Richtlijnen bepalen vereist betrouwbaarheidsniveau

Het Forum voor Standaardisatie heeft een handreiking om de classificatie van betrouwbaarheidsniveau door de datadienstaanbieder (zie deze link) te ondersteunen. Om een beeld te schetsen van wat erbij komt kijken voor een datadienstaanbieder om het nodige betrouwbaarheidsniveau van haar datadienst te bepalen wordt wat context van de handreiking hier gepresenteerd. Voor een volledig beeld, zie de handreiking zelf.

Bron: Forum Standaardisatie – Betrouwbaarheidsniveaus voor digitale dienstverlening

In het classificatiemodel ziet u verschillende criteria. Ze zijn gekoppeld aan de betrouwbaarheidsniveaus. Bekijk vervolgens welke criteria van toepassing zijn op uw dienst. Sommige criteria scoren misschien laag, andere substantieel. De hoogste score bepaalt het gewenste betrouwbaarheidsniveau voor uw gehele dienst.

De volgende criteria zijn relevant om het betrouwbaarheidsniveau van uw dienst in te schalen:

  1. Worden persoonsgegevens verwerkt (zie subparagraaf 4.1.1)? Zo ja:

  • wat is de aard van de te beschermen gegevens? Worden er ook bijzondere persoonsgegevens verwerkt? Wordt het burgerservicenummer (BSN) of bijvoorbeeld medische gegevens verwerkt?

  • wat zijn de relevante kenmerken van de verwerking zelf?

  1. Wat zijn de rechtsgevolgen van het gebruik van uw dienst (zie subparagraaf 4.1.2)?

  2. Worden er basisregistratiegegevens gewijzigd door uw dienst (zie subparagraaf 4.1.3)?

  3. Hoe groot is het economisch belang bij uw dienst (zie subparagraaf 4.1.4)?

  4. Hoe groot is het publiek belang bij uw dienst (zie subparagraaf 4.1.5)?

In de onderstaande tabel wordt een overzicht gegeven (op basis van de handreiking van Forum Standaardisatie) van welke criteria een invloed hebben op het bepalen van een juist betrouwbaarheidsniveau). Een datadienstaanbieder kan onderstaande criteria gebruiken bij het bepalen van het vereiste betrouwbaarheidsniveau van haar dienst. Het DSGO volgt de betrouwbaarheidsniveaus zoals gedefinieerd in eHerkenning, zie Betrouwbaarheidsniveaus.

De criteria zijn op basis van het Forum voor Standaardisatie (zie deze link), en zijn gemapt op de eHerkenning betrouwbaarheidsniveaus. Merk op dat eH2+ hier gerelateerd is aan eIDAS laag omdat behalve de sterkte van authenticatie (2FA), de andere onderdelen van eH2+ aan eIDAS laag relateren.

Betrouwbaarheidsniveau volgens eHerkenning

Criteria voor bepalen vereist betrouwbaarheidsniveau volgens Forum voor Standaardisatie

Betrouwbaarheidsniveau volgens eHerkenning

Criteria voor bepalen vereist betrouwbaarheidsniveau volgens Forum voor Standaardisatie

Geen eisen aan authenticatie

  • Geen verwerking persoonsgegevens (klasse 0)

  • Geen BSN

  • Geen rechtsgevolg

  • Geen wijzigingen in basisregistratie

  • Economisch belang nihil

  • Publiek belang niet van toepassing

eH2+

  • Persoonsgegevens maximaal klasse 1

  • BSN zelf verstrekt of impliciet in authenticatie

  • Mogelijk indirect rechtsgevolg

  • Alleen wijziging van niet risicovolle basisregistratiegegevens

  • Gering economisch belang

  • Publiek belang laag

eH3

  • Persoonsgegevens maximaal klasse 2

  • Verzwarende factor voor persoonsgegevens bovenop klasse 1 (aard verwerking)

  • BSN verwerkt in combinatie met aanvullende persoonsgegevens

  • Direct rechtsgevolg

  • Opgeven of wijzigen van basisregistratiegegevens die niet onder hoog vallen

  • Gemiddeld economisch belang

  • Gemiddeld publiek belang

eH4

  • Persoonsgegevens klasse 3

  • Verzwarende factor voor persoonsgegevens bovenop klasse 2 (aard verwerking)

  • BSN verwerkt in combinatie met aanvullende persoonsgegevens

  • Direct creëren, muteren of effectief beëindigen van (authentieke) basisregistratiegegevens

  • Groot economisch belang

  • Groot publiek belang