Indien u gebruik wilt blijven maken van bijvoorbeeld het werkgeversportaal van UWV, dient uw organisatie uiterlijk 1 november 2019 op eHerkenning te zijn aangesloten. Wat betekent dat voor uw organisatie? Wat levert het op en welke keuzes zijn er te maken? In dit artikel zetten we alles op een rij.
Wat is eHerkenning eigenlijk? Kort gezegd is dit het authenticatiemiddel waarmee u veilig toegang krijgt tot de digitale diensten van de overheid en andere aangesloten organisaties. Denk daarbij aan de Rijksdienst voor Ondernemend Nederland (RVO) of het UWV. Het grote voordeel is dat u met slechts één digitale sleutel met al deze organisaties kunt communiceren. Dit werkt kostenbesparend en efficiënt, aangezien u niet meer te maken heeft met per organisatie verschillende toegangsprocedures.
Bovendien hebben veel Nederlandse organisaties en instanties zich tot doel gesteld uiterlijk voor de invoering van de wet Digitale Overheid aangesloten te zijn op eHerkenning. Hiervoor kunt u de keuze maken uit verschillende eHerkenningsmakelaars, bijvoorbeeld eHerkenning van KPN, die applicaties heeft ontwikkeld om dit voor uw organisatie te regelen. Centraal bij de aansluiting op eHerkenning staat het betrouwbaarheidsniveau dat nodig is. Deze is afhankelijk van het soort gegevens dat uw organisatie wenst uit te wisselen en welke digitale diensten u af wilt nemen. Het betrouwbaarheidsniveau bepaalt de beveiligingsgraad en daarmee het soort gegevens dat medewerkers binnen uw organisatie met andere organisaties en instanties via eHerkenning mogen uitwisselen.
De wet Digitale Overheid biedt het bedrijfsleven elektronische identificatiemiddelen (zoals eHerkenning) met een hogere mate van betrouwbaarheid dan het huidige DigiD
Persoonsgebonden
Binnen eHerkenning worden vijf betrouwbaarheidsniveaus onderscheiden. Hoe hoger het niveau, des te gevoeliger de informatie die de aangesloten medewerker te zien krijgt. Daar staat tegenover dat de dienstverlener die deze gegevens deelt meer informatie nodig heeft over de identiteit van de aangesloten medewerker die deze digitale dienst afneemt. Een hoger betrouwbaarheidsniveau betekent ook dat een medewerker tijdens de aanvraag van een eHerkenningsmiddel meer persoonsgegevens moet aanleveren, zoals officiële documenten over zijn of haar identiteit. Want eHerkenning is persoonsgebonden; de ene medewerker heeft mogelijk andere bevoegdheden dan zijn of haar collega.
De 5 betrouwbaarheidsniveaus
Hieronder vindt u een overzicht van de betrouwbaarheidsniveaus voor eHerkenning. Per categorie is het verloop van de aanvraagprocedure en de inlogmethoden op een rij gezet.
Voor de betrouwbaarheidsniveaus eH1 en eH2 zijn naast een gebruikersnaam en wachtwoord geen extra gegevens nodig om in te loggen. Aangezien deze beveiligingsniveaus niet voldoen aan de richtlijnen van de in 2018 in werking getreden Algemene verordening gegevensbescherming (AVG), zijn er nog maar weinig partijen die dit aanvragen. Erkende eHerkenningsmakelaars zullen dan ook vrijwel nooit adviseren om een van deze twee beveiligingsniveaus te kiezen, tenzij daar een heel specifieke reden voor is.
eH3 is het meest aangevraagde eHerkenningsniveau en wordt gezien als de standaard
Bij het inloggen met eH2+ en eH3 wordt gebruik gemaakt van 2-factor authenticatie. Naast de gebruikersnaam en het wachtwoord ontvangt de gebruiker een ‘token’. Afhankelijk van bij welke eHerkenningsmakelaar de organisatie is aangesloten, ontvangt de gebruiker bijvoorbeeld een unieke reeks getallen die eerder met de aanvrager is gedeeld of een willekeurig gegenereerde pincode die via sms of een speciaal daarvoor bestemd device kenbaar wordt gemaakt bij het inloggen. Het verschil tussen eH2+ en eH3 zit in de controle van de bevoegdheid tijdens de aanvraagprocedure: voor eH3 moet iemand zich fysiek identificeren of heeft de werkgever de identiteit van een medewerker reeds vastgesteld, terwijl de bevoegdheidscontrole bij eH2+ volledig online plaatsvindt. eH3 is het meest aangevraagde eHerkenningsniveau en wordt gezien als de standaard. Zo maken de meeste gemeenten en provincies gebruik van eH2+ of eH3, evenals de Belastingdienst en het Centraal Justitieel Incassobureau.
Voor het hoogste betrouwbaarheidsniveau, eH4, is een PKI-overheidscertificaat nodig. PKI staat voor Public Key Infrastructure. Er zijn verschillende PKI-overheidscertificaten, zoals servercertificaten en beroepscertificaten, maar voor eHerkenning is enkel het persoonlijke certificaat relevant. Dit is een digitaal certificaat dat aan strenge overheidseisen voldoet en is gekoppeld aan het stamcertificaat Staat der Nederlanden. Vaak staat een PKI-overheidscertificaat op een USB-stick of een smartcard, deze is nodig om het inlogproces te voltooien. KPN en een handvol gemeenten zijn partijen die vooralsnog gebruik maken van eH4. Vanwege de recente invoering van de Europese eIDAS verordening, waarmee het voor organisaties en instanties veiliger wordt om binnen de Europese grenzen online zaken te doen, zal eH4 naar verwachting steeds vaker een vereiste zijn. Voor grensoverschrijdende gegevensuitwisseling is in veel gevallen namelijk een substantieel of hoog betrouwbaarheidsniveau nodig en daarvoor voldoet eH3 of eH4.
Toegang op maat
Het lijkt misschien handig om meteen voor alle betrokken medewerkers het hoogste betrouwbaarheidsniveau aan te vragen. Echter, de verschillende betrouwbaarheidsniveaus zorgen ervoor dat per werknemer bepaald kan worden wie welke gegevens mag uitwisselen of inzien. Het kan dus zomaar zijn dat de directie een PKI-overheidscertificaat krijgt, terwijl een collega zich aanmeldt met een pincode die per sms is toegezonden.
Bovendien geldt voor ieder betrouwbaarheidsniveau een ander tarief. Daar komt bij dat aan de aanvraag van een PKI overheids-certificaat extra kosten zijn verbonden, nog een reden dus om niet voor iedere werknemer meteen eH4 aan te vragen. Mocht in een later stadium een hoger betrouwbaarheidsniveau nodig zijn, dan is upgraden altijd mogelijk.
Aan de slag
Voordat u uw organisatie op eHerkenning kunt aansluiten, dient u uit te zoeken welk betrouwbaarheidsniveau daarvoor nodig is. U kunt daarvoor de volgende stappen doorlopen:
Beantwoord de volgende vragen:
Bij welke organisaties of instanties wilt u digitaal diensten afnemen?
Met welke organisaties of instanties wilt u digitaal gegevens uitwisselen?
Achterhaal van welke betrouwbaarheidsniveaus de organisaties en instanties waarmee u online zaken wilt doen gebruik maken. U vindt deze informatie hier of op de websites van de betreffende partijen.
Zoek een eHerkenningsmakelaar die bij uw organisatie past. Deze kan u helpen antwoord te geven op de vragen uit de eerste stap, uw organisatie helpen aan te sluiten op eHerkenning, en voor alle werknemers een passend betrouwbaarheidsniveau aan te vragen. KPN is één van de door de overheid erkende eHerkenningsmakelaars, die daarnaast een extra service biedt in de vorm van een eHerkenning beheermodule.
Indien u weet met welke instanties uw organisatie zakendoet, is aansluiting op eHerkenning relatief eenvoudig te realiseren.
Beheermodule
De KPN eHerkenning beheermodule biedt een overzicht van alle medewerkers binnen een organisatie die een eHerkenningsmiddel hebben plus informatie over het bijbehorende betrouwbaarheidsniveau. Eén medewerker fungeert als machtigingsbeheerder. Deze persoon kan een wijziging van het betrouwbaarheidsniveau van een collega aanvragen, maar niet zelf het betrouwbaarheidsniveau wijzigen. De beheermodule is geen vereiste, maar maakt het beheer van eHerkenningsmiddelen en machtigingen eenvoudig en overzichtelijk. Ook komt uw organisatie in aanmerking voor staffelkorting wanneer u eHerkenningsmiddelen via de KPN eHerkenning beheermodule aanvraagt.
Ketenmachtiging
Ook ketenmachtiging kan met eHerkenning worden ondersteund. Een ketenmachtiging stelt organisaties in staat tussenpartijen, zoals een intermediair, te machtigen om namens de organisatie via eHerkenning zaken te doen met andere partijen. Wanneer een tussenpartij bijvoorbeeld namens een organisatie de administratie bij UWV doet, is een ketenmachtiging nodig. De tussenpartij kan de machtiging vervolgens op naam van een medewerker laten registreren, zodat hij of zij de juiste bevoegdheden krijgt om namens de organisatie te handelen. Hiervoor heeft de medewerker minimaal eHerkenning op betrouwbaarheidsniveau eH3 nodig.
Zodra u weet met welke instanties uw organisatie zakendoet, is aansluiting op eHerkenning relatief eenvoudig te realiseren. Deze digitale sleutel biedt vele voordelen. De werknemers binnen uw organisatie kunnen eenvoudig communiceren met partijen waartoe zij gemachtigd zijn. Dit werkt efficiënt en ook nog eens kostenbesparend.
