Waarom eHerkenning en waarom zo duur?
Ik wilde eenmalige subsidie aanvragen bij de gemeente voor onze kleine jeugdsoos. Dit moest gebeuren met eHerkenning level 1. Sinds de Wet Digitale Overheid (februari 2020) is dit verplicht voor overheidsorganisaties, dus ook voor gemeentes. eHerkenning is een gestandaardiseerd inlogsysteem, waarmee organisaties hun diensten veilig online toegankelijk kunnen maken. In essentie regelt eHerkenning de digitale herkenning en controleert het de digitale bevoegdheid van iemand die online een dienst wil afnemen. Je kunt eHerkenning zien als een soort DigiD voor bedrijven en stichtingen. Wat ik vreemd vind is dat meerdere bedrijven deze eHerkenning nu regelen (We-ID bijvoorbeeld). Er komt bij de subsidieaanvraag dus een bedrijf tussen. Vervolgens worden die kosten verhaalt op onze jeugdsoos. Er is dus sinds kort een verplichte betaling aan een bedrijf nodig voor deaanvraag van een gemeentesubsidie.
De kosten voor level 1 waren maar 5 euro per jaar, wat mij nog redelijk lijkt. Het mooie is dat level 1 nu niet meer voldoende is. Level 2+ is nu het minimum, en aanbevolen wordt level 3 al te nemen. Level 2+ kost ongeveer 25 euro per jaar, en level 3 is al ongeveer 10 euro duurder. Deze bedragen zijn wel heel erg hoog voor iets wat in essentie een DigiD systeem is. Veel informatie over waarom deze prijs zo hoog is en wat eHerkenning levels verschillen heb ik niet kunnen vinden. De reden waarom de levels steeds hoger worden zijn ook niet gegeven.
Wat dit allemaal nog vreemder maakte was de manier waarop de upgrade van een level 1 naar level 2+ account werkt. Onze jeugdsoos had dus al een level 1 account, maar we waren het wachtwoord en de gebruikersnaam vergeten. Via eengemakkelijke'wachtwoord vergeten' email waarop dit account stond konden we er weer in. Geen extra verificatie nodig, alleen het email adres. De site van We-ID was het tegenovergestelde vangemakkelijk: complexe site structuren, vaag taalgebruik en kapotte links. Er moesten digitaal allemaal gegevens worden ingevuld en een SEPA incasso machtiging gegeven worden. Vervolgens moest dit met een natte handtekening, een ID-kaart kopie, een checklist en nogmaals SEPA incasso machtiging verzonden worden via post. Het upgraden kon dagen duren of zelfs mislukken als er iets mis ging, wat wel eens gebeurde volgens We-ID zelf. Vandaar moest de genoemde checklist verstuurd worden.
Dit was voor mij niet logisch meer. Als ik al mijn gegevens via post moet opsturen naar een bedrijf voor verificatie en autorisatie. Waarom kan dit dan niet direct via de gemeente? Vervolgens heb ik daarom de gemeente gebeld of er geen andere aanvraag mogelijkheid was. Ik kreeg heel snel antwoord dat ze veel moeite hadden met eHerkenning en dat ik het gewoon kon emailen naar het algemene email adres. Aangezien wij al jaren deze subsidie krijgen, en we vaak direct contact hebben met de gemeente was dit zeker geen risico.
De informatie die ik nog wel kon vinden over de levels maken het ook niet betrouwbaarder en duidelijker voor mij. Van de eHerkenning site: "Hoe hoger het betrouwbaarheidsniveau, hoe meer zekerheid de dienstverlener krijgt over uw online identiteit. Voor eHerkenning op een hoger betrouwbaarheidsniveau moet u bij de aanvraag meer controlestappen doorlopen om uw identiteit en handelingsbevoegdheid vast te stellen". Hier heeft 'niveau' dezelfde betekenis als 'level'. eHerkenning over level 2+: "Verschil met niveau 2: Extra ingebouwde veiligheidsmaatregel in de inlogmethode (2-factor authenticatie). U logt in op basis van iets dat u weet (gebruikersnaam en wachtwoord) en wat u hebt/krijgt (sms-code of token). Ook wel 2-factor authenticatie genoemd.". Level 2+ heeft dus dezelfde veiligheid als een DigiD account, maar dit brengt weer extra kosten met zich mee als het via eHerkenning gaat. Betekent dit dat Level 2 en 1 minder veilig zijn dan de DigiD? Wordt er dan betaald voor een service die slechter is dan de gratis versie?
TL;DR: Gemeentes moeten verplicht eHerkenning gebruiken. Dit wordt geleverd door bedrijven die steeds hogere levels/bedragen vragen aan de stichtingen en bedrijven die aanvragen moeten doen bij de gemeente. De reden waarom de levels hoger moeten worden wordt nergens genoemd, de reden waarom het zo duur is wordt nergens genoemd, en de manier waarop dit gebeurd is lastig en lijkt erg omslachtig. Maar er is geen andere optie, het moet verplicht via alleen deze methode. Maar waarom is het zo duur? En waarom moet het via alleen deze manier? En hoe werkt het überhaupt? Wat houden deze levels in?Waarom lijkt level 2+ een dure kopie van DigiD?
De belastingsdienst wilde eHerkenning nog verder uitbreiden. Belastingaangifte van bedrijven zou ook verplicht via eHerkenning level 4 moeten. Dit zou jaarlijks 40 tot 50euro kosten (verschilt per bron).