Migratie Digitaal Paspoort naar eHerkenning

Via deze pagina informeert SIVI u over de migratie van het Digitaal Paspoort naar eHerkenning. Hierbij zal het accent liggen op het waarom van de migratie. Over het hoe en wat wordt u dit jaar geïnformeerd door Digidentity.

Het Digitaal Paspoort is al meer dan twintig jaar de branchestandaard voor inloggen in de verzekeringsbranche. Automatische toegang tot extranetten van verzekeraars en serviceproviders is de belangrijkste reden voor de brede spreiding van het gebruik van het Digitaal Paspoort. Het Digitaal Paspoort kent echter ook grote nadelen en is vanuit beveiligingsperspectief over de houdbaarheidsdatum. Dienstverleners en gebruikers in de verzekeringsbranche die het Digitaal Paspoort toepassen en gebruiken, hebben daarom tot en met eind 2021 de tijd om over te stappen op eHerkenning. eHerkenning is dé standaard voor B2B authenticatie in heel Nederland, ook buiten de verzekeringssector. Zakelijk inloggen bij de overheid loopt verplicht via eHerkenning.

Zowel dienstverleners als gebruikers kunnen zelf een leverancier kiezen uit het ruime aanbod. De eHerkenningsmakelaar helpt de online dienstverlener (verzekeraar, serviceprovider etc.)  bij de aansluiting op eHerkenning. Er zijn 5 makelaars, allemaal erkend door de Rijksoverheid. Zij voldoen allemaal aan dezelfde strenge eisen en leveren dezelfde standaard. Zij onderscheiden op een aantal aspecten.
Alle eHerkenningsmakelaars hebben koppelingen met alle erkende leveranciers van inlogmiddelen.
De makelaars staan op: https://www.eherkenning.nl/aansluiten-op-eherkenning/aansluiten
De leveranciers van inlogmiddelen staan op: https://eherkenning.nl/leveranciers

Tijdens de migratieperiode hebben zowel gebruikers (onder andere tussenpersonen) als online dienstverleners (bijvoorbeeld verzekeraars) de mogelijkheid gebruik te maken van proposities die de overgang eenvoudiger maken. Deze worden aangeboden door Digidentity en zijn met SIVI afgesproken. In juli 2019 is hiertoe een raamcontract getekend door Digidentity en SIVI.

Heb je een vraag over de migratie van het Digitaal Paspoort naar eHerkenning?

We helpen je graag verder

Veel gestelde vragen

Dienstverleners (o.a. verzekeraars en serviceproviders) en gebruikers (o.a. tussenpersonen) in de verzekeringsbranche die het Digitaal Paspoort toepassen en benutten, hebben tot en met eind 2021 de tijd om over te stappen op eHerkenning.

Digidentity nam eind 2017 het initiatief voor de branche om afscheid te nemen van het Digitaal Paspoort en nam direct contact op met SIVI. SIVI is de hoeder van de brancheafspraken en standaarden met betrekking tot B2B-authenticatie in de verzekeringsmarkt. Het Digitaal Paspoort is in dit verband al twintig jaar de branchestandaard. Single sign-on bij extranetten van verzekeraars en serviceproviders is de belangrijkste reden voor de brede spreiding van het gebruik van het Digitaal Paspoort.

Het Digitaal Paspoort is in 1997 in de verzekeringsbranche geïntroduceerd door ADN (later ABZ, nog later Solera). Verzekeraars waren aandeelhouder in ADN. Het betreft een SSL-certificaat, waarvan anno 2020 ongeveer 35.000 tot 40.000 in omloop zijn. Het werkt als een elektronisch identiteitsbewijs met onder andere de volgende informatie:

  • Naam certificaathouder;
  • Postbus/e-mail certificaathouder;
  • Serienummer/verloopdatum certificaat;
  • Kopie van public key certificaathouder;
  • Digitale handtekening van Certificaatautoriteit.

Werking SSL-certificaat:

  • De gebruiker heeft een SSL-certificaat gekoppeld aan een inlogmechanisme (bijvoorbeeld gebruikersnaam + wachtwoord en/of een app);
  • De gebruiker is geregistreerd bij de certificaatverstrekker waar hij zijn certificaat koopt;
  • De dienstverlener checkt bij de certificaatverstrekker of het certificaat geldig is en matcht met de inloggende persoon.

Een Digitaal Paspoort is persoonsgebonden, gekoppeld aan een bedrijf en wordt gebruikt om een gebruiker als natuurlijk persoon veilig – en zonder gebruikersnaam en wachtwoord - aan te melden bij meerdere webapplicaties (extranetten, diensten et cetera). Dit heet Single sign-on en is een belangrijk voordeel, naast het gegeven dat het gaat om een de facto branchestandaard.

  1. Hoge cost of ownership;
  2. In de praktijk aan werkplek gebonden en níet persoonsgebonden;
  3. Middle-man-dienstverlening geschiedt vaak door uitlenen/kopie certificaat;
  4. Leveranciersinsluiting door Digidentity, zodoende geen marktwerking;
  5. Niet toekomstvast: tweefactorauthenticatie is de nieuwe norm.

Een belangrijke eis aan zakelijke authenticatiemiddelen is de mogelijkheid van een middle man-constructie. Hierbij machtigt een gebruiker een andere gebruiker namens hem/haar een bepaalde dienst af te nemen. Bijvoorbeeld een serviceprovider die namens een tussenpersoon inlogt bij een verzekeraar.


Bij het Digitaal Paspoort wordt deze constructie niet ondersteund. Omdat authenticatie op basis van certificaten alleen werkt bij een directe verbinding tussen de authenticerende partij en de te authenticeren partij, vormt de middle man een obstakel voor deze vorm van authenticatie.


In de huidige situatie leent de gebruiker zijn/haar eigen Digitaal Paspoort uit – of verstrekt een kopie ervan – aan de middle man. Naast veiligheidsissues zorgt dit ook voor een gebrek aan herkenbaarheid: de dienstverlener denkt immers dat de gebruiker zelf inlogt, zonder gebruik te maken van een middle man.

Een big bang van Digitaal Paspoort naar eHerkenning is onrealistisch: een scenario waarbij alle dienstverleners tegelijkertijd zijn aangesloten op eHerkenning, en alle gebruikers op hetzelfde moment van Digitaal Paspoort overstappen op een eHerkenningsmiddel, vraagt een ondenkbare hoeveelheid kosten en resources. Gebruikers die onlangs een nieuw Digitaal Paspoort hebben aangeschaft zijn dan de dupe van de extra kosten die ze hebben gemaakt, terwijl dienstverleners hun systemen moeten aanpassen om eHerkenning-gebruikers te matchen met Digitaal Paspoort-gebruikers.


Sprake is van een migratieperiode (tot en met eind 2021) waarin Digitaal Paspoort en eHerkenningsmiddel(en) naast elkaar gebruikt kunnen worden. De eisen aan deze migratieperiode zijn:

  • Gebruikers kunnen tijdens deze periode bij dienstverleners inloggen met hun huidige Digitaal Paspoort of met een eHerkenningsmiddel;
  • Na de migratieperiode hebben alle gebruikers een eHerkenningsmiddel;
  • Na de migratieperiode zijn alle dienstverleners aangesloten op eHerkenning.

Op deze manier hebben de dienstverleners de tijd om over te stappen op eHerkenning en hun portalen daarop in te richten, hebben gebruikers de mogelijkheid om op zoek te gaan naar het voor hen meest geschikte middel en blijft in de tussentijd de huidige authenticatiemogelijkheid gewaarborgd.

Overstappen op eHerkenning brengt een nieuw kostenmodel met zich mee. Waar de kosten van het Digitaal Paspoort volledig op rekening van de gebruiker waren, betaalt de dienstverlener (de ‘Relying Party’) mee bij modernere authenticatiemiddelen als eHerkenning. Dit gebeurt via staffels: per X transacties betaalt de dienstverlener een vast, contractueel vastgesteld bedrag. Als gevolg hiervan zijn de kosten per verzekeraar en andere Relying Party’s als volmachten/service providers hoger dan bij het Digitaal Paspoort, en die van de gebruiker ongeveer op hetzelfde niveau.

Dit is een afsprakenstelsel tussen overheid en bedrijven. eHerkenning is in Nederland de standaard voor veilig inloggen namens een organisatie bij zowel overheden als bedrijven. Met eHerkenning beweegt de branche bovendien naar lagere kosten op sectorniveau, in vergelijking met de huidige situatie met het Digitaal Paspoort. Dienstverleners gaan betalen in staffels per transacties, met een plafondtarief boven een bepaald aantal transacties (variërend per eHerkenningsmakelaar). Tevens kunnen centrale voorzieningen als Single Sign-on en ketenmachtigingen ingevuld worden in het verlengde van het gebruik van eHerkenning.

De belangrijkste voordelen van eHerkenning zijn:

  • eHerkenning is de facto de standaard voor zakelijke authenticatie in heel Nederland, ook buiten de verzekeringsbranche. Vooral voor gebruikers is dit een groot voordeel: zij zullen veelal sowieso een eHerkenningsmiddel moeten aanschaffen om gebruik te maken van diensten van de Belastingdienst, UWV en overheidsinstellingen.
  • eHerkenning is zowel veilig voor gebruiker als dienstverlener: het is persoonsgebonden en voldoet aan de modernste veiligheidseisen, waaronder de mogelijkheid tot tweefactorauthenticatie.
  • Leveranciersuitsluiting komt ten einde dankzij het open stelsel van eHerkenning. Dit transparante afsprakenstelsel is door de overheid gereguleerd, en biedt aan door hen goedgekeurde private partijen de mogelijkheid om eHerkenning aan te bieden. Dit werkt marktwerking in de hand, en voorkomt een vendor lock-in zoals voorheen met het Digitaal Paspoort.
  • Single Sign-on wordt gefaciliteerd door het eHerkenningsstelsel.
  • Ketenmachtiging is in te richten in het verlengde van eHerkenning.
  • Op ketenniveau zijn de kosten voor eHerkenning lager dan voorheen met het Digitaal Paspoort.

De eHerkenningsmakelaar helpt de online dienstverlener (verzekeraar, serviceprovider etc.) bij de aansluiting op eHerkenning. Er zijn 5 makelaars, allemaal erkend door de Rijksoverheid. Zij voldoen allemaal aan dezelfde strenge eisen en leveren dezelfde standaard. Zij onderscheiden op een aantal aspecten.
Alle eHerkenningsmakelaars hebben koppelingen met alle erkende leveranciers van inlogmiddelen. De makelaars staan op: www.eherkenning.nl.

Dit is een leverancier van inlogmiddelen, die ook het inloggen regelt. De leveranciers van middelen staan op: www.eherkenning.nl

werking eHerkenning
  1. Gebruiker meldt zich bij de dienstverlener
  2. De dienstverlener legt contact met de eHerkenningsmakelaar en biedt de authenticatievraag aan. Daarbij geeft de dienstverlener aan welke gebruiker het betreft. En met welke mate van zekerheid de authenticatie moet worden uitgevoerd. Let wel, de dienstverlener bemoeit zich niet met het authenticatiemiddel dat daarbij moet worden gebruikt. Alleen de mate van gewenste zekerheid wordt door de dienstverlener bepaald.
  3. De eHerkenningsmakelaar neemt vervolgens contact op met de gebruiker om te vragen welk authenticatiemiddel de gebruiker wil benutten. Daarbij geeft de eHerkenningsmakelaar aan welke mate van zekerheid daarbij dient te worden bereikt. De gebruiker kiest vervolgens uit de hem ter beschikking staande authenticatiemiddelen het middel dat hij bij deze transactie wil gebruiken. Praktisch gezien zal de gebruiker overigens vooraf aan de eHerkenningsmakelaar hebben gemeld over welke authenticatiemiddelen hij beschikt.
  4. Aan de hand van keuze van de gebruiker bepaalt de eHerkenningsmakelaar door welke Authenticatie Provider het te gebruiken authenticatiemiddel is uitgegeven.
  5. Aan die Authenticatie Provider richt de eHerkenningsmakelaar een verzoek om tot validatie van de identiteit van de desbetreffende gebruiker over te gaan.
  6. De Authenticatie Provider neemt daartoe contact op met de gebruiker.
  7. De Authenticatie Provider voert de validatie uit, bijvoorbeeld door een wachtwoord aan de gebruiker te vragen of door te controleren of de gebruiker over een uitgegeven pas beschikt.
  8. Het resultaat van die validatie koppelt de Authenticatie Provider terug aan de eHerkenningsmakelaar.
  9. Op zijn beurt meldt de eHerkenningsmakelaar dit aan de dienstverlener.
  10. Indien dat resultaat positief is, zullen de dienstverlener en gebruiker hun transactie uitvoeren.

Bij het aanmelden voor een dienst wordt gecontroleerd hoe lang geleden de authenticatie heeft plaatsgevonden, middels een in de browser opgeslagen cookie. Wanneer deze cookie nog geldig is, hoeft niet opnieuw te worden ingelogd door de gebruiker. Wel kan gekozen worden om namens een andere 'pet' (label) verder te gaan dan bij een eerdere sessie.

Als de laatste authenticatie langer dan 2 uur geleden is, dan vindt opnieuw authenticatie bij eHerkenning plaats. De maximale sessieduur kan door de dienstverlener zelf worden ingekort: een dienstverlener kan er ook voor kiezen om SSO niet te ondersteunen en áltijd om herauthenticatie te vragen.

Naast de machtigingen van een onderneming of rechtspersoon aan een mens (medewerker), kunnen machtigingen aan een rechtspersoon worden vastgelegd, zoals de machtiging van een bedrijf aan een serviceprovider. Met de functionaliteit Ketenmachtiging wordt het voor gebruikers mogelijk om organisaties te machtigen voor het gebruik van hun eHerkenningsmiddel. Dit is bijvoorbeeld van belang voor tussenpersonen die via een serviceprovider gebruik maken van diensten van verzekeraars.
Bij ketenmachtigingen is het van belang om onderscheid te maken tussen het proces dat doorlopen wordt op het moment dat een dienst afgenomen wordt (bij “gebruik”) en de wijze waarop de voor gebruik benodigde machtigingen worden vastgelegd (bij “registratie’’). Uitgangspunt is dat zoveel mogelijk informatie over de ketenmachtiging bij registratie wordt vastgelegd, zodat het gebruik eenvoudig is. Dat betekent dat alleen eenvoudige ketenmachtigingen van twee schakels van de vorm van ‘’vertegenwoordigde → intermediaire partij → medewerker” ondersteund worden.
Rekening wordt gehouden met het feit dat schakels van een keten over meer dan één machtigingenregister verspreid kunnen zijn.

wat vooraf ging

Partijen kunnen voor de specifieke diensten – die zijn beschreven - een overeenkomst met Digidentity sluiten conform de raamovereenkomst.

Dienstverleners hebben tijdens de transitiefase twee opties om aan te sluiten op eHerkenning:

  1. Digidentity Broker
    • Met aansluiting op de Digidentity Broker wordt de dienstverlener tegelijk aangesloten op eHerkenning én het Digitaal Paspoort.
    • Dienstverleners herkennen een eHerkenninggebruiker aan het e-mailadres dat ook in het Digitaal Paspoort werd/wordt gebruikt, en anders zorgt Digidentity voor de koppeling.
  2. Losse aansluiting op eHerkenning
    • De dienstverlener sluit regulier aan op eHerkenning bij een van de beschikbare makelaars (waaronder Digidentity).
    • De dienstverlener moet zelf (blijven) faciliteren dat – tijdens de transitiefase – met het Digitaal Paspoort kan worden ingelogd.

Gebruikers (bijvoorbeeld medewerkers van intermediairkantoren) hebben tijdens de transitiefase twee opties om aan te sluiten op eHerkenning:

  1. Digidentity-bundel
    • De gebruiker koopt een eHerkenningsmiddel en Digitaal Paspoort in een bundel tegen het afgesproken tarief.
  2. Losse aansluiting op eHerkenning
    • De gebruiker koopt los een eHerkenningsmiddel bij één van de leveranciers van authenticatiediensten.

Authenticatie is het proces dat nagaat of een gebruiker daadwerkelijk is wie hij/zij beweert te zijn. Dat wil zeggen: daadwerkelijk de identiteit bezit die hij/zij opgeeft. Deze vastgestelde identiteit bepaalt of de betreffende gebruiker gerechtigd is om een bepaalde handeling te verrichten of een service af te nemen; deze volgende stap noemen we autorisatie.
Authenticatie bestaat uit twee stappen. Bij de registratiefase wordt eenmalig een account gemaakt op basis van persoonsgegevens. Hoe grondig hierbij wordt gecontroleerd of de persoonsgegevens daadwerkelijk bij de betreffende persoon horen, bepaalt de betrouwbaarheid: face-to-face-controle met een paspoort bij een balie, leidt tot een hogere mate van betrouwbaarheid dan een gebruiker die online zijn/haar gegevens invoert.
Heeft de gebruiker eenmaal een account, dan kan hij/zij zich hier voortaan mee authenticeren. In deze inlogfase wordt vanaf nu alleen nog vastgesteld dat het om dezelfde gebruiker gaat als die ook de account aanmaakte. Ook hier hangt de betrouwbaarheid af van de mate waarin dit gecontroleerd wordt: enkel het invullen van een wachtwoord wordt als minder betrouwbaar verondersteld dan bijvoorbeeld een gezichtsscan of het invoeren van een extra code via de gsm van de gebruiker.

Begrip Omschrijving
Afnemend dienstverlener (Relying Party) Een aanbieder van online dienstverlening, die authenticatie laat plaatsvinden (afneemt) via een netwerk voor authenticatie. In het Engels wordt deze partij vaak aangeduid met de term Relying Party.
Afsprakenstelsel Het geheel van afspraken, regels en procedures ten aanzien van de organisatie, het bestuur en toezicht, het beheer, en technische aspecten aangaande het netwerk voor authenticatie.
eHerkenning valt onder het afsprakenstelsel Elektronische Toegangsdiensten .
Authenticatie (authenticeren) De controle van een geclaimde identiteit (set geclaimde attributen) van een entiteit, op een gegeven betrouwbaarheidsniveau. In deze paper wordt de term informeel gebruikt, om te verwijzen naar het online inlogproces.
Authenticatiedienst Een dienstverlener die tenminste identiteitsgegevens van entiteiten aanmaakt, onderhoudt en beheert, en hen authenticeert ten behoeve van online dienstverlening. Treedt vaak ook op als middelenuitgever.
Authenticatiemiddel Het middel dat de gebruiker aanwendt bij authenticatie; iets wat de gebruiker weet, bezit of is.
Betrouwbaarheidsniveau Een relatief niveau van de sterkte van het bewijsmateriaal aangaande een authenticatie. Dit niveau wordt bepaald door een samenhangend geheel van factoren, zoals de sterkte van de identiteitsverificatie tijdens de registratie en uitgifte van het authenticatiemiddel, de sterkte van het middel zelf en de sterkte het authenticatiemechanisme.
eHerkenningsmakelaar Een vereiste rol binnen het netwerk voor authenticatie die door één of meer deelnemers aan het afsprakenstelsel wordt ingevuld en die het single point of contact vormt waarlangs dienstverleners authenticatiediensten afnemen. De eHerkenningsmakelaar treedt op als routeerder naar alle deelnemende authenticatiediensten.
Inlogmiddel Zie authenticatiemiddel.
Middelenuitgever Verantwoordelijk voor de uitgifte van authenticatiemiddelen en alle daaraan verbonden processen: aanvraag, registratie, activering, blokkering/heractivering, inname en opheffing. Vaak treedt de middelenuitgever ook op als authenticatiedienst.
Netwerk voor authenticatie De verzameling onderling verbonden componenten die gereguleerd worden door het afsprakenstelsel en gezamenlijk authenticatiediensten leveren.

Vanaf 1 september 2020.

SIVI is momenteel bezig met een barometer die in kaart brengt welke partijen al over zijn op eHerkenning, en welke partijen daarmee bezig zijn.

Nee, die zijn er – zover bij SIVI bekend – niet.

Ja, dat is in de zomer van 2019 opgesteld.
Begin augustus lanceerde SIVI een landingspagina op haar website, met tekst en uitleg over vooral het waarom van de migratie. Het communiceren van het hoe en wat ligt bij de eHerkenningsmakelaars en -middelenuitgevers. SIVI zal vooral in samenwerking met brancheorganisaties gaan communiceren. Tevens wordt een barometer ontwikkeld.

Op het desbetreffende portaal zal middels logo’s duidelijk te zien zijn of met Digitaal Paspoort en/of eHerkenning kan worden ingelogd.

Tijdens de migratieperiode (t/m eind 2021) hebben intermediairs twee opties om over te stappen: via (1) de Digidentity-bundel van zowel Digitaal Paspoort als eHerkenningsmiddel, of (2) los een eHerkenningsmiddel bij één van de leveranciers van eHerkenning.

Optie 2 is goedkoper, maar heeft het nadeel dat het voor de gebruiker dan niet mogelijk is om tijdens de migratieperiode in te loggen bij dienstverleners die nog niet over zijn op eHerkenning. SIVI raadt voor intermediairs dan ook aan om tijdens de migratie gebruik te maken van het Digidentity-voorstel. Na de migratie is het Digitaal Paspoort uiteraard niet langer nodig en kan vrij van elk gewenst eHerkenningsmiddel gebruik worden gemaakt.

Vanaf september 2020 kan het Digitaal Paspoort alleen nog bij Digidentity verlengd worden in combinatie met een eHerkenningsmiddel. Het ‘nieuwe Digitaal Paspoort’ blijft dan in deels gewijzigde vorm bestaan: als X509-certificaat gekoppeld aan een Digidentity-account. Deze is niet langer browser-specifiek.

Niet overal, maar vermoedelijk zullen niet alle dienstverleners op 1 januari 2022 de inlog met het Digitaal Paspoort abrupt van de portalen halen.

Bij eHerkenning is dit niet nodig. Ook niet wanneer (bijv.) een gebruiker met een eHerkenningsmiddel van leverancier X, na twee jaar besluit om over te stappen naar leverancier Y.

Ja dit is mogelijk. Een individuele persoon kan door gebruik te maken van verschillende e-mailadressen meerdere certificaten en/of eHerkenningsmiddelen aanschaffen. Daarnaast is het mogelijk om met ketenmachtiging een medewerker namens andere bedrijven gebruik te laten maken van binnen eHerkenning gepubliceerde diensten.

Op betrouwbaarheidsniveau 3 zien we momenteel verschillende inlogmethodes. Veel voorkomend is de combinatie van een speciale authenticatie-app op de smartphone met het scannen van een QR-code op de site van de Relying Party. Daarnaast komt de combinatie van gebruikersnaam en wachtwoord enerzijds en een tweede factor in de vorm van een token of sms-code nog vaak voor.

Op de website van eHerkenning staat een overzicht van de verschillende inlogmethodes per betrouwbaarheidsniveau.

Bij een ketenmachtiging wordt door een bedrijf aan een ander bedrijf een autorisatie verstrekt voor het gebruik van een of meerdere diensten uit naam van de verstrekker van de machtiging. Het bedrijf dat de machtiging heeft ontvangen kan hiervoor een of meerdere van zijn medewerkers autoriseren.

Het kostenmodel verschilt per leverancier, waarbij meestal per geautoriseerde medewerker voor het aantal gebruikte machtigingen wordt betaald.

Je logt in met je persoonlijke identiteit en dan krijg je (achter elkaar) de mogelijkheid om 1) de IDP (de verstrekker van jouw eHerkenningsmiddel) te kiezen, 2) de betreffende 'pet' te selecteren waaronder je wilt inloggen, en 3) bij keuze van een dienst waaraan ook meerdere ketenmachtigingen zijn gekoppeld, te kiezen voor welke machtiging je wilt inloggen.

Aan één eHerkenningsmiddel kunnen dus meerdere bedrijven gekoppeld worden.

Dit blijft voorlopig bestaan. Het bedrijfscertificaat wordt gebruikt voor machine-machine-authenticatie, waar eHerkenning strikt voor mens-machine-authenticatie dient.

Gevalideerde attributen die standaard beschikbaar zijn: KvK-nummer en vestigingsnummer.
Beschikbaar met toestemming van de gebruiker zijn: e-mail, naam, geboortedatum, BSN (mits toegestaan om te verwerken).
Niet gevalideerde attributen die met toestemming beschikbaar zijn: adresgegevens.

Democertificaten worden alleen uitgegeven om de functionaliteit van certificaten te kunnen testen. Voor het gebruik van testomgevingen moeten - door afnemers die dit willen - binnen het stelsel aparte diensten worden gedefinieerd. Hierbij kan vervolgens toegang worden verleend aan personen met testmiddelen.