Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » E-commerce » Thuiswinkel.org wil DigiD uitbreiden voor webwinkels

Thuiswinkel.org wil DigiD uitbreiden voor webwinkels

Door Olaf van Miltenburg, donderdag 16 juni 2011 18:07, views: 18.942

Overheidsvoorzieningen als DigiD en eHerkenning zouden ook bruikbaar moeten zijn bij online winkelen, vindt belangenbehartiger Thuiswinkel.org. De overheid zou zo snel mogelijk moeten beginnen met een pilot voor identificatie op leeftijd.

Thuiswinkel.org, een belangenbehartiger voor webwinkels met onder andere een eigen keurmerk, heeft onderzoek gedaan naar online identiteitsdiensten. De organisatie komt tot de conclusie dat de overheid met zijn webdiensten vergelijkbare eisen als webwinkeliers heeft, op het gebied van veiligheid en kwaliteit. "In real life is de overheid verantwoordelijk voor het verstrekken van persoonsdocumenten. Online ligt hier ook een rol", meent de belangenbehartiger.

Niet alleen zou de overheid DigiD en eHerkenning moeten uitbreiden met andere persoonsgegevens, zoals internetprofielen, mobiele nummers en bankpassen, ook vindt Thuiswinkel.org dat genoemde overheidsdiensten bruikbaar moeten zijn 'in het private domein van webwinkelen'. Dit zou via gecertificeerde dienstverleners moeten verlopen.

Als eerste zou begonnen kunnen worden met een leeftijdcheck, luidt het voorstel. "Er zijn veel online identiteitsdiensten, maar geen enkele levert een wettelijk geldige leeftijdcheck op. De overheid kan hierin helpen met een pilot", zegt Wijnand Jongen van Thuiswinkel.org. Volgens Jongen willen webwinkels bijvoorbeeld ook kunnen voldoen aan de identificatieplicht bij de verkoop van alcohol en games.

Als webwinkels gebruik kunnen maken van geverifieerde gegevens van klanten zou dit onder andere betalings- en leveringsfraude kunnen voorkomen. De kans is echter klein dat de overheid DigiD en andere eigen diensten toegankelijk maakt voor derde partijen: de wet verbiedt dit.

Volgende 18:59 Microsoft brengt bèta van Kinect-sdk uit
Vorige 16:54 Adobe staakt AIR-ondersteuning voor Linux-desktops
Advertentie

Categorieën

Lees meer over

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 146 reacties zichtbaar1460 Off-topic / Irrelevant: 141 reacties zichtbaar141+1 On-topic: 111 reacties zichtbaar111+2 Informatief: 19 reacties zichtbaar19+3 Spotlight: 2 reacties zichtbaar2
«  1  2  3  4  5  »

Door nXXt, donderdag 16 juni 2011 18:12

Score: 1
Logisch dat de wet dit verbiedt: het brengt immers de nodige veiligheidsrisico's met zich mee, evenals potentiële privacyproblematiek. Denk bijvoorbeeld aan producten die aan een leeftijdcheck gebonden zouden zijn. Hierbij zou er dus een bedrijf of instelling zijn die de persoonsgegevens kan verbinden aan het klantschap bij een webwinkel.

Door Snow_King, donderdag 16 juni 2011 18:34

Score: 1
Het ligt er heel erg aan hoe je met die gegevens om gaat.

Als het simpel een query is: Hoe oud is persoon X? DigiD antwoord: 17

Uiteraard komt dit antwoord er pas wanneer jij zelf succesvol hebt ingelogt met DigiD.

Zelf zie ik er meer in dat de overheid een OpenID systeem opzet in de private sector, dan kan je als bedrijf op een gemakkelijke manier verifieëren wie iemand is.

Door Mathijs, vrijdag 17 juni 2011 00:37

Score: 1
Als ik zo eens naar de tendens kijk, moet er dan meteen weer een database gemaakt worden door de overheid mbt wie wat waar gekocht heeft.
Dergelijke systemen geven altijd weer macht aan bepaalde mensen, hoe goed het in eerste instantie ook bedoeld was.
Als de overheid het doet ligt die macht bij de overheid, doet de private sector het dan is het weer een goudmijn aan data tbv reclame op maat.
Ik vind er dus teveel haken en ogen aan zitten.

Door Roland684, vrijdag 17 juni 2011 10:14

Score: 2
En toch is dat heel gevaarlijk, zelfs als het op een manier gedaan wordt zoals ideal, waarbij de webshop niets van de bankrekening van de klant hoeft te weten, behalve dat er betaald is.

Als je voor elk wissewasje je digid moet opgeven, worden mensen onverschillig en wordt het zelfs voor de oplettende gebruiker ondoenlijk om elke keer te controleren of het niet om een malafiede verzoek gaat.

Dan krijg je weer phishing activiteiten en in dit geval is dat dan meteen identiteitsfraude.

Bovendien: Een webshop stuurt zijn waren toch zeker naar een postadres? om een adres te hebben zul je meerderjarig moeten zijn (of toestemming moeten hebben van ouder/voogd), dus ligt de controle van wat er met dat postadres gebeurd gewoon bij de eigenaar van dat adres (of de ouder/voogd).

Door bartvb, donderdag 16 juni 2011 18:41

Score: 2
In theorie is dit probleem prima op te lossen. Het enige dat zo'n leeftijdcheck van de overheid terug hoeft te melden is 'deze gebruiker heeft via digid aangetoond dat hij/zij ouder is dan 16'. Met welk digid precies en wie dan exact die gebruiker is, dat is helemaal niet relevant (behalve als je dan b.v. ook een game op wilt sturen).

Op zich zou dat geen slecht iets zijn, probleem is dat het daar dan niet bij ophoudt. Er komen dan ongetwijfeld ook diensten die veel en veel verder gaan dan een simpele leeftijdcheck. Ander probleem is dat de aanbieder de identiteit niet doorkrijgt maar de overheid ziet wel bij welke shops jij iets hebt gedaan waarvoor een leeftijdcheck nodig is. Dat zijn beide dingen waar ik niet bepaald op zit te wachten.

Door miw, donderdag 16 juni 2011 20:27

Score: 2
Een winkelkeur zou er beter aan doen zich in te zetten voor betere webwinkels met betere dienstverlening naar hun klanten dan te lobbyen voor een oplossing van een tamelijk onzinnig probleem. Verificatie van leeftijd van kopers is slecht in een aantal gevallen wettelijk verplicht en juist die producten zijn niet zo geschikt voor verkoop via internet. Zelfs als het systeem zou werken is er vast wel redelijk eenvoudig te omzeilen via een een oudere vriend of iets dergelijks.

Door MSalters, donderdag 16 juni 2011 21:00

Score: 1
Mwah, we hebben recent zelfs een heel nieuw top-level domein gekregen voor de verkoop van diensten die niet bestemd zijn voor minderjarigen.

En iedereen snapt dat de wet te overtreden is. Geldt voor de meeste wetten, anders hadden we geen rechters nodig gehad.

Door SizzLorr, donderdag 16 juni 2011 22:46

Score: 2
Opzicht ben ik het met je eens, dingen als alcohol en sigaretten moet je niet op afstand verkopen, dat doe je in een winkel waar een persoon kan evalueren of de persoon wel oud genoeg is.

Maar dan zijn er ook dingen als films en games welke ook onderhevig zijn aan een leeftijdscheck. Bij de verkoop van deze producten heeft de winkelier de plicht om na te gaan of de koper wel oud genoeg is.

Nederland is een van de weinigen landen waarbij de PEGI en Kijkwijzer classificaties ook een wettelijk draagvlak hebben.

http://blog.iusmentis.com...ellen-toch-wel-verplicht/

Dit houd dus in dat alle online retailers de plicht hebben om na te gaan of de koper oud genoeg is om het product aan te schaffen. Grote online retailers (zoals bol.com) kunnen dus hun hele 16+ inventaris opdoeken.

Persoonlijk vindt ik het idee van een nationaal digitaal ID maar akelig. De techniek is lang niet zo ver dat dit veilig en betrouwbaar ingevoerd kan worden. De beweeg reden van de stichting vindt ik ook onzin, je gaat een dergelijk systeem niet invoeren alleen omdat het online retailers baat. Een dergelijk systeem voer je pas in als er een maatschappelijk belang aan hangt.

Ik vindt trouwens ook dat de rol van de ouders heel snel wordt vergeten in deze kwestie. Dat Jantje op zolder een gewelddadige film aan het kijken is, is natuurlijk iets waar de ouders ook iets aan moeten doen.

Door ajakkes, vrijdag 17 juni 2011 09:21

Score: 1
Jantje van 14 is ook wel eens alleen thuis. En wat Jantje dan doet valt lastig te controleren. Ik ben het met je eens dat een groot deel van de verantwoordelijkheid bij de ouders ligt.

Maar het is natuurlijk wel een beetje vreemd dat Jantje om de hoek geen film kan kopen waar een beetje in gevloekt wordt en op internet de hele 18+ afdeling leeg kan kopen zonder dat iemand iets zegt.

En waarom drank en sigaretten niet via internet verkocht zouden kunnen worden snap ik ook niet helemaal. bij ah.nl kan ik volgens mij zonder problemen drank en sigaretten bestellen. Wordt in mijn keuken afgeleverd. (Roken wordt dan wel een dure hobby met die bezorgkosten).

Vergeet niet dat we in Nederland stimuleren dat beide ouders werken. En het nu vakantie is voor de kinderen. Het komt dus allemaal neer op opvoeden met vertrouwen.

Door Ruliz, vrijdag 17 juni 2011 09:33

Score: 1
Bijna geheel met je eens, behalve met je eerste punt. In een winkel moet een verkoper evalueren of iemand wel oud genoeg is; daar sluipt gemakkelijk een fout in (gekopieerd ID-bewijs, vergeten te vragen, persoon zag er oud genoeg uit, etc.). Juist een systeem is geheel objectief.

De ouders hebben hier trouwens inderdaad een verantwoordelijkheid in, alhoewel dat in de praktijk misschien niet altijd gebeurt.

Door SizzLorr, vrijdag 17 juni 2011 11:17

Score: 1
ID's namaken met een kopie was iets van de jaren 70, met de ID's van tegenwoordig gaat dat niet meer zo makkelijk. Je kan aan de persoon al zien welke leeftijdcategorie hij/zij zit, als je 15 bent kun je er wel wat volwassener uit zien maar zoveel scheelt dat niet. Als een persoon in de buurt of in een bepaalde leeftijdscategorie zit dan vraag je automatische naar ID. Wij hebben een sigarettenautomaat in de zaak hangen en hierdoor weet ik dat.

Het systeem is natuurlijk niet 100% en dat je 1 pakje hebt verkocht aan iemand die er wat ouder uitziet daar zul je ook niet zo snel problemen mee krijgen. Als je het systematische gaat doen dan gaat het vroeg of laat wel fout.

Door Rockvee2, vrijdag 17 juni 2011 16:20

Score: 0
Maar de meeste verkopers (die ik tegenkom) vragen wel om mijn ID bewijs, ik lijk 17/18 maar ben in werkelijkheid 21 jaar als ik 18+ dingen koop zoals Drank . :)

Door ElectroDonker, donderdag 16 juni 2011 18:13

Score: 1
Dit dus: "De kans is echter klein dat de overheid DigiD en andere eigen diensten toegankelijk maakt voor derde partijen: de wet verbiedt dit". En met goede reden, houdt overheid en commercie lekker gescheiden. Ik denk niet dat ik de overheid, haar IT-projecten kennende, zal vertrouwen met al mijn (betaal-)gegevens.

Door CherandarGuard, donderdag 16 juni 2011 18:14

Score: 1
En andersom, ik zou niet willen dat commerciële instellingen toegang zouden hebben tot mijn persoonsgegevens.

Door Darkstriker, donderdag 16 juni 2011 20:28

Score: 1
Dit zou ik inderdaad ook een veel groter probleem vinden. Ik wil niet dat een webshop mij aan mijn DigID kan linken.
Gelukkig mag dat niet. Ik hoop dat het dan ook gewoon niet wordt gedaan!

Door wauwwie, vrijdag 17 juni 2011 09:35

Score: 2
Als DigiD alleen gebruikt wordt voor authenticatie, dan vind ik het een goed idee.
Na authenticatie geeft DigiD alleen meer een token terug, eventueel met aanvullende info zoals 18+. Dan weet de website nog steeds niet wie je bent, maar wel dat je 18+ bent.

De vraag is welke waarden dan bij de authenticatie bekend gemaakt moeten worden.

Door Dostar, vrijdag 17 juni 2011 09:47

Score: 1
Erger nog, stel een lulzsec heeft ineens zin zo'n bedrijf te hacken... dan zijn al helemaal je persoonsgegevens bekend voor jan en alle man

Door Gwaihir, donderdag 16 juni 2011 19:49

Score: 1
De belastingdienst en gemeente weten je rekeningnummer echt al wel..

Het artikel is niet enorm overtuigend geschreven, maar ik ben het er wel helemaal mee eens. Als consument wil ik juist op een betrouwbare manier gegevens kunnen verstrekken en kunnen ondertekenen op tal van sites. Off-line kan ik mijn handtekening zetten en paspoort laten zien - een overheidsdocument. Online bestaan dergelijke systemen al wel, zoals OpenID, maar missen ze dezelfde status en breed gebruik, juist omdat er geen overheid achter staat.

De overheid is bij uitstek de aangewezen partij om je authenticatie te regelen. Uiteraard moet je in zo'n systeem zelf voor elke partij exact aan kunnen geven welke gegevens ze mogen inzien. En het gemak van niet telkens meer NAW in te hoeven vullen, maar slechts het akkoord knopje drukken "yep, NAW mogen ze weten", heerlijk :).

Door Xubby, donderdag 16 juni 2011 20:18

Score: 2
Het enige dat ik met een willekeurige winkel wil is twee dingen:
- een artikel ruilen voor:
- geld. (en dit laatste hoeft van mij niet eens persé ;) )

En de rest van mijn persoonlijke data gaat winkels helemaal niks aan.
Iemands leeftijd is in de praktijk nauwelijks van belang: een willekeurige tiener kan alles in elke winkel kopen. Op grofweg twee dingen na, denk ik:

- alcohol
- "adult content"

En voor beide groepen ben in niet bereid ook maar de geringste hoeveelheid persoonlijke data af te staan.

Een "overheids-account-inlog" is dan ook volstrekt uit den boze, wat mij betreft, bij particuliere bedrijven, van welke aard dan ook.

Door MSalters, donderdag 16 juni 2011 21:03

Score: 1
Een tiener is niet volwassen en mag alleen zelfstandig aankopen doen die bij zijn leeftijd passen. Auto's, huizen, etcetera - de lijst is vrijwel oneindig. Zelfs een brommer is niet vanzelfsprekend; een 17 jarige mag dat wel, maar met 15 is het een ander verhaal.

Door Xubby, donderdag 16 juni 2011 21:10

Score: 1
Een aantal van deze aankopen levert "geen problemen" op in een bakstenen of internet winkel, want de tiener heeft niet zomaar zelf, "contant" geld op zak voor b.v. een brommer, huis etc.
En zodra je moet lenen, komen er toch wel allerlei persoonlijke gegevens als inkomen, naam, leeftijd enz. boven water, op officiële (legitimatie pasje) wijze.

Door digistamremco, donderdag 16 juni 2011 21:16

Score: 1
Een 17 jarige mag brommer rijden maar geen brommer kopen hoor. Daarvoor moet je nog steeds meerderjarig zijn, zoals in principe voor iedere aankoop.

Door johncheese002, vrijdag 17 juni 2011 00:31

Score: 0
Waarom zou je daar meerderjarig voor moeten zijn :?
Het is toch geen verboden goed, een brommer?
Dat je er een rijbewijs voor nodig hebt, OK- maar zonder rijbewijs mag je ook gewoon een auto kopen, ook als 17-jarige (en dan geschorst op eigen erf laten zetten.)
Eigendom, een verbod erop en bevoegd zijn, daar zit een wereld van verschil tussen ;)

Door humbug, vrijdag 17 juni 2011 03:36

Score: 1
Dit is natuurlijk onzin. Minderjarigen kunnen natuurlijk wel eens domme dingen doen en worden dus tegen die fouten in bescherming genomen, maar als een kind van 8 een winkel binnen loopt mag hij gewoon een ijsje kopen en kun je als ouder/voogd hoog en laag springen maar die transactie kun je niet meer terugdraaien. Als een 17 jarige een brommer koopt is dat ook gewoon een bindende transactie.

Door Zer0, donderdag 16 juni 2011 21:23

Score: 1
En de rest van mijn persoonlijke data gaat winkels helemaal niks aan.
Ah, zodra je betaald hebt mag de winkel het product dus aan een willekeurig persoon toe sturen op een willekeurig adres?
Voor een goede afhandeling hebben ze toch een aantal persoonlijke gegevens nodig, en ik kan me best voorstellen dat winkels wat meer zekerheid over haar klanten wil hebben, tenslotte zijn die over het algemeen net zo betrouwbaar als bedrijven en overheden zo vaak toegeschreven wordt.

Door Xubby, donderdag 16 juni 2011 22:00

Score: 1
Meestal vragen internetwinkel eerst te betalen. Verkooporder nr: xyz, waar je je naam adres enz. op heb ingevuld.

Dus ik begrijp niet echt wat het probleem is ...
Een internet winkel zal het (denk ik) worst zijn dat je vanaf een "malafide" bankrekening of zo betaald en het naar een "fout adres" laat sturen.

Hij wil zijn geld, en een verzendadres. En beide heeft ie dan echt wel ...

Door Respawner, vrijdag 17 juni 2011 15:38

Score: 1
Heb je het artikel wel gelezen?

Thuiswinkel.org, een belangenbehartiger voor webwinkels met onder andere een eigen keurmerk.

Dus kennelijk willen webwinkels dit

Door locke960, donderdag 16 juni 2011 20:50

Score: 2
Het idee heeft ongetwijfeld de positieve kanten zoals jij die noemt, maar de negatieve kanten wegen wat mij betreft veel zwaarder. :

Ik vind het helemaal geen goed idee dat de overheid allemaal gegevens over mij bijhoudt in een centrale database. Daar zitten gegevens bij waar de overheid niets mee te maken heeft.

Het gebruik van die database voor authenticatie levert de overheid nog veel meer informatie op waar ze niks mee te maken hebben.
(Hallo DigiD, hier sletjes.nl. Kun je even bevestigen dat DigiD gebruiker Locke960 ouder is dan 18 ?)

Je wordt in elke administratie, van elk bedrijf of instelling, met je DigiD identificatie geregistreerd. Dat maakt het wel erg makkelijk om gegevens uit diverse gestolen databases aan elkaar te koppelen.

De lusten zijn voor de online winkels in de vorm van minder kans op fraude, maar de lasten voor de burger in de vorm van een hoger risico bij identiteit diefstal omdat al zijn eieren in een DigiD mandje liggen. Als een paspoort gestolen wordt dan kan de dief er niet zoveel mee zonder er eerst me te knoeien. Met een gecompromitteerd DigiD account kan de dief gelijk heel veel.

etc, etc. Er zijn dus goede redenen waarom de wet dit verbied.

Door Soepstengel, donderdag 16 juni 2011 23:14

Score: 1
In dat geval moeten er gewoon duidelijk regels worden gemaakt om die gegevens opslag aan banden te leggen of minimale eisen stellen aan de veiligheid van die opslag. Eerlijk is eerlijk, ik ben ook niet echt overtuigd van de expertise betreft de veiligheid van persoon gegevens opslag door de overheid, maar om dan maar gelijk elke idee van tafel af te schuiven is natuurlijk ook niet de manier.

Waar ik bij dit bericht aan dacht is eindelijk een manier voor verkopers om zekerheid te krijgen betreft de gegevens die kopers invullen via internet. Internet fraude is makkelijk te plegen, hellemaal omdat je ontzettend makkelijk een andere identiteit aan kan meten via internet. Met een DigiD verificatie weet de verkoper meteen met wie die te maken heeft, en is de kans op fraude een heel stuk kleiner. Op die manier is dan ook eindelijk de weg eens vrij om aankopen via internet te doen zonder dat je vooraf wat moet betalen! In de winkel pak je een product, inspecteert de kwaliteit voor de aankoop en als dat goed is koop je dat product, via internet is dat niet mogelijk. Via de wet is nu dan wel geregeld dat je binnen 14 dagen het product terug kan sturen en je dan je geld terug moet krijgen van de verkoper, maar dat duurt (in de meest extreme gevallen) ook weer 14 dagen voordat je eindelijk weer eens je geld terug krijgt.

Waar ik ook aan zat te denken om goed kenbaar te maken welke gegevens je deelt met zo'n verkoper, is een facebook achtig schermpje waarin duidelijk vermeld staat welke gegevens er met de verkoper wordt gedeeld, eventueel met een advies van de overheid of zo'n winkel die gegevens wel nodig heeft ja of nee.

Het idee is goed mits het gebruik ervan met duidelijk regels en voorschriften wordt beperkt.

Door Thrackan, vrijdag 17 juni 2011 09:15

Score: 0
Nou, de belastingdienst heeft er toch elke keer weer moeite mee om mijn rekeningnummer te onthouden...

Door Freee!!, vrijdag 17 juni 2011 08:17

Score: 1
Dan vraag ik mij af waarom ik bij mijn verzekeringsmaatschappij mij wel via DigiD kan identificeren :?

Door k-arel, vrijdag 17 juni 2011 09:01

Score: 1
Je bent je volgens de wet verplicht te verzekeren, misschien daarom?

Door Freee!!, vrijdag 17 juni 2011 11:42

Score: 0
Volledig waar, maar zelfs dan nog vind ik het vaag dat een commerciële partij met overheidsgegevens werkt.

Door AMD1800, donderdag 16 juni 2011 18:14

Score: 1
Zodat de regering precies weet wat je koopt. Oh wacht, dat konden ze natuurlijk al als je het liet afschrijven.

Maar hoe zit het dan wat betreft de uitvoering voor mensen die niet de Nederlandse identiteit hebben? Die kunnen toch wel blijven bestellen?

Plus is wel dat ze gebruik willen maken van een bestaand iets en het willen uitbreiden, ipv iets aparts zoals de wietpas.

Door stheide, zondag 19 juni 2011 16:26

Score: 1
"Zodat de regering precies weet wat je koopt. Oh wacht, dat konden ze natuurlijk al als je het liet afschrijven. "

als je iets via rembours besteld dan dus niet, maar met zo'n systeem wel weer...

(laten we dan trouwens ook hopen dat de gemeenten ook wat vlotter zijn met het bijwerken van hun administratie, want anders worden al die 18+ dvd's nog lange tijd afgeleverd op het vorige adres :P )

Door Defspace, donderdag 16 juni 2011 18:14

Score: 1
Als consument lijkt me dit zeer onwenselijk. Als ze een identificatie in het leven willen roepen dan doen ze dat maar op eigen beweging en op vrijwillige basis (zoals de bonuskaart van de albert heijn).

@Arpagiator
Nou ik niet, ik ben tegen dat soort discriminatie en noem me ouderwets maar ik leg de verantwoordelijkheid voor een kind volledig bij de ouders.

[Reactie gewijzigd door Defspace op donderdag 16 juni 2011 18:27]

Door Arpagiator, donderdag 16 juni 2011 18:18

Score: 1
Weet ik niet hoor... ik zou het wel goed vinden als een online indentificatie plicht ingezet wordt op alleen de artikelen waarbij een leeftijds grens aan verbonden zit.. bijv. sommige spellen..

..wordt wel waardeloos als je een onschuldige trui van dezelfde winkel wil bestellen en je verplicht bent je digID gegevens in te vullen >.>

Door ari, donderdag 16 juni 2011 18:23

Score: 2
Het idee is goed, de praktische uitwerking onmogelijk zonder enorme veiligheids- en privacy-risico's. Je voert tenslotte wel je gebruikersnaam en wachtwoord in voor de diensten waarmee je je tegenover de overheid identificeert... hoeveel zou zo'n lijst opleveren in het zwarte circuit?

Terecht dat dit niet wordt uitbesteed, Thuiswinkel.org blaat over iets waar ze niet goed over nagedacht hebben.

Door JP1980, donderdag 16 juni 2011 18:30

Score: 1
Je mag wel aannemen dat je een redirect krijgt naar de website van de overheid waar je wachtwoord opgegeven moet worden. Net zoals dat nu werkt met bijvoorbeeld betalingen, je pincode hoef je ook niet op de webshop in te vullen. Het brengt wel risico's met zich mee mbt oplichting dat een website zich net voordoet als de website van de overheid zoals je nu al veel ziet met banken.

Door Cheatah, donderdag 16 juni 2011 18:36

Score: 2
Je bedoelt dat je er zelf niet zo goed over hebt nagedacht.

Stel er komt een systeem waarbij tijdens het bestelproces wordt doorverwezen naar een pagina (niet in beheer van de webshop maar van de overheid) waarop jij je moet identificeren door in te loggen met DigiD. En de enige informatie die vervolgens naar de webshop wordt doorgegeven is of je wel of niet ouder bent dan 18 jaar. Wat is dan precies het extra beveiligingsrisico voor je overige gegevens?

Er zijn tal van manieren om een webshop via DigiD iets meer informatie te geven over een klant, zonder meteen alle informatie te hoeven geven. Zeker als je bij na het inloggen op DigiD een vraag krijgt als:

Webwinkel AppieOnline, KvK 01020304 heeft verzocht uw leeftijd te controleren omdat u een product hebt besteld dat is bedoeld voor volwassenen. Als u op "Akkoord" klikt, geven wij de informatie door dat u ouder bent dan 18 jaar. Als u op "Annuleren" klikt wordt er geen informatie doorgegeven aan de webwinkel. [Akkoord] [Annuleren].

Zo kun je verschillende gradaties van toegang maken, zoals toegang niet alleen tot leeftijdscategorieën naar ook tot gegevens als de exacte leeftijd/geboortedatum, of iemand een vaste baan heeft (indien bekend) etcetera. De mogelijkheden zijn eindeloos. Zolang je dan maar als eindgebruiker te zien krijgt welke informatie je precies deelt.

Zo onmogelijk is dat niet.

Door ghost017a, donderdag 16 juni 2011 18:45

Score: 0
Dit is precies wat mij ook te binnen schoot. De risico's lijken mij zo miniem.

Door stresstak, vrijdag 17 juni 2011 15:59

Score: 1
Dit is precies wat mij ook te binnen schoot. De risico's lijken mij zo miniem.
Het venijn zit in het woordje 'lijken'. Als het om private gegevens en geld gaat, blijken er altijd mensen te zijn die er misbruik van gaan maken. Geld uit de muur leek ook veilig en betalen per pinpas ook. En tegeswoordigs hebben we dus skimmers.

De gevaren zijn er nu wellicht nog niet maar mijn overheids-id en winkels of andere particulieren vind ik geen prettige combinatie.

Door CAPSLOCK2000, donderdag 16 juni 2011 19:31

Score: 1
Stel er komt een systeem waarbij tijdens het bestelproces wordt doorverwezen naar een pagina (niet in beheer van de webshop maar van de overheid) waarop jij je moet identificeren door in te loggen met DigiD. En de enige informatie die vervolgens naar de webshop wordt doorgegeven is of je wel of niet ouder bent dan 18 jaar. Wat is dan precies het extra beveiligingsrisico voor je overige gegevens?
Het probleem is dat je uberhaupt je DigiD gegevens gebruikt. Als iemand nu om mijn DigiD vraagt gaat er een grote alarmbel rinkelen. Alleen de overheid heeft er iets aan. Buiten belastingtijd ligt mijn DigiD veilig achter slot en grendel.

Als je zo'n account vaak nodig hebt dan gaat het vervelende bij-effecten krijgen. Half Nederland heeft dan z'n DigiD inloggegevens op een briefje naast z'n pc liggen of in z'n password-manager. Wanneer de zoveelste website om je DigiD vraagt zullen veel mensen geneigd zijn om het dan maar te geven. Dat je eerst moet redirecten is iets dat alleen Tweakers snappen.

Overigens vind ik het een prima idee om de overheid in te schakelen voor identificatie, maar dan wel graag los van mijn DigiD.

Door Cheatah, donderdag 16 juni 2011 20:01

Score: 1
@CAPSLOCK2000
In hoeverre verschilt het van de vraag of je in de supermarkt bij de kassa je identiteitskaart moet laten zien om te kunnen tonen dat je oud genoeg bent om alcohol te mogen kopen? Het enige wat belangrijk is is dat de winkel vast moet stellen is dat de identiteitskaart bij jou hoort en dat je leeftijd ervan is af te leiden. Dat is in feite meer informatie dan strict nodig is, want ze weten daarna je naam en geboortedatum. Dat zouden ze niet weten als je een door de overheid gewaarmerkte pas zou meenemen met daarop je foto en de melding "deze persoon is oud genoeg om alcohol te mogen kopen".

Je hebt wel gelijk wat betreft gemakszucht, dat is een directe bedreiging voor veiligheid. Dat geldt zo ongeveer overal en altijd.

Door stresstak, vrijdag 17 juni 2011 16:04

Score: 1
In hoeverre verschilt het van de vraag of je in de supermarkt bij de kassa je identiteitskaart moet laten zien om te kunnen tonen dat je oud genoeg bent om alcohol te mogen kopen? Dat is in feite meer informatie dan strict nodig is, want ze weten daarna je naam en geboortedatum.
> ze weten je naam en geboortdatum < is wel erg sterk. Als ik het kassameisje de id-pas laat zien, knikt zij ja. En vergeet het direct weer. er wordt daarvan niks genoteerd en ik heb direct contact met de ander. Via de pc moet je maar hopen dat het inderdaad het kassameisje is die het vraagt en dat zij niks noteert, onthoudt of opslaat voor later.

Door CAPSLOCK2000, vrijdag 17 juni 2011 17:27

Score: 1
Ik ben ook tegen de identificatieplicht. Doordat iedereen nu met z'n pas op zak loopt is identiteitsfraude een stuk makkelijker geworden. Bij iedere tasjesroof wordt er ook een paspoort gejat.
Nu iedereen zo'n kaart bij zich heeft beginnen winkeliers er ook om te vragen waardoor het steeds vanzelfsprekender wordt om het ding ook te laten zien. Het wordt dus steeds makkelijker om dingen als mijn geboortedatum, geboorteplaats, paspoortnummer of BSN te achterhalen. Als je toegang hebt tot die gegevens kun je veel gedaan krijgen.

Door poepkop, donderdag 16 juni 2011 19:32

Score: 1
Ja, maar waarom zo'n drempel op werpen als je nu ook al bier kan bestellen bij Albert?

Door doctormetal, donderdag 16 juni 2011 19:43

Score: 1
Wat jij hier beschrijft bestaat al, namelijk OAuth. Origineel ontwikkeld door Twitter en naast twitter veel gebruikt door o.a. Facebook en Linkedin.

Door blissard, donderdag 16 juni 2011 18:52

Score: 1
@ defspace, Dat is niet ouderwetsch, maar juist nieuwerwets. De verantwoordelijkheid voor kinderen ligt voor een groot deel bij de samenleving. Dat was vroeger nog meer dan nu het geval. Het is niet logisch de verantwoordelijkheid alleen bij ouders te leggen, daarvoor zijn kinderen veel te belangrijk.

[Reactie gewijzigd door blissard op donderdag 16 juni 2011 18:54]

Door Gizmo_mokum, donderdag 16 juni 2011 18:15

Score: 1
Wetten kunnen aangepast worden, denk dat dit zeker perspectieven biedt. Wel informatiehoeveelheid beperken.

Door B64, donderdag 16 juni 2011 18:51

Score: 1
Juist. En dat soort beperkingen zijn er dan weer om gehackt te worden, dus ligt binnen de kortste keren ieders belastingaangifte, WOZ schikking, uitkeringsgeschiedenis, pensioenstatus en wat verder nog per DigiD wordt beveiligd op straat.

Het staat de firma Thuiswinkel.org vrij om zelf met een oplossing voor centrale klantregistratie voor haar aangesloten leden te komen, maar laten we dat nou even gescheiden houden van de centrale overheidsregistratie die DigiD heet.

Door MSalters, donderdag 16 juni 2011 21:07

Score: 1
DigiD is niet de centrale overheidsregistatie.

Ten eerste, er is geen centrale overheidsregistratie.

Ten tweede, de primaire overheidsregistratie is de Gemeentelijke Basis Administratie (GBA). Die is dus lokaal en iets anders dan DigiD.

Door B64, donderdag 16 juni 2011 22:32

Score: 1
Als ik bezwaar wil maken tegen mijn WOZ-taxatie (en dat is toch echt lokaal, gemeentelijk geregeld), moet ik inloggen met mijn DigiD. Daar is dus echt de link. En de GBA is gelinkt met een hoop andere overheidsdatabases middels het Burger Service Nummer (BSN) en DigiD.

Ik snap ook wel dat DigiD in principe alleen gebruikt wordt om voor iedere individuele overheidswebsite de bevestiging te krijgen dat ik ben wie ik zeg dat ik ben.

Maar waar een link is, is een kans op beveiligingsfouten en andere narigheid. En daarbij moet je niet uit het oog verliezen dat als DigiD commercieel belangrijk wordt (en het wordt heeeeeel belangrijk als thuiswinkel punt org zijn zin krijgt), dan wordt het ook voor hackers het nummer één doelwit - en dan is het hek van de dam.

Door TWBMS, donderdag 16 juni 2011 18:19

Score: 1
Ik heb eerder het idee dat ze dit willen om 'oplichting' tegen te gaan, dan dat ze het om de leeftijd te doen is.

Door slb, donderdag 16 juni 2011 19:50

Score: 1
Dat was ook mijn gedachte. ID is vaak niet nodig.

Laatst heb ik een telefoonabonnement besteld mijn id-bewijsnummer en bankpasnummer heb ik ingevuld met x-jes en 0-tjes behalve de laatste 3 cijfers. Koerier weigerde pakketje met sim-kaart niet afgeven, want de nummers correspondeerde niet.

Toen bij andere provider sim only abo afgesloten. Deze schreef ter verificatie 1 cent af (die met de volgende nota weer verrekend is). Simkaart kwam gewoon in envelop in de brievenbus.

Bovendien moet er toch betaald worden wanneer er gekocht wordt, en knulletjes van 12 zie ik dat niet zo gauw doen. Helemaal niet stiekum het pakket moet toch ook afgeleverd worden.

Door LogiForce, donderdag 16 juni 2011 18:20

Score: 2
DigID is gekoppelt aan je BSN nummer. Aangezien alleen overheids instellingen jouw BSN nummer mogen opvragen, mag dit wettelijk gezien helemaal niet. Laat staan de verdere discussie over privacy, want dan worden al je aankopen gekoppelt aan je BSN. En wat moet de overheid of een andere winkel dan met die gegevens? Wil ik hebben dat die dat allemaal weten?

Thuiswinkel.org kan van mij de rambam krijgen, maar als dit doorgevoerd word koop ik nooit weer wat online.

Door MSalters, donderdag 16 juni 2011 21:10

Score: 1
Het mag wel degelijk. Moderne beveiligingssystemen zoals OAuth en iDeal gebuike gedelegeerde authenticatie. Dat betekent dat winkels je DigiD of BSN niet hoeven te vragen, dat zou de overheid gaan doen.

Door wouter veltmaat, vrijdag 17 juni 2011 00:18

Score: 1
Nee technisch gezien kan en mag het niet omdat je inlog 'token' je BSN en NAW gegevens bevatten. Dat is wettelijk afgeschermd voor gebruik van overheden.
Een winkel die jouw BSN wil hebben is in overtreding en daar kun je gewoon aangifte van doen.

Als thuiswinkel.org een manier wil hebben om leeftijd af te dekken zullen ze eerst het nut hiervan moeten kunnen aantonen (en dat het nu een groot probleem is) en met een variant op de proppen komen die wettelijk toegestaan is. Of anders lobbyen voor een aanpassing van de wetten zodat hun variant wel aangenomen kan worden. DigiD is per definitie niet voor bedoeld en al helemaal niet geschikt.

Door Senor Sjon, vrijdag 17 juni 2011 08:51

Score: 1
Nou... je BSN zie je overal terug hoor.
- Bij hypotheek moet je die invullen >>> bekend bij bank
- Op elke ID-kaart, paspoort of rijbewijs staat je BSN.
- Bij je zorgverzekeraar is ook je BSN bekend (zie je zorgpasje). Is dit toevallig Achmea of een andere reus, dan is dit door de hele organisatie bekend.
Zo zijn er nog wel meer dingen, je BSN is lang niet meer privé en het is veel meer gemeengoed geworden dan ooit bij invoering als SoFi-nummer beloofd.

Dit is verder gewoon kansloos van thuiswinkel.org. Papa's creditcard is voldoende (cc is altijd 18+). Verder bestel ik dan wel bij Amazon, geen Nederlandse webwinkel...

Door comecme, vrijdag 17 juni 2011 13:54

Score: 0
Verder ook bekend bij je werkgever en pensioenverzekeraar.

En zoals al eerder genoemd, ook bij zorgverzekeraars kun je tegenwoordig meestal inloggen met je DigID.

Door World Citizen, donderdag 16 juni 2011 18:20

Score: 2
Ik snap het helemaal... en om eerlijk te zijn, dit werkt dan ook. Als je via DigiD films koopt heb je geen last meer van leeftijdsproblemen.

Maar....

Iedereen hier weet dat DigiD een bom is die alleen nog maar aangestoken hoeft te worden. Wees reëel en erken dat geen systeem veilig is. Als een groep mensen besluit krachten te bundelen... dan gaat DigiD ook een database van hun inschrijvingen terug vinden op het inet, op den duur...
Dit word uiteraard makkelijker op deze manier. Er komt immers een plugin voor je website... die is gekoppeld aan de database.. websites en servers waar deze gehost zijn, zijn geen overheidsservers.. Ik zeg niet dat het nu ineens wel kan, maar de mogelijkheden tot inbraak worden groter.

Dan eigenlijk nog belangrijker.
Kinderen van 15 zijn niet dom. Vaak veel slimmer als het neer komt op dit soort dingen dan ouders ed. Ik kan me niet voorstellen dat deze kinderen... niet op het idee komen om iemand anders zijn DigiD te gebruiken.
Danwel van een ouder, danwel van een vriend of andere personen.

Of de ouder is de pineut.. want het achterhalen van het wachtwoord van je it-onkundigge ouders is gewoon een eitje.

Of er zijn jongeren van 16.. die niet zo goed nadenken en zijn of haar DigiD "uitlenen" ...
ik zie mannetjes van 15 soms jongeren van 18 afpersen (in de lichtste vorm), dus deze mannetjes halen een 16 jarige ook wel over.

[Reactie gewijzigd door World Citizen op donderdag 16 juni 2011 18:26]

Door werchter, donderdag 16 juni 2011 18:27

Score: 1
Ik vind dat je nogal wat aannames doet over de (on)veiligheid van DigiD.

Een website communiceert met DigiD via een API. Met deze API zal het waarschijnlijk mogelijk om een authenticatie tokens uit te wisselen, and that's it.
Er zullen echt geen functionaliteiten ingebouwd worden om hele adressenbestanden op te vragen, hooguit een beperte set gegevens van één user. Als de functionaliteit er "fysiek" niet is, kan er ook geen misbruik van worden gemaakt.

Waarmee ik overigens niet wil zeggen dat het onmogelijk is dat de DigiD gegevens ooit worden gestolen.

[Reactie gewijzigd door werchter op donderdag 16 juni 2011 18:32]

Door F0nz0, donderdag 16 juni 2011 18:31

Score: 1
Dat de overheid slordig omspringt met onze gegevens is niet echt een aanname, dat is een feit.

Door PepijnK, donderdag 16 juni 2011 19:42

Score: 2
DigiD is dan ook hilarisch slecht beveiligd als je je bedenkt wat je er allemaal mee kan.

Inlognaam en wachtwoord zijn de minimale eisen, er is dus geen feitelijke verificatie of de persoon die claimt er achter te zitten wel feitelijk de persoon is van wie die DigiD is. In Belgie is dat al beter geregeld met die BelPIC/e-ID kaart.

Mijn ouders hebben bijvoorbeeld een DigiD aangevraagd voor mijn oma, zodat zij handig haar belastingen en dergelijken kunnen regelen. Niemand die vroeg of mijn vader wel zijn moeder was toen hij voor haar een DigiD aanvroeg.

Ter vergelijk als ik voor mijn bankrekening internetbankieren wil aanvragen dan moet ik persoonlijk, met een ID bewijs, naar het bankkantoor komen om daar zo'n challenge-response apparaatje op te halen.

Voor mij is dat ook de reden dat ik weiger om DigiD te gebruiken. Het is te gemakkelijk om iemands DigiD door social-hacking of phising te achterhalen. Ik vind het dan ook een gemiste kans van de NL overheid dat er bij de nieuwste serie ID-bewijzen niet gekozen is voor een implementatie vergelijkbaar met BelPIC/e-ID.

Overigens zou het voor mij niet de eerste keer zijn dat ik phisingmail krijg waarin geprobeerd wordt om mijn DigiD te stelen. Nou trap ik daar niet in, maar ik kan me best voorstellen dat er mensen zijn die denken dat dat mailtje over een probleem bij de betaling van hun gemeentelijke belastingen echt is.

Door ReneDx, donderdag 16 juni 2011 20:46

Score: 0
Voor mij is dat ook de reden dat ik weiger om DigiD te gebruiken. Het is te gemakkelijk om iemands DigiD door social-hacking of phising te achterhalen.
Misschien moet je er dan juist wel een aanvragen, voordat iemand anders dat voor je doet :)

[Reactie gewijzigd door ReneDx op donderdag 16 juni 2011 20:46]

Door MrAngry, vrijdag 17 juni 2011 10:04

Score: 1
En dan kan ik belastingaangifte voor je doen. Wat heeft het nou voor zin om iemands digid te stelen?

Door comecme, vrijdag 17 juni 2011 13:56

Score: 1
Bij het aanvragen van een DigID wordt dan wel niet geverifieerd wie je bent, maar het is wel zo dat het initiële wachtwoord verstuurd wordt naar het adres dat in de Gemeentelijke BasisAdministratie bekend is voor het BSN.

Je kunt dus overigens wel makkelijk iemand lastig vallen door elke keer weer een nieuwe wachtwoord voor 'm aan te vragen.
«  1  2  3  4  5  »

Op dit item kan niet meer gereageerd worden.

Volgende 18:59 Microsoft brengt bèta van Kinect-sdk uit
Vorige 16:54 Adobe staakt AIR-ondersteuning voor Linux-desktops
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011