Dit jaar breekt eHerkenning definitief door. Het derde niveau, dat kortweg eH3 wordt genoemd en geldt als ‘substantieel betrouwbaar’, groeit uit tot de nieuwe standaard bij de overheidscommunicatie. Vergelijk het met een sleutel waarmee ondernemers binnen kunnen komen bij de overheid.
Marcel Heezen, marketeer identity bij KPN Security, ziet deze vorm van eHerkenning snel het nieuwe basisniveau worden. “De bekendheid is dit jaar met sprongen toegenomen en ook de relevantie ervan is groter geworden omdat de toegang tot overheidssystemen beter beveiligd moet zijn.” De afgelopen maanden zijn goede stappen gezet. Sinds vorig jaar kunnen werkgevers en arbodiensten alleen nog via eH3 inloggen in het werkgeversportaal van het UWV. De Autoriteit Persoonsgegevens (AP) constateert dat privacy en beveiliging hierdoor aanzienlijk zijn verbeterd.
Ondernemers massaal over
Dit voorjaar raakte het gebruik van eH3 in een stroomversnelling toen voor de toegang tot Mijn Belastingdienst Zakelijk eH3 vereist werd. Voor de aangiftes loonheffingen en vennootschapsbelasting moeten organisaties via het ondernemersportaal sinds begin dit jaar deze inlogmethode gebruiken. Het aantal middelen dat op niveau ‘substantieel’ (eH3) wordt uitgegeven groeit snel. De verwachting is dat dit aantal de komende tijd verder gaat stijgen.
Naast tweefactorauthenticatie (gebruikersnaam en wachtwoord in combinatie met een sms-code) is hierbij fysieke identificatie nodig. Bij de aanvraag moet een origineel identiteitsbewijs worden getoond. Niveau 3 voldoet aan beveiligingsniveau ‘substantieel’. Bij deze methode weet je behoorlijk zeker met wie je te maken hebt.
eH2+ naar achtergrond
EH2+ (tweefactorauthenticatie) raakt als digitaal paspoort op de achtergrond omdat hier geen fysieke identificatie voor is vereist. Volgens Heezen wordt het gebruik hiervan beperkt tot (voornamelijk) machtigingsregistraties.
Nog minder veilig zijn eH2 (gebruikersnaam en wachtwoord alsmede toestemming van een bevoegd vertegenwoordiger) en eH1 (uitsluitend inloggegevens). Deze inlogmethodes gaan op den duur verdwijnen. Volgens Heezen is eH1 echt niet meer van deze tijd. Eigenlijk had deze methode al moeten zijn verdwenen, maar voor de coronamaatregelen werd tijdelijk een oogje dicht gedaan. Na invoering van de Wet digitale overheid mogen overheidsdiensten deze methode niet meer gebruiken. Zolang het wetsvoorstel nog niet door de Tweede Kamer is valt moeilijk te zeggen wanneer het doek definitief valt.
Fiscus katalysator
Heezen ziet uiteindelijk alle overheidsinstellingen op eH3 overgaan. “Maar dit gaat fasegewijs. De grote moot was de Belastingdienst, maar daarnaast volgen nog 400 overheidsinstellingen. Vooral kleinere gemeenten missen nog de voorzieningen om op dit beveiligingsniveau in te haken, want investeringen in IT zijn nodig om alle accounts te beheren. Verder wacht een aantal instellingen de komst van de Wet digitale overheid af.”
eHerkenning is voor ondernemers wat DigiD is voor burgers. Heezen: “Het wordt het universele identificatiemiddel richting overheid. De volgende stap kan zijn dat ook bij e-commerce met dit digitale paspoort kan worden ingelogd. Nu wordt hiervoor vaak Facebook gebruikt, maar bij dat identificatiemiddel heeft men geen zekerheid dat de persoon die inlogt ook daadwerkelijk die persoon is. Achter Facebook-accounts kunnen zich ook bots verschuilen in plaats van mensen.”
Ook op veilingsites en digitale marktplaatsen bestaat meer behoefte aan zekerheid omtrent iemands identiteit. De marketeer van KPN Security ziet veel kansen om verder te groeien. “Maar voorlopig is dit nog toekomstmuziek”, stelt Heezen.
Nog veel voorlichting nodig
KPN zal als leverancier van eHerkenning de komende jaren veel voorlichting geven over deze elektronische identificatiemiddelen. Uitleg is nodig over wat het middel is, wat je ermee kan en hoe voorzichtig je ermee moet zijn. Want te vaak wordt binnen organisaties nog nonchalant omgesprongen met inloggegevens. Heezen: “Als de HR-afdeling een zwangerschapsverlof bij het UWV wil aanmelden, worden bij ziekte van de personeelsfunctionaris toch even snel diens inloggegevens gebruikt. Als collega’s zomaar kunnen inloggen, valt later moeilijk vast te stellen wie een aanvraag heeft gedaan en of deze persoon daartoe ook gemachtigd was. Zeker bij fiscale aangifte kan dat tot vervelende situaties leiden.” KPN maant tot voorzichtigheid. “Je geeft je paspoort ook niet zomaar weg,” stelt Heezen.
KPN zet in op eH3. Voor bijzondere gevallen kan een nog hogere betrouwbaarheid (eH4) vereist zijn. Dan wordt een smartcard of usb-token met een PKIoverheid-certificaat gebruikt. De dienstverlener bepaalt welk niveau van betrouwbaarheid gewenst is.
Ketenmachtiging
De ondernemer is in principe aangewezen op eHerkenning bij de communicatie met de overheid. Ook de mogelijkheid tot ketenmachtiging is nu binnen eHerkenning geregeld. Bedrijven kunnen zich door andere organisaties laten vertegenwoordigen, dit komt de gebruiksvriendelijkheid in de dienstverlening ten goede. Veel bedrijven besteden hun (fiscale) zaken immers uit aan een belastingconsultant of andere intermediair.
Een aantal organisaties kan momenteel nog geen eHerkenning gebruiken omdat ze geen inschrijving (meer) hebben in het handelsregister van de Kamer van Koophandel. Dit geldt voor kerkelijke instellingen en gestopte ondernemers. Maar hier komen oplossingen voor. Zzp’ers kunnen via DigiD aangifte doen. Ze zijn ook in staat om langs die weg belastingadviseurs te machtigen eHerkenning aan te vragen. Het is de bedoeling dat zzp’ers op den duur ook eHerkenning gaan gebruiken, maar zo ver is het nog niet.
Acht bedrijven, waaronder KPN Security, kunnen elektronische identiteitsmiddelen uitgeven. KPN wil zich daarbij onderscheiden in service. Bovendien doet KPN veel meer dan alleen de uitgifte van eHerkenning. Op hetgebied van security wordt een uitgebreid scala aan diensten aangeboden. Dit loopt van firewalls tot identiteitsbeheeroplossingen voor organisaties.
