Qualified certificates for electronic seal (QSeal)
Wanneer machines namens partijen geautomatiseerd gegevensuitwisseling opzetten middels een datadienst, moet worden bepaald of de machine (server) namens de partij de juiste autorisatie heeft om gebruik te maken van de datadienst. Hiervoor is het van belang dat de identiteit van de partij namens wie de machine handelt wordt geauthenticeerd. Bij het bepalen van de autorisatie door de datadienstaanbieder is een mate van zekerheid (authenticatie) van de identificatie van de datadienstgebruiker essentieel. Voor dit type datadienstgebruiker is binnen het DSGO gekozen om alleen betrouwbaarheidsniveau hoog te ondersteunen in lijn met de beweging naar veilige digitale diensten.
Voorbeeld: Een machine namens een partij is een server die namens de datadienstgebruiker geautomatiseerd een datadienst initieert bij de datadienstaanbieder om elke 24 uur de laatste productinformatie op te halen.
Authenticatie van een machine van datadienstgebruiker en datadienstaanbieders op datadienst niveau wordt in het DSGO mogelijk gemaakt met QSeals uitgegeven onder de eIDAS verordening. Voor meer informatie over de eIDAS verordening zie de pagina Electronic Identification and Trust Services (eIDAS). Authenticatie JSON Web Tokens (JWTs) die voorzien zijn van zowel informatie voor identificatie als authenticatie zijn getekend door QSeals om de inhoud van de JWT te vertrouwen. Door het gebruik van QSeals is er op Europees niveau rechtszekerheid over de inhoud van JWTs. Voor meer informatie zie de pagina JSON Web Tokens (JWT).
Toelichting keuze QSeal certificaten
Er zijn meerdere mogelijkheden om authenticatie op datadienst niveau te realiseren. Momenteel wordt in praktijk vaak gebruik gemaakt van API keys. In het DSGO is gekozen om gebruik te maken van met QSeals getekende JWTs. QSeals bieden een aantal voordelen vergeleken met API keys. QSeals zijn veiliger, geschikter om in een schaalbaar netwerk te gebruiken ten opzichte van API keys. Verder kunnen QSeals ook worden gebruikt voor onweerlegbaarheidsdoeleinden, waar API keys niet geschikt voor zijn (zie onweerlegbaarheid voor meer informatie). Bovendien is de verwachting dat QSeals in de komende jaren de standaard worden om veilig digitale diensten (bv. een belastingaangifte) mee af te nemen.
In lijn met de eIDAS regulering worden QSeals gebruikt die uitgegeven zijn door gekwalificeerde vertrouwensdienstverleners op de List of Trusted Lists (LOTL). Certificaten onder de eIDAS verordening (o.a. QSeals) worden uitgegeven door vertrouwde uitgevers die de identiteit van de aanvrager zorgvuldig controleren.
Merk op, sommige uitgevers op de LOTL bieden een dienst op basis van een QSeal, waarbij het QSeal certificaat niet direct beschikbaar wordt gesteld aan de aanvrager. Deze diensten zijn niet geschikt voor gebruik in het DSGO.
Datadiensten in het Publieke Domein
Datadienstaanbieders binnen de Nederlandse publieke sector dienen ook de autorisatie van machines handelend namens partijen te verifiëren. Bijvoorbeeld voor datadiensten van het Omgevingsloket. De Generieke Digitale Infrastructuur (GDI) biedt bouwstenen voor datadiensten van publieke dienstverleners. Daarbij worden PKI-Overheid certificaten gebruikt voor authenticatie op dezelfde manier als QSeals binnen het DSGO. Het DSGO bevat op dit moment geen additionele eisen voor datadiensten binnen de scope van GDI. Zie voor meer informatie bijvoorbeeld de website van GDI en de Digikoppeling REST API specificatie.