download nummer 3 hier - Accountancy Nieuws
download nummer 3 hier - Accountancy Nieuws
download nummer 3 hier - Accountancy Nieuws
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
An<br />
ICT<br />
Vermindering van de digitale sleutelbos<br />
Aan de slag met<br />
eHerkenning<br />
Frank Jonker<br />
Stel, u bent accountant en u heeft een ondernemer als klant die een subsidieaanvraag<br />
wil indienen, een vergunning aanvragen en ook wil kunnen inloggen op het klantenportaal<br />
van de accountant. Daarnaast wil hij (in de nabije toekomst) ook toegang krijgen<br />
tot uw persoonlijke domein bij de KvK en de Belastingdienst. Dit kan allemaal met<br />
eHerkenning. Vraag is nu hoe dit in de praktijk werkt, wat <strong>hier</strong>voor nodig is en – niet<br />
onbelangrijk – hoe gebruiksvriendelijk eHerkenning is.<br />
De eerste stap die de ondernemer<br />
zal moeten zetten, is de bepaling<br />
van het betrouwbaarheidsniveau van<br />
het eHerkenningsmiddel. eHerkenning<br />
heeft vier betrouwbaarheidniveaus.<br />
Een betrouwbaarheidsniveau<br />
zegt iets over de mate van zekerheid<br />
die kan worden ontleend aan het gebruik<br />
van het eHerkenningsmiddel.<br />
De mate van zekerheid wordt zowel bepaald<br />
door het uitgifte- en controleproces<br />
van het middel en de bijbehorende<br />
machtiging, als door de technische eigenschappen<br />
van het eHerkenningsmiddel.<br />
Welk niveau de ondernemer nodig<br />
heeft voor een dienst wordt bepaald door<br />
de betreffende dienstverlener. Op de<br />
website van de dienstverlener of bij het<br />
inloggen kan de ondernemer zien welk<br />
betrouwbaarheidsniveau hij minimaal<br />
nodig heeft.<br />
Verschillende niveaus<br />
Met niveau 1, het laagste niveau, kunt u<br />
inloggen met gebruikersnaam en<br />
wachtwoord (dus iets wat iemand moet<br />
‘weten c.q. onthouden’). Het nadeel<br />
<strong>hier</strong>van is dat dit niveau, éénfactor- authenticatie,<br />
redelijk eenvoudig kan<br />
worden gekraakt.<br />
Niveau 2 werkt met aanvullende smsauthenticatie<br />
of een token, dus een<br />
combinatie van ‘weten en hebben’.<br />
Tweefactor-authenticatie is zeer moeilijk<br />
te kraken. Niveau 3 werkt ook met<br />
tweefactor-authenticatie; alleen is er<br />
bij de controle wel een persoonlijke<br />
identificatie nodig. Niveau 4 is het PKIoverheidscertificaat,<br />
ook <strong>hier</strong> is een<br />
persoonlijke identificatie vereist.<br />
De ondernemer kan er vanuit veiligheidsoverwegingen<br />
voor kiezen om te<br />
werken op een hoger betrouwbaarheidsniveau<br />
dan strikt vereist. Met zo’n<br />
hoger betrouwbaarheidsniveau (bijvoorbeeld<br />
niveau 4) kan namelijk altijd<br />
toegang worden verkregen op websites<br />
die een lager niveau vereisen (bijvoorbeeld<br />
niveau 2). Een bezitter van een<br />
eHerkenningsmiddel kan met zijn authenticatiemiddel<br />
bij alle websites inloggen<br />
die eHerkenning ondersteunen.<br />
Dat zijn eind 2012 naar verwachting al<br />
meer dan 100 overheidswebsites en een<br />
groeiend aantal B2B-websites. eHerkenning<br />
is daarom een praktische oplossing<br />
om de digitale sleutelbos te<br />
verminderen.<br />
Handreiking<br />
Het forum voor standaardisatie vervaardigde<br />
zeer recent een handreiking<br />
inzake betrouwbaarheidsniveaus voor<br />
elektronische overheidsdiensten. Met<br />
de toename van e-diensten groeit immers<br />
ook de behoefte om deze betrouwbaarheidsniveaus<br />
nader in te<br />
kleuren. Het is voor (overheids)organisaties<br />
van belang om in vergelijkbare<br />
situaties hetzelfde niveau van betrouwbaarheid<br />
te vereisen (en borgen). De<br />
handreiking van het forum geeft die<br />
inkleuring en wil daarmee bijdragen<br />
aan de transparantie, toegankelijkheid<br />
en geloofwaardigheid van de overheid<br />
en de rechtszekerheid van burgers en<br />
bedrijven, zie ook:<br />
http://www.forumstandaardisatie.nl/<br />
fileadmin/os/publicaties/Handreiking_<br />
Betrouwbaarheidsniveaus_def_tesktversie.pdf.<br />
In grote lijnen komt het er<br />
op neer dat vertrouwelijke informatie<br />
minimaal beveiligd moet zijn met niveau<br />
2. Het is de verwachting dat zowel<br />
overheidwebsites als B2B-internetapplicaties<br />
zich steeds meer zullen gaan<br />
conformeren aan de adviezen van het<br />
forum voor standaardisatie. De handreiking<br />
is immers gebaseerd op de nationale<br />
geldende (wettelijke) regels en<br />
sluit aan op het Europese kader voor<br />
grensoverschrijdend gebruik van ediensten.<br />
Gebruiker en machtigingen<br />
Nadat de ondernemer het betrouwbaarheidsniveau<br />
van het eherkenningsmiddel<br />
heeft bepaald, moet hij een<br />
gebruiker kiezen. Een eHerkenningsmiddel<br />
is namelijk persoonsgebonden,<br />
wat inhoudt dat het middel wordt uitgegeven<br />
onder de naam van de gebruiker.<br />
Inloggen geschiedt dan ook met<br />
de inloggegevens van deze gebruiker.<br />
Deze is zelf verantwoordelijk voor zijn<br />
inloggegevens en het verspreiden van<br />
deze gegevens. Per bedrijf kunnen er<br />
meerdere eHerkenningsmiddelen worden<br />
uitgegeven. In het ‘eHerkenning<br />
machtigingenregister’ wordt vastgelegd<br />
wie namens het bedrijf mag optreden<br />
richting een overheidsorganisatie<br />
of een andere dienstverlener en wat de<br />
bevoegdheden van de gebruiker zijn.<br />
Deze persoon kan worden gemachtigd<br />
voor 1 of meerdere dienstverleners.<br />
Ook kan er bij de aanvraag van zijn<br />
eHerkenningsmiddel voor gekozen<br />
24 www.accountancynieuws.nl 10 februari 2012 nr 3 <strong>Accountancy</strong>nieuws