Strengere eisen omtrent digitale identiteit
Online zakendoen over grenzen heen wordt sneller, veiliger en eenvoudiger dankzij het Nederlandse digitale identiteit-stelsel: eHerkenning. Met deze set van afspraken kunnen burgers en bedrijven inloggen bij overheidsorganisaties binnen de EU, zonder onzekerheid omtrent iemands identiteit. Marcel Wendt, oprichter van de identity provider Digidentity, attendeert organisaties erop dat het betrouwbaarheidsniveau opgeschaald wordt naar 3: substantieel.
Voor burgers is er DigiD, maar dat heeft een laag betrouwbaarheidsniveau. “Die zijn relatief eenvoudig over te nemen van anderen,” legt Wendt uit. “Veel overheidsdiensten zijn op lagere niveaus ontsloten, maar onder meer de Belastingdienst en het UWV gaan nu over naar minimaal niveau 3. Het is belangrijk dat je op tijd jouw eHerkenning aanvraagt. Wij kunnen een en ander weliswaar binnen één dag regelen, maar vaak treedt er intern bij bedrijven vertraging op vanwege de benodigde goedkeuringen.”
eHerkenning
In een Publiek Privaat initiatief tussen het Ministerie van Economische zaken en de private sector is speciaal voor bedrijven eHerkenning ontwikkeld. Op basis van een vastgestelde set aan afspraken regelt eHerkenning de digitale herkenning (authenticatie) en controleert het de digitale bevoegdheid (autorisatie) van iemand die online een dienst wil afnemen. Sinds september 2018 zijn publieke organisaties volgens de eIDAS-verordening verplicht om zich aan te sluiten op het stelsel van eHerkenning.
Betrouwbaarheidsniveaus
“In de wereld van identiteiten spreken we van ‘levels of assurance’”, vertelt Wendt. “Hoe zeker weet je dat iemand is wie hij zegt dat hij is? Overheden van Europese landen hebben deze levels of assurance met elkaar afgesproken binnen het eIDAS framework, waar eHerkenning op aansluit. Op het eerste niveau van betrouwbaarheid (laag) wordt de identiteit van een cliënt alleen geverifieerd aan de hand van een e-mailadres. Bij niveau 2 (basis) wordt een kopie van het passpoort gecontroleerd. Niveau 2+ (basis) is hetzelfde als niveau 2 maar vereist 2-factor authenticatie, dus verificatie van gebruikersnaam en wachtwoord met een sms-code of een pincode (via token). In niveau 3 (substantieel) vindt extra controle plaats door middel van het checken van een origineel identiteitsbewijs. Op niveau 4 (hoog) gelden alle voorgaande eisen, maar moet de gebruiker face-2-face gecontroleerd worden en bovendien moet er worden ingelogd met een zogeheten PKI-certificaat (Public Key Infrastructure).”
Laagdrempelig
Digidentity is als ‘trusted third party’ een van de zes officieel door de overheid erkende leveranciers van eHerkenning. “Wie gebruikmaakt van eHerkenning hoeft niet zelf een inlogsysteem te ontwikkelen of te beheren”, aldus Wendt. “Zaken op het gebied van Risk en Compliance zijn dan geregeld en je maakt altijd gebruik van de nieuwste bewezen technieken. Deze opschaling naar niveau 3 is een mooie kans om eHerkenning ook naar de private sector te brengen. Bedrijven zijn daarmee direct AVG-compliant. Je haalt met eHerkenning de gevoelige data uit je eigen omgeving en leg je bij de identity provider. Als makelaar ontsluiten wij overheden via deze infrastructuur, waarmee ze toegang krijgen tot het hele netwerk. Ze zijn dan in één keer aan iedere identityprovider gekoppeld. Daarnaast zijn wij erin gespecialiseerd om de instap of overstap naar eHerkenning voor bedrijven laagdrempelig te maken.”