Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten

Naar een dienstgeoriënteerde architectuur en het

gemeenschappelijk gebruik van basisdiensten

Kruispuntbank van de Sociale Zekerheid

KSZ-BCSS

2Kruispuntbank van de Sociale Zekerheid

KSZ-BCSS

04/07/2006

Plan van de uiteenzetting

interoperabele ICT op basis van een dienst-georiënteerde architectuur (service oriented architecture – SOA)

overzicht van een aantal aangeboden basisdiensten- gebruikers- en toegangsbeheer- ticketing en ontvangstmedling- persoonlijke pagina’s- logging- customer relationship management (CRM)

status questionis inzake aanvaarde mandaten om op te treden namens ondernemingen en burgers


KSZ-BCSS

04/07/2006

Interoperabele ICT

dienstgeoriënteerde architectuur (SOA – Service Oriented Architecture)

gelaagd gebaseerd op open standaarden of minstens open

specificaties gebaseerd op componenten modulair flexibel uitbreidbaar veilig


KSZ-BCSS

04/07/2006

Dienstgeoriënteerde architectuur

“Service Oriented Architecture (SOA) is a paradigm for organizing and utilizing distributed capabilities that may be under the control of different ownership domains. It provides a uniform means to offer, discover, interact with and use capabilities to produce desired effects consistent with measurable preconditions and expectations. Enterprise architects believe that SOA can help businesses respond more quickly and cost-effectively to the changing market conditions. This style of architecture promotes reuse at the macro (service) level rather than micro levels (eg. objects). It also makes interconnection of existing IT assets trivial.” (OASIS Reference Group)


KSZ-BCSS

04/07/2006

Gelaagde architectuur

BasisdienstenBasisdiensten

ToepassingenToepassingen

PresentatiePresentatie

BusinessdienstBusinessdienstenen

GegevensGegevens


KSZ-BCSS

04/07/2006

Open specificaties en open standaarden

open specificatie: specificatie die voldoende is om een volledig functionerende toepassing te schrijven en vrij is van juridische beperkingen die de verspreiding en het gebruik bemoeilijken

open standaard: open specificatie die goedgekeurd is door een onafhankelijke standaardenorganisatie

voornaamste internationale, onafhankelijke standaardenorganisaties- International Organization for Standardization (ISO) (

http://www.iso.org)- World Wide Web Consortium (W3C) (http://www.w3.org)- OASIS (http://www.oasis-open.org)

http://www.iso.org/

http://www.w3.org/

http://www.oasis-open.org/

http://www.oasis-open.org/


KSZ-BCSS

04/07/2006

Open specificaties en open standaarden

voorbeelden- karaktersets- interconnectie- uitwisseling van berichten- uitwisseling van documenten- opslag van berichten- opslag van documenten- compressie van documenten- beveiliging

zie bijvoorbeeld http://www.ksz.fgov.be/documentation/nl/documentation/ Pers/OpenstandaardenNL_FEDICT.pdf

http://www.ksz.fgov.be/documentation/nl/documentation/Pers/OpenstandaardenNL_FEDICT.pdf







KSZ-BCSS

04/07/2006

Componenten

welafgebakende, autonoom functionerende componenten die op basis van een dienstgeoriënteerde architectuur onderling en met

externe componenten interopereren via open standaarden zodat een maximale flexibiliteit bestaat

- om andere componenten aan te sluiten

- om componenten toe te voegen

- om componenten te vervangen door andere componenten

- om componenten te hergebruiken voor andere doeleinden in functie van

- de evoluerende behoeften

- de evoluerende technologische mogelijkheden zonder impact op de bestaande componenten met beroep op open concurrentie voor de uitbouw van de aan te sluiten,

toe te voegen of te vervangen componenten


KSZ-BCSS

04/07/2006

Gegevens en informatie

persoonsgegevens- volgens taakverdeling opgeslagen en beheerd in onderling

complementaire authentieke gegevensbanken

niet-persoonsgebonden informatie- modulair en up to date opgeslagen in algemeen

toegankelijke content management systemen- met gestandaardiseerde metadata, gebaseerd op

gestandaardiseerde thesauri- met scheiding van inhoud, metadata en vorm (hergebruiken,

niet herschrijven)- onderwerpbaar aan automatische reïndexatie


KSZ-BCSS

04/07/2006

Gegevens en informatie

beleids- en onderzoeksondersteunende informatie- door samenbrengen van gegevens uit operationele systemen

in datawarehouses- met benaderingsmogelijkheden van gegevens via

verschillende dimensies en granulariteitsgraden- met krachtige exploratie-, analyse- en visualisatietools- bij voorkeur in real time (on line analytical processing –

OLAP)


KSZ-BCSS

04/07/2006

Basisdiensten

componenten die een generieke dienst aanbieden aan elke businessdienst die ze wil gebruiken

toegevoegde waarde- besparing op ontwikkelings- en exploitatiekost: develop once,

use many- biedt de ontwikkelaars van businessdiensten en

toepassingen de mogelijkheid om zich op de businessdiensten te concentreren

- coherentie voor de gebruikers over de onderscheiden toepassingen heen

- vergemakkelijkt het aanbod en de monitoring van processen en procesketens


KSZ-BCSS

04/07/2006

Basisdiensten

gebruikers- en toegangsbeheer voor burgers, ondernemingen en beroepsbeoefenaars

elektronische handtekening transformatie van formaten ticketing en ontvangstmelding time stamping routing statusbeheer orchestratie logging persoonlijke pagina’s customer relationship management (CRM) ...


KSZ-BCSS

04/07/2006

Basisdiensten

user & access

mgt

electronic signature

ticketing/

receipt

transfor-mation

…orches-tration

loggingpersona

lpages


KSZ-BCSS

04/07/2006

Businessdiensten en toepassingen

ontwikkeling van businessdiensten door coördinatie van componenten en gebruik van de basisdiensten

ontwikkeling van toepassingen afgestemd op de behoeften van de onderscheiden soorten gebruikers door coördinatie van businessdiensten

waarbij dezelfde componenten en basisdiensten kunnen worden gebruikt worden voor het ontwikkelen van verschillende businessdiensten, en dezelfde businessdiensten voor het ontwikkelen van verschillende toepassingen


KSZ-BCSS

04/07/2006

Toepassingen

Application Application Application

OrchestrationOrchestration Enterprise Application Integration

Exposed services

Consulted services

Application Application Application

Enterprise Service Bus

Clients

Providers


KSZ-BCSS

04/07/2006

Toepassingsintegratie via web services

Web service: softwarecomponent die een eenduidig zelfbeschreven functionaliteit aanbiedt en gedistribueerd aangeroepen wordt door gebruik te maken van standaard internettechnologie

web servicesrepository(WSDL)

web servicesclient

web servicesprovider

UDDI (registratie web service)(opzoeken web service) UDDI

XML/SOAP

XML/SOAP XML/SOAP


KSZ-BCSS

04/07/2006

Toepassingsintegratie in federale overheid

middlewareomgevingen- Enterprise Application Integration omgeving in sociale sector,

beheerd door de Kruispuntbank van de Sociale Zekerheid- Universal Messaging Engine (FEDICT), met evolutie naar

Federal Service Bus- CommunicatieCentrum van de Federale Fiscaliteit (CCFF) in

uitbouw in de FOD Financiën- Enterprise Application Integration omgeving in uitbouw in de

FOD Justitie in het kader van het Fenix-project onderling verbonden netwerken

- extranet van de sociale zekerheid tussen instellingen van sociale zekerheid

- FEDMAN tussen federale overheidsdiensten- extranets van andere overheidsniveaus- internet en daarop virtuele private netwerken


KSZ-BCSS

04/07/2006

Presentatie-integratie: portaalsites

web sites

met geïntegreerde presentatie van- informatie, bij voorkeur beheerd in content management

systemen- transacties

met single log on of single sign on

eventueel ondersteund door customer relationship management tools


KSZ-BCSS

04/07/2006

Presentatie-integratie: portaalsites

gepersonaliseerd, intentiegericht of doelgroepgericht- gepersonaliseerd

• look & feel en interface• inhoud (enkel relevante informatie en transacties)• gepersonaliseerde ondersteuning, bvb.

– gebruik van beschikbare persoonsgegevens– contextgevoelige hulp aangepast aan de gebruiker (bvb. tekst,

mondelinge uitleg, hulp bij het gebruik van elektronische devices, procesbegeleiding, ...)

– eigen taal– aangepast vocabularium– on-line simulaties

- intentie- of doelgroepgericht• gebeurtenissen (vb. geboorte, huwelijk, opstart van een bedrijf, ...)• levensdomeinen (vb. cultuur, sport, ...)• sociale status (vb. werknemer, werkloze, gepensioneerde, ...) of

bedrijfssector• doelgroepen


KSZ-BCSS

04/07/2006

Portaalsites: niet

gebruikers•burgers•ondernemingen

leveranciers

partners

personeeltussenpersonen

PORTAL A•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie

back-endsystemen, vb.•ERP•groupware•DB’s•toepassingen

transactiescontent

management

gebruikers-beheer

PORTAL B•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie


contentmanagement

transacties

gebruikers-beheer


KSZ-BCSS

04/07/2006

Portaalsites: wel

klanten•burgers•ondernemingen

leveranciers

partners

personeeltussenpersonen


contentmanagement

transacties

PORTAL A•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie


transacties contentmanagement

gebruikers-beheer

gebruikers-beheer

PORTAL B•single sign on•personalisatie•gebruikersgroepen•multi-channel•aggregatie


KSZ-BCSS

04/07/2006

Presentatie-integratie: contact center

multimodaal bereikbaar: telefoon, e-mail, formulier op portaal, …

ondersteund door customer relationship management tool

OISZ

TelefoonE-mail

Internet@

Contactcenter Eranova

FOD

Intern


KSZ-BCSS

04/07/2006

Netwerk van dienstenintegratoren

InternetInternet

Extranetgewest of

gemeenschap

Extranetgewest of

gemeenschap

FedMANFedMAN

Diensten-cataloog

FOD

FOD

FOD

ISZ

ISZ

Diensten-cataloog

Extranetsociale

zekerheid

ISZ

GOD

GOD

Diensten-cataloog

VPN, Publilink, VERA, …

VPN, Publilink, VERA, …

Stad Provincie

Gemeente

Diensten-cataloog

Diensten-integrator(FEDICT)

Diensten-integrator

(KSZ)

Diensten-integrator


KSZ-BCSS

04/07/2006


soorten uitgewisselde informatie- gestructureerde gegevens- documenten- beelden- multimedia- metadata- business processen

op basis van web service technologie


KSZ-BCSS

04/07/2006

Netwerk van dienstintegratoren

mogelijke taken van een dienstenintegrator (KSZ, FEDICT, …)- organisatie gegevensbeheer, basis- en businessdiensten,

toepassingsintegratie en presentatie-integratie- organisatie veilig interoperabiliteitsframework- gebruikers- en toegangsbeheer

• lijst van gebruikers (mensen, ondernemingen, toepassingen, …)• bepaling van mogelijke authentiseringsmiddelen voor elke dienst• beheer van autorisaties

– welke dienst is toegankelijk voor welke type van gebruiker m.b.t. welke personen/ondernemingen in welke hoedanigheden in welke situatie en m.b.t. welke periode

• preventieve controle op naleving van de autorisaties• logging van uitwisseling van persoonsgegevens


KSZ-BCSS

04/07/2006


mogelijke taken van een dienstenintegrator- beheer van een verwijzingsrepertorium

• welke personen/ondernemingen hebben een (elektronisch) dossier in welke hoedanigheden bij welke instanties m.b.t. welke periode

• welke informatie is beschikbaar bij een bepaalde instantie wanneer zij een dossier beheert m.b.t. een bepaalde persoon/onderneming in een bepaalde hoedanigheid

- beheer van een repertorium van de instanties die automatisch (wijzigingen van) gegevens wensen te verkrijgen

• welke instanties wensen welke gegevens automatisch te verkrijgen in welke situaties m.b.t. welke personen/ondernemingen in welke hoedanigheden


KSZ-BCSS

04/07/2006

Naar een taakverdeling ?

federale overheid, openbare instellingen van sociale zekerheid (OISZ) die stelsels of takken beheren, gewesten en gemeenschappen- klemtoon op gegevens- en dienstenlagen, met als resultaat

businessdiensten bruikbaar door lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen

- desgewenst aanbod aan lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen van standaardomgeving voor uitbouw toepassings- en presentatielaag


KSZ-BCSS

04/07/2006

Enkele aangeboden basisdiensten

gebruikers- en toegangsbeheer- begrippen- opfrissing werking elektronische identiteitskaart (EID)- policy enforcement model- huidige situatie- enkele evoluties

ticketing en ontvangstmelding persoonlijke pagina’s customer relationship management (CRM)


KSZ-BCSS

04/07/2006

Gebruikers/toegangsbeheer - begrippen

entiteit: iemand die of iets dat moet kunnen worden geïdentificeerd, zoals een natuurlijk persoon, een onderneming, een vestiging van een onderneming, een machine of een toepassing

attribuut: een deeltje informatie over een entiteit identiteit: een uniek nummer of een reeks attributen

van een entiteit dat toelaat om eenduidig te weten wie de entiteit is; een entiteit heeft één en slechts één identiteit

kenmerk: een attribuut van een entiteit, ander dan de attributen die de identiteit van de entiteit bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie, ...; een entiteit kan verschillende kenmerken hebben


KSZ-BCSS

04/07/2006


mandaat: een recht verstrekt door een geïdentificeerde entiteit aan een andere geïdentificeerde entiteit om in zijn naam en voor zijn rekening welbepaalde juridische handelingen te stellen

registratie: het proces waarbij de identiteit, een kenmerk van een entiteit of een mandaat met een voldoende zekerheid wordt vastgesteld, vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd


KSZ-BCSS

04/07/2006


authenticatie van de identiteit: het proces waarbij wordt nagegaan of de identiteit die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, de juiste identiteit is; authenticatie van een identiteit kan geschieden op basis van een controle- van kennis (vb. een paswoord)- van een bezit (vb. een certificaat op een elektronisch

leesbare kaart)- van biometrische eigenschappen- van een combinatie van één of meerdere van deze middelen


KSZ-BCSS

04/07/2006


verificatie van een kenmerk of een mandaat: het proces waarbij wordt nagegaan of een kenmerk of een mandaat die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, effectief een kenmerk of een mandaat van deze entiteit is; verificatie van een kenmerk of een mandaat kan geschieden op basis van- dezelfde soort middelen als deze gebruikt voor de

authenticatie van de identiteit- na authenticatie van de identiteit van een entiteit, door de

raadpleging van een gegevensbank waarin kenmerken of mandaten m.b.t. een geïdentificeerde entiteit worden opgeslagen


KSZ-BCSS

04/07/2006


autorisatie: een toelating voor een entiteit om een welbepaalde actie te verrichten of een welbepaalde dienst te gebruiken

autorisatiegroep: een groep van autorisaties rol: een groep van autorisaties of autorisatiegroepen

gerelateerd aan een welbepaalde dienst role based access control (RBAC): een methode

waarbij de toewijzing van autorisaties aan entiteiten geschiedt via autorisatiegroepen en rollen, om het beheer van de autorisaties en de toewijzing ervan aan entiteiten administratief te vereenvoudigen

Entiteit

Autorisatie(groep)

Rol

Dienst


KSZ-BCSS

04/07/2006

Elektronische identiteitskaart


KSZ-BCSS

04/07/2006

Elektronische identiteitskaart (EID)

weerhouden functies- visuele en elektronische identificatie van de houder- elektronische authenticatie van de identiteit van de houder

d.m.v. techniek van digitale handtekening- plaatsen van elektronische handtekening d.m.v. techniek van

digitale handtekening

geen opslag van andere elektronische gegevens, maar bevorderen van gecontroleerde toegang tot gegevens via netwerken, met elektronische identiteitskaart als toegangsinstrument- vermijden van perceptie van kaart als ‘big brother’- vermijden van verlies van veel gegevens bij verlies van de

kaart- vermijden van nood tot veelvuldige updating van de kaart

CA CA

publieke sleutel publieke sleutel

digitale handtekening

36Kruispuntbank van de Sociale Zekerheid 04/07/2006


KSZ-BCSS

04/07/2006

EID – enkele begrippen

authenticatiecertificaat: authenticatie van identiteit – gebruik vereist ingave van paswoord, eenmaal per sessie

handtekeningcertificaat: plaatsen van juridisch geldige elektronische handtekening – gebruik vereist ingave van paswoord telkens een elektronische handtekening wordt geplaatst

gemeenten vervullen de functie van registratie-autoriteit (RA): ‘loket' waar certificaat wordt aangevraagd en dat nagaat of opgegeven identiteit juist is; zo ja, keurt ze aanvraag goed, en meldt dit aan certificatie-autoriteit


KSZ-BCSS

04/07/2006

EID – enkele begrippen

Certipost vervult de functie van certificatie-autoriteit (CA): produceert op basis van de informatie die ze van de RA heeft verkregen een certificaat, dat ze verbindt met een sleutelpaar en dat aangeeft wat dat sleutelpaar voortaan bewijst, en beheert dat certificaat


KSZ-BCSS

04/07/2006

EID

1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public

key match?

Matching triplet?

CRL

Alice

Alice

hash

Bob

3, 4

2

1 7

6

5

8

1. Compose message 3. Generate signature 5. Collect certificate2. Compute hash 4. Collect signature 6. Send message

Alice

hash

Alice

1

2

3

5 4

6


KSZ-BCSS

04/07/2006

EID

EID- elektronische identificatie en authenticatie van de identiteit van de

natuurlijke personen ouder dan 12 jaar die zijn ingeschreven in de bevolkingsregisters

- elektronische handtekening van die personen nog nood aan een oplossing voor de elektronische identificatie

en de authenticatie van de identiteit van de personen- jonger dan 12 jaar- die niet in de bevolkingsregisters ingeschreven zijn

aanvullingen zijn ook nodig voor een volledig, geïntegreerd gebruikersbeheer, bvb.- verificatie van relevante kenmerken (vb. geneesheer, notaris, …)

van een natuurlijke persoon- verificatie van een mandaat tussen een rechtspersoon of natuurlijke

persoon waarop een elektronische dienst betrekking heeft en de persoon die deze dienst gebruikt

- autorisaties tot het gebruik van de diensten


KSZ-BCSS

04/07/2006

Policy Enforcement Model

Gebruiker

Policy

Toepassing

(PEP )

Toepassing

Policy

Beslissing (PDP )

Actie op

toepassing Beslissingsaanvraag

Beslissingsantwoord

Actieop

toepassingTOEGESTAAN

Policy Informatie

(PIP )

InformatieVraag /

Antwoord

Policy Autorisatie

(PAP )

OphalenPolicies

Authentieke bron

Policy Informatie

(PIP )

InformatieVraag /

Antwoord

Policy

repository

Actieop

toepassingGEWEIGERD

Beheerder

Autorisatiebeheer

Authentieke bron


KSZ-BCSS

04/07/2006

Policy Enforcement Point (PEP)

onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving

de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen

toegang verlenen tot de toepassing en relevante credentials meegeven

GebruikerPolicy

Toepassing (PEP)

Toepassing

PolicyBeslissing (PDP)

Actie op

toepassing Beslissingsaanvraag

Beslissingsantwoord

Actieop

toepassingTOEGESTAAN

Actieop

toepassingGEWEIGERD


KSZ-BCSS

04/07/2006

Policy Decision Point (PDP)

op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP)

de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP)

de autorisatiebeslissing (permit/deny/not applicable) nemen en doorsturen naar het PEP

Policy Toepassing

(PEP)

PolicyBeslissing (PDP)

Beslissingsaanvraag

Beslissingsantwoord

Policy Informatie (PIP)

Vraag / Antwoord

Policy Autorisatie(PAP)

OphalenPolicies

Policy Informatie (PIP)

InformatieVraag /

Antwoord

Informatie


KSZ-BCSS

04/07/2006

Policy Administration Point (PAP)

omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing

ter beschikking stellen van de autorisation policies aan het PDP

PDPPAP

OphalenPolicies

Beheerder

Autorisatiebeheer

Policyrepository


KSZ-BCSS

04/07/2006

Policy Information Point (PIP)

ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten, …)

PDP

PIP 1

InformatieVraag/Antwoord

Authentieke bron

PIP 2

Authentieke bron

InformatieVraag/Antwoord


KSZ-BCSS

04/07/2006

Principe van "cirkels van vertrouwen" doel

- vermijden van onnodige centralisatie- vermijden van onnodige bedreigingen voor de bescherming van de

persoonlijke levenssfeer- vermijden van meervoudige identieke controles en opslag van

loggings methode: taakverdeling tussen de bij elektronische dienst-

verlening betrokken instanties met duidelijke afspraken inzake- wie welke authenticaties, verificaties en controles verricht aan de

hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is

- hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld

- wie welke loggings bijhoudt- hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van

een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt


KSZ-BCSS

04/07/2006

Huidige situatie – algemene principes

er wordt een onderscheid gemaakt tussen 4 doelgroepen- burgers- medewerkers van de instellingen van sociale zekerheid (ISZ)- ondernemingen- andere actoren betrokken bij de sociale sector

de beschikbare informatie en transacties zijn ingedeeld op basis van een risico-analyse, en de vereiste procedures van registratie en authenticatie van de identiteit zijn afhankelijk van het vereiste niveau van veiligheid- 5 niveaus voor burgers en medewerkers van de instellingen

van sociale zekerheid - 4 niveaus voor ondernemingen (geen apart niveau met

gebruik van tokens)


KSZ-BCSS

04/07/2006

Huidige situatie burgers

een burger krijgt op heden enkel toegang tot- openbare informatie en transacties- niet-openbare transacties m.b.t. zichzelf

dus enkel nood aan- registratie van de identiteit- authenticatie van de identiteit op een niveau aangepast aan

de graad van gevoeligheid van de transactie

(vooralsnog) geen- verificatie van kenmerken- verificatie van mandaten- beheer van autorisaties


KSZ-BCSS

04/07/2006

Huidige situatie burgers

Niv Registratie identiteit Authenticatie

identiteit

Toepassingen

0 geen geen openbare info/transacties

1 online door ingave Rijksregister-nummer, nummer identiteitskaart en nummer SIS-kaart

gebruikersnummer en paswoord gekozen door gebruiker

info/transacties van lage gevoeligheid

logging

2 niveau 1 + verzending e-mail met activerings-url naar door burger opgegeven e-mailadres en verzending papieren token naar hoofdverblijfplaats burger in Rijksregister

niveau 1 + ingave van 1 aleatoir gevraagde string vermeld op het token (bevat 24 strings)

info/transacties van gemiddelde gevoeligheid

logging

3 fysieke aanmelding bij de gemeente voor verwerving EID

authenticatie-certificaat op EID + paswoord per sessie

info/transacties van hoge gevoeligheid

logging


authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie

transacties die elektronische handtekening vereisen


KSZ-BCSS

04/07/2006

Token


KSZ-BCSS

04/07/2006

Huidige situatie medewerkers ISZ

registratie en authenticatie van de identiteit- idem als voor burgers- bij niveau 2 wordt het token evenwel opgestuurd naar de

veiligheidsconsulent van de instelling van sociale zekerheid waarvan de betrokkene een medewerker is en door die veiligheidsconsulent aan de medewerker overhandigd

registratie kenmerk van medewerker van een instelling van sociale zekerheid- ingave door de veiligheidsconsulent van de betrokken

instelling van sociale zekerheid in een PIP bij FEDICT (in de toekomst in de sociale sector)


KSZ-BCSS

04/07/2006

Huidige situatie medewerkers ISZ

verificatie kenmerk van medewerker van een instelling van sociale zekerheid- raadpleging PIP bij FEDICT (in de toekomst in de sociale

sector)- indien gebruik van token, ook aleatoir gevraagde string

vermeld op het token registratie autorisatie

- ingave door de veiligheidsconsulent van de betrokken instelling van sociale zekerheid in de PAP bij SmalS-MvM (voor portaal) of bij de KSZ (voor diensten aangeboden door de KSZ) (in de toekomst integratie van beide PAP’s)

verificatie autorisatie- raadpleging van autorisatie in PAP bij SmalS-MvM of bij de

KSZ op basis van de informatie die na de raadpleging van de PIP wordt doorgegeven


KSZ-BCSS

04/07/2006

Registratie

vakantiekas 1

Min van Financiiën

Sociale zekerheidagency

department RJVvakantiekas 1

RJVvakantiekas 2

RJVvakantiekas 3

registratie autorisatie(PAP’s SmalS-MvM en KSZ)

KSZ

RJV

vakantiekas 2 vakantiekas 3

Min van Financiën

registratie medewerker instelling sociale zekerheid(PIP FEDICT)

RJV NIC

NIC


KSZ-BCSS

04/07/2006

Huidige situatie ondernemingen

Niv Registratie identiteit Authenticatie

identiteit

Toepassingen

0 geen geen openbare info/transacties

1 lokale beheerder: brief vanwege de onderneming waarvoor de betrokkene als lokale beheerder optreedt

andere medewerkers: validatie door de lokale beheerder

gebruikersnummer en paswoord

info/transacties van lage gevoeligheid

logging


authenticatie-certificaat op EID + paswoord per sessie

info/transacties van hoge gevoeligheid

logging


authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie

transacties die elektronische handtekening vereisen


KSZ-BCSS

04/07/2006


registratie mandaat en autorisatie om namens een onderneming/dienstverlener info/transacties te gebruiken- ingave door RSZ in eigen PIP van

• mandaat van een lokale beheerder van een onderneming om in naam en voor rekening van een onderneming gebruik te maken van beveiligde info/transacties

• mandaat van dienstverlener (erkend sociaal secretariaat of andere dienstverlener) om in naam en voor rekening van een onderneming gebruik te maken van beveiligde info/transacties

• mandaat van een lokale beheerder van een dienstverlener om in naam en voor rekening van een dienstverlener gebruik te maken van beveiligde info/transacties

- ingave door de lokale beheerder van een onderneming/dienstverlener in PIP van RSZ van

• mandaat van andere aangestelden van een onderneming/dienstverlener om in naam of voor rekening van een onderneming/dienstverlener gebruik te maken van alle of bepaalde beveiligde info/transacties


KSZ-BCSS

04/07/2006

Huidige situatie ondernemingende onderneming wordt vertegenwoordigd door een natuurlijk persoon, de lokale beheerder, waarvan zij de identiteit schriftelijk meedeelt aan de RSZ

de RSZ kent aan de lokale beheerder een gebruikers-nummer en paswoord toe

de lokale beheerder- heeft zelf toegang tot alle beveiligde toepassingen,

naargelang het beveiligingsniveau, met het gebruikersnummer en paswoord of de EID als middel voor de authenticatie van zijn identiteit

- kan gebruikersnummers en paswoorden toekennen aan andere gebruikers binnen de onderneming om hun identiteit te authentiseren bij het gebruik van laag beveiligde info/transacties

- kan autorisaties inbrengen voor andere gebruikers binnen de onderneming

de lokale beheerder moet een persoon zijn waarvoor de onderneming uiteindelijk verantwoordelijk is en die onder het rechtstreeks gezag staat van de onderneming

- dus wel: een werknemer, de zaakvoerder, een bestuurder, ...

- maar niet: een externe boekhouder, …

Onderneming

Lokale beheerder

Gebruikers

Alleen eigen gegevens


KSZ-BCSS

04/07/2006


een onderneming kan via een ondertekend mandaat overgemaakt aan de RSZ een dienstverlener aanduiden, die voor haar rekening de beveiligde toepassingen mag gebruiken

de onderneming blijft de verantwoordelijke voor de verwerking in de zin van de Wet Verwerking Persoonsgegevens; de dienstverlener is een verwerker in de zin van die wet

tussen de onderneming en de dienstverlener moet dus een overeenkomst bestaan, die voldoet aan de eisen van artikel 16 Wet Verwerking Persoonsgegevens (zorgvuldige keuze, toezicht, bepalen van de voorwaarden en van de aansprakelijkheid, ...)

de dienstverlener kan een rechtspersoon (bvb. een sociaal secretariaat) of natuurlijk persoon (bvb. een boekhouder) zijn


KSZ-BCSS

04/07/2006

Dienstverleners van ondernemingen

Onderneming

Lokale beheerder

Gebruikers

Alleen gegevens van ondernemingen aan-gesloten bij het betrokken sociaal secretariaat

Lastgeving(RSZ-repertorium)

Sociaal secretariaat


KSZ-BCSS

04/07/2006

Dienstverleners van ondernemingen

Onderneming

Lokale beheerder

Gebruikers

Alleen gegevens van ondernemingen waarvoor de contractuele band geregistreerd werd

Dienstverlener

Contractuele band(RSZ-repertorium)

Rechtspersoon Natuurlijk persoon

=


KSZ-BCSS

04/07/2006

Veiligheidsniveaus ondernemingen zie gebruikersreglement goedgekeurd door Beheerscomité KSZ niveau 0: openbare transacteis, bvb.

- DIMONA via het portaal en de vocale server- detacheringsaanvragen- werkmelding- raadpleging werkgeversrepertorium- raadpleging inhoudingsplicht en hoofdelijke aansprakelijkheid bouwsector

niveau 1: enkel toegankelijk mits ingave gebruikersnummer en paswoord of EID, bvb.

- raadpleging van de E-box- raadpleging van het personeelsbestand- kwartaalaangifte en het doorsturen van voorstellen tot wijziging ervan via het

portaal- aangifte van sociale risico’s via het portaal

niveau 2 enkel toegankelijk mits EID- raadpleging en de wijziging van de kwartaalaangifte via het portaal- alle toepassingen via file transfer

• DIMONA• kwartaalaangifte en (voorstellen tot) wijzigingen ervan• aangiften sociale risico’s• aanvragen tot detachering (Gotot)


KSZ-BCSS

04/07/2006

Huidige situatie – andere actoren sociale sector

bvb. gemeenten, OCMW’s, notarissen, gerechtsdeurwaarders, …

toegang via het extranet- gebruik van gebruikers- en toegangsbeheer van de

medewerkers van de instellingen van sociale zekerheid

toegang via het internet- voorlopig gebruik van het gebruikers- en toegangsbeheer

van de ondernemingen- vanaf vierde kwartaal 2006: gebruik van het gebruikers- en

toegangsbeheer van de medewerkers van de instellingen van sociale zekerheid, indien mogelijk met externe PIP’s


KSZ-BCSS

04/07/2006

Welk beveiligingsniveau kiezen ?

beslissing komt primair toe aan degene die de elektronische dienst of transactie ter beschikking stelt, onder controle van het Beheerscomité van de KSZ (gebruikersreglement) en het sectoraal comité van de sociale zekerheid

in aanmerking te nemen criteria- soort verwerking: mededeling, raadpleging, wijziging, …

- personeel toepassingsgebied van de transactie: verwerking van de sociale gegevens van enkel de gebruiker of ook van andere personen

- vertrouwelijkheidsgraad van de soorten verwerkte gegevens

- homogeniteit van het veiligheidsniveau per gebruikerscategorie

- impact van de verwerking op het netwerk van de sociale zekerheid bovenop het gewenste beveiligingsniveau kan het gebruik van

de elektronische handtekening ook worden vereist om de instelling tegen elke latere betwisting te behoeden


KSZ-BCSS

04/07/2006

Enkele gewenste evoluties

systematische toepassing van het policy enforcement model

uitbouw van PIP m.b.t. kenmerk van medewerker van een instelling van sociale zekerheid binnen sociale sector

mogelijkheid tot gebruik van externe PAP’s en PIP’s voor bvb.- zorgverstrekkers- medewerkers van het gerecht (bvb. notarissen,

gerechtsdeurwaarders, …)- medewerkers van gemeenten- …


KSZ-BCSS

04/07/2006

Enkele gewenste evoluties

systematisch aanbod van eigen ontwikkelde PAP’s en PIP’s voor gebruik door derden, bvb.- medewerkende instellingen van sociale zekerheid- FOD’s en POD’s

goede coördinatie van PAP’s en PIP’s met consequente toepassing van het policy enforcement model tussen- federale overheid- sociale sector- gewesten en gemeenschappen- provinciale en lokale besturen- …


KSZ-BCSS

04/07/2006

Ticketing en ontvangstmelding

elke transactie krijgt een uniek nummer of ticket de toekenning van het ticket bewijst aan de gebruiker

dat de transactie werd geregisteerd het ticket wordt gebruikt om de transactie uniek te

identificeren- in de ontvangstmelding naar de gebruiker, bvb. voor

verwijzing in geval van problemen- in de logging- bij een eventueel beroep op het contact center


KSZ-BCSS

04/07/2006

E-box en persoonlijke pagina’s

wat ?- beveiligde ruimte om documenten elektronisch en veilig ter

beschikking te stellen van een gebruiker- gekoppeld aan de mogelijkheid om een mail te versturen

naar de gebruikers met de vermelding dat een document ter beschikking is, met een opname van de url in de mail (push)

- documenten kunnen worden ter beschikking gesteld• ofwel door een portaaltransactie• ofwel door een instelling van sociale zekerheid, via de KSZ indien nodig

hoe toegankelijk ?- wordt automatisch gecreëerd voor elke gebruiker- toegankelijk via het portaal van de sociale zekerheid- met gebruik van systeem van gebruikers- en

toegangsbeheer


KSZ-BCSS

04/07/2006


huidige situatie- E-box voor de ondernemingen

• één E-box per onderneming• gebruikers- en toegangsbeheer van ondernemingen• lokale beheerder beheert toegangen, met mogelijkheid tot selectiviteit in

functie van de toepassing die het document aanmaakt

- persoonlijke pagina voor de medewerkers van de sociale zekerheid

• één persoonlijke pagina per medewerker van een instelling van sociale zekerheid en één persoonlijke pagina per instelling

• gebruikers- en toegangsbeheer van de medewerkers van de instelingen van sociale zekerheid

• elke medewerker heeft toegang tot alle documenten op zijn persoonlijke pagina

• elke medewerker heeft toegang tot de soorten documenten op de persoonlijke pagina van zijn instelling waartoe de veiligheidsconsulent van de instelling hem toegang verleent


KSZ-BCSS

04/07/2006


huidige situatie- persoonlijke pagina voor de burger

• één persoonlijke pagina per burger• gebruikers- en toegangsbeheer van de burgers• elke burger heeft toegang tot alle documenten op zijn persoonlijke

pagina• nog niet gebruikt in productie


KSZ-BCSS

04/07/2006

Logging

wat ?- bewaren

• welke persoon of toepassing, geïdentificeerd aan de hand van een uniek identificatienummer

• wanneer (datum en tijd)• over wie, geïdentificeerd aan de hand van het identificatienummer van

de sociale zekerheid, het KBO-nummer of het RSZ-nummer• welk bericht of welke transactie geïdentificeerd aan de hand van het

uniek ticketnummer heeft gebruikt• welke bewerking werd uitgevoerd (aanmaak, raadpleging, wijziging, lijst,

…)• met welk resultaat (OK, NOK)• geen logging van de inhoudelijk uitgewisselde gegevens !!!

de relevantie van de inhoud van de loggings behoort steeds tot de verantwoordelijkheid van de eigenaar van de toepassing in overeenstemming met de policy uitgewerkt in het Algemeen Coördinatiecomité


KSZ-BCSS

04/07/2006

Logging en cirkels van vertrouwen

A B C

D

LOG LOG

LOG

LOG

LOGBEHEER

DOORA

LOGBEHEER

DOORB

LOGBEHEER

DOORB

VertrouwensinstellingA

VertrouwensinstellingB

VertrouwensinstellingC & D

LOGBEHEER

DOORC

LOGBEHEER

DOORD

VOLLEDIGE LOGGIN = A + B + C / D


KSZ-BCSS

04/07/2006

Logging – stand van implementatie

basiscomponent SecurityLog- implementatie in de front-end van de toepassing of van een andere

basisdienst op het portaal van de sociale zekerheid- reeds gebruikt voor alle toepassingen op het portaal van de sociale

zekerheid die gebruikt worden door de medewerkers van de instellingen van sociale zekerheid

IRIS-toepassing- beschikbaar op het portaal van sociale zekerheid- raadpleging van loggings van alle portaaltoepassingen en de

GDAUT-transacties die gebruikt worden door de medewerkers van de instellingen van sociale zekerheid door (elk voor de gebruikers waarop zij toezicht uitoefenen)

• de veiligheidsconsulenten van de instellingen uit het primaire netwerk van de KSZ

• de verantwoordelijken van de sociale inspectiediensten, in het kader van beraadslaging 04/032 van het Sectoraal Comité

- met de EID als authenticatiemiddel van de identiteit van de gebruiker


KSZ-BCSS

04/07/2006

IRIS-toepassing

(vragen TP +

ToepassingWeb, SEBA. et

WebservicePortaal

Toepassing op Siemens Systeem

Toepassing opStratus

Systeem

Toepassing C/S

TuxedoDiensten

Log NATREG, RIP, WREP,

DUC,...Log LATG, DMFA

Log toegang DB ATCE et

ADABAS)

Log RKW, FAO, RIP,...

Samensmelting + verwerking en invoer (SAS)

Gegevens, gebruikers,

toepassingen, instellingen, logging.

webtoepassingIRIS

Portail SZ

ToepassingSP 11

(Lotus Notes)Diensten

Log Dimona

Lotus notes)

Process creatie CD-ROM

Processvoorbereiding

Web toepassing.

(SAS)

DagelijkseHergroepering

(DMFA wekelijks)

Toegang toepassing

IRIS via

UMAF


KSZ-BCSS

04/07/2006

Customer relationship management

geïntegreerd beheer van de relatie met de gebruiker over de kanalen en diensten heen

gekoppeld aan gebruikers- en toegangsbeheer, basis voor een personalisatie of doelgroepbenadering en gebruik van push-mechanismen

levert feedback voor de permanente verbetering van de dienstverlening


KSZ-BCSS

04/07/2006

Status questionis mandaten

mandaten voor de ondernemingen worden geregeld door gebruikersreglement

mandaten voor burgers: beraadslaging nr. 95/58 van 24 oktober 1995 van het Toezichtscomité bepaalt onder welke voorwaarden een lasthebber de sociale persoonsgegevens van een natuurlijke persoon–lastgever mag meegedeeld krijgen


KSZ-BCSS

04/07/2006

Beraadslaging nr. 95/58

mededeling is toegelaten aan lasthebber die- beschikt die over een schriftelijke lastgeving die vermeldt

• de identificatiegegevens van de lastgever en lasthebber• de handtekening van de lastgever• de soorten sociale persoonsgegevens die de lasthebber mag verkrijgen• de doeleinden waarvoor deze gegevens door de lasthebber mogen

worden verwerkt• de duur van de lastgeving

- beschikt over een stilzwijgende lastgeving volgens de volgende voorwaarden

• de lasthebber is een belangenvereniging waarvan de lastgever lid is of waarbij de lastgever aangesloten is, bvb. een vakbond, een ziekenfonds, een vereniging van gepensioneerden, een organisatie van zelfstandigen, een vereniging van gehandicapte personen, …

• de lastgever levert het bewijs van lidmaatschap of aansluiting aan de hand van objectieve feiten, bvb. door vermelding van het aansluitingsnummer van de lastgever of andere elementen


KSZ-BCSS

04/07/2006

Evolutie ?

verenigingen die krachtens een stilzwijgende lasthebber willen optreden nemen leden of aangeslotenen op in een PIP

PIP van leden of aangeslotenen voldoet aan voorwaarden om aanvaard te worden binnen het systeem van de cirkels van vertrouwen

gebruikte transacties worden gelogd er wordt nagegaan of de beraadslaging nr. 95/58

moet worden aangepast


KSZ-BCSS

04/07/2006

Voor meer informatie

portaal van de sociale zekerheid- https://www.socialsecurity.be

websites over elektronische identiteitskaart- http://eid.belgium.be- http://www.cardreaders.be/en/default.htm

website Kruispuntbank van de Sociale Zekerheid- http://www.ksz.fgov.be

persoonlijke website Frank Robben- http://www.law.kuleuven.ac.be/icri/frobben

https://www.socialsecurity.be/

http://eid.belgium.be/

http://www.cardreaders.be/en/default.htm

http://www.ksz.fgov.be/

http://www.law.kuleuven.ac.be/icri/frobben







D@nk u !

Vragen ?

78Kruispuntbank van de Sociale Zekerheid 04/07/2006

Documents

Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten