Uiterlijk 1 november 2019 dient uw organisatie aangesloten te zijn op eHerkenning. Wat betekent dat voor uw organisatie? Wat levert het op en welke keuzes zijn er te maken? In dit artikel zetten we alles op een rij.
eHerkenning is het authenticatiemiddel waarmee u veilig toegang krijgt tot de digitale diensten van de overheid en andere aangesloten organisaties. Met slechts één digitale sleutel is het mogelijk om met al deze organisaties te communiceren. Dit werkt kostenbesparend en efficiënt, aangezien u niet meer te maken heeft met per organisatie verschillende toegangsprocedures.
Bovendien is er een wettelijke verplichting dat alle Nederlandse organisaties en instanties zich uiterlijk voor 1 november 2019 op eHerkenning aansluiten. Hiervoor kunt u de keuze maken uit verschillende eHerkenningsmakelaar zoals KPN[LINK?], die applicaties hebben ontwikkeld om dit voor uw organisatie te regelen. Bij de aanvraag staat het benodigde betrouwbaarheidsniveau centraal. Deze is afhankelijk van het soort gegevens die uw organisatie wenst uit te wisselen en welke digitale diensten u af wilt nemen. Dit betrouwbaarheidsniveau bepaalt het beveiligingsniveau en daarmee het soort gegevens dat medewerkers binnen uw organisatie met andere organisaties en instanties via eHerkenning mogen uitwisselen.
Persoonsgebonden
eHerkenning kent vijf betrouwbaarheidsniveaus. Hoe hoger het niveau, des te gevoeliger de informatie die de aangesloten medewerker krijgt te zien. Daar staat tegenover dat de dienstverlener die deze gegevens deelt meer informatie nodig heeft over de identiteit van de aangesloten medewerker die deze digitale dienst afneemt. Een hoger betrouwbaarheidsniveau betekent echter ook dat een medewerker tijdens de aanvraag van een eHerkenningsmiddel meer persoonsgegevens aan moet leveren, zoals officiële documenten over zijn of haar identiteit. Want eHerkenning is persoonsgebonden; de ene medewerker heeft mogelijk andere bevoegdheden dan een collega.
De 5 betrouwbaarheidsniveaus
Hieronder vindt u een overzicht van de eHerkenning betrouwbaarheidsniveaus. Daarin zijn het verloop van de aanvraagprocedure en de inlogmethoden per betrouwbaarheidsniveau op een rij gezet.
eH1 en eH2 zijn de laagste betrouwbaarheidsniveaus. Naast een gebruikersnaam en wachtwoord heeft u geen extra gegevens nodig om in te loggen. Deze beveiligingsniveaus voldoen niet aan de richtlijnen van de in 2018 in werking getreden Algemene verordening gegevensbescherming (AVG) en om die reden zijn er nog maar weinig partijen die eH1 of eH2 aanvragen. Erkende eHerkenningsmakelaars zullen u dan ook vrijwel nooit adviseren om een van deze twee beveiligingsniveaus te kiezen, tenzij daar een heel specifieke redenen voor is.
Bij het inloggen met eH2+ en eH3 wordt gebruik gemaakt van 2-factor authenticatie. Afhankelijk van bij welke eHerkenningsmakelaar u het eHerkenningsmiddel aanvraagt, ontvangt u een ‘token’. Dit kan zowel een unieke reeks getallen zijn die eerder met de aanvrager is gedeeld als een willekeurig gegenereerde pincode die via sms of een speciaal daarvoor bestemd device aan de aanvrager kenbaar wordt gemaakt wanneer moet worden ingelogd. Naast het token moet uiteraard de gebruikersnaam en het bijbehorende wachtwoord worden ingevuld. Het verschil tussen eH2+ en eH3 zit hem in de controle van de bevoegdheid ten tijde van de aanvraag: voor eH3 moet iemand zich fysiek identificeren, terwijl de bevoegdheidscontrole bij eH2+ volledig online plaatsvindt. eH3 wordt alom gezien als de nieuwe standaard en is het meest aangevraagde eHerkenningsniveau. Zo maken de meeste gemeenten en provincies gebruik van eH2+ of eH3, evenals de Belastingdienst en het Centraal Justitieel Incassobureau.
Voor het hoogste betrouwbaarheidsniveau, eH4, is een PKIoverheids-certificaat nodig. PKI staat voor Public Key Infrastructure. Er zijn verschillende PKIoverheids-certificaten, zoals servercertificaten en beroepscertificaten, maar voor eHerkenning is enkel het persoonlijke certificaat relevant. Dit is een digitaal certificaat dat aan strenge overheidseisen voldoet en is gekoppeld aan het stamcertificaat Staat der Nederlanden. Het PKIoverheids-certificaat staat vaak op een USB-stick of een smartcard en is nodig om het inlogproces te voltooien. KPN, Logius en een handvol gemeenten maken vooralsnog gebruik van eH4. Vanwege de recente invoering van de Europese eIDAS verordening, waarmee het voor organisaties en instanties veiliger wordt om binnen de Europese grenzen online zaken te doen, zal eH4 naar verwachting steeds vaker een vereiste zijn. Voor grensoverschrijdende gegevensuitwisseling is in veel gevallen namelijk een hoog betrouwbaarheidsniveau nodig en daarvoor voldoet enkel eH4.
Toegang op maat
Het lijkt misschien handig om meteen voor alle betrokken medewerkers het hoogste betrouwbaarheidsniveau aan te vragen. Echter, de verschillende betrouwbaarheidsniveaus zorgen ervoor dat u gemachtigd bent gegevens uit te wisselen die een collega niet in mag zien. Het kan dus zomaar zijn dat u een PKI-overheidscertificaat krijgt, terwijl uw collega zich aanmeldt met een pincode die per sms is toegezonden.
Daarnaast geldt voor ieder betrouwbaarheidsniveau een ander tarief. Daarbij geldt dat aan de aanvraag van een PKIoverheids-certificaat extra kosten zijn verbonden. Ook dit is een reden om niet voor iedere werknemer die digitaal gegevens uit moet wisselen of digitale diensten mag afnemen eH4 aan te vragen. Mocht u in een later stadium een hoger betrouwbaarheidsniveau nodig hebben, dan is upgraden altijd mogelijk, hiervoor kunt u terecht bij uw eHerkenningsmakelaar.
Aan de slag
Ongeacht of u een of meerdere eHerkenningsmiddelen wilt aanvragen of uw organisatie op eHerkenning wilt aansluiten, dient u uit te zoeken welk betrouwbaarheidsniveau daarvoor nodig is. Doorloop de volgende stappen:
Beantwoord de volgende vragen:
Bij welke organisaties of instanties wilt u digitaal diensten afnemen?
Met welke organisaties of instanties wilt u digitaal gegevens uitwisselen?
Achterhaal van welke betrouwbaarheidsniveaus de organisaties en instanties waarmee u online zaken wilt doen gebruik maken. U vindt deze informatie hier of op de websites van de betreffende partijen.
Zoek een eHerkenningsmakelaar die bij uw organisatie past. KPN is één van de door de overheid erkende eHerkenningsmakelaars[LINK?]. Het bedrijf kan u helpen antwoord te geven op vragen uit stap 1, uw organisatie helpen aan te sluiten op eHerkenning en voor alle werknemers een passend betrouwbaarheidsniveau aan te vragen. Daarnaast biedt KPN een extra service in de vorm van een eHerkenning beheermodule.
Beheermodule
De KPN eHerkenning beheermodule[LINK?] biedt een overzicht van alle medewerkers binnen een organisatie die een eHerkenningsmiddel hebben en informatie over hun betrouwbaarheidsniveau. Eén medewerker fungeert als machtigingsbeheerder. Hij of zij heeft de mogelijkheid om een wijziging van het betrouwbaarheidsniveau van een collega aan te vragen, maar niet om zelf het betrouwbaarheidsniveau te wijzigen. De beheermodule is geen vereiste, maar maakt het beheer van eHerkenningsmiddel en machtigingen eenvoudig en overzichtelijk. Ook komt uw organisatie in aanmerking voor staffelkorting wanneer u eHerkenningsmiddelen via de KPN eHerkenning beheermodule aanvraagt.
