2.2 Beheer van elektronische identificatiemiddelen

LOA 1

1. Het middel MOET tenminste een wachtwoord of PIN zijn, (a) gekozen door de gebruiker of (b) automatisch gegenereerd.

LOA 2

Hetzelfde als LoA1 met toevoeging van:

1. Als de authenticatiesessie een wachtwoord omvat dat in de browser van de gebruiker wordt ingevoerd dan MOET dat wachtwoord een zogenaamd ‘afgedwongen’ en ‘sterk’ wachtwoord of betreffen.

2. Het wachtwoord MOET in sterkte minimaal en aantoonbaar voldoen aan onderstaande: 

   • MOET ten minste 8 letters bevatten;

   • MOET ten minste 1 kleine letter bevatten [a-z];

   • MOET ten minste 1 hoofdletter bevatten [A-Z];

   • MOET ten minste 1 cijfer bevatten [0-9];

   • MOET ten minste 1 bijzonder teken bevatten [ - _ ! $ % & ' . = / \ : < > | ? @ [ ] ^ ` { } ~ ]

   • MAG NIET de gebruikersnaam bevatten; 

   • MAG NIET gelijk zijn aan een van de 5 eerder gebruikte wachtwoorden.
     Of;

   • MOET gebruikmaken van wachtwoordzinnen bestaande uit:

     • zowel hoofdletters als kleine letters en;

     • eventueel ook andere tekens en;

     • minimaal een zinlengte van 20 tekens.

In het geval van multifactorauthenticatie (MFA) MOET de sterkte van het wachtwoord in de risicocontext worden bepaald. 

3. Het herstellen of wijzigen van een authenticatiefactor MOET met gelijke zekerheid en betrouwbaarheid uitgevoerd worden als bij uitgifte. Hierbij MOET onderscheid gemaakt worden tussen:

   1. de situatie dat de Gebruiker wel toegang heeft tot de geregistreerde factor, of

   2. de situatie dat de Gebruiker geen toegang heeft tot de geregistreerde factor.

Het Stelsel kent ook een variant op LoA2 (eH2+) waar MFA een vereiste is.

Ad 3: Deze eis heeft tot doel dat het middel niet verzwakt wordt door een onvoldoende betrouwbaar proces voor herstel of wijzigingen van een authenticatiefactor. Dit is vooral een risico bij multifactormiddelen, waar bijvoorbeeld met behulp van 1-factor (ongewenst) meerdere factoren van het middel hersteld of gewijzigd zouden kunnen worden en hiermee het middel degraderen van een MFA naar een 1-factor middel. Authenticatiefactoren zijn bijvoorbeeld; gebruikersnaam, wachtwoord, pin en eenmalige code (OTP).

Per 01-07-2025 is voor LoA2 MFA vereist. Dit houdt in dat per 01-07-2025 voor zowel eH2 als eH2+ 2-factor authenticatie toegepast wordt.

LOA 3

Hetzelfde als LoA 2 met toevoeging van:

1. De authenticatie MOET het gebruik van minimaal twee van de volgende authenticatiefactoren omvatten:

   1. kennis van de gebruiker,

   2. uniek bezit van de gebruiker, of

   3. een biometrische eigenschap van de gebruiker.

2. Het middel MOET slechts een response geven na een expliciete handeling van de Gebruiker. De handeling van de Gebruiker MOET buiten de werkingssfeer van de applicatie (o.a. browser) plaatsvinden.

Implementatietermijn

Voor punt 1 en 2 geldt:
De Wet Digitale Overheid is sinds 1 juli 2023 van kracht. Echter, de bijbehorende Ministeriële Regeling is op het moment van deze aanpassing d.d. mei 2024 nog niet gereed.

Ad 2:  Dit betekent dat:

• de Gebruiker op betrouwbare wijze informatie wordt getoond die bevestigd wordt met een response van de Gebruiker, of; 

• de gebruiker voert zelf informatie in op het middel en maakt zo deel uit maakt van de response.

In deze eis bedoelde handelingen van de Gebruiker zijn bijvoorbeeld:

• Het door de gebruiker invoeren van een ontvangen OTP die op een ander device dan waar het op is ontvangen wordt ingevoerd in de applicatie;

• Het door de gebruiker invoeren van een PIN op een separate cardlezer waarmee het certificaat als authenticatiefactor wordt ingezet;

• Het door de gebruiker presenteren en laten 'lezen' van zijn biometrische kenmerk als authenticatiefactor.

Indien zowel de authenticatie-afhandeling als de inlog op het zelfde device kan plaats vinden zorgt de MU/AD ervoor dit risico-gedetecteerd te hebben en treft compenserende maatregelen zoals:

• het de gebruikers worden gewezen op de risico's van het gebruik van het zelfde device voor de inlog via de browser en het risico voor de ontvangst en gebruik van de informatie die nodig is voor de afhandeling van de authenticatie.

Voorbeeldsituaties:

• Inloggen via browser van een smartphone en ontvangst en gebruik op het zelfde toestel van een sms-code voor de afhandeling van de authenticatie.

• Inloggen via de browser van een tablet waar ook de OTP app op staat.

LOA 4

Hetzelfde als LoA3 met toevoeging van:

1. Het correct functioneren van het middel MOET weerstand bieden tegen fysieke en logische manipulatie door een aanvaller met een 'High attacker' potentieel in de zin van Annex B van de Common Criteria (ISO 1508-3 en evaluatie norm ISO/IEC 18045).

   1. het middel MAG NIET gebruikt kunnen worden zonder expliciete actie van de gebruiker in lijn met het multifactor-gebruik;

   2. het middel MAG NIET andere gegevens bevestigen dan wat de gebruiker verwacht. De toekomstige response van het middel MAG NIET vooraf te bepalen zijn;

   3. Het middel MAG NIET te klonen zijn.

Ad 1: De wijze waarop conformiteit met deze eis wordt aangetoond is aangegeven in paragraaf 2.4.7 Compliance en Audit.

LOA 1

1. De Deelnemer MAG NIET de eenmaal uitgegeven middelen aan een andere identiteit koppelen (geen hergebruik van pseudoniemen); 

2. De Deelnemer MOET aan tonen gedocumenteerde procedures te hebben voor het gecontroleerd uitgeven van middelen, wijzigen van identificerende gegevens en het vastleggen van uitgiftes/wijzigingen (AO/IC);

3. De Deelnemer MOET het elektronische identificatiemiddel uitreiken via een mechanisme waarmee het kan worden verondersteld alleen de beoogde persoon te bereiken.

LOA 2

Hetzelfde als LoA1 met toevoeging van:

1. Een door de uitgever van het middel aangemaakte gebruikersnaam en wachtwoord MOET separaat verzonden worden met gebruikmaking van een 'buiten de bandprocedure' naar een van tevoren tijdens het registratieproces door de Aanvrager aangegeven plaats.

2. De Deelnemer MOET de Gebruiker notificeren dat een middel op zijn naam is uitgegeven via een kanaal dat betrouwbaar is geassocieerd met de Gebruiker.
   

Ad 2: Doelstelling van deze eisen is:

• De Gebruiker wordt in staat gestelde om de naam van de Authenticatiedienst waar hij het middel heeft aangeschaft te bewaren ter herinnering voor later gebruik.

• De Gebruiker wordt in staat gesteld afwijkingen in het proces van uitgifte van een middel te detecteren.

• De Gebruiker wordt in staat gesteld om te vast te stellen dat er een middel terecht op zijn naam is uitgegeven.

• De betrouwbaarheid van de associatie met de identiteit van de Gebruiker neemt toe naarmate de validatie van de associatie onafhankelijker van het registratieproces uitgevoerd kan worden.

LOA 3

Hetzelfde als LoA2 met toevoeging van:

1. De Deelnemer MOET het elektronische identificatiemiddel uitreiken via een mechanisme waarmee kan worden verondersteld dat alleen de persoon aan wie het toebehoort in het bezit ervan wordt gesteld.

2. De authenticatiefactoren van het middel MOETEN gescheiden in tijd verzonden worden of via verschillende kanalen verzonden worden.

LOA 4

Hetzelfde als LoA3 met toevoeging van:

Bij het activeringsproces wordt geverifieerd dat slechts de persoon aan wie het elektronische identificatiemiddel toebehoort in het bezit wordt gesteld.

LOA 1 2

1. De Deelnemer MOET een werkend proces hebben voor het intrekken van middelen.

2. Het resultaat van het proces MOET zijn dat een ingetrokken middel niet meer gebruikt kan worden in het Stelsel.

3. De Deelnemer MAG de mogelijkheid tot schorsing van een middel aanbieden

4. De deelnemer die het middel heeft verstrekt MOET het middel intrekken of schorsen ingeval:

   1. Een verzoek tot intrekking of schorsing is gedaan door de Gebruiker van het middel;

   2. Een verzoek tot intrekking of schorsing is gedaan door een vertegenwoordigingsbevoegde van de Gebruiker van het middel.

   3. Het middel blijkt te zijn gecompromitteerd;

   4. Het middel aantoonbaar kwetsbaar is geworden voor manipulatie of misbruik;

5. De Deelnemer die het middel heeft verstrekt MAG het middel deactiveren ingeval:

   1. De Gebruiker en/of Dienstafnemer zijn verplichtingen niet nakomt.

6. Indien een bevoegde vertegenwoordiger van de Gebruiker verzoekt om schorsing van het middel MOET de Deelnemer aan de vertegenwoordigingsbevoegde duidelijk maken dat de Gebruiker in staat zal zijn om het middel te reactiveren als deze zijn mogelijkheden tot reactivatie in bezit behoudt.

7. De Deelnemer MOET aan kunnen tonen dat middelen die zijn ingetrokken of geschorst vanaf het moment van intrekken of schorsen niet meer gebruikt zijn.

8. De Deelnemer MOET afdoende hebben geverifieerd dat het verzoek tot intrekking of schorsing door de bevoegde vertegenwoordiger is gedaan. De Deelnemer MOET het risico afwegen dat het verzoek niet door de bevoegde vertegenwoordiger is gedaan tegen de schade voor de gebruiker die het afhandelen of het niet afhandelen van het verzoek veroorzaakt. De Deelnemer MOET de risicoafweging vastleggen. 

   1. De risicoafweging MOET een gedocumenteerde procedure zijn waarlangs de beslissing tot stand komt waaraan de uitkomst van een beslissing tot intrekking of schorsing kan worden geverifieerd of;

   2. De risicoafweging betreft een documentatie per gemaakte afweging die in het dossier van de gebruiker wordt opgenomen.

9. De Deelnemer MOET een het middel na ontvangst door de Deelnemer van het verzoek tot intrekking of schorsing binnen een (1) werkdag hebben ingetrokken of geschorst.

10. De Deelnemer MOET bij een verzoek tot reactivering van een geschorst middel dit verzoek valideren als afkomstig van de Gebruiker van het middel of zijn vertegenwoordigingsbevoegde. De wijze van validatie MOET in overeenstemming zijn met het LoA van het geschorste middel:

    1. De Deelnemer MOET de Gebruiker of zijn vertegenwoordigingsbevoegde identificeren.

    2. De Deelnemer MOET verifiëren bij de geïdentificeerde Gebruiker of deze het betreffende verzoek heeft gedaan.

    3. Een schorsing MAG eindigen op een moment dat bij het indienden van het verzoek is overeenkomen met de verzoeker.

    4. De Deelnemer MOET de Gebruiker notificeren over statuswijzigingen over een communicatiekanaal dat is overeengekomen in het proces van het registratie en uitgifte van het middel.

Doel van deze eis is dat de gebruiker van het middel zekerheid krijgt over intrekking of schorsing van het middel als hij daar om verzoekt. 

Ad 4.b: Een vertegenwoordigingsbevoegde kan bijvoorbeeld zijn een Voogd, De Rechtbank of een Bewindvoerder. De identiteit van een Voogd of Bewindvoerder en een beslissing van de Rechtbank kan worden geverifieerd aan een onafhankelijke bron. 

Good practice voor het verificatie van de identiteit van de Gebruiker bij een verzoek tot intrekking en schorsing/reactivering:

• Verstrekken van een code bij de uitgifte van een middel aan de gebruiker die voor intrekken en schorsingen/reactivering kan worden gebruikt. Tevens wordt de Gebruiker verzocht om beveiligingsvragen te beantwoorden (zogenaamd gedeeld geheim tussen de MU/AD en Gebruiker). De verstrekte code en de antwoorden op de beveiligingsvragen geven samen afdoende zekerheid dat de gene die het verzoek doet tot intrekken en schorsing/reactivering de Gebruiker is.

• Een online-dienst waarmee de gebruiker met inzet van zijn middel(en) een middel waarvan hij Gebruiker is kan laten intrekken, schorsen en reactiveren.

Ad 5.a: Bij verplichtingen kan onder meer gedacht worden aan schending van de gebruiksvoorwaarden eTD of het niet nakomen van betalingsverplichtingen.

LOA 3 4

Hetzelfde als LoA1 met toevoeging van:

1. De Deelnemer MOET een het middel na ontvangst door de Deelnemer van het verzoek tot intrekking of schorsing binnen vierentwintig (24) uur hebben ingetrokken of geschorst:

LOA 1

1. Betrouwbaarheidsniveau van het verlengingsproces MOET in elk geval gelijk zijn aan het betrouwbaarheidsniveau van eerste uitgave.

2. De levensduur van een credential voordat verlenging of intrekking plaatsvindt MOET gebaseerd zijn op een risicoanalyse die de kwaliteit van de onderliggende techniek en noodzaak voor 'proof of life' van de gebruiker in beschouwing neemt. Deze risicoafweging van de levensduur van het middel moet periodiek getoetst worden aan de laatste stand der techniek.

3. Een gebruiker MAG met een bestaand geldig middel verlenging aanvragen op hetzelfde betrouwbaarheidsniveau.

LOA 2 3 4

Hetzelfde als LoA1 met toevoeging van:

1. De Deelnemer MOET de verwachte levensduur van een middel jaarlijks vaststellen op basis van een analyse van de kenmerken en kwetsbaarheden van het middel.

2. Een middel waarvan is aangetoond dat deze kwetsbaar is geworden voor misbruik of manipulatie MOET door de Deelnemer worden ingetrokken.

3. De vastgestelde levensduur van een middel MOET zijn gerelateerd aan de te verwachten technische levensduur van het middel maar ZOU niet meer MOETEN zijn dan tien (10) jaar. 

4. De Gebruiker MOET minimaal elke tien (10) jaar het gehele proces identificatie tot de uitgifte van een middel opnieuw doorlopen.

5. De Deelnemer MAG een middel verlengen op basis van een bestaand en geldig middel. Het verlengde middel MOET aan de Gebruiker worden verstrekt met de zekerheid die behoort bij het LoA van het middel dat wordt verlengd en voldaan wordt aan punt 4. 

6. Voor LoA3 en LoA4 middelen die bedoeld zijn voor gebruik in het BSN domein:  

   1. De Deelnemer MOET tenminste een maal per vijf (5) jaar vaststellen dat de Gebruiker nog in bezit is van zijn middel. Indien de Deelnemer niet kan vaststellen of de Gebruiker nog in bezit van zijn middel MOET de Deelnemer het middel intrekken of schorsen. 

   2. De Deelnemer MAG deze eis ook invullen voor ander LoA's en middelen die niet bedoeld zijn voor gebruik in het BSN domein.

Ad 3: Een middel bestaat uit een technische component en procedurele component. Voor de maximale levensduur van het het middel (technisch en procedureel) is aangesloten bij de levensduur van paspoorten en gekwalificeerde certificaten. Het is vanuit optiek van het Stelsel belangrijker dat de kwetsbaarheid van de verschillende technische componenten van het middel wordt gemonitord door de AD/MU dan dat een specifieke levensduur wordt opgelegd van de technische componenten waaruit een middel kan bestaan.

Ad 4: Het is altijd mogelijk dat er in de loop van de tijd fouten gemaakt worden waardoor een persoon niet of niet meer in bezit is van de juiste credentials om over een specifiek middel te mogen beschikken. Daarom is het nodig om personen periodiek opnieuw te identificeren conform het proces van de initiële uitgifte van een middel. Bij de keuze voor de termijn van 10 jaar is aangesloten bij de bestaande praktijk voor het vernieuwen van Nederlandse identiteitsbewijzen. 

Ad 6: Om dezelfde reden als bij 4. en omdat misbruik door derden niet is uit te sluiten van gestolen, verloren middelen of middelen van bijvoorbeeld overledenen is een extra vorm van controle voorgeschreven die eens in de 5 jaar plaatsvindt. 

Good practice voor middelen die bedoeld zijn voor gebruik in het BSN domein op LoA3 en LoA4: 

• Uitvoeren van een her-registratie van het middel bij BSNk. Indien een gebruiker niet meer in leven zou zijn geeft BSNk een foutmelding. Deze toets wordt aangevuld met een toets op recent gebruik van het middel in de laatste 12 maanden. 

Voorbeelden van overige good practices: 

• Uitvoeren van een banktransactie die alleen op naam van de Gebruiker staat in combinatie met het gebruik van zijn middel. 

• De Gebruiker wordt telefonisch, per brief of per e-mail verzocht zijn om binnen een vastgestelde periode (bijv. twee maanden) met zijn middel in te loggen bij zijn AD/MU en een drietal beveiligingsvragen te beantwoorden (zogenaamd gedeeld geheim tussen de MU/AD en Gebruiker) die bij de uitgifte van het middel zijn overeengekomen met de gebruiker.