eHerkenning: niet makkelijker, wel veiliger

Bedrijven die willen blijven gebruikmaken van de digitale diensten van de Douane kunnen maar beter zorgen dat ze eHerkenning hebben. En liefst regelen ze dat tijdig…

eHerkenning is een belangrijk middel voor bedrijven om in te loggen op alle elektronische diensten van overheidsorganisaties. Dus ook die van de Douane. “Ben je ondernemer en wil je deze diensten blijven gebruiken? Dan moet je echt zorgen dat je eHerkenning hebt”, zegt douanemedewerker Edwin Platier. “En als je verstandig bent, doe je dat op tijd.”

De Douane werkt al jaren met digitale diensten voor het bedrijfsleven. Maar sommige processen, zoals bezwaar en teruggaaf, verlopen nog steeds vooral op papier. Dat papier gaat binnenkort bijna helemaal verdwijnen. Als alles volgens plan gaat, kunnen ondernemers eind 2022 nog maar op twee manieren berichten en gegevens delen en bekijken: system-to-system en human-to-system. Onder meer de aangiftes richting AGS (straks DMS) en NCTS gaan system-to-system. Human-to-system wordt al aangeboden via de Europese douaneportalen. En bij het ‘oude’ Ondernemersportaal, dat binnenkort wordt vervangen door Mijn Douane*. (Waarover meer elders in deze uitgave, red.).

Om toegang te krijgen tot online diensten van de Douane in human-to-system-portalen moeten gebruikers inloggen op een manier die voldoet aan Europese veiligheidseisen. Voor de bedrijven is hiervoor in Nederland eHerkenning ontwikkeld. Voor particulieren en eenmanszaken is er ook DigiD beschikbaar. Beide geven toegang tot Mijn Douane. Inloggen in Europese douaneportalen kan alleen met eHerkenning. Inloggen met gebruikersnaam en wachtwoord, zoals nu nog gebeurt bij het Ondernemersportaal voor onder meer de accijnsaangifte, kan straks niet meer.

Digitale sleutelbos beperken
“Uiteindelijk gaan bijna 500 overheidsdiensten in Nederland gebruikmaken van eHerkenning”, vertelt douanemedewerker Platier. “Eerder regelden ze de toegang tot hun dienstverleningskanalen allemaal op hun eigen manier. Vaak was dat een combinatie van gebruikersnaam en wachtwoord, zoals bij het Persoonlijk Domein Ondernemers van de Belastingdienst. Europese verordeningen zien deze combinatie als een zwakke manier om de identiteit van gebruikers vast te stellen. Daarbij komt dat we in ons land de ‘digitale sleutelbos’ van burgers en bedrijven zo klein mogelijk proberen te houden. We willen voorkomen dat ze voor elke overheidsorganisatie een ander inlogmiddel nodig hebben. Het ministerie van Binnenlandse Zaken staat aan de lat voor de implementatie van de Europese inlogregels. Onder verantwoordelijkheid van dit departement en eerder van Economische Zaken is eHerkenning ontwikkeld. Als standaard waarmee bedrijven op verschillende betrouwbaarheidsniveaus kunnen inloggen bij overheidsdiensten. Vergelijkbaar dus met DigiD, dat burgers gebruiken voor communicatie met de overheid. Met het verschil dat eHerkenning door zes privébedrijven wordt aangeboden. En dat gebruikers ervoor moeten betalen.”

Bedrijfsleven moet wennen
eHerkenning maakt het administratief niet makkelijker voor bedrijven, zegt Platier. “In de oude situatie vroeg je een username en wachtwoord aan. Medewerkers konden deze makkelijk delen, zodat meerdere personen konden inloggen. Dat gebeurde op grote schaal. Bij eHerkenning is alles strikt persoonsgebonden. Bij het uitgeven van het authenticatiemiddel op hogere betrouwbaarheidsniveaus wordt het ID-bewijs van de gebruiker uitgebreid gecontroleerd, volgens internationale normen. Bedrijven moeten intern regelen wie is geautoriseerd om welke zaken met overheden af te handelen. En dit nauwkeurig vastleggen. Die afspraken komen in het machtingsregister van eHerkenning. Zo is op persoonsniveau duidelijk wie toegang heeft tot welke diensten. Er kunnen trouwens ook machtigingen worden afgegeven aan derden – om namens een bedrijf zaken af te handelen. Denk hierbij aan consultants of douane-expediteurs. Dit alles vastleggen en regelen kost tijd en moeite. Zo ontstaan wat we noemen ‘complexe machtigingsstructuren’, met kaders en strikte voorwaarden. Het bedrijfsleven zal daar aan moeten wennen.”

“Maar al wordt het ingewikkelder voor bedrijven, in praktijk blijkt keer op keer dat een verhoogde toegangsbeveiliging van gegevens echt hard nodig is”, vervolgt Platier. “Informatie veilig uitwisselen is een absolute randvoorwaarde voor het beleid dat Brussel voor ogen staat voor de communicatie tussen publieke en private sectoren: van digitaal mag naar digitaal moet.”

Douane is voorloper
Europese douanewetgeving schrijft voor dat de Douane diensten die eerder helemaal of voor een deel op papier werden aangeboden nu alleen nog elektronisch gaat leveren. Hiervoor zijn onder meer de Europese douaneportalen beschikbaar gesteld. Die zijn er voor het aanvragen van Europese vergunningen en bindende tariefinlichtingen (BTI’s). Inloggen op deze portalen moet volgens de Europese veiligheidseisen. Daarom is de Douane al overgegaan op eHerkenning. De Nederlandse Wet digitale overheid schrijft eHerkenning voor als inlogmiddel voor bedrijven. De precieze invoeringsdatum is nog niet bekend, omdat de wet nog wel door de Eerste Kamer moet. In de tussentijd werken alle overheidsdiensten aan volledig digitale dienstverlening. En wordt eHerkenning gefaseerd uitgerold. Er zijn al veel organisaties die er gebruik van maken, zoals het UWV en nu dus de Douane. En de Belastingdienst, met meer dan 140.000 unieke gebruikers van Mijn Belastingdienst Zakelijk.

Ongemak beperken
Uit onderzoek blijkt dat douaneklanten die al met eHerkenning werken nogal eens moeite hebben met het aanvragen en inregelen van het middel in hun eigen organisatie. Dat komt vooral doordat bedrijven voor douanezaken veel met machtigingen werken. In veel bedrijven hebben meerdere personen verschillende bevoegdheden om namens de onderneming zaken af te handelen met de Douane. Daarbij hebben bedrijven vaak één of meer vertegenwoordigers. Dit zijn derden die in hun naam aangiften doen of vergunningen aanvragen. “Voor die vertegenwoordigende partijen is het lastig dat je bij eHerkenning autorisaties niet informeel kan doorschuiven”, legt Platier uit. “Maar nogmaals: als bedrijven de machtigingen intern goed organiseren, valt het mee hoeveel moeite het kost. En de meeste bedrijven geven aan: als het is geregeld, werkt het ook goed.”

Cross border delegation
Iets anders wat ondernemers bij het gebruik van eHerkenning merken: zogenoemde ‘cross border delegation’ is niet mogelijk. Platier: “Ik had het hiervoor al even over machtigen. Bij eHerkenning zijn alleen machtigingen mogelijk tussen organisaties die zijn ingeschreven in het Nederlandse  Handelsregister. Dus stel: een Duits bedrijf heeft hier geen vestiging of andere vaste inrichting. En dat bedrijf wil een Nederlands bedrijf machtigen om bijvoorbeeld bij de Douane een vergunning of bindende tariefinlichting aan te vragen. Dan kan dat niet. Als organisatie die sterk internationaal is georiënteerd weten we dat dat dit soort nationale beperkingen in de techniek het bedrijfsleven erg kunnen hinderen. We werken daarom hard aan een oplossing voor dit knelpunt.”

* Aangiften en verzoeken om teruggaaf van accijns en verbruiksbelasting lopen vanaf 1 juni dit jaar via Mijn Douane. Andere processen gaan voorlopig nog via het ‘oude’ Ondernemersportaal.

Deel dit bericht