iDIN en Idensys: nieuwe identificatie diensten onder de loep

Auteur
Sieger Veenstra
Datum

Wanneer je recent een keer bent ingelogd op een website van een zorgverzekeraar, pensioenfonds of overheidsinstantie dan heb je daar hoogstwaarschijnlijk je DigiD voor gebruikt. Binnenkort kun je naast DigiD misschien ook wel kiezen voor één van de nieuwe diensten iDIN en Idensys.

In deze blog zet ik de mogelijkheden van iDIN of Idensys op een rijtje. Om de verschillen goed in kaart te brengen eerst aandacht voor de eigenschappen van de bestaande authenticatie diensten DigiD en eHerkenning.

Waarom een identificatiedienst?

Wat zijn nu eigenlijk de voordelen van het gebruiken van een identificatiedienst zoals DigiD, eHerkenning, iDIN en Idensys?

  • Meer gebruikersgemak. Door gebruik te maken van een identificatiedienst hoeft de gebruiker minder verschillende gebruikersnamen en wachtwoorden te onthouden.
  • Een gecontroleerde identiteit. In de aanvraagprocedures van de verschillende identificatiediensten wordt vastgesteld dat je echt degene bent wie je zegt te zijn. DigiD verstuurt bijvoorbeeld een activatiecode per brief naar het adres waarmee je staat ingeschreven bij de gemeente.
  • Eenvoudiger en goedkoper naar een hoog veiligheidsniveau. De kosten kunnen snel oplopen als je zelf een systeem wilt opzetten voor een gecontroleerde identiteit of 2-factor authenticatie.

Ik richt me verder in deze blog vooral op de identificatiediensten die een gecontroleerde identiteit leveren. Als je dit niet nodig hebt, kun ook kijken naar diensten zoals bijvoorbeeld Facebook login of Google sign-in.

Inloggen met DigiD

DigiD is een methode om in te loggen op websites van de overheid. Daarnaast mag DigiD ook gebruikt worden door een aantal niet-overheids websites. Hiervoor moet je echter wel aan een aantal voorwaarden voldoen. De belangrijkste hiervan zijn dat organisatie die de website aanbiedt een publieke taak uitvoert en Burgerservicenummers (BSN) mag verwerken. Voorbeelden hiervan zijn zorgverzekeraars, zorgaanbieders en pensioenfondsen. Dit betekent dus ook dat DigiD voor veel bedrijven geen optie is.

DigiD wordt aangeboden door Logius. Logius is een onderdeel van het ministerie van Binnenlandse zaken dat zich richt op de digitalisering van de overheid. DigiD ondersteunt op dit moment twee betrouwbaarheidsniveaus: Basis (inloggen met een gebruikersnaam en wachtwoord) en Midden (2 factor authenticatie met een aanvullende code via SMS). Er loopt een onderzoek naar een extra hoger betrouwbaarheidsniveau (substantieel).

In veel gevallen zijn er door brancheorganisaties (bijvoorbeeld door Zorgverzekeraars Nederland of de Pensioenfederatie) afspraken gemaakt over wanneer welk betrouwbaarheidsniveau wordt gebruikt. Het gebruik van DigiD is gratis, alleen voor verzonden SMS berichten worden kosten doorbelast.

Om het inloggen met DigiD laagdrempeliger te maken wordt door Logius een app ontwikkeld. Deze app zorgt voor authenticatie door het scannen van een QR-code op je mobiele telefoon.

Alle organisaties die DigiD gebruiken, moeten voldoen aan een beveiligingsnorm. Dit moeten ze jaarlijks laten toetsen in een IT-audit door een Register EDP-auditor.

Als je als gebruiker inlogt op een website ontvangt deze website alleen je BSN-nummer, overige NAW-gegevens zijn niet beschikbaar. De inlogmethoden die hieronder worden beschreven bieden wel een toegang tot verschillende gegevens zoals bijvoorbeeld naam, adres, telefoonnummer en emailadres.

Inloggen met eHerkenning

eHerkenning is een methode voor bedrijven om in te loggen bij de overheid en bij andere bedrijven. eHerkenning wordt ook vaak omschreven als de ‘DigiD voor bedrijven’, maar dat dekt niet helemaal de lading. eHerkenning is een initiatief vanuit de overheid, maar Logius beheert alleen de standaard. De implementatie wordt door verschillende bedrijven uitgevoerd.

Voor het aansluiten op eHerkenning neem je dus ook geen contact op met Logius, maar met één van de zes door hun erkende ‘eHerkenningsmakelaars’. Er zijn geen beperkende voorwaarden voor het mogen aansluiten, zoals bijvoorbeeld bij DigiD. In principe kun je eHerkenning dus voor elk B2B scenario inzetten.

Om in te kunnen loggen heb je een toegangsmiddel nodig. Een aantal bedrijven zijn zowel eHerkenningsmakelaars als toegangsmiddelenleverancier, maar niet allemaal. Voor zowel de diensten van de eHerkenningsmakelaars als de toegangsmiddelenleverancier moet worden betaald.

Per leverancier en ook afhankelijk van het betrouwbaarheidsniveau verschilt het aanbod in toegangsmiddelen. Zo krijg je bij de éne leverancier een hardware token dat eenmalige inlogcodes verstrekt en zal een andere leverancier eenmalige codes via SMS versturen.

Als je met eHerkenning gaat inloggen, kom je meestal eerst op een scherm van de eHerkenningsmakelaar. Hier kies je de leverancier van het toegangsmiddel waarmee je wilt inloggen. Vervolgens ga je naar een scherm van deze leverancier om in te loggen.

eHerkenning kent vijf verschillende betrouwbaarheidsniveaus (1, 2, 2+, 3 en 4). Als aanbieder van een onlinedienst bepaal je het minimale niveau dat een vereist is om in te loggen. De betrouwbaarheidsniveaus verschillen in:

  • De beveiliging van de gebruikte inlogmethode. Bij niveau 2+ en hoger wordt altijd 2 factor authenticatie gebruikt. Op niveau 1 en 2 wordt vaak wel gewerkt met alleen een gebruikersnaam en wachtwoord.
  • De manier waarop de identiteit van de aanvrager wordt gecontroleerd. Bij de lagere niveaus kan de gehele aanvraag online plaatsvinden, maar voor de hogere niveaus moet je fysiek langskomen bij de leverancier van het toegangsmiddelen met je legitimatie.

Een belangrijk onderdeel binnen eHerkenning zijn de machtigingen. Als je als werknemer van een bedrijf een eHerkenningstoegangsmiddel hebt gekregen, dan mag je natuurlijk niet zomaar op elke website inloggen en daar handelen namens jouw werkgever. Hiervoor kent eHerkenning het machtigingenregister. Hierin wordt bijgehouden wie in welke organisatie gemachtigd is om bij een bepaalde dienst in te loggen en daar handelingen uit te voeren.

Netwerk voor Elektronische Toegangsdiensten

Inloggen met Idensys

Idensys is een nieuw initiatief vanuit de overheid. Eerder stond Idensys bekend onder de naam ‘eID’. Er lopen sinds begin 2016 een aantal pilots met Idensys.

Idensys is een doorontwikkeling van eHerkenning. Dit blijkt bijvoorbeeld uit het feit dat het ‘Afsprakenstelsel eHerkenning’ is hernoemd naar ‘Afsprakenstelsel Elektronische Toegangsdiensten’. Hier valt nu dus ook Idensys onder. Idensys kent dezelfde betrouwbaarheidsniveau’s als eHerkenning.

Je kunt Idensys zien als eHerkenning voor consumenten. Idensys bestaat, net zoals eHerkenning, uit een netwerk met meerdere makelaars die de aansluiting leveren en meerdere leveranciers van passende inlogmiddelen. Er is bijvoorbeeld een leverancier aangesloten die je laat inloggen met een ‘selfie’.

Het is de bedoeling dat Idensys beschikbaar komt voor alle soorten bedrijven, dit in tegenstelling tot DigiD dat alleen beschikbaar is voor een beperkt aantal organisaties met een publieke taak. Logius geeft overigens aan dat Idensys DigiD niet zal vervangen.

Een voorbeeld van het gebruik van Idensys kan zijn dat een consument inlogt om aan te tonen dat hij ouder is dan 18 jaar om online alcohol te mogen kopen. Tijdens het inloggen met Idensys zie je hierom precies welke gegevens de website van jou opvraagt. Zo kan een webwinkel je adres opvragen voor de bezorging, een online slijterij controleren of je ouder bent dan 18 en een zorgverzekeraar verzoeken om je BSN.

In de toekomst wil men Idensys ook gaan koppelen aan met vergelijkbare systemen uit andere landen uit de Europese Unie. Dit is een gevolg van de Europese verordening elektronische identiteiten en vertrouwensdiensten (eIDAS).

Inloggen met iDIN

Tot slot iDIN. iDIN is een inlogmethode aangeboden door de banken ABN Amro, ING, Rabobank en SNS. De standaard wordt beheerd door de Betaalvereniging Nederland. Deze vereniging, waarvan de banken lid zijn, beheert bijvoorbeeld ook de iDEAL standaard. Eerder stond iDIN bekend onder de naam ‘BankID’.

Het inloggen gaat via de bank, op dezelfde manier die de klant gewend is van het internet bankieren of iDEAL betalen. iDIN ken twee verschillende betrouwbaarheidsniveaus, maar ik heb hier nog geen verdere informatie over kunnen vinden. Vermoedelijk zal het lage niveau geen 2de factor toepassen en het hoge niveau wel.

Banken zijn in een uitstekende positie om een inlogdienst met gecontroleerde identiteit aan te bieden:

  • Ze zijn al wettelijk verplicht om hun klanten te identificeren.
  • Ze hebben al veel geïnvesteerd in veilige inlogmethoden om hun klanten te laten internetbankieren.

In november 2016 zijn de pilots met iDIN afgerond en is iDIN breed beschikbaar gesteld door de banken.

Vanuit de banken is aangegeven dat er rekening is gehouden met Idensys. In de toekomst zou iDIN dus aan Idensys kunnen worden gekoppeld, hier zijn echter nog geen concrete plannen voor gepubliceerd.

Keuze stress

Kun je als consument straks je weg nog vinden als je bij het inloggen moet kiezen tussen DigiD, Idensys of iDIN? Thuiswinkel.org, de belangenvereniging voor alle (web)winkels in Nederland, vind van niet en heeft dan ook een heel erg duidelijk advies hierover gegeven aan zowel de banken als de overheid:

  • “Realiseer een aggregatiefunctie tussen de stelsels van iDIN en Idensys, en eventuele toekomstige eID stelsels, zodat één aansluiting voor een webwinkel volstaat om maximaal bereik te halen en de toepassing van one-click buy oplossingen te vergroten”*

https://www.thuiswinkel.org/kennis/publicatie/42/online-betalen-in-nederland-2016

Over eID/ Idensys heeft de rekenkamer vorig jaar een kritisch rapport geschreven. De belangrijkste conclusies hieruit zijn:

  • De verantwoordelijkheden voor het eID-stelsel zijn niet eenduidig belegd en de governancestructuur is ingewikkeld.
  • Op wezenlijke onderdelen van het eID-stelsel moeten nog besluiten worden genomen of uitgewerkt.
  • Een actuele integrale business case en alternatievenafweging ontbreken vooralsnog.
  • Een integrale visie op de inrichting van het toezicht voor het eID-stelsel ontbreekt.

http://www.rekenkamer.nl/Publicaties/Onderzoeksrapporten/Introducties/2016/09/Vernieuwing_stelsel_voor_digitale_identificatie_en_authenticatie_eID_stelsel

Samenvattend

Als je DigiD mag gebruiken dan heeft dit nog steeds de voorkeur. Meer dan 13 miljoen Nederlanders hebben een DigiD inlogmiddel en in 2016 is er meer dan 250 miljoen keer ingelogd middels DigiD. Een stijging van 25 %. (Bron: https://www.logius.nl/over-logius/actueel/item/titel/250-miljoen-keer-ingelogd-met-digid/).

Als je geen DigiD mag gebruiken, of een alternatief wilt bieden naast DigiD, dan lijkt iDIN op dit moment de beste optie. iDIN heeft het grote voordeel dat (bijna) iedereen via zijn bank al een inlogmiddel heeft. De uitrol van de Idensys inlogmiddelen moet nog beginnen, met uitzondering van een kleine groep pilotdeelnemers. Dit gaat een grote uitdaging worden voor Idensys, vooral als consumenten straks voor een inlogmiddel moeten gaan betalen.

iDIN heeft echter als nadeel dat er geen BSN beschikbaar is. Dit maakt de implementatie complexer bij organisaties die nu met DigiD werken, omdat ze een andere manier moeten vinden om een koppeling te leggen tussen de persoon die inlogt en de persoon in de achterliggende administratie.

Verder lezen

Op de volgende websites is meer informatie te vinden over de beschreven inlogmethoden:

Tags

Authenticatie Security