Whitepaper kwartiermakersproject 10 ‘eHerkenning voor bedrijven’ Datum 24 maart 2011 Door: Gemnet: Arnold Talmon SIM: Rick van de Stolpe en John Cheung PinkRoccade Local Government: Stefan Vinken Gemeente Urk: Dirk Visser, Meine Hofman Gemeente Veere: Cor de Rijke Gemeente Edam-volendam: Louis Stroek, Kees Springer
1. Globale toelichting op visie en werking eHerkenning eHerkenning is als één van de 19 bouwstenen, opgenomen in het Nationaal Uitvoeringsprogramma Dienstverlening en e-overheid (NUP). Ook past eHerkenning binnen de Nederlandse Overheids Referentie Architectuur (NORA). eHerkenning is de opvolger van DigiD voor bedrijven. Met als doel bedrijven op eenvoudige en betrouwbare wijze met één sleutel toegang te geven tot de digitale diensten van de overheid. Anders dan bij DigiD is er nu niet een landelijke door de centrale overheid betaalde voorziening. Er is een afsprakenstelsel waarbij de rollen in het netwerk door hiertoe gecertificeerde marktpartijen worden ingevuld. De overheden en bedrijven betrekken bij hen de benodigde diensten en middelen. Voor meer informatie over eHerkenning zie ook de website: http://www.eherkenning.nl/overeherkenning/informatiemiddelen. eHerkenning vervangt het huidige DigiD voor Bedrijven en biedt de volgende mogelijkheden:
Inloggen: met eHerkenning kunnen bedrijven inloggen op applicaties van de overheidsdienstverlener (authenticatie); Machtigen: via eHerkenning kan worden vastgesteld waartoe de gebruiker is gemachtigd (autorisatie);
Voor de volgende releases is voorzien: Digitaal ondertekenen: via het netwerk voor eHerkenning kan er een digitale handtekening geplaatst worden onder contracten en documenten (wilsuiting). Deze functionaliteit is nu nog niet geïmplementeerd maar wel voorzien voor de toekomst. Het afsprakenstelsel wordt doorontwikkeld en die functionaliteit is wel voorzien (net als Single Signon en Machine to machine) maar maakt nu geen onderdeel uit van eHerkenning.
1
Machine to machine communicatie. Single sign-on (Deze laatste functionaliteiten maken nu nog geen deel uit van eHerkenning.)
eHerkenning bestaat uit de volgende onderdelen:
Schematisch ziet eHerkenning er als volgt uit:
Overheidsdienst
Herkenningsmakelaar
Bedrijfsleven
Authenticatiediensten
Machtigingregisters
Het machtigingenregister is een tabel waarin per handelend bedrijf de natuurlijke personen vermeld staan die namens dat bedrijf producten en of diensten bij een overheidsdienst mogen afnemen. Als personen voor slechts één of enkele diensten geautoriseerd zijn wordt gebruikt gemaakt van de overheidsproducten & Dienstencatalogus. Het is dus mogelijk dat een bedrijf meerdere personen machtigt voor diverse overheidsdiensten. Bijv. de boekhouder wordt gemachtigd voor financiële diensten met de belastingdienst, de medewerker personeelszaken voor diensten rondom UWV en belastingdienst en de medewerker Facilitair om vergunningen aan te vragen bij de gemeente. De Authenticatiedienst controleert (aan de hand van het machtigingenregister)of een natuurlijk persoon bevoegd is om namens een handelend bedrijf een bepaald product of dienst af te nemen. En of de natuurlijk persoon inderdaad de persoon is die hij/zij zegt te zijn. Bijv: Meneer X wil namens bedrijf Y product Z aanvragen bij de overheid, dan moet achtereenvolgens vastgesteld worden dat: De persoon achter het toetsenbord inderdaad Meneer X is (Via userid/wachtwoord/token etc.), dat Meneer X bevoegd is te handelen namens bedrijf Y (machtigingenregister) en dat meneer X product Z mag aanvragen (machtigingenregister). De Herkenningsmakelaar is voor overheden het aansluitpunt op het netwerk voor eHerkenning. De overheden hoeven niet te communiceren met de andere entiteiten in het netwerk, de Herkenningsmakelaar verzorgt de communicatie met alle deelnemende authenticatiediensten en
2
machtigingenregisters in het eHerkenningsnetwerk. De technische aansluiting op eHerkenning is via een gedefinieerd koppelvlak ( o.a. SAML 2.0 en XACML), tegen meerprijs bieden herkenningsmakelaars adapters/gateways. Binnen de referentiearchitectuur wordt eHerkenning gepositioneerd in de frontoffice. Hierbij geldt dat de gemeente per product of dienst in de producten & dienstencatalogus (vooraf) aangeeft met welk autorisatieniveau een specifiek product of dienst afgenomen kan worden. Een medewerker van een handelend bedrijf meldt zich aan de digitale poort van de gemeente met de vraag om een product of dienst af te nemen. Vervolgens geeft de herkenningsmakelaar antwoord op de vraag of de persoon is wie hij zegt dat hij is, of deze persoon bevoegd is te handelen namens het handelend bedrijf en of het beveiligingsniveau van de persoon minimaal even hoog is als vereist is voor het gewenste product. Bij een bevestigend antwoord wordt de aanvraag via het zaaksysteem verder ‘normaal’afgehandeld. Bij een negatief antwoord stopt het proces voor die persoon. eHerkenning is qua dienst goed vergelijkbaar met bijvoorbeeld iDeal voor elektronisch betalingsverkeer. Als een bedrijf via elektronische weg spullen wil verkopen aan een consument kan voor de betaling gebruik gemaakt worden van iDeal. Hierdoor wordt het hele betalingsproces uitbesteed aan iDeal. Het bedrijf weet zeker dat het zijn geld krijgt en de consument kan erop vertrouwen dat er geen misbruik van zijn rekening wordt gemaakt.
Veiligheidsniveaus:
2. De businesscase Kosten voor gemeenten:
3
Wat kost aansluiting op eHerkenning voor gemeenten (maar ook voor bedrijven): Voor een gemeente zijn de volgende aspecten relevant: Kosten om aan te sluiten op een Herkenningsmakelaar Kosten om de Herkenningsmakelaar te integreren in de website Kosten om gegevensmakelaar en –magazijn geschikt te maken om prefill uit te kunnen voeren Ad1: ca € 500,- excl. BTW aansluitkosten en € 250,- excl. BTW per maand. Exclusief de 2 voor de koppeling benodigde certificaten. De overige bullits worden nog verder uitgewerkt. Kosten voor bedrijfsleven: De kwartiermakers constateren dat het merendeel van de bedrijven die gemeentelijke producten afnemen bestaat uit kleine en zeer kleine ondernemingen. Ondermeningen die naar onze inschatting niet (vrijwillig) zullen investeren in (niet-gratis) Authenticatiediensten en Machtigingenregisters. Dit betekent dat eHerkenning voor de gemeenten alleen een succes zal worden als deelname voor kleine bedrijven gratis zal zijn. (Of als het niet gratis is dat deelname verplicht wordt gesteld; bijvoorbeeld doordat de belastingdienst alleen via eHerkenning aangiften gaat accepteren o.i.d.). Op dit moment is eHerkenning alleen gratis voor bedrijven op level 1. Maar niemand garandeert dat deelname aan eHerkenning gratis zal blijven. Zeker is wel dat eHerkenning op level-2 of hoger ook nu al niet gratis is voor bedrijven.
De Baten: Voor bedrijven: Een voordeel dat moeilijk te kwantificeren is: Door eHerkenning heeft een ondernemer geen ‘digitale sleutelbos’ meer nodig voor iedere overheidsdienst waar hij zaken mee doet, maar volstaat een ‘digitale loper’ die op alle overheidsloketten past. Voor Overheden: Er hoeft niet geïnvesteerd te worden in eigen authenticatie-oplossingen om producten en diensten aan te bieden aan niet-natuurlijke personen. De kosten die een gemeente moet maken om aan te kunnen sluiten op eHerkenning komen in principe ten laste van de producten die de gemeente levert aan het bedrijfsleven. Of de kosten ook daadwerkelijk worden doorbelast is een (politieke) keuze. Het is dus zaak om een inschatting te maken over welk producten in welke volumes aan bedrijven wordt geleverd. Hiervoor kan het ”Bewijs van goede dienst” gebruikt worden. Onderdeel hiervan is dat de producten die aan het bedrijfsleven geleverd worden systematisch in beeld gebracht worden. Zeker in de opstartfase zal eHerkenning meer kosten dan het oplevert. Want de gemeente doet wel de investeringen maar er zijn nog slechts zeer weinig bedrijven die via eHerkenning producten zullen afnemen.
4
In de discussie wordt nog opgemerkt dat de diensten die gemeenten aan ondernemers levert grofweg in vier categorieën in te delen is, namelijk: Omgevingsgerelateerde producten; Belastinggerelateerde producten; APV gerelateerde producten; Raadplegen PIP (of BIP BedrijvenInternetPagina) Echter voor het aanvragen van omgevingsdiensten is er al het Overheidsloket onLine Omgevingsvergunning (OLO). Naar verwachting zullen steeds meer aanvragen via dit loket ingediend worden waardoor dus de investeringen van de gemeente over een kleiner aantal producten omgeslagen dient te worden. Mutatis Mutandis zal het PIP/BIP op termijn ook (deels) door “MijnOverheid” geleverd gaan worden. eHerkenning is in zijn opzet complexer dan Digid voor natuurlijke personen en vereist meer beheer. Het is dus evident dat een dergelijke infrastructuur duurder zal zijn. Hoe de financiering van eHerkenning exact geregeld is is in onze optiek nog onvoldoende helder. Wij denken dat verreweg de meeste aanvragen (% van het volume) die ondernemers (bij gemeenten) zullen plegen slechts een level1 beveiliging vereisen (inzien belastinggegevens, raadplegen “MijnGemeente”, aanvraag vergunning/ontheffing). Met uitzondering van diensten waarbij direct basisregistraties gemuteerd worden.
3. voorgestelde aanpak Op dit moment zijn er een kleine 7000 bedrijven aangesloten bij eHerkenning. Dus het overgrote deel van de bedrijven is (nog) niet aangesloten. De verwachting is dat in de loop van 2011 en 2012 er een grote impuls komt van bedrijven die zich gaan aansluiten bij eHerkenning. Deze verwachting is gebaseerd op gesprekken met aanbieders van eHerkenning en niet onder een (representatief) onderzoek binnen het bedrijfsleven. Dus we moeten hier een slag om de arm houden. Maar het betekent in elk geval dat de komende 2 jaar overgangsjaren zullen zijn; jaren waarin gemeenten de afweging zullen moeten maken om naast eHerkenning toch nog een aparte eigen authenticatiedienst op te zetten / af te nemen voor dienstverlening niet-natuurlijke personen. (Denk aan functionaliteit om belastingaanslagen in te kunnen zien). Vanuit de kwartiermakers zijn we positief over de mogelijkheden van eHerkenning, maar zien ook nadrukkelijk dat nu aansluiten, meer symbolische dan praktische toegevoegde waarde heeft. Nu aansluiten betekent het mede doorbreken van de Kip-Ei-discussie, - Bedrijven sluiten niet aan omdat de meeste overheden nog geen diensten aanbieden via eHerkenning, en overheden sluiten niet aan omdat de meeste bedrijven nog geen eHerkenning hebben - maar nog niet het eind van de problematiek rondom authenticatie van dienstverlening aan het bedrijfsleven. Voor gemeenten die aan de slag gaan met eHerkenning adviseren we om in eerste instantie alleen producten en diensten op beveiligingsniveau 1 aanbieden. Dat neemt niet weg dat parallel aan eHerkenning in elk geval voor 2011 en mogelijk ook voor 2012 een aparte authenticatiedienst afgenomen moet worden om bedrijven tegemoet te komen die nog geen eHerkenning hebben. Zeker daar waar het inzien van belastingaanslagen, WOZ-beschikkingen en eventueel bezwaar maken daartegen betreft.
5
Vanuit de MOC zullen we in overleg treden met de stichtingeHerkenning, ICTU/KING, en het ministerie van EL&I om waar mogelijk sterkere garanties te krijgen dat eHerkenning ook daadwerkelijk zal doorbreken als uniform, laagdrempelig authenticatie- en autorisatiemiddel voor het bedrijfsleven. 4. Ervaringen vanuit Tilburg Prefill: op basis van KVK en vestiging, vanuit een eigen magazijn geregeld. Via mijn gemeente aanpasbaar door bedrijf zelf. Via tweede databank worden niet bekende bedrijven bijgehouden. Als bedrijf wel bij eHerkenning bekend maar nog niet bij de gemeente? Dan eerst zelf profiel invullen. In Tilburg gaat het om circa 100 bedrijven, met name makelaars. Uitbreiden naar digitaal bouwarchief voor bredere doelgroep. De 100 bedrijven zijn 1 op 1 overgezet vanuit DigiD voor bedrijven. Veel vaker dan via de website zijn er 1 op 1 contacten met ‘accountmanagers’ van de gemeente, en dan zou de techniek aan de functionaris van de gemeente aangeboden moeten worden Per afzonderlijk product is het voor de gemeente te duur om winstgevend te kunnen zijn. Het levert niet veel op, de winst zit in authenticeren en zaakinformatie opvragen. Zal nog even duren voordat er zoveel diensten geautomatiseerd zijn dat het echt winst oplevert. Tot die tijd kunnen grotere gemeenten dit wellicht gemakkelijker betalen dan kleinere gemeenten Implementatie bij de gemeente: zorg voor een centraal aanspreekpunt, ook voor ondernemers. Iemand moet de keten overzien. Zorg voor goede informatie hoe processen lopen om zo bedrijven enthousiast te krijgen en te houden.
6
