Wordt centraal inloggen het nieuwe normaal?

Centraal inloggen is een droom die al jaren rondzingt in e-commerce. Maar weinig wijst erop dat we het ideaalbeeld snel gaan realiseren. In gesprekken met belanghebbenden vallen termen als ‘adoptie’ en ‘bewustwording’. Dan weet je genoeg: een hoofdpijndossier. De markt moet het zelf oplossen en dat betekent vooralsnog: wildgroei. Twinkle zocht naar hoopgevende signalen.

Sinds enkele maanden kunnen consumenten met slechts één account bij zowel Albert Heijn als bol.com inloggen. Dat is handig. Geen gedoe meer met (vergeten) gebruikersnamen, (kwijtgeraakte) wachtwoorden en (overbodige) checkout-velden. Een fijne stap in de goede richting! Maar laten we niet overdrijven. Het is ook spielerei in vergelijking met de natte droom van ’s lands meest ambitieuze (veiligheids)experts: één account voor alles. Voor e-commerce is dat al jaren een knetterend hoofdpijndossier. Want ja, kan iemand even uitleggen wat anno 2019 de balans is tussen veiligheid en gebruikersgemak c.q. klantvriendelijkheid?

Centraal inloggen ligt in lijn met de wensen van de overheid. Die wil graag dat mensen veilig kunnen inloggen bij overheidsorganisaties en zorginstellingen. Met het eID-stelsel – eID is een samentrekking van ‘elektronische identiteit’ – moeten burgers meer zaken kunnen regelen via internet. Stapsgewijs wordt gewerkt aan het verhogen van het betrouwbaarheidsniveau van de inlogmiddelen. Rondom eID worden ook afspraken gemaakt over elektronische identificatiemiddelen in de private sector, denk bijvoorbeeld aan webwinkels en verzekeraars. Het stelsel biedt kansen voor het verlagen van drempels in online shoppen en het verhogen van de conversie. Maar kansen verzilveren is een kunst die niet iedereen verstaat. De markt moet haar eigen boontjes doppen.

De ontwikkelingen voltrekken zich ondertussen in slakkentempo. Neem de Miljoenennota van 2018. Volgens beleidsmedewerker Just Hasselaar van Thuiswinkel.org gaf die te weinig aandacht aan digitalisering. Om onze maatschappij sneller en beter te digitaliseren, is volgens Hasselaar een concreet instrumentarium voor online identificatie nodig: ‘Het blijkt maar weer dat het eID-stelsel geschikt is voor de publieke sector maar niet voor de bv Nederland. Door eID alleen voor publieke diensten beschikbaar te stellen, werkt de overheid identiteitsfraude in de hand. We leven in een digitaal tijdperk, maar krijgen geen digitaal paspoort. Dat heeft zijn weerslag op de digitale economie.’

Ideaalbeeld

Gaan we in de richting van één centraal inlogsysteem? Het lijkt er niet op, want de overheid wil dat private bedrijven alternatieve inlogmiddelen gaan uitgeven. Zo kennen we al Idensys, iDeal, iDin, Tikkie, Amazon Pay, Apple Pay, AliPay, Visa Pay, PayPal Express Checkout. Stuk voor stuk beloven ze de consument gemak en de retailer veiligheid. Maar ondertussen gebeurt het tegenovergestelde. De consument ziet door de bomen het bos niet meer en de retailer moet een helse afweging maken tussen alle aanbieders (en daarna vaak ook nog eens zijn afrekenproces vernieuwen).

Een voorbeeld. Wehkamp wil klanten een veilige en tegelijkertijd gemakkelijke ervaring bieden. Joost van Hilten, chief marketing & product officer bij het webwarenhuis weet uit ervaring dat een oplossing die niet het gemak biedt dat de klant verwacht, niet wordt gebruikt. En dan schiet je er uiteindelijk niets mee op. Een centrale inlog heeft volgens wehkamp potentie, maar de huidige oplossingen bieden op dit moment nog onvoldoende toegevoegde waarde voor de klant. Van Hilten: ‘We volgen de ontwikkelingen en testen op dit moment verschillende identificatiediensten, maar we zetten ons ook elke dag in om onze eigen oplossingen te verbeteren. Zoals met het implementeren van specifieke machine learning-toepassingen. Dit stelt ons onder andere in staat om frauduleus gedrag realtime te herkennen en te voorkomen, bijvoorbeeld door het stoppen van account takeovers.’

Waar willen we eigenlijk naartoe? Die vraag leggen we voor aan Amos Kater, manager online van Currence, de eigenaar van producten als iDeal (payment service) en iDin (identity service). iDeal en iDin zijn breedgedragen oplossingen en beschikbaar voor de dertien miljoen Nederlanders die internetbankieren. Met iDin kun je veilig inloggen, je identificeren en je leeftijd bevestigen bij overheidsinstanties, verzekeringsmaatschappijen en webwinkels. (De webwinkelier weet wie er ‘aan de andere kant’ zit.) Net als iDeal gebruikt iDin de vertrouwde inlogmethode van de bank. Zo hoef je minder gebruikersnamen en wachtwoorden te onthouden. Kater licht toe: ‘Zowel banken als winkeliers moeten een afweging maken tussen veiligheid en gebruiksvriendelijkheid. Dat is het grote discussiepunt. Ze hebben belang bij een zo makkelijk en veilig mogelijk betaalproces en zo min mogelijk drempels. Ik denk dat iDeal en iDin wat dat betreft goede opties zijn. Nieuwe klanten kunnen zich snel en gemakkelijk aanmelden. Bestaande klanten hoeven niet steeds opnieuw hun gegevens in te vullen.’

Gevraagd naar zijn ideaalbeeld, zegt Kater: ‘Stel, je logt bij bol.com in met iDin door de QR-code op het scherm te scannen met je bank-app. Vervolgens wordt toestemming gevraagd om de klantgegevens, die bij de bank bekend zijn, te delen met bol.com. Je geeft toestemming met je vingerafdruk en alle gegevens worden doorgestuurd. De volgende keer dat je naar bol.com gaat, is scannen van de QR-code voldoende. Volgens mij is het een kwestie van tijd. Voor webshops is het op dit moment vooral belangrijk om te weten dat ze inloggen en betalen kunnen overlaten aan partijen die daar hun kerncompetentie van hebben gemaakt. Dat kan iDin zijn of een andere private aanbieder.’

2FA

IDin wordt omarmd door grote partijen als BKR (Bureau Krediet Registratie), Nederlandse Loterij en Achmea. Dat is mooi. Maar laten we niet overdrijven. Het is nog maar klein bier. Ook andere aanbieders hebben grote moeite om de consument massaal over de streep te trekken. De reden? Scepsis. Dat concludeerde onderzoeksbureau Samr in 2017 op basis van een studie in opdracht van het ministerie van Binnenlandse Zaken. Zo begrijpt de consument niet dat er meerdere identificatie- en authenticatiemiddelen naast elkaar bestaan. Ook is er wantrouwen over de samenwerking tussen banken, overheden en bedrijven. Ze worden ervan verdacht een commercieel belang te hebben.

Wat betreft iDin leeft de angst dat bedrijven en banken persoonlijke gegevens en betaalinformatie onderling uitwisselen. En dan nog iets. Een consument is en blijft een consument; ongeduldig en impulsief. Hij vindt dat een digitaal inlogsysteem hem vooral snelheid en gemak moet brengen. Pas daarna is veiligheid een issue. Dat is de perceptie. De heersende opvatting over het eID-stelsel helpt ook niet. Doordat consumenten de meerwaarde niet direct zien, nemen ze een afwachtende houding aan tegenover nieuwe methodes.

Kortom: werk aan de winkel. Maar ‘aan de techniek zal het niet liggen’, aldus Hasselaar van Thuiswinkel.org. Het is de combinatie van gebruikersgemak en veiligheid die het lastig maakt. Als alleen de veiligheid in het geding zou zijn, dan waren we er snel uit volgens Hasselaar, een groot voorstander van two factor authentication (2FA) om kwaadwillenden te weren. 2FA is gebaseerd op het feit dat je drie authenticatiefactoren kunt gebruiken ter beveiliging: iets wat je weet (een wachtwoord of pincode), iets wat je hebt (bijvoorbeeld een mobiele telefoon) en iets wat je bent (een vingerafdruk of andere biometrische eigenschap). 2FA combineert minimaal twee van de drie factoren.

Hasselaar schetst het beeld: ‘Veel consumenten gebruiken overal ongeveer dezelfde wachtwoorden en gebruikersnamen. Ze zijn gemakkelijk te hacken op minimaal dertig plaatsen. Wij denken dat 2FA daarvoor een grote rol kan gaan spelen voor e-commerce. Maar we zijn niet voor verplichten. We willen erop aansturen dat 2FA het nieuwe normaal wordt. Daarvoor moeten er nog een paar slechte gewoontes worden afgeleerd. Daarmee zijn we op het punt van gebruikersgemak gekomen. We realiseren ons dat 2FA een extra drempel is voor de consument, die altijd de weg van de minste weerstand kiest. Met andere woorden: als jouw webshop voor 2FA kiest en je concurrent doet dat niet, dan heb je een superveilige winkel waar niemand komt.’

Checkout-optimalisatie

Het achterwege blijven van een eenduidige en adequate oplossing is slecht voor e-commerce. Dat kunnen we eenvoudig aantonen. Kent u het verhaal van het zielige winkelwagentje? Dat werd niet opgehaald. Er lagen een paar prachtige producten in, maar dat mocht niet baten. Het ‘baasje’ was in geen velden of wegen te bekennen en het winkelwagentje zat treurig weg te kwijnen in de webshop. Dat verschijnsel zie je in de gewone supermarkt nooit. In e-commerce is het schering en inslag.

‘Achtergelaten winkelwagentjes zijn een van de grootste frustraties van webwinkeliers’, aldus Erik Brunekreef van WebshopLogin, dat online winkelen zo gemakkelijk mogelijk wil maken voor consumenten en checkout-optimalisatie wil realiseren voor webshops. Brunekreef heeft doorgemeten dat het percentage achtergelaten winkelwagentjes een krankzinnige 70 procent bedraagt. Daar is veel winst te pakken. Brunekreef: ‘Als webwinkeliers van die 30 procent conversie 31 procent kunnen maken, pakken ze 3 procent meer omzet. Met ons product nemen ze in het afrekentraject drempels weg. Hoe minder drempels, hoe hoger de conversie.’

Vreemd genoeg hebben webwinkeliers weinig aandacht voor checkout-optimalisatie. Zelden zijn ze volgens Brunekreef in staat om hun percentage achtergelaten winkelwagentjes te noemen. ‘Uit ergernis’ richtte Brunekreef WebshopLogin op, dat consumenten in staat stelt om zonder gedoe met één account bij meerdere webshops te winkelen. Binnenkort lanceert het bedrijf browserextensies waarmee consumenten bij alle 35.000 Nederlandse webshops terecht kunnen. De versie van WebshopLogin voor webwinkeliers is toegerust met encryptie en versleuteling om identiteitsfraude te voorkomen. De webwinkelier maakt eenmalig een account aan en kan vervolgens het afrekenproces vereenvoudigen, conversie verhogen, klanttevredenheid verbeteren en gebruikersdata verzamelen. En de consument wordt geen strobreed in de weg gelegd. Zie hier: veiligheid en gebruikersgemak.

En die ergernis? Brunekreef: ‘Momenteel zijn consumenten het zicht totaal kwijt. Welke gegevens hebben ze waar ooit ingevuld? Ze laten een dataspoor na van heb-ik-jou-daar. Terwijl ze de bij winkel A ingevulde gegevens ook zouden kunnen gebruiken bij B, C en D. Ook de ondernemer doet zichzelf tekort. Hij haalt te weinig first time-orders binnen en heeft een te lage retentie.”

EID voor dummies

Het eID-stelsel is een Nederlands stelsel dat burgers en bedrijven in staat stelt om veilig online diensten af te nemen en zaken (met de overheid) te regelen. Zij moeten hun identiteit kunnen aantonen door gebruik te maken van een zogeheten authenticatiemiddel, zoals DigiD of eHerkenning. Social logins, van bijvoorbeeld Facebook of Google, vallen niet onder het stelsel.

Thuiswinkel.org: ‘EID wenselijke ontwikkeling’
Thuiswinkel.org heeft diverse redenen om het eID-stelsel ‘een wenselijke ontwikkeling voor e-commerce in Nederland’ te noemen. Thuiswinkel.org ziet enerzijds commerciële kansen en anderzijds mogelijkheden voor het oplossen van maatschappelijke problemen. Er kan snel en gemakkelijk worden ingelogd met één sleutel. Daarnaast kunnen persoonsgegevens gekoppeld worden aan betaal- en aflevervoorkeuren om te komen tot one-click-buy betalingen. Verder zijn er kansen voor de webwinkel om verantwoordelijkheid te nemen bij (wettelijk verplichte) identificatie en verificatie als het gaat om leeftijdgebonden producten en diensten, en daarnaast bij het terugdringen van identiteitsfraude.