5.5.2. Autorisatie van de gebruiker

Autorisatie is het proces waarin een subject (een persoon of een proces, hierna gebruiker) rechten of bevoegdheden krijgt op het benaderen van een object (een bestand, een systeem). Voordat een gebruiker voor de eerste keer gebruik kan maken van een informatiesysteem, bepaalt de dienstverlener c.q. objecteigenaar wat de bevoegdheden zijn van de gebruiker (dat kan de consument of klant zijn).1 Hij mag bijvoorbeeld een bepaald bestand lezen of een programma starten.2 De dienstverlener legt de bevoegdheden van de gebruiker vast in een bestand van de databank. De bevoegdheden kunnen worden bepaald op basis van kenmerken en/of eigenschappen van de gebruiker.3 Als resultaat krijgt de gebruiker de beschikking over een gebruikersrepresentatie in het informatiesysteem. De representatie van de dienstverlener associeert de bevoegdheden van de gebruiker met de interne representatie van de gebruiker, bijvoorbeeld het bij een bank opgeslagen rekeningnummer. Het leidende principe daarbij is `need-to-know': een persoon mag alleen zien wat die persoon uit hoofde van zijn functie nodig heeft. Het `need to know'-principe kan uit het bepaalde in de artikelen 8 en 9 van de Wbp4worden afgeleid.