Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 106 reacties
Submitter: Rafe

De eerste publieke pilot met Idensys gaat in januari van start. De pilot zou eigenlijk dit jaar moeten beginnen, maar dat is niet gelukt. Met de pilot gaan maximaal 30.000 mensen inloggen bij twintig bedrijven en overheden.

Idensys, dat eerst eID heette, kan van start, omdat leverancier Digidentity als eerste bedrijf is goedgekeurd voor het leveren van een systeem voor authenticatie via Idensys. Die goedkeuring was nodig om met de pilot te beginnen. Het is onbekend bij welke bedrijven en overheden de mensen met de test kunnen inloggen. Ook is het onduidelijk hoe mensen zich kunnen aanmelden.

De resultaten van de test moeten midden volgend jaar bekend zijn, waarna de beslissing valt over hoe Idensys verder zal worden gebruikt. Voor het nieuwe loginsysteem werkt de overheid samen met bedrijven. Inloggen kan op diverse manieren.

Idensys moet op termijn een stuk uitgebreider worden dan DigiD. De bedoeling is dat ook het al langer bestaande eHerkenning in Idensys wordt opgenomen en dat mensen uiteindelijk op meerdere manieren kunnen inloggen op Idensys om zich te authenticeren. Dat gebeurt op verschillende niveaus van beveiliging.

Bedrijven en instellingen moeten via Idensys zeker weten met wie ze te maken hebben. Aan de andere kant moeten ze niet meer gegevens krijgen dan nodig is. Volgens de uitleg van beheerder Logius krijgt een online slijterij bijvoorbeeld alleen de melding dat iemand boven de 18 is, maar de geboortedatum ziet de webwinkel niet. Vanuit de technologiesector zijn onder meer Surfnet, Microsoft en KPN betrokken bij Idensys.

Update, 9:51: In dit artikel stond Idensys aangeduid als DigiD-opvolger, maar volgens woordvoerder Michiel Groeneveld van Logius, de beheerder van Idensys, is dat niet helemaal juist. DigiD zou juist waarschijnlijk een van de inlogmethodes worden in het nieuwe Idensys-systeem. "Idensys is geen inlogmiddel, zoals DigiD, maar een verzameling afspraken waaraan inlogmiddelen moeten voldoen. Die afspraken gaan over veiligheid, betrouwbaarheid en de bescherming van persoonlijke gegevens. Verschillende inlogmethoden moeten onder Idensys gaan vallen. Zowel inlogmethoden van de overheid, zoals DigiD, als van bedrijven."

Gebruikers kunnen volgens Groeneveld bij het inloggen op een Idensys-scherm hun inlogmiddel kiezen, vergelijkbaar zoals je bij iDEAL een bank kiest. "Daarna loggen ze op de vertrouwde manier in die hoort bij die inlogmethode. Het voordeel is dat ze daarmee kunnen inloggen bij zowel diensten van de overheid als van bedrijven, mits het inlogmiddel van een voldoende hoog betrouwbaarheidsniveau is."

Moderatie-faq Wijzig weergave

Reacties (106)

Ik vind het echt helemaal niks om een login van de overheid te gebruiken bij privé partijen / bedrijven. Ik zie het al voor me dat niet lang na de introductie van dit systeem alle diensten waarvoor een leeftijdsgrens geldt (denk aan alcohol bestellen online, gokken of het aanschaffen van 18+ meuk) dit systeem verplicht gesteld wordt 'ter bescherming van de kinderen'.

En dan hebben ze mooi in een database het gedrag van iedere burger. :? Wat mij betreft valt er nog veel meer te winnen op het online beschikbaar stellen en overzichtelijk maken van de diensten die de overheid aanbiedt, en kunnen ze beter daar hun energie insteken.
Waar baseer je dit op?

Het platform is multimiddel. Je hoeft geen overheidslogin te gebruiken, je kan net zo goed een middel bij een gecertificeerde leverancier kopen.

Het is eerder de europese verordening die sluitende online leeftijdsverificatie vraagt voor gokken, alcohol en dergelijke dat een stelsel als Idensys versneld wordt uitgerold. Die verordening is er al en zal dus wetgeving gaan worden. Zonder een inlog systeem als deze zou je dus geen flesje meer online kunnen bestellen (zonder voor een webcam je ID te laten zien, voor en nadelen daarvan even buiten beschouwing latend).

Je kunt met dit stelsel ook anoniem inloggen. Dit gebeurd op basis van pseudoniemen die anders zijn als je met je middel bij een andere dienstverlener inlogd of namens een ander bedrijf inlogt bij met hetzelfde middel bij dezelfde dienstverlener. Als er dan aanleiding toe is is je identiteit wel te achterhalen, maar dat vergt samenwerking van meerdere partijen.

Ja omdat DigiD in feite vervangen kan worden met dit systeem kan ook het BSN worden doorgegeven. Echter dienstverleners zullen net als bij DigiD aardig wat scrutiny ondergaan voordat ze je BSN digitaal mogen ontvangen. Dat gaat echt niet het eerste het beste louche bedrijf voor elkaar krijgen.

Het stelsel heeft uitgangspunten als privacy en user consent (ook een europese verordening) juist hoog in het vaandel staan. Juist door het decentrale karakter is er niet één database waaruit alles te herleiden is. Je zult dan echt meerdere partijen samen moeten laten werken en zelfs daar zijn maatregelingen tegen getroffen.

Ik zou zeggen lees je eens in voor dergelijke uitspraken te doen: https://afsprakenstelsel.etoegang.nl/

Overigens zou het mij niet verbazen als DigiD na een transitie periode algeheel verdwijnt ten guste van de marktpartijen die een middel aanbieden. Anders concurreert de overheid met deze bedrijven en daarmee hebben ze niet het beoogde level playingfield.
Inderdaad.
Net zoals de politie IP/BSN combinaties kan verzamelen als je digitaal aangifte doet.
. Ik zie het al voor me dat niet lang na de introductie van dit systeem alle diensten waarvoor een leeftijdsgrens geldt (denk aan alcohol bestellen online, gokken of het aanschaffen van 18+ meuk) dit systeem verplicht gesteld wordt 'ter bescherming van de kinderen'.
Die kan onder het kopje "No shit". Dat is één van de primaire doelen aan het systeem, zodat zaken waar een leeftijdsgrens op zitten fatsoenlijk gecontroleerd kunnen worden door de bedrijven, zodat ze niet onbedoeld de wet overtreden. Daar is ook nooit een geheim van gemaakt.

Het wordt niet helemaal opgezet zodat je niet opnieuw je adres bij een webwinkel hoeft in te tikken. Maar juist zodat bedrijven toegang hebben tot enkel de noodzakelijke persoonsgegevens en je niet bijvoorbeeld een kopie van je ID moet overhandigen aan een bedrijf.
dit systeem verplicht gesteld wordt 'ter bescherming van de kinderen'
Het is helemaal niet 'ter bescherming van de kinderen', het is om te kunnen voldoen aan de wettelijke eisen.. Immers moet je zelfs als fysieke winkeleigenaar aan mensen onder de 25 om hun ID vragen als ze alcohol willen, let op, onder de 25, en als jij dus duidelijk zelf ziet dat iemand ouder is dan 18, maar deze is nog geen 25, en je vergeet het te vragen dan krijg je dus gewoon een boete aan je reet (want tja, overheid mag geen minderjarigen inzetten voor controles aangezien je als minderjarige zelf strafbaar bent als je alcohol aanneemt/drinkt).
Is die 7 jaar marge niet gewoon omdat leeftijd schatten ontzettend moeilijk is? En natuurlijk helpt het tot 25 om een identiteitsbewijs vragen ook om het drinken door studenten wat te remmen. Zo wordt de kwaliteit van onze toekomstige arbeiders hoger en versterkt dat de concurrentiepositie van Nederland. Die overheid is niet dom ;)

[Reactie gewijzigd door mashell op 30 december 2015 22:07]

Nou, het probleem met deze 'wet' is dat ik het heel triviaal vind wat nu '25 jaar' is, want er zijn genoeg mensen die ik heel goed kan schatten dat ze ruim boven de 18 zijn, maar 25 is een ander verhaal.. genoeg mensen waarvan ik denk dat ze boven de 25 zijn maar dat dus niet blijken te zijn..
Wat mij betreft moet de wet gewoon aangepast worden en dat bedrijven dus gewoon een boete krijgen als je verkopen aan minderjarigen (die dus zelf overigens ook strafbaar zijn, maar daar wordt dan weer niets aan gedaan), NIET omdat je iemand die wel 18+ is maar nog niet 25, je niet gevraagd had om legitimatie..
Ze hebben die database dus niet, aangezien jij ook kan kiezen om met je bankaccount in te loggen als zij dat aanbieden en die leeftijdsinformatie hebben (dat hebben ze). En dan kan je leuk afwisselen, dus heeft geen enkele partij een totaalplaatje.
> En dan hebben ze mooi in een database het gedrag van iedere burger.
Welke partij heeft binnen Idensys dan een database met het gedrag van iedere burger?
Dit klinkt allemaal mooi, maar deze opzet heeft een serieuze kwetsbaarheid. Nu kan ik mijn moeder uitleggen welke inloggegevens ze waar moet gebruiken. In haar wachtwoordenboekje (ja, dat bewaart ze in een kluis) staat bij elke credential een URL.

Bij eID is één credential voor 'alle' websites het uitgangspunt. Ik kan daarmee niet meer aan mijn moeder uitleggen waar ze met haar eID kan/moet inloggen en waar vooral niet. Het is voor mij niet mogelijk om daar een lijst van URL's voor op te stellen. Iedere websitebouwer kan namelijk een eID loginformulier op z'n website maken.

Ja, er is vast een technische uitleg over hoe alleen aangesloten partijen mee kunnen doen. Maar dat boeit niet, want een inlogformulier die eruit ziet als een eID loginformulier is zo gemaakt. En ja, mensen kunnen alternatieve inlogmethoden met telefoon enzo kiezen. Maar het uitgangspunt is één login voor alles. Zo werd eID ook gepromoot. En denk je werkelijk dat die vele miljoenen digibeten in dit land die moeite gaan nemen?

Het kapen van eID logins is hiermee kinderspel. Digitale identiteitsfraude wordt met eID heel eenvoudig. Wil je dit zelf testen? Maak maar een website met daarop een Facebook of Twitter login die niks anders doet dan loggen van de ingevulde gegevens. Binnen zeer korte tijd heb je de eerste werkende logingegevens van andere mensen.

[Reactie gewijzigd door Faeron op 30 december 2015 10:01]

Je moet alleen maar inloggen op digid.nl of indensys.nl. Zo simpel is het.
Het heeft dezelfde opzet als bijvoorbeeld OAuth, waarmee ik met mijn Google Account op andere websites kan inloggen zonder mijn wachtwoord aan die websites te geven.
Websites die hiervan gebruik willen maken sturen mij door naar de centrale inlogsite, digid.nl of google.com, en ik moet alleen maar daar mijn wachtwoord invullen.
Die Idensys websites weten dus precies bij wie ik allemaal inlog. Tracking-cookies on steroids zeg maar. Dat is nogal een privacy issue.

Daarbij lijkt het erg op OpenID, waarbij in theorie iedereen een authenticatieservice op kon zetten. Vele partijen deden dat ook, probleem was alleen dat bijna geen van deze partijen de authenticatie via een andere partij dan zichzelf accepteerde. Ze wilden allemaal de markt veroveren en dachten dat dit de manier was om dit voor elkaar te krijgen. Als zoiets hier ook gebeurd dan is zelfs het voordeel dat je maar 1 account nodig hebt weg.
Het tweede punt is hier geen probleem: er is maar een partij die DigiDs uitgeeft.

Het eerste is natuurlijk waar, maar er is maar een partij die dit kan inzien: de overheid. Ik hoop dat deze er zorgvuldiger mee omgaan dan een of ander bedrijf. Of dat waar is is natuurlijk een andere vraag..
Idensys is alleen een verzameling afspraken. En de authenticatiediensten zijn private partijen. De overheid speelt geen rol als iemand zich authenticeert voor een (niet overheid) website. De overheid kan dus ook niet zien waar jij allemaal inlogt.
hmmm.. dat valt wel mee hoor.

Idensys is een verzameling van methoden om jezelf te identificeren. Dat kan met zaken als DigID gebeuren, maar ook met specifieke middelen zoals een identiteitskaart of een bankpas. Als je de login koppelt aan een gecertificeerd middel (bijvoorbeeld je identiteitskaart met RFid chip) heeft de website bouwer eenmalig toegang tot je gegevens. Het is geen login/wachtwoord combinatie die te hergebruiken is.

Zou het voor je moeder niet veiliger worden als ze voortaan in kan loggen door haar ID kaart in een USB paslezer te leggen voor deze specifiek websites? Desgewenst kan het ook een combinatie vormen van een pasID en een specifieke login voor elke site, of het toevoegen van extra middelen.

Verder: idensys heeft voorzieningen voor verschillende trust levels. Low trust mogelijkheden (login/wachtwoord) die toegang geven tot diensten met een laag trust level, en high trust mogelijkheden (gevalideerde gegevens en middelen) voor diensten met een hoog trust level. Het is dus niet nodig om overal je ultra veilige wachtwoord/middel te gebruiken.

Ook kan een dienstaanbieder manieren inbouwen om bij gevoelige transacties een extra validatie uit te voeren, bijvoorbeeld door een interactie met een mobiele app. Dat zie je nu ook al bij een aantal creditcard oplossingen gebeuren. Inloggen is mogelijk met een login/wachtwoord, aankopen doen ook. Maar voor het bedrag overgemaakt wordt krijgt de aan de ccard gekoppelde mobiele telefoon een notificatie met een bevestigingsvraag.

[Reactie gewijzigd door denan op 30 december 2015 10:44]

M'n moeder ziet me al aankomen met een USB paslezer. Daarbij, ik kan dat met mijn kennis prima voor haar regelen en aan haar uitleggen. Maar hoe zit dat voor mensen die geen ICT-expert in hun familie- / vriendenkring hebben? Volgens mij overschat je het ICT-kennisniveau van de gemiddelde Nederlander en de wil om op dat vlak iets goed uit te zoeken. En hoe zit het dan met tablet-gebruikers? Probeer daar je paslezer maar eens op aan te sluiten.

En hoe ik met mijn, in jouw bewoording low-trust, wachtwoorden omga, is 100x veiliger dan hoe de gemiddelde Nederlander met hun high-trust bank cardreader omgaat. Hoe veilig een authenticatiemiddel is niet alleen afhankelijk van het middel zelf, maar ook van hoe er mee omgegaan wordt.

[Reactie gewijzigd door Faeron op 30 december 2015 11:14]

Een pas in een kastje stoppen naast haar computer (of bluetooth gekoppeld aan haar tablet) lijkt me voor mijn moeder (wat toch een van de grootste digibeten is die ik ken) makkelijker dan een boekje met wachtwoorden bijhouden in een kluisje.

Vergeet niet dat je met die pas een fysiek middel hebt dat een derde partij die online de transactie bekijkt niet kan overnemen. Ja.. men kan natuurlijk de pas stelen.. maar men kan ook het raampje boven de achterdeur van je moeders huis forceren en alles meenemen van waarde. Steelt men de pas dan is 1 telefoontje voldoende om alle diensten en opties te blokkeren.

Nee.. juist voor mensen als mijn moeder zou ik dit systeem graag willen inzetten. Dat scheelt mij een hoop gedoe en uitleg.

En met "low trust" bedoel ik dat er aan je accounts lage trust toegekend is. Denk bijvoorbeeld aan een facebook login, daarmee zou je tickets kunnen boeken voor de bioscoop. Wil je echter een hypotheek aanvragen dan is DigID nodig. Beiden hebben een login/wachtwoord, maar de eerste is low trust en de tweede high trust.

Verder vraag ik me af hoe veilig je wachtwoorden zijn als er nog steeds verouderde richtlijnen in gebruik zijn bij de meeste websites. Vaak 6-8 tekens.. minimaal 1 hoofdletter 1 speciaal teken en 1 cijfer. Vaak moeilijk te onthouden voor mensen, maar extra aanknopingspunten die een brute force makkelijker maken.

Ik ken nog bar weinig sites die langere combinaties toestaan, (mijnpaarseautovliegtnietzohoogalsdieairbusofdieboeing) is een stuk moeilijker te brute forcen dan 'Veilig!123"
Ik heb m'n eigen wachtwoordmanager die complexe wachtwoorden genereert van 15 tekens. Is nergens een probleem.
Er zijn er genoeg die daar niet mee om kunnen gaan (aliexpress bijvoorbeeld). Maar puur voor de 'digibeten' kun je niet ontkennen dat een kaart in een kastje drukken sneller en makkelijker werkt dan een passwordsafe (fysiek of digitaal).
Ook gegenereerde complexe wachtwoorden zijn alleen "iets dat je weet". Voor veel zaken ongetwijfeld betrouwbaar genoeg. Maar heel betrouwbaar is dat niet. Vatbaar voor allerlei aanvallen.
Of het daadwerkelijk makkelijk zal gaan is de vraag. Maar je kan wel met zekerheid stellen dat iedere geïnteresseerd zich natuurlijk op dit systeem zal gaan focussen. Zoveel handige gegevens op één mooie centrale plek..

Er is toch zo'n speciaal meldpunt voor het melden van identiteitsfraude? Zullen het de komende jaren drukker en drukker gaan krijgen :o
De url's van de overheidsdiensten gaan natuurlijk niet veranderen. Als je moeder inlogt, moet ze straks behalve de juiste loginggegevens ook de juiste login-methode aanklikken in de lijst. Dat kun je er toch gewoon bij zetten per account? Het boekje fungeert verder nu al als een soort whitelist van websites. Komt je moeder een onbekende site tegen die om login gegevens vraagt dan zou ze als extra check op zijn minst jou kunnen vragen of het ok is of niet.
Het idee is goed. Over de uitvoering weten we helaas nog niets.

Kan iemand mij vertellen welke gegevens er eigenlijk in mijn huidige digid zijn meegenomen?
Idensys is eHerkenning (voorheen DigiD voor bedrijven) 2.0. In hun nieuwsbericht van de pilot staat de publieke Idensys wiki gelinkt met veel informatie.

Welke gegevens DigiD terugstuurt aan dienstverleners (gemeente, Belastingdienst, etc) na succesvol inloggen staat in de publieke SAML koppelvlakspecificatie.
Dat zou ik inderdaad ook best wel eens willen weten. Ik kan mij voorstellen dat ze een overzicht zouden moeten kunnen maken van diensten waarbij je eens bent aangemeld met je DigiD. En dat je eventueel ook meteen je toestemming in kan trekken wanneer je die service niet meer gebruikt, zoals bijvoorbeeld als je van zorgverzekering overstapt.

De enigste manier om daar nu achter te komen is door je DigiD op te zeggen en dan te kijken welke diensten je niet meer kan gebruiken... ;)
Ow en je kan natuurlijk inloggen op MijnOverheid om hier een beetje inzicht in te krijgen

[Reactie gewijzigd door mark0601 op 30 december 2015 09:48]

Wat voor toestemming zou je willen intrekken dan?
Misschien is het dan gewoon een gevoel, je geeft je persoonsgegevens af aan een organisatie en als je daar geen zaken meer mee doet wil je ook niet dat zo'n organisatie nog toegang heeft tot je gegevens.

Zoals in mijn voorbeeld met de zorgverzekering: als ik overstap dan heeft mijn oude verzekeraar niets meer van doen met mij. Ik heb dan het gevoel omdat je je daar ooit eens hebt aangemeld met je DigiD dat ze daarmee een vrijbrief hebben je tot in de eeuwigheid in hun databases te hebben opgenomen.
Of bijvoorbeeld als je verhuisd, dan heb je ook niets meer te maken met de gemeente waar je vandaan komt. En zij niets meer met jou.

Zoals ik al schreef is het een gevoel. Dat ik controle wil houden wie er toegang heeft tot mijn gegevens. En daarmee in ieder geval het gevoel te hebben dat ik de kans op misbruik maken van mijn identiteit sterk verklein.
Maar dat heeft dan niets te maken met DidiD. Die gebruik je alleen maar om in te loggen. Jouw gegevens bewaren ze toch wel, daar hebben ze geen DidiD voor nodig.

En als je je bij een Zorgverzekeraar aanmeldt gebruiken ze gegevens uit de Gemeentelijke BasisAdministratie om aan jouw NAW-gegevens te komen.

Het zou wel handig zijn als je op een centrale plek inzage zou hebben in welke bedrijven allemaal persoonsgegevens van jou hebben vastgelegd. Maar helaas bestaat zoiets niet.
Alleen je BSN.
(wij hebben in onze software zowel de SAML als het CGI koppelvlak geïmplementeerd)
Is dit niet verwarrend voor senioren en 40+'ers die niet direct affiniteit hebben met IT? Die zullen wel denken, kunnen we net een beetje wennen aan DigiD, komt er weer iets nieuws..
Om nog maar te zwijgen van 40+'ers die wel affiniteit hebben met IT, en een eindeloze reeks mislukkingen op IT gebied & overheid hebben zien langskomen...

Nieuw systeem = nieuwe problemen.
Ik wordt al weer kriegel als ik die tekst lees. Alles is onduidelijk behalve dat het midden volgend jaar af moet zijn... hoezo zijn die "details" er niet? Zijn ze onbekend, geheim of nog steeds niet bepaald? Alle drie de opties lijken me onwenselijk voor zo'n belangrijke pilot...
Uiteraard is er binnen het projectteam wel gewoon duidelijkheid. De schrijver van het artikel (en wellicht de pers in het algemeen) heeft de juiste informatie simpelweg niet.
Een overheids-gerelateerd project is niet per definitie gedoemd te mislukken; bovendien werken er gewoon professionals binnen deze projecten.
Ik kan je vertellen dat op de gefaalde overheids IT projecten ook gewoon professionals werkten.
Het probleem is vaak management van de projecten.
Oh, en natuurlijke de instelling van de professionals dat het de overheid betreft, en dus lekker de 'uurtje/factuurtje' mindset hebben.
Ik zou willen dat alle projecten waar ik als professional aan meegewerkt heb ook gewoon gelukt zijn...

Maar goed om te horen dat er ERGENS duidelijkheid is 😉
Inderdaad daarom draaien de meeste systemen van de overheid nog op XP, en gelukkig de terminals van vliegveld in Frankrijk nog op Windows 3.x. Vernieuwen is inderdaad slecht, sterker het is evil :Y).

Het idee van dit project ziet er veelbelovend uit echter is het nu maar hopen dat het bedrijf achter Idensys dit ook goed weet neer te zetten.
Zo als met zoveel dingen vanuit de Overheid: Goed idee, nu nog zien wat de daadwerkelijke aanpak voor resultaat geeft. Voor een zo omvattend systeem, dat door alle bedrijven kan worden opgepikt is natuurlijk ideaal. Identificate moet op deze manier in ieder geval geloofwaardiger worden.
hoezo "goed idee"??
belgie en estland gebruiken het al jaren. wat weten die dan wat de nederlandse overheid niet weet?
het is niet zo dat elke nieuwe oplossing die er wordt verzonnen(ook bestaat de oplossing ergens anders al) per definitie slecht hoeft te zijn. Alleen de uitvoeren laat vaak te wensen over. Dat bedoel ik er mee :)
Ik hoop dat de marketeers het bij de overheid straks gewoon DigiD 2.0 gaan noemen, want ik voorzie die problemen inderdaad ook...
Ik denk dat de overheid juist er van af wil, ondanks dat DigiD al sinds 2006 wordt gebruikt verwarren technisch minder onderlegde gebruikers het nog steeds met het reclamebedrijf Digi-D. Zie oa nieuws: Bedrijf Digi-D vroeg 1,4 miljoen euro om naamsverwarring te voorkomen.

Wat ook niet geholpen heeft zijn berichten als http://www.telegraaf.nl/d...ijzigen_om_hackers__.html terwijl het probleem eigenlijk nieuws: DigiD-sessies klein aantal gemeenten waren mogelijk te kapen - update was.

Ziggo heeft iets soortgelijks gedaan.
Hmm, ik had er nog nooit van gehoord (maar N = 1), maar daar heb je natuurlijk wel een punt te pakken :)
Dat was ook mijn eerste reactie. En jouw verwachte reactie was die van mijn moeder. Daar heeft ze mij voor zegt ze :p

Daar gaat het naar toe denk ik, deze mensen worden heel afhankelijk van de jongere generatie om alle digitale dingetjes te regelen, omdat het te veel is en dat gewoon lastig op te pakken is.
"worden"

Helaas moet dit worden verbeterd naar "zijn"
De overheid veranderd continue wet- en regelgeving, daar moet je je ook aan houden ook al ben je geen jurist. Dat kan ook verwarrend zijn voor senioren en 40+'ers die affiniteit hebben met wetgeving.
40+'ers?

Je kan net zogoed "18+'ers die niet direct affiniteit hebben met IT" zeggen.
Ik heb me zojuist opgegeven voor de pilot.
Gemeente Eindhoven doet hierin blijkbaar mee en schrijft burgers (digitaal) aan om mee te doen.

Hoe eea werkt weet ik niet, maar het lijkt gekoppeld te gaan worden aan het rijbewijs. Dit was in mijn geval een voorwaarde om op te kunnen geven voor de pilot.

Nu afwachten of ik wordt geselecteerd voor deelname.
Er zit tegenwoordig inderdaad een RFID chip in het rijbewijs. Toen dit geïntroduceerd werd was er wat ophef over omdat de prijs weer omhoog ging.

http://www.powned.tv/nieu...ken_voor_rijbewijs_m.html

[Reactie gewijzigd door tomvleeuwen op 30 december 2015 09:47]

Voor mij inderdaad hetzelfde. Ben ook via email aangeschreven. Ik denk dat 30k "vrijwilligers" a.d.h.v. bepaalde selectie criteria zijn aangewezen (tweakers?? ;) ).
Het is onbekend bij welke bedrijven en overheden de mensen met de test kunnen inloggen. Ook is het onduidelijk hoe mensen zich kunnen aanmelden.
Er is in ieder geval geen sprake van 'open' aanmeldingen dus.

[Reactie gewijzigd door RatedR op 30 december 2015 10:11]

staat trouwens in de tekst van de uitnodiging die je hebt gekregen en in deze link. http://www.eindhoven.nl/a...giG-en-een-erijbewijs.htm

Op deze link staat nog meer info http://www.eindhoven.nl/w...9e2927cdd&contentid=82496

In Eindhoven kun je met een (Test) rijbewijs meedoen, in Den Haag met een Electronische ID kaart.

In beide gemeente mogen ongeveer 500 mensen meedoen.

[Reactie gewijzigd door niki_lauda op 30 december 2015 15:07]

Ik vrees dat er patronen gaan ontstaan die overeenkomen met deze:
Voor een koop bij online webwinkels gaan ze dezelfde vertrouwelijke gegevens vereisen als ziekenhuizen en overheden, want voor de marketing willen ze alles van je weten.
Daar ben jezelf bij.
Bij het inloggen met Idensys, kan je zelf zien en kiezen welke informatie je doorstuurt naar de derde partij. Bevalt het je niet wat de derde partij vraagt, kan je altijd kiezen om af te breken.
De controle ligt bij jou. Net als nu, waarbij bedrijven ook om niet-relevante gegevens kunnen vragen en jij de keus hebt deze niet te geven (eventueel door niet met ze in zee te gaan).
De controle ligt wellicht bij de gebruiker, maar de keuze niet. Immers als een vliegtuig maatschappij verplicht stelt om correcte gegevens te geven, dan heb je geen keuze meer welke gegevens je verstrekt.
Nee, dan ga je gewoon op zoek naar een maatschappij die daar niet om vraagt. Wat je waarschijnlijk zult gaan zien is iets dat ook online gebeurt is: Gratis/goedkopere toegang voor mensen die niet malen om privacy en het overdragen van persoonlijke data, en betaalde/duurdere toegang voor mensen die daar wel mee bezig zijn.

Verder kun je natuurlijk op het gebied van governance afspraken maken binnen het stelsel, bijvoorbeeld dat persoonlijke attributen die niet van toepassing zijn op de transactie niet opgevraagd mogen worden door de betrokken partijen. Dat beperkt zich natuurlijk wel op de transactie/login zelf. Als na het valideren van de identiteit "persoonlijke" attributen gevraagd worden kunnen ze dat niet voorkomen.

Maar dat is eigenlijk een beetje hetzelfde als naar een hotel gaan waar ze vragen om een kopie van je paspoort.
Dit idee van "keuze" is maar heel betrekkelijk. Als ik b.v. in de bijstand zit sta ik onder immense druk om een paar euro per week te bespraken door middel van een bonuskaart, vooral als er geen andere supermarkt dan AH in de buurt is. Dan kun je het wel een keuze noemen, maar is het fair? Is het niet beter voor de overheid om ervoor te zorgen dat AH arme mensen niet kan pushen om hun privégegevens af te staan?

Dit is de basis onder al het consumentenrecht: een grote partij heeft weliswaar geen formele macht over een individuele burger, maar in praktijk kan zo'n partij wel heel veel informele macht over een burger hebben. Daarom zijn er wetten die consumenten beschermen, althans in Europa.
Daar heb je een punt, maar voor dat probleem zijn waakhonden in place die kunnen ingrijpen.. wanneer nodig. Vergeet ook niet dat je voorbeeld twee kanten uit kan werken, als er partijen zijn die hun klanten gegevens ontfutselen voor lagere prijzen zullen er ook partijen zijn die juist gaan schermen met het feit dat ze dit niet doen.. en toch lagere prijzen kunnen aanbieden.

En voor elke AH in de buurt is er ook een Lidl/Aldi ;)
Zulke concurrentie kan inderdaad opkomen. Maar het kan ook niet opkomen: dat verschilt per sub-markt. In mijn buurt zit b.v. alleen Albert Heijn (Amsterdam bij het centraal station). Aldi is 20 minuten lopen door heel drukke straten en afzettingen. Jumbo idem de andere kant op.

In veel (sub-)markten zijn er semi-monopolies of oligopolies. Ik kan niet Whatsappen met mensen zonder Whatsapp. Ik kan niet Facebooken zonder Facebook. Ik hoef weliswaar geen Whatsapp of Facebook te hebben, en ik haat het, maar ik sta onder enorme sociale druk. Misschien vereenzaam ik wel als ik die diensten eruit gooi, bijvoorbeeld.
Facebook is er hier al een jaar uit, whatsapp gebruik sterk verminderd en een grote berg nietszeggende groepen verlaten.

Ik kan je vertellen dat er weinig dingen zo'n grote opluchting vormen als dat. Ik las toevallig gisteren nog een analyse over facebook en whatsapp gebruik.. en de vermoeidheid en stress die het voor mensen veroorzaakte. Dat schijnt vooral te ontstaan doordat mensen zich onbewust beoordeeld voelen door anderen op de app of op fb.. en continu tijd en moeite investeren om goed, grappig, succesvol of gelukkig voor de dag te komen.

Nee, mijn sociale leven heeft er niet onder geleden. Een mooi goed voornemen voor 2016? :)

Ah.. artikel gevonden.. (http://www.standaard.be/cnt/dmf20151225_02037563) wel achter een paywall.

[Reactie gewijzigd door denan op 31 december 2015 09:44]

Ik geloof best dat jij sterk genoeg bent om de druk te weerstaan om Facebook en Whatsapp te gebruiken. Maar ik denk de meeste mensen niet. En daarom denk ik dat het idee van "keuze" hier in de praktijk minder goed werkt dan ons soms voorgespiegeld wordt, vooral door genoemde bedrijven.

Wat jij beschrijft gaat denk ik vooral op voor Facebook. Mensen hebben de hele tijd het idee dat ze zich moeten bewijzen. Wat betreft Whatsapp denk ik dat het probleem meer is dat mensen er te veel door afgeleid worden de hele dag en er te veel tijd aan besteden?

Wat mijzelf betreft heb ik weinig tot geen last van beide dingen. Ik gebruik Facebook echt als een instrument om ofwel af en toe iets te promoten, om uitgenodigd te kunnen worden voor groepsactiviteiten met vrienden (dat werkt nou eenmaal zo makkelijk), om b.v. prospectieve dates of andere mensen uit te checken, en om te communiceren met mensen van wie ik geen telefoonnummer heb. Verder zit ik er bijna nooit op en ik kijk nooit naar die tijdlijn, of hoe heet die pagina waar allemaal dingen op komen die andere mensen gedaan hebben. Van vakantiefoto's word ik misselijk.

Qua Whatsapp kijk ik vaak een halve dag niet naar mijn telefoon, en ik beantwoord ook meestal niet snel. Maar het is wel gewoon heel handig om snel korte berichten uit te wisselen.

Maar veel mensen kunnen hun gebruik van die diensten inderdaad niet matigen—reden te meer om met goede consumentenwetgeving te komen.
Er is alleen een probleempje daarmee; meestal is het verzamelen van die gegevens wettelijk verplicht.

(gelukkig heb je ook de keuze om niet te vliegen, mocht je daar veel om geven)
Niet alle gegevens. Je ziet steeds vaker een informatiehonger bij leveranciers die niets met de transactie of het product te maken hebben. Als ik ga vliegen gaat het de ticketmaatschappij niets aan wat mijn gezinssituatie is, mijn salaris of mijn hobby's.
Hoewel je op zich gelijk hebt, is dat natuurlijk niet een erg fijne situatie. Moeten afbreken omdat ze meer gegevens willen dan strict noodzakelijk voor de beoogde transactie.

Je was tenslotte niet voor niets van plan die transactie te doen, dan wil je dat niet moeten afbreken enkel omdat een wederpartij meer vraagt dan netjes is.

In de praktijk gebeurt het natuurlijk al vaak zat. Dat je bijvoorbeeld je naam en adres moet opgeven om iets te kunnen kopen, terwijl men je naam of adres in principe niet nodig zou moeten hebben.
Het voordeel daar is dat je over het algemeen dan wel kan weigeren en toch de transactie door kan laten gaan (zeker in stenen winkels waar een verkoper daar per transactie ad hoc over kan beslissen). Of dat je fictieve gegevens kunt opgeven.
Voor grote aankopen vind ik het niet erg om mijn adres te geven aan de partij zoals bij auto, keuken enz.. Voor online kopen is dat wel handig dat ze weten waar je woon :)

De bonus kaart van AH heb ik wel, al moest ik daar ook e-mail adres en andere zaken geven.. Die heb ik idd fictief ingevuld.. Ze hoeven niet te weten of in alleen of samen ben :)
Maar fictief is straks dus niet meer mogelijk! Dat is wel een probleem.
Als ze mijn adres niet nodig hebben doe ik dat vaak ook fictief.
Je denkt toch niet dat de overheid AH toegang gaat geven voor een bonus kaart? Dan zouden er heel veel privacy gegevens gedeeld worden. Denk niet dat de waakhond daar achter zou staan..

Deze techniek is ene verbetering op DIGiD, instellingen, zoals een vereniging zou dit kunnen gebruiken om een ID te controleren en je NAW gegevens die vereist zijn bij lidmaatschap op te slaan.. Dat is makkelijk ook bij een verhuizing..

Maar een AH met zijn bonus kaart met als doen reclame zal hier echt niet tussen passen ik denk dus ook niet dat je hier bang voor hoeft te worden.
Volgens mij begrijp je het punt niet. Op dit moment ligt de beslissing om een bedrijf wel, geen of onjuiste gegevens te verstrekken bij jou. Als AH straks Idensys verplicht stelt voor een bonuskaart, dan kun je alleen nog maar kiezen tussen niet meedoen (en dus geen bonuskorting krijgen) en wel meedoen (en dus je echte gegevens verstrekken). De keus om wel mee te doen maar valse gegevens te verstrekken is er straks niet meer. Dus kan het bedrijf in feite bepalen welke gegevens ze van je willen en je kunt ze niet meer vervalsen of niet aanleveren.

Dus dit is weer eens een goudmijntje voor bedrijven, terwijl de rechten van burgers met voeten kunnen worden getreden. En we weten allemaal dat als het kan, dan gaat het ook gebeuren. Heb je er wel eens over nagedacht wat er gebeurt als straks Facebook ook verificatie met Idensys gaat vereisen?

En voordat mensen hier weer gaan janken dat je ook geen valse gegevens hoort te verstrekken: Nee dat hoort inderdaad niet, maar bedrijven vragen vaak om gegevens die ze niet nodig hebben, en dat hoort ook niet. Dus in die gevallen vind ik het toegestaan om valse gegevens te verstrekken.

[Reactie gewijzigd door PhilipsFan op 30 december 2015 13:49]

Vragen staat vrij :) Jij bent vrij om toestemming te geven.

Die bonus'korting' daar betaal je gewoon voor met je persoonsgegevens. Persoonsgegevens zijn een commodity geworden.
Je kan er ook voor kiezen geen bonuskaart te nemen en dus geen korting te krijgen, die keuze ligt bij jou.

Volgens mij (althans lijkt me logisch) is er wel een soort van screening bij Idensys of partijen wel gerechtigd informatie verlangen.
Je bent op de hoogte van het feit dat als je bij de kassa vraagt of de kassière de bonuskaart zelf wilt inscannen dat zij dit gewoon doen?

Wellicht dat dit in de toekomst verandert..
Dat was al eens veranderd maar ah is er op terug gekomen..
Ik denk niet dat bedrijven daar mee gaan weg komen. Wanneer ze te veel vragen kan dat averechts werken.

Bovendien weet ik niet of een (commerciële) organisatie zelf vrij is om dit in te regelen of dat zij dit ook moeten aanvragen bij de overheid.
De gemeente Eindhoven doet iig mee. Op hun site staat iets meer info
Dit is een andere pilot dan waarover in dit artikel wordt gesproken. Voor de proef in Eindhoven en Den Haag gaat naast de SMS en alleen het wachtwoord, een fysiek beveiligingsmiddel toegevoegd worden aan DigiD. Het Stork nivo van DigiD gaat hiermee omhoog.

https://www.eid-stork2.eu/
Kan iemand mij vertellen hoe zich dit precies verhoudt tot iets als OAuth? Of is dit eigenlijk wat iDeal is voor betalen?
Het is zover ik kan zien een OAuth implementatie met wat uitbreidingen
Ben benieuwd welke gegevens de identiteitsservice gaat opslaan. Ze weten nu (met grote zekerheid) dat Pietje idd de alcohol website heeft bezocht.

Verder ben ik benieuwd hoe het gaat met meerdere gebruikers op 1 computer. Mijn ouders gaan echt niet meerdere inlog accounts gebruiken. Als je een soort van Oath doet dan is meerdere accounts (of browser profielen) toch wel nodig.
Idensys kan wat dat betreft beter met iDeal vergeleken worden dan met OAUTH. Je kan best met meerdere personen de zelfde computer gebruiken zonder browser-profile en toch allemaal met je eigen authenticatiemiddel. Je zal steeds je persoonlijke authenticatiemiddel moeten gebruiken om je te authenticeren.
Deze melding kreeg ik in mijnoverheid.nl:

Geachte heer,
De overheid wil de online dienstverlening nog veiliger en betrouwbaarder maken en onderzoekt in een pilot (proef) een nieuwe DigiD-inlogmethode. Het is een inlogmethode waarbij gebruik wordt gemaakt van een testrijbewijs (specimen e-rijbewijs) in combinatie met een kaartlezer. De gemeente Eindhoven neemt deel aan de pilot en nodigt u uit om mee te doen.
Heeft u een geldig rijbewijs en een DigiD? Dan kunt u meedoen aan de pilot.
Wat houdt de pilot in?
Als u zich opgeeft en wordt geselecteerd, krijgt u voor drie maanden een testrijbewijs en een kaartlezer. Met het testrijbewijs kunt u met uw computer inloggen bij de overheid, zoals de gemeente, de Belastingdienst of de SVB. Het gaat dus om alle overheidsdiensten waar u op dit moment ook met uw DigiD-gebruikersnaam en -wachtwoord kunt inloggen. Tijdens de pilot gaat u verschillende keren inloggen én beantwoordt u enkele vragen. Na drie maanden levert u het testrijbewijs weer in. Het testrijbewijs kunt u niet gebruiken als wettelijk document. Uw eigen rijbewijs blijft dus normaal geldig. Als dank krijgt u een IRIS-cheque van vijftig euro.
Waarom deze pilot?
De overheid wil de online dienstverlening nog veiliger en betrouwbaarder maken. De gemeente Eindhoven neemt deel aan een project van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties waarin nieuwe ontwikkelingen op het gebied van digitale dienstverlening in pilots worden onderzocht. Eén van de pilots is het onderzoeken van een nieuwe DigiD-inlogmethode met een testrijbewijs en een kaartlezer. In Den Haag wordt een vergelijkbare pilot uitgevoerd met een ID-kaart.
Meld u aan!
Beschikt u over een geldig DigiD én een geldig Nederlands Rijbewijs? Dan kunt u zich via deze link Pilot eID – Berichtenbox voor deze pilot inschrijven. U kunt ook de link -verwijderd- in uw browser plakken. Op www.eindhoven.nl/e-rijbewijs vindt u meer informatie over de pilot en antwoorden op een aantal vragen. Mocht u een andere vraag hebben, dan staat er een e-mailadres bij zodat u uw vraag kunt mailen.
Doet u mee? Alvast hartelijk bedankt!
Met vriendelijke groet,
Zoals niki_lauda hieronder al correct opmerkt is dat een andere proef, namelijk om DigiD te voorzien van beveiligingsniveau Hoog (smartcard met PKI) naast Midden (SMS) en Laag (alleen username en password). Meer info hierover in de 'verschillende niveaus van beveiliging' link in het nieuwsbericht.

[Reactie gewijzigd door Rafe op 1 januari 2016 15:41]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True