Het leveren van attributen houdt in: het leveren van unieke, gegevens van natuurlijke en niet-natuurlijke personen, zoals achternaam, , organisatie en het voldoen aan een leeftijdsgroep. Deze s kunnen zelfverklaard zijn of geverifieerd tijdens de registratie of op een later moment op een bepaald betrouwbaarheidsniveau.
Er zijn verplicht en optioneel te verstrekken attributen. Verplicht te verstrekken attributen zijn gegevens die . Optioneel te verstrekken attributen zijn gegevens die een Deelnemer MAG verstrekken. Deze Optionele functionaliteit kan door meerdere rollen (deelnemers) in het netwerk geleverd worden geleverd ten behoeve van Dienstverlener (DV).
Voor herkenningsmakelaars is attribuutverstrekking een verplichte functionaliteit om in te richten en te leveren. De Deelnemers attributen uitwisselen die beschreven zijn in de Attribuutcatalogus. Zie proces Proces toetreden.
Welke afspraken en eisen gelden er binnen het afsprakenstelsel?
- Het verstrekken van attributen gebeurt altijd op basis van user consent: de gebruiker of de vertegenwoordiger van de gebruiker moet expliciet toestemming geven om deze informatie door te geven aan de organisatie die erom vraagt (dienstverlener). Als een vertegenwoordiger deze toestemming geeft, moet deze hiervoor gemachtigd zijn.
- Het stelsel verstrekt attributen op verzoek van een dienstverlener. Het is de verantwoordelijkheid van de dienstverlener om te beoordelen of er doelbinding is, niet meer gegevens te vragen dan nodig en de dienstafnemer (gebruiker) te informeren wat er met de gegevens wordt gedaan (conform AVG, voor wettekst zie https://wetten.overheid.nl/BWBR0040940/2019-02-19 ).
- Aan moet steeds inzage, correctie en intrekking geboden worden van de over hen geregistreerde persoonsgegevens.
- Het is niet toegestaan aan gebruikers of (wettelijke) vertegenwoordigers vooraf globaal toestemming te vragen voor verstrekken van alle mogelijke attributen. De user consent dient specifiek te zijn voor een bepaald attribuut en mag beperkt zijn tot een bepaalde dienst en/of dienstverlener. hoeft te worden. Het bewaren van deze instelling is gebonden aan de termijn als gespecificeerd in het Normenkader betrouwbaarheidsniveaus (doorlooptijd van mutaties van bevoegdheden bij herhaalde registratie).
Verantwoordelijkheden middelenuitgever
- Registreren van door aanvrager van het middel verstrekte persoonsgegevens behorende bij de houder van het middel. Deze persoonsgegevens kunnen zelfverklaard zijn of geverifieerd tijdens de registratie of op een later moment op een bepaald betrouwbaarheidsniveau.
Verantwoordelijkheden authenticatiedienst
Verantwoordelijkheden machtigingenregister
- Het registreren van gegevens van de vertegenwoordigde dienstafnemer of intermediaire partij welke verstrekt kunnen worden binnen de context van een machtiging.
- per gegeven registreren van user consent van de wettelijke vertegenwoordiger of machtigingenbeheerder voor het daadwerkelijk verstrekken van die gegevens aan alle dienstverleners (indien gewenst kan worden geregistreerd dat een gegeven alleen aan specifieke dienstverlener(s) mag worden geleverd);
- Na aantreffen van machtiging verstrekken van attributen behorende bij de context waarop de machtiging betrekking heeft indien dit door de dienstverlener gevraagd wordt en indien het op grond van geregistreerde user consent is toegestaan (indien user consent niet vooraf is geregistreerd moet dit op moment van transactie worden gevraagd).
- Indien attribuutverstrekking wordt aangeboden moet aan vertegenwoordigde dienstafnemers of intermediaire partijen waarvoor machtiging worden geregistreerd en hun beheerders inzage, correctie en mogelijkheid tot verwijderen geboden kunnen worden van de over hen geregistreerde ()gegevens en of er toestemming is verleend voor het zonder steeds opnieuw vragen verstrekken van deze gegevens, aan een specifieke dienstverlener en dienst (dit proces kan elektronisch of op papier worden aangeboden).
Verantwoordelijkheden herkenningsmakelaar
- Het registreren welke attributen een dienstverlener wil uitvragen bij iedere authenticatie.
- Het doorgeven van attributen precies zoals ze ontvangen zijn van authenticatiediensten of machtigingenregisters.