Softwarepakketten.nl
 
EXACT Software
VISMA E-accounting
E-boekhouden

Bijdrage van Bloggers (blogs)

eHerkenning, ketenmachtiging en PKIoverheid certificaten

Plaatsingsdatum 20-10-2019
Berichtdatum Oktober 2019

Wat is eHerkenning?

eHerkenning is de manier van inloggen voor ondernemers bij beveiligde websites. Nu nog voornamelijk van de overheid, straks ook bij steeds meer b2b websites. Met één inlogmiddel logt u op één manier veilig in bij alle aangesloten websites. Bij de aanvraag van een inlogmiddel wordt iemands identiteit grondig gecheckt (in bepaalde gevallen ook fysieke identificatie). Met eHerkenning kunnen medewerkers gemachtigd worden om namens hun organisatie specifieke diensten te regelen. Dit zorgt ervoor dat meer zekerheid wordt verkregen over de online identiteit van een inlogger. Dit voorkomt fouten en fraude.

eHerkenning is ontstaan in 2010 als opvolger van DigiD voor Bedrijven. De eerste overheidsdienstverlener die werd aangesloten was RvO. Inmiddels zijn meer dan 1.500 diensten van meer dan 500 (overheids-)websites toegankelijk met behulp van eHerkenning.

Anders dan bij DigiD is eHerkenning niet één technische voorziening. Het wordt geleverd door meerdere (momenteel 6) erkende leveranciers in een netwerk. Zij hebben samen met de overheid glasheldere afspraken gemaakt over strenge eisen aan veiligheid, betrouwbaarheid en de bescherming van persoonlijke gegevens. De overheid beheert deze afspraken en controleert of ze nagekomen worden. Alleen private partijen die aan álle afspraken voldoen, mogen aan eHerkenning meedoen.

eHerkenning is een publiek – private samenwerking en heeft daar een toepasselijke governance bij. Er zijn overleggen op verschillende niveaus, zodat alle betrokken partijen inspraak krijgen over het Afsprakenstelsel.

Betrouwbaarheidsniveaus

De Handreiking Betrouwbaarheidsniveaus (zie https://www.forumstandaardisatie.nl/thema/handreiking-betrouwbaarheidsniveaus) helpt (overheids)organisaties om de juiste keuzes te maken bij het digitaliseren van de dienstverlening. De handreiking koppelt eigenschappen van de dienst aan genormeerde Europese betrouwbaarheidsniveaus en houdt daarbij rekening met bijvoorbeeld machtigen, retourstromen van informatie en machine-to-machine berichtenverkeer. De standaardisatie, die mogelijk wordt gemaakt door de Handreiking, maakt de toegang tot beveiligde websites transparanter en eenduidiger. De mens centraal! Bovendien worden organisaties ondersteund in hun digitaliseringsproces en hoeven zij niet meer hun eigen individuele (risico)afweging op te stellen om te bepalen welk betrouwbaarheidsniveau bij hun dienstverlening passend is. Dat is efficiënt! Het Afsprakenstelsel eHerkenning heeft daarom hun aanbod van authenticatiemiddelen op eenzelfde wijze gecategoriseerd, zodat organisaties die digitale diensten aanbieden makkelijk de link kunnen leggen tussen hun behoefte en het beschikbare aanbod van middelen.

De huidige betrouwbaarheidsniveaus binnen eHerkenning zijn (in oplopende mate van veiligheid):

  1. eHerkenning niveau 1, één factor authenticatie (zeer weinig zekerheid, bijvoorbeeld voor het aanvragen van Verklaringen Omtrent Gedrag en Subsidies Praktijkleren);
  2. eHerkenning niveau 2, één factor authenticatie (weinig zekerheid, bijvoorbeeld voor het Omgevingsloket en Tendernet);
  3. eHerkenning niveau 2+, twee factor authenticatie (iets meer zekerheid, bijvoorbeeld voor RvO en Personenregister);
  4. eHerkenning niveau 3, twee factor authenticatie (substantiële zekerheid, bijvoorbeeld voor het UWV, Belastingdienst en DNB);
  5. eHerkenning niveau 4, met persoonlijk PKIoverheid certificaat (hoogste mate van zekerheid, wordt nog nauwelijks gebruikt door Dienstverleners)

De concept wet Digitale Overheid (DO) kent, evenals de Europese verordening eIDAS, maar drie niveaus (hierover publiceert de regering binnenkort nog een Ministeriele Regeling):

  • Laag (=eHerkenning niveau 2+);
  • Substantieel (=eHerkenning niveau 3);
  • Hoog (=eHerkenning niveau 4).

Zeker is dat na invoering van de wet DO (verwacht in 2020) eHerkenning niveau 1 per direct wordt verboden. Wat met eHerkenning niveau 2 zal gebeuren is nog niet duidelijk. De overheid stelt niveau 3 als toekomstige norm in het bedrijven domein. In het burger domein wenst de overheid (langzaam) te groeien naar niveau Hoog.

Reconi | eHerkenning

Wettelijke verankering van eHerkenning en verwachtingen komende jaren

In het vierde kwartaal 2019 wordt de concept wet Digitale Overheid in de Tweede Kamer behandeld. Deze wet regelt onder andere:

  • Verplichting van eHerkenning bij het inloggen van bedrijven bij de (semi)overheid. Toegang met andere inlogmiddelen dan eHerkenning zal niet meer mogelijk zijn.
  • Betrouwbaarheidsniveau eHerkenning 3 (eH3) wordt de norm en eH1 wordt verboden.
  • DigiD wordt de komende jaren vervangen door DigiD substantieel en DigiD hoog (een chip op het rijbewijs).

Het is de bedoeling dat deze wet in 2020 wordt ingevoerd.

Zodra deze wet is ingevoerd is het de verwachting dat ook veel b2b websites gaan aansluiten op eHerkenning, waardoor gebruikers met hun eHerkenningsmiddel kunnen inloggen. Immers, eHerkenning maakt diensten veilig online toegankelijk voor ondernemers. De website krijgt meer zekerheid over de identiteit van de gebruiker (de klant). Zo is de website er altijd zeker van dat met de juiste personen zaken wordt gedaan.

Wat is een Ketenmachtiging?

Veel organisaties besteden werk uit aan intermediairs. Indien de intermediair moet inloggen bij overheidsdienstverleners waarbij eHerkenning nodig is, zoals subsidies aanvragen bij gemeenten, belastingaangifte of medewerkers ziek melden in het werkgeversportaal van UWV, dient de intermediair een ketenmachtiging van de organisatie te hebben ontvangen.

Met een ketenmachtiging machtigt een organisatie een intermediair om namens de organisatie een online dienst te regelen met eHerkenning. De intermediair kan vervolgens een machtiging op naam van één (of meerdere) medewerker(s) laten registeren. Zo is die medewerker bevoegd om namens het bedrijf te handelen via eHerkenning.

De organisatie hoeft in dat geval zelf geen eHerkenningsmiddel aan te vragen, wel dient de organisatie de intermediair toestemming te geven voor deze ketenmachtiging. De ketenmachtiging moet worden vastgelegd bij één van de zes erkende leveranciers. De organisatie dient hiervoor een digitaal formulier in te vullen waarna de machtiging digitaal wordt vastgelegd door de eHerkenning leverancier. De bevoegd vertegenwoordiger van de organisatie die de ketenmachtiging afgeeft hoeft niet fysiek geïdentificeerd te worden.

De ervaring leert dat het verstandig is als de intermediair samen met de eHerkenning leverancier door neemt welke stappen genomen moeten worden voor de aanvraag van een ketenmachtiging. Vervolgens zal de intermediair kaar klanten (de organisaties) informeren over de te nemen stappen in het aanvraagproces.

Aandachtspunten ketenmachtiging:

  • Houd er rekening mee dat de machtigingen kosten met zich meebrengen.
  • De Belastingdienst en het UWV eisen betrouwbaarheidsniveau 3.
  • Let erop dat machtiging worden ingetrokken indien een samenwerking wordt beëindigd.
  • Ketenmachtigingen werken nog niet voor eenmanszaken (vanaf begin 2020 wel).
  • Er niet kan worden ingelogd met een ketenmachtiging bij RVO (Rijksdienst voor Ondernemend Nederland). Wel bij UWV, Belastingdienst en KvK.
  • KvK-uittreksel mogen niet ouder mogen zijn dan 14 dagen.

eHerkenning en PKIoverheid certificaten

eHerkenning is bedoeld om in te loggen op beveiligde websites en het controleren van bevoegdheden, terwijl een PKIoverheid certificaat primair is bedoeld om te ondertekenen (een persoonlijk certificaat) en het versturen van rapportages, zoals SBR naar digipoort (een SBR server certificaat). Het zijn twee verschillende werelden. Deze twee methodes zijn dus verschillend. Een persoonlijk PKIoverheid certificaat is een fysieke pas welke u ontvangt per post. Het eHerkenningsmiddel ontvangt u digitaal per email en sms-bericht.

Alleen bij eHerkenning niveau 4 (het hoogste en tot nu toe nauwelijks gebruikte niveau) komen de twee werelden bij elkaar, namelijk om eH4 te kunnen aanschaffen en gebruiken is een persoonlijk PKIoverheid certificaat nodig.

eHerkenning en een persoonsgebonden PKIoverheid certificaat zijn persoonlijk en niet overdraagbaar. Een PKIoverheid services certificaat is gebonden aan een organisatie en wordt uitgegeven aan apparaten of servers, of groepen individuen.

Frank Jonker
Managing partner Reconi
Vertegenwoordiger erkende leveranciers eHerkenning, lid governance eHerkenning.
 

Categorie(n) GRC en Assuring, Branche > Accountantskantoren, Cybersecurity, Soort > Authenticatie en ondertekenen
Bronvermelding Reconi
Internet URL Reconi

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.

Terug


Onerzoeksbureau GBNED