Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties

De overheid start een proef met een nieuwe authenticatiemethode voor het bedrijfsleven: eHerkenning. Dit moet de 'digitale sleutelbos' van ondernemers verkleinen. Volgend jaar gaan meer overheidsdiensten over op het systeem.

Het nieuwe eHerkenning-systeem is volgens het Ministerie van Economische Zaken een veilige en eenvoudige manier voor bedrijven om zich te identificeren als er zaken met de rijksoverheid worden gedaan. Een ondernemer kan bij een aantal bedrijven een zogeheten eHerkenningsmiddel afnemen. Deze authenticatiemethode kan, afhankelijk van de vereisten van het desbetreffende overheidsloket, onder andere gebruikmaken van een bankpas of een mobiele telefoon. In bepaalde gevallen kan ook een certificaat nodig zijn.

Tijdens de begin mei startende pilot zal Agentschap NL, de uitvoeringsorganisatie van het Ministerie van Economische Zaken, een proef houden met een subsidieregeling die online kan worden aangevraagd. Ondernemers die zich digitaal aanmelden, kunnen de subsidieaanvragen invullen nadat zij zich via hun mobiele telefoon hebben geïdentificeerd. Een wachtwoord zou hierdoor niet nodig zijn. Volgend jaar moeten meer overheidsdiensten, waaronder de Belastingdienst, de Kamer van Koophandel en gemeenten, eHerkenning gaan gebruiken.

Moderatie-faq Wijzig weergave

Reacties (35)

Security through obscurity?
Ik kan namelijk niks vinden over hoe het systeem werkt.
Ik denk dat het net zoals digid gebaseerd is op A-Select. Het A-select systeem zou voor eherkenning uitgebreid kunnen zijn met functionaliteit. waardoor het niet meer samen met digid kan werken. Authorisatie zit namelijk niet in het a-select framework. Dat doet namelijk alleen authenticatie.
Op diginotar staat wel wat. Maar echt uitgebreide info kon ik niet vinden.

http://www.diginotar.nl/producten/themas/eherkenning.aspx

Achter de gesloten deuren van OSWO is er waarschijnlijk wel wat meer te vinden, hoewel dat wel gericht is op de Belastingdienst.

[Reactie gewijzigd door Trasos op 7 mei 2010 10:08]

Het volgende mis ik in deze tekst:
"DigiD bedrijven stopt per 1 januari 2011. eHerkenning is de opvolger."

Het staat wel op de eHerkenning website.
Precies.

En wat maakt dit systeem nu beter/veiliger dan DigiD?
Ik dacht juist dat DigiD voor dit soort zaken bedoeld was.

*Zucht* De overheid en IT.
In het promofilmpje wordt aangegeven dat DigiD alleen voor authenticatie van individuen bruikbaar is. Bij eHerkenning "schrijven we geschiedenis" door nu ook bevoegdheden van individuen binnen bedrijven in acht te nemen. Zo mag Henk bijvoorbeeld wel bepaalde KvK-gegevens van zijn bedrijf aanpassen, maar niet de belastingen van dat bedrijf opgeven. Ik noem maar wat.

Ik zie echter niet in waarom DigiD dan direct op de schop moet, als eHerkenning in feite hetzelfde is met een soort Access Control-uitbreiding binnen rechtspersonen. Mijninziens zouden de systemen namelijk uitstekend kunnen samenwerken, aangezien DigiD authenticeert ("ja, jij bent Henk") en eHerkenning authoriseert ("jij mag de KvK-gegevens van Acme, Inc. aanpassen"/"je mag niet de belastinggegevens van Acme, Inc. opgeven"). Eigenlijk is het een beetje het verschil tussen OpenID en OAuth.

Kortom, het is een aanvulling op DigiD, maar het is onzin om DigiD daarom maar op te heffen. eHerkenning gaat namelijk om een heel ander facet van beveiliging.
en wat nou als een bedrijf geen zin heeft om zo te werken maar wel de site waarmij ze daarvoor werkten dan kan dat niet meer worden gebruikt ?
De overheid en IT, en de externe adviesbureaus die weer geld denken te kunnen verdienen. En de overheid interesseert het allemaal niet wat het moet kosten.
Inderdaad, en dat is toch wel een belangrijk punt. Helemaal ivm. de eigenlijke korte aanloop hiervoor.
Ik heb eigenlijk nog nooit voor mijn bedrijf digid-bedrijven hoeven te gebruiken, zou ook niet weten waar dit nodig is. Wordt dit daadwerkelijk wel ergens gebruikt?
Weten de mensen die reageren uberhaupt dat er twee varianten van DigiD zijn? Een voor bedrijven en een voor burgers? De belastingdienst heeft overigens weer een eigen vorm om bedrijven digitaal te identificeren.

Het gaar hier om de vervanging van DigiD voor bedrijven, wat door de KvK wordt beheert. De achtergrond van de aanpassing is dat DigiD voor Bedrijven niet in staat is om verschillende veiligheidsniveaus in te bouwen en het systeem kan niet verder uitgebouwd worden met andere functionaliteiten. Daarom komt er een ander systeem om ondernemer digitaal te identificeren.

Hoewel het rijkelijk laat is dat er een fatsoenlijk systeem wordt opgetuigd is het wel noodzakelijk om op een normale manier digitaal informatie uit te wisselen tussen ondernemer en overheid. Denk aan subsidieregelingen, vergunningen etc.

Wat betreft de aanloop, men is er al sinds begin 2009 mee bezig...

Op termijn gaat dit systeem zijn geld wel opleveren overigens, denk aan het besparen van kilo's papierwerk, postkamers, datatypisten en allerlei andere eenvoudige taken die digitaal afgehandeld kunnen worden.

[Reactie gewijzigd door Speedy_J op 7 mei 2010 11:30]

Klopt. Daarnaast is het juist te prijzen dat er samen met de markt wordt gezocht naar een oplossing die wel werkt. Door gebruik te maken van bestaande autenticatietools van bijvoorbeeld banken (die gebruiken bedrijven meestal al) hoopt men de ontwikkelkosten minimaal te houden.
e-Herkenning is hartstikke leuk. Maar als men kijk naar de vorige ICT projectjes van de overheid kan het beter e-Fail heten.

Er zijn zoveel goede mensen in de ICT en kennelijk bij de overheid kunnen ze kennelijk alleen "e-knuppels" aannemen.
Dat krijg je als je met aanbestedingen zit. Dan krijg je firma's die zich inschrijven met allerlei geweldige beloften en een leuke prijs. Eens de aanbesteding binnen is kan dat vaak erg tegenvallen.

Je kan dan als overheid wel met boete-clausules enzo gaan werken, maar uiteindelijk ben je als overheid gewoon genaaid. Ingebrekestelling is net hetzelfde. Dat sleept maanden aan, in die tijd wordt er niks meer gedaan en nadien kan je heel de aanbestedingsprocedure opnieuw starten.

Het ligt dus in 95% van de gevallen niet aan de ICT mensen van de overheid zelf maar aan de firma's die de aanbestedingen winnen. Zo gaat het hier in België toch, maar ik denk niet dat het veel verschilt in andere landen. Bij zulke projecten zijn het trouwens sommen waarvoor je een Europese aanbesteding moet uitschrijven.

Ik spreek hier nu als systeembeheerder van een lokale overheid. We maken hier vaak net hetzelfde mee.
De grote vraag is, waarom gaat het bij bedrijven die dergelijke ICT-projecten opstarten vaker wel goed dan, terwijl het bij de overheid vaak misgaat?
Doelstellingen, wensen, uitgewerkte plannen, en bovenal: eigen, interne mensen met verstand van zaken (gok ik). Dat ontbreekt er volgens mij.
ik dacht meer aan "e-dioten" :)
Leuk zo'n centraal inlog systeem wat meerdere manieren van inloggen ondersteund. Des te meer kansen op lekken en exploits.
Wat ik me wel afvraag is of dit met cookies werk.

Met uitzondering van enkele bedrijven die veelvuldig samen werken met de overheid is dit toch juist weer een extra obstakel voor de meeste bedrijven waarbij je maar enkele keren per jaar contact maakt met de overheid.

Plus weer beheer de rechten van de werknemers. Doet dat de baas, dan krijg je de volgende scenario's:

Baas is op vakantie, er moet iets gebeuren, maar dat kan dus niet want niet de juiste bevoegdheid. Baas komt terug, gaat uit zijn dak en geeft iedereen de maximale rechten om dit niet nog eens te laten gebeuren.
Heb met het 'oude' DigD voor bedrijven gewerkt maar dat werkte niet met cookies. Kort door de bocht een verzameling webservices/servlets met certificaten voor encryptie.

Kreeg overigens ook niet de indruk dat het daar storm liep want het project van ons kreeg iets van volgnummer beneden de 20. En een gevonden bug duurde ook behoorlijk lang eer die verholpen was en ons project eindelijk 'live' kon.
Correct management houdt ook rekening met het feit dat mensen ziek kunnen worden en op vakantie gaan. Het is ondenkbaar dat door dergelijke voorspelbare risico's kritische bedrijfsprocessen zouden stilvallen. Maw die "baas" heeft het alleen zichzelf te verwijten dat belangrijke dingen tijdens zijn vakantie niet kunnen gebeuren.
En dan iedereen domweg "alle rechten geven" is alleen zijn verantwoordelijkheid. Jij en ik weten blijkbaar dat dat niet verstandig is, hij zou het ook moeten weten!

Dat neemt niet weg dat dit systeem voor minder domme managers wél een oplossing is voor het vergemakkelijken van de administratie met de overheid. Een goede manager kan nu mensen beperkte toegangen geven, én zorgen dat er iemand "reserve" of "backup" staat ingeval van verlof/ziekte.

En ik ben overigens ook niet akkoord met je stelling dat dit enkel geschikt is voor grote bedrijven: ten eerste is digitale administratie echt een vooruitgang voor iedereen, ten tweede biedt dit systeem nu juist wél de mogelijkheid om op vakantie te gaan en een werknemer of interim de nodige adminstratie (belastingen, verlenging van vergunningen,..) te laten doen, zonder dat die meteen het bedrijf kan opzeggen in zijn afwezigheid.

Je hebt wat mij betreft wel gelijk dat het aantal authenticatiemethodes dat geïmplementeerd wordt evenredig is met het aantal mogelijke aanvalspunten en zwakheden. Security en gebruiksgemak zijn 2 zaken die steeds met elkaar afgewogen moeten worden.
Overigens is het niet zo dat de genoemde authenticatiemethodes aan hun proefstuk toe zijn, dus wat dat betreft zit het denk ik wel goed.
In dit geval is het natuurlijk wel duidelijk dat de gebruiker de cookies moet toestaan om de website te kunnen bezoeken zonder bewerkelijke toestanden. En zoals de uitleg bij je link is, de eerste keer wordt uitgelegd waarom men cookies 'moet' toestaan, voor eHerkenning in dit geval.
Lijkt me wel gevaarlijk als een beveiligingslek in het systeem zit, want dan kan je gelijk overal bij. Maar dat zullen ze wel goed hebben geregeld ;)

Vind de naam trouwens niet erg catchy..
Gelukkig worden dit soort projecten nog uitgebreid getest door mensen die wel weten waar ze mee bezig zijn (door bedrijven als Fox-IT oid).
Die hebben in het verleden ook al gezegd dat systemen niet veilig genoeg waren. (een online stem systeem voor de provincie noord holland
De OV chipkaart is ook "luid en duidelijk" zo lek als een mandje en toch blijven ze er stug aan vast houden. Dat het getest en gerapporteerd wordt wil nog niet zeggen dat er ook iets met die informatie gedaan wordt. Want dat kan de Nederlands overheid dan wél weer heel goed: doen of hun neus bloedt.
Ja ja, dat de OV chip zo lek als een mandje is dat weten we inmiddels wel. Maar hoe groot is het risico op schade en hoeveel kost zo'n schade nu in de praktijk? Als je er een goede A&K analyse op los laat zal worden vastgesteld dat het te lopen risico plus schade wel meevalt. De afweging tussen het maken van kosten om het gehele systeem te vervangen ten opzichte van de kosten van de te lopen schade staat niet met elkaar in verhouding. Je gaat tenslotte geen miljoen euro investeren om een risico voor schade, die mogelijk slechts in de 10 duizend euro's valt, te voorkomen. Als je dat wel doet heb je niet een gaatje in je hoofd maar een enorm gat (en in je hand). We noemen dat een geaccepteerd risico, want een perfecte wereld bestaat nu eenmaal niet.
Ja ja, dat de OV chip zo lek als een mandje is dat weten we inmiddels wel
Punt is dat ze dat ook al wisten voor het hele systeem ingevoerd/doorgevoerd werd; en dan stel je gewoon de invoering ervan uit en gaat de rest van je betoog niet meer op ;)
Je geeft geen blijk van enig zakelijk inzicht. Dat het vooraf bekend was betekend ook dat de risico's vooraf bekend waren. Indien deze risico's mogelijk zouden leiden tot schadeclaims die ettelijke miljoenen zouden kunnen bedragen dan was de OV kaart in de huidige vorm echt niet ingevoerd.
Kortom, de risico's zijn overzichtelijk en de te verwachte schade is niet groot. Behalve wat gezeur van het gepeupel staat er dan niets in de weg tegen een succesvolle invoering. De gemaakte fouten tijdens de invoering worden als kinderziekten afgedaan.
Niet dat ik het met de OV kaart eens ben maar zakelijk gezien is er weinig tussen te krijgen.
De ideale wereld bestaat nu eenmaal niet en zolang het gepeupel iedere dag, als gehoorzame slaven, gebruik maken van de OV kaart zullen jij en ik aan diezelfde OV kaart niets kunnen veranderen.
En wat is het praktisch nut hiervan in vergelijking met DigiD? Ik zie hier weer een IT projectje om mensen bezig te houden, in plaats van dat ze bestaande systemen verbeteren.
Even minder belangrijk, maar eindelijk gaan we eens Nederlandse namen voor systemen gebruiken. Ik vind dit wel prettig, fris :)
Ben eens benieuwd hoeveel miljoenen dit her-uitgevonden wiel weer gaat kosten :F Weer zo'n typisch overheids prestige projectje om "geschiedenis te schrijven" en een paradepaardje te creëren dat uiteindelijk alleen maar geld kost en in het buitenland al helemaal straal genegeerd gaat worden. En inderdaad, wat al eerder aangehaald werd, waarom niet gewoon een aanpassing/uitbreiding/extensie op DigiD? Hoewel, als ze het zo gebracht hadden konden ze er natuurlijk met goed fatsoen veel minder geld in pompen :X nu is het namelijk een "hééééél nieuw systeem!!!11"

[Reactie gewijzigd door RobIII op 7 mei 2010 09:57]

Je kan er natuurlijk donder op zeggen dat dit verkeerd gaat aflopen.
Er zitten genoeg goede mensen op de IT afdeling van de overheid maar het probleem is dat iedereen zijn eigen ding wil doen en zijn naam eronder wil hebben,

Iedereen wil zijn plasje erop doen, en dan gaat het stinken..en kan je het weer weggooien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True