Maar ja... het was zoveel makkelijker en goedkoper om alles digitaal af te dwingen he?

Volgens mij kan dat goedkoper. En veiliger. Tegelijkertijd, ja.

Klopt dat wel? 2019 is nog niet eens afgelopen en het zouden er al 25% meer zijn dan volgend jaar. En waarom is de begroting voor 2020 en verder dan weer vrijwel gelijk aan de gerealiseerde waarde van 2018?

In de tabel hierboven staat het getal van 106 miljoen berichten in de kolom "begroting". Ik denk eerder dat nu blijkt dat er in 2018 maar 82 miljoen berichten waren en er dit jaar toch geen toename verwacht wordt. De toelichting van het artikel schrijft:

Dat waren de prijzen voor de fysieke papieren brief toen dat massaal via die weg ging.

De case en het pleidooi voor digid blijkt dus niet (meer) sluitend......

En dan heb nog het UWV. Geeft dubbel geld uit. En een bericht via de berichten box en ook nog eens via een brief.

Tuurlijk, meer kosten voor ons als belastingbetaler, en minder voor ondernemer/aandeelhouders. Je kan ze ook niets vragen.

Dat was het nooit, het was altijd politiek gekleurd en met de "digitaal"-muziek meelopen.

Hadden ze dus beter kunnen kijken of dat ze minder wauwelberichten om elke scheet konden versturen. Ofzo. Sommige overheidsorganen zijn zo bezig met berichtscheten laten dat ze vergeten dat ze ook af en toe wat nuttigs moeten zeggen. Door alleen nog maar dat laatste te doen kun je al enorm veel tijd en geld besparen.

Met "digid" en "mijnoverheid" is het aantal berichten waar de burger aandacht aan moet besteden minstens verdubbeld. Maar hee, dat zijn "digitale transformatie"-projectjes die het leuk doen op het CV, en "efficiencyverbetering" is daar niet hip genoeg voor. En ohja, waarschijnlijk niet te doen want alle ambtenaren zijn stereotiep avers van efficiency. Dus tsja.

En hoe zie jij dit dan?

Volgens mij geloof je namelijk ook nog in fabeltjes.


Omdat? Ik haal dit namelijk nergens uit deze informatie.

De belastingbetaler wordt al niets gevraagd. Maar we weten allemaal dat er binnen verschillende overheden, waaronder de belastingdienst, vrij hard met geld over de balk wordt gesmeten. Dat kan best minder, en de effectiviteit van wat ze wel doen kan ook best hoger. Dus in principe kan het ook goedkoper voor de belastingbetaler. Moet je alleen wel willen.

Je vraagt je af waarom DigiD zoveel gebruikt wordt terwijl het inherent onveilig en een achilleshiel is, en terwijl er alternatieven zijn die niet alleen (veel) veiliger & betrouwbaarder zijn, maar ook nog eens veel goedkoper. Instanties zoals grote zorg- en inkomensverzekeraars worden via wetgeving gedwongen om Logius als identity provider te gebruiken. De overheid maakt wetten die bedrijven verplicht, diensten af te nemen bij een onderdeel van die overheid. Dat betekent een door de overheid gefinancierde monopolie (momenteel krijgen organisaties van de overheid vergoedingen voor de login-kosten van DigiD). Probleem van een monopolist is dat ze er een puinzooi van kunnen maken en ermee wegkomen. Een puinzooi onderhouden kost veel geld. Geld dat ook naar de zorg, het onderwijs of de pensioenen had kunnen gaan.

Als burger kun je daar niet veel aan doen. Enige wat je wel kan doen is opletten met deze hogere beveiligingsniveaus: doordat ze verplicht worden bij steeds meer instanties gaan mensen het niveau verhogen wat inherent betekent dat met een succesvolle login door een burger veel meer gegevens over die burger beschikbaar zullen worden. Dus ook bij een succesvolle login door een kwaadwillende kan deze bij meer en meer vertrouwelijke gegevens. De zogenaamde extra beveiligingsmaatregelen die dit moeten voorkomen stellen in de praktijk namelijk niet veel voor. Bijvoorbeeld de antieke SMS controle die overal wordt afgeraden en met verschillende methoden omzeild kan worden. Of bijvoorbeeld het enige alternatief het moeten downloaden van een app die als een zwarte doos werkt en geen open standaarden ondersteund. Je kan niet eens controleren of je wel een legitieme app aan het downloaden bent.

Beter zou zijn een (primary) login met TOTP, zodat je de werking kan verifiëren, niet afhankelijk bent van een enkele partij (single point of failure) en een hogere beveiligingsgraad en risicospreiding hebt. Bovendien zou een offline authenticator ook niet gevoellig zijn voor mallware die sleutels steelt. Beter zou ook zijn public-key voor mail en documenten zodat men niet altijd op portals moet inloggen om te communiceren.

Totdat de overheid & bedrijven open standaarden accepteren is het dus beter het beveiligingsniveau zo laag mogelijk te houden. Als partijen zoals de zorg, verzekeraars, etc dan weigeren informatie digitaal met jou uit te wisselen, ze manen dit op de ouderwetse manieren te doen.

Misschien wordt de tweetraps authenticatie eindelijk eens gefixt. Werkt al jaren niet. Je wilt niet weten hoelang mijn wachtwoord is om die reden ;)

Misschien omdat het zo goed werk en in elkaar zit?
Het is veilig, gemakkelijk, schaalbaar, centraal goed te beheren.
Logius is denk ik juist 1 van de overheids instellingen die hun ICT goed voor elkaar heeft, en DigiD is juist daarvan een goed voorbeeld.


Maar werkt heel goed, overal, gebruikers vriendelijk en aan iedereen uit te leggen.

[quote[Of bijvoorbeeld het enige alternatief het moeten downloaden van een app die als een zwarte doos werkt en geen open standaarden ondersteund. Je kan niet eens controleren of je wel een legitieme app aan het downloaden bent.[/quote]Maar werkt heel goed en effect.

De meeste gebruikers willen juist af van offline authenticors en voor bedrijven zijn dit enorme kosten posten. Niet flexibel.
Paar zeer belangrijke requirements voor een grote gebruikers populatie.

En slecht beheersbaar is, lastig uit te leggen aan gebruikers, minder flexibel. De gemiddelde gebruikers heeft echt helemaal geen idee wat een public key is. Zelfs veel personen in de ICT hebben hier helemaal geen idee bij wat dit is, of hoe dit werkt.
Dus totaal niet uit te leggen aan een normale gebruiker. Waarbij de huidige opzet mogelijkheden bied tot documenten in een App te krijgen, iets wat nu ook mogelijk is. Iets wat aan iedereen uit te leggen is omdat het heel gebruikers vriendelijk is.

gelukkig zitten op Security reaguurdes die alles beter weten, maar eigenlijk helemaal geen idee hebben wat de requirements zijn of hoe je dit soort implementaties moet doen.

De meeste secure oplossing hoeft namelijk niet de beste oplossing te zijn, gewoon omdat het niet gebruikers vriendelijk is.

Werk hier al jaren zonder enige problemen.

User error? Device error?

Lol, een digitaal bericht afleveren is even duur als de kosten van het fysiek opsturen van een brief.

Wat klopt hier niet?

Maar werkt heel goed en effect.

> Maar het is een structureel probleem bouwen wat later in je gezicht ontploft; niet ongewoon met een single point of failure door eigen geknutselde standaarden. En het is een vendor-lock-in waardoor Logius, eenmaal greep op zijn klanten, kan doen en laten wat het wil zonder dat men nog kan overstappen op een alternatief. Het onvermogen om uit te wijken naar iets anders maakt het een aantrekkelijk doel voor mogendheden met een ontwrichtende intentie.

De meeste gebruikers willen juist af van offline authenticors en voor bedrijven zijn dit enorme kosten posten. Niet flexibel.
Paar zeer belangrijke requirements voor een grote gebruikers populatie.

> Iedereen die het wel wil, KAN gebruik maken van een nog veiliger systeem ten koste van wat gebruikersgemak. Nu wordt men gedwongen tot een minder veilige optie. Dat is nu het voordeel van een open standaard; het kan zoals het nu gaat maar het kan daarnaast ook anders. Veel flexibeler dus.

En slecht beheersbaar is, lastig uit te leggen aan gebruikers, minder flexibel. De gemiddelde gebruikers heeft echt helemaal geen idee wat een public key is. Zelfs veel personen in de ICT hebben hier helemaal geen idee bij wat dit is, of hoe dit werkt.
Dus totaal niet uit te leggen aan een normale gebruiker. Waarbij de huidige opzet mogelijkheden bied tot documenten in een App te krijgen, iets wat nu ook mogelijk is. Iets wat aan iedereen uit te leggen is omdat het heel gebruikers vriendelijk is.

> In plaats van zelf een standaard in elkaar te knutselen kun je met open standaarden ook een eigen app/applicatie maken die dit doet. Verschil is dat mensen de keuze hebben andere software en configuraties te gebruiken (die nu al worden gebruikt met correspondenten die wel open standaarden gebruiken) waardoor het diverser is en moeilijker is om aan te vallen. Trouwens tegenwoordig gebruiken we handleidingen om mensen hun apparaten te laten configureren, je zal je verbazen waar een gewone gebruiker toe in staat is met goede documentatie.

gelukkig zitten op Security reaguurdes die alles beter weten, maar eigenlijk helemaal geen idee hebben wat de requirements zijn of hoe je dit soort implementaties moet doen.

> Je kan ook iets verdedigen wat ingaat tegen principes van goede, open en universele standaarden en hoge betrouwbaarheid. Als Logius daarvoor zou kiezen zouden ze die standaarden (die hun robuustheid echt wel hebben bewezen) een boost kunnen geven en dus ook veilig inloggen en mailen elders een boost geven.

De meeste secure oplossing hoeft namelijk niet de beste oplossing te zijn, gewoon omdat het niet gebruikers vriendelijk is.[/quote]
> Nogmaals, ook met open standaarden kun je zelf een gebruikersvriendelijke App blijven aanbieden voor mensen die het echt niet snappen.

Jij wilt dus 2 omgevingen? Daarnaast een token generator heeft ook een battery, en moet je bij je hebben. Ik heb het zelfde probleem met de Rabobank. Kastje lig ergens... Als ik geluk heb op de locatie waar ik op dat moment ben, met nog meer geluk zelfs in de zelfde ruimte. Met pech kan ik even niets doen.

En wat als de Interface in eens veranderd is? En gebruikers snappen het niet meer? Of je in eens een google account hiervoor nodig hebt?
Best grote impact voor de organisatie.

Nog afgezien Google Authenticator geen authenticatie heeft om de app te starten. Je niet terug koppelingen kunt geven, waar je momenteel probeert in te loggen, iets wat juist de DigiD App momenteel wel doet.

Eigenlijk wil je dus iets onveiliger.

Mocht je het niet door hebben, maar de overheid is een vendor-lock-in. En langzaam komen er ook alternatieven voor DigiD.
Je moet je ook afvragen of je dit soort oplossingen aan de markt wilt overlaten. Kunnen die het beter? Juist heel veel aanbestedingen mislukken totaal en is de vraag juist, waarom doet de overheid dit zelf niet?

Maar het is juist veilig. En hoe complexer iets is, hoe lastiger het ook wordt voor gebruikers om er mee te werken. Juist de DigiD app werkt heel veilig en gebruikers vriendelijk.
En wie zegt dat er op de achtergrond niet gewoon een open standaard gebruikt wordt?
Ik zie nog niet waarom dit niet flexibeler is, of TOPT flexibeler is.


Keuzes moeten ook ondersteund worden. En hoe meer keuzes hoe complexer iets wordt.
Goede documentatie is inderdaad een must. Ik zie ze wel eens voorbij komen voor gebruikers. 30 pagina's met print screens. Daar beginnen de meeste gebruikers niet eens aan.
Maar nog beter is, een A4tje met hoe je hem moet configureren en nog beter is, als het zo eenvoudig is, dat het werkt zonder handleiding. En dat is de huidige opzet wel.

Echter het werk stabiel en is heel schaalbaar. Men is langzaam nog verder aan het verbeteren en vervangen.
Juist wat jij adviseerd maakt het onstabieler, complexer en gebruikers onvriendelijk. Juist punten waarop het zal failen en daarom zal mislukken.

Maar er is een hele goede app. Die zeer veilig is.
Je moet eerst in de app een code invoeren die op je beeldscherm staat, daarna krijg je een QR code te zien die je scanned op je App.
En je wilt ook niet 2 omgevingen onderhouden. Kost veel te veel, en gebruikers zitten hier helemaal niet op te wachten.

Je komt met technische goede oplossingen, maar die voldoen alleen niet aan alle requirements. Daar is niets op tegen.
Je denkt te veel in techniek en daar draait maar een heel klein gedeelte om bij dit soort implementaties. Een focus op techniek is eigenlijk altijd gedoemd om te mislukken.

Even kort een reactie op hierboven:

Hoe bedoel je 2 omgevingen? Je kan met een open standaard kiezen tussen b.v. een app van Logius zelf, Google Authenticator (of een van de betere alternatieven) of een offline token generator (dat kan een pi zero project zijn maar ook een commandline tool op een laptop of een dedicated hardware token. Het grote voordeel is dat ze dus allemaal werken en je er een uit kan kiezen die je ook voor andere online diensten gebruikt. Zo heb je maar een Authenticator nodig en niet meerdere, waaronder een speficiek voor DigiD. Of bedoel je met 2 omgevingen dat je bij afnemers van DigiD naast DigiD ook met TOTP kan inloggen? Dat zou ook al prima zijn want dan wordt je niet gedwongen tot het kreupele DigiD.

Dat het schaalbaar is ben ik niet met je eens: DigiD verplicht een koppelingen met een 06 nummer en daarna met een smartphone. Daardoor kan een groep mensen DigiD niet gebruiken. Met een open standaard kon dit wel. Bovendien is de koppeling met een 06 nummer onwenselijk: je kan het nummer niet meer weghalen uit je DigiD (downgraden) waardoor je verplicht vast zit aan het mobiel abonnement dat je hebt. Buiten mallware en aanvallen op het SS7 protocol kan het namelijk ook dat iemand die zijn abonnement opzegt (of een ander nummer krijgt) en niet ook eerst zijn DigiD opzegt, het risico loopt dat zijn nummer wordt hergebruikt en deze persoon jouw verificatie smsjes binnen gaat krijgen. Jij kan dan niet meer inloggen om je nummer aan te passen/weg te halen. Sterker je kan helemaal niet meer inloggen en bent de controle over je DigiD kwijt. Kortom hier is dus helemaal niet over nagedacht.

Je hebt gelijk; er zijn misschien mensen waarvoor de DigiD app handiger is (mensen die alleen een token voor DigiD gebruiken en volledig afhankelijk zijn van hun smartphone), maar er zijn ook genoeg mensen waar een DigiD app simpelweg niet voor werkt. Als je nu kijkt hoe enorm uitgebreid de ondersteuning is die Logius via website en helpdesk biedt, dan kun je je afvragen of het eigenlijk wel zo gebruikersvriendelijk is en of in die documentatie en support niet gewoon een handleiding voor populaire alternatieven kan worden opgenomen. Een instructie voor b.v. Google Authenticator, FreeOTP of Authy past op 1 A4tje. Een refcard voor alle andere oplossingen te gebruiken past ook op een A4tje. Dus ondersteun de standaard, zet de informatie op je website en iedereen is happy & safe.

Nogmaals: de overheid roept van daken dat het open standaarden wil gebruiken en doet vervolgens het tegenovergestelde. Dit remt de implementatie van een universele standaard voor inloggen enorm af, omdat ze hun eigen knutselwerkje forceren i.p.v. meedoen aan gedegen en bewezen standaarden die men elders gebruikt.

Het UWV geeft duidelijk geen dubbel geld uit!!
Kan rekenkundig ook überhaupt niet.
Je kan maar 1x met hetzelfde geld betalen.
Laten we gemakshalve dus "dubbel geld" vervangen voor "dubbele kosten" c.q. "meervoudig dezelfde kosten".

Het "dubbel" is ten aanzien van het UWV zeer waarschijnlijk niet correct.
De verdeling van in rekening gebrachte kosten tussen overheden, private organisaties en particulieren lijk Logicus over de jaren heen trouwens te veranderen. Hetgeen de berekening van "dubbel geld" sowieso al wankel maakt.

Die veranderende verdeling daargelaten,
het lijkt me niet ondenkbeeldig dat het UWV meervoudig dezelfde kosten maakt voor dezelfde functie.
In uw claim ga ik uit van de functie van voorlichting en informatie verstrekking.
Hierbij is het niet onlogisch om er van uit te gaan door tal van menselijke trekken, dat mensen vaker voor precies dezelfde info vaker bij het UWV inloggen.
Daareentegen zal dezelfde brief naar rato ongetwijfeld minder vaak nog een keer verzonden hoeven te worden.
Daarmee is het wel logisch om ervan uit te gaan dat het UWV in 2020 voor dezelfde info via het digid nog altijd meer dan betaalt dan eenmalig €0,40.

Als u de context en de achtergrond van alle type klanten van het UWV kent, het zijn bv. ook werkgevers die bij het UWV inloggen met digid, dan zult u beseffen dat er in de verstrekking per brief en digid qua functie en in functionele zin wezenlijke verschillen zitten.
Dit maakt dat uw vergelijking tussen 2 een oneigenlijke is.
De exacte verhoudingen tussen dubbel inloggen bij digid en dubbel verzonden brieven kan ik hier nu niet geven,
maar het ligt zeer voor de hand dat ze niet precies hetzelfde aantal zijn.
Daarmee is de kans dat het UWV voor precies dezelfde doeleinde ook 2x dezelfde sommen geld uitgeeft vrijwel nihil.

Ik vrees derhalve dat uw stelling gemakshalve even te vluchtig vorm gegeven is.
Misschien kunt u deze herformulieren om uw echte punt te maken.

wat kost een postzegel?? mekkeren om het mekkeren heh?

Nou eherkenning is leuk. 45 ex btw om 4 keer per jaar bij de belastingdienst in te loggen......Dit terwijl vrijwel iedere persoon ook een digid heeft en dat zou kunnen gebruiken als alternatief. Een bedrijf logt namelijk nooit in. Alleen een persoon wat verantwoordelijk is voor bepaalde werkzaamheden bij een bedrijf en heeft dus DIGID. En bij de kvk staat gewoon welke personen dat zijn.
Eenmanszaken (ZZP' ers) mogen wel digid gebruiken en betalen hier geen kosten voor..... Vreemd...... dat is toch pure discriminatie...... grondwet.....