Veel gestelde vragen migratie naar eHerkenning

Gebruikers

Ja, op www.sivi.org/eHerkenning staat een stappenplan voor gebruikers van authenticatiemiddelen.

Gebruikers (bijvoorbeeld medewerkers van intermediairkantoren) hebben tijdens de transitiefase twee opties om aan te sluiten op eHerkenning:

  1. Digidentity-bundel
    • De gebruiker koopt een eHerkenningsmiddel en Digitaal Paspoort in een bundel tegen het afgesproken tarief.
  2. Losse aansluiting op eHerkenning
    • De gebruiker koopt los een eHerkenningsmiddel bij één van de leveranciers van authenticatiediensten.

    De leveranciers van eHerkenning staan op: www.eherkenning.nl/leveranciersoverzichteherkenning.nl

Na een uitgebreid vooronderzoek is door het SIVI-bestuur bewust gekozen voor eHerkenning. Dit staat niet ter discussie. eHerkenning is een nationale standaard die door de Wet Digitale Overheid in het publieke domein wordt afgedwongen. Concurrentie tussen de verschillende aanbieders moet zorgen voor voldoende marktwerking.
Vanaf 1 september 2020.
Na 1 september kan het Digitaal Paspoort niet meer los worden verlengd. Indien de betreffende medewerker al een (los) eHerkenningsmiddel van Digidentity in zijn bezit heeft, dan hoeven alleen de nog ontbrekende validaties plaats te vinden.
SIVI maakt een dashboard die in kaart brengt welke partijen al over zijn op eHerkenning, en welke partijen daarmee bezig zijn.
Nee, die zijn er – zover bij SIVI bekend – niet.
Op het desbetreffende portaal zal middels logo’s duidelijk te zien zijn of met Digitaal Paspoort en/of eHerkenning kan worden ingelogd.
Tijdens de migratieperiode (t/m eind 2021) hebben financieel adviseurs twee opties om over te stappen: via (1) de Digidentity-bundel van zowel Digitaal Paspoort als eHerkenningsmiddel, of (2) los een eHerkenningsmiddel bij één van de leveranciers van eHerkenning.

Optie 2 is goedkoper, maar heeft het nadeel dat het voor de gebruiker dan niet mogelijk is om tijdens de migratieperiode in te loggen bij dienstverleners die nog niet over zijn op eHerkenning. SIVI raadt financieel adviseurs dan ook aan om tijdens de migratie gebruik te maken van het Digidentity-voorstel. Na de migratie is het Digitaal Paspoort uiteraard niet langer nodig en kan vrij van elk gewenst eHerkenningsmiddel gebruik worden gemaakt.
Vanaf september 2020 kan het Digitaal Paspoort alleen nog bij Digidentity verlengd worden in combinatie met een eHerkenningsmiddel. Het ‘nieuwe Digitaal Paspoort’ blijft dan in deels gewijzigde vorm bestaan: als X509-certificaat gekoppeld aan een Digidentity-account. Deze is niet langer browser-specifiek.
Niet overal, maar vermoedelijk zullen niet alle dienstverleners op 1 januari 2022 de inlog met het Digitaal Paspoort abrupt van de portalen halen. Dit zal op zijn minst aangekondigd worden door de desbetreffende dienstverleners.
Nu moeten veel gebruikers zich na het verlengen van hun Digitaal Paspoort bij veel portalen opnieuw authenticeren. Een vervelend en tijdrovend proces. Hoe zit dat straks met eHerkenning? Bij eHerkenning is dit niet nodig.
Bij overstap van eHerkenning leverancier moet een volledig nieuw registratieproces worden aangegaan. Elke leverancier heeft zijn eigen methode en registratieproces inclusief audit trail. Een datadump – in het verlengde van de oproep tot dataportabiliteit binnen de AVG - is ook niet mogelijk.

Binnen het afsprakenstelsel (Elektronische Toegangsdiensten) waarvan eHerkenning deel uitmaakt, is dit niet geregeld. Een eventuele aanpassing heeft alleen kans van slagen als alle leveranciers dit ondersteunen. Via het Verbond van Verzekeraars adresseert SIVI dit bij het Strategisch Beraad van eHerkenning.
Ja dit is mogelijk. Een individuele persoon kan door gebruik te maken van verschillende e-mailadressen meerdere certificaten en/of eHerkenningsmiddelen aanschaffen. Daarnaast is het mogelijk om met ketenmachtiging een medewerker namens andere bedrijven gebruik te laten maken van binnen eHerkenning gepubliceerde diensten.
Op betrouwbaarheidsniveau 3 zien we momenteel verschillende inlogmethodes. Veel voorkomend is de combinatie van een speciale authenticatie-app op de smartphone met het scannen van een QR-code op de site van de Relying Party. Daarnaast komt de combinatie van gebruikersnaam en wachtwoord enerzijds en een tweede factor in de vorm van een token of sms-code nog vaak voor.

Op de website van eHerkenning staat een overzicht van de verschillende inlogmethodes per betrouwbaarheidsniveau. www.eherkenning.nl/inloggen-met-eherkenning/betrouwbaarheidsniveaus/eherkenning-niveau-3www.eherkenning.nl
Bron: www.eherkenning.nl/vraag-antwoord

Nee, een eHerkenningsmiddel is persoonsgebonden en dus niet overdraagbaar aan of te delen met andere personen. Dit betekent dat eHerkenning en bijbehorende machtigingen altijd per persoon wordt aangevraagd. Dit gaat fraude tegen en een organisatie is er zo altijd zeker van dat de juiste medewerker inlogt om namens de organisatie zaken te doen. Ook kan zo bij het onderzoeken van (het vermoeden van) fraude worden achterhaald aan wie het middel is uitgegeven. Gaat een medewerker uit dienst? Dan moeten de machtigingen worden ingetrokken. Voor de nieuwe medewerker moeten een nieuw middel en machtiging(en) aangevraagd worden. Wisselt iemand van functie? Dan is het mogelijk om zijn/haar machtiging(en) via de beheermodule aan te passen. Voor overige vragen met betrekking tot machtigen bij een eHerkenningsmiddel kunt u terecht bij uw leverancier.
Bron: www.eherkenning.nl/vraag-antwoord

eHerkenning is een persoonsgebonden inlogmiddel, daarom moet u bij de aanvraag persoonlijke gegevens opgeven aan de erkende leveranciers. Dit zijn gespecialiseerde partijen die aantoonbaar moeten voldoen aan zeer strenge eisen op gebied van privacy en gegevensverwerking die eHerkenning stelt. Ze staan onder overheidstoezicht en worden gecontroleerd op naleving van deze eisen. Zo controleert de Toezichthouder de erkende leveranciers op de verwerkingen van persoonsgegevens en tevens moeten zij jaarlijks een Privacy Self Assessment uitvoeren, waarover zij moeten rapporteren aan de Toezichthouder. De erkende leveranciers moeten ook voldoen aan de Algemene Verordening Gegevensbescherming (AVG), waarop de Autoriteit Persoonsgegevens (AP) toeziet. Bovendien zijn ze allemaal ISO27001 gecertificeerd, de internationale standaard voor informatiebeveiliging, waar aantoonbaar moet zijn dat wordt voldaan aan de privacy wet- en regelgeving. Tevens voldoen ze aan de Europese eIDAS-eisen. Daarnaast wordt gebruik gemaakt van Privacy Enhancing Technology. Op de website van de erkende leveranciers staat hun Privacy Statement, waarin zij volledig inzicht bieden in het verwerken van uw persoonsgegevens.
Als een gebruiker met eHerkenning een online dienst wil afnemen, dan moet deze daarvoor gemachtigd zijn. Zonder machtiging werkt eHerkenning niet. Vanaf EH2 moet u een machtiging aanvragen. Een machtiging is, net als eHerkenning, persoonsgebonden. Een machtiging kan alleen worden gegeven door iemand in de organisatie die tekenbevoegd is volgens het Handelsregister van de Kamer van Koophandel. Als er meerdere personen tekenbevoegd zijn moeten zij mogelijk ook tekenen, dat is afhankelijk van de statuten van uw bedrijf. De 'tekenbevoegde' kan ook een machtigingenbeheerder aanstellen die dan de machtigingen kan verstrekken. Een machtigingenbeheerder neemt de tekenbevoegde veel werk uit handen. Ga daarom eerst na wie er bij uw bedrijf tekenbevoegd is en of er al een machtigingenbeheerder is.

De machtigingenbeheerder kan met de beheermodule machtigingen aanvragen en wijzigen. Ook geeft de beheermodule een totaaloverzicht van alle verstrekte eHerkenning inlogmiddelen (aangeschaft bij dezelfde leverancier), machtigingen en betrouwbaarheidsniveaus binnen de organisatie(s) waarvoor de beheerder gemachtigd is. Bovendien biedt de beheermodule van een aantal leveranciers de mogelijkheid om eenvoudig nieuwe eHerkenning inlogmiddelen aan te schaffen en te upgraden. Vraag aan uw leverancier naar de mogelijkheden van de beheermodule.
Digidentity noemt de machtigingenbeheerder ‘’bedrijfsbeheerder’’. Per bedrijf is het verstandig minstens één bedrijfsbeheerder eHerkenning aan te stellen. Dit hoeft niet dezelfde te zijn als de tekenbevoegde bij de KvK, maar moet wel diens officiële toestemming hebben.

Deze bedrijfsbeheerder kan per eHerkennings-gebruiker binnen zelfde organisatie:

  • Middel (de)activeren;
  • Instellen welke diensten die gebruiker mag afnemen (machtigingen).
Dit instellen vindt plaats vanuit een selfserviceportaal van de leverancier van eHerkenning. In het selfserviceportaal van Digidentity ziet de bedrijfsbeheerder wie er van het bedrijf een eHerkenningsmiddel en Digitaal Paspoort heeft. Hiermee hebben de beheerders een overzicht van alle machtigingen die deze persoon heeft en op welk niveau. Bij inloggen met eHerkenning krijgt de gebruiker een lijst te zien van de bedrijven waarvoor hij/zij een machtiging heeft. De gebruiker dient een van deze te selecteren. De machtiging voor het gekozen bedrijf wordt dan gebruikt en verstuurd naar de dienstverlener na inloggen.
Nee.
Bij een ketenmachtiging wordt door een bedrijf aan een ander bedrijf een autorisatie verstrekt voor het gebruik van een of meerdere diensten uit naam van de verstrekker van de machtiging. Het bedrijf dat de machtiging heeft ontvangen kan hiervoor een of meerdere van zijn medewerkers autoriseren.

Zie ook: www.eherkenning.nl/ketenmachtiging

Het kostenmodel verschilt per leverancier, waarbij meestal per geautoriseerde medewerker voor het aantal gebruikte machtigingen wordt betaald.
Bij ketenmachtiging krigt de dienstverlener zowel het KVK-nummer van de gemachtigde als van de verlener van de machtiging terug van Digidentity. Vanaf juli 2020 kost het verlenen/verkrijgen van een ketenmachtiging voor één KVK-nummer 20 euro ongeacht het aantal personen die met deze machtiging gaat werken.
Adviseurs kunnen zakendoen met verzekeraars via meerdere ondernemingen. Kunnen zij voor al deze ondernemingen 1 authenticatiemiddel gebruiken?

Ja. U hoeft niet voor elke organisatie opnieuw een eHerkenningsmiddel aan te vragen. U kunt aan 1 eHerkenningsmiddel de verschillende KVK-nummers van uw ondernemingen koppelen. Neem hiervoor contact op met uw leverancier (Bron: www.eherkenning.nl/vraag-antwoord)

Hoe werkt het bij het inloggen: Je logt in met je persoonlijke identiteit en dan krijg je (achter elkaar) de mogelijkheid om 1) de IDP (de verstrekker van jouw eHerkenningsmiddel) te kiezen, 2) de betreffende 'pet' te selecteren waaronder je wilt inloggen, en 3) bij keuze van een dienst waaraan ook meerdere ketenmachtigingen zijn gekoppeld, te kiezen voor welke machtiging je wilt inloggen.

Aan één eHerkenningsmiddel kunnen dus meerdere bedrijven gekoppeld worden.
Dit blijft bestaan. Het bedrijfscertificaat wordt gebruikt voor machine-machine-authenticatie, waar eHerkenning strikt voor mens-machine-authenticatie dient.

Om een bedrijfscertificaat (BA) aan te vragen heb je een eHerkenningsmiddel op minimaal niveau 3 nodig en toestemming van de bedrijfsbeheerder (machtigingenbeheerder). De bedrijfsbeheerder kan ze zelf ook aanvragen. BA is de nieuwe naam van het ABZ Bedrijfscertificaat (ABC).

Elke organisatie met een KVK-nummer kan een BA aanvragen en ophalen.
Ja, dit wordt hierna uitgelegd.

Per bedrijf is het verstandig minstens één machtigingenbeheerder eHerkenning aan te stellen. Dit hoeft niet dezelfde te zijn als de tekenbevoegde bij de KvK, maar moet wel diens officiële toestemming hebben.

Deze machtigingenbeheerder kan per eHerkennings-gebruiker binnen zelfde organisatie:

  • Middel (de)activeren;
  • Instellen welke diensten die gebruiker mag afnemen (machtigingen). Deze diensten staan in de dienstencatalogus van eHerkenning.
Dit instellen vindt plaats vanuit een selfserviceportaal van de leverancier van eHerkenning. In het selfserviceportaal van bijvoorbeeld Digidentity ziet de machtigingenbeheerder wie er van het bedrijf een eHerkenningsmiddel en Digitaal Paspoort heeft. Hiermee hebben de beheerders een overzicht van alle machtigingen die deze persoon heeft en op welk niveau.

Bij alle authenticatie providers, behalve in ieder geval Digidentity, kan een machtigingenbeheerder (met middel op betrouwbaarheidsniveau drie (3)) op relatief eenvoudige wijze voor collega’s die in loondienst zijn, middelen op niveau drie (3) aanvragen. Een voorbeeld is het proces bij KPN/Reconi (www.reconi.nl/eherkenning/machtigingenbeheerder/). Deze medewerkers hoeven geen identiteitsbewijs te overleggen. Ze hoeven zich niet te identificeren anders dan hun e-mailadres en telefoonnummer te bevestigen. De gegevens van de medewerkers kunnen via een CSV-bestand verstrekt worden.

Op de site van eHerkenning staat nota bene (zie www.eherkenning.nl/inloggen-met-eherkenning/betrouwbaarheidsniveaus/eherkenning-niveau-3):

Verschil met niveau 2+: Extra ingebouwde veiligheidsmaatregelen in de controle van bevoegdheden (check persoonsgegevens via origineel identiteitsbewijs)
SIVI heeft begrepen dat dit volgens het afsprakenstelsel mag. In het afsprakenstelsel staan in sectie “2.1.2 Bewijs en verificatie van Identiteit (natuurlijk persoon)” (redelijk achteraan) de eisen voor eH3 middelen.

Het komt erop neer dat alle aanbieders behalve Digidentity meeliften op de wettelijke identificatieplicht van de werkgever.