2.4 Beheer en organisatie
EH1 vervallen per 1-7-2021
Het betrouwbaarheidsniveau eH1 (LoA1) wordt niet meer ondersteund. De middelen en machtigingen moeten minimaal voldoen aan de normen van het betrouwbaarheidsniveau eH2 (LoA2).
Inhoudsopgave
2.4.1 Algemene bepalingen
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 1: Het Afsprakenstelsel Elektronische Toegangsdiensten is een publiek private samenwerking onder vigerend Nederlands Recht. Alle verplichtingen die een deelnemer aangaat bij toetredingen zijn vastgelegd in het Juridisch kader. De specifieke vereisten m.b.t privacybescherming en informatiebeveiliging zijn opgenomen in het Privacybeleid respectievelijk het Beleid voor informatiebeveiliging. Het proces voor toetreding is vastgelegd in het Operationeel Handboek, Proces toetreden. Onderdeel van dit proces is een toetsing door de Toezichthouder van de relevante processen, procedures en uitgevoerde technische tests. Ad 2: Hoe deze algemene regels in een concreet geval uitwerken, is afhankelijk van de feiten en de omstandigheden van het geval. De deelnemer kan zijn aansprakelijkheid beperken in de overeenkomst die hij sluit met een dienstafnemer of met een dienstverlener. Daarbij blijft hij gebonden aan de algemene regels van het Nederlandse recht inzake aansprakelijkheid en schadevergoeding. Ad 3: De aansprakelijkheidsregels zijn opgenomen in het Juridisch kader Ad 4: Deze eIDAS eis overlapt de eis met betrekking tot sub-contractanten in 2.4.5. Zowel het Juridisch kader en vooral het Gemeenschappelijk normenkader informatiebeveiliging bevatten voor deze eis relevante specificaties. |
LOA 2 3 4 | Hetzelfde als LoA1 met toevoeging van:
|
2.4.2 Gepubliceerde mededelingen en informatie voor de gebruikers
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 1: De bedoelde vereisten voor zijn vastgelegd in de het Operationeel handboek en de Gebruiksvoorwaarden Elektronische Toegangsdiensten. Daarnaast betreft het de naleving van algemene wettelijke verplichtingen inzake gebruiksvoorwaarden en privacy. Specifiek stelselvereisten voor privacybescherming zijn opgenomen in het Privacybeleid van het stelsel. |
LOA 2 3 4 | Hetzelfde als LoA1 met toevoeging van:
| Ad 1: Doel van deze eis: De Gebruiker wordt in staat gesteld om anomalieën in het gebruik van zijn middel te ontdekken en met deze informatie in contact te treden met een dienstverlener. De persoon op wiens naam ten onrechte een middel is uitgegeven wordt in staat gesteld registraties op zijn naam en de transacties die met het middel op zijn naam gedaan in te zien. Good practice: De Deelnemer geeft zich rekenschap van het feit dat het gaat om toegang tot persoonsgegevens de zin van de AVG. Verwacht mag worden dat de maatregelen die de Deelnemer treft voor bescherming van de toegang tot de transactiegegevens altijd gerelateerd is het LoA van de middel van de Gebruiker. Ad 3.a: Hier is uitgegaan van de situatie dat een fraudeur gebruik heeft gemaakt van identificerende kenmerken van de persoon die claimt dat ten onrechte een middel op zijn naam is uitgereikt. De identificerende kenmerken van de claimant zullen dus overeenkomen met de identificerende kenmerken die zijn gebruikt bij de registratie en uitgifte van het middel. Dat betekent dat de claimant zich kan identificeren als ware hij de daadwerkelijke gebruiker. In het geval de identificerende kenmerken niet overeenkomen is een andere juridische basis nodig om de gegevens te verstrekken zoals in het kader van formele opsporing of gerechtelijk bevel. |
2.4.3 Beheer van informatiebeveiliging
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 3 4 |
| Ad 1: Dit is een eis die aan alle Deelnemers en Beheerorganisaties wordt gesteld als onderdeel van de basisbeveiliging van het Stelsel. |
2.4.4 Bijhouden van de administratie
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 3 4 |
| Ad 1: Archivering van verificaties en validaties bedoeld voor de opbouw van audittrails is ten behoeve van:
Ad 4 en 5: Afwijken van deze norm is slechts acceptabel indien de noodzaak kan worden aangetoond door de Deelnemer. |
2.4.5 Faciliteiten en personeel
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 3 4 |
| Ad 1: Voor het doorgeven van verplichtingen aan onderaannemers etc. volgt de Deelnemer de vereisten uit het Privacybeleid van het Stelsel en het Gemeenschappelijk Normenkader Informatiebeveiliging. Ad 2: Verondersteld wordt dat de implementatie van de eis grotendeels wordt afgedekt door de ISO 27001 certificatie van de deelnemer en dat de deelnemer het daar waar het gaat om het competenties voor het uitvoeren van verificaties in het identificatieproces dit specifiek maakt (zie paragraaf 2.1.2 en 2.1.3). |
2.4.6 Technische controles (technical controls)
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 1 en 3: Het Afsprakenstelsel bevat meerdere specificaties waaronder de specificaties van interfaces en berichten en communicatiekanalen. Alle Deelnemers hebben zich bij toetreding tot het stelsel verplicht deze specificaties te implementeren. Ad 2: Deelnemers zijn voor al hun stelselactiviteiten zelf verantwoordelijk voor de naleving van de wettelijke vereisten uit de Wet Bescherming Persoonsgegevens. Alleen op LoA3 en LoA4 wordt in het Afsprakenstelsel aantoonbaarheid vereist van risicoafweging t.a.v. bescherming van persoonsgegevens in de veronderstelling dat op deze LoAs bijzondere maatregelen noodzakelijk zullen zijn. Ad 4: 'Secret information' omvat persistente wachtwoorden, PINs en (geheime) sleutelmateriaal dat benodigd is voor de authenticatie. Niet bedoeld worden hier eenmalige wachtwoorden (OTPs). Ad 5: De vereisten voor het duurzaam handhaven van de veiligheid is vastgelegd in het Beleid voor informatiebeveiliging en de uitwerking daarvan in het Gemeenschappelijk normenkader informatiebeveiliging. |
LOA 2 | Hetzelfde als LoA1 met toevoeging van:
| Ad 2 en 3: Alle 'persoonsgegevens' en 'andere gevoelige gegevens' omvat naast persistente wachtwoorden, PINs en (geheim) sleutelmateriaal dat benodigd is voor de authenticatie ook alle herleidbare persoonsgegevens. Het omvat niet het pseudoniem. Ad 3: Als toegang tot de systemen of media op eenvoudige wijze verkregen kan worden dan wordt via cryptografie dit risico beperkt. Betreft bijvoorbeeld een databaseserver die rechtstreeks met een client vanaf het internet te benaderen is. Is niet van toepassing op een databaseserver die in een beveiligde zone staat waar enkel andere (interne) systemen zoals applicatie servers bij kunnen komen. Met draagbare/verwijderbare media wordt bedoeld: Laptops, usb-sticks, harddisks etc. Is niet van toepassing als deze media in beveiligde ruimtes, zoals een datacenter, zijn geplaatst. Ad 4: Verondersteld wordt dat met de verplichte ISO27001 certificatie voldaan wordt aan deze eis. |
LOA 3 | Zelfde als LoA2 punten 2 en 3 en met toevoeging van:
| Ad 1: Voorkomen wordt dat één en dezelfde medewerker zonder enige vorm van controle, toezicht of functiescheiding in staat is om de registratie van een gebruiker te doen en vervolgens een middel kan creëren en uitreiken. Dat het onwaarschijnlijk wordt gemaakt dat technisch beheerders ongezien rechtstreeks ingrijpen op databases om daarmee een werkend middel te creëren. Dat betekent dat ofwel de technisch beheerder deze handeling niet kan verrichten ofwel dat een dergelijke handeling van de beheerder vrijwel direct wordt gesignaleerd en onder de aandacht van het management wordt gebracht. Ad 2: Verondersteld wordt dat met de verplichte ISO27001 certificatie voldaan wordt aan deze eis. |
LOA 4 | Hetzelfde als LoA 2 punten 2 en 3 en LoA3 punt 2 en met toevoeging van:
| Ad 1: Voorkomen wordt dat één en dezelfde medewerker zonder enige vorm van controle, toezicht of functiescheiding in staat is om de registratie van een gebruiker te doen en vervolgens een middel kan creëren en uitreiken. Dat het onwaarschijnlijk wordt gemaakt dat technisch beheerders ongezien rechtstreeks ingrijpen op databases om daarmee een werkend middel te creëren. Dat betekent dat ofwel de technisch beheerder deze handeling niet kan verrichten ofwel dat een dergelijke handeling van de beheerder vrijwel direct wordt gesignaleerd en onder de aandacht van het management wordt gebracht. |
2.4.7 Compliance en audit
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 |
| Ad 1 en 2:
Ad 3: In het kader van ISO 27001 certificatie vinden periodieke interne audits plaats die de voor de dienst relevante processen raken. |
LOA 3 4 | Hetzelfde als LoA1 met toevoeging van:
Implementatietermijn De Wet Digitale Overheid is sinds 1 juli 2023 van kracht. Echter, de bijbehorende Ministeriële Regeling is op het moment van deze aanpassing d.d. mei 2024 nog niet gereed. | Ad 1 t/m 5: Ten behoeve van de voorbereiding op de conformiteitsbeoordeling is een Handreiking Conformiteitstoetsing Authenticatiemiddel en -mechanisme beschikbaar. Ad 3.g: Indien van een conformiteitsbeoordelaar zoals bedoeld in sub g gebruik wordt gemaakt blijven sub a, e, f en h wel onverkort van toepassing. Ad 6: Dit artikel beschrijft de situatie dat de auditor tot een positieve verklaring komt. Het is bij het afgeven van conformteitsverklaringen een gangbare auditpraktijk dat er niet wordt gewerkt met vooraf bepaalde termijnen genoemd (bijvoorbeeld 3 maanden voor een kritieke afwijking). Een realistische oplostijd is namelijk afhankelijk van de activiteit die uitgevoerd wordt (fundamentele systeemontwikkeling kost bijvoorbeeld meer tijd dan een aanpassing instellingen van applicaties en hardware). Daarom vereist het vaststellen van deadlines maatwerk. Aangezien er een positieve auditor tot een positieve verklaring is gekomen zal de auditor de juiste uitvoering van het verbeterplan pas bij de volgende controle nagaan. De toezichthouder zal daarom geheel naar eigen inzicht de uitvoering van het verbeterplan controleren. Ad 7: Dit artikel beschrijft de situatie waarin de auditor tot een negatieve verklaring komt. Het rapport met de negatieve verklaring is formeel en definitief en wordt door de deelnemer aan de toezichthouder gezonden. Het is aan de Toezichthouder om al dan niet consequenties aan de negatieve verklaring van de auditor te verbinden. Het ligt daarom voor de hand dat de Deelnemer de Toezichthouder op de hoogte houdt van de afspraken die hij maakt met de auditor over de wijze waarop de oplossing en her |