Veilig inloggen bij de overheid: wat je moet weten over EH3
Digitaal zaken doen met de overheid is inmiddels de standaard. Tegelijk wil je niet dat gevoelige gegevens op straat belanden of dat iemand namens jouw organisatie onterecht acties uitvoert. Denk aan een logistiek bedrijf dat douanedocumenten indient of een HR-afdeling die loongegevens aanlevert. Als de inlog niet stevig genoeg is, is de schade al snel groter dan de tijdswinst die online werken oplevert. Een geschikt betrouwbaarheidsniveau kiezen is daarom geen formaliteit, maar een randvoorwaarde voor bedrijfszekerheid.
EH3 is voor veel organisaties het praktische antwoord. Het combineert een grondige identiteitscontrole met sterke tweefactorauthenticatie. Daardoor sluit het aan op processen waar integriteit en aansprakelijkheid zwaar wegen, zoals bij UWV, Belastingdienst, NVWA en douane portalen. Wie het goed regelt, merkt vooral rust: medewerkers loggen veilig in, autorisaties zijn helder en audits zijn sneller af te handelen.
EH3 uitgelegd in gewone taal
EH3 draait om twee dingen: zeker weten wie inlogt, en zeker weten dat die persoon bevoegd is namens de juiste organisatie. Bij de uitgifte vindt een identiteitscontrole plaats aan de hand van een geldig identiteitsdocument, gecombineerd met verificaties die de link leggen naar de organisatie. Tijdens het gebruik log je in met iets wat je weet en iets wat je hebt, bijvoorbeeld een wachtwoord en een app of token. Dat maakt meekijken of misbruik veel lastiger.
Het verschil met lichtere niveaus zit in de strengere uitgifte en de sterkere login. Voor organisaties betekent dit minder risico’s bij handelingen die juridische of financiële gevolgen kunnen hebben. Wil je je verder verdiepen in de kenmerken en eisen van eHerkenning niveau 3, dan is het verstandig om ook te kijken welke diensten jij precies gebruikt en welke eisen zij stellen.
Wanneer heb je EH3 nodig?
In de praktijk vragen veel dienstverleners om EH3 zodra gegevens gevoelig zijn of er formele handelingen plaatsvinden. Voorbeelden die vaak terugkomen zijn loonaangiftes en ziekmeldingen bij UWV, douaneaangiftes, NVWA-meldingen en bepaalde portalen van de Belastingdienst. Ook subsidieregelingen en uitwisselingen met gemeenten zetten geregeld in op dit niveau, omdat zij zekerheid willen over wie ondertekend of indient.
Werk je als intermediair of dienstverlener voor meerdere KvK-nummers, dan is een goede machtigingen structuur onmisbaar. In dat geval is het raadzaam om niet alleen naar het niveau te kijken, maar ook naar ketenmachtigingen en het beheer ervan. Zo voorkom je dat medewerkers onnodig brede rechten krijgen of dat een vertrek van een collega de toegang blokkeert.
Stappenplan: zo maak je je klaar
Bepaal wie beheert en wie gebruikt
Kies één of enkele beheerders die autorisaties toekennen en periodiek controleren. Leg vast wie daadwerkelijk inlogt op welke diensten. Kleine organisaties houden het overzicht vaak met één beheerder, grotere organisaties kiezen voor een centrale regie met lokale accorderen.
Breng je organisatiegegevens op orde
Controleer KvK-gegevens, functionele e-mailadressen en telefoonnummers. Zorg dat identiteitsdocumenten van gebruikers geldig zijn. Dit bespaart vertraging als je het middel aanvraagt of wanneer een controle plaatsvindt tijdens vernieuwing.
Richt machtigingen op taakniveau in
Geef alleen toegang tot de diensten die iemand nodig heeft. Splits indien mogelijk taken zoals indienen en accorderen. Zo beperk je risico’s en voldoe je vaak automatisch beter aan interne controles en audits vereisten.
Plan het aanvraagmoment en test
Houd rekening met doorlooptijd, zeker als je een piek periode nadert zoals fiscale deadlines. Na het aanvragen van eHerkenning is het verstandig direct een test in te plannen op de belangrijkste portalen. Laat meerdere gebruikers inloggen en controleer of machtigingen kloppen.
Borg beheer en vernieuwing
Leg een duidelijke procedure vast voor nieuwe medewerkers, functiewijzigingen en uitdiensttreding. Noteer vervaldata en plan herinneringen voor verlenging. Neem het beheer op in je periodieke securitycheck naast wachtwoordbeleid, rechtenbeheer en leveranciersbeoordelingen.
Veelgemaakte fouten en hoe je ze voorkomt
Een klassieker is het koppelen van een middel aan een privé e-mailadres of telefoonnummer. Dat lijkt handig bij de start, maar wordt gedoe bij een functiewissel. Gebruik functionele adressen en zakelijke nummers waar mogelijk. Een andere fout is het aanvragen op het verkeerde KvK-nummer, bijvoorbeeld bij een holding met meerdere werkmaatschappijen. Neem de tijd om de structuur te controleren en te bepalen waar de bevoegdheid echt hoort.
Ook zien we dat machtigingen te ruim worden ingesteld waardoor medewerkers meer kunnen dan nodig is. Werk met rollen of takenpakketten en laat beheer minimaal elk kwartaal toetsen of alles nog klopt. Tot slot wordt verlengen soms te laat opgepakt. Stel reminders in, plan een interne check en wijs een vervanger aan die kan bijspringen als iemand met vakantie is.
Veelgestelde vragen, kort en praktisch
Is EH3 altijd verplicht?
Niet altijd, maar het wordt door veel diensten vereist zodra er gevoelige gegevens of formele handelingen spelen. Controleer per portaal welk niveau nodig is en kies liever één niveau dat breed voldoet dan een mix die lastig te beheren is.
Kunnen externe boekhouders of consultants inloggen namens mijn bedrijf?
Ja, met de juiste machtiging. Richt ketenmachtigingen zorgvuldig in en houd bij wie welke rechten heeft. Leg afspraken vast in je verwerkersovereenkomst en controleer periodiek of de toegang nog nodig is.
Wat als een medewerker uit dienst gaat?
Trek zijn of haar rechten direct in en laat een beheerder controleren of er geen actieve middelen of machtigingen achterblijven. Neem dit op in het off boarding-proces samen met het intrekken van laptops, tokens en applicatietoegang.
Is EH4 dan niet beter?
EH4 is nog strenger en daarom geschikt voor zeer risicovolle processen. Voor de meeste organisaties is EH3 de praktische standaard die veiligheid, beschikbaarheid en beheerbaarheid goed in balans houdt.
Welke voorbereiding scheelt de meeste tijd?
Heldere rolverdeling, actuele KvK-gegevens en een lijst met benodigde diensten. Met die drie pijlers is de aanvraag en inrichting meestal vlot geregeld en voorkom je vertraging op cruciale momenten zoals aangifte periodes of dossier inzendingen.
Wie digitalisering serieus neemt, ziet EH3 niet als hindernis maar als een solide toegangspas. Met een doordachte inrichting werkt je organisatie sneller, veiliger en met minder verrassingen onderweg.
