Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 108 reacties

Het Bureau ICT Toetsing, oftewel BIT, heeft een advies opgesteld over het eID-programma. Dit moet het mogelijk maken om met elektronische identificatie online in te loggen. Het bureau waarschuwt ervoor dat het programma vast kan lopen omdat het te complex is.

Het BIT stelt dat er al veel stappen zijn ondernomen om ervoor te zorgen dat het programma eenvoudiger wordt. In eerste instantie was het programma, dat een alternatief voor DigiD moet bieden, gericht op zowel inloggen bij de overheid als bij bedrijven. Inmiddels is dit beperkt tot alleen inloggen bij de overheid, bijvoorbeeld met een eNIk, oftewel een digitale identiteitskaart, of een eRijbewijs. Volgens het BIT heeft deze beslissing al veel complexiteit weggenomen, maar is dit nog niet genoeg.

Minister Plasterk reageerde vrijdag inhoudelijk op het rapport van het BIT. Daarbij stelt hij het met het toetsingsbureau eens te zijn wat betreft de krappe planning van het programma. Het is namelijk de bedoeling dat er in 2017 al gebruikgemaakt kan worden van de nieuwe inlogmiddelen. Deze doelstelling komt volgens het BIT in gevaar, mede doordat de beschikbare 23 miljoen euro niet voldoende zouden zijn. Daarnaast is het kritisch over de voordelen van het nieuwe systeem voor de burger en stelt dat deze 'in eerste instantie beperkt zullen zijn'. De minister reageert op deze kritiekpunten door te verwijzen naar de pilots die op dit moment worden uitgevoerd en door aan te geven eerst de evaluatie daarvan af te willen wachten.

De achtergrond van het eID-programma is de bevinding dat de afhankelijkheid van DigiD te groot is en dat daardoor een kwetsbaar systeem ontstaat. Bijvoorbeeld in het geval dat DigiD niet beschikbaar is. Daarnaast worden er aan het nieuwe systeem beveiligingseisen gesteld die niet aan het huidige systeem gesteld zouden kunnen worden.

Moderatie-faq Wijzig weergave

Reacties (108)

Eerst Idensys, nu weer eID en tegelijkertijd wordt er gesproken over eNIk en eRijbewijs. Wat is het nu?
Er lopen op het moment drie pilots om het Nederlandse eID-programma te 'winnen'. Idensys is een stelsel van identity providers die namens de overheid digitale identiteiten uitgeven. Het is is in feite eHerkenning 2.0 dat al door bedrijven gebruikt wordt om zaken te doen met de overheid. Binnen de regels van het stelsel kunnen de providers concurreren op zaken als prijs en functionaliteit (bijv. two-factor met Google Authenticator, U2F en smartphone app).

De banken willen met iDIN ook een identity provider worden, in Scandinavische landen is het soortgelijke BankID daar al populair. Beiden kan je bijvoorbeeld al gebruiken bij de Belastingdienst.

Zowel Idensys als iDIN maken gebruik van zogenaamde private middelen. Een eNIK/eRijbewijs is een publiek middel en bevat een smartcard met certificaten. Je kan dan met je gebruikersnaam, wachtwoord en smartcard (via NFC-lezer) inloggen op DigiD met beveiligingsniveau 'hoog' (met SMS is 'midden'). Proeven hiermee lopen momenteel in Den Haag en Eindhoven.

[Reactie gewijzigd door Rafe op 18 juni 2016 00:57]

ik snap het echt niet ;... in het "derdewereldland" (volgens sommige NL'e tweakers toch) Belgie hebben we al verschillende jaren een eID in gebruik (een smartcard met chip) en die wordt ondertussen zowat overal gebruikt als het met sociale zekerheid, gezondheid of overheid te maken heeft.....
er staat een publiek profiel op de kaart, een privaat profiel en er staan certificaten op de kaart (signature & identification) zodat je alles kan doen wat analoog mogelijk is... wil je een email digitaal handtekenen? geen probleem. een pdf'je ondertekenen voor je het verstuurt? geen probleem. aanmelden bij het ziekenfonds? geen probleem... Belastingen online invullen, geen probleem, pensioenfonds raadplegen, etc etc..

ik snap niet dat er in nederland nog altijd op het niveau gewerkt wordt van het jaar 2005.
Wat kan er nu zo moeilijk zijn om iedereen een nieuwe identiteitskaart te geven met wat gegevens en 2 certificaten op die chip? wanneer mensen hun nieuwe id-kaart gaan afhalen moeten ze die activeren met de PUK code die ze thuis ontvangen hebben en meteen een pincode kiezen, en dan krijgen ze hun nieuwe kaart mee naar huis (er worden dus geen pincodes per post verstuurd).
De nederlandse overheid wordt dan gewoon zelf een certificaat-authoriteit (en komt dus ook in alle browsers terecht)
De pilot met het eRijbewijs werkt qua uitgifte volgens de documentatie van de gemeente Eindhoven zoals je beschrijft. Voor het authenticeren is nog wel DigiD nodig omdat bijna alle Nederlandse overheidsdiensten daar al op zijn gekoppeld. In Belgie moet dus elke overheidssite zelf de authenticatie met het identificatiebewijs doen? (edit: ja) Dan is er neem ik aan nog wel ergens een centrale CRL voor die sites om te checken of de certificaten niet zijn ingetrokken, bijvoorbeeld omdat het paspoort is gestolen.

Of het eRijbewijs ook een signing certificaat bevat weet ik niet. Nederland heeft al geruime tijd de PKIOverheid root CA. Net als bij eHerkenning wordt er gewerkt met een stelsel, via de deelnemende dienstverleners kan je dus een certificaat voor signing of authenticatie aanschaffen. Sommige partijen zitten in beide stelsels, dus met 1 account daar kan je ook alles.

[Reactie gewijzigd door Rafe op 19 juni 2016 12:19]

Ze gebruiken Java voor het inloggen met de eID. Groot probleem, dus.
waar gebruiken ze java voor het inloggen?

ik heb alvast geen java meer op m'n windows installaties staan (onder linux wel, daar gebruik ik het ook voor andere zaken), en ik kan perfect inloggen met chome en firefox onder win10 (edge en IE gebruik ik niet dus kan ik niet over oordelen)

maar als gebruiker heb je in ieder geval al zeker en vast gťťn java nodig om met eID te werken. Wie je dat vertelt maakt je maar wat wijs (hetzelfde soort mensen dat bij elke windowsversie zegt dat de oude vťťl beter is en je niet mag vernderen omdat de nieuwe slecht is en er niets meer zou werken..Ook gewoon stierenkak, sinds win2K is er geen 'slechte' windowsversie meer geweest, enkel windows 8 was minder gebruiksvriendelijk NAAR MIJN MENING.
Hangt er natuurlijk vanaf waar je jouw eID gebruikt. Sommige implementaties gebruiken inderdaad Java omdat deze in de browser draaien (nu niet meer mogelijk in Chrome en andere browsers). Dus voor sommige sites heb/had je inderdaad wel Java nodig (toch minstens de plugin).
het enige wat ik ooit heb geweten dat java gebruikte bij eID was de viewer van je identiteitskaart, maar da's een standalone app..

verder gebruiken de meeste sites wel javascript voor het implementeren van de eID code, maar voor zover ik weet heb je daar helemaal geen java voor nodig, die twee hebben totaal niets met elkaar te maken, javascript heet ongelukkig zo. Er wordt namelijk gewoon gebruik gebruik gemaakt van standaard libraries die door de browser aanspreekbaar zijn; er hoeven dus geen gekke toeren te worden uitgehaald waarvoor java dus eventueel nodig zou zijn. Een beetje javascript is ruim voldoende. Het is zelfs zo dat er tegenwoordig voor firefox zelfs al een "eID belgie" plugin bestaat. Al stel ik mij er wel vragen bij want na het installeren ervan blijft hij soms zeggen dat hij de middleware ontbreekt al is de laatste versie ervan geinstalleerd... mogelijk moet die plugin een update ontvangen
Waarom zou je wat nieuws gaan testen als er al een systeem bestaat? Ze kunnen toch gewoon eHerkenning bruikbaar maken voor consumenten? Lijkt mij dat dit systeem zich al bewezen heeft in de loop der tijd.
Het zal wel opnieuw aanbesteed moeten worden oid. Idensys is precies wat je beschrijft, eHerkenning ook voor burgers. In bijvoorbeeld het Verenigd Koninkrijk zie je al een soortgelijk systeem met een stelsel van identity providers voor GOV.UK Verify.
wow, betaal contant en sta met je smoelwerk op de beveiligings-camera, of doe je soms ook een bivakmuts op als je bij de lokale sesksjop condooms gaat kopen? of butplugs? of gewoon een pak melk bij de AH.

uiteindelijk is het enige punt dat echt telt: de mate van veiligheid tegen identiteitsfraude, en tracking door partijen die er niets mee nodig hebben.

ik zie dus ook meer in een pgp ondertekening, dan in het zolveste eID systeem,
Ken je de serie Person of Interest?
Ik denk niet dat dat al werkelijkheid is. Al zal de NSA al veel kunnen.
Je weet dat alle banktransacties in de EU aan de USA worden doorgegeven?
Gaat ze wat mij betreft niets aan wat ik doe. Die tracking via de bank.
Denk dat via alle camera's nog even te hoog gegrepen is. (en ik niet interessant ben)

Pgp met public / private key lijkt mij voor veel dingen ook de weg om te gaan.

p.s. geen bivakmuts maar een aluminium hoedje... :*) :*) :*)
Ik accepteer geen identificatie die via een derde partij zou moeten lopen, daar werk ik niet aan mee. [...] Overheid met in-house DiGiD kan nog net.
Overheidsorganisatie Logius is de eigenaar van DigiD, maar de ontwikkeling en hosting is een aanbesteed project dat door private partijen wordt uitgevoerd. Het verschil met eHerkenning/Idensys, waar Logius de toezichthouder is, is dus niet zo groot.

[Reactie gewijzigd door Rafe op 19 juni 2016 11:17]

Het is al geruime tijd Idensys, dat is sinds eind juni 2015 de nieuwe naam voor eID.
Gemoddeerd naar een 0? Dit is toch wel degelijk vrij relevant voor;

https://www.eherkenning.n...id-stelsel-wordt-idensys/

Het 'programma' mag dan nog eID heten met de drie betreffende pilots, maar eID zelf (als product) bestaat niet meer...
Ik werk zelf als ICT'er bij een (semi) overheidsorgaan en kan enkel beamen wat er aan vooroordelen zijn over ambtenaren: lui, traag, 9-17 mentaliteit, visieloos, weinig kennis of kennis verkeerd ingezet, te weinig scholing en te snel externe expertise, geen ruggengraat, vriendjespolitiek, wordt niet/weing gestuurd, nauwelijks consequenties aan falende werknemers. Al met al draagt dit erbij dat de vaste oude (falende) garde vooral blijft zitten. De nieuwelingen raken al snel gedemotiveerd, burn outs, etc. En de oude garde ziet dat gewoon niet in. Het blijft daarmee ook veel van hetzelfde volk aantrekken waardoor ICT projecten echt monsters worden. Echt breek me de bek niet open.

[Reactie gewijzigd door n00bs op 17 juni 2016 19:04]

Daar komt nog een politiek probleem bij: De beslissers zijn gewend ťťn keer een grote stempel te geven en het daarmee als "beslist" te zien. Projecten werken gewoon niet zo, zeker in de ICT verschuift constant de verhouding tussen met name kosten, doorlooptijd en functionaliteit.
Dat is een gegeven, waar je als overheidsmedewerker mee hebt te leven. Kun je daar niet tegen, vertrek dan bij de overheid en ga de private sector in. Alsof daar trouwens elke week de CEO van Accenture of Ordina, alle IT projecten persoonlijk doorloopt, wijzigingen op pakken papier laat neerschrijven en dan in persoon bespreekt met zijn de OR die instemmingsrecht heeft en hem elk moment kan ontslaan, ook vanwege zaken die niets te maken hebben met het IT-project. declaraties. Simpel gezegd: de bestuurlijke dynamiek tussen overheid en private sector is onvergelijkbaar.

Een minister stelt een financiŽle buitengrens op wat het mag kosten zonder dat hij de Kamers telkens hoeft in te lichten. Gaat hij eroverheen, dan is de politieke consequentie dat hij terug moet naar de Kamers. Wil hij niet elke vijf dagen naar de Tweede Kamer voor weer een handtekening voor 2 miljoen extra, dan neemt hij het ruim. Maar ook weer niet te ruiim, want dan krijgt hij ruzie met zijn partijgenoot (van FinanciŽn) of erger, de coalitiegenoot op Financien dat hij geld verspilt of te ruim rekent.
Ook in bedrijven heb je politiek. verschuivende belangen, andere doelstellingen, projecten die naar voren worden getrokken onder druk van potentiele nieuwe klanten, etc.
Klopt dat zie ik ook... eindeloze werkgroepen en autoriteiten die iets moeten/kunnen en willen roepen en mee besluiten. Vervolgens heb je een traject van maanden waarbij de technische uitvoer en impact 0,0 is.

En als ze dus werkelijk een groot project uitvoeren, dan wordt er teveel bijgehaald, constant aanpassingen op een FO (in hoeverre je daar al van kan spreken). Doorlooptijd en kosten stijgen de pan uit en vervolgens ben je allang ingehaald door de huidige techniek of business processen. Compleet idioot.
Ik begrijp de hele insteek niet.

Waarom zou een overheid Łberhaupt commerciŽle activiteiten willen coŲrdineren. Waarom zou een bedrijf gebruik willen maken van een identificatiemiddel van een overheid? En dat het er niet van komt is een opluchting, maar dat er tijd en energie aan is besteed vind ik toch echt frappant.

Wat ik ook mis, is wat er eigenlijk mis is met DigiD? Werkt bij belangrijkste partijen zoals belastingdienst, gemeentes en svb, waarom dat systeem niet een update geven en de rest laten volgen?


Helaas staat de overheid er bekend om het wiel telkens opnieuw uit te vinden waarbij er voortdurend commissies moeten worden opgetuigd waarbij iedereen haar of zijn plasje wilt doen, maar dat is zo 1999.
Voor sommige bedrijven wil je niet dat ze individueel een identificatiesysteem gaan ontwikkelen om zaken te doen die de overheid goed geregeld wil hebben. Wat denk je van zorgverzekeraars, hoe gemotiveerd zullen die zijn om een goed beveiligd, kostbaar inlogsysteem te ontwerpen? Ze winnen er geen klant erbij door zo een systeem.
Nog een reden om basis zorgverzekering door de overheid te laten uitvoeren.
Ik kan bij DSW enkel inloggen met digid dus dit werkt al zo. Probleem met het huidige digid is imho voornamelijk dat met de huidige procedures fraude heel eenvoudig is (http://www.nu.nl/tag/digid-fraude/).

Bijvoorbeeld: aan de ene kant is de "wachtwoord vergeten" procedure zo eenvoudig dat je maar twee brieven hoeft te stelen om iemands huursubsidie te stelen, aan de andere kant is hij zo complex dat mensen die hem vergeten zijn gekort worden op hun uitkering omdat ze te laat zijn met het doorvoeren van een wijziging.

De standaard manier om dit op te lossen door de overheid is om meer en complexere regels te verzinnen die deze situaties handelen, maar dat werkt vaak averechts.

[Reactie gewijzigd door BCC op 17 juni 2016 22:32]

Bij de Spaanse ID-kaart heb je een wachtwoord die je telkens moet invullen om je te identificeren of een actie te ondertekenen.
Als je het vergeten bent of bij 3x het verkeerde wachtwoord, moet je op een machine bij de politiebureau je wachtwoord resetten. Dit gaat door middel van jouw vingerafdrukken.
Het systeem zal wel niet 100% waterdicht zijn, maar het werkt wel uitstekend. In Madrid zijn ze zelfs bezig om de gates aan te passen zodat ze de NFCs van ID-kaarten kunnen uitlezen. Ze zouden dan zelfs zo ver kunnen gaan, dat je jouw boarding pass niet meer nodig hebt.
Dat niet alleen maar als je een keylogger op iemand zijn computer zet en hem verleid om in te loggen bij digi-d heb je zijn inloggegevens.
Ik zie het voordeel wel(, omdat ik namelijk al jaren in het buitenland gebruik maak van mijn ID met identificatie).
Ik kan met mijn ID inloggen op de site van mijn electriciteitsprovider/bank/verzekeraar/telecomprovider, en kan daarmee alle contracten zien die op mijn naam staan. Bij lokale overheden kan ik boetes opzoeken. Het gaat zelfs zover dat ik mijn ID-kaart in een ATM kan stoppen en na het verifieren krijg ik toegang tot alle rekeningen op mijn bank, en kan ik dus ook meteen geld opnemen, storten, overschijven, etc. (Mijn ID-kaart heeft zelfs al NFC, waardoor ik het niet eens meer hoef in te steken.)
Eens met Iblies. Ik ga geen ID van de ene instantie bij een andere gebruiken.
Al die bedrijven hebben niets met elkaar of met de overheid te maken.
Waarom zou je als bedrijf niet gebruik willen maken van zo'n middel terwijl je met dat middel zeker weet dat de persoon die voor je staat ook degene is die hij zegt dat hij is?
Verkoop van sigaretten en alcohol, allerlei vormen van verhuur en zo zijn er nog veel meer zaken te verzinnen waarbij je als bedrijf graag wil weten met wie je te maken hebt.
Sigaretten en alcohol zijn een excuus om mijn identiteit te weten te komen? ECHT NIET.
Wie zegt dat het bij sigaretten en alcohol om de identiteit gaat? In dat geval gaat het om weten wie er voor je staat qua leeftijd.
Jij:
Verkoop van sigaretten en alcohol, allerlei vormen van verhuur en zo zijn er nog veel meer zaken te verzinnen waarbij je als bedrijf graag wil weten met wie je te maken hebt.
Precies, leeftijd, en dus niet meer dan dat.
En dan nog staat er niet wat jij denkt te lezen. Hint: het met wie slaat niet op de sigaretten en alcohol maar op de veel meer zaken.
Is ook niet meer dan logisch aangezien zoals je zelf al aangeeft de identiteit niet belangrijk is (maar wel de leeftijd)
Wat ik van je citeer staat er echt wel.
Lees maar eens -niet- vanuit je eigen standpunt.
Als je wat anders bedoeld, graag ook wat anders schrijven.
De overheid hoeft niets te coŲrdineren. Ze leveren alleen een systeem voor identificatie en authentificatie. Ben jij het niet beu dat je bij elke website of dienst weer maar eens een nieuwe account moet aanmaken, met een nieuw paswoord dat je weer elke zoveel tijd mag vernieuwen? Met soms als gevolg dat je twee accounts hebt op hetzelfde mail adres, maar dat je enkel het account dat normaal verlopen is (vorige aansluiting in een ander huis) nog kan bezien (effectief gebeurd...).
Daar waar een account nodig is, ok, geen probleem. Alles apart dus.
Het grootste probleem is dat accounts vaak genoeg niet nodig zijn, maar de website niet werkt zonder. Dan maar geen website. Ik bel wel of ga langs als ik ze nodig heb. Of ik neem een alternatief. En dus zeker geen externe ID, zie reactie hier boven.
Dus jij verliest liever tijd met fysiek naar alle bureaus te stappen om vanalles te regelen. Met een eid kan je vna thuis uit gewoon een domiciliering in orde brengen (als de provider het ondersteunt...), het kan een vereenvoudiging zijn, en om eerlijk te zijn is het dat veelal ook effectief.
Bellen werkt alleen omdat ze veelal alles van authenticatie gewoon overslaan (een geboortedatum vragen is echt geen authenticatiemethode hoor), het werkt trouwens voornamelijk om technische problemen op te lossen.

Ben inderdaad Belg, domiciliering is een officieel Nederlands woord hoor. Ben zeer blij met het e-ID systeem dat hier is. Er mochten meer bedrijven er gebruik van maken, maar zij die het doen hebben mij al veel tijd bespaard. Het is gewoon veiliger dan voor elke dienst een account te moeten aanmaken met een nieuw paswoord. Het is tevens minder rompslomp dan met papieren werken.
Meterstanden is maar 1 product, dan nog is het geen deftige authenticatie, je stuurt bij een goed uitgewerkt systeem niet de fixed sleutel/authenticatiecode op, ook al staat het enkel op de meterstandenkaart/ergens waar enkel jij aan zou kunnen. Over de telefoon codes uitwisselen is trouwens zeer error-prone, traag en niet gebruiksvriendelijk.

Eerste hit van google gaf je het resultaat voor domiciliŽring. Het heeft geen zin door te bomen over een bepaald woordgebruik, het is geen obscuur dialectwoord. Er wordt hier genoeg Nederlands dialect gebruikt waar ik ook grijs haar van krijg, het is geen reden om de discussie af te laten wijken, tweakers richt zich op zowel NLD als BE...
Alleen zie je zoiets niet alleen bij de overheid, maar zie je dat vaak ook in al langer bestaande grote ondernemingen. Door de immense managment laag en de enorme breedte van bedrijven schuift iedereen maar verantwoordelijkheden af op een ander en geraakt op het einde van de rit niemand nog wijs uit hoe alles in elkaar steekt en wie nu waarvoor verantwoordelijk is.

Ik blijf het spijtig vinden dat overheidsdiensten hiervoor altijd scheef worden aangekeken terwijl er zoveel andere werknemers en managers in de private sector geen haar beter zijn.
Ik blijf het spijtig vinden dat overheidsdiensten hiervoor altijd scheef worden aangekeken terwijl er zoveel andere werknemers en managers in de private sector geen haar beter zijn.
Het is weldegelijk verschillend. In de private sector kost dit uiteindelijk iemand geld, en wordt er vanzelf een keer aan de bel getrokken ter verbetering of men gast uiteindelijk failliet.

Bij de overheid wordt gewerkt met belastinggeld. Daardoor is er niet een enkele externe partij die eens aan de bel gaat trekken. De overheid is zo gek dat er vaak tegen het einde van het boekjaar een eventueel overgebleven budget maar opgemaakt moet worden, omdat ze anders volgend jaar minder geld krijgen. En al wil je meer geld? Hou je hand maar op. Al krijg je het, dan is het niet onder (wederzijdse) SMART voorwaarden. Al krijg je het niet, dan loopt je project vast, met alle kosten van dien.

Tot slot: belastinggeld komt van iedereen. Het is dus logisch dat het publiek eerder geneigd is om scheef te kijken naar de overheid: het betreft hun geld waar inefficiŽnt mee wordt omgegaan.

[Reactie gewijzigd door The Zep Man op 18 juni 2016 10:24]

Tja. En doordat jij denkt in structuren (jonge garde versus oude garde) werk je actief mee aan die blijkbaar zo negatieve cultuur.
Nee ik denk juist aan dat mensen die net klaar zijn met hun studie een kans moeten krijgen. Nieuw bloed, nieuwe energie en nieuwe kennis. Dat is juist voor een vergrijzende organisatie.
Ik werk zelf in opdracht van een (semi) overheidsorgaan en kan totaal niet de vooroordelen beamen die jij uit.

Ja, de besluitvorming is soms trager dan bij een private partij, maar dat is inherent aan de overheid in verband met de vele eisen waar (semi) overheidsinstanties aan moeten voldoen.

Het hele "de werknemers zijn het probleem" argument kan ik mij totaal niet in vinden. Ik kom zelf uit de private sector, ik had dezelfde vooroordelen als jij net weergeeft, maar dat werd volledig van tafel geveegd toen ik er daadwerkelijk midden in zat.
Het is net of ik in de koffiehoek zit op het werk (geen overheid) of bij een aantal van onze klanten (geen overheid), daar hoor ik zo'n beetje precies hetzelfde.
Zeker bij grote(re) bedrijven hoor je over het algemeen soortgelijke verhalen, dat is echt niet voorbehouden aan (semi)overheid.
Hiermee erkent de overheid feitelijk dat DigiD niet deugt qua veiligheid, maar de burger wordt wel door die zelfde overheid gedwongen dit te gebruiken voor o.a voor belasting aangifte(s).
Niet deugt?
DigiD is ondertussen al oud: 2003. Doorbouwen op oude architectuur houdt een keer op.

Daarnaast: het is handig om aan te sluiten op internationale/Europese standaarden om meerdere redenen: interoperabiliteit (netwerkeffecten) en gebruik van standaardcomponenten (schaalvoordelen).
En dat wordt zelfs verplicht met eIDAS: https://en.m.wikipedia.org/wiki/EIDAS
Het gaat hier over veiligheid aangaande DigiD en het verplicht gebruik daarvan door de overheid , dat het oud is menigeen al bekend en doet niet ter zake dus.

nieuws: CBP: inloggen bij DigiD is niet veilig genoeg en zat andere info betreffende de onveiligheid te vinden met een google search

Iets verplicht stellen wat niet veilig is voor burgers behoort een overheid niet te doen.

Gewoon de papieren weg bewandelen totdat er wel een veilig systeem ontwikkeld is dat is wat had moeten gebeuren.

http://kassa.vara.nl/media/354530

dus teken ook bij de consumentenbond Stop DigiDwang!: https://www.consumentenbond.nl/campagnes/digidwang/

https://petities.nl/petitions/stekker-uit-digid?locale=nl

[Reactie gewijzigd door Kees de Jong op 18 juni 2016 05:44]

Het is een lastig iets, het is eigenlijk niet wenselijk om te blijven hangen in het oude maar de stap is voor veel ouderen te groot om over te gaan op het digitale traject. Ik ben er meer voorstander van om iedereen tot 65 te verplichten om het digitaal te gaan doen en daarboven de keuze te laten maken en langzaam uitfaseren. Desnoods maken ze de hele organisatie digitaal maar laten ze een speciale afdeling een soort van conversie doen van digitaal naar papier voor deze groep. Zodat alle systemen al wel 100% aangepast kunnen worden.

overigens heb ik een hekel aan de berichtenbox, ik geef toch echt de voorkeur aan email (veiligheidsaspect ligt dan bij de gebruiker). Dit heeft er ook mee te maken dat ik nu nog niet zoveel berichten in die box krijg dat het inloggen waard is.

[Reactie gewijzigd door My Tec Master op 18 juni 2016 11:46]

Zoals Volvo moet erkennen dat hun model 142 niet zo veilig is als de V70.

Apple moet erkennen dat Quicktime op Windows onveilig is.

Keukentrapjes van 40 jaar geleden zijn niet veilig.

Hell, Android 2.2 is zelfs niet meer veilig.
Waarom je +1 krijgt is mij een raadsel daar de logica die je aanvoert er simpelweg niet is.

Waarom gaat de logica niet op?

DigiD is verplicht en er is geen vrije keuze voor een andere wel veilige optie.

De keuze om in een onveilige Volvo 142 te gaan rijden is een vrije keuze

De keuze voor een veilig keuken trapje is voorhanden: deze zijn gewoon naar vrije keuze te koop in de winkel.

De keuze voor een veilige Android versie is daar, voldoende vrije keus voor een Tablet, Phablet of Smartphone met een redelijk veilige Android versie.

[Reactie gewijzigd door Kees de Jong op 18 juni 2016 05:17]

DigiD voldeed jarenlang prima. Nu voldoet het niet helemaal meer. Dus komt er iets nieuws voor.

Risico's zijn er altijd in het leven. Welk systeem er ook is, niets is 100% veilig.

Het is dus onzin om DigiD af te schrijven. Net als nog legio Volvo 142's rondrijden.

Je moet geen drama maken van iets wat nog heel bruikbaar is. Het grootste risico blijft altijd nog de gebruiker, en dat is ook in de toekomst zo.

Als jij na een auto-ongeluk naar een Nederlands ziekenhuis moet, kun jij een van de duizenden zijn die jaarlijks door medische fouten overlijden. Achter de geraniums blijven dan maar?

Overigens heb jij altijd een keuze. Je kunt voortaan weigeren om DigiD te gebruiken. Of je kunt emigreren.
Ik zie liever dat de overheid verdere digitalisering staakt. Het is niet goed voor de maatschappij.

Het is niet dat ik de voordelen niet zie. En qua werk; ik werk in de IT, dus het is alleen maar al goed voor werkgelegenheid in mijn branche.

Het probleem is dat het vaak als bezuiniging wordt gebruikt. Er gaan banen verloren; bij het gemeentehuis, bij de belastingdienst, U.W.V.... En het geld verdwijnt vervolgens in een veel te duur IT project, dan na oplevering onderhoud nodig blijft hebben. Leuk voor mij, maar om onze samenleving draaiende te houden hebben we die andere banen ook hard nodig.
Dit dus en is niet iets recent het speelt al 30 jaar, maar neemt nu wel echt extreme vormen aan. Al zie ik ook wel van sommige dingen het voordeel. Hoop minder geprint, krijg van een hoop dingen geen post meer en daar ben ik best blij mee. Bijvoorbeeld mijn verzekeringen, kreeg ik bij iedere verandering of jaarlijk een dikke a4 envelop met een overzicht van al mijn verzekeringen. Leuk hoor, bewaar het 1x maar ieder jaar die troep nee dank je.

Maar bepaalde dingen, zoals de belastingdienst moet gewoon op papier blijven of volledig digitaal, niet zoals het nu gaat. Post in hun belang is nog steeds analoog, maar alles wat in de burger zijn voordeel is of zelfs nadeel gaat digitaal. Heb al jaren geen recht meer op zorgtoeslag, maar opeens afgelopen jaar kreeg ik weer zorgtoeslag gestord, had zoiets van wtf. meteen gebeld, ja dat is een nieuwe berekening die heeft u digitaal ontvangen. DIkke ???? heb nog nooit iets digitaal doorgegeven daarover, maar ze verwachten dat je dagelijks met je digid inlogt.
Ik vind dat een verschrikkelijk destructieve manier van denken. Op basis van angst welvaart willen tegenhouden. Vroeger werkten de mensen, zelfs op onmenselijke plekken in de mijnen, wel 6 dagen per week 12 uur per dag. Nu werkt de ambtenaar in een gemeentehuis met airconditioning nog maar 36 uur per week. En straks als de automatisering doorzet en de computers het onzin werk doen (zoals het heel en weer schuiven van informatie) werken wel allemaal nog maar een paar uur per week. Want welvaart is vrijheid en vrije tijd is de hoogste vorm van welvaart!
ID kaart + Rabobank scanner = eenvoudig DigiD systeem.

Uiteraard gaat het om het principe, met een scanner zoals die van de Rabobank en een pas zoals je bankpas met pincode heb je een robuust systeem dat beproeft en bekend is.
Asjeblieft niet! Ik ben vanwege die onhandige reader (en Hopeloze App) weggegaan bij de Rabobank.
Hij heeft het niet over de consumenten reader van de Rabobank. Al het personeel op het hoofdkantoor van de Rabo werkt voor toegangscontrole met een pas en reader. Werkt perfect.
Dat pas-in-toetsenbord-ding?
Nope, pas in laptop/toetsenbord is alleen nog in gebruik bij heeele oude laptops. Eigenlijk heeft iedereen een losse blauwe reader, en samen met je toegangspas kan je van over de hele wereld je virtuele werkplek bereiken.
Kom ik aan met mijn fancy linux of bsd systeem. Of misschien wel mijn nieuwe macbook 32. Ohw meneer de reader ondersteunt alleen nog usb 2.0 op een Windows 10 computer. En inloggen op een iPad pro met iOS 16 ?

En trouwens wie wil er een complete random reader overal heen meeslepen ? Ik heb een rekening bij de ING en bunq omdat daar de authenticatie en verificatie via je eigen telefoon loopt. Di je altijd bij je hebt.
Ik zie het probleem niet zo? :) Het gaat over inloggen met een DigID vervanger? Waarom zou je dan altijd "een complete" random reader moeten meeslepen? Hoe vaak heb je DigID nou nodig? Belastingaangifte? Keer wat gemeentezaken? Kan je prima en veilig 's avonds vanuit huis.

De vraag zou meer moeten zijn: waarom hele grote dure projecten, die zo complex zijn dat ze waarschijnlijk gedoemd zijn te mislukken? En waarom niet gewoon een bewezen simpele oplossing?

En eh, jouw fancy linux, bsd, macbook kunnen geen website weergeven? Ik snap je reactie echt niet eerlijk gezegd :)
Jawel maar de benodigde windows only plugins mis je dan waarschijnlijk.
Plugin? 2 tekstveldjes op je https web-pagina: Gebruikersnaam, toegangscode, en een OK knop. Volgens mij is dat gewoon een standaard HTML form met een POST command?

Als dat niet kan met linux, bsd of macbook dan is het slecht gesteld met de linux varianten van deze wereld :)
Alleen heeft een ID-kaart geen aansluiting voor zo'n lezer. Er zit overigens wel een NFC-chip in met alle gegevens die ook op kaart staan, inclusief (kleuren)pasfoto en eventueel vingerafdrukken.
Dan maak je toch gewoon een aansluiting met een nieuwe kaart. Zolang het goed geÔmplementeerd wordt kan zoiets nog wel 15 jaar meegaan.
En dan zitten we ook nog met de mensen die een paspoort hebben, die gaat ook niet passen.
In BelgiŽ worden er al sinds 2003 chipkaarten uitgedeeld. En in plaats van een random reader zoals bij banken maakt men gebruik van een kaartlezer met de computer (en nog altijd een pincode). Op die manier kunnen handelaren bijv. wel een deel van de informatie uitlezen maar blijft de belangrijkste data (zoals de adresgegevens) nog altijd afgeschermd.
Nederlandse kaarten (en ik neem aan ook die uit andere landen) kun je met NFC taginfo uitlezen, je moet wel het documentnummer en de geboortedatum invullen voor het vrijgeven van de gegevens.
Dan is mijn ID-kaart waarschijnlijjk uniek.
Met wie ga je welk protocol koppelen en hoe moet ik die integreren en welke controles uitvoeren om je eenvoudige DigiD systeem te laten werken met meerdere partijen die ieder hun eigen visie/kijk hebben op de toekomst?

Op iedere tussenlaag in zo'n systeem zijn er architectuur en design keuzes te maken die gedragen moeten worden door een breed aantal overheidsafdelingen en (onderling concurrerende) bedrijven.
Grappig dat bureau ict toetsing afgekort BIT is :p zal wel -1 worden :+

Is dit weer trouwens een gevalletje "faal" ICT project van de overheid of is dit gewoon echt lastig te creŽren ?

Zo ja, wat maakt het nou zo lastig ? Bij bankieren kun je tegenwoordig "veilig" met je telefoon bankieren .. Dan moet het toch niet zo probleem zijn om een veilig inlog systeem te maken voor de overheid ?
Het gaat over de complexiteit eerder dan over veiligheid. Jouw opa gaat wellicht gewoon naar de bank voor geldzaken, die heeft niet zo'n nood aan een smartphone om te bankieren. Maar als NL eID verplicht stelt als inlog methode, dan moet jouw opa er ook wel mee overweg kunnen. Want het is voor alle burgers. eID bestaat in BelgiŽ overigens al lang, en voor een aantal zaken verplicht (niet voor alles).
Ik geloof eigenlijk helemaal niet dat die illusionele opa een overweging is in de besluitvorming. Er zijn de afgelopen jaren heel veel maatregelen genomen waarvan juist uitermate duidelijk is dat heel wat mensen er niet mee kunnen omgaan, en die desondanks toch doorgezet worden (digitale aangifte belastingdienst, digitale communicatie uwv, en de volslagen absurde en complexe regelgeving in het algemeen. Oh ja, en de ov-chipkaart, die eerst is uitgerold en toen pas gedebugd. Ach ja.)

Dus nee... dit project is niet moeilijk omdat de gebruiksvriendelijkheid zo ingewikkeld is. Laten we ook vooral niet doen alsof daarin de belangen van digibete opa's centraal staan.
Een goeie interface voor iets vrij simpels (inloggen, verder niks) is niet moeilijk. Ideal kan het in al z'n imperfectheid al tijden.
Het is moeilijk omdat de grote techbedrijven de overheid schaamteloos uitbuiten en de overheid daar een niet-functionele bureaucratie tegenover heeft staan, en er vrijwel niemand met voldoende kennis van beide domeinen (functionele vs techkant) voldoende de ruimte heeft om ook werkelijk wat te doen. En te veel mensen zijn niet bezig met een goede uitvoering van het project maar vooral met hun eigen strategische belangen.
Het is de interconnectiviteitshysterie die de samenleving parten speelt, i.c.m. de noviteitshysterie. Als iets op een nieuwe manier kan, moet dat gebeuren. Als we het meer kunnen digitaliseren, dan moet dat.

ICT is een doel op zich, geen technologie die in ons belang bestaat. Het is ICT om de ICT, het doen om het doen. En fuck veligheid en privacy.
Dus volgens jou is het moeilijk om een gebruiksvriendelijke interface te maken en is er niemand die dat kan. Kom op zeg.
Zei ik dŗt? Integendeel, bij ons loopt het al jŗren goed. Dus het kan zeker. In NL blijkbaar niet. Overigens exact hetzelfde met digitaal medisch dossier. Of digitale kiesbureau's. Daar en in veel andere domeinen staan we in BelgiŽ tientallen jaren voor op NL, het "gidsland". Tja.
Minister Plasterk reageerde vrijdag inhoudelijk op het rapport van het BIT. Daarbij stelt hij het met het toetsingsbureau eens te zijn wat betreft de krappe planning van het programma. Het is namelijk de bedoeling dat er in 2017 al gebruikgemaakt kan worden van de nieuwe inlogmiddelen. Deze doelstelling komt volgens het BIT in gevaar, mede doordat de beschikbare 23 miljoen euro niet voldoende zouden zijn.
Mag ik even van m'n stoel vallen?!

Het gaat om een vervanging van het DigID systeem, tuurlijk zijn er verschillen, maar de overeenkomst is groot genoeg dat dit niet echt veel werk kan zijn, toch? Nou gaat het hier ook alweer een jaartje ofzo over, en als 2017 (welke maand?! maar even uit gegaan van Januari) de deadline is, krijgen ze dus een ruime 1,5 jaar de tijd om een nieuwe versie van een inlog systeempje te maken?! En dan voor het astronomische bedrag van 23 miljoen, en dat zou niet genoeg zijn? (en ja, natuurlijk zijn er hardware kosten etc, maar toch, 23 miljoen?! doe normaal zeg)

Waar vind ik een baan als overheids-IT-er?
Je bent niet de enige die staat te popelen om dat zaakje eens van binnen te gaan bekijken en orde op zaken te stellen, iedere keer dat er een overheidsproject mislukt vraag ik me af waar die miljoenen naar toe zijn gegaan. Ik denk naar de lange rij van ambtenaren die door fluisteraartje aan het spelen zijn geweest over de requirements van het project.
Ik denk naar de Cap Gemini 's van deze wereld. Dit soort projecten wordt vaak uitbesteed. Dan weet je ook meteen de oorzaak van falende projecten.
Weet niet of zij ook echt helemaal de oorzaak zijn (ook vaak onkunde vanuit de opdrachtgever), maar dat het geld bij dit soort bedrijven terecht komt en dat zij dit maximaal proberen uit te melken is een feit. Gek dat je -1 krijgt...
Mij is tijdens mijn opleiding HBO-ICT geleerd dat het de verantwoordelijkheid is van de opdrachtnemer om de requirements boven tafel te krijgen en een goed product op te leveren. Als jij een project voor 23 miljoen aanneemt dan wordt ook geacht dat je dat aankan, dat je over de juiste resources en kennis beschikt. Je gaat zo'n project ook niet laten leiden door een afstudeerder, daar hoort een flinke groep met doorgewinterde project managers achter te zitten die ervoor zorgen dat er een eenduidig doel boven water komt en zorgen dat de juiste mensen worden aangenomen en of ingezet worden.

Het is wel onkunde van de opdrachtgever dat ze keer op keer hun voorwaarden aanpassen. Dit mag het kosten zolang heb je de tijd, lukt dit niet dan gaat het project naar een concurrent die het wel lukt. Altijd maar dat gezeik dat als het niet lukt dan betaalt de belastingbetaler wel weer wat extra, daar haal je geen resultaten mee.
Tegenwoordig wordt steeds minder de watervalmethode toegepast. Door een project in korte sprints uit te voeren, is verandering van de specs tijdens het project geen ramp meer. Methoden als Scrum zijn juist ingesteld op verandering.

Wat vermoedelijk fout gaat bij de overheid als opdrachtgever, is dat in de contracten het risico volledig bij de opdrachtgever ligt. Daar zouden juristen beter naar moeten kijken.
In het echt, heb ik bij een bedrijf gewerkt die een pilot project deed voor een grote supermarkt keten.

Een pilot project voor zo een 75 filialen gedaan a 15-20 miljoen euro. Met oog naar alle filialen 5000 filialen, 1000 miljoen euro

Maar bij filiaal nummero 4 werd er vrolijk gebeld dat de nieuwe ceo het niet meer wilde hebben. Maar wij hadden natuurlijk al alle kosten gemaakt voor 75 filialen. Uiteindelijk hebben ze betaald en alle sub onderdelen in zee containers ontvangen, betaald voor het hele project maar wij hebben niet het project afgerond.


Als er in de overheid ook zulke projecten worden gecanceld, vanwegen contracten betaal je meestal gewoon alle gemaakte kosten + nog wat extra omdat de leverancier natuurlijk een prijs had gegeven met het idee dat je nog een flinke project zou doen. Maar omdat dat niet is doorgegaan is er een boete clausule opgelegt, daar gaat al het belasting geld dan.
Het zal wel zoals met veel werk zijn. Als je van een afstand bekijkt is het simpel, ga je er mee bezig dan zijn er heel veel details die dan toch veel aandacht, tijd en communicate vragen.
Het gaat hem toch om net iets meer dan een eenvoudig inlogsysteem. Dit systeem moet verschillende systemen aan elkaar koppellen, liefst op een zo veilig mogeljke manier. Er moeten voldoende garanties komen voor de bescherming van de privacy van de gebruiker en er moet geÔnvesteerd worden in infrastructuur maar ook in de mensen die er dagelijks mee zullen moeten werken. §23M is veel geld, maar het is dan ook geen klein project.
Er zijn best veel ICT-vacatures bij de overheid, maar het betaalt beduidend minder dan het consultant zijn begreep ik.
23 miljoen..

Hoe meer ik lees op tweakers dat bijna elke grote site met miljoenen gebruikers toch uiteindelijk gehackt worden/zijn. Hoe meer ik lees dat steeds meer van onze persoonlijke data online komt te staan. Met een enkele login heb je toegang tot iemand zijn bank, uwv, belasting, verzekeringen, etc. Kinda scary. Suc6 overheid!
Daarom kost het ook wat.
Met DigiD liepen wij voor in de wereld, maar er moet wat beters komen.
Here we go again? Het is toch jammer om te zien dat nu al weer negatieve berichten naar buiten komen, voor zo een belangrijk systeem. Dat geeft mij geen goed gevoel, als je de geschiedenis bekijkt. Dit is niet bedoeld om de overheid en ICT te bashen. ICT is en blijft in zulke gevallen een erg complex ding. En dan vraag je je af, is digitaliseren altijd beter? Wat is het uiteindelijke voordeel, en worden alle kosten,en bijkomende indirecte kosten/schade, allemaal weer terugverdiend? En op hoe zo een lange termijn?
Kan het Nederlandse BIT niet leentje-buur spelen van BelgiŽ?
Hier hebben we namelijk al heel lang een eID. En voor zover ik weet (eigen ervaring + kennissen) zijn hier nog nooit problemen mee geweest om ergens in te loggen of een document te ondertekenen. (Zolang je maar de handleiding tot op de kleinste puntjes volgt...)
Maar ... hoe veilig is het belgische systeem? Heb zelf al eens met wat experts gesproken die een stuk dichter op de technologie zitten en als je daar polst dan geven ze toch allemaal toe dat het allemaal veel minder veilig is dan je op het eerste zicht zou denken. Al moet ik toegeven dat er in al die jaren voor zover bekend nog nooit noemenswaardige problemen zijn geweest.
De Belgische e-ID is smartcardtechnologie waarbij de overheid als identityprovider werkt.
Als je hiervan de veiligheid betwijfelt, mag je ok stoppen met het gebruik van bankkaarten.

Volgens mij is het grootste mogelijke security probleem mogelijk foutieve implementaties van authenticate/authorisatie in de applicaties die gebruik maken van e-ID (maar dat ligt dan weer niet aan het kaartje...).
Ook heb ik in het begin de nodige vragen gehad bij de middleware die nodig is, maar hier zijn de kinderziektes (mn installatieproblemen ivm drivers/firmwares) gelukkig wel uit. Ook hebben operating systems tegenwoordig veel completere OOB ondersteuning voor smartcardtoepasingen, wat het zelfbouwgehalte sterk heeft verminderd.
Mij lijkt e-ID best veilig!
In Estland (?) zijn ze ook al een stuk verder... ooit een tegenlicht over geweest. Erg boeiend.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True