De gemeente Alkmaar stapt over op passkeys voor inloggen door medewerkers. Daarmee is Alkmaar op het moment van schrijven de eerste gemeente in Noord-Holland die wachtwoorden vervangt. De keuze moet phishing beperken en het inloggen eenvoudiger maken. De stap past in bredere beveiligingsplannen bij Nederlandse overheden.
Alkmaar kiest wachtwoordvrij
Alkmaar gaat medewerkers laten inloggen met passkeys, een methode zonder wachtwoord. Een passkey gebruikt biometrie op het apparaat, zoals vingerafdruk of gezichtsherkenning, of een pincode. De techniek werkt ook met een losse beveiligingssleutel, zoals een USB- of NFC-sleutel. Het doel is hogere veiligheid met minder gedoe voor gebruikers.
Passkeys zijn gebaseerd op open standaarden van de FIDO Alliance, zoals FIDO2 en WebAuthn. Grote platforms van Apple, Google en Microsoft ondersteunen deze methode al breed. Daardoor werken passkeys op moderne telefoons en computers en in gangbare browsers. Dit maakt invoering in een gemeentelijke ICT-omgeving haalbaarder.
De gemeente kiest voor passkeys om twee redenen: minder risico op phishing en lagere beheerlast. Medewerkers hoeven geen complexe wachtwoorden meer te onthouden of te resetten. Dat scheelt helpdesktijd en verkleint de kans op zwakke of hergebruikte wachtwoorden. Het kan ook de inlogervaring versnellen, vooral bij veelgebruikte kantoorapplicaties.
Een passkey is een digitale sleutel die op je apparaat staat en inlogt zonder wachtwoord. De sleutel werkt alleen met het juiste domein en is daardoor bestand tegen phishing.
Minder phishing en beheerlast
Phishing is het misleiden van gebruikers om inloggegevens af te staan. Met een passkey wisselt het apparaat een unieke, versleutelde handtekening uit met de dienst. Die handtekening werkt alleen op het juiste webadres en kan niet worden nagemaakt. Zo kan een nepwebsite de sleutel niet misbruiken.
Ook extra codes via sms of e-mail zijn niet meer nodig. Zulke codes kunnen worden onderschept of via sim-swap worden misbruikt. Passkeys verminderen die risico’s, omdat er geen gedeelde geheimen over het netwerk gaan. Dat sluit aan bij het advies van het Nationaal Cyber Security Centrum om phishing-bestendige multi-factorauthenticatie te gebruiken.
Voor het beheer zijn er voordelen en nieuwe taken. Minder wachtwoordresets scheelt tijd en kosten. Tegelijk moeten er duidelijke procedures komen voor verlies of vervanging van apparaten en sleutels. Een goed herstelproces voorkomt uitsluiting van medewerkers.
Werkt naast DigiD
Voor inwoners verandert er niets in het inloggen bij online gemeentelijke diensten. Dat loopt in Nederland via DigiD, de inlogdienst van Logius. Passkeys zijn vooral bedoeld voor interne systemen en leveranciersportalen van de gemeente zelf. Het is dus een stap in de interne beveiliging, niet in de burgerdienstverlening.
In Europa wordt tegelijk gewerkt aan de digitale identiteitswallet onder eIDAS 2.0. Die wallet is bedoeld voor grensoverschrijdende, hoog-betrouwbare identificatie. Passkeys kunnen dit soort oplossingen aanvullen, maar ze zijn geen formeel middel als een erkend eID. Gemeenten moeten daarom helder communiceren welk middel waarvoor dient.
Toegankelijkheid blijft een aandachtspunt. Niet iedereen kan biometrie gebruiken of heeft een moderne smartphone. Het aanbieden van meerdere authenticators, zoals een fysieke sleutel met NFC, vergroot de toegankelijkheid. Heldere instructies en ondersteuning zijn hierbij nodig.
Aansluiting op BIO en AVG
Overheden moeten persoonsgegevens beveiligen onder de AVG, artikel 32. Sterke authenticatie helpt de vertrouwelijkheid en integriteit van gegevens te waarborgen. Passkeys slaan geen wachtwoorden centraal op en verminderen zo het risico bij datalekken. Dat is gunstig voor privacy en risicobeperking.
De Baseline Informatiebeveiliging Overheid (BIO) stelt eisen aan toegangsbeveiliging. Multi-factorauthenticatie is daarbij een veelgebruikte maatregel. Passkeys kunnen deze eis phishing-bestendig invullen, zeker in combinatie met biometrie of een beveiligingssleutel. Dit sluit aan op actuele beveiligingsmaatregelen bij gemeenten.
Ook dataminimalisatie speelt mee. Een passkey laat de privésleutel op het apparaat en deelt alleen een publieke sleutel met de dienst. Daardoor circuleert er minder gevoelige informatie binnen centrale systemen. Wel blijven verwerkingslogs en beheergegevens onder de AVG-eisen vallen.
Techniek en standaarden
Passkeys werken met public key-cryptografie. De privésleutel blijft op het apparaat van de gebruiker en verlaat dat apparaat niet. De dienst bewaart alleen de publieke sleutel om de inlog te controleren. Daardoor is er geen wachtwoorddatabank die kan uitlekken.
Registratie en herstel vragen aandacht. Een passkey kan op één apparaat staan of via een versleutelde kluis tussen apparaten worden gesynchroniseerd. Sommige medewerkers werken liever met een losse FIDO2-sleutel, anderen met een telefoonsleutel. Gemeenten moeten beleid maken voor back-up en vervanging bij verlies of diefstal.
WebAuthn zorgt voor brede browserondersteuning. Toch ondersteunen oudere applicaties deze methode soms nog niet. Dan is een identiteitsprovider nodig die passkeys kan koppelen aan bestaande systemen. Zo kan de gemeente stap voor stap migreren zonder alles tegelijk te vervangen.
Vervolg en valkuilen
Een succesvolle uitrol begint met pilots en duidelijke communicatie. Medewerkers moeten weten hoe ze een passkey instellen en wat te doen bij problemen. Training en eenvoudige handleidingen helpen de adoptie. Betrek ook de helpdesk vroeg, zodat zij oplossingen paraat hebben.
Let op leveranciersonafhankelijkheid. Passkeys bouwen op open standaarden, maar synchronisatie en beheer kunnen per platform verschillen. Kies daarom voor oplossingen die FIDO2 en WebAuthn volledig ondersteunen en die gegevens in de EU opslaan. Dat helpt ook bij naleving van de AVG.
Meet het effect met heldere indicatoren. Denk aan het aandeel wachtwoordloze logins, minder reset-tickets en minder phishing-incidenten. Deel ervaringen via netwerken van de Vereniging van Nederlandse Gemeenten. Zo kunnen andere gemeenten sneller en veiliger volgen.
