CBP nu al kritisch over DigiD-opvolger
De opvolger van DigiD, het eID-stelsel, moet nog voor het grote publiek verschijnen, maar in een eerste analyse van het "introductieplateau" is het College bescherming persoonsgegevens (CBP) nu al kritisch. Via het eID-stelsel kunnen burgers en het bedrijfsleven straks bij zowel de overheid als bedrijven inloggen.
Daarbij kan er uit meerdere inlogmiddelen worden gekozen. Gebruikers zijn daardoor niet afhankelijk van één elektronisch identificatiemiddel; bijvoorbeeld bij uitval of storingen zijn dan andere inlog-opties mogelijk. Dit jaar heeft de regering als doel om een "Introductieplateau eID" te realiseren, zodat pilots met het nieuwe identificatiemiddel kunnen worden uitgevoerd. In deze eerste fase zou volgens minister Plasterk van Binnenlandse Zaken nadrukkelijk aandacht worden gegeven aan aspecten van veiligheid, betrouwbaarheid en privacy.
Op dat laatste punt heeft het CBP een aantal kritische kanttekeningen, aangezien er niet genoeg aandacht voor drie punten uit de Wet bescherming persoonsgegevens (Wbp) is. In het Introductieplateau zijn meerdere partijen vertegenwoordigd. Elke partij heeft een andere rol in het stelsel. De Wbp kent als uitgangspunt dat er één verantwoordelijke is voor de verwerking van persoonsgegevens. Volgens het CBP is in de huidige opzet van het Introductieplateau onduidelijk wie wanneer voor welke verwerking van persoonsgegevens verantwoordelijk is. Vanwege deze verdeelde verantwoordelijkheden hebben de verschillende partijen daarnaast slechts beperkt zicht op het stelsel. Hierdoor zijn beveiligingsincidenten moeilijk te ontdekken, aldus de toezichthouder.
BSN
Als laatste maakt het eID-stelsel zoals gezegd het mogelijk om uit verschillende inlog-opties te kiezen. Zo is het mogelijk om op dezelfde manier in te loggen bij de overheid als bij het bedrijfsleven, bijvoorbeeld met een inlognaam en wachtwoord. Hierbij wordt een koppeling gemaakt met het burgerservicenummer (BSN) van deze persoon. Het CBP wijst erop dat het bedrijfsleven het BSN alleen mag verwerken als dat in de wet is vastgelegd. Deze wettelijke grondslag ontbreekt echter bij het Introductieplateau eID. In de analyse stelt de toezichthouder dat het erop vertrouwt dat de drie punten bij de verdere ontwikkeling van het Introductieplateau zullen worden meegenomen.
Nu noemen we het gemakshalve maar bedrijfsservice nummer zodat het ook door bedrijven gebruikt kan worden.
Oprekken die handel, de burger is toch stemvee en is weer het haasje.
Bij een wachtwoord dat voor meerdere accounts bruikbaar is, werkt dat niet. Ik kan straks mijn moeder (die niet zoveel computerkennis bezit) niet meer uitleggen op welke website wel en op welke website ze niet haar eID login moet gebruiken. Elke crimineel kan op een nepwebsite om een eID login vragen. Hoe weet een digibeet nu dat hij/zij daar niet het eID moet gebruiken? Dit is het grote gevaar van diensten zoals ook OpenID.
Hoe kijken jullie hier tegenaan?
Feitelijk is straks elke aankoop of handeling terug te traceren tot een natuurlijk persoon, van een online bestelde fles drank tot aan erotisch hulpmiddelen die iemand bij een webshop koopt.
Daarnaast ben ik en blijf ik vanaf mening dat de overheid zich moet buigen over DigiD (ten behoeve van communicatie met haar) en dat een dergelijke infrastructuur voor communicatie met commerciële partijen niet tot haar takenpakket hoort noch bekostigd moet worden met geld van de belastingbetaler.
En dat is door deze (sec) Nederlandse oplossing makkelijk te omzeilen, door in buitenlandse webshops te gaan kopen.
Dat is niet gunstig voor de Nederlandse omzet, wel voor je privacy. Maar net wat je belangrijker vindt.
En daar faalt het doel (de inzet van het eID om bij aankomen de leeftijd te controleren) dan ook meteen.
Te gemakkelijk te omzelien als je dat wilt.
Lang leve de wereld economie.
Feitelijk is straks elke aankoop of handeling terug te traceren tot een natuurlijk persoon, van een online bestelde fles drank tot aan erotisch hulpmiddelen die iemand bij een webshop koopt.
Daarnaast ben ik en blijf ik vanaf mening dat de overheid zich moet buigen over DigiD (ten behoeve van communicatie met haar) en dat een dergelijke infrastructuur voor communicatie met commerciële partijen niet tot haar takenpakket hoort noch bekostigd moet worden met geld van de belastingbetaler.
De nieuwe dienst spreekt van gedeelde verantwoordelijkheid. Nog kwalijker, aangezien gedeelde verantwoordelijkheid in de praktijk geen verantwoordelijkheid betekent.
Om nog maar niet van een SPOF te spreken.
Sterker, stel dat je niet apart voor tandheelkundige zorg verzekerd bent, dus je krijgt gewoon de rekening van de tandarts die je fijn zelf betaalt. Volgens de industrie niet eens een slecht idee omdat het vaak zelfs goedkoper is dan het geheel over de verzekering te laten lopen. Stel nou dat je consequent ter plekke contant betaalt, gewoon de rekening gelijk daar plompverloren voldoen en klaar. Dat vinden we met z'n allen zo raar dat je er zelfs dan niet onderuit komt om een kopietje paspoort met zichtbaar BSN af te geven. "Staat in de wet meneer", maar nut heeft het niet, en is dus puur risico.
Er is iets grondig mis met hoe de overheid tegen identiteit en privacy aankijkt.
Bij een wachtwoord dat voor meerdere accounts bruikbaar is, werkt dat niet. Ik kan straks mijn moeder (die niet zoveel computerkennis bezit) niet meer uitleggen op welke website wel en op welke website ze niet haar eID login moet gebruiken. Elke crimineel kan op een nepwebsite om een eID login vragen. Hoe weet een digibeet nu dat hij/zij daar niet het eID moet gebruiken? Dit is het grote gevaar van diensten zoals ook OpenID.
Hoe kijken jullie hier tegenaan?
Dat klopt niet, er is, in de huidige situatie, maar een site waar je met je DigiD credentials inlogt en het valt aan te nemen dat dat in de nieuwe situatie ook het geval zal zijn. Je kunt je gebruikers dus uitleggen dat ze die gegevens alleen invullen als er https://digid.nl (of beter dat van zijn opvolger eID) in de adresbalk staat.
Hoe kijken jullie hier tegenaan?
En we hebben al gezien dat zulke "voorzetwebsites" wel bestaan, wel werken, en dus wel schade berokkenen. Het is dus wel een reël probleem. Je gaat er ook mee voorbij aan het volgende probleem:
Waarmee iemand anders vol toegang heeft tot jouw hele hebben en houden aan-de-lijn.
Je kan daarmee in een klap ook niet meer aannemelijk maken dat jij het niet was door bijvoorbeeld tegenstrijdige informatie in verschillende accounts tegenover elkaar te leggen. Je raakt daarmee nog hulpelozer dan je al was.
Oh, en de beheerders van die dienst weten ook precies bij wie jij allemaal inlogt, en reken maar dat ze die data zonder blikken of blozen doorgeven aan wie er maar komt vragen, justitie of belastingdienst, het maakt niet uit. Vergelijkbaar met hoe facebook veel meer trackt dan ze eigenlijk mogen, alleen dan nu met een "het is legaal, zelfs verplicht"-sausje van onze eigenste overheid eroverheen. We krijgen langzaamaan door dat zulke grote ophopingen van gegevens die meer gaan zeggen precies omdat ze bijelkaar geveegd worden, toch niet zo erg wenselijk zijn.
Wat dat betreft is dit hele eID gebeuren gewoon fantasieloos recht-toe-recht-aan neerplempen van een "SSO"-natte droom die wel aardig werkt binnen een corporate omgeving, maar nu uitgesmeerd wordt over het hele land en over iedereen zijn hele leven, en dat is toch net niet helemaal wenselijk. Om meer redenen nog dan de al genoemde. Maar aangezien dit stukje al lang genoeg is laat ik het hier maar even bij.
Dit was me overigens al duidelijk bij de eerste aankondigingen; de huidige politiek en bijbehorend ambtenarenapparaat hebben gewoon niet de visie om de benodigde innovatie (en zelfs uitvindingen) aan te trekken. Zelfs de in het geniep aangetrokken professor die het ambtelijke projectje moest redden heeft niet voldoende geholpen.
hangen. Als je je geidentificeerd hebt via je eID (bijvoorbeeld met een 2-factor authenticatie) dan wordt je BSN aan
de instantie gegeven en daarmee worden dan jouw gegevens benaderd.
Prima voor overheidsdiensten, al wat minder voor ziektekosten, maar dit wil je natuurlijk niet bij een webshop.
Echter, als je voor vele miljoenen zo'n eID systeem ontwikkelt dan moet het toch wel mogelijk zijn om ook nog wat
andere identiteiten in die smartcard op te slaan, zodat je webwinkel een nietszeggende nickname krijgt te zien in
plaats van je BSN? (met wel de garantie dat jij de enige bent met die nickname en dat jij je geidentificeerd hebt op
een veilige manier)
Nu moet iedereen met zijn eigen oplossing komen en dat is waardeloos. Dat moet gewoon gezamelijk aangepakt worden,
maar dan natuurlijk wel met aparte identificatie per toepassing, zodat je niet al die ID's aan elkaar kunt koppelen.
erotisch hulpmiddelen die iemand bij een webshop koopt.
Erotische hulpmiddelen?
Nee, dat maakt waarschijnlijk weinig uit voor je privacy.
Met een zuurstok geel-roze gestreepte rollator, rekje of wandelstok trek je sowiezo de aandacht.
Lijkt me eigenlijk wel een lollig pretje in het straatbeeld.
Blijft een eigen keuze daarvoor te kiezen.
Kom maar op met dat eroid.
hangen.
maar dan natuurlijk wel met aparte identificatie per toepassing, zodat je niet al die ID's aan elkaar kunt koppelen.
Een video uit 2008 liet al zien dat het niet zo makkelijk gaat; https://www.youtube.com/watch?v=ytl9wANDX2Y maar daar hebben onze beleidsmakers geen boodschap aan.
En NO WAY dat ik tijdens het doen van mijn online aankopen me identificeer via zo'n eID kaart, waarmee de transactie centraal wordt geregistreerd bij BigBrother™ waar SyRI ook weer in zal graaien.
Waanzin allemaal. En wij laten het maar gebeuren.
hangen.
Daar verandert uiteraard helemaal niks aan. Iedere burger heeft een BSN en is daar uniek mee te identificeren.
Waar het om gaat is of je als je de identiteit aan een andere partij wilt geven, je daar dan OOK die BSN voor gebruikt of
een andere identifier, die OOK uniek is, maar niet 1:1 gekoppeld is aan je BSN.
Zodat als je inlogt bij security.nl men daar wel kan vaststellen dat jij degene bent die je beweert dat je bent, maar dat ze
dan niet meteen ook je BSN weten.
Maar goed ik hou maar op want ik heb wel in de gaten dat ik tegen een troll praat ipv tegen iemand die serieus over
oplossingen van een belangrijk probleem wil nadenken.
Ik deed tot nu toe alleen maar mijn belastingaangifte met digid. Dat is met invoering van het nieuwe systeem gelijk afgelopen. Ik doe dan helemaal NIETS meer over het internet, behalve surfen. En als ze nog ff doorgaan, kap ik helemaal met internet en zeg ik mijn abbo op.
Dan maar iets meer werk, wat langer wachten, contant betalen (doe ik al) enz. De huidige beschaving heeft >2000 jaar zonder gekund. Jullie zijn allemaal slaven van jullie gemakzucht en denken niet door.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.