eIDAS

eIDAS

Europese burgers en vertegenwoordigers van bedrijven moeten vanaf september 2018 bij alle Nederlandse organisaties in de publieke sector kunnen inloggen met hun nationale inlogmiddel. Dat hebben de EU-lidstaten in de eIDAS verordening met elkaar afgesproken. De Europese Unie wil hiermee regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen. Het is de bedoeling dat alle Nederlandse publieke organisaties vóór 29 september 2018 eIDAS-proof zijn op het gebied van online toegang.

Doel van dit product

De eIDAS-verordening zorgt ervoor dat inwoners uit landen van de Europese Unie uiterlijk in september 2018 eenvoudiger overheidsdiensten in het buitenland kunnen afnemen.

Achtergronden van de eIDAS-verordening

De eIDAS-verordening bevat een verplichte erkenning van elektronische identificatiemiddelen uit andere lidstaten, waarvan het onderliggende stelsel is aangemeld bij de Europese Commissie. Op dit moment heeft alleen Duitsland haar middel bij de Europese Commissie aangemeld. Dat betekent dat vanaf 29 september Duitse burgers met hun nationale inlogmiddel bij Nederlandse overheidsorganisaties in moeten kunnen loggen.

Ook Kroatië, Spanje, Estland, Luxemburg en Italië hebben hun middel aangemeld (genotificeerd) bij de Europese Commissie. Van deze laatste landen is op dit moment niet duidelijk of burgers uit deze landen ook per 29 september 2018 in moeten kunnen loggen bij Nederlandse dienstverleners. De lidstaten hebben namelijk 1 jaar de tijd om de techniek omtrent de aansluiting van deze landen te regelen.

In de RNI zijn er 770.000 Duitsers bekend. Deze hebben een relatie met Nederland en zijn daarmee potentiele inloggers. Met de inschrijvingen van de 5 bovengenoemde landen komen we op 1,1 miljoen inschrijvingen in de RNI.

Meer weten over eIDAS? Bezoek dan de eIDAS website of bekijk het eIDAS-magazine.

 

Implementatie eIDAS

VNG Realisatie heeft met medewerking van partners uit de eIDAS-keten (Gemeente Rotterdam, Gemeente Den Haag, Digidentity, PinkRoccade Local Government en SIMgroep) een handleiding opgesteld. In deze handleiding staat welke keuzes gemeenten kunnen maken en waar rekening mee moet worden gehouden als er diensten geschikt gemaakt worden voor inloggen met een eIDAS (genotificeerd) Europees elektronisch-identificatiemiddel (eID).

Voldoen aan eIDAS via koppelvlak

Het is op dit moment alleen mogelijk om aan de eIDAS-verordening te voldoen door middel van het aansluiten, via een eHerkenningsmakelaar, op koppelvlak 1.11.

Het is op dit moment alleen mogelijk om aan de eIDAS-verordening te voldoen door middel van het aansluiten, via een eHerkenningsmakelaar, op koppelvlak 1.11. Via dit koppelvlak kunt u de attributen uit Europa ontvangen en u voldoet hiermee aan de eIDAsverordening. Dit koppelvlak geeft dus nog geen BSN’s (indien bekend) door. Vanaf november zal het eIDAS Service pPack in het koppelvlak geïmplementeerd zijn waarmee de (in de RNI bekende) BSN’s wel meegeleverd worden.

Meer informatie is te verkrijgen bij de eHerkenning makelaars.

Routeringsdienst

BZK onderzoekt of er een 'routeringsdienst' ingezet kan worden waarmee een dienstaanbieder via één koppelvlak aangesloten wordt op de verschillende eID-middelen. Het is nog niet duidelijk wanneer deze routeringsdienst beschikbaar zal zijn, mogelijk in 2019, maar in ieder geval later dan dat de eIDAS-verordening ingaat. Deze routeringsdienst vervult dan waarschijnlijk de rol van de makelaars.

Bedenk bij aansluiten:

  • BZK geeft aan dat de verantwoordelijkheid om te voldoen aan de verordening bij de gemeente zelf ligt;
  • Heeft u als gemeente te maken met (veel) EU-burgers (met name uit Duitsland)?
  • Welke producten kunnen door EU-burgers worden aangevraagd? Bijvoorbeeld:
      • Afschrift burgerlijke stand (geboorte, trouwen, overlijden);
      • Afschrift geboorte;
      • WOZ (vakantiehuizen)

Als gemeente heeft u de keus:

  • Direct voldoen: aansluiten via een eHerkenningsmakelaar (zie hieronder het stappenplan)
    • Geschatte kosten 10.000 – 15.000 EUR 
    • Let op dat deze makelaar de eIDASaansluiting verzorgt
    • Let op de af te sluiten contractduur i.v.m. de aankomende routeringsvoorziening
  • Wachten op routeringsvoorziening:maar dan voldoet uw gemeente niet op tijd aan de verordening en het is nog onduidelijk wanneer deze routeringsvoorziening gereed is en hoe snel gemeenten hierop kunnen aansluiten.
  • Geen DigiD/eHerkenning gebruiken als inlog: maar dat vermindert de dienstverlening!

1. Voorbereiding

Voordat een gemeente aan gaat sluiten moeten een aantal zaken in kaart gebracht worden:

  • Beoordeling BSN-dienst/geen BSN noodzakelijk
  • Bestaande (inlog)voorzieningen, koppelingen?
  • Werkt de ICT-leverancier al met eHerkenning?
  • Hoe worden de te koppelen diensten ingericht?
  • Welke attributen zijn gewenst?
  • Hoe worden de achterliggende processen ingericht?
  • Moet er betaald worden voor de dienst?

LET OP: Indien een dienst achter een Nederlands inlogmiddel is geplaatst, dient deze ook beschikbaar te zijn voor een EU-burger met zijn/haar nationale inlogmiddel, oftewel: iedere dienstverlening achter DigiD of eHerkenning moeten ook toegankelijk zijn voor EU-burgers/ondernemers met hun nationale inlogmiddel. Dit betekent dat er bij de desbetreffende dienst een eIDAS-inlogknop moet komen waarmee de EU-burger/ondernemer bij de dienst inlogt (volgens de verordening moet de deur naar de dienstverlening geopend worden, maar hoeft de dienst niet daadwerkelijk verleend te worden).

Optioneel (geen onderdeel van de eIDAS verordening): om een doeltreffende dienst te verlenen zal de dienst ook in de Engelse taal (en indien gewenst ook andere talen) aangeboden kunnen worden.

2. Beoordelen of BSN vereist is voor het product of dienst

Gemeenten moeten hun huidige online product- en dienstencatalogus gaan indelen op basis van twee aspecten: is BSN vereist voor het product en is fysieke aanwezigheid in Nederland noodzakelijk ten tijde van de levering van het product. Dit onderscheid wordt nu zelden gemaakt in digitale dienstverlening, omdat DigiD altijd een BSN meegeeft. Omdat met DigiD formulieren vooringevuld kunnen worden (indien voor het betreffende BSN gegevens beschikbaar zijn) is het direct duidelijk wie de aanvrager is en waar het product naartoe moet worden gestuurd. Er is echter niet altijd een BSN vereist om een product aan te vragen. Dit onderscheid dient voor eIDAS wel gemaakt te worden: welke producten vereisen een BSN en welke producten kunnen zonder BSN worden aangevraagd?

BSN vereist

Bijvoorbeeld: Nederlanders die zijn geëmigreerd en een uittreksel BRP/burgerlijke stand aanvragen. Nu wordt zo'n aanvraag per post gedaan en moet de identiteit van de aanvrager eerst worden gecontroleerd met een kopie van het paspoort. Met eIDAS is de aanvrager direct geïdentificeerd en kan er online betaald worden. De verstrekking vindt direct plaats.

Fysieke verstrekking: betreft het een aanvraag vanuit het buitenland?

Een groot deel van de gemeentelijke APV-producten en diensten zijn locatie gebonden. Denk aan het aanvragen van een container of een vergunning voor een evenement of het starten van een horecabedrijf. Indien de aanvrager niet in Nederland verblijft ten tijde van de levering van het product of dienst, dan kan besloten worden de dienst niet te verlenen (een gemeente is bijvoorbeeld niet verplicht een afvalcontainer buiten de gemeentegrenzen te leveren).

In principe hoeft het betrouwbaarheidsniveau voor het product niet te worden aangepast. Er mag ook geen afwijkend betrouwbaarheidsniveau voor EU-burgers gelden dan voor de Nederlandse aanvragers. De gemeente is zelf verantwoordelijk voor de keuze van het niveau. Via een risicoanalyse kan de gemeente de kwetsbaarheid van de dienst in kaart brengen. De handreiking betrouwbaarheidsniveaus van Forum Standaardisatie en de online regelhulp biedt hier een goede leidraad voor.

3. Een makelaar kiezen

maar dan voldoet uw gemeente niet op tijd aan de verordening en het is nog onduidelijk wanneer deze routeringsvoorziening gereed is en hoe snel gemeenten hierop kunnen aansluiten.De Nederlandse overheid kiest ervoor om de infrastructuur voor de eIDAS-implementatie onder te brengen binnen het Afsprakenstelsel Elektronische Toegangsdiensten. Dit betekent dat de erkende eHerkenningmakelaars de aansluiting (via koppelvlak 1.11) op het eIDAS-koppelpunt beheren voor de gemeente. De eHerkenningsmakelaar verzorgt het aansluitproces en is het eerste aanspreekpunt. Een gemeente kiest zelf met welke makelaar een contract afgesloten wordt. Sommige gemeenten kiezen er voor om bijvoorbeeld hun formulierenleverancier of portaalleverancier het contact met de eHerkenningsmakelaar te laten verzorgen.

Op dit moment onderzoekt BZK of er een 'routeringsdienst' ingezet kan worden waarmee een dienstaanbieder via een koppelvlak aangesloten wordt op de verschillende eID-middelen. Deze routeringsdienst vervult dan waarschijnlijk de rol van de makelaars maar is nog niet gereed op het moment dat de eIDAS-verordening ingaat. Het advies van VNG Realisatie is om dit in overweging te nemen bij het aangaan van het contract met de makelaar (neem een contract voor een jaar, of maandelijks opzegbaar; zodat u, wanneer de routeringsdienst gereed is flexibel bent om over te stappen en het contract met de makelaar kunt beëindigen.

Er zijn op dit moment verschillende erkende makelaars die een aansluiting op eHerkenning (koppelvlak 1.11) aanbieden

Makelaars voldoen allemaal aan dezelfde beveiligings- en functionele eisen die worden gesteld. Zij concurreren op verschillende fronten met elkaar en onderscheiden zich op:

  • Prijs (eenmalig/terugkerend)
  • Standaardoplossing vs. maatwerk
  • Inhoudelijke ondersteuning
  • Aanvullende Service Level Agreement (SLA)
  • Serviceniveau

De prijs van de aansluiting op het koppelvlak 1.11 hangt af van de wensen van de gemeente. Aangeraden wordt om bij meerdere makelaars een offerte aan te vragen en in deze aanvraag zo specifiek mogelijk aan te geven wat de wensen zijn. Een gemeente dient bij de selectie van de makelaar rekening te houden met:

  • Eigen wensen van de gemeente: standaardoplossing versus maatwerk. Check bijvoorbeeld bij de makelaar of er eventueel zonder aanpassingen overgestapt kan worden naar een andere makelaar;
  • Makelaar biedt koppeling met eIDAS-knooppunt;
  • Prijs (eenmalig/terugkerend);
  • Aanvullende Service Level Agreement;
  • De mate van inhoudelijke ondersteuning die de gemeente wenst;
  • Bestaande relaties: direct of via de ICT-leverancier. Mogelijk heeft de vaste ICT-leverancier al ervaring met een of meerdere makelaars. Advies om daarom ook de vaste ICT-leverancier waarmee samengewerkt wordt voor de ontwikkeling van de online dienstverlening te betrekken.

4. Aansluiten en testen

Samen met de makelaar en portaalleverancier wordt de aansluiting ingeregeld en wordt de aansluiting getest. Let op: er zal bijvoorbeeld een eIDAS-inlogknop naar de huidige inlogknop(pen) geplaatst moeten worden door uw portaal/websiteleverancier die toegang geeft tot de online dienstverlening/formulieren. Een standaard eIDASknop (zoals er ook een DigiD standaardknop is) is door Logius ontwikkeld.

5. Communicatie

Voor de EU-burger moet het duidelijk zijn welke diensten hij bij de gemeente af kan nemen met zijn nationale eID. Om te zorgen voor een eenduidige uitstraling voor Europese gebruikers kan uw organisatie gebruik maken van tekstelementen en beeldelementen voor eIDAS. Kijk voor communicatietips en voor de beeldelementen, waaronder de eIDAS-inlogknop.

Aanvullende informatie

De verordening geeft aan dat op het moment dat een online dienst op niveau substantieel of hoog aangeboden wordt aan een Nederlandse burger, deze ook toegankelijk moet zijn voor een EU-burger. Op dit moment bestaat DigiD niveau Basis nog, maar dit niveau zal, na inwerkingtreding van de Wet Digitale Overheid uitgefaseerd worden. In deze wet wordt namelijk aangegeven dat de online dienstverlening op niveau Substantieel of Hoog aangeboden moet worden. Dat betekent het volgende: biedt een gemeente een online dienst aan achter een identificatie- en authenticatiedienst aan haar Nederlandse burgers, dan moet deze dienst ook toegankelijk zijn voor andere EU-burgers. Als een online dienst toegankelijk is zonder identificatie – en authenticatiedienst geldt deze verplichting niet.

Het ministerie van Economische Zaken heeft in augustus 2017 een bestuurlijke brief verzonden naar 800 organisaties waaronder alle gemeenten in Nederland over de implementatie van de eIDAS-verordening.

Het Forum Standaardisatie heeft een regelhulp ontwikkeld waarmee architecten, informatiebeveiligers, juristen en bestuurders een beredeneerde keuze kunnen maken voor het juiste betrouwbaarheidsniveau voor digitale diensten. De regelhulp is gebaseerd op de handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening van Forum Standaardisatie.