eHerkenning

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
eHerkenning logo

eHerkenning is een gestandaardiseerd inlogsysteem, waarmee organisaties hun diensten veilig online toegankelijk kunnen maken. In essentie regelt eHerkenning de digitale herkenning (authenticatie) en controleert het de digitale bevoegdheid (autorisatie) van iemand die online een dienst wil afnemen. Ondernemers, consumenten en ambtenaren loggen met hun eHerkenningsmiddel, het inlogmiddel, in op een webdienst van een aangesloten organisatie en kunnen zo online hun zaken regelen. eHerkenning is één van de voorzieningen die samen de generieke digitale infrastructuur voor de e-overheid vormen. eHerkenning valt onder het Afsprakenstelsel elektronische toegangsdiensten (ETD-stelsel), welke op haar beurt onderdeel is van het eID-stelsel.

Aanleiding[bewerken]

eHerkenning is opgericht in 2009 en is de opvolger van ‘DigiD voor bedrijven’. Tot dan toe ontbrak een inlogvoorziening voor bedrijven om betrouwbaar en veilig online zaken te doen met de overheid. EZ nam daarom in 2009 het initiatief tot een marktconsultatie. Hierin gaven 18 commerciële partijen aan dat ze samen met het ministerie van Economische Zaken (EZ) willen investeren in eHerkenning. Samen ontwikkelden zij vervolgens eHerkenning. eHerkenning is daarom een publiek private samenwerking (PPS)

In 2010 sloot Agentschap NL als eerste grote dienstverlener aan op eHerkenning. Sindsdien is eHerkenning uitgegroeid tot een robuust gestandaardiseerd inlogsysteem. Meer dan 160.000 gebruikers loggen jaarlijks bijna 1.7 miljoen keer in op de webdiensten van ruim 130 dienstverleners.

Publiek-private samenwerking[bewerken]

Aan de basis van eHerkenning staat het samenwerkingsverband tussen het ministerie van Economische Zaken (EZ) en het bedrijfsleven. eHerkenning is georganiseerd als stelsel en is dus geen op zichzelf staande technische voorziening die bij de overheid wordt beheerd. eHerkenning wordt geleverd door meerdere erkende aanbieders in een netwerk. Zij werken volgens gezamenlijke afspraken: het Afsprakenstelsel eHerkenning.[1]

Partijen die eHerkenning willen aanbieden, dienen toe te treden tot het Afsprakenstelsel eHerkenning via het zogeheten toetredingsproces. In het Afsprakenstelsel eHerkenning staan de kaders waar alle betrokken zich aan moeten houden. Tegelijkertijd biedt het afsprakenstelsel voldoende ruimte voor de erkende marktpartijen om met elkaar te concurreren. Het afsprakenstelsel wordt beheerd door de overheid en de erkende aanbieders van eHerkenning staan onder strikt toezicht van de overheid.

Afsprakenstelsel eHerkenning[bewerken]

Het Afsprakenstelsel is simpelweg een set van afspraken die de deelnemers samen hebben vastgelegd. Het doel hiervan is om samenwerking en zekerheid in het netwerk te garanderen. Het gaat hier bijvoorbeeld om afspraken omtrent het beheer, de ontwikkelingen, technische functionaliteiten, beveiliging en privacy. Alle erkende aanbieders voldoen aan deze afspraken, waardoor het mogelijk is om in een gezamenlijk netwerk diensten aan te bieden en tegelijkertijd onderling met elkaar te concurreren.

De beheerorganisatie van eHerkenning (Logius) beheert sinds 1 oktober 2012 het Afsprakenstelsel eHerkenning. Dat wil zeggen dat de beheerorganisatie de wijzigingen in het afsprakenstelsel verwerkt en de nieuwe versie publiceert. Daarnaast doet de beheerorganisatie de controle op en het monitoren van de naleving van het Afsprakenstelsel door de aangesloten dienstverleners en de erkende marktpartijen op basis van het door eHerkenning vastgestelde nalevingsbeleid. Tot slot controleert de beheerorganisatie het gebruik van het merk in opdracht van het Ministerie van Economische Zaken. De meest actuele informatie over het Afsprakenstelsel eHerkenning staat beschreven op de website van eHerkenning.[1]

Besturingsmodel van eHerkenning[bewerken]

De bijzondere vorm van organisatie bij eHerkenning vergt een bijbehorende governance (besturingsmodel). Het borgen van de inspraak van de betrokken partijen is voor een afsprakenstelsel zeer belangrijk. In 2012 heeft Minister Verhagen, destijds minister van Economische Zaken, Landbouw en Innovatie het Instellingsbesluit Besturing eHerkenning getekend.[2] Het instellingsbesluit legt officieel vast welke zeggenschap de betrokken partijen hebben over de inhoud en ontwikkeling van het Afsprakenstelsel eHerkenning. Deze is in 2015 vervangen door het instellingsbesluit besturing elektronische toegangsdiensten.[3]

In het instellingsbesluit zijn drie gremia gedefinieerd die het bestuur van eHerkenning vormen:

  • Strategisch niveau (de Stelselraad)
  • Tactisch niveau (Tactisch Overleg)
  • Operationeel niveau (Operationeel Overleg)

Op alle niveaus hebben zowel aanbiedende marktpartijen, als afnemende dienstverleners en ondernemers inspraak. De gremia in de governancestructuur vergaderen op reguliere basis met elkaar. Het secretariaat van de gremia wordt uitgevoerd door de beheerorganisatie.

Rollen binnen eHerkenning[bewerken]

Rolverdeling eHerkenning

Het Afsprakenstelsel eHerkenning onderscheidt 4 rollen binnen het netwerk. Erkende leveranciers kunnen één of meerdere rollen vervullen.

  1. Middelenuitgever: Deze geeft inlogmiddelen uit aan (medewerkers van) bedrijven. Deze inlogmiddelen zijn persoonsgebonden. De middelenuitgever doet de vereiste identiteitscontrole (op basis paspoort, rijbewijs en identiteitskaart) conform de vereisten voor elk betrouwbaarheidsniveau.
  2. Authenticatiedienst: heeft de verantwoordelijkheid voor het authenticeren van uitvoerend natuurlijk personen (die inloggen).
  3. Machtigingenregister: Heeft de verantwoordelijkheid voor het registreren en onderhouden van bevoegdheden en het controleren van bevoegdheden. In dit register ligt vast welk (persoonsgebonden authenticatiemiddel) welke machtiging heeft. Een machtiging kan alleen worden vastgelegd door de wettelijk vertegenwoordiger (zoals vastgelegd in (KvK) of iemand die door deze is gemachtigd.
  4. eHerkenningsmakelaar: Richt koppelvlakken in en zorgt voor technische koppelingen bij de aansluiting. Vormt het koppelpunt tussen het netwerk voor eHerkenning en de dienstverleners, en heeft een routeer- en navigatiefunctie in het netwerk.

Voor de juiste werking van eHerkenning is het verplicht dat alle authenticatiediensten, machtigingenregisters en eHerkenningsmakelaars met elkaar koppelen (‘alle op alle’).

Betrouwbaarheidsniveaus[bewerken]

Bij online dienstverlening wordt informatie uitgewisseld met een andere partij. Dit kan openbare informatie zijn of juist gevoelige informatie. De ene online dienst moet daarom meer afgeschermd worden dan de andere. Binnen eHerkenning zijn er 5 niveaus van betrouwbaarheid, waarmee diensten afgeschermd kunnen worden: van laag (EH1) tot zeer hoog (EH4). Dienstverleners bepalen zelf met welk betrouwbaarheidsniveau zij hun diensten willen aanbieden. De betrouwbaarheidsniveaus zijn gebaseerd op het Europese STORK raamwerk,[4] dat zich richt op interoperabiliteit van authenticatiemiddelen tussen lidstaten. De vijf betrouwbaarheidsniveaus beschrijven in generieke termen waaraan authenticatiemiddelen moeten voldoen, zowel in technische zin (1 of 2 factor, wachtwoord, encryptie, etc.) als in procedurele zin. Denk hierbij vooral aan de aspecten van het uitgifteproces zoals controles van brondocumenten ((KvK)-inschrijvingen, identiteitsbewijzen, wel of niet toestaan van kopieën) en wel of niet een fysieke uitreiking van het middel (zoals bij het hoogste niveau 4, PKI-certificaat).

Het Forum Standaardisatie heeft in 2014 een handreiking 'Betrouwbaarheidsniveaus voor authenticatie bij elektronische overheidsdiensten' gepubliceerd [5],waarin praktische aanwijzingen worden gegeven voor het nadenken en besluiten over betrouwheidsniveaus van elektronische diensten.

Functionaliteiten en doorontwikkeling[bewerken]

eHerkenning ondersteunt verschillende functionaliteiten. Naast basis functionaliteiten, bestaan er ook een aantal optionele functionaliteiten. De functionele ontwikkeling wordt door marktvraag gedreven, middels een formeel wijziging proces van de beheerorganisatie. Daarna volgt er een volgende ‘release’ van het afsprakenstelsel. Hieronder volgt een overzicht van alle functionaliteiten per release.

Basis functionaliteiten (Release 1.1 t/m 1.4)

  • Het identificeren en authenticeren van een handelend bedrijf.
  • Het aanvragen en gebruiken van een authenticatiemiddel.
  • Het registreren van een machtiging en het raadplegen ervan in een machtigingenregister (autorisatie).
  • Een dienst aansluiten/ afnemen.
  • Het opvragen van zogenoemde zelfverklaarde attributen die de gebruiker opgeeft. Gegevens kunnen onder alleen uitdrukkelijke toestemming van de betrokkene doorgegeven worden aan de dienstverlener waarbij op de webdienst wordt ingelogd.

Functionaliteiten Release 1.5 Deze release is in juli 2012 gerealiseerd.

  • eHerkenning is nu ook te gebruiken binnen het business to business- domein (bedrijven onderling).
  • eHerkenning is nu ook te gebruiken binnen het government to governement domein (overheden onderling).
  • Ondersteuning van het nieuwe Kamer van Koophandel vestigingsnummer.
  • Betrouwbaarheidsniveaus van eHerkenning zijn meer in lijn gebracht met de internationale STORK norm.

Functionaliteiten Release 1.7 Deze release is in april 2013 gerealiseerd. Een aantal functionaliteiten uit release 1.7 zijn optioneel. Dit betekent dat ze pas worden ontwikkeld als een dienstverlener aangeeft dat ze gebruik willen maken van een bepaalde functionaliteit.

  • Consumenten (B2C) - Individuele personen kunnen worden geauthenticeerd om namens zichzelf, als privépersoon online zaken te regelen. Deze functionaliteit wordt momenteel aangeboden door 3 erkende aanbieders: CreAim, KPN en Zet login.
  • Beroepsbeoefenaren -Individuele personen kunnen worden geauthenticeerd om namens zichzelf, als beroepsbeoefenaar (bijv. advocaat), online zaken te regelen. Dit gebeurt op basis van een beroepsregister. Implementatie van deze functionaliteit is optioneel.
  • Ketenmachtigingen - Afnemers van diensten kunnen intermediaire organisaties machtigen. Zo kan een directeur bijvoorbeeld een accountantsbureau machtigen, waarna dit bureau vervolgens weer een eigen medewerker machtigt. Deze functionaliteit wordt momenteel aangeboden door 2 erkende aanbieders: CreAim en KPN.
  • Gevalideerde Attribuutverstrekking - Naast authenticatie kunnen ook attributen opgevraagd en verstrekt worden van de gebruiker (bijvoorbeeld naam of e-mailadres) of het bedrijf (bijvoorbeeld naam of adres van het bedrijf) dat hij vertegenwoordigt. Deze attributen kunnen worden verstrekt op verschillende betrouwbaarheidsniveaus (van zelfverklaard tot gevalideerd in het handelsregister). Implementatie van deze functionaliteit is optioneel.
  • Single Sign On - Als een gebruiker eenmaal is ingelogd met eHerkenning, dan hoeft hij niet nogmaals in te loggen bij een website van een andere overheidsorganisatie zolang de eerste sessie actief is. Deze functionaliteit is met name relevant voor dienstverleners die meerdere diensten aanbieden of voor het gebruik van online dienstenportalen. Implementatie van deze functionaliteit is optioneel.
  • Koppelvlak - Het koppelvlak Dienstverlener – Herkenningsmakelaar is verder gestandaardiseerd. Dienstverleners kunnen hiermee gebruikmaken van standaard SAML pakketten om aan te sluiten op eHerkenning.

In april en oktober 2014 zijn Release 1.8a, 1.8b en 1.8c gepubliceerd. Deze bevatten een aanscherping van enkele processen in het Operationeel handboek, alsmede wijzigingen in het Juridisch kader. [6]

Release 1.9 Release (1.9) van het Afsprakenstelsel eHerkenning vormt de basis van het introductieplateau eID Stelsel. Deze release werd in december 2015 in productie genomen.[7]

1.10 en 1.11 volgden later.[7]

Er wordt nu gewerkt aan versie 2.[7]

Erkende aanbieders[bewerken]

Erkende leveranciers van eHerkenningsmiddelen:

  • Connectis
  • CreAim
  • Digidentity
  • KPN
  • QuoVadis
  • Zlogin

Erkende eHerkenningsmakelaars:

  • Connectis
  • CreAim
  • Digidentity
  • Gemnet (KPN Lokale Overheid)
  • iWelcome
  • KPN[8][9]

Ontwikkeling Idensys[bewerken]

De Nederlandse overheid werkt samen met het bedrijfsleven aan een nieuwe standaard voor toegang tot online dienstverlening: Idensys. Op dit moment kan men eHerkenning al gebruiken in het bedrijven- en consumentendomein. Burgers loggen in met DigiD. Met Idensys wordt het mogelijk om inlogmiddelen zowel in het bedrijven-, consumenten- als het burgerdomein te gebruiken. Burgers, consumenten en ondernemers kunnen dan zelf kiezen met welk inlogmiddel ze bij een organisatie willen inloggen. Idensys wordt stapsgewijs ontwikkeld. Voor de eerste stap, het introductieplateau eID, vormt het Afsprakenstelsel eHerkenning de basis.[10]

Zie ook[bewerken]

Externe links[bewerken]