image

Gemeenten laten inwoners bellen via identiteitsplatform IRMA

donderdag 2 april 2020, 10:42 door Redactie, 15 reacties

Inwoners van verschillende Nederlandse gemeenten kunnen straks hun gemeente via het privacyvriendelijke identiteitsplatform IRMA bellen. IRMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen.

Gebruikers kunnen allerlei persoonlijke attributen aan de app toevoegen zoals adresgegevens, leeftijd of onderwijsidentiteit. Hiervoor is het eenmalig nodig om gegevens op te halen vanuit een bron zoals bij de overheid. De attributen van de gebruiker worden door de gemeente van een digitale handtekening voorzien. Vervolgens is het mogelijk om met de IRMA-app op allerlei websites en apps in te loggen, zonder dat de gebruiker hiervoor een apart gebruikersprofiel hoeft aan te maken.

Verder zorgt IRMA ervoor dat websites alleen de echt noodzakelijke gegevens van de gebruiker krijgen. Met de app kan iemand bijvoorbeeld laten zien dat hij ouder is dan 18 jaar zonder dat de geboortedatum en andere persoonsinformatie zichtbaar zijn. Doordat de informatie digitaal is ondertekend weten partijen dat de ontvangen gegevens juist zijn.

De gemeenten Arnhem, Nijmegen en Drechtsteden werken nu aan een toepassing genaamd "Bellen met IRMA", waarbij inwoners via IRMA hun gemeente kunnen bellen. "Op dit moment is het vaak zo dat je, wanneer je de gemeente belt, gevraagd wordt om je achternaam en geboortedatum. Die authenticatie is erg beperkt en verre van waterdicht. Met IRMA zien we de mogelijkheid om een hoger niveau van authenticatie toe te passen", zegt Dennis van der Valk, Business Consultant bij CIO Office Drechtsteden, tegenover SIDN.

Inwoners die hun gemeente willen bellen kunnen straks op de gemeentesite met de IRMA-app een qr-code scannen. Vervolgens krijgt de gebruiker de vraag dat hij op het punt staat de gemeente te bellen en dat die graag zijn of haar gegevens wil ontvangen. De gemeente kan vervolgens zelf bepalen welke gegevens er van de inwoner worden gevraagd. Als de inwoner hiermee akkoord gaat wordt het telefoonnummer uit de qr-code gebeld. De gemeente ziet vervolgens de gegevens van de beller die gelijktijdig zijn meegestuurd.

Inwoners houden zo controle over hun persoonsgegevens, terwijl gemeenten meer zekerheid hebben over de identiteit van de beller. "Het is belangrijk dat we kijken naar mogelijkheden om decentrale architectuur meer te benutten. Op die manier kunnen we dienstverlening voor inwoners van de gemeente uitbreiden en verbeteren, zonder dat ze vrees hebben voor hun persoonsgegevens of voor elke vraag verplicht naar het gemeentehuis moeten komen", aldus Van der Valk. Deze zomer zou er een eerste test met Bellen met IRMA moeten plaatsvinden.

Image

Reacties (15)
02-04-2020, 10:56 door Anoniem
De cryptografie onder IRMA is echt een mooie uitvinding waar je niet zo snel bij stil staat. Dit lijkt mij een aardige toepassing waarbij de verbeterde authenticatie echt een nuttige toevoeging is in een bestaand en veel voorkomend proces. Helaas zijn we nog niet zover dat het telefoongesprek zelf End-to-End versleuteld is, met een digitale handtekening van een IRMA credential over de verbinding zelf. Dát zou pas revolutionair zijn.
02-04-2020, 11:18 door Anoniem
Dit IRMA is ZEEER geschikt als vervanger van EPD/LSP. Nu staat het nog op een telefoon, maar straks kan het op de ID kaart. Kom je in een ziekenhuis, dan kan die altijd je IRMA kaart uitlezen qua medisch verleden. Hierdoor is het hele EPD/LSP niet meer nodig. Je bent al verplicht om een ID kaart bij je te hebben.

'Nadeel' is dat de medische data niet meer centraal staat. Wat JUIST goed is voor de bevolking!

Tevens kun jij als eigenaar dus altijd je eigen gegevens zien. Maar niet alles aanpassen. Want medische gegevens wijzigen kan alleen bij de huisarts of ziekenhuis. En daar moet je als patiënt dus zelf bij zitten, en je kunt het thuis rustig terug lezen. Win, win win zeg ik.

TheYOSH
02-04-2020, 11:19 door karma4
Het misbruik en de oplichting liggen voor de hand, een Smartphone is nu niet bepaald het bewijs van de juiste persoon.
Het gaar verder met de overheidsregistraties waar de overheid eigenaar van is maar over een burger als persoon gaan.
Leidend zijn de basisregistraties, niet wat op een smartphone staat.
02-04-2020, 11:39 door Anoniem
Door karma4: Het misbruik en de oplichting liggen voor de hand, een Smartphone is nu niet bepaald het bewijs van de juiste persoon.

Dit zelfde kun je ook zeggen van bv bank-apps.
Wie de opdrachten geeft via de app, hoeft niet de eigenaar van de rekening te zijn.
02-04-2020, 11:54 door Anoniem
Door karma4: Het misbruik en de oplichting liggen voor de hand, een Smartphone is nu niet bepaald het bewijs van de juiste persoon.
Het gaar verder met de overheidsregistraties waar de overheid eigenaar van is maar over een burger als persoon gaan.
Leidend zijn de basisregistraties, niet wat op een smartphone staat.

Gelukkig maar dat die gegevens op de smartphone uit de basisregistratie komen en zijn voorzien van een digitale handtekening.
02-04-2020, 12:10 door Anoniem
Ideaal die qr-codes, maar voor wie???
Ook ideal, kunnen gemeentes na een paar jaar weer de dienst uitbesteden / privatiseren / achter oneigenlijk gebruik van privé gegevens aan.
Paspoorten mogen niet gekopieerd/verspreid (w.o. gegeneerd) worden voor alles dat niet voor douane-grens controles dient!!!
Gegevens van paspoorten mogen dus sowieso ook niet via apps, telefooncentrales en/of call centers door gemeenten elders worden tbv inloggen van bijvoorbeeld websites.
02-04-2020, 12:12 door jh81
Door karma4: Het misbruik en de oplichting liggen voor de hand, een Smartphone is nu niet bepaald het bewijs van de juiste persoon.
Het gaar verder met de overheidsregistraties waar de overheid eigenaar van is maar over een burger als persoon gaan.
Leidend zijn de basisregistraties, niet wat op een smartphone staat.

Je weet dat de huidige methode nog veel makkelijker te misbruiken is?
ik kan van 36 mensen in mijn familie en vrienden de gemeente bellen en me voor doen als die mensen.
Van hun telefoon heb ik in elk geval een pincode nodig of een vingerafdruk.

Ik weet niet, maar het is makkelijker om mijn achternaam en geboortedatum te achterhalen, dan de pincode van mijn smartphone. Die weet alleen ik namelijk.
02-04-2020, 12:38 door Anoniem
Door Anoniem: Dit IRMA is ZEEER geschikt als vervanger van EPD/LSP. Nu staat het nog op een telefoon, maar straks kan het op de ID kaart. Kom je in een ziekenhuis, dan kan die altijd je IRMA kaart uitlezen qua medisch verleden. Hierdoor is het hele EPD/LSP niet meer nodig. Je bent al verplicht om een ID kaart bij je te hebben.

'Nadeel' is dat de medische data niet meer centraal staat. Wat JUIST goed is voor de bevolking!

[...]

TheYOSH

Ik zie het op één kaart staan als een groot nadeel, want hiermee is de beschikbaarheid vele malen slechter. Welke backup? Welke fall-back scenarios bij verlies of corruptie van data?

Daarnaast: "het komt op je ID te staan". Hoe had je dat voorgesteld? Een paar byte extra kan wel op een smartcard, maar de medische archief echt niet...

Q
02-04-2020, 13:18 door karma4
Door Anoniem: Dit zelfde kun je ook zeggen van bv bank-apps.
Wie de opdrachten geeft via de app, hoeft niet de eigenaar van de rekening te zijn.
Klopt, wegens
- het ontbreken van die validatie, op zich al raar want met PSD2 zou 2fa verplicht zijn,
- het verleggen van het risico naar de rekeninghouden
gebruik ik ze (die bankapps) om die reden liever niet.

Door Anoniem: Gelukkig maar dat die gegevens op de smartphone uit de basisregistratie komen en zijn voorzien van een digitale handtekening.
Onnodige dubbele opslag waar het enige doel is dat de verwerking van de juiste persoon gestart wordt, laat die eis nou net worden ingevuld.

Door jh81: Van hun telefoon heb ik in elk geval een pincode nodig of een vingerafdruk.
Ik weet niet, maar het is makkelijker om mijn achternaam en geboortedatum te achterhalen, dan de pincode van mijn smartphone. Die weet alleen ik namelijk.
Zeiden ze van de magneetstrip ook. De tijd zal laten zien hoe snel anderen er toch misbruik van weten te maken.
Het beste bewijs dat ik het ben? Ben die balie met een face-herkenning.
02-04-2020, 13:26 door Anoniem
Door Anoniem:

'Nadeel' is dat de medische data niet meer centraal staat. Wat JUIST goed is voor de bevolking!

TheYOSH

De medische data staat bij EPD ook niet centraal! Het EPD is vervangen door het LSP (Landelijk SchakelPunt) waarbij data wordt uitgewisseld over een beveiligde vebinding met certificaten. Er wordt dus geen centrale opslag van data gebruikt!
02-04-2020, 15:48 door Anoniem
Door Anoniem:De medische data staat bij EPD ook niet centraal! Het EPD is vervangen door het LSP (Landelijk SchakelPunt) waarbij data wordt uitgewisseld over een beveiligde vebinding met certificaten. Er wordt dus geen centrale opslag van data gebruikt!

Wat het probleem van de centrale tap natuurlijk niet voorkomt. Er geen bericht versleuteling binnen het LSP en is het daarmee goed mogelijk om alle medische gegevens die er langs komen op te slaan. Dat ze daar niet standaard opgeslagen worden is een doekje voor het bloeden. Dit zou niet mogelijk met een oplossing zoals IRMA.
02-04-2020, 16:13 door Anoniem
Door Anoniem:
Door Anoniem: Dit IRMA is ZEEER geschikt als vervanger van EPD/LSP. Nu staat het nog op een telefoon, maar straks kan het op de ID kaart. Kom je in een ziekenhuis, dan kan die altijd je IRMA kaart uitlezen qua medisch verleden. Hierdoor is het hele EPD/LSP niet meer nodig. Je bent al verplicht om een ID kaart bij je te hebben.

'Nadeel' is dat de medische data niet meer centraal staat. Wat JUIST goed is voor de bevolking!

[...]

TheYOSH

Ik zie het op één kaart staan als een groot nadeel, want hiermee is de beschikbaarheid vele malen slechter. Welke backup? Welke fall-back scenarios bij verlies of corruptie van data?

Daarnaast: "het komt op je ID te staan". Hoe had je dat voorgesteld? Een paar byte extra kan wel op een smartcard, maar de medische archief echt niet...

Q

1. Backup: de huisarts? Daar hoort alle relevante patient-data nu ook al te zijn.
2. Opslag op de (nieuwe) ID-kaarten uitbreiden. Geheugencapaciteit wordt steeds groter, en het fysieke volume dat zo'n geheugen inneemt steeds kleiner. Dus voor een smartcard kan dat ook.
3. Mocht opslag van het volledige dossier niet kunnen, dan in ieder geval de locatie van de delen van het dossier, zodat de kaart gebruikt kan worden (icm mfa van de patient) om delen vrij te geven met toestemming van de patient. En verfder de noodgegevens erop zetten voor eerste hulp activiteiten. Bv medicijnen, chronsiche kwalen, etc.
03-04-2020, 10:04 door Anoniem
Door Anoniem: Dit IRMA is ZEEER geschikt als vervanger van EPD/LSP. Nu staat het nog op een telefoon, maar straks kan het op de ID kaart. Kom je in een ziekenhuis, dan kan die altijd je IRMA kaart uitlezen qua medisch verleden. Hierdoor is het hele EPD/LSP niet meer nodig. Je bent al verplicht om een ID kaart bij je te hebben.

'Nadeel' is dat de medische data niet meer centraal staat. Wat JUIST goed is voor de bevolking!

Tevens kun jij als eigenaar dus altijd je eigen gegevens zien. Maar niet alles aanpassen. Want medische gegevens wijzigen kan alleen bij de huisarts of ziekenhuis. En daar moet je als patiënt dus zelf bij zitten, en je kunt het thuis rustig terug lezen. Win, win win zeg ik.

TheYOSH
Er is geen EPD/LSP dat centraal staat. LSP is alleen een infrastructuur voor de uitwisseling tussen de verschillende systemen van zorginstellingen, huisartsen en apotheken.
De push voor PGOs kan we wel voor zorgen dat er uiteindelijk 1-3 landelijke EPDs gaan ontstaan. Nu zijn er nog circa 20 aanbieders maar de wetten van onze kapitalistische maatschappij zullen er voor zorgen dat er uiteindelijk 1-3 over blijven omdat gezondheidsdata nu eenmaal big business vormen.
Overigens beschikt de Logex groep al over een groot deel van deze data (via MRDM) waarbij ze ook nog eens een groot deel van de bijbehorende financiële data hebben (via Logex systemen voor kostprijs- en budgetteringsmodellen voor de ziekenhuizen).
03-04-2020, 19:17 door Anoniem
Gegevens worden opgeslagen, dus zijn NIET actueel.
Gegevens middels het LSP zijn actueel.
De smartfoneeigenaar heeft geen idee hoe deze met zijn gegevens op de Smartfone om moet gaan.
De verleiding gegevens af te staan aan niet veilige organisaties is levens groot.
IRMA is niet de juiste oplossing
04-04-2020, 16:50 door Anoniem
Natuurlijk zijn gegevens wel actueel, er zit een uitgiftedatum bij en ze kunnen ververst of ingetrokken worden.
Voorkomen dat gebruikers hun gegevens aan de verkeerde partij vrijgeven is een probleem dat bij alle mogelijke oplossingen speelt, en juist bij IRMA kan dit bijvoorbeeld worden opgelost door beperkingen op te leggen dmv een whitelist in de app, of zelfs met meerdere whitelists van organisaties die door gebruikers daarin worden vertrouwd (dat kan per gebruiker verschillen).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.