2.2 Beheer van elektronische identificatiemiddelen

LOA 1

1. Het middel MOET tenminste een wachtwoord of PIN zijn, (a) gekozen door de gebruiker of (b) automatisch gegenereerd.

LOA 2

Hetzelfde als LoA1 met toevoeging van:

1. Als de authenticatiesessie een wachtwoord omvat dat in de browser van de gebruiker wordt ingevoerd dan MOET dat wachtwoord een zogenaamd ‘afgedwongen’ en ‘sterk’ wachtwoord of betreffen.

2. Het wachtwoord MOET in sterkte minimaal en aantoonbaar voldoen aan onderstaande: 

   • MOET ten minste 8 letters bevatten;

   • MOET ten minste 1 kleine letter bevatten [a-z];

   • MOET ten minste 1 hoofdletter bevatten [A-Z];

   • MOET ten minste 1 cijfer bevatten [0-9];

   • MOET ten minste 1 bijzonder teken bevatten [ - _ ! $ % & ' . = / \ : < > | ? @ [ ] ^ ` { } ~ ]

   • MAG NIET de gebruikersnaam bevatten; 

   • MAG NIET gelijk zijn aan een van de 5 eerder gebruikte wachtwoorden.
     Of;

   • MOET gebruikmaken van wachtwoordzinnen bestaande uit:

     • zowel hoofdletters als kleine letters en;

     • eventueel ook andere tekens en;

     • minimaal een zinlengte van 20 tekens.

In het geval van multifactorauthenticatie (MFA) MOET de sterkte van het wachtwoord in de risicocontext worden bepaald. 

3. Het herstellen of wijzigen van een authenticatiefactor MOET met gelijke zekerheid en betrouwbaarheid uitgevoerd worden als bij uitgifte. Hierbij MOET onderscheid gemaakt worden tussen:

   1. de situatie dat de Gebruiker wel toegang heeft tot de geregistreerde factor, of

   2. de situatie dat de Gebruiker geen toegang heeft tot de geregistreerde factor.

Het Stelsel kent ook een variant op LoA2 (eH2+) waar MFA een vereiste is.

Ad 3: Deze eis heeft tot doel dat het middel niet verzwakt wordt door een onvoldoende betrouwbaar proces voor herstel of wijzigingen van een authenticatiefactor. Dit is vooral een risico bij multifactormiddelen, waar bijvoorbeeld met behulp van 1-factor (ongewenst) meerdere factoren van het middel hersteld of gewijzigd zouden kunnen worden en hiermee het middel degraderen van een MFA naar een 1-factor middel. Authenticatiefactoren zijn bijvoorbeeld; gebruikersnaam, wachtwoord, pin en eenmalige code (OTP).

Per 01-07-2025 is voor LoA2 MFA vereist. Dit houdt in dat per 01-07-2025 voor zowel EH2 als EH2+ 2-factor authenticatie toegepast wordt.

LOA 3

Hetzelfde als LoA 2 met toevoeging van:

1. De authenticatie MOET het gebruik van minimaal twee van de volgende authenticatiefactoren omvatten:

   1. kennis van de gebruiker,

   2. uniek bezit van de gebruiker, of

   3. een biometrische eigenschap van de gebruiker.

2. Het middel MOET slechts een response geven na een expliciete handeling van de Gebruiker. De handeling van de Gebruiker MOET buiten de werkingssfeer van de applicatie (o.a. browser) plaatsvinden.

Implementatietermijn

Voor punt 1 en 2 geldt:
De Wet Digitale Overheid is sinds 1 juli 2023 van kracht. Echter, de bijbehorende Ministeriële Regeling is op het moment van deze aanpassing d.d. mei 2024 nog niet gereed.

Ad 2:  Dit betekent dat:

• de Gebruiker op betrouwbare wijze informatie wordt getoond die bevestigd wordt met een response van de Gebruiker, of; 

• de gebruiker voert zelf informatie in op het middel en maakt zo deel uit maakt van de response.

In deze eis bedoelde handelingen van de Gebruiker zijn bijvoorbeeld:

• Het door de gebruiker invoeren van een ontvangen OTP die op een ander device dan waar het op is ontvangen wordt ingevoerd in de applicatie;

• Het door de gebruiker invoeren van een PIN op een separate cardlezer waarmee het certificaat als authenticatiefactor wordt ingezet;

• Het door de gebruiker presenteren en laten 'lezen' van zijn biometrische kenmerk als authenticatiefactor.

Indien zowel de authenticatie-afhandeling als de inlog op het zelfde device kan plaats vinden zorgt de MU/AD ervoor dit risico-gedetecteerd te hebben en treft compenserende maatregelen zoals:

• het de gebruikers worden gewezen op de risico's van het gebruik van het zelfde device voor de inlog via de browser en het risico voor de ontvangst en gebruik van de informatie die nodig is voor de afhandeling van de authenticatie.

Voorbeeldsituaties:

• Inloggen via browser van een smartphone en ontvangst en gebruik op het zelfde toestel van een sms-code voor de afhandeling van de authenticatie.

• Inloggen via de browser van een tablet waar ook de OTP app op staat.

LOA 4

Hetzelfde als LoA3 met toevoeging van:

1. Het correct functioneren van het middel MOET weerstand bieden tegen fysieke en logische manipulatie door een aanvaller met een 'High attacker' potentieel in de zin van Annex B van de Common Criteria (ISO 1508-3 en evaluatie norm ISO/IEC 18045).

   1. het middel MAG NIET gebruikt kunnen worden zonder expliciete actie van de gebruiker in lijn met het multifactor-gebruik;

   2. het middel MAG NIET andere gegevens bevestigen dan wat de gebruiker verwacht. De toekomstige response van het middel MAG NIET vooraf te bepalen zijn;

   3. Het middel MAG NIET te klonen zijn.

Ad 1: De wijze waarop conformiteit met deze eis wordt aangetoond is aangegeven in paragraaf 2.4.7 Compliance en Audit.

LOA 1

Hetzelfde als LoA1 met toevoeging van:

1. Deelnemer MAG NIET de eenmaal uitgegeven middelen aan een andere identiteit koppelen (geen hergebruik van pseudoniemen); 

2. Deelnemer MOET aan tonen gedocumenteerde procedures te hebben voor het gecontroleerd uitgeven van middelen, wijzigen van identificerende gegevens en het vastleggen van uitgiftes/wijzigingen (AO/IC).

LOA 2

Hetzelfde als LoA1 met toevoeging van:

1. Middelen met betrouwbaarheidsniveaus 2 MOETEN met een lichte verificatie van de identificerende gegevens van de Aanvrager (bijv. naam en/of adres) worden verkregen. Onderstaande vereisten zijn in het bijzonder van toepassing:

2. Een door de uitgever van het middel aangemaakte gebruikersnaam en wachtwoord MOET separaat verzonden worden met gebruikmaking van een 'buiten de bandprocedure' naar een van tevoren tijdens het registratieproces door de Aanvrager aangegeven plaats.

3. Een middel dat rechtstreeks van internet is gedownload door de Aanvrager na het volgen van de registratieprocedure komt tot stand door een link door te geven naar een plaats die de Aanvrager tijdens het registratieproces heeft opgegeven; in dat geval MOET de link na 24 uur verlopen zijn.

4. De Deelnemer MOET de Gebruiker op de hoogte brengen van het procesverloop van aanvraag tot uitgifte van het middel. 

5. De Deelnemer MOET de Gebruiker notificeren dat een middel op zijn naam is uitgegeven. 

6. De Deelnemer  MOET de Gebruiker notificeren van de uitgifte via een kanaal dat betrouwbaar is geassocieerd met de voornaam en achternaam van de gebruiker.
   

Ad 1 en 2: Indien het om een middel gaat dat slechts in  de context van de Dienstafnemer kan worden gebruikt mag het adres waar naar het middel wordt gezonden door de Dienstafnemer worden opgegeven.

Ad 4, 5 en 6: Doelstelling van deze eisen is:

• De Gebruiker wordt in staat gestelde om de naam van de Authenticatiedienst waar hij het middel heeft aangeschaft te bewaren ter herinnering voor later gebruik.

• De Gebruiker wordt in staat gesteld afwijkingen in het proces van uitgifte van een middel te detecteren.

• De Gebruiker wordt in staat gesteld om te vast te stellen dat er een middel terecht op zijn naam is uitgegeven.

Good practice: Voorbeelden van notificaties:

• Het verzenden van een bericht (e-mail of brief) aan de Gebruiker dat bewaard kan worden ter herinnering. In het bericht is de naam van de AD waar het middel is geregistreerd opgenomen. Deze practice geeft daarnaast alleen bescherming bij een aanvraag voor een tweede middel op naam van de gebruiker.

• Het gebruik van een mededeling in een terugboeking door AD/MU van een eerdere betaling door Gebruiker met een bankrekening op de opgegeven voor- en achternaam. Deze maatregel geeft enige bescherming bij toepassing voor nieuwe als bestaande Gebruikers, op voorwaarde dat de tenaamstelling van de bankrekening overeenkomt met de naam op het WID.

• Het verzenden van een brief naar een adres dat is gekoppeld aan de voor en achternaam van de Gebruiker. Het adres is geverifieerd aan een origineel uittreksel uit de BPR dat de gebruiker heeft overhandigd.

Ad 6: De betrouwbaarheid van de associatie met de voornaam een achternaam van de gebruikers neemt toe naarmate de validatie van de associatie onafhankelijker van het registratieproces uitgevoerd kan worden.

LOA 3

Hetzelfde als LoA 2 met toevoeging van:

Het middel wordt met een gemiddelde verificatie van de identificerende gegevens van de aanvrager (bijv. naam en/of adres) verkregen.

Onderstaande voorbeelden verduidelijken dit type uitgifte van een middel: 

Het middel wordt per aangetekende post verzonden na voorafgaande validatie van het opgegeven adres bij een officiële identiteitsdatabase waar dit fysieke adres geregistreerd staat. Dit betekent:

a) Het middel wordt verzonden naar adres van de Dienstafnemer dat in het Handelsregister is opgenomen geadresseerd aan de Gebruiker, Machtigingenbeheerder of de Wettelijke vertegenwoordiger of;

b) Het middel wordt verzonden naar het adres van de Gebruiker zoals dit door de Dienstafnemer is opgegeven. Het risico dat het niet de bevoegde vertegenwoordiger(s) van de Dienstafnemer is die verzocht heeft om de uitgifte van het middel moet worden gemitigeerd. Acceptabele mitigerende maatregelen zijn in elk geval:

i. In het geval het verzoek is gedaan door 1 wettelijke vertegenwoordiger of machtigingenbeheerder heeft verzocht om de uitgifte van het middel. Moet de Dienstafnemer van de verzending worden genotificeerd middels een brief naar het adres van de Dienstafnemer dat in het Handelsregister is opgenomen met het verzoek te reageren indien de uitgifte ongedaan gemaakt moet worden. De brief is gesteld geadresseerd aan de Machtigingenbeheerder of Wettelijke vertegenwoordiger van de Dienstafnemer. Alternatief voor een persoonlijke brief is een mail aan de in b) genoemde vertegenwoordigers op hun persoonlijke mailadres in het geverifieerde domein van de Dienstafnemer. 

ii. In het geval 2 wettelijke vertegenwoordigers, machtigingenbeheerders of een combinatie daarvan het verzoek hebben gedaan is de notificatie aan de dienstafnemer zoals bedoeld bij punt b) i. geen verplichting.

c) Het middel wordt verzonden naar het adres dat is gekoppeld aan de voor en achternaam van de Gebruiker. Het adres is geverifieerd aan een origineel uittreksel uit de BRP. 

Alternatieven a) en b) mogen gebruikt worden voor middelen die slechts bruikbaar zijn in de context van de Dienstafnemer. 

De authenticatiefactoren van het middel worden gescheiden in tijd verzonden of worden via verschillende communicatiekanalen verzonden. Het is denkbaar dat voor de verzending van de verschillende authenticatiefactoren een combinatie van hetgeen onder a) en b) is gesteld wordt gebruikt. Indien een van de authenticatiefactoren naar het e-mailadres van de gebruiker wordt verzonden moet dit e-mailadres zijn geverifieerd. Opgave van het e-mailadres door de Dienstafnemer op een met b) vergelijkbare wijze is toegestaan mits de gebruiker juistheid van het e-mailadres voorafgaande aan de verzending van de authenticatiefactor heeft bevestigd. 

Het middel is gedownload van internet nadat het verzoek om een verklaring door de aanvrager ondertekend is met een gekwalificeerde handtekening in overeenstemming met de voorwaarden van de eIDAS-verordening (Verordening (EU) 910/2014) en geverifieerd door een Qualified Trusted Service Provider (QTSP). 

LOA 4

Hetzelfde als LoA3 met toevoeging van:

1. Middelen met betrouwbaarheidsniveau 4 MOETEN met een zware aanvangsverificatie van de identificerende gegevens van de Aanvrager worden verkregen. Onderstaande vereisten zijn in het bijzonder van toepassing:

   1. Het middel MOET persoonlijk aan de Aanvrager worden afgegeven, na validatie van de identiteit van de Aanvrager; of;

   2. Het middel MOET naar de Aanvrager verzonden en geactiveerd worden na validatie van diens identiteit door fysieke registratie.

LOA 1 2

1. De Deelnemer MOET een werkend proces hebben voor het intrekken van middelen.

2. Het resultaat van het proces MOET zijn dat een ingetrokken middel niet meer gebruikt kan worden in het Stelsel.

3. De Deelnemer MAG de mogelijkheid tot schorsing van een middel aanbieden

4. De deelnemer die het middel heeft verstrekt MOET het middel intrekken of schorsen ingeval:

   1. Een verzoek tot intrekking of schorsing is gedaan door de Gebruiker van het middel;

   2. Een verzoek tot intrekking of schorsing is gedaan door een vertegenwoordigingsbevoegde van de Gebruiker van het middel.

   3. Het middel blijkt te zijn gecompromitteerd;

   4. Het middel aantoonbaar kwetsbaar is geworden voor manipulatie of misbruik;

   5. De Gebruiker van het middel zijn gebruiksverplichtingen niet nakomt.

5. Indien een bevoegde vertegenwoordiger van de Gebruiker verzoekt om schorsing van het middel MOET de Deelnemer aan de vertegenwoordigingsbevoegde duidelijk maken dat de Gebruiker in staat zal zijn om het middel te heractiveren als deze zijn mogelijkheden tot heractivatie in bezit behoudt.

6. De Deelnemer MOET aan kunnen tonen dat middelen die zijn ingetrokken of geschorst vanaf het moment van intrekken of schorsen niet meer gebruikt zijn.

7. De Deelnemer MOET afdoende hebben geverifieerd dat het verzoek tot intrekking of schorsing door de bevoegde vertegenwoordiger is gedaan. De Deelnemer MOET het risico afwegen dat het verzoek niet door de bevoegde vertegenwoordiger is gedaan tegen de schade voor de gebruiker die het afhandelen of het niet afhandelen van het verzoek veroorzaakt. De Deelnemer MOET de risicoafweging vastleggen. 

   1. De risicoafweging MOET een gedocumenteerde procedure zijn waarlangs de beslissing tot stand komt waaraan de uitkomst van een beslissing tot revocatie of schorsing kan worden geverifieerd of;

   2. De risicoafweging betreft een documentatie per gemaakte afweging die in het dossier van de gebruiker wordt opgenomen.

8. De Deelnemer MOET een het middel na ontvangst door de Deelnemer van het verzoek tot intrekking of schorsing binnen een (1) werkdag hebben ingetrokken of geschorst.

9. De Deelnemer MOET bij een verzoek tot heractivering van een geschorst middel dit verzoek valideren als afkomstig van de Gebruiker van het middel of zijn vertegenwoordigingsbevoegde. De wijze van validatie MOET in overeenstemming zijn met het LoA van het geschorste middel:

   1. De Deelnemer MOET de Gebruiker of zijn vertegenwoordigingsbevoegde identificeren.

   2. De Deelnemer MOET verifiëren bij de geïdentificeerde Gebruiker of deze het betreffende verzoek heeft gedaan.

   3. Een schorsing MAG eindigen op een moment dat bij het indienden van het verzoek is overeenkomen met de verzoeker.

   4. De Deelnemer MOET de Gebruiker notificeren over statuswijzigingen over een communicatiekanaal dat is overeengekomen in het proces van het registratie en uitgifte van het middel.

Doel van deze eis is dat de gebruiker van het middel zekerheid krijgt over intrekking of schorsing van het middel als hij daar om verzoekt. 

Ad 4.b: Een vertegenwoordigingsbevoegde kan bijvoorbeeld zijn een Voogd, De Rechtbank of een Bewindvoerder. De identiteit van een Voogd of Bewindvoerder en een beslissing van de Rechtbank kan worden geverifieerd aan een onafhankelijke bron. 

Good practice voor het verificatie van de identiteit van de Gebruiker bij een verzoek tot intrekking en schorsing/her-activering:

• Verstrekken van een code bij de uitgifte van een middel aan de gebruiker die voor revocatie en schorsingen/her-activering kan worden gebruikt. Tevens wordt de Gebruiker verzocht om beveiligingsvragen te beantwoorden (zogenaamd gedeeld geheim tussen de MU/AD en Gebruiker). De verstrekte code en de antwoorden op de beveiligingsvragen geven samen afdoende zekerheid dat de gene die het verzoek doet tot revocatie en schorsing/her-activering de Gebruiker is.

• Een online-dienst waarmee de gebruiker met inzet van zijn middel(en) een middel waarvan hij Gebruiker is kan laten intrekken, schorsen en her-activeren.

LOA 3 4

Hetzelfde als LoA1 met toevoeging van:

1. De Deelnemer MOET een het middel na ontvangst door de Deelnemer van het verzoek tot intrekking of schorsing binnen vierentwintig (24) uur hebben ingetrokken of geschorst:

LOA 1

1. Betrouwbaarheidsniveau van het vernieuwingsproces MOET in elk geval gelijk zijn aan het betrouwbaarheidsniveau van eerste uitgave.

2. De levensduur van een credential voordat vernieuwing of intrekking plaatsvindt MOET gebaseerd zijn op een risicoanalyse die de kwaliteit van de onderliggende techniek en noodzaak voor 'proof of life' van de gebruiker in beschouwing neemt. Deze risicoafweging van de levensduur van het middel moet periodiek getoetst worden aan de laatste stand der techniek.

3. Een gebruiker MAG met een bestaand geldig middel vernieuwing aanvragen op hetzelfde betrouwbaarheidsniveau.

LOA 2 3 4

Hetzelfde als LoA1 met toevoeging van:

1. De Deelnemer MOET de verwachte levensduur van een middel jaarlijks vaststellen op basis van een analyse van de kenmerken en kwetsbaarheden van het middel.

2. Een middel waarvan is aangetoond dat deze kwetsbaar is geworden voor misbruik of manipulatie MOET door de Deelnemer worden ingetrokken.

3. De vastgestelde levensduur van een middel MOET zijn gerelateerd aan de te verwachten technische levensduur van het middel maar ZOU niet meer MOETEN zijn dan tien (10) jaar. 

4. De Gebruiker MOET minimaal elke tien (10) jaar het gehele proces identificatie tot de uitgifte van een middel opnieuw doorlopen.

5. De Deelnemer MAG een middel vernieuwen op basis van een bestaand en geldig middel. Het vernieuwde middel MOET aan de Gebruiker worden verstrekt met de zekerheid die behoort bij het LoA van het middel dat wordt vernieuwd en voldaan wordt aan punt 4. 

6. Voor LoA3 en LoA4 middelen die bedoeld zijn voor gebruik in het BSN domein:  

   1. De Deelnemer MOET tenminste een maal per vijf (5) jaar vaststellen dat de Gebruiker nog in bezit is van zijn middel. Indien de Deelnemer niet kan vaststellen of de Gebruiker nog in bezit van zijn middel MOET de Deelnemer het middel intrekken of schorsen. 

   2. De Deelnemer MAG deze eis ook invullen voor ander LoA's en middelen die niet bedoeld zijn voor gebruik in het BSN domein.

Ad 3: Een middel bestaat uit een technische component en procedurele component. Voor de maximale levensduur van het het middel (technisch en procedureel) is aangesloten bij de levensduur van paspoorten en gekwalificeerde certificaten. Het is vanuit optiek van het Stelsel belangrijker dat de kwetsbaarheid van de verschillende technische componenten van het middel wordt gemonitord door de AD/MU dan dat een specifieke levensduur wordt opgelegd van de technische componenten waaruit een middel kan bestaan.

Ad 4: Het is altijd mogelijk dat er in de loop van de tijd fouten gemaakt worden waardoor een persoon niet of niet meer in bezit is van de juiste credentials om over een specifiek middel te mogen beschikken. Daarom is het nodig om personen periodiek opnieuw te identificeren conform het proces van de initiële uitgifte van een middel. Bij de keuze voor de termijn van 10 jaar is aangesloten bij de bestaande praktijk voor het vernieuwen van Nederlandse identiteitsbewijzen. 

Ad 6: Om dezelfde reden als bij 4. en omdat misbruik door derden niet is uit te sluiten van gestolen, verloren middelen of middelen van bijvoorbeeld overledenen is een extra vorm van controle voorgeschreven die eens in de 5 jaar plaatsvindt. 

Good practice voor middelen die bedoeld zijn voor gebruik in het BSN domein op LoA3 en LoA4: 

• Uitvoeren van een her-registratie van het middel bij BSNk. Indien een gebruiker niet meer in leven zou zijn geeft BSNk een foutmelding. Deze toets wordt aangevuld met een toets op recent gebruik van het middel in de laatste 12 maanden. 

Voorbeelden van overige good practices: 

• Uitvoeren van een banktransactie die alleen op naam van de Gebruiker staat in combinatie met het gebruik van zijn middel. 

• De Gebruiker wordt telefonisch, per brief of per e-mail verzocht zijn om binnen een vastgestelde periode (bijv. twee maanden) met zijn middel in te loggen bij zijn AD/MU en een drietal beveiligingsvragen te beantwoorden (zogenaamd gedeeld geheim tussen de MU/AD en Gebruiker) die bij de uitgifte van het middel zijn overeengekomen met de gebruiker.