Verplichte tweefactorauthenticatie bij MijnOverheid en het UWV - Logius Roadshow oktober 2022
- Download in MP4 HD formaat MP4 HD | 953.5 MB
*Muziek speelt*
Titel in beeld: Remote Roadshow oktober 2022
Titel in beeld: Verplichte tweefactorauthenticatie bij MijnOverheid en het UWV
Want wij moeten met elkaar spreken over tweewegauthenticatie.
Een belangrijke term, tweefactorauthenticatie.
Waarin het gaat over de manier waarop we beveiligen.
Het wordt verplicht bij MijnOverheid en bij het UWV.
Althans, daar doen ze het al een tijdje, bij MijnOverheid gaan we eraan beginnen.
Marike van der Bom en Marjolein van Abbe zijn aangesloten.
Marike is Coördinator Digitale Overheid bij UWV.
En Marjolein van Abbe, Clustermanager Business Consultants bij Logius.
Beiden van harte welkom. =-Dank je wel.
Voor het slotstuk van deze Roadshow.
En dat betekent dat ik tegen jullie zeg: Ik wacht nog op een paar mooie vragen.
Maar die komen denk ik vanzelf.
Eerst maar eens kijken waar we staan, Marjolein.
MijnOverheid gaat naar een hoger inlogniveau met tweefactorauthenticatie.
Eerst maar eens even, tweefactorauthenticatie, wat is het?
Misschien goed om eerst even uit te leggen...
MijnOverheid bestaat uit een aantal onderdelen.
Dat bestaat uit de MijnOverheid Berichtenbox, lopende zaken...
en ook persoonlijke gegevens en nu we het er toch even over hebben...
wil ik met persoonlijke gegevens even een momentje pakken.
want we hebben een prijs gewonnen. =-Confetti?
Ja, confetti. Ik voelde hem aankomen. =-Prijs gewonnen?
Ja, het is de Computable Award en die is gisteren uitgereikt.
Dus we zijn allemaal nog een beetje in de gloria.
Dat mag ook. =-Vanuit Het publiek En de jury beoordeeld.
Het zit in je haar. -O, zit het in m'n haar?
Het is vanuit het publiek en een jury beoordeeld...
en uiteindelijk beoordeeld op dat het... -Gebruiksvriendelijkheid, functionaliteit.
Het is gewoon een mooie app en daar zijn we nu voor beloond.
Heel veel collega's hebben er heel hard aan gewerkt.
Dus daar wilde ik toch even eer aan brengen.
Computable is wel het vakblad. =-Gerenommeerd. Zeker.
Daar zijn we heel blij mee. Ja. =-Gefeliciteerd.
Als burger voelt dat prettig, dat datgene wat jullie maken voor mij...
dus zeer goed wordt beoordeeld, zo ervaar ik het ook.
Wel even terug naar die tweefactorauthenticatie.
Wat is dat dan? -Ja, dat is ook goed om even uit te leggen.
Als je op dit moment MijnOverheid, meestal wordt die voor de berichten benaderd...
als je MijnOverheid benadert, kan je met je gebruikersnaam en wachtwoord inloggen.
En dan heb je gewoon toegang tot alles.
Dat is natuurlijk heel handig, maar wat minder veilig.
Theo zit al streng te kijken.
En wat we willen, is natuurlijk zo veilig mogelijk omgaan met die gegevens.
Want in MijnOverheid zitten veel gegevens.
Bijvoorbeeld je BSN-nummer, gegevens over je ouders, adres, alles.
En dan zijn er nog gebruikers die op elk platform hetzelfde wachtwoord gebruiken.
Ja, inderdaad. Dus daar zit echt wel een veiligheidsrisico.
En dat willen we niet meer in de toekomst. Zeker nu we steeds meer aansluiten...
en er meer gegevens via MijnOverheid zichtbaar worden...
willen we dat goed beveiligen en vanaf 5 januari zullen we alle gebruikers vragen...
om gebruik te maken van tweefactor.
En tweefactor kan je op verschillende manieren doen.
Je kunt de app installeren, de DigiD app.
Dat is het makkelijkste. Dat hebben we het liefste.
Als je geen smartphone hebt of je vindt dat niet prettig, dan kan het ook via sms.
En tenslotte kan het ook met een vaste telefoonlijn, middels een gesproken sms.
Dus ik log in online met m'n wachtwoord en gebruikersnaam.
En dan zegt hij: Vraag sms of scan de QR-code met de app...
en dat is dan tweefactor. =-Het is geen QR-code meer.
Als je de app hebt, ga je eigenlijk in één keer door naar het inloggen.
Zeker bij de Berichtenbox gaat dat eigenlijk...
je hebt niet eens door dat je via de DigiD app gaat.
En mocht je dat dus niet hebben, geen smartphone of je mocht dat niet willen...
dan kan je via sms-code of via een gesproken sms alsnog inloggen.
Dus dan kan je altijd bij je berichten en je gegevens.
Dus tweefactor is altijd een dubbele check dat jij het bent.
Ja, eigenlijk is tweefactor, multifactor wordt het ook wel genoemd...
twee punten uit 'Something you have, something you are and something you know'.
Sorry, ik was de derde even vergeten. -Ja, wachtwoord.
En je kunt dan kiezen uit verschillende combinaties.
Goed om de grootte even aan te geven.
We hebben nu 16,8 miljoen gebruikers van DigiD.
En het aantal mensen dat alleen nog gebruik maakt van gebruikersnaam en wachtwoord...
dat is nog maar 400.000, dus dat is relatief weinig, 2,5 procent.
Maar die 400.000, daar willen we wel vanaf. =-Precies.
Ja, die willen we wel ook veiliger hebben. =-een beetje helpen.
Die willen we helpen, precies. UWV heeft dat een aantal jaar geleden al gedaan.
Waarom was dat voor jullie toen zo urgent?
Wij hebben op een gegeven moment de aanwijzing gekregen...
dat we het bedrijvendomein beter moesten gaan beveiligen.
We moesten voor eHerkenning omhoog.
Maar voor onze dienstverlening was het ook van belang om voor DigiD omhoog te gaan.
Wij verwerken best wel gevoelige informatie voor onze klanten.
En wij hebben toen besloten om tegelijkertijd eHerkenning...
en DigiD op een hoger niveau te gaan doen.
En het grote verschil met nu is dat er toen nog 3,5 miljoen mensen ongeveer waren...
die alleen een gebruikersnaam en wachtwoord hadden.
Dus wat dat betreft zijn we nu gelukkig al een heel stuk verder.
Toen wij gingen, zijn er ook anderen gegaan.
Maar ook met de corona-app vorig jaar zijn er al een heleboel mensen overgegaan.
Maar dat was destijds best nog wel een uitdaging om dat voor elkaar te krijgen.
Maar dat is gelukt. Deel de lessen daaruit.
Is het voor Logius nog veel werk om die overstap te organiseren?
Want je zei 400.000, maar wat is er dan nu nodig?
Nou, het is veel kleinere groep.
Voor MijnOverheid is het maar een groep van ongeveer 45.000...
die regelmatig op MijnOverheid met alleen gebruikersnaam en wachtwoord inloggen.
Alle overige gebruikers en dat zijn er meer dan 9,5 miljoen van MijnOverheid...
die loggen dus al in met tweefactor of hoger.
Dus die groep is wat kleiner. Dat was het eerste werk...
om even in kaart te brengen, hoe groot is de groep die we hier bedienen?
En het is heel belangrijk dat je een goede communicatie hebt.
Dus je ziet al een aantal maanden, vanaf de zomer, als je inlogt op MijnOverheid:
Let op. Vanaf 5 januari moet je tweefactor of hoger hebben om in te loggen.
Dus dat communicatiegedeelte vinden we heel belangrijk.
Want je wilt natuurlijk niet dat er ongelukken gebeuren, figuurlijk gezien.
Ja, want het probleem met MijnOverheid is, zodra we dat naar tweefactor brengen...
als je dat niet hebt, kan je niet meer bij je berichten.
Dus dan kun je belangrijke berichten missen en dat willen natuurlijk tegengaan.
Dus wat we doen, is aan de ene kant het nu al heel lang communiceren via onze website.
En de andere kant zijn we ook bezig met het creëren van een fysieke brief.
Dat klinkt eenvoudig, maar dat is heel lastig.
Vanwege natuurlijk de AVG en technische beperkingen die we daar hebben.
Maar die brief komt er zeer waarschijnlijk en daarin staat niet alleen...
de aankondiging dat MijnOverheid overgaat per 5 januari...
maar ook staat erbij dat de Belastingdienst al over is en andere organisaties...
die ofwel net over zijn, Belastingdienst was 1 oktober...
of binnenkort overgaan dus daarin wordt ook verteld wat we doen...
en hoe je je als burger voor moet bereiden en wat er allemaal klaarligt voor hen om...
de overstap zo makkelijk mogelijk te maken. =-dat is een belangrijke brief.
Er komt net een vraag binnen, Marjolein. Die leg ik je graag voor:
Niet iedereen is digitaalvaardig. Is daar ook aandacht voor?
Pas was er een item in het nieuws van laaggeletterden.
Klopt, hè? Wordt altijd weer gezegd, dat zijn er 2,5 miljoen in Nederland.
De termen die allemaal voorbij vliegen, Theo, maken het er niet makkelijker op.
Dit is wel heel erg een business2business Logius voor vakmensen webinar.
Misschien moeten we dat niet als standaard nemen, maar ik begrijp uw gevoel.
Maar ze zegt ook: Let op de termen die je gaat gebruiken in zo'n brief.
Ja, heel goed. Dat is inderdaad iets waar we heel erg mee bezig zijn.
Zo verdienen we ook 'n Computable Award, denk ik.
Omdat we steeds bij de burger checken: Is dit duidelijk?
Wat we specifiek voor deze brief gedaan hebben...
we hebben al een paar concepten gehad.
We zijn naar bijvoorbeeld, naast allerlei andere testen...
naar de kringloopwinkel gegaan in Amersfoort...
om te vragen aan mensen die geen smartphone en geen computer hebben:
Snap je wat hier staat? En zo toetsen we dat dus heel goed bij de doelgroep.
En we hebben natuurlijk contact met de bibliotheken...
die de IDO's hebben ingericht, Informatiepunt Digitale Overheid.
Die worden ook voorbereid. En we hebben een callcenter, je kan gewoon bellen.
Ook die mensen zijn allemaal goed voorbereid.
En de brief wordt verzonden in tranches, zodat je niet uren in de wacht staat.
Jullie hadden toen 3,5 miljoen mensen om rekening mee te houden.
Wat hebben jullie gedaan bij het UWV om deze communicatie te stromen?
We zijn ongeveer een half jaar van tevoren begonnen met communiceren.
Dat hebben we direct en indirect gedaan.
Wat we direct gedaan hebben, is dat we op onze eigen portalen...
natuurlijk de informatie neergezet hebben dus uwv.nl en werk.nl.
Verder hebben we aan directe communicatie gedaan dat we de WW-gerechtigden bij ons...
een brief gestuurd hebben met deze informatie.
Dat was de grote groep die toen digitaal moest communiceren met UWV.
En wat we indirect gedaan hebben, is dat we bijvoorbeeld patiëntenorganisaties...
of patiëntenfederaties betrokken hebben...
en die hebben ook in hun eigen nieuwsbrieven en op hun eigen websites...
mensen geïnformeerd, zodat we ook klanten van ons...
die wat minder vaak met ons contact hebben...
zoals mensen die langdurig in de WIA zitten, bijvoorbeeld...
toch via die andere kanalen konden bereiken.
Dus we hebben geprobeerd zo divers mogelijk verschillende mensen...
op verschillende manieren te bereiken.
Is het jullie intentie om bepaalde organisaties mee te nemen en te gebruiken?
Ja, zeker. We nemen sowieso de afnemers die ook naar tweefactor gaan mee in die brief.
En onze partners als bibliotheken, IDO's, maar ook alle andere cursussen...
die daaromheen bestaan voor het gebruik van digitale overheid, die informeren we.
En we gebruiken het hele netwerk om dit zo goed mogelijk te faciliteren.
Anja van het Hoogheemraadschap Hollands Noorderkwartier...
waterschap in Noord-Holland, vraagt:
komt er nog een publiekscampagne voor de tweetrapsinlog?
Nee, publiekscampagne niet, want het gaat om 40.000 mensen.
Ja, het is below the line, zoals dat in marketing heet, brieven, organisatie...
Zo gericht mogelijk, dus we benaderen de groep die het nodig heeft.
En als iemand die deadline mist van 5 januari? Kan niet meer inloggen.
Dan gaan we ons inspannen om de vinkjes, de gebruikers van MijnOverheid kennen dat...
je geeft een vinkje bij een organisatie als je er digitale post van wil ontvangen.
En voor die groep gaan we onderzoeken of we die vinkjes uit kunnen zetten...
om verwarring te voorkomen dat er een brief is afgeleverd in de Berichtenbox...
maar dat ze die niet kunnen zien. Dat willen we natuurlijk voorkomen.
En ook daar heb je weer op stapel... =-Dus ze moeten die brief fysiek krijgen.
Ja, zo werkt het sowieso.
Zet je het vinkje uit, krijg je een fysieke brief van de verzendende organisatie.
Dus daar zorgen jullie voor, dat er geen communicatie niet plaatsvindt...
omdat die mensen niet aanhaken.
Een andere uitdaging waar je tegenaan loopt bij die tweefactor is het machtigen.
Eerst even naar UWV, daar hadden jullie ook een uitdaging mee toen.
Toen wij overgingen, ik geloof nu 3,5 jaar geleden...
toen waren er nog wat meer problemen mee dan er nu zijn.
Toen waren bijvoorbeeld Nederlanders in het buitenland een uitdaging.
Mensen moesten in het buitenland naar kantoor komen om een DigiD te regelen.
Tegenwoordig gaat dat geloof ik via videobellen, ik kijk jullie even aan.
Je hoeft niet naar de ambassade.
Mensen moesten dus vaak uren reizen om überhaupt aan een DigiD te kunnen komen.
Dat hoeft niet meer. In die tijd konden ook gedetineerden...
mensen die in de gevangenis zitten, geen gebruik maken van tweefactorauthenticatie.
Omdat die geen mobiele telefoon mochten hebben. Daar zijn nu oplossingen voor.
Dus veel uitdagingen die we toen hadden, zijn inmiddels behoorlijk getackeld.
Er is nog één restgroep waar we echt nog wel een uitdaging hebben...
en dat zijn de bewindvoerders.
Dus de professionals die de zaken behartigen voor cliënten.
En daar is nog geen oplossing voor, dus die gaan nog op papier.
En dat is iets waar we hopen in de nabije toekomst, samen met Logius...
toch ook oplossingen voor te gaan vinden.
Maar er is in de tussentijd al veel gebeurd om dit soort probleem op te lossen.
Want jullie hebben ook mensen die iemand anders zouden willen machtigen...
om hun MijnOverheid box, je demente moeder, bijvoorbeeld...
Zitten die oplossingen er al wel in? Dat dat met tweefactor kan?
Terwijl je niet de systemen van moeder kan gebruiken?
Het machtigen gebeurt via degene die de brieven verzendt.
Dus de afnemers noemen we dat, UWV heeft dat zo georganiseerd.
Belastingdienst heeft dat zo georganiseerd. Wat we nu nog verwachten aan te treffen...
is dat voor de MijnOverheid Berichtenbox mensen informeel geautoriseerd zijn.
Dus ze hebben gewoon hun wachtwoord en gebruikersnaam afgegeven aan de buurman.
En dat komt wel bovendrijven als we overgaan op tweefactor...
want dan werkt dat niet meer, dus die groep...
we verwachten daar nog wel wat verrassingen voor mensen naar boven komen...
die zich daar niet zo scherp van bewust zijn.
Maar dat machtigen is in place en dat kan gebruikt worden om dat op te lossen.
Volgens mij, ik hoorde het je net indirect doen, daag je Logius altijd een beetje uit.
Is er nog een laatste tip, tot slot van deze Roadshow?
Nou ja, wat heel fijn is voor ons...
is dat de tweefactorauthenticatie steeds meer wordt.
Want er komt een nieuwe wetgeving aan, de wet digitale overheid.
En die wet gaat ons straks verplichten om voor bepaalde dienstverlening...
een nog hoger niveau te gaan nastreven dan machtigen.
Ik moet altijd heel hard nadenken over hoe die ook alweer heet.
Dat heet substantieel, had ik hier in m'n aantekeningen opgeschreven.
Voor een deel van onze dienstverlening zullen we daartoe over moeten...
als we aan de wet digitale overheid moeten gaan voldoen.
En de stap voor de burger om die stap weer te gaan maken, is veel kleiner...
als ze al op tweefactorauthenticatie over zijn.
Dus wij zijn heel blij dat steeds meer organisaties die tweefactor doet.
Zodat de groep die dat nog niet heeft steeds kleiner wordt.
En die stap straks ook makkelijker genomen zal kunnen gaan worden.
Dus wat dat betreft zijn we heel blij met deze ontwikkeling.
Ja, Marjolein, een goede ontwikkeling dus. -Ja, wij zijn er blij mee.
Fijn ook, die prijs. Het gevoel dat je op de goede weg bent, zullen we maar zeggen.
Hopelijk win je volgend jaar weer een Computable Award.
Want dan heb je het goed gedaan.
Daar komt het eigenlijk op neer. Belangrijkste boodschap van deze dag?
Ik wil eigenlijk doorgaan op het laatste onderwerp.
Ik denk dat tweefactorauthenticatie echt, dat doen we niet voor ons...
dat doen we niet om iedereen te pesten, maar dat doen we echt...
om de gegevens van iedereen goed te beschermen.
En eigenlijk is mijn oproep om, zoals we zelf hebben gedaan met MijnOverheid...
dat andere afnemers die dit ook nog hebben ook naar dat niveau gaan.
Want het is echt een stuk veiliger. Het toegankelijkheidsvraagstuk is belangrijk...
maar ik kan ook iedereen geruststellen, ook mijn moeder...
is nu over op een sms naar de vaste telefoon...
waarvan ik dacht: Dit gaat nooit begrepen worden.
Het wordt echt begrepen. =-een sms naar een vaste telefoon.
Het werkt. =-interessante zin.
Maar het werkt. Het wordt voorgelezen en dan kan je gewoon inloggen.
Theo van Diepen, Marieke van der Bom, Marjolein van Abbe, dank je wel.
Fijn dat jullie bij mij aan tafel zaten.
Dat was hem alweer, de Logius Remote Roadshow.
En de boodschap is: Investeer in veiligheid...
en ga in ieder geval naar tweefactor als je daar nog niet was.
Als afnemer van welke dienst van Logius dan ook.
Ik ben Maarten Bouwhuis, het was me een groot genoegen om deze Roadshow te leiden.
Dank voor het kijken, dank voor het volgen. Kijk het terug, geef 't door aan collega's.
Bedankt voor al het chatten en heel veel succes met de implementaties. Dag.