Op 11 december 2018 heeft de Nederlandse overheid het stelsel voor elektronische toegangsdiensten, ofwel eHerkenning, ofwel Dutch Trust Framework, ter review aangeboden om voor eIDAS-erkenning in aanmerking te komen. Met die erkenning kunnen Nederlandse bedrijven inloggen bij overheidsdienstverleners elders in de EU. Als deelnemer van het Nederlandse team heb ik hier aan mogen bijdragen.

Onder coördinatie van Duitsland en met actieve bijdragen van o.a. België, Verenigd Koninkrijk en Luxemburg heeft ons stelsel de afgelopen maanden een kritisch review ondergaan. De lidstaten stelden veel vragen over o.a. certificeringen van smartcards, wachtwoord reset processen, mitigerende maatregelen tegen high attack potential, polymorfe pseudoniemen, de inrichting van de governance en het toezicht. Tijdens een fysieke bijeenkomst in Den Haag hebben de betrokken stakeholders stuk voor stuk hun best gedaan om de reviewers te overtuigen van de betrouwbaarheid van het stelsel.

En dat is gelukt! Tijdens de afgelopen meeting in Brussel (6 juni) van de Cooperation Network waarin alle lidstaten vertegenwoordigd zijn, is er een positieve mening geformuleerd over deelnemers in het stelsel:

“Based on the examination of the pre-notification documents provided by the Netherlands, the findings of the peer review report, and the commitments made by the Netherlands, the Cooperation Network is of the opinion that the pre-notification documents and additional information provided by the Netherlands demonstrate sufficiently how:

• Platform 1 – KPN, Reconi – meets the requirements for assurance levels “Substantial” and “High”;
• Platform 2 – Connectis, Unified Post, iWelcome and QuoVadis – meets the requirements for assurance levels “Substantial” and “High”;
• Platform 3 – Digidentity – meets the requirements for assurance levels “Substantial” and “High”

in line with the requirements of Article 7, Articles 8(1)-(2) and 12(1) of the eIDAS Regulation and Commission Implementing Regulation (EU) 2015/1502.”

Dat betekent dat alle publieke diensten in Europa op niveau Substantieel en Hoog onze eHerkenningsmiddelen moeten erkennen als inlogmiddel. Het mooie is dat deze eHerkenningsmiddelen in Europa niet alleen in een bedrijvencontext werken, maar ook als persoonlijk middel kunnen worden ingezet. Check wel even of je baas dit goed vindt 😉.

Wel hebben enkele lidstaten een aantal kanttekeningen geplaatst bij de oplossing van één van de deelnemers op niveau Hoog. Het betreft hier de beveiliging van de mobiele app om een authenticatiecertificaat op de Hardware Security Module (HSM) te activeren. Gevraagd is om de volgende verbeterpunten op te pakken:

• Confirm that the participant’s solution relies on the usage of Secure Enclaves/Elements (SE) and denies the usage of devices without SEs;
• Proactively monitor the risk against potential attacks on smartphone SEs and take immediate measures if and when such risk materialises;
• Exclude smartphone SEs with known vulnerabilities from usage by mobile apps;
• Have an ongoing strategy to assess the security of mobile devices SEs in order to obtain an equivalent assurance to a certification and to increase the number of supported devices that provide certified SEs.

Hoewel dit geen verrassende punten zijn, is de invulling ervan niet triviaal. Gelukkig staan we hiervoor niet alleen. Ook de nieuw aangemelde en nog te reviewen oplossingen van België (Itsme) en Letland lopen tegen deze uitdaging aan. Wellicht kunnen we van elkaar leren en samen tot een oplossing komen. Overigens een belangrijk doel van de peer reviews. Daarnaast komen we hier ook een beetje in het vaarwater van de Trust Service Providers die onder de vlag van eIDAS gekwalificeerde digitale certificaten verstrekken. Afstemming met de toezichthouders daarop is wenselijk.

De oplettende lezer valt het wellicht op dat de individuele deelnemers in het stelsel worden benoemd. Het is Nederland helaas niet gelukt om het stelsel als geheel te notificeren en te abstraheren van de deelnemers erin en hun authenticatie-oplossingen. De Cooperation Network zal geïnformeerd moeten worden over nieuwe deelnemers, significante wijzigingen in de processen van de deelnemers of in het afsprakenstelsel zelf. Het Netwerk zal dan bepalen of een extra peer review nodig is. Of dat een werkbare en schaalbare oplossing is zal de toekomst moeten uitwijzen.

Daarnaast lijkt Nederland de smaak te pakken te hebben: naar verwachting zullen de DigiD-oplossingen voor Substantieel en Hoog op korte termijn worden aangemeld voor eIDAS. Ook dat zal interessant worden met een technologie als NFC voor het uitlezen van de chip op identiteitsdocumenten voor registratie én authenticatie en met innovaties rondom de PIN-reset. Maar ik heb er vertrouwen in dat we ook hier goed doorheen zullen komen.

Alvast een fijne zomervakantie allemaal!