Een eHerkenningsmiddel is een digitale identiteit waarmee medewerkers van bedrijven kunnen inloggen bij overheden en andere organisaties.
Het is daarom essentieel om de identiteit van de aanvrager van een eHerkenningsmiddel vast te stellen zodat de overheden en andere organisaties zeker weten dat de juiste persoon inlogt.
Registratie
Tijdens de registratie voor het eHerkenningsmiddel, vraagt Digidentity de chip van het ID uit te lezen. Hiermee kunnen wij vaststellen dat het ID echt is en de gegevens niet zijn aangepast. De gegevens uit het ID gebruiken wij voor de identiteit. Een andere registratie route maakt foto’s van de voor- en achterkant van het ID. Hierbij zorgt een geautomatiseerde controle van de foto’s voor de validatie van het ID.
Zowel in de chip in het ID als op de foto van het ID is het Burger Service Nummer (BSN) van de aanvrager aanwezig. Op dit moment is het verwerken van het BSN een grijs gebied binnen eHerkenning. Voor ZZP moeten wij het BSN verwerken om een koppeling met het BSN Koppelregister (BSNk) te maken, voor medewerkers van ondernemingen is de BSN niet noodzakelijk.
Wij moeten echter de echtheid van het document vaststellen en gebruiken o.a. een 11-proef op het BSN (bij de foto van het ID) om te verifiëren dat het een geldig BSN is. Na deze verificatie verwijderen wij het BSN. Bij het uitlezen van de chip, verwijderen wij het BSN direct (in geval van ZZP nadat de koppeling met BSNk is gemaakt).
In de Wet Digitale Overheid is de juridische grondslag voor het verwerken van BSN vastgelegd echter is deze wet nog niet in werking (eind dit jaar).
Wettelijk vertegenwoordiger
Een eHerkenningsmiddel is gekoppeld aan een autorisatie voor een organisatie. Digidentity moet vaststellen dat de aanvrager geautoriseerd is om namens de organisatie te handelen. Hiervoor maken wij gebruik van de gegevens die zijn geregistreerd bij de Kamer van Koophandel (KvK).
Nadat de aanvrager het KvK van de organisatie heeft ingevoerd, controleert Digidentity of de aanvrager bevoegd is. Als de aanvrager volledig bevoegd is, zal het aanvraagproces verdergaan. Staat de aanvrager niet op de KvK als bevoegd vertegenwoordiger, dan moet de wettelijk vertegenwoordiger of geautoriseerd vertegenwoordiger de aanvraag goedkeuren. Digidentity is verplicht om de wettelijk vertegenwoordiger op zelfde wijze te identificeren als de aanvrager.
Afhankelijk van de bevoegdheid die bij de KvK staat vermeld (zelfstandig bevoegd, gezamenlijk bevoegd, beperkt bevoegd) zijn één of meerdere handtekeningen noodzakelijk voor de autorisatie.
Bedrijfsbeheerder
Een medewerker kan de autorisatie om bedrijfsbeheerder aanvragen. Na goedkeuring door de wettelijk vertegenwoordiger, kan de bedrijfsbeheerder eHerkenningsaanvragen van andere medewerkers goedkeuren en is goedkeuring door de wettelijk vertegenwoordiger gedelegeerd naar de bedrijfsbeheerder. Voor de rol van bedrijfsbeheerders is minimaal eHerkenning 3 nodig. Bedrijfsbeheerders mogen aanvragen voor hetzelfde niveau of lager goedkeuren (een beheerder met eH3 mag geen eH4 aanvraag goedkeuren).
Data opslag & Bewaartermijnen
Wij maken gebruik van twee partijen voor de validatie van het ID: maak je gebruik van de registratie met NFC, dan verzorgt ReadID de validatie. Gebruik je de registratie waarbij je een foto van het ID maakt, dan verzorgt Mitek de validatie. Beide organisaties werken vanuit Nederland. Let wel, deze partijen voeren enkel de controle op echtheid uit, Digidentity neemt op basis van de verificatierapporten het besluit om het ID te accepteren.
Wij bewaren enkel gegevens die wij geverifieerd hebben. Alle gegevens slaan wij op in data centers in Europa.
De bewaartermijnen die wij hanteren zijn als volgt: alle foto’s bewaren wij 120 dagen, verificatierapporten 7 jaar (compliance eis). Binnenkort zal ik een nieuwe Privacy Statement publiceren waarin de bewaartermijnen zijn opgenomen als ook de derde partijen die de validatie verzorgen.
Aanwijzing & Toezicht
Digidentity is één van de zes bedrijven die door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is aangewezen om eHerkenningsmiddelen uit te geven. Als deelnemer aan het Afsprakenstelsel (https://afsprakenstelsel.etoegang.nl/display/as/Startpagina) staat Digidentity onder toezicht van Agentschap Telecom (AT). Middels reguliere inspecties door AT, moet Digidentity bewijzen dat aan de eisen uit het Afsprakenstelsel wordt voldaan.
Een eis in het Afsprakenstelsel is dat een deelnemer een gecertificeerd ISMS heeft geïmplementeerd. Digidentity heeft een gecertificeerd ISMS tegen ISO27001:2013 en wordt jaarlijks door een onafhankelijk auditor beoordeeld of aan de eisen van ISO27001:2013 is voldaan. Daarnaast is Digidentity gecertificeerd tegen ETSI 319 411-1 en 319 411-2 voor de uitgifte van PKI certificaten voor SSL en gekwalificeerde handtekeningen.