certificering
2020/01/29

Voorwaarden voor toegang tot iSHARE

Als bedrijven eenmaal lid zijn van de iSHARE-gemeenschap, verloopt het delen van data een stuk sneller, gemakkelijker en vooral veiliger. Maar lidmaatschap is niet geheel vrijblijvend. Bedrijven moeten aan bepaalde voorwaarden voldoen. Dat geldt zeker voor de partijen die een prominente rol vervullen als identiteitsprovider of autorisatieregister.

iSHARE maakt onderscheid tussen twee soorten deelnemers. De grootste groep deelnemers bestaat uit organisaties die met ketenpartners data willen delen conform het afsprakenstelsel: de ‘adhering parties’. Daarnaast zijn organisaties nodig die binnen het afsprakenstelsel een prominente rol vervullen als identiteitsprovider of autorisatieregister. Dit zijn de ‘certified parties’. 

Deelname aan iSHARE is niet vrijblijvend; zeker niet voor certified parties maar ook niet voor adhering parties. Voordat adhering partiers kunnen starten met het delen van data, dienen ze een overeenkomst te tekenen met de Stichting iSHARE. Met het plaatsen van hun handtekening verbinden zij zich aan de voorwaarden die gesteld zijn alle gebruikers van iSHARE. 

Digitaal certificaat

Vervolgens hebben alle adhering partiers een PKIO- of eIDAS-certificaat nodig. Beide digitale certificaten, die vergezeld gaan van een unieke ‘private key’, worden binnen iSHARE gebruikt voor identificatie en authenticatie. “Een dergelijk certificaat bewijst in het digitale verkeer dat je bent wie je zegt dat je bent”, vertelt business architect Marnix Vermaas van Visma, het bedrijf dat verantwoordelijk is voor het beheer van iSHARE. 

PKIO staat voor public key infrastructure overheid. Dit is het afsprakenstelsel van de Nederlandse overheid voor de uitgave en het beheer van digitale certificaten. PKIO is compatibel met eIDAS, een soortgelijk afsprakenstelsel van de Europese Unie. Beide certificaten inclusief de unieke private key worden door gecertificeerde organisaties uitgereikt aan een tekenbevoegd persoon van het bedrijf. Elk bedrijf kan er één aanvragen, een KvK- en EORI-nummer volstaat. “Maar vaak hebben bedrijven al een PKIO- of eIDAS-certificaat. Dat hebben ze bijvoorbeeld nodig om digitaal aangifte te doen bij de Belastingdienst”, licht Vermaas toe.

Testprotocol

Als het digitale certificaat in orde is, voert Visma met het betrokken bedrijf een testprotocol uit. Daarmee controleert de beheerder van het afsprakenstelsel of de systemen van het bedrijf daadwerkelijk volgens het afsprakenstelsel werken. “Tijdens de test doorlopen we een aantal scenario’s. We controleren onder meer of de authenticatieprocedure correct wordt doorlopen en of API’s correct worden aangeroepen. En of de systemen een foutmelding geven als iets niet goed gaat”, vertelt Vermaas, die duidelijk maakt dat de test meer is dan een formaliteit. “De test helpt bedrijven en hun implementatiepartners om de oorzaak van fouten te achterhalen en te verhelpen.”

Als de test succesvol is doorlopen, gaat de overeenkomst naar de voorzitter van de Stichting iSHARE. Als die zijn handtekening heeft gezet, is de organisatie definitief deelnemer van iSHARE. “De hele procedure is minder tijdrovend dan veel bedrijven denken. Natuurlijk moeten ze hun systemen wellicht aanpassen en API’s implementeren, maar met hulp van de iSHARE Implementatiepartners hoeft dat niet ingewikkeld te zijn. Als dat eenmaal is gebeurd, kunnen bedrijven vrij snel deelnemer worden”, aldus Vermaas.

Grote verantwoordelijkheid

Een stuk complexer is de procedure voor certified parties als Secure Logistics (identiteitsprovider) en Poort8 (autoriteitsregister). Voor de verschillende rollen die deze partijen kunnen bekleden, zijn eveneens testprotocollen ontwikkeld. Die zijn echter een stuk uitgebreider, verzekert Vermaas. “Deze partijen hebben binnen het afsprakenstelsel een enorm grote verantwoordelijkheid. In het autorisatieregister bijvoorbeeld kunnen bedrijven vastleggen welke ketenpartner welke data mag gebruiken. Het mag niet voorkomen dat een ketenpartner door een verkeerde autorisatie toegang tot andere data krijgt dan de bedoeling was. Daarvoor hebben we uitgebreide testsoftware ontwikkeld.”

Daarnaast gelden voor certified parties aanvullende eisen. Die betreffen onder meer de continuïteit en de betrouwbaarheid van de organisatie. Die moet onder meer procedures hebben opgesteld voor bijvoorbeeld back-ups, voorkomen van storingen, communicatie met gebruikers, etc. Ze moeten maatregelen nemen zodat de vastgelegde data goed zijn beschermd. Ze moeten de rollen binnen de organisatie zo inrichten, dat niet elke medewerker toegang heeft tot alle data. “Daarnaast zijn eisen gesteld aan de continuïteit. Wij willen voorkomen dat een autorisatieregister over twee maanden weer uit de lucht is en bedrijven geen toegang meer hebben tot hun autorisaties. In feite komt het erop neer dat certified parties moeten voldoen aan dezelfde eisen als voor een ISO 27001-certificaat.”

Conflict

Wat nu als conflicten ontstaan omdat één van de partijen bij een uitwisseling van data niet de afspraken navolgt? “Ook daarin is door iSHARE voorzien”, zegt Vermaas. “Als tussen twee partijen conflicten ontstaan, kijken we eerst of ze er samen uitkomen, eventueel na bemiddeling door iSHARE. Als dat geen oplossing oplevert, is conform de voorwaarden in de overeenkomst het Nederlands recht van toepassing. In het uiterste geval kan de Stichting iSHARE het lidmaatschap van een partij ontnemen en die partij schrappen uit het iSHARE-register.