Attributenbeleid
Het leveren van attributen houdt in: het leveren van unieke, gegevens van natuurlijke en niet-natuurlijke personen, zoals achternaam, KVK-nummer, organisatie en het voldoen aan een leeftijdsgroep. Deze persoonsgegevens kunnen zelfverklaard zijn of geverifieerd tijdens de registratie of op een later moment op een bepaald betrouwbaarheidsniveau.
Er zijn verplicht en optioneel te verstrekken attributen. Verplicht te verstrekken attributen zijn gegevens die een Deelnemer MOET verstrekken. Optioneel te verstrekken attributen zijn gegevens die een Deelnemer MAG verstrekken. Deze Optionele functionaliteit kan door meerdere rollen (deelnemers) in het netwerk geleverd worden geleverd ten behoeve van Dienstverlener (DV).
Voor herkenningsmakelaars is attribuutverstrekking een verplichte functionaliteit om in te richten en te leveren. De Deelnemers mogen alle attributen uitwisselen die beschreven zijn in de Attribuutcatalogus. Ze hoeven hiervoor niet opnieuw toe te treden of een proceswijziging in te dienen. Indien een nieuw attribuut aan de Attribuutcatalogus moet worden toegevoegd, dient wel een proceswijzigingsverzoek te worden ingediend, waarbij gespecificeerd dient te worden welk attribuut wordt toegevoegd en welke processen hiervoor worden ingericht. Zie proces Proces toetreden.
Welke afspraken en eisen gelden er binnen het afsprakenstelsel?
Het verstrekken van attributen gebeurt altijd op basis van user consent: de gebruiker of de vertegenwoordiger van de gebruiker moet expliciet toestemming geven om deze informatie door te geven aan de organisatie die erom vraagt (dienstverlener). Als een vertegenwoordiger deze toestemming geeft, moet deze hiervoor gemachtigd zijn.
Het stelsel verstrekt attributen op verzoek van een dienstverlener. Het is de verantwoordelijkheid van de dienstverlener om te beoordelen of er doelbinding is, niet meer gegevens te vragen dan nodig en de dienstafnemer (gebruiker) te informeren wat er met de gegevens wordt gedaan (conform AVG, voor wettekst zie https://wetten.overheid.nl/BWBR0040940/2019-02-19 ).
Aan dienstafnemers (gebruikers) moet steeds inzage, correctie en intrekking geboden worden van de over hen geregistreerde persoonsgegevens.
Het is niet toegestaan aan gebruikers of (wettelijke) vertegenwoordigers vooraf globaal toestemming te vragen voor verstrekken van alle mogelijke attributen. De user consent dient specifiek te zijn voor een bepaald attribuut en mag beperkt zijn tot een bepaalde dienst en/of dienstverlener. Nadat de eerste keer met de verstrekking van een bepaald attribuut is ingestemd mag de betrokkene aangeven dat dit in vervolg voor dat specifieke doel niet opnieuw gevraagd hoeft te worden. Het bewaren van deze instelling is gebonden aan de termijn als gespecificeerd in het Normenkader betrouwbaarheidsniveaus (doorlooptijd van mutaties van bevoegdheden bij herhaalde registratie).
Verantwoordelijkheden middelenuitgever
Registreren van door aanvrager van het middel verstrekte persoonsgegevens behorende bij de houder van het middel. Deze persoonsgegevens kunnen zelfverklaard zijn of geverifieerd tijdens de registratie of op een later moment op een bepaald betrouwbaarheidsniveau.
Als gebruiker een specifieke dienst benadert die bepaalde attributen wilt ontvangen, dan wordt consent gevraagd waarbij getoond wordt i) voor welke dienstverlener en ii) welke dienst en iii) voor welk attribuut. Daarbij is het mogelijk vanuit usability oogpunt om de gebruiker meteen te laten kiezen om dit attribuut in navolgende verzoeken met de dienstverlener te delen, ook voor andere diensten.
Verantwoordelijkheden authenticatiedienst
Het verstrekken van attributen over de geauthenticeerde gebruiker na een geslaagde authenticatie indien dit door de dienstverlener gevraagd wordt en indien het op grond van bij middelenuitgever of authenticatiedienst geregistreerde user consent of tijdens authenticatie gevraagde consent is toegestaan.
Het aanbieden aan de geauthenticeerde gebruiker van inzage, correctie en intrekking van de over hen geregistreerde persoonsgegevens en het registreren of er toestemming is verleend voor het zonder steeds opnieuw vragen verstrekken van deze persoonsgegevens, aan een specifieke dienstverlener en dienst (dit proces kan elektronisch of op papier worden aangeboden).
Een Authenticatiedienst MOET zijn attribuutverstrekking beperken tot de gegevens die zij beheert uit hoofde van het uitvoeren van haar rol.
Verantwoordelijkheden machtigingenregister
Het registreren van gegevens van de vertegenwoordigde dienstafnemer of intermediaire partij gegevens welke verstrekt kunnen worden binnen de context van een machtiging. Deze kunnen zelfverklaard zijn, geverifieerd tijdens registratie of op een later moment of gevalideerd op het moment van authenticatie;
per gegeven registreren van user consent van de wettelijke vertegenwoordiger of machtigingenbeheerder voor het daadwerkelijk verstrekken van die gegevens aan alle dienstverleners (indien gewenst kan worden geregistreerd dat een gegeven alleen aan specifieke dienstverlener(s) mag worden geleverd);
Na aantreffen van machtiging verstrekken van attributen behorende bij de context waarop de machtiging betrekking heeft indien dit door de dienstverlener gevraagd wordt en indien het op grond van geregistreerde user consent is toegestaan (indien user consent niet vooraf is geregistreerd moet dit op moment van transactie worden gevraagd).
Indien attribuutverstrekking wordt aangeboden moet aan vertegenwoordigde dienstafnemers of intermediaire partijen waarvoor machtiging worden geregistreerd en hun beheerders inzage, correctie en mogelijkheid tot verwijderen geboden kunnen worden van de over hen geregistreerde (persoons)gegevens en of er toestemming is verleend voor het zonder steeds opnieuw vragen verstrekken van deze gegevens, aan een specifieke dienstverlener en dienst (dit proces kan elektronisch of op papier worden aangeboden).
Verantwoordelijkheden herkenningsmakelaar
Het registreren welke attributen een dienstverlener wil uitvragen bij iedere authenticatie.
Het doorgeven van attributen precies zoals ze ontvangen zijn van authenticatiediensten of machtigingenregisters.