Binnen de Nederlandse overheid zijn DigiD, eHerkenning en eIDAS al jaren de ruggengraat van digitale identiteit en toegang. Ze zijn betrouwbaar, veilig, bewezen en breed ingezet door heel Nederland heen. Tegelijkertijd stoelen deze voorzieningen op een technische basis die steeds minder goed afgestemd is op hoe we vandaag digitale diensten bouwen: SAML 2.0.

Eerlijk is eerlijk, SAML werkt. Het is veilig, veel klassieke webapplicaties zijn erop ingericht om het te ondersteunen en de techniek is door de experts echt goed begrepen. Maar er schuurt wel wat. Ontwikkelaars en beheerders ervaren het vaak als lastig te implementeren en te testen, de uiteenlopende manieren waarop de eHerkenningsmakelaars de standaard implementeren compliceert aansluitingen en updates en het is lastig te combineren met moderne security-patronen zoals “zero trust”. SAML is in de kern ontworpen voor browser-based SSO, niet voor API beveiliging. Voor organsaties die richting API-first architectuur, mobiele apps en microservices bewegen is er echter een passend alternatief: OpenID Connect, ofwel OIDC.

Het team van Vorderingenoverzicht Rijk kreeg een interessante opdracht toen ze werd gevraagd een dienst te ontwikkelen waarin burgers hun openstaande betalingsverplichtingen bij de overheid kunnen inzien. Vanaf de start van het project is de architectuur vormgegeven in lijn met het principe Data bij de Bron. In dit geval betekent dat, dat burgers met de app van Vorderingenoverzicht Rijk bij (nu nog) acht verschillende overheidsorganisaties data kunnen ophalen over hun financiële situatie. Omdat de data rechtstreeks uit de bron komt, wordt data nergens anders opgeslagen of verwerkt.

Ook werkt het team volledig volgens de Common Ground principes, dat het opknippen van functionaliteit in component-gebaseerde applicaties voorschrijft. In dit artikel lees je hoe deze principes het team helpen om succesvol hun doel te bereiken.

Als burger word je regelmatig gevraagd om jouw persoonlijke data te delen. Denk aan je naam en e-mailadres bij digitale dienstverlening, of je adres en geboortedatum bij het aanvragen van een product of dienst, denk aan online winkels of financiële dienstverleners. In het verleden vulde je deze gegevens handmatig in op een (digitaal) formulier, en moest de ontvanger vertrouwen op de juistheid ervan. Andersom moest jij als burger erop vertrouwen dat de ontvangende partij zorgvuldig omging met jouw data. De kern van het delen van data is daarom ook vertrouwen en vertrouwen is nu eenmaal niet zo eenvoudig als delen. Gelukkig zijn er inmiddels veel technieken en patronen die digitaal vertrouwen mogelijk maken.