eHerkenning

Uit Wikipedia, de vrije encyclopedie
eHerkenning logo

Het inlogsysteem eHerkenning is een Nederlands gestandaardiseerd systeem voor digitale herkenning, waarmee organisaties hun diensten online toegankelijk kunnen maken.

In essentie regelt eHerkenning de authenticatie en controleert het de digitale bevoegdheid (autorisatie) van iemand die online een dienst wil afnemen. Ondernemers, consumenten en ambtenaren loggen met hun eHerkenningsmiddel, het inlogmiddel, in op een webdienst van een aangesloten organisatie en kunnen zo online hun zaken regelen. EHerkenning is een van de voorzieningen die samen de generieke digitale infrastructuur voor de e-overheid vormen. EHerkenning valt onder het Afsprakenstelsel elektronische toegangsdiensten (ETD-stelsel), dat op zijn beurt onderdeel is van het eID-stelsel. Het voldoet aan de Europese eIDAS-eisen en is een erkend Europees inlogmiddel.[1]

Aanleiding[bewerken | brontekst bewerken]

EHerkenning is opgericht in 2009 en is de opvolger van ‘DigiD voor bedrijven’. Tot dan toe ontbrak een inlogvoorziening voor bedrijven om betrouwbaar en veilig online zaken te doen met de overheid. Het ministerie van Economische Zaken (EZ) nam daarom in 2009 het initiatief tot een marktconsultatie. Hierin gaven 18 commerciële partijen aan dat ze samen met het EZ wilden investeren in eHerkenning. Samen ontwikkelden zij vervolgens eHerkenning. eHerkenning is daarom een publiek-private samenwerking (PPS)

In 2010 sloot Agentschap NL als eerste grote dienstverlener aan op eHerkenning. Sindsdien is eHerkenning uitgegroeid tot een robuust[bron?] gestandaardiseerd inlogsysteem. Meer dan 280.000 gebruikers loggen jaarlijks ruim 6 miljoen keer in op de webdiensten van 403 dienstverleners.

Publiek-private samenwerking[bewerken | brontekst bewerken]

Aan de basis van eHerkenning staat het samenwerkingsverband tussen het ministerie van Economische Zaken (EZ) en het bedrijfsleven. eHerkenning is georganiseerd als stelsel en is dus geen op zichzelf staande technische voorziening die bij de overheid wordt beheerd. eHerkenning wordt geleverd door meerdere erkende aanbieders in een netwerk. Zij werken volgens gezamenlijke afspraken: het Afsprakenstelsel eHerkenning.[2]

Partijen die eHerkenning willen aanbieden, dienen toe te treden tot het Afsprakenstelsel eHerkenning via het zogeheten toetredingsproces. In het Afsprakenstelsel eHerkenning staan de kaders waar alle betrokken zich aan moeten houden. Tegelijkertijd biedt het afsprakenstelsel voldoende ruimte voor de erkende marktpartijen om met elkaar te concurreren. Het afsprakenstelsel wordt beheerd door de overheid en de erkende aanbieders van eHerkenning staan onder toezicht van de overheid.

Afsprakenstelsel Elektronische Toegangsdiensten[bewerken | brontekst bewerken]

Het Afsprakenstelsel Elektronische Toegangsdiensten (voorheen Afsprakenstelsel eHerkenning) is simpelweg een set van afspraken die de deelnemers samen hebben vastgelegd. Het doel hiervan is om samenwerking en zekerheid in het netwerk te garanderen. Het gaat hier bijvoorbeeld om afspraken omtrent het beheer, de ontwikkelingen, technische functionaliteiten, beveiliging en privacy. Alle erkende aanbieders voldoen aan deze afspraken, waardoor het mogelijk is om in een gezamenlijk netwerk diensten aan te bieden en tegelijkertijd onderling met elkaar te concurreren.

Het beheer van eHerkenning is ondergebracht bij Logius, de Nederlandse overheidsinstantie voor ict-zaken. Deze beheert sinds 1 oktober 2012 het afsprakenstelsel en het door eHerkenning vastgestelde nalevingsbeleid. Logius verwerkt wijzigingen in het afsprakenstelsel, publiceert de nieuwe versies en houdt toezicht op de naleving van het stelsel door de dienstverleners en de erkende marktpartijen. Ook houdt de beheerorganisatie in opdracht van EZ toezicht op het gebruik van het merk.[2]

Besturingsmodel van eHerkenning[bewerken | brontekst bewerken]

De bijzondere vorm van organisatie bij eHerkenning vergt een bijbehorende governance (besturingsmodel). Het borgen van de inspraak van de betrokken partijen is voor een afsprakenstelsel zeer belangrijk. In 2012 heeft Maxime Verhagen, destijds minister van Economische Zaken, Landbouw en Innovatie het Instellingsbesluit Besturing eHerkenning getekend.[3] Het instellingsbesluit legt officieel vast welke zeggenschap de betrokken partijen hebben over de inhoud en ontwikkeling van het Afsprakenstelsel eHerkenning. Deze is in 2015 vervangen door het instellingsbesluit besturing elektronische toegangsdiensten.[4]

In het instellingsbesluit zijn drie gremia gedefinieerd die het bestuur van eHerkenning vormen:

  • Strategisch niveau (de Stelselraad)
  • Tactisch niveau (Tactisch Overleg)
  • Operationeel niveau (Operationeel Overleg)

Op alle niveaus hebben zowel aanbiedende marktpartijen, als afnemende dienstverleners en ondernemers inspraak. De gremia in de governancestructuur vergaderen op reguliere basis met elkaar. Het secretariaat van de gremia wordt uitgevoerd door de beheerorganisatie.

Rollen binnen eHerkenning[bewerken | brontekst bewerken]

Rolverdeling eHerkenning

Het Afsprakenstelsel eHerkenning onderscheidt vier rollen binnen het netwerk. Erkende leveranciers kunnen één of meerdere rollen vervullen.

  1. Middelenuitgever: geeft inlogmiddelen uit aan bedrijven. Deze gelden per medewerker en zijn dus persoonsgebonden. De middelenuitgever doet de vereiste identiteitscontrole op basis van identiteitsbewijzen, conform de vereisten voor elk betrouwbaarheidsniveau.
  2. Authenticatiedienst: heeft de verantwoordelijkheid voor het authenticeren van uitvoerende natuurlijke personen die inloggen.
  3. Machtigingenregister: Heeft de verantwoordelijkheid voor het registreren en onderhouden van bevoegdheden en het controleren van bevoegdheden. In dit register ligt vast welk (persoonsgebonden) authenticatiemiddel welke machtiging heeft. Een machtiging kan alleen worden vastgelegd door de wettelijk vertegenwoordiger (zoals vastgelegd in KvK) of iemand die door deze is gemachtigd.
  4. eHerkenningsmakelaar: Richt koppelvlakken in en zorgt voor technische koppelingen bij de aansluiting. Vormt het koppelpunt tussen het netwerk voor eHerkenning en de dienstverleners, en heeft een routeer- en navigatiefunctie in het netwerk.

Voor de juiste werking van eHerkenning is het verplicht dat alle authenticatiediensten, machtigingenregisters en eHerkenningsmakelaars met elkaar koppelen (‘alle op alle’).

Betrouwbaarheidsniveaus[bewerken | brontekst bewerken]

Bij online dienstverlening wordt informatie uitgewisseld met een andere partij. Dit kan openbare informatie zijn of juist gevoelige informatie. De ene online dienst moet daarom meer afgeschermd worden dan de andere.

Anno 2023 zijn er binnen eHerkenning vier niveaus van betrouwbaarheid, waarmee diensten afgeschermd kunnen worden:

  • EH2: (basis)
  • EH2+: (basis)
  • EH3: (substantieel)
  • EH4: (hoog)

Niveau EH1 (inloggen met gebruikersnaam en wachtwoord) is in 2021 afgeschaft, het wordt met ingang van de Wet digitale overheid beschouwd als onvoldoende veilig voor overheid en publieke diensten.

Dienstverleners bepalen zelf met welk betrouwbaarheidsniveau zij hun diensten willen aanbieden. De betrouwbaarheidsniveaus zijn gebaseerd op het Europese STORK-raamwerk,[5] dat zich richt op interoperabiliteit van authenticatiemiddelen tussen lidstaten. De vier betrouwbaarheidsniveaus beschrijven in generieke termen waaraan authenticatiemiddelen moeten voldoen, zowel in technische zin (1 of 2 factor, wachtwoord, encryptie, etc.) als in procedurele zin. Denk hierbij vooral aan de aspecten van het uitgifteproces zoals controles van brondocumenten ((KvK)-inschrijvingen, identiteitsbewijzen, wel of niet toestaan van kopieën) en wel of niet een fysieke uitreiking van het middel (zoals bij het hoogste niveau 4, PKI-certificaat).

Het Forum Standaardisatie heeft in 2014 een handreiking 'Betrouwbaarheidsniveaus voor authenticatie bij elektronische overheidsdiensten' gepubliceerd,[6] waarin praktische aanwijzingen worden gegeven voor het nadenken en besluiten over betrouwheidsniveaus van elektronische diensten.

Aanvraag betrouwbaarheidsniveau[bewerken | brontekst bewerken]

Aanvragen worden gedaan bij erkende leveranciers. Onderstaande tabel geeft een overzicht van de vereisten anno 2023.[7]

Veiligheids-aspect Procedure en verschil met vorig niveau EH2 EH2+ EH3 EH4
Inloggen Procedure Gebruikersnaam en sterk wachtwoord Tweefactor-authenticatie:

en: gebruikersnaam en wachtwoord

en: sms-code of pincode via een token

Tweefactor-authenticatie:

en: Gebruikersnaam en wachtwoord

en: Sms-code of pincode via een token of app met QR-code

of: PKI-certificaat

of: Tweefactor-authenticatie

Verschil Tweefactor-authenticatie Eventueel via app met QR-code Eventueel via PKI-certificaat
Aanvragen Procedure Online of: Volledig online

of: Deels online en deels offline: ondertekend aanvraagformulier en de benodigde documenten per post

Verschil Eventueel deels offline
Identiteit Procedure Kopie van een wettelijk identiteitsdocument (WID) Kopie van een wettelijk identiteitsdocument (WID) Wettelijk identiteitsdocument (geen kopie) met ontmoeting en controle op een zelfgekozen locatie.

Identiteitscontrole voor:

en: Wettelijk vertegenwoordiger

en: Machtigingenbeheerder

en: Gebruiker

Wettelijk identiteitsdocument (geen kopie) met ontmoeting en controle op een zelfgekozen locatie.

Identiteitscontrole voor:

en: Wettelijk vertegenwoordiger

en: Machtigingenbeheerder

en: Gebruiker

Hebben de vertegenwoordiger en de beheerder een gekwalificeerd certificaat, dan kan de aanvraag daarmee ondertekenend worden. Aanvullende identificatie is dan niet nodig.

Verschil Ontmoeting en controle op basis van een wettelijk identiteitsdocument Ontmoeting en strikte controle van identiteit
Bevoegdheid Procedure KVK-registratie en: KVK-registratie

en: Persoonlijke controle van identiteit, zie boven

en: KVK-registratie

en: Strikte controle van identiteit, zie boven

Verschil Persoonlijke controle van identiteit Strikte controle van identiteit
Uitgifte en ontvangst Procedure Vaak online, op basis van een betrouwbaar brondocument en: Activeringscode

en: Wachtwoord

Ontvanger krijgt code en wachtwoord apart van elkaar.

of: Online

of: Offline (bijvoorbeeld via aangetekende post)

Offline (bij de meeste leveranciers).

Bijvoorbeeld via aangetekende post of door het middel zelf op te halen.

Verschil Activeringscode Eventueel via aangetekende post Meestal niet online. Eventueel zelf ophalen.

Functionaliteit en doorontwikkeling[bewerken | brontekst bewerken]

De functionaliteit van eHerkenning omvat basisfuncties en optionele functies. De functionele ontwikkeling wordt door marktvraag gedreven: na een formeel wijzigingsproces van de beheersorganisatie volgt er een volgende versie van het afsprakenstelsel. Hieronder volgt een overzicht van de functionaliteit per versie.

Basisfuncties (versies 1.1 t/m 1.4)[bewerken | brontekst bewerken]

  • Handelende bedrijven identificeren en authenticeren.
  • Authenticatiemiddelen aanvragen en gebruiken.
  • Machtigingen registreren en raadplegen in een machtigingenregister (autorisatie).
  • Diensten aansluiten/afnemen.
  • Zelfverklaarde (= door de gebruiker opgegeven) attributen opvragen. Enkel na uitdrukkelijke toestemming van de betrokkene kunnen gegevens doorgegeven worden aan de dienstverlener, waarbij op de webdienst wordt ingelogd.

Functionaliteit versie 1.5[bewerken | brontekst bewerken]

Deze versie, uit juli 2012, bracht de volgende verbeteringen:

  • eHerkenning is ook te gebruiken binnen het business-to-businessdomein (bedrijven onderling).
  • eHerkenning is ook te gebruiken binnen het government to governement domein (overheden onderling).
  • Ondersteuning van het nieuwe Kamer van Koophandel vestigingsnummer.
  • Betrouwbaarheidsniveaus van eHerkenning zijn meer in lijn gebracht met de internationale STORK norm.

Functionaliteit versie 1.7[bewerken | brontekst bewerken]

Deze versie kwam uit in april 2013. Verschillende functies uit versie 1.7 zijn optioneel. Dit betekent dat ze pas worden ontwikkeld als een dienstverlener aangeeft er gebruik van te willen maken.

  • Consumenten (B2C) - Individuele personen kunnen geauthenticeerd worden namens zichzelf, als privépersoon online zaken te regelen. Deze functie wordt momenteel aangeboden door 3 erkende aanbieders: Reconi (voorheen CreAim)[8], KPN en Z login.[9]
  • Beroepsbeoefenaren -Individuele personen kunnen worden geauthenticeerd om namens zichzelf, als beroepsbeoefenaar (bijv. advocaat), online zaken te regelen. Dit gebeurt op basis van een beroepsregister. Implementatie van deze functie is optioneel.
  • Ketenmachtigingen - Afnemers van diensten kunnen intermediaire organisaties machtigen. Zo kan een directeur bijvoorbeeld een accountantsbureau machtigen, waarna dit bureau vervolgens weer een eigen medewerker machtigt. Deze functie wordt momenteel aangeboden door 2 erkende aanbieders: Reconi (voorheen CreAim)[8] en KPN.
  • Gevalideerde Attribuutverstrekking - Naast authenticatie kunnen ook attributen opgevraagd en verstrekt worden van de gebruiker (bijvoorbeeld naam of e-mailadres) of het bedrijf (bijvoorbeeld naam of adres van het bedrijf) dat hij vertegenwoordigt. Deze attributen kunnen worden verstrekt op verschillende betrouwbaarheidsniveaus (van zelfverklaard tot gevalideerd in het handelsregister). Implementatie van deze functie is optioneel.
  • Single Sign On - Als een gebruiker eenmaal is ingelogd met eHerkenning, dan hoeft hij niet nogmaals in te loggen bij een website van een andere overheidsorganisatie zolang de eerste sessie actief is. Deze functie is met name relevant voor dienstverleners die verscheidene diensten aanbieden of voor het gebruik van online dienstenportalen. Implementatie van deze functie is optioneel.
  • Koppelvlak - Het koppelvlak Dienstverlener – Herkenningsmakelaar is verder gestandaardiseerd. Dienstverleners kunnen hiermee gebruik maken van standaard SAML pakketten om aan te sluiten op eHerkenning.

In april en oktober 2014 zijn versies 1.8a, 1.8b en 1.8c uitgekomen. Deze bevatten een aanscherping van enkele processen in het Operationeel handboek, alsmede wijzigingen in het Juridisch kader.[10]

Versie 1.9[bewerken | brontekst bewerken]

Versie (1.9) van het Afsprakenstelsel eHerkenning vormt de basis van het introductieplateau eID Stelsel. Deze versie werd in december 2015 in productie genomen.[11]

1.10 en 1.11 volgden later.[11]

Versie 1.13 is anno 2023 de meest recente versie van eHerkenning. Deze is ingevoerd op 24 maart 2022.[12]

Erkende aanbieders[bewerken | brontekst bewerken]

Erkende leveranciers van eHerkenningsmiddelen:

  • We-ID (voorheen Connectis)
  • Digidentity
  • KPN
  • QuoVadis
  • Reconi (voorheen CreAim)[8]
  • Z login[9]

Erkende eHerkenningsmakelaars:

  • Signicat (voorheen Connectis)
  • Digidentity
  • Gemnet (KPN Lokale Overheid)
  • OneWelcome (voorheen iWelcome)
  • KPN[13][14]
  • Reconi (voorheen CreAim)[8]

Zie ook[bewerken | brontekst bewerken]

Externe links[bewerken | brontekst bewerken]