Door majortom: Dus mensen die geen vertrouwen hebben in de techbedrijven en derhalve geen account willen hebben worden gedwongen om iemand anders hiervoor te machtigen? Hoe onbetrouwbaar wil je dit gebeuren maken. Heeft de overheid soms aandelen Google en/of Apple?
Geen aandelen in die bedrijven, denk ik, maar ik vermoed wel last van denken in termen van marktaandeel, want dat doen veel Nederlanders.
De achtergrond van die gedachte is dit. Ik heb ooit, toen ik meeontwikkelde aan een grote webapplicatie, gemerkt dat er heel wat mensen zijn die het doel om zo'n groot mogelijk deel van de doelgroep te bereiken alleen maar weten in te vullen door naar marktaandelen te kijken. In die tijd gebruikte iets van 96% van de Nederlanders IE4, dus vonden deze mensen dat we voor IE4 moesten ontwikkelen. Ik kon om de paar maanden opnieuw aan deze mensen uitleggen dat er standaards bestonden en we ons richtten op de subset van die standaards die door alle belangrijke browsers werd ondersteund, zodat we niet 96% maar nagenoeg de volle 100% van het browsermarktaandeel dekten. En andere landen lieten zien dat de verhoudingen snel konden veranderen, in Duitsland bijvoorbeeld was Mozilla toen aan een spectaculaire opkomst bezig. Je wilt jezelf niet klem zetten door bij zo'n ontwikkeling opeens alles wat je gebouwd hebt anders te moeten maken om iedereen te kunnen blijven bedienen. Elke keer was mijn uitleg overtuigend, elke keer zag ik echt schellen van de ogen vallen, maar elke keer was het na een paar maanden toch weer vergeten. Volgens mij lag dat eraan dat het idee dat je via standaards 100% van de potentiële markt kan bedienen niet te verenigen was met hun gerichtheid op marktaandelen. Standaards zijn coöperatief, marktaandelen zijn competitief, het gaat om manieren van denken die lijnrecht tegenover elkaar staan en die velen kennelijk niet allebei vol kunnen houden.
En dus denkt dat slag mensen bij DigiD in termen van welke platforms men moet ondersteunen om zoveel mogelijk mensen te bereiken, en niet in termen van wat voor oplossing er nodig is om
iedereen met een internetverbinding te ondersteunen. Als je wel zo denkt streef je naar een oplossing die onafhankelijk is van wat de burger precies gebruikt om het internet mee op te gaan. En zo zou de overheid wel moeten denken, die moet er actief naar streven voor
alle burgers toegankelijk zijn.
Zo'n oplossing is trouwens ook nuttig voor mensen die wel een smartphone hebben, want dat levert een terugvalmogelijkheid voor als die smartphone een keer op een ongelegen moment kwijt of defect is.
Dit impliceert trouwens niet dat de gekozen oplossing puur op open standaards moet zijn gebaseerd. Banken laten inmiddels al zo'n twintig jaar zien dat met propriëtaire digipassen en tegenwoordig scanners sterke authenticatie en autorisatie te regelen is die geen andere eis aan de gebruikers stelt dan dat ze een webbrowser gebruiken die standaards redelijk ondersteunt. Als er een DigiD-scanner zou zijn zou ik die graag gebruiken, en ik vind het schandalig dat die, of iets anders dat op elk platform bruikbaar is, er niet is voor alle betrouwbaarheidsniveaus van DigiD.
Zorg er maar voor dat eea beschikbaar komt buiten de standaard play stores. Zorg er dan meteen even voor dat de trackers uit de app worden verwijderd.
Beschikbaarheid buiten de standaard play stores lost niet alles op omdat het nog steeds aan de platforms van een paar tech-reuzen gebonden is, het blijven apps voor smartphones.
Zorg er dan ook meteen even voor dat de DigiD IdP niet kan zien waar je de authenticatie voor gebruikt, zeker wanneer deze manier van authentiseren breder wordt toegepast. Daar was ooit een initiatief voor, maar dat is een stille dood gestorven.
DigiD kan zien bij welke dienst/instantie je inlogt. Dat kan niet anders, want die instantie moet geautoriseerd zijn om DigiD te gebruiken en je BSN te ontvangen. Als DigiD niet kan zien aan wie ze je BSN doorgeven hebben ze een gegevenslek en overtreden ze de AVG.
Maar DigiD kan niet zien wat je vervolgens bij die instantie doet. Het is niet zo dat DigiD in al die webservers en backend-systemen aanwezig is en daar kan meekijken met wat er gebeurt, en ook niet in apps op smartphones. De plaatjes op deze pagina laten zien wat er gebeurt:
https://www.logius.nl/domeinen/toegang/digid/documentatie/koppelvlakspecificatie-digid-saml-authenticatieBij gebruik van een webbrowser zie je dat de browser met de website van (laten we zeggen) je zorgverzekeraar praat. Als je inlogt via DigiD krijgt je browser een "redirect" naar de website van DigiD om daar in te loggen. Als dat goed gaat geeft DigiD een redirect terug naar de zorgverzekeraar (ook daarvoor moet DigiD dus weten bij wie je inlogt) en geeft daarbij een random, betekenisloos "artifact" mee, een stukje data. Vervolgens maakt de server van de Belastingdienst zelf verbinding met DigiD en gebruikt dat "artifact" om het eigenlijke authenticatiebericht op te halen, met daarin je DigiD. Die communicatie is versleuteld met PKI-overheid-certificaten voor beide partijen, zodat ze allebei weten dat ze met de juiste tegenpartij praten.
Bij gebruik van een smartphone-app in plaats van een browser gaat het op de servers van (bijvoorbeeld) je zorgverzekeraar en DigiD hetzelfde, maar op de smartphone gaat het iets anders. Daar is niet één programma (de webbrowser) die met beide servers praat, daar heeft iedere dienst zijn eigen app die dat doet. Wat bij de browser een "redirect" is is op de smartphone het doorgeven van een bericht naar de DigiD-app waarop die verbinding maakt met DigiD, en het terugsturen van een bericht naar de DigiD-app naar de (in dit voorbeeld) zorgverzekering-app waarin die "artifact" staat waarmee de server van de zorgverzekeraar vervolgens de authenticatiegegevens kan ophalen bij de DigiD-server.
Het zijn geen diep geïntegreerde applicaties geworden die alles van elkaar kunnen zien, het gaat om een paar doelgerichte berichten tussen de servers en op de smartphone tussen de apps, en dat zijn verder gescheiden werelden. En in de webbrowser kan na een redirect de nieuw geladen pagina niet grasduinen in de data van de vorige pagina, dat schermt de browser af.
DigiD kan dus wel zien bij welke instantie je inlogt, maar niet wat je daar vervolgens doet.
Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?
Uiteenlopende redenen. Niet aan de smartphone gaan doen mensen niet uitsluitend om privacyredenen, maar bijvoorbeeld ook omdat ze het allemaal te ingewikkeld vinden, of omdat ze een smartphone bijvoorbeeld te duur vinden. De redenen doen er niet toe, het is belangrijk dat er een substantieel aantal mensen is met DigiD maar zonder smartphone, maar ongeacht het aantal zou het een principe moeten zijn dat het werkt zonder eisen te stellen aan de hard- en software die de burger gebruikt om het internet mee om te gaan, los van dat die redelijk actuele webstandaardaards moet ondersteunen en dat beveilingsupdates worden bijgehouden.
De basisoplossing moet universeel bruikbaar zijn, apps voor specifieke platforms zijn extra's om het mensen makkelijker te maken, en die kan je al dan niet maken op basis van marktaandeel van die platforms. Dit zou een uitgangspunt moeten zijn waar niet van afgeweken wordt.