Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

VVD en D66 willen dat burgers zelf 'digitale kluis' met persoonsgegevens beheren

VVD en D66 opperen het plan dat Nederlandse burgers het beheer over hun eigen digitale kluis krijgen waarin hun persoonsgegevens staan. Verschillende overheidsinstanties zouden op de gegevens in die kluis moeten vertrouwen.

Zo'n account met persoonsgegevens moet de burger en de overheid de garantie geven dat de informatie klopt, betogen de Tweede Kamerleden Middendorp van de VVD en Verhoeven van D66 tegen RTL. Volgens hen komt het nu regelmatig voor dat overheidsinstanties over verschillende gegevens van dezelfde persoon beschikken, wat tot administratieve en financiŽle problemen kan leiden.

Bijkomend voordeel kan volgens de Kamerleden zijn dat burgers in kunnen zien welke instantie de juiste gegevens gebruikt. De politici roepen staatssecretaris Knops van Binnenlandse Zaken op met een plan te komen op basis van hun voorstel. Dit zou meegenomen kunnen worden bij de herziening van de Basisregistratie Personen, of BRP.

Volgens Middendorp en Verhoeven is het wel nodig dat de beveiliging van DigiD verbeterd wordt. Zo stellen ze voor dat tweetrapsauthenticatie standaard wordt en er een mogelijkheid komt om in te loggen via het scannen van de nfc-chip van paspoorten. Overigens heeft het kabinet al toegezegd dat de beveiliging van DigiD aangepast wordt en dat alleen het invoeren van het wachtwoord en de inlognaam ontoereikend is.

Door Olaf van Miltenburg

NieuwscoŲrdinator

13-07-2018 • 10:24

152 Linkedin Google+

Reacties (152)

Wijzig sortering
Cool om te lezen, dit is namelijk een technische oplossing van mijn afstudeerproject (Waar ik hopelijk volgend jaar op afstudeer). Ik heb vanuit 2 onderzoeken een vraagstelling onderzocht:

Hoe beheert en controleert men als individu gegevens die bij de overheid bekend zijn en persoonlijke gegevens die men niet wil dat die bekend worden. Bijvoorbeeld correspondentie tussen advocaat en cliŽnt, contracten etc. Kortom hoe geef je de informatie eigenaar de controle terug.

Mijn “technische” oplossing is combinatie van blockchain en torent, dus het decentraal opslaan van gegevens en hierbij de integriteit waarborgen en de mogelijkheid gegevens echt te verwijderen met goedkeuring of geÔnitieerd door de informatie eigenaar.

De naam die ik had bedacht is JUDAS en dat staat voor Juridisch Applicatie Systeem en heeft als basis, documenten met juridische waarde echter dit kan voor van alles toegepast worden, opnemen van telefoongespreken, tijdelijk uitgeven van digitale kopie van paspoort met afgeschermde gegevens, etc. De “app” of althans een deel ervan zou dan ook niet toegankelijk zijn voor opsporingsdiensten zodat men medewerking kan geven door wachtwoord van bijvoorbeeld telefoon te geven echter beroepen op het feit dat de gegevens in de app vertrouwelijk zijn. Ook het datasleepnet kan niets met de data omdat deze gecodeerd en decentraal wordt opgeslagen. De informatie eigenaar kan dan zelf bepalen wie welke toegang tot welke data heeft en eventueel een vertrouwenspersoon aanwijzen die bijvoorbeeld in geval van coma of overlijden samen met een arts (die dat digitaal dan verklaart (Digitale akte van overlijden of donor keus) in zijn “app”) toegang kan krijgen tot (bepaalde) gegevens van de informatie eigenaar.

Ik besef dat dit niet de ideale oplossing is, echter we leven niet in een ideale wereld. De vraagstelling is ontstaan uit feit dat ik als persoon enorm veel waarde hecht aan wie er met mijn gegevens aan de haal gaat en hoe, en hoe ik misbruik of fouten kan constateren zonder dat ik continu instanties moet aanschrijven voor gegevens opvraag.

p.s. Ik studeer (hopelijk) af met 2 onderzoeken, een scriptie en een boek. En het is maar HBO, ik wilde eens wat anders doen.:)

Edit - spelfouten en word toegevoegd

[Reactie gewijzigd door Silverdutchman op 13 juli 2018 10:48]

Ik vraag me vooral af, als het een digitale kluis is waar je door encryptie echt alleen zelf toegang toe hebt, wat gebeurt er dan wanneer je je wachtwoord vergeten bent en (heel normaal voor de gemiddelde digibeet) geen speciale voorzieningen hebt getroffen om je private key veilig te stellen?

Ben je dan echt al je gegevens kwijt? Er is immers geen instantie die even je key voor je kan resetten ofzo...
Daar heb ik ook over nagedacht en ik moet eerlijk zeggen ik heb dat een beetje bij BUNQ en Windows Hello afgekeken. In principe de basis 2FA waarbij je meerdere bronnen kan gebruiken, bijvoorbeeld handscan, irisscan, gezichtsscan, masterkey, pincode etc. Ik heb in overweging om voor bepaalde niveaus 2FA + 3e controle mogelijkheid in te zetten. Zo heb ik gepoogd zaken af te vangen als verlies ledematen, ogen, dementia, etc.

Eventueel kan je een vertouwenspersoon vooraf aanwijzen waarmee je gezamenlijk met 1 van de gekozen key’s toegang kan krijgen. 2 People Authentication (2PA)
Het is in ieder geval een interessant probleem dat met een korte blik een simpele oplossing heeft, maar wanneer je exotische situaties gaat meenemen (wat noodzakelijk is als het de bron is van je identiteit) dan valt het ineens enorm tegen.

Je wilt niet dat het helemaal afhankelijk is van wat iemand moet onthouden (want vergeten..), maar ook niet van dat iemand iets moet hebben (want verlies/diefstal), maar ook niet dat het door een 3e beheerd moet/kan worden (want paradijs voor hackers)...

Lastig, lastig... gelukkig zijn er veel slimmere mensen dan ik die vast briljante oplossingen gaan verzinnen :)
Ik wilde je plussen maar dat mocht helaas niet ;)

Ik heb ook niet alle antwoorden, echter ik heb veel werk voor de overheid uitgevoerd en ik heb eerste hand ervaring met feit dat als je persoonlijke informatie misbruikt word wat daar de gevolgen van zijn. Ik moet zeggen dat beinvloed wel mijn beeld en het onderzoek (Heissenberg) echter ik probeer actief bij te dragen aan een oplossing.

In mijn wildste beleving & gedachten zou het recht op informatiebeheer een open source oplossing zijn, waarbij de community (betaald & onbetaald) de oplossing doorlopend controleert en zo handhaaft. Volgens mij zag ik een link voorbij vliegen in de reacties waarbij een soortgelijk project al gestart is.

Overigens mijn excusses voor eventuele spellfouten, ik zit op een niet Nederlandse machine te werken en af en toe gaat dit niet helemaal goed ;)
Beheer door derden is een verplichting voor zo'n project. Dat is geen exotische situatie; denk aan de vele mantelzorgers en bewindvoerders! Je kan van een tachtigjarige digibeet niet verwachten dat die zelf zijn 'kluis' gaat beheren (van een tweejarige 'digibeet' ook niet trouwens).

Een ideale oplossing voorziet erin dat je als burger dit allemaal ook gewoon aan de balie van het gemeentehuis kan regelen. Onze overheid deelt die opvatting niet echt (want participatiemaatschappij), waardoor het er nu vaak op neerkomt dat mantelzorgers (al dan niet formeel in die hoedanigheid) dit soort taken op zich nemen.

[Reactie gewijzigd door Freak_NL op 13 juli 2018 14:12]

Sorry, met beheerd door een 3e bedoelde ik niet dat je kind/voogd/buurman het niet voor jou mag beheren (met jouw toestemming), maar meer dat het niet zo zou moeten werken als een bank, waarbij een instantie de database en het systeem beheert, waardoor er een single point of failure en attack ontstaat.
Als je niet meer bij je kluis kan, dan moet je simpelweg de toegang kunnen herstellen door je te identificeren bij het gemeentehuis. Gewoon via contact met een mens. Hoe je je als burger kan identificeren bij de overheid aan een balie is immers al een uitgewerkt probleem. Enkel een technologische oplossing volstaat simpelweg niet voor een project waar alle burgers mee moeten kunnen omgaan.

Natuurlijk is het uitprinten van een vel eenmalige herstelcodes ook een heel gangbare en pragmatische oplossing, maar daar zul je dan wel een controlemethode bij moeten toepassen, zoals een bevestigende brief op het geregistreerde postadres en een melding op alle geregistreerde telefoonnummers en emailadressen (en je persoonlijke overheidsinbox als die nog bestaat tegen die tijd).

Biometrie is niet iets wat zomaar ingezet kan worden als authenticatiefactor; daar kleven fundamentele ethische en praktische bezwaren aan die je met een paar tellen in een zoekmachine zo gevonden hebt (je noemt er zelf al een paar). De belangrijkste is dat je een biometrisch kenmerk niet (zonder significant bloed- en/of ledematenverlies) kan intrekken. Het systeem moet kunnen functioneren zonder biometrie.

De NFC-chip in het paspoort is wel een geschikte optie als hard token. Ondersteuning voor een open standaard zoals WebAuthn (opvolger van Fido U2F) zou vanzelfsprekend moeten zijn, maar is lastig in ons moeras van tegenstrijdige belangen dat Digid/IDIN/Idensys heet (is die laatste Łberhaupt nog relevant?).
100% met je post eens. En ik als individu heb ook niet alle wijsheid in pacht, helaas kan ik niet open source afstuderen met een scriptie :P Neemt niet weg dat zodra ik afgestudeerd alles openbaar maak qua technische en process data.

Wat betreft biometrie, ik heb Parkison en ik heb een bankrekening bij BUNQ geopend. Dat alleen al is een wonder. Een handscan is namelijk verplicht om een account aan te maken ;) Zal niet teveel in details treden maar met de uiteindelijke oplossing kwamen een bankschroef en lijmklemmen in voor ;)
Zal niet teveel in details treden maar met de uiteindelijke oplossing kwamen een bankschroef en lijmklemmen in voor ;)
Ik zie het al helemaal voor me. Zal er best ludiek/idioot uit hebben gezien.

Het is ook meteen duidelijk dat zo'n methode ook tegen je wil in gebruikt kan worden.
Als je niet meer bij je kluis kan, dan moet je simpelweg de toegang kunnen herstellen door je te identificeren bij het gemeentehuis.
Dat is leuk bedacht, maar als de hele boel beschermd is door middel van sterke cryptografie, dan is het ineens een kwestie van wie de keys beheert en hiervoor de verantwoordelijkheid draagt.

Als je met een simpele wandeling naar het gemeentehuis je key kunt terugkrijgen, dan betekent dit dus dat er ergens een kopietje van jouw key ligt te verstoffen. Voor jou en mij wellicht niet zo'n issue, maar voor publieke figuren of mensen die vanwege hun bezittingen veel aandacht krijgen is het toch niet zo'n fijne gedachte dat je private key met een 'simpele' sloopkraak te bemachtigen is.

Zijn vast wel weer oplossingen te bedenken, maar het is een enorm kat en muis-spel om dit aan alle voorwaarden en wensen te laten voldoen.
Daar heb ik ook over nagedacht en ik moet eerlijk zeggen ik heb dat een beetje bij BUNQ en Windows Hello afgekeken. In principe de basis 2FA waarbij je meerdere bronnen kan gebruiken, bijvoorbeeld handscan, irisscan, gezichtsscan, masterkey, pincode etc. Ik heb in overweging om voor bepaalde niveaus 2FA + 3e controle mogelijkheid in te zetten. Zo heb ik gepoogd zaken af te vangen als verlies ledematen, ogen, dementia, etc.

Eventueel kan je een vertouwenspersoon vooraf aanwijzen waarmee je gezamenlijk met 1 van de gekozen key’s toegang kan krijgen. 2 People Authentication (2PA)
Het probleem van al die biometrics is dat ze juist NIET geheim zijn, als je ze eenmaal ergens hebt afgestaan (nachtclub met ludieke irisscan als toegang, vingerafdruk aan de douane van de VS) dan zijn ze juist altijd publiek. Ik snap dus niet helemaal hoe dit werkt als sleutel. Het kan in ieder geval niet direct een sleutel zijn tot je data. Wat ik me kan voorstellen is dan dat er allerlei backup sleutels door de overheid worden beheerd waarmee je op een bepaalde lokatie (niet een lullig gemeentehuis in lutjeput maar een goed beveiligde lokatie) je jezelf kan identificeren en dan een irisscan oid kan doen. Maar als dit soort dingen kunnen dan betekent dat dus ook dat de overheid dat zelf kan doen zonder jouw hulp. Ik weet ook niet of dat een probleem is want het is me niet helemaal duidelijk uit het artikel wat er nou precies in beheerd gaat worden en of die gegevens niet sowieso al worden uitgegeven door de overheid.
Het is niet enkel biometrie om toegang te krijgen en de biometrie/wachtwoorden wordt net als andere gegevens onderdeel van je persoonlijke kluis/omgeving. Dat gezegd hebbende, jezelf identificeren aan het systeem is 1 van de meest lastige vraagstukken binnen dit project. Het moet echt voor iedereen zijn en toch toegankelijk. Maar door biometrie gegevens toegankelijk te maken in je eigen blockvault heb je ook inzichtelijk waar het gebruikt en toegepast wordt. Dus bij de gemeente worden je vingerafdrukken afgenomen, die verschijnen in je blockvault en dan vraagt de app "de gemeente wil graag toestemming tot die en die gegevens" geef je ze niet krijg je bijvoorbeeld geen paspoort. Maar dan heb je in ieder geval controle over, als je dan je vingerafdrukken beschikbaar wilt stellen aan een nachtclub die hetzelfde systeem hanteert, tsja dat is eigen keus en imho belangrijk voor keuze vrijheid. Of het slim is dat een 2e. Maar je kan ook denken dat opsporingsdiensten bijvoorbeeld via de rechter en advocaat (2PA) via het systeem een dwangbevel uitgeven voor afgeven van je vingerafdrukken. Er zijn meerdere controle en toegangsprotocollen te bedenken voor elke toepassing en systeem, het enige verschil is dat je met deze oplossing altijd een melding krijgt wanneer je data gebruikt wordt.

Het is absoluut geen zaligmakende oplossing, echter voor controle over je data en inzicht is dit hopelijk een goede stap.
Er zijn meerdere controle en toegangsprotocollen te bedenken voor elke toepassing en systeem, het enige verschil is dat je met deze oplossing altijd een melding krijgt wanneer je data gebruikt wordt.
Een systeem waarbij een gebruiker altijd melding krijgt EN actief om toestemming word gevraagd wanneer er toegang word gevraagd tot persoonsgegevens zie ik helemaal zitten. Dat zou een enorme verbetering zijn in de controle die je hebt over je gegevens. Je kunt het dan ook voor heel veel toepassingen gebruiken.

Persoonlijk zou ik wel de toegang tot bepaalde type's informatie aan banden leggen. Voorbeelden daarvan zijn bv:
  • Toegang tot unieke identificerende informatie zoals BSN zou echt maar voor een heel klein aantal doelen gebruikt mogen worden.
  • FinanciŽle informatie zou ook beperkt moeten worden tot bv belastingdienst en financiŽle dienstverleners.
  • Medische informatie moet beperkt worden tot medisch personeel dat daadwerkelijk betrokken is bij jouw behandeling met als enige uitzondering medisch personeel van spoedeisende hulp dat altijd toegang moet kunnen krijgen tot je gegevens op basis van scan van chip in ID kaart of paspoort.
In veel situaties is het ook niet noodzakelijk dat men toegang krijgt tot de daadwerkelijke gegevens, maar dat alleen bepaalde zaken bevestigd worden. Denk bv. aan leeftijdscontrole bij kopen van alcohol. De verkoper hoeft je geboortedatum niet te weten, men heeft alleen van het systeem een bevestiging nodig dat je ouder bent dan x jaar.
Interessant!
Als je nood hebt aan een framework om aan delegatie te doen (bijvoorbeeld voogdij, rechter, minderjarigen,...) binnen bestaande AuthZ standaarden als OAuth, kijk es naar 'UMA', een goeie start is de Wikipedia https://en.m.wikipedia.org/wiki/User-Managed_Access
Supervet project, maar de naam JUDAS moet je echt heroverwegen. Judas geeft een hele negatieve connatatie (verraad).
p.s. Ik studeer (hopelijk) af met 2 onderzoeken, een scriptie en een boek. En het is maar HBO, ik wilde eens wat anders doen.:)
Hey, Als jij je best doet om je opleiding te halen van maakt dan is het niet "maar HBO" . Daar mag je trots op zijn.

Toch vraag ik me af. Ik lees over een soort decentraal opslagsysteem. Mag ik vragen hoe dat werkt?
(uit nieuwsgierigheid he, Ben geen ITmeneer maar een techneut).
Ik heb een beetje begrepen dat iedereen zijn data (die aan hetzelfde systeem toebehoren) overeenkomt. zodat het niet zo zou kunnen zijn dat iemand die data kan beinvloeden omdat zijn versie van het document dan afwijkt. Maar dat zou betekenen dat in iedereen zijn "kluis" dezelfde data is opgeborgen?
of zit ik er nu volledig naast?
Voor een hbo-diploma is beduidend minder inspanning nodig dan ik lever, alleen ik doe iets goed of niet ;)

Ik ben ook een techneut, ooit begonnen met vliegtuigen, gewoon lts mechanische techniek, alleen soms wil je meer.

Goede vraag die je stelt, ik zat en zit daar op dit moment ook deels nog mee. Want je gedachte is goed, iedereen heeft dan dezelfde data en wat als er onderdelen van het JUDAS-cluster in China staan, is dat wenselijk om dan alle informatie via het blok uit te wisselen of alleen het proces om de informatie te controleren? En zou je dus geen controle hebben over waar je informatie staat en beland, en daarmee ondermijn je dus het basisprincipe.

Wat ik in eerste instantie bedacht had als proces is dit (Heel basaal):

Het JUDAS-cluster bestaat in principe uit 2 typen nodes opslag & autorisatie en alleen autorisatie. Bij de eerste mag je zelf kiezen waar je gebruik van maakt (of wordt voor je gekozen door de overheid) via bijvoorbeeld geografische beperkingen etc. de laatste node heb je geen controle over en dat kunnen willekeurige computers zijn. Leuk weetje, met de JUDAS-app wordt jouw telefoon ook onderdeel van het cluster en dan specifiek opslag & autorisatie waarbij standaard alleen jijzelf en de instanties die je toevoegt gebruik van maken.

Stel jij wilt iets veranderen in jouw persoonlijke blok. Dan autoriseer jij jezelf live in het JUDAS-cluster en maakt kenbaar dat jij je blok wilt wijzigen. Er komt een controle slag, ben jij wel diegene, mag jij wijzigen, is het een afwijkende locatie etc. Dat doet elke node individueel en per trap gevoelige informatie moet je laat zeggen 3 tot 20 goedkeuringen vanuit het netwerk hebben (nadeel je moet dus even geduld hebben voordat je mag wijzigen). Binnen het cluster wordt kenbaar gemaakt dat jouw blok gewijzigd gaat worden en je krijgt dan een voorlopige unieke code en dat blok van informatie wordt geblokkeerd in de rest van het cluster. Jij gaat wijzigen verwijderen etc. en meld dan dat je klaar bent door knopje opslaan te klikken. Dan gaat het weer het cluster in en wordt er wederom gecontroleerd of jij de informatieeigenaar bent, of je die gegevens wel mag wijzigen etc. en er is een nieuwe blok gemaakt die in cluster is opgenomen. Dus je kan geen informatie wijzigen, openen etc. zonder “toestemming” van het decentrale netwerk. Dat betekend dus wel dat je online moet zijn en dat er vertraging zit in opvragen, verwerken en goedkeuren van de informatie.


Op deze manier kan je dus controleren waar data staat, wordt het cluster niet overbodig belast en kan je opslag en autorisatie gescheiden combineren. Dit is de basis waar ik aan de slag mee ben gegaan en uiteraard verder uitgewerkt.
Wat heeft een block chain met het beschermen van privacy gevoelige data te maken?
Door een blockchain oplossing kan de data decentraal opgeslagen worden, met eigenaarschap voor de gebruiker (burger). maar is er geen centrale instantie nodig om de authenticiteit van de data aan te tonen. Gezien deze (mits toegang gegeven vanuit de burger) verifieerbaar is op de blockchain.
Klopt, alleen met blockchain kan je geen data verwijderen/veranderen zonder de chain te beschadigen. De techniek achter blockchain bidet geweldige voordelen, de truc is om een extra laag in de chain te maken die veranderingen in de chain kan verwerken en goedkeuren, en daarin schuilt ook een groot gevaar, want op moment dat je kan wijzigen hoe garandeer je dan de dataintregriteit? Dat is de uitdaging.
Nee, je denkt te veel aan een relationele database. Je wijzigt niet 10 keer een veldje, maar voegt elke keer een schakel toe aan de ketting. Dat is je wijziging/toevoeging. Er wordt dus niet 1 record aangepast, maar de ketting wijzigingen wordt verwerkt/verlengd. Het hele doel van blockchain is resistent zijn tegen edits.

Dus stel je wijzigt je pensioensregeling, en het nieuwe bedrag wordt je toegezonden, dan is dat een nieuwe schakel. De oude blijft bestaan. Zo kun jij dus terugzien dat je van 200 euro per maand, op 11 juli 2018 300 euro bent gaan aftikken. Theoretisch gezien kan de pensioensboer, of een hacker, die transactie niet wijzigen.

Wanneer je, volgens jouw suggestie, een mechanisme gaat bouwen om een chain te wijzigen, heb je het hele principe verandert in een omhoog gevallen SQL db met een wachtwoord. Dat gaat compleet het punt van blockchain voorbij.

[Reactie gewijzigd door ItsNotRudy op 13 juli 2018 12:36]

Ben ik deels met je eens, alleen als ik naar het Smart Contract principe kijk, kan je een asset (het contract) wijzigen en ontstaat een nieuwe versie. Alleen de oude asset blijft ook gekoppeld aan de chain en is op te vragen en niet te verwijderen. En nu wil je informatie ten alle tijden kunnen verwijderen, alleen je kan een asset wel uit een nieuwe blok halen echter die blijft opvraagbaar via de oude blokken. Dus daar ben ik het met je eens, mijn uitdaging was/is om wel te kunnen editen, verwijderen en toch de controlestructuur in stand te houden. Je kan namelijk ook geen crypto verwijderen, zonder het blok te breken. Dat is zoals je zegt de kracht van blockchain, je kan de asset verplaatsen of wijzigen maar nooit verwijderen. Dat is voor zaken zoals een individu registratie perfect (Je bent geboren en je gaat dood) genealogie wordt makkelijker, diploma’s of historie paspoortnummers (ideaal voor controle en toezicht ID-diefstal), alleen je wilt bijvoorbeeld je verlopen arbeidscontracthuurcontract na laat zeggen 5 jaar verwijderen dan wordt dat een uitdaging met de huidige technieken.
Dat klopt, maar als dit alleen voor jou inzichtelijk is, wat is dan de waarde van je historie verwijderen?
Simpel, je hebt wettelijk gezien recht op vergetelheid van bepaalde gegevens plus als het systeem 20 jaar werkt wil je dan alle documenten bewaren? Het is best complexe materie en ik loop zelf vaak ook vast hierin.
Jij hebt de sleutel tot je data. Zo kan je nagaan welke gegevens je deelt, hoe frequent ze worden opgevraagd, .. Of dit mogelijk is, hangt natuurlijk af van de uiteindelijke implementatie van zo'n systeem. Volgens mij is de grote sterkte het bijhouden van een paper trail die niet gewijzigd kan worden. Access logs kunnen niet verwijderd of gemanipuleerd worden, waardoor men in de gemeente niet kan liegen over 'we hebben dit wel/niet gedaan' en misbruik van data kan je zo zelf ontdekken.

Het lijkt me wel vereist dat er een verbod is op het kopiŽren van deze gegevens. D.w.z. dat de database dus constant uitgelezen moet worden door de vragende instanties, en dat ze geen lokale kopie gebruiken - tenzij het niet anders kan. Dat lijkt me in BelgiŽ ook wel nuttig.
Klinkt nog als iets leuks ook. Is er ergens waar ik het kan inzien als je klaar bent?
Als mijn scriptie klaar is geef ik toestemming voor openbaarheid dus dan het in principe gewoon ingezien worden. Voor die tijd hou ik nog even voor mijzelf ;)
Tof! Denk wel dat je hier echt een goed idee hebt, misschien een goede game changer

Vraag me wel af hoe je de gebruiker en daarbij dus elke burger boven de 16 bijbrengt hoe belangrijk privacy is en dat deze dus niet bijv. Z'n bsn aan Facebook hoeft te geven

[Reactie gewijzigd door Jan Bob op 13 juli 2018 11:41]

Dank je, en ik hoop het.

Wat betreft je vraag, dat is een goedde als je beseft dat mensen vaak niet eens richtingaanwijzer gebruiken, of append aan verkeer deelnemen waarbij gevolgen als de dood of zwaar letsel niet uitgesloten denk ik soms oprecht dat de meeste mensen het geen bal interesseert hoewel iedereen de gevaren van appen en verkeer beseft. Ik denk dat je straks uitkomt op een digitale Darwin, overleven van de slimste als moet ik dan altijd denken aan de film idiocratie. Ik heb eerlijk gezegd daar geen kant en klare oplossing voor en gezien de diversiteit en (on)wil om er iets mee te doen, ver van mijn bed maken dat een zeer lastig onderwerp. Ik merkte dit in de onderzoeken. Vraag aan een veroordeelde crimineel wat privacy betekend of aan een vloggende fietspuber en je krijgt best een interessant inzicht ;)

edit - spelfout

[Reactie gewijzigd door Silverdutchman op 13 juli 2018 12:16]

Klinkt goed!!!
Waar ik dan wel nog even benieuwd naar ben is het volgende...

Stel; we hebben een eigen datakluis, via jouw idee, of via de overheid...
Houdt dat dan in dat er in geen enkele administratie meer directe persoonsgegevens van je nodig zijn? Ofwel; moeten systemen zoals de belastingdienst etc dan via b.v. een api of blockchaintechnologie inprikken in een deel van jouw datakluis waarin je bepaalde gegevens voor gebruik hebt vrijgegeven?
En zou er dan ook een bepaalde logging zijn, zodat je als prive-persoon eindelijk eens kan zien welke instanties, wanneer en met welke reden gebruik maken van jouw informatie?

Wat dat is natuurlijk de 'ultieme' privancy...ik zou niets liever willen dan 'een nummer' zijn bij alle instanties totdat ze mijn informatie nodig hebben en die dan, op dat moment pas, uit mijn kluis halen (en natuurlijk nergens opslaan
het idee is om blank te beginnen en vanwaaruit je toestemmingen te verlenen. De belastingdienst zal altijd inzage eisen in jouw gegevens dat is zelfs vanuit de wet geregeld. Als als je nu je blockvault koppelt aan de belastingdienst kan je precies zien welke gegevens zij toegang tot hebben. Alleen zij kunnen dus niet door koppelen zonder jouw toestemming (of ze moeten de gegevens kopiŽren). Echter sommige gegevens en koppelingen zijn simpelweg verplicht, zoals GBA, belasting, pensioen etc. Alleen met de blockvault heb je inzicht in die gegevens en op moment dat er iets veranderd of dat ze het inzien zie je dat. Stel je hebt je EPD gekoppeld en je bent vernoemd naar een beroemde plastic pop, en je hebt alleen je huisarts toestemming gegeven om in je dossier te kijken kan alleen hij erin, en op moment dat hij kijkt krijgt zij een melding. Daarnaast kan je toegangs niveaus toewijzen aan blockdata/dossiers.

Going ghost is helaas niet mogelijk als geregistreerde Nederlander echter je kan wel meer grip krijgen op wat er met je info gebeurd waarbij datamanipulatie extreem lastig is. Want wij gaan er allemaal vanuit dat de overheid en/of commerciŽle instellingen de zaken goed op orde hebben, maar 1 verkeerde datanotitie kan gevolgen hebben voor je hele leven en je komt daar vaak pas heel laat achter,
Prachtig, maar ik denk niet dat dit de oplossing is die de overheid voor ogen heeft. Ik denk dat ze gewoon al onze gegevens ergens op een server willen neerzetten en dat zij (de overheid) daar gewoon bij kunnen en dat wij alleen de gegevens mogen inzien en in uitzonderlijke situaties wijzigen.
Inderdaad. Bij het lezen van het woord "kluis" wordt gesuggereerd dat de eigenaar van de gegevens de sleutel heeft maar dat staat niet in het verhaal. Het enige wat ik als voordeel zou zien is als dit systeem zonder uitzondering alle toegang tot deze gegevens inzichtelijk voor mij maakt. Als dat niet het geval is dan is dit systeem alleen maar een last voor mij. Weer een plek waar je gegevens correct moet houden met het risico op sancties als je dat een keer vergeet.
Ik heb in de reactie paar regels onder in hoofdlijnen de initele oplossing uitgelegd die ik bedacht had, deze oplossing gaat uit van een soort kluis/storage.Dit om te voorkomen dat alle data over de wereld gaat. Ik maak een onderscheid tussen de assets en het controle mechniek in deze.
Dat is de oplossing die jij voor ogen hebt maar niet de overheid / opstellers van het plan. :)
Ik lig wel vaker met de overheid in de clinch, ik ben gepokt en gemazeld wat dat betreft ;) Maar toegegeven de overheid heeft tegenwoordig wel een heel bijzondere agenda wat betreft privacy en de algemene staat & gezondheid van de burgers. Ik heb al een tijd de indruk dat landsbelang een vergeten herinnering is geworden. En dit is mijn manier om mij te verzetten en proberen positief en actief de overheid tot andere gedachten te brengen. Lukt het niet, helaas maar ik heb het ieder geval dan wel geprobeerd. De 1 vecht op de straat tegen de overheid, ik probeer het op gelijke gronden te doen. Proces en projectmatig :)
De naam van je project laat al wel een beetje lelijke smaak achter... JAS is al vriendelijker...
De naam keuze is heel bewust, ik wilde zelfs 30 zilverlingen in mijn logo gebruiken (Niet gedaan). de gedachte erachter is vrij simpel. Judas heeft Jesus verraden voor geld, mensen die slachtoffer zijn geworden van informatiediefstal, voelden zich verraden en in de steek gelaten door zowel de overheid als degene die de informatie had gestolen voor uiteindelijk niets meer en minder dan geld. Daarnaast kent bijna iedereen het verhaal van JUDAS, ik ben niet gelovig echter het verhaal biedt wel een paar wijze lessen.
Ik begrijp je redenering voor deze naamskeuze. Het verhaal bevat zeker wijze lessen en de nagenoeg universele bekendheid zullen herkenning promoten. Toch vermoed ik dat bij veel mensen de negatieve associatie met Judas zal overheersen.

Als je toch een historische metafoor zoekt zou ik persoonlijk Pandora wel zien zitten. De algemene beeldvorming hieromtrend heeft wat mij betreft ook meer raakvlakken met de materie dan het verhaal van Judas.
Die reacties krijg ik ook, ik zit daar wel in tweestrijd mee. Enerzijds wil ik een naam die iedereen kent en kan onthouden echter die ook refereert aan het feit wat er gebeurd als je de verkeerde keuzes maakt. Gezien de soms vrij heftige reacties ga ik hier toch wel serieus naar kijken. Misschien dat ik een wedstrijd uitschrijf, moet ik even over nadenken :) Het is uiteindelijk een systeem/proces wat voor iedereen is dan is een naamkeuze misschien ook wel voor iedereen.

Pandora stond op mijn shortlist die is afgevallen omdat er er al best veel producten bestaan met die naam. Ik ben ook gaan vogelen met afkortingen. de vrolijkste die daar uitkwam was prapsy - Private Application System, alleen ik zocht echt een naam die universeel bekend is (dan kom je snel uit op religie of mythologie) en relatie heeft met zowel veiligheid als diefstal van.
ik zocht echt een naam die universeel bekend is (dan kom je snel uit op religie of mythologie) en relatie heeft met zowel veiligheid als diefstal van.
Tja, dat is een lastig iets om dan een geschikte naam te vinden. Andere opties zouden bv Stasi of Securitate kunnen zijn. Ze hebben zeker een sterke relatie met privacy of juist het verlies daarvan. Echter ook hier zal logischerwijze bij nagenoeg iedereen de negatieve gedachte overheersen. Heel simpel gesteld, je vertrouwt de Stasi niet met jouw persoonlijke gegevens.

Er moet door de naam een positieve link gelegd worden met veiligheid of privacy. Namen van organisaties of personen die sterke voorvechters van privacy rechten zijn zullen waarschijnlijk niet gebruikt mogen worden. Misschien dat een naam van een onneembare vesting een optie is, bv Fort Knox, Tower of London, Troje of NORAD.
Ik vraag me dan af hoe je de gegevens weer uit een blockchain wil wissen, deze is toch immutable? Je kan de world state wel aanpassen maar als je terugkijkt in de vorige blocks (die iedereen in zijn bezit heeft) dan kan je alsnog de oorspronkelijke gegevens vinden. Nu kan je dit wel versleutelen maar in de toekomst zijn er wellicht mogelijkheden om deze encryptie de kraken en dan heb je direct alle gegevens van iedereen die ooit in die blockchain heeft gestaan. Door deze immutability van de blockchain zie ik het niet geschikt voor het opslaan van privacy gevoelige informatie.
Als ik het nou helemaal fout begrepen heb dan hoor ik het ook graag.
heb je goed begrepen, dat is ook de grootste kracht en zwakte van blockchain. Ik heb in andere reactie dit iets uitgebreider uitgelegd.Zie hierboven).

edit- spellfout

[Reactie gewijzigd door Silverdutchman op 13 juli 2018 12:18]

Even los van je onderzoek. Er wordt nu gekeken (en dat doe jij ook) naar een technische oplossing voor een probleem dat helemaal niet van technische aard is. De hoofdvraag is: WAAROM hebben de instanties verschillende gegevens van een persoon. Een technische oplossing gaat dat niet direct oplossen. Bovendien is er al een technische oplossing en die heeft Gemeentelijke Basis Administratie (GBA). GBA is een bronregister van de overheid. Een bronregister betekent: wat daar in staat is de waarheid en iedere overheidsinstantie moet die waarheid overnemen. Mocht een instantie tot de ontdekking komen dat de inhoud van het GBA niet klopt, dan moet er een wijziging in het GBA worden aangebracht. Daar gaat het nu vaak mis en dat is meer een procedureel dan een technisch probleem.
Het is een maatschappelijk probleem, en als je beseft dat zelfs slimme lampen gegevens van je verzamelen. De datahonger neemt alleen maar toe en neemt soms bizarre vormen aan en zelfs AI die jouw data analyseert om er vanalles mee te doen. commerciele bedrijven doen dit, maar ook de overheid. Er is helaas geen stoppen aan. en we appen er allemaal aan mee.
Klinkt alsof het veel raakvlakken heeft met dat nieuwe project waar Tim Berners-Lee aan werkt.
nieuws: Tim Berners-Lee werkt aan softwareproject om het web te decentraliseren

Klinkt goed! Succes!

[Reactie gewijzigd door Schway op 13 juli 2018 11:02]

De vraag is waarom iemand dit zou willen?

Alleen mensen die onder beheer vallen zou dit handig voor zijn.
Ik hoop dat de eigenaar, waar de data over gaat, echt alle data in kan zien.
Bij ziekenhuizen kan dit tot op heden nog steeds niet... er moet worden betaald als de eigenaar meer van de data in wil zien. maar onder andere wat er door werknemers van de instelling wordt geschreven over de patient/eigenaar blijft nog steeds achterwege.
Dit principe lijkt altijd veel mooier dan het in praktijk zal zijn. Ik verwacht eigenlijk dat dit hetzelfde wordt als in ziekenhuizen.
Ik zou best wel eens willen weten wat je onderzoeksvragen zijn,.
Mijn commentaar op dit nieuwbericht ollie1965 in 'nieuws: VVD en D66 willen dat burgers zelf 'digitale kluis' met...
Zal het stuk/link vanavond lezen, maar om je kort een inzicht te geven.

Algemeen om een awareness beeld te schetsen.
• Groot denk je dat de kans is dat je slachtoffer wordt van?
• Welke impact denk je dat het heeft?

Interview met slachtoffers, vragen zoals hoe kwam je erachter, hoelang duurde het voordat je echt actie kon ondernemen, werkte de overheid mee, kon je bepaalde gegevens laten veranderen en/of blokkeren, wat zijn de pijnpunten, wat kan beter vanuit hun optiek.

De huidige technische oplossingen en wat daar de voor- en nadelen van zijn. (Dat is de kern van 2e onderzoek)

Interview met advocaten, cliŽnten, zakenmensen over zaken zoals afpersing, bedrijfsspionage, onterechte veroordelingen op basis van “foute” informatie. Over hoe ze nu bijvoorbeeld gevoelige contracten afschermen voor concurrenten, hoe ze omgaan met pogingen tot afpersingen als bijvoorbeeld de tegenpartij het privťadres van iemand achterhaalt. Ik heb nog op de planning staan interviews met gevangenen, paar overheden, nog wat advocaten, juristen en ondernemers. Maar ook mensen die regelmatig in de media verschijnen die dus vatbaarder zijn voor informatiediefstal.

Kortom vragen om te bepalen waar de zaken fout gaan, hoe ze fout gaan en wat je ertegen kan doen en hoe je het kan oplossen zowel vanuit de persoon en vanuit de techniek. Ik heb bewust gekozen voor een informatief onderzoek gebaseerd op interviews met vragen die gaandeweg het proces veranderen. De basisvragen blijven hetzelfde per doelgroep, alleen dit evolueert gaandeweg en moet eerlijk bekennen daar was ik niet echt op voorbereid, omdat de informatieverspreiding en verwerking zo allesomvattend en zodanig weel impact heeft dat het echt bizar lastig is om het te overzien. Kijk ik naar mijn lessons learned, dat is dit wel een behoorlijk issue.
Wat bedoel je met 'maar HBO'? Volgens mij mag je behoorlijk trots zijn dat je HBO doet aangezien dat voor een minderheid van de mensen is weggelegd. Ik heb het idee dat je door iedereen is aangepraat dat WO iets veel hogers is ofzo. Nou dan zal ik je uit de droom helpen (zelf beiden gedaan). Het verschil qua niveau is echt niet noemenswaardig in mijn beleving, het is vooral een andere MANIER van denken en formuleren (toegepast vs theoretisch filosoferend).

Wat jij nu eigenlijk zegt zou hetzelfde zijn als iemand zegt: 'het is maar TU Delft / VU / Erasmus, geen MIT / Harvard'. Je veronderstelt dat het een niks voorstelt omdat het ander nog prestigieuser is.

En zoals iemand al zei: 'JUDAS', serieus? Bedoel je dat als grapje of ben je serieus van plan dat voor te stellen? Zoja dan wil ik je even wijzen op het verhaal van de nr.1 godsdienst in NL en welke rol een persoon met deze naam erin speelden en waarom je dus absoluut niet een naam voor iets als zekerheid/integriteit/veiligheid wil kiezen die juist 'verraad' / 'niet integer' betekent.

[Reactie gewijzigd door Pyrone89 op 14 juli 2018 15:34]

Wat ik bedoelde met " maar HBO" is dat de effort die ik steek in mijn afstuderen toch iets hoger ligt dan wat geŽist wordt vanuit de opleiding. Afstuderen op onderzoeken is vaak meer gericht op Universiteiten of doctoraal. Dus in die context, niet bedoeld als neerbuigend iets. Ik weet als geen ander hoe hard je moet knokken om je papiertje te halen.

Zoals ik al aangaf is juist Judas bewust gekozen omdat het op de achtergrond handelen in informatie ik een vorm van verraad vind, vooral de slachtoffers van informatiediefstal en misbruik. Er zitten zelfs mensen onschuldig vast in Nederland vanwege dit feit, En juist het religieuze verhaal hierachter, je geloof/overtuigingen en je vrienden verraden voor geld is de fundatie geweest voor de naam. Want als je zelf 5 jaar wordt vastgezet voor iets wat je niet gedaan hebt maar de informatie die beschikbaar is zegt dat wel...hoe voel jij je dan? De naam van het systeem is eigenlijk een continu herinnering aan het feit dat je informatie in de verkeerde handen tot verraad kan leiden. En iedereen kent Judas, dat de naam ook andere emoties kan oproepen ben ik mij van bewust.
Daarom ga jij waarschijnlijk dan ook een hoog cijfer halen in plaats van de standaard 6 (want dat is wat geeist wordt, alles hoger wordt niet geeist maar beloond met een hoger cijfer), dat maakt dus niet uit tussen HBO en WO. Ongeacht HBO of WO, altijd geldt wat wordt geeist = je krijgt een 6. Alles daarboven is een 7, 8 of zelfs 9 (als je iets heeeeel goed doet).

Wat betreft JUDAS snap ik je gedachtegang maar zoals je ziet is de eerste reactie bij heel veel mensen hier 'doe het AUB niet'. Het is een interessante kwinkslag maar het leidt nu (in vele ogen op een negatieve manier) af van je geweldige werk. Dat kan nooit de bedoeling zijn. In de categorie stok geven om mee te slaan is dit er 1. Zeker bij ambtenaren worden daarnaast dit soort woordspellingen meestal niet gewaardeerd kan ik je vertellen. Ze vatten dit soort dingen heel snel op als een sneer/persoonlijke aanval. Dus: ja, leuk verhaal en anekdote maar doe het AUB niet. Veel te riskant dit. Je moet om dit te laten slagen namelijk het volgende hebben:

1. Ambtenaren met humor
2. Ambtenaren die daarnaast zich niet beledigd voelen ('dus eigenlijk zeg je dat wij tot jij langskwam er een teringzooi van maakten van bijbelse proporties' - waarop wij allemaal 'Ja' denken maar je dat absoluut niet moet uitspreken natuurlijk).
3. Mensen die dit Łberhaupt niet tegen je gebruiken om te zeggen 'ik kan iemand die zo'n naam verzint niet serieus nemen'.

Veel succes daarmee.

Hou aub JUDAS als een leuke anekdote tussen jou en je vrienden maar houdt het daarbij want je gaat hier echt niet serieus mee genomen worden of zelfs afgefikt worden zonder dat ze de merits van je idee nog verder in ogenschouw nemen (leer mij dit slag mensen kennen, die kunnen het idee al affikken als het logo ze niet aanstaat ook al is het idee het 8e wereldwonder). We zeggen dit omdat wij als mede-Tweakers (een voor allen, allen voor een ;) ) je idee graag willen zien slagen en dus zeggen 'laat dat woordgrapje maar tussen ons, wij weten dat je helemaal gelijk hebt, maar de rest van de wereld is niet altijd klaar voor dit soort dingen'.

Wat je wel kunt doen is er positieve spin aan geven: 'SCHILD', 'DATA FORT' of iets dat juist bescherming en veiligheid in positieve zin uitstraalt. Waarbij je dan in de inleidende tekst je achtergrond verhaal kwijt kunt maar de naam in positieve zin bescherming uitstraalt (jij gaat ze beschermen tegen de judassen immers, je bent er zelf niet 1).

[Reactie gewijzigd door Pyrone89 op 14 juli 2018 15:50]

Klinkt als een interessant onderzoek!

Overigens bestaat een oplossing zoals je noemt al; ZIVVER is een digitale kluis waar alleen de gebruiker toegang tot heeft (zero knowledge principe) en mogelijkheden om toch weer jezelf toegang te verschaffen tot je data (incl mogelijkheid extra beheerders toe te voegen) al bestaan. Dit wordt al gebruikt om gericht data / bestanden met door jezelf gekozen specifieke partijen te delen waarbij je op elk moment je inhoud weer kunt terugtrekken / verwijderen (denk onder meer aan zorg & overheid).

Waarom het wiel opnieuw uitvinden? Of was je hier nog niet mee bekend?
Goedemorgen,

Zivver ken ik wel alleen is er geen tot weinig inzicht in het systeem erachter, hoe het werk functioneert en het is een commerciŽle implementatie.van een deel van wat ik voor ogen heb. Ik zoek echt de opensource/ownership variant waarbij iedereen inzicht heeft in het systeem, iedereen een server kan opzetten en deel uitmaken van het cluster. Daarom zijn cryptocurrencies zo succesvol, iedereen kan deel uitmaken van, zonder te investeren in gesloten software.
Weet zelf uit eigen hand dat een en ander tot op zekere hoogte wel te achterhalen valt (qua werking van ZIVVER).

Je suggestie voor blockchain heeft zo te lezen uit reacties van anderen behoorlijk veel extra nadelen tov een goed uitgedacht systeem a la ZIVVER. Zelfs al is het commercieel; zolang het 'zero-knowledge' principe maar goed geregeld is, is dat beduidend beter dan jouw suggestie imho. Je blockchain oplossing heeft de implicatie dat de gemiddelde Nederlander daar ook maar iets van snapt (los van beperkingen van blockchain zoals benoemd door anderen) laat staan dat iedere Nederlander in staat is zijn/haar data op de juiste wijze in de blockchain te implementeren.

Overigens is de hele oorspronkelijke suggestie gek: GBA zou al afdoende, en leidend, horen te zijn.
Ik denk dat je terecht benoemd dat er technische oplossingen mogelijk zijn, overigens is dit geen nieuw concept. Centrale oplag van burger gegevens waar de burger ultimo controle over heeft. Zwitzerland heeft enkele jaren terug bij mijn weten (wij werden gevraagd voor de cloud infrastructuur)...

Ik denk echter dat er een groot manko inzit qua sociale uitvoerbaarheid, sommige mensen zijn niet instaat om dit soort verantwoordelijkheid op zich te nemen en zouden hierdoor makkelijker uitgebuit kunnen worden of simpelweg verkeerde beslissingen voor zichzelf maken.

Ik ben benieuwd of je heir in je onderzoek ook tegenaan bent gelopen en of hier inzichten in zijn? mogelijk is je project enkel gericht op de techniek en zijn dit soort ethische questies niet meegenomen...
Dat niet iedereen beslissings-capabel is heb ik deels afgevangen door het 2PA (2 Person Authentication), waarbij bijvoorbeeld vader/moeder/opvoeder mede verzoeken moet autoriseren. Dat gezegd hebbende sommige mensen missen de kennis of inzicht in de impact om bepaalde gevolgen van data uitwisseling te begrijpen terwijl ze wel door de maatschappij als zelfstandig worden gezien. Dit is nagenoeg niet te ondervangen, behalve met 1 a 2 zinnen disclaimers als je een bepaalde dienst/data uitwisseling accepteert/goedkeurt. Het systeem geeft je controle over je data, wat wel voordeel is dat 1 van de volgende fases is een soort spam systeem te introduceren. Stel een bedrijf start een nieuwe dienst op cluster met als doel om zoveel mogelijk data te verzamelen, de voorlopige gedachte hierachter is dat er vanuit het cluster eerst toestemming moet worden gegeven van een x- aantal data eigenaren voordat men dat kan. En deze toestemming kan men ook intrekken, stel het bedrijf is goedgekeurd binnen het cluster en doet 10.000.000 dataverzoeken per dag en meer dan de helft wordt afgewezen dan kan je dat als treshold aanhouden om het bedrijf als "verdachte entiteit" te markeren. Er zijn zo meer mechanismen te bedenken, echter het uitgangspunt is dat je niet zomaar als dienst kan aanmelden zonde toestemming van het cluster, en die toestemming kan je dan ook geografisch weer vastleggen. Bijvoorbeeld een overheidsdienst in Belgie wil een nieuwe datadienst introduceren, dan mag de toestemming alleen komen vanuit Belgische datahouders. Nadeel is wel dat er altijd mensen zijn die nee zeggen tegen een nieuwe dienst en dus massaal zaken kunnen blokkeren. Enerzijds goed, aan de andere kant niet altijd wenselijk.

Overigens heeft mijn systeem wel 1 grote flaw, namelijk de basis. Er moet een basis vertrouwensnetwerk worden gevormd om de dienst te starten, ik zie dit zelf gebeuren vanuit deel overheid, advocaatkantoren, opensource foundation etc. In ieder geval vertrouwde organisaties die iedereen kent, je zal namelijk eerst een clusterbase moeten hebben wil dit functioneren. Dat is de kracht en ook de zwakte van het systeem.
Blockchain is echter totaal ongeschikt voor het opslaan van beschermde data, aangezien het grootboek voor iedereen openbaar is wat daarin staat. Heb je daar over nagedacht?
Hoeft niet perse, je kan een permissioned blockchain voor gebruiken en de hash waarmee je de authenticatie beheerst op een publieke blockchain zet.
Zou eens gaan kijken naar self soverign identities icm blockchain.
Snap em enerzijds wel, maar zoals mensen omgaan met hun persoonsgegevens, is het gewoon vragen om dat ze op de duur ( of al reeds vanaf het begin ) niet meer up to date zijn als je het aan de personen in kwestie overlaat.

Waarom niet gewoon in het beheer laten van de overheid, op 1 centrale plaats.
Richt een apart loket in op het gemeentehuis. Als je verhuisd moet je je daar toch steeds melden ivm verhuizen, laat de mensen dan steeds even hun gegevens nakijken/aanpassen.
Gaat het waarschijnlijk ook niet altijd 100% correct zijn, maar toch veel correcter dan dat je het aan de personen zelf overlaat, want godgeklaagd, er loopt wat rond hoor.

Bijkomend durf ik zelfs zeggen, als de overheid intern al verschillende verkeerde gegevens van 1 persoon heeft, dan zou ik zeggen dat de overheid zelf zijn gegevens niet op orde heeft en ze eens dringend zelf een data cleanup/synchronisatie mogen gaan doen.
Want ook daar komt weer de GDPR/AVG om de hoek kijken : je moet ervoor zorgen dat je gegevens correct en up-to-date zijn. Ze zijn dus weer zelf ( zoals verwacht en iedereen ook al wist ), niet in orde met de verordering.
Ik begrijp dat je als burger ook wel plicht hebt om je gegevens correct door te geven aan de overheid etc, maar het is al niet correct van hen dat ze jou gegevens op verschillende plaatsen bewaren/bewerken/weet ik veel wat mee doen. Mooiste voorbeeld vind ik van het niet op orde hebben van je persoonsgegevens die je dagelijks verwerkt.

[Reactie gewijzigd door Falcon10 op 13 juli 2018 10:37]

Richt een apart loket in op het gemeentehuis.
Dat is toch wat dit zal inhouden? Alleen een digitaal bereikbaar loket in dit geval.

Wat zal moeilijker zijn?

Mensen motiveren naar een gemeentehuis te gaan:
Online een afspraak maken, naar het gemeentehuis reizen, nummertje trekken, gegevens updaten.

Mensen motiveren een digitale kluis te updaten:

Waarschijnlijk Digid wachtwoord kwijt, even kijken wat de volgende stappen zijn in de herstelprocedure. Stap 2 is meteen BAM! Er is een brief verzonden. Over een paar dagen ontvang je een fysieke brief en alleen daarmee kan je weer inloggen.. Pfffft…


Okee, ik zeg gelijkspel... :9

[Reactie gewijzigd door S-Face op 13 juli 2018 10:46]

Het enige alternatief voor de brief is dat je bij het gemeentehuis langsgaat. Heel misschien volstaat een video-sessie met allerlei checks zoals het tonen van je ID-kaart. Zoals het nu is, is die brief onmisbaar bij het veilig uitgeven van een login. Dat het vijf dagen duurt is nog een extra ingebouwde beveiliging om misbruik te voorkomen. Als je een beter alternatief weet dat voor iedereen werkt, ik ben benieuwd!
Dat het vijf dagen duurt is nog een extra ingebouwde beveiliging om misbruik te voorkomen.
Dat ben ik volledig met je eens, met mijn opmerking gaf ik alleen aan dat deze ontwerpfout soms ongewenste resultaten kan geven. Als je wilt bekijken wat voor informatie je nog meer moet verstrekken dan is het meteen te laat, stap 2 t/m 5 bestaan helemaal niet.

Als ze dat zouden verwijderen en wellicht een tekstje toevoegen als dit ben ik ook wel tevreden:
'Let op, door dit formulier in te vullen versturen wij u een nieuw wachtwoord per briefpost. U kunt hierdoor pas over 5 werkdagen weer inloggen met uw DigId.'

Dan hoef ik niet een beter, veiliger plan te bedenken om misbruik te voorkomen en weten burgers vooraf waar ze aan toe zijn.
Ik zag toevallig vandaag dat je met IDIN, gebruik makend van je bank-login, ook kunt inloggen bij bv de belastingdienst. Dat betekent een backup-login voor een aantal diensten. Of dat nu goed is of niet - geen idee.
Dit maakt het wel een enorm lucratief doelwit voor hackers.

Gezien de beveiliging bij de overheid denk ik dat dit een zeer slecht idee is.
Als je stelling erop doelt op dat de overheid allerlei systemen niet op orde heeft dan wil ik daar best in meegaan maar een bron van een grootschalig lek van bijvoorbeeld DigiD inloggegevens kan ik niet vinden tot nu toe.
De overheid heeft in de vorm van Digimelding al een voorziening om geconstateerde fouten in (persoons/bedrijfs)gegevens bedrijfsbreed te corrigeren.

Zolang de overheid nog niet eens in staat is om een afwijkend adresformaat voor buitenlandse adressen correct op te slaan (RNI) hoeven we het niet nog ingewikkeld te maken. De Nederlander geeft overigens onder zachte al zijn privegegevens aan wie daarom vraagt. Denk aan Apps die alleen werken als je toestemming tot je telefoonlijst, GPS, fotobestand, enz. geeft. Minstens 80% van de bevolking klikt achteloos op "toegestaan".
Welk probleem heb je dan met RNI?
Het RNI adres is veel te klein (3x35) voor de opslag van buitenlandse adressen en ondersteunt maar 1 adres. Dus geen woonadres en postadres.
Heb je het nu over de velden Buitenland bij emigratie?
Ja die zijn klein en dit is wel eens lastig, daarom moet dit ook goed besproken worden
Maar zoals gezegd de persoon die in RNI staat is hoofdverantwoordelijk voor de registratie en het actueel houden van deze gegevens tenzij een bestuursorgaan contact heeft met de RNI en deze wijziging doorkrijgt dan moet het bestuursorgaan deze wijziging verwerken.

Misschien is de omschrijving van RNI te kort door de bocht voor dit probleem, want de afkorting RNI kan ik op meerdere manieren uitleggen.

Ik vraag me dan ook af welke situatie van toepassing is.

https://www.rvig.nl/brp/rni
Intensief contact met de Belastingdienst leert mij dat een enigszins langer en/of afwijkend adres niet in het systeem past. Aangezien b.v. een M-aangifte perse op papier moet worden ingevuld en daarvoor per post verzonden wordt ontstaat hier een probleem. Bij laatste contact is toegezegd om adres apart (met de hand) op de envelop te schrijven.

Het verkeerde (veel te korte) adres wordt door meerdere instanties gebruikt zoals o.a. SVB voor pensioen info. Gelukkig gaat het meeste tegenwoordig via de Berichten Box :)
Okť, dus Belastingdienst wijzen op hun verantwoordelijkheid.
AziŽ?
Ook de verschillende overheidsinstanties mogen je persoonsgegevens niet zomaar uitwisselen in verband met privacy. Eťn overheidsloket is dus niet haalbaar. Zij zijn afhankelijk van input van anderen of de persoon zelf.

Wel zou je met een, door ťťn van de overheden geverifieerde, gegevensset naar een ander moeten kunnen stappen om iets recht te zetten. Een eigen digitale kluis zou daar aan kunnen bijdragen.
Overheidsinstanties mogen je gegevens uitwisselen als dat nodig is voor het functioneren. Als een overheidsorganisatie je adres nodig heeft voor een wettelijk taak dan mag deze informatie volgens mij vanuit elke overheidsbron gehaald worden tenzij er iets speciaals speelt.
Blabla, komkommertijd.
Weten deze kamerleden nou niet dat de basisregistraties gewoon toebehoren aan de overheid en dat als een overheidsinstantie een basisgegeven van een persoon moet hebben hij gewoon een aansluiting kan nemen op deze basis registratie aan de hand van de wettelijke taken (voorbeelden) ?
Is er een fout in 1 van de basisregistraties zit heb je nu met de AVG het recht van betrokkenen en het proces van herstel kan gestart worden.
EDIT: Dat had men natuurlijk altijd al maar de AVG maakt het leuker END EDIT
Doet men het niet goed kan kun je ook nog geld gaan claimen.

Zit het fout bij een van de verantwoordelijke (maar wel goed in de basisregistratie) dan heeft deze verantwoordelijke wel wat werk te doen (en jij hebt een mooie stok om mee te slaan ;) ).

Ja ik geef toe dat bijvoorbeeld de Belastingdienst (toeslagen) er nog wel eens steken laat vallen als er mutaties zijn op een persoonslijst (zij lijken het proces van afnemersindicatie/kennisgevingsberichten niet op orde te hebben).

En die eigen digitale kluis? Tja die is er al een beetje in MijnOverheid en daar denken ze er hard over na (maar hebben nog geen funding) om alles van de burger te laten landen.

En DigiD dan? Nou dat zit een beetje anders in elkaar. Eigenlijk moet DigiD of heel snel transformeren naar het eIDAS model en een niveau substantieel en hoog krijgen of eHerkenning moet het stokje overnemen voor authenticatie.

Ben trouwens benieuw of iedereen eind september gaat halen (daar waar het nodig is). Hť @Olaf nieuwsberichtje waardig?

Zo dan zijn die kamerleden ook weer een beetje op de hoogte.....

[Reactie gewijzigd door ollie1965 op 13 juli 2018 12:21]

Komkommer tijd? Dit is privacy in de basis. Op dit moment heb ik heb geen controle over wat er in de basisregistratie staat en wie dit gebruiken.

Het concept van TS klinkt mij als muziek in de oren. Nu bestaat perfectie zeker niet en meer dan 20 jaar in de IT ken ik wel een paar leuke situaties waar niemand zomaar aan denkt maar grossomodo sta ik achter het concept van TS. Ik kan me indenken dat er gegevens zijn die ik niet mag veranderen zonder zware controle ... mijn BSN, mijn woonadres ... maar in essentie bepaal ik wie toegang krijgt tot mijn gegevens en ik wil absoluut inzien wie daar gebruik van maken.

De eerste praktische toepassing: een sluitende bel-me-niet en geen geadresseerde reclame register (+1)
Wat er in de basisadministraties staat over jouw als persoon (en minderjarige waar je ouder/voogd van bent) en aanverwante dingen heb jij wel degelijk wat over te zeggen daarvoor zijn er genoeg wetten om op terug te vallen.
Dat niet iedereen ze kent en dat de wegen niet altijd met hoofdletters staan benoemd in het dialect* dat men spreekt ben ik met je eens.
Fouten en onwaarheden moeten verbeterd worden, met de AVG is dat recht verbeterd/leuker geworden (ja bewijs voor de waarheid die jij aandraagt moet wel geleverd worden).

Dat je niet buiten de wet iets kan/wil (verwijderen/delen), tja daarvoor leven we in een democratie en niet in anarchie.
Overigens onderschrijf ik artikel 10 van de grondwet zeer krachtig maar ken ook zijn beperkingen in de democratie waarin wij leven.

Als ik het nieuwsbericht (en de link naar RTL) lees hebben we het duidelijk over persoonsgegevens en overheidsinstanties. Mocht ik iets gemist hebben over andere persoonsgegevens dan wordt ik daar graag op gewezen. De TS geeft een andere invalshoek als waar het artikel naar mijn mening over gaat.
Het zou zeker mooi zijn dat eenieder een digitale kluis heeft en men kan aangeven welke partijen (anders dan de overheid) welke gegevens mag inzien. Maar de uitvoering en oplossing zal nog wel even op zich laten wachten. Overigens zal ik het (buzz)woord blockchain hierbij nooit roepen

*Niet iedereen is even vaardig met het vinden van de wetten/procedures en het uitoefenen van zijn/haar rechten.
Blabla, komkommertijd.
Weten deze kamerleden nou niet dat de basisregistraties gewoon toebehoren aan de overheid en dat als een overheidsinstantie een basisgegeven van een persoon moet hebben hij gewoon een aansluiting kan nemen op deze basis registratie aan de hand van de wettelijke taken (voorbeelden) ?
Is er een fout in 1 van de basisregistraties zit heb je nu met de AVG het recht van betrokkenen en het proces van herstel kan gestart worden.
EDIT: Dat had men natuurlijk altijd al maar de AVG maakt het leuker END EDIT
Doet men het niet goed kan kun je ook nog geld gaan claimen.
Klinkt leuk in theorie.

De basis van het hele probleem dat nu bestaat op het gebied van de digitale overheid en gegevens van burgers, is dat de overheid keer op keer bewezen heeft volledig incompetent te zijn voor wat betreft ICT. Als ze op de huidige DigiD manier door gaan is het niet de vraag of ooit de identiteit van alle Nederlanders misbruikt zal worden, maar wanneer.

Distribueer je de persoonsgegevens op een eenduidige en veilige manier dan wordt dat risico veel kleiner.

Heb je wel eens van de kafka brigade gehoord? http://www.kafkabrigade.nl/ Dat hele AVG klinkt leuk, maar het valt of staat met de implementatie/handhaving.
Ja, ik heb gehoord van de kafkabrigade en ken de verschillende rapporten van de Ombudsman betreffende dit onderwerp (personen zijn digitaal verdwaald/ vastzitten in het systeem).

"dat de overheid keer op keer bewezen heeft volledig incompetent te zijn voor wat betreft ICT"
Ja, zeker maakt de overheid fouten in ICT projecten en ja dat komt allemaal naar boven en het kost ons allemaal geld.
Denk je dat het bij bedrijven niet gebeurt? Ik heb persoonlijk miljoenen overschrijdingen gezien waarbij we dan over percentages van 80% of meer van het originele budget praten. Je hoort er alleen niet over maar je betaald er echt wel aan mee als je een product/dienst af neemt van dat bedrijf. Of dacht je dat de sjoemelsoftware schade die het Volkswagen kost niet betaald wordt door de komende kopers? (kromme vergelijking in slecht ICT projecten maar wel voor het doorberekenen van schade/kosten)

Maar als je meer wilt weten over een aantal mislukkingen. Heb je even?
Als voorbeeld: DigiD.
We hebben nu verschillende soorten stelsels (DigiD, eHerkenning, iDensys, eIDAS) die naast elkaar opereren. De wens van de ambtenaren was naar 1 stelsel te gaan en eIDAS als stelsel te implementeren. Zoiets moet door de minister medegedeeld worden aan de kamer. Vervolgens komen er vragen en een debat.
Ondanks de juiste instructie heeft de minister in zijn wijsheid een antwoord gegeven aan de kamer wat afweek van het advies. Resultaat we zitten met 4 stelsels!

Het modelleren en distribueren van persoonsgegevens/basisregistraties gebeurt al uniform (Nora/Gemma/Petra/Marij zijn dan zoekwoorden om te starten). Dus is het dan veilig? Nee, volgens mij zegt dit iets over de uitwisselbaarheid van de data/informatie. Wat bedoel je met deze zin?

Dat DigiD kraakt weet ik echt wel, iets wat ik in een vorige bericht al heb aangegeven.
Ja, ik heb gehoord van de kafkabrigade en ken de verschillende rapporten van de Ombudsman betreffende dit onderwerp (personen zijn digitaal verdwaald/ vastzitten in het systeem).

"dat de overheid keer op keer bewezen heeft volledig incompetent te zijn voor wat betreft ICT"
Ja, zeker maakt de overheid fouten in ICT projecten en ja dat komt allemaal naar boven en het kost ons allemaal geld.
Denk je dat het bij bedrijven niet gebeurt? Ik heb persoonlijk miljoenen overschrijdingen gezien waarbij we dan over percentages van 80% of meer van het originele budget praten. Je hoort er alleen niet over maar je betaald er echt wel aan mee als je een product/dienst af neemt van dat bedrijf. Of dacht je dat de sjoemelsoftware schade die het Volkswagen kost niet betaald wordt door de komende kopers? (kromme vergelijking in slecht ICT projecten maar wel voor het doorberekenen van schade/kosten)

Maar als je meer wilt weten over een aantal mislukkingen. Heb je even?
Als voorbeeld: DigiD.
We hebben nu verschillende soorten stelsels (DigiD, eHerkenning, iDensys, eIDAS) die naast elkaar opereren. De wens van de ambtenaren was naar 1 stelsel te gaan en eIDAS als stelsel te implementeren. Zoiets moet door de minister medegedeeld worden aan de kamer. Vervolgens komen er vragen en een debat.
Ondanks de juiste instructie heeft de minister in zijn wijsheid een antwoord gegeven aan de kamer wat afweek van het advies. Resultaat we zitten met 4 stelsels!

Het modelleren en distribueren van persoonsgegevens/basisregistraties gebeurt al uniform (Nora/Gemma/Petra/Marij zijn dan zoekwoorden om te starten). Dus is het dan veilig? Nee, volgens mij zegt dit iets over de uitwisselbaarheid van de data/informatie. Wat bedoel je met deze zin?

Dat DigiD kraakt weet ik echt wel, iets wat ik in een vorige bericht al heb aangegeven.
Overheids ICT en ICT van het bedrijfsleven zijn totaal niet vergelijkbaar. Burgers nemen immers gedwongen/verplicht ICT diensten van de overheid af, terwijl het afnemen van een product van een bedrijf nog steeds gewoon een vrije keus is. Een misstap bij de overheid heeft potentieel direct, onvermijdbaar en blijvend invloed op de levens van enkele of alle Nederlanders. Een misstap bij een bedrijf heeft alleen invloed op de groep die er zelf voor koos met een bedrijf in zee te gaan. Verder heeft de overheid de beschikking over ALLE gegevens van ALLE Nederlanders, inclusief de diepste geheimen, verlangens en meningen (wanneer je de data van de geheime diensten meetelt). De meeste bedrijven hebben dat niet, al komen bedrijven als Google, Facebook e.d. natuurlijk aardig in de richting.
Nogmaals: daarom zijn bedrijven en overheden voor wat betreft persoonsgegevens en ICT niet met elkaar te vergelijken.

Voor wat betreft "Distribueer je de persoonsgegevens op een eenduidige en veilige manier dan wordt dat risico veel kleiner."

Daarmee bedoel ik in feite dit.

Een blob encrypted data waarin al je persoonsgegevens zitten. Waarvan alleen jij de private key(s) hebt. Die private key kan in meerdere vormen bestaan en je kunt die delen met wie je zelf vertrouwt (ouders/partner/verzorger, etc). Je kunt de encrypted data naar keuze (air-gapped) bewaren op opslagmedia of "altijd beschikbaar" hebben in een gedistribueerd netwerk (torrent/blockchain/anders).

Wat er eenduidig aan is, is de API naar de data gezien vanuit de consument van de data (de overheid in dit geval). Dus geen 1000en soorten formulieren/websites waarop je als burger steeds opnieuw dezelfde informatie invoert, maar gewoon 1x je data invoeren in je "blob" en met 1 klik toegang verlenen of terugtrekken per consumer. Waarbij de toegang geregistreerd staat in diezelfde blob.

Blockchain en gedistribueerde opslag (torrent) zijn hier perfect voor.

[Reactie gewijzigd door GeoBeo op 13 juli 2018 16:33]

Dus als ik het goed begrijp wil je naast het stelsel van de overheid een "eigen/open" stelsel hebben waarop de overheid aan moet sluiten. Is daar niet een XKSD van ;)

Prima dat je dat wilt maar ik denk dat je dan eerst een politieke partij moet oprichten, verkiezingen winnen (liefst meerderheid kamer), wetten moet maken, verkiezingen provinciale staten moet winnen (en dus eerste kamer winnen)), vervolgens daar de wet doorvoeren en klaar is Kees.

Het is niet om je belachelijk te maken, ZEER zeker niet maar dit is wel hoe het werkt in een democratie.

Overigens zie ik ook niet hoe die overheid de data van jou zou moeten vertrouwen dat jij bent die je zegt dat je bent en alle gegevens die er bij horen en kloppen.

Zou het niet sneller/goedkoper zijn om de eIDAS standaard voor authenticatie aan te nemen allemaal een Smartcard te hebben waarmee we ons dan op niveau 4 (hoog) authentiseren en dmv van de koppelingen die er komen door de www.da2020.nl en de Wet Digitale Overheid die gegeven tevoorschijn laten komen.

En die verdere verspreiding van jouw data naar de webshop, verzekeraars enz enz, kijk eens naar het project iDensys.
Daar zou je ook iDIN voor kunnen gebruiken maar die is in sommige situaties niet voldoende (niveau 3, substantieel), en waarom zou je dan 2 middelen willen als 1 (eIDAS) ook voldoende is.

Voorbeeld van zo'n middel kan ik je zo laten zien (het werkt namelijk al dat systeem).
Steker nog er is een heel land dat het al heeft, kijk maar, ze kunnen er op 2 handelingen na (als mijn geheugen me niet in de steek laat) alles doen met de overheid.
Ze kunnen zien wie de gegevens bekijkt vanuit welke taak/wet. Ben je het er niet mee eens, je ziet bijvoorbeeld een overtreding omdat je maar 2 personen had gemachtigd in een organisatie en een derde popt op op het overzicht, dan dien je een klacht in. Er zijn daar al mensen om ontslagen.

Overigens wil ik je niet overtuigen maar je alleen maar inzicht geven dat het echt wel goed komt.
Of een ieder dit zal vertrouwen en tevreden is, tja ik denk het niet.
Dus als ik het goed begrijp wil je naast het stelsel van de overheid een "eigen/open" stelsel hebben waarop de overheid aan moet sluiten. Is daar niet een XKSD van ;)
Nee, ik stel: de "centrale" doch losse databases van de overheden moeten zo snel mogelijk volledig verdwijnen en plaats maken voor het idee dat ik opperde. Aangezien de overheid bepaald, moet dat dus ook mogelijk zijn. Ook dit is niet vergelijkbaar met een wildgroei aan standaarden; die kan alleen bestaan als er geen centrale partij is die bepaald welke standaard "het wordt". Dus die XKCD sketch is hierop totaal niet van toepassing.
Prima dat je dat wilt maar ik denk dat je dan eerst een politieke partij moet oprichten, verkiezingen winnen (liefst meerderheid kamer), wetten moet maken, verkiezingen provinciale staten moet winnen (en dus eerste kamer winnen)), vervolgens daar de wet doorvoeren en klaar is Kees.

Het is niet om je belachelijk te maken, ZEER zeker niet maar dit is wel hoe het werkt in een democratie.
Nee hoor. Wat ik opper is een mogelijk implementatie van het plan dat de VVD en D66 voorgesteld hebben. Waar dit Tweakers bericht over gaat dus.

Verder ben ik het totaal niet met je eens dat "het zo werkt in een democratie" Nederland is geen directe democratie. Wat mij betreft vind ik het een verkeerd gebruik van taal dat het Łberhaupt een democratie genoemd wordt (maar hey, China is ook een democratie volgens hun eigen beschrijving). Er bestaat in deze wereld maar 1 land dat in de buurt komt van een democratie en dat is Zwitserland. Dat democratie "zo hoort" als in Nederland is en belachelijke stelling wat mij betreft.
Overigens zie ik ook niet hoe die overheid de data van jou zou moeten vertrouwen dat jij bent die je zegt dat je bent en alle gegevens die er bij horen en kloppen.
De overheid kan degene zijn die zelf de initiŽle blob data bij je geboorte aanmaakt, zonder dat je die specifieke gegevens daarna zelf kan wijzigen zonder toestemming (private key) van de overheid. Hier zijn prima technische/encryptie oplossingen voor.
Zou het niet sneller/goedkoper zijn om de eIDAS standaard voor authenticatie aan te nemen allemaal een Smartcard te hebben waarmee we ons dan op niveau 4 (hoog) authentiseren en dmv van de koppelingen die er komen door de www.da2020.nl en de Wet Digitale Overheid die gegeven tevoorschijn laten komen.

En die verdere verspreiding van jouw data naar de webshop, verzekeraars enz enz, kijk eens naar het project iDensys.
Daar zou je ook iDIN voor kunnen gebruiken maar die is in sommige situaties niet voldoende (niveau 3, substantieel), en waarom zou je dan 2 middelen willen als 1 (eIDAS) ook voldoende is.

Voorbeeld van zo'n middel kan ik je zo laten zien (het werkt namelijk al dat systeem).
Steker nog er is een heel land dat het al heeft, kijk maar, ze kunnen er op 2 handelingen na (als mijn geheugen me niet in de steek laat) alles doen met de overheid.
Ze kunnen zien wie de gegevens bekijkt vanuit welke taak/wet. Ben je het er niet mee eens, je ziet bijvoorbeeld een overtreding omdat je maar 2 personen had gemachtigd in een organisatie en een derde popt op op het overzicht, dan dien je een klacht in. Er zijn daar al mensen om ontslagen.

Overigens wil ik je niet overtuigen maar je alleen maar inzicht geven dat het echt wel goed komt.
Of een ieder dit zal vertrouwen en tevreden is, tja ik denk het niet.
Ik snap het voordeel niet van eIDAS ten opzichte van wat ik opperde. eIDAS lost niets op ten opzichte van de huidige gebruikelijke systemen. Behalve dat het 1 standaard is die in heel Europa gebruikt kan worden. Verder heb je gewoon last van de huidige (potentiŽle problemen);
-- Heel veel verschillende databases. Allemaal met de eIDAS API, maar allemaal met potentiŽle beveiligingslekken door verschillende implementaties en interne losse API's.
-- Burgers hebben geen directe controle over hun gegevens, maar wel de directe verantwoordelijkheid. Onredelijk.
-- Burgers hebben geen toegang tot AL hun eigen gegevens.
-- Niet decentraal en dus storingsgevoelig.

Verder. Nog een smartcard? Kom op het is 2018, willen we daar niet juist vanaf?
Heb je het vervolg van de X-Road ook al gezien?

vinx77 in 'nieuws: VVD en D66 willen dat burgers zelf 'digitale kluis' met pe...

Of is het dan nog niet wat je wilt?

Waar zou je je dan mee willen identificeren? Want een Smartcard is niet het enige middel om niveau 4/hoog halen

[Reactie gewijzigd door ollie1965 op 14 juli 2018 15:13]

Op papier klinkt het helemaal niet verkeerd. Ik zou graag wat meer inzicht en beheer in mijn persoonsgegevens willen hebben. Ik ben benieuwd of het wat gaat worden.

Het gebruik van de NFC chip van je ID/Paspoort voor multi-factor authentication lijkt me niet helemaal handig. Ik gebruik zelf bijv. mijn rijbewijs als ID, mijn ID-kaart is laatst verlopen en ik vind het niet nodig om die nu te vernieuwen.
Wil je nu zeggen dat je geen ID-kaart en geen paspoort hebt?

Dat is problemen opzoeken ;)
Hoe dat zo? Binnen NL kun je prima af met een rijbewijs.
Het is maar wat je bedoeld met "prima af".

Uw (Europese) rijbewijs is een identiteitsbewijs. Maar u kunt uw rijbewijs niet altijd gebruiken om uzelf te identificeren. Dit komt omdat er op het rijbewijs geen gegevens over uw verblijfsstatus en nationaliteit staan.

Bij de volgende organisatie of in de volgende situaties kunt u uw rijbewijs niet als identiteitsbewijs gebruiken:
  • de Belastingdienst (tenzij de Belastingdienst anders aangeeft);
  • een uitkeringsaanvraag;
  • indiensttreding bij een nieuwe werkgever;
  • binnenlands vreemdelingentoezicht;
  • inschrijving voor een opleiding bij een onderwijsinstelling.
Bron: https://www.rijksoverheid...-kan-ik-mij-identificeren
Uw (Europese) rijbewijs is een identiteitsbewijs. Maar u kunt uw rijbewijs niet altijd gebruiken om uzelf te identificeren. Dit komt omdat er op het rijbewijs geen gegevens over uw verblijfsstatus en nationaliteit staan.
Dat is wel waar, maar de meeste mensen zijn niet direct een ander als hun ID na een jaar of tien verloopt. En in de nieuw te ontwerpen 'kluis' staan mijn gegevens ook en daar heb ik toegang toe.
Ik snap je gedachte, je rijbewijs wordt vaak geaccepteerd als identiteitsbewijs, maar hou er rekening mee dat je rijbewijs niet voor alles gebruikt kan worden. De reden is dat je nationaliteit niet op je rijbewijs wordt vermeld. Zie ook
In het buitenland kunnen ze daar erg moeilijk over doen en de nieuwe is 10 jaar geldig dus zou 't wel doen.

En zoals ik de tekst lees willen ze het mogelijk maken om het te gebruiken ook omdat vrij weinig mensen van nfc gebruik kunnen maken. Dan ben ik zeer voor voor dit idee want het is veilig en geen derde partij is nodig.
Eindelijk, alleen inloggen via de nfc-chip op je paspoort lijkt me geen goed idee.
Dat zou een tweede factor kunnen zijn en als tweede factor is dat prima.
Als je paspoort al gestolen is, kan die factor ook eenvoudig geblokkeerd worden.
Een open standaard is overigens nog beter, maar het een sluit het ander ook niet uit natuurlijk.
Een ook iDin vind ik een goede ontwikkeling. De bank is toch wel dť plaats waar iedereen zeker zijn gegevens up to date houdt.

[Reactie gewijzigd door vrow op 13 juli 2018 10:53]

Dat zou een tweede factor kunnen zijn en als tweede factor is dat prima.
Als je paspoort al gestolen is, kan die factor ook eenvoudig geblokkeerd worden.
Blijft alleen nog de vraag hoe ik ga bewijzen dat ik ben wie ik zeg dat ik ben als mn identiteitskaart gestolen of verloren is. Het is een klein kaartje en dien hem toch in veel gevallen bij me te hebben om me ooit te kunnen legitimeren. Kwijt ? Probleem.!
Prachtig idee! Hoeft Henk alleen nog maar een passpoort te jatten om je identiteit te jatten.
/sarcasm
Tweetrapsauthenticatie staat er als standaard bij, lijkt mij dus een prima optie als tweede controle.
Waarom niet? De applicatie moet dan natuurlijk een PIN en PUK hebben. Dit wordt al gebruikt i.c.m. DigiD, waar het echter optioneel is.
Als een derde extra factor is het prima, maar niet als een eerste, ik zou het zelfs niet willen als vervanging van een gebruikersnaam. Anders heeft iemand zodra hij/zij je paspoort in handen heeft al direct de helft van wat nodig is.
En ze spreken in dit stuk van inloggenmet; dat komt niet op mij over dat ze het als een extra factor bedoelen. Maar dat ben ik.
Op zich geweldig idee. Maar of het ook gaat werken voor al die digibeten die net na twee pogingen op facebook weten te komen, vraag ik mij ten sterkste af.
Ik snap niet waarom je naar beneden wordt ge-mod, want je hebt wel een heel goed punt. Ik ben bij de Vlaamse overheid ook betrokken bij enkele projecten rond 'digitale kluis' en 'sovereign identity' op basis van blockchain-technologie, hoewel het meer naar bedrijven is gericht op dit moment en minder individuen toe.

Wij komen dezelfde problemen tegen, nl. de gemiddelde bakker in de straat staat niet te wachten om een node in zijn eigen netwerk te draaien die als digitale kluis dienst doet. En de meeste technologieen rond 'sovereign identity' staan gewoon nog in kinderschoenen (Hyperledger Indy om een voorbeeld te noemen).

De meeste van die software pakketten lijken mooi op papier, maar zijn amper in een productie-omgeving getest.
idd, maar ik neem aan dat in dit geval "kluis zelf beheren" betekent, dat burgers via de browser de inhoud en I/O van de kluis kunnen beheren. Niet dat ze ook zelf verantwoordelijk zijn voor de software/hosting van het hele systeem; dat is meer iets voor de overheid.

[Reactie gewijzigd door N8w8 op 13 juli 2018 15:31]

precies dit. Ook mensen die klikken op links dat ze van een Afrikaanse Prins 3 miljoen dollar krijgen, moeten met dit systeem kunnen omgaan en zorgen voor hun eigen veiligheid. Niet dat ik zo pro-vangnet ben, maar deze (in eerste oogopslag mooie oplossing) neemt dat wel weg voor een aantal mensen.

Of is het zo dat de blockchain tech dit juist voor een deel opvangt?
Blockchain lost zoiets niet op. De blockchain is een "ledger", een kasboek, een registratiesysteem. De meerwaarde van de blockchain zit 'm in de distributie, dat ie door duizenden mensen gedownload wordt, en dat via allerlei checks de validiteit van een transactie bepaald kan worden. Zo kun je achteraf geen wijzigingen aanbrengen, want dat zou je dan bij al die mensen moeten doen. Als je als overheid een blockchain in beheer hebt, dan kun je alsnog wijzigingen aanbrengen, en daarmee is het nut weg. Tenzij je natuurlijk toestaat dat ook burgers toegang krijgen tot die blockchain, en dat zie ik niet gebeuren.

Wat de blockchain anders voor nut heeft - ik ben benieuwd?!
Het is zelfs een heel erg goed punt. Hier op Tweakers (en op allerlei andere technische fora) wordt er vaak van uitgegaan dat iedereen maar computervaardig is, en dat zo'n automatiseringsoplossing (mits technisch goed geÔmplementeerd) voor elke burger het ei van Columbus is. Dat is niet zo: er is een grote mate van computer-analfabetisme en computer-laaggeletterdheid in Nederland. Dat betreft heus niet alleen de groep van grofweg zeventig-plus. Ook mensen van vijftig, veertig, dertig of zelfs twintig jaar oud kunnen soms slecht omgaan met computers, gewoon omdat het ze niet interesseert, ze het niet nodig hebben, en het ze niet is geleerd. Daarbij, een foto van je hond op Facebook posten is iets heel anders dan jouw eigen digitale kluis beheren. Er is nu eenmaal een groot aantal mensen dat altijd op <OK> klikt als hen iets wordt gevraagd in de browser.
Ik ken (met name oudere) burgers die er een wachtwoordbeleid op na houden dat niet meer van deze tijd is. Het is naarmate je ouder wordt lastiger om mee te gaan met de tijd, en bij een initiatief als deze lijkt me dat problematisch omdat hiermee ook de verantwoordelijkheid grotendeels bij de burger komt te liggen (niet volledig: de overheid faciliteert).
Ik vraag mij nog steeds af waarom browsers geen wachtwoord manager ingebouwd hebben die ook automatisch een wachtwoord genereert. Ze slaan wachtwoorden al op, waarom gaan ze die wachtwoorden niet ook genereren?
Goeie. Ik zelf gebruik Bitwarden aan (open source) en die doet dat voor mij. Bijv 24 tekens inclusief obscure tekens zoals !@#$%^&*
Het is naarmate je ouder wordt lastiger om mee te gaan met de tijd
Voor sommige ouderen wel. voor sommigen niet. Het probleem is juist dat de verschillen zo groot zijn. Uit de ouderen(80+) in mijn omgeving zitten er tussen die op de iPad hun belasting aangifte doen, maar ook die letterlijk niet eens meer weten hoe een afstandsbediening werkt, ook al hebben ze in het verleden gewerkt met AutoCad systemen en PLCs geprogrammeerd.

Ook jongeren kunnen niet allemaal fatsoenlijk met een PC om gaan. Ook daar password briefjes op de monitor. Ik ken ze ook van 15 jaar die echt nul interesse hebben in ICT, maar wel al 3 talen vloeiend spreken en met nummer 4 en 5 bezig zijn.
Interessant. Komen daar dan ook alle gegevens in te staan die de overheid inmiddels over mij heeft binnengeharkt en mag ik vanaf dat moment dan zelf bepalen welke (overheids)instanties inzage mogen hebben? Of is dat nou net weer niet de bedoeling? :P

[Reactie gewijzigd door ManiacsHouse op 13 juli 2018 10:33]

De overheid is al wetgeving aan het maken om alles bij elkaar te mogen harken, allemaal mogelijk gemaakt via de AVG:
https://www.privacybarome...and_doo...lichten_burgers
De overheid wil graag een soort van Facebook... maar dan op mijnoverheid/digid-niveau. Want samen met de sleepwet hebben ze dan ALLES van je.

Ik heb niet voor niets mijn Facebook opgezegd, toen ik me realiseerde dat Zuck meer van me wist dan de sleepwet in eerste instantie zou kunnen binnenhalen.
En nu blijkt dat de AVG dus ook gewoon een Trojaans paard is.
En dat die AVG een wassen neus blijkt te zijn is maar bij weinigen opgevallen. Ik dacht in 1e instantie zelf ook dat het de privacy zou gaan vebeteren maar door de grote gaten, die er bewust in gelaten zijn, maakt de AVG het alleen maar makkelijker voor overheden om de privacy van de burger volledig te kunnen negeren. Ze hoeven alleen een kleine aanpassing in een wet aan te brengen om aan te tonen dat de verwerking noodzakelijk is en een wettelijk doel dient. Tja, dat was bij de WBP niet mogelijk dus moesten we daar vanaf en naar een Europese datagraai wet over, want in feite is de AVG niets anders.
Maar die NFC chip doet het toch niet bij veel paspoorten die dit jaar gemaakt zijn?
Bij een paar duizend (5000 tot 6000) paspoorten ja. Op het totaal van een paar miljoen uitgegen paspoorten is dat minder dan niks.

En die worden dan ook nog eens allemaal gratis vervangen op korte termijn. Dat lijkt me dus niet echt een reden om dit niet door te zetten :)
De doorsnee tweaker zal zijn spulletjes wel redelijk op orde krijgen in zo'n setting, maar hoe gaan ze dit mijn vader / moeder / oma uitleggen?

DigID is al een stap in de goede richting (mŤt 2f autorisatie tenminste) en bijbehorende websites zouden mogen worden gecombineerd en aangevuld om mťťr inzichtelijk te maken / krijgen / houden. Dan heb je ťťn centrale plaats met gegevens waar instanties uit kunnen putten i.p.v. honderden plaatsen die los staan van elkaar. Wat betreft correcte gegevens zie ik een win-win situatie voor alle partijen.

Geeft bij een lek wel mťťr gegevens die tezamen veel waard kunnen zijn op de zwarte markt... Beveiliging is dan dus nůg crucialer dan het nu al is.

En de beschikbaarheid wordt de achilleshiel. Iemand ooit ervaring gehad met het digitale UWV?
Onderhoud? Ddos?
En de beschikbaarheid wordt de achilleshiel. Iemand ooit ervaring gehad met het digitale UWV?
Onderhoud? Ddos?
Haha Ddos van de UWV website, dat is pas weggooit geld! Zie je het verschil niet eens nadat je stoer een instantie plat denkt te leggen.. :+
Ik heb ervaring met het analoge gemeentehuis... tussen 9 en 3, niet elke dag, en 1x per week 's avonds open. Dat kan in principe echt niet verder omlaag gaan. Als ze het elk weekend plat gooien voor onderhoud gaat het al veel, veel beter dan het nu kan zijn.
Dus is de doorsnee Tweaker de eerste die al zijn spulletjes gaat delen met de overheid: https://www.privacybarome...and_doo...lichten_burgers

Want YES, niet alleen hebben we een sleepnet-wet, tegenwoordig, we hebben ook nog eens (speciaal op verzoek van de Nederlandse regering een optie die toestaat dat de overheid alle denkbare informatie bij elkaar mag graaien... en waar is dat nu makkelijker dan in een speciale, digitale kluis die door de burger zelf beheert wordt.
Dat de overheid niet een perfect trackrecord heeft waar het gaat over het uitvoeren en beheren (of is het beheersen) van ICT-projecten is net even een andere tak van sport dan in hoeverre de overheid de burger (digitaal) in de gaten wil houden.
En ik weet ondertussen niet meer welke volksvertegenwoordiger ik nog moet/mag/wil geloven en vertrouwen waar het gaat om mijn privacy. Ik weet wel dat ik sowieso nooit op deze partijen zal stemmen.
Je bedoelt de overheidssite die al ruim 3 jaar na het melden nog steeds temporary-redirects statuscode 301 meegeeft, zodat je telkens naar een "u bent uitgelogd!" pagina wordt geleid zogauw je de homepage ergens in de toekomst probeert te openen? (zojuist mogen ontdekken dat dit probleem nog steeds bestaat nu ik helaas de site nodig heb...)


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True