Normen · WCAG 2.2

SC 3.3.9 Niveau AAA WCAG 2.2 Nieuw in 2.2

Toegankelijke authenticatie (uitgebreid)

Authenticatie mag geen enkele cognitieve functietest vereisen, inclusief objectherkenning en identificatie van persoonlijke inhoud. De AAA-uitbreiding van 3.3.8 — passkeys, biometrie en apparaatgebonden credentials worden de praktische paden. Nieuw in WCAG 2.2.

Wat wordt vereist

Dit AAA-criterium schrapt de twee beperkte uitzonderingen die op AA-niveau (3.3.8) zijn toegestaan: objectherkenning en identificatie van persoonlijke inhoud zijn eveneens verboden. Authenticatie mag geen enkele cognitieve functietest van welke aard dan ook vereisen, zonder uitzonderingen — tenzij een alternatieve authenticatiemethode beschikbaar is die geen cognitieve functietest vereist.

In de praktijk betekent dit dat ergens in de stroom een volledig toegankelijke authenticatieoptie beschikbaar is, ook als andere opties aanwezig blijven.

Hoe te voldoen

  • Bied passkeys / WebAuthn aan als volwaardige optie — deze maken gebruik van de biometrische of PIN-ontgrendeling van het apparaat, zonder cognitieve test.
  • Bied magic-link-aanmelding via e-mail aan als alternatief zonder cognitieve test.
  • Ondersteun OAuth / aanmelden via sociale media.
  • Ondersteun hardware-beveiligingssleutels (FIDO2).
  • Zorg ervoor dat de gebruiker, ongeacht het beginpunt in de stroom, ten minste één van deze paden kan bereiken zonder CAPTCHA of op het geheugen gebaseerde terugvaloptie.

Veelvoorkomende fouten

  • Sites die aan 3.3.8 voldoen uitsluitend door wachtwoordbeheerders toe te staan, zonder biometrische, passkey- of magic-link-optie voor gebruikers die geen wachtwoordbeheerder gebruiken.
  • Authenticatie die vereist dat de gebruiker de eigen profielfoto herkent (objectherkenning / persoonlijke inhoud) — aanvaardbaar voor AA, maar een fout voor AAA.
  • Verhoogde authenticatie voor gevoelige acties die altijd escaleert naar een op geheugen gebaseerde test.

Waarom het belangrijk is

AAA is zelden een nalevingsdoelstelling, maar voor hoogwaardige diensten — bankieren, zorgportalen, overheidsidentiteitssystemen — is het voldoen aan 3.3.9 steeds vaker de juiste productkeuze. Passkeys worden nu breed ondersteund op iOS, Android, Windows en macOS, en voldoen aan het criterium voor de gebruikerspopulaties die dit het hardst nodig hebben. De stap van 3.3.8 naar 3.3.9 is doorgaans één productinvestering: passkeys toevoegen als primaire authenticatiemethode.