Oh nee?

Kennelijk. Mijn leveringsvoorwaarden voor dit soort zaken zijn "alles moet op papier", maargoed moet je zonodig "digitaal getransformeerd" dan is het maar afwachten waartoe je bewogen wordt. Meestal uiteindelijk effectief een windows peecee.

Als ze iets konden, konden ze wat met mijn digitale leveringsvoorwaarden, namelijk "hier heb je mijn publieke sleutel, stuur mij jullie publieke sleutel en jullie berichtjes aan mij wil ik dus versleuteld (naar mijn sleutel) en gesigneerd (met jullie sleutel) in mijn inbox krijgen." Maarja, dat is dan natuurlijk teveel gevraagd.

En zolang dat het geval is, geef mijn portie maar aan fikkie.

Dus ik zou eigenlijk willen adviseren, zeg tegen je zorgverzekeraar dat ze je gewoon papieren notas sturen, en precies om deze redenen: Omdat hun "digitaal" vooral extra werk is voor jou en je bovendien rechtszekerheid kost want nu moet jij je notas ingewikkeld gaan opvissen van hun systemen en zo zijn we niet getrouwd, hee.

Het gaat met dat argument dus niet over "kunnen ze dit afdwingen" maar "jullie willen 'digitaal' maar jullie kunnen het evident niet behoorlijk, dus kom maar terug als jullie het wel kunnen, en niet eerder."

PGP wordt ook bijna niet gebruikt, dus waarom zou men dan zo iets implementeren? Voor een enkeling heeft dit gewoon niet, en maakt iedere wijzing daarna alleen maar complexer.
Dus is het te veel gevraagd, ja want niemand gebruikt het.....
Kan het implemented worden => natuurlijk.
Zou het een verbetering zijn => voor een enkeling Ja. Voor bijna ieder ander => Nee.


Ingewikkeld... Tja het is maar wat je ingewikkeld noemt. PGP is een stuk complexer voor de gemiddelde eind gebruiker.
En extra werk? Waarom extra week? Scheelt mij alleen maar extra werk. Ideaal dat digitale. Altijd beschikbaar, overal, niets meer opbergen in mappen. Gewoon als je wilt downloaden, en opslaan in een folder.

Dat doen ze al, en wat ze gebruiken werkt heel goed.

a) dat is niet waar en
b) dat het precies PGP moet zijn verzin je er zelf bij.

Als ze het goed doen regelen ze dat ze om het even welke gangbare (en PGP/GPG/OpenPGP is gangbaar) methode ondersteunen. Dit zou de sterkte moeten zijn van "automatiseren", maar kennelijk maar heel weinig mensen snappen daar een beetje van.

Dat hoeft helemaal niet. Je zet het een keer op en daarna werkt het soepeltjes. "Automatiseren."

Hoe dan ook, het gaat hier niet om "de gemiddelde eind gebruiker"[sic], maar om mijn leveringsvoorwaarden. Daar mogen ze aan voldoen. Hoe de rest van de wereld het wil, nou, klant is koning, dus lever maar. "One size fits all^Wnone" zou niet nodig moeten zijn want "automatiseren", maarja, begrip van de materie, afwezigheid daarvan.

Want er gaat nooit wat fout, bijvoorbeeld dat als je een conflict met die partij hebt je ineens niet meer bij de data kan want die stond nog steeds op hun servers en oepserdepoeps ze kunnen het ineens niet meer vinden.

Zoals zelfs de politie PDFjes ineens niet meer kon vinden, bijvoorbeeld na "Alphen". Je moet dus er op tijd bij zijn en zelf een kopietje gaan halen en dus moet je inloggen en binnenhalen en het ergens veilig opslaan waar jij er de controle over hebt. En dat is stukken meer werk dan een envelop uit de postbus halen en in een dossier stoppen.

Wil je dus jouw rechtszekerheid beschermen moet je extra werk verzetten. Je kan ook de tegenpartij (die bij conflicten echt allereest om zichzelf gaat denken en niet om jou) blind vertrouwen, zoals jij voorstelt, maar dat is dus gewoon dom.

Niet dus.

Normaal gesproken heb je de keuze tussen de klassieke polis waarbij alles op papier gaat en er vaak zelfs nog een
tussenpersoon aan te pas komt om jou "als klant te managen" en een moderne direct-alles-via-internet-regelen polis
waarbij je niet de keuze hebt om dit soort dingen op papier te doen.

Je hebt kennelijk de keuze gemaakt voor die nieuwe soort polis maar die keuze had je natuurlijk niet HOEVEN maken,
dat heb je zelf gedaan. Waarschijnlijk kun je ook nog wel terug, alleen vaak niet midden in een contractperiode (jaar).
Als je het echt heel graag wilt en je blijft bij dezelfde maatschappij dan lukt het je misschien wel.

Dus informeer eens bij je verzekeraar. Ohja: als je op zoek gaat naar de goedkoopste aanbieding dan kom je vaak
uit bij dit soort polissen waarbij geen papier gebruikt wordt. Dit bespaart de verzekeraar kosten en daar krijg jij nu
(een deel, waarschijnlijk) van terug doordat je minder premie betaalt. Die klassieke polis gaat dus wel duurder worden.

Maar wees eerlijk, dat heb jij er wel voor over! Omswitchen dus eind dit jaar, en volgende keer beter opletten als
je op zo'n vergelijkingssite een goede aanbieding ziet, want er zitten wel van dit soort addertjes onder het gras.

Zeker voor verbetering vatbaar, maar de TS schrijft "vergroot" zonder aan te geven t.o.v. van wat.

Gelukkig doen ze niet wat jij wilt!

Want dan kun jij zeggen dat jij Bitwiper bent. En hen jouw publieke sleutel geven plus een e-mail adres waar niet ik maar jij toegang tot hebt. Ongetwijfeld (in elk geval door mij) zou jij vervolgens vertrouwelijke informatie bestemd voor mij ontvangen. Op dezelfde manier kan ik natuurlijk liegen dat ik jij ben.

Ik heb meer vertrouwen in DigiD dan in de wijze waarop de meeste mensen met publieke sleutels omgaan. Als niet elke communicerende medewerker van derde partijen met vertrouwelijke en/of noodzakelijk integere gegevens (zoals verzekeraars, banken en overheidsinstanties) PGP et al voor 100% snapt, liggen binnen de kortste keren de gegevens van mensen, die er niets mee te maken (willen) hebben, op straat.

En als ik zie dat mensen, die nu al PGP/GPG/OpenPGP gebruiken, daar de risico's zelden van inzien, en de genoemde soort medewerkers van e-mail BCC vaak al niet eens snappen - en ook geen zin/tijd/interesse hebben om zich daar eens in te verdiepen, heb ik er het volste vertrouwen in dat het gebruik van PGP/GPG/OpenPGP een drama zou worden, zeker indien vergeleken met DigiD.

Daar ben ik het wel hartgrondig mee eens.

Ik heb niets. Let even op op wie je reageert.


Alsof dat soort gein niet makkelijker kan en vaker voorkomt zonder publieke sleutels.

Die sleutels zijn niet naam-specifiek maar een hotmail-adres is dat ook niet, en een polisnummer plus wachtwoord is een stuk makkelijker te kopieeren en dus lastiger veilig te houden bovendien.

Het gaat niet op "de meeste mensen", het gaat om systemen bouwen die niet iedereen in precies hetzelfde "one size fits all^Wnone"-vakje proppen en dat we onszelf dan vertwijfeld afvragen hoe die ene magische allesoplosser zo te verbeteren dat'ie dan ook echt alles oplost. Dat gaat namelijk nooit lukken.

Plus dat digid, naast meer werk kost, net zo goed regelmatig misbruikt wordt. Kijk maar naar de PGB-fraude. Dat is dus geen reden om dan maar publieke sleutels alvast af te kraken. Integendeel.

Wel frappant dat je hier een overheidsICTsysteem verdedigt "want de mensuh zijn zo dohom." Wie is hier nou dom?

Dit is echt complete onzin. Jij bent af.

Want al die medewerkers snappen digid wel voor de volle 100% en dat is dus ook precies de reden dat het noohooit misgaat met digid? Stukje wensdenken tegen de klippen op, en oneerlijk bovendien.

Waarom doe je dan zo moeilijk over alternatieven beschikbaar maken voor hen die er wel mee overweg kunnen? Waarom geloof je dan zo tegen de klippen op in zilveren kogels?

Dat lijkt me stug. Er zijn nog altijd mensen die helemaal geen internettoegang hebben en ook die moeten ze verplicht accepteren voor een basisverzekering. Er moet dus een manier zijn om alles zonder internet te regelen, anders voldoen ze niet aan die verplichting.

Als je geen mobiele telefoon hebt dan kan je bij DigID een gesproken SMS-bericht via je vaste lijn regelen.

https://www.digid.nl/nl/vraag-en-antwoord/ik-heb-geen-mobiele-telefoon-kan-ik-toch-van-de-sms-functie-gebruik-maken/

De suggestie van Anoniem van gisteren, 21:33 dat het aan de gekozen polis is gekoppeld lijkt me een goede om even in te duiken. Als het niet op papier kan omdat je daar zelf voor hebt gekozen of daar accoord mee bent gegaan dan heb je met je verzekeraar te regelen dat het voortaan anders gaat. Misschien betekent dat dat je van polis moet veranderen.

In ieder geval bij sommige verzekeraars is het ook mogelijk om zonder DigID aan te loggen. Kijk maar op https://welkom.cz.nl/. Als het bij jouw verzekeraar alleen met DigID kan moet je de volgende keer dat je overstapt ook hierop letten.

Zoals je het formuleert heb je er vooral bezwaar tegen dat je verzekeraar je verplicht je telefoonnummer aan een overheidsdienst te geven. De AVG, en daarvoor de WbP, hanteren het principe dat een gegeven alleen mag worden gebruikt waarvoor het verzameld is. DigID mag een telefoonnummer dat je voor SMS-codes hebt opgegeven voor niets anders dan die SMS-codes gebruiken. Ik weet niet of jij een van die mensen bent die de overheid als één graaiende bende zien die alles misbruikt wat ze te pakken krijgen, maar als dat zo is moet je je eens afvragen waarom die overheid überhaupt privacywetgeving optuigt, en hoe het komt dat rechters aan de hand van die wetten wel eens overheden op de vingers tikken die de regels hebben overtreden. Het gaat niet allemaal foutloos in Nederland (of waar dan ook), maar het is hier ook weer geen totaal losgeslagen bananenrepubliek waar alles alleen maar misgaat.

Keypairs hoeven we inderdaad niet meteen af te serveren. Maar mensen moeten begrijpen dat hun eigen persoonlijke oplossing die werkt op hun lokale netwerk of voor hun lokale PC niet werkt voor een bedrijf met honderdduizenden klanten en waar het al een uitdaging is om legacy-omgevingen van tientallen jaren oud draaiend te houden en te verbeteren. Het doet me denken aan een manager die zich verbaasd afvroeg waarom de migratie naar Office 2010 (ja, lang geleden) zo lang duurde, want bij hem thuis stopte hij de CD in de PC en was het allemaal zo klaar. Ja, klopt, maar wij hebben 40.000 PC's te beheren over de hele wereld op 6 verschillende client platformen met achterlijke macro's die door goedbedoelende knutselaars in elkaar zijn gedraaid geflanst maar wel MOETEN blijven werken, omdat kritische bedrijfsprocessen er vanaf hangen.

Zelfs doorgewinterde IT'ers weten niet alles van praktische cryptografie, het gebruik van private en public keys, key management (hoe denk je dat voor honderdduizenden klanten op te lossen??) etc. De Helpdesk kan uitgebreid worden met 1000+ man, want ik zie de problemen al helemaal voor me. Ja, 99.9% van de klanten is onbekend met de cryptomaterie, en 90% is te dom, te oud, te lui of te ongeïnteresseerd om het te begrijpen. En dan hebben we het nog niet eens over problemen met niet-werkende crypto software (denk aan malware op de client PC, software die crasht vanwege andere incompatibele applicaties etc), software upgrades die niet werken, corrupte keyrings of keyfiles, gestolen laptops zonder backup en 1001 problemen meer.

Als je vervolgens denkt dat een op maat gemaakte oplossing voor honderdduizenden klanten effectief danwel efficiënt is, dan heb je m.i. 0 ervaring met grote bedrijven (groot als in: meer dan honderdduizend klanten). De kosten rijzen de pan uit, en dan moet je je richten op de grootste gemene deler: inloggen op een klantportaal waar 99% van de mensen en 99% van de besturingssystemen mee overweg kan, en waarbij je de controle zoveel mogelijk in eigen hand en eigen beheer houdt, zonder afhankelijkheid van de klantpopulatie. De oplossing die dan al snel naar voren komt is: browser-based portal, liefst met 2-factor authenticatie. Iedere andere oplossing is duurder, complexer en niet te te managen met een grote userbase.

Bij mijn weten is het niet de zorgverzekeraar die dit afdwingt, maar de overheid. Als zorgverzekeraars DigiD gebruiken, moet dat via 2FA gaan.

Gelukkig heb we hier een anoniem, die heel goed weet hoe je Enterprise ICT moet doen.....

Gezien de servicedesk dit in eens moet ondersteunen, gebruiker hun keys kwijt raken. Bij iedere wijzing in de applicaties dit ook getest moet worden.
Dus nee dit is niet even neer zetten en het wekt hierna soepeltjes.

Ik zou graag gebruik willen maken van de postduiven, want dat stel ik min mijn leveringsvoorwaarden.... Of is dat net een brug te ver.....
En je zoals je zelf al aangeeft, je begrijpt weinig van de materie hoe dit soort oplossingen werken.

Conclusie: Je moet je administratie in orde hebben. Of dat nu digitaal of papier is, maakt daarin niet uit.

Dat een mening, niet een feit.

Nouja, alles. Veel, en aangezien elk beetje al niet de bedoeling is, alleen daarom al te veel.

Precies omdat er voortdurend opgerekt wordt. "Ja we weten wel dat we deze gegevens voor dat doel vereist hebben maar nu gaan we het toch ook maar voor dit doel inzetten, of je het nu leuk vind of niet." -- Dat is gewoon... laat ik het zelf netjes houden, dat is gewoon niet netjes.

Om leuk de schijn op te houden mischien? Want echt houden aan die regels doen ze zichzelf nou ook weer niet.

Er zijn ook nogal wat (al dan niet appeltjesgroen gewezen) politici die met "integriteitscodes" op de proppen kwamen en vervolgens er zelf vrij weinig van bakten in de praktijk. En dat is dan nog op het persoonlijke af. Hele organisaties zijn niet meer integerder met z'n allen.

Ik vind dat ze dat in Nederland te weinig doen en dat de overheid te vaak dan vervolgens zulke uitspraken naast zich neer legt, en daar nog mee wegkomt ook. Moet je als gewoon burger eens proberen.

"We" pretenderen wel beter te zijn dan we zijn. En dat het elders slechter is, is geen reden om er hier dan maar meer met de pet naar te gaan gooien.


Hmm... nee. "Mensen" moeten helemaal niets want die zijn klant en dus koning. Wat dat betreft zitten we vast in de andere extreme hoek "oh nee het is te moeluk dus doen we maar iets doms wat lijkt te werken maar wat de klant extra werk en rechtszekerheid kost" -- als het zo moet, geef mijn portie maar aan fikkie. En dan houden we het dus maar bij papier.

Wil je zonodig wel "digitaal", dan pas komen die digitale leveringsvoorwaarden van mij als klant om de hoek kijken. Waarmee ik dus al meer keuze gegeven heb dan dat zij mij geven. Laten zij nou toevallig ook veel meer ruimte hebben om het wel goed te doen voor een acceptabele prijs. Je hoeft het alleen maar in te kopen, maar het is het bedrijf, hier de (olichargische) verzekeraar cq. de overheid die het zomogelijk nog minder snapt, die dat te moeluk vindt. Zij hebben hier de macht in handen en vooralsnog gebruiken ze die vooral om de klant in een hoekje te drukken, niet om 'm ook als koning klant te behandelen.


Verschilletje tussen op interface standaardiseren, of op specifieke softwareversies. Dat de manager het niet begreep is tot daar aan toe, maar dat wil niet zeggen dat jij het met je vergelijking wel bij het rechte eind hebt.

(Overigens, ik heb zo'n ding in de steigers staan. Zodra er een werkend prototype staat hoor je het.)

Dat de klant zelf te laten doen. Dat is ook zeg maar net het punt van publieke sleutel-cryptografie. (Nog een reden waarom PKI zo kansloos is in algemeen gebruik: De stricte hierarchie.)

Dat is eerlijkgezegd allemaal volstrekt irrelevant, maar laat wel mooi een denkfout zien:

Ik heb nergens gezegd dat ik wilde dat iedereen op die manier ging inloggen. Ik heb gezegd dat ik dat zo wilde, en dat zij dat maar te bieden hebben.

En dat is nou net de makke van "de digitaal", daar bestaat helemaal geen "one size fits all", en toch wordt iedere keer geprobeerd zoiets wel uit te vinden. Dat is ontzettend stom om te willen.


Sorry, je doet het gewoon verkeerd.

En dat iedereen, "grote bedrijven" (maar ook grote organisaties als de overheid) voorop, het voorelkaar krijgen om keer op keer precies het verkeerde te proberen, dat hoef je me niet te vertellen. Het zou eens tijd worden dat ze daar mee ophielden want het kost inderdaad bakken met geld en levert vooral ellende op.

Punt is dus: Het kan echt beter. Maar daarvoor moet je "automatiseren" beter snappen dan nu het geval is.

Key management in handen geven van het grote publiek zonder wat voor kennis dan ook over crypto is vragen om problemen. Mensen zullen minimaal moeten weten wat private en public keys zijn, wat wel en niet gedeeld mag worden, hoe backups moeten worden gemaakt, wat key revocation en ga zo maar door. Een volstrekt ondoenlijke klus, eerder door mij aangegeven. Zie je mijn oma al met private en public keys aan de gang gaan? Haar private key naar iemand sturen met het idee dat ze de public key verstuurt, of goedbedoelend haar private key bestand naar de helpdesk stuurt (als ze al weet hoe dat moet) om aan te geven dat in dat bestand het probleem zit? Ieder onderzoek laat zien dat mensen crypto niet begrijpen en nog net weten wat een groen adresbalkje betekent, hoewel dat voor 60% van de mensen ook al het bewijs is dat de website veilig is.


Ik neem de rol van advocaat van de duivel maar op me: waarom ben jij zo bijzonder dat een organisatie dat speciaal voor jou in moet richten? Als die rechten voor jou gelden, dan gelden ze ook voor de andere 500.000 klanten die we moeten bedienen. En dan hebben we dus 500.000 aparte oplossingen te beheren. Drie keer raden of dat gaat werken, kostenbewust werkt, de back-end systemen ingericht kunnen worden om alle 500.000 wensen te faciliteren en integreren, alle techniek en kennis voorradig is om dat te beheersen, life-cycle management op 500.000 oplossingen mogelijk is, beheer (security testen, patching, support etc) nog doen te doen is etc.

Het antwoord is dus nee. Het is niet zo dat de klant koning is en dat alles daarvoor moet wijken. We hebben met twee kanten te maken, en jouw kant is er daar slechts één van. Je eist in een supermarkt toch ook niet dat ze producten in het assortiment opnemen "omdat de klant koning is"? Je hebt wensen, en de andere partij kan besluiten daar in mee te gaan. Zo niet, dan ga je toch naar een andere leverancier? Dat is het idee van een vrije markt. Niemand is je wat verschuldigd.

We zijn niet bezig met "enterprise ICT" -- dat gaat over hoe je binnen je grote organisatie de boel op orde maakt.

Het gaat hier over de brug slaan tussen organisatie en klant. Dan telt "enterprise-ness" nauwlijks mee omdat je hoe dan ook zal moeten buigen voor wat de klant wil, want die is koning.

Dat is een puntje verantwoordelijkheid voor de houder van de private sleutel, en hoe je daar recovery regelt.

Natuurlijk is dat niet voor iedereen, net zoals bijvoorbeeld bier niet voor iedereen is. Maar dat is geen reden om dan maar iedereen tot minderjarig te bestempelen en bij werkelijk elke gelegenheid alleen nog maar ranja aan iedereen te serveren. Mischien wil er ook nog wel eens iemand koffie, ook al zo'n drank die niet voor iedereen geschikt is. Dat laatste, dat "one size fits all^Wnone" is wat "digitalisatie" nu probeert, en is precies waarom ik zeg dat het begrip van "automatiseren" nog een beetje achterloopt.

Dat is nooit anders geweest.

Voor mij als klant wel. En dat moet leidend zijn.

Dat is jouw mening, niet een feit.

Maar dan maakt het nog steeds heel veel uit dan de organisatie mij als klant dwingt de benodigde informatie bijelkaar te schrapen. Als jij zegt "ja maar als we de klant leveren wat'ie wil dan wordt het ons te moeluk!! Snap dat nouhou!11!" --min of meer de strekking van wat je hierboven schrijft-- dan zeg ik nog steeds "dat is leuk maar dat is nou eenmaal de taak van de organisatie en niet van de klant". Dus leer het maar goed te doen. Jammer joh.

Mening versus mening. En toen?

Had je inhoudelijk nog wat toe te voegen? Dat zou namelijk wel leuk zijn.

Grote commerciële organisaties gaan voor het One size fits all. Waag het niet om als klant wat anders te willen.
Zelfs de werknemers worden gedrilled in de wensen van het onfeilbaar geachte top management. Dat is de werkelijkheid.
De ict gaat dat net zo hard mee ten onder.
Als je dat niet ziet dan mis je realiteitszin.
Wil je daar ergens wat veranderen dan is dat vrijwel kansloos. Adviezen gaan enkel via vertrouwde externe paringen als de grote vier. Daarbij zijn de dadviezen vrij voorspelbaar.

De klant mag koning zijn de aandeelhouder is dan de keizer. Dat blijkt ineens in een kring van old boys te landen.

Het zit hier weer vol met mensen die zichzelf helemaal geweldig vinden - maar de bij hen passende zorgverzekering kiezen dat kunnen ze dan weer niet!
Als dit soort criteria belangrijk voor ze is dan moet je ze meenemen in je keuze.

Dit valt wel onder Enterprise ICT. Juist omdat je met heel veel klanten te maken hebt, moet je dit wel als Enterprise ICT rekenen. Dit is geen MKB oplossingtje wat je neer zet. Er zit veel meer aan vast. En dan moet je wat groter denken.

Volgens mij bedoel je konings. Want iedereen heeft een andere mening dus moet dan ook op zijn wenken bedient worden volgens jouw gedachten. En daar gaat het juist op fout.

Dat dat het ergens fout gaat bij de houder. En wie denk je dat ze dan gaan bellen? De service desk en volgens jouw beredenering is de klant koning, dus moeten ze jouw maar helpen en oplossing met jouw gegenereerde probleem.

Nee.. Dat is omdat je verder moet kijken dan dan "automatiseren". Het is niet alleen een stukje techniek implementeren. Er zit veel meer achter, waarover je moet nadenken. Kort komt het er op neer, Wat zijn de requirements...... Hoe je dat daarna technisch oplost, is een tweede. Je moet niet in technieken denken.

Klopt, maar dit is nu wel complexer geworden en kost dus meer tijd (en geld)

Nee, dat is voor iemand die alleen in de techniek voor zichzelf denkt, en daarbij met oog kleppen kijkt naar een in zijn ogen een foute oplossing, die hij een stuk beter zou neer zetten.
Maar als jij niet tevreden bent als klant, ga je toch naar een andere dienstenleverancier die wel aan jouw eisen voldoet? Ik denk dat je die alleen niet zal vinden. Mogelijke oplossing: Begin er dan de dienst voor jezelf, en zet het commercieel in de markt. Je motto zou kunnen zijn, de klant is koning, en bij ons is alles mogelijk. Eens kijken hoelang het duurt voordat je omvalt....

Nee dat is een constatering, waarbij meerdere dit ook al aangeven. Dit is niet even een hobby ICT oplossing wat je neer zet. Er zit veel meer complexiteit achter, wat je ven opzij schuift, volgens je motto, de klant is koning....

Was is je definitie van goed doen? Wie bepaald goed en fout?

Het is wat lastig als de koning niet voor redenen vatbaar is.

En zo is het maar net, nou ja, niet helemaal want het gaat over veranderend beleid.
Maar niet idereen verandert mogelijk op dezelfde wijze dus vooruit kijken en orienteren is wellicht toch lonend.

Indicatief opstaphulpje
https://www.security.nl/posting/559554/Test+Verzekeraar+Websites+op+Security+%26+Privacy+%28%232%29

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/gezondheid/zorgverzekeraars:


Een kopie van de gespecificeerde factuur moet je volgens mij bij de betreffende zorgverlener aanvragen.
Het komt ook voor dat je je gespecifieerde factuur moet doorsturen naar je zorgverzekeraar.
In dat geval kan je alvorens de factuur op te sturen er een kopie/scan/foto voor jezelf van maken.

Het huidige stelsel geeft je ook geen nuttige keuzes. Precies waarom ik al jaren zeg dat het huidige stelsel op de schop moet en basiszorg gewoon "kostenloos" geregeld moet zijn. Je betaalt natuurlijk altijd, maar het heeft geen zin daar een aparte polis voor te moeten afsluiten die je toch wel moet hebben, maar waar je dan weer geen nuttige keuzes mee kan maken. Wat we nu hebben is een leuk douceurtje voor de van overheidswege gezegende verzekeringsbedrijven, maar het is niet nuttig voor het volk. En daar ging het nou net om.


Alleen maar aan de binnenkant, en dat is een puntje braaf achter de voordeur houden -- oftewel, pest de klant er niet mee.

Dan leer je maar dat dat niet fout gaat.

Juist dat zou de sterkte van automatisering kunnen zijn, maar is het niet omdat we dat automatiseren niet goed in de vingers hebben. En daar hebben er hier, en overal, nogal wat mensen best nog enorme moeite mee.

Nee. Laat ik als huiswerk; het ging al fout door als bedrijf op de stoel van de klant te willen gaan zitten en hem alles, inclusief de controle over zijn eigen identiteit, te willen afnemen.

Blijf dan ook niet zo vastzitten in "het is te moeluk!", zorg dat het gaat werken. Dat was namelijk precies de --vooralsnog oningeloste-- belofte van "automatisering".

Kosten dragen en problemen oplossen is precies waar je een grootbedrijf voor bent. Dat het vooralsnog hopeloos inefficient en op (indirect nodelos dure) "one size fits none"-manier gebeurt betekent dat er nog veel winst te behalen is.

Zo haal je vooral je eigen argument weer omver.

Ik zeg, dit zijn mijn "digitale" leveringsvoorwaarden en zolang jij daar niet aan voldoet, ongeacht reden, mag jij mij niets "digitaal" leveren. Kom maar terug als je dat wel kan.

De makke is dat deze markt niet vrij is maar helemaal kapotgereguleerd door het politiek-gemotiveerde najagen van de schijn van "vrije markt". Als je zegt, wees realistisch, nouja, hier heb je realisme.

Vandaar dat ik wel dat mechanisme aan het bouwen ben maar me niet waag aan het willen concureren als "verzekeraar"; ze mogen deze dienst bij mij afnemen.

Leuk hoor, maar volhoduen dat je werk doen "te moeluk is, boehoe".

Nee, ik geef die complexiteit weer terug aan degenen die er iets mee moeten en kunnen doen. Dat is niet de klant, dat is het bedrijf. Die heeft de macht het te doen maar gaat zitten huilen dat ze hun werk te moeilijk vinden.

Dat is niet je doodstaren op techniek, wat jij insinueert, dat is begrijpen waar het misgaat in "de realiteit" van "digitalisators" en managers die hun eigen werk niet begrijpen en de verkeerde dingen willen.

Om met wijlen managementschrijver Peter Drucker te spreken (zoek op die naam), de enige plek waar je kan zien of een organisatie effectief is, is buiten de organisatie.

Dus dat jij zegt dat er omwille van interne redenen de klant maar moet buigen, daar zeg ik tegen, dat is de omgekeerde wereld. Vandaar dat ik zeg, leuk dat "oh wat zijn we enterprise-ig", maar val er de klant niet mee lastig. Voldoe gewoon aan zijn "digitale" leveringsvoorwaarden. Wat die ook moge zijn, ongeacht hoeveel verschillende mogelijkheden ondersteunen dat vereist. Regel maar dat je dat efficient kan. Taak van het bedrijf om lastige problemen op te lossen, niet om ze op de klant af te schuiven. Bestaansreden zelfs.

Ik zie alleen maar geklaag, geen onderbouwde redenen, en al helemaal niets inhoudelijks.

Maar als dit werkelijk de stand der techniek is, dan zijn we dus weer terug bij "je kan het gewoon niet dus blijven we bij papier". Doei.

Eerst mijn waardering voor uw reactie op mijn artikel waarvan de inhoud helaas totaal ondergesneeuwd is door de irrelevante reacties van één of meerdere trollen.

Het komt erop neer, dat de klant een stukje privacy moet opgeven, om inzage te krijgen in een specificatie van een door de zorgverzekeraar aangeboden factuur. Niet de zorgverzekeraar wil mijn telefoonnummer hebben, maar verplicht mij deze aan de overheid te geven, zodat de zorgverzekeraar gebruik kan maken van een faciliteit die de overheid daarvoor in ruil aanbied. Het is duidelijk dat de overheid ten aanzien deze verplichting zeker op hoog niveau ruggespraak heeft gehad met de zorgverzekeraars en zoals dat met deze elite gaat, zitten ze allemaal op dezelfde lijn.

We zijn geen bananenrepubliek, maar alle signalen wijzen op steeds meer slimme overheidscontrole op de burgers. Elke telefoon die nu bij de overheid is aangemeld voor dit specifieke doel, zal in de toekomst in en aan een database worden gekoppeld, zodat elke volwassen Nederlander die een verplichte zorgverzekering heeft in feite fysiek kan en in voorkomende gevallen ook zal worden gevolgd.

Je noemt het al management schrijver en nagemeten goeroe.
Dat betekent bedrijfsoptimilisarie winstoptimalisarie voor het mahagement. Daarbij mag de klant als koning aangeduid worden de aandeelhouder is de keizer.

Drucker zit meer in het verlengde van Fayol en Deming in die van Taylor. Daarnaast lopen nog kan van een six sigma met or.
.Als je verwijzingen maakt moet je dat geheel duiden net een selectief iets wat je toevallig goed uitkomt.
Is je het het verschil in de benadering van uitvoerend personeel opgevallen in de eerste twee stromingen. En de beperkte vrijheid met etter verantwoordelijkheid bij kanban?

Geen enkele stelt dat de klant de productspecificaties bepaald.
Het is meer zoals Ford zei. Je kunt elke kleur krijgen als koper zolang het maar zwart is.

Voor zover ik het gevolgd heb heeft de liberale regering als volksvertegenwoordiging er door gekregen dat:
- iedereen zelf zijn ziektekosten moet gaan betalen in een vrije markt.
Argumentatie is dat zorg veel te kostbaar zou zijn om dat aals overheid te regelen.

- iedereen verplicht verzekerd is met een verplichte registratie en kostenbewaking bij de verzekeraars. Deze registratie is wettelijk aan je bsn gekoppeld. Het volgen gebeurt daar al.

Voor je identificatie autenticatie met je bsn is er niets fatsoenlijk door bzk rvig geregeld DigiD is een specifieke invulling voor bepaalde situaties. (Logius).
Ook die wordt naar de vrije markt gebracht. Je mag daarvoor de inlog van je bank gebruiken.

Je telefoonnummer valt voor handhaving op andere manieren te achterhalen. Ik snap je probleem niet voor dit geval van inzien van een declaratie.

Beter zou de declaraties zelf te krijgen en te betalen en later maar kijken of en wat je terugkrijgt van de verzekering?

En maar blijven doorzeuren over een factuur aanvragen bij de zorgverzekeraar he.

WAAR haal je het vandaan dat je bij je zorgverzekeraar moet zijn voor een kopie van een gespecificeerde factuur? Dat staat toch nergens?

En volgens mij werkt de zorgverzekeraar met codes die de zorgaanbieder invult voordat het naa r de zorgverzekeraar gaat
en die wij toch niet kunnen begrijpen.

Laat nou net Drucker vertellen dat "winstmaximalisatie" precies de verkeerde focus voor een bedrijf is. Wie de korte termijn onder het mom van de aandeelhouders voor de klant stelt raakt z'n klanten en uiteindelijk z'n bedrijf kwijt.

Als je niet levert wat de klant nodig heeft ga je failliet. Of de klant, dat gebeurt ook wel eens. (*kuch* Deutsche Bank *kuch*)

Dat was toen technisch gedreven; zwart was de enige kleur die snel genoeg droogde. Maar er zijn ondertussen echt wel meer kleuren autos te koop. Met de automatisering net zo: Ruim tijd om meer kleuren mogelijk te maken.

Misschien met een reden?
Je hebt nu wel een aantal mogelijkheden. Oa welke zorgverzekeraar, waarbij er ook een prijs verschil kan zijn.
Zou dit beter kunnen, misschien, maar een echt goede oplossing is er niet voor.

Het volk weet ook niet altijd precies wat er nu werkelijk allemaal voor nodig is. Korte termijn visie of te gemakkelijk denken, is heel normaal bij het volk.

Klopt. Maar vaak hebben die ook werkelijk geen idee, wat er allemaal mee speelt, en wat bepaalde requirements zijn. Langs de zijlijn commentaar geven is altijd gemakkelijk. Daarnaast hoeft de technisch beste oplossing niet de juiste oplossing te zijn.

Het bedrijf moet wel een complete dienst kunnen leveren. En niet even iets wel aanbieden maar niet ondersteunen. requirements.....

Technisch kan alles. Maar tegen welke kosten en effort? Ben jij bereid dat jouw oplossing voor iedereen bij deze zorgverzekeraar in eens 5 euro per maand extra gaat betalen per oplossing? Dus 100.000 koningen is zeker 10.000 oplossingen * x euro extra?
Automatisering moet onderhouden worden, en hoe meer mogelijkheden, hoe complexer, dus duurder en fout gevoeliger.

Iemand moet het toch gaan betalen, voor een oplossing die bijna niet gebruikt wordt.

Ik wil graag faxen ontvangen, en mijn moeder kan slecht tegen zwarte tekst op een witte achtergrond. Zojuist nog 2 koning oplossingen nodig. Immers klant is koning.

Dat is mooi. Als er een markt voor is, zal je het waarschijnlijk druk krijgen. De vraag is alleen of er een markt voor is.
Maar ik zal je niet tegenhouden. Ik zou je echte baan alleen niet opzeggen.

Tja als je dat er van maakt, dan snap je niet hoe dit soort oplossingen werken, moeten werken, en onderhouden moeten worden.

Als er een markt voor zou zijn, dan zou vast iemand het al bedacht en gemaakt hebben, indien het een mogelijkheid was. Er zit echter veel meer aanvast.

Daarom zijn er requirements waaraan je oplossing moet voldoen. Dus niet alleen iets technisch, maar ook klant ondersteuning.

Ik zie alleen maar geklaag, geen onderbouwde redenen, en al helemaal niets inhoudelijks.[/quote]Dat zijn juist de opmerkingen van iemand die niet snapt hoe waarom bepaalde oplossingen moeten voldoen.

Maar de techniek werkt juist heel goed. Wat jij wilt is gewoon niet haalbaar. Iedereen in eens koning, zoveel wensen zijn zoveel mogelijkheden en iedereen is belangrijk, dus heeft gelijk. Dat is niet haalbaar. En als het toch gedaan wordt, dan is het niet beheersbaar. Waardoor het niet werkt en omvalt.

Is het idee goed. Zeker... Maar wie bepaald dat? Zoveel klanten, zoveel mogelijkheden.
Ik wil namelijk graag de fax hiervoor gebruiken. Ideaal... Ontvangt bevestigingen, zowel digitaal als op papier meteen te archiveren, indien het een digitale fax ontvanger is. Iedereen snapt een Fax, zeker de ouderen. Sneller dan de postbode.
Eigenlijk een hele goede oplossing, en ik ben koning, dus ik wil alles vanaf nu per fax ontvangen........

Mazzel....

Die heb ik al gegeven.

Er is een prima oplossing. Maar niet binnen de opzet zoals die nu is.

En dat is waarom we ook wel zeggen "regeren is vooruitzien". In die zin is de huidige politieke klasse heel "volks".

Merk op dat je hier heel flauw het volk verwijt visie te missen maar daar ging de opmerking niet over.

Merk ook op dat je "even gemist hebt" dat hier een vrij duidelijke aantijging van structurele corruptie staat, corruptie die gewoon in de wet ingebakken is.

Niet als je maar blijft roepen "het is te moeluk!!1!".

Dat zou niet nodig moeten zijn, maar dat is een stukje "hoe richt je het in?", precies daar waar het schort bij "digitalisatie" die dus geen "automatisering" is.

Dat hoeft helemaal niet.

Dat is maar net hoe je het inpakt. Alweer, organisatie.

Dat weet je niet, want je wil het niet eens proberen.

Dus? Regel dat.

Zet een faxmachine neer, dat is jouw verantwoordelijkheid. Voor "de andere kant", als een document electronisch aangeleverd wordt kun je het ook zo printen, en evenzogoed er een fax van knutselen. Vaak al in dezelfde (open source) software, en dan is het een kwestie van dat uitsturen en "running the queue". Vrijwel hetzelfde mechanisme als email. Dus als je het handig aanpakt is het technisch triviaal, zelfs met FOSS te realiseren; je zet het een keer neer en het blijft wel doorpruttelen.

"Onderhoud benodigen" in software is vrijwel altijd het gevolg van wijzigingen elders. Dat daar gigantische kosten uit voortkomen mag eigenlijk helemaal niet, dus is wel een puntje om op te lossen. En niet iets waarvoor je maar op je handen moet gaan zitten en wachten tot er ergens wat academici je probleem gaan oplossen zonder dat je ze vertelt wat het probleem precies is. Hier, nu heb ik het je verteld, en aangezien jij het op het gebied van "requirements....." beter denkt te weten, zet je tanden er maar in.

Je weet wel te vertellen dat ik het niet snap maar je bent nog te lui om uit te leggen hoe het dan wel werkt. Wat steekwoorden alsof het buzzwords uit een powerpoint zijn en dat was het dan. Mischien is het genoeg voor middle management maar niet als het om de inhoud gaat.

In plaats van dat je laat zien hoe het wel moet. Je komt echt nooit verder dan "te moeluk!!!!"

Je mag hopen dat ze dit *moeten* afdwingen. Tenzij je graag nep beveiliging hebt, waar je niets aan hebt. Je hebt niets tegen beveiliging, maar je moet het wel kunnen uitzetten ? ;)

Ze moeten het niet afdwingen ze mogen het afdwingen.
Je moet wel met een hele goeie reden komen wil je ze overhalen om het anders te doen.

Gaat het om een gespecificeerde factuur dan is je zorgverzekeraar niet de aangewezen "persoon" om die te verstrekken.

Elk asymmetrische sleutelpaar is juist gekoppeld aan één identiteit, en bedoeld om betrouwbaar te kunnen authenticeren. En wat ook maar weinigen lijken te snappen: in de meeste gevallen is het primaire doel van authenticeren het voorkómen dat een ander zich kan voordoen als jou.

Helaas betreft authenticatie met asymmetrische sleutelparen een soort TOFU (Trust On First Use): je moet eerst zeker weten dat een public key van de bedoelde persoon is, voordat die persoon -aan de hand van het bezit van de bijbehorende private key- kan aantonen dat het daadwerkelijk om dezelfde persoon gaat (er vanuit gaande dat het niet om een kwaadwillende gaat die de private key heeft weten te kopiëren, of deze bijv. rekenkundig heeft kunnen herleiden uit de public key). Bij het verzenden van (indirect) met een public key versleutelde informatie, vindt deze authenticatie impliciet plaats.

Voorwaarde bij online authenticatie met behulp van een asymmetrisch sleutelpaar is dus dat "de andere kant" met zo groot mogelijke zekerheid vaststelt dat jouw public key daadwerkelijk van jou is, om (indirect) daarmee versleutelde informatie naar jou (i.p.v. naar een fraudeur) te kunnen sturen.

Aangezien het voor medewerkers van zorgverzekeraars, zelfs al zouden ze hiertoe bereid zijn, een simpelweg onmogelijke opgave is om vast te stellen dat een public key daadwerkelijk van een specifieke klant is (tenzij die klant fysiek op kantoor verschijnt, zich legitimeert met een geldig identiteitsbewijs, haar public key overhandigt en deze vervolgens "cryptografisch onwrikbaar" aan de identiteit van de klant wordt gekoppeld), is jouw voorstel onuitvoerbaar en opent alle deuren voor identiteitsfraude.

Tenzij jij natuurlijk denkt dat het verzenden van sleutels via e-mail, en daar vervolgens mee versleutelen en/of signeren, e-mail veiliger maakt voor het verzenden van vertrouwelijke informatie...

Gezien de vele negatieve reacties op dit forum als ik mijn kennis deel: op verzoek wil ik dit best verder toelichten en/of onderbouwen.

Eh, nee. Een sleutelpaar is een sleutelpaar en dat zegt op zichzelf helemaal niets over wie de private sleutel beheert, hoe dat gebeurt, en hoeveel mensen (nul, een, meer dan een) daarachter zitten.

Dat zijn allemaal extraatjes; zoals het signeren van een certificaat in PKI of het "web of trust" in PGP. Wat dat precies doet dat is voor veel mensen ook maar een beetje wazig. Maar dat is toegevoegde complexiteit, en heeft geen inherente betrekking op een sleutelpaar.

Dus wat mij betreft schiet je hier een beetje in de paniek om iets dat we er later bij bedacht hebben en waarvan we weten dat het niet lekker werkt. Gek genoeg is de train crash in slow motion genaamd PKI nog steeds ongekend populair ondanks alle makken met en zelfs doodzonden die er in het systeem begaan zijn.

Merk op dat je dat vaak genoeg toch al doet: Er komt een nieuwe klant bij een webwinkel. Weet de webwinkel veel wie het is, zolang hij maar netjes de rekening voldoet is het goed.

En daar is niets mis mee. Het enige probleem is als je "repupatie" mee wil nemen, die voorheen aan "identiteit" (of erger, "legitimasie", wat dat ook moge zijn) hing, zodat je nu "de persoon achter de sleutel" aan z'n sleutel vast wil nieten. En dan schiet jij in de paniek want oh nee dat kon wel eens misgaan... maar dat is alweer iets wat we er zelf bij bedacht hebben. Hang je het geheel op aan de sleutel, is er niets aan de hand.

Als je van de pijn van die hersenkronkel bekomen bent, vraag je maar eens af hoe we het nu doen. Wat is er belangrijker, de burger of de burgerhaatkaart? In de praktijk heel erg sterk niet de eerste, die moet naar de tweede dansen. Dat negeren we gemakshalve, maar is helaas wel zo. Dan doe ik dat dansen liever naar een private sleutel die ik zelf kan uitgeven dan naar een stukje hatelijk plastic waarvoor ik een overheid moet petitioneren om 'm mischien te mogen krijgen alstublieft dan toch, en waar diezelfde overheid, tegelijk terwijl ze eist dat ik er een heb, kan weigeren het hatelijke ding uit te geven. Als ik die sleutel zelf kan maken ben ik niet afhankelijk van dat soort vaagheden en ambtelijke willekeur.

Dat die versgeknutselde "cryptografische identiteit" dan een soort tabula rasa representeert, waar dus een lege reputatie aan hangt die eerst opgebouwd moet worden, neem ik dan maar voor lief. De macht tot zijn ligt ermee in mijn eigen handen.

Tsja, we gaan er wel een beetje van uit dat je je geheime sleutel netjes geheim houdt en dat de wiskunde niet "lek" is. Dat is vrij universeel in de cryptografie eigenlijk.

Dat is dus helemaal hoe ga je met die sleutel om en wat betekent het. Dat is wel even goed om over na te denken, maar als je weet waar je mee bezig bent is er geen probleem.

Je bedoelt dat je bang bent voor een "man in het midden"-aanval. En dat probeer je te doen door terug te vallen op externe identificatie. Zoals daar de 600-of-hoeveel-zijn-het-er "identity providers" in het rootCA lijstje van je browser.

Nou nee. Je hoeft alleen maar persoonlijk naar het kantoor en te zeggen "dit is mijn publieke sleutel". MITM voorkomen.

Wat je eigenlijke naam is, is alleen maar belangrijk omdat je daar met alle geweld op terug wil vallen. Voor een verzekeraar is het alleen maar belangrijk dat er een polis bestaat en dat er netjes voor betaald wordt. Want wat kan het een verzekeraar nou schelen of jij tien verschillende polissen onder tien verschillende publieke sleutels betaalt? Het wordt pas interessant als je ze allemaal tegelijk wil laten uitbetalen, en daar kun je de gebruikelijke fraudedetectie op loslaten.

Dus wat mij betreft probeer je problemen te ondervangen die je helemaal niet op die manier moet proberen te ondervangen. Dat doen we op een andere manier en dat heeft niets met de wiskunde van publieke sleutelcryptografie van doen.

Nouja, versleutelen betekent dat alleen de houder van de sleutel het bericht kan lezen, en signeren betekent dat als iets of iemand met het bericht rommelt (zonder dat'ie de geheime sleutel kent) dat dan de signatuur niet meer overeenkomt.

Meer betekent het niet. Zolang je dat goed begrijpt zijn het prima middelen om in je arsenaal te hebben.

@Anoniem vandaag 19:14: de TS heeft het niet over een webshop maar over een zorgverzekeraar.

En ik reageer op een Anoniem (ik heb geen idee of jij dat bent) die vertrouwelijke informatie van een zorgverzekeraar wil ontvangen. Volgens de AVG (en waarschijlijk ook eerdere wet-en-regelgeving) moet een partij die privacygevoelige informatie aan derden verstrekt, vaststellen of zij recht op inzage hebben (geautoriseerd zijn). En voordat je kunt vaststellen of iemand geautoriseerd is, zul je eenduidig moeten weten wie dat is - om te voorkomen dat die privacygevoelige informatie in verkeerde handen valt.

En daarom is het niet goed genoeg als jij, freelance journalist bij de Privé, met een blonde pruik op je kop het Haga ziekenhuis binnenloopt en zegt: "ik ben Barbie en hier heppie m'n publik kie". Of vanuit jouw verse account RealBarbie123@gmail jouw public key naar Barbie's zorgverzekeraar mailt en vraagt "jouw" dossier daarmee te versleutelen en mee te sturen met een reply op die mail. Iets met sleutels en deurmatten...

De 2fa die de zorgverzekeraar nu vraagt geeft geen uitsluitsel op de ware identiteit, niet meer dan eerder.
Ze vraagt extra gebruik van een gegeven, een telefoonnummer, maar dat nummer geeft nog geen uitsluitsel over de identiteit van die persoon.
Iedereen kan op dat moment over die telefoon beschikken.
Kul argument want niet relevant.

Daarnaast, wie nog geen 2fa had bij digid met opgaaf van telefoonnummer moet nu ineens een week wachten.
Geen opgaaf van telefoonnumer bij digid is geen recht op inzage op je eigen gegevens bij de zorgverzekeraar.

De overheid forceert op alle vlakken verplichte opgave van steeds meer gegevens van digitale apparaten onder het excuus van security maar de big data overheid wil gewoon van ieidereen exact weten waar die de hele dag uithangt en daarvoor zijn die extra verplichtingen nodig.
Niet voor security, dat is modieus function creep gelul maar iedereen trapt erin want het is hot en iedereen gelooft het dus.

1 factor authenticatie is prima maar doet hooguit een extra beroep op de verantwoordelijkheid van de gebruiker, veel gebruikers hebben hun zaakjes wel op orde, maar die mogen kennelijk zelf steeds minder beslissen.

andere anoniem

Goed gezien. Het verband is je kennelijk ontgaan, maar dat heb je goed gezien.

Dat laatste is niet gezegd. Het is een veelgemaakte aanname, "authorisatie kan alleen maar na identificatie", maar het blijkt de bron te zijn van heel veel ellende. Dus wellicht tijd om iets anders te verzinnen.

Dat is dus precies wat ik probeerde uit te leggen: Je hangt je op aan je "legitimasie"-baggage en geeft de cryptografie er de schuld van. Zet je vanaf het begin af aan in op --bijvoorbeeld-- die polis aan een sleutel te hangen, verdwijnt dat koppelingsprobleem als sneeuw voor de zon.

Maar zelfs in het geval dat we niet de hele regelgeving op de schop gooien en wel met dat rigide Napoleontische idee van iedereen "één stuks legitimasie" blijven doormodderen, dan nog snijdt je angst geen hout. Namelijk, er is een simpele oplossing, die al in gebruik is bovendien.

Er moet nu al gehannest worden met een "webportaal" waarvan de loginprocedure zwakker(!) is dan als je een publieke sleutel zou gebruiken, en dat vindt de verzekeraar goed genoeg. Dus inloggen is gelijk "legitimasie". Dat is wat je zo graag wil.

Dus waarom niet daar een vakje --achter die login-- "vul hier je publieke sleutel en het emailadres waarop je de gegevens versleuteld wil ontvangen"?

Merk op dat er in de hele discussie nergens geeist wordt dat zoiets absoluut niet kan. Wel zou ik verwachten dat het niet de enige manier zou zijn om de communicatie op te zetten omdat webportalen gewoon geen geweldig idee zijn. Maar hier is het voldoende illustratie dat "stuur die gegevens maar per versleutelde email" heel goed kan gewoon door op bestaande mechanismen te bouwen. Die panische angst van "jamaar legitimasie"... daar had je toch al een oplossing voor? Doe niet zo moeilijk.

Overigens was het ik meen de Duitse belastingdienst die dit wel prima begreep: Om een beveiligde geautomatiseerde verbinding op te zetten tussen hun systemen en dat van je bedrijf moet je een X.509 certificaat hebben. Dat mocht ook een self-signed certificaat zijn (scheelde toen toch makkelijk tweehonderd dollar in het jaar), zolang je ze maar netjes vooraf vertelde welk certificaat je ging gebruiken. En je moest natuurlijk jouw software vertellen welk certificaat zij gebruikten.

U heeft gelijk, de zorgverzekeraar meent met dit argument dat de klant zijn telefoonnummer maar aan de overheid moet geven, als deze klant inzage wil hebben in zijn zorgnota's.
Dat de overheid de verplichting (binnenkort wettelijke) aan alle burgerservicenummer (BSN) gebruikende organisaties waaronder de zorgverzekeraars oplegt om middels de twee factor authenticatie met haar klanten digitaal te corresponderen,
dit voor de klant nog niet betekend dat daarmee haar recht om inzage van haar zorgnota aan die wet ondergeschikt is.
Dit is de hamvraag, die tot op heden nog niet door een klant aanhangig is gemaakt bij de geschillencommissie of de Kantonrechter.

Inderdaad, Kul argument en niet relevant, wat je daar schrijft.
Je kunt bij iedere vorm van authenticatie wel aantekenen "geeft geen uitsluitsel want dit en dat".
Maar daar gaat het niet om. De authenticatie vereist hier het beschikken over naam, wachtwoord EN telefoon, en dat
wordt in dit geval voldoende geacht. Een dief van een telefoon heeft nog niet de naam en wachtwoord, en een kraker
van het wachtwoord heeft nog niet de telefoon.
Daarom wordt dit als voldoende gezien. En je kunt altijd wel doorzagen over dat jij het niet goed vindt maar daarmee
kom je nergens.

en die phishing app op je smartphone die heeft je naam (want fakeboek en shitter enzo), je ww en oh, boeide dat die phone niet fysiek in handen is :).

het probleem met security is is dat het asymmetrisch is. alles moet pot dicht en vooaf afgevangen zijn en de boefjes hoever maar een klein gaatje te vinden.

ervaring uit het verleden leert eigenlijk dat bij elke introductie van nieuwe technologie we een cylce krijgen:

cool, hebbuh, hipsters, look at me -> kinderziektes en meuk fase (dit is ook de assymetrische security fase) -> te veel mensen hebben er last van -> wetgeving en kwaliteit eisen opleggen -> bedrijven brand en moord schreeuwen -> stof daalt neer -> iedereen gebruikt technologie als het levensvatbaar en duurzaam blijkt, of, de andere kant op, technologie wordt niet gebruikt want duur, ingewikkeld en geen dikke winsten voor aandeelhouders. de buble burst. de hype cycle is gedaan.

elke keer gaat het zo. het zijn naievelingen die denken dat het 'nu echt anders is en anders gaat'.

wel verschillend is de impact in bijv de security fase door globaliseren en internet etc. : ipv een enkele brief uit een brievenbus hengelen, gaat dit nu misschien niet meer doo rjan met de pet maar wel vrijwel uit zicht in bulk digitaal door partijen die niet jouw best interrests hebben. en dat verschil kan in een correcte risico analyse een ballans omtippen dus naar, 'misschien moeten we dit toch maar niet doen' ook al is er ook een voordeeltje / gemak te winnen. waar het dan vaak mis gaat is in die risico analyse is omdat zoet en zuur op verschillende plaatsen zitten. zoet in de vorm van winsten elders dan het zuur als iets to big to fail is of een rekening is geplundert etc.

efin, allemaal hele ouderwetse concepten die nu tegenwoordig wat scherper gespeeld worden door de grotere inpacten daarvan door digitaliseren.

maar wel mooi hoor al die technologie, ja ja ik zie de mensen om mij heen steeds gelukkiger zijn :).

Het is niet zo effectief om op je smartphone in te loggen én de controle sms-en te gebruiken.
Er bestaat wel een Digid-app:


Vooral de tweede manier lijkt mij toch behoorlijk veilig.
En als een overheid je nummer kan weten maken ze daar i.h.a. geen misbruik van.
Man man man hoeveel mensen gebruiken Digid al niet jaarlijks om belastingaangifte te doen, dat alleen al zijn er miljoenen in Nederland. En ook voor nog veel meer dingen wordt Digid gebruikt.
Dat wat jij nu roept daar heb ik al die tijd nog nooit van gehoord dat het een probleem zou zijn.

En zonder digid-app inloggen kan natuurlijk ook,
maar dan zou ik liever niet via één smartphone zowel inloggen als sms verificatie doen.