image

Juridische vraag: mag verzekeraar DigiD met sms verplichten?

woensdag 25 juni 2014, 11:15 door Arnoud Engelfriet, 46 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Mijn verzekeraar mailde me dat ik per 1 juli alleen nog kan inloggen op het portaal met DigiD plus een extra controlestap via sms. Ze zeggen dat dat van de wet moet. Ik heb alleen een probleem hiermee want ik heb (en wil) geen mobiele telefoon. Wat nu?

Antwoord: Nergens staat in de wet dat er sms-verificatie moet gebeuren als mensen inloggen met DigiD, althans niet letterlijk. Het gaat hier om de privacywet, de Wet bescherming persoonsgegevens. Die schrijft voor dat je "adequate" beveiliging van persoonsgegevens moet hanteren. Wat precies "adequaat" is, staat niet in de wet. Dat moet je zelf bepalen (en kunnen motiveren) op basis van dingen als het soort gegevens, het soort aanvallen en de impact van misbruik. Ook de stand der techniek, wat is er tegenwoordig normaal en gebruikelijk, weegt hierin mee.

Vandaag de dag is tweefactorauthenticatie een bekende techniek. Niet meer alléén een wachtwoord, alleen een biometrische code of een pasje maar minstens twee van die dingen. Het idee is dat een aanvaller niet allebei die dingen onder controle kan krijgen. In de context van DigiD kom je dan al snel uit bij een controle per sms. Je kunt mijn laptop hacken maar hoe onderschep je dan óók de sms'en op mijn telefoon.

Voor de techniek valt dus wat te zeggen, alleen heeft deze lezer geen mobiele telefoon en die wil hij ook niet. Daarmee zou de dienst voor hem onbruikbaar worden. Normaal zou zoiets een reden voor opzeggen zijn, alleen is dat bij een verzekering nogal gedoe (vind maar eens een nieuwe) nog afgezien van de vraag of je dat wel wil gezien de kosten en het gedoe. En wanneer de maatregel eigenlijk doodnormaal is, kun je je afvragen of het wel redelijk is om dat als opzeggrond te gebruiken.

Je zou verwachten dat iemand die er expliciet om vraagt, wel een login zonder sms zou kunnen krijgen. Maar ik weet niet hoe technisch complex dat is om te realiseren.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (46)
25-06-2014, 11:34 door johanw
Dan zie het als extra kostenpost: voor 11 euro koop je een goedkope gsm met simkaart, als je verder niet mobiel bereikbaar wilt zijn geef je dat nummer alleen aan diensten die het voor 2-factor autorisatie gebruikeen en leg je hem naast je computer.
25-06-2014, 11:40 door Anoniem
Het gaat hier meer om een challenge-respons en niet zozeer om een (puristisch gezien) 2-factor authenticatie. Challenge-respons is dat je een tweede code meegeeft binnen een bepaalde tijd. Ze gaat dan via 2 routes. Althans, als je toevallig niet met je smartphone ook de verzekeringsapp gebruikt. (Hoe veilig is dat?)
Behalve je opzegredenen aan te kaarten of te vragen of je 'alleen maar' mag inloggen zonder sms-code (dat is waarschijnlijk in strijd met de policy van de verzekeraar) kun je ook vragen of ze een analoge route hebben voor de codes. Bijvoorbeeld een apart verstuurd document met codes. Dan doe je geen geweld aan het principe en policy, maar hoef je niet aan de mobiele telefoon. Zo doen banken dat ook.
25-06-2014, 11:50 door Anoniem
Door johanw: voor 11 euro koop je een goedkope gsm met simkaart.
Waar is die gsm te koop? Ik gebruik mijn mobieltje ook nooit, maar moet hem toch elke 6 maanden upgraden met 10 euro. Ik heb er nu 150 euro op staan (ik heb het ding dus ongeveer 7 jaar).
25-06-2014, 11:51 door Anoniem
Staat er ergens dat ze digid mogen verplichten?

Persoonlijk heb ik er geen en wil dat zo lang mogelijk zo houden. Inderdaad, communicatie met de overheid (en alles wat daaronder schaart of er al te graag op wil lijken) doe ik puur per papieren brief. Dit omdat de paper trail die ik dan in eigen hand kan houden zonder dat ik van andermans computers of ongezien falende opslag of wat dan ook anders afhankelijk ben.

Ik blijf dus graag verschoond van zulke afhankelijkheden. Je kan de situatie ook van de andere kant bekijken: Je verwacht dus dat mensen aan vanalles voldoen terwijl je zelf je zaakjes niet op orde hebt. Je kan dan wel gaan vinden dat het (binnen jouw belevingswereld) doodnormaal is dat iedereen een telefoon-met-SMS heeft, en zelfs dat het goedkoop genoeg zou zijn om te vereisen. Het is maar helemaal de vraag of dat ook zo is; er is iemand die zegt van niet, moet hij zich dan maar aanpassen? Waarom dan?

Wie is er hier nu de dienstverlener? Lijkt me dat als je je systemen zo onflexibel bouwt dat ze maar een toegangsweg kennen of dat de anderen ineens veul duurder zijn, dat je dan je werk als systeembouwer niet goed gedaan hebt. Je hebt om jouw procesverbeteringen te behalen dus het zich in bochten moeten wringen, en de daarbij behorende kosten en moeite, op je klanten afgeschoven. Zo effectief en efficient waren jouw "verbeteringen" dan dus niet.

Maar stel dat je dat doet. Dan moet je dus als klant voor je verzekering een mobieltje aanschaffen, zeg twintig euro met simlock en een prepaidkaart. Registreren, de hele handel. Werkt. Verdwijnt in een la. Volgend jaar blijkt de simkaart verlopen en het nummer niet meer terug te krijgen. En nu?

Dus voor de eindgebruiker kan het best veiliger en handiger en minder rompslomp zijn om niet met dat nieuwerwetse gedoe mee te gaan. Het is nieuwe techniek en dus brak. Dit is de ambtenarij dus brakke meuk nu ingevoerd gaat minstens tien jaar mee. Nog een reden om lekker ouderwets te blijven tegenover zo'n langzame partij.

Belangrijker haast nog is dat het me vertelt of ze snappen waar ze moeten "digitaliseren" en waar niet: Hun eigen systemen wel, het mijne alleen met mijn goedvinden. Alleen daarom al moeten officieele instanties papier blijven accepteren, hoe graag ze ook willen dat er elektronies geknutseld gaat worden. Want geknutseld wordt er. Websites, maar dan geen APIs, zodat ik niet verder bovenop hun geknutsel kan automatiseren maar ben veroordeeld tot een brakke website, die als het tegenzit ook nog eens een browser vereist anders dan die ik toevallig heb. En het gaat ook wel heel toevallig wel eens mis. Hoe zat dat ookalweer met dat ene hele belangrijke PDFje, po-li-tie? En die toevallige stroomstoring in jullie afluistercentrale?

Dit is een vraag van systeemontwerp, specifieker hoe interfaces niet tussen digitale systemen maar tussen organisaties dienen te werken, en er is maar heel weinig begrip van, laat staan voor, te vinden binnen overheid, en zelfs hier. Maar wat mij betreft is het een redelijk belangrijk onderdeel van het bepalen van wat "redelijk" is. Temeer omdat onze techniek zoveel vermag dat het allemaal kan, zolang we maar uitzoeken hoe dan. Dan is het dus redelijk tijd dat we beginnen hier serieus over na te denken, in plaats van naar de status quo te kijken en te verzinnen welke vreemde bocht om de klant in te wringen nog "redelijk" is, en welke niet meer.
25-06-2014, 11:51 door Anoniem
@Arnoud,

Je geeft aan dat opzeggen een oplossing zou kunnen zijn maar er zijn ook verplichte verzekeringen die je dus niet op kunt zeggen (zeker niet indien ALLE verzekeraars overstappen op SMS verificatie). Indien je dus niet aan de GSM eis van de verzekeraars wilt voldoen maak je jezelf daarmee onverzekerbaar, gaat een leuke worden dan.
25-06-2014, 11:52 door Anoniem
Het alternatief om alles op papier te blijven doen zal altijd blijven bestaan.
25-06-2014, 11:58 door jetstreak
Ik vind het een raar verhaal. Bij DigId kan je optioneel tweefactorauthenticatie (SMS) instellen. Wordt dit bedoeld of wordt een SMS via de verzekeraar afgedwongen? Als je autheticatie via DigId laat lopen, dan moet je DigId ook vertrouwen en niet zelf nog extra zaken toevoegen.
25-06-2014, 12:04 door Anoniem
SMS kan tegenwoordig toch ook naar een vaste lijn? Wordt het bezit van een mobiele telefoon hier wel verplicht gesteld?
25-06-2014, 12:21 door Anoniem
De vraag is eigenlijk (in mijn ogen) of het wel terecht is, dat de verzekeraar verificatie via DigID gebruikt. Een overheid die dit eist, terwijl ze zelf aangeven over een vervanging van DigID na te denken, moet met eisen wachten, tot er een systeem is, dat aan de nieuwe wensen/voorwaarden voldoet. En ook dat verhaal van een verplichte SMS is leuk, maar niet waterdicht. Er wordt hier regelmatig gesproken over GSM malware die SMSjes kan onderscheppen en doorsluizen. Wanneer dit gebeurt zonder de SMS op het toestel te tonen, zou dan zomaar alle veiligheid weg zijn.

Het combineren van de plicht voor DigID en SMS zal ongetwijfeld een aantal criminelen triggeren om hier iets "leuks" mee te doen. Dit natuurlijk van uit hun standpunt.
25-06-2014, 12:21 door Anoniem
Dit is denk ik ook een principekwestie; de verzekeringsmaatschappij in kwestie gaat nu mensen dwingen een ander commercieel product aan te schaffen. In een ander geval dwingen ze mensen met b.v. een geheim nummer, dit in een bepaalde mate openbaar te maken aan tenminste 1 zo niet meer instanties.

Een verzekeringsmaatschappij heeft natuurlijk niet het recht om klanten te dwingen een apparaat aan te schaffen waarvan bijvoorbeeld de gezondheidsrisico's nog steeds erg vaag zijn. Aan de andere kant is het natuurlijk wel goed dat ze meer maatregelen treffen dat bijvoorbeeld verzekeraars die gewoon login gegevens met een zeer zwak wachtwoord per post versturen in een enkele brief. Krijg je die brief niet, weet je van niets en zal dat zeer zwakke wachtwoord nooit gewijzigd worden.

Maar toch lijkt het mij dat een verzekeraar hier een alternatief moet bieden omdat verzekeringen vaak verplicht zijn. Het is anders dan b.v. een Facebook account welke tweefactorauthenticatie verplicht; hier is het eenvoudig om het product simpelweg te weigeren.

Is het overigens niet zo dat bij het inloggen met digid bij derden dit altijd via https://digid.nl verloopt welke de sessie overdraagt naar de portal van in dit geval de verzekeringsmaatschappij? In dat geval kan deze helemaal niet beslissen welk type digid een klant moet gebruiken en lijkt het meer of een soort van bluf om onwetende klanten tot een veiligere methode te dwingen.

Op zich een interessante strategie mocht dit kloppen; klanten veiliger laten werken door ze om de tuin te leiden.
25-06-2014, 12:22 door Anoniem
Behalve mensen zonder mobiele telefoon zijn er natuurlijk ook mensen die geen internet hebben. Zolang je alles wat de verzekeringsmaatschappij te bieden heeft ook zonder toegang tot de portal kan regelen (gewoon ouderwets per brief en telefoon) denk ik dat het enige probleem dat er ontstaat het gemak is waarmee je verzekeringszaken regelt, niet de mogelijkheid om dat te doen.

Volgens Independer wordt de SMS verplicht omdat zorgverzekeraars (gaat het daarom?) per 1 juli meer informatie over je zorgverzekering in de portal opnemen, wat ze verplicht om de aanlog beter te beveiligen.
http://weblog.independer.nl/productnieuws/inloggen-digid-zorgverzekeraar-verandert/

Natuurlijk zijn daar ook andere methoden voor dan de SMS van DigiD, zoals papieren TAN-lijsten (niet sterk) of het soort calculatortjes dat banken gebruiken. Maar het kost heel wat geld om alternatieven te implementeren, en de groep mensen zonder mobieltje is vermoedelijk te klein daarvoor.

Het is een afweging tussen gemak voor de klant, veiligheid en kosten voor de verzekeraar. Als op de veiligheid door een wettelijke verplichting geen uitzonderingen kunnen worden gemaakt en de kosten voor andere oplossingen voor een kleine groep klanten niet te verantwoorden zijn voor de verzekeraar, dan blijft minder gemak voor de klanten zonder mobieltje over.

Ik denk dat het volkomen terecht is dat een portal met zeer privacygevoelige gegevens goed beschermd wordt, en daar hoort tweefactorauthenticatie bij. Ik weet niet waarom de vraagsteller geen mobieltje wil, maar als privacy daarvoor het argument is (het idee dat je locatie dan van moment tot moment ergens geregistreerd wordt) dan vind ik het het verrassend dat de vraagsteller de zwakkere login-vorm kennelijk wel acceptabel vindt.

Aan de opvolger van DigID wordt trouwens gewerkt door de overheid. Als dat zonder vertraging lukt (en de overheid heeft daar geen goede reputatie in) wordt de eID in de loop van volgend jaar ingevoerd, en dan verdwijnt het probleem van de vraagsteller. Dat is ook zonder vertraging rijkelijk laat, België heeft het al ruim 10 jaar geleden ingevoerd.
25-06-2014, 12:28 door Anoniem
Wat mij ook wel weer verbaasd, of eigenlijk ook niet gezien het verleden (denk sofi-nummer), dat een DigiD nodig is voor een verzekeraar. Laat DigiD principieel voorbehouden zijn aan contacten met de overheid, dan levert het tenminste nog een beetje vertrouwen op. Als we straks te pas en te onpas DigiD moeten gebruiken zal op enig moment het imago hiervan kelderen.
25-06-2014, 12:32 door Anoniem
Door jetstreak: Ik vind het een raar verhaal. Bij DigId kan je optioneel tweefactorauthenticatie (SMS) instellen. Wordt dit bedoeld of wordt een SMS via de verzekeraar afgedwongen? Als je autheticatie via DigId laat lopen, dan moet je DigId ook vertrouwen en niet zelf nog extra zaken toevoegen.
Ik neem aan dat de hele afhandeling gewoon via DigiD loopt. De gebruiker van DigiD (de verzekeraar dus) krijgt bij de
inlog ook de info of deze extra SMS validatie gedaan is. Kennelijk accepteren ze geen logins waarin dat niet gebeurd is.

Kijk je moet het natuurlijk ook van de andere kant bekijken om een volledige afweging te kunnen maken. Die verzekeraar
ziet zich in de positie van de dreiging van "alle persoonlijke gegevens van onze verzekerden liggen op straat" in het journaal,
dus die wil het uit eigen belang graag veilig maken. Als je dat zelf minder belangrijk vindt dan is dat vervelend natuurlijk.

Ik weet ook niet of ik er zelf mee zou zitten. Eerlijk gezegd heb ik nog nooit bij mijn verzekeraar ingelogd, en ik kan ook
niet zo 1-2-3 bedenken waarom ik dat zou willen. Als ik zo'n brief zou krijgen zou ik denken "veel geluk ermee!".
25-06-2014, 12:33 door Anoniem
Door Anoniem:
Door johanw: voor 11 euro koop je een goedkope gsm met simkaart.
Waar is die gsm te koop? Ik gebruik mijn mobieltje ook nooit, maar moet hem toch elke 6 maanden upgraden met 10 euro. Ik heb er nu 150 euro op staan (ik heb het ding dus ongeveer 7 jaar).

Toen ik 2 jaar geleden nog prepaid mobieltje had had ik deze van t-mobile op dat moment stelde ze alleen verplicht dat je 1x belde/smsde per 6 maanden om het nummer actief te houden. Je hoefde dus niet elke 6/12 maanden minimaal €10,-- beltegoed te kopen zoals dat toen wel door andere telecom bedrjiven werd gedaan.
Je zal dus even kunnen kijken of t-mobile nog steeds deze voorwaarden. Als dat zo is kan je mischien de overstap maken dat voorkomt dan dat je een spaarpot op je telefoon hebt.

Door Anoniem: @Arnoud,

Je geeft aan dat opzeggen een oplossing zou kunnen zijn maar er zijn ook verplichte verzekeringen die je dus niet op kunt zeggen (zeker niet indien ALLE verzekeraars overstappen op SMS verificatie). Indien je dus niet aan de GSM eis van de verzekeraars wilt voldoen maak je jezelf daarmee onverzekerbaar, gaat een leuke worden dan.

Dit volg ik niet. Je kan je toch rustig verzekeren. Je moet alleen even rekening mee houden dat je net als vroeger je verzekeraar moet bellen(/ brief/declaraties moet sturen) als je wat wil regelen aangezien je dat dan niet via internet (Digid) kan doen. dus ik zal zegen dat je nog steeds verzekerd kunt zijn. (corigeer me maar als ik het fout heb)

Door Anoniem: SMS kan tegenwoordig toch ook naar een vaste lijn? Wordt het bezit van een mobiele telefoon hier wel verplicht gesteld?

DIt kon ik vinden op de website van KPN:

Ontvangen

Met een geschikte vaste telefoon ontvangt u een tekstbericht op het display van uw telefoon. Als u geen geschikte vaste telefoon hebt, dan zet de sms-centrale het tekstbericht om in een gesproken bericht.

Als u niet thuis bent vangt uw antwoordapparaat of VoiceMail het gesproken bericht op. Hebt u geen van beide, dan wordt in 72 uur 8 keer geprobeerd u te bereiken.

Tussen 23.30 en 08.30 uur ontvangt u geen spraakberichten.

Wat kost Sms voor vaste telefoon?

Het ontvangen van een sms-bericht is gratis.


Ik weet niet of digid dit ook ondesteund maar dat zal je kunnen vragen/uitzoeken. Ook weet ik niet of andere telecom bedrijven dit doen.

(bron vermelding http://www.kpn.com/zakelijk/vast-bellen/zakelijk-vast-bellen/extra-diensten/bereikbaarheid/sms-voor-vaste-telefoon.htm)

M.v.g.
MD
25-06-2014, 12:46 door Anoniem
Door Anoniem:
Door johanw: voor 11 euro koop je een goedkope gsm met simkaart.
Waar is die gsm te koop? Ik gebruik mijn mobieltje ook nooit, maar moet hem toch elke 6 maanden upgraden met 10 euro. Ik heb er nu 150 euro op staan (ik heb het ding dus ongeveer 7 jaar).

Dat geld staat er dus ook niet meer op, want je beltegoed is slechts een half jaar geldig.
25-06-2014, 13:02 door Anoniem
Als de verzekeraar het verplicht maakt om een mobiele telefoon met sms functionaliteit te hebben om met hen te communiceren via hun website kan je dan niet de tegen eis stellen dat zij dan ook maar die telefoon met functionaliteit beschikbaar stellen op hun kosten?
25-06-2014, 13:35 door Preddie
SMS kan je ook gewoon naar een vaste lijn laten toesturen, dan krijg je en geautomatiseerde mevrouw aan de lijn die het SMS voor leest ;)

Maar goed even terug naar DigiD, dit is bedoeld voor communicatie met de overheid. Voor aansluiting op DigiD moet een organisatie voldoen aan de voorwaarde, één van deze voorwaarde is de volgende:

Alleen organisaties die overheidstaken uitvoeren en die in hun administratie gebruik mogen maken van het burgerservicenummer (BSN) kunnen aansluiten op DigiD.

Een verzekeraar is niet belegd met overheidstaken en mag vanuit dit oogpunt dus geen aansluiting krijgen op DigiD. Echter moet ik daarbij aangeven dat taken als die van een zorgverzekeraar mogelijk gezien kunnen worden als overheidstaak echter strookt dat natuurlijk ook met het winstoogmerk van een dergelijke organisatie. Stel dat dit een situatie een legale situatie is dan mag verzekeraar DigiD alleen gebruiken voor de zorgverzekering en niet voor andere verzekeringen of diensten, hier is immers geen grondslag voor....
25-06-2014, 13:47 door Anoniem
Er is ook een bank (Leaseplanbank) die per se iets per mobiel wilde doen en anders kun je geen spaarrekening openen. Die kreeg dus mijn geld niet.

Er wordt nogal wat afgedwongen c.q. afgeperst door banken. Ze denken dat een vage verklaring voldoende is. Daar moet de politiek maar eens een einde aan maken. De Wet Witwassen en Terrorismebestrijding wordt voor de zekerheid maar even twee tot drie keer zwaarder uitgevoerd dan feitelijk gevraagd wordt (ook door de DNB).
25-06-2014, 14:12 door Anoniem
"Mijn verzekeraar mailde me dat ik per 1 juli alleen nog kan inloggen op het portaal met DigiD plus een extra controlestap via sms. Ze zeggen dat dat van de wet moet. Ik heb alleen een probleem hiermee want ik heb (en wil) geen mobiele telefoon. Wat nu?"

Moet de verzekeraar systemen minder veilig maken dan noodzakelijk ?

"Er wordt nogal wat afgedwongen c.q. afgeperst door banken. Ze denken dat een vage verklaring voldoende is."

Het zorgen een zo veilig mogelijk systeem is afpersing ?

"Echter moet ik daarbij aangeven dat taken als die van een zorgverzekeraar mogelijk gezien kunnen worden als overheidstaak "

Hoezo zou dat een taak zijn van de overheid, leg uit.....
25-06-2014, 14:29 door Korund

Toen ik 2 jaar geleden nog prepaid mobieltje had had ik deze van t-mobile op dat moment stelde ze alleen verplicht dat je 1x belde/smsde per 6 maanden om het nummer actief te houden. Je hoefde dus niet elke 6/12 maanden minimaal €10,-- beltegoed te kopen zoals dat toen wel door andere telecom bedrjiven werd gedaan.
Ik heb een nog oudere t-mobile prepaid: in plaats van zelf te bellen, mag ik ook (minstens) een keer per 6 maanden gebeld worden of een sms ontvangen om het beltegoed en nummer actief te houden!
25-06-2014, 14:42 door Anoniem
Toen ik 2 jaar geleden nog prepaid mobieltje had had ik deze van t-mobile op dat moment stelde ze alleen verplicht dat je 1x belde/smsde per 6 maanden om het nummer actief te houden.

Ik heb een nog oudere t-mobile prepaid: in plaats van zelf te bellen, mag ik ook (minstens) een keer per 6 maanden gebeld worden of een sms ontvangen om het beltegoed en nummer actief te houden!

Het goedkoopste, nu af te sluiten, abonnement (SIM only) van T-mobile is 3 euro/mnd. Dit is dus meer dan eenmalig 11 euro en ook meer dan 10 euro upgrade elke 6 maanden (Telfort).
Dat geld staat er dus ook niet meer op, want je beltegoed is slechts een half jaar geldig.
Nee, ik raak mijn tegoed niet kwijt zolang ik maar blijf upgraden (inderdaad een spaarpot, maar wel een waar het gespaarde geld niet uit kan).
25-06-2014, 15:58 door Anoniem
Door Anoniem: Kijk je moet het natuurlijk ook van de andere kant bekijken om een volledige afweging te kunnen maken. Die verzekeraar ziet zich in de positie van de dreiging van "alle persoonlijke gegevens van onze verzekerden liggen op straat" in het journaal, dus die wil het uit eigen belang graag veilig maken. Als je dat zelf minder belangrijk vindt dan is dat vervelend natuurlijk.
Die redenatie klopt niet. Het is wel hoe er gedacht wordt, maar niet hoe het werkt. Je eist namelijk dat je klanten meer moeite gaan doen om... wat te bereiken? Wil je echt impliceren dat als er een iemand zijn digid gecompromitteerd wordt dat dan het hele bestand met alle klanten op straat ligt? Dan heb je dus al een veel groter probleem wat je eerst mag oplossen in plaats van moeilijk te gaan doen met schijnmaatregelen die de klant extra werk kosten, wellicht op kosten jagen.


Door Anoniem:
Door Anoniem:
Door johanw: voor 11 euro koop je een goedkope gsm met simkaart.
Waar is die gsm te koop? Ik gebruik mijn mobieltje ook nooit, maar moet hem toch elke 6 maanden upgraden met 10 euro. Ik heb er nu 150 euro op staan (ik heb het ding dus ongeveer 7 jaar).

Toen ik 2 jaar geleden nog prepaid mobieltje had had ik deze van t-mobile op dat moment stelde ze alleen verplicht dat je 1x belde/smsde per 6 maanden om het nummer actief te houden. Je hoefde dus niet elke 6/12 maanden minimaal €10,-- beltegoed te kopen zoals dat toen wel door andere telecom bedrjiven werd gedaan.
De laatste keer dat ik er naar keek (ook al weer een tijdje terug) bleek dat er toch regelmatig geld bij moest om het nummer vast te houden, of de sim actief, of hoe ze het ook precies zeggen. Ook bij tenten die beweren van niet; je moet even goed doorlezen. Wellicht 10 euro per zes maanden of... 20 euro per twaalf maanden.

Is ook niet heel raar want nummers zijn voor de aanbieder ook niet gratis. Je kan wellicht even kijken hoeveel een blok van duizend 06-nummers kost bij de opta. Moet je dan alleen nog even de jaarlijkse contributie bij omslaan, en de kosten van het administreren van al die nummers.
25-06-2014, 16:00 door Anoniem
Door Anoniem:
Toen ik 2 jaar geleden nog prepaid mobieltje had had ik deze van t-mobile op dat moment stelde ze alleen verplicht dat je 1x belde/smsde per 6 maanden om het nummer actief te houden.

Ik heb een nog oudere t-mobile prepaid: in plaats van zelf te bellen, mag ik ook (minstens) een keer per 6 maanden gebeld worden of een sms ontvangen om het beltegoed en nummer actief te houden!

Het goedkoopste, nu af te sluiten, abonnement (SIM only) van T-mobile is 3 euro/mnd. Dit is dus meer dan eenmalig 11 euro en ook meer dan 10 euro upgrade elke 6 maanden (Telfort).
Dat geld staat er dus ook niet meer op, want je beltegoed is slechts een half jaar geldig.
Nee, ik raak mijn tegoed niet kwijt zolang ik maar blijf upgraden (inderdaad een spaarpot, maar wel een waar het gespaarde geld niet uit kan).

Ik denk dat we even een miscomunicatie hadden. Wat ik bedoelde was een prepaid mobieltje van T-mobile in dat geval ben je alleen de kosten kwijt van de telefoon en hoef je hem niet meer elke x maanden/jaren je beltegoed optewarderen. Dus wat jij aangeeft dat je een SIM only abbonnement moet nemen en dat je meer dan €11 kwijt bent is niet wat ik bedoelde.

Wat ik bedoelde was koop een t-mobile prepaid mobiltje en je bent in 1x klaar. Als ik op de website van t-mobile kijkt is de goedkopste telefoon ongeveer €20 (zal in de winkels vast wel goedkoper zijn) maar uiteindelijk ben je minder kwijt aangezien je niet elke x maanden je beltegoed hoeft optewarderen. (ervan uitgaande dat de algemene voorwarden nog gelijk zijn)

m.v.g.
MD
25-06-2014, 16:56 door Anoniem
Door Anoniem:
Door Anoniem: Kijk je moet het natuurlijk ook van de andere kant bekijken om een volledige afweging te kunnen maken. Die verzekeraar ziet zich in de positie van de dreiging van "alle persoonlijke gegevens van onze verzekerden liggen op straat" in het journaal, dus die wil het uit eigen belang graag veilig maken. Als je dat zelf minder belangrijk vindt dan is dat vervelend natuurlijk.
Die redenatie klopt niet. Het is wel hoe er gedacht wordt, maar niet hoe het werkt. Je eist namelijk dat je klanten meer moeite gaan doen om... wat te bereiken? Wil je echt impliceren dat als er een iemand zijn digid gecompromitteerd wordt dat dan het hele bestand met alle klanten op straat ligt? Dan heb je dus al een veel groter probleem wat je eerst mag oplossen in plaats van moeilijk te gaan doen met schijnmaatregelen die de klant extra werk kosten, wellicht op kosten jagen.

Nee natuurlijk niet maar daarom schrijf ik ook "in het journaal". Daar worden detailweergaves niet gemaakt en is het
gewoon je reputatie die op het spel staat. Als het een journalist lukt om op andermans account in te loggen en info
naar boven te halen dan is dat "net zo erg" als wanneer ieders informatie op straat ligt. Dit is al meerdere malen
voorgekomen. Bepaalde journalisten komen gewoon graag op TV met sensatieverhalen over hacks.

Dus ik kan me best voorstellen dat die verzekeraar dat liever niet wil!
25-06-2014, 19:49 door Anoniem
Wat overigens lijkt een verstandige stap te zijn kan ook een vorm van reclame door schijnveiligheid zijn.

Is een SMS code werkelijk veel veiliger dan een 'schoon' systeem van een bewuste gebruiker met een sterk wachtwoord?

Hoeveel mensen hebben niet hun smartphone via bluetooth aan hun laptop gekoppeld of laden hun telefoon via de USB kabel aan de PC op? In dat geval is het een koud kunstje voor mallware om de SMSjes van de telefoon uit te lezen.
25-06-2014, 21:36 door Anoniem
Door Anoniem: [...]
Nee natuurlijk niet maar daarom schrijf ik ook "in het journaal". Daar worden detailweergaves niet gemaakt en is het
gewoon je reputatie die op het spel staat. Als het een journalist lukt om op andermans account in te loggen en info
naar boven te halen dan is dat "net zo erg" als wanneer ieders informatie op straat ligt. Dit is al meerdere malen
voorgekomen.
Nou, wat er regelmatig misgaat is dat er iemand op andermans account kan inloggen zonder direct de "juiste" toegangscodes in te hoeven voeren. Volgens mij was dat in de zaak Krol ook het geval, in dat je wel een valide setje inloggegevens nodig had, maar daarmee had je (met een klein beetje knutselwerk) toegang tot willekeurig welk account. Waarmee, als je dat maar langzaam genoeg leegtrekt dat het niet opvalt, effectief inderdaad het hele bestand op straat ligt.

Daar helpen "betere" constructies als SMSjes ook niet tegen, en het probleem ligt nog steeds compleet bij de aanbieder, niet bij de klant.

Bepaalde journalisten komen gewoon graag op TV met sensatieverhalen over hacks.
Niet alleen journalisten brengen graag boemanverhalen. Dat doet de computerbeveiligingsindustrie ook met graagte. Je zou haast zeggen dat er een flinke dosis FUD in het verdienmodel zit ingebakken.

Dus ik kan me best voorstellen dat die verzekeraar dat liever niet wil!
Het blijft afschuiven met symboolpolitiek zodat ze kunnen zeggen "maar we hebben het geprobeerd hoor!" en meer van die ongein. Ik zeg, dat is gewoon niet goed genoeg. Met echte veiligheid kom je helemaal niet in het nieuws. Wellicht dat ze dat weer te ver gaat, wegens "no such thing as bad publicity".

Dat is ook maar ten dele waar, vraag maar aan Buckler bijvoorbeeld. Toch is het waar politici meestal voor gaan: Heroisch falen zodat je het na je verherverkiezing nog een keer episch verkeerd kan doen. Maar bedrijven maken zich net zo goed schuldig aan symboolpolitiek.
25-06-2014, 22:26 door Anoniem
Ik ben heel benieuwd naar het antwoord op de vraag of een verzekeraar DigiD wel verplicht mag stellen. Niemand weet daar kennelijk het antwoord op.
Is het niet veel logischer dat verzekeraars een eigen ander systeem van twee factor authenticatie kiezen (evt. verschillende combi's) dan van het DigiD gebruik te maken met alle risico's van dien?
26-06-2014, 10:17 door johanw
Door Anoniem:
Door johanw: voor 11 euro koop je een goedkope gsm met simkaart.
Waar is die gsm te koop? Ik gebruik mijn mobieltje ook nooit, maar moet hem toch elke 6 maanden upgraden met 10 euro. Ik heb er nu 150 euro op staan (ik heb het ding dus ongeveer 7 jaar).
Kijkshop, een goedkope Samsung met een numeriek toetsenbord met Lebara kaart. Je moet hem wel elke 6 maanden opwaarderen. Je kunt hem natuurlijk ook gebruiken als huistelefoon om het beltegoed op te maken.
27-06-2014, 10:27 door Te4sheeh
Door Anoniem:
Is een SMS code werkelijk veel veiliger dan een 'schoon' systeem van een bewuste gebruiker met een sterk wachtwoord?
Ja. Volgende vraag. Hoeveel mensen hebben een sterk wachtwoord? <5% schat ik. Voor de overgrote meerderheid is het een ontzettende verbetering.

Hoeveel mensen hebben niet hun smartphone via bluetooth aan hun laptop gekoppeld of laden hun telefoon via de USB kabel aan de PC op? In dat geval is het een koud kunstje voor mallware om de SMSjes van de telefoon uit te lezen.
Dat malware bestaat ook al. Het is risico management. De meeste computers zijn geinfecteerd met malware die wachtwoorden onderschept, dus daar kan je echt niet mee door tegenwoordig. De kans dat er malware op je telefoon is en weet wie je bent is gewoon een stuk kleiner.

En de meeste malware schrijvers zijn toch uit op banken, niet op verzekeraars, dat maakt de risico nog kleiner. Mensen hebben de neiging om wachtwoorden te hergebruiken.
27-06-2014, 11:20 door Anoniem
Door Anoniem:
Is het niet veel logischer dat verzekeraars een eigen ander systeem van twee factor authenticatie kiezen (evt. verschillende combi's) dan van het DigiD gebruik te maken met alle risico's van dien?

Nee. Als iedereen zijn eigen systeem kiest dan zal er geen gebruikersacceptatie zijn.
Het is voor de invoering van een goed authenticatiesysteem juist van belang dat zoveel mogelijk partijen hetzelfde
systeem gebruiken. Alleen dan krijg je bereidheid om het te gebruiken.
27-06-2014, 11:49 door Anoniem
Voor de zorg telt een aangepaste regeling met betrekking tot het BSN gebruik. Hier in wordt het gebruik van het BSN door zorgverzekeraars expliciet behandeld. Zij mogen dus het BSN gebruiken en in het verlengde daarvan dus ook DigiD.

Het verplicht stellen van het gebruik van DigiD mag bij mijn weten niet. Volgens mij blijft de burger / klant het recht hebben de zaken op papier af te handelen. Mogelijk dat ze daar dan wel extra kosten voor in rekening gaan brengen.

http://wetten.overheid.nl/BWBR0023864/geldigheidsdatum_27-06-2014
27-06-2014, 12:57 door Anoniem
Door Te4sheeh:
Door Anoniem:
Is een SMS code werkelijk veel veiliger dan een 'schoon' systeem van een bewuste gebruiker met een sterk wachtwoord?
Ja. Volgende vraag. Hoeveel mensen hebben een sterk wachtwoord? <5% schat ik. Voor de overgrote meerderheid is het een ontzettende verbetering.

Hoeveel mensen hebben niet hun smartphone via bluetooth aan hun laptop gekoppeld of laden hun telefoon via de USB kabel aan de PC op? In dat geval is het een koud kunstje voor mallware om de SMSjes van de telefoon uit te lezen.
Dat malware bestaat ook al. Het is risico management. De meeste computers zijn geinfecteerd met malware die wachtwoorden onderschept, dus daar kan je echt niet mee door tegenwoordig. De kans dat er malware op je telefoon is en weet wie je bent is gewoon een stuk kleiner.

En de meeste malware schrijvers zijn toch uit op banken, niet op verzekeraars, dat maakt de risico nog kleiner. Mensen hebben de neiging om wachtwoorden te hergebruiken.

Te4sheen,

dank je voor het weer even voor iedereen in perspectief plaatsen, helemaal mee eens. In de perfecte wereld zijn er geen problemen. Deze wereld is niet perfect dus moet je maatregelen nemen die soms voor een kleine groep lastig zijn.

Er wordt door sommige (anonieme) posters hier eindeloos vertelt hoe zaken meer dan veilig moeten worden. Dat helpt mijns inzienns niet echt in een serieuze beveiligingsdiscussie. Daar gaat het namelijk niet om 100% veiligheid (is onmogelijk!), maar een juiste balans tussen veiligheid en bruikbaarheid in een omgeving waar niet iedereen veilig met systemen omgaat.
27-06-2014, 17:38 door Briolet - Bijgewerkt: 27-06-2014, 17:38
Door Anoniem: SMS kan tegenwoordig toch ook naar een vaste lijn?

Als ju nu bij KPN en Vodafone kijkt kun je bij hun inderdaad nog steeds SMS-jes op je vaste telefoonlijn ontvangen. Om dat mogelijk te maken moet je eerst éénmalig een sms-je versturen vanaf die vaste lijn via hun SMS-server. (Dus spontaan een kennis op zijn vaste lijn sms-en zal niet lukken als ik het zo lees.)

Bij T-Mobile vind ik die optie van SMS op een vaste lijn niet. Maar ook al zou je een prepaid toestel moeten kopen voor dat doel, de veiligheid moeten die paar tientjes per jaar wel waard zijn. Het gaat per slot over hoogst privé gegevens die achter het DigID zitten.
30-06-2014, 14:04 door RobertIJssellaan19
Ja
01-07-2014, 09:01 door Anoniem
Door Briolet: Maar ook al zou je een prepaid toestel moeten kopen voor dat doel, de veiligheid moeten die paar tientjes per jaar wel waard zijn. Het gaat per slot over hoogst privé gegevens die achter het DigID zitten.
Dat zeg jij. Waarom denk jij dat te mogen beslissen voor een ander? Het gaat wel om (groot getal) maal "enkele tientjes per jaar" aan andermans geld wat jij hiermee zo even beslist om naar telefoonboeren te schuiven.

En daarbij, zoals al eerder betoogd: Wat is nou helemaal de meerwaarde van zo'n actie, waar beveiligt het nou echt tegen en was dat ook inderdaad waartegen beveiligd moest worden? Zeker dat laatste zie ik niet zo; ik zie wel een afschuifactie van een luie verzekeraar uit symbolische overwegingen.

Daarnaast hebben we het probleem "scope creep" want wat moet de verzekeraar nou helemaal met digid? Anders gezegd, wanneer gaan we nou toegeven dat de verzekeraars de facto staatsonderdeel spelen te zijn? Het is een leuke positie hoor; wel de lusten van "bijna maar net niet" onderdeel van de ambtenarij zijn met een enorme machtspositie, niet de lasten van transparantie en geen winst mogen draaien. Tel uit je winst. Hun winst.
02-07-2014, 09:06 door Anoniem
Dit soort systemen en bijbehorende two-factor authenticatie wordt door meer dan 99 % van alle klanten graag gebruikt ivm het gebruikersgemak. Er is altijd een klein aantal klanten die niet mee wil gaan in modernisering. Dat is dan een bewuste keuze (?). Dat betekent dan dat deze klanten geen gebruik kunnen maken van de geboden dienst. Meer is het niet.

Waarom dan zo'n ellenlange discussie over GSM's en kosten. Het probleem van die kleine groep klanten is het probleem van die kleine groep klanten en kan alleen door hen zelf opgelost worden.
02-07-2014, 13:14 door Anoniem
Door Anoniem: Dit soort systemen en bijbehorende two-factor authenticatie wordt door meer dan 99 % van alle klanten graag gebruikt ivm het gebruikersgemak. Er is altijd een klein aantal klanten die niet mee wil gaan in modernisering.
En daar heb je maar rekening mee te houden, als aanbieder.

Dat is dan een bewuste keuze (?). Dat betekent dan dat deze klanten geen gebruik kunnen maken van de geboden dienst. Meer is het niet.
Dat is niet waar, want je wordt verplicht van het gebodene gebruik te maken. Verplichte neringdoening betekent zorgplicht.

Waarom dan zo'n ellenlange discussie over GSM's en kosten. Het probleem van die kleine groep klanten is het probleem van die kleine groep klanten en kan alleen door hen zelf opgelost worden.
Ga even fijn verder met het slachtoffer de schuld te geven.
11-08-2014, 19:28 door Anoniem
Belachelijk dat een commercieel bedrijf (dat is een verzekeringsmaatschappij tenslotte) mijn digid gegevens heeft.
Dacht dat digid exclusief aan de overheid behoorde.
Verzekeringsmaatschappijen hebben de macht. We leven in een schijndemocratie.
12-03-2015, 13:08 door adriana
Door johanw: Dan zie het als extra kostenpost: voor 11 euro koop je een goedkope gsm met simkaart, als je verder niet mobiel bereikbaar wilt zijn geef je dat nummer alleen aan diensten die het voor 2-factor autorisatie gebruikeen en leg je hem naast je computer.
21-03-2015, 22:01 door Anoniem
Deze verplichtstelling is ook een soort van schifting. Immers oudere mensen, die veel zorg vragen en dus voor een verzekering duurder zijn, hebben vaak geen mobiele telefoon. Deze worden dus met de verplichting van een zorgverzekeraar, gedwongen naar een andere zorgverzekeraar te gaan die deze verplichting niet oplegt. Daarmee is de zorgverzekeraar die met sms werkt deze duurdere patienten lekker kwijt. Daar zal nog wel een rechtszaak over gevoerd gaan worden, want er is hier dus indirect sprake van leeftijdsdiscriminatie.
31-03-2015, 21:44 door jep_z11
Lieve help, wat een hoop reacties. Die ga ik niet allemaal lezen.

Hr Engelfriet, wat u volgens mij onterecht buiten beschouwing laat is of het wettelijk is toegestaan dat de overheid met dat DigID afdwingt dat ik een mobieltje heb.

Ik weiger om die sms verificatie te doen, omdat ik vind dat dat niet afgedwongen mag worden.
Ik hoor niet bij de smartphone generatie en dat ga ik ook niet doen.
Moet ik een mobieltje gebruiken van meneer Rutte!?

Dat DigID is nodig, is verplicht als je online je belastingaangifte wilt doen.

Het lijkt er op dat onze overheid ons allemaal, koste wat kost digitaal wil hebben maar het zelf allemaal nog niet zo goed snapt.

Mogelijke oplossingen wat dit probleem betreft zouden kunnen zijn:
- de digID site laat het mogelijk een sms per vaste telefoon te ontvangen
- de gebruiker krijgt ook de mogelijkheid een papieren, ondertekende bevestiging per post te versturen.
22-04-2015, 22:50 door Anoniem
Beste jep_z11,
Een online aangifte is NIET verplicht , bel de belastingdienst als je via papier aangifte wilt doen. Hetzelfde geldt voor de zorgverzekeraar. Wil je wel daarvan gebruikmaken, dan moet je met de regels rekening houden die de dienstverlener oplegt. N.B. anders log je toch gewoon in via je isp adres? want waarom een wachtwoord verplicht stellen, overheid weet toch al wie je bent. Volg je de redenatie, dan zul je zien dat het best mogelijk is om eisen te stellen als je een legaal alternatief hebt. Of het handig is, is een andere vraag. Ben je het er niet mee eens, laat van je horen middels een klacht!
21-11-2015, 07:34 door Anoniem
Bij zorgverzekeraar Zilveren Kruis moet ik via DigiD inloggen om bij Mijn Zilveren Kruis te komen. Echter wanneer ik gebruikersnaam en wachtwoord van DigiD juist heb ingetikt komt een pop-up van ZK waar ik mijn emailadres moet geven.

Verder moet ik een vinkje plaatsen bij " Ja, dit is mijn e-mailadres.?". Dan ook nog een vinkje plaatsen bij" Ik wil mijn digitale polisblad op dit e-mailadres te ontvangen".

Je kunt niet verder als je dit niet doet. DigiD side blijft grijs. Mijn keuzevrijheid wordt mij ontnomen. Op hun site staat dat zij steeds meer documenten etc. digitaal naar je opsturen.

Ik heb geen behoefte aan hun marketing produkten. Maar wil gewoon via DigiD naar "Mijn Zilveren Kruis".

Gaarne advies.
30-01-2016, 11:59 door Anoniem
"Een online aangifte is NIET verplicht" => Tenzij je ondernemer bent, dan wel. Tot voorheen kon dat gewoon met het aangifteprogramma de belastingdienst, maar sinds dit jaar willen ze dat je dat online doet, met gelijk DigiD verplicht.

Is er daar geen enkele uitweg?
23-06-2016, 14:39 door Anoniem
Voer nooit zomaar ergens je DigiD in, dat word je continu wijsgemaakt. Maar de eerste de beste zorgverzekeraar doet alsof ze voor de overheid werken en eisen zelfs je DigiD als je je rekeningen wilt bekijken. Je moet er dan blijkbaar maar op vertrouwen dat ze niet gehekt worden end at elke werknemer op het verzekeraar kantoor betrouwbaar is. Krankzinnig.
16-07-2016, 13:17 door Anoniem
Jongens toch! Je hebt geen mobiele telefoon nodig als je de extra controle met codes wilt gebruiken. Ik citeer het volgende: "Ook als u geen mobiele telefoon heeft kunt u gebruik maken van de sms-functie. U ontvangt dan een gesproken sms-bericht op uw vaste telefoonnummer."

Zie vraag en antwoord van DigiD: https://www.digid.nl/vraag-en-antwoord/ik-heb-geen-mobiele-telefoon-kan-ik-toch-van-de-sms-functie-gebruik-maken/

Voor andere vragen, zie vraag en antwoord: https://www.digid.nl/vraag-en-antwoord/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.