Skip to end of metadata
Go to start of metadata
NormLoAVereistenBest practices
3
LOA 1 2 3 4
Vereisten voor de kwaliteit van registratie van machtigingen
3.1
Generieke vereisten
3.1.2
LOA 1 2 3 4
Controledoelstelling: Het machtigingenregister MOET erop toezien dat het beheers proces van machtigingen deugdelijk wordt uitgevoerd.
3.1.2.3
LOA 1 2 3 4

De machtigingenbeheerder MAG slechts geautoriseerd worden om zich te registreren en om bevoegdheden te registreren die zich op hetzelfde of op een lager niveau bevinden dan zijn eigen autorisatieniveau.

Interpretatie: In de praktijk valt op niveau LoA 1 de rol van machtigingenbeheerder en gemachtigde samen.
3.1.2.4
LOA 1 2 3 4

De machtigingenbeheerder MOET geauthenticeerd worden voor dat hij toegang tot het machtigingenregister krijgt.

Interpretatie: In de praktijk valt op niveau LoA 1 de rol van machtigingenbeheerder en gemachtigde samen.
3.1.2.5
LOA 1 2 3 4

De geldigheid van geregistreerde machtigingen MOET tot een nader omschreven periode worden beperkt, waarbij een maximale geldigheidsperiode van 5 jaar geldt.

Advies: De bewaking van de geldigheidsduur kan op verschillende wijzen worden vormgegeven en hoeft niet een specifiek bewakingsproces te zijn.

Bijvoorbeeld een abonnementsstructuur kan een manier zijn om periodiek de geldigheidsduur te bewaken.
3.1.2.6
LOA 1 2 3 4
Het machtigingenregister MOET het resultaat van een registratie of wijziging aan machtigingenbeheerder bevestigen.Interpretatie: Bij online beheer van machtigingen door de beheerder wordt automatisch voldaan aan deze norm. Als het Machtigingenregister in opdracht van de beheerder wijzigingen uitvoert moet deze norm een specifiek uitwerking krijgen.
3.1.2.7
LOA 1 2 3 4
De machtigingenbeheerder MOET op ieder moment inzage hebben in de feitelijk geregistreerde machtigingen binnen zijn verantwoordelijkheidsdomein.Interpretatie: Bij online beheer van machtigingen door de beheerder wordt automatisch voldaan aan deze norm. Als het machtigingenregister in opdracht van de beheerder wijzigingen uitvoert moet deze norm een specifiek uitwerking krijgen.
3.1.3
LOA 1 2 3 4
Controledoelstelling: Het machtigingenregister MOET erop toezien dat de reikwijdte van de machtigingen deugdelijk wordt geregistreerd.
3.1.3.1
LOA 1 2 3 4

De tijdens de registratie van een machtiging verschafte gegevensverklaringen MOETEN bestaan uit:

  • Kenmerken ter identificatie van de vertegenwoordigde Dienstafnemer
  • Kenmerken ter identificatie van de vertegenwoordiger(s) van de Dienstafnemer welke van toepassing zijn op een machtiging. 
  • Dit vereiste hoeft niet in acht genomen te worden als de vertegenwoordiger slechts op LoA 1 geïdentificeerd is.
  • Kenmerken ter identificatie van de Gemachtigde.
  • De reikwijdte van de machtiging: de omvang van de diensten en procedures waar de vertegenwoordiger voor gemachtigd is.
  • Aard van de machtiging: kenmerken van de machtiging zoals het 'recht op vervanging' en 'bevoegdheid om zelfstandig op te treden'. 
  • Ingangsdatum en geldigheidsdatum van de machtiging.

3.1.3.2
LOA 1 2 3 4
Tijdens het registratieproces MOET het machtigingenregister uitdrukkelijke toestemming van de Dienstafnemer krijgen om de persoonsgegevens van het gemachtigde personeel van de Dienstafnemer te tonen.
3.1.3.3
LOA 1 2 3 4
De reikwijdte van de machtigingen kan beperkt worden tot één Vestiging of een Dienstafnemer. In het geval van een gemachtigde tussenpersoon of een gemachtigde derde MOGEN de machtigingen niet tot één Vestiging of tussenpersoon beperkt worden.Interpretatie: Deze norm betreft ketenmachtigingen. Bijvoorbeeld de machtiging van een accountantskantoor kan niet beperkt worden tot één vestiging van die accountant.
3.3
Controledoelstelling: Het machtigingenregister MOET erop toezien dat aanvragers deugdelijk geregistreerd, geïdentificeerd en geauthenticeerd zijn, en dat de identiteitsverklaringen behoorlijk geverifieerd zijn conform de betrouwbaarheidsniveaus voor het uitgegeven middel.

Specifiek is hierbij het volgende vereist

3.3.1
LOA 2 3 4
Controledoelstelling: Het machtigingenregister MOET erop toezien dat de machtigingen deugdelijk beheerd worden door de Dienstafnemer.
3.3.1.1
LOA 2 3 4

Voor de elektronische administratie van machtigingen op betrouwbaarheidsniveaus LoA 2, 3 en 4:

  • Nadat opdracht is verleend tot de dienstverlening van het machtigingenregister zal de Dienstafnemer vertegenwoordigd worden door de perso(o)n(en) die de functie van machtigingenbeheerder bekleedt:
  • De machtigingenbeheerder MOET in het bezit zijn van een middel uit het stelsel.
  • De machtigingenbeheerder MOET bevoegd zijn in het Machtigingenregister.

3.3.1.2
LOA 2 3 4

Voor de niet-elektronische administratie van machtigingen op betrouwbaarheidsniveaus LoA 2, 3 en 4:

  • Nadat opdracht is verleend tot de dienstverlening van het machtigingenregister zal de Dienstafnemer vertegenwoordigd worden door de perso(o)n(en) die de functie van machtigingenbeheerder bekleedt/bekleden:
  • De machtigingenbeheerder MOET bevoegd zijn in het machtigingenregister.De machtigingenbeheerder MOET ieder ingediend ver zoek met een handgeschreven handtekening ondertekenen.
  • Het machtigingenregister MOET de handgeschreven handtekening steeds verifiëren door deze te vergelijken met de gearchiveerde handgeschreven handtekening van de machtigingenbeheerder.

3.3.2
LOA 1 2 3 4
Controledoelstelling: Het machtigingenregister MOET erop toezien dat de machtigingen beheerd worden door de juiste Dienstafnemer.
3.3.2.1
LOA 1

Elektronisch verzoek

De Dienstafnemer MOET geïdentificeerd worden op basis van de bevoegdheid van de machtigingenbeheerder.


3.3.2.2
LOA 1

Niet-elektronisch verzoek

De Dienstafnemer MOET geïdentificeerd worden volgens hoofdstuk 2, paragraaf 2.1.3 Bewijs van verificatie van identiteit (rechtspersoon).


3.3.2.3
LOA 2 3 4

De Dienstafnemer MOET ten minste op betrouwbaarheidsniveau 2 geïdentificeerd worden op basis van een machtiging van machtigingenbeheerder.

In het geval dat de reikwijdte van de bevoegdheid beperkt is tot één Vestiging MOET de identificatie uitgevoerd worden volgens hoofdstuk 2, paragraaf 2.1.3 Bewijs van verificatie van identiteit (rechtspersoon).


3.3.3
LOA 1 2 3 4
Controledoelstelling: Het machtigingenregister MOET erop toezien dat machtigingen of wijzigingen uitsluitend door de geregistreerde vertegenwoordiger van de Dienstafnemer aangevraagd kunnen worden.
3.3.3.1
LOA 1 2 3 4

Elektronische verzoeken:

De machtigingenbeheerder MOET geauthenticeerd worden op basis van zijn middel uit het stelsel en in overeenstemming met het toepasselijk betrouwbaarheidsniveau in het machtigingenregister.


3.3.3.2
LOA 1

Niet-elektronische verzoeken:

De machtigingenbeheerder MOET geauthenticeerd worden met eH authenticatiemiddel op LoA1 of hoger of als alternatief zijn de vereisten in paragraaf 2.1.3 bij LoA1 van toepassing

Specifieke uitzondering: machtigingenbeheerder hoeft niet opnieuw een kopie van zijn identiteitsdocument op te sturen in het geval dat het machtigingenregister hem/haar anderszins kan identificeren.


3.3.3.3
LOA 2

Niet-elektronische verzoeken:

  • De machtigingenbeheerder MOET geauthenticeerd worden met eH authenticatiemiddel op LoA2 of hoger of als alternatief zijn de vereisten van paragraaf 2.1.3 bij LoA2 van toepassing plus en een van de onderstaande verificaties van een kopie van het identiteitsdocument
  • herhaalde verificatie in het register voor gestolen of vermiste identiteitsbewijzen waarbij zolang het identiteitsdocument niet verlopen is, hoeft machtigingenbeheerder niet opnieuw een kopie van zijn identiteitsdocument op te sturen.
  • verificatie met het gebruik van door de machtigingenbeheerder gedane bankoverschrijving.

3.3.3.4
LOA 3

De machtigingenbeheerder MOET geauthenticeerd worden met eH authenticatiemiddel op LoA3 of hoger. Of middels de alternatieven genoemd in paragraaf 2.1.3 bij LoA3. Naast het voorgaande MAG het Machtigingen register NIET een andere alternatieve procedure gebruiken.


3.3.3.5
LOA 4

In aanvulling op 3.3.3.1

De machtigingenbeheerder MOET de aanvraag elektronisch ondertekenen met een gekwalificeerde handtekening.

Er MAG NIET een alternatieve procedure gebruikt worden door het Machtigingenregister. De machtigingenbeheerder MOET geauthenticeerd worden met eH authenticatiemiddel op LoA4 of middels de alternatieven genoemd in onder paragraaf 2.1.3 bij LoA4. Naast het voorgaande MAG het Machtigingen register NIET een andere alternatieve procedure gebruiken.


3.4
Controledoelstelling: Het machtigingenregister MOET bewaken dat de kwaliteit van de verlenging van machtigingen dezelfde is als bij de eerste registratie.
3.4.1
LOA 1

De machtigingenbeheerder MOET ten minste op betrouwbaarheidsniveau LoA 1 geauthenticeerd zijn.

De betrokkenheid van de machtigingenbeheerder bij de Dienstafnemer MOET ten minste op betrouwbaarheidsniveau LoA 1 ingeschaald zijn.


3.4.2
LOA 2

De machtigingenbeheerder MOET ten minste op betrouwbaarheidsniveau LoA 2 geauthenticeerd zijn.

De betrokkenheid van de machtigingenbeheerder bij de Dienstafnemer MOET ten minste op betrouwbaarheidsniveau LoA 2 ingeschaald zijn.


3.4.3
LOA 3

De machtigingenbeheerder MOET ten minste op betrouwbaarheidsniveau LoA 3 geauthenticeerd zijn.

De procedure om de betrokkenheid van de machtigingenbeheerder bij de Dienstafnemer vast te stellen MOET ten minste in overeenstemming zijn met betrouwbaarheidsniveau LoA 3.


3.4.4
LOA 4

De machtigingenbeheerder MOET ten minste op betrouwbaarheidsniveau LoA 4 geauthenticeerd zijn.

De procedure om de betrokkenheid van de machtigingenbeheerder bij de Dienstafnemer vast te stellen MOET ten minste in overeenstemming zijn met betrouwbaarheidsniveau LoA 3.


3.4.5
LOA 2 3 4

De te verlengen machtiging MOET ten minste geïdentificeerd worden:

  • In overeenstemming met identificatie van de Dienstafnemer op betrouwbaarheidsniveau LoA 2; en
  • Met de unieke identiteitskenmerken van de persoon die bevoegd gaat worden.

3.5
Controledoelstelling: Het machtigingenregister MOET erop toezien dat intrekking- en schorsingsprocedures in overeen stemming met de juiste betrouwbaarheidsniveaus worden doorgevoerd.
3.5.1
LOA 1 2 3 4

Het machtigingenregister MOET verzoeken voor intrekking of schorsing van machtigingen afkomstig van de volgende partijen accepteren:

  • de Rechtbank;
  • de wettelijke vertegenwoordiger(s) van de Dienstafnemer, waaronder mede begrepen de curator;
  • de Gevolmachtigde namens de wettelijke vertegenwoordiger;
  • de Machtigingenbeheerder.

3.5.2
LOA 1

Een intrekking MOET middels een handmatig ondertekende brief of e-mail worden verzocht.

De in vereiste 3.5.1 genoemde partij MOET ten minste op betrouwbaarheidsniveau LoA 1 geauthenticeerd zijn.

Interpretatie: In het proces voor schorsing (indien ondersteund) mag soepeler worden omgegaan met de authenticatie van degene die de schorsing meldt met het oog op snellere verwerking. In dat geval moet de afwijking van het normale authenticatieproces expliciet vastgelegd zijn.

Advies: Het is voorstelbaar dat bij een verzoek Rechter tot schorsing of intrekking de identificatieprocedure niet conform de aangegeven vereisten kan worden uitgevoerd. Kern is dat dan een mate van zekerheid wordt bereikt over de authenticiteit van het verzoek dat overeenkomt met het juiste LoA. Bijvoorbeeld verificatie van een of meer identificerende kenmerken via een of meer andere kanalen dan waarlangs het verzoek is gedaaan.

3.5.3
LOA 2

De partijen die een intrekkings- of schorsingsverzoek van bevoegdheid mogen indienen (zie vereiste 3.5.1.) MOETEN ten minste op betrouwbaarheidsniveau LoA 2 geauthenticeerd zijn (zie hoofdstuk 2, paragraaf 2.1.1 en 2.1.2)

Interpretatie: In het proces voor schorsing (indien ondersteund) mag soepeler worden omgegaan met de authenticatie van degene die de schorsing meldt met het oog op snellere verwerking. In dat geval moet de afwijking van het normale authenticatieproces expliciet vastgelegd zijn.

Advies: Het is voorstelbaar dat bij bijvoorbeeld een verzoek Rechter tot schorsing of intrekking de identificatieprocedure niet conform de aangegeven vereisten kan worden uitgevoerd. Kern is dat dan een mate van zekerheid wordt bereikt over de authenticiteit van het verzoek dat overeenkomt met het juiste LoA. Bijvoorbeeld verificatie van een of meer identificerende kenmerken via een of meer andere kanalen dan waarlangs het verzoek is gedaaan.

3.5.4
LOA 3 4

De in vereiste 3.5.1 genoemde partij MOET ten minste op betrouwbaarheidsniveau LoA 3 geauthenticeerd zijn (zie hoofdstuk 2, paragraaf 2.1.1 en 2.1.2).

Interpretatie: In het proces voor schorsing (indien ondersteund) mag soepeler worden omgegaan met de authenticatie van degene die de schorsing meldt met het oog op snellere verwerking. In dat geval moet de afwijking van het normale authenticatieproces expliciet vastgelegd zijn.

Advies: Het is voorstelbaar dat bij een verzoek Rechter tot schorsing of intrekking de identificatieprocedure niet conform de aangegeven vereisten kan worden uitgevoerd. Kern is dat dan een mate van zekerheid wordt bereikt over de authenticiteit van het verzoek dat overeenkomt met het juiste LoA. Bijvoorbeeld verificatie van een of meer identificerende kenmerken via een of meer andere kanalen dan waarlangs het verzoek is gedaaan.

3.5.5
LOA 1

Er zijn geen vereisten voor de doorlooptijd van de verwerking van het intrekkingsverzoek.


3.5.6
LOA 2 3 4

Intrekking MOET als volgt worden verwerkt:

Alternatief 1 voor elektronische verzoeken: Intrekking MOET onmiddellijk worden verwerkt:

Alternatief 2 voor elektronische verzoeken: Intrekking MOET binnen een dag na ontvangst van het verzoek worden ver werkt.


3.5.7
LOA 1 2 3 4

Een verzoek tot heractivering van geschorste machtiging MOET worden gedaan door machtigingenbeheerder of een andere wettelijke vertegenwoordiger van de Dienstafnemer die volgens de vereisten voor eerste identificatie in overeenstemming met het toepasselijke betrouwbaarheidsniveau (zie hoofdstuk 2, paragraaf 2.1.1) is geïdentificeerd.


3.6
Controledoelstelling: Het machtigingenregister MOET misbruik van niet-actieve machtigingen voorkomen.
3.6.1

LOA 3 4

De Machtigingendienst waarborgt dat het bedrijf of de organisatie de geregistreerde machtigingen actueel houdt:

  1. Het machtigingenregister verzoekt de machtigingenbeheerder in elk geval tweejaarlijks de geregistreerde set van machtigingen te bevestigen, dan wel te laten wijzigingen, of te laten de-registreren indien over een periode van 24 maanden geen van de machtigingen uit deze set is gebruikt.
  2. In het geval de machtigingenbeheerder zijn bevoegdheid om de organisatie, of het bedrijf, te vertegenwoordigen 24 maanden niet heeft gebruikt, verzoekt de Machtigingendienst ook de wettelijke vertegenwoordiger van de onderneming, of rechtspersoon die in het handelsregister is opgenomen om de betreffende bevoegdheid te bevestigen, dan wel te laten de-registreren. Indien de wettelijke vertegenwoordiger zelf de machtigingenbeheerder is, vervalt deze eis.
  3. In het geval de machtigingenbeheerder, of de wettelijke vertegenwoordiger, niet op een herhaald verzoek, zoals bedoeld in sub 1 en sub 2, reageert, moet de Machtigingendienst een machtiging die niet is gebruikt intrekken. Als ook wordt geconstateerd dat de onderneming, of rechtspersoon niet meer als zodanig in het handelsregister is ingeschreven, moeten alle machtigingen worden ingetrokken.

3.7


Controledoelstelling: Het Machtigingenregister MOET bedrijfsdiscontinuïteit of misbruik van de machtigingen voorkomen die voortkomen uit een uitgestelde verwerking van de verzochte wijzigingen.
3.7.1
LOA 1

Een wijzigingsverzoek voor machtigingen MOET zo spoedig mogelijk verwerkt worden.


3.7.2
LOA 2 3 4

Een elektronisch wijzigingsverzoek voor machtigingen MOET onmiddellijk verwerkt worden.


3.7.3
LOA 2 3 4

Een niet-elektronisch wijzigingsverzoek voor machtigingen moet binnen twee werkdagen worden verwerkt.