Technische specificaties, procedures voor uitgifte van middelen en eisen voor het authenticatiemechanisme
EH1 vervalt per 1-7-2021
Met ingang van 1 juli 2021 komt het gebruik van het betrouwbaarheidsniveau eH1 te vervallen en moeten de middelen en machtigingen minimaal voldoen aan de normen van het betrouwbaarheidsniveau eH2.
2.1 Inschrijving
2.1.1 Aanvraag en registratie
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| |
LOA 2 | Hetzelfde als LoA1 met toevoeging van:
| Ad 1: Adres is optioneel en alleen van toepassing ten behoeve van de uitgifte van een fysiek element wanneer dit onderdeel is van het middel. |
LOA 3 | Hetzelfde als LoA 2 met toevoeging van:
| Ad 1: Adres is optioneel en alleen van toepassing ten behoeve van de uitgifte van een fysiek element wanneer dit onderdeel is van het middel. Ad 3 en 4 Voor LoA3 zijn alternatieve invullingen toegestaan zoals beschreven is in de paragraaf 2.1.2 'Eisen Identificatie op Afstand' en paragraaf 2.1.2 bij LoA3. |
LOA 4 | Hetzelfde als LoA3 met toevoeging van:
|
2.1.2 Bewijs en verificatie van Identiteit (natuurlijk persoon)
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 | De Deelnemer moet het e-mailadres valideren als deze contactgegevens gebruikt worden als onderdeel van het registratieproces (versturen van activatiecodes, links of (one-time) passwords). | |
LOA 2 | LoA 1 met toevoeging van:
| Ad 2 In Nederland is de Basisregistratie Personen (BRP) als de formele en gezaghebbende bron voor identiteitscontrole. Validatie van identificerende gegevens waarbij de HRM database van een werkgever of een werkgeversverklaring als bron wordt gebruikt MOETEN slechts betekenis hebben binnen de bedrijvencontext. Dergelijke validaties zijn vanwege de mogelijkheden tot opzettelijk misbruik door de aanvrager ongeschikt voor uitgifte van middelen die in het BSN-domein en consumentendomein gebruikt kunnen worden. Deelnemers MOGEN NIET dit risico met gebruiksvoorwaarden afdekken. In het geval de bankoverschrijving als een toegevoegde verificatie wordt gebruikt: De bankrekening MOET een privérekening zijn bij een bank waar de aanvrager dezelfde persoon is als de enige bankrekeninghouder en; waarvoor de financiële instelling voor het openen van de bankrekening de rekeninghouder zich conform wettelijke vereisten heeft moeten laten identificeren, op basis van een geldig identiteitsbewijs. Ad 4 Kern van deze norm is dat identificatie bij registratie of uitgifte altijd op het juiste LoA heeft plaats gevonden. Voor een gekwalificeerd certificaat heeft een identificatie op LoA4 plaats gevonden. Ten behoeve van de uitgifte van middelen voor gebruik in het burgerdomein moet altijd een verificatie van het BSN plaatsvinden aan het originele WID van de Aanvrager. Voor LoA3: Validatie van het BSN moet middels een registratie in het BSNk plaatsvinden. Ad 5c M.b.t. vereisten voor validatie van elektronische handtekening die niet op PKI zijn gebaseerd:
Extra toelichting: indien een handgeschreven handtekening ontbreekt op het WID waardoor er geen validatie kan worden uitgevoerd, wordt verwezen naar de Handreiking "Ontbreken handtekening op ID". |
LOA 3 | LoA2 met toevoeging van:
6. Indien een Gebruiker
dan kan het BSN worden geregistreerd middels authenticatie met het eTD-identificatiemiddel van de Gebruiker, of een formulier met de handgeschreven handtekening of ondertekening met een gekwalificeerde certificaat van de Gebruiker. In beide gevallen dient een document zoals gespecificeerd onder onderstaande sub i, of sub ii te worden aangeleverd:
7. Indien een Gebruiker
dan MAG NIET het BSN worden geregistreerd en gelden de vereisten zoals opgenomen in paragraaf 2.1.2 Bewijs en verificatie van Identiteit (natuurlijk persoon). 8. Met gebruik van een middel op LoA3 of gekwalificeerd certificaat kan eveneens een nieuw middel worden aangevraagd. In dit geval MOET geverifieerd worden:
| Ad 1 Kern van deze norm is dat identificatie bij registratie of uitgifte altijd op het juiste LoA heeft plaats gevonden. Voor een gekwalificeerd certificaat heeft een identificatie op LoA4 plaats gevonden. Ten behoeve van de uitgifte van middelen voor gebruik in het burgerdomein moet altijd een verificatie van het BSN plaatsvinden aan het originele WID van de Aanvrager. Validatie van het BSN moet middels een registratie bij BSNk plaatsvinden. Ad 2 Validatie van het fysieke adres mag worden opgevat als:
Ad 4 Voorbeelden van geaccepteerde face-to-face controles zijn
Ad 5e ii Voor het toevoegen van het BSN aan een bestaand middel mag voor de validatie van de aangeleverde identiteitsverklaringen niet zijn gesteund op de HRM-database. |
LOA 4 | LoA3 met toevoeging van:
a. dat, bij gebruik van een middel of gekwalificeerd certificaat dat buiten het stelsel is uitgegeven, de identificatie (fysiek op locatie of identificatie op afstand) die heeft plaatsgevonden MOET voldoen aan de eisen van het afsprakenstelsel eTD of ETSI TS 119 461 voor niveau Hoog. | Toelichting: Artikel 24.1b eIDAS schrijft: op afstand, door middel van elektronische identificatiemiddelen, waarbij voorafgaand aan de afgifte van het gekwalificeerd certificaat de fysieke aanwezigheid van de natuurlijke persoon of de gemachtigde afgevaardigde van de rechtspersoon werd gewaarborgd, en die voldoen aan de vereisten van artikel 8 wat betreft de betrouwbaarheidsniveaus „substantieel” of „hoog”, of een gekwalificeerd certificaat kan worden uitgegeven op niveau "substantieel" of "hoog". Voor een middel op niveau Hoog, MOET de uitgifte van het gekwalificeerd certificaat op niveau Hoog zijn uitgevoerd. |
Eisen Identificatie op Afstand
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 3 | Op LoA3 wordt Identificatie op Afstand toegestaan, waarbij – naast de geldende vereisten inzake de identiteitsvaststelling - in elk geval moet worden voldaan aan de eisen die zijn vermeld op pagina: Eisen Identificatie op Afstand |
2.1.3 Bewijs en verificatie van identiteit (rechtspersoon)
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 3 Interpretatie: De gegevens die de aanvrager aandraagt moeten zijn vergeleken met de geregistreerde gegevens in het handelsregister. Van de brongegevens in het handelsregister wordt aangenomen dat zij correct zijn. Indien de deelnemer bij de controle in het handelsregister onjuistheden in de gegevens ontdekt of vermoedt bestaat er geen terug meldplicht, tenzij om een andere reden al een terug meld verplichting van toepassing was op de deelnemer. De geregistreerde vestigingsadressen in het handelsregister zijn niet altijd gelijk aan een correspondentieadres. Waar vestigingsadres en correspondentieadres samenvallen, vervalt de eis voor het verifiëren van het correspondentieadres. In het geval van rechtspersonen zonder vestigingsadres moet in elk geval het correspondentieadres gecontroleerd worden. Ad 3b en d: Het vestigings- en/of correspondentieadres wordt gebruikt voor schriftelijke communicatie met de organisatie. Voor uitgifte van het middel, zie paragraaf 2.2.2 Uitgifte, uitreiking en activering. Ad 3c: KvK nummer en RSIN MOETEN beide bruikbaar zijn in de Machtigingenregisters om machtigingen te registeren. Niet van toepassing op organisaties die niet beschikken over een KvK-nummer en/of RSIN. In het geval van eenmanszaken wordt ten behoeve van de belastingdienst het BSN van de wettelijke vertegenwoordiger als identificatienummer toegevoegd. Deze situatie is van toepassing vanaf niveau eH3 en wordt beschreven in paragraaf 2.1.4. Ad 4b: Het ANBI Register is uitsluitend digitaal bereikbaar via de beveiligde website van de Belastingdienst "opzoeken ANBI". Ad 4b iii: Het RSIN wordt in het ANBI register van de Belastingdienst vermeld in de kolom RSIN. In de situatie dat een ander nummer dan het RSIN staat vermeld kan dit alternatief niet toegepast worden. Ad 4b iv: Het correspondentieadres is te achterhalen via de weblink van de instelling op de ANBI pagina en de daar vermelde contactgegevens. Ad 5 Interpretatie: Indien de dienst niet aan professionals wordt geleverd is deze norm niet van toepassing. Bedoeld worden registers zoals het BIG voor zorgprofessionals, BAR voor advocaten en KNB register voor notarissen. Advies: De opsomming is gebaseerd op de lijst van geregistreerde professionals die willen handelen vanuit of namens hun beroep te vinden in het PKI overheid Programma van eisen deel 3a bij 3.2.5-1.: a. Aangewezen door een Staatssecretaris. Niet voor alle professionals bestaat al een dergelijk register. |
LOA 2 | Zelfde als LoA1 met toevoeging van:
| Ad 1: De 14 dagen is gebaseerd op de wettelijk toepasselijke periode van 7 dagen voor het aanleveren van wijzigingen in het Handelsregister van de Kamer van Koophandel. Ad 3 Toelichting: De bevoegde vertegenwoordigers zijn hier de wettelijke vertegenwoordiger(s), machtigingenbeheerder of andere gevolmachtigde namens de wettelijke vertegenwoordiger. Het identiteitsdocument moet voorzien zijn van een handtekening zodat de vergelijking van de handtekening met de handtekening op het aanvraagformulier gemaakt kan worden. Ad 3.a, 3.b en 4 Extra toelichting: indien een handgeschreven handtekening ontbreekt op het WID waardoor er geen validatie kan worden uitgevoerd, wordt verwezen naar de Handreiking "Ontbreken handtekening op ID". Ad 5 Interpretatie: Van de brongegevens in registers waartegen moet worden geverifieerd wordt aangenomen dat deze correct zijn. De gegevens die in de aanvraag worden aangedragen moeten dus in overeenstemming zijn met de brongegevens in de registers. Ad 6: De bevoegd vertegenwoordiger van elk KvK-nr, dat in TRR geregistreerd is als onderdeel van de Fiscale Eenheid, is bevoegd vertegenwoordiger voor die Fiscale Eenheid. |
LOA 3 | Zelfde als LoA1 en met toevoeging van:
|
Het machtigingenregister MOET de bevoegdheid van de aanvrager verifiëren in het Handelsregister van de Kamer van Koophandel, van het handelsregister/Kamer van Koophandel van het land van vestiging/inschrijving, PROBAS, TRR en/of in (aanvullende) bewijsstukken, zoals statuten en mandaten. De aanvraag MOET geaccepteerd worden indien:
de aanvraag is ondertekend door meer dan de helft van het totale aantal gezamenlijk bevoegde vertegenwoordigers en de risicobeoordeling volgens punt 3 is laag;
de aanvraag is ondertekend door een vertegenwoordiger die beperkt bevoegd is, of een beperkte volmacht heeft, waarbij expliciet is aangegeven dat de vertegenwoordiger gerechtigd is tot het doen van een aanvraag eHerkenning;
de aanvraag is ondertekend door meer dan de helft van het totaal aantal beperkt bevoegde, of beperkt gevolmachtigde vertegenwoordigers en de risicobeoordeling volgens punt 3 is laag.
de aanvraag is ondertekend door een volledig of zelfstandig bevoegde, of een volledig gevolmachtigde vertegenwoordiger;
Indien de aanvraag is ondertekend door meer dan de helft van het totaal aantal beperkt bevoegde, of beperkt gevolmachtigde vertegenwoordigers en de aanvraag wordt geaccepteerd, dan MOET het machtigingenregister met betrekking tot de acceptatie en de mate van bevoegdheid van degenen die ondertekenen een risico-inschatting maken en deze bij de acceptatie van de aanvraag archiveren.
Het machtigingenregister MOET in de aanvraag er schriftelijk op wijzen dat de verantwoordelijkheid ten aanzien van welke wettelijk bevoegde vertegenwoordiger zijn/hun handtekening zet(ten), bij de onderneming zelf berust.
Ad 1 Toelichting: De bevoegde vertegenwoordigers zijn hier de wettelijke vertegenwoordiger(s) en de machtigingenbeheerders.
LOA 4
Zelfde als LoA1 en met toevoeging van:
- Voor betrouwbaarheidsniveau LoA4 machtigingen MOET de bevoegde vertegenwoordiger worden geregistreerd en fysiek geïdentificeerd conform de vereisten voor identificatie bij uitgifte van LoA4 middelen (zie paragrafen 2.1.1 en 2.1.2). Specifiek is hierbij het volgende vereist:
- De vertegenwoordiger die de aanvraag voor de eerste registratie van de Dienstafnemer bij het machtigingenregister ondertekent voor betrouwbaarheidsniveau LoA4 MOET een wettelijke bevoegde vertegenwoordiger van de Dienstafnemer zijn.
- Onderstaande uitdrukkelijke vereisten gelden specifiek voor elektronische of niet-elektronische machtigingsaanvragen:
- Voor niet-elektronische machtigingsaanvragen MOETEN de unieke kenmerken van de wettelijke vertegenwoordiger van de Dienst afnemer geregistreerd worden.
- Aanvragen MOGEN uitsluitend worden geaccepteerd op basis van het originele aan vraagformulier en door middel van een handgeschreven handtekening ondertekend door de wettelijke vertegenwoordiger van de Dienstafnemer met de bijbehorende kopie van het identiteitsdocument van de vertegenwoordiger. De hand geschreven handtekening op het aanvraagformulier MOET geverifieerd worden aan de hand van de handtekening op de kopie van het identiteitsdocument.
- De echtheid van identiteitsbewijzen MOET geverifieerd worden, op basis van unieke kenmerken.
- Er MOET gecontroleerd worden of het identiteitsbewijs(nummer) in de database als gestolen of vermist geregistreerd staat;
- Elektronische machtigingsaanvragen:
- Voor elektronische machtigingsaanvragen MOETEN de unieke kenmerken van de wettelijke vertegenwoordiger van de Dienstafnemer geregistreerd worden. Aanvragen MOGEN uitsluitend worden geaccepteerd op basis van gescande kopieën van het originele aanvraagformulier en door middel van een handgeschreven handtekening ondertekend door de wettelijke vertegenwoordiger van de Dienstafnemer met de bijbehorende gescande kopie van het identiteitsdocument van de vertegenwoordiger.
- Niet-elektronische machtigingsaanvragen
- De aanvraag MOET geaccepteerd worden indien:
- de aanvraag is ondertekend door een volledig of zelfstandig bevoegde, of een volledig gevolmachtigde vertegenwoordiger;
- de aanvraag is ondertekend door alle gezamenlijk bevoegde vertegenwoordigers;
- de aanvraag is ondertekend door een vertegenwoordiger die beperkt bevoegd is, of een beperkte volmacht heeft, waarbij expliciet is aangegeven dat de vertegenwoordiger gerechtigd is tot het doen van een aanvraag eHerkenning;
- de aanvraag is ondertekend door alle beperkt bevoegde, of beperkt gevolmachtigde vertegenwoordigers van een publieke rechtspersoon.
- De aanvraag MOET worden afgewezen indien:
- de aanvraag is ondertekend door een vertegenwoordiger die beperkt bevoegd is, of een beperkte volmacht heeft, waarbij NIET expliciet is aangegeven dat de vertegenwoordiger gerechtigd is tot het doen van een aanvraag eHerkenning;
Ad 1 Toelichting: De bevoegde vertegenwoordigers zijn hier de wettelijke vertegenwoordigers. De wettelijke vertegenwoordiger moet bij de aanvraag fysiek verschijnen voor identificatie.
2.1.4 Koppeling tussen de elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 | Controledoelstelling: Het machtigingenregister MOET erop toezien dat de betrokkenheid van de vertegenwoordigers met de Dienstafnemer of de tussenpersoon deugdelijk is vastgesteld.
| |
LOA 2 | Hetzelfde als LoA1 en met toevoeging van:
| Ad 1 Interpretatie: De gegevens die de aanvrager aandraagt moeten zijn vergeleken met de geregistreerde gegevens in het handelsregister. Van de brongegevens in de KvK register wordt aangenomen dat zij correct zijn. Indien de deelnemer bij de controle in het handelsregister onjuistheden in de gegevens van het handelsregister ontdekt of vermoedt bestaat er geen terugmeldplicht, tenzij om een andere reden al een terugmeldverplichting van toepassing was op de deelnemer. In een handelsregister moet het MR de juistheid van de betreffende bevoegd vertegenwoordiger(s) verifiëren. Indien het MR de aanvraag teruglegt bij de aanvrager met het verzoek bewijs aan te leveren over de bevoegdheid van de aanvrager, kan deze (aanvullende) bewijsvoering aangeleverd worden in de vorm van:
Voor restgroepen die niet ingeschreven zijn in een handelsregister/Kamer van Koophandel kan de controle van de bevoegdheid van de aanvrager uitgevoerd te worden m.b.v. het bewijs dat is aangeleverd zoals hierboven genoemd. Ad 1a: Kerkgenootschappen zijn een bijzondere vorm van private organisaties zoals weergegeven in BW boek 2 artikel 2. Validatie van de bevoegdheden van de wettelijke vertegenwoordiger en zijn associatie met het Kerkgenootschap bij de KvK is niet mogelijk. Namen van bestuurders en kerkleden mogen niet worden gepubliceerd.
Ad 3 Interpretatie: In de praktijk valt op niveau LoA 1 de rol van machtigingenbeheerder en gemachtigde samen. De beheerdersrol wordt niet aangewezen door de wettelijke vertegenwoordiger van de dienstafnemer en de machtiging kan dus ook zonder toestemming van de wettelijke vertegenwoordiger worden aangevraagd op niveau LoA 1. Ad 4. Een bestaande machtigingenbeheerder waarvan tussentijds de organisatie failliet of in surseance van betaling is, mag geen machtigingen registreren. Ook de wettelijk vertegenwoordiger van een vennootschap kan en mag niet meer handelen en machtigingen registreren. De curator is verantwoordelijk voor lopende contracten en hij moet actie ondernemen om te voorkomen dat machtigingenbeheerders en wettelijk vertegenwoordigers machtigingen registreren. Er is geen proactieve controle van de Deelnemer nodig. De bevoegdheid van de machtigingenbeheerder bij organisaties die zijn uitgeschreven uit het handelsregister van de Kamer van Koophandel vervalt. De verantwoordelijkheid hiervoor ligt bij de wettelijk vertegenwoordiger. Er is geen proactieve controle van de Deelnemer nodig. |
LOA 3 | Hetzelfde als LoA2 met toevoeging van:
2. Indien de bedrijfsvorm een eenmanszaak is, dan gelden de volgende bepalingen: a. de volgende gegevens op het getoonde WID document moeten overeenkomen met de gegevens op het uittreksel van de Kamer van Koophandel: i) De voorletters van de eigenaar b. Als aan bepaling 3a is voldaan, dan MOET het BSN worden overgenomen uit het WID document en geregistreerd als het 'identificatienummer' van de onderneming. 3. Indien een eenmanszaak reeds gebruik maakt van de diensten van een Machtigingenregister en het BSN van de eigenaar van de eenmanszaak is nog niet bekend bij het Machtigingenregister, dan kan het BSN worden geregistreerd middels authenticatie met het eTD-identificatiemiddel van de eigenaar, of een formulier met de handschreven handtekening van de eigenaar. In beide gevallen dient een document zoals gespecificeerd onder sub a of sub b te worden aangeleverd: a. een kopie WID met zichtbaar BSN van de eigenaar van de eenmanszaak. b. een gewaarmerkt uittreksel bevolkingsregister, niet ouder dan 6 maanden, van de eigenaar van de eenmanszaak, waarop is vermeld: BSN, naam, geboorteplaats en geboortedatum. | Ad 1 Additioneel voor LoA3 Alternatief 1:
Alternatief 2:
Alternatief 3:
Toelichting bij punt 2: Interpretatie: Vormen van bijzondere omstandigheden zijn bijvoorbeeld 'bankroet' of 'uitstel van betaling'. Het gaat erom dat gecontroleerd wordt of er sprake is van bijzondere omstandigheden én of deze omstandigheden beperkingen meebrengen voor de vertegenwoordigingsbevoegdheid of handelingsbevoegdheid. Toelichting bij punt 3: Het BSN wordt geregistreerd als extra identificatienummer bij de identificatienummers van de onderneming die in paragraaf 2.1.3 zijn aangegeven. De belastingdienst behandelt een eenmanszaak als 'burger' en verwerkt in dat geval het BSN en niet de KvK nummer. Toelichting bij punt 3b: Deze termijn is gebaseerd op een advies van de rijksoverheid: Hoe lang is een uittreksel uit het bevolkingsregister geldig? | Rijksoverheid.nl Alternatief 4:
Alternatief 5:
|
- De verklaring staat op briefpapier van het lokale kerkgenootschap
- Er is een verwijzing opgenomen naar de verklaring die is beschreven in Sub 2, zodat daarmee een koppeling gemaakt kan worden
- Er is een referentiecode (afkorting) opgenomen welke verwijst naar het overkoepelende kerkgenootschap
- De verklaring bevat minimaal de volgende gegevens van zowel de aanvrager van het eHerkenningsmiddel en -machtiging, de voor akkoord verklarende "gedelegeerde" wettelijk vertegenwoordiger(s), als van de verklarende kerkleden:
- Naam, adres, woonplaats (NAW gegevens)
- Functie
- Geboortedatum
- Documentnummer WID
- Documenttype WID
- De verklaring is door zowel de aanvrager, de bevestigende "gedelegeerde" wettelijk vertegenwoordiger(s), als door de verklarende kerkleden ondertekend. In totaal hebben er minimaal 5 kerkleden getekend. Hierbij is het toegestaan dat de aanvrager en/of "gedelegeerd" wettelijk vertegenwoordigers ook ondertekenen als kerklid.
LOA 4
Hetzelfde als LoA3 met toevoeging van:
- De registratie van private rechtspersonen bij het machtigingenregister kent één beperking met betrekking tot Kerkgenootschappen: De registratie van een Kerkgenootschap op LoA4 MOET door het MR worden uitgesloten vanwege het ontbreken van gezaghebbende bronnen voor het uitvoeren van validaties.
2.2 Beheer van elektronische identificatiemiddelen
2.2.1 Kenmerken en ontwerp van elektronische identificatiemiddelen
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Wachtwoorden die wel voldoen aan de eisen voor sterke wachtwoorden MOGEN ook gebruikt worden op niveau LoA1. |
LOA 2 | Hetzelfde als LoA 1 met toevoeging van:
| De invulling van deze norm MOET in sterkte minimaal en aantoonbaar gelijkwaardig zijn aan de good practice die is aangegeven:
Of;
In het geval van multifactorauthenticatie (MFA) moet de sterkte van het wachtwoord in de risicocontext worden bepaald. Ad 2 Deze normeis heeft tot doel dat het middel niet verzwakt wordt door een onvoldoende betrouwbaar proces voor herstel of wijzigingen van een authenticatiefactor. Dit is vooral een risico bij multifactormiddelen, waar bijvoorbeeld met behulp van 1-factor (ongewenst) meerdere factoren van het middel hersteld of gewijzigd zouden kunnen worden en hiermee het middel degraderen van een MFA naar een 1-factor middel. Authenticatiefactoren zijn bijvoorbeeld; gebruikersnaam, wachtwoord, pin en eenmalige code (OTP). |
LOA 3 | Hetzelfde als LoA2 met toevoeging van:
Implementatietermijn Voor punt 1 en 2 geldt: Het Tactisch Beraad heeft 22 juni 2016 besloten de implementatietermijn te bepalen wanneer er duidelijkheid is over de wet GDI, waarin ook de businesscase voor de toepassing van de eIDAS betrouwbaarheidsniveaus in overweging wordt genomen. De uiterlijke implementatiedatum van de RFC 2040 is gekoppeld aan de publicatie van de wet GDI, verwacht per 31 december 2017. | Ad 2 Toelichting: Dit betekent dat:
In deze eis bedoelde handelingen van de Gebruiker zijn bijvoorbeeld:
Indien zowel de authenticatie-afhandeling als de inlog op het zelfde device kan plaats vinden moet de MU/AD dit risico-gedetecteerd hebben en compenserende maatregelen treffen zoals:
Voorbeeldsituaties:
|
LOA 4 | Hetzelfde als LoA3 met toevoeging van:
| Ad 1 Toelichting: De eis omvat de doelstellingen:
De wijze waarop conformiteit met deze eis moet worden aangetoond is aangegeven in paragraaf 2.4.7 Compliance en Audit. |
2.2.2 Uitgifte, uitreiking en activering
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 | Hetzelfde als LoA1 met toevoeging van:
| |
LOA 2 | Hetzelfde als LoA1 met toevoeging van:
| Ad 1 en 2: Indien het om een middel gaat dat slechts in de context van de Dienstafnemer kan worden gebruikt mag het adres waar naar het middel wordt gezonden door de Dienstafnemer worden opgegeven. Ad 4, 5 en 6 Toelichting: Doelstelling van deze eisen is:
Good practice: Voorbeelden van notificaties:
Ad 6: Toelichting: De betrouwbaarheid van de associatie met de voornaam een achternaam van de gebruikers neemt toe naarmate de validatie van de associatie onafhankelijker van het registratieproces uitgevoerd kan worden. |
LOA 3 | Hetzelfde als LoA2 met toevoeging van: Het middel wordt met een gemiddelde verificatie van de identificerende gegevens van de aanvrager (bijv. naam en/of adres) verkregen. | Onderstaande voorbeelden verduidelijken dit type uitgifte van een middel: Het middel wordt per aangetekende post verzonden na voorafgaande validatie van het opgegeven adres bij een officiële identiteitsdatabase waar dit fysieke adres geregistreerd staat. Dit betekent: a) Het middel wordt verzonden naar adres van de Dienstafnemer dat in het Handelsregister is opgenomen geadresseerd aan de Gebruiker, Machtigingenbeheerder of de Wettelijke vertegenwoordiger of; b) Het middel wordt verzonden naar het adres van de Gebruiker zoals dit door de Dienstafnemer is opgegeven. Het risico dat het niet de bevoegde vertegenwoordiger(s) van de Dienstafnemer is die verzocht heeft om de uitgifte van het middel moet worden gemitigeerd. Acceptabele mitigerende maatregelen zijn in elk geval: i. In het geval het verzoek is gedaan door 1 wettelijke vertegenwoordiger of machtigingenbeheerder heeft verzocht om de uitgifte van het middel. Moet de Dienstafnemer van de verzending worden genotificeerd middels een brief naar het adres van de Dienstafnemer dat in het Handelsregister is opgenomen met het verzoek te reageren indien de uitgifte ongedaan gemaakt moet worden. De brief is gesteld geadresseerd aan de Machtigingenbeheerder of Wettelijke vertegenwoordiger van de Dienstafnemer. Alternatief voor een persoonlijke brief is een mail aan de in b) genoemde vertegenwoordigers op hun persoonlijke mailadres in het geverifieerde domein van de Dienstafnemer. ii. In het geval 2 wettelijke vertegenwoordigers, machtigingenbeheerders of een combinatie daarvan het verzoek hebben gedaan is de notificatie aan de dienstafnemer zoals bedoeld bij punt b) i. geen verplichting. c) Het middel wordt verzonden naar het adres dat is gekoppeld aan de voor en achternaam van de Gebruiker. Het adres is geverifieerd aan een origineel uittreksel uit de BRP. Alternatieven a) en b) mogen gebruikt worden voor middelen die slechts bruikbaar zijn in de context van de Dienstafnemer. De authenticatiefactoren van het middel worden gescheiden in tijd verzonden of worden via verschillende communicatiekanalen verzonden. Het is denkbaar dat voor de verzending van de verschillende authenticatiefactoren een combinatie van hetgeen onder a) en b) is gesteld wordt gebruikt. Indien een van de authenticatiefactoren naar het e-mailadres van de gebruiker wordt verzonden moet dit e-mailadres zijn geverifieerd. Opgave van het e-mailadres door de Dienstafnemer op een met b) vergelijkbare wijze is toegestaan mits de gebruiker juistheid van het e-mailadres voorafgaande aan de verzending van de authenticatiefactor heeft bevestigd. Het middel is gedownload van internet nadat het verzoek om een verklaring door de aanvrager ondertekend is met een gekwalificeerde handtekening in overeenstemming met de voorwaarden van de eIDAS-verordening (Verordening (EU) 910/2014) en geverifieerd door een Qualified Trusted Service Provider (QTSP). |
LOA 4 | Hetzelfde als LoA3 met toevoeging van:
|
2.2.3 Schorsing, herroeping en reactivering
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 |
| Toelichting: Doel van deze eis is dat de gebruiker van het middel zekerheid krijgt over intrekking of schorsing van het middel als hij daar om verzoekt. Toelichting bij 3: Een vertegenwoordigingsbevoegde kan bijvoorbeeld zijn een Voogd, De Rechtbank of een Bewindvoerder. De identiteit van een Voogd of Bewindvoerder en een beslissing van de Rechtbank kan worden geverifieerd aan een onafhankelijke bron. Good practice voor het verificatie van de identiteit van de Gebruiker bij een verzoek tot intrekking en schorsing/her-activering:
|
LOA 3 4 | Hetzelfde als LoA1 met toevoeging van:
|
2.2.4 Verlenging en vervanging
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| |
LOA 2 3 4 | LoA1 met toevoeging van:
| Ad 3. Een middel bestaat uit een technische component en procedurele component. Voor de maximale levensduur van het het middel (technisch en procedureel) is aangesloten bij de levensduur van paspoorten en gekwalificeerde certificaten. Het is vanuit optiek van het Stelsel belangrijker dat de kwetsbaarheid van de verschillende technische componenten van het middel wordt gemonitord door de AD/MU dan dat een specifieke levensduur wordt opgelegd van de technische componenten waaruit een middel kan bestaan. Ad 4. Het is altijd mogelijk dat er in de loop van de tijd fouten gemaakt worden waardoor een persoon niet of niet meer in bezit is van de juiste credentials om over een specifiek middel te mogen beschikken. Daarom is het nodig om personen periodiek opnieuw te identificeren conform het proces van de initiële uitgifte van een middel. Bij de keuze voor de termijn van 10 jaar is aangesloten bij de bestaande praktijk voor het vernieuwen van Nederlandse identiteitsbewijzen. Ad 6. Om dezelfde reden als bij 4. en omdat misbruik door derden niet is uit te sluiten van gestolen, verloren middelen of middelen van bijvoorbeeld overledenen is een extra vorm van controle voorgeschreven die eens in de 5 jaar plaatsvindt. good practice voor middelen die bedoeld zijn voor gebruik in het BSN domein op LoA3 en LoA4:
Voorbeelden van overige good practices:
|
2.3 Authenticatie
2.3.1 Authenticatiemechanisme
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 1 Dit kan bijvoorbeeld op basis van een TLS certificaat of een digitale handtekening op basis van een vertrouwd certificaat. |
LOA 2 | Hetzelfde als LoA1 met toevoeging van:
| |
LOA 3 | Hetzelfde als LoA1 met toevoeging van:
Implementatietermijn Voor punt 1 en 2 geldt: Het Tactisch Beraad heeft 22 juni 2016 besloten de implementatietermijn te bepalen wanneer er duidelijkheid is over de wet GDI, waarin ook de businesscase voor de toepassing van de eIDAS betrouwbaarheidsniveaus in overweging wordt genomen. De uiterlijke implementatiedatum van de RFC 2040 is gekoppeld aan de publicatie van de wet GDI, verwacht per 31 december 2017. | Ad 1 Als het middel wordt gebruikt in een andere context (dan eHerkenning) dan moet het middel die andere context aangeven. Doel is om hiermee het risico voor de gebruiker te verminderen in het geval dat zijn applicatie/browser is gecorrumpeerd. Ad 2 Toelichting: Met SSO is het authenticatiemechanisme op LoA3 tussen dienstverleners kwetsbaar voor Hijacking, Man-in-the-Middel en Man-in-the-Browser aanvallen. Slechts voor diensten van een enkele dienstverlener is SSO op LoA3 toegestaan binnen de Eisen voor geldigheid van verklaringen voor Dienstverleners. Ad 3 Toelichting: SSO-beleving' is toegestaan op LoA3 voor Diensten van verschillende dienstverleners, binnen de Eisen voor geldigheid van verklaringen voor Dienstverleners. Bij een 'SSO-Beleving' gebruikt de AD bijvoorbeeld een geldige gebruikers-sessie in combinatie met een gebruikers-consent, onafhankelijk van de browser die hij gebruikt. Ad 5 Toelichting: De wijze waarop conformiteit met deze eis moet worden aangetoond is aangegeven in paragraaf 2.4.7 Compliance en Audit. |
LOA 4 | LoA3 met toevoeging van:
Implementatietermijn Voor punt 5 geldt: Het Tactisch Beraad heeft 22 juni 2016 besloten de implementatietermijn te bepalen wanneer er duidelijkheid is over de wet GDI, waarin ook de businesscase voor de toepassing van de eIDAS betrouwbaarheidsniveaus in overweging wordt genomen. De uiterlijke implementatiedatum van de RFC 2040 is gekoppeld aan de publicatie van de wet GDI, verwacht per 31 december 2017.
| Toelichting: Doel van de eis is om de Gebruiker in staat te stellen een fout of inbreuk in de communicatie te herkennen en bij twijfel de informatietransactie af te breken. Het is altijd mogelijk dat de browser van de Gebruiker gecompromitteerd raakt daarom is voor LoA4 is een extra maatregel opgenomen die bij implementatie gekoppeld mag worden op het middel of op de dienst. Een voorbeeld is verzending van een SMS als een internet browser wordt gebruikt om in te loggen. Bij frequent gebruik van een middel voor diensten op lagere LoA's kan dat door de gebruiker als bezwarend worden ervaren om steeds SMS's te ontvangen, daarom mag een optie aangeboden worden om de dienst door de gebruiker zelf uit te laten zetten. Ook mag de optie worden aangeboden de de gebruiker notificatie te koppelen aan het gebruik van diensten op het LoA van het middel of lager. Ad 5 Toelichting: Het gaat er om dat de gebruiker via het 'trusted' kanaal hoogst betrouwbaar informatie over zijn inlog bij de DV of dienst kan worden gegeven en om hoogst betrouwbare bevestiging kan worden worden gevraagd van een specifiek transactiegegeven. Deze betrouwbaarheid blijf bestaan ook al is de gebruiker slachtoffer van een aanval op zijn inlog-applicatie zoals zijn browser en de PC van de gebruiker (man-in-the-browser attack/man-in-the-front attack). Bij het nemen van maatregelen voor het betrouwbare kanaal moet dus worden uitgegaan van de idee dat de gebruikersomgeving is gecorrumpeerd. Ad 7 Toelichting: De wijze waarop conformiteit met deze eis moet worden aangetoond is aangegeven in paragraaf 2.4.7 Compliance en Audit. |
2.4 Beheer en organisatie
2.4.1 Algemene bepalingen
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 1 Het Afsprakenstelsel Elektronische Toegangsdiensten is een publiek private samenwerking onder vigerend Nederlands Recht. Alle verplichtingen die een deelnemer aangaat bij toetredingen zijn vastgelegd in het Juridisch kader. De specifieke vereisten m.b.t privacybescherming en informatiebeveiliging zijn opgenomen in het Privacybeleid respectievelijk het Beleid voor informatiebeveiliging. Het proces voor toetreding is vastgelegd in het Operationeel Handboek, Proces toetreden. Onderdeel van dit proces is een toetsing door de Toezichthouder van de relevante processen, procedures en uitgevoerde technische tests. Ad 2 Hoe deze algemene regels in een concreet geval uitwerken, is afhankelijk van de feiten en de omstandigheden van het geval. De deelnemer kan zijn aansprakelijkheid beperken in de overeenkomst die hij sluit met een dienstafnemer of met een dienstverlener. Daarbij blijft hij gebonden aan de algemene regels van het Nederlandse recht inzake aansprakelijkheid en schadevergoeding. Ad 3 De aansprakelijkheidsregels zijn opgenomen in het Juridisch kader Ad 4 Deze eIDAS eis overlapt de eis met betrekking tot sub-contractanten in 2.4.5. Zowel het Juridisch kader en vooral het Gemeenschappelijk normenkader informatiebeveiliging bevatten voor deze eis relevante specificaties. |
LOA 2 3 4 | LoA1 met toevoeging van:
|
2.4.2 Gepubliceerde mededelingen en informatie voor de gebruikers
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 1 De bedoelde vereisten voor zijn vastgelegd in de het Operationeel handboek en de Gebruiksvoorwaarden Elektronische Toegangsdiensten. Daarnaast betreft het de naleving van algemene wettelijke verplichtingen inzake gebruiksvoorwaarden en privacy. Specifiek stelselvereisten voor privacybescherming zijn opgenomen in het Privacybeleid van het stelsel. |
LOA 2 3 4 | Zelfde als LoA1 met toevoeging van:
| Ad 1 Doel van deze eis: De Gebruiker wordt in staat gesteld om anomalieën in het gebruik van zijn middel te ontdekken en met deze informatie in contact te treden met een dienstverlener. De persoon op wiens naam ten onrechte een middel is uitgegeven wordt in staat gesteld registraties op zijn naam en de transacties die met het middel op zijn naam gedaan in te zien. good practice: De Deelnemer geeft zich rekenschap van het feit dat het gaat om toegang tot persoonsgegevens de zin van de AVG. Verwacht mag worden dat de maatregelen die de Deelnemer treft voor bescherming van de toegang tot de transactiegegevens altijd gerelateerd is het LoA van de middel van de Gebruiker. Ad 3 Toelichting bij 3a: Hier is uitgegaan van de situatie dat een fraudeur gebruik heeft gemaakt van identificerende kenmerken van de persoon die claimt dat ten onrechte een middel op zijn naam is uitgereikt. De identificerende kenmerken van de claimant moeten dus overeenkomen met de identificerende kenmerken die zijn gebruikt bij de registratie en uitgifte van het middel. Dat betekent dat de claimant zich kan identificeren als ware hij de daadwerkelijke gebruiker. Een deelnemer mag hier niet van af wijken omdat het risico bestaat dat persoonsgegevens ten onrechte ter inzage worden gegeven. In het geval de identificerende kenmerken niet overeenkomen is een andere juridische basis nodig om de gegevens te verstrekken zoals in het kader van formele opsporing of gerechtelijk bevel. |
2.4.3 Beheer van informatiebeveiliging
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 3 4 |
| Ad 1 Dit is een eis die aan alle Deelnemers en Beheerorganisaties wordt gesteld als onderdeel van de basisbeveiliging van het Stelsel. |
2.4.4 Bijhouden van de administratie
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 3 4 |
| Interpretatie: Ad1 Archivering van verificaties en validaties bedoeld voor de opbouw van audittrails is ten behoeve van:
Ad 4 en 5: Afwijken van deze norm is slechts acceptabel indien de noodzaak kan worden aangetoond door de Deelnemer. |
2.4.5 Faciliteiten en personeel
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 3 4 |
| Ad 1 Toelichting: Voor het doorgeven van verplichtingen aan onderaannemers etc. volgt de Deelnemer de vereisten uit het Privacybeleid van het Stelsel en het Gemeenschappelijk Normenkader Informatiebeveiliging. Ad 2 Verondersteld wordt dat de implementatie van de eis grotendeels wordt afgedekt door de ISO 27001 certificatie van de deelnemer en dat de deelnemer het daar waar het gaat om het competenties voor het uitvoeren van verificaties in het identificatieproces dit specifiek maakt (zie paragraaf 2.1.2 en 2.1.3). |
2.4.6 Technische controles (technical controls)
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 |
| Ad 1 en 3 Het Afsprakenstelsel bevat meerdere specificaties waaronder de specificaties van interfaces en berichten en communicatiekanalen. Alle Deelnemers hebben zich bij toetreding tot het stelsel verplicht deze specificaties te implementeren. Ad 2 Toelichting: Deelnemers zijn voor al hun stelselactiviteiten zelf verantwoordelijk voor de naleving van de wettelijke vereisten uit de Wet Bescherming Persoonsgegevens. Alleen op LoA3 en LoA4 wordt in het Afsprakenstelsel aantoonbaarheid vereist van risicoafweging t.a.v. bescherming van persoonsgegevens in de veronderstelling dat op deze LoAs bijzondere maatregelen noodzakelijk zullen zijn. Ad 4 'Secret information' omvat persistente wachtwoorden, PINs en (geheime) sleutelmateriaal dat benodigd is voor de authenticatie. Niet bedoeld worden hier eenmalige wachtwoorden (OTPs). Ad 5 De vereisten voor het duurzaam handhaven van de veiligheid is vastgelegd in het Beleid voor informatiebeveiliging en de uitwerking daarvan in het Gemeenschappelijk normenkader informatiebeveiliging. |
LOA 2 | Zelfde als LoA1 plus
| Ad 2 en 3 Alle 'persoonsgegevens' en 'andere gevoelige gegevens' omvat naast persistente wachtwoorden, PINs en (geheim) sleutelmateriaal dat benodigd is voor de authenticatie ook alle herleidbare persoonsgegevens. Het omvat niet het pseudoniem. Ad 3 Als toegang tot de systemen of media op eenvoudige wijze verkregen kan worden dan dient via cryptografie dit risico beperkt te worden. Betreft bijvoorbeeld een database server die rechtstreeks met een client vanaf het Internet te benaderen is. Is niet van toepassing op een database server die in een beveiligde zone staat waar enkel andere (interne) systemen zoals applicatie servers bij kunnen komen. Met draagbare/verwijderbare media wordt bedoeld: Laptops, usb-sticks, harddisks etc. Is niet van toepassing als deze media in beveiligde ruimtes, zoals een datacenter, zijn geplaatst. Ad 4 Verondersteld wordt dat met de verplichte ISO27001 certificatie voldaan wordt aan deze eis. |
LOA 3 | Zelfde als LoA2 punten 2 en 3 en met toevoeging van:
| Ad 1 Toelichting: Voorkomen wordt dat één en dezelfde medewerker zonder enige vorm van controle, toezicht of functiescheiding in staat is om de registratie van een gebruiker te doen en vervolgens een middel kan creëren en uitreiken. Dat het onwaarschijnlijk wordt gemaakt dat technisch beheerders ongezien rechtstreeks ingrijpen op databases om daarmee een werkend middel te creëren. Dat betekent dat ofwel de technisch beheerder deze handeling niet kan verrichten ofwel dat een dergelijke handeling van de beheerder vrijwel direct wordt gesignaleerd en onder de aandacht van het management wordt gebracht. Ad 2 Verondersteld wordt dat met de verplichte ISO27001 certificatie voldaan wordt aan deze eis. |
LOA 4 | Hetzelfde als LoA 2 punten 2 en 3 en LoA3 punt 2 en met toevoeging van:
| Ad 1 Toelichting: Voorkomen wordt dat één en dezelfde medewerker zonder enige vorm van controle, toezicht of functiescheiding in staat is om de registratie van een gebruiker te doen en vervolgens een middel kan creëren en uitreiken. Dat het onwaarschijnlijk wordt gemaakt dat technisch beheerders ongezien rechtstreeks ingrijpen op databases om daarmee een werkend middel te creëren. Dat betekent dat ofwel de technisch beheerder deze handeling niet kan verrichten ofwel dat een dergelijke handeling van de beheerder vrijwel direct wordt gesignaleerd en onder de aandacht van het management wordt gebracht. |
2.4.7 Compliance en audit
LoA | Vereiste elementen | Toelichting en good practice |
---|---|---|
LOA 1 2 |
| Ad 1 en 2 Toelichting:
Ad 3 Toelichting: In het kader van ISO 27001 certificatie vinden periodieke interne audits plaats die de voor de dienst relevante processen raken. |
LOA 3 4 | Zelfde als LoA1 met toevoeging van:
Implementatietermijn Het Tactisch Beraad heeft 22 juni 2016 besloten de implementatietermijn te bepalen wanneer er duidelijkheid is over de wet GDI, waarin ook de businesscase voor de toepassing van de eIDAS betrouwbaarheidsniveaus in overweging wordt genomen. De uiterlijke implementatiedatum van de RFC 2040 is gekoppeld aan de publicatie van de wet GDI, verwacht per 31 december 2017. | Ad 1 t/m 5 Toelichting: Ten behoeve van de voorbereiding op de conformiteitsbeoordeling is een 'Handreiking voorbereiding Conformiteitsbeoordeling' beschikbaar. Ad 3 Toelichting bij sub g: Indien van een conformiteitsbeoordelaar zoals bedoeld in sub g gebruik wordt gemaakt blijven sub a, e, f en h wel onverkort van toepassing. Ad 6 Toelichting: Dit artikel beschrijft de situatie dat de autor tot een positieve verklaring komt. Het is bij het afgeven van conformteitverklaringen een gangbare auditpraktijk dat er niet wordt gewerkt met vooraf bepaalde termijnen genoemd (bijvoorbeeld 3 maanden voor een kritieke afwijking). Een realistische oplostijd is namelijk afhankelijk van de activiteit die moet worden uitgevoerd (fundamentele systeemontwikkeling kost bijvoorbeeld meer tijd dan een aanpassing instellingen van applicaties en hardware). Daarom gaat vereist het vaststellen van deadlines maatwerk. Aangezien er een positieve auditor tot een positieve verklaring is gekomen zal de auditor de juiste uitvoering van het verbeterplan pas bij de volgende controle nagaan. De toezichthouder zal daarom geheel naar eigen inzicht de uitvoering van het verbeterplan controleren. Ad 7 Toelichting: Dit artikel beschrijft de situatie waarin de auditor tot een negatieve verklaring komt. Het rapport met de negatieve verklaring is formeel en definitief en wordt door de deelnemer aan de toezichthouder gezonden. Het is aan de Toezichthouder om al dan niet consequenties aan de negatieve verklaring van de auditor te verbinden. Het ligt daarom voor de hand dat de Deelnemer de Toezichthouder op de hoogte houdt van de afspraken die hij maakt met de auditor over de wijze waarop de oplossing en her-boordeling plaats gaat vinden. |