Tja, wiens belang probeert het Europees Parlement nu eigenlijk te dienen of heeft het Parlement geen verstand van zaken en trapt het in de val van een onbetrouwbare lobbyist?

Ik denk dat hiermee het einde van de EU nabij is. Is het niet digitaal dan wel als gehele natie...

Ik denk dat er wel wat voor te zeggen zou zijn om de hele "vertrouwde certificaten lijst" kwa beheer weg te halen bij
de browserleveranciers en neer te leggen bij een centrale autoriteit waarvan er ook lokaal (bijvoorbeeld in Nederland
of in de EU) een kan zijn. Softwareleveranciers zoals browserleveranciers zouden niet betrokken moeten zijn bij
dit soort beslissingen, zowel in positieve als in negatieve richting. En de eisen en wensen op het gebied van wat er
wel en niet vertrouwd wordt die kunnen best wisselen per regio en wellicht zelfs per toepassingsgebied.

Ook is het een beetje suf dat je om die vertrouwde certificaten lijst te updaten je een browser update moet installeren.
Kortom, trek dat uit elkaar en maak het een OS setting welke vertrouwde autoriteit de root certificaten aan de browsers
levert.

Ik ben banger voor de criminelen bij de eu dan cybercriminelen, cybercriminelen jatten alleen je geld en daar heb ik toch niet heel veel van. Er is een reden voor dat de beveiligingscontroles omzeilt moeten worden en dat is niet om goed in te kunnen loggen :-&

Dus alles op papier met de overheid en een browser fork gebruiken die dit niet ondersteund

En daarmee kan elke overheid dus MITM'en op ieder https domein. Wie kwam nou opeens met het idee om dat allemaal van OS beheerder naar browsermakers te verplaatsen?

De lijst van de secure providers wekt niet echt vertrouwen, waarom allemaal vage bedrijven uit de hele eu?

In het gelinkte artikel van wat het kabinet staat:


Maar dit zijn toch nog steeds (semi)private bedrijven zoals KPN dus complete bullshit. Ook het verhaal over controle over de data die je deelt is onzin, je hoeft nauwelijks data te delen omdat ze alles al centraal hebben.


Meer info over waarom ze de browser beveiliging "moeten" omzeilen.... kort samengevat een plugin heeft niet de mogelijkheid je informatie over je TLS verbinding te bekijken en te manipuleren

https://www.enisa.europa.eu/publications/qwacs-plugin/@@download/fullReport

Dat is wel heel veel doom en gloom voor wat certificaatjes...

Lees voor wat meer achtergrond https://www.feistyduck.com/bulletproof-tls-newsletter/issue_86_eu_plans_to_mandate_less_secure_certificates_in_browsers.
Verder https://blog.mozilla.org/netpolicy/files/2021/11/eIDAS-Position-paper-Mozilla-.pdf

Het basisprobleem is dat de Europese Commissie niet alleen wat maar ook in detail hoe en welke techniek wil regelen. En dan kom je met een wet uit 2014 waarin exact beschreven staat dat er Qualified Website Authentication Certificates (QWACs) gebruikt moeten worden, en dat browsers de aangewezen Certificate Authorities verplicht op moeten nemen als vertrouwd.
En tegelijkertijd zijn de eisen mbt. QWAC al zodanig verouderd, dat de browsers dat niet willen doen omdat de betreffende technologie niet als veilig wordt gezien.

Dat beleidmakers wat én hoe én met welke techniek willen regelen is overigens een veel vaker voorkomend probleem. Zowel in bedrijven als in politiek. Beleid c.q. wetgeving gaat over wat (lange termijn doelstellingen): beschrijf alleen de kaders, en laat de operationele invulling over aan de specialisten

Q

Dat kan al omdat de "Staat der Nederlanden" een root certificaat heeft.
Juist het omgekeerde zou moeten gebeuren. Krankzinnig dat Mozilla een eigen certificaat store en beoordeelclub heeft.

Speciaal voor deze taak hebben ze een minister van digitale zaken.

Waarom zou je überhaupt je identiteit digitaal willen maken.
Er is (resultaten uit het verleden bieden hier wél een garantie voor de toekomst) al zo vaak data gelekt en gestolen!

Gewoon een paspoort, identiteitskaart op zak hebben is meer dan voldoende en vele malen veiliger!

Nee, met Certificate pinning (https://owasp.org/www-community/controls/Certificate_and_Public_Key_Pinning) kan dat niet zo maar...
Waarom? Ik vind het wel een veilig idee: niet alle beslissingen bij één partij! Soort "vier-ogen principe". Dat voorkomt dat politici gaan beslissen over de inrichting van IT veiligheid. En dat moeten we voorkomen!

Q

Nee maar browsers supporten dat niet, dus werkt dat niet in de meeste gevallen.
(eigenlijk alleen als je je eigen TLS verbindingen opzet bijvoorbeeld vanuit een programma of app)

Ik werk in deze business.
helaas kan ik hier niet mijn jaren ervaring op dit gebied documenteren.
Ik weet wat er gaande is.
Ik weet wat de macht is van de browser partijen.
Ik weet hoe die wordt gebruikt.
Ik ken de regelgeving van de browsers (CABForum en van de specifieke browsers)
Ik ken de regelgeving van eIDAS en de onderliggende normenkaders (ETSI EN 319 401; 319 411-1, 319 411-2, 319 403 auditnormering, ETSI TS 419 261 trustworthy systems, ETSI TS 419 221 over qualified signature creation devices, etc etc).

Ik durf het aan te stellen dat de Europese standaarden veel beter (strenger, explicieter, controleerbaarder, te handhaven) dan die van de browsers. De eisen overlappen elkaar voor het grootste gedeelte. De bedoelingen zijn grotendeel hetzelfde. De onderliggende regels ook. Nogmaals: die van Europa zijn veel beter uitgewerkt.

Daarnaast is de gehele governance vanuit eIDAS heel expliciet in de wet geregeld. Ook hoe met risico's wordt omgegaan, hoe met audits wordt omgegaan, waar wanneer welke aansprakelijkheid ligt, etc, etc.
En dan zeg ik: als Europese wettelijk ingestelde instituties verklaren dat een CA betrouwbaar is, wie is een willekeurige browser dan om het tegendeel te beweren en/of de praktische doorwerking te blokkeren.

Er is dus geen enkele reden om de EU Trust List niet als erkend op te dragen aan tech bedrijven die in Europa zaken willen doen. De browsers zouden juist dankbaar moeten zijn dat in Europa in ieder geval ook de aansprakelijkheid is geregeld.

Nog even een verdachtmaking van mijn kant richting browsers
Welk belang zou men kunnen hebben?
Bedenk dat met het gebruik van certificaten ook een validatieslag wordt gemaakt. Rechtsom of linksom.
Start anekdote: Bij aanvang van de eIDAS evaluatie vroeg een Europeaan dat het wellicht interessant is om één centrale validatiedienst te maken. Ik heb gevraagd of ik die dienst dan mag opzetten. Dat wilde ik graag gratis doen als ik alle gegevens daarin maar voor eigen doeleinden zou mogen gebruiken. Toen werd het stil in de zaal. Einde anekdote.
Wellicht zien de browserpartijen een belang om de centrale spil te worden in digitale identiteiten. Daarmee hebben zij een technische reden gevonden om de AVG te omzeilen (of een omweg). Gezien de winstmarges bij browsers zijn de reclame belangen er groot genoeg voor.

Wat Europa doet is juist goed. Is zelfs noodzakelijk.

ik heb vanavond weinig tijd, dus zullen er hier of daar wel stijl of spellingsfouten blijven zitten.

Nou het digitaal maken van je identiteit staat niet meteen gelijk aan dat ie wordt gestolen. Als dat goed geimplementeerd
is kan dat best veel veiliger zijn dan andere vormen van identificatie. "copietje paspoort" is een goed voorbeeld van wat
er gebeurt als je dit niet goed regelt.

Dat "Staat der Nederlanden" root cert verloopt in december dit jaar en er komt geen nieuw.
Kennelijk geven ze het op en hebben iets beters gevonden.

Alsof je die wel kunt vertrouwen...

Omdat het een feit is dat mensen steeds meer dingen online regelen, niet alleen met de overheid en niet alleen op initiatief van de overheid (de overheid is eerder volgend dan leidend hierin). Dan is er vaak geen goede manier meer om dat identiteitsbewijs dat je op zak hebt even te laten zien.
Juist omdat er geen degelijke manier beschikbaar is om online je identiteit aan te tonen hebben we nu de situatie dat een makkelijk te vervalsen of door te sturen scan van een identiteitsbewijs als "bewijs" wordt gezien, en zelfs een BSN in handen van de verkeerde tot problemen kan leiden.

Een degelijke vorm van digitaal je identiteit aantonen kan dat verbeteren, maar de manier waarop mensen in phishing en andere oplichterij trappen laat tegelijk ook zien dat mensen gigantisch de mist in kunnen gaan als ze bijvoorbeeld niet snappen dat handelingen met een paar apparaatjes neer kunnen komen op het zetten van een handtekening voor iets heel ingrijpends.

Het is niet voldoende voor mensen die van de hedendaagse digitale mogelijkheden gebruik willen maken. En of je het ermee eens bent of niet, die zijn er volop.

Jij werkt kennelijk voor de EU en hebt vertrouwen in de EU en in de regelgeving van de EU. Maar iedereen die de afgelopen tijd heeft gevolgd hoe de AVG (GDPR) in de PRAKTIJK wordt toegepast, weet dat zulke EU-regelgeving een wassen neus is zodra het om de bescherming gaat van individuele burgers versus overheden of met de overheden verbonden belangen.

Ik geloof je graag dat die browsers niet te vertrouwen zijn. Maar de EU en de EU-lidstaten zijn dat ook allerminst. Daarom moet die dolle jacht op digitalisatie nu eerst stoppen. Die is helemaal nooit democratisch gelegitimeerd (behalve dan door parlementen met "volksvertegenwoordigers" (woehahaha) die onze rechten en vrijheden slapend weggeven - de zogeheten "slaapkamers").

Digitale systemen zijn ook altijd gecentraliseerde, grootschalige systemen. Als daar iets fout gaat, gaat het meteen goed fout. En dat blijkt ook telkens te gebeuren - ongeacht of die systemen in eigendom zijn van / beheerd worden door overheden of door private partijen. Een papieren paspoort, daar kan in een enkel geval mee gefraudeerd worden. Maar dat is voor kwaadwillenden economisch 400 miljoen keer minder interessant dan een gecentraliseerde Europese digitale identiteit. Fraude met een fysiek paspoort is ook moeilijker te organiseren en te realiseren voordat men daarmee tegen de lamp loopt.

De bewezen risico's van centralisatie en grootschaligheid voor individuele mensen worden door de digi-fanaten en de mensen met belangen bij digitalisering (zoals jij) stelselmatig genegeerd. Dat is niet toevallig. Ze kunnen er geen zakelijke argumenten tegenin brengen.

Beste 8:25

Ik werk niet voor de EU.

Ik ben juist een van de grootste voorstanders van een ver doorgevoerde privacy. Ik meen oprecht dat iedereen onder de radar moet kunnen blijven. Ik denk niet dat dat kan. Niet zozeer vanwege overheidsbemoeienis. Vooral vanwege commerciele bemoeienis (Facebook, Google, winkelcamera's, etc). Ook wel vanwege overambitieuze decentrale overheden (de slimme stad vol met camera's, Rijkswaterstaat met hun vele camera's op de weg).

Tegelijkertijd ben ik niet naief.
- mensen die zich niet hoeven te verantwoorden kunnen schelden en dreigen waardoor van een normale argumentenuitwisseling geen sprake meer is.
- Digitale criminaliteit en digitaal ondersteunde criminaliteit floreert.
- statelijke spionage is aan de orde van de dag (verwijt overigens een hond niet dat die blaft)
- economische spionage speelt ook een grote rol (van statelijke en niet-statelijke actoren)
- enzovoort

Tegelijkertijd willen heel veel mensen in het digitale domein hun zaken kunnen doen. En dan zo volledig mogelijk. In veel gevallen heb je daarvoor nu eenmaal een betrouwbare digitale identiteit nodig. Het moet alleen niet verplicht worden. En ja, dat is een uitdaging.
En tegelijkertijd vind ik dat toch iedereen vrij moet kunnen surfen over internet in absolute anonimiteit.

Ik meen dat daarom een combinatie nodig is van betrouwbare digitale identiteit met de garantie van vrijheid van gebruik én anonimiteit op internet. Dat moet infrastructureel worden ingericht. En juist hier hebben overheden een betere track record (en dat zou nog beter moeten).

Mijn vertrouwen in de EU en de Nederlandse regering zijn inderdaad veel hoger dan mijn vertrouwen in commerciele organisaties. Ik zeg niet dat overheden het altijd goed doen. Maar meestal ook juist wel. Als overheden het niet goed doen, dan komt dat over het algemeen wel in de media. Dat is anders bij commerciele bedrijven. Ik zeg niet dat commerciele organisaties per definitie de foute dingen doen. dat is ook niet zo. Ik gun juist commerciële organisaties alle mogelijke vrijheid. Alleen wordt ik nog wel eens (heel vaak) verrast door de verdienmodellen achter die grote organisaties. En dan erger ik mij inderdaad ook aan het feit dat die verdienmodellen bijna altijd ten koste gaan van persoonlijke vrijheid, milieu, moraal, etc. Dus.....

Dan over de grote gecentraliseerde systemen.
Tja. Zullen we eens vergelijken wat de techreuzen aan systemen hebben tegenover de die van de verschillende Europese overheden? Juist de eIDAS voorziet in regelgeving waardoor de centralisatie en grootschaligheid wordt voorkomen. De browsers willen niet aan een verplichte erkenning en doorwerking. Die willen dat er alleen nog maar een positieve business case is als alleen de browserpartijen (de techreuzen) nog digitale identiteiten uitgeven. De verschillende Europese trust service providers zijn allemaal veel kleiner en garanderen juist een beperking in centralisatie en grootschaligheid.

Dan over vergelijk met papieren paspoort irm digitale identiteit. Ik ben het helemaal met je eens dat het papieren paspoort geen schaalgrootte voordelen voor criminelen met zich mee brengt. Een digitale identiteit is inderdaad veel aantrekkelijke voor criminelen. Juist daarom moet de digitale identiteit zo veel beter worden beschermd. En dat is opgesloten in eIDAS wetgeving en onderliggende normen. Een eIDAS erkend digitale identiteit is tot op de dag van vandaag niet gekraakt. Dat wil niet zeggen dat het niet kan gebeuren. Ook daarvoor zijn doelstellingen en regels opgesteld. Van alle diensten die ik ken worden juist de vertrouwensdiensten het meest gedetailleerd en op alle vlakken geaudit. Door gegarandeerd onafhankelijke auditors (wettelijk aangesteld , binnen Nederland door de Raad van de Accreditatie). Met die audit rapporten beslissen toezichthouders (na nogmaals zelfstandig onderzoek) of/dat een vertrouwensdienst wordt gecertificeerd en op de EU Trust List komt. Toezichthouders hebben daar geen vrijblijvendheid in. Die hebben een wettelijke plicht ieder die voldoet toe te laten en ieder die niet voldoet niet toe te laten of te verwijderen van de EU Trust List.

Overigens vind ik dat de overheid de digitale identiteiten aan burgers moet verstrekken (zonder kosten).
Verder vind ik dat het bedrijfsleven alle overige digitale identiteiten moet leveren (dus ook die van natuurlijk persoon in relatie met een rechtspersoon, van publieke (web)diensten, etc).

Ik meen dat digitale identiteiten voor websites dus ook heel belangrijk zijn. De QWAC is hier het hoogtst haalbare. Dat is de aanleiding geweest van het nieuwsbericht. JNogmaals: Als Europese wettelijke instituties besluiten dat een vertrouwensdienst betrouwbaar is, wie is een browser/techreus dan om dat te ontkennen of de doorwerking te blokkeren.

Graag bereid tot meer uitwisseling van argumenten

Gelul. Mensen worden gepusht om steeds meer dingen online te regelen, en ze worden ontmoedigd als ze het nog op papier willen doen. De belastingdienst zwijgt in communicatie met burgers (o.a. in brief dat ze aangifte moeten doen) bijvoorbeeld in alle talen dat je nog steeds op papier aangifte kunt doen, en noemt alleen de digitale mogelijkheden. En gaat dan over een paar jaar "concluderen" dat "er geen vraag meer is naar papieren aangifte". Overheid kan gewoon fysiek identiteitsbewijs verplicht blijven stellen. Daar is niks moeilijks aan. Gaat al honderd jaar goed.


Dus omdat er een touwtje door de brievenbus van sommige huizen hangt waardoor je ze makkelijker binnen kunt komen, gaan de overheid nu zeggen dat alle huizen een touwtje door hun brievenbus naar buiten moeten hangen. Voor onze veiligheid! Want reken maar dat straks de digitale identificatiemogelijkheden gebruikt gaan worden om de traditionele mogelijkheden te gaan weigeren. De QR-pas op je smartphone was daarvan al een eerste voorbeeld.


Juist daarom moet er nagedacht worden of je in alle gevallen zaken wilt digitaliseren, of dat je ze voor een groot aantal mensen meer grijpbaar wilt houden. Als het je tenminste ECHT gaat om veiligheid en fraudepreventie. Maar daar gaat het de digitaliseerders niet echt om. Ze willen meer controle OVER mensen, niet meer veiligheid VAN mensen.


Als je bepaalde "digitale mogelijkheden" beperkt houdt, dan gaan mensen heel gewoon door op de traditionele manier, dat is geen enkel probleem. Je doet hier net alsof er een volksopstand komt als niet alles gedigitaliseerd wordt. Dat gebeurt alleen als de overheid + MSM-media zelf zo'n dreigende volksopstand eerst aanwakkeren.

In de beperking toont zich de meester. Allerlei voordelen van fysieke identificatie worden gedachtenloos overboord gegooid omdat alleen er alleen naar de (vermeende) voordelen van "digitale mogelijkheden" wordt gekeken (wensdenken), terwijl de nadelen worden genegeerd.

Zoals een kennis van mij laatst zei: "De klakkeloos digitaliserende overheid heeft zichzelf in een hoek geschilderd en doet nu een vlucht naar voren. De problemen die digitalisering met zich meebrengt, willen ze oplossen met nog meer digitalisering."

Oké, ik ga in op je uitnodiging tot meer uitwisseling van argumenten.


Misschien moet je dan duidelijk maken in welke "business" je zit en waarom die onafhankelijk is van (subsidiestromen van) de EU, en waaraan je dan je vertrouwen in de werkwijze van de EU ontleent. En dan bedoel ik niet puur de technische werkwijze, maar ook de mentaliteit. Die lijkt precies even hard gericht op surveillance als de mentaliteit van notoire boosdoeners als Faceboek/Instagram/Meta, Google etc. (over deze laatsten zijn we het geloof ik wel eens).


- Iedereen? Van mij hoeven criminelen bijv. niet onder de radar te kunnen blijven. Bij concrete verdenkingen ten aanzien van individuen, en na tussenkomst van een rechtsstatelijk denkende rechter-commissaris, mag er van mij best het één en ander aan opsporing gebeuren. Maar dat is niet hetzelfde als geautomatiseerde surveillance.
- Ik denk dat het wel degelijk "kan" om niet-verdachte burgers onder de radar te laten blijven. Maar dat "wil" men niet.
- Het is tegenstrijdig om enerzijds "oprecht te menen dat iets moet kunnen" en anderzijds tegelijk te denken dat dat "niet kan". Dit is een teken dat je ofwel verder moet nadenken om tot een eenduidig en kenbaar standpunt te komen, ofwel moet toegeven dat er iets ontbreekt aan het fundament van je gedachten over dit onderwerp.


Technisch gezien is het helemaal geen probleem om effectief te reguleren en te handhaven. Het probleem is dat de centrale overheid dit niet wil. De toezichthouder AP is bijvoorbeeld berucht om haar tegenzin om haar taak te vervullen. Dat is geen toeval. De AP luistert goed naar wat de regering wil.


Je lijkt tegelijk niet en toch ook weer wel naïef te zijn. Tegen statelijke bespionering van hun doen en laten ga je burgers echt niet beschermen door middel van het instellen van een digitale identiteit - integendeel. Je opmerking "verwijt overigens een hond niet dat die blaft" toont aan dat je eigenlijk geen tegenstander bent van statelijke bespionering van burgers. Een rechtsstaat moet je niet vergelijken met zo'n "hond", maar met een volwassen mens die het stadium dat hij alleen ongearticuleerde geluiden maakt, al lang geleden (namelijk ergens tussen het eerste en derde levensjaar) is ontgroeid.


Ze willen dat alleen omdat ze daarnaartoe gepusht worden, en doordat ze de rekening daarvoor (het misbruik van hun data) heel indirect gepresenteerd krijgen, waardoor het een gratis lunch lijkt. Als ze doorkrijgen wat de prijs is die zijzelf, maar vooral hun kinderen en kleinkinderen hiervoor gaan betalen, dan zouden burgers veel meer voorwaarden gaan stellen voordat ze zich lieten verleiden tot "in het digitale domein hun zaken doen".


Dat is heel naïef gedacht. De invoering van girorekeningen was aanvankelijk ook niet verplicht. De invoering van de OV-chipkaart was aanvankelijk ook niet verplicht. Het tonen van vaccinatiebewijzen was aanvankelijk ook niet verplicht, maar een paar maanden later toch wel. Er treedt een verdringingseffect op. Op dit moment zie je dat digitaal geld het contante geld begint weg te drukken - tenzij de overheid (waarin jij zoveel vertrouwen hebt) daar paal en perk aan stelt. Dat doet de overheid tot nog toe niet. Integendeel, de overheid promoot digitalisering.

Voorbeeld: 20% van het zogenaamde "corona-budget" van de EU moet door lidstaten verplicht worden besteed aan bevordering van digitalisering. Wat heeft dat met corona, de gezondheidszorg of de volksgezondheid te maken? Niets. Het doel is surveillance, en een concurrentievoorsprong opbouwen in de surveillance. Het gaat niet over volksgezondheid, maar om het gebruik van het concept "volksgezondheid" als retorisch middel om digitaliseringsmaatregelen en daarmee surveillance door te voeren.


Dat is wensdenken. "Absolute anonimiteit" is helemaal nooit haalbaar bij surfen op internet. Zelfs mensen die via TOR transacties hebben verricht, zijn in sommige gevallen opgespoord. Bovendien is het naïef om te denken dat een digitale identiteit in de praktijk alleen invloed zou hebben op "surfen op internet", en niet op de rechten en vrijheden van mensen buiten internet. Het is een voordeel als men beseft dat er geen absolute anonimiteit op internet mogelijk is, als dit ertoe leidt dat een kritische massa aan mensen zelf maatregelen treft om buiten internet WEL voldoende anonimiteit voor zichzelf te creëren.

Maar dat is natuurlijk de realiteit waarvan de EU en de tech-bedrijven niet willen dat burgers die tijdig onder ogen zien. Want dat zou de wens tot steeds meer surveillance in de weg zitten.


Die garantie valt niet eerlijk te geven. Je kunt mensen alleen een illusie voorspiegelen.


Een transparante digitale infrastructuur die tegelijk een garantie op privacy biedt én die bestaande, (deels) analoge infrastructuur niet verdringt? Daar heb ik nog geen realistisch voorbeeld van gezien.


Bedoel je, een "minder afschuwelijk" track record dan gezworen aartsvijanden van privacy zoals Google en Facebook? Dan leg je de lat erg laag voordat je je vertrouwen uitspreekt in de EU.


"Meestal ook juist wel..." Hier valt je geloofwaardigheid volledig weg. Wie ook maar enige ervaring heeft met de manier waarop overheden met digitale infrastructuren omgaan, weet wel beter. De mindset van 99,99% van de Nederlandse ambtenaren is in ieder geval niet geschikt om serieus met digitale infrastructuren om te gaan, laat staan met het ontwerp en de bouw ervan. Ik betwijfel sterk of dat in de burelen van de EU anders is. Het zou vereisen dat ambtenaren een ingenieursmentaliteit zouden krijgen, inclusief de bereidheid om echt te controleren wat IT-bedrijven uitspoken en wat de consequenties daarvan zijn, en dus niet blind te varen op de geruststellende opmerkingen van IT-projectleiders en verkopers dat alles "goed gaat" en "onder controle is".


Nee. Verreweg het meeste komt niet in de media. Alleen de allergrootste debacles die niet onder het vloerkleed kunnen worden geveegd, komen in de media. Dat is het topje van de ijsberg.


Nee. Ook daar komt alleen het topje van de ijsberg in de media.


Maar de verdienmodellen van overheidinstanties, overheidsmanagers en overheidsteams gaan bijna altijd ook ten koste van persoonlijke vrijheid, milieu, moraal etc. Alleen zien ambtelijke verdienmodellen er iets anders uit. De valuta is iets vaker macht, reputatie etc.


Het gaat mij niet om een vergelijking tussen eIDAS en de werkwijze van aanbieders van browsers, maar om een vergelijking tussen eIDAS en een situatie waarin een fysiek paspoort (dat allang niet meer uitsluitend uit papier bestaat) maatgevend is.


Nee, de logische gevolgtrekking zou zijn dat juist daarom fysieke identiteitsbewijzen moeten worden gehandhaafd en beschermd. Waarom maak je die logische gevolgtrekking niet?


Dit soort dingen kun je niet "opsluiten" in papieren wetgeving en normen. Je gaat toch ook niet zeggen dat er geen misdaad meer gepleegd kan worden omdat de wet zegt dat dat "niet mag"?


Precies. En dat gaat ook gebeuren. Alle systemen waarbij er wat op het spel staat, worden gekraakt.


Oh, oh, hier toon je een verschrikkelijke naïviteit, die ik in ambtelijke kringen vaker ben tegengekomen. Daar is het een soort "zelfbedienings-naïviteit", ter bevordering van het eigen zingevingsgevoel plus de continuering van geldstromen op basis van deze naïeve zelfoverschatting. De aanname is dat alle ambtenaren en hun onderaannemers de papieren regels getrouw naleven en daarover transparant verantwoording afleggen, en daarmee ongelooflijk goede resultaten bereiken! In de praktijk is dat volstrekt niet het geval. Daarvoor is de ambtelijke cultuur, in ieder geval in Nederland en in veel van de EU-burelen, al veel te veel verloederd.

In theorie werkte het systeem van kolchozen en sovchozen onder het gecentraliseerde bestuur van de Sovjet-Unie ook perfect! Dat wil zeggen, als al die tot staatsdienaren gebombardeerde Sovjet-burgers hun ambtelijke taken (zoals ploegen, zaaien en oogsten) perfect volgens het vijfjarenplan hadden vervuld. Maar we weten allemaal hoe dat afliep in 1989-1991.


En overigens vind ik dat Carthago verwoest moet worden. Even alle gekheid op een stokje, je kunt dit alles wel vinden, maar het is niet meer dan de natte droom van een ambtenaar die denkt dat de wereld centraal bestuurbaar en beheersbaar is op een manier die niet overeenkomt met de realiteit.


Hier komt jouw ambtelijke mentaliteit ten volle tot uiting. In jouw ogen kunnen "Europese wettelijke instituties" (wat dat ook precies mag betekenen) besluiten wat waar is en wat niet waar is. Dat is de gevaarlijke mindset van een apparatchik. We zien op dit moment de resultaten van die mindset in Oekraïne. Het bestuursapparaat rond Poetin dacht dat de Oekraïners de Russische zg. "bevrijders" met open armen zouden ontvangen. Ze hadden besloten dat dat waar was. En die fictie gaan ze nu net zolang volhouden totdat de wal het schip ergens keert - maar dan zijn er al heel veel slachtoffers gevallen en zijn er heel veel waardevolle dingen verwoest.


Insgelijks.

M.J.

Hierbij antwoord
Het is een heel stuk geworden.
Ik hoop dat ik quote-unquoe goed heb gebruikt.


Beste MJ
Heel fijn.



Ik werk voor een Nederlandse Qualified Trust Service Providor. Die heeft niets met de EU subsidiestromen te maken.

De mentaliteit van de EU valt niet eenduiig te positioneren. EU is een veelkoppig monster. Dat komt omdat er heel veel verschillende belangen zitten. Voor de discussie rond veiligheid, privacy, etc. Er zijn belangen die juist vrijheid willen waarborgen van individuele mensen (zowel binnen als ook buiten de EU). Er zijn ook belangen die opsporing willen vergemakkelijken. Ook in mijn mening niet altijd proprtioneel danwel in evenwicht met andere belangen.

Ik zelf zit aan de kant van zoveel mogelijk vrijheid voor het individu. Bescherming van het individu betekent nmm niet dat ieder alles kan doen (en daarmee een ander kan beschadigen). Dus geen annarchisme. Opsporing moet ook voor mij mogelijk zijn. Zonder dat ik hierin de wijsheid in pacht heb. Ieder zou vrij moeten zijn te lezen wat die persoon wil (zonder sturing). Ieder behoort ook de vrijheid te hebben alles te zeggen (vrijheid van meningsuiting), maar dat hoeft wat mij betreft niet anoniem te zijn (uitzonderingen voor journalisten en klokkenluiders). Hoe dat kan, daar heb ik niet over nagedacht.



tav Iedereen: zie mijn reactie hier boven.

"kan": ik vind ook dat het zou moeten kunnen. Mijn wil is er wel. Binnen het huidige internet denk ik dat het niet kan. Zeker gezien de cookiecultuur en verdienmodellen. Het huidige internet zal daarvoor op de schop moeten.

tegenstrijdigheid: Ja. Waarschijnlijk moet ik verder nadenken. Ik meen niet dat iets ontbreekt aan het fundament van gedachten. Ik heb hier geen uitputtende studie naar gedaan. Ik voel me hier overigens niet schuldig om. Ook ik heb beperkingen.



Hier verschillen we van mening.
Ik meen dat ook de overheid effectief wil reguleren en wil handhaven. Alleen niet zo graag dat dit alles mag gaan kosten. Kortom, de overheid lijkt de consequenties van reguleren en handhaven niet te willen of te kunnen nemen.
Voor mij is dat niet hetzelfde als niet willen in absolute zin.

Dat AP luistert naar wat de regering wil is in ieder geval niet volledig juist. De AP heeft wel degelijk een grot aantal keren de regering aangesproken. Echter, uiteindelijk beslist de regering (na akkoord kamer) wat de wetten zullen zijn. En uiteindelijk besluit de rechter of de maatregelen van de AP proportioneel zijn. De AP zal met beiden rekening houden.



Ik ben wel degelijk regenstander van bespioneren van burgers.
De situatie in Nederland:
- In Nederland mogen burgers alles wat niet verboden is.
- In Nederland mogen overheidsdiensten niets wat niet expliciet is toegestaan.
Dat betekent dat als jij onderzoek wil doen naar sociaal gedrag op internet, dat jij en ik (als burger) dat wel mogen, maar een inlichtingendienst mag dat niet. Daarom wordt een inlichtingendienst in Nederland ook gecontroleerd. Dat inlichtingediensten zich beperkt voelen, dat laat zien dat die controles toch iets doen. Ook die speciale eenheid van het leger mocht geen COVID gegevens vergaren en ter beschikking stellen aan anderen. Ook dit geeft aan dat uiteindelijk de wet werkt.

In vele andere landen hebben de inlichtingendiensten een heel veel bredere opdracht van hun regering. Ik meen dat verschillende inlichtingediensten ook opdracht hebben voor spionage voor eigen economisch gewin.
De Engelse inlichtingendienst heeft ook de Europese Commissie / Belgische overheid bespioneerd.

Als ik zeg dat je een hond niet mag verwijten dat die blaft is niets anders dan beseffen dat die buitenlandse inlichtingendiensten spioneren waar zij ook maar een belang zien. Ik heb een hekel aan blaffen. Daarom heb ik nog niet een hekel aan honden. Noch heb ik een hekel aan de baasjes.

Met goed ingerichte digitale identiteiten en goede flankerende wetgeving kan je heel veel wel bereiken.
- Je kan betrouwbaar transacties doen waar dat nodig is.
- Je kan attributen gebruiken (bijv vanuit IRMA van Prof Bart Jacobs) om identiteit geheim te houden en tegelijkertijd wel zekerheid te krijgen rond specifiek wettelijke grenzen (bijv ouder dan 18 jaar).
- Flankerende wetgeving zou het mogelijk moeten maken altijd ook papieren varianten van dienstverlening te ondersteunen. - Flankerende wetgeving zou een verbod tot (tracking)cookies en/of verbod de gegevens uit cookies te verwerken tot profielen.
- reclame uitingen zouden digitaal ondertekend moeten kunnen worden om malwar injectie en andere ongein opspoorbaar te maken (het voorkomt niet alles; eerst de kraan een beetje dicht draaien om dweilen effectief te maken).
- etc

Dank zij de wegen-verkeerswetten (incl wetten over wegen-infrastructuur) kunnen we veilig van madrid naar Groningen rijden. Die wetten voorkomen niet alle ongelukken, maar zorgen wel degelijk voor heel wat minder ongelukken). Die wetten hinderen mij niet. Integendeel. Die wetten maken mij op de weg veel vrijer dan als er anarchisme op de weg zou bestaan.
Dat kan ook met de IT.



Heel veel mensen willen wel degelijk hun zaken via internet regelen. Ook gemak is hier een drijver. En ook de omstandigheden van de klant en/of dienst noodzaken soms tot digitaal werken. Natuurlijk zou eea ook met de postdiensten ingeregeld kunnen worden, dan heb je grote vertragingen en andere onzekerheden (zoals wellicht een vals kopietje paspoort).
En inderdaad weten velen niet (of willen er niet aan) dat hun data tegen hen wordt gebruikt.
Je kan niet iedereen eerst bewust maken. Net zo min dat je iedereen eerst de werking van de motor moet uitleggen voordat zij een auto mogen besturen. Dat gaat niet werken.
De wetgevers, de IT business moeten juist de voorwaarden scheppen dat de gevens niet misbruikt kunnen/mogen worden.
Geflankeerd met goede wet en regelgeving kunnen digitale identiteiten hier heel goed helpen (en attributen en flankerende wetgeving, etc).



Toch voel ik me niet zo naief hoor.
Maar hier heb je wel een punt.
Er zijn velen bij de verschillende overheden en ook andere organisaties die gelijk maar maximaal oprekken zonder de consequenties te onderkennen. Om hun eigen belang te dienen. Vaak ook om hun verdienvermogen te vergroten. Niet alleen Meta, google, microsoft. Ook de kapper om de hoek in het winkelcentrum die meedoet met telefoontracking.
Daarom juist vraag ik om flankerende wetgeving. Dat bestaat ook in de wegen-verkeerswetten.



Ja. je hebt gelijk. Dat is wensdenken.
Je zou ook kunnen zeggen dat het mijn droom is. Zonder dromen geen grote plannen.
Een analogie: Singapore Airlines wenst nul ongelukken (destijds een visie). Daarvoor heeft men de ketens bestudeerd waardoor ongelukken uberhaubt kunnen plaatsvinden. Daarin zijn profielen ontdekt. Door procedurele aanpassingen is Singapore Airlines de vliegmaatschappij met de minste ongelukken. Het betekent niet dat er geen ongeluk zou kunnen gebeuren.



Die garantie valt nu niet te geven. Dan nog kan je die visie hebben en daaraan werken.
Voor mij is de digitale identiteit daarin een voorwaarde.



Nee, ik ook niet. Wederom: dit is een visie waar je aan kan werken.
De wegen-verkeerswet was ook niet in één keer op dit niveau.
En dan nog: het geeft geen garantie tegen ongelukken. Wel tegen de verkeerde structuren. En daardoor verminderd het aantal ongelukken.



Ja. Inderdaad een minder afschuwelijke track record dan .... ;-)
En die lat leg ik niet zo laag hoor. Tav digitale identiteiten heeft de EU het echt heel veel beter geregeld dan de techreuzen. En ook zodanig dat aansprakelijkheid is geregeld. En ook zodanig dat een hoogwaardig gelijk speelveld wordt gemaakt waardoor digitale identiteiten niet een nieuwe uitmelkspeeltje van de techreuzen hoeft te worden.



Toch is dit niet zo. Ook techneuten binnen de overheid weten echt wel hoe met digitale infrastructuren om te gaan. Het echte probleem is dat die overheid geen fouten mag maken. Zodra er een fout ism, dan valt iedereen over die overheid en worden ambtenaren kwetsbaar. Vooral de hogere ambtenaren. Afgezien of die kwetsbaarheid wel/niet terecht is, heeft de overheid daardoor een structuur gebouwd van kaderstellende interne regeltjes. De bureaucratie. Die bestaat overigens net zo goed bij alle grote bedrijven.

Die regeltjes stapelen op (dus de bureaucratie vergroot) tot een niveau dat alles belangrijker is dan het resultaat. En dan krijg je dus ook alles behalve een resultaat.

De ambtenaren zijn vooral ook heel goed om wetsvoorstellen te schrijven. Zelfs in een context dat er zoveel belangenstrijd is. IT is niet het centrum van de wereld. Wegverkeer ook niet. Dat betekent dat die regeltjes niet altijd het maximale voor dat ene specifieke onderwerp zal bereiken.

Er is dus ook veel wetgeving die niet bedoelt is om de IT van de overheid goed te laten werken, maar alleen bestaat omdat we met zijn allen vinden dat elke leverancier gelijke kansen moet hebben om aan de overheid te verdienen. Op zich is dat goed. Maar het heeft ook tot gevolg dat technische oplossingen van verschillende delen van de overheid of van verschillende tijdsgewrichten binnen een bepaalde overheid niet goed met elkaar kunen werken.

Als ik zo hoor hoe de IT van de belastingdienst eruit ziet, dan hou ook ik mijn hart vast. Daar is wel erg veel legacy. Daar is wel erg grote druk om steeds functionaliteiten uit wetgeving onmiddellijk geïmplementeerd te krijgen.
Tegelijkertijd zie ik dat al die systemen nog steeds goed genoeg werken (en die systemen staan los van de bestuurlijke fouten binnen MinFin en Belastingdienst). De techneuten willen wel, kunnen wel, worden vooral tegengehouden. E vaak ook om goede redenen. Maar inderdaad zijn er soms ook ambtenaren die juist veel verer gaan dan eigenlijk goed is. Dat komt omdat die ambtenaren niet worden afgerekend op de onbedoelde en ongewenste neveneffecten. Dat gebeurt overigens binnen bedrijven ook (Facebook?).







Dit lijkt me erg simpel gedacht. de valuta macht en reputatie zullen vast wel meespelen. Ik meen dat het eerder iets is van andere belangen meewegen. Of andere belangen vergeten. Het zijn net mensen hoor. Maar goed. Het eigen werk goed willen doen (zonder voldoende zicht op andere belangen) dat zal vast we erg sterk meespelen.
Bij bedrijven gaat het uiteindelijk alleen maar om winstmaximalisatie. Ook ten kosten van vrijheid, milieu, moraal (hoewel dat laatste ...)



Ik zie juist dat de browsers hun machtsbelang ten koste van de Europese burger wil vasthouden en vergroten. Hun commentaar op de eIDAS plannen worden met onjuiste argumenten gevoerd. De papieren analogie is dat browserpartijen zeggen dat overheden geen betrouwbaar fysiek paspoort kan maken en dat daarom de browser partijen dat moeten doen. Die partijen zitten overigens bijna uitsluitend in de USA.
Hun werkelijke belangen zitten nmm dieper. Het gaat om marktmacht vergroten. Ten koste van de Europese burger. Het kwaad dat ik zie bestaat uit het feit dat de USA met de browser's opzet de absolute baas zijn over geheel het internet. Einde vrijheid.
Zijn de digitale identiteiten het enige dat wij in de EU beter moeten regelen? Nou nee. Er zijn best wat meer onderwerpen. Van digitale identiteiten heb ik toevallig verstand. Daarom reageer ik hier.
Overigens zie ik in de USA een bondgenoot. Maar niet eentje die ik al mijn sleutels wil geven.



Ik vind ook dat fysieke dentiteitsbewijzen moeten worden gehandhaaft.
Ik onderken echter ook dat mensen nu eenmaal over internet hun zaken willen of moeten regelen (vanwege hun fysieke plek) . Juist om digitale transacties mogelijk te maken is nmm een digitale equivalent van het fysieke paspoort nodig (of slechts een attribuut).



Nee, dat zeg ik ook helemaal niet.
Ik meen juist dat er geen enkelvoudig systeem kan bestaan die misdrijven voorkomt. Zeker geen waarmee ook nog eens individuele vrijheid kan blijven bestaan. Met een combinatie van technsiceh en wetgevende voorzieningen kan de digitale veiligheid wel degelijk enorm toenemen. En dan heeft wellicht de politie, de AP, etc ineens toch voldoende capaciteit om de toch ontstane mistanden op te sporen.
Ik zeg dus ook niet dat de wegen-verkeerswet niet voorkomt dat er nog enig ongeluk kan onstaan. Het helpt wel enorm.



Ja, dat gaat gebeuren. Zeker als de quantum computer zover is. Dan nog. Er zijn nu ook ontwikkelingen om digitale identiteiten quantum resilient te maken.

In ieder geval zijn digitale identiteiten nog steeds niet gekraakt. De belangen zijn al jaren heel erg groot. Dus al jaren staat er veel op het spel.



Nou nee. Vertrouwen is goed, controle (op vertrouwensdiensten) is beter. En ook dat is onderdeel van de eIDAS.

Er is geen perfecte wereld. Dan nog. Als je geen droom hebt, als je geen visie hebt, dan gaat er nooit wat verbeteren.
Bij de wegen-verkeerswet werkt het allemaal wel.
De milieuwetten hebben ook veel goedsgebracht (er zijn nog steeds milieumisdrijven).
De gezondheidswetten werken ook (er zijn ook nog steeds gezondheidsfouten/misdrijven)



Ik zou Carthago niet willen verwoesten.
Ik ben overigens ook geen ambtenaar. Ik ken er wel veel.
Sommige dingen kan je nmm beter bij de overheid laten. Dat vind ik van het verstrekken van fysieke identiteitsbewijzen. Dat vind ik ook van digitale identiteitsbewijzen.
Ik meen dat het bedrijfsleven niet in staat is de belangen van het grotere (de maatschappij) te dienen als daardoor een bedrijf een stukje van haar winst (of hegenomie) moet afstaan. Kan je via de Microsoft cloud als vanzelfsprekend samenwerken met iemand die in de google en/of Amazon cloud werkt?



Nogmaals. Ik ben geen ambtenaar.
Misschien denk je nu wat uit verband.

Vergelijk ook dit met een fysiek paspoort.
Als de Nederlandse overheid zegt dat jouw paspoort betrouwbaar is, dan kom je daarmee de grens van elk land mee over (vooropgesteld dat dat land jou betrouwbaar vind). Als alle echtheidskenmerken aanwezig zijn, dan wordt de betrouwbaarheid van jouw paspoort niet meer betwist.

Datzelfde moet daarom voor digitale identiteiten gelden. Als Nederland en in navolging de EU bepaalt dat de Qualified Web Authenticatie Certificaat betrouwbaar is (binnen alle wettelijke zekerheden), dan behoort dat niet meer betwist te worden door techreuzen.



MJ
Hier en daar geef je kwalificaties die ik niet heb.

Ik ben ondernemer en huur me uit aan gekwalificeerde vertrouwensdiensten. Tevens werk ik vrijwillig mee aan diverse vormen van veilig samenwerken. Voor mij zijn digitale identiteiten een zeer belangrijk middel. Zeker geen einddoel.
Natuurlijk heb ik een mening die bekritiseerd mag worden. Dat verrijkt mijn denken.

Ik heb ook een visie over hoe veilig samenwerken vorm kan krijgen. En hoe daarbinnen betrouwbaarheid kan worden geregeld. Zelfs hoe daarbinnen anonimiteit kan worden bereikt. Die visie wordt door mijn opdrachtgevers over het algemeen gewaardeerd, maar zeker altijd overgenomen.

Ik zie de wereld als een verzameling belangen die vaak schijnbaar tegenstrijdig zijn. Vaak ook in woorden fundamenteel strijdig lijken. Een analogie: Als jij en ik ieder aan de andere kant van de straat staan en we kijken elkaar aan. Als er dan een auto tussen ons door rijdt. Als ik dan zeg dat de auto van links naar rechts rijdt en jij zegt dat de auto van rechts naar links rijdt, dan hebben we allebei gelijk. In woorden zal dat niet zo lijken. En datzelfde speelt nmm ook met visies, ideeen, belangen en oplossingen. De kant van de weg bepaalt of de auto van rechts naar links rijdt of van links naar rechts.

Verder heb ik de wijsheid niet in pacht. Is mijn communicatie belabberd (ik doe het toch nooit goed). Ik ben slechts van goede wil. Hoop ik ;-)

Tot slot zou ik het op prijs stellen een signaal te krijgen dat je dit gelezen hebt. Het schrijven kostte namelijk een boel tijd. Je hoeft het natuurlijk niet eens te zijn. Ik merk het wel.

Mvg

Beste Anoniem, hartelijk dank voor je reactie! Die verdient zeker de moeite om op te reageren. Ik ga de quote-unquote-markeringen aanpassen zodat ze duidelijker worden. Vanwege overschrijding van de toegestane lengte van een reactie, splits ik het op in twee delen.


Ik begrijp dat de EU een veelkoppig monster is, met veel verschillende belangen. Een aantal jaren geleden (vorige commissie) had ik een positiever gevoel over de inzet van de EU ten behoeve van privacy. Het leek (maar misschien was ik naïef) of er op het hoogste niveau een intrinsieke motivatie was om fundamentele rechten, waaronder privacy, te beschermen. Bij de huidige commissie zie ik dat niet terug.


Een eerste stap voor bescherming van individuele EU-burgers zou zijn om hun rechtsbescherming weer serieus vorm te geven. Dat zou twee dingen vereisen: een enorme vergroting van het budget van bijv. het Europese Hof voor de Rechten van de Mens, zodat ze veel meer zaken veel sneller kunnen behandelen. En een enorme turnaround in de mentaliteit van het EHRM, zodat ze weer gaan voelen wat hun eigenlijke taak is, nl. de effectieve rechtsbescherming van EU-burgers. Hoe zo'n turnaround te bewerkstelligen valt, weet ik niet. Ik vermoed dat die zal moeten komen van publiciteit en politieke actie, om het EHRM een prikkel te geven om zich wat minder terug te trekken in een ivoren toren, gebouwd uit formele procedures.


Probleem is inderdaad niet jouw wil, maar wel de wil van gevestigde instanties. Ik ben het met je eens dat het alleen gerealiseerd zal kunnen worden door maatregelen die een andere internet-cultuur en internet-verdienmodellen afdwingen.


Oké. Verder nadenken dus. Ik denk dat een stap zou kunnen zijn dat de Europese wetgever duidelijk maakt dat artikel 5 lid 2 AVG serieuzer moet worden genomen. Dat wil zeggen dat de plicht om aantoonbaar te maken dat het verwerken van persoonsgegevens nodig is, toegepast zou moeten worden op het cookie-, tracker- etc. gebeuren. Technisch zijn allerlei zaken prima zonder cookies mogelijk. De bewijslast dat cookies etc. nodig zijn, zou heel nadrukkelijk bij de aanbieders van internetdiensten (providers, site-eigenaren etc.) moeten worden gelegd. Dus: als de rechter het niet echt begrijpt, is het DUS niet aangetoond. Dit vereist wel dat rechters beseffen wanneer ze iets nog niet echt begrijpen (zeg maar "known unknowns").


Ik heb wat ervaring opgedaan met de AP. In de praktijk zag ik de AP niet proberen om meer bescherming te realiseren, maar juist om zaken zo te interpreteren dat de AP niks hoefde te doen. Daarbij schuwde de AP gezochte interpretaties niet. In plaats van te proberen rechters ervan te overtuigen dat handhaving wel gerechtvaardigd was, deed de AP juist haar best om rechters ervan te overtuigen dat handhaving niet gerechtvaardigd was. En de rechters gingen daar dan in mee.


Ik wil best geloven dat de situatie in Nederland wat minder extreem slecht is dan in sommige andere landen. Maar dat is niet het juiste referentiekader. De situatie in Nederland is dat er een aantal dingen officieel niet mogen, maar dat er aan alle kanten met omweggetjes toch persoonsgegevens verzameld en verwerkt worden.


Ik bedoelde dat het niet als een vanzelfsprekende eigenschap van overheden mag worden gezien dat ze hun eigen burgers continu bespioneren. In volwassen, goed functionerende rechtsstaten doet de overheid dat niet. Zijn volwassen, goed functionerende rechtsstaten zeldzaam? Ja, uiterst zeldzaam. Ik vermoed dat ze op de vingers van één hand te tellen zijn.


De vraag is hoe effectief "flankerende wetgeving" zou zijn als het gaat om het in stand houden van (parallelle) analoge infrastructuren, bijvoorbeeld contant geld, de acceptatie van fysieke briefpost, papieren belastingbiljet etc. Bij elk initiatief voor een digitale infrastructuur zou een "analoge paragraaf" moeten worden opgenomen, waarbij bijvoorbeeld privacy-NGO's actief zouden moeten worden uitgenodigd om daar van te voren commentaar op te leveren. Anders zal de bescherming van analoge infrastructuren in de praktijk een wassen neus blijken te zijn, vanwege de kracht van de digitaliseringslobbies.


Zulke flankerende wetgeving moet dan echt gemaakt zijn met oog voor de reële machtsverhoudingen, anders wordt zij niet effectief. Zie verder mijn eerdere opmerkingen over flankerende wetgeving.


Precies. Maar je krijgt alleen goede flankerende wetgeving als eerst de machtsdynamiek van het wetgevingsproces verandert. Dat vereist politieke actie. En het vereist dat er nu eerst een stop wordt gezet op de invoering van digitale processen terwijl er nog geen adequate bescherming van analoge processen is geregeld.


Oké. Op die manier wil ik graag dromen. Maar dan wel met beide voeten op de grond. Dat wil zeggen dat ik de realiteit van de huidige situatie naar binnen wil laten in mijn dromen, waardoor die minder roze worden en meer "aardekleuren" krijgen.


Als je bedoelt dat er meer regulering van private browser-aanbieders nodig is om het aantal "ongelukken" (onbedoeld en bedoeld) te verminderen, dan ben ik het met je eens. Waar het mij om gaat, is dat eIDAS meer lijkt te zijn dan regulering. De overheid zou zichzelf daarmee een centrale rol toeëigenen, inclusief een extra stuk macht, niet alleen ten koste van private browser-aanbieders maar ook ten koste van burgers. En dat terwijl burgers nu al een zeer zwakke positie hebben in het krachtenveld.


Maar wel een nieuw surveillance-speeltje van de statelijke inlichtingen- en opsporingsdiensten?


Het ligt niet alleen aan de regeltjes, maar ook aan de mindset van bijna alle ambtenaren. Die wordt deels veroorzaakt door de regeltjes, maar het probleem zit volgens mij dieper. Ik zie daar ook geen oplossing voor, behalve een beperking van de macht van ambtenaren.


Ik ben het met je eens dat er binnen grote bedrijven ook vaak een ambtelijke, bureaucratische cultuur ontstaat. Maar private bedrijven zijn gelukkig kwetsbaar en daardoor beïnvloedbaar op manieren dat een overheid dat niet is. Bedrijven kunnen worden beboet en opgesplitst, en dat doet echt pijn. Een overheid die niet eens tot effectieve regulering van bedrijven in staat is, zou die wel in staat zijn zichzelf effectief te reguleren, d.w.z. zich te beperken in de eigen machtsuitoefening? Ik zie geen aanleiding om dat te veronderstellen.


Het is juist minder simpel gedacht. Ik begrijp wel dat bij overheden NIET ALLEEN "verdienmodellen" een rol spelen, maar voor een deel ook authentieke belangenafweging. Maar bij bedrijven spelen ook niet alleen "verdienmodellen" een rol, maar bijvoorbeeld ook maatschappelijk verantwoordelijkheidsgevoel en reputatiemanagement.

[voor vervolg, zie hieronder]

[Vervolg]


Gelukkig zeggen overheden tegen browserpartijen simpelweg: "Het recht om fysieke paspoorten uit te geven, is voorbehouden aan de overheid." Klaar. Maar de eIDAS-plannen behelzen meer dan alleen een digitale equivalent van een fysiek paspoort. Juist vanwege de grootschaligheid van digitale systemen. Ik denk vanuit het belang van de burger bij diens grondrechten en vrijheden. De veiligheid van de burger is erbij gebaat dat identiteitsbewijzen niet grootschalig kunnen worden gehackt of vervalst. Ook moet discriminatie worden voorkomen. Die kan ontstaan als digitale identiteitsbewijzen in de praktijk geëist gaan worden voor allerlei vormen van toegang (function creep). Die ontwikkeling zagen we al met de QR-passen (corona-toegangsbewijzen, CTB's).


Op dit punt ben ik het met je eens. Maar de oplossing is niet een vervanging van de macht van Amerikaanse tech-bedrijven door de macht van een centrale Europese instantie. De oplossing is een keuze voor decentralisering van de macht en het terugleggen daarvan bij de burger. Jij vindt waarschijnlijk dat de eIDAS-plannen naar zo'n oplossing leiden, maar dat betwijfel ik, omdat de decentralisatie niet onherroepelijk is, maar het in de macht van centrale instanties blijft om die decentralisatie op elk moment op te heffen en zich meester te maken van persoonsgegevens van burgers.


Net als jij zou ik aan de USA niet al mijn sleutels willen geven.


Je vertrouwt er kennelijk op dat de fysieke identiteitsbewijzen worden gehandhaafd (zonder afhankelijkheid van digitale netwerken) wanneer er digitale identiteitsbewijzen worden geïntroduceerd. Dat vertrouwen is mijns inziens niet terecht. De afgelopen decennia hebben we telkens gezien dat analoge technieken worden "uitgefaseerd" na de introductie van digitale technieken. Overheden EN bedrijven maken burgers steeds afhankelijker van technieken die de controle weghalen bij burgers zelf en hem toeschuiven naar... overheden EN bedrijven.


De vergelijking met de wegen-verkeerswet gaat voor een deel mank. Zoals gezegd, gaan de eIDAS-plannen niet alleen over meer regulering, maar ook over de invoering van nieuwe techniek.


Er staat straks enorm veel meer op het spel. Bovendien komen er volgens de plannen straks drie vormen van macht samen bij de EU: regulerende macht, uitvoerende macht en technische macht. Stel dat er straks één terroristische aanslag ergens plaatsvindt. Dat kan de EU dan meteen aangrijpen als excuus om in te breken in de digitale identiteiten van ALLE EU-burgers. En reken maar dat dergelijke function creep en mission creep ook daadwerkelijk gaat plaatsvinden.


Zoals gezegd, gaat het hier niet alleen om wetgeving (regulering), maar ook om de vervanging van sommige regulering door techniek, waarbij de macht over die techniek op een plek wordt belegd die zo centraal is, dat die in de praktijk min of meer boven de wet komt te staan. Ik vraag je om realistisch te blijven.


Hm... Dat ben je zo'n 2200 jaar te laat.


Als het alleen om individuele digitale identiteitsbewijzen zou gaan, zou ik het op dit punt met je eens zijn. Maar het gaat hier om meer dan dat. Het gaat hier om een grootschalige techniek waarvan de digitale identiteitsbewijzen slechts een deel zijn.


Op dit punt ben ik het in grote lijnen met je eens. Er bestaan bedrijven die wel intrinsiek gemotiveerd zijn om hun maatschappelijke verantwoordelijkheid echt te nemen en daarvoor indien nodig financiële offers te brengen. Maar dat is tot op heden een uiterst kleine minderheid, een zeldzaamheid: witte raven.


Je hoeft zelf niet formeel een ambtenaar te zijn om toch de mindset van een ambtenaar te hebben.


Zoals gezegd, het gaat hier over een systeem dat meer behelst dan alleen individuele identiteitsbewijzen.


Ik heb het gelezen, en heb mijn reacties ingevoegd. Ik ben overtuigd van je goede wil. Ik denk alleen dat je je voor een deel laat inpakken door een perspectief dat, zonder het zelf te beseffen, niet de belangen van burgers centraal stelt, maar die van een centralistische overheid (bijvoorbeeld de EU). Met alle verleidingen en mogelijkheden voor machtsmisbruik die dat met zich meebrengt.

Mvg,
M.J.

De voortwoekerende mentaliteit bij de overheid:
Gemeenten gebruiken gezichtsscanners aan de balie ter controle van de foto op het identiteitsbewijs.
Daar de fraude door lookalikes, die daarmee bestreden moet worden niet bekend is, wordt als reden hiervoor gegeven: "ter bescherming van de burgers tegen identiteitsfraude", aldus een woordvoerder van de gemeente Vught waar lookalikefraude nog nooit geconstateerd is (vóór de invoering hiervan).
Het enige overwegingspuntje van de gemeentes is of het de investering wel waard is gezien het vrijwel ontbreken van de fraude die ermee voorkomen moet worden.
Daarvoor worden nu de cijfers geanalyseerd.
Hoeveel ambtenaren durven na invoering van de scanner nog te vertrouwen op hun eigen ogen?

https://www.nu.nl/tech/6187346/gemeenten-zien-geen-fraude-maar-willen-aan-de-balie-toch-gezichtsfotos-maken.html

Precies. Wat ik keer op keer bij bestuurders en ambtenaren heb gezien, is: ze vragen van de burger vertrouwen, en eigenlijk eisen ze dat, want anders weigeren ze cruciale service aan de burger, en ze vinden zelf ook dat ze dat vertrouwen waard zijn, maar beseffen niet dat ze in een ambtelijke bubbel zitten die zulk vertrouwen niet verdient.

Het is als een man die thuis geweld gebruikt tegen zijn vrouw en kinderen maar ondertussen een zelfbeeld heeft dat hij een goede huisvader is. En als hij zijn vrouw mentaal genoeg onder de duim heeft, zal zij ook geloven dat haar man een goede huisvader is en dat haar kwetsuren slechts "incidenten" zijn waarvan "geleerd wordt". Het kan voor zo'n vrouw veiliger voelen om te blijven geloven dat haar man een goede huisvader is, dan de realiteit onder ogen te gaan zien.

Op veel grotere schaal zie je dat gebeuren bij bevolkingen die een regering blijven geloven die hen op grote schaal bedriegt en misbruikt. Dat hebben we in 2021 zien gebeuren met bepaalde "corona-maatregelen", zoals de discriminerende, digitale corona-toegangsbewijzen (CTB's, QR-passen) die op 25 september 2021 zonder medische noodzaak en in combinatie met "versoepelingen" werden ingevoerd. Dat zou "tijdelijk" zijn, maar op dit moment worden ze bijvoorbeeld nog steeds geëist voor reizen met het openbaar vervoer tussen EU-landen (binnen het Schengen-gebied), hoewel de medische noodzaak daarvoor niet bestaat omdat de Omikron-variant niet gevaarlijker is dan een traditionele griep. In het verleden konden we ook reizen zonder enige bewijs dat we gevaccineerd waren tegen griep, of daarvan hersteld, of daarop getest...

Die bestuurlijke en ambtelijke controlezucht (een onbewuste vorm van machtswellust, mede voortkomend uit onbewuste angst), gepaard aan function creep zodra men weer een nieuw controlemiddel heeft ingevoerd, is precies datgene waarvan Anoniem (6-3-2022 om 16:30 uur), op wie ik gisteren uitgebreid reageerde, zich onvoldoende bewust leek te zijn.

De invoering van een "technisch" middel (bijv. een eIDAS-systeem) is nooit alleen de invoering van een technische middel. Het is altijd meer. Het heeft invloed op percepties en op machtsverhoudingen.

In jouw voorbeeld gaan ambtenaren straks mensen weigeren "op grond van de uitkomst van de scan", ook wanneer ze met eigen ogen zien dat die scan niet kan kloppen. Want ja, "we moeten de regels volgen". En zo wordt een onmenselijke bureaucratie en technocratie steeds verder opgebouwd, en gaat steeds meer schade aanrichten en slachtoffers maken (zoals we ook bij de Toeslagenaffaire hebben gezien).

Om ons tegen het ene gevaar te "beschermen", worden er steeds nieuwe elementen van techno-bureaucratie geïnstalleerd, die weer andere gevaren met zich meebrengen. En die worden dan na allerlei ellende weer aangevuld met nog weer nieuwe "technical fixes", die op hun beurt weer nieuwe problemen met zich meebrengen. Het blinde geloof dat "technische" oplossingen altijd de juiste oplossingen zijn, maakt steeds meer slachtoffers en verandert onze samenleving steeds meer in een gevangenis.

M.J.

P.S. Dit geldt trouwens niet alleen voor "overheids-ambtenaren en -bestuurders", maar ook voor bestuurders en medewerkers van tech-bedrijven. Het probleem is niet "de overheid" op zich (er zal altijd een regulerende overheid nodig zijn), en ook niet de tech-bedrijven op zich (die zich eveneens tot een soort "overheden" proberen te ontwikkelen), maar de technocratische en bureaucratische mentaliteit, zonder voldoende bewustzijn van:
- het belang van menselijkheid;
- het belang van mensenrechten (om menselijkheid te beschermen);
- het belang van ingebouwde interventiemogelijkheden voor mensen in technische en bureaucratische processen. Mensen moeten op elk niveau en elk stadium van zulke processen kunnen interveniëren en, indien nodig, het overrulen van technische en bureaucratische protocollen in gang kunnen zetten.

M.J.

Beste MJ,

Ik ben er echt wel van bewust hoor.
Ook ik zie dat veel mensen in hun eigen bubbel zitten en niet buiten hun eigen bubbel willen/kunnen/durven denken en acteren. Als een bepaalde brede bedoeling bereikt moet worden en er verschillende mensen/beroepsgroepen betrokken moeten zijn, dan zie ik dat die beroepsgroepen vaak een heel andere kijk of oplossing denken te bereiken. Samen met korte termijn en out-of-scope-creep zie ik dan vaak slechts één doelgroep bediend worden en alle rest moet daar dan maar mee leven. Zelfs als daardoor 'schade' ontstaat. Dit gebeurt ook bij beroepsgroepen binnen de IT (het is allemaal niet zo korte termijn rationeel). Ik heb daar zelfs een kreet voor 'uitgevonden'. Ik noem dat gedrag 'professioneel narcisme'.

Inderdaad bestaat dat bij overheden en ook bij alle grote organisaties. Voor mij past dat bij het verschijnsel 'mens' zijn.
Prof Dr Andre Wierdsma (van Nijenrode) heeft hier zijn emiraatswerk aan gewijd. Zoek maar eens naar Andre Wierdsma - vrijmoedig positie kiezen. Op blz 67 spreekt hij over de 'plek der moeite'. Op blz 69 over wat er gebeurt als je niet wil aansluiten bij groep (disciplineren en uitsluiten). Het hele boekje is vrij te downloaden en zeer de moeite waard.

Met deze kennis weet ik dat niet alleen ik, maar eigenlijk iedereen best wel mag werken aan de ander beter begrijpen (ook Stephen Covey literatuur - de 8e eigenschap). Daaruit heb ik inzicht gekregen dat het moeilijk is mensen te overtuigen. Eigenlijk gaat dat helemaal niet. Je kan alleen maar gezamelijk leren wat de betere oplossing kan zijn (of in ontwikkeling zou moeten zijn). En dan moet je ook aligned zijn voor wat betreft de filosofische aspecten/beginselen (zoals jij die ook noem in jouw laatste alinea).

Dit betekent dat ik ook op die manier naar iets als eIDAS en digitale identiteiten kijk.


Nogmaals : eIDAS is een wet, een policy, gaat over aansprakelijkheid en erkenning, gaat over betrouwbaarheidsniveaus. eIDAS is géén product, levert geen product, geeft géén aanwijzingen over een product Geeft wel aanwijzigingen hoe je betrouwbaarheid kan aantonen, erkenning kan bereiken, etc. Met eIDAS erkende digitale identiteiten kan de overheid helemaal niet manipuleren. Alle aangesloten vertrouwensdiensten werken decentraal en onafhankelijk van de overheid. Het toezicht gaat alleen over de betrouwbaarheid. Niet over de digitale identiteiten zelf. Dus het elders door jou gepromootte decentrale aspect zit volledig in de Europese structuur.

Ik meen dat jij (MJ) en ik (Anoniem (6-3-2022 om 16:30 uur)) op hoofdlijnen dezelfde zorgen hebben. Ook ik zie het professioneel narcisme overal opduiken.
Ik meen dat ons wereldbeeld wél anders is. Dat is niet erg. Er is geen universele waarheid.

Ik blijf bij mijn stelling dat de EU met een in eIDAS verplichte erkenning door browsers (techreuzen) van al die decentrale EU-goedgekeurde (let op: betrouwbaarheid; niets anders) vertrouwensdiensten het goede doet.

Ik zou je graag in persoon ontmoeten. Je hebt interessante en bruikbare gedachten. Je hebt oprechte zorgen.

vooralsnog laat ik het hier bij.

Dank voor deze bijdrage. Ik ga het boekje van prof. André Wierdsma bekijken. "Professioneel narcisme" is een term om te onthouden. Ja, andere mensen overtuigen, kan dat eigenlijk wel? Ik moet dan denken aan wat Thomas Kuhn over paradigmawisselingen (die je ook "bubbel-wisselingen" zou kunnen noemen) heeft gezegd: die vinden meestal niet plaats doordat grote groepen wetenschappers zich laten overtuigen, maar doordat er nieuwe generaties wetenschappers aantreden en gaan domineren. William James (filosoof van het pragmatisme) heeft geloof ik ook al eens opgemerkt dat ideeën voortkomen uit passies, en niet omgekeerd.

Wat betreft eIDAS, ik zou me meer in de details daarvan moeten verdiepen om een serieuze inschatting te kunnen maken welke specifieke effecten daarvan vallen te verwachten op de bescherming van de privacy van burgers èn op hun (gelijke) toegang tot diensten.

Met name de vraag: welke criteria voor wat er als "betrouwbaar" moet worden beschouwd, liggen ten grondslag aan de spelregels die eIDAS oplegt aan "leveranciers van digitale identiteiten". De gedachte komt bij me op, dat je dan eigenlijk wetgeving zou moeten hebben die technologie-neutrale criteria hanteert, die voor zowel analoge als digitale producten gelden. Dat zou ook goed sporen met overweging (15) van de AVG, die technologieneutraliteit voorschrijft. Dat zou zichtbaar kunnen maken welke voordelen en nadelen digitale producten/diensten/systemen met zich meebrengen in verhouding tot analoge producten/diensten/systemen.

In betrouwbaarheidscriteria zitten natuurlijk al bepaalde aannames besloten, bijvoorbeeld over oorzaken, effecten en hun samenhang - dus eigenlijk over hoe de wereld in elkaar zit.

Het zou inderdaad interessant kunnen zijn elkaar in persoon te ontmoeten. Ik heb alleen geen idee hoe dat te realiseren valt. Hier op dit reactieforum mogen we namelijk (zo zijn de spelregels) onze werkelijke identiteit niet onthullen...

M.J.