Het probleem
Met de authenticatiedienst kan de overheid wel controleren wie iemand is, bijvoorbeeld via DigiD, maar niet of die persoon of dat bedrijf bevoegd is. Lastig bijvoorbeeld bij een elektronische belastingaangifte of het deponeren van een jaarrekening bij de Kamer van Koophandel door de accountant. Deze overheidspartijen kunnen er dan niet op vertrouwen of die intermediair wel door zijn cliƫnt gemachtigd is.
De oplossing
Een XBRL bericht dat bij Digipoort (voorheen OTP) binnenkomt, stuurt automatisch een autorisatierequest naar DigiNotar. Die controleert de identiteit van de indiener en de bevoegdheid om te handelen. Bovendien gaat de voorziening na of het middel dat ter authenticatie wordt gebruikt zwaar genoeg is om aan de eisen van de uitvragende partij te voldoen. Deze controle wordt door DigiNotar uitgevoerd op basis van een autorisatieregister waarin intermediairs laten vastleggen voor welke bedrijven zij gemachtigd zijn om berichten naar de overheid in te sturen. Dit geldt natuurlijk alleen voor die berichtstromen waarvan de uitvrager dat vereist.
Vereisten
De verschillende partijen stellen verschillende eisen. Het Centraal Bureau voor de Statistiek (CBS) is bijvoorbeeld al blij als ze een bericht krijgen, maar een ministerie zou bij een subsidieaanvraag een persoonlijke ondertekening en authenticatie door middel van PKIoverheid kunnen verlangen. Bovendien stellen die partijen eigen eisen aan de manier van aanleveren, ze hanteren unieke nummers ter identificatie. Denk aan een Kamer van Koophandel- of een fiscaal nummer. In onze opzet gaan we uit van eenmalig aanleveren, maar ook eenmalig controleren. Dus onze autorisatiedienst moet die uiteenlopende eisen afdekken.