Assurance level

Een assurance level (betrouwbaarheidsniveau) geeft aan hoeveel vertrouwen je kunt hebben in de geclaimde digitale identiteit van een persoon. Het bepaalt hoe zeker een dienstverlener kan zijn dat degene die zich aanmeldt ook daadwerkelijk die persoon is, en niet iemand anders. Hoe hoger het assurance level, hoe strenger de eisen aan identiteitsverificatie en authenticatie.

Het concept is vastgelegd in de Europese eIDAS-verordening, die drie niveaus definieert: laag, substantieel en hoog. Deze niveaus vormen de basis voor digitale identificatie binnen de Europese Unie en bepalen welke authenticatiemiddelen geschikt zijn voor welke diensten. Voor Nederlandse organisaties is dit relevant omdat overheids- en financiele diensten specifieke assurance levels vereisen voor toegang.

Waarom is een assurance level belangrijk?

Niet elke digitale interactie vereist hetzelfde niveau van zekerheid over iemands identiteit. Voor het lezen van openbare informatie op een website volstaat een laag betrouwbaarheidsniveau. Voor het ondertekenen van een contract of het inzien van medische gegevens is maximale zekerheid vereist. Assurance levels bieden een gestandaardiseerd kader om deze afweging te maken.

Voor organisaties die onder NIS2 of de AVG vallen, zijn assurance levels direct relevant. De keuze voor het juiste niveau bepaalt of je voldoende bescherming biedt voor gevoelige gegevens en processen. Een te laag assurance level bij toegang tot persoonsgegevens kan leiden tot datalekken en boetes. Een onnodig hoog niveau creëert drempels die gebruikers frustreren en kan leiden tot lagere adoptie van digitale diensten. De balans tussen beveiliging en gebruiksvriendelijkheid is een van de kernuitdagingen bij het implementeren van assurance levels. Organisaties die dit goed doen, bieden dynamische authenticatie aan: het vereiste niveau wordt automatisch opgeschaald op basis van het risico van de specifieke handeling die de gebruiker wil uitvoeren, in plaats van een uniform niveau voor alle interacties.

Met de komst van de European Digital Identity Wallet (EUDI Wallet) in 2026 worden assurance levels nog belangrijker. Elke EU-lidstaat moet een digitale identiteitsportemonnee aanbieden die voldoet aan het niveau "hoog". Organisaties die digitale diensten aanbieden, moeten bepalen welk assurance level zij vereisen voor toegang tot hun diensten.

Hoe pas je assurance levels toe?

De eIDAS-verordening definieert drie niveaus die elk hun eigen eisen stellen aan het registratieproces, het authenticatiemiddel en het beheer ervan:

Niveau laag biedt beperkt vertrouwen in de geclaimde identiteit. Een gebruikersnaam met wachtwoord volstaat. Dit niveau is geschikt voor laagrisico-toepassingen zoals het aanmaken van een account op een informatiewebsite. De identiteitsverificatie bij registratie is minimaal.

Niveau substantieel biedt verhoogd vertrouwen. Het vereist sterkere verificatie bij registratie, zoals controle van een identiteitsbewijs, en multi-factor authenticatie (MFA) bij het inloggen. Dit niveau is geschikt voor overheidsdiensten met een gemiddeld risico, zoals het indienen van een belastingaangifte of het aanvragen van een vergunning.

Niveau hoog biedt het maximale vertrouwen. Het vereist fysieke identiteitsverificatie bij registratie en het gebruik van hardware-tokens, smartcards of biometrische verificatie. Dit niveau is verplicht voor diensten met een hoog risico, zoals het ondertekenen van juridische documenten, toegang tot medische dossiers of financiele transacties boven bepaalde drempels.

Bij het bepalen van het juiste assurance level voor jouw dienst maak je een risicoanalyse. Beoordeel de gevoeligheid van de gegevens, de potentiele impact van identiteitsfraude en de wettelijke vereisten die gelden voor jouw sector en dienstverlening.

In de praktijk is het belangrijk om te beseffen dat assurance levels niet alleen betrekking hebben op het inlogmoment. Het volledige traject van registratie tot en met het beheer van het authenticatiemiddel valt onder het assurance level. Dit betekent dat ook processen zoals het herstellen van een verloren wachtwoord of het vervangen van een hardware-token moeten voldoen aan het vereiste niveau. Een hoog assurance level bij de registratie verliest zijn waarde als het wachtwoordherstelproces via een onbeveiligd e-mailkanaal verloopt.

Assurance levels in de praktijk

Een herkenbaar voorbeeld is DigiD in Nederland. DigiD biedt meerdere assurance levels: DigiD Basis (gebruikersnaam en wachtwoord) voor eenvoudige zaken, DigiD Midden (met sms-verificatie) voor overheidsdiensten en DigiD Hoog (met de DigiD-app en identiteitsbewijs) voor gevoelige toepassingen. Elke overheidsinstantie bepaalt welk niveau vereist is voor toegang tot haar diensten. In 2025 heeft DigiD de app-variant met NFC-uitlezing van het identiteitsbewijs geintroduceerd, waarmee het niveau "hoog" bereikbaar is geworden voor alle burgers met een smartphone en een geldig identiteitsbewijs. Dit verlaagt de drempel voor hoog-assurance toepassingen aanzienlijk ten opzichte van eerdere oplossingen die een apart token vereisten.

Een ander voorbeeld is de financiele sector. Voor het openen van een bankrekening is een hoog assurance level vereist met fysieke identiteitsverificatie (Know Your Customer). Voor het inloggen op internetbankieren wordt substantieel niveau toegepast met MFA via een token of app. Voor het raadplegen van openbare producteninformatie volstaat geen authenticatie.

Met de invoering van de eIDAS 2.0-verordening en de EUDI Wallet krijgen assurance levels een bredere toepassing. Organisaties in alle sectoren, van gezondheidszorg tot e-commerce, moeten bepalen welk niveau zij vereisen en hun systemen daarop inrichten. De keuze heeft directe impact op de gebruikerservaring, beveiligingskosten en compliance-status. Voor dienstverleners in sectoren zoals de gezondheidszorg en het notariaat, waar de identiteit van de tegenpartij juridische gevolgen heeft, biedt de EUDI Wallet een gestandaardiseerde manier om hoog-assurance verificatie uit te voeren zonder zelf complexe verificatieprocessen te hoeven inrichten.

Veelgestelde vragen over assurance levels

Wat is het verschil tussen assurance level en authenticatie?

Authenticatie is het technische proces waarmee je iemands identiteit verifieert. Een assurance level is het betrouwbaarheidsniveau dat uit dat proces volgt. Eenzelfde authenticatiemethode (bijvoorbeeld een wachtwoord) levert een lager assurance level op dan een combinatie van wachtwoord, biometrie en een hardware-token.

Welk assurance level moet mijn organisatie hanteren?

Dat hangt af van de gevoeligheid van de gegevens en diensten die je aanbiedt. Maak een risicoanalyse: hoe groter de impact van identiteitsfraude, hoe hoger het vereiste niveau. Voor toegang tot persoonsgegevens of financiele transacties is minimaal substantieel vereist.

Is DigiD een voorbeeld van assurance levels?

Ja, DigiD biedt drie niveaus: Basis (laag), Midden (substantieel) en Hoog (hoog). Elke overheidsinstantie bepaalt welk DigiD-niveau vereist is. De Belastingdienst accepteert DigiD Midden, terwijl voor het ophalen van een medisch dossier via bijvoorbeeld MijnGezondheid.net DigiD Hoog nodig kan zijn om de privacy van patienten adequaat te waarborgen.

Veranderen assurance levels met eIDAS 2.0?

De drie niveaus (laag, substantieel, hoog) blijven bestaan, maar eIDAS 2.0 introduceert de EUDI Wallet die standaard op niveau hoog opereert. Dit verhoogt de basislijn voor digitale identificatie in de EU en maakt grensoverschrijdende authenticatie eenvoudiger.

Wat kost het om een hoger assurance level te implementeren?

De kosten stijgen met elk niveau. Niveau laag vereist alleen een gebruikersdatabase. Niveau substantieel vraagt MFA-integratie (duizenden euro's per jaar). Niveau hoog vereist hardware-tokens of biometrische verificatie en fysieke identiteitscontrole, wat tienduizenden euro's kan kosten afhankelijk van het aantal gebruikers.

Meer weten over identiteitsbeheer? Bekijk Identiteitsbeheer op IBgidsNL.