Skip to end of metadata
Go to start of metadata

Het leveren van attributen houdt in: het leveren van unieke, persoonsgerelateerde gegevens zoals kredietwaardigheid, voldoen aan een leeftijds- of beroepsgroep. Deze persoonsgegevens kunnen zelfverklaard zijn of geverifieerd tijdens de registratie of op een later moment op een bepaald betrouwbaarheidsniveau. Deze Optionele functionaliteit kan door meerdere rollen (deelnemers) in het netwerk geleverd worden. Voor herkenningsmakelaars is attribuutverstrekking een verplichte functionaliteit om in te richten en te leveren.

Welke afspraken en eisen gelden er binnen het afsprakenstelsel?

  • Het verstrekken van attributen gebeurt altijd op basis van user consent: de gebruiker (gebruiker) of diens vertegenwoordiger moet expliciet toestemming geven om deze informatie door te geven aan de organisatie die erom vraagt (dienstverlener). Als een vertegenwoordiger deze toestemming geeft, moet deze hiervoor gemachtigd zijn.
  • Aan dienstafnemers (gebruikers) moet steeds inzage, correctie en intrekking geboden worden van de over hen geregistreerde persoonsgegevens.
  • Het is niet toegestaan aan gebruikers of (wettelijke) vertegenwoordigers vooraf globaal toestemming te vragen voor verstrekken van alle mogelijke attributen. De user consent dient specifiek te zijn voor een bepaald attribuut en mag beperkt zijn tot een bepaalde dienst en/of dienstverlener. Nadat de eerste keer met de verstrekking van een bepaald attribuut is ingestemd mag de betrokkene aangeven dat dit in vervolg voor dat specifieke doel niet opnieuw gevraagd hoeft te worden. Het bewaren van deze instelling is gebonden aan de termijn als gespecificeerd in het Normenkader betrouwbaarheidsniveaus (doorlooptijd van mutaties van bevoegdheden bij herhaalde registratie).

Verantwoordelijkheden middelenuitgever

  • Registreren van door aanvrager van het authenticatiemiddel verstrekte persoonsgegevens behorende bij de houder van het middel. Deze persoonsgegevens kunnen zelfverklaard zijn of geverifieerd tijdens de registratie of op een later moment op een bepaald betrouwbaarheidsniveau.
  • Als gebruiker een specifieke dienst benadert die bepaalde attributen wilt ontvangen, dan wordt consent gevraagd waarbij getoond wordt  i) voor welke dienstverlener en ii) welke dienst en iii) voor welk attribuut. Daarbij is het mogelijk vanuit usability oogpunt om de gebruiker meteen te laten kiezen om dit attribuut in navolgende verzoeken met de dienstverlener te delen, ook voor andere diensten.

Verantwoordelijkheden authenticatiedienst

  • Het verstrekken van attributen over de geauthenticeerde gebruiker na een geslaagde authenticatie indien dit door de dienstverlener gevraagd wordt en indien het op grond van bij middelenuitgever of authenticatiedienst geregistreerde user consent of tijdens authenticatie gevraagde consent is toegestaan.
  • Het aanbieden aan de geauthenticeerde gebruiker van inzage, correctie en intrekking van de over hen geregistreerde persoonsgegevens en het registreren of er toestemming is verleend voor het zonder steeds opnieuw vragen verstrekken van deze persoonsgegevens (dit inzageproces kan elektronisch of op papier worden aangeboden).
  • Een Authenticatiedienst MOET zijn attribuutverstrekking beperken tot de gegevens die zij beheert uit hoofde van het uitvoeren van haar rol.

Verantwoordelijkheden machtigingenregister

  • Het registreren van gegevens van de vertegenwoordigde dienstafnemer of intermediaire partij gegevens welke verstrekt kunnen worden binnen de context van een machtiging. Deze kunnen zelfverklaard zijn, geverifieerd tijdens registratie of op een later moment of gevalideerd op het moment van authenticatie;
  • per gegeven registreren van user consent van de wettelijke vertegenwoordiger of machtigingenbeheerder voor het daadwerkelijk verstrekken van die gegevens aan alle dienstverleners (indien gewenst kan worden geregistreerd dat een gegeven alleen aan specifieke dienstverlener(s) mag worden geleverd);
  • Na aantreffen van machtiging verstrekken van attributen behorende bij de context waarop de machtiging betrekking heeft indien dit door de dienstverlener gevraagd wordt en indien het op grond van geregistreerde user consent is toegestaan (indien user consent niet vooraf is geregistreerd moet dit op moment van transactie worden gevraagd).
  • Indien attribuutverstrekking wordt aangeboden moet aan vertegenwoordigde dienstafnemers of intermediaire partijen waarvoor machtiging worden geregistreerd en hun beheerders inzage, correctie en mogelijkheid tot verwijderen geboden kunnen worden van de over hen geregistreerde (persoons)gegevens en of er toestemming is verleend voor het zonder steeds opnieuw vragen verstrekken van deze gegevens (dit inzageproces kan elektronisch of op papier worden aangeboden).

Verantwoordelijkheden herkenningsmakelaar

  • Het registreren welke attributen een dienstverlener wil uitvragen bij iedere authenticatie.
  • Het doorgeven van attributen precies zoals ze ontvangen zijn van authenticatiediensten of machtigingenregisters.

Verantwoordelijkheden ondertekendienst

  • Een ondertekendienst MOET een bewerkersovereenkomst afsluiten met de Dienstverlener namens welke hij persoonsgevens verwerkt tijdens het ondertekenproces.
  • Een ondertekendienst MOET een vaste set attributen opvragen bij Authenticatierequests ten behoeve van het ondertekenproces:
    • De attributenset achternaam, voornaam en voorletters (FamilyName, FirstName resp. Initials) voor Ondertekenen als Vertegenwoordiger (hiertoe moet de Dienstverlener deze attributen hebben opgenomen in de Dienstencatalogus voor de uit te vragen dienst).