Kamervragen over inloggen via IRMA-app bij huisartsenpraktijk
Een huisartsenpraktijk uit Uden die patiënten via de IRMA-app toegang tot een online zorgportaal geeft heeft voor Kamervragen van het CDA gezorgd. IRMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen.
Gebruikers kunnen allerlei persoonlijke attributen aan de app toevoegen zoals adresgegevens, leeftijd of onderwijsidentiteit. Vervolgens is het mogelijk om met de IRMA-app op allerlei websites en apps in te loggen, zonder dat de gebruiker hiervoor een apart gebruikersprofiel hoeft aan te maken. Verder zorgt IRMA ervoor dat websites alleen de echt noodzakelijke gegevens van de gebruiker krijgen. Met de app kan iemand bijvoorbeeld laten zien dat hij ouder is dan 18 jaar zonder dat de geboortedatum en andere persoonsinformatie zichtbaar zijn.
Huisartsenpraktijk Medipark Uden geeft patiënten via de IRMA-app toegang tot een online zorgportaal waar herhaalrecepten zijn aan te vragen, gegevens zijn in te zien, afspraken zijn in te plannen en e-consulten zijn te sturen (pdf). Voordat patiënten op het portaal aan de slag kunnen moeten ze eerst de IRMA-app installeren en een bijbehorend account aanmaken.
CDA-Kamerlid Slootweg heeft minister Knops van Binnenlandse Zaken en minister De Jonge Kamervragen over de situatie gesteld. "Klopt het dat op basis van de huidige wetgeving patiënten van Medipark Uden eigenlijk alleen via DigiD mogen inloggen?", vraagt het Kamerlid. Slootweg wil ook van de ministers weten of zorgaanbieders de wet overtreden wanneer een burger zich middels de IRMA-app identificeert.
Verder moeten Knops en de Jonge duidelijk maken wat hun opvatting is over attribuut gebaseerde authenticatie als wijze van elektronische identificatie en of ze mede in het licht van de Wet Digitale Overheid bezwaar hebben tegen het gebruik van IRMA in de zorg.
Afsluitend wil Slootweg opheldering waar gegevens van burgers veiliger zijn opgeslagen: "Waarom zijn volgens u de gegevens van de burger, die nu in handen zijn van het overheidsbedrijf Logius (door het gebruik van DigiD), veiliger en betrouwbaarder belegd dan wanneer ze in handen van de burger zelf blijven, wanneer hij of zij zich elektronisch identificeert via het gebruik van de persoonlijke kluis van IRMA?" De ministers hebben drie weken de tijd om de vragen te beantwoorden.
DigiD zou juist de attribuut gebaseerde authenticatie van IRMA over moeten nemen.
DigiD zou juist de attribuut gebaseerde authenticatie van IRMA over moeten nemen.
Hiermee wordt de Smartphone gelijk gesteld aan de persoon. Hoe weet je nu dat het om de juiste persoon gaat?
Wil ik het contactformulier invullen of herhaalrecept indienen moet je ook nog een recaptcha invullen.
Heb hierover geïnformeerd bij Pharmeon wat Google allemaal met deze data doet. Helaas geen inhoudelijk antwoord, ze voldoen aan de AVG en daar moet je het meedoen.
Snap echt niet dat bedrijven zo makkelijk Google van data voorzien. Helemaal bij sites met betrekking op de gezondheidszorg. Pharmeon geeft Google de mogelijkheid om (meerdere) scripts uit te voeren op hun sites, zelfs bij pharmeon heeft niemand het idee wat voor een gevolgen dit heeft, laat staan een 'achterloze' bezoeker van de site.
Zouden ze daar nu echt niet weten dat Google werkelijk alle data die ze verzamelen opslaan, combineren met elkaar en voor eeuwig opslaan (dit zeg ik niet, maar dat zegt Google zelf in hun voorwaarden/privacy herinnering)?
Dit gepruts zou mij doen besluiten van huisarts te wisselen.
Heb hierover geïnformeerd bij Pharmeon wat Google allemaal met deze data doet. Helaas geen inhoudelijk antwoord, ze voldoen aan de AVG en daar moet je het meedoen.
Mijn beste inschatting op dit moment is dat Google reCaptcha in de meeste gevallen niet voldoet aan de privacy wetgeving (zowel AGV als telecomwet over cookies). Specifiek omdat Google de gegevens (en geplaatste niet-noodzakelijke cookies) gebruikt voor advertentiedoeleinden. Hier worden we met zijn alleen niet alleen slecht/niet over geïnformeerd, maar is ook in strijd met het 'freely given consent' principe, immers wordt de toegang geweigerd. Afhankelijk van waar de captcha gebruikt wordt, zoals bijvoorbeeld ook bij de RDW maar zorginstellingen vallen hier ook zeker onder, heb je alleen niet veel keuze dan de captcha invullen.
Google schuift de verantwoordelijkheid door naar de websites welke gebruik maken van de captcha, die eigenaren moeten eerst de 'user consent policy' van Google accepteren waarin staat dat ze netjes toestemming vragen zoals dat van de wet moet. Ik ben nog geen enkele website tegen gekomen die zich daar aan houdt.
Zoals bekend schort het aan handhaving bij de ACM en budget bij de AP waardoor privacy ook in Nederland een papieren werkelijkheid blijft. Ik herken en erken je probleem, maar tot iemand bereid is een rechtzaak hier over te starten en via particuliere weg handhaving weet af te dwingen zal er niet veel gaan veranderen.
Heb hierover geïnformeerd bij Pharmeon wat Google allemaal met deze data doet. Helaas geen inhoudelijk antwoord, ze voldoen aan de AVG en daar moet je het meedoen.
Mijn beste inschatting op dit moment is dat Google reCaptcha in de meeste gevallen niet voldoet aan de privacy wetgeving (zowel AGV als telecomwet over cookies). Specifiek omdat Google de gegevens (en geplaatste niet-noodzakelijke cookies) gebruikt voor advertentiedoeleinden. Hier worden we met zijn alleen niet alleen slecht/niet over geïnformeerd, maar is ook in strijd met het 'freely given consent' principe, immers wordt de toegang geweigerd. Afhankelijk van waar de captcha gebruikt wordt, zoals bijvoorbeeld ook bij de RDW maar zorginstellingen vallen hier ook zeker onder, heb je alleen niet veel keuze dan de captcha invullen.
Het is nog veel erger met Google's Recaptcha, want het bestraft gebruikers die Googles (tracking-)domeinen blokkeren, en dan heb ik het niet over het domein dat nodig is voor recaptha zelf, maar een groot aantal andere Google domeinen. Google heeft het zo gemaakt in Recaptcha versie 2.x dat je dan eindeloos op vakjes mag klikken, goede antwoorden worden simpelweg niet geaccepteerd. Nog even los gezien van het feit dat veel van die plaatjes dubieus zijn. Pas na tientallen keren klikken waar je steeds moet wachten op nieuwe plaatjes, wordt het na 10-15 minuten geaccepteerd.
Je kunt dit zelf eenvoudig testen met recaptcha v3 met de blokkering van Google domeinen aan (bv. Ublock met eigen regels) en uit. Bij de eerste is je score nog lager dan een bot.
Compleet fout natuurlijk dat sitebeheerders recaptcha gebruiken, en het privacyonvriendelijk- en pesterig gedrag van Google maakt het nog idioter.
Beste webmaster, wees slim en gebruik een privacyvriendelijke captcha. Captcha is overigens niet bedoeld voor inlogpagina's, als je het aantal inlogpogingen wilt beperken treft je daarvoor andere maatregelen op je systeem.
Het is nog veel erger met Google's Recaptcha, want het bestraft gebruikers die Googles (tracking-)domeinen blokkeren, en dan heb ik het niet over het domein dat nodig is voor recaptha zelf, maar een groot aantal andere Google domeinen. Google heeft het zo gemaakt in Recaptcha versie 2.x dat je dan eindeloos op vakjes mag klikken, goede antwoorden worden simpelweg niet geaccepteerd. Nog even los gezien van het feit dat veel van die plaatjes dubieus zijn. Pas na tientallen keren klikken waar je steeds moet wachten op nieuwe plaatjes, wordt het na 10-15 minuten geaccepteerd.
Jij leeft kennelijk in een heel andere wereld... maar het lijkt me geen fijne plek als ik je zo hoor jammeren.
Ik ben blij dat ik daar niet woon!
Maw: het valt wel veilig te maken, maar moet net als PKI goed doordacht worden.
Maw: het valt wel veilig te maken, maar moet net als PKI goed doordacht worden.
De rest wat betreft PKI lijkt mij ook, daarom zou het een goede zaak zijn als Digid/Logius een credential uitgeeft met de informatie die normaal via Digid loopt (o.a. BSN).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
