Health-RI wiki v4.0 -> consultatie (open tot 03-12-2024)


Identificatie -en authenticatiedienst

datum: 15-10-2024 Status:TER REVIEW

De identificatie en authenticatie dienst is een generieke functie die voor onderzoek in het secundaire proces wordt gebruikt.

De identificatie en authenticatiedienst bestaat uit een verzameling applicaties die een gebruiker identificeren en authenticeren. Identificatie en authenticatie zijn de eerste twee stappen in het proces van toegangscontrole, autorisatie is de derde.

  • Identificatie verwijst naar het kenbaar maken van de identiteit van een gebruiker, hierbij legt de gebruiker zijn of haar digitale identiteit voor aan het systeem.

  • Met Authenticatie wordt gecontroleerd of de gebruiker ook echt is wie hij of zij zegt dat hij/ zij is. Hierbij wordt de digitale identiteit geverifieerd bij de partij die deze heeft uitgegeven, de identity provider.

  • Autorisatie regelt de toegang tot diensten en data. Dit is buiten scope voor de Identificatie en authenticatie dienst.

image-20240315-153302.png

Uitgangspunten

  • De identificatie en authenticatie dienst voldoet aan NEN-norm Identificatie & Authenticatie (in ontwikkeling).

  • Health-RI treedt zelf niet op als Identity Provider (IdP), maar maakt gebruik van identiteiten die door andere organisaties worden uitgegeven en gecontroleerd, zo ontstaat een gefedereerd vertrouwensnetwerk.

  • We gaan uit van de AARC blueprint architecture als referentie-architectuur.

  • We hanteren een interoperabele IAA oplossing om in de toekomst ook internationaal aansluiting te vinden en single log-on mogelijk te kunnen maken in het Health-RI ecosysteem.

  • We hanteren eIDAS betrouwbaarheidsniveaus.

  • Het vereiste betrouwbaarheidsniveau wordt bepaald per dienst en per dataset waar toegang toe verleend wordt.

Benodigde functionaliteit

  • Identificeren van eindgebruikers uit de volgende gebruikersgroepen:

    • Onderzoekers bij UMC’s

    • Zorgverleners en onderzoekers bij algemene en topklinische ziekenhuizen

    • Innovatoren (bedrijven)

    • Beleidsmakers

    • Patiënten/ Burgers

  • Een gebruiker die inlogt in het nationale gezondheidsdataportaal kan hier gebruik maken van de datacatalogus, het aanvraagsysteem en een analyseomgeving, zonder steeds opnieuw in te loggen.

  • Gebruikersinformatie kan tussen verschillende onderdelen van het nationale gezondheidsdataportaal worden uitgewisseld voor een gepersonaliseerde ervaring (dashboard).

  • Objecten zoals algoritmes en verwerkingsomgevingen kunnen geïdentificeerd worden.

 

 

Eisen aan Identity Providers en IdP federaties

  • De uitgegeven identiteit dient een hoog betrouwbaarheidsniveau te hebben, dat wil zeggen dat we vrijwel zeker weten aan welke persoon de identiteit gekoppeld is. Om dit te bereiken moet de identiteit geverifieerd zijn, bijvoorbeeld door een paspoortcontrole.

  • Informatie over de identiteit kan worden uitgewisseld via het OIDC-protocol.

  • Voor gebruik van diensten die toegang geven tot hoogvertrouwelijke data dient een IdP de best practice voor authenticatie te vereisen (op dit moment Multi Factor Authentication met number matching).

  • IdP biedt tenminste de volgende attributen:

    • User-ID

    • Naam

    • Organisatie

    • Rol

Eisen aan Identificatie en Authenticatie dienst

  • Voldoet aan Baseline Informatiebeveiliging Overheid (BIO)

  • ISO 27001 gecertificeerd.

  • Voldoet aan de Algemene Verordening Gegevensbescherming (AVG).

  • Kan verschillende IdPs en IdP federaties aansluiten.

  • Maakt gebruik van het OIDC-protocol.

  • Voldoet aan NEN-norm 7518

Verwachte inrichting per gebruikersgroep

Verschillende gebruikersgroepen van het Health-RI ecosysteem maken in hun dagelijks leven gebruik van verschillende identiteiten. Deze willen we graag hergebruiken om hen toegang te geven tot de diensten van Health-RI en daarmee ook tot gezondheidsdata. Hiervoor moeten we wel onderzoeken of deze identiteiten genoeg vertrouwen wekken en of ze gebruikt mogen en kunnen worden door Health-RI.

Onderzoekers

De grootste groep gebruikers bestaat uit onderzoekers en dataspecialisten bij onderzoeksinstellingen. Deze instellingen zijn veelal leden van SURF en hun medewerkers kunnen daardoor gebruik maken van identity federatie SURF Research Access Management (SRAM).

Zorgmedewerkers

Health-RI onderzoekt of zorgmedewerkers in de toekomst toegang kunnen krijgen tot het ecosysteem via een erkend inlogmiddel (bijvoorbeeld Yivi) in combinatie met attributen uit het DEZI register.

Innovators

Innovators en onderzoekers bij bedrijven zouden toegang kunnen krijgen tot het ecosysteem via hun bedrijfsaccount en het identiteitsregister van de organisatie (bijvoorbeeld Azure AD). Dit vereist dat per organisatie afspraken worden gemaakt over autorisaties.

Andere gebruikersgroepen

Voor de volgende gebruikersgroepen zijn nog geen bestaande identiteiten vastgesteld die op dit moment door het Health-RI ecosysteem hergebruikt kunnen worden:

  • Beleidsmakers

  • Burgers en patiënten

De wetgeving rondom het verwerken van BSN is op dit moment nog een obstakel voor het gebruik van DigiD als inlogmiddel voor burgers en patiënten. Op termijn is Self-sovereign Identity (SSI) een mogelijke oplossing voor burgers en patiënten. Hierbij heeft niet een identity provider, maar de persoon zelf de bewijzen op zak om de identiteit te authenticeren en autorisatie uit te voeren en kan deze via een app aanbieden aan een dienst. Een mogelijk bruikbare SSI is de aangekondigde European Identity Wallet.

Gebruikersgroep

IdP

inlogmiddel

Gebruikersgroep

IdP

inlogmiddel

Onderzoekers bij UMCs en bij SURF aangesloten kennisinstellingen

instituut

instituutsaccount via SRAM

Onderzoekers bij topklinische en algemene ziekenhuizen

UZI register

erkende WDO inlogmiddelen die geen bsn verwerken (bijv. Yivi)

Bedrijven

personeelsadministratie bedrijf

bedrijfsaccount via eigen AD (bijv. Azure-AD)

Mogelijke leveranciers

IdPs

Authenticatiediensten

IdPs

Authenticatiediensten

UMC’s

SRAM (SURF)

Yivi (icm UZI register)

SURF Conext (SURF)

Life Science ID

TVS (overheid)

GA4GH Passport

Keycloak

 

LifeScience AAI

Â