13 november 2018
Polisbladen, rekeningen en overeenkomsten komen niet meer per post, maar staan steeds vaker klaar in een persoonlijke online omgeving. Mijn-omgevingen is een voorbeeld van zo een online omgeving. In deze omgeving kunnen klanten hun eigen gegevens beheren en inzien. Maar waar moeten organisaties op letten bij het ‘onboarden’ van nieuwe klanten? En hoe laten ze klanten inloggen? Kick Willemse, oprichter van Evidos, geeft inzicht in 5 aandachtspunten voor het inloggen en Mijn-omgevingen om rekening mee te houden.
‘Mijn-omgevingen’ worden steeds strategischer. Deze persoonlijke accounts versterken de klantenbinding en dragen bij aan het imago van een merk. Aanvullende producten of diensten zijn eenvoudiger te verkopen aan klanten die een eigen inlog hebben op je site, of wellicht wil je juist dat klanten je account herbruikt op andere websites voor een betere klantbinding. Dit is bijvoorbeeld ook de gedachte achter ‘Subscribe with Google’. Gebruikers met een Google-account kunnen zich met een paar muisklikken abonneren op nieuwssites.
Inmiddels ben ik al 20 jaar betrokken in het vraagstuk “wie is iemand op internet?” Rond het jaar 2000 ontstond steeds meer het idee om login credentials te laten hergebruiken. DigiD bijvoorbeeld binnen de overheidssector, daarnaast raakte ik persoonlijk betrokken bij het internationale OpenID bestuur. Inmiddels zijn we een stuk verder, heeft de technologie zich ontwikkeld en is de bewustwording van betrouwbaar gebruik van credentials enigszins toegenomen. OpenID Connect is een belangrijk technisch protocol geworden om inlog op mobiel, webservices en desktop te faciliteren, maar het overal hergebruiken van inlogs krijgt toch een andere dynamiek.
Door de mogelijkheden van de mobiele telefoon is het steeds eenvoudiger geworden om een twee factor inlog uit te rollen, en gebruikers ervaren ook minder de wachtwoord problematiek omdat de mobiele vingerafdruk eenvoudig hergebruikt kan worden voor inlog op een (authenticatie) app. Strategisch stellen organisaties nog steeds weinig de vraag of ze moeten kiezen voor een eigen inlog, hergebruik van een externe inlog, danwel hun inlog promoten voor gebruik bij andere websites.
Ondanks dat we proberen om de mijn-omgevingen te vervangen door een user centric, “self sovereign” datakluisje is de praktijk nog altijd dat we het hele Internet over reizen om onze transacties en gegevens te beheren. In deze blog wil ik een aantal aandachtspunten meegeven rondom mijn-omgevingen en de verschillen tussen inloggen, onboarden en digitaal ondertekenen.
Accounts zijn het nieuwe goud. Bij het inrichten van persoonlijke omgevingen komt echter veel kijken. Dit zijn enkele belangrijke aandachtspunten:
1. Onboarden
Voordat klanten überhaupt kunnen inloggen, moet je ze eerst ‘onboarden’. Je koppelt een gebruiker aan een online omgeving. Bij de ‘intake’ stel je vast wie je klant is, en eventueel herhaal je dit proces na verloop van tijd.
In bepaalde sectoren zijn strikte eisen verbonden aan dit ‘Know Your Customer’-proces. Zo moeten banken een goed inzicht hebben in de risico’s die de dienstverlening aan een klant met zich meebrengt. Ook moeten ze met een auditeerbaar dossier de klantverificatie kunnen aantonen. Daarom rondt Evidos iedere klantverificatie af met een ‘transactiebon’. Zo heb je een goede bewijskracht naar externen en borg je de “derde werking”, naar bijvoorbeeld Belastingdienst, AFM, DNB. Het spitten in logbestanden is dan niet noodzakelijk. Bij het onboarden gaat het dus niet om het inloggen, maar meeliften op klantcontroles die andere partijen al hebben uitgevoerd. Dit kan iemand zijn rijbewijs, paspoort of iDIN zijn.
2. Tweefactorauthenticatie
Voor het beschermen van gevoelige gegevens is inloggen met alleen een gebruikersnaam en wachtwoord niet meer voldoende. Tweefactorauthenticatie (2FA) is inmiddels de standaard. De gebruiker logt dan in met iets wat hij weet (een wachtwoord) én iets wat hij heeft (zoals een vingerafdruk of een code voor eenmalig gebruik).
Het goede nieuws is dat 2FA steeds eenvoudiger is uit te rollen, bijvoorbeeld door gebruikers een app te laten installeren die eenmalige codes genereert of een QR code laat scannen. Loggen klanten slechts incidenteel in? Dan ligt het gebruik van bijvoorbeeld iDIN of DigiD voor 2FA meer voor de hand. Over deze middelen beschikken klanten vaak al.
3. Continuïteit
Is het cruciaal dat klanten 24/7 bij hun gegevens kunnen? Misschien is het dan verstandig om niet op één inlogmiddel te wedden. De keuze voor bijvoorbeeld enkel en alleen DigiD maakt je ook afhankelijk van de beschikbaarheid van DigiD. Het is niet voor niets dat de Belastingdienst voor aangifte naast DigiD inmiddels ook iDIN als pilot ondersteunt. Anderzijds is de vraag of het zin heeft als de externe inlog nog wel werkt en je eigen dienstverlening niet meer. Met het hergebruik van een externe inlog kan de klantervaring onduidelijker worden, account linking en situaties waarbij de klant van middel wijzigt zijn belangrijke processen om scherp te hebben.
4. Kosten
Inloggen is lang niet altijd gratis, binnenkort zelfs niet met DigiD. Het kabinet heeft eerder bekendgemaakt dat het de kosten voor DigiD gaat doorberekenen aan de instanties die van dit middel gebruikmaken. Het zou gaan om 14 cent per succesvolle inlog. Het is belangrijk om op basis van het verwachte inlogvolume te beoordelen of je nog steeds een positieve businesscase hebt. De conclusie kan zijn dat het voordeliger is om het inlogproces zelf te faciliteren, bijvoorbeeld met behulp van een app.
5. Voorziening voor ondertekenen
Wordt binnen de mijn.omgeving de mogelijkheid geboden voor het ondertekenen van overeenkomsten? Dan wordt de situatie een stuk complexer. Je moet niet alleen zo goed mogelijk vastleggen wie een transactie aangaan, maar de transactie ook in verband brengen met het document waar het om gaat. Vaak zijn er meerdere ondertekenaars en meerdere documenten. Dit hele proces moet voldoen aan de vereisten die eIDAS stelt aan de digitale handtekening. Integratie van een dienst zoals Ondertekenen.nl zorgt ervoor dat hieraan wordt voldaan. Bij ondertekenen is het ook belangrijk dat het getekende contract ook door een externe ontvanger wordt geaccepteerd, het gebruik van externe, wederzijds vertrouwde geverifieerde identiteiten ligt dan voor de hand. Zo kan je ook aantonen dat je zelf geen partij bent geweest in het tot stand komen van de digitale handtekening.
Onboarden, inloggen en ondertekenen
Ondertekenen wordt vaak op één hoop gegooid met inloggen. De Belastingdienst noemde DigiD zelfs ‘je digitale handtekening’. Dat is feitelijk onjuist. Het zijn aparte disciplines, net zoals onboarden een volledig apart proces is. Maar onboarden, inloggen en ondertekenen verdienen wel alle drie de aandacht bij het opzetten van mijn-omgevingen.
Wil je meer weten over deze ontwikkelingen en weten welke mogelijkheden iDIN hierin kunnen verzorgen? Op donderdag 22 november 2018 van 10:00 – 11:00 geeft Kick Willemse een Webinar over het gebruik van iDIN.
Meld je via de volgende link aan: https://zoom.us/meetings
Meer weten?
Neem dan contact met ons op, wij vertellen u graag meer.
