Roadmap Toegangsbeveiliging 2026

1. Doorontwikkeling Digitaal Dossier voor selfservice via het Beheerportaal

In 2025 hebben we de basis gelegd voor een Digitaal ACM-IDM Dossier. Wanneer een toepassing wenst te integreren met ACM en IDM, dient men een aansluitingstraject te doorlopen. De details van dat proces staan uitgeschreven op onze website. Zo’n aansluitingstraject neemt minimaal 8-10 weken in beslag. Het integratiedossier vormt de ruggengraat van het traject: in dat dossier worden alle requirements gecapteerd opdat enerzijds de ACM- en IDM-teams zouden kunnen voorzien in de nodige aansluitingsconfiguratie, en onze partners anderzijds kunnen voorzien in de nodige configuratie-acties langs toepassingszijde. Vandaag is dat integratiedossier een bijzonder lijvig Word-document.

Digitaal Vlaanderen wil zoveel mogelijk inzetten op selfservice, en de ultieme doelstelling van ‘next business day’-aansluitingen honoreren. Een cruciale eerste stap in die richting is het digitaliseren van de integratiedossiers. Vervolgens willen we in dat Digitaal Dossier self-service-modaliteiten gaan aanbieden: we willen dat onze partners zélf hun dossiers kunnen beheren, en autonoom wijzigingen aan hun ACM- en IDM-integraties kunnen doorvoeren.

In 2026 willen we de Digitale Dossiers daadwerkelijk in beheer onderbrengen bij onze partners. Verder willen we functionaliteit toevoegen om de status van je wijzigingen transparant te kunnen tracken in het Beheerportaal. Tenslotte zal aan elk dossier een dossierbeheerder van het Integratieteam gekoppeld worden; op die manier beschikken jullie te allen tijde over een vast contactpunt dat geraadpleegd kan worden bij vragen, issues, et al.

2. Sandbox & token simulator

We willen een dedicated omgeving van ACM opzetten - een ACM Sandbox-omgeving - voor mocking- en testdoeleinden; een omgeving waartegen ontwikkelaars autonoom én automatisch relevante use cases en scenario’s kunnen doortesten met het oog op de identificatie van eventuele regressies.

Ontwikkelaars zullen in de mogelijkheid verkeren om zélf scenario’s te definiëren en automatisch te testen. Cruciaal is dat het op de Sandbox-omgeving niet langer aan de orde zal zijn om een fysieke gebruiker als dusdanig te registreren in de corresponderende authentieke bron (KBO, IDM, …).

3. VO-ICR Compliance

Het VO-ICR (Vlaamse Overheid – Informatieclassificatieraamwerk) is het officiële raamwerk dat de Vlaamse overheid gebruikt om informatie te classificeren op basis van vertrouwelijkheid, integriteit en beschikbaarheid, en om te bepalen welke minimale beveiligingsmaatregelen vereist zijn.

De Veiligheidsbouwstenen van Digitaal Vlaanderen dienen uiteraard volledig compliant te zijn met dit raamwerk.

4. Herwerken logging: debug & audit logs

Als centrale bouwsteen in de referentie-architectuur van de Vlaamse overheid, is het Toegangsbeheer een druk bevraagde component. Bij (potentiële) veiligheidsincidenten op andere toepassingen binnen het ecosysteem van de Vlaamse overheid, dienen de ACM-logs eenvoudig raadpleeg- en doorzoekbaar zijn. Snel schakelen is key.

Om zo wendbaar mogelijk te zijn en maximaal te kunnen ondersteunen bij veiligheidsincidenten, moeten de ACM-logs dan ook structureel herwerkt worden, in het belang van de aangesloten toepassingen binnen het ecosysteem én de betrokkenen.

5. Vervanging DSC door Redis

Het aantal met ACM geïntegreerde toepassingen neemt toe, het aantal gebruikers neemt toe, en het aantal authenticaties neemt toe: kortom, de (piek-) belasting van ACM stijgt continu.

Om het hoofd te bieden aan die immer stijgende belasting, dient de ACM-infrastructuur op continue basis geoptimaliseerd te worden. In de context van dit project willen we ACM robuuster maken door het sessiebeheer structureel te herzien middels de vervanging van de Distributed Session Cache (DSC) door een Redis (Remote Dictionary Server) Cache. Zo wordt ACM nog betrouwbaarder, en zijn we beter bestand tegen piekverkeer en klaar voor de verdere groei van het aantal toepassingen en gebruikers.

6. Redesign van o.a. externe services via dashboard monitoring

ACM raadpleegt bij elke aanmelding verschillende authentieke bronnen (KBO, Verenigingsregister, …) of services (FAS, itsme, …). Die bronnen worden vandaag onvoldoende gemonitord en hebben geen responstijd‑SLA’s, waardoor trage of onbeschikbare bronnen de aanmelding kunnen doen falen.

De manier waarop ACM interageert met de geïntegreerde authentieke bronnen, is nu dus het voorwerp van een structurele redesign. De beschikbaarheid van de bronnen dient verantwoord gemonitord te worden in een dedicated dashboard.

Op deze manier kunnen we ACM minder afhankelijk maken de beschikbaarheid van deze externe bronnen, en kunnen we de continue beschikbaarheid van het Toegangsbeheer nog sterker verankeren.

7. Verbetering operationele ondersteuning

ACM is een veelgebruikte en belangrijke bouwsteen, waardoor een sterke en stabiele dienstverlening essentieel is. We willen de kwaliteit van onze dienstverlening - denk aan de ondersteuning bij incidenten, in het bijzonder veiligheidsincidenten, deelname aan troubleshooting calls, actieve ondersteuning bij nieuwe integraties, … - verder opschroeven om tegemoet te komen aan de immer stijgende vraag van onze partners. De klemtoon ligt daarbij ook op een contractuele, meetbare borging van deze continue optimalisatie.

8. Standaardiseren configuraties geïntegreerde toepassingen

Er zijn inmiddels meer dan 5.000 toepassingen (T&I en PRD) geïntegreerd met ACM. De afname van ACM is het voorwerp geweest van een exponentiële groei. Tijdens die fase van exponentiële groei, zijn er heel wat ACM-integraties opgezet die afwijken van de standaard-configuratie die normaal gezien van kracht is. Die afwijkingen hebben vandaag een legacy-karakter, en willen we in de context van dit project graag uitfaseren en corrigeren.

De voornaamste component van dit project betreft de standaardisering op de nieuwe authenticatie-interface van ACM; deze interface (“EAI”) is performanter en robuuster dan onze legacy orkestratie-infrastructuur.

Op deze manier wapenen we ACM verder voor de toekomst.

9. Ononderbroken klantenreis (verruiming SSO)

Met dit project willen we een bredere en meer gebruiksvriendelijke vorm van Single Sign-On (SSO) realiseren binnen het ecosysteem van de Vlaamse overheid. We willen gebruikers vlotter, intuïtiever en consistenter door de verschillende toepassingen van de Vlaamse overheid laten navigeren, met het oog op een meer kwalitatieve en toegankelijke digitale dienstverlening.

Enerzijds zetten we in op een vereenvoudigde implementatie van de huidige SSO-mechanismen (in het bijzonder de login_hint), zodat de technische inspanningen langs toepassingszijde voor de realisatie van deze SSO beperkt worden. Anderzijds willen we, in nauwe samenwerking met de collega’s van de generieke Hoofdloketten, inzetten op een meer geïntegreerd SSO-verhaal, en derhalve de totstandkoming van een Vlaams ecosysteem.

1. Herwerking en beveiliging van de IDM-frontend

De huidige IDM-frontend is verouderd. In 2025 zijn we daartoe gestart met de uitbouw van een nieuwe frontend - een frontend die zowel de security als de design principes van Digitaal Vlaanderen ten volle respecteert. Dit project loopt door in 2026, en we leveren de nieuwe, veilige, moderne en gebruiksvriendelijke frontend eind 2026 op.

2. Doorontwikkeling Entitlement Configurator

De Entitlement Configurator is een tool die door teams in de IDM Release Train gebruikt wordt voor de verwerking van integraties met het Gebruikersbeheer. Met het oog op een verdere ontzorging van de teams en een shift naar het automatiseren van aansluitingen en andere operationele processen, voegen we in 2026 extra functionaliteit toe aan de tool. De klemtoon ligt daarbij op o.a. op het beheer van de IDM-vertalingen en -notificatiesjablonen, alsook de verwerking van wijzigingsverzoeken die hun oorsprong vinden in het Digitaal Dossier (zie onder).

3. Doorontwikkeling selfservice Digitaal Dossier

In 2025 hebben we de basis gelegd voor een Digitaal ACM-IDM Dossier. Wanneer een toepassing wenst te integreren met ACM en IDM, dient men een aansluitingstraject te doorlopen. De details van dat proces staan uitgeschreven op onze website. Zo’n aansluitingstraject neemt minimaal 8-10 weken in beslag. Het integratiedossier vormt de ruggengraat van het traject: in dat dossier worden alle requirements gecapteerd opdat enerzijds de ACM- en IDM-teams zouden kunnen voorzien in de nodige aansluitingsconfiguratie, en onze partners anderzijds kunnen voorzien in de nodige configuratie-acties langs toepassingszijde. Vandaag is dat integratiedossier een bijzonder lijvig Word-document.

Digitaal Vlaanderen wil zoveel mogelijk inzetten op selfservice, en de ultieme doelstelling van ‘next business day’-aansluitingen honoreren. Een cruciale eerste stap in die richting is het digitaliseren van de integratiedossiers. Vervolgens willen we in dat Digitaal Dossier self-service-modaliteiten gaan aanbieden: we willen dat onze partners zélf hun dossiers kunnen beheren, en autonoom wijzigingen aan hun ACM- en IDM-integraties kunnen doorvoeren.

In 2026 willen we de Digitale Dossiers daadwerkelijk in beheer onderbrengen bij onze partners. Verder willen we functionaliteit toevoegen om de status van je wijzigingen transparant te kunnen tracken in het Beheerportaal. Tenslotte zal aan elk dossier een dossierbeheerder van het Integratieteam gekoppeld worden; op die manier beschikken jullie te allen tijde over een vast contactpunt dat geraadpleegd kan worden bij vragen, issues, et al.

4. Uitbouw integratie tussen IDM en Entra ID

In de context van dit project willen een rechtstreekse connectie bewerkstelligen tussen IDM en Entra ID - in het bijzonder de Entra ID van de Vlaamse Werkplek. Op die manier zouden de toegangen tot bijvoorbeeld SharePoint- en PowerBI-omgevingen kunnen worden ondergebracht in IDM. IDM beheerst inmiddels de Entra-specifieke dialecten en schema’s, dus kunnen we in 2026 het vizier richten op o.a. het tackelen van de licentie-problematiek.

We beogen hiermee de oplevering van een volwaardig dienstverleningsmodel voor IDM-Entra ID-integraties.

5. VO-ICR Compliance

Het VO-ICR (Vlaamse Overheid – Informatieclassificatieraamwerk) is het officiële raamwerk dat de Vlaamse overheid gebruikt om informatie te classificeren op basis van vertrouwelijkheid, integriteit en beschikbaarheid, en om te bepalen welke minimale beveiligingsmaatregelen vereist zijn.

De Veiligheidsbouwstenen van Digitaal Vlaanderen dienen uiteraard volledig compliant te zijn met dit raamwerk.

6. API’s

De hoofdlokettenstrategie van de Vlaamse Regering schrijft voor dat de dienstverlening van de Vlaamse overheid gecentraliseerd moet worden in de vier generieke Hoofdloketten. We willen IDM aligneren op deze strategie, zoals dat eerder ook reeds gebeurde voor VMS.

We gaan daartoe API’s bouwen op IDM - generieke API’s voor het beheer van de medewerkers van een organisatie, alsook de toegangen van deze medewerkers. De Hoofdloketten kunnen integreren met deze API’s, en op die manier IDM aanbieden en integreren in hun eigen interfaces.

7. Integratie met IPDC

De Interbestuurlijke Producten- en Dienstencatalogus (IPDC) is een dienst van Digitaal Vlaanderen waarin de overheidsdienstverlening van alle overheidsniveaus die beschikbaar is op het Vlaamse grondgebied, wordt verzameld. Voor burgers, het ondernemingswezen en het verenigingswezen is de IPDC derhalve de ‘bijbel’ van de dienstverlening van de Vlaamse overheid.

IDM is vandaag niet gekoppeld met de IPDC. Dat betekent concreet dat de gebruikersrechten die in IDM kunnen toegekend worden - en dus toegang geven tot met IDM geïntegreerde toepassingen - qua naamgeving en scope sterk variëren. Sommige rechten geven toegang tot één specifieke IPDC-maatregel; andere rechten geven toegang tot het bovenliggende platform of loket, of geven toegang tot een hele reeks loketten.

We willen de IDM-rechten nu op een nieuwe, functionele leest te schoeien - i.e. 1:1 mappen op de corresponderende IDPC-maatregels - opdat ondernemers, verenigingen et al. steeds op dezelfde ‘menukaart’ kunnen terugvallen bij het beheer van hun rechten. Kortom; het huidige, sterk gevarieerde amalgaam aan IDM-rechten, wordt, in nauwe samenwerking met de Hoofdloketten, geherstructureerd naar een catalogus die op dezelfde leest geschoeid is als de IPDC.

8. PoC: Koppelen van HR-systemen lokale besturen met IDM

Met het oog op enerzijds de ontzorging van de Lokale Beheerders van de Vlaamse lokale besturen en de externe verzelfstandigde agentschappen van de Vlaamse overheid, en anderzijds het mitigeren van kwetsbaarheden op niveau van toegang en potentieel misbruik bij uitdiensttredingen, wil Digitaal Vlaanderen IDM integreren met de HR-managementsystemen van twee Vlaamse lokale besturen.

De klemtoon ligt daarbij op het sychroniseren van in- en uitdiensttredingen vanuit het personeelsbeheersysteem van de entiteit, naar IDM, i.e. het voorwerp van de synchronisatiestroom zijn de werkrelaties van medewerkers met de entiteit.

1. Prioritaire use cases

In 2025 werden in het Vlaams Mandatensysteem (VMS) Dienstencheques-mandaten in productie gesteld. Met het oog op deze eerste maar vooral ook de volgende generatie van prioritaire aansluitingen, is er een nood ontstaan om de operationele processen maximaal te automatiseren dan wel weg te abstraheren, i.h.b. deze met betrekking tot het aanmaken en het beëindigen van mandaten in de papieren flow.

De focus ligt op functionaliteiten die de betrouwbaarheid en veiligheid, maar net zo goed de beheersbaarheid en efficiëntie van VMS naar een hoger niveau tillen.

2. Fijnmazige mandaten

We willen in VMS mandaatrollen definiëren, en dat in zo generiek mogelijke termen (e.g. Lezen, Indienen, Beheren, …). In nauwe samenwerking met onze partners willen we een generieke, herbruikbare lijst van mogelijke mandaatrollen definiëren, waar alle aansluiters desgewenst gebruik van kunnen maken.

3. Groeperen van mandaten

VMS koppelt vandaag elk mandaattype strikt aan één IPDC‑maatregel (een specifiek product of dienst binnen de Interbestuurlijke Producten‑ en Dienstencatalogus). Een veelgevraagde functionaliteit om meerdere verwante maatregelen te kunnen groeperen in mandaatgroepen (bv. alle maatregelen binnen het WSE‑loket) ontbreekt nog.

Daarom moet een nieuw concept worden toegevoegd: mandaatgroepen die een set individuele mandaattypes bundelen. Gebruikers moeten mandaten kunnen beheren op zowel groeps- als individueel niveau. Dit biedt flexibiliteit voor aansluiters terwijl de loket-onafhankelijke, IPDC‑gebaseerde werking behouden blijft.

1. Switch naar nieuwe UI

We willen het Apigee Atos MDC-beheerplatform upgraden naar de meest recente Apigee Edge-UI. Op die manier kunnen we het verkeer op Apigee Atos MDC beter monitoren, kunnen we een gecustomiseerde opvolging aanbieden aan onze afnemers, en wordt het voor de gebruikers eenvoudiger om oude configuraties op te ruimen.

2. Afbouw SaaS-omgeving

Apigee wordt vandaag in twee flavours aangeboden:

• Apigee Atos MDC (on prem)
  De meest courante omgeving om Apigee in af te nemen, is Apigee Atos MDC. Deze Apigee wordt (on-prem) gehost in het Atos Managed Data Center. Wanneer een organisatie integreert met Apigee, dan wordt er voor die organisatie een nieuwe Apigee-tenant opgezet in Atos DC. Voor elke organisatie is er dus een gescheiden Apigee-tenant.

• Apigee SaaS
  De Apigee SaaS-omgeving wordt gehost in de Google Cloud (GCP: Google Cloud Platform). Deze omgeving wordt momenteel enkel gebruikt door Digitaal Vlaanderen zelf (o.a. Download), en Onderwijs.

Met het oog op een uniform ondersteuning-, aansluitings- en dienstverleningsproces willen we de proxies die vandaag in Apigee SaaS zijn geconfigureerd, migreren naar Apigee Atos MDC.

1. Maturiteit verhogen

Een goede bouwsteen is een mature bouwsteen. Een mature bouwsteen vergt een helder operationeel procesmodel, eenvoudige en laagdrempelige onboardingstromen, en een kwalitatieve dienstverlening. In 2026 willen we de maturiteit van onze SIEM-bouwsteen sterk verhogen.

Dat omhelst o.a. dat we SIEM willen integreren met het Kwetsbaarhedenbeheer van de Vlaamse overheid. Door deze metadata over te nemen, kunnen we in onze SIEM-oplossing nog sneller detecteren of er kwetsbaarheden optreden.

We willen daarnaast ook rapportering op maat van onze partners voorzien - i.e. rapporten waarin onze afnemers een duidelijk overzicht krijgen van de (type) use cases die in een bepaalde periode zijn opgetreden.

2. Defender-portaal

Onze huidige SIEM-oplossing maakt gebruik van Microsoft Sentinel. We willen onze Sentinel-oplossing in 2026 overzetten naar het Microsoft Defender-portaal. Op die manier kunnen we één centrale security-ervaring (SIEM én XDR) garanderen, sneller handelen wanneer er events optreden, en potentiële dreigingen nog beter correleren.

Deze verplichte migratie moet voltooid zijn tegen uiterlijk maart 2027.

3. 300 servers aansluiten op SIEM

Beveiligingsdreigingen beperken zich zelden tot één plek. Door maximaal in te zetten op het aansluiten van servers op SIEM, ontstaat één compleet en samenhangend beeld van de dreigingen die zich afspelen binnen het digitale ecosysteem van de Vlaamse overheid, waardoor verdachte patronen sneller worden herkend en incidenten eerder gestopt kunnen worden. In casu mikken we in 2026 op het aansluiten van 300 servers.

We willen daartoe, tezamen met onze partners, inzetten op de uitbouw van technische enablers en acceleratoren. Of dus; we willen een onboardingsstraat opzetten via de welke we en masse servers kunnen integreren.

4. 20 applicaties aansluiten op SIEM

We willen ook 20 nieuwe applicaties integreren met SIEM. De onboarding van een applicatie is evenwel complexer dan de onboarding van een server: we leggen dan namelijk de klemtoon op applicatieve SIEM-use cases. Die cases zijn functioneel, contextrijk en betekenisvoller - bijvoorbeeld: “User A heeft bestand B gedownload”, of “Admin X heeft recht Y toegekend”.

Beide trajecten zijn complementair en dragen bij tot een veiliger digitaal ecosysteem.