image

UWV voorziet werkgeversportaal van inlogmiddel eHerkenning

woensdag 28 november 2018, 14:07 door Redactie, 7 reacties

Het UWV heeft vorige week het eigen werkgeversportaal van het inlogmiddel eHerkenning voorzien. Hiermee komt het tegemoet aan klachten van de Autoriteit Persoonsgegevens om het werkgeversportaal beter te beveiligen. EHerkenning is een inlogmiddel voor ondernemers om zaken als belastingen, subsidies, voertuigoverschrijvingen en wijzigingen in het Handelsregister te regelen.

Inloggen met eHerkenning kan via wachtwoord en gebruikersnaam, al dan niet aangevuld met sms-code, via een app gegenereerde code of een One Time Password (OTP) dat via een token is gegenereerd. Op het hoogste betrouwbaarheidsniveau wordt er ingelogd via een PKIoverheid persoonscertificaat. EHerkenning biedt in totaal 5 betrouwbaarheidsniveaus.

Werkgevers en arbodiensten kunnen via het online werkgeversportaal van het UWV ziekteverzuimgegevens van werknemers invoeren en bekijken. Vanwege de gevoeligheid van de gegevens in dit systeem is meerfactorauthenticatie verplicht, aldus de Autoriteit Persoonsgegevens. Die legde het UWV vorige maand een last onder dwangsom op om dit te realiseren. De overheidsinstantie krijgt tot 31 oktober 2019 de tijd om het beveiligingsniveau van het werkgeversportaal te verbeteren.

"UWV is de eerste overheidsinstantie die op grote schaal eHerkenning op betrouwbaarheidsniveau 3 (substantieel) inzet voor de onlinedienstverlening aan bedrijven. Dit betekent dat UWV ook te maken krijgt met een aantal kinderziektes binnen het eHerkenningsstelsel, waardoor enige vertraging is opgetreden in de geplande implementatie", zo stelt minister Koolmees van Sociale Zaken in een brief aan de Tweede Kamer.

Vorige week donderdag heeft het UWV echter eHerkenning in gebruik genomen op het werkgeversportaal, zo schrijft Koolmees. Werkgevers die gebruik willen (blijven) maken van het portaal hebben tot 1 november 2019 de tijd om eHerkenningsmiddelen aan te schaffen. Vanaf die datum zal het voor werkgevers niet meer mogelijk zijn om met hun huidige inloggegevens toegang te krijgen tot de diensten op het werkgeversportaal en wordt alleen eHerkenning ondersteund.

Het gebruik van eHerkenning op betrouwbaarheidsniveau 3 biedt een "passend beveiligingsniveau" voor organisaties die op het werkgeversportaal willen inloggen, zo blijkt uit een risicoanalyse. "Hiermee borgt UWV dat de toegang tot de gegevens in de verzuimmelder op het gewenste niveau met meerfactorauthenticatie beveiligd is", aldus de minister. In afwachting van de ingebruikname van eHerkenning heeft UWV verschillende extra maatregelen getroffen om de toegang door onbevoegden tot het werkgeversportaal tegen te gaan. Koolmees merkt op dat er tot nu toe bij het UWV geen signalen van misbruik via het werkgeversportaal gemeld zijn (pdf).

Reacties (7)
28-11-2018, 14:23 door Anoniem
Misleidende Term : juiste term E-Erkenning

Jouw identiteit wordt erkend op bais van een afgesproken te verkrijgen code in de vorm van "via wachtwoord en gebruikersnaam, al dan niet aangevuld met sms-code, via een app gegenereerde code of een One Time Password (OTP) dat via een token is gegenereerd. Op het hoogste betrouwbaarheidsniveau wordt er ingelogd via een PKIoverheid persoonscertificaat".

Echte herkenning kan alleen op basis van fysieke eigenschappen die aan jouw unieke persoonlijkheid toebehoren.
Vingerafdruk, irispatroon, gezichtskenmerken etc etc.
Wat overigens nog steeds geen sluitende garantie op veiligheid geeft want als iemand jou (buiten beeld) dwingt in te loggen ben je wel herkend en erkend maar had te eigenlijk niet naar binnen mogen kunnen omdat het geen vrije jandeling betrof maar een handeling om onbevoegden toegang te geven.

eHerkenning is misleidend , of net zo accuraat als dat je zegt iemand aan de kleur van zijn auto te herkennen, rood, blauw of wit.

EHMarketing won het weer eens omdat het natuurlijk wel met succes verkocht moet worden.
28-11-2018, 14:56 door Anoniem
Door Anoniem: Misleidende Term : juiste term E-Erkenning

Jouw identiteit wordt erkend op bais van een afgesproken te verkrijgen code in de vorm van "via wachtwoord en gebruikersnaam, al dan niet aangevuld met sms-code, via een app gegenereerde code of een One Time Password (OTP) dat via een token is gegenereerd. Op het hoogste betrouwbaarheidsniveau wordt er ingelogd via een PKIoverheid persoonscertificaat".

Echte herkenning kan alleen op basis van fysieke eigenschappen die aan jouw unieke persoonlijkheid toebehoren.
Vingerafdruk, irispatroon, gezichtskenmerken etc etc.
Wat overigens nog steeds geen sluitende garantie op veiligheid geeft want als iemand jou (buiten beeld) dwingt in te loggen ben je wel herkend en erkend maar had te eigenlijk niet naar binnen mogen kunnen omdat het geen vrije jandeling betrof maar een handeling om onbevoegden toegang te geven.

eHerkenning is misleidend , of net zo accuraat als dat je zegt iemand aan de kleur van zijn auto te herkennen, rood, blauw of wit.

EHMarketing won het weer eens omdat het natuurlijk wel met succes verkocht moet worden.
Dames en heren, als Security-officer moet ik regelmatig in de pen klimmen om duidelijk te maken dat 100% beveiliging niet bestaat. Je kunt het kwaadwillenden wel moeilijk maken, maar niet onmogelijk. Dat is ook wel logisch, aangezien de schrijver van de bovenstaande stuk zelf ook wel toegeeft geen beter plan te hebben.
28-11-2018, 15:09 door Anoniem
Door Anoniem: Misleidende Term : juiste term E-Erkenning

Jouw identiteit wordt erkend op bais van een afgesproken te verkrijgen code in de vorm van "via wachtwoord en gebruikersnaam, al dan niet aangevuld met sms-code, via een app gegenereerde code of een One Time Password (OTP) dat via een token is gegenereerd. Op het hoogste betrouwbaarheidsniveau wordt er ingelogd via een PKIoverheid persoonscertificaat".

Echte herkenning kan alleen op basis van fysieke eigenschappen die aan jouw unieke persoonlijkheid toebehoren.
Vingerafdruk, irispatroon, gezichtskenmerken etc etc.
Wat overigens nog steeds geen sluitende garantie op veiligheid geeft want als iemand jou (buiten beeld) dwingt in te loggen ben je wel herkend en erkend maar had te eigenlijk niet naar binnen mogen kunnen omdat het geen vrije jandeling betrof maar een handeling om onbevoegden toegang te geven.

eHerkenning is misleidend , of net zo accuraat als dat je zegt iemand aan de kleur van zijn auto te herkennen, rood, blauw of wit.

EHMarketing won het weer eens omdat het natuurlijk wel met succes verkocht moet worden.

Misschien moet je je even verdiepen in de verschillende niveau's van E-Herkenning, waarom die er zijn en wat je moet doen om niveau 4 te krijgen (waar in het artikel overigens geen sprake van is).... Ik snap werkelijk niet wat jouw opmerking met het artikel te maken heeft. Het al of niet gedwongen worden om ergens in te loggen is geen e-herkenning probleem.
28-11-2018, 16:04 door Anoniem
Het argument de beveiliging was niet op orde,
dus als oplossing kiezen we voor een verbeterde beveiligings-technologie,
waar we in de toekomst graag panopticum modules aan kunnen koppelen zoals:

Jouw unieke persoonlijkheid toebehoren.
Vingerafdruk, iris-patroon, gezichts-kenmerken.
29-11-2018, 07:53 door spatieman
he kijk, handig !
via de locatie optie kunnen we zien waar de client is !
oh, meneer heeft de ziekenkaart, maar is wel op vakantie in spanje...
29-11-2018, 10:34 door Tha Cleaner
Door Anoniem: Het argument de beveiliging was niet op orde,
dus als oplossing kiezen we voor een verbeterde beveiligings-technologie,
waar we in de toekomst graag panopticum modules aan kunnen koppelen zoals:

Jouw unieke persoonlijkheid toebehoren.
Vingerafdruk, iris-patroon, gezichts-kenmerken.
Tja... Gestopt met lezen toen ik panopticum las. Weet je zeker dat je hoedje niet te strak zit? Dit is namelijk een veel voorkomend probleem.

Door spatieman: he kijk, handig !
via de locatie optie kunnen we zien waar de client is !
oh, meneer heeft de ziekenkaart, maar is wel op vakantie in spanje...
Volgens mij gaat het hier om de werkgever en niet de client. Immers het is het werkgeversportaal portaal. Daarnaast.....Als je inlogt ziet het UWV toch al de locatie? Immers je komt op de website... Nog afgezien als je dit met je telefoon doet, je vaak een NL IP adres hebt vanuit roaming.
04-12-2018, 13:47 door Anoniem
Zucht. Zoals gewoonlijk ook weer optie (al is het voor de lagere beveiligingsniveau's) om in te loggen zonder SMS code, one time password, of andere vorm van multi factor authenticatie.

Waarom gebruikt de overheid voor dit soort zaken niet *altijd* 2-factor authenticatie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.