DigID is bedoeld om met de overheid te kunnen communiceren.

eID zit ik helemaal niet op te wachten waarom zouden bedrijven mij via eID moeten kunnen identificeren?
Is het soms de bedoeling dat ik straks helemaal geen anonieme aankopen meer mag doen?

"Nederland ICT bezorgd...."

Ikzelf veel meer bezorgd: "Daarnaast kunnen bedrijven het eID-stelsel gebruiken om klanten te identificeren."

Ik wil geen DigiD. Ik wil ook geen eID. Het is overheid, dus faal. Dat bewijzen de afgelopen 30 jaar...

overheid en ict, kan dat wel samen ????

Er zijn ergens tussen de 45.000 en 50.000 ICT bedrijven in Nederland.
Nederland ICT is een vertegenwoordiger van 550 van deze...
Ze vertegenwoordigen dan ongeveer 1%....
Dat is geen vertegenwoordiging, zeker geen branche vereniging.... Dat is id est, nihil...

Klinkt meer als een lobbyclub voor de grotere vissen hoe ze de kleine visjes uit de vijver kunnen houden...

Er is 1 land waar het wel lijkt te werken, niet dat ik het ooit van dicht bij heb gezien hoe ze het hebben gedaan of hoe goed het echt werkt, maar ze doen het daar wel:

http://www.bhorowitz.com/estonia_the_little_country_that_cloud

Het kan wel. Als ze luisteren naar hun burgers:
http://www.ted.com/talks/catherine_bracy_why_good_hackers_make_good_citizens

Peter

Dat lijkt me nou een schreeuwend slecht idee -- dan vraag je om een eerste generatie hardware van verschillende producenten die niet echt compatibel zijn met elkaar. De overheid kan ook beginnen met een set producten om te dienen als compatibility kit en zich uit de markt terugtrekken als de marktpartijen voldoende hardware kunnen leveren die bewezen compatibel is. Lijkt me een betere notie.


Nee. Het idee achter eID is een andere dan DigiD. Bij DigiD heb je credentials die direct bekend zijn bij de overheid. Die mogen alleen door aangewezen partijen gebruikt worden, omdat ze identificerend zijn en dus privacygevoelig.

Het idee achter eID is (momenteel in ieder geval) dat je een chipkaart gaat krijgen met daarop één of meerdere credentials. Die credentials zijn voor verschillende doeleinden bedoeld en kunnen ook nog eens een keer (eventueel) via een clearing house of een trusted third party identiteitsprovider lopen. Dat betekent dat je een aantal identiteiten krijgt voor gebruik online, die je naar gelang kunt delen met verschillende partijen of juist niet en die ook juist wel of juist niet privacygevoelig zijn (een IdP kan bijvoorbeeld anonimiserend werken). Het idee is dat je op die manier wel globale identiteiten kunt hebben (zodat je voor twee partijen zonodig herkenbaar bent als dezelfde persoon) maar zonder onnodige details over je identiteit weg te geven.

Uiteraard is dat de theorie. Nu de uitwerking nog.

Hartstikke makkelijk. Zo makkelijk zelfs, dat je heel snel in een situatie verzeild gaat raken waar je nagenoeg niets meer kan zonder altijd die kaart paraat te hebben terwijl je "surft". Die gaat dus permanent in de lezer blijven zitten. Dat is op zichzelf al een privacylek. Hoe veilig en afgeschermd die "credentials" op die kaart verder ook mogen heten te zijn.

Dit is helaas geen doemdenken. Vergelijk de koekjestoestemming, of voordat de koekjeswet er was, het vinkje "vraag mij of iedere keer of ik koekjes wil toestaan". Hoeveel popups?

Hoe wordt je "trusted third party"? Hoeveel moeite kost dat? Wie mag dat dus worden?

Als dat niet "iedereen" is, dan hebben we een klassensysteem geschapen. Burgers versus uitverkoren bedrijven.

Willen we dat niet (en ik bedoel wij, niet "de overheid", die is er namelijk zeggens voor ons en niet voor zichzelf), dan moeten we het systeem zo bouwen dat iedereen binnen het systeem alles kan. Voor dat je gaat roepen dat het nou juist niet mag kunnen dat iedere willekeurige jandoedel zich als "identity provider" kan opwerpen, dan maak je gek genoeg een grote denkfout.

Namelijk: Om zo'n platform blijvend nut te laten hebben moet het echt neutraal zijn en dus mag er geen tweedeling bestaan tussen eerste- en tweede klasse actoren (ie identity providers en afhankelijke burgers), maar moet iedereen alle functies kunnen bekleden. Of partij A ook de identiteit van partij B zoals "provided" door partij C accepteert staat daar los van en moet op een andere manier opgelost worden. Anders is het een verkapt-opgerekt sofi/bsn/digid/whatever en dus een gigantisch en onoplosbaar privacylek.


Ik voorspel dat het uiteindelijk uit gaat lopen op altijd overal je hele doopzeel bij je "partners" terugzien zonder dat je daar nog werkelijke controle over gaat hebben. Zo van de hele industrie van identiteitsverzamelende marketingdatabasevullers het werk wel heel makkelijk maken.

We hebben namelijk te doen met een overheid, je weet wel, zo'n grote organisatie vol met ambtenaren die nog rigider denken dan bedrijven. En die dit soort gein in extreem wollige taal beschrijven in de tender en er dan Europabreed de laagste bieder voor toch nog steeds een boel poen een "best current practice" ding laten leveren, in de praktijk toch altijd een groot en dus duur consultingbedrijf. Laten de meeste "identiteitsoplossingen" precies inelkaar geknutseld zijn door grootbedrijven om hun behoeften te vervullen hun werknemers in hokjes te stoppen. Daar zitten aannames in die nou niet echt compatibel zijn met de vele identiteiten die je als mens, niet slechts als werknemer, in het dagelijks leven voert.

Laat staan dat het de burger zijn "ecommerce"-behoeften goed zal vervullen. De marketingafdelingen van de grootbedrijven in de ecommerce-industrie, daarentegen, krijgen precies wat ze willen.

Een aanname die nogal vaak wordt gemaakt is dat de verifieerende partij als automatisch vertrouwd wordt gezien. Waarmee ik bedoel dat die identificatie maar een kant op gaat. Dit is het equivalent van een kopietje paspoort moeten afgeven aan de poort van een bedrijf, maar geen kopietje paspoort van het bedrijf terugkrijgen. Dat zou wel moeten.

Eigenlijk moeten alle partijen die andermans credentials willen besnuffelen eerst hun eigen credentials voorleggen, die ik eerst goed moet bevinden voordat ze de mijne mogen zien. En ik wil daar een logje van bijgehouden zien op mijn kaart; tijd, gepresenteerde credentials, en wat ik van hun credentials vond. En waarom ook niet? Zij doen het ook. Dit dus om de inherente machtsmisbalans een beetje recht te trekken. Heb je dat niet, heb je maar een half systeem.


Dus zonder uitgebreid bewijs(!) van het tegendeel moet ik aannemen dat dit eID (of willekeurig welk ander door de overheid geintroduceerde electronische identiteitssysteem) een privacylekkend, half systeem gaat zijn dat de burger tot de tweede klasse gaat degraderen. Zeker in de praktijk. Is het dan heel gek om zulk bewijs van de overheid te verwachten voordat ik de nieuwste e-keutel van de overheid zal willen vertrouwen?

Zou kunnen. Of niet. Er is, bij mijn weten, nog niets over beslist.

Ik heb overigens wel een keer een elegante oplossing gezien voor dat probleem: een partij die verificatiesoftware had ontwikkeld voor credentials die alleen reageerde op "card insert" events -- dan MOET je je kaart verwijderen, want een tweede keer uitlezen lukt anders niet.

Overigens is er natuurlijk nog een beweging op komst die het hele "in de lezer"-probleem afschaft en dat is de NFC lezer in je telefoon. Daarmee moet je de kaart fysiek tegen de telefoon aanhouden, waarna je hem weer neerlegt. Dan KUN je de kaart niet ergens in laten zitten.


Geen idee, zijn volgens mij ook nog geen beslissingen over. Hangt er bijvoorbeeld ook vanaf welke technologie gekozen wordt. Er zijn bijvoorbeeld oplossingen die families van credentials vastleggen die verder niets met elkaar te maken hebben (en ook niet kruislings uitleesbaar zijn omdat je voor een credentialfamilie het juiste certificaat moet bezitten). Dan wordt zo'n kaart dus een fysieke portefeuille van credentials en kan per credentialfamilie besloten worden welke providers bruikbaar zijn.

Bijvoorbeeld, voor overheidsdoeleinden zou de credentialfamilie uitleesbaar kunnen zijn door Logius (die nu DigiD beheren) en die zou dan optreden als IdP voor de overheidspartijen. Maar daarnaast zou je een credentialfamilie kunnen hebben voor alle bedrijven die aangesloten zijn bij het AirMiles systeem en daarvoor zouden bijvoorbeeld FaceBook, Twitter, Yahoo en Google als IdP kunnen dienen.

Maar goed, dat zijn keuzes die nog gemaakt moeten worden.


Ja en nee. Het is, dunkt me, niet zo raar om een functioneel onderscheid te maken in credentials. Sommige zijn belangrijker dan andere, zijn ook gekoppeld aan een hoger STORK niveau. Het lijkt me niet zo raar om daarvoor andere eisen te stellen aan de IdP dan voor de minder belangrijke credentials.

Wel ben ik met je eens dat het mogelijk moet zijn voor alle partijen om credentialfamilies op die kaart te stallen -- anders heb je er totaal niets aan.


Een nuancering -- iedere jandoedel mag IdP zijn, maar niet voor alle doeleinden. Uiteindelijk moet niet alleen de burger maar ook de relying party vertrouwen hebben in de IdP.


Ik doe niet aan wilde voorspellingen en zeker niet aan doemscenario's. Zolang er niets besloten is, zijn ze nergens op gebaseerd. En ik zie het nut er niet van. Iedere ontwikkeling heeft voor- en nadelen; je kunt wel fixeren op de nadelen en alles zo zwart mogelijk in willen zien, maar als we dat altijd deden dan leefden we nu nog als jagers in grotten.


Niet noodzakelijkerwijs, nee -- alleen zul je moeten accepteren dat het systeem uitgewerkt en ontwikkeld wordt, voordat zo'n bewijs kan bestaan. Ik denk echter dat de schoen op een andere plaats wringt: ik betwijfel dat jij bereid zult zijn om een dergelijk bewijs te accepteren op het moment dat het geleverd wordt.

Zo, zit jij even met je hoofd in het zand. Dat wordt niet "even beslist", dat gaat gebeuren.

Zelfs als zouden we nu beslissen "dat gaat echt nooit gebeuren, we zweren het, echt waar". Dan nog gaat het gebeuren.

We hebben het namelijk eerder gezien. Het heet "function creep" en gebeurt eigenlijk altijd met zulke dingen, want "handig". Dat zien we nu al met het niet-digitale persoonsbewijs, en ook dat was niet nieuw. Dat gebeurde na WO2 ook al, en duurde jaren voordat er iemand eens zei, weet je, laten we er maar mee ophouden. Want het levert meer risico op dan dat het helpt. De digitale aanpak versterkt ook het risico met een hele grote factor.

Cruciale denkfout: Dat wat wij beslissen ook gaat gebeuren. Zo werkt dat in de echte wereld gewoon niet. Die relatie is niet 1:1. Daar moet je dus rekening mee houden met ontwerpen van systemen maar ook wetten en andere infrastructuur.


Dan til je de kaart even op en je stopt'm weer terug. En dan blijft'ie zitten tot de volgende ronde.

Zeurt de software nog steeds, dan trek je de kaart er een beetje uit en laat 'm zitten. Of je legt 'm er naast. De volgende stap is dat iemand een schakelaartje in de lezer monteert, en daarna komen zulke aangepaste lezers op de markt. Of iemand patcht de software om z'n muil te houden.

In het eerste geval kan malware rustig meekijken, en in het eerste en het tweede geval blijft het kaartje in de lezer zitten of er vlakbij liggen. Dat is dan marginaal beter maar nog steeds onbeheerd. En het derde geval? Zoals het eerste maar dan met aftermarket gerommel aan de software.

Want dit soort slimmigheden komen neer op de gebruiker met maakwerk lastigvallen en dat levert altijd hetzelfde resultaat op: Irritatie (goh) en vaak verbazend simpele workarounds. En uiteindelijk blijkt het uiteindelijke doel van de systeemontwerper toch niet gehaald.

Maar belangrijker nog, je gaat volledig voorbij aan het grotere probleem dat om het kaartje vragen triviaal geworden is en dus te pas en te onpas gebeurt (zoals nu al het geval met je toch altijd verplicht toonbare paspoort) en daarmee op zichzelf een sluipend privacyprobleem. En daar helpen dit soort slimmigheden helemaal niet tegen.

Heel slim. Maar wat was het eigenlijke probleem nou? Heb je dat nou opgelost, dan? Met een telefoon die permanent op een nfc lezer ligt?

En oh ja, je hebt er dure telefoons en ladingen en ladingen software bovenopgegooid die vol kan en zal zitten met bugs en exploits en daarmee opzichzelf een risico plus kostenpost is. En nu gaat de informatie ook nog eens door de lucht in plaats van door een triviaal-afschermbaar draadje. Gefeliciteerd hoor.


Zonder principebesluit dat iedereen dat moet kunnen worden het weer de usual suspects. Dan kunnen we nu dus wel inpakken, want het feest is bij voorbaat een dode mus.

Je doet werkelijk niets om tegenwerpingen te ontkrachten anders dan zeggen "weten we niet". Lekker daadkrachtig.

Het punt is nou juist dat dit fundamentele keuzes zijn die vooraf in het ontwerp moeten en waar alles omheen opgebouwd moet worden. Doe je dat niet, dan duiken er onoplosbare gaten op waar druk misbruik van gemaakt gaat worden.


Dat is, zeg maar, een laag hoger. Eerst de credentials overleggen en echt bevinden.

Dat een hypotheekbank geen donald duck-ledenpas als identificatie wil aannemen klinkt niet heel raar, maar komt later pas. Want zo'n beslissing is een waardeoordeel, en dat hoort niet thuis op dit niveau. Valt me tegen dat je moeite hebt met dit onderscheid.

Het is niet aan de platform provider om te beslissen wie wat mag, anders dan garanderen dat iedereen in elke capaciteit mag meedoen. Dat niet iedereen de identiteitscertificeringen van willekeurig wie zal willen accepteren doet daar helemaal niets aan af.

Zonder die garantie op eerste klas burgerschap heb je een garantie op een tweedeling. Met die garantie heb je geen garantie op geen tweedeling, overigens. Maar zonder zijn we helemaal nergens, dus begin maar met te beslissen dat die garantie altijd en zinvol van toepassing is, met creatieve reparaties mocht dat ooit niet het geval zijn. Een soort WOB op IdP-toegang.

Dit betekent wel dat gebruik van zo'n systeem lastiger wordt want je kan niet meer blind van het gegeven "oh dit is een geloofsbrief, nou, zal wel goed zijn dan" uitgaan. Kon je eigenlijk toch al niet dus dat daar met zo'n systeem gedwongen verandering in komt is eigenlijk best prima. Tenminste, zolang je het op een serieuze manier stroomlijnt en niet probeert op de gangbare infantiele "gebruiksvriendelijke" wijze te "vergemakkelijken".


Dat is niet waar.

Ook dat is niet waar, het is zelfs een omgekeerde redenering: Je zegt dat we niet van onze fouten mogen leren en maar iedere keer met de meest wilde plannen in zee moeten gaan ondanks alle keren dat vergelijkbare ideen eerder de mist in zijn gegaan. Weten we gelijk nog een reden waarom overheids-IT zo vaak de mist in gaat. Je disqualificeert jezelf alleen wel als systeemontwerper voor grootschalige uitrol of zelfs alles wat maar enigszins met cryptografie van doen heeft.

Je kan beginnen met de ontwerpseisen serieus te nemen in plaats van dat paard achter de technologiewagen te spannen.

Ik denk dat de lat veel te lang veel te laag heeft gelegen, en bij jou nog steeds onder water ligt. Daar is veel vertrouwen mee verspeeld en dat terugwinnen gaat veel moeite kosten. En een ding is heel zeker: Door voortdurend de boot af te houden ga je geen enkel vertrouwen terugwinnen, integendeel.

Natuurlijk snap ik dat je zit te zuchten, ik kan het hier horen. Maar dat wil nog niet zeggen dat ik onterecht op alle slakken zout leg. Dit soort dingen ontwerp je precies door dat wel te doen en door te gaan tot je iets hebt waar je geen zout meer op kwijt kan. Dat dit vermoeiend is, soit.

Belangrijker is dat het veel te weinig gedaan wordt en dat er daarom veel te veel ondeugdelijke softwaresystemen in omloop zijn. Zie bijvoorbeeld episch faalfeestje ov-chipkaart, of het schaamtevolle gedoe met de epd, of de privacyonvriendelijke aspecten van het systeemontwerp en de software van de netwerkkant van mobiele telefoons, of zoveel andere dingen dat je er niet serieus over kan praten zonder als zwartgallige cynicus over te komen.

Laat dit voorstel er nou net eentje zijn waar je nog veel minder dan al die andere systemen gaten en problemen kan tolereren. Want je weet nu al dat de hele ambtelijke infrastructuur en nog veel meer anderen er al dan niet nodeloos afhankelijk van gaan en gaan willen zijn. Dan wordt het kleinste lekje al gauw onverteerbaar problematisch.

En dus schop ik er zo hard mogelijk tegenaan, zo vroeg mogelijk, zodat zoveel mogelijk problemen zo vroeg mogelijk aan het licht komen en voorspelbaar excuusgewaffel later "oh ja daar hadden we even niet aan gedacht maar we zijn nu al zo ver dat er niets meer aan gedaan kan worden" overduidelijk onacceptabel gaat worden.

En dan kom jij met "oh nog niet besloten". Nou, dan zijn jullie mooi te laat met beslissen hoe de fundamenten te leggen. Dit zijn namelijk dingen die vanaf de eerste aankondiging duidelijk hadden moeten zijn, en we zijn al een flinke tijd verder.

Er zijn meer overwegingen dan sec technische of marketingvisie. Is het wel verstandig om zoveel zeer persoonlijke gegevens zo breed digitaal beschikbaar te maken? Er is daarover een e-book geschreven door NL Burger dat heet 'Digid & eID' - gauw weg ermee! Via Bol te koop....