KPN stopt op 1 augustus 2021 met de verkoop van eHerkenningsmiddelen op betrouwbaarheidsniveau 2 (EH2). Vanaf die datum biedt de securityleverancier alleen nog maar eHerkenningsmiddelen aan die voorzien in multifactorauthenticatie (MFA).
KPN zet hiermee een belangrijke stap in de strijd tegen identiteitsfraude. Hoewel KPN stopt met de verkoop van middelen op niveau EH2 worden nog wel machtigingen op niveau 2 ondersteund.
Met eHerkenning kunnen ondernemers bij ruim 450 organisaties inloggen en online hun zaken regelen. Het is de digitale sleutel waarmee ondernemers toegang krijgen tot de online dienstverlening van met name de overheid. Ze kunnen er bijvoorbeeld vergunningen, subsidies of verzekeringen mee aanvragen.
Hoe die ‘sleutel’ eruitziet, is afhankelijk van het betrouwbaarheidsniveau waarop de dienst is ontsloten. Tot voor kort was EH1 het laagste niveau. Op dit niveau kon de ondernemer inloggen met alleen een gebruikersnaam en wachtwoord. Op het hoogste niveau (EH4) is ook nog een certificaat nodig dat wordt uitgereikt na een fysieke controle van de identiteit van de aanvrager. Hoe hoger het betrouwbaarheidsniveau, hoe meer zekerheid de dienstverlener krijgt over de online identiteit van de gebruiker.
EH2 volstaat niet meer
Eerder namen onder andere de erkende leveranciers van eHerkenning – waaronder KPN – en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties al het besluit om te stoppen met EH1. De aanvraagprocedure en het inloggen met alleen een gebruikersnaam en wachtwoord boden onvoldoende zekerheid over de identiteit van de gebruiker. Identiteitsfraude lag daardoor op de loer.
Vanwege de veiligheidsrisico’s stopt KPN met ingang van 1 augustus 2021 eveneens met de verkoop van EH2. Ook op dit niveau vindt geen fysieke controle plaats van de identiteit van de gebruiker, en logt de ondernemer in met enkel een gebruikersnaam en een (sterk) wachtwoord.
MFA wordt de standaard
Door alleen nog middelen aan te bieden voor EH2+, EH3 en EH4 maakt KPN van MFA de standaard. Vanaf niveau EH2+ moeten ondernemers inloggen met iets wat ze weten (een wachtwoord) en iets wat ze hebben, zoals een sms-code of een digitaal certificaat. Daardoor wordt het een stuk lastiger om fraude te plegen. Een crimineel moet dan bijvoorbeeld ook de sms-code in handen zien te krijgen.
Vanaf niveau EH3 wordt de identiteit van de aanvrager bovendien gecontroleerd aan de hand van een origineel identiteitsbewijs. Hierdoor is er meer zekerheid over de identiteit van een persoon die online inlogt.
EH2-middelen blijven bruikbaar
Klanten die na 1 augustus een nieuw eHerkenningsmiddel bij KPN afnemen, beschikken automatisch over de mogelijkheid om in te loggen met behulp van MFA. Voor klanten van KPN die al een EH2-middel hebben, verandert er niets. Zij kunnen hier gebruik van blijven maken. Het advies is wel om over te stappen op een hoger niveau, bij voorkeur EH3.
Na de genoemde datum blijft het ook mogelijk om met een 2+-middel of hoger in te loggen bij een online dienst met EH2 als betrouwbaarheidsniveau. Dit ligt anders voor EH1: voor dit niveau is het doek definitief gevallen. EH1-middelen zijn niet meer bruikbaar.
