Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Berichtenbox-app laat gebruiker overheidspost op Android- en iOS-apparaten lezen

Logius, de dienst die digitale overheidsproducten beheert, heeft de Berichtenbox-app uitgebracht voor Android en iOS. Die moet gebruikers overheidspost op hun mobiele apparaat laten lezen, zonder dat ze naar een aparte site hoeven.

Zo is het volgens Logius niet meer nodig om naar MijnOverheid te gaan om een bericht te lezen. Gebruikers krijgen een melding zodra er een nieuw bericht binnen is en kunnen dat op hun apparaat openen na het invoeren van een pincode. Daarvoor moeten ze wel eerst hun MijnOverheid-account met DigiD koppelen aan de app. Dat is een eenmalige handeling.

De app is inmiddels beschikbaar voor iOS en Android, en maakt het ook mogelijk om berichten door te sturen naar een ander e-mailadres. Het verwijderen van berichten en het selecteren van nieuwe organisaties die digitale post mogen verzenden, wordt mogelijk zodra een update deze functies toevoegt, aldus Logius. De organisatie wil de app via updates van nieuwe functies blijven voorzien.

In 2016 bleek dat vijf miljoen Nederlanders een MijnOverheid-account hebben. Een jaar geleden waren er 6,6 miljoen geactiveerde accounts en nu spreekt de overheid van 7,5 miljoen gebruikers. Vorig jaar bleek echter ook uit een rapport van de Nationale Ombudsman dat steeds meer mensen hun MijnOverheid-berichten niet lezen.

Door Sander van Voorst

Nieuwsredacteur

09-10-2018 • 11:30

207 Linkedin Google+

Reacties (207)

Wijzig sortering
Ik krijg wat Security considerations t.a.v. deze app aldus mijn Security app van Sophos.

- Requests package installation (This app asks Android to install another app)
- Modified app package (This app was modified)
- Trigger installation (This app can ask Android to install another app)
- Active on locked device (This app can stay active when the device is locked. This might drain the device battery)
Heb deze app nog niet bekeken, maar de privacy settings van de Digid app op - iig Android - hebben me een maand of anderhalf geleden wel bewogen om via support wat vragen te stellen.

De Digid-app verstuurd standaard bv de volgende info (maar biedt - enigzins verborgen - een opt-out functie):
Gebruik van de DigiD app:

het IP-adres en kenmerken van de gebruikte software en hardware van het mobiele apparaat
de naam en versie van het besturingssysteem van het mobiele apparaat
het unieke kenmerk van de mobiele telefoon
een 5-cijferige pincode van de gebruiker
het mobiele telefoonnummer van het mobiele apparaat indien de app gebruikt wordt op de mobiele telefoon.

....

De DigiD app maakt gebruik van de open source software Piwik om statistische gegevens te verzamelen voor analysedoeleinden. Dit wordt gedaan om de app nog beter af te stemmen op de gebruiker. Voor het maken van de statistieken wordt het IP-adres van het netwerk waarbinnen de DigiD app gebruikt wordt verwerkt. Om zo min mogelijk inbreuk te maken op de privacy van de bezoeker worden de laatste 6 cijfers van elke IP-adres verwijderd direct nadat de logbestanden in Piwik zijn geďmporteerd.

De ruwe gegevens worden gemaskeerd bewaard voor een termijn van 18 maanden. Hierna worden deze verwijderd.

Indien u niet wenst mee te werken aan deze geanonimiseerde vorm van analyse, is er de mogelijkheid om de software van Piwik uit te schakelen. Dit kunt u doen bij de instellingen van de DigiD app, onder de knop ‘Over de App’ bij de Instellingen.
Bron:https://www.digid.nl/nc/p...sword_list%5B0%5D=privacy

Persoonlijk vind ik het niet netjes dat een Overheids gebonden app geen Opt-in, maar Opt-out policy er op na houdt. Bovendien is de uitleg op zijn minst 'summier' En ik vind het maximum van een 5-cijferige pincode voor de app securitytechnisch onvoldoende. Dat is trouwens een beperking die ik in wel meer apps tegenkom (Rabobank app anyone?)

Het formele standpunt van Digid is echter, and I quote:
Hartelijk dank voor uw aanbevelingen om DigiD nog veiliger te maken.

Zoals we in onze vorige e-mail hebben uitgelegd hebben zijn er bewust bepaalde keuzes gemaakt. U stelt dat de insteek van de beperking tot 5 cijfers wat u betreft de verkeerde invalshoek is.

Gebruikers een keuze bieden voor 5, 6, 7 etc. cijfers is vanuit ons standpunt op dit moment onwenselijk en zou de usability niet ten goede komen.

Wat betreft het verzamelen van gegevens is het niet meer dan u in de privacyverklaring kunt lezen.
Het argument qua usability is trouwens dat een 6 cijferige PIN te vaak tot 'geboortedatum' leidt...

Dus JA, handig dat er eindelijk een wat eenvoudigere manier is om je Berichtenbox te lezen. Maar wat mij betreft wederom een gemiste kans om de PIN te beperken tot 5 _cijfers_. En nog even de privacy voorwaarden bestuderen dus.
Heb deze app nog niet bekeken, maar de privacy settings van de Digid app op - iig Android - hebben me een maand of anderhalf geleden wel bewogen om via support wat vragen te stellen.

De Digid-app verstuurd standaard bv de volgende info (maar biedt - enigzins verborgen - een opt-out functie):

[...]
Bron:https://www.digid.nl/nc/p...sword_list%5B0%5D=privacy

Persoonlijk vind ik het niet netjes dat een Overheids gebonden app geen Opt-in, maar Opt-out policy er op na houdt. Bovendien is de uitleg op zijn minst 'summier'
Ja maar dat is altijd een gevoelige kwestie. Puristen, zoals vaak hier op T.net, willen dat alle statistiek en telemetrie opt-in is. Maar dit maakt het meteen waardeloos.

Want de enige mensen die ooit zo een opt-in uberhaupt aanzetten zijn technische mensen. De gemiddelde burger komt niet eens in de instellingen app van zijn telefoon, laat staan een opt-in ergens.
Dus je keuze als Logius hier is: opt-out waardoor we nuttige statistieken hebben of het gewoon niet doen.

Ik snap heel goed dat ze dan kiezen voor opt-out.
En ik vind het maximum van een 5-cijferige pincode voor de app securitytechnisch onvoldoende. Dat is trouwens een beperking die ik in wel meer apps tegenkom (Rabobank app anyone?)

Het formele standpunt van Digid is echter, and I quote:
[...]


Het argument qua usability is trouwens dat een 6 cijferige PIN te vaak tot 'geboortedatum' leidt...

Dus JA, handig dat er eindelijk een wat eenvoudigere manier is om je Berichtenbox te lezen. Maar wat mij betreft wederom een gemiste kans om de PIN te beperken tot 5 _cijfers_. En nog even de privacy voorwaarden bestuderen dus.
Geen idee wat er tegenwoordig mis is met een 5 cijferige pincode. Iedereen heeft er 4 op zijn bankpas, en daar staat letterlijk geld op, niet een brief van je Waterschap of Pensioenfonds. Rabobank zal ook wel een afweging hebben gemaakt tussen; wat is de kans op een hack met 5 cijfers pincode vs. aantal mensen dat de helpdesk moet bellen vanwege een vergeten wachtwoord van minimaal 8.

Wederom: puristen veiligheid tegenwoord bedrijfsbelang.
Geen idee wat er tegenwoordig mis is met een 5 cijferige pincode. Iedereen heeft er 4 op zijn bankpas, en daar staat letterlijk geld op, niet een brief van je Waterschap of Pensioenfonds.
De kans dat iemand blind je 5 cijferige PIN in 1x raadt is 1/100.000 (10^5). Bij 8 cijfers is dat 1/100.000.000 (10^8), bij (hoofd)letters & cijfers gecombineerd is dat 62^5, resp 62^8.

De kans dat je door blikseminslag geraakt wordt als je buiten loopt is 1 op 2.000.000. Toch schuil ik voor de zekerheid wanneer het bliksemt (uiteraard niet onder een boom :) ) http://www.helgavanleur.n...ls-over-donder-en-bliksem

En je hoort mij niet zeggen dat ik gelukkig ben met een 4 cijferige PIN op mijn bankpas (<1/10.000!). Het is m.i. nogal naďef om te stellen dat 4 of 5 cijfers 'puristen' gezever is; een beetje kansberekening toont aan dat de kans relatief groot is dat dit lukraak geraden wordt.

[Reactie gewijzigd door CaptainKansloos op 9 oktober 2018 14:58]

Die 1:2miljoen is dat tijdens een onweer, of gewoon verdeeld over alle tijd dat je buiten loopt. Of is dat gebaseerd op het aantal per jaar dat iemand door bliksem geraakt word per aantal inwoners?

Dan moet je mischien ook de kans meenemen dat iemand anders jou telefoon heeft, de kans dat deze persoon kwaardaardige bedoelingen heeft, en daarbij de kans dat ie het goed raad. Als die persoon de telefoon al unlocked krijgt, wat is daar de kans van?

[Reactie gewijzigd door gjmi op 9 oktober 2018 17:01]

Duizenden bedrijven hebben allemaal kansberekeningen erop losgelaten en die bewijzen dus juist dat een 4 cijferige pincode (Achter de pincode van je telefoon al!) gewoon veilig is.
Duizenden bedrijven hebben allemaal kansberekeningen erop losgelaten en die bewijzen dus juist...
Waar baseer je dat op?
Hoe vaak is een pincode van een bankpasje geraden?
Nooit, maar als ze de cijfers weten (vette vingers op het scherm, vaseline op het keyboard van de ATM) is het niet zo heel moeilijk meer en wordt de kans op een lucky guess groter. Met 6 of 8 cijfers is dat al een pak moeilijker om het binnen 3x goed te raden.
Ik begrijp je punt wel maar, waar houdt het op? Een pin van 9 of 10 is nog veiliger. In dit geval zit het appje ook nog eens achter de beveiliging van je mobiele telefoon.

Ik heb zo afentoe wel het gevoel dat er teveel beren op de weg gezien worden.
Ik ken het probleem .. voor mijn salarisstrook moet je een of andere krankzinnige password policy door, het kost je 1/2 uur om een acceptabel password te verzinnen, en dan verwachten ze blijkbaar dat je iets als B1@q4z#G kan onthouden ... dat 'moet' elk normaal mens op een post-it schrijven. Het betere is de vijand van het goede. Het is uiteraard wel een raar idee dat er 100-den, 1000-den mensen zijn die dezelfde pincode hebben voor mijn bankpasje als ik. Maar ja . .zolang we het niet van elkaar weten, is er niets aan de hand.
password apps. Al lang niet nieuw meer. Genereren wachtwoorden voor je. Ik weet mijn pwd van Facebook en mijn bank niet eens...
Als het zo makkelijk was dan hadden we dat allang vernomen in de media. Blijkbaar is het dus niet zo makkelijk dus zou ik mij er verder niet al te druk om maken.
Ehhh...dat is al lang en breed in de media geweest. Lang geleden, maar het is een bekende methode: rommel smeren op de toetsen van de pinmachine. En ook met je vette takken op je iPhone laat zien welke cijfers er in je pincode zitten (of welk figuurtje je op je Samsung hebt getekend). Niet heel erg moeilijk voor te stellen en ik heb er de media niet voor nodig.
Dan zie ik nog steeds geen berichten voorbij komen dat er op forse schaal op die manier mensen geld afhandig gemaakt wordt. Verder wat hieronder ook al gezegd is. Paar keer fout proberen en de pas is geblokkeerd.
pinpassen, simkaarten, lockers etc...

Gewoon alles in je leven wat blijkbaar enorm zwak beveiligt is vanwege een 4 cijferige code, maar wat in de praktijk gewoon werkt.
... maar wat in de praktijk gewoon werkt.
Dus de praktijk bewijst dat het met dat "enorm zwak" wel meevalt.
Bij een pinpas heb je 3 pogingen een juiste pincode in te voeren voordat de pas geblokkeerd wordt. Dus brute force aanvallen zijn al zinloos.
Dat kan je pas raden als je:
1. Het persoon welke je wilt bestelen fysiek nabij is
2. Je de telefoon hebt weten te onfrutselen
3. De telefoon hebt weten te unlocken
4. Voorgaande kennis hebben dat persoon de app heeft geinstallerd
5. De juiste code raden

En dan? Dan kan je hoogsteds mijn belasing teruggaaf zien. Nou poehé.
Gaat je nog steeds niks aan, maar is ook niet iets wat je niet kan ontfrutselen via een insider bij de belastingdienst zelf. Je kan er , anders dat je dan iets weet, verder niks mee want je kan toch niks authoriseren.

Slimmer zou zijn om als je dan toch al mijn telefoon hebt weten te krijgen, dat je een bankieren app opend en lekker geld gaat overmaken naar je eigen rekening.
Hmmmst, Oke, als ze zo bezorgd zijn om usability mogen ze wat mij betreft toch wel de inlog methode mogen aanpassen, een geheel nieuwe DigiD app opbouwen want wat ze nu hebben is een zooitje.

Vind het het een nogal zwak excuus om je handeltje slecht te beveiligen.. Stel je voor dat dit bij een IT bedrijf word gedaan "Ja sorry meneer de inspecteur maar als we dat zouden doen hebben wij en onze gebruikers een verminderde gebruiks ervaring. Dat er nu ingebroken is ja.. dat was ook niet de bedoeling"

Patsboem boete aan je broek! Zie ook niet in hoe 6 a 7 cijfers minder usable is dan 4? De wachtwoorden die je tegenwoordig moet bedenken om veilig te zijn ook niet bepaald makkelijk. Maargoed, ik ben geen developer.
Maar wat mij betreft wederom een gemiste kans om de PIN te beperken tot 5 _cijfers
inderdaad een gemiste kans, juist omdat ze de geboortedatum van te voren weten en die pin+variaties zoals omgekeerd dus glashard zouden kunnen weigeren, met een mooi 'opvoedend' berichtje er bij. (en ja, iedereen moet dat zelf weten en nee, de massa is echt onwetend, helaas)

Helaas zijn ze niet de enige. Zo ben ik al tijden verbaasd dat de vele 'dichtgetimmerde' Windows systemen geen ongelimiteerde wachtwoorden accepteren. Een zinnetje van vier tot vijf woorden met wat getallen er in is zoveel makkelijker en veiliger dan een wachtwoord als !23$%gR6&, dat laatste vraagt om opschrijven.
Even het vertrekpunt nemen dat ze er niks kwaadwillends mee willen doen, het zou de overheid wel sieren om het goede voorbeeld te geven d.m.v. een opt-in (en wellicht een vraag bij 1e keer starten app) i.p.v. een opt-out.

Goed dat je de vraag hebt gesteld!
het zou de overheid wel sieren om het goede voorbeeld te geven d.m.v. een opt-in (en wellicht een vraag bij 1e keer starten app) i.p.v. een opt-out.
Precies [b[dat[/b] heb ik ook voorgesteld.

Dat je data verzameld is - tot op zekere hoogte - acceptabel (meetgegevens uit het veld), maar wees transparant en _vraag_ erom, zeker als overheids gebonden dienst. Als overheid sta je immers _in dienst van_ het volk dat je vertegenwoordigd.
Agreed! :)

In aanvulling, ik vind het wel opvallend dat die BerichtenBox app kennelijk APKs moet kunnen installeren...

[Reactie gewijzigd door teusink op 9 oktober 2018 13:21]

Op zich scheelt het dat je dan niet meer bestaat :P
Heel treffend en dat klopt inderdaad!
Persoonlijk vind ik het niet netjes dat een Overheids gebonden app geen Opt-in, maar Opt-out policy er op na houdt.
Is op deze manier gegevens verzamelen zonder uitdrukkelijke toestemming van de gebruiker niet verboden volgens de AVG?
[...]

Is op deze manier gegevens verzamelen zonder uitdrukkelijke toestemming van de gebruiker niet verboden volgens de AVG?
Worden er persoonsgegevens verzameld?
Hopelijk is de broncode open source of op te vragen via een wob verzoek?
De wet Hergebruik Overheidsinformatie geeft iedere burger het recht om data (en dus ook broncode) van iedere instantie die voor 50% of meer door de overheid wordt gefinancierd op te vragen.

Je moet binnen vier weken antwoord krijgen. Als burgers vaak genoeg op deze manier broncode opvragen dan zal de overheid de conclusie trekken dat het beter is proactief te publiceren.

https://ibestuur.nl/weblog/waar-is-de-broncode

Toevoeging: je moet dan echt de broncode krijgen. Het is de wet hergebruik. Het is de bedoeling van de wet (en de Europese richtlijn die er aan ten grondslag ligt) dat de samenleving profiteert van informatie (en broncode) die de overheid voorhanden heeft.

[Reactie gewijzigd door strigi op 9 oktober 2018 14:14]

Ik zit dit heel even snel te bekijken:
[quote]
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
[/unqoute]

Wat is dit voor iets aparts.. Ik dacht dat wetten altijd heel netjes werden geschreven. Overigens ben ik helemaal voor de broncode op te vragen, dus let's do it! Where can I sign up?
Al die titels van de koning zouden wel erg veel ruimte innemen. ;-)

Je kunt een brief sturen naar Logius, Postbus 96810, 2509 JE Den Haag.

Hier is een voorbeeld:

https://twitter.com/multimho/status/883362310512939009

Waarschijnlijk kun je ook een mail sturen. Het belangrijkste is om vaak herinneringen te sturen.
Bij een WOB verzoek, zal zeer waarschijnlijk alle opensource lib's uitgeprint worden, met wat zwarte pagina's wat de source van de app zou moeten zijn :)

Maar wees gerust, morgen staat Logius met deze app weer op tweakers. Met als uitleg dathet een foutje was (DEBUG=1 ipv 0). Zoals wel vaker gebeurd is.

Ik vind het alleen jammer dat geen enkele journalist doorvraagt.

[Reactie gewijzigd door wica op 9 oktober 2018 13:01]

Sowieso van de zotte dat je er niet voor kunt kiezen om alles automatisch te laten doorsturen naar je mailbox.

De beveiliging van mijn mailbox is prima op orde met een sterk uniek wachtwoord en 2FA.

Ik snap dat ze niet niet standaard aan willen zetten, maar geef ons de keuze.
Ze zullen schermen met het argument dat ze de mail dan onversleuteld naar een mailbox moeten sturen. Natuurlijk zouden ze een mogelijkheid kunnen bieden om de berichten met OpenPGP te versleutelen met een door jou opgegeven sleutel, maar dat maakt het nog meer een feature die door enkelingen gebruikt gaat worden (waaronder ik).

Eigenlijk zou zo'n optie er moeten zijn uit principe, omdat het hier een (beoogd) landelijk systeem betreft voor iedere burger waarbij je de mogelijkheid wil hebben berichten te ontvangen net als met de papieren post (en niet alsnog op te moeten halen na een notificatie te hebben ontvangen), maar zonder duidelijke politieke opdracht daartoe wordt zo'n feature niet ontwikkeld.
Voor zover ik kan zien is er helemaal geen grote wijziging nodig.

Het is nu namelijk al prima mogelijk om met het handje een bericht door te sturen naar je mailbox. Inclusief inhoud en bijlages. De onderliggende architectuur lijkt dus al aanwezig te zijn.

Er zit nu ook al een stuk logica in die bij een nieuwe bericht een mailtje stuurt. Het zou enkel een check moeten zijn op een gebruikersinstelling en op basis daarvan wel of niet het complete bericht doorsturen.

[Reactie gewijzigd door JohnHeroHD op 9 oktober 2018 12:46]

Maar op dat moment maak jij de keuze voor die onveilige verzending. Standaard alles laten sturen over een onveilige verbinding zal er voor zorgen dat vroeg of laat mensen data in hun mailbox vinden die ze helemaal niet op die manier wensten te krijgen.
Dan de e-mail alleen versturen als die over een TLS verbinding gaat, ondersteund je e-mail provider geen TLS, pech dan.
Ja, dat weet ik en ik accepteer dat. Daarom stel ik ook voor het optioneel te maken, met als default niet standaard doorsturen. Dan moffel je optie lekker diep weg, onder een soort "geavanceerde instellingen". Desnoods met een extra vinkje dat je de risico's accepteert (minder veilig). Maar dan laat je keuze bij de mensen zelf.

[Reactie gewijzigd door JohnHeroHD op 9 oktober 2018 15:09]

Omdat het aantal phishingmails te groot is... MijnOverheid stuurt je een notificatie. Zelfs zonder link, zodat het daar ook niet mis kan gaan. Met een keuze is het hek van de dam.
Het gaat niet zo zeer om dat er een document in jouw mailbox staat. En trouwens, jij kan de beveiliging wel op orde hebben, Jan met de pet niet. En daarvoor worden de meeste keuzes gemaakt.
Hier kan ik al meer inkomen. Maar dan alsnog, ik weet dat ik die optie heb aangezet, ik weet ook wat ik kan verwachten qua mailtjes. Ik controleer voor gevoelige mail altijd de afzender en als ik twijfel ook even de bron van het bericht. Als ik dan nog twijfel aan de inhoud kan ik alsnog inloggen om het te verifiëren.

Nogmaals: standaard, voor Jan met de pet, moet die optie uit staan. Ik snap dat je die dingen niet van deze mensen kunt verwachten. En het aanzetten mag best een drempel hebben. Helemaal niet erg. Maar geef mij een keuze.

[Reactie gewijzigd door JohnHeroHD op 9 oktober 2018 15:12]

Wij checken dat maar heel veel mensen niet.
Als ze die keuze aanzetten, zullen veel mensen die optie aanzetten omdat het handiger is. Maar als er straks problemen ontstaan is de overheid wel 'de sjaak'. Daarom trekken ze hier een lijn. Denk ik.
Ik vind het ook jammer, maar dat is het nu eenmaal.
Ben benieuwd hoeveel mensen er op klikken als je het bericht na maakt met wel een link erin. Denk dat 99% van de mensen niet weet dat er nooit een link in staat
Raar, vind de app niet in de appstore (iOS). Wel allerlei andere overheid apps, maar als ik op berichtenbox zoek vind ik alleen maar de EFLASH app die iets anders doet.
edit:

Bedankt @bok001 voor de tip. Zal wel aan het app store algoritme liggen dat hij nog niet zichtbaar was. Denk dat het zoek algortime (nog) niet geindexeerd heeft

[Reactie gewijzigd door ThaStealth op 9 oktober 2018 11:54]

Jep, moeilijk te vinden. Zoek op Rijksoverheid, klik op een app en scroll naar beneden, bij 'meer van Rijksoverheid' zie je de app.
Dank voor de tip, zo inderdaad gevonden!
Ik heb nog nooit een app gezien die niet vindbaar is door de naam van de app in te vullen. Is dit weer de Rijksoverheid ‘programmeert’ of Apple algoritme?
Maar wat programmeert de Rijksoverheid dan? Want volgens het artikel wordt deze app gemaakt door het bedrijf Logius.
Logius is geen bedrijf:
"Logius is de dienst digitale overheid en onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties." - https://www.logius.nl/over-logius/

Rijksoverheid dus.
Oké, in dat geval heeft Wikipedia het fout, want daar staat "Logius werkt in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken, Volksgezondheid, Welzijn en Sport". Bij "in opdracht van" denk ik niet direct aan een interne dienst.

[Reactie gewijzigd door Vistaus op 9 oktober 2018 12:46]

Logius krijgt de opdrachten, naast het ministerie waaronder het valt, ook van andere ministeries. In die zin klopt wat er op Wikipedia staat ook.
Maar ik snap de verwarring. :-)
Ah, helder, dank voor de uitleg! :-)
Geen idee hoe dat gaat. Misschien zijn ze vergeten om de app vindbaar te maken.
Dat maakt 'm juist zo veilig! :+
Of je klikt in het artikel op iOS (of Android) dan ga je direct naar de app in de store.
Als je toevallig op je iPhone zit wel idd.
Wellicht dat de app vandaag pas in de App Store beschikbaar gemaakt is. De search index van de App Store loopt flink achter op de daadwerkelijke content, dus het kan tot 48 uur (misschien sneller tegenwoordig?) duren voordat nieuwe apps in de zoekresultaten verschijnen.

Wat je kunt doen is het Tweakers artikel openen op je iOS device en de link naar de App Store volgen. Safari zal dan vragen of je de link wilt openen in de App Store - langs die route kun je de app gewoon installeren.
Alternatief is naar de Digid app zoeken en dan onderaan naar Meer van Rijksoverheid gaan (drup op Toon alle). Bij mij stond hij daar bovenaan.
Als je naar de DigiD app gaat en vanuit daar naar de ontwikkelaar gaat (druk op de naam 'Rijksoverheid' onder de naam 'DigiD') en vanuit daar kan je de app vinden.
Dat heb ik (ook iOS) ook. Maar als ik op de link in dit artikel klik, dan opent 'ie wel in de appstore.
Wellicht moet de appstore nog indexeren en vind 'ie hem morgen wel.

[Reactie gewijzigd door vanaalten op 9 oktober 2018 11:50]

Ik heb de link in het artikel gevolgd.

https://itunes.apple.com/...htenbox/id1384987408?mt=8

[Reactie gewijzigd door Keypunchie op 9 oktober 2018 13:33]

Die moet gebruikers overheidspost op hun mobiele apparaat laten lezen, zonder dat ze naar een aparte site hoeven.
Wat is er werkelijk anders aan het gaan naar een app, of het gaan naar een website? :?

Geef dan gewoon een berg goed werkende websites ipv een app voor elke denkbare site/dienst.

En waarom heeft die app zo belachelijk veel toegang nodig?
Wi-Fi connection information
•view Wi-Fi connections
Other•receive data from Internet
•view network connections
•full network access
•prevent device from sleeping
Beveiliging vermoed ik. Checken of je niet op onbeveiligde, openbare Wifi netwerken zit, 'receive data from internet' lijkt me vrij logisch, die 'view network connections' zie hierboven, en prevent device from sleeping is praktisch als je iets aan het lezen bent en je device valt niet direct in standby - want daarna zul je weer opnieuw in moeten loggen, als de beveiliging op orde is tenminste.
Hoewel niet ideaal en niet mijn keuze zie ik niet direct een probleem in de app checken vanuit een openbare WIFI.
Men ziet dan toch alleen dát je verbinding maakt met bij wijze van https://www.rijksoverheid.nl ?
Nee, ik zie ook geen probleem in het invoeren van m'n telefoonnummer bij Facebook die belooft dat dat privé blifjt.. maar niet dus...

Het zou zomaar een extra securitymaatregel kúnnen zijn. Ik zeg niet dát het zo is, het lijkt mij alleen maar dat dit gebruikt kán worden als beveiligingsmaatregel. HTTPS of niet, je wil niet dat men je gegevens op een public wifi überhaupt captured en er offline mee aan de slag gaat. Certificaat of niet, ik meen me nog eens iets van Diginotar te herinneren wat ook een staats-certificaat was?
Dan zet je (op Android letterlijk) 3 regels code in de app en zet je certificate pinning aan. Sterker nog, ik kan me niet voorstellen dat dat niet al aan staat.

Als je de gewone beveiligingsopties van het OS gebruikt en goed instelt kun je prima de app draaien op openbare netwerken. Als een hacker de verbinding offline kan kraken heeft die zojuist TLS/AES gebroken en als je dat kan, ga je niet achter een berichtenbox aan...

Ik denk zelf dat de meeste permissies voortvloeien uit een of andere tracking library die erin zit.
En ook
De app heeft toegang tot:
Foto's/media/bestanden
read the contents of your USB storage
modify or delete the contents of your USB storage
Opslag
read the contents of your USB storage
modify or delete the contents of your USB storage
Niet zo raar als er PDF bestanden in de berichten zitten.... Die kun je alleen bekijken door ze te downloaden en daar is toegang tot bestanden voor nodig...

De enige rare die er bij zit is mischien het zien van de WiFi connections. De rest is allemaal logisch.
Ik gok dat er gewoon een PDF-viewer ingebouwd zit, toch? Toegang tot de storage is alleen nodig in het geval dat je post ook lokaal wil bewaren, denk ik.
[...]

Wat is er werkelijk anders aan het gaan naar een app, of het gaan naar een website? :?

Geef dan gewoon een berg goed werkende websites ipv een app voor elke denkbare site/dienst.
Tja dat vraag ik mezelf vaker af. Waarom heeft bol.com een app? Is het echt zo moeilijk om internet te openen en www.bol.com in te typen? Sterker nog waarom heeft mijn patatzaak een app om patat te kunnen bestellen? Die ziet er echt ongeveer uit zoals de website.

Al vind ik dit toch wel redelijk logisch aangezien er hier wel over "belangrijke" dingen gaat. Voor mij bijvoorbeeld UWV waar ik maar 1x in de zoveel tijd een bericht van krijg dus dat vergeet je te checken (tot je ineens een brief binnenkrijg dat je 2 weken geleden een digitale rekening kreeg waar ik niets van wist omdat ik niet checkte).
Als je mensen uitlegt dat je een website gewoon als 'pin' op je telefoon kan gooien, gaat er al een wereld voor hun open. Goed, ik kom van Windows Phone waar tile-systeem dat standaard had, maar de diverse tile-launchers op Android hebben dit full-blown aanwezig. Secondair zit je 0,0 met alle 'toestemmingen' die zo'n app blijkbaar wil hebben, je ziet 0,0 wat er precies wordt gedaan door die app, maar ondertussen geef je toestemming tot contacten, SD kaart, locatie, noem het maar op.

Notificaties kunnen ze op 10 verschillende manieren anders doen, maar dat het gros van het volk inmiddels werkt op 'melding is actie' ipv een 'actie als routine', misschien ben ik ouderwets of is het voor mij niet weggelegd, maar ik controleer standaard elke maand al deze zaken (overheid, bank, verzekering, etc).

Natuulijk is een app voor zoiets een stuk handiger, beetje glorified mailbox app voor de overheid, waar je net als mail berichten kan lezen en bijlages kan openen.
Een app is handig als je native zaken wilt gebruiken of als snelheid van belang is. Een berichtenbox voor een paar berichten per jaar is geen echte app waard. Zeker niet als de toetsen op mijn iPhone Xs Max f'ing kingsize zijn en je FaceID niet kunt gebruiken :/
En de app werkt, alleen jammer dat je weer moet etteren met een pincode in plaats van vingerafdruk/gezichtsherkenning.
vingerafdruk is niet secure genoeg als iemand je knock-out slaat. Zie in dat geval die pincode nog maar eens te achterhalen... zelfs in een pijnbank is het zo klaar, men houdt je hand vast en houdt hem op je toestel.

Ben zelf niet zo'n fan van vingerafdruk sensoren op apparaten welke je bij je hebt/draagt.
Je gaat nogal uit van het ergste. Iemand die jou neerslaat en vervolgens je berichten op Mijn Overheid opent. :/ Hoe groot zou die kans zijn?
In het algemeen gebruik is vingerafdruk misschien wel een veiligere optie. Pincode is bepaald niet heilig. Of mensen schakelen het gewoon uit...want lastig. of je kan vele pincodes al raden...vooral de 4 cijferige.
Niks hebben is inderdaad onveiliger maar heeft niks te maken met pincode vs vingerafdruk.

Een pincode kan je maar zo veel keer achter elkaar proberen en dan mag ik weer een minuut wachten. Niet echt goed te bruteforcen, maar hoe korter hoe makkelijker dat is zeker waar.
Het probleem is echter dat bruteforcen bij dit soort viercijferige pincodes juist wél erg makkelijk is omdat veel mensen iets heel simpels kiezen als "1234" of een deel van hun geboortedatum.
Klopt maar dan kan een pincode wel veilig zijn, dat het bij verkeerde keus ook onveilig kan zijn is ook weer waar...
Of mensen vergeten hem... En daarbij kan iemand meegluren terwijl je de pincode intypt, dus als 'ie daarna je zak rolt, kan 'ie alsnog je MijnOverheid kraken. Goed, dat zal vast niet vaak voorkomen, maar áls het gebeurt...

[Reactie gewijzigd door Vistaus op 9 oktober 2018 12:40]

Tjeeee, wat voor berichten zendt de overheid aan je? Die van mij zijn nogal saai en er zal geen pijnbank aan te pas hoeven te komen om mij mijn paswoord te laten geven.
Niet alleen de federale overheid stuurt je berichten, ook gemeenten, de Belastingdienst, Waterschap, zelfstandige pensioenfondsen, sommige onafhankelijke BV's, etc.

Edit: iets verduidelijkt.

[Reactie gewijzigd door Vistaus op 9 oktober 2018 13:25]

Dat valt onder de noemer overheid, maar dan overheidsinstanties :).
Een onderdeel, instantie, van de overheid dus.
Maar goed, dan nog zijn er anderen, bijv. Cappital Premiepensioeninstelling B.V. die ook via Mijn Overheid berichten sturen. Dat bedrijf is een dochteronderneming van Aegon, ik kan me toch niet voorstellen dat je ook vindt dat dat een overheidsinstantie is?
Wat maakt het uit over het onderwerp of die vingerafdruk secure is of niet.

Iedere organisatie kan een dergelijke service aanvragen bij de overheid, de vraag is of je toegelaten wordt, zelfde voor DigiD
Het maakt uit omdat de persoon waarop ik in eerste instantie reageerde vroeg "wat voor berichten stuurt de overheid je dan?". Ik wilde alleen maar aangeven dat niet alleen de overheid berichten stuurt via de Berichtenbox, maar ook overheidsinstanties en zelfstandige bedrijven zoals eerder genoemde premiepensioeninstelling.
Het leek me dat het wel duidelijk was wat de Overheid je stuurt...
Ik zei ook "etc.", want er zijn er nog anderen. CBR bijv. stuurt ook berichten via Mijn Overheid, en dat is geen overheidsinstantie maar een zelfstandig bestuursorgaan.

[Reactie gewijzigd door Vistaus op 9 oktober 2018 13:16]

Nee, volgens Wikipedia is het een zelfstandig bestuursorgaan en dat houdt in: "Een zelfstandig bestuursorgaan (zbo) is in Nederland een organisatie die overheidstaken uitvoert, maar die niet direct onder het gezag van een ministerie valt, ". Dus geen directe overheidsinstantie.

Maar goed, dan nog zijn er anderen, bijv. Cappital Premiepensioeninstelling B.V. die ook via Mijn Overheid berichten sturen. Dat bedrijf is een dochteronderneming van Aegon, ik kan me toch niet voorstellen dat je ook vindt dat dat een overheidsinstantie is?
Iemand moet dan al heel erg graag uw berichten / geheimen er op willen lezen voor ze dit zouden doen.
Kan je ook niet door middel van je vingerafdruk betalen met Apple Pay/Rabobank/ING? En je krijgt natuurlijk iemands hele leven in bezit. Denk aan alle foto's om mee te chanteren. Bedrijfsinformatie etc.
2FA smsje om je email pw te veranderen. Je bent letterlijk alles kwijt als je te dronken bent op een zaterdagavond om je te verweren.
Je hebt sowieso toegang tot de telefoon, en daarmee tegenwoordig vaak al iemands complete leven.
Vind dat de overheid sowieso koning is in schijnveiligheid.
Van die veel te lange codes per SMS versturen, terwijl er veiligere opties zijn dan SMS.
En zo'n lange code is niet veel veiliger dan een code van 4 of 6 cijfers.
Eenmalig geldig en verloopt na paar seconden.
zelfs in een pijnbank is het zo klaar
Als iemand bereid is om me op de pijnbank ervoor te leggen, mag hij mijn DigID sowieso wat mij betreft hebben. Als hij dan ook meteen mijn hondenbelasting betaalt, vind ik het helemaal goed.

De bedoeling is om te beschermen tegen identiteitsfraude. Het argument tegen de vingerafdruk is dat er geen garantie is dat er geen vingerafdrukken van derden geregistreerd staan op de telefoon (voor andere doeleinden, zoals een kind dat een game-appje wil kunnen starten).
Hmmm, iemand knock-out slaan voor een overheidsbericht. Zelfs mijn werktelefoon, waar veel meer waardevolle dingen instaan, is beveiligd met een vingerafdruk. En ja... Rijksoverheid.
Ik zeg maar even niets meer, met zo'n knurftig antwoord kan ik weinig mee.
Zoiets heet schreeuwen naast de zijlijn. Als je geen idee hebt hoe het geregeld wordt, raad ik je aan om dat soort antwoorden maar niet te geven.
Is er ook een mogelijkheid voor een wachtwoord?
Nee, alleen vijf-cijferige pincode.
Hm, misschien toegevoegde waarde doordat je met een eenmalige koppeling met een pincode (vingerafdruk?) kan inloggen, maar buiten dat zit ik echt niet te wachten op nog meer dedicated apps. Geef mij maar een goede mobiele website.
Helemaal mee eens waarom moet alles tegenwoordig in aparte apps gedaan worden? Juist veel websites werken prima met een telefoon. Wil je ergens snel heen? Er bestaat ook zoiets als favorieten.
Mee eens. Ik hoef geen apps, ook niet vanwege notifications.

Wat ik nog vervelender vind zijn mobiele pagina's die telkens afgeschermd worden met een popup om vooral de app te installeren (LinkedIn bijvoorbeeld).
Wat ik nog vervelender vind zijn mobiele pagina's die telkens afgeschermd worden met een popup om vooral de app te installeren (LinkedIn bijvoorbeeld).
Vervelend inderdaad, maar apps hebben vaak een betere, snellere en minder gefrustreerde ervaring dan websites. Dus enigzins wel logisch als de "website" ook in "app" vorm te vinden is dat deze zo gepushed wordt.

[Reactie gewijzigd door JorzoR op 9 oktober 2018 12:41]

ik krijg niet echt de indruk dat een app beter zou werken als het zo nodig is om op die manier te pushen.
Vervelend inderdaad, maar apps hebben vaak een betere, snellere en minder gefrustreerde ervaring dan websites.
:F
Juist door die pestpopup wordt de snelheid en ervaring website versie slechter van.

[Reactie gewijzigd door RoestVrijStaal op 10 oktober 2018 01:32]

Of Reddit die je soms zelfs blokkeerd. Dan kan je kiezen tussen de webpagina closen of de app openen.
Diegene die dit vrijwillig heeft geprogrammeerd mag zijn levenlang Windows updates krijgen.
gemak en notifications
Meldingen werken tegenwoordig ook vanuit browsers. Zeker als het browser-proces toch al op de achtergrond draait, zoals Chrome op Android bijv., dan krijg je gegarandeerd meldingen als je daar toestemming voor geeft/als de site in kwestie dit geďmplementeerd heeft.
Plus: je krijgt altijd een mailtje als er een nieuw bericht in je box zit. Heel ouwerwets, maar werkt altijd. ;)
Ook dat, inderdaad.
Ik ben niet bekend met iOS. Maar ik schrijf "BIJV.", dus ik gaf daar al mee aan dat Chrome op Android heus niet de enige is.
En als dat niet kan? begrijp je dan wel de app en/of is iOS dan gewoon bagger? ;)
Geen idee. Nogmaals: ik ben niet bekend met iOS. Ik weet wel een beetje hoe je op iOS navigeert en ik volg sporadisch ook wel een beetje het nieuws over wat Apple doet met iOS, maar ik ben niet bekend met specifieke dingen, zoals bijv. hoe apps nu precies werken op iOS. Maar veel doet het er ook niet toe, want Android heeft toch veel meer marktaandeel, dus als je ondersteuning voor mobiele browsermeldingen implementeert en ze werken alleen op Android (als iOS dat dus inderdaad niet kan), dan heb je met Android verreweg de meeste gebruikers gedekt.

[Reactie gewijzigd door Vistaus op 9 oktober 2018 13:41]

Oke, in ieder geval is er nu dus keuze ;-)
Bijna mee eens, alleen het woord 'mobiele' weglaten. Een website moet het op alle apparaten doen of die nu beweegt of niet.
En op de gewone site kan ik op een Android apparaat gewoon inloggen door iets als KeepAss of een andere password manager met vingerafdruk ondersteuning te gebruiken.
Kortom het kan dus al.
in ios kan het inderdaad ook, als je je inloggegevens opslaat kun je met je vingerafdruk die gegevens op een site invullen om in te loggen
Tja, wanneer is iets een "mobiele" website, van mij hoeft dat niet per se met een redirect naar een subdomein te gaan. Als er dusdanig aandacht is besteed aan de responsiveness dat bijvoorbeeld bij een smal scherm een top-side menu wordt ingeklapt naar het standaard uitklapbare menu links vind ik dat al een mobiele website. Maar die extra stap is wel prettig over het moeten inzoomen om op een correcte link te kunnen drukken.
Kan je ook meerdere DigiD's koppelen? Ik doe thuis de admin en mijn vrouw weet dat ze een DigiD heeft, maar vraag haar niet naar het wachtwoord... Zou graag beide DigiD's kunnen koppelen. En anders maar gewoon net als nu na ontvangst van een mail even inloggen en de pdf ophalen.
Volgens mij is het officieel verboden om als je vrouw in te loggen.
Accounts zijn persoonlijk en je mag daarom je inloggegevens met niemand delen.
Moet jij iets voor haar doen, dan moet zij jou maar machtigen

Zo is het tenminste officieel (correct me if i am wrong)
Je kan iemand machtigen
Ja maar dan log je dus niet in als die persoon...
Volgens mij is het voor dit soort scenario's de bedoeling dat je vrouw jou machtigt. Geldt ook voor belastingconsulenten, aanvragers van toeslage enzo afaik.

Bij DigiD kun je andere mensen machtigen om bepaalde handelingen namens jou uit te voeren. Dus dan voer jij het uit met jouw account en dat kan omdat jouw vrouw jouw DigiD account heeft gemachtigd om dat te doen.
Jullie hebben allemaal gelijk. Maar was destijds wel zo makkelijk.
Met een machtiging komt dus haar post ook in mijn DigiD-omgeving? Dan ga ik denk ik mijzelf maar eens machtigen om namens haar de post te behandelen. Nu heb ik op haar DigiD mijn e-mailadres en telefoonnummer e.d. gekoppeld. Als ik een mailtje krijg dat er post is en dat ik kan inloggen in MijnOverheid.nl, dan kan ik aan de aanhef zien of het post voor mij is, of voor mijn vrouw. Onder aan de streep maakt het in ons geval niet zo veel uit.
Zit dus ook geen check op het vaker voorkomen van dezelfde credentials in de DigiD-omgeving.
Waarom heeft deze app o.a. view network connections en full network access nodig? Is toch niet meer dat wat HTTPS requests wat zo'n app moet doen?
Waarschijnlijk ter beveiliging. Voorkomen dat er MitM attacks zijn, en of je niet op openbare netwerken zit wellicht? Het is een idee, ik weet 't niet zeker..
Nee, een MitM is te voorkomen door HTTPS te gebruiken en te controleren of het servercertificaat is uitgegeven door de PKI overheid CA.
LMGTFY: https://www.androidcentral.com/look-application-permissions
This permission means exactly what it says. An app wants to be able to send requests and get a response through the network (Wi-Fi or your phone's data connection). Besides apps that use the internet for something obvious, apps with ads in them need this one.

While this is a fairly harmless permission when it comes to your personal information, it can use your data allotment without you realizing it. We hate paying for extra data as much as you do. Use airplane mode when you're low on data and if you find an app that should work offline but doesn't, uninstall it. There are too many good apps to fool with ones that don't follow the best practices.
Edit: hoezo off-topic? Ik beantwoord een vraag dat gaat over de permissies van de in het artikel genoemde app...

[Reactie gewijzigd door teusink op 9 oktober 2018 13:01]

Dat werd ook eens tijd. Zojuist geďnstalleerd op mijn iPhone en het lijkt zowaar te werken. Weet iemand of je bij Digid nu altijd een sms code moet ontvangen? Ik heb het altijd aan staan, maar bij het autoriseren van de berichtenbox-app kon ik niet aanklikken dat ik een sms wil ontvangen (wat normaal wel vaak kan). Alleen de meest makkelijke autorisatie methode was beschikbaar (gebruikersnaam en wachtwoord). Door mijn standaard instellingen kreeg ik als nog een sms.
serieuze vraag..hoezo dat werd tijd, hoeveel post krijg je dan van de overheid.? Ik zelf bijna nooit, dus zie nut niet zo. Bovendien krijg ik het netje thuis afgelevered via de ouderwetse postbode.
Eerst kreeg ik een email dat er een bericht klaarstond. Mijn actie die vereist is dan om naar mijn.overheid.nl te gaan en daar het bericht lezen. Nu lees ik mijn email via mijn telefoon en de website is naar mijn mening niet fatsoenlijk te gebruiken via mijn telefoon. Mijn mankement is dan dat ik vergeet dat er een bericht klaarstaat en ik zo het bericht nooit lees. Nu met de app kan ik zonder problemen de berichten direct inzien en eventueel de bijbehorende PDF inzien.

En doordat ik niet veel post krijg van de overheid zit het niet in mijn systeem om mijn.overheid.nl zo nu en dan te checken.
Ik vergeet het ook altijd dus ik ben er ook blij meer. :)
maar dat hoeft ook helemaal niet, je krijgt het ook thuis...

edit: typo

[Reactie gewijzigd door Dream_ON op 9 oktober 2018 13:41]

Nee voor steeds meer zaken krijg je het uitsluitend digitaal.
is dat niet alleen als je daar expliciet voor gekozen hebt?
Ik kijk nooit op mijnoverheid.nl, zal toch raar zijn als daar alleen maar de info op terecht komt. zonder dat ik heb aangegeven het daar te willen ontvangen?

aanvulling; gedeeltelijk gevonden op https://www.rijksoverheid...woord/wat-is-mijnoverheid

Als u van één of meer overheidsorganisaties géén berichten in uw Berichtenbox wilt ontvangen, kunt u dat wijzigen. U ontvangt uw berichten dan gewoon per post. De instelling dat u berichten van de Belastingdienst in uw Berichtenbox krijgt, kunt u niet uitzetten. Dat komt omdat de Belastingdienst sommige berichten alleen nog maar digitaal stuurt.

Ben wel benieuwd wat ik dan gemist heb van ome Fiscus...denk dat ze me wel weten te vinden als ik moet betalen :D

[Reactie gewijzigd door Dream_ON op 9 oktober 2018 15:56]

Krijg nu ik een tijdje in de WW zit minimaal twee keer per maand een bericht welke alleen digitaal verstuurd wordt, ik vind de app wel een uitkomst. :+
Jammer dat geen feedback mogelijkheid is anders dan een review via de play store.

Tenminste, ik kan het niet vinden.

Sowieso al een bug met mijn pixel 2 XL, app draait alleen in Landscape mode, misschien omdat ik zowel de font als display size op small heb staan, denkt die dat het een tablet is door de dpi? No idea.

En geen direct logout mogelijkheid anders dan een timeout wachten of app zelf sluiten is ook een gemiste kans, aangezien het hier over persoonlijke informatie gaat.
En geen direct logout mogelijkheid anders dan een timeout wachten of app zelf sluiten is ook een gemiste kans, aangezien het hier over persoonlijke informatie gaat.
als app sluiten je ook uitlogt, dan is het toch geen probleem?
In mij tests moet je de app dan sluiten door de multitask te openen en app dan weg swipen. Alleen uit de app gaat log je niet uit
kost niks meer qua acties, of je drukt op de recent apps knop, swiped de app weg en drukt op home, of je klikt op de menuknop, dan op uitloggen en dan op home (als de app tenminste een beetje de design guidelines gebruikt)
Voor een normale gebruiker is een log uit knopje een veiliger manier om uit te loggen. Veel mensen bedenken zich niet om de apps te sluiten na gebruik, want het is bij een normale of goed geschreven app niet nodig.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True