SP wil opheldering kabinet over uitfaseren sms-controle DigiD
De SP heeft staatssecretaris Van Huffelen van Digitalisering opheldering gevraagd over het voornemen van het kabinet om de sms-controle van DigiD op termijn uit te faseren, de afhankelijkheid van Apple en Google en of de DigiD-app in de F-Droid-appstore kan worden aangeboden. Vorig jaar meldde Security.NL dat de overheid van plan is om de sms-controle op termijn uit te faseren. Straks zal er minimaal moeten worden ingelogd met de DigiD-app of een vergelijkbare private oplossing.
De DigiD-app is echter alleen verkrijgbaar in de Apple App Store en Google Play Store, wat inhoudt dat gebruikers een account bij de Amerikaanse techbedrijven moeten hebben om de app uit de appstores te kunnen downloaden. In een interview met Security.NL liet DigiD-aanbieder Logius weten dat de DigiD-app, maar ook de rest van de apps van de Rijksoverheid, vanwege beveiligingsredenen alleen via de appstores van Google en Apple worden aangeboden.
De berichtgeving was aanleiding voor SP-Kamerlid Leijten om Van Huffelen Kamervragen te stellen. "Kunt u aangeven waarom gekozen wordt inwoners te dwingen gebruik te maken van Amerikaanse techbedrijven en daarmee hun marktmacht te versterken?", zo wil ze van de staatssecretaris weten. "Kunt u toelichten hoe het besluit om geen andere mogelijkheden naast de apps van Google en Apple strookt met het 'comply or explain'-principe van de overheid ten aanzien van open source?", vraagt Leijten verder.
Van Huffelen moet ook duidelijk maken waarom de overheid de DigiD-app niet open source heeft laten ontwikkelen en of zij als nog van plan is dit te doen, zodat de app ook in de F-Droid-appstore kan worden aangeboden. F-Droid is een alternatieve appstore voor Androidgebruikers die alleen vrije en open source applicaties aanbiedt. Aangeboden apps worden op security- en privacyproblemen gecontroleerd en bevatten volgens de appstore geen trackers.
Het SP-Kamerlid wil ook van de staatssecretaris weten of het klopt dat in de huidige DigiD-app trackers aanwezig zijn, zoals aangegeven door een controle van analysewebsite Exodus, en hoe wordt voorkomen dat door het gebruik van de DigiD-app data van Nederlandse burgers wordt doorgegeven aan de Amerikaanse overheid. Van Huffelen heeft drie weken om met een reactie te komen.
Reacties (36)
Ik zie veel gelijkenissen tussen de gestelde kamervragen en de reacties op security.nl onder het nieuwsbericht van eergisteren. Het lijkt er op dat de SP de commentaar pagina's van security.nl goed in de gaten houdt.
Ik ben er alleen nog niet over uit of dat een positief of negatief teken is...
Ik ben er alleen nog niet over uit of dat een positief of negatief teken is...
De app kan prima in F-Droid aangeboden worden. Open source is niet eens een verplichting en waarom zou dat niet veilig genoeg zijn?
Niet alleen de stores, er zitten ook trackers in de DigID app van Amerikaanse bedrijven.
Desnoods start de overheid, in samenwerking met de EU, een eigen appstore? Kunnen ze dat meteen gebruiken om Apple te verplichting hun troep open te gooien.
Niet alleen de stores, er zitten ook trackers in de DigID app van Amerikaanse bedrijven.
Desnoods start de overheid, in samenwerking met de EU, een eigen appstore? Kunnen ze dat meteen gebruiken om Apple te verplichting hun troep open te gooien.
Terechte vragen, niet dat de Digid app niet veilig zou zijn maar er zijn inmiddels voldoende open authenticatie platformen beschikbaar. Waarom niet een open OTP standaard, Yubi key of een app die dit ondersteund....
Ik ben heel erg benieuwd naar de reactie van de staatssecretaris binnen nu en drie weken. Hopelijk komt er een goed alternatief.
17-05-2022, 15:01 door
johanw
Als die DigiD app dan nog zou werken. Maar ik kan er, na een tijd probleemloos mee gewerkt te hebben, nu niet meer mee inloggen.
Die Leijten is goed bezig, beetje jammer dat de SP zo'n maoistiche club is
Door johanw: Als die DigiD app dan nog zou werken. Maar ik kan er, na een tijd probleemloos mee gewerkt te hebben, nu niet meer mee inloggen.
Het probleem kan ook bij jou liggen, ik kan er probleemloos op. Maar ja, klagen over DigiD staat zoveel leuker.De reden is dat straks je ID kaart als key gebruikt wordt voor het berekenen van een inlog token op je telefoon.
Nieuwe ID kaarten (en ik denk ook paspoorten) hebben de mogelijkheid om gebruikt te worden als authenticatie token. En daar komt dan NFC bij kijken. https://www.digid.nl/inlogmethodes/identiteitskaart/
Dus, dit wordt straks nog veel leuker, als je nog een oude telefoon hebt zonder NFC.
Ik persoonlijk opteer nog steeds voor IRMA: https://irma.app/?lang=nl als we echt naar een mobiele oplossing moeten.
TheYOSH
Nieuwe ID kaarten (en ik denk ook paspoorten) hebben de mogelijkheid om gebruikt te worden als authenticatie token. En daar komt dan NFC bij kijken. https://www.digid.nl/inlogmethodes/identiteitskaart/
Dus, dit wordt straks nog veel leuker, als je nog een oude telefoon hebt zonder NFC.
Ik persoonlijk opteer nog steeds voor IRMA: https://irma.app/?lang=nl als we echt naar een mobiele oplossing moeten.
TheYOSH
Mogen we a.j.b. ophouden met mensen te verplichten om één (gesloten) systeem te gebruiken; namelijk via smartphones. De invasiviteit van smartphones op je leven wordt steeds groter en dat kan (en wil) niet iedereen aan.
Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Door Anoniem: Mogen we a.j.b. ophouden met mensen te verplichten om één (gesloten) systeem te gebruiken; namelijk via smartphones. De invasiviteit van smartphones op je leven wordt steeds groter en dat kan (en wil) niet iedereen aan.
Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Waarom zou je moeten richten op minderheden?Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Waarom zou je moeten richten op minderheden?
Hoe bedoel je, zijn dat voor jou geen mensen, wist je dat echte intellectuele bij deze minderheden behoren.En de gewone ja knikkers die je alles wijs kunt maken, het gewone voetvolk, zie Rusland waar je belangrijk
voor bent, als soldaatjes mogen zij zich laten afschieten voor het belang van Poeting. Maar wie weet ben
je straks ook nog belangrijk voor een Nederlands staatshoofd.
Door Anoniem:
Door Anoniem: Mogen we a.j.b. ophouden met mensen te verplichten om één (gesloten) systeem te gebruiken; namelijk via smartphones. De invasiviteit van smartphones op je leven wordt steeds groter en dat kan (en wil) niet iedereen aan.
Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Waarom zou je moeten richten op minderheden?Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Niet de OP, maar het antwoord is simpel. Als iemand zonder smartphone kan inloggen, kan iemand met een smartphone het ook.
Door Anoniem:
Door Anoniem: Mogen we a.j.b. ophouden met mensen te verplichten om één (gesloten) systeem te gebruiken; namelijk via smartphones. De invasiviteit van smartphones op je leven wordt steeds groter en dat kan (en wil) niet iedereen aan.
Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Waarom zou je moeten richten op minderheden?Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Daar gaat het niet om. Iedereen zou zonder problemen moeten kunnen inloggen, niet alleen een select groepje met smartphone.
Door Anoniem:
Wellicht omdat het een kenmerk is van een goede democratie dat er ook rekening wordt gehouden met minderheden?Door Anoniem: Mogen we a.j.b. ophouden met mensen te verplichten om één (gesloten) systeem te gebruiken; namelijk via smartphones. De invasiviteit van smartphones op je leven wordt steeds groter en dat kan (en wil) niet iedereen aan.
Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
Waarom zou je moeten richten op minderheden?Wordt tijd dat er weer wat naar minderheden omgekeken wordt. Al was Nederland daar nooit zo goed in in het verleden...
En inderdaad, via een smartphone wordt dit hem niet bij mij. Verder wordt buiten smartphone om enkel inloggen met een ID-kaart (wanneer deze nieuw genoeg is; waarom geen rijbewijs/paspoort?) via Windows/Apple PC ondersteund. Geen woord over Linux. Laat dat nu het platform van mijn keuze zijn. Oftewel, zoals de SP ook al aangaf, waarom worden enkel closed source platformen ondersteund en geen open source platformen (graag zou ik hier dan ook het explain antwoord van zien), Wanneer het op deze manier wordt doorgezet ben ik uiteindelijk genoodzaakt om mijn belastingaangifte dan maar weer op papier te doen.
Ja, er zitten trackers in de DigiD app. Als je de Exodus app installeert (gedaan via F-droid), dan worden er 3 herkend:
- Google Firebase Analytics
- Microsoft Visual Studio App Center Analytics
- Microsoft Visual Studio App Center Crashes
Die eerste zit in een hoop apps die andere mensen ook wel zullen hebben, inclusief financiële apps zoals mijn bank-app, creditcard-app, Tikkie, Spotify, heel veel Google services, Outlook etc.
- Google Firebase Analytics
- Microsoft Visual Studio App Center Analytics
- Microsoft Visual Studio App Center Crashes
Die eerste zit in een hoop apps die andere mensen ook wel zullen hebben, inclusief financiële apps zoals mijn bank-app, creditcard-app, Tikkie, Spotify, heel veel Google services, Outlook etc.
Door Anoniem: Wordt tijd dat er weer wat naar minderheden omgekeken wordt.
Het gaat hier niet alleen om omkijken naar minderheden, maar ook voor een terugvalmogelijkheid voor de meerderheden. Niet alleen omdat een smartphonebezitter ook wel eens met een lege accu of een defect of zoekgeraakt apparaat zit, maar ook omdat bij een lek in de Android-app of in Android zelf men de hele mogelijkheid om op die manier in te loggen uit moet schakelen. DigiD als geheel moet ergens op kunnen terugvallen.Er kan met een recente identiteitskaart en een NFC-lezer gekoppeld aan een pc worden ingelogd . Met alweer een platformbeperking: je moet Windows of MacOS gebruiken. België ondersteunt eID al vanaf 2003 en ondersteunt ook Linux.
Een aantal jaar geleden was er een proef om via banken een DigiD-login te doen; vergelijkbaar met hoe je een webwinkel betaalt authenticeerde je je met je Digipass of scanner voor DigiD. Ik heb een keer zo mijn belastingaangifte gedaan. Dat lijkt mij voor iedereen die online bankiert een uitstekende terugvalmogelijkheid.
Beter nog: ik zou zoals er een Rabo- en een ING-scanner bestaan een DigiD-scanner helemaal niet verkeerd vinden. Dat kost geld, ja. De Rabo rekent €14,95 voor een vervangend of extra exemplaar, dus dat zal ongeveer de kostprijs van zo'n ding zijn voor wie ze in het groot inkoopt.
Da's mooi waardeloos. Ik WIL geen smartfoon. Dat SMS gedram vind ik al niks... Maar de fiscus *eist* wel dat ik het ga gebruiken, als klein zelfstandige. Zo kennen we Nederland weer. Je moet en je zult te traceren zijn.
of een defect
Dank je wel, jij bent hier voorzover ik weet de eerste die hier rekening mee houdt, heb het mee gemaakt enkon ongeveer twee maanden dat ding niet gebruiken.
Beter nog: ik zou zoals er een Rabo- en een ING-scanner bestaan een DigiD-scanner helemaal niet verkeerd vinden.
Ook hier ben ik het met je eens maar dit zal het niet worden want hoe meer gegevens van de burger hoe meer macht over de burger.
Door Anoniem: Ja, er zitten trackers in de DigiD app. Als je de Exodus app installeert (gedaan via F-droid), dan worden er 3 herkend:
- Google Firebase Analytics
- Microsoft Visual Studio App Center Analytics
- Microsoft Visual Studio App Center Crashes
Die eerste zit in een hoop apps die andere mensen ook wel zullen hebben, inclusief financiële apps zoals mijn bank-app, creditcard-app, Tikkie, Spotify, heel veel Google services, Outlook etc.
Klopt https://reports.exodus-privacy.eu.org/reports/nl.rijksoverheid.digid.pub/latest.- Google Firebase Analytics
- Microsoft Visual Studio App Center Analytics
- Microsoft Visual Studio App Center Crashes
Die eerste zit in een hoop apps die andere mensen ook wel zullen hebben, inclusief financiële apps zoals mijn bank-app, creditcard-app, Tikkie, Spotify, heel veel Google services, Outlook etc.
Dat zou reden genoeg moeten zijn om het niet te willen gebruiken. Iemand hier al eens naar geïnformeerd bij Logius?
Door Anoniem: .. beetje jammer dat de SP zo'n maoistiche club is
Dat is al een tijdje geleden. Mao is al een jaar of 50 dood. SP is nu niet veel meer dan een middenpartij.Door Anoniem:
Dat zou reden genoeg moeten zijn om het niet te willen gebruiken. Iemand hier al eens naar geïnformeerd bij Logius?
Heb je het al gedaan?Door Anoniem: Ja, er zitten trackers in de DigiD app. Als je de Exodus app installeert (gedaan via F-droid), dan worden er 3 herkend:
- Google Firebase Analytics
- Microsoft Visual Studio App Center Analytics
- Microsoft Visual Studio App Center Crashes
Die eerste zit in een hoop apps die andere mensen ook wel zullen hebben, inclusief financiële apps zoals mijn bank-app, creditcard-app, Tikkie, Spotify, heel veel Google services, Outlook etc.
Klopt https://reports.exodus-privacy.eu.org/reports/nl.rijksoverheid.digid.pub/latest.- Google Firebase Analytics
- Microsoft Visual Studio App Center Analytics
- Microsoft Visual Studio App Center Crashes
Die eerste zit in een hoop apps die andere mensen ook wel zullen hebben, inclusief financiële apps zoals mijn bank-app, creditcard-app, Tikkie, Spotify, heel veel Google services, Outlook etc.
Dat zou reden genoeg moeten zijn om het niet te willen gebruiken. Iemand hier al eens naar geïnformeerd bij Logius?
Door Anoniem:
meer macht over de burger.
Beetje de wappie mening is dat wel. In Belgie hebben ze dit al jaren dus wieweet komt het hier ook ooit wel. Beter nog: ik zou zoals er een Rabo- en een ING-scanner bestaan een DigiD-scanner helemaal niet verkeerd vinden.
Ook hier ben ik het met je eens maar dit zal het niet worden want hoe meer gegevens van de burger hoe meer macht over de burger.
Waarom een app? waarom weer dat voeden van die monopolisten markt op de mobiels
waarom niet 2FA wat ook op andere mobiels te implementeren is en waar ook open source varianten voor zijn
misschien ook zelfs voor de desktop desnoods via een VM
waarom niet 2FA wat ook op andere mobiels te implementeren is en waar ook open source varianten voor zijn
misschien ook zelfs voor de desktop desnoods via een VM
Gewoon als overheid hardware keys leveren aan hen die niet met dergelijke apps kunnen of willen werken, werkt (of kan werken) op ieder modern platform.
Zonder Google of Apple op de smartphone werkt DigiD gewoon niet. Belachelijk op mijn Huawei P40 pro heb ik de app maar kan niet inloggen. Wordt doodziek van dat gedwongen Google gebruik.
18-05-2022, 10:05 door
_R0N_
Ik kan alleen maar zeggen: Dan maar niet meer inloggen.
Door Anoniem: Waarom een app? waarom weer dat voeden van die monopolisten markt op de mobiels
waarom niet 2FA wat ook op andere mobiels te implementeren is en waar ook open source varianten voor zijn
misschien ook zelfs voor de desktop desnoods via een VM
Een app[licatie] voor maar 2 OS platforms is waarschijnlijk de goedkoopste oplossing voor het veronderstelde veligheidsprobleem met SMS.waarom niet 2FA wat ook op andere mobiels te implementeren is en waar ook open source varianten voor zijn
misschien ook zelfs voor de desktop desnoods via een VM
In de praktijk zijn er ook veiligheidsproblemen mogelijk met app[licaties] waardoor het voordeel ten opzichte van SMS in mijn ogen verwaarloosbaar is:
met een zelf gekozen inlognaam (dus niet je e-mail adres) en wachtwoord, en inlog geverifieerd met een SMS tekst bericht op een gewone telefoon is waarschijnlijk veilig genoeg.
Beetje de wappie mening is dat wel. In Belgie hebben ze dit al jaren dus wieweet komt het hier ook ooit wel.
Ok jouw mening maar ik durf er wel een weddenschap op te houden dat dit niet gaat gebeuren, ik blijf er bij dat wij allemaal aan de smartphone moeten om totale controle over de burgers. Maar ik wil deze weddenschap wel
verliezen om dat ik dit een goed idee vind en hier helemaal achter kan staan.
Door Anoniem: Gewoon als overheid hardware keys leveren aan hen die niet met dergelijke apps kunnen of willen werken, werkt (of kan werken) op ieder modern platform.
Nee. Voor je het weet kun je dan enkel nog online voordat je ingelogd bent met DigiD.Door Anoniem:
Bedoel je misschien nadat je ingelogd bent met DigID?Door Anoniem: Gewoon als overheid hardware keys leveren aan hen die niet met dergelijke apps kunnen of willen werken, werkt (of kan werken) op ieder modern platform.
Nee. Voor je het weet kun je dan enkel nog online voordat je ingelogd bent met DigiD.Door Anoniem: Terechte vragen, niet dat de Digid app niet veilig zou zijn maar er zijn inmiddels voldoende open authenticatie platformen beschikbaar. Waarom niet een open OTP standaard, Yubi key of een app die dit ondersteund....
Complex,slecht beheerbaar, kan gebackuped worden, een dubbel controle.Ik heb geen smartphone en ik zal de schade verhalen op de overheid als dit ooit werkelijkheid wordt. Welke idioot verzint het gebruik van smartphone van Amerikaanse bedrijven voor zaken die vallen onder de AVG?
Zorg gewoon dat je alternatieve apparaten beschikbaar hebt. Gratis natuurlijk, want het uitfaseren van sms is niet het idee van mensen zonder smartphone.
Zorg gewoon dat je alternatieve apparaten beschikbaar hebt. Gratis natuurlijk, want het uitfaseren van sms is niet het idee van mensen zonder smartphone.
Overheids-apps hebben vaak onaangename trekjes. Wat ik noch in het bericht, noch in de voorgaande reacties terugzie, is dat de DigiD-app weigert te werken met alternatieve browsers (DuckDuckGo in mijn geval). Ik ben zeer beslist niet van zins om, telkens als ik met DigiD wil inloggen, Safari terug te zetten als standaardbrowser
Een vergelijkbare ervaring heb ik opgedaan met de Corona-app, die in eerste instantie alleen maar een cryptische foutmelding produceerde. Het duurde een hele tijd voordat ik doorkreeg dat het aan mijn VPN lag; de corona-app bleek geen niet-Nederlandse IP-nummers te pruimen. De foutmeldingen zeiden daar niets over en bij de telefonische helpdesk – waar je ad infinitum in de wachtstand hangt voordat men je te woord staat, maar dat terzijde – wist men van toeten noch blazen.
Ik houd het er maar op dat de boven-ons-gestelden liever niet hebben dat wij ons internetgedrag onttrekken aan controle.
Solon Aquila
Een vergelijkbare ervaring heb ik opgedaan met de Corona-app, die in eerste instantie alleen maar een cryptische foutmelding produceerde. Het duurde een hele tijd voordat ik doorkreeg dat het aan mijn VPN lag; de corona-app bleek geen niet-Nederlandse IP-nummers te pruimen. De foutmeldingen zeiden daar niets over en bij de telefonische helpdesk – waar je ad infinitum in de wachtstand hangt voordat men je te woord staat, maar dat terzijde – wist men van toeten noch blazen.
Ik houd het er maar op dat de boven-ons-gestelden liever niet hebben dat wij ons internetgedrag onttrekken aan controle.
Solon Aquila
bedrijven ontzeggen je nu de mogelijkheid om te kunnen inloggen in je dossier , tenzij je verplicht een smartphone erbij gaat kopen waar je natuurlijk weer een Abbo voor nodig hebt (voel je m)
Dit is natuurlijk je reinste oplichterij en dat allemaal onder de valse vlag van veiligheid, het gaat om jouw gegevens, traceerbaarheid en marketing , nog even , of eigenlijk nu al moet je betalen om überhaupt te kunnen betalen en dat moet je nog normaal gaan vinden ook, ik ben gekke Gerrit niet.
kortom laat ze verplicht net als bij bijv de rabobank een apparaat verstrekken waardoor je veilig kan inloggen en dat niet op kosten van de consument te doen in de vorm van smartphone met welke bijkomende kosten dan ook.
ZIJ willen de zgn service(voor wat dat woord nog inhoudt) niet ik.
kortom je reinste maffiapraktijken, we gaan u beveiligen en owee als je daar niet mee akkoord gaat,dan heb je een probleem die je voorheen nooit had.
Dit is natuurlijk je reinste oplichterij en dat allemaal onder de valse vlag van veiligheid, het gaat om jouw gegevens, traceerbaarheid en marketing , nog even , of eigenlijk nu al moet je betalen om überhaupt te kunnen betalen en dat moet je nog normaal gaan vinden ook, ik ben gekke Gerrit niet.
kortom laat ze verplicht net als bij bijv de rabobank een apparaat verstrekken waardoor je veilig kan inloggen en dat niet op kosten van de consument te doen in de vorm van smartphone met welke bijkomende kosten dan ook.
ZIJ willen de zgn service(voor wat dat woord nog inhoudt) niet ik.
kortom je reinste maffiapraktijken, we gaan u beveiligen en owee als je daar niet mee akkoord gaat,dan heb je een probleem die je voorheen nooit had.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
