Authentication (Auth)

Authenticatie, Auth, Gebruikersverificatie, Identiteitsverificatie, Inlogverificatie, Toegangscontrole
Authentication (auth) is het proces waarmee een systeem de identiteit van een gebruiker verifieert voordat toegang wordt verleend. Cruciaal voor beveiliging van klantdata en bedrijfssystemen.

Wat is authentication?

Authentication is het proces waarbij een systeem controleert of een gebruiker werkelijk is wie hij of zij beweert te zijn, voordat toegang tot data of functionaliteit wordt verleend. Dit gebeurt door het vergelijken van inloggegevens zoals een wachtwoord, biometrische gegevens of een tijdelijke code met wat het systeem al van die gebruiker weet. Voor een MKB-bedrijf met een webshop, klantportaal of interne systemen vormt authentication de eerste verdedigingslijn tegen ongeautoriseerde toegang tot klantgegevens, bestellingen en bedrijfsinformatie.

Hoe authentication in de praktijk werkt

Een authentication-proces bestaat uit drie elementen: identificatie (wie ben je?), verificatie (kun je dat bewijzen?) en toegangsverlening. Wanneer een klant inlogt op je webshop met een e-mailadres en wachtwoord, stuurt het systeem deze gegevens naar de server. Die vergelijkt de ingevoerde gegevens met de opgeslagen hash van het wachtwoord in de database. Bij een match krijgt de gebruiker een sessietoken of JSON Web Token waarmee het systeem bij elk volgend verzoek controleert of de gebruiker nog steeds geautoriseerd is. Dit token verloopt na een bepaalde tijd, waardoor een oude sessie automatisch ongeldig wordt. In de praktijk zien we bij MKB-klanten vaak dat dit proces binnen 200 milliseconden verloopt, onzichtbaar voor de eindgebruiker maar cruciaal voor de veiligheid.

Waarom authentication ontstond en waarom het nu telt

Authentication is zo oud als gedeelde computersystemen. Zodra meerdere gebruikers toegang tot dezelfde gegevens kregen, ontstond de behoefte om te controleren wie wat mocht inzien of wijzigen. Met de opkomst van webapplicaties en cloud-diensten werd het proces complexer: systemen moesten gebruikers herkennen over verschillende apparaten en sessies heen. Voor Nederlandse bedrijven is authentication sinds de AVG ook een wettelijke verplichting. Je moet kunnen aantonen dat alleen geautoriseerde personen toegang hebben tot persoonsgegevens. Een datalek door zwakke authentication kan leiden tot boetes tot 4% van de jaaromzet, naast reputatieschade.

Wat authentication oplevert voor MKB-bedrijven

Voor een webshop met klantaccounts voorkomt sterke authentication dat kwaadwillenden toegang krijgen tot bestelgeschiedenis, adresgegevens of opgeslagen betaalmethoden. Bij een B2B-portaal waar klanten offertes inzien of orders plaatsen, beschermt het concurrentiegevoelige informatie. In combinatie met een doordachte webshop-architectuur kun je verschillende authenticatieniveaus instellen: basistoegang voor productcatalogi, verificatie voor prijzen en strikte controle voor bestelgeschiedenis. Uit onze trajecten blijkt dat bedrijven die multi-factor authentication invoeren voor adminpanelen het aantal ongeautoriseerde toegangspogingen met meer dan 90% zien dalen. Meer informatie over veilige implementatie vind je bij de Autoriteit Persoonsgegevens.

Toepassingen van authentication

Authentication speelt een rol in vrijwel elk digitaal systeem waar gebruikers of medewerkers toegang tot beschermde gegevens nodig hebben. De manier waarop je het inricht, hangt af van het risiconiveau van de data, de gebruikerservaring die je wilt bieden en de wettelijke eisen die op jouw sector van toepassing zijn. Hieronder vier concrete situaties waarin MKB-bedrijven authentication toepassen, en wanneer welke aanpak past.

Klantaccounts in webshops en portalen

Een webshop met terugkerende klanten biedt vaak een account aan waar bestelgeschiedenis, verlanglijstjes en opgeslagen adressen staan. Authentication zorgt ervoor dat alleen de eigenaar van dat account deze gegevens kan inzien of wijzigen. De meest gebruikte methode is een combinatie van e-mailadres en wachtwoord, aangevuld met een wachtwoordherstel-flow via e-mail. Voor webshops met hogere orderwaarden of gevoelige producten, zoals medische hulpmiddelen of zakelijke software, zie je steeds vaker two-factor authentication: na het invoeren van het wachtwoord ontvangt de klant een code per sms of authenticator-app. Dit verlaagt het risico op accountovername, vooral bij klanten die hetzelfde wachtwoord op meerdere sites gebruiken. Bij een professionele webshop wordt authentication gekoppeld aan autorisatie, zodat zakelijke klanten andere prijzen of producten zien dan particulieren.

Interne systemen en bedrijfsapplicaties

Medewerkers die toegang nodig hebben tot een CRM, ERP of projectmanagement-tool loggen in via authentication. In veel MKB-bedrijven gebeurt dit nog met losse wachtwoorden per systeem, wat leidt tot wachtwoordmoeheid en zwakke combinaties. Een betere aanpak is Single Sign-On, waarbij medewerkers eenmaal inloggen en daarna automatisch toegang krijgen tot alle gekoppelde systemen. Dit vermindert het aantal wachtwoorden, verlaagt de kans op phishing en maakt het eenvoudiger om toegang in te trekken wanneer iemand uit dienst gaat. Voor bedrijven met remote medewerkers of externe adviseurs is het verstandig om inlogpogingen te loggen en afwijkende patronen te signaleren, zoals inloggen vanaf ongebruikelijke locaties of op vreemde tijdstippen.

API-toegang voor koppelingen en integraties

Wanneer je webshop of website communiceert met externe systemen, zoals een boekhoudsysteem, verzendpartner of marketingautomatisering, gebeurt dat via een API. Ook die verbindingen moeten worden geauthenticeerd, maar dan zonder menselijke tussenkomst. Hiervoor gebruiken systemen API-keys, OAuth-tokens of client credentials. Een veelgemaakte fout is het hardcoded opslaan van API-keys in de broncode van een website, waardoor ze zichtbaar worden voor iedereen die toegang tot de code krijgt. Beter is om keys op te slaan in omgevingsvariabelen op de server en ze regelmatig te roteren. Bij een professioneel ontwikkelde webapplicatie worden API-keys gekoppeld aan specifieke rechten, zodat een koppeling alleen de data kan ophalen of wijzigen waarvoor die bedoeld is.

Wanneer authentication de juiste keuze is en wanneer niet

Authentication is noodzakelijk zodra je persoonsgegevens opslaat, betalingen verwerkt of gebruikers toegang geeft tot gepersonaliseerde content. Het is ook verplicht onder de AVG voor systemen die toegang bieden tot identificeerbare gegevens. Wanneer authentication niet nodig is: voor volledig openbare content zoals een blog of productcatalogus zonder prijzen. In die gevallen voegt een inlogscherm alleen wrijving toe zonder meerwaarde. Let op: authentication lost geen autorisatieproblemen op. Het bevestigt wie iemand is, maar niet wat iemand mag. Daarvoor heb je een apart autorisatiesysteem nodig dat rollen en rechten beheert. Een gebruiker kan succesvol inloggen maar toch geen toegang krijgen tot bepaalde functies, afhankelijk van zijn rol.

Wil je dit toepassen in jouw bedrijf? Monkey Vision helpt MKB-ondernemers met webdesign, SEO en slimme digitale oplossingen. Plan een vrijblijvende kennismaking en ontdek wat er voor jou mogelijk is.

Plan een kennismaking

Veelgestelde vragen

Nee, authentication en authorization zijn twee verschillende stappen in toegangsbeheer. Authentication controleert of je bent wie je zegt te zijn, bijvoorbeeld door in te loggen met een wachtwoord. Authorization bepaalt wat je daarna mag doen binnen het systeem. Je kunt succesvol inloggen op een webshop maar toch geen toegang krijgen tot de adminpagina, omdat je niet de juiste rechten hebt. In de praktijk werken beide processen nauw samen: eerst wordt je identiteit geverifieerd, daarna checkt het systeem welke rollen en permissies aan jouw account zijn gekoppeld. Veel beveiligingsproblemen ontstaan doordat bedrijven wel authentication implementeren maar authorization vergeten of te breed instellen.

Een wachtwoord alleen volstaat voor systemen met laag risico, zoals een nieuwsbrief-inschrijving of een openbaar forum. Zodra je persoonsgegevens, betalingsgegevens of bedrijfskritische data beheert, is two-factor authentication de veiligere keuze. Dit voegt een tweede verificatiestap toe, meestal een code via sms of een authenticator-app. Voor webshops met gemiddelde tot hoge orderwaarden raden we two-factor aan voor klantaccounts, en verplicht voor medewerkers met toegang tot het adminpaneel. De extra stap kost de gebruiker vijf tot tien seconden, maar voorkomt accountovernames zelfs als het wachtwoord gelekt is. Bij B2B-portalen of systemen met concurrentiegevoelige data is two-factor inmiddels standaard. Meer richtlijnen vind je bij het Nationaal Cyber Security Centrum.

De beste aanpak hangt af van welke systemen je gebruikt en welke data je beschermt. Heb je een webshop of klantportaal maar twijfel je of de huidige inlogbeveiliging voldoet aan de AVG? Plan dan een gratis security-scan van 30 minuten bij Monkey Vision. We lopen je systeem live door, checken de authentication-flow en geven direct drie concrete verbeterpunten die je deze maand kunt oppakken. Je krijgt ook een eerlijke inschatting van risico's en een stappenplan voor versterking. Geen verkooppraatje, wel praktisch advies afgestemd op jouw situatie. Neem contact op via webontwikkeling bij Monkey Vision.

Over de auteur

Monkey Vision

Monkey Vision is een full-service digitaal bureau in Nijmegen, gespecialiseerd in webdesign, SEO en AI-automatisering voor het MKB. De kennisbank is samengesteld door ons team van online-strategen en doorlopend bijgehouden op basis van actuele inzichten.

Publicatiedatum: 26-04-2026
Laatste update: 26-04-2026