image

Logius: acht miljoen DigiD-gebruikers hebben ID-check aan app toegevoegd

maandag 18 september 2023, 13:40 door Redactie, 16 reacties
Laatst bijgewerkt: 18-09-2023, 13:49

Acht miljoen gebruikers van de DigiD-app hebben de ID-check toegevoegd, waardoor ze op een hoger betrouwbaarheidsniveau bij overheidsinstanties kunnen inloggen. Dat laat overheidsinstantie Logius vandaag bij de presentatie van de nieuwe versie van de app weten. DigiD biedt verschillende betrouwbaarheidsniveaus, die bepalen hoe zeker een organisatie kan zijn over de identiteit van de gebruiker.

Het basisniveau bestaat uit een gebruikersnaam met wachtwoord. Dan is het er het middenniveau waarbij de gebruiker kiest voor inloggen met de DigiD-app of voor een sms-controle. Als derde is er het substantiële niveau. Dit niveau is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Het kan dan bijvoorbeeld gaan om gegevens over de gezondheid. Om deze gegevens in te zien is er een eenmalige ID-check van de gebruiker nodig.

De DigiD-app kan worden opgewaardeerd naar het substantiële betrouwbaarheidsniveau. Hiervoor moet er eenmalig een extra controle (ID-check) van het paspoort, rijbewijs of identiteitskaart aan de app worden toegevoegd. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs. De gegevens worden vervolgens gecontroleerd bij de Rijksdienst voor Identiteitsgegevens of het rijbewijzenregister van de RDW.

DigiD slaat de gegevens niet op, maar registreert alleen dat de controle correct is uitgevoerd. De controle is eenmalig. Daarna is de DigiD-app geschikt om in te loggen bij de organisaties die deze extra zekerheid vereisen. Zo is het mogelijk om extra privacygevoelige gegevens in te zien of te wijzigen, zoals gezondheidsgegevens. Volgens Logius eisen steeds meer organisaties de ID-check tijdens het inloggen.

Nieuwe versie

De nieuwe versie van de DigiD-app biedt de optie om de ID-check over te slaan. "Tijdens een test bleek dat sommige mensen liever niet direct de ID-check uitvoeren tijdens het activeren van de app. Dit is een eenmalige scan van een identiteitsbewijs. Het is voortaan mogelijk om deze stap op een later moment alsnog te doen", aldus Logius.

Daarnaast hoeven gebruikers niet meer tijdens het activeren aan te geven dat ze standaard met tweefactorauthenticatie willen inloggen, maar kan dit ook op een later moment. Verder zijn verschillende processen in de app anders ingericht, wat het gebruik eenvoudiger voor gebruikers zou moeten maken.

Reacties (16)
18-09-2023, 14:12 door Anoniem
En nu nog laten werken zonder Google Play.... Dan kan ik hem ook gebruiken...

TheYOSH
18-09-2023, 14:30 door Anoniem
Nu nog een manier voor mensen die bewust de platforms van big tech-bedrijven vermijden om zonder restricties DigiD te kunnen gebruiken.
18-09-2023, 14:46 door Anoniem
Door Anoniem: Nu nog een manier voor mensen die bewust de platforms van big tech-bedrijven vermijden om zonder restricties DigiD te kunnen gebruiken.
heb je suggesties hiervoor?
18-09-2023, 14:59 door majortom
Door Anoniem:
Door Anoniem: Nu nog een manier voor mensen die bewust de platforms van big tech-bedrijven vermijden om zonder restricties DigiD te kunnen gebruiken.
heb je suggesties hiervoor?
Open source maken en in F-Droid store publiceren. Verder Google Play Services afhankelijkheid en trackers verwijderen.
18-09-2023, 15:48 door Anoniem
Door majortom:
Door Anoniem:
Door Anoniem: Nu nog een manier voor mensen die bewust de platforms van big tech-bedrijven vermijden om zonder restricties DigiD te kunnen gebruiken.
heb je suggesties hiervoor?
Open source maken en in F-Droid store publiceren. Verder Google Play Services afhankelijkheid en trackers verwijderen.

Om vervolgens malafide ports te krijgen in de F-Doid store wegens een falende check?
18-09-2023, 16:51 door Anoniem
12 miljoen downloads waarvan 8 miljoen de ID check hebben toegevoegd. En er zijn zo'n 12 miljoen Nederlanders tussen de 15 en 70 jaar oud. Kinderen onder de 15 en ouderen boven de 70 zullen zelden hun eigen zaken regelen (ja, er zijn altijd uitzonderingen maar die veranderen de cijfers niet veel). Praktisch de hele doelgroep is dus bereikt, de paar weigeraars zoals hierboven kunnen dus zonder veel problemen genegeerd worden.
18-09-2023, 17:13 door Anoniem
Door majortom: Open source maken en in F-Droid store publiceren. Verder Google Play Services afhankelijkheid en trackers verwijderen.
Niet alleen Google Play, Android zelf is een platform van een van de big tech-bedrijven. Dat vermijd je niet door een alternatieve app store te gebruiken, dat vermijd je door het in het geheel niet te gebruiken.

Door Anoniem:
Door Anoniem: Nu nog een manier voor mensen die bewust de platforms van big tech-bedrijven vermijden om zonder restricties DigiD te kunnen gebruiken.
heb je suggesties hiervoor?
Banken zijn het aan het afbouwen, maar hardware-tokens als digipassen en scanners maken weliswaar dat de overheid zelf aan een bepaalde hardwareleverancier vastzit, maar aan de platforms die de burgers gebruiken stelt het geen andere eis dan dat er een webbrowser op draait.

De overheid kan ook leveranciersonafhankelijk worden in dit opzicht als er een open standaard is, iets FIDO-achtigs, die volstaat voor de hogere (liefst hoogste) betrouwbaarheidsniveaus die de overheid hanteert. Dan kunnen verschillende leveranciers tokens leveren die aan die standaard voldoen, en de implementaties moeten dan natuurlijk gecertificeerd worden voor de overheid ze accepteert. Dit zouden landen samen moeten oppakken, de EU zou er bijvoorbeeld serieus werk van kunnen maken om zoiets te ontwikkelen, maar het kan veel groter dan alleen de EU zijn, dit is voor alle landen interessant. Ik neem even aan dat er niet al iets bestaat dat voldoet.

De overheid heeft beleid voor open standaards en open source, maar kennelijk zien ze zichzelf alleen maar als gebruiker van wat er toevallig voorhanden is en komen ze niet op het idee dat ze een actieve rol kunnen spelen in het ontwikkelen van open standaards waar de overheid de eisen voor bepaalt. In plaats daarvan lijkt het erop dat ze de implementatie de markt ingooien zodat er allerlei leveranciers het als dienst leveren waar je vast abonnementsgeld voor zal moeten betalen, en daartoe ongetwijfeld het liefst een app voor op de smartphone leveren zodat het de afhankelijkheid van de big tech-platforms niet helpt verminderen.
18-09-2023, 17:34 door Anoniem
Door Anoniem: En nu nog laten werken zonder Google Play.... Dan kan ik hem ook gebruiken.
Je kan hem downloaden met Aurora Store, maar hij werkt niet zonder Google Mobile Services (GMS). Hij reageert niet op de QR-code. Vroeger deed de app het wel zonder GMS. De overheid praat met hun mond wel steeds dat ze minder afhankelijk willen zijn van big tech, maar met hun acties doen ze het tegenovergestelde. Dit is daar een goed voorbeeld van.

Door Anoniem:
Door Anoniem: Nu nog een manier voor mensen die bewust de platforms van big tech-bedrijven vermijden om zonder restricties DigiD te kunnen gebruiken.
heb je suggesties hiervoor?
\
1. App op de website van DigiD zelf als download aanbieden. Of:
2. Een PWA maken naast de native app.
18-09-2023, 19:26 door Anoniem
Er is een android variant ZONDER google framework, play en de overige track en trace zooi.
Graphene OS, waarbij afscherming van applicatie verbeterd is.
Evt kun je googlezooi onder een apart account instaleren waarbij google een reguliere beperkte gebruiker is.

Ik durf te stellen dat er meer malware in de playstore staat dan op f-droid..., waarbij de playstore een blauwe ogen, vertrouw me... Verhaal is en f-droid grotendeels controleerbaar is.

Voor identificatie etc... Kijk eens naar Yivy.
FIDO sleutels zijn goed bruikbaar.
18-09-2023, 20:35 door Anoniem
Even terug... Waarom zou ik zo'n digid-app willen hebben? Laat maar.
19-09-2023, 00:18 door Anoniem
Hoeveel van die 8 miljoen zouden het volgende weten? https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest

Tot op de dag van vandaag heeft Logius nog altijd niet uitgelegd welke data en persoonsgegevens nu met Microsoft en Google gedeeld worden.
19-09-2023, 02:10 door Anoniem
Gebruik digid app niet en kan prima mijn zaken regelen zonder.
19-09-2023, 07:05 door Anoniem
Er is ook een optie om een NFC lezer aan je PC te hangen, dan omzeil je het hele telefoon gedoe. Dit wordt alleen bijna nergens gecommuniceerd. ook de tutorials op digid leiden naar dode pagina's etc.

super fijn allemaal :P

ga binnenkort dat eens proberen. want nee ik wil geen big tech in mijn burgerschap. dat zou ook niet moeten.

de deur uit met al dat verapp gedrag.


over alternatieven:

gewone 2factor voor inloggen zodat je keuze vrijheid hebt ipv al die speciale zooi...

en hoe veilig de 'app' ook is.. je BSN wordt door elke instantie 3 keer op een brief geprint zonder reden. allemaal smoke mirrors en doen alsof ze het voor jou doen..
19-09-2023, 09:57 door Anoniem
Door Anoniem: Er is een android variant ZONDER google framework, play en de overige track en trace zooi.
Graphene OS, waarbij afscherming van applicatie verbeterd is.
Evt kun je googlezooi onder een apart account instaleren waarbij google een reguliere beperkte gebruiker is.
Ik heb een poosje terug naar informatie over e/OS gekeken, wat ook een project is om Google uit Android te krijgen, en daar lijkt het erop dat precies de apps waarvoor ik me gedwongen zou voelen aan een smartphone te beginnen (DigiD, banken) net de apps zijn waarvan de kans groot is dat die niet werken op dat systeem, omdat die kennelijk afhankelijk zijn van features die niet zo makkelijk overeind zijn te houden als je Google uit het OS weert. Hoe zit dat met Graphene OS? Werkt dat probleemloos met DigiD en alle bank-apps?

Ik vind overigens dat sterke authenticatie het verdient om via een gespecialiseerd apparaatje te lopen waarop je geen andere apps kan installeren en wat ook geen complex besturingssysteem bevat om het combineren van al die apps op één apparaat te faciliteren. Dat is namelijk onvermijdelijk complex (al is die complexiteit grotendeels onzichtbaar voor de gebruiker), en complexiteit is de vijand van veiligheid. Ik zou graag een open standaard voor hardwaretokens zien die aan de hoogste beveiligingseisen van overheden, banken etc. voldoen, en dat allerlei bedrijven en instanties die standaard ondersteunen terwijl hardwarefabrikanten die apparaatjes maken. Je moet één apparaatje overal voor kunnen gebruiken.

Ik weet dat er zat mensen zijn die dat totaal zouden afwijzen omdat ze voor maximaal gemak gaan en daarom alles op hun smartphone willen. Enerzijds: prima, maak naast ondersteuning voor die hardwaretokens ook een app als je dat wilt faciliteren als bedrijf of overheidsinstantie; anderzijds: die mensen zijn verwende nesten. Veiligheid is niet gediend met gedachteloos gemak, veiligheid is gediend met zorgvuldigheid. Het zou vreselijk makkelijk zijn als je mocht autorijden zonder eerst een rijbewijs te halen, maar uit veiligheidsoverwegingen wordt niet aan die gemakzucht toegegeven en moet dat lastige rijbewijs toch. In de IT is de norm ontstaan om vol overgave alles op alles te zetten om gemakzucht en gedachteloosheid te faciliteren. Die neiging is wat mij betreft aan herziening toe.
19-09-2023, 12:27 door Anoniem
Door Anoniem: Tot op de dag van vandaag heeft Logius nog altijd niet uitgelegd welke data en persoonsgegevens nu met Microsoft en Google gedeeld worden.

Dat staat op de Privacyverklaring van de DigiD app en website vermeld: Er worden geen persoonsgegevens gedeeld.

https://www.digid.nl/over-digid/privacy/

Specifiek zijn Microsoft App Center-onderdelen nodig voor technische ondersteuning en monitoring van het functioneren van de app, waaronder informatie bij crashes van de app. Het Google Firebase-onderdeel is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit op het Google-platform. Hierbij worden geen persoonsgegevens naar Microsoft of Google verstuurd.

Onder de instellingen van de DigiD app kan men desgewenst het verzamelen van statistieken door DigiD uitschakelen.

Menu > Instellingen > Statistieken > [aan] of [uit]
19-09-2023, 14:24 door Anoniem
Door Anoniem: Ik heb een poosje terug naar informatie over e/OS gekeken, wat ook een project is om Google uit Android te krijgen, en daar lijkt het erop dat precies de apps waarvoor ik me gedwongen zou voelen aan een smartphone te beginnen (DigiD, banken) net de apps zijn waarvan de kans groot is dat die niet werken op dat systeem, omdat die kennelijk afhankelijk zijn van features die niet zo makkelijk overeind zijn te houden als je Google uit het OS weert.

DigiD werkt onder /e/OS zolang je de DigiD app en de bezochte website op een en hetzelfde apparaat gebruikt. Wat (nog) niet werkt, is het gebruik van een koppelcode voor het uitlezen van de getoonde QR-code op een ander apparaat.

De Rabo en ING bank apps werken onder /e/OS. Daarvoor wordt microG gebruikt met het SafetyNet van Google. De App Lounge verkrijgt de apps rechtstreeks vanuit de Google Play store. Dat kan ook 'anoniem', zonder Google account.

https://www.security.nl/posting/809868#posting810741


Hoe zit dat met Graphene OS? Werkt dat probleemloos met DigiD en alle bank-apps?

DigiD en bankieren werken onder GrapheneOS alleen als je Google services installeert.

https://grapheneos.org/usage#banking-apps

Ik vind overigens dat sterke authenticatie het verdient om via een gespecialiseerd apparaatje te lopen waarop je geen andere apps kan installeren en wat ook geen complex besturingssysteem bevat om het combineren van al die apps op één apparaat te faciliteren.

Losse hardwaretokens: de meeste banken hebben die (nog) wel. Voor DigiD zou misschien het beste zijn, maar dat gaat (voorlopig) niet gebeuren, en dat is niet alleen vanwege de Hollandse koopmansgeest en zuinigheid. Want er is nog een ander probleem: menig Windows PC thuis is domweg niet veilig genoeg, omdat het desktop model zwaar verouderd is.

The desktop security model is very broken. It was not designed with security in mind — security was only a poorly implemented afterthought. However, there are some operating systems that are less bad in this regard. If you can, stay away from desktop and stick to mobile devices.

https://madaidans-insecurities.github.io/security-privacy-advice.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.