Bijdrage van Bloggers (blogs)
eHerkenning, ketenmachtiging en PKIoverheid certificaten
Plaatsingsdatum | 20-10-2019 |
Berichtdatum | Oktober 2019 |
Wat is eHerkenning? eHerkenning is de manier van inloggen voor ondernemers bij beveiligde websites. Nu nog voornamelijk van de overheid, straks ook bij steeds meer b2b websites. Met één inlogmiddel logt u op één manier veilig in bij alle aangesloten websites. Bij de aanvraag van een inlogmiddel wordt iemands identiteit grondig gecheckt (in bepaalde gevallen ook fysieke identificatie). Met eHerkenning kunnen medewerkers gemachtigd worden om namens hun organisatie specifieke diensten te regelen. Dit zorgt ervoor dat meer zekerheid wordt verkregen over de online identiteit van een inlogger. Dit voorkomt fouten en fraude. eHerkenning is ontstaan in 2010 als opvolger van DigiD voor Bedrijven. De eerste overheidsdienstverlener die werd aangesloten was RvO. Inmiddels zijn meer dan 1.500 diensten van meer dan 500 (overheids-)websites toegankelijk met behulp van eHerkenning. Anders dan bij DigiD is eHerkenning niet één technische voorziening. Het wordt geleverd door meerdere (momenteel 6) erkende leveranciers in een netwerk. Zij hebben samen met de overheid glasheldere afspraken gemaakt over strenge eisen aan veiligheid, betrouwbaarheid en de bescherming van persoonlijke gegevens. De overheid beheert deze afspraken en controleert of ze nagekomen worden. Alleen private partijen die aan álle afspraken voldoen, mogen aan eHerkenning meedoen. eHerkenning is een publiek – private samenwerking en heeft daar een toepasselijke governance bij. Er zijn overleggen op verschillende niveaus, zodat alle betrokken partijen inspraak krijgen over het Afsprakenstelsel. Betrouwbaarheidsniveaus De Handreiking Betrouwbaarheidsniveaus (zie https://www.forumstandaardisatie.nl/thema/handreiking-betrouwbaarheidsniveaus) helpt (overheids)organisaties om de juiste keuzes te maken bij het digitaliseren van de dienstverlening. De handreiking koppelt eigenschappen van de dienst aan genormeerde Europese betrouwbaarheidsniveaus en houdt daarbij rekening met bijvoorbeeld machtigen, retourstromen van informatie en machine-to-machine berichtenverkeer. De standaardisatie, die mogelijk wordt gemaakt door de Handreiking, maakt de toegang tot beveiligde websites transparanter en eenduidiger. De mens centraal! Bovendien worden organisaties ondersteund in hun digitaliseringsproces en hoeven zij niet meer hun eigen individuele (risico)afweging op te stellen om te bepalen welk betrouwbaarheidsniveau bij hun dienstverlening passend is. Dat is efficiënt! Het Afsprakenstelsel eHerkenning heeft daarom hun aanbod van authenticatiemiddelen op eenzelfde wijze gecategoriseerd, zodat organisaties die digitale diensten aanbieden makkelijk de link kunnen leggen tussen hun behoefte en het beschikbare aanbod van middelen. De huidige betrouwbaarheidsniveaus binnen eHerkenning zijn (in oplopende mate van veiligheid):
De concept wet Digitale Overheid (DO) kent, evenals de Europese verordening eIDAS, maar drie niveaus (hierover publiceert de regering binnenkort nog een Ministeriele Regeling):
Zeker is dat na invoering van de wet DO (verwacht in 2020) eHerkenning niveau 1 per direct wordt verboden. Wat met eHerkenning niveau 2 zal gebeuren is nog niet duidelijk. De overheid stelt niveau 3 als toekomstige norm in het bedrijven domein. In het burger domein wenst de overheid (langzaam) te groeien naar niveau Hoog. Wettelijke verankering van eHerkenning en verwachtingen komende jaren In het vierde kwartaal 2019 wordt de concept wet Digitale Overheid in de Tweede Kamer behandeld. Deze wet regelt onder andere:
Het is de bedoeling dat deze wet in 2020 wordt ingevoerd. Zodra deze wet is ingevoerd is het de verwachting dat ook veel b2b websites gaan aansluiten op eHerkenning, waardoor gebruikers met hun eHerkenningsmiddel kunnen inloggen. Immers, eHerkenning maakt diensten veilig online toegankelijk voor ondernemers. De website krijgt meer zekerheid over de identiteit van de gebruiker (de klant). Zo is de website er altijd zeker van dat met de juiste personen zaken wordt gedaan. Wat is een Ketenmachtiging? Veel organisaties besteden werk uit aan intermediairs. Indien de intermediair moet inloggen bij overheidsdienstverleners waarbij eHerkenning nodig is, zoals subsidies aanvragen bij gemeenten, belastingaangifte of medewerkers ziek melden in het werkgeversportaal van UWV, dient de intermediair een ketenmachtiging van de organisatie te hebben ontvangen. Met een ketenmachtiging machtigt een organisatie een intermediair om namens de organisatie een online dienst te regelen met eHerkenning. De intermediair kan vervolgens een machtiging op naam van één (of meerdere) medewerker(s) laten registeren. Zo is die medewerker bevoegd om namens het bedrijf te handelen via eHerkenning. De organisatie hoeft in dat geval zelf geen eHerkenningsmiddel aan te vragen, wel dient de organisatie de intermediair toestemming te geven voor deze ketenmachtiging. De ketenmachtiging moet worden vastgelegd bij één van de zes erkende leveranciers. De organisatie dient hiervoor een digitaal formulier in te vullen waarna de machtiging digitaal wordt vastgelegd door de eHerkenning leverancier. De bevoegd vertegenwoordiger van de organisatie die de ketenmachtiging afgeeft hoeft niet fysiek geïdentificeerd te worden. De ervaring leert dat het verstandig is als de intermediair samen met de eHerkenning leverancier door neemt welke stappen genomen moeten worden voor de aanvraag van een ketenmachtiging. Vervolgens zal de intermediair kaar klanten (de organisaties) informeren over de te nemen stappen in het aanvraagproces. Aandachtspunten ketenmachtiging:
eHerkenning en PKIoverheid certificaten eHerkenning is bedoeld om in te loggen op beveiligde websites en het controleren van bevoegdheden, terwijl een PKIoverheid certificaat primair is bedoeld om te ondertekenen (een persoonlijk certificaat) en het versturen van rapportages, zoals SBR naar digipoort (een SBR server certificaat). Het zijn twee verschillende werelden. Deze twee methodes zijn dus verschillend. Een persoonlijk PKIoverheid certificaat is een fysieke pas welke u ontvangt per post. Het eHerkenningsmiddel ontvangt u digitaal per email en sms-bericht. Alleen bij eHerkenning niveau 4 (het hoogste en tot nu toe nauwelijks gebruikte niveau) komen de twee werelden bij elkaar, namelijk om eH4 te kunnen aanschaffen en gebruiken is een persoonlijk PKIoverheid certificaat nodig. eHerkenning en een persoonsgebonden PKIoverheid certificaat zijn persoonlijk en niet overdraagbaar. Een PKIoverheid services certificaat is gebonden aan een organisatie en wordt uitgegeven aan apparaten of servers, of groepen individuen. Frank Jonker |
Categorie(n) | GRC en Assuring, Branche > Accountantskantoren, Cybersecurity, Soort > Authenticatie en ondertekenen |
Bronvermelding | Reconi |
Internet URL | Reconi |
Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke
nieuwsbrief.