eIDAS

eIDAS

Europese burgers en vertegenwoordigers van bedrijven moeten sinds september 2018 bij alle Nederlandse organisaties in de publieke sector kunnen inloggen met hun nationale inlogmiddel. Dat hebben de EU-lidstaten in de eIDAS verordening met elkaar afgesproken. De Europese Unie wil hiermee regelen dat het makkelijker en veiliger wordt om binnen Europa online zaken te regelen.

Doel van dit product

De eIDAS-verordening zorgt ervoor dat inwoners uit landen van de Europese Unie sinds september 2018 eenvoudiger overheidsdiensten in het buitenland kunnen afnemen.

Achtergronden van de eIDAS-verordening

De eIDAS-verordening bevat een verplichte erkenning van elektronische identificatiemiddelen uit andere lidstaten, waarvan het onderliggende stelsel is aangemeld bij de Europese Commissie. Op dit moment hebben Duitsland, Belgie, Kroatie, Italie, Estland, Luxemburg en Spanje haar middel bij de Europese Commissie aangemeld (genotificeerd). Dat betekent dat burgers uit deze landen met hun nationale inlogmiddel bij Nederlandse overheidsorganisaties moeten kunnen inloggen.

In de RNI zijn er bijvoorbeeld 770.000 Duitsers bekend. Deze hebben een relatie met Nederland en zijn daarmee potentiële inloggers.

Meer weten over eIDAS? Bezoek dan de eIDAS website of bekijk het eIDAS-magazine.

 

Implementatie eIDAS

VNG Realisatie heeft met medewerking van partners uit de eIDAS-keten (Gemeente Rotterdam, Gemeente Den Haag, Digidentity, PinkRoccade Local Government en SIMgroep) een handleiding opgesteld. In deze handleiding staat welke keuzes gemeenten kunnen maken en waar rekening mee moet worden gehouden als er diensten geschikt gemaakt worden voor inloggen met een eIDAS (genotificeerd) Europees elektronisch-identificatiemiddel (eID).

Voldoen aan eIDAS via koppelvlak

Het is op dit moment alleen mogelijk om aan de eIDAS-verordening te voldoen door middel van het aansluiten, via een eHerkenningsmakelaar, vanaf koppelvlak 1.11. Via dit koppelvlak kunt u de attributen uit Europa ontvangen en u voldoet hiermee aan de eIDAsverordening. Koppelvlak 1.13 geeft ook BSN’s (indien in de RNI bekend) door. 

Meer informatie is te verkrijgen bij de eHerkenning makelaars.

Routeringsdienst

BZK onderzoekt of er een 'routeringsdienst' ingezet kan worden waarmee een dienstaanbieder via één koppelvlak aangesloten wordt op de verschillende eID-middelen. Het is nog niet duidelijk wanneer deze routeringsdienst beschikbaar gaat zijn.

Bedenk bij aansluiten:

  • BZK geeft aan dat de verantwoordelijkheid om te voldoen aan de verordening bij de gemeente zelf ligt;
  • Heeft u als gemeente te maken met (veel) EU-burgers?
  • Welke producten kunnen door EU-burgers worden aangevraagd? Bijvoorbeeld:
      • Afschrift burgerlijke stand (geboorte, trouwen, overlijden);
      • Afschrift geboorte;
      • WOZ (vakantiehuizen)

Als gemeente heeft u de keus:

  • Direct voldoen: aansluiten via een eHerkenningsmakelaar (zie hieronder het stappenplan)
    • Geschatte kosten 10.000 – 15.000 EUR 
    • Let op dat deze makelaar de eIDASaansluiting verzorgt
    • Let op de af te sluiten contractduur i.v.m. de aankomende routeringsvoorziening
  • Wachten op routeringsvoorziening: maar dan voldoet uw gemeente tussentijds niet aan de verordening en het is nog onduidelijk wanneer deze routeringsvoorziening gereed is en hoe snel gemeenten hierop kunnen aansluiten.
  • Geen DigiD/eHerkenning gebruiken als inlog: maar dat vermindert de dienstverlening!

1. Voorbereiding

Voordat een gemeente aan gaat sluiten moeten een aantal zaken in kaart gebracht worden:

  • Beoordeling BSN-dienst/geen BSN noodzakelijk
  • Bestaande (inlog)voorzieningen, koppelingen?
  • Werkt de ICT-leverancier al met eHerkenning?
  • Hoe worden de te koppelen diensten ingericht?
  • Welke attributen zijn gewenst?
  • Hoe worden de achterliggende processen ingericht?
  • Moet er betaald worden voor de dienst?

LET OP: Indien een dienst achter een Nederlands inlogmiddel is geplaatst, dient deze ook beschikbaar te zijn voor een EU-burger met zijn/haar nationale inlogmiddel, oftewel: iedere dienstverlening achter DigiD of eHerkenning moeten ook toegankelijk zijn voor EU-burgers/ondernemers met hun nationale inlogmiddel. Dit betekent dat er bij de desbetreffende dienst een eIDAS-inlogknop moet komen waarmee de EU-burger/ondernemer bij de dienst inlogt (volgens de verordening moet de deur naar de dienstverlening geopend worden, maar hoeft de dienst niet daadwerkelijk verleend te worden).

Optioneel (geen onderdeel van de eIDAS verordening): om een doeltreffende dienst te verlenen zal de dienst ook in de Engelse taal (en indien gewenst ook andere talen) aangeboden kunnen worden.

2. Beoordelen of BSN vereist is voor het product of dienst

Gemeenten moeten hun huidige online product- en dienstencatalogus gaan indelen op basis van twee aspecten: is BSN vereist voor het product en is fysieke aanwezigheid in Nederland noodzakelijk ten tijde van de levering van het product. Dit onderscheid wordt nu zelden gemaakt in digitale dienstverlening, omdat DigiD altijd een BSN meegeeft. Omdat met DigiD formulieren vooringevuld kunnen worden (indien voor het betreffende BSN gegevens beschikbaar zijn) is het direct duidelijk wie de aanvrager is en waar het product naartoe moet worden gestuurd. Er is echter niet altijd een BSN vereist om een product aan te vragen. Dit onderscheid dient voor eIDAS wel gemaakt te worden: welke producten vereisen een BSN en welke producten kunnen zonder BSN worden aangevraagd?

BSN vereist

Bijvoorbeeld: Nederlanders die zijn geëmigreerd en een uittreksel BRP/burgerlijke stand aanvragen. Nu wordt zo'n aanvraag per post gedaan en moet de identiteit van de aanvrager eerst worden gecontroleerd met een kopie van het paspoort. Met eIDAS is de aanvrager direct geïdentificeerd en kan er online betaald worden. De verstrekking vindt direct plaats.

Fysieke verstrekking: betreft het een aanvraag vanuit het buitenland?

Een groot deel van de gemeentelijke APV-producten en diensten zijn locatie gebonden. Denk aan het aanvragen van een container of een vergunning voor een evenement of het starten van een horecabedrijf. Indien de aanvrager niet in Nederland verblijft ten tijde van de levering van het product of dienst, dan kan besloten worden de dienst niet te verlenen (een gemeente is bijvoorbeeld niet verplicht een afvalcontainer buiten de gemeentegrenzen te leveren).

In principe hoeft het betrouwbaarheidsniveau voor het product niet te worden aangepast. Dit kan veranderen na inwerking treding van de Wet digitale overheid. Er mag ook geen afwijkend betrouwbaarheidsniveau voor EU-burgers gelden dan voor de Nederlandse aanvragers. De gemeente is zelf verantwoordelijk voor de keuze van het niveau. Via een risicoanalyse kan de gemeente de kwetsbaarheid van de dienst in kaart brengen. De handreiking betrouwbaarheidsniveaus van Forum Standaardisatie en de online regelhulp bieden hier een goede leidraad voor. VNG Realisatie heeft de benodigde betrouwbaarheidsniveaus voor de 40 toptaken in kaart gebracht en is gestart om het benodigde betrouwbaarheidsniveau voor de overige gemeentelijke diensten in kaart te brengen.

3. Een makelaar kiezen

De Nederlandse overheid kiest ervoor om de infrastructuur voor de eIDAS-implementatie onder te brengen binnen het Afsprakenstelsel Elektronische Toegangsdiensten. Dit betekent dat de erkende eHerkenningmakelaars de aansluiting (via koppelvlak 1.11) op het eIDAS-koppelpunt beheren voor de gemeente. De eHerkenningsmakelaar verzorgt het aansluitproces en is het eerste aanspreekpunt. Een gemeente kiest zelf met welke makelaar een contract afgesloten wordt. Sommige gemeenten kiezen er voor om bijvoorbeeld hun formulierenleverancier of portaalleverancier het contact met de eHerkenningsmakelaar te laten verzorgen.

Op dit moment onderzoekt BZK of er een 'routeringsdienst' ingezet kan worden waarmee een dienstaanbieder via een koppelvlak aangesloten wordt op de verschillende eID-middelen. Het kan zijn dat deze routeringsdienst dan de rol van de makelaars gaat vervullen maar dit is nog onzeker. Het advies van VNG Realisatie is om dit in overweging te nemen bij het aangaan van het contract met de makelaar (neem een contract voor een jaar, of maandelijks opzegbaar; zodat u, wanneer de routeringsdienst gereed is flexibel bent om over te stappen en het contract met de makelaar kunt beëindigen.

Er zijn op dit moment verschillende erkende makelaars die een aansluiting op eHerkenning/eIDAS aanbieden

Makelaars voldoen allemaal aan dezelfde beveiligings- en functionele eisen die worden gesteld. Zij concurreren op verschillende fronten met elkaar en onderscheiden zich op:

  • Prijs (eenmalig/terugkerend)
  • Standaardoplossing vs. maatwerk
  • Inhoudelijke ondersteuning
  • Aanvullende Service Level Agreement (SLA)
  • Serviceniveau

De prijs van de aansluiting op het koppelvlak hangt af van de wensen van de gemeente. Aangeraden wordt om bij meerdere makelaars een offerte aan te vragen en in deze aanvraag zo specifiek mogelijk aan te geven wat de wensen zijn. Een gemeente dient bij de selectie van de makelaar rekening te houden met:

  • Eigen wensen van de gemeente: standaardoplossing versus maatwerk. Check bijvoorbeeld bij de makelaar of er eventueel zonder aanpassingen overgestapt kan worden naar een andere makelaar;
  • Makelaar biedt koppeling met eIDAS-knooppunt;
  • Prijs (eenmalig/terugkerend);
  • Aanvullende Service Level Agreement;
  • De mate van inhoudelijke ondersteuning die de gemeente wenst;
  • Bestaande relaties: direct of via de ICT-leverancier. Mogelijk heeft de vaste ICT-leverancier al ervaring met een of meerdere makelaars. Advies om daarom ook de vaste ICT-leverancier waarmee samengewerkt wordt voor de ontwikkeling van de online dienstverlening te betrekken.

4. Aansluiten en testen

Samen met de makelaar en portaalleverancier wordt de aansluiting ingeregeld en wordt de aansluiting getest. Let op: er zal bijvoorbeeld een eIDAS-inlogknop naar de huidige inlogknop(pen) geplaatst moeten worden door uw portaal/websiteleverancier die toegang geeft tot de online dienstverlening/formulieren. Een standaard eIDASknop (zoals er ook een DigiD standaardknop is) is door Logius ontwikkeld.

5. Communicatie

Voor de EU-burger moet het duidelijk zijn welke diensten hij bij de gemeente af kan nemen met zijn nationale eID. Om te zorgen voor een eenduidige uitstraling voor Europese gebruikers kan uw organisatie gebruik maken van tekstelementen en beeldelementen voor eIDAS. Kijk voor communicatietips en voor de beeldelementen, waaronder de eIDAS-inlogknop.

Aanvullende informatie

De verordening geeft aan dat op het moment dat een online dienst op niveau substantieel of hoog aangeboden wordt aan een Nederlandse burger, deze ook toegankelijk moet zijn voor een EU-burger. Op dit moment worden de gemeentelijke diensten op niveau DigiD basis/laag of Midden aangeboden. In de Wet Digitale Overheid wordt aangegeven dat de online dienstverlening op niveau Substantieel of Hoog aangeboden moet worden. Dat betekent het volgende: biedt een gemeente een online dienst aan achter een identificatie- en authenticatiedienst aan haar Nederlandse burgers, dan moet deze dienst ook toegankelijk zijn voor andere EU-burgers. Als een online dienst toegankelijk is zonder identificatie – en authenticatiedienst geldt deze verplichting niet.

Het ministerie van Economische Zaken heeft in augustus 2017 een bestuurlijke brief verzonden naar 800 organisaties waaronder alle gemeenten in Nederland over de implementatie van de eIDAS-verordening.

Het Forum Standaardisatie heeft een regelhulp ontwikkeld waarmee architecten, informatiebeveiligers, juristen en bestuurders een beredeneerde keuze kunnen maken voor het juiste betrouwbaarheidsniveau voor digitale diensten. De regelhulp is gebaseerd op de handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening van Forum Standaardisatie.