Privacy - Wat niemand over je mag weten

DigiD geschiedenis

17-09-2018, 12:22 door Anoniem, 12 reacties
Kort geleden ontdekte ik dat DigiD de geschiedenis van je logins bijhoudt. Meestal niet zo'n probleem, maar bij de meeste patiëntenportalen moet je ook met DigiD inloggen. Dat betekent dat exact is vastgelegd wanneer je bij welk ziekenhuis inlogt. Op de DigiD site kun je alleen met gebruikersnaam en wachtwoord inloggen. Je kunt daar ook instellen dat je een sms-controle nodig hebt. Je moet dan het beveiligingsniveau "Midden" opgeven. Dit lijkt me wel aan te bevelen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.
Reacties (12)
17-09-2018, 13:28 door Anoniem
Is het niet zo dat het betreffende ziekenhuis zelf bijhoud wanneer je ingelogd was? In dat geval kan DigID zelf dus niet zien in welke ziekenhuizen jij ooit ingelogd was. De belastingdienst weet ook wanneer ik het laatst op hun site ingelogd was, ter controle voor jezelf...
17-09-2018, 13:33 door Anoniem
Maar digid (en andere dergelijke systemen) zijn helemaal niet ontwikkeld om het jou gemakkelijker te maken maar om je te volgen. Onder het mom van fraude bestrijding e.d.
17-09-2018, 14:01 door Anoniem
Ik denk dat er een gerechtvaardigd belang is om de geschiedenis *niet* weg te gooien. Waarom zouden ze? Waarom zou jij de geschiedenis gewist willen hebben?
17-09-2018, 16:30 door Anoniem
Die geschiedenis zou er alleen voor jou moeten zijn, en is bedoeld om te controleren of je geen gekke entries ziet
die jij niet hebt gedaan, m.a.w. je kan zien of iemand je inlog heeft gekraakt.
Dat nut valt weg als je geschiedenis kunt wissen, want dan kan een nepperd die op je Digid in weet te loggen dat ook.
Als jij bewijzen hebt dat andere mensen je Digid-geschiedenis kunnen zien dan moet je de klok nog maar eens luiden.
Je kan als ik me goed herinner alleen in die geschiedenis kijken als je bent ingelogd met je Digid inlogwaarden.
Mogelijk log je eerst in op een bepaalde dienst die Digid vereist en ga je daarna rechtsreeks naar die geschiedenis
maar dan ben je waarschijnlijk nog steeds ingelogd op Digid op dat moment.
17-09-2018, 17:37 door Anoniem
Maar maak je je ook zorgen over het feit dat de overheid je wel heel eenvoudig kan volgen door gebruik van DigiD?
Aangezien ze jouw correcte 06-nummer en ip-adres hebben. Hiermee wordt het kinderlijk eenvoudig om data aan jou te koppelen. Tussenkomst van een rechter (stelt overigens ook niets voor) is niet nodig om op te vragen wie er achter een ip-adres zit, dit heb je ze al 'vrijwillig' cadeau gedaan.

En ja ik vertrouw de overheid niet, an sich denk ik niet zo heel gek; https://www.startpage.com/do/search?q=Minister+Kajsa+Ollongren+aftapwet+-site%3Anu.nl&l=nederlands (is ze overigens ondertussen al op staande voet ontslagen?).
17-09-2018, 19:42 door Anoniem
Door Anoniem: Kort geleden ontdekte ik dat DigiD de geschiedenis van je logins bijhoudt. Meestal niet zo'n probleem, maar bij de meeste patiëntenportalen moet je ook met DigiD inloggen. Dat betekent dat exact is vastgelegd wanneer je bij welk ziekenhuis inlogt. Op de DigiD site kun je alleen met gebruikersnaam en wachtwoord inloggen. Je kunt daar ook instellen dat je een sms-controle nodig hebt. Je moet dan het beveiligingsniveau "Midden" opgeven. Dit lijkt me wel aan te bevelen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.

DigiD midden werkt niet meer. men dwingt je om voor bepaalde zaken naar een app te gaan.
17-09-2018, 20:45 door Anoniem
Door Anoniem:
Door Anoniem: Kort geleden ontdekte ik dat DigiD de geschiedenis van je logins bijhoudt. Meestal niet zo'n probleem, maar bij de meeste patiëntenportalen moet je ook met DigiD inloggen. Dat betekent dat exact is vastgelegd wanneer je bij welk ziekenhuis inlogt. Op de DigiD site kun je alleen met gebruikersnaam en wachtwoord inloggen. Je kunt daar ook instellen dat je een sms-controle nodig hebt. Je moet dan het beveiligingsniveau "Midden" opgeven. Dit lijkt me wel aan te bevelen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.

DigiD midden werkt niet meer. men dwingt je om voor bepaalde zaken naar een app te gaan.
Hoeveel krijgen ze daarvoor van de smartphonefabrikanten?
En anders doen we het toch gewoon lekker ouderwets gezellig per fax?
(https://nos.nl/artikel/2250664-verpleegkundigen-zijn-faxen-en-overtikken-van-patientgegevens-zat.html)
17-09-2018, 21:12 door Anoniem
Niet zo paranoide reageren aub. Er is een gerechtvaardigd belang zoals ik al eerder heb aangegeven. Dat belang geldt niet voor jou, maar voor het ziekenhuis.

Schei uit met niet vertrouwen van de overheid. Dit is simpel bijhouden of en wanneer er fraude wordt gepleegd. De logs worden vanzelf vernietigd.

2FA is goed. Prima zelfs voor dit soort logins.
18-09-2018, 12:13 door Anoniem
(Toelichting van de vraagsteller) Misschien voor alle duidelijkheid: het gaat hier om inloggen bij https://www.digid.nl/, wat je natuurlijk niet zo vaak doet. Meestal gebeurt het via een andere site. Ik heb gisteren nog op deze site het niveau "Midden" ingesteld. Als ik opnieuw inlog krijg ik alleen de keuzes "Ik wil inloggen met gebruikersnaam en wachtwoord" en "Ik wil inloggen met de DigiD app". Als ik dan kies voor "Ik wil inloggen met gebruikersnaam en wachtwoord" krijg ik een SMS-code op mijn telefoon om in te loggen.

Ik heb er niet zo'n probleem mee dat de geschiedenis wordt vastgehouden. Dat is inderdaad goed voor controle. Maar ik vind het wat overdreven dat inloggegevens van 2015 nog worden vermeld. En ik was wel nieuwsgierig hoe je ze kon verwijderen omdat dat ingevolge de nieuwe privacywetgeving wel zou moeten. Of ziekenhuizen en andere instellingen zelf de inloggeschiedenis bijhouden weet ik niet, ik ben het in ieder geval nog niet tegengekomen.
18-09-2018, 12:26 door Anoniem
Is het niet zo dat het betreffende ziekenhuis zelf bijhoud wanneer je ingelogd was? In dat geval kan DigID zelf dus niet zien in welke ziekenhuizen jij ooit ingelogd was. De belastingdienst weet ook wanneer ik het laatst op hun site ingelogd was, ter controle voor jezelf...

Zo'n audit trail is ook handig indien er mogelijke sprake is van inloggen door onbevoegden.
24-09-2018, 11:08 door Anoniem
(Bericht van de vraagsteller) Intussen heb ik van de DigiD helpdesk de informatie gekregen dat hun technische dienst de geschiedenis op verzoek kan verwijderen.
24-09-2018, 17:04 door Anoniem
Functie-blind

Vraag je bij elk privacy of security probleem af welk probleem je nou eigenlijk probeert te tackelen en of het middel niet erger is dan de kwaal.

Als je de geschiedenis laat verwijderen kan je dus ook niet meer zien of er een ander heeft ingelogd op jouw digid account!!
Mits je ongeveer wel weet wanneer je hebt ingelogd.

Waarschijnlijk was die geschiedenis weergave nou juist een beveiligingsmaatregel bedoeld om jou te kunnen alarmeren.
Beter zou het zijn als daar nog een ip adres achter had gestaan opdat je sneller gealarmeerd wordt omdat je altijd vanaf huis op digid inlogt.

Met het wissen van data kan je wel je privacy willen verhogen maar je zit jezelf er ook mee in de weg.
Zelfde princiepe verhaal met het wissen van computer logs.

Dan nog dit, als dat wissen van die data dus nu mogelijk is, is het selectief wissen ervan ook mogelijk.
Ojee, en nu?

Daarom is het misschien maar beter dat het helemaal niet kan worden gewist, en aan de inlogmomenten valt relatief weinig af te leiden binnen het systeem zoals dat bestaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.