Identificatie -en authenticatiedienst

De identificatie en authenticatie dienst is een generieke functie die voor onderzoek in het secundaire proces wordt gebruikt.

De identificatie en authenticatiedienst bestaat uit een verzameling applicaties die een gebruiker identificeren en authenticeren. Identificatie en authenticatie zijn de eerste twee stappen in het proces van toegangscontrole, autorisatie is de derde.

  • Identificatie verwijst naar het kenbaar maken van de identiteit van een gebruiker, hierbij legt de gebruiker zijn of haar digitale identiteit voor aan het systeem.

  • Met Authenticatie wordt gecontroleerd of de gebruiker ook echt is wie hij of zij zegt dat hij/ zij is. Hierbij wordt de digitale identiteit geverifieerd bij de partij die deze heeft uitgegeven, de identity provider.

  • Autorisatie regelt de toegang tot diensten en data. Dit is buiten scope voor de Identificatie en authenticatie dienst.

image-20240315-153302.png

Uitgangspunten

  • De identificatie en authenticatie dienst voldoet aan NEN-norm Identificatie & Authenticatie (in ontwikkeling).

  • Health-RI treedt zelf niet op als Identity Provider (IdP), maar maakt gebruik van identiteiten die door andere organisaties worden uitgegeven en gecontroleerd, zo ontstaat een gefedereerd vertrouwensnetwerk.

  • We gaan uit van de AARC blueprint architecture als referentie-architectuur.

  • We hanteren een interoperabele IAA oplossing om in de toekomst ook internationaal aansluiting te vinden en single log-on mogelijk te kunnen maken in het Health-RI ecosysteem.

  • We hanteren eIDAS betrouwbaarheidsniveaus.

  • Het vereiste betrouwbaarheidsniveau wordt bepaald per dienst en per dataset waar toegang toe verleend wordt.

Benodigde functionaliteit

  • Identificeren van eindgebruikers uit de volgende gebruikersgroepen:

    • Onderzoekers bij UMC’s

    • Zorgverleners en onderzoekers bij algemene en topklinische ziekenhuizen

    • Innovatoren (bedrijven)

    • Beleidsmakers

    • Patiënten/ Burgers

  • Een gebruiker die inlogt in het nationale gezondheidsdataportaal kan hier gebruik maken van de datacatalogus, het aanvraagsysteem en een analyseomgeving, zonder steeds opnieuw in te loggen.

  • Gebruikersinformatie kan tussen verschillende onderdelen van het nationale gezondheidsdataportaal worden uitgewisseld voor een gepersonaliseerde ervaring (dashboard).

  • Objecten zoals algoritmes en verwerkingsomgevingen kunnen geïdentificeerd worden.

 

 

Eisen aan Identity Providers en IdP federaties

  • De uitgegeven identiteit dient een hoog betrouwbaarheidsniveau te hebben, dat wil zeggen dat we vrijwel zeker weten aan welke persoon de identiteit gekoppeld is. Om dit te bereiken moet de identiteit geverifieerd zijn, bijvoorbeeld door een paspoortcontrole.

  • Informatie over de identiteit kan worden uitgewisseld via het OIDC-protocol.

  • Voor gebruik van diensten die toegang geven tot hoogvertrouwelijke data dient een IdP Multi Factor Authentication te vereisen.

  • IdP biedt tenminste de volgende attributen:

    • User-ID

    • Naam

    • Organisatie

    • Rol

Eisen aan Identificatie en Authenticatie dienst

  • Voldoet aan Baseline Informatiebeveiliging Overheid (BIO)

  • ISO 27001 gecertificeerd.

  • Voldoet aan de Algemene Verordening Gegevensbescherming (AVG).

  • Kan verschillende IdPs en IdP federaties aansluiten.

  • Maakt gebruik van het OIDC-protocol.

  • Voldoet aan NEN-norm 7518

Verwachte inrichting per gebruikersgroep

Verschillende gebruikersgroepen van het Health-RI ecosysteem maken in hun dagelijks leven gebruik van verschillende identiteiten. Deze willen we graag hergebruiken om hen toegang te geven tot de diensten van Health-RI en daarmee ook tot gezondheidsdata. Hiervoor moeten we wel onderzoeken of deze identiteiten genoeg vertrouwen wekken en of ze gebruikt mogen en kunnen worden door Health-RI.

De grootste groep gebruikers bestaat uit onderzoekers en dataspecialisten bij onderzoeksinstellingen. Deze instellingen zijn veelal leden van SURF en hun medewerkers kunnen daardoor gebruik maken van identity federatie SRAM, SURF Research Access management.

Verder zullen we onderzoeken of zorgmedewerkers toegang kunnen krijgen via een erkend inlogmiddel (bijvoorbeeld Yivi) in combinatie met attributen uit het UZI register en welke identiteiten geschikt zijn voor gebruik door:

  • Innovatoren

  • Beleidsmakers

  • Burgers en patiënten

Een mogelijke oplossing voor burgers en patiënten en op termijn ook voor andere gebruikersgroepen is SSI, Self-sovereign Identity. Hierbij heeft niet een identity provider, maar de persoon zelf de bewijzen op zak om de identiteit te authenticeren en autorisatie uit te voeren en kan deze via een app aanbieden aan een dienst.

Gebruikersgroep

IdP

inlogmiddel

Gebruikersgroep

IdP

inlogmiddel

Onderzoekers bij UMCs en bij SURF aangesloten kennisinstellingen

instituut

instituutsaccount via SRAM

Onderzoekers bij topklinische en algemene ziekenhuizen

UZI register

erkende WDO inlogmiddelen die geen bsn verwerken (bijv. Yivi)

Bedrijven

personeelsadministratie bedrijf

bedrijfsaccount via eigen AD (bijv. Azure-AD)

Mogelijke leveranciers

IdPs

Authenticatiediensten

IdPs

Authenticatiediensten

UMC’s

SRAM (SURF)

Yivi (icm UZI register)

SURF Conext (SURF)

Life Science ID

TVS (overheid)

GA4GH Passport

Keycloak

 

LifeScience AAI

Â