Om te kunnen voldoen aan de eIDAS-verordening moet uw gemeente aansluiten via een eHerkenningsmakelaar. Op deze pagina wordt aangegeven welke stappen u moet doorlopen.
Achtergrond
Iedere online dienstverlening achter DigiD (Substantieel of Hoog) of eHerkenning (3 en hoger) moet ook toegankelijk zijn voor EU-burgers en -ondernemers met hun genotificeerde nationale inlogmiddel. Dit betekent dat er bij de betreffende dienst een eIDAS-inlogknop moet komen waarmee de EU-burger/ondernemer bij de dienst inlogt (volgens de verordening moet de deur naar de online dienstverlening geopend worden, maar hoeft de dienst niet daadwerkelijk verleend te worden).
BZK geeft aan dat de verantwoordelijkheid om te voldoen aan de verordening bij de gemeente zelf ligt; heeft u als gemeente te maken met (veel) EU-burgers?
Voorbeelden van producten die voor EU-burgers interessant zouden kunnen zijn:
- Afschrift burgerlijke stand (geboorte, trouwen, overlijden)
- WOZ (vakantiehuizen)
Optioneel (geen onderdeel van de eIDAS verordening): om de diensten en producten toegankelijk te maken voor iedereen moeten de teksten in het Engels en/of wellicht in andere talen worden opgenomen.
eHerkenningsmakelaar
Het is op dit moment mogelijk om aan de eIDAS-verordening te voldoen door het aansluiten via een eHerkenningsmakelaar. Via deze aansluiting kunt u de attributen uit Europa ontvangen en u voldoet hiermee aan de eIDAS-verordening. Meer informatie is te verkrijgen bij de eHerkenningsmakelaars (eherkenning.nl).
LET OP: Door het ingaan van de Wet digitale overheid (Wdo) is het onduidelijk of de eHerkenningsmakelaars hun rol als makelaar mogen blijven vervullen. VNG heeft hier nog geen duidelijkheid van BZK over gekregen. Houdt hier rekening mee bij het afsluiten van meerjarige contracten.
Handleiding eIDAS implementeren
Hieronder wordt kort aangegeven welke stappen u moet doorlopen. Deze stappen komen uitgebreid aan bod in een handleiding die VNG Realisatie met medewerking van deelnemers uit de eIDAS-keten (gemeente Rotterdam, gemeente Den Haag, Digidentity, PinkRoccade Local Government en SIMgroep) heeft opgesteld. In deze handleiding staat welke keuzes gemeenten kunnen maken en waarmee rekening gehouden moet worden als er diensten geschikt gemaakt worden voor inloggen met een eIDAS (genotificeerd) Europees elektronisch-identificatiemiddel (eID).
- Lees de Handleiding eIDAS (pdf, 1,9 MB)
Beknopt stappenplan aansluiting via eHerkenningsmakelaar
1. Voorbereiding
Voordat een gemeente gaat aansluiten moet een aantal zaken in kaart gebracht worden:
- Beoordeling BSN-dienst/geen BSN noodzakelijk
- Bestaande (inlog)voorzieningen, koppelingen
- Werkt de ICT-leverancier al met eHerkenning?
- Hoe worden de te koppelen diensten ingericht?
- Welke attributen zijn gewenst?
- Hoe worden de achterliggende processen ingericht?
- Moet er betaald worden voor de dienst?
2. Beoordelen of BSN vereist is voor het product of dienst
Gemeenten moeten hun huidige online product- en dienstencatalogus gaan indelen op basis van 2 aspecten: is BSN vereist voor het product en is fysieke aanwezigheid in Nederland noodzakelijk ten tijde van de levering van het product. Dit onderscheid wordt nu zelden gemaakt in online dienstverlening, omdat DigiD altijd een BSN meegeeft. Omdat met DigiD formulieren vooringevuld kunnen worden (als er voor het betreffende BSN-gegevens beschikbaar zijn) is het direct duidelijk wie de aanvrager is en waar het product naartoe moet worden gestuurd. Er is echter niet altijd een BSN vereist om een product aan te vragen. Dit onderscheid moet voor eIDAS wel gemaakt worden: welke producten vereisen een BSN en welke producten kunnen zonder BSN worden aangevraagd?
BSN vereist
Bijvoorbeeld: Nederlanders die zijn geëmigreerd en een uittreksel BRP/burgerlijke stand aanvragen. Nu wordt zo'n aanvraag per post gedaan en moet de identiteit van de aanvrager eerst worden gecontroleerd met een kopie van het paspoort. Met eIDAS is de aanvrager direct geïdentificeerd en kan er online betaald worden. De verstrekking vindt direct plaats.
Fysieke verstrekking: betreft het een aanvraag vanuit het buitenland?
Een groot deel van de gemeentelijke APV-producten en diensten zijn locatiegebonden. Denk aan het aanvragen van een container, een vergunning voor een evenement of het starten van een horecabedrijf. Als de aanvrager niet in Nederland verblijft ten tijde van de levering van het product of dienst, dan kan besloten worden de dienst niet te verlenen (een gemeente is bijvoorbeeld niet verplicht een afvalcontainer buiten de gemeentegrenzen te leveren).
Betrouwbaarheidsniveaus
U moet als organisatie zelf de hoogte van het betrouwbaarheidsniveau voor een door u aangeboden online dienst bepalen (Laag, Substantieel of Hoog). Voor het bepalen van het benodigde betrouwbaarheidsniveau, heeft VNG Realisatie samen met een aantal gemeenten, een analyse van de gemeentelijke producten/diensten uitgevoerd.
Via een risicoanalyse kan de gemeente de kwetsbaarheid van de dienst in kaart brengen. De Handreiking betrouwbaarheidsniveaus (forumstandaardisatie.nl) en de online regelhulp (regelhulpenvoorbedrijven.nl) bieden hiervoor een goede leidraad.
Autorisatielijst BSN-gerechtigden
Om te kunnen aansluiten moet u uw gemeente als BSN-gerechtigde bij RvIG aanmelden voor de Autorisatielijst BSN-gerechtigden. Op de Autorisatielijst BSN-gerechtigden (ALB) staan de organisaties (waaronder gemeenten) die voor hun publieke taken het burgerservicenummer (BSN) mogen gebruiken. Deze organisaties verlenen (digitale) diensten waarbij het BSN nodig is. De RvIG toetst, namens de minister van BZK, welke organisaties op de ALB mogen staan en dus BSN’s mogen gebruiken.
3. Een makelaar kiezen
De eHerkenningsmakelaar verzorgt het aansluitproces en is het eerste aanspreekpunt. Een gemeente kiest zelf met welke makelaar een contract afgesloten wordt. Sommige gemeenten kiezen ervoor om bijvoorbeeld hun formulierenleverancier of portaalleverancier het contact met de eHerkenningsmakelaar te laten verzorgen.
LET OP: Naast de onzekerheid of de eHerkenningsmakelaars onder de Wdo hun rol mogen blijven vervullen.Op dit moment onderzoekt BZK ook of er een routeringsvoorziening ingezet kan worden waarmee een dienstaanbieder via 1 koppelvlak aangesloten wordt op de verschillende eID-middelen. Het kan zijn dat deze routeringsdienst dan de rol van de makelaars gaat vervullen maar dit is nog onzeker. Het advies van VNG Realisatie is om dit in overweging te nemen bij het aangaan van het contract met de makelaar (neem een contract voor een jaar, of maandelijks opzegbaar. Dan bent u, wanneer de routeringsdienst gereed is, flexibel om over te stappen en het contract met de makelaar te beëindigen.
Er zijn verschillende erkende makelaars (eherkenning.nl) die een aansluiting op eHerkenning/eIDAS aanbieden. Makelaars voldoen allemaal aan dezelfde beveiligings- en functionele eisen die worden gesteld. Zij concurreren op verschillende fronten met elkaar en onderscheiden zich op:
- Prijs (eenmalig/terugkerend)
- Standaardoplossing versus maatwerk
- Inhoudelijke ondersteuning
- Aanvullende Service Level Agreement (SLA)
- Serviceniveau
De prijs van de aansluiting op het koppelvlak hangt af van de wensen van de gemeente. Aangeraden wordt om bij meerdere makelaars een offerte aan te vragen en in deze aanvraag zo specifiek mogelijk aan te geven wat de wensen zijn. Houd bij de selectie van de makelaar, naast bovenstaande onderscheidende factoren, rekening met:
- Eigen wensen van de gemeente: standaardoplossing versus maatwerk. Check bijvoorbeeld bij de makelaar of er eventueel zonder aanpassingen overgestapt kan worden naar een andere makelaar.
- Makelaar biedt koppeling met eIDAS-knooppunt.
- Bestaande relaties: direct of via de ICT-leverancier. Mogelijk heeft de vaste ICT-leverancier al ervaring met een of meerdere makelaars. Advies is om daarom ook de vaste ICT-leverancier waarmee u samenwerkt voor de ontwikkeling van de online dienstverlening te betrekken.
4. Aansluiten en testen
Samen met de makelaar en portaalleverancier wordt de aansluiting ingeregeld en wordt de aansluiting getest. Let op: er zal bijvoorbeeld een eIDAS-inlogknop naast de huidige inlogknop(pen) geplaatst moeten worden door uw portaal/websiteleverancier die toegang geeft tot de online dienstverlening/formulieren. Logius heeft een standaard eIDAS-knop (zoals er ook een DigiD standaardknop is) ontwikkeld.
5. Communicatie
Voor de EU-burger moet duidelijk zijn welke diensten hij bij de gemeente kan afnemen met zijn nationale eID. Om te zorgen voor een eenduidige uitstraling voor Europese gebruikers kan uw organisatie gebruikmaken van tekst- en beeldelementen voor eIDAS (logius.nl).