eIDAS staat voor electronic identities and trust services
In meer dan 20 Europese landen maken burgers en bedrijven gebruik van een eID, een online identiteit. Zo gebruiken Nederlandse burgers en bedrijven DigiD en eHerkenning om zaken met de overheid te regelen. Deze eID’s zijn nu alleen in het eigen land te gebruiken. Dat verandert in 2018: publieke organisaties moeten op dat moment burgers en bedrijven uit alle EU-landen kunnen identificeren aan de hand van hun nationale inlogmiddel. Europese lidstaten hebben afgesproken dat zij dezelfde begrippen, afspraken en infrastructuur gebruiken wanneer het gaat om toegang tot online dienstverlening. Deze zijn vastgelegd in de eIDAS-verordening (Europese eIDAS-verordening 910/2014). De eIDAS-verordening regelt onder andere het grensoverschrijdend gebruik van nationale elektronische identificatiemiddelen (eID’s) binnen de Europese Unie en stimuleert daardoor grensoverschrijdende dienstverlening en handel tussen burgers en bedrijven van de Europese lidstaten. Deze begint bij een betrouwbare online identiteitscheck aan de voordeur. Maar wat is de definitie van publieke organisaties en om welke diensten gaat het eigenlijk bij de eIDAS-verordening?
Bestuurlijke brief van EZ
Op 25 juli 2017 heeft het Ministerie van Economische Zaken een brief over eIDAS verstuurd. Hiermee zijn 808 publieke organisaties en private organisaties met een publieke taak geïnformeerd over de eIDAS-verordening. Onder de geadresseerden bevinden zich onder andere de gemeenten, waterschappen, provincies, academische ziekenhuizen en pensioenfondsen. Ook organisaties uit de SURF-doelgroep zijn benaderd. Voor zover bekend gaat het daarbij om alle Nederlandse universiteiten, de academische ziekenhuizen en een aantal onderzoeksinstellingen uit de SURF-doelgroep. In de brief stelt het Ministerie van Economische Zaken dat de aangeschreven organisatie dient te voldoen aan deze Europese verordening. De digitale versie van de brief is na te lezen op de site van eHerkenning (link).
Deze brief heeft bij de SURF-doelgroep veel vragen opgeroepen. De vragen zijn te herleiden tot de volgende onderwerpen:
Vallen wij onder de eIDAS-verordening?
Moeten wij ook daadwerkelijk aansluiten?
Voor welke van onze diensten (informatiesystemen) geldt deze aansluitplicht?
Wat kan SURF voor ons betekenen?
Via een overzicht van veel gestelde vragen en antwoorden (FAQ) biedt SURF ondersteuning op vragen vanuit de SURF-doelgroep. SURF is bezig met de analyse van de behoeften en bekijkt hoe verdere ondersteuning van de doelgroep eruit kan zien.
Verantwoordelijkheden
Het Ministerie van Economische Zaken is bestuurlijk verantwoordelijk voor de eIDAS implementatie in Nederland. Als dienstverlener heeft u daarbij de verantwoordelijkheid te bepalen of uw organisatie onder de reikwijdte van de eIDAS-verordening valt en vervolgens of de diensten die u levert onder de aansluitplicht vallen. Onze antwoorden op de gestelde vragen over de eIDAS-verordening zijn bedoeld om u te informeren zodat u uw standpunt kunt bepalen.
Veel gestelde vragen en antwoorden
Via een overzicht van veel gestelde vragen en antwoorden bieden we ondersteuning op vragen vanuit de SURF-doelgroep. We bekijken ondertussen hoe ondersteuning van de doelgroep eruit kan zien en zullen het overzicht van informatie op deze pagina waar nodig aanvullen en actualiseren.
Veel gestelde vragen over eIDAS vanuit de SURF doelgroep:
SURF heeft de eIDAS-verordening in kaart gebracht en vragen die leven bij de SURF-doelgroep. Waar nodig wordt die informatie geactualiseerd.
We hebben binnen SURF kennis van de eIDAS-verordening en zetten deze in om de SURF-doelgroep te ondersteunen bij het uitzoeken van vraagstukken die voortkomen uit de eIDAS-verordening. Zo leverden we bijvoorbeeld input voor impactanalyses die door partners zoals Studielink en DUO zijn uitgevoerd. SURF heeft van drie onderwijsinstellingen en via het overleg van de Coördinerend SURF Contactpersonen WO (CSC WO) vragen gekregen naar aanleiding van de brief van EZ.
Via deze FAQ bieden we onze inzichten als reactie op de vragen uit het WO. Om de informatie-uitwisseling tussen onderwijsinstellingen te ondersteunen is een mailinglijst aangemaakt (https://list.surfnet.nl/mailman/listinfo/eidas-wgdi). Indien u interesse heeft in dit onderwerp bent u van harte welkom om u aan te melden. Ook hebben we op basis van de eIDAS-verordening een beslisboom (download als PDF) opgesteld die helpt bij het bepalen of er aansluitplicht is.
Zonder dat SURF de situatie van de individuele onderwijsinstellingen in detail kan overzien, is het ons beeld dat de impact van de eIDAS-verordening voor onderwijsinstellingen uit de SURF-doelgroep beperkt is.
Randvoorwaarde voor de eIDAS-aansluitplicht is dat het betrouwbaarheidsniveau van de authenticatie voor de toegang tot te ontsluiten online diensten Substantieel of Hoog * is. Ons beeld is dat onderwijsinstellingen deze eis, zeker op dit moment, niet stellen voor toegang tot hun online diensten.
Deze betrouwbaarheidsniveaus worden geleverd door bijvoorbeeld een koppeling met DigiD, iDIN, Idensys of eHerkenning. Ons beeld is dat deze koppelingen momenteel niet of slechts (zeer) sporadisch worden ingezet binnen het onderwijs.
Merk op dat als de gebruiker zelf kan kiezen in te loggen met een hoger betrouwbaarheidsniveau dan voor de toegang tot de dienst is vereist, de dienst mogelijk ook onder de aansluitplicht valt. Concreet voorbeeld is DigiD waarbij de gebruiker sinds 1 november 2017** kan kiezen in te loggen met DigiD Substantieel ook als DigiD Laag als betrouwbaarheidsniveau wordt gevraagd voor toegang.
DigiD wordt voor het inschrijfproces bij Studielink gebruikt. Studielink is zelf bezig de impact van de eIDAS-verordening op het inschrijfproces te evalueren.
Daarnaast is de eIDAS-verordening alleen verplichtend voor “publieke dienstverlening”. SURF is bezig deze dit punt (juridisch vraagstuk) uit te zoeken, dit omdat "publieke dienstverlening" niet als term is gedefinieerd in de eIDAS-verordening. Daar wordt enkel gesproken over onlinedienst.
SURF heeft de indruk dat zowel universiteiten als HBO’s, MBO-instellingen, academische ziekenhuizen, de KB en diverse onderzoeksinstellingen onder de reikwijdte van de eIDAS-verordening vallen. Dat betekent overigens niet dat er vervolgens ook daadwerkelijk een aansluitplicht ontstaat; daartoe gelden aanvullende eisen. Er is dus een onderscheid te maken tussen:
valt de organisatie binnen de reikwijdte: wij denken van wel, zie onderstaand;
moet de organisatie ook daadwerkelijk haar diensten aansluiten: wij denken van niet, zie daartoe antwoord bij de vraag “Hoe ziet SURF de impact van eIDAS voor onderwijsinstellingen”.
Voor beantwoording van de vraag of een organisatie onder de eIDAS-verordening valt, is het van belang of de organisatie is aan te merken als een 'openbare instantie' in de zin van de eIDAS-verordening.
Dit begrip ‘openbare instantie’ is in de eIDAS-verordening als volgt gedefinieerd: “een Staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of één of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste één van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden”.
Ons beeld is dat door de ‘Wet op het Hoger onderwijs en Wetenschappelijk onderzoek‘ (WHW) zowel de Nederlandse universiteiten, Hogescholen als de Academische ziekenhuizen, enkele onderzoeksinstellingen en de KB moeten worden gezien als een 'openbare instantie'. Voor het MBO onderzoeken wij of de ‘Wet educatie en beroepsonderwijs’ ook aanleiding is MBO’s en ROC’s als zodanig te beschouwen.
De in de Memorie van Toelichting (MvT) van de Uitvoeringswet eIDAS gebruikte definitie van 'openbare instantie' lijkt grotendeels op de definitie van 'aanbestedende dienst'. Of een organisatie een aanbestedende dienst is, wordt door ons daarom als belangrijk aanknopingspunt gezien. Een organisatie kan alleen bij SURF aansluiten als het een aanbestedende dienst is. Zie: https://www.surf.nl/over-surf/samenwerking/deelnemen-aan-surf/index.html . Dit zou betekenen dat de hele doelgroep van SURF valt onder de reikwijdte van eIDAS, zo ook het MBO.
Op 25 juli 2017 heeft het Ministerie van Economische Zaken een brief over eIDAS verstuurd. In de brief stelt het Ministerie van Economische Zaken dat de aangeschreven organisatie dient te voldoen aan deze Europese verordening.
Voor zover ons bekend is deze brief gestuurd aan de Nederlandse universiteiten, de academische ziekenhuizen en een aantal onderzoeksinstellingen en de KB, niet aan het HBO en MBO. Wij vinden dat opmerkelijk.
SURF heeft op dit moment nog geen compleet beeld hoe onderwijsinstellingen de eIDAS-vraagstuk benaderen, behalve dat ze vragen hebben gesteld aan SURF naar aanleiding van de bestuurlijke brief van 25 juni 2017.
Op 26 september 2017 organiseerde SURF een informatiesessie waarin we de universiteiten hebben samengebracht, kennis hebben uitgewisseld en de (informatie-) behoefte hebben besproken. Naast een toelichting van de aanpak van het vraagstuk door enkele universiteiten, hebben Studielink en SURF hun beelden gedeeld. De presentaties van Studielink en SURF zijn beschikbaar (download als PDF).
Sinds de sessie op 26 september met de universiteiten zijn er een paar vragen aan SURF gesteld. Het lijkt dus dat het onderwerp beperkt leeft.
SURFconext Sterke Authenticatie (SCSA) voldoet op dit moment niet aan alle eisen die de eIDAS-verordening stelt voor het betrouwbaarheidsniveau Substantieel of Hoog. Dat betekent dat de diensten die gebruik maken van SCSA, en dat als minimaal betrouwbaarheidsniveau verlangen, daardoor niet onder de aansluitplicht vallen omdat de eIDAS-verordening alleen gaat over diensten die op betrouwbaarheidsniveau 'Substantieel' of 'Hoog' worden ontsloten.
We bekijken hoe ondersteuning van de doelgroep eruit kan zien omdat SURF op dit moment hier geen standaard dienstverlening voor biedt. Op dit moment hebben we de behoefte van de doelgroep nog niet volledig in beeld.
Wat doet SURF ondertussen al wel?
We inventariseren de vragen die binnen de SURF-doelgroep leven en maken die bekend via deze FAQ;
We verschaffen onze inzichten op de vragen via antwoorden in deze FAQ;
We hebben een beslisboom opgesteld op basis van de eIDAS-verordening die ondersteunt in het bepalen of er aansluitplicht is (download als PDF);
We hebben contact en stemmen af met Studielink, DUO, MinOCW, VSNU en VH;
We brengen onderwijsinstellingen (indien gewenst) samen door het organiseren van een informatiesessie. De sessie voor de door EZ aangeschreven universiteiten was op 26 september 2017;
SURF besteedt in het kader van het meerjarenprogramma 2015-2018, in het project Trust & Identity, aandacht aan externe identiteitsstelsels. In dat kader is binnen concrete samenwerkingsverbanden met Idensys en eIDAS gewerkt aan technische koppelingen met het oog op realiseren van pilots met instellingen.
In 2016 is een proefaansluiting ontwikkeld op het Nederlandse eIDAS-knooppunt (via de zogenoemde "PEPS" van het Ministerie van Economische Zaken). Doel van deze proefaansluiting was toegang tot de SURFconext Testomgeving te krijgen met een identiteit die in Europa is vastgesteld.
Ook is in 2016 een proefaansluiting ontwikkeld op het eHerkenning | Idensys-stelsel. Door deze proefaansluiting is toegang tot de SURFconext Testomgeving te krijgen met een identiteit die binnen het Idensys stelsel is vastgesteld.
De onderwijsinstellingen zijn (juni 2016) uitgenodigd deel te nemen aan de pilots met eIDAS en/of Idensys. Op dat moment bleek er geen interesse in deelname, mede omdat er geen toepassingen (use-cases) waren bij de instellingen.
Er loopt op dit moment geen concreet project om de ontsluiting van eHerkenning | Idensys of eIDAS als dienst te gaan aanbieden aan de SURF doelgroep.
SURF voorziet in haar IAA-visie wel dat op termijn ook externe identiteiten een rol kunnen spelen. We zien dat op termijn, naast de identiteiten die geleverd worden door de Identity Providers van de onderwijs- en onderzoeksinstellingen, ook identiteiten van buiten het onderwijs- en onderzoeksdomein een rol gaan spelen in het stelsel. Ook ziet SURF dat IAA-voorzieningen en diensten door buitenlandse studenten en medewerkers moeten kunnen worden gebruikt: onderwijs en onderzoek zijn niet alleen nationaal, maar steeds meer Europees en mondiaal georiënteerd. eIDAS kan daar een belangrijke enabler voor zijn.
Project Start Architectuur (PSA) De PSA kan vrij worden opgevraagd bij eidas@logius.nl. Dat heeft SURF gedaan en we hebben de PSA hier toegevoegd (download als PDF).