden Midden Midden Door te prioriteren en door de aanpak te

faseren, wordt voorkomen dat bij

eventuele vertragingen alles vertraagd.


ID Omschrijving Domein Impact Kans Waarde Beheersmaatregel

Door incidenten (zoals m.b.t. het

publieke middel) kan het hele stelsel

een negatieve connotatie krijgen.

Communicatie Midden Midden Midden Door zorgvuldige communicatie, strakke

aansturing vanuit communicatieteam en

standaard presentaties wordt getracht

dit te voorkomen. Door intensief

communicatie uitingen te volgen, kan

snel ingegrepen worden als er verkeerde

informatie of beelden in de media

komen.


Bijlage 2 Programmaproducten

Hieronder zijn de programmaproducten benoemd die in de komende periode, tot aan eind

2015 (i.c. gedurende Hoofdplateau 1) in ieder geval zullen worden opgeleverd. Zonodig zal

dit overzicht worden aangevuld met de producten die in een later stadium alsnog nodig

blijken.

Programmaproduct Oplevering

MasterplaneID versie 0.80 Juni 2014

MasterplaneID versie 0.95 Juli 2014

MasterplaneID versie 1.00 Juli 2014

Leidraad Pilots Juli 2014

Projectplan Inrichten beheerorganisatie Juli 2014

Startnotitie Wetgeving Juli 2014

Bijgestelde projectplannen o.b.v. MasterplaneID versie 1.00 September 2014

Plan van Aanpak Pilots September /

Oktober 2014

Deelprojectplan Stelselregistratiedienst September 2014

Plan van Aanpak Intensivering draagvlak private dienstaanbieders November 2014

MasterplaneID versie 1.50 (incl. nieuwe financiële kaders) Januari 2015

MasterplaneID versie 2.0 December 2015

MasterplaneID versie 3.0 December 2016


Bijlage 3 Bestaande normenkaders

STORK

Het STORK project voor eID interoperabiliteit in Europa hanteert vier

betrouwbaarheidsniveaus:

STORK 1 = zo goed als geen zekerheid over de identiteit van de gebruiker STORK 2 = redelijke zekerheid

STORK 3 = substantiële zekerheid STORK 4 = hoge zekerheid

De niveaus zijn oorspronkelijk bedoeld om de eID oplossingen en hun niveaus van de

verschillende lidstaten op elkaar af te kunnen stemmen. Het STORK niveau wordt bepaald

door de betrouwbaarheid van het registratieproces en dat van het authenticatiemiddel.

Onlangs is er een evaluatie geweest van de STORK niveaus. De lidstaten is gevraagd

feedback te geven op de niveaus. De conclusie van de is dat de huidige STORK niveaus te

weinig normatief zijn en onvoldoende aansluiten bij de huidige registratie processen voor het

uitgeven van authenticatiemiddelen. Hierdoor ontstaat er regelmatig discussie over de

toekenning van een niveau aan een authenticatie-oplossing.

De feedback is meegenomen bij het opstellen van de implementatierichtlijnen van de eIDAS

verordening. De door de lidstaten aangemelde authenticatie-oplossingen en hun

betrouwbaarheidsniveaus zullen door de EC getoetst moeten worden. Hiervoor zal een

normenkader moeten komen. Hiermee zal de werkgroep na goedkeuring van de verordening

gaan beginnen (zie verder hieronder bij het kopje eIDAS).

eHerkenning

eHerkenning maakt ook gebruik van betrouwbaarheidsniveaus. Deze niveaus zijn gebaseerd

op die van STORK. Echter, eHerkenning kent vijf niveaus: 1, 2, 2+, 3 en 4. De mapping van

de eHerkenning naar STORK niveaus is als volgt:

eH 1 = STORK 1

eH 2 = STORK 2

eH 2+ = STORK 3

eH 3 = STORK 3

eH 4 = STORK 4

Ook eHerkenning loopt tegen het feit aan dat de STORK niveaus te weinig normatief en

daardoor slecht auditeerbaar zijn. Op dit moment loopt er een onderzoek bij eHerkenning om

de niveaus beter auditeerbaar te maken.

ISO 29115

Het ISO 29115 Entity Authentication Assurance Framework kent ook vier niveaus welke op

sommige punten afwijken van de STORK niveaus. Daar waar STORK de registratieprocessen

en de sterkte van het authenticatiemiddel in ogenschouw neemt, voegt ISO daar een derde

element aan toe: authenticatiemiddelen life-cycle management met veel aandacht voor

creatie, initialisatie, binding, uitgifte, activatie, opslag, intrekken, vernieuwen en het

vastleggen van alle handelingen.


eIDAS verordening

Op 3 april 2014 is de Europese verordening over elektronische identificatie en

vertrouwensdiensten voor elektronische transacties (eIDAS) in de interne markt

aangenomen. De verordening vervangt de huidige richtlijn Elektronische handtekeningen

(1999/93/EG) die aldus de commissie niet het gewenste niveau van harmonisatie heeft

bewerkstelligd. De verordening zal rond juni 2018 daadwerkelijk van kracht worden. Vanaf

dat moment zal Nederland de bij de EC aangemelde oplossingen van andere lidstaten

moeten erkennen en vice versa.

eIDAS definieert drie niveaus voor betrouwbaarheid en stelt voor om de plicht tot

wederzijdse erkenning alleen van toepassing te laten zijn wanneer de online publieke dienst

multifactor authenticatie vereist en de gebruikte middelen voldoen aan de twee hoogste

betrouwbaarheidsniveaus: “midden” (STORK 3) en “hoog” (STORK 4). Lidstaten worden

derhalve alleen verplicht om de middelen van burgers uit andere lidstaten te erkennen als

deze aan een van deze niveaus (STORK 3 of 4) voldoen en bovendien gelijkwaardig is aan

wat in de lidstaat zelf door de dienstaanbieder wordt geëist.

De verordening maakt grensoverschrijdend gebruik van vertrouwensdiensten mogelijk en

biedt daartoe een gemeenschappelijk Europees juridisch kader voor elektronische

handtekeningen en -zegels, tijdsstempels, elektronische documenten en bezorgingdiensten,

en gekwalificeerde website-authenticatie. Daarnaast wordt de wederzijdse erkenning en het

grensoverschrijdend gebruik van door nationale lidstaten bij de commissie aangemelde

elektronische identificatieschema’s voor het verkrijgen van toegang tot online publieke

diensten geregeld.


Bijlage 4 Brondocumenten

Visie digitale overheid 2017 (Kamerstuk 26643, nr. 280)

Programmaplan eID (Albert de Vries, 19 september 2013)

Startnotitie wetgeving eID Stelsel – Integraal afwegingskader eID Stelsel

Geen goede overheidsdienstverlening zonder een uitstekende digitale

infrastructuur, Rob Kuipers (ABD Topconsult), 14 januari 2014.

Masterplan eID vs1 00 def.pdf

Documents

Transcript of Masterplan eID vs1 00 def.pdf