Ga naar hoofdinhoud
Digitalekwaliteit.nl
Patroon: Context-Aware Security

Step-up authenticatie Extra verificatie alleen waar het risico zit

Niet elke actie vraagt dezelfde mate van beveiliging. Step-up authenticatie voegt alleen extra verificatie toe bij gevoelige handelingen.

Inloggen met MFA bij elke kleine handeling vertraagt de dienstverlening, terwijl geen extra verificatie bij gevoelige acties het risico vergroot.

Step-up authenticatie maakt beveiliging proportioneel: normale taken zonder extra frictie, risicovolle taken met extra zekerheid.

Secure-by-design betekent hier: beveiliging opschalen wanneer het nodig is, niet overal standaard.

Wat is step-up authenticatie?

Step-up authenticatie betekent dat een gebruiker al is ingelogd, maar voor specifieke risicovolle acties extra moet bevestigen dat hij of zij het echt is.

Voorbeelden van extra verificatie:

  • Extra MFA-code via authenticator app
  • Smartcard of hardware token
  • Biometrie waar toegestaan
  • Herinvoer van wachtwoord
  • Bevestiging via gekoppelde beveiligde app

Integratie met overheidsidentiteitssystemen

Step-up authenticatie kan gebruikmaken van bestaande identity-systemen, zodat het aansluit op de praktijk in overheidsorganisaties:

  • smartcards
  • Entra ID / Azure AD
  • eHerkenning
  • andere identity-providers

Waarom vaste MFA niet genoeg is

Veel systemen vragen alleen MFA bij inloggen, maar laten daarna alle acties toe tijdens lange sessies. Dat creëert een beveiligingsgat.

Risico's ná de login

  • Export van gevoelige gegevens
  • Toekennen van Beheren aan anderen
  • Publicatie van content naar openbare omgeving

Step-up verkleint dat risico precies op die momenten, zonder routinewerk te vertragen.

Wanneer step-up toepassen?

Gebruik step-up proportioneel. Te veel triggers leiden tot frustratie en workarounds.

Wel gebruiken
  • Extern delen van documenten
  • Export van persoonsgegevens
  • Toekennen van Beheren
  • Verwijderen van dossiers
Niet gebruiken
  • Filteren van lijsten
  • Opslaan van concepten
  • Navigeren door menu's
  • Kleine tekstuele wijzigingen

Praktische UX-patronen

1. Contextuele trigger

Leg concreet uit waarom de extra verificatie verschijnt.

Uitleg bij verificatie "U staat op het punt 1.240 records te exporteren. Dit bestand bevat mogelijk persoonsgegevens."

2. Tijdgebonden verificatie

Na succesvolle step-up hoeft niet elke volgende klik opnieuw te vragen. Maak verificatie kortdurend geldig, bijvoorbeeld 10 minuten. Dit voorkomt frustratie en is realistisch in dagelijks gebruik.

3. Inline verificatie

Gebruik modal of side-panel in plaats van volledige redirect, zodat context behouden blijft.

4. Combineer met veilige alternatieven

Bied een veilige route zonder extra frictie waar dat kan.

Geanonimiseerde export Direct downloaden
Volledige export (met BSN) Step-up vereist

Risiconiveaus en frictie

Een eenvoudige driedeling houdt beslissingen consistent.

Laag risico
Geen extra stap

Normaal gebruik, lezen, navigeren.

Middel risico
Bevestiging

Korte bevestiging of herinvoer wachtwoord.

Hoog risico
Volledige MFA

Token, authenticator of tweede factor.

Microcopy die werkt

Gebruik feitelijke en duidelijke taal. Vermijd vage waarschuwingen.

Vermijden
Security Alert!
Onveilige actie gedetecteerd
Gebruiken
Voor deze export is extra verificatie vereist
U geeft uitgebreide rechten aan een gebruiker

Risico dat je hiermee voorkomt

  • Misbruik van actieve sessies bij kritieke acties.
  • Ongecontroleerde export of rechtenuitbreiding.

Wanneer niet gebruiken (anti-pattern)

  • Gebruik geen step-up bij laag risico; dat veroorzaakt workarounds en minder vertrouwen.
  • Gebruik step-up juist bij extern delen van Intern of Vertrouwelijk.
  • Gebruik step-up bij toekennen van Beheren en bij grote exportacties.

Implementatie en design system

Step-up werkt alleen als backend en frontend samenwerken: backend bepaalt risico en afdwinging, frontend verzorgt duidelijke UX.

Succesvolle step-up verificaties worden vastgelegd in het auditlogboek.

Component suggesties

<StepUpModal /> <RiskSummaryPanel /> <VerificationInput />

Relevantie voor overheidsorganisaties

Overheden werken met vertrouwelijke dossiers, persoonsgegevens en ketensamenwerkingen. Step-up voorkomt dat één gecompromitteerde login leidt tot massale data-export of te brede toegang.

Gerelateerde Secure-by-design patronen

Verdiep dit onderwerp verder via gerelateerde patronen binnen de secure-by-design portal.

Step-up authenticatie slim inrichten?

Ik help teams om risicogebaseerde verificatie werkbaar, begrijpelijk en auditbaar te maken.

Terug naar portal Neem contact op