Softwarepakketten.nl
BCS HR Software
EXACT Software
VISMA E-accounting
E-boekhouden

Bijdrage van Bloggers (blogs)

Drie methoden voor identiteitsverificatie

Plaatsingsdatum 31-03-2023
Berichtdatum Maart 2023

Blog door DOCCO

Identiteitsverificatie is een essentieel onderdeel van online zakendoen. Het heeft een vlucht genomen gedurende de coronapandemie, waarbij digitale transacties op afstand moesten plaatsvinden. Het belang van identiteitsverificatie ligt in het voorkomen van fraude. Wetgeving rond KYC (Know Your Customer) en AML (Anti-Money Laundering) vereisen dat financiële instellingen de identiteit van hun klanten verifiëren. Daarnaast is identiteitsverificatie de sleutel tot betrouwbare methode van IAM (Identity & Acces Management) en digitaal ondertekenen. Het is belangrijk voor bedrijven om een veilige en betrouwbare verificatiemethode te kiezen die voldoet aan de wettelijke vereisten en de behoeften van hun klanten.

Tegelijkertijd is er een spanningsveld met de eisen uit de privacywetgeving (AVG). De methode voor identiteitsverificatie moet niet leiden tot het verwerken van meer -privacygevoelige- gegevens dan strikt noodzakelijk. Uit recente uitspraken blijkt hoe ingewikkeld deze scheidslijn is.

Identiteitsverificatie bij digitaal ondertekenen
Digitale handtekeningen zijn een essentieel onderdeel van bedrijfsprocessen geworden, doordat steeds meer bedrijven overstappen op een digitale werkomgeving. Het is ook bij digitaal ondertekenen belangrijk om ervoor te zorgen dat de identiteit van de ondertekenaar wordt geverifieerd om de geldigheid van de handtekening te waarborgen. Verderop bespreken we drie verschillende methoden die daarvoor gebruikt kunnen worden.

Het belang van identiteitsverificatie bij digitaal ondertekenen kan niet worden overschat. Het doel is om ervoor te zorgen dat de persoon die de handtekening zet, daadwerkelijk de persoon is die hij of zij beweert te zijn. Dit is essentieel om ervoor te zorgen dat de handtekening juridisch bindend is en dat er geen twijfel bestaat over de geldigheid ervan. Zonder identiteitsverificatie bestaat het risico dat de handtekening wordt betwist of ongeldig wordt verklaard.

Identiteitsverificatie in de praktijk
Er zijn verschillende manieren om de identiteit van een iemand te verifiëren als vertrekpunt voor een digitale ondertekening. Hieronder bespreken we drie methoden- en technieken die voorkomen in de praktijk. De voorbeelden kunnen leiden tot uiteenlopende soorten ondertekeningen.

  1. Een digitale identiteit(-bewijs)
    Een digitale identiteit kan worden gebruikt om toegang te krijgen tot een dienst zonder steeds opnieuw verifieerd te hoeven worden. Je zou kunnen zeggen dat er 1) overkoepelende digitale identiteiten zijn (eID), toegepast in de publieke sector. Denk aan DigiD en eHerkenning. En 2) commerciële digitale identiteiten. Dit laatste kan uiteenlopen van een ‘Facebookidentiteit’ waarmee je op diensten kan inloggen, tot een identiteit bij de bank waarvoor een uitgebreid proces is doorlopen. Dit kan gebruikt worden voor iDIN en het ondertekenen van banktransacties. De zekerheid rondom de identiteitsverificatie en daarmee de betrouwbaarheid verschilt dus. Binnenkort komt er een nieuwe Europa-brede Digitale Identiteit. Deze Europese ID-wallet gaat genoemde voorbeelden 1 en 2 vervangen en kan -zoals het er nu naar uitziet- gebruikt gaan worden voor identificatie én digitale ondertekening. Er zijn al voorbeelden van een digitale identificatie-apps in opkomst, zoals het Belgische ITSME.

    Als het controleproces van de identiteit wordt gedaan door een Qualified Trusted Service Provider, kan dit leiden tot een gekwalificeerd certificaat. Het voordeel van deze methode is dat het een zeer veilige manier van identiteitsverificatie is voor digitaal ondertekenen, omdat het identiteitsbewijs als het ware via het proces bij de QTSP aan de handtekening wordt gelieerd. Hiermee kan worden ondertekent met volledige zekerheid. Het kan ook gebruikt worden voor authenticatie en versleuteling.
     
  2. Kunstmatige intelligentie (AI) en gezichtsherkenning
    Een andere methode om de identiteit van de ondertekenaar te verifiëren, is door middel van kunstmatige intelligentie (AI). Door middel van biometrische gezichtsherkenning, soms met een scan of video met het identiteitsbewijs wordt -automatisch- vastgesteld of de identiteit consistent en overeenkomstig is. Het voordeel van deze methode is dat het relatief veilig is, omdat de identiteit van de ondertekenaar met behulp van geavanceerde methoden wordt vastgesteld. Het nadeel is dat het soms kan worden ervaren als een inbreuk op de privacy. Daarnaast is het soms onduidelijk hoe de gegevens verder worden verwerkt door de softwarepartij. Deze methode wordt momenteel wel bij KYC-processen gebruikt, maar nauwelijks gebruikt voor identiteitsvaststelling voor digitaal ondertekenen.
     
  3. Tweestapsverificatie via SMS of Whatsapp
    Een derde methode om de identiteit van de ondertekenaar te verifiëren, is door middel van tweestapsverificatie. Hierbij wordt de ondertekenaar gevraagd om te bevestigen dat hij of zij is die hij of zij beweert te zijn. Dat kan door een bevestigingsmail met een code of een code via SMS of Whatsapp. Dit is een minder veilige methode dan de bovenstaande methoden, maar het kan voldoende zijn voor minder belangrijke documenten of situaties waarin de identiteit van de ondertekenaar minder belangrijk is. Het gebruik van een verificatiecode via de mobiele telefoon is daarbij veiliger dan een code per e-mail. De ondertekenaar moet naast de e-mailbox ook de mobiele telefoon in zijn bezit hebben om zijn of haar identiteit te bevestigen.

PKI Signing

Wist je dat PKIsigning ook tweestapsverificatie via Whatsapp ondersteunt?
De ondertekenaar scant hiervoor een QR-code. Deze genereert een hash, een tekenreeks die wordt verzonden naar PKIsigning. Dat is nog iets veiliger dan het gebruik van SMS-codes, vanwege het risico op spoofing.
  

Identiteitsverificatie bepaald niveau van handtekening
De methode voor identiteitsverificatie bepaald in grote mate ook het betrouwbaarheidsniveau van de elektronische handtekening. Deze betrouwbaarheidsniveaus zijn vastgelegd in een Europese verordening (eIDAS) en Nederlandse wetgeving. In sommige situaties, bijvoorbeeld in bepaalde ketens of branches, gelden verplichtstellingen voor het toepassen van een bepaald betrouwbaarheidsniveau van de handtekening. Lees hier meer.

Tot slot is het bij een digitaal ondertekenproces belangrijk dat de identiteitscontrole altijd plaatsvindt vóórdat documenten worden geopend. Anders kan de situatie ontstaan dat belangrijke documenten worden doorgestuurd en/of ingezien door derden. 
 

Categorie(n) Branche > Accountantskantoren, GRC en Assuring, Cybersecurity, Soort > Authenticatie en ondertekenen, ICT & Recht
Bronvermelding DOCCO
Internet URL DOCCO

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.

Terug

9 oktober 2024

Seminar Robotic accounting
Actuele ontwikkelingen op het gebied van Robotic accounting. Met dit jaar Open banking als centraal thema.
Meer info en aanmelden.


Kleisteen

Informer Software


Bjorn Lunden



Timewriter

AFAS Software


Gerelateerde berichten

Technologische ontwikkelingen in relatie tot het Power Platform van Microsoft [17-12-2022]

Robotisering(bots) voor accountants in de praktijk uitgelegd [09-03-2022]

Waarom een (publieke) API de belangrijkste eis is bij softwarekeuzes [11-05-2021]


Onerzoeksbureau GBNED