SURFnet visie op IAA: transitie naar gebruiker centraal

In 2016 is de visie van SURFnet op het gebied van Identificatie, Authenticatie en Autorisatie (IAA) opgesteld. In deze blogpost beschrijven we de ontwikkelingen die hiertoe aanleiding gaven, de uitgangspunten van het visiedocument en de eerste reacties uit het werkveld.

Herijking visie op IAA

SURFnet biedt met SURFconext al jaren een stabiele en betrouwbare basis voor authenticatie en autorisatie binnen onderwijs en onderzoek. We zorgen ervoor dat studenten, docenten, onderzoekers en medewerkers eenvoudig, betrouwbaar en grenzeloos kunnen werken en samenwerken met de best mogelijke ICT-voorzieningen. De keuzes die we maken bij het ontwerpen en realiseren van de dienstenverlening zijn vanzelfsprekend niet willekeurig, maar in lijn met onze visie en in afstemming met de SURFnet-doelgroep.

Ontwikkelingen in de maatschappij, het onderwijs en/ of veranderende wet- en regelgeving zorgen voor de noodzaak om regelmatig een herijking van deze visie te doen. In deze blogpost kijken we terug op dat traject en beschrijven we de eerste stappen richting realisatie van die visie.

Visie iaa

Uitgangspunten

Een visie is voor ons geen doel op zich. De visie is een middel om te vertellen waar het volgens ons heen moet gaan, om samen het gesprek aan te gaan en om er vervolgens onze activiteiten (in innovatie en dienstverlening) op te baseren.

Omdat we geloven in de kracht van samenwerking heeft de visie een richtinggevend karakter. Zij moet betrokkenen helderheid geven over de gezamenlijke ontwikkelingsrichting en verleiden om in de geest van deze visie onder eigen verantwoordelijkheid en in eigen tempo stappen te nemen.

We hebben de visie zodanig geschreven dat ze meerjarig bruikbaar is. Dat betekent dat we niet ieder jaar een nieuwe visie vaststellen, maar deze waar nodig op punten actualiseren. Om dit te realiseren, hebben we ervoor gekozen om zo beperkt mogelijk keuzes vast te leggen in implementatie en techniek. Zo kan in de toekomst bij implementatie flexibel worden ingespeeld op ontwikkelingen en de stand van de techniek.

Van trends naar visie

Nederlandse identiteitsstelsels

De omgeving van het Identity Management-werkveld in Nederland is al jaren in beweging. In een eerder blog hebben we verteld over de ontwikkeling van de Nederlandse identiteitsstelsels, zoals Idensys en iDIN. De vraag was, ook voor ons, hoe deze stelsels zich tot elkaar verhouden. Langzaam komt hierover meer duidelijkheid. Door de overheid en de markt wordt gewerkt aan een set van afspraken (Uniforme Set van Eisen – UsvE),  een soort ‘stelsel van identiteitsstelsels’.

Voor ons wordt hierdoor duidelijker hoe de identiteitsstelsels zich tot elkaar verhouden en onder welke voorwaarden deze kunnen worden ingezet voor het vaststellen van iemands identiteit en het verkrijgen van iemands BSN (Burger Service Nummer) of een andere uniek identificerende code. Deze ontwikkeling draagt bij aan het ontstaan van één online identiteit, waarover de gebruiker zelf meer de regie voert. Denk daarbij bijvoorbeeld aan meer vrijheid in de keuze van het authenticatiemiddel. Wanneer deze authenticatiemiddelen ook voor het onderwijs en onderzoek inzetbaar worden, geeft dat gebruikers meer vrijheid. Ook draagt het bij aan meer flexibiliteit voor bijvoorbeeld samenwerking in onderwijs en onderzoek. We moeten hierbij veel aandacht hebben en houden voor vraagstukken rondom toegang en privacy.

Logo edugain

eIDAS en eduGAIN

Ook kijken we naar de (technische) voorzieningen van Europese eIDAS-verordening en de internationale samenwerking via eduGAIN. Hier herkennen we eveneens een trend in het centraal stellen van de gebruiker. Dit doet men door hergebruik van eigen (nationale) authenticatiemiddelen mogelijk te maken over landsgrenzen heen. Hetzelfde geldt voor de vrijgave van attributen na instemming van de gebruiker (user-consent). Wij voegen daar graag aan toe dat het belangrijk is, blijvend inzage te geven in het gebruik van de identiteit en bijbehorende attributen door afnemende dienstverleners.

Onderwijs en Onderzoek

Ook in de doelgroep van SURF zien we nationaal en internationaal een aantal ontwikkelingen en trends die invloed hebben op de visie op IAA. Zo vraagt de toenemende flexibilisering van het onderwijs om een identiteit die bruikbaar is over instellingsgrenzen heen. En het langdurig bruikbaar zijn van die identiteit ondersteunt dan de trend ‘levenslang leren’. Onderzoekers werken steeds vaker in wisselende internationale samenwerkingsverbanden. Een online identiteit onder regie van de onderzoeker, die door anderen verrijkt wordt met relevante attributen voor de context van het werk verschaft het nodige vertrouwen en flexibiliteit.

Groter privacybewustzijn

We signaleren een toename van het maatschappelijk bewustzijn van de risico’s van de uitwisseling en opslag van persoonsgerelateerde data. Denk bijvoorbeeld aan het debat over de opslag van gegevens in de cloud buiten Europa, of de kritiek op de manier waarop een partij als Google met persoonlijke gegevens omgaat.

Deze trend werkt ook door in het beleid. Belangrijk zijn de voorgenomen aanpassingen in de nationale wetgeving voor een uniek identificerend nummer voor het onderwijs. Hierdoor wordt het mogelijk om van een afgeleide van het BSN een zogenoemd pseudoniem te maken, dat uitgewisseld mag worden tussen onderwijsinstellingen en (sommige) private partijen. Ondanks dat SURFconext al de functionaliteit van pseudoniemen biedt, zien wij kansen voor het onderwijs als het gaat om uitwisseling van gegevens over een student buiten SURFconext om. Al met al is het voor SURFnet zaak in te blijven spelen op de implementatie van op handen zijnde wetgeving, zodat we de privacy van gebruikers nog verregaander waarborgen dan nu al het geval is.

De eerste stappen

Tijdens What’s Next @ SURFconext op 2 november vorig jaar hebben we de aanwezigen al het een en ander laten zien van de visie. Zo vertelde Erik Huizer in zijn keynote ‘Wie ben ik morgen?’ over de ontwikkeling waarin de gebruiker centraal wordt gesteld. Dit is een principe dat ook prominent in onze visie naar voren komt.

visie surf

In de discussie ‘s middags gaven de aanwezigen via post-its hun mening over de principes. De reacties waren overwegend positief en hier en daar positief kritisch. We kregen bemoedigende woorden vanwege de complexe opgaven die we ons ten doel hebben gesteld . Daarnaast kregen we concrete adviezen en waren er vragen over de uitwerking van bepaalde principes.

Tijdens de plenaire bespreking hebben we enkele kritische punten uitgelicht. Zo bespraken we het gebruik van externe identiteitsverstrekkers, zoals Google, Facebook of Microsoft. Er werd terecht opgemerkt dat we gebruikers ook moeten beschermen tegen dit soort aanbieders, vanwege overduidelijke privacy-vragen. Deze aanbieders leggen bijvoorbeeld vast of en wanneer je bent ingelogd en tonen dit soms zelfs aan anderen. Een ander bespreekpunt was in hoeverre het navolgen van de vernieuwde Europese dataprotectiewetgeving de flexibiliteit van SURFconext inperkt.

Bij de uitwerking van de jaarplan-activiteiten voor het SURFnet Innovatieproject Trust & Identity voor 2017 hebben we de opgestelde visie ingezet. Door voor onszelf te benoemen waar we op dit moment staan ten opzichte van de benoemde principes uit het visiedocument, kunnen we een fit-gap analyse doen en de stappen bepalen die nodig zijn om invulling te geven aan een bepaald principe. Zo geven we op een gestructureerde wijze uitwerking aan de implementatie van de visie.

Ten slotte

Wilt u de visie zelf bekijken, dan kunt u deze hier downloaden.

Wij moedigen u aan in uw werk gebruik te maken van ons visiedocument,  bijvoorbeeld door deze binnen uw instelling te verspreiden en te kijken hoe de SURFnet visie op IAA zich verhoudt tot de plannen op het gebied van Identity Management binnen uw instelling. Heeft u er vragen over de visie of de manier waarop die wordt uitgewerkt, neem dan contact op met Michiel Schok. Wij kijken uit naar uw reactie!

Author

Comments

Dit artikel heeft 0 reacties