Afspraken in de keten om veiligheid te garanderen bij Gegevensuitwisseling
- Download in MP4 HD formaat MP4 HD | 746.8 MB
*Muziek speelt*
Titel in beeld: Remote Roadshow oktober 2022
Titel in beeld: Afspraken in de keten om veiligheid te garanderen bij Gegevensuitwisseling
En dat betekent dat ik de tafel vrijmaak voor twee nieuwe gasten.
We gaan praten over afspraken in de keten om veiligheid te garanderen...
bij gegevensuitwisseling.
Afspraken in de keten om veiligheid te garanderen bij gegevensuitwisseling.
Meer proceswoorden kan ik in een zin niet uitspreken...
dus ongelooflijk belangrijk dat we hier induiken.
En Theo, dat je me een beetje helpt. Wij kunnen dit samen.
Dat hoop ik, ja. Kijk, ook ik heb m'n beperkingen...
en dat is misschien wel het onderwerp waar ik in eerste instantie minder van weet...
En als je het ingewikkeld vindt, dat is ook helemaal niet erg.
Want er is een chat aan de rechterkant van je scherm.
Je kijkt naar de Logius Remote Roadshow als je net pas bent ingehaakt.
Dit is een interactieve talkshow en dat betekent dat er zes collega's van Logius...
achter de schermen zitten om de chat bij te houden.
En de beste vragen willen ze heel graag doorsturen naar mij.
Dus stel je goede vraag. Thomas Hombergen en René Cham zijn bij mij aangeschoven.
Beide van harte welkom. Jullie zijn Business Consultant Gegevensuitwisseling.
En we gaan praten over die veiligheid van die gegevensuitwisseling.
Waar hebben het dan over als ik het woord gegevensuitwisseling gebruik, Thomas?
Eigenlijk zegt dat het al. Het gaat over uitwisselen van gegevens...
maar dan in digitale zin. -Van wie en aan wie, denk ik dan direct.
Dat is een hele goeie. Logius zit in een keten van deelnemende partijen.
En dat zijn bedrijven, dat zijn overheden, dat zijn ook andere organisaties.
Die wisselen gegevens met elkaar uit.
En Logius biedt daarin voorzieningen, technische voorzieningen...
om dat te ondersteunen. En dan moet je denken aan een Digipoort...
die eigenlijk als een soort postcentrale functioneert.
Digimelding, Digilevering, die met de basisregistraties te maken hebben.
En zoals net al in het voorgesprek...
hebben we ook met afsprakenstelsels te maken bij gegevensuitwisseling.
Stelsel voor Basisregistratie is er een van...
en een tweede voorbeeld is de Standard Business Reporting.
Dat is de nationale standaard om gegevens vanuit bedrijven...
met ons bijvoorbeeld uit te wisselen met de overheid.
Maar ook banken maken gebruik van Standard Business Reporting.
Dus publiek, privaat zitten daar aan tafel.
Als mijn accountant een berichtje stuurt over m'n bedrijf naar de Belastingdienst...
moet dat aan bepaalde afspraken voldoen. =-Ja.
En het kan heel goed zijn dat wij daar een schakel zijn in die keten.
Goed te weten, ik zal het hem zeggen.
Dus daar hebben we 't over. De voorzieningen die jullie aanbieden.
De afsprakenstelsels eronder en de standaarden die van toepassing zijn.
Dat is zeker waar, ja.
Ook standaarden die bijvoorbeeld op de 'Pas toe of leg uit'-lijst staan...
die passen wij toe bij onze voorzieningen.
Een voorbeeld is dan de Digikoppeling-standaard...
waarbij eigenlijk de verpakking van een bericht bepaald wordt.
En daar houden we dan rekening mee. =-Ja. we willen begrijpen Wat dat Dan is...
maar we willen ook leren begrijpen hoe het veilig is.
Want veiligheid is het centrale thema.
Je noemde al Digipoort. Ik had net een gesprek over Diginetwerk.
Het is prettig dat het woord digi overal aan geplakt wordt.
Maar wat is de Digipoort dan precies?
Dat kun je, denk ik, het beste vergelijken met een PostNL of een postbedrijf.
Alleen dan niet voor fysieke berichten, maar juist digitaal.
Wat wij ontvangen, zijn berichten van bijvoorbeeld een bedrijf.
Wij sorteren dat, we controleren op een aantal kenmerken.
Dan is bijvoorbeeld al afgesproken welke controles er moeten plaatsvinden.
Als hij erdoor komt, wordt er een bericht afgeleverd bij de ontvangende partij.
Het is ook tweerichting, dus we bieden ook berichten aan vanuit de overheden...
om opgehaald te worden door een ondernemer.
Nou, dan kun je denken aan bijvoorbeeld vooraf ingevulde aangiftegegevens...
die je voor je belastingaangifte gebruikt.
Maar we verwerken eigenlijk heel veel soorten berichten...
van verzuimmeldingen voor het UVW, jaarrekeningen, et cetera.
Dus dat zijn de typen berichten waar het dan over gaat.
En dat zijn er dan dus miljoenen per week die daar overheen gaan.
Het zijn er heel veel.
Het afgelopen jaar hebben we bijna 900.000 jaarrekeningen voor de KVK verwerkt.
Ja, bijvoorbeeld, om maar wat te noemen.
Dat stelsel van basisregistratie is dus een afsprakenstelsel.
René, daarvoor schuif jij aan. Wat kun jij daar dan over vertellen?
Allereerst om een beetje een beeld te geven...
van wat het stelsel van basisregistratie eigenlijk is.
Nou, als we eens beginnen met de basisregistraties.
Dat zijn door de overheid ingestelde registraties...
die verplicht gebruikt moeten worden...
door overheidsinstellingen. En daar hebben we er dus tien van.
Bijvoorbeeld de gegevens bij de Kamer van Koophandel is er een van.
Handelsregister, bijvoorbeeld. -Handelsregister. Ja, precies.
Basisregistratie Personen, maar bijvoorbeeld ook het Kadaster.
En die losse basisregistraties moeten een geheel vormen.
En Logius heeft stelseldiensten.
Aan de hand van de stelseldiensten vormt het een geheel.
Ofwel een stelsel van basisregistraties. -Juist, en dat is het stelsel...
en dat stelsel, daar ligt dan een afsprakenstelsel onder?
Hoe moet ik dat zien? Je hebt bedacht hoe die tien moeten samenwerken...
of hoe we die tien moeten gebruiken?
Nou kijk, hoe je het moet zien is, we hebben een drietal stelselvoorzieningen.
En daarnaast ook wat kennisdiensten. Dat zijn de stelseldiensten.
Aan de hand van de stelselvoorzieningen en kennisdiensten...
zorgen we ervoor dat de gegevens worden uitgewisseld...
tussen de verschillende partijen.
Daarnaast wordt ook de juistheid geborgd aan de hand van de stelseldiensten.
En worden gebruikers ondersteund in het gebruik van de data...
binnen het stelsel van basisregistraties.
Dat duurde lang. Een goede uitwisseling was ingewikkeld tussen die basisregistraties.
Men dacht: Ik word benaderd door de ene overheid...
vanuit mijn perspectief als burger.
Dat is diezelfde burger die in een gemeente woont waar nu iemand van kijkt.
Ik word benaderd als burger en denk: Dat weet de overheid toch van mij?
En het antwoord van de overheid is: We krijgen dat niet uitgewisseld.
Daar zijn we nu dus wel? =-Jawel.
Dat we goed kunnen uitwisselen? -Ja, klopt.
Maar dat willen we dus veilig doen.
Want veiligheid is het thema van deze bijeenkomst.
Klopt, ja. Klopt. =-hoe geef je daar Dan invulling aan?
Dat die gegevensuitwisseling veilig verloopt?
Waar we het sowieso over hebben, is data wordt uitgewisseld...
tussen dataverstrekkers en dataverwerkers.
En ik zou eigenlijk graag, als we het hebben over gegevensuitwisseling...
het willen toespitsen, veiligheid willen toespitsen op...
beschikbaarheid, integriteit en vertrouwelijkheid.
Zal ik daarop inbreken? =-Ja.
Beschikbaarheid, integriteit en vertrouwelijkheid. Die woorden doen iets.
Nou ja, die drie samen, de BIV, maar ik zou niet in afko's gaan praten.
Die drie samen maken eigenlijk wat informatiebeveiliging is.
Dus de B, beschikbaarheid, dat is niet alleen: Is een dienst beschikbaar...
maar is het op de juiste manier beschikbaar wanneer het beschikbaar moet zijn?
Dus daar maak ik me ook druk over.
De I, integriteit: Klopt de data wel?
Nou, de link met als jij inlogt bij MijnOverheid...
en jij ziet dat jouw partner niet klopt, dit is misschien een slecht voorbeeld...
maar dan kun je een melding maken dat dat niet klopt.
We zijn tien jaar getrouwd, het klopt al jaren. Gaat super.
Ik kan goed slechte voorbeelden verzinnen, maar bij wijze van spreken.
Je kunt dus zorgen dat als er een fout staat in zo'n register...
kun je dat via een voorziening van ons terugbrengen.
En de vertrouwelijkheid, dat kan publiek zijn...
als het gaat over de data van het Kadaster, dat is gewoon publiek beschikbaar.
Maar er zijn ook vertrouwelijke punten. En die drie samen maken eigenlijk...
waar ik me altijd mee bezig hou.
Dus als jij nadenkt over hoe kunnen we nu veilig gegevens uitwisselen...
doe je dat op basis van die drie criteria? Je denkt steeds: Wat betekent veiligheid...
voor de beschikbaarheid, voor de integriteit en voor de vertrouwelijkheid?
Klopt. =-daar gaat Het over.
Maar hoe draagt dan die stelseldienst bij aan die criteria?
Aan die beschikbaarheid, integriteit en vertrouwelijkheid? Hoe werkt dat?
Als het gaat over de invulling van de beschikbaarheid...
integriteit en vertrouwelijkheid...
dan hebben we de stelselcatalogus en het platformstelsel van basisregistraties.
Daarmee wordt eigenlijk inzicht, overzicht en duiding van overheidsgegevens gegeven.
Dus dat is allereerst een beetje de basis...
om een beetje een beeld te krijgen bij waar we het nou precies over.
Als we het vervolgens hebben over de beschikbaarheid van actuele data...
dan hebben we daar Digilevering voor.
Digilevering, als abonnee kun je op de hoogte gesteld worden...
van wijzigingen in de basisregistraties. Dus stel nou dat je je naam verandert...
of je partner van tien jaar, wat ik net heb begrepen...
als dat verandert... =-Gaan we niet doen.
Denk ik ook niet, maar goed, als daar een wijziging in komt...
dan worden abonnees daar aan de hand van Digilevering van op de hoogte gesteld.
En als laatste, of althans als tweede...
qua integriteit van de data, daar hebben we Digimelding voor.
Digimelding is eigenlijk onze voorziening die ervoor zorgt dat...
zeg maar de juistheid van de gegevens dat we dat borgen en hoe doen we dat?
Ziet een dataverwerker dat er iets niet klopt?
Is er een onjuistheid, dan geeft die persoon dat door aan de dataverstrekker.
Op het moment dat één iemand dus een fout constateert...
dan geeft ie dat door, dat heet dan dus Digimelding.
En dan wordt dat automatisch aangepast omdat het een bronbestand is.
Dus dan gaan automatisch alle gebruikers... -Nou, daar zijn we nog niet.
Dat is wat je zou willen, toch? -Ja, precies.
Maar daar zijn we nog niet. =-Doorontwikkelen. dat doen we ook.
Dus het klopt wel dat ik denk, het is logisch dat we daarheen willen?
Ja, zeker. Zeker. =-Als je Het bronbestand aanpast...
dat alles meeverandert. =-Maar je verandert Het niet.
Degene die het meldt, die meldt het naar degene die het hoort aan te passen.
O ja, dan moet er nog een aanpassing komen.
Ja, want als ik aangeef dat er iets niet klopt aan jouw gegevens...
dan wil je toch ook niet dat ik het voor jou aanpas?
Nee. Dan hebben we nog de integriteit. Hoe werkt dat, Thomas?
Als het gaat over de Digipoort? =-daar heb Ik wel een voorbeeld van.
Want bij het insturen van een bericht willen we eigenlijk vast kunnen stellen...
dat er aan het eind geen aanpassingen zijn geweest.
Dus vanaf het moment dat hij verzonden wordt...
tot we hem kunnen afleveren bij de ontvangende partij.
Dat doen we bijvoorbeeld bij de jaarrekening van middelgrote ondernemingen.
Als die gedeponeerd worden, moet een accountant al een verklaring afgeven.
Verklaart dat het naar waarheid is ingevuld en dat hij het heeft gecontroleerd.
Maar hij moet hem ondertekenen met een digitale handtekening.
En dat heet dan een PKIoverheid Beroepscertificaat.
Die is persoonsgebonden, die is op een persoon afgegeven.
Maar met dat certificaat...
eigenlijk wordt er technisch een unieke sleutel aan het bericht toegevoegd...
dat maakt dat we kunnen controleren of hij nog authentiek is gedurende de rit.
Ja, precies. Want het kan dus zijn dat ie wordt aangepast.
Een hacker zou dat kunnen doen. -Nou, het heeft een juridisch gevolg.
Het is eigenlijk een digitaal briefgeheim. =-Ja. En dat willen we bewaken.
Wij controleren dat het niet onderweg aangepast is.
Het is eigenlijk een maatregel om te voorkomen dat het aangepast kan worden.
Dus inderdaad dat aanpassen, dat maakt dat...
ik zeg nooit dat iets onmogelijk is, maar het wordt wel erg ingewikkeld.
Maar er gaan ook gegevens over het netwerk waar weer persoonsgegevens in zitten.
Dat maakt het nog ingewikkelder, want je wil weten dat die vertrouwelijk blijven.
Hoe heb je dat dan opgelost? =-daar moet je zeker zorgvuldig mee omgaan.
Kijk, in die keten waar wij mee te maken hebben, moet je afspraken maken.
Welke standaarden je gaat toepassen.
En een van die standaarden is dat je een PKIoverheid certificaat benodigd hebt.
Met dat certificaat kan ik een bericht versleutelen...
dus op het moment dat die getransporteerd wordt over het internet, Diginetwerk...
kan in principe niemand lezen wat erin staat. Dus de vertrouwelijkheid.
Juist. Dus dat is de manier waarop je dat kunt doen.
Het grappige is, als we alles volgens de regels doen...
zoals jullie het zelf bedacht hebben, zou het eigenlijk helemaal veilig moeten zijn.
Dat is wel de gedachte. =-Absolute veiligheid bestaat niet.
Absolute veiligheid bestaat niet. Er kunnen dingen binnen stelsels gebeuren.
Met PKIoverheid hebben we een aantal jaar geleden...
ook een groot incident, calamiteit gehad. En dan moet je daar weer op acteren.
Dus we proberen het altijd zo veilig mogelijk te doen.
En hoe leer je daar dan van?
Nou, daar leer je van door dingen die je soms voor niet mogelijk hebt gehouden...
daar leer je van, dat het dus toch kan...
en dan ga je bijvoorbeeld extra toetsmogelijkheden in het proces bakken.
We gaan het straks bijvoorbeeld hebben over multifactorauthenticatie.
Dat maakt het alweer een stuk ingewikkelder.
Dat bestaat al een tijdje, maar ik denk dat we nu wel kunnen leren...
dat als we goed onze gegevens willen beschermen, dat dat wel een stap is...
voor de burger om zichzelf te beschermen.
René, tot slot nog eventjes. We praten hierover.
Jullie vinden het fijn om in deze Roadshow uit te leggen:
dit is hoe wij denken, dit is wat erachter zit.
Er zitten slimme beveiligingsideeën achter. Dit is de borging.
Het is net een gesprek waarin we de motorkap van de auto opendoen...
en zeggen: Kijk, zo werkt het. U kunt deze auto prima vertrouwen.
De vraag die Martijn bijvoorbeeld stelt, is:
PKIoverheid in de private root dan, neem ik aan?
Ik begrijp die vraag niet. =-Zal Ik hem nemen?
In de private root? -Ja, PKIoverheid...
dat is al lange tijd geleden ontstaan en daarmee...
Dit wordt een beetje een technisch verhaal, maar het werkt met certificaten.
En vroeger was dat eigenlijk het groene vinkje in de browser.
Dat is waar de meesten het van kennen en daarom leg ik hem op die manier aan je uit.
En in de browser staan een aantal partijen die vertrouwd zijn.
En als het in die root eigenlijk, dus wat daaronder valt, is uitgegeven...
dan wordt het vertrouwd. Je kunt dat publiek doen.
Dat is de browserkant en je kunt dat privaat doen.
Privaat hebben wij een hele grote, daar zitten heel veel certificaten in.
Alle Digipoort-certificaten of alle certificaten die nodig zijn...
om te kunnen communiceren met Digipoort vallen onder die private root.
De publieke root, daar nemen wij binnenkort afscheid van.
Dus vandaar dat de vraag is: Ja, in de private root en we nemen zelfs afscheid...
We nemen afscheid van de publieke root.
Oké, tot slot voor 2023, wat zit eraan te komen waarvan je zegt:
Daarom was het belangrijk om die motorkap op te tillen en hier zijn we mee bezig.
Even samengevat, voor 2023 gaat Logius steeds meer bewegen richting hetgeen wat...
vanuit het ministerie van Binnenlandse Zaken is omschreven in het toekomstbeeld...
van het stelsel basisregistraties.
En dat houdt in dat we steeds meer gaan werken volgens het principe...
afspraken gaan voor standaarden en standaarden gaan voor voorzieningen.
Er zijn nog wat dingen die ik kan noemen.
Afspraken gaan voor standaarden, standaarden gaan voor voorzieningen.
En als ik nu bij een gemeente of een provincie zit en ik zit te kijken...
wat betekent dat dan voor mij? Moet er iets veranderen?
Nou, het betekent dat we als Logius verschillende standaarden gaan verkennen...
en waar mogelijk toepassen.
Dat we ook gaan werken volgens bepaalde afspraken.
Denk bijvoorbeeld aan afspraken die zijn gemaakt voor direct bevragen.
En dat houdt eigenlijk in, als we toch weer terugkijken naar veiligheid...
dat houdt in dat we de integriteit beter gaan borgen.
Juist. Het wordt dus veiliger. 2023 wordt veiliger.
Goede samenvatting. =-dat is goed nieuws.
René en Thomas, job well done. Dank je wel. Ik begrijp de motorkap een beetje beter.
Dank je wel.