Doorgifte identiteiten

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

IV-domeinen > IV-domein IAM > Doorgifte identiteiten
Deze pagina is een uitgebreide beschrijving van het modelelement Doorgifte identiteiten (IV-inrichtingsscenario)


Het inrichtingsscenario Doorgifte identiteiten biedt een toekomstvast digitaal identiteitsstelsel. Het is een samenstelling van IV-inrichtingssjablonen die functioneel de doorgifte identiteit met tussenkomst van de persoon (wallet) en zonder tussenkomst van de persoon (federatief) ondersteunen. Het betreft de IV-inrichtingssjablonen:

Inleiding[bewerken]

Onderwijsdeelnemers, onderwijsmedewerkers en andere bij het onderwijs betrokkenen hebben een digitale identiteit nodig om gebruik te kunnen maken van digitale oplossingen die in het onderwijs worden geboden. Vaak wordt dit ‘lokaal’ opgelost, met een account of een identiteit die voor specifieke doeleinden wordt uitgegeven, of door gebruik te maken van extern beschikbare identiteitsoplossingen (zoals DigiD of een Microsoft-account) of identifiers (zoals een BSN of e-mailadres).

Huidige praktijk binnen het onderwijs (probleemstelling)[bewerken]

In de praktijk hebben zowel onderwijsinstellingen als personen zoals onderwijsdeelnemers, onderwijsmedewerkers en andere bij het onderwijs betrokkenen te maken met een heterogene set aan identifiers, attributen. In lokale context is dat als gezegd praktisch oplosbaar, zodra contexten worden verbonden leidt dat tot uitdagingen. Precies dat verbinden van contexten is nu aan de hand:

  • instellingscontexten raken steeds meer verbonden doordat er steeds meer opleidingen zijn die ofwel door meerdere instellingen worden verzorgd, ofwel waarvan delen buiten de thuisinstelling worden gevolgd;
  • Instellingen maken gebruik van software-oplossingen van derde partijen, die met hun eigen landschap moeten samenwerken;
  • de onderwijscontext wordt verbonden met de nationale en internationale context doordat bijvoorbeeld badges en diploma's in digitale vorm direct worden toegepast in processen die buiten het onderwijs liggen. Dit betekent dat de identiteit waaraan het diploma wordt uitgegeven duurzaam moet worden gekoppeld aan de identeit die wordt gebruikt bij het tonen van de badge of het diploma [1];
  • Wetgeving rondom gebruik PGN en BSN legt beperkingen op aan het gebruik van die nummers. Vaak terecht, soms onhandig;
  • Identiteitenstelsels vertonen twee bewegingen:
    • van herkenbare nummers naar pseudoniemen (eID);
    • van nummers naar attributen (eIDAS 2, wallets);
  • Voor intern gebruik en voor uitwisseling tussen instellingen onderling en met verschillende ketenpartners is gebruik van identifiers praktisch en soms verplicht. Als er een duidelijke grondslag is, is dat ook niet a priori een probleem[2];
  • Verschillende dienstverleners richten toegang elk op hun eigen manier in. Een dienstafnemer die diensten van verschillende dienstverleners afneemt krijgt te maken met deze vele verschillende manieren die dienstverleners toepassen. Het resultaat is dat zij moeten beschikken over de wel bekende "sleutelbos".

Voetnoten

  1. Noot: dit wil geenszins zeggen dat dat dezelfde identifiers of attributen zijn
  2. Privacytechnisch lijkt het gebruik van een 'nummer', zeker als dat zonder context betekenisloos is, te verkiezen boven het meesturen van attributen (dataminimalisatie).

Doorgifte identiteiten als basis voor een toekomstvast digitaal identiteitsstelsel[bewerken]

Gevolg van bovenstaande ontwikkelingen is dat mechanismen waarbij er uitsluitend vertrouwd wordt op nummers om personen te identificeren uiteindelijk 'stuk' gaan. Enerzijds zien organisaties onderling verschillende niet direct aan elkaar te relateren pseudoniemen voor dezelfde persoon, anderzijds moet ook voor attributen steeds de vertaalslag worden gemaakt naar een intern te gebruiken identeit.

Doorgifte identiteiten biedt is een belangrijke basis om tot een toekomstvast digitaal identiteitsstelsel te komen waarbinnen het volgende geregeld kan worden:

  1. een stabiele, unieke[1] set attributen[2] horend bij een onderwijsdeelnemer, onderwijsmedewerker en andere bij het onderwijs betrokkene die universeel[3]is te gebruiken in het onderwijs
  2. een mechanisme om die attributen te relateren aan, of af te leiden van, verschillende identiteitenstelsels buiten het onderwijs
  3. een mechanisme om die attributen te herleiden naar diverse identifiers die in het onderwijs in het gebruik zijn
  4. een mechanisme om die attributen als credential op te nemen in een (persoonsgebonden) digitale kluis om deze op een later moment te kunnen delen
  5. waarborgen dat er geen ongewenste of onnodige traceerbaarheid ontstaat van (de acties van) onderwijsdeelnemers, onderwijsmedewerkers en andere bij het onderwijs betrokkenen (pseudonimisering, dataminimalisatie)

Voetnoten

  1. in de context van de scope van de dienstverlening
  2. NB: de huidige set eIDAS-attributen is zeer beperkt: huidige voor- en achternaam, geboortedatum en een uniqueness identifier. Optioneel kunnen daar (land/middel-afhankelijk) aan worden toegevoegd: volledige geboortenaam, geboorteplaats, huidig adres en geslacht. Er wordt overwogen om ook nationaliteit(en) toe te voegen aan de optionele set
  3. Interoperabel op nationaal niveau binnen de onderwijssector, maar waar nodig ook daarbuiten.

Universeel te gebruiken attributenset[bewerken]

Doel van een dergelijke attributenset is om de inhoud van verschillende Identiteitsverklaringen vergelijkbaar te maken. Zeker wanneer de beweging naar stelsels waarin de gebruiker de houder is van zijn eigen attributen (Bring your own identity) wordt dat van belang. De technische verschijningsvorm kan verschillen, afhankelijk van de context waarin de Identiteitsverklaring tot stand komt. De praktijk wijst uit dat een beperkte set voldoende is voor een groot deel van de toepassingen[1]. Deze set bevat enerzijds meer attributen dan een foundational identity (bijvoorbeeld over een relatie met een onderwijsorganisatie), maar anderzijds ook minder.

Dat wil niet zeggen dat alle attributen steeds worden doorgegeven aan de achterliggende dienst. Een belangrijke functie van de opsteller van een Identiteitsverklaring is het zorgen dat alleen noodzakelijke én toegestane attributen worden doorgegeven aan een dienst (selective disclosure). Sommige diensten zullen alle attributen mogen ontvangen, andere een zeer beperkte set of zelfs alleen een pseudoniem of een zero-knowledge-proof.

  1. In de federaties SurfConext en de Entree-federatie wordt gebruik gemaakt van de schema’s van REFEDS (‘EduPerson’ e.d.). Daarin zijn veel attributen gedefinieerd (sommige al ‘obsolete’), maar in de praktijk blijken daar naam, organisatie, rol, ‘affiliation’ en een dienst- of instelilngsspecifieke identifier de meeste use cases te ondersteunen.

Digitale identiteiten binnen het onderwijs kunnen relateren aan die buiten het onderwijs[bewerken]

Het onderwijs heeft te maken met een heterogene gebruikersgroep, waarbij niet vanzelfsprekend is dat iedereen dezelfde basisidentiteit heeft (een groot deel in het ho bijvoorbeeld komt niet uit Nederland, en vaak niet uit Europa). Ook is het in de meeste toepassingen niet toegestaan en ook niet nodig om de nationale identiteit of identifiers (BSN) te gebruiken. In de huidige praktijk zijn er twee plekken waar dat wel moet of mag: bij de initiële aanmelding en bij het toekennen van een diploma. In beide gevallen is de onderwijsorganisatie (of een gemandateerde partij namens die organisatie) degene die deze relatie mag leggen en daarvoor ook de noodzakelijke attributen heeft.

Attributen herleiden naar identifiers die in het onderwijs in het gebruik zijn[bewerken]

Binnen het onderwijs bestaan verschillende identifiersystemen naast elkaar, en dat zal ook zo blijven[1]. Een universele identifier voor alle toepassingen is onwenselijk (zie ook voorkomen van traceerbaarheid).

Verschillende oplossingsrichtingen hiervoor zijn mogelijk, de keuze is een expliciete te motiveren ontwerpbeslissing. Varieert van een persoonsgebonden onderwijsspecifiek authenticatiesysteem dat meerdere identifiers naast elkaar kan hanteren (zoals eduID, en wellicht in de toekomst ook wallets), tot het gebruiken van instellings-, sector- of toepassingsspecifieke identifiers (zoals ECK iD) of het dynamisch matchen in het authenticatieproces van een gepresenteerde set attributen naar de binnen de lokale context gebruikte identifier.

  1. Waarbij het niet gezegd is dat alle bestaande mechanismen eeuwig houdbaar zijn

Attributen als credential op te nemen in een (persoonsgebonden) digitale kluis[bewerken]

Een belangrijk verschil tussen een ‘bring your own identity’-stelsel (BYOD, zoals bij gebruik van een wallet) en de bestaande federatieve stelsels is de manier waarop met identiteitsverklaringen wordt omgegaan. In federatieve stelsels wordt deze gegenereerd direct gerelateerd aan een authenticatieverzoek, en heeft deze slechts een korte levensduur. In een BYOD-stelsel zijn het genereren van de identiteitsverklaring (in de vorm van een digitale credential) en het gebruiken ervan ontkoppeld (in tijd en plaats). Dat betekent dat er extra maatregelen nodig zijn om de integriteit en levenscyclus van zo’n credential te waarborgen. Te verwachten valt dat een groot deel van dergelijke maatregelen onderdeel wordt van een goed functionerend wallet-stelsel.

Geen ongewenste of onnodige traceerbaarheid[bewerken]

In het huidige (federatieve) ecosysteem zijn veel maatregelen genomen om traceerbaarheid te voorkomen. Hier is een onderwijsspecifieke afweging gemaakt over wanneer privacy en wanneer dienstverlening ‘voorrang’ krijgt, bijvoorbeeld in de vorm van een wet Pseudonimisering onderwijsdeelnemers of de organisatorische en technische maatregelen die in een federatief stelsel worden genomen ten aanzien van privacyhandhaving en dataminimalisatie. Een gevolg van ontwikkelingen rondom wallets/BYOD is dat in de infrastructuur partijen aanwezig zijn die niet tot het onderwijsdomein behoren en waarmee geen directe afspraken kunnen worden gemaakt. Ook is het aantal partijen veel groter, wat de mogelijke impact en gevolgen van misbruik en fouten groter maakt.

Overzicht[bewerken]

Combinatie van inrichtingsvarianten voor federatieve toegang die er toe bijdragen dat een dienstafnemer met een bepaald authenticatiemiddel een dienst kan afnemen, maar hierin ook keuze heeft (eduID of schoolaccount, of..).

Combinatie van inrichtingsvarianten voor federatieve toegang die er toe bijdragen dat een dienstafnemer met een bepaald authenticatiemiddel een dienst kan afnemen, maar hierin ook keuze heeft (eduID of schoolaccount, of..). (Grouping) Doorgifte identiteiten Een Dienst die bij de authenticatie van eindgebruikers gebruikt maakt van een Identiteitsverklaring afgegeven door een (Authenticerende of Delegerende) Identity Provider of een Federatieve Hub. De Dienst met SSO verzorgt daarnaast de autorisatie van eindgebruikers en beschikt hiervoor over een eigen register van identiteiten en een autorisatievoorziening. (ApplicationComponent) Dienst met SSO Single Sign-On (SSO) is een authenticatieschema waarmee een gebruiker zich met een enkele ID kan aanmelden bij verschillende gerelateerde, maar onafhankelijke diensten. (ApplicationService) Single Sign-On (SSO) De Federatieve hub vervult een hubfunctie tussen functie tussen (Authenticerende of Delegerende) Identity Providers en Diensten met SSO. Van een Identity Provider ontvangt de Federatieve hub een Identiteitsverklaring. Deze kan worden doorgestuurd naar een Diensten met SSO. Deze uitwisselingen vinden alleen plaats met Identity Providers en Diensten met SSO waarmee de Federatieve hub een vertrouwensrelatie heeft. (ApplicationComponent) Federatieve hub ApplicationService Beheer (inzage en controle doorgifte) Functie om volgens een bepaalde voorschriften een voorspelbare en betrouwbare translatie van een protocol uit te kunnen voeren, bijvoorbeeld van SAML naar OpenID Connect. (ApplicationService) Protocoltranslatie Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). (ApplicationService) Pseudonimiseren Een dienstaanbieder kan mogelijk meerdere diensten bieden met een verschillend risicoprofiel. Omdat een hoger risicoprofiel een hoger betrouwbaarheidsniveau vereist en dit een negatieve impact heeft op de gebruikerservaring, kan een dienstaanbieder gebruikers op verschillende betrouwbaarheidsniveaus laten authenticeren. Bij step-up heeft er een authenticatie plaatsgevonden op een lager niveau voor een dienst met een lager risicoprofiel en moet de gebruiker zich authenticeren op een hoger betrouwbaarheidsniveau om gebruik te kunnen maken van een dienst met een hoger risicoprofiel. (ApplicationService) Step-up authenticatie Onderhouden van relaties met aangesloten uuthenticerende identiteitsproviders, federatieve hubs en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau. (ApplicationService) SSO-relatiebeheer Een systeem waarin identiteiten worden geregistreerd en op basis van die identiteiten identiteitsverklaringen beschikbaar worden gesteld. (ApplicationComponent) Identity provider Het vastleggen van een credential of set van credentials die een persoon uniek kan identificeren, optioneel aangevuld met andere persoonsgegevens. (ApplicationService) Identiteitregistratie Onderhouden van relaties met aangesloten uuthenticerende identiteitsproviders, federatieve hubs en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau. (ApplicationService) SSO-relatiebeheer Een component die gebruikt wordt door zijn houder om verifieerbare credentials en cryptografische sleutels aan te vragen, op te slaan, uit te geven, te tonen en te beheren. Credentials en sleutels kunnen op verschillende manieren worden beheerd en opgeslagen, onder andere op een lokaal apparaat, in een zelf-gehoste service of in een externe dienst van een derde partij. (OpenID for Verifiable Credential Issuance) (ApplicationComponent) Wallet Ondersteuning bij het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. (ApplicationService) Authenticatiebeheer Een Identity Provider die de identificatie en authenticatie van eindgebruikers uitvoert. De Authenticerende Identity Provider beschikt hiervoor over authenticatiemiddelenvoorziening. (ApplicationComponent) Authenticerende IdP Ondersteuning bij het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen. (ApplicationService) Authenticatiebeheer Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring. (BusinessObject) Gekwalificeerde digitale identiteit Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring Een systeem dat de registratie, het beheer en de uitwisseling van persoonsgegevens ondersteunt. (ApplicationComponent) Bronsysteem identiteiten Het aanmaken van een bij een persoon behorende set persoonsgegevens. (ApplicationService) Identiteitcreatie Het opslaan, actualiseren, uitwisselen, verwijderen van een bij een persoon behorende set persoonsgegevens. (ApplicationService) Identiteitbeheer Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring Een Identity Provider die de identificatie en authenticatie van eindgebruikers delegeert aan een Authenticerende Identity Provider. (ApplicationComponent) Delegerende IdP ApplicationService Authenticatieproxy Het afbeelden van een set credentials op een andere set credentials. (ApplicationService) Identity mapping Beschrijft de generieke functies die relevant zijn bij het realiseren en gebruik van een gekwalificeerde digitale identiteit ten behoeve van toegang (identiteitsverklaring). (Grouping) Inrichten Identity & Access Management (IAM) Proces dat digitale identiteiten tot stand brengt (en onderhoudt/actualiseert) voor entiteiten. (BusinessProcess) Identiteitenbeheer Voorziening waarmee digitale identiteiten worden aangemaakt, verwerkt en eventueel vernietigd. Deze ondersteunt het identiteitenbeheer. (ApplicationComponent) Identiteitsbeheervoorzi- ening Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring. (BusinessObject) Gekwalificeerde digitale identiteit Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? (BusinessProcess) Authenticatie Voorziening waarmee Authenticatiemiddelen worden uitgegeven, ingenomen en vernietigd. (ApplicationComponent) Authenticatiemidde- lenvoorziening Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. (BusinessObject) Identiteitsverklaring Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT-voorzieningen. (BusinessProcess) Autorisatie Voorziening waarmee de toegang van digitale identiteiten kan worden verbreed of beperkt, d.m.v. van rechten. (ApplicationComponent) Autorisatievoorzieni- ng Een systeem dat voor gebruikers relevante gegevens of programmatuur beheert en beschikbaar stelt. (ApplicationComponent) Dienst SpecializationRelationship SpecializationRelationship AccessRelationship R AccessRelationship R SpecializationRelationship AccessRelationship W AccessRelationship R AccessRelationship W AccessRelationship R SpecializationRelationship SpecializationRelationship ServingRelationship SpecializationRelationship ServingRelationship AccessRelationship W SpecializationRelationship SpecializationRelationship AccessRelationship W ServingRelationship AccessRelationship R AccessRelationship W ServingRelationship AccessRelationship R ServingRelationship Deze svg is op 21-04-2026 21:21:01 CEST gegenereerd door ArchiMedes™ © 2016-2026 ArchiXL. ArchiMedes 21-04-2026 21:21:01 CEST




   
   
   


Informatieobjecten[bewerken]

Gekwalificeerde digitale identiteit

Gegevens betreffende de digitale representatie is van een persoon. Een identiteit die als basis kan worden gebruikt voor een gekwalificeerde verklaring.

Identiteitsverklaring

Uitkomst van een authenticatie die is uitgevoerd door een vertrouwde partij. De identiteitsverklaring is het resultaat van een identiteitstoets. In de verklaring staat wat de identiteit is en met welk betrouwbaarheids-niveau de identiteit is vastgesteld. De identiteitsverklaring bevat de attributen waarover de verklaring gaat. Het betrouwbaarheidsniveau maakt deel uit van de Identiteitsverklaring; soms is deze meta-gegeven in de verklaring opgenomen. Een Wettelijk Identiteitsbewijs is een door de overheid afgegeven Identiteitsverklaring.
NORA (concept): Een gekwalificeerde verklaring over een digitale identiteit.

Referentiecomponenten[bewerken]

Authenticerende IdP

Een Identity Provider die de identificatie en authenticatie van eindgebruikers uitvoert. De Authenticerende Identity Provider beschikt hiervoor over authenticatiemiddelenvoorziening.

De Authenticerende Identity Provider geeft een identiteitsverklaring af aan een Delegerende Identity Provider, Federatieve Hub of een Dienst met SSO waarmee deze een vertrouwensrelatie heeft.

Bronsysteem identiteiten

Een systeem dat de registratie, het beheer en de uitwisseling van persoonsgegevens ondersteunt.

Delegerende IdP

Een Identity Provider die de identificatie en authenticatie van eindgebruikers delegeert aan een Authenticerende Identity Provider.

De Delegerende Identity Provider fungeert als authenticatieproxy, past identity mapping toe en geeft een identiteitsverklaring af aan een Federatieve Hub of een Dienst met SSO waarmee deze een vertrouwensrelatie heeft.

Dienst met SSO

Een Dienst die bij de authenticatie van eindgebruikers gebruikt maakt van een Identiteitsverklaring afgegeven door een (Authenticerende of Delegerende) Identity Provider of een Federatieve Hub.

De Dienst met SSO verzorgt daarnaast de autorisatie van eindgebruikers en beschikt hiervoor over een eigen register van identiteiten en een autorisatievoorziening.

Federatieve hub

De Federatieve hub vervult een hubfunctie tussen functie tussen (Authenticerende of Delegerende) Identity Providers en Diensten met SSO.

Van een Identity Provider ontvangt de Federatieve hub een Identiteitsverklaring. Deze kan worden doorgestuurd naar een Diensten met SSO.

Deze uitwisselingen vinden alleen plaats met Identity Providers en Diensten met SSO waarmee de Federatieve hub een vertrouwensrelatie heeft.

De federatieve hub zorgt voor ontkoppeling van Identity Providers en Diensten met SSO. Alle deelnemers van de federatie hebben een vertrouwensrelatie. Door deze vertrouwensrelatie kan gebruik worden gemaakt van een identiteitsverklaring die door een andere organisatie wordt verstrekt wat SSO mogelijk maakt. De federatieve hub zorgt voor routering van de Identiteitsverklaringen.

Identity provider

Een systeem waarin identiteiten worden geregistreerd en op basis van die identiteiten identiteitsverklaringen beschikbaar worden gesteld.

Vervult de functie van het authenticeren van een natuurlijk persoon op basis van het authenticatiemiddel / de authenticatiemiddelen die deze presenteert en vervolgens een verklaring/bewering kunnen leveren aan de dienst/afnemer. Is ook verantwoordelijk voor het onderhouden van geldige en actuele identiteitsinformatie en attributen.

Wallet

Een component die gebruikt wordt door zijn houder om verifieerbare credentials en cryptografische sleutels aan te vragen, op te slaan, uit te geven, te tonen en te beheren. Credentials en sleutels kunnen op verschillende manieren worden beheerd en opgeslagen, onder andere op een lokaal apparaat, in een zelf-gehoste service of in een externe dienst van een derde partij. (OpenID for Verifiable Credential Issuance)

Applicatieservices[bewerken]

Authenticatiebeheer

Ondersteuning bij het aanmaken, onderhouden en verwijderen van persoonsgebonden authenticatiemiddelen.

Authenticatiebeheer kan het gebruik van extra authenticatiemiddelen voor multi-factor authenticatie ondersteunen.

Authenticatieproxy

Beheer (inzage en controle doorgifte)

Identiteitbeheer

Het opslaan, actualiseren, uitwisselen, verwijderen van een bij een persoon behorende set persoonsgegevens.

Identiteitcreatie

Het aanmaken van een bij een persoon behorende set persoonsgegevens.

Identiteitregistratie

Het vastleggen van een credential of set van credentials die een persoon uniek kan identificeren, optioneel aangevuld met andere persoonsgegevens.

Identity mapping

Het afbeelden van een set credentials op een andere set credentials.

Protocoltranslatie

Functie om volgens een bepaalde voorschriften een voorspelbare en betrouwbare translatie van een protocol uit te kunnen voeren, bijvoorbeeld van SAML naar OpenID Connect.

Pseudonimiseren

Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem).

Registratie authenticatiediensten en diensten

SSO-relatiebeheer

Onderhouden van relaties met aangesloten uuthenticerende identiteitsproviders, federatieve hubs en diensten, op bestuurlijk, juridisch, financieel, operationeel, informatietechnisch en technisch niveau.

Single Sign-On (SSO)

Single Sign-On (SSO) is een authenticatieschema waarmee een gebruiker zich met een enkele ID kan aanmelden bij verschillende gerelateerde, maar onafhankelijke diensten.

Step-up authenticatie

Een dienstaanbieder kan mogelijk meerdere diensten bieden met een verschillend risicoprofiel. Omdat een hoger risicoprofiel een hoger betrouwbaarheidsniveau vereist en dit een negatieve impact heeft op de gebruikerservaring, kan een dienstaanbieder gebruikers op verschillende betrouwbaarheidsniveaus laten authenticeren. Bij step-up heeft er een authenticatie plaatsgevonden op een lager niveau voor een dienst met een lager risicoprofiel en moet de gebruiker zich authenticeren op een hoger betrouwbaarheidsniveau om gebruik te kunnen maken van een dienst met een hoger risicoprofiel.

Een referentiemodel voor een specifieke invulling van een toepassingsscenario.

Naar de pagina met de definitie van ‘inrichtingsscenario’

Een verzameling van kenmerkende eigenschappen van een object.

Naar de pagina met de definitie van ‘identiteiten’

Een verzameling van kenmerkende eigenschappen van een object.

Naar de pagina met de definitie van ‘identiteit’

Een individueel menselijk wezen dat dood of levend kan zijn maar niet denkbeeldig.

Naar de pagina met de definitie van ‘persoon’

Een natuurlijk persoon die op grond van een overeenkomst werkzaam is voor een onderwijsorganisatie.

Naar de pagina met de definitie van ‘onderwijsmedewerkers’

Eén of meer gegevens die gezamenlijk bij een object horen en die dat object onderscheiden van andere objecten.

Naar de pagina met de definitie van ‘identifiers’

Een onderwijsgerelateerde organisatie met het aanbieden van onderwijs als doel.

Naar de pagina met de definitie van ‘onderwijsinstellingen’

Een individueel menselijk wezen dat dood of levend kan zijn maar niet denkbeeldig.

Naar de pagina met de definitie van ‘personen’

Een natuurlijk persoon die deelneemt aan een onderwijsactiviteit om zich kennis, vaardigheden en attitudes eigen te maken.

Naar de pagina met de definitie van ‘onderwijsdeelnemers’

Een kenmerk dat is toegekend aan een informatieobject.

Naar de pagina met de definitie van ‘attributen’

Een samenhangend geheel van onderwijs, gericht op de verwezenlijking van welomschreven doelstellingen op het gebied van kennis, inzicht en vaardigheden.

Naar de pagina met de definitie van ‘opleidingen’

Een organisatie die door een onderwijsbestuur is ingesteld voor het verzorgen van onderwijs.

Naar de pagina met de definitie van ‘instellingen’

Het geheel van digitale gegevens en instructies die een computer gebruikt om taken uit te voeren.

Naar de pagina met de definitie van ‘software’

Een entiteit die een bepaalde rol heeft binnen een keten.

Naar de pagina met de definitie van ‘partijen’

Waardedocument dat vastlegt en aantoont dat de bezitter een omschreven opleiding met succes heeft afgerond.

Naar de pagina met de definitie van ‘diploma’

Een verzameling processtappen die wordt getriggerd om een beoogd resultaat te bereiken.

Naar de pagina met de definitie van ‘processen’

Een entiteit die een bepaalde rol heeft binnen een keten.

Naar de pagina met de definitie van ‘ketenpartners’

De reden waarvoor persoonsgegevens moeten worden verwerkt, en die de rechtmatigheid van de verwerking bepaalt.

Naar de pagina met de definitie van ‘grondslag’

Een organisatie die een dienst levert aan een organisatie of een natuurlijke persoon.

Naar de pagina met de definitie van ‘dienstverleners’

De mogelijkheid van een entiteit om een object te benaderen en te gebruiken.

Naar de pagina met de definitie van ‘toegang’

Een entiteit die een dienst afneemt van een dienstverlener.

Naar de pagina met de definitie van ‘dienstafnemer’

Vastgelegde en geformaliseerde beoordeling op basis van een of meer leerresultaten.

Naar de pagina met de definitie van ‘resultaat’

Een privacyprincipe dat inhoudt dat alleen de strikt noodzakelijke hoeveelheid persoonlijke gegevens moet worden verzameld, gebruikt, verwerkt en bewaard.

Naar de pagina met de definitie van ‘dataminimalisatie’

Het vaststellen op basis van identiteitsgegevens of een entiteit c.q. een apparaat behoort bij een identiteit.

Naar de pagina met de definitie van ‘identificeren’

Een entiteit bestaande uit mensen die samenwerken om specifieke doelen te bereiken.

Naar de pagina met de definitie van ‘organisaties’

Een natuurlijk persoon die deelneemt aan een onderwijsactiviteit om zich kennis, vaardigheden en attitudes eigen te maken.

Naar de pagina met de definitie van ‘onderwijsdeelnemer’

Een natuurlijk persoon die op grond van een overeenkomst werkzaam is voor een onderwijsorganisatie.

Naar de pagina met de definitie van ‘onderwijsmedewerker’

De persoon op wie persoonsgegevens betrekking hebben.

Naar de pagina met de definitie van ‘betrokkene’

Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Naar de pagina met de definitie van ‘pseudonimisering’

Eén of meer gegevens die gezamenlijk bij een object horen en die dat object onderscheiden van andere objecten.

Naar de pagina met de definitie van ‘identifier’

Datgene wat je aanwendt om een doel te bereiken.

Naar de pagina met de definitie van ‘middel’

Aanduiding van een kwalificerende eigenschap van een onderwijseenheid.

Naar de pagina met de definitie van ‘niveau’

Het door het Ministerie van OCW erkende opleidingsniveau ten behoeve van opleidingen en vakken van alle onderwijssectoren.

Naar de pagina met de definitie van ‘niveau’

Het werk- en denkniveau dat verwacht wordt bij deelname aan een opleiding in het non-formele onderwijs.

Naar de pagina met de definitie van ‘niveau’

Een natuurlijke persoon die iets gebruikt.

Naar de pagina met de definitie van ‘gebruiker’

Een organisatie die onderwijs aanbiedt en verzorgt en regelt dat aan de gestelde randvoorwaarden wordt voldaan.

Naar de pagina met de definitie van ‘onderwijsorganisatie’

Een ondersteunde voorziening.

Naar de pagina met de definitie van ‘dienst’

Een entiteit bestaande uit mensen die samenwerken om specifieke doelen te bereiken.

Naar de pagina met de definitie van ‘organisatie’

Een combinatie van taken die een entiteit tijdelijk op zich neemt en die afwisselend door verschillende entiteiten kan worden vervuld, aangevuld met bevoegdheden en verantwoordelijkheden.

Naar de pagina met de definitie van ‘rol’

Het schriftelijke verzoek om een leerling toe te laten tot een school en/of een specifieke opleiding op een bepaald niveau.

Naar de pagina met de definitie van ‘aanmelding’

Een entiteit die een bepaalde rol heeft binnen een keten.

Naar de pagina met de definitie van ‘partij’

De mate waarin de inhoud van een bericht of gegeven gegarandeerd kan worden.

Naar de pagina met de definitie van ‘integriteit’

Het geheel van voorzieningen dat nodig is om iets te laten functioneren.

Naar de pagina met de definitie van ‘infrastructuur’

Normatief bedoelde overeenkomst tussen ketenpartners binnen een bepaalde ketensamenwerking over de inrichting van die ketensamenwerking.

Naar de pagina met de definitie van ‘afspraken’

Een middel dat verifieerbare verklaringen over identiteitsgegevens kan verstrekken en gebruikt wordt voor de authenticatie van entiteiten en apparaten met een bepaalde identiteit.

Naar de pagina met de definitie van ‘authenticatiemiddel’

Een persoonlijk gebruikersaccount van applicaties en digitale diensten dat wordt verstrekt aan onderwijsdeelnemers en medewerkers van een onderwijsinstelling.

Naar de pagina met de definitie van ‘schoolaccount’

Het verifiëren of de identiteit die een entiteit of apparaat presenteert daadwerkelijk op een zeker betrouwbaarheidsniveau overeenkomt met de identiteit van de entiteit of apparaat op basis van een of meer authenticatiefactoren.

Naar de pagina met de definitie van ‘authenticatie’

Mate waarin vertrouwen kan worden gesteld in een gegeven gebaseerd op door wie het gegeven is vastgesteld en de mate van zekerheid waarmee dat is gedaan.

Naar de pagina met de definitie van ‘betrouwbaarheidsniveau’

Een vastgelegde waarneming of bewering over een eigenschap van een object.

Naar de pagina met de definitie van ‘gegeven’

Het vaststellen op basis van identiteitsgegevens of een entiteit c.q. een apparaat behoort bij een identiteit.

Naar de pagina met de definitie van ‘identificatie’

Een samenhangend en geïntegreerd geheel van componenten die elkaar wederzijds beïnvloeden.

Naar de pagina met de definitie van ‘systeem’

Programmatuur die online dienst aangeboden en gebruikt.

Naar de pagina met de definitie van ‘systeem’

Een gegeven over een natuurlijk persoon.

Naar de pagina met de definitie van ‘persoonsgegevens’

Het op basis van autorisatieregels bepalen of een entiteit beschikt over de benodigde bevoegdheden voor toegang tot een object en of de daarbij gebruikte apparaten namens deze entiteit de bijbehorende handelingen mogen uitvoeren.

Naar de pagina met de definitie van ‘autorisatie’

Het verstrekken van een bevoegdheid.

Naar de pagina met de definitie van ‘autorisatie’

Een partij die conform hetgeen daarover in het Afsprakenstelsel is vastgelegd één of meer rollen vervult binnen het Netwerk voor Elektronische Toegangsdiensten.

Naar de pagina met de definitie van ‘deelnemers’

Het kunnen bepalen van het (internet)adres waar een functie aangeroepen kan worden.

Naar de pagina met de definitie van ‘routering’

Een individueel menselijk wezen dat dood of levend kan zijn maar niet denkbeeldig.

Naar de pagina met de definitie van ‘natuurlijk persoon’

Een middel dat verifieerbare verklaringen over identiteitsgegevens kan verstrekken en gebruikt wordt voor de authenticatie van entiteiten en apparaten met een bepaalde identiteit.

Naar de pagina met de definitie van ‘authenticatiemiddelen’

Een natuurlijke persoon of organisatie aan wie gegevens worden verstrekt.

Naar de pagina met de definitie van ‘afnemer’

Een entiteit die een dienst afneemt van een dienstverlener.

Naar de pagina met de definitie van ‘afnemer’

Een functioneel onderdeel van een systeem, bestaande uit meerdere elementen.

Naar de pagina met de definitie van ‘component’

Actief artefact dat geautomatiseerd handelingen uitvoert namens een entiteit.

Naar de pagina met de definitie van ‘apparaat’

Een set van regels en afspraken voor de representatie van gegevens, signalering, authenticatie en foutdetectie, nodig voor het verzenden van informatie tussen systemen.

Naar de pagina met de definitie van ‘protocol’

De specificatie van een proces of een (daaruit samengestelde) workflow en de uitvoerder van elke handeling daarin.

Naar de pagina met de definitie van ‘procedure’

Een vastgelegde waarneming of bewering over een eigenschap van een object.

Naar de pagina met de definitie van ‘gegevens’

Een organisatie die een dienst levert aan een organisatie of een natuurlijke persoon.

Naar de pagina met de definitie van ‘dienstaanbieder’

Een natuurlijke persoon die iets gebruikt.

Naar de pagina met de definitie van ‘gebruikers’

Mate waarin vertrouwen kan worden gesteld in een gegeven gebaseerd op door wie het gegeven is vastgesteld en de mate van zekerheid waarmee dat is gedaan.

Naar de pagina met de definitie van ‘betrouwbaarheidsniveaus’
Overgenomen van "https://rosa.wikixl.nl/index.php?title=Doorgifte_identiteiten&oldid=155470"