Betrouwbaarheidsniveau (Level of assurance)

In datadiensten is het authenticeren van de identiteit van een menselijke datadienstgebruiker (namens zichzelf of namens partij, zie Authenticatie op datadienstniveau) tot op een bepaalde mate van betrouwbaarheid van belang. Bij het ontwerpen van een datadienst moet een datadienstaanbieder bepalen welk betrouwbaarheidsniveau voor de dienst nodig is afhankelijk van de invulling van haar eigen datadienst.

Voorbeeld: Een datadienst, die toegang tot data mogelijk maakt, kan afhankelijk van de inhoud van de data verschillende betrouwbaarheidsniveaus vereisen:

  • Als de data het BIM-model van een gebouw van het ministerie van Defensie betreft dan zal de datadienstaanbieder o.a. een zeer hoge maten van zekerheid nodig hebben in de authenticiteit van de datadienstgebruiker omdat het om zeer gevoelige data gaat.

  • Als de data de locaties van alle lantarenpalen in een regio betreft kan de datadienstaanbieder kiezen om een mindere mate van zekerheid in de authenticiteit van de datadienstgebruiker te accepteren als dit de kosten verminderd en gebruikers ervaring versimpeld omdat het om minder gevoelige data gaat.

Forum Standaardisatie heeft een handreiking om partijen hierin te ondersteunen (zie deze link). Deze handreiking biedt richtlijnen voor datadienstaanbieders, bij het classificeren van haar datadiensten en het bepalen van het juiste nodige betrouwbaarheidsniveau. De richtlijnen zijn bedoeld voor overheidspartijen en gebaseerd op Europese wetgeving (eIDAS), de bijbehorende uitvoeringsbesluiten en de nationale wet- en regelgeving. In de eerste helft van 2024 wordt een geüpdatete handreiking verwacht welke beter toepasbaar zal zijn buiten het publieke domein. In de onderstaande figuur wordt weergegeven hoe de classificatie van het nodige betrouwbaarheidsniveau van een dienst bepaald kan worden, en de relatie met authenticatiemiddelen die door een menselijke datadienstgebruiker kan worden ingezet.

Het forum voor standaardisatie hanteert de termen elektronische dienst en middelen waar binnen DSGO de term datadienst en authenticatiemiddelen wordt gebruikt.

image-20240408-100441.png
Datadienstaanbieders classificeren het nodige betrouwbaarheidsniveau per datadienst. Authenticatiemiddelen van de datadienstgebruiker geven een bepaalde mate van betrouwbaarheid in de digitale identiteit. Bron: Forum voor Standaardisatie, Betrouwbaarheidsniveaus voor digitale dienstverlening

Het DSGO volgt de definities van betrouwbaarheidsniveaus in eHerkenning.

DSGO.Basis: Als een datadienstaanbieder een menselijke datadienstgebruiker wil authenticeren MOET de datadienstaanbieder in de datadienstspecificatie vastleggen welk eHerkenning betrouwbaarheidsniveau nodig is

eHerkenning betrouwbaarheidsniveaus

Hieronder een kort overzicht van de betrouwbaarheidsniveaus van eHerkenning. Voor meer informatie, bijvoorbeeld over de mapping van eIDAS levels naar eHerkenning levels, zie het eHerkenning afsprakenstelsel. De eHerkenning betrouwbaarheidsniveaus zijn de leiddraad in het DSGO normenkader.

Bron: eHerkenning – Betrouwbaarheidsniveaus

eHerkenning heeft 3 betrouwbaarheidsniveaus: EH2+, EH3 en EH4. De dienstverlener waarbij u inlogt, bepaalt het betrouwbaarheidsniveau van zijn online diensten.

Hoe hoger het betrouwbaarheidsniveau, hoe veiliger en betrouwbaarder de toegang en hoe meer zekerheid een dienstverlener krijgt over met wie hij zaken doet. Eigenschappen van eHerkenning op een hoger niveau:

  • meer controlestappen bij uitgifte van een eHerkenningsmiddel

  • inloggen met 2-factorauthenticatie

Dit zorgt voor extra zekerheid over de identiteit en bevoegdheid. Zo weet de dienstverlener zeker om welk bedrijf het gaat en of deze persoon bepaalde zaken mag regelen namens dit bedrijf.