Overheid start pilot zakelijke authenticatietool eHerkenning

De overheid start een proef met een nieuwe authenticatiemethode voor het bedrijfsleven: eHerkenning. Dit moet de 'digitale sleutelbos' van ondernemers verkleinen. Volgend jaar gaan meer overheidsdiensten over op het systeem.

Het nieuwe eHerkenning-systeem is volgens het Ministerie van Economische Zaken een veilige en eenvoudige manier voor bedrijven om zich te identificeren als er zaken met de rijksoverheid worden gedaan. Een ondernemer kan bij een aantal bedrijven een zogeheten eHerkenningsmiddel afnemen. Deze authenticatiemethode kan, afhankelijk van de vereisten van het desbetreffende overheidsloket, onder andere gebruikmaken van een bankpas of een mobiele telefoon. In bepaalde gevallen kan ook een certificaat nodig zijn.

Tijdens de begin mei startende pilot zal Agentschap NL, de uitvoeringsorganisatie van het Ministerie van Economische Zaken, een proef houden met een subsidieregeling die online kan worden aangevraagd. Ondernemers die zich digitaal aanmelden, kunnen de subsidieaanvragen invullen nadat zij zich via hun mobiele telefoon hebben geïdentificeerd. Een wachtwoord zou hierdoor niet nodig zijn. Volgend jaar moeten meer overheidsdiensten, waaronder de Belastingdienst, de Kamer van Koophandel en gemeenten, eHerkenning gaan gebruiken.

<a class="videolink" href="http://www.youtube.com/v/I5quRRcQOUs&rel=0&color1=0x2b405b&color2=0x6b8ab6&hl=nl_NL&feature=player_embedded&fs=1" rel="external">Video (I5quRRcQOUs&rel=0&color1=0x2b405b&color2=0x6b8ab6&hl=nl_NL&feature=player_embedded&fs=1)</a>

IT-banen

Reacties (35)

elmuerte 7 mei 2010 09:32

Security through obscurity?
Ik kan namelijk niks vinden over hoe het systeem werkt.

MoBi @elmuerte • 7 mei 2010 11:25

Ik denk dat het net zoals digid gebaseerd is op A-Select. Het A-select systeem zou voor eherkenning uitgebreid kunnen zijn met functionaliteit. waardoor het niet meer samen met digid kan werken. Authorisatie zit namelijk niet in het a-select framework. Dat doet namelijk alleen authenticatie.

Drexz @elmuerte • 7 mei 2010 13:48

Er is wel wat te vinden hoor ;-)

http://www.eoverheidvoorb...vraagstuk_eherkenning.pdf

http://www.eoverheidvoorb...port_marktconsult_def.pdf

http://www.gbo.overheid.n...factsheet_eHerkenning.pdf

Of je neemt even contact op met de programmamanager...

http://www.ictu.nl/index....ask=view&id=685&Itemid=76

Trasos

@elmuerte • 7 mei 2010 10:06

Op diginotar staat wel wat. Maar echt uitgebreide info kon ik niet vinden.

http://www.diginotar.nl/producten/themas/eherkenning.aspx

Achter de gesloten deuren van OSWO is er waarschijnlijk wel wat meer te vinden, hoewel dat wel gericht is op de Belastingdienst.

[Reactie gewijzigd door Trasos op 23 juli 2024 22:05]

svandewouw 7 mei 2010 09:28

Het volgende mis ik in deze tekst:
"DigiD bedrijven stopt per 1 januari 2011. eHerkenning is de opvolger."

Het staat wel op de eHerkenning website.

kevinv2u @svandewouw • 7 mei 2010 09:35

Precies.

En wat maakt dit systeem nu beter/veiliger dan DigiD?
Ik dacht juist dat DigiD voor dit soort zaken bedoeld was.

*Zucht* De overheid en IT.

Verwijderd @kevinv2u • 7 mei 2010 12:35

In het promofilmpje wordt aangegeven dat DigiD alleen voor authenticatie van individuen bruikbaar is. Bij eHerkenning "schrijven we geschiedenis" door nu ook bevoegdheden van individuen binnen bedrijven in acht te nemen. Zo mag Henk bijvoorbeeld wel bepaalde KvK-gegevens van zijn bedrijf aanpassen, maar niet de belastingen van dat bedrijf opgeven. Ik noem maar wat.

Ik zie echter niet in waarom DigiD dan direct op de schop moet, als eHerkenning in feite hetzelfde is met een soort Access Control-uitbreiding binnen rechtspersonen. Mijninziens zouden de systemen namelijk uitstekend kunnen samenwerken, aangezien DigiD authenticeert ("ja, jij bent Henk") en eHerkenning authoriseert ("jij mag de KvK-gegevens van Acme, Inc. aanpassen"/"je mag niet de belastinggegevens van Acme, Inc. opgeven"). Eigenlijk is het een beetje het verschil tussen OpenID en OAuth.

Kortom, het is een aanvulling op DigiD, maar het is onzin om DigiD daarom maar op te heffen. eHerkenning gaat namelijk om een heel ander facet van beveiliging.

Verwijderd @kevinv2u • 7 mei 2010 12:34

en wat nou als een bedrijf geen zin heeft om zo te werken maar wel de site waarmij ze daarvoor werkten dan kan dat niet meer worden gebruikt ?

Verwijderd @kevinv2u • 7 mei 2010 13:58

De overheid en IT, en de externe adviesbureaus die weer geld denken te kunnen verdienen. En de overheid interesseert het allemaal niet wat het moet kosten.

Verwijderd @svandewouw • 7 mei 2010 09:31

Inderdaad, en dat is toch wel een belangrijk punt. Helemaal ivm. de eigenlijke korte aanloop hiervoor.

Scripted @svandewouw • 7 mei 2010 09:37

Ik heb eigenlijk nog nooit voor mijn bedrijf digid-bedrijven hoeven te gebruiken, zou ook niet weten waar dit nodig is. Wordt dit daadwerkelijk wel ergens gebruikt?

Speedy_J 7 mei 2010 11:11

Weten de mensen die reageren uberhaupt dat er twee varianten van DigiD zijn? Een voor bedrijven en een voor burgers? De belastingdienst heeft overigens weer een eigen vorm om bedrijven digitaal te identificeren.

Het gaar hier om de vervanging van DigiD voor bedrijven, wat door de KvK wordt beheert. De achtergrond van de aanpassing is dat DigiD voor Bedrijven niet in staat is om verschillende veiligheidsniveaus in te bouwen en het systeem kan niet verder uitgebouwd worden met andere functionaliteiten. Daarom komt er een ander systeem om ondernemer digitaal te identificeren.

Hoewel het rijkelijk laat is dat er een fatsoenlijk systeem wordt opgetuigd is het wel noodzakelijk om op een normale manier digitaal informatie uit te wisselen tussen ondernemer en overheid. Denk aan subsidieregelingen, vergunningen etc.

Wat betreft de aanloop, men is er al sinds begin 2009 mee bezig...

Op termijn gaat dit systeem zijn geld wel opleveren overigens, denk aan het besparen van kilo's papierwerk, postkamers, datatypisten en allerlei andere eenvoudige taken die digitaal afgehandeld kunnen worden.

[Reactie gewijzigd door Speedy_J op 23 juli 2024 22:05]

Verwijderd @Speedy_J • 7 mei 2010 11:24

Klopt. Daarnaast is het juist te prijzen dat er samen met de markt wordt gezocht naar een oplossing die wel werkt. Door gebruik te maken van bestaande autenticatietools van bijvoorbeeld banken (die gebruiken bedrijven meestal al) hoopt men de ontwikkelkosten minimaal te houden.

NEK 7 mei 2010 10:04

e-Herkenning is hartstikke leuk. Maar als men kijk naar de vorige ICT projectjes van de overheid kan het beter e-Fail heten.

Er zijn zoveel goede mensen in de ICT en kennelijk bij de overheid kunnen ze kennelijk alleen "e-knuppels" aannemen.

DinX @NEK • 7 mei 2010 10:21

Dat krijg je als je met aanbestedingen zit. Dan krijg je firma's die zich inschrijven met allerlei geweldige beloften en een leuke prijs. Eens de aanbesteding binnen is kan dat vaak erg tegenvallen.

Je kan dan als overheid wel met boete-clausules enzo gaan werken, maar uiteindelijk ben je als overheid gewoon genaaid. Ingebrekestelling is net hetzelfde. Dat sleept maanden aan, in die tijd wordt er niks meer gedaan en nadien kan je heel de aanbestedingsprocedure opnieuw starten.

Het ligt dus in 95% van de gevallen niet aan de ICT mensen van de overheid zelf maar aan de firma's die de aanbestedingen winnen. Zo gaat het hier in België toch, maar ik denk niet dat het veel verschilt in andere landen. Bij zulke projecten zijn het trouwens sommen waarvoor je een Europese aanbesteding moet uitschrijven.

Ik spreek hier nu als systeembeheerder van een lokale overheid. We maken hier vaak net hetzelfde mee.

MadEgg @DinX • 7 mei 2010 11:59

De grote vraag is, waarom gaat het bij bedrijven die dergelijke ICT-projecten opstarten vaker wel goed dan, terwijl het bij de overheid vaak misgaat?

Verwijderd @MadEgg • 7 mei 2010 14:01

Doelstellingen, wensen, uitgewerkte plannen, en bovenal: eigen, interne mensen met verstand van zaken (gok ik). Dat ontbreekt er volgens mij.

Verwijderd @NEK • 7 mei 2010 10:11

ik dacht meer aan "e-dioten"

Verwijderd 7 mei 2010 10:44

Leuk zo'n centraal inlog systeem wat meerdere manieren van inloggen ondersteund. Des te meer kansen op lekken en exploits.
Wat ik me wel afvraag is of dit met cookies werk.

Met uitzondering van enkele bedrijven die veelvuldig samen werken met de overheid is dit toch juist weer een extra obstakel voor de meeste bedrijven waarbij je maar enkele keren per jaar contact maakt met de overheid.

Plus weer beheer de rechten van de werknemers. Doet dat de baas, dan krijg je de volgende scenario's:

Baas is op vakantie, er moet iets gebeuren, maar dat kan dus niet want niet de juiste bevoegdheid. Baas komt terug, gaat uit zijn dak en geeft iedereen de maximale rechten om dit niet nog eens te laten gebeuren.

Verwijderd @Verwijderd • 7 mei 2010 15:29

Heb met het 'oude' DigD voor bedrijven gewerkt maar dat werkte niet met cookies. Kort door de bocht een verzameling webservices/servlets met certificaten voor encryptie.

Kreeg overigens ook niet de indruk dat het daar storm liep want het project van ons kreeg iets van volgnummer beneden de 20. En een gevonden bug duurde ook behoorlijk lang eer die verholpen was en ons project eindelijk 'live' kon.

the_stickie @Verwijderd • 7 mei 2010 23:11

Correct management houdt ook rekening met het feit dat mensen ziek kunnen worden en op vakantie gaan. Het is ondenkbaar dat door dergelijke voorspelbare risico's kritische bedrijfsprocessen zouden stilvallen. Maw die "baas" heeft het alleen zichzelf te verwijten dat belangrijke dingen tijdens zijn vakantie niet kunnen gebeuren.
En dan iedereen domweg "alle rechten geven" is alleen zijn verantwoordelijkheid. Jij en ik weten blijkbaar dat dat niet verstandig is, hij zou het ook moeten weten!

Dat neemt niet weg dat dit systeem voor minder domme managers wél een oplossing is voor het vergemakkelijken van de administratie met de overheid. Een goede manager kan nu mensen beperkte toegangen geven, én zorgen dat er iemand "reserve" of "backup" staat ingeval van verlof/ziekte.

En ik ben overigens ook niet akkoord met je stelling dat dit enkel geschikt is voor grote bedrijven: ten eerste is digitale administratie echt een vooruitgang voor iedereen, ten tweede biedt dit systeem nu juist wél de mogelijkheid om op vakantie te gaan en een werknemer of interim de nodige adminstratie (belastingen, verlenging van vergunningen,..) te laten doen, zonder dat die meteen het bedrijf kan opzeggen in zijn afwezigheid.

Je hebt wat mij betreft wel gelijk dat het aantal authenticatiemethodes dat geïmplementeerd wordt evenredig is met het aantal mogelijke aanvalspunten en zwakheden. Security en gebruiksgemak zijn 2 zaken die steeds met elkaar afgewogen moeten worden.
Overigens is het niet zo dat de genoemde authenticatiemethodes aan hun proefstuk toe zijn, dus wat dat betreft zit het denk ik wel goed.

Verwijderd @Verwijderd • 7 mei 2010 14:05

In dit geval is het natuurlijk wel duidelijk dat de gebruiker de cookies moet toestaan om de website te kunnen bezoeken zonder bewerkelijke toestanden. En zoals de uitleg bij je link is, de eerste keer wordt uitgelegd waarom men cookies 'moet' toestaan, voor eHerkenning in dit geval.

JonathanP 7 mei 2010 10:37

Lijkt me wel gevaarlijk als een beveiligingslek in het systeem zit, want dan kan je gelijk overal bij. Maar dat zullen ze wel goed hebben geregeld

Vind de naam trouwens niet erg catchy..

neoeldex @JonathanP • 7 mei 2010 13:24

Gelukkig worden dit soort projecten nog uitgebreid getest door mensen die wel weten waar ze mee bezig zijn (door bedrijven als Fox-IT oid).
Die hebben in het verleden ook al gezegd dat systemen niet veilig genoeg waren. (een online stem systeem voor de provincie noord holland

RobIII @neoeldex • 7 mei 2010 13:36

De OV chipkaart is ook "luid en duidelijk" zo lek als een mandje en toch blijven ze er stug aan vast houden. Dat het getest en gerapporteerd wordt wil nog niet zeggen dat er ook iets met die informatie gedaan wordt. Want dat kan de Nederlands overheid dan wél weer heel goed: doen of hun neus bloedt.

regmaster @RobIII • 7 mei 2010 14:42

Ja ja, dat de OV chip zo lek als een mandje is dat weten we inmiddels wel. Maar hoe groot is het risico op schade en hoeveel kost zo'n schade nu in de praktijk? Als je er een goede A&K analyse op los laat zal worden vastgesteld dat het te lopen risico plus schade wel meevalt. De afweging tussen het maken van kosten om het gehele systeem te vervangen ten opzichte van de kosten van de te lopen schade staat niet met elkaar in verhouding. Je gaat tenslotte geen miljoen euro investeren om een risico voor schade, die mogelijk slechts in de 10 duizend euro's valt, te voorkomen. Als je dat wel doet heb je niet een gaatje in je hoofd maar een enorm gat (en in je hand). We noemen dat een geaccepteerd risico, want een perfecte wereld bestaat nu eenmaal niet.

RobIII @regmaster • 7 mei 2010 14:57

Ja ja, dat de OV chip zo lek als een mandje is dat weten we inmiddels wel

Punt is dat ze dat ook al wisten voor het hele systeem ingevoerd/doorgevoerd werd; en dan stel je gewoon de invoering ervan uit en gaat de rest van je betoog niet meer op

regmaster @RobIII • 8 mei 2010 13:00

Je geeft geen blijk van enig zakelijk inzicht. Dat het vooraf bekend was betekend ook dat de risico's vooraf bekend waren. Indien deze risico's mogelijk zouden leiden tot schadeclaims die ettelijke miljoenen zouden kunnen bedragen dan was de OV kaart in de huidige vorm echt niet ingevoerd.
Kortom, de risico's zijn overzichtelijk en de te verwachte schade is niet groot. Behalve wat gezeur van het gepeupel staat er dan niets in de weg tegen een succesvolle invoering. De gemaakte fouten tijdens de invoering worden als kinderziekten afgedaan.
Niet dat ik het met de OV kaart eens ben maar zakelijk gezien is er weinig tussen te krijgen.
De ideale wereld bestaat nu eenmaal niet en zolang het gepeupel iedere dag, als gehoorzame slaven, gebruik maken van de OV kaart zullen jij en ik aan diezelfde OV kaart niets kunnen veranderen.

Jeoh 7 mei 2010 09:38

En wat is het praktisch nut hiervan in vergelijking met DigiD? Ik zie hier weer een IT projectje om mensen bezig te houden, in plaats van dat ze bestaande systemen verbeteren.

RielN 7 mei 2010 09:45

Even minder belangrijk, maar eindelijk gaan we eens Nederlandse namen voor systemen gebruiken. Ik vind dit wel prettig, fris

RobIII 7 mei 2010 09:53

Ben eens benieuwd hoeveel miljoenen dit her-uitgevonden wiel weer gaat kosten

Weer zo'n typisch overheids prestige projectje om "geschiedenis te schrijven" en een paradepaardje te creëren dat uiteindelijk alleen maar geld kost en in het buitenland al helemaal straal genegeerd gaat worden. En inderdaad, wat al eerder aangehaald werd, waarom niet gewoon een aanpassing/uitbreiding/extensie op DigiD? Hoewel, als ze het zo gebracht hadden konden ze er natuurlijk met goed fatsoen veel minder geld in pompen

nu is het namelijk een "hééééél nieuw systeem!!!11"

[Reactie gewijzigd door RobIII op 23 juli 2024 22:05]

Verwijderd 7 mei 2010 10:19

Je kan er natuurlijk donder op zeggen dat dit verkeerd gaat aflopen.
Er zitten genoeg goede mensen op de IT afdeling van de overheid maar het probleem is dat iedereen zijn eigen ding wil doen en zijn naam eronder wil hebben,

Iedereen wil zijn plasje erop doen, en dan gaat het stinken..en kan je het weer weggooien.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: