De zomer van 2021 brengt de nodige veranderingen met zich mee voor eHerkenning, het inlogsysteem voor ondernemers. Op 1 juli eindigde de ondersteuning voor eHerkenning op betrouwbaarheidsniveau 1 (EH1). KPN stopt op 1 augustus bovendien met de levering van EH2-middelen. Roepen deze veranderingen vragen bij je op? Die proberen we hier te beantwoorden.
Wat is eHerkenning ook alweer?
eHerkenning ging in 2010 van start als de opvolger van ‘DigiD voor ondernemers’. Met een eHerkenningsmiddel kunnen ondernemers zich eenvoudig online identificeren bij (overheids)organisaties zoals de Belastingdienst en het UWV.
Het geeft de dienstverlener zekerheid over wie een persoon is en waartoe die persoon gemachtigd is. Voor de ondernemer is eHerkenning een veilige manier om online zaken te doen met de (semi-)overheid, zonder de noodzaak om meerdere wachtwoorden te onthouden.
eHerkenning is overigens geen ‘technische voorziening’, maar een door de overheid beheerd ‘afsprakenstelsel’. Private partijen zoals KPN die eHerkenning aanbieden, maken deel uit van dit stelsel en moeten zich houden aan de afspraken die zijn gemaakt op het gebied van onder andere privacy, security en technische functionaliteiten. Het is daarmee een voorbeeld van publiek-private samenwerking.
Is eHerkenning een succes?
De doelstelling bij de start van eHerkenning was helder: ondernemers, bedrijven, organisaties en intermediairs één manier bieden om veilig en betrouwbaar in te loggen bij overheidsorganisaties. Tot die tijd had bijna elke overheidsorganisatie haar eigen aanpak voor het verlenen van toegang tot de online dienstverlening.
Ruim tien jaar later lijkt die doelstelling te zijn gehaald. Inmiddels zijn meer dan 450 dienstverleners aangesloten op eHerkenning, en zijn er meer dan 500.000 inlogmiddelen in gebruik. Die vormen de sleutel tot ruim 1.200 diensten.
Kunnen bedrijven nog zonder eHerkenning?
Eigenlijk niet. Zo hebben de meeste bedrijven een eHerkenningsmiddel op niveau 3 nodig om in te loggen bij Mijn Belastingdienst Zakelijk. Hetzelfde geldt voor het werkgeversportaal van het UWV. Een werknemer ziek of beter melden, een zwangerschapsuitkering aanvragen of een onslagaanvraag indienen? Dat kan alleen na inloggen met eHerkenning.
Het inlogsysteem wordt voor steeds meer zaken ingezet. Denk aan het overschrijven van een auto bij de RDW, opvragen van bedrijfsinformatie bij de KVK of het aanvragen van een parkeervergunning bij de gemeente. Veel instanties bieden inloggen met eHerkenning nu nog als een optie aan naast DigiD, maar dit zal steeds vaker de enige optie zijn. Met veiligheid als belangrijkste reden.
Op welke betrouwbaarheidsniveaus wordt eHerkenning aangeboden?
eHerkenning werd tot 1 juli aangeboden op vijf niveaus van betrouwbaarheid: EH1, EH2, EH2+, EH3 en EH4. Hoe hoger het niveau, hoe meer zekerheid de dienstverlener krijgt over de online identiteit van de gebruiker. Zo wordt vanaf niveau EH3 het inlogmiddel uitgegeven na een fysieke controle van de identiteit van de ondernemer. Ook is op de hogere niveaus sprake van multifactorauthenticatie (MFA).
Op de laagste niveaus (EH1 en EH2) kan de ondernemer inloggen met alleen een gebruikersnaam en wachtwoord. Op de niveaus EH2+ en EH3 is naast gebruikersnaam en wachtwoord een sms- of een pincode nodig. Het hoogste niveau (EH4) vereist een certificaat dat wordt uitgereikt na een fysieke controle van de identiteit van de aanvrager. Op de niveaus EH1, EH2 en EH2+ is die fysieke controle er niet.
Waarom wordt EH1 niet meer ondersteund?
De erkende leveranciers van eHerkenning – waaronder KPN – en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties kwamen eind 2020 al tot het besluit om de ondersteuning voor EH1 te beëindigen. De aanvraagprocedure en het inloggen met alleen een gebruikersnaam en wachtwoord bieden volgens deze partijen onvoldoende zekerheid over de identiteit van de gebruiker. Een crimineel kan te eenvoudig de identiteit van een ondernemer aannemen.
Het stopzetten van betrouwbaarheidsniveau EH1 heeft als doel om identiteitsfraude tegen te gaan. Vanaf 1 juli 2021 is het niet meer mogelijk om online diensten op dit niveau aan te bieden of in te loggen met een EH1-middel.
Wat moet ik doen als ik nog beschik over een EH1-middel?
Dan moet je het middel zo snel mogelijk upgraden naar een hoger betrouwbaarheidsniveau met de juiste machtiging(en). Via de User Portal van KPN doet je dit eenvoudig en snel. Na inloggen kies je voor ‘Upgrade’ en vervolgens het gewenste niveau. KPN adviseert om direct op te waarderen naar EH3. De verwachting is dat de meeste (overheids)diensten naar EH3 gaan.
Waarom stopt KPN met ingang van 1 augustus met de levering van EH2-middelen?
Eigenlijk om dezelfde reden waarom de ondersteuning voor EH1 is gestopt. Door het ontbreken van een fysieke identiteitscontrole en het inloggen met alleen gebruikersnaam en wachtwoord is er op niveau EH2 te veel ruimte voor identiteitsfraude. KPN is van mening dat dit niet past bij een stelsel dat draait om vertrouwen.
Door alleen nog middelen aan te bieden voor EH2+, EH3 en EH4 maakt KPN van MFA de standaard die het hoort te zijn. Met deze middelen loggen ondernemers in met iets wat ze weten (een wachtwoord) en iets wat ze hebben (zoals een sms-code of een digitaal certificaat). Daardoor wordt het een stuk lastiger om fraude te plegen. Een crimineel moet dan bijvoorbeeld ook de sms-code in handen zien te krijgen.
Op de hogere niveaus wordt de identiteit van de aanvrager bovendien fysiek gecontroleerd aan de hand van een origineel identiteitsbewijs. Hierdoor bestaat er geen enkele onzekerheid over de identiteit van een persoon die online inlogt.
Kan ik na 1 augustus nog wel gebruikmaken van mijn EH2-middel?
Voor klanten van KPN die al een EH2-middel hebben, verandert er niets. Zij kunnen hier gebruik van blijven maken. Na de genoemde datum blijft het ook mogelijk om met een EH2+-middel of hoger in te loggen bij een online dienst met EH2 als betrouwbaarheidsniveau. Waar voor EH1 het doek definitief is gevallen, blijft EH2 ondersteund.