Privacyvriendelijke authenticatieapp IRMA krijgt nieuw uiterlijk

De identificatieapp IRMA is vernieuwd. Er zitten geen nieuwe features in de app, maar het inlogplatform heeft op Android en iOS wel een compleet nieuwe UI gekregen. Daarmee zou de app intuïtiever moeten zijn voor nieuwe gebruikers.

IRMA krijgt met name een nieuw uiterlijk, schrijven de makers. Er worden dus geen nieuwe features toegevoegd. Het nieuwe uiterlijk zorgt voor 'duidelijkere en intuïtievere gebruikerservaring', zeggen de makers. Onder andere het toevoegen van nieuwe identificatiemethodes is makkelijker geworden, en bij de menu's om dat te doen staat meer uitleg.

De ontwikkelaars van de app, SIDN en Privacy By Design, hebben meerdere gebruikersonderzoeken laten doen naar de app. Die werden gedaan door gemeenten zoals Amsterdam, Haarlem, Almere en Leiden. Bij de onderzoeken moesten gebruikers de app op hun telefoon installeren en er bepaalde handelingen mee doen zoals een digitale authenticatie invoeren. Ook werden er praktische tests gedaan om te zien of gebruikers de app makkelijk wisten in te zetten.

IRMA is een authenticatieapp waarmee Nederlanders op een privacyvriendelijke manier kunnen inloggen bij bijvoorbeeld overheidsdiensten, maar ook bij commerciële bedrijven. Gebruikers voeren in de app informatie in over hun adres of leeftijd. Als ze vervolgens moeten inloggen bij een dienst die de woonplaats of leeftijd wil verifiëren kan dat met IRMA. De app bevestigt dan alleen of de benodigde informatie klopt, of een gebruiker bijvoorbeeld inderdaad woont waar hij zegt of ouder dan 18 is. Zo krijgt de dienst niet meer informatie dan strikt noodzakelijk.

Reacties (120)

120

Wijzig sortering

FvdM 8 juni 2020 12:23

Wat mij vooral opvalt is dat de app geen tracking bevat. Dat is wel héél zeldzaam. Te verwachten van een privacy bewuste ontwikkelaar, maar dan nog. Inclusief deze heb ik nu drie apps van de 174 die helemaal geen third party urls opvraagt. Ik had op zijn minst Firebase of Crashlytics verwacht die in bijna alle apps zitten. Zelfs als ik de foutrapportage instelling aanzet wordt er niet direct een tracker geactiveerd die elke actie wil zien.

Sterker nog, er is in de basis (met foutrep aan) helemaal geen verkeer. Pas als ik een koppeling ga maken voor een emailadres dan zie ik een reeks GET requests naar privacybydesign.foundation voor de webview met het formulier. En daarna de POST met alleen de email en taal. Dus geen device tokens en welke cell provider ik heb enzo. De verificaties daarna zijn alleen het noodzakelijke verkeer, ook qua inhoud. Well done!

unfold @FvdM • 8 juni 2020 18:11

Hoe heb je deze analyse gemaakt? Is je setup eenvoudig te na te maken? Ik zou dit ook heel graag willen kunnen zien.

FvdM @unfold • 8 juni 2020 18:56

Voor het inzien van app verkeer gebruik ik momenteel de Loon app. Die heeft alle trucs handig bij elkaar, zodat je niet zelf een proxy hoeft op te zetten en certificaten genereren. Je doet een mitm aanval op jezelf dmv een lokaal gegenereerde root CA certificaat op je telefoon. De app is dan een web en dns proxy (vpn) die de verzoeken en reacties ontvangt en de certificaten vervalst. Daarmee wordt bijna al het https verkeer inzichtelijk. Bij sommige (bank) apps werkt het niet goed. Vermoedelijk door certificate pinning of iets dergelijks.

Edit: wees je ervan bewust dat je met deze methode een app van onbekende oorsprong en met onbekende broncode volledige toegang geeft tot al je internet en lan verkeer van je telefoon met de mogelijkheid het verkeer te delen en manipuleren. Gebruik altijd een externe outbound whitelist (proxy) als je het verkeer niet helemaal vertrouwd.

[Reactie gewijzigd door FvdM op 22 juli 2024 16:31]

Cerberus_tm

@FvdM • 8 juni 2020 19:34

Met een gewone (root-?)Firewall-app is dit toch ook mogelijk? Ik gebruik zelf de oude Xprivacy, die ook alle aangevraagde Internet-verbindingen van een programma weergeeft en kan blokkeren (ik sta dingen als Crashlytics and Facebook Graph nooit toe, zitten in heel veel programma's; Firebase probeer ik te blokkeren, maar is voor sommige programma's noodzakelijk helaas).

FvdM @Cerberus_tm • 8 juni 2020 20:27

Kan je daarmee ook het verkeer inhoudelijk bekijken? Dus de inhoud van een POST request over HTTPS en de volledige response body?

Cerberus_tm

@FvdM • 9 juni 2020 01:16

O, nee, ik wist niet dat je dat bedoelde.

Verwijderd @FvdM • 8 juni 2020 14:00

Op zich is firebase niet zo heel erg verkeerd, gezien het een doorgaans manier is voor pushberichten.
Heeft niet zoveel te maken met tracking.

t link @Verwijderd • 8 juni 2020 14:19

de centralisatie van het internet is alsnog verkeerd en anti privacy. het maakt deanonymisation makkelijk.

Oon

@t link • 8 juni 2020 15:17

Dat is waar, maar er zijn niet altijd alternatieven die logisch zijn vanuit een bedrijfsstandpunt.
Zeker wanneer het gaat om het grootschalig verzenden van pushberichten is het lastig om om de grote partijen heen te werken, want je app op de achtergrond iedere paar seconden een server pingen is niet goed voor het batterijgebruik en zorgt voor onnodige load.

Hetzelfde geldt voor het verzamelen van foutmeldingen; dit kan zomaar hondderdduizenden of miljoenen meldingen opleveren. Het is praktischer en goedkoper om dan een dienst te gebruiken die daarin gespecialiseerd is dan om je eigen tools te schrijven of een eigen server in te richten voor de beschikbare tools die zelf gehost kunnen worden.

t link @Oon • 8 juni 2020 16:06

er zijn vrijwel nooit alternatieven vanuit een bedrijfsstandpunt omdat het geen prioriteit heeft. niet omdat het niet kan. netzoals dat er vrijwel nooit groene alternatieven waren vanuit een bedrijfsstandpunt. netzoals er nogsteeds vrijwel nooit ethisch verantwoorde alternatieven zijn vanuit een bedrijfsstandpunt. Het is niet dat die alternatieven er niet zijn, het is dat we er actief niet voor kiezen omdat we dan misschien niet competief meer zijn.

[Reactie gewijzigd door t link op 22 juli 2024 16:31]

Cerberus_tm

@Oon • 8 juni 2020 15:57

Maar als dit dan ten kosten gaan van het privéleven van je gebruikers?

Frits015 8 juni 2020 10:41

Wie is er verantwoordelijk als de database gehacked wordt en ik daar schade en ellende van krijg. Dit is natuurlijk een schatkamer voor criminelen

Ron!n @Frits015 • 8 juni 2020 10:47

ik heb het even opgezocht, maar de data van deze app wordt niet centraal opgeslagen, deze verlaat het apparaat dus niet.

Uw IRMA attributen staan alleen op uw eigen telefoon en nergens anders. Dit is een bewuste keuze bij het ontwerp van het IRMA platform, als onderdeel van privacy by design.

https://privacybydesign.foundation/irma-uitleg/

leon_ree @Ron!n • 8 juni 2020 11:34

Het klopt dat de gegevens niet centraal opgeslagen worden, maar enkel op het device.

De vraag blijft daarmee echter net zo relevant: Wat gebeurd er als de database (met alleen jouw gegevens) wordt gehacked? Die gegevens zijn allemaal gesigned of op een andere manier voorzien van een hoge betrouwbaarheidsfactor, waardoor instanties deze gegevens snel kunnen accepteren.

Er zijn echter genoeg rogue apps in de appstores te vinden (door de geschiedenis heen), die meer deden dan alleen maar de app functies aanbieden waarvoor die gepromoot werd. Oftewel het wordt erg interessant om apps te distribueren, of op andere manieren gebruikers te verleiden, om vervolgens deze hoog betrouwbare gegevens te verkrijgen en zo bij diverse instanties te proberen om (identiteit)fraude mee te plegen.

Ik ben me er niet van bewust dat er een mogelijkheid is om de gegevens uit deze app te revoken, zodat je na herkennen van diefstal (wat je eerst al maar moet lukken) je vervolgens het verdere misbruik met deze gegevens kan stoppen.

Dus de privacy voordelen leiden in dit geval tot het niet meer kunnen beschermen van burgers. En welke privacy hebben we het dan over? Het gebruik van gegevens die al uit overheidsbronnen komen.... Dus op zich vind ik het ook niet zo verwonderlijk dat IRMA nog geen geaccepteerd middel is binnen de overheid (op enkele pilots na).

Daarnaast weet je met centrale registers ook nog dat deze altijd actueel zijn, dit in tegenstelling tot IRMA die ooit een keer ingelezen zijn, en wellicht een houdbaarheidsdatum hebben waarna je ze opnieuw moet inlezen. Er zijn dus genoeg situaties te bedenken dat deze gegevens (bijv. adres voor verhuizing, of inkomen voordat je werkeloos werd, of juist andersom inkomen voordat je een baan kreeg, en daardoor meer subsidie of sociale huurwoning mogelijkheden hebt) niet meer actueel zijn en beter toepasbaar zijn voor fraude.

Verwijderd @leon_ree • 8 juni 2020 11:54

Hoi Leon,

Revocatie is sinds kort beschikbaar voor IRMA. https://irma.app/docs/revocation/
Attributen komen van officieel uitgevers, gebruiker kan die zelf niet muteren en je kunt de attributen alleen gebruiken als je met de juiste pin code inlogt. Achter die pin zit een crypt-sleutel die slechts voor de helft op de telefoon opgeslagen is. De andere helft van de sleutel wordt vrijgegeven van een centrale server. Dat biedt voldoende veiligheid voor de issues die je beschrijft, lijkt me.

leon_ree @Verwijderd • 8 juni 2020 12:12

Hoi Bob,

goed te zien dat dit inderdaad toegevoegd is.

Echter zie ik ook: https://privacybydesign.foundation/uitgifte/

Let op: als u deze attributen via een QR-code in uw telefoon laadt, pas dan op dat een ander die QR-code niet, bijv. over uw schouders, oppikt. Daarmee kan die ander uw attributen namelijk op zijn/haar telefoon laden.

dus als die QR lekt, dan krijgt iemand anders (ook) mijn attributen, en kan ik dan nog steeds zien als iemand via zijn app die gegevens gebruikt? Dit naast het feit dat kennelijk zo mijn gegevens kunnen lekken.

Skit3000

@leon_ree • 8 juni 2020 12:20

Het inladen van attributen doe je thuis. Het is hetzelfde als dat je je paspoort pakt en naast je computer legt wanneer je een reis boekt. Iedereen die naast je staat kan je gegevens dan inzien.

Het verschil tijdens het boeken van een reis naar bijvoorbeeld de VS is theoretisch dat je met IRMA nadat je de attributen ingeladen hebt, niet je paspoortnummer af hoeft te geven. Normaal moet dit wel zodat ze in de VS na kunnen gaan dat je inderdaad de Nederlandse nationaliteit hebt en dus zonder visum in mag reizen. Met IRMA krijg je in plaats van dat je je paspoortnummer af hoeft te geven, een QR-code te zien die je met de app scant en die vraagt of je nationaliteit "Nederlands", "Frans", "Duits", etc is. De app kan hierna bevestigen dat dit zo is, waarna de reisorganisatie alleen maar een (digitaal ondertekend) OK-signaal terug krijgt.

leon_ree @Skit3000 • 8 juni 2020 14:23

Ik vind dat er toch nog wel een wezenlijk verschil zit tussen de gegevens die je mee kan lezen (of zelfs kopieren) uit mijn paspoort, of het verkrijgen van een hoogwaardig betrouwbare gegevensset van iemand anders.

Je zou als het goed is met mijn kopie paspoort een stuk minder makkelijk fraude moeten kunnen plegen, terwijl van de gegevensset die IRMA prijs geeft verwacht wordt dat deze hoog betrouwbaar zijn.

Als dus de meegelezen QR code er toe leidt dat iemand anders opeens mijn gegevens met hoge betrouwbaarheid kan toepassen, brengt dat een ander risico met zich mee.

Ik snap het privacy vriendelijke aspect, maar zodra de ontvanger/bevrager niet met zekerheid kan zeggen dat de attributen ook daadwerkelijk van jou zijn, is het allemaal redelijk waardeloos, en zodra er identiteitsfraude mee gepleegd kan worden zelfs risicovol, juist door de verwachting van hoge betrouwbaarheid.

Dus om eerdere voorbeelden terug te halen.
- Als ik als verkoper van de AH een leeftijdscontrole wettelijk moet doen, en ik zie via IRMA alleen maar JA terug komen, terwijl ik mijn zoontje van 4 met mijn telefoon een biertje laat kopen, denk ik niet dat IRMA erg geschikt is en dus als overheid kan zeggen gebruik IRMA maar om te bepalen of iemand oud genoeg is.
- Idem bij het geven van mijn nationaliteit, zonder paspoort nummer. Hoe is dit gegeven betrouwbaar als ik in mijn IRMA app de QR code van een ander heb weten in te laden, of uberhaupt niet mijn IRMA app maar die op een "geleende" telefoon gebruik. Dat Paspoort bevat mogelijkheden om de data te controleren, maar de privacy vriendelijke IRMA data enkel attributen, die niet aan elkaar te relateren zijn (bijv. nationaliteit en foto, als je die al ergens (en op een betrouwbare manier) vandaan weet in te laden)
- Net als het verkrijgen van huursubsidie, omdat ik in mijn IRMA app de gegevens van mijn werkeloze buurman, of mijn eigen gegevens van vorig jaar toen ik nog geen werk had, heb ingeladen.

Dus voor welke usecase is IRMA geschikt? Of wat moet er nog gebeuren om dit geschikt te krijgen? Of stel ik te hoge eisen, om bijv. identiteitsfraude te voorkomen.

StefanJanssen @leon_ree • 8 juni 2020 15:38

De gegevens zitten dus achter de pin zoals al eerder is uitgelegd. Op het moment dat iemand je die pincode geeft dan zal het inderdaad mogelijk zijn om hiermee fraude te plegen. Exact hetzelfde als wanneer ik mijn Identiteitsbewijs aan mijn broer zou geven.

Voor welke usecase is dit geschikt? De online slijterij bijvoorbeeld, deze zijn wettelijk verplicht om te controleren dat de koper oud genoeg is, tegelijkertijd is het uploaden van een identiteitsbewijs dan weer niet mogelijk omdat je dan de data moet bewaren en controleren.
IRMA zal hier een uitkomst voor kunnen zijn, ze krijgen correcte informatie terug waarmee ze dit dus veilig kunnen verkopen.
Nu zeg jij "dan gebruik je toch de telefoon van iemand anders", in dat geval hebben ze die pincode gedeeld, eigenlijk niet zo heel anders als dat je DigiD of je pincode van je bank uitlekt.
Als slijter kun je dan de naam + adres check ook nog uitvoeren en dan heb je dus naam + adress + ouder dan 18. In dat geval is het eigenlijk gewoon betaald door iemand anders, maar komt het altijd aan bij "de persoon die zich geidentificeerd heeft"

leon_ree @StefanJanssen • 8 juni 2020 16:53

ik ben kennelijk niet duidelijk genoeg geweest in mijn uitleg, maar er zijn volgens mij wel wat verschillen tussen een identiteitsbewijs (welke als doel heeft om je identiteit mee te kunnen aantonen en waaromheen eisen zijn gesteld aan het uitgifteproces en je herkenbaarheid op de foto) en Irma waarbij iemand zelf een willekeur aan attributen uit diverse bronnen, middels verschillende authenticatie middelen, attributen kan inladen welke niet altijd (waarschijnlijk zelfs lang niet altijd) aan elkaar te relateren zijn en waarbij op diverse manieren door jezelf als door anderen (wellicht zelfs zonder medeweten) is te frauderen.

Het feit dat er nu soms ook al valt te frauderen, in een systeem wat al zolang beproeft is, maakt het in mijn ogen niet acceptabel dat het in een alternatief (digitaal) systeem ook acceptabel is om fraude te plegen en laat staan als dit zelfs op nog meer manieren mogelijk wordt. Waarom zou de overheid dit moeten/willen accepteren, daarnaast, waarom willen gebruikers dit gebruiken?

In het huidige systeem staat er op je identiteitsbewijs (uitgegeven door een gemeente) een foto zodat men met grote zekerheid kan zien dat het om jou gaat, en zijn er processen bij bijv digid om misbruik te detecteren en voorkomen en zo schade voor mij als persoon te kunnen voorkomen en mij daar ook niet zelf verantwoordelijk voor te maken (want dankzij de privacy maatregelen kan de overheid dit anders niet) .

Anders gezegd waarom is Irma met het huidige eco systeem van attribuut verstrekkers zonder relaties tussen attributen (dus potentieel van attributen van verschillende identiteiten) geschikt om de huidige processen met een (digitaal) identiteitsbewijs, om vervolgens de betreffende partij zelf de verdere gegevens met een gewenste betrouwbaarheid op te laten halen (bijv uit de basisregistraties)?

StefanJanssen @leon_ree • 8 juni 2020 19:01

Hoe wil je op dit moment bij een online slijter identificeren zonder dat deze al je gegevens krijgt? 50% van de mensen tegenhouden is nog altijd beter dan 0% van de mensen tegenhouden.

leon_ree @StefanJanssen • 8 juni 2020 19:43

Wie verwacht je precies hiermee tegen te houden dan? personen die zich netjes aan de wet houden zullen al geen bestelling doen als ze niet aan de gestelde criteria voldoen, maar als je dit wilt omzeilen en er zijn diverse mogelijkheden voor, wie laat zich dan stoppen?

Kennelijk is op het moment bij een online slijterij überhaupt geen verplichting mbt het aanleveren van betrouwbare attributen, dus ook niet via de niet privacy vriendelijke variant met Digid icm de brp (waarmee wel digitaal kan worden aangeleverd dat jij of je collaborateur ouder dan 18 is, of tenzij je identiteit fraude pleegt met iemand anders zijn digid, maar waarbij je vervolgens getraceerd kan worden). Ik kan me zo voorstellen dat dit als een te zwaar middel tov het doel wordt bevonden.
Waarom zou de overheid dan wel een middel moeten introduceren welk eenvoudig te omzeilen is (eenmaal van een volwassene een attributenset met 18+ er inladen) , om vervolgens waar je maar wilt privacy vriendelijk dus anoniem (maar ondertussen wel een afleveradres opgevend) toe te kunnen passen (wellicht ook voor andere situaties dan drank). Waar zou de app dan voor ingezet moeten/mogen worden en wanneer niet meer, want er zijn genoeg attributen die niet privacy vriendelijk zijn en waarmee identiteitfraude gepleegd kan worden, zonder dat je eenvoudig fraude detectie kan toepassen (want decentraal)

Skit3000

@leon_ree • 8 juni 2020 15:38

De vragende partij kan toch enkele eisen meesturen, zoals een cryptografische sleutel die overeen moet komen met gegevens in de app? Als zij dus explicit vragen of leon_ree 18 jaar of ouder is, en je komt met de telefoon van je vader aan dan zal dit niet worden geaccepteerd.

Overigens een klein zijstapje; ik ben ooit met het paspoort van iemand anders op Schiphol door de douane gekomen dus sowieso deel ik je zorgen over een goed authenticatieproces.

leon_ree @Skit3000 • 8 juni 2020 17:28

ik begrijp de je cryptografisch veilig en privacy vriendelijk (bijv via zero knowledge proofs) vragen over (een combinatie van) attribuut waarden kunt stellen, mijn punt gaat echter over het aanleveren van mijn gegevens. het huidige systeem probeert fraude te voorkomen en maakt het daarnaast mogelijk om fraude te detecteren.

Hoe leg je de relatie tussen leon_ree en mijn leeftijd via irma. Heb ik daarvoor mijn attributen via Facebook ingelezen, en via Facebook mijn leeftijd niet gelogen. of komt mijn leeftijd uit de brp, maar mijn gebruikersnaam leon_ree uit Twitter en hoe wordt er dan geborgd dat het brp account en het Twitter account bij dezelfde persoon horen? en hoe wordt voorkomen dat attributen van jou in mijn irma komen (wat volgens mij kan als ik bijv die eerder genoemde qr weet te bemachtigen, of door bijv 1 malig een attribuut provider weet te misleiden/hacken, maar waarna ik onbeperkt deze attributen set kan toepassen).

Cerberus_tm

@leon_ree • 8 juni 2020 16:35

Volgens mij gaat het bij die QR-code om iets heel anders: het is enkel een verzoek van de vliegmaatschappij aan jouw IRMA-portefeuille, geen code die waar dan ook toegang toe verleent. In de code zelf staat ook geen geheime informatie van jou. Niemand kan iets met die code, behalve wanneer hij jou kan dwingen om met jouw telefoon die code te scannen en om in jouw IRMA-programma op je telefoon te drukken op "stuur nationaliteit Nederlands: 'ja' naar KLM". Dan wordt dat verstuurd naar KLM (en niet per se naar degene die de code aan jou laat scannen).

Wat betreft drank kopen in een winkel: de winkelier laat een QR-scode zien, jouw zoontje scant die met jouw telefoon en drukt op "ja", en de winkelier ziet dat de IRMA-portefeuille in kwestie 'ouder dan 17' bevat. Dat laatste is dan noodzakelijkerwijs op een eerder moment bevestigd door de overheid en dus betrouwbaar. Dit is hetzelfde als wanneer iemand alleen de geboortedatum checkt in het paspoort dat je zoontje van jou heeft gejat. Bij een paspoort kun je inderdaad makkelijk ook nog even naar de foto kijken, of die wel klopt. Maar dat zou IRMA ook kunnen, een bevestigde foto van je paspoort tonen op de terminal van de winkelier, na het scannen van een code door je zoontje. Je kunt er ook samen één verzoek van maken: "toon 'ouder dan 17' en 'pasfoto' samen". Dit alles is dus even betrouwbaar als een paspoort laten zien. Alleen dan werkt het ook op afstand online (door de sleutel in de QR-code kun je een IRMA-antwoord op een verzoek niet faken). En je hoeft je geboortedatum niet te laten zien aan de winkelier, laat staan je paspoortnummer/BSN.

Wat betreft huursubsidie: het zou mogelijk moeten zijn dat de desbetreffende instantie bij het opvragen van je inkomen (onder bedrag x) ook de ouderdom van de gegevens opvraagt. Die kun je natuurlijk net zo goed in IRMA laten opslaan. Dan wordt het verzoek dus "inkomen is onder bedrag x & dit gegeven is niet ouder dan 6 maanden".

Je zou inderdaad met de gegevens van je buurman huursubsidie kunnen aanvragen. Dan moet je het paspoort van je buurman hebben (als je de overheid zover kunt krijgen om die gegevens op een nieuwe IRMA-portefeuille te laden en te verifiëren), of je moet zijn telefoon en zijn IRMA-portefeuille in handen hebben, of je moet zijn medewerking hebben. Maar dat kan nu toch ook al met een paspoort / Digi-D? Bij een aanvraag op afstand is daar weinig aan te doen, nu niet met een paspoort, en ook niet in de toekomst met IRMA.

Het voordeel van IRMA is wederom dat de vragende partij alleen de echt noodzakelijke informatie van jou krijgt, namelijk of je inkomen al dan niet onder bedrag x ligt; als jij met je Digi-D inlogt op een site, wie weet bij wat voor gegevens die site dan allemaal kan? Je hebt er geen zicht op, geen controle over. Misschien kan die site wel een complete kopie van je paspoort opslaan. Ik heb echt geen idee wat mijn zorgverzekeraar allemaal van mij kan inzien of opslaan, als ik bij hem met mijn Digi-D inlog.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 16:31]

leon_ree @Cerberus_tm • 8 juni 2020 17:10

Als je de link volgt zie je dat de qr waarschuwing gaat om het inladen van attributen in Irma, niet om het vrijgeven van gegevens naar een partij.

verder klinkt je verhaal goed, maar het valt allemaal in elkaar als je niet kan waarborgen dat de attributen die ingeladen worden ook allemaal bij dezelfde persoon horen en bij mijn weten is er nergens een garantie dat dit het geval moet zijn (dat het systeem dit afdwingt).

je hebt hier bijv. in alle attributensets het bsn voor nodig, maar die komt enkel in de datasets van de overheid voor, en de overheid maakt ondertussen een (hele langzame) beweging om hier vanaf te stappen. Daarnaast moet irma of de gerelateerde partij controleren dat alle Sets bij hetzelfde bsn (of ander overkoepelend id) behoren.
Tenslotte is er volgens mij geen attributen provider die je pasfoto aanlevert en ik ben benieuwd wie dat kan invullen.

Cerberus_tm

@leon_ree • 8 juni 2020 19:31

Welnu, de dingen die ik noemde zijn vast nog niet allemaal geïmplementeerd, maar dit is wel hoe het in de toekomst zou moeten gaan werken.

Wat jij bedoelt is dat ik, in mijn IRMA, het inkomen van de buurvrouw laad, en het woonadres van mijzelf, en die dan samen aan een instantie stuur. Inderdaad moet dat niet kunnen. De instantie die het inkomen inlaadt, kan eisen dat je je BSN via IRMA laat zien, en die koppelt dan het inkomen alleen aan de getoonde IRMA-portefeuille. Of, als BSN niet genoeg is, dat je op welke manier dan ook (paspoort inloggen via Digi-D gekoppeld aan IRMA?) bewijst dat het inkomen gekoppeld zal worden aan de juiste persoon. Wanneer je vervolgens huurtoeslag aanvraagt, moet de uitkerende instantie vragen om 'inkomen en woonadres samen (dus uit dezelfde IRMA-portefeuille = uiteindelijk gekoppeld aan hetzelfde paspoort)'. Gegevens van je paspoort moeten het begin en de kern vormen van je IRMA-portefeuille.

Op dit moment kun je vast nog geen pasfoto van je paspoort in je IRMA zetten, maar dat zou in de toekomst wel mogelijk moeten worden.

leon_ree @Cerberus_tm • 8 juni 2020 20:00

Helemaal mee eens.

Ik vind irma ook zeker een mooi initiatief, waarmee een goede start is gemaakt om te verkennen wat er allemaal mogelijk is en waaruit inzichten komen en verdere innovatie door op gang wordt gebracht. Ik denk alleen ook dat de oplossing zoals die er nu ligt nog niet voor het grote gebruik en publiek geschikt is. Gelukkig is de overheid daarom druk bezig met het uitwerken van kaders en toekomstige oplossingen, zie bijv. https://www.digitaleoverh...tie-regie-op-gegevens.pdf

Cerberus_tm

@leon_ree • 8 juni 2020 20:02

Okee, ik denk je dit bedoelde met je QR-code, daar moeten inderdaad voorwaarden aan gesteld worden door de uitgevende partij:

Attributen die voor u gelden kunt u downloaden in uw IRMA app op uw telefoon. Dat kan via het web, door het scannen van een QR-code, maar dat kan ook ter plekke, bijvoorbeeld aan een balie. De organisatie die attributen uitgeeft heet een attribuut uitgever of gewoon een uitgever (in het engels: issuer). Er zouden verschillende attribuut uitgevers kunnen zijn, zoals:

de nationale overheid, of een gemeente, voor attributen als: naam, adres, geboortedatum, BSN, rijbevoegdheid, categorie van inkomen, etc.
banken en verzekeringsmaatschappijen, voor attributen als: bank- en verzekeringsnummers, soort van verzekering, etc.

Voor het uitgeven van je inkomen aan je IRMA, neem ik aan dat de overheid dit doet, en dat ze dit alleen doet, als je je kunt aantonen dat de IRMA-portofeuille daadwerkelijk bij het juiste BSN (o.i.d.) hoort. Mocht de overheid hiervoor een QR-code gebruiken, dan zal die QR-code alleen moeten werken voor de IRMA-portefeuille waarvoor de overheid die QR-code heeft aangemaakt. Als iemand anders die code scant, zou hij een foutmelding moeten krijgen: "deze QR-code is niet bedoeld voor Uw IRMA-portefeuille, dus U kunt er niets mee". Als dat niet mogelijk zou zijn, zou de overheid zeker geen QR-code voor het toevoegen van dit soort gegevens moeten gebruiken.

Maar voor het bevestigen van je e-mail, bijvoorbeeld, is het niet echt een probleem: als jij in staat bent om in te loggen in de Gmail-omgeving van je buurvrouw en je daarin een QR-code voor jezelf aanmaakt, heb je dus het e-mail-adres van je buurvrouw in jouw IRMA staan. Dat is misschien niet wenselijk, maar het is wel logisch dat dit gewoon kan: als je immers in haar e-mail kunt, heb je er volledige toegang toe. Dat is ook zoals het zonder IRMA werkt. En met IRMA zal geen enkele instantie enige waarde hechten aan het feit dat b.v. een e-mail-adres en een woonadres aan dezelfde IRMA-portefeuille zijn gekoppeld, dus dat is geen probleem.

Dus Gmail kan zonder problemen een QR-code voor invoeren aanmaken, maar de overheid moet dit alleen doen indien ze in staat is te verifiëren dat de QR-code alleen werkt met de juiste IRMA-portefeuille, en dat deze portefeuille reeds de gegevens van het juiste paspoort bevat.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 16:31]

StefanJanssen @leon_ree • 9 juni 2020 09:29

Als je de link volgt zie je dat de qr waarschuwing gaat om het inladen van attributen in Irma, niet om het vrijgeven van gegevens naar een partij.

Hmm Ik heb gisteren IRMA ingeregeld met de Gemeente Nijmegen, Bank, email en telefoonnummer. Ik heb bij geen van allen een QR code hoeven scannen om de data binnen te halen. (Buiten de QR code om bij de bank in te loggen).

Ik heb ook een aantal van de demo's geprobeerd en daar moet je wel een QR code scannen. Maar dit is alleen om de data naar de service te sturen. Bij welke methode van inladen zou volgens jou de QR code gebruikt worden om de data in te lezen?

FvdM @leon_ree • 8 juni 2020 11:47

Ik ben me er niet van bewust dat er een mogelijkheid is om de gegevens uit deze app te revoken, zodat je na herkennen van diefstal (wat je eerst al maar moet lukken) je vervolgens het verdere misbruik met deze gegevens kan stoppen.

Je kan je account verwijderen via de Mijn IRMA omgeving. Volgens die pagina zijn dan alle kaartjes 'permanent onbruikbaar'.

Als u uw MijnIRMA verwijdert, worden al uw kaartjes permanent onbruikbaar, en worden alle gebeurtenissen en uw e-mailadres permanent gewist.

https://privacybydesign.foundation/mijnirma/

leon_ree @FvdM • 8 juni 2020 12:04

ah goed te zien dat dat probleem ook opgelost is. Maakt jou al gebruiker dan wel verantwoordelijk voor het controleren van misbruik met jouw gegevens, maar dat is de keuze die je maakt als je deze app gebruikt.

Dan resteert nog de "kwaliteit" van de gegevens.
Hoe weet de ontvanger dat hij jouw (actuele) gegevens krijgt, en
- niet die van je zus/vader/bekende/onbekende
- niet jouw eigen, maar verouderde gegevens

De verouderde gegevens kan de ontvanger oplossen door relatief "verse" gegevens te vereisen (te oude attributen worden niet geaccepteerd).

Maar hoe weet je als ontvanger dat de andere kant is die hij beweert te zeggen dat hij is en de gegevens van hem dan ook geleverd worden. Hoe weet je dat iemand niet de gegevens van zijn oudere broer/zus of (bewust of onbewuste) andere gebruiker gebruikt. Er is een risico dat iemand anders zijn telefoon wordt gebruikt, een andere mogelijkheid is dat iemand anders zijn attributen in jouw irma account zijn ingeladen (hoe wordt tijdens het inladen een match gemaakt tussen bijv. BRP gegevens, en.linked-in account, of dadelijk andere attributen providers).

punthoofd @leon_ree • 8 juni 2020 12:51

Zou een foto wat zijn?
Er hangt veel af van het inladen. Maar goed, een paspoort halen gaat ook niet 123.

Tarquin @leon_ree • 8 juni 2020 13:20

Maar hoe weet je als ontvanger dat de andere kant is die hij beweert te zeggen dat hij is en de gegevens van hem dan ook geleverd worden.

Ik weet niet hoe het met IRMA werkt maar dit zou natuurlijk via DigiD of een andere bevestigde inlogdienst kunnen werken.
Door in te loggen toon ik aan wie ik ben. Vervolgens kan ik met de IRMA app heel specifiek één gegeven vrijgeven - bijvoorbeeld doordat de webpagina via een QR code iets aan de IRMA app kan vragen.
En daar geef ik in de app dan weer toestemming voor.
Ik stel me iets voor als "Bedrijf X wil weten of jij ouder dan 18 bent. J/N"

Die logins wordt ook aan gewerkt - DigiD met SMS of met de app; herkenning via de bank, dat zijn 2-factor authenticaties die ook al aan jouw identiteit gekoppeld zijn (door de bank en de overheid).

leon_ree @Tarquin • 8 juni 2020 14:11

als je overal het zelfde inlog middel moet gebruiken, zou dat zeker helpen. Maar ik kan niet bij alle attribuut uitgevers met bijv. DigiD inloggen, dus daarmee kan je de relatie tussen de gegevens niet leggen.

Daarnaast moet in de attributen bij alle uitgevers dus ook 1 terugkerend ID zijn, zodat je zeker weet dat de gegevens bij dezelfde IDentiteit horen, en uit te sluiten dat de ene keer met je eigen DigiD, en vervolgens met de DigiD van je vader of zus ingelogd is.

Als dan ook nog eens de foto digitaal met deze zelfde ID kan worden aangeleverd, dan zou je een heel krachtige oplossing krijgen. Maar dit vergt dus nog wel wat van het verdere eco-systeem.

Cerberus_tm

@leon_ree • 8 juni 2020 16:45

Maar ik kan niet bij alle attribuut uitgevers met bijv. DigiD inloggen, dus daarmee kan je de relatie tussen de gegevens niet leggen.

Dit hoeft niet: de gegevens in je IRMA-portefeuille hoeven maar eenmalig geverifieerd te worden. Die verificatie wordt dan logischerwijs bij de gegevens in je IRMA-portefeuille opgeslagen. Als je op een ander moment die gegevens naar een website wilt sturen, wordt er automatisch meegestuurd dat de gegevens inderdaad door de overheid op een eerder moment bevestigd zijn.

Als de website meerdere IRMA-gegevens wil weten, omdat ze alleen samen genoeg betrouwbaarheid bieden, kan de website een gecombineerd verzoek doen.

bastro @Frits015 • 8 juni 2020 11:05

Precies het probleem waar IRMA voor bedoeld is om op te lossen.

Stel, ik ga naar een online slijter om mijn fles br33zer te kopen. Slijter moet verplicht mijn leeftijd controleren of ik wel boven de 16 ben. In de oude situatie vraagt men dan om een kopie van het ID omdat daar de geboortedatum op staat.
Maar met de IRMA app kan ik, geveirifieerd door de Nedelandse gemeentes uit het GBR, het bewezen feit aanleveren dat ik boven de 16 ben. Niks meer, niks minder.
Slijter kan mijn kopie ID niet kwijtraken, Zij\hij hoeft zelfs mijn geboortedatum niet te weten. En zij\hij weet 100% zeker dat ik niet lieg over mijn leeftijd.
En ik blijf in controle over wie welk soort gegevens krijgen.

Ik hoop dat dit soort gegevensoverdracht snel de standaard gaat worden.

.muts @bastro • 8 juni 2020 11:32

en hoe weet de slijter dat het jouw telefoon is die je in je handen hebt en niet die van je oudere zus?

Tarquin @.muts • 8 juni 2020 12:03

Niet. En met die vraag trek je het voorbeeld tever.
Het is geen identificatie-app. Je toont niet aan wie je bent want daar is de app niet voor.

Hij is ervoor om heel specifiek gegevens te verstrekken en niet méér dan nodig.
In het voorbeeld van de slijter toon je alleen aan dat je ouder dan 18 bent, zonder dat je vertelt hoe oud je dan bent, hoe je heet, wat je paspoortnummer is en wat je geboortedatum is.
Die info geef je wel ongewild vrij als je een kopie van je ID opstuurt.
(De online-slijter kan uiteraard ook niet controleren dat je het ID van je zus opstuurt)

De informatie in de app is ook geverifieerd. Zo heeft het ding via NFC mijn paspoort gescand. Het telefoonnummer is geverifieerd via een SMS. Mijn banknummer is geverifieerd via een kleine transactie. Dat soort dingen.

Ik weet niet hoe die overdracht in de praktijk gaat, maar misschien dat de online-slijter een QR-code toont en dat de IRMA-app daarmee een unieke code genereert die betekent 'de drager van deze telefoon is bewezen ouder dan 18 (en meer informatie krijg je niet)'.

[Reactie gewijzigd door Tarquin op 22 juli 2024 16:31]

xats6nl @Tarquin • 8 juni 2020 15:59

Je kan de betaling als bewijs zien !?
Of controleren of diegene die de betaling doet ook diegene is wiens leeftijd is gecontroleerd ?

Tarquin @xats6nl • 8 juni 2020 18:51

Je doet een kleine betaling, en daarmee bewijs je dat een bepaald rekeningnummer bij jou hoort.
Dat zou bv interessant kunnen zijn bij betalingen via Marktplaats, waarbij een account-hacker kan zeggen 'maak het maar over op dit nummer'.
Je kunt dan even checken of dat nummer echt bij hem hoort.

Zwaai Haai @Tarquin • 8 juni 2020 16:27

kan je een pasfoto niet als attribuut vrijgeven?

Je geeft dan alleen de informatie de persoon die er - zo

- uitziet is ouder dan 18 jaar.

TabCam @.muts • 8 juni 2020 12:21

Dat kan een online slijter toch nooit, ook niet met al die gegevens. Ofwel , er is geen verschil of jouw oudere zus haar telefoon laat misbruiken, voor haar jongere zus besteld of een vals id oplevert. Allemaal situaties die voor een online slijter niet te controleren zijn.

En voordat je denkt dat een beeldverbinding helpt, deep faken gaat bijzonder snel qua ontwikkelingen.

Tarquin @TabCam • 8 juni 2020 18:54

Nu heeft de online-slijter geen enkele manier om te controleren of een koper ouder is dan 18.
Dan kunnen ze gaan hobbyen met een kopie van een paspoort, maar je stuurt dan véél te veel gegevens op en die kopietjes kunnen worden misbruikt (omdat iedereen en zijn moeder een kopie paspoort als online identificatie accepteert).
Dus IRMA is gewoon het digitale equivalent van alle niet relevante info doorstrepen, en over de kopie schrijven 'ALLEEN VOOR SLIJTER.NL'.

Cebby

@Frits015 • 8 juni 2020 10:46

Welke database bedoel je precies? De lokale database op je telefoon?

VittunWasted @Frits015 • 8 juni 2020 10:47

Wie is er verantwoordelijk als de database gehacked wordt en ik daar schade en ellende van krijg. Dit is natuurlijk een schatkamer voor criminelen

Ik zie niets van een database. Zou idd niet erg slim zijn als ze voor die app alle data ergens in een database zouden opslagen. Ik zou toch verwachten dat privacygevoelige organisaties beter zouden weten, heb je dus ergens bewijs dat dit wel degelijk zo is?

Wouterkaas @VittunWasted • 8 juni 2020 11:02

Er is ook geen centrale database. Al je gegevens worden lokaal op jouw device opgeslagen.

EagleTitan @Frits015 • 8 juni 2020 10:45

De kenmerken van jezelf die je in de IRMA app verzamelt staan alleen in de app zelf en worden door IRMA nergens anders opgeslagen. Ze staan dus niet ook nog ergens in een cloud. Als je jouw kenmerken uit de app verwijdert zijn ze ook echt weg. Jij geeft zelf steeds expliciet toestemming voordat deze kenmerken vanuit de IRMA app aan een website doorgegeven worden.

Gegevens staan dus alleen lokaal: https://irma.app/?lang=nl#faqs

robpizza @Frits015 • 8 juni 2020 10:46

Op hun site staat vrij duidelijk aangegeven dat alle gegevens enkel local op je device opgeslagen staan

Een hacker zal dan dus al op je telefoon moeten zijn om bij die informatie te kunnen

Verwijderd @robpizza • 8 juni 2020 14:19

Tenzij je toegang tot de server hebt en daar alle attributen die er doorheenstromen gaat verzamelen. Al kan ik me voorstellen dat het lastig (al dan niet onmogelijk afhankelijk van de implementatie) wordt een totaalplaatje te vormen.

Andere mogelijkheid:
Ik weet niet zo in de diepte hoe het spul werkt. Maar stel, ik gooi een eigen servertje met irmajs de lucht in en ik ga phishingmails met QR codes versturen voor bepaalde 'interessante' data.
Kan ik zo een hele bak data verzamelen?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:31]

Cerberus_tm

@Verwijderd • 8 juni 2020 16:51

Wat betreft het eerste: ik weet niet of de gegevens zelf daadwerkelijk door de servers van IRMA heen stromen. Dat lijkt me niet nodig: alleen de bevestiging is nodig dat het gaat om een geldige IRMA-respons van een geldige IRMA-portefeuille.

Phishing door middel van allerlei QR-codes: dat is mogelijk, maar dan moet elke gebruiker telkens drukken op "ja, ik wil precies de volgende gegevens versturen aan partij x:", waar hij kan zien om welke gegevens het gaat. Jouw probleem is door IRMA niet op te lossen: dat gaat om het sturen van gegevens naar een partij die je niet vertrouwt met die gegevens, terwijl IRMA alleen gaat om het niet sturen van onnodige privégegevens naar een partij die je op zich wel redelijk vertrouwt, zoals een legitieme website of fysieke winkel.

Wat je wel zou kunnen doen (weet niet of IRMA dit van plan is) is dat IRMA op hun server een lijst met betrouwbare vragers zou kunnen bijhouden. Banken en KLM e.d. zouden zich daarvoor kunnen aanmelden, en IRMA (of een andere partij, misschien de overheid) zou dan op arbeidsintensieve wijze kunnen controleren dat de partijen op de lijst daadwerkelijk legitieme partijen zijn. Als gebruiker van IRMA zou je dan, bij een IRMA-verzoek om allerlei gevoelige gegevens, erbij zien staan "de vragende partij staat op de lijst met legitieme partijen". Een winkel waar je drank bestelt hoeft niet die lijst te staan, want je vindt het waarschijnlijk niet zo erg om "ouder dan 17: ja" te sturen aan een partij die misschien niet betrouwbaar is.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 16:31]

Jhonna 8 juni 2020 10:46

Zoals ik het hoor is dit de Nederlandse variant van de Belgische Itsme? Of zie ik t fout

Thrillseeka- @Jhonna • 8 juni 2020 11:04

Waarbij een belangrijk verschil is dat Itsme wel door de belgische overheid wordt 'geadopteerd' als trusted third party identity provider en Privacy by Design/IRMA niet verder komt dan hier en daar een aantal proof-of-concepts bij verzekeraars en gemeenten. Jammer, want de potentie is er wel degelijk. Veel PoCs lopen vast op usability van de app en adoptie van het platform.

Verwijderd @Thrillseeka- • 8 juni 2020 12:01

ITSME is genotificeerd in België, in Nederland dient de wet Digitale overheid en daarbinnen toegelaten middelen nog vastgesteld te worden. Vanuit SIDN werken we er hard aan om IRMA toegelaten te krijgen. Daar zit het momentum.

WoutervOorschot

@Verwijderd • 8 juni 2020 13:52

Zou dat dan ook erover gaan dat dit een geldig identificatiemiddel wordt? Zodoende dat je het bijvoorbeeld in de horeca/supermarkt ipv een identiteitskaart kan gebruiken om aan te tonen dat je boven de 18 bent?

Ik had er nog nooit van gehoord, maar het ziet eruit als een erg mooi initiatief.

Edit: ik lees nu dat dat inderdaad het doel is, maar vooral de overheid nog moet meewerken dat het een geldig bewijs is.

[Reactie gewijzigd door WoutervOorschot op 22 juli 2024 16:31]

ollie1965 @Verwijderd • 8 juni 2020 23:59

Dag Bob,

En hoe zou SIDN dat dan willen bewerkstelligen? Persoonlijk zie ik IRMA nog hele grote stappen verwijderd van een notificatie of men moet op de achtergrond hele grote stappen gemaakt hebben.
Hoe denkt de stichting bij RvIG een GBA-V aansluiting te krijgen welke opgenomen is in de GABA?
Hoe denkt men te gaan voldoen aan de wettelijke vereisten om de illegale aansluiting die IRMA nu gebruikt legaal te maken?
Of is dat allemaal nu al wel geregeld?

Ollie is wel benieuwd of de guerrilla tactiek eindelijk naar het niveau volwassenheid getild wordt.
Zie mijn eerdere vraag hier
ollie1965 in 'plan: Kijk onze Privacy & Security Meet-up XL hier terug'

Nog veel meer vragen, maar ben benieuwd naar je eerste antwoorden op een illegale aansluiting op GBA-V (iets met ethiek welke voor mij doorwerkt in privacy)

[Reactie gewijzigd door ollie1965 op 22 juli 2024 16:31]

Verwijderd @ollie1965 • 19 juni 2020 16:23

Sorry voor late reactie Ollie, niet opgemerkt eerder.

Hoe denkt de stichting bij RvIG een GBA-V aansluiting...

Een gedeelte hiervan wordt geregeld door het toelatingskader private middelen in de wet digitale overheid. Wij (SIDN) als partner van IRMA verwachten daarin te passen en als leverancier aan de juiste voorwaarden te voldoen. Die aansluiting loopt dan mogelijk niet eens via RVIG overigens.

Hoe denkt men te gaan voldoen aan de wettelijke vereisten om de illegale aansluiting die IRMA nu gebruikt legaal te maken?
Is deze illegaal? Dan zou deze er niet zijn, wellicht wil de gemeente Nijmegen hier nog commentaar bij geven, zal ik voor je vragen.

ollie1965 @Verwijderd • 19 juni 2020 23:21

De beantwoording van de gemeente ben ik heel benieuwd naar. Ik kan geen besluit in de GABA van RvIG vinden die jullie aansluiting via Nijmegen op welke manier ook rechtvaardige. Ook hun jaarlijkse zelfaudit voor de BRP is zeer interessant.

Martijn_nmg @ollie1965 • 22 juni 2020 07:37

Beste ollie1965,

De SIDN is niet aangesloten op de BRP / GBA-v. Door het idemix / IRMA protocol worden gegevens vanuit de GBA-v aansluiting van de gemeente Nijmegen direct in de app van de inwoner gezet. Hiermee is het vergelijkbaar met een uittreksel dat in alle gemeenten wordt aangevraagd.

De grondslag is te vinden in artikel 2.55 van de Wet Basisregistratie personen en het feit dat dit uit de GBA-v gedaan wordt staat beschreven in de memorie van toelichting bij deze wet op pagina 44. Hierin staat beschreven dat met de komst van de Wet BRP een gemeente verplicht is om ook inlichtingen te verstrekken aan inwoners die niet in deze gemeente wonen. (in de burgerzakenwereld wordt dit 'plaatsonafhankelijke dienstverlening' genoemd)

Hierdoor valt een verstrekking van een uittreksel aan een inwoner (via IRMA) onder de bijhoudingstaken van de gemeente. De GABA ziet toe op de verstrekkingen uit hoofdstuk 3 van de BRP (het verstrekken aan derden) waardoor deze vorm van inzage niet als zodanig in de GABA is opgenomen.

Voordat we als gemeente Nijmegen zijn gestart met het verstrekken van uittreksels via IRMA heeft de landsadvocaat (Pels Rijcken & Droogleever Fortuijn red.) een juridische analyse uitgevoerd, heeft een externe DPIA door een auditor gespecialiseerd in BRP en DigiD en een uitvoerige pentest op het implementatie plaatsgevonden. Uiteraard hebben alle stadia, van eerste prototype tot en met nu, in overleg plaatsgevonden met het Ministerie van Binnenlandse Zaken en de Rijksdienst voor Identiteitsgegevens.

Mocht je verder vragen hebben, dan hoor ik het graag.

Martijn van der Linden
Gemeente Nijmegen

ollie1965 @Martijn_nmg • 22 juni 2020 10:38

Martijn,

Het zou handig zijn om te duiden in welk artikel van de memorie je de gronden vind.
Ik vind het namelijk nog steeds heel verwonderlijk dat wetsartikelen die in de BRP staan die grotendeels te maken hebben met het mGBA (wat ter ziele is gegaan en nooit enig moment actief is geweest) en de memorie waarin gesproken wordt over (o.a.) een AMvB om te komen tot vervanging van de gemeente waar de persoon is ingeschreven.

Ook zou het handig zijn om het oordeel van de landsadvocaat transparant te delen.

Ook de eerdere uiteenzetting van onder andere de NVVB ( https://nvvb.nl/nl/commun...rma-bij-gemeente-nijmegen ) geeft een ander licht dan u doet voorstellen.

Geluiden die tot mij zijn gekomen zijn namelijk van een totaal andere strekking dan u namens de gemeente Nijmegen mij doet voorstellen.

Martijn_nmg @ollie1965 • 22 juni 2020 12:08

Beste Ollie1965,

Dank voor je reactie!

Het zou handig zijn om te duiden in welk artikel van de memorie je de gronden vind.

De memorie is hier te vinden en vermeld onder het kopje 'rechten van de burger'

In de eerste plaats wordt het voor de ingeschrevene mogelijk om een verzoek tot inzage in de over hem opgenomen gegevens en het verkrijgen van een afschrift daarvan, in het vervolg te richten tot het college van burgemeester en wethouders van iedere willekeurige gemeente.

Hiertoe heeft iedere gemeente ook de mogelijkheden gekregen door de wel opgeleverde onderdelen van de Operatie BRP: namelijk de GBA-v 'full service'.

Ook zou het handig zijn om het oordeel van de landsadvocaat transparant te delen.

Ik mag het met u delen alleen niet openbaar publiceren. Mijn contactgegevens staan in de link die u heeft gedeeld.

Ook de eerdere uiteenzetting van onder andere de NVVB ( https://nvvb.nl/nl/commun...rma-bij-gemeente-nijmegen ) geeft een ander licht dan u doet voorstellen.

Je refereert naar een door mijzelf geplaatste oproep. De grondslag voor de verstrekking van deze gegevens aan inwoners ligt bij gemeenten (zie artikel 2.55 Wet BRP). Om deze reden is in 2019 met behulp van andere gemeenten een 'Whitelabel' pagina ingericht. Volgens de richtlijnen van DigiD, nog wel met een Nijmegen verwijzing in de url en via de DigiD aansluiting van de gemeente Nijmegen. In het kader van de Wet digitale overheid wordt gezocht naar een meer permanente oplossing om de idenititeitsmanagers die worden toegelaten tot het stelsel te voorzien van deze gegevens.

Geluiden die tot mij zijn gekomen zijn namelijk van een totaal andere strekking dan u namens de gemeente Nijmegen mij doet voorstellen.

Ik hoor graag de andere geluiden. Gebleken is dat bijna altijd hetzelfde doel voor ogen staat, alleen dat langs elkaar heen gesproken wordt.

[Reactie gewijzigd door Martijn_nmg op 22 juli 2024 16:31]

ollie1965 @Martijn_nmg • 22 juni 2020 19:51

De tekst waar je naar linkt is in eerste plaatst op pagina 44 (prima ik kan het wel vinden) onder "4.6 rechten van de burger"
Het geheel spits zich toe op het wettelijke recht van inzage op de BRP gegevens en handelingen die gedaan zijn in de BRP op de gegevens van de burger, zowel mutaties, toevoegingen als ook protocollering.
Het recht wat burgers hebben om inzage te hebben.

In de memorie is echter duidelijk gesteld dat dit "te richten tot een ieder college", naar mijn mening heeft de stichting die achter IRMA staat nog niet de status verworven die voldoet aan de eisen die vermeld zijn in de gemeentewet.

En weer in herhaling je grijpt terug op een onderdeel van de mGBA welke niet is voltooid (laten we het mooi verwoorden) en er wordt een klein deel van het geheel gebruikt.
Als je echt wilt vasthouden aan dit artikel zou ik ook via IRMA de vraag moeten kunnen stellen dat jullie mij ook de gehele set moeten kunnen leveren, immers je doet beroep op en stelt te voldoen aan dit onderdeel.

Dit betekent naar mijn mening dat de gemeente Nijmegen (het college ) in gebreke blijft voor de levering van mijn gegevens via de samenwerking met IRMA, of mij de mogelijkheid ontneemt om deze gegeven geleverd te krijgen.
Zou ik dit voor het gemak verder door trekken naar de Awb dan hebben jullie niet voldaan en zijn jullie in gebreke om tijdig een besluit te nemen.....

Zeker snap ik wel dat ik je aanhaal, ik doe dit vooral om duidelijk te maken dat er nog wel discussie is.

Kun je mij onderbouwen waarom je de zienswijze van de landsadvocaat zegt niet publiekelijk te kunnen delen, maar wel met een persoon, die er gewoon om vraagt, zonder dat je deze geïdentificeerd hebt al wel aanbied?

Martijn_nmg @ollie1965 • 23 juni 2020 09:50

Dank voor het goede inlezen. Ik word er altijd blij van als mensen zich goed verdiepen in deze taaie materie.

Het geheel spits zich toe op het wettelijke recht van inzage op de BRP gegevens en handelingen die gedaan zijn in de BRP op de gegevens van de burger, zowel mutaties, toevoegingen als ook protocollering.
Het recht wat burgers hebben om inzage te hebben.

Dat klopt. Uittreksel worden verstrekt op basis van het inzagerecht. Sinds de komst van de AVG is artikel 2.55 wet BRP direct gekoppeld aan artikel 15 van de AVG. Voor de komst van de AVG was de BRP een van de weinige wetten waar dit inzagerecht zo duidelijk was geregeld. In het kort komt het er op neer dat er 'om niet' een blanco 'persoonslijst' verstrekt moet worden en dat er 'desgewenst' ook een 'gewaarmerkt' exemplaar verstrekt kan worden (artikel 2.55 lid 3 wet BRP) Voor dit 'gewaarmerkt' uittreksel kan een gemeente leges (geld) vragen en hier een vorm voor bedenken.

De verstrekking aan een inwoner via IRMA is een vorm van een gewaarmerkt uittreksel. Gezien de waarde die de uitgifte heeft in de publieke discussie hebben we besloten om hier geen leges over te heffen.

In de memorie is echter duidelijk gesteld dat dit "te richten tot een ieder college", naar mijn mening heeft de stichting die achter IRMA staat nog niet de status verworven die voldoet aan de eisen die vermeld zijn in de gemeentewet.

We verstrekken ook niets aan 'de stichting achter IRMA', we verstrekken direct aan de inwoner. De verstrekking vindt plaats via een server die draait bij de gemeente Nijmegen en wordt direct in de app van de inwoner geplaatst. De stichting ziet helemaal niets van de verstrekking. Op slide 21 van deze presentatie staat technisch weergegeven hoe een verstrekking werkt. Het enige dat (inmiddels) de SIDN ziet is dat er iemand inlogt met IRMA, maar wat er gedaan wordt is voor SIDN totaal niet zichtbaar.

Ik maak weleens de vergelijking met een printer. Ook daar wordt een opdracht naartoe gestuurd met de titel 'uittreksel' maar wat er geprint wordt, weet de printer niet. Als we vinden dat IRMA niet mag, dan mag een printer ook niet

En weer in herhaling je grijpt terug op een onderdeel van de mGBA welke niet is voltooid (laten we het mooi verwoorden) en er wordt een klein deel van het geheel gebruikt.

Wat echt wel af is, en heel erg onderschat wordt, is de GBA-v full service. Sinds 2016 is er een 'centrale voorziening' waar alle afnemers van de BRP (belastingdienst, SVB, maar ook alle gemeenten) gebruik van maken in plaats van 355 lijntjes naar gemeenten te hebben. Op basis van deze service kan een dergelijk uittreksel verstrekt worden. Ben je het daar niet mee eens, dan zeg je ook dat de belastingdienst niet de juiste informatie over inwoners heeft...

Als je echt wilt vasthouden aan dit artikel zou ik ook via IRMA de vraag moeten kunnen stellen dat jullie mij ook de gehele set moeten kunnen leveren, immers je doet beroep op en stelt te voldoen aan dit onderdeel.

Dat klopt helemaal. We hebben er bewust voor gekozen (dat kan op basis van artikel 2.55 lid 3 wet BRP) een set via IRMA beschikbaar te stellen die niet 'misbruikt' kan worden. Indien de volledige set beschikbaar wordt gesteld aan een attribuut gebaseerde identiteitsmanager is het mogelijk om combinaties van gegevens te maken die de waarheid geen recht doen. Denk hierbij bijvoorbeeld aan de woongeschiedenis (het combineren van de verkeerde datums bij het verkeerde adres) of kindgegevens (uit de BRP kun je het gezag niet afleiden).

Dit betekent naar mijn mening dat de gemeente Nijmegen (het college ) in gebreke blijft voor de levering van mijn gegevens via de samenwerking met IRMA, of mij de mogelijkheid ontneemt om deze gegeven geleverd te krijgen.
Zou ik dit voor het gemak verder door trekken naar de Awb dan hebben jullie niet voldaan en zijn jullie in gebreke om tijdig een besluit te nemen.....

Dat mag je zo stellig zeggen. Zoals hierboven aangegeven hebben we een zorgvuldige afweging gemaakt in de set gegevens die we beschikbaar stellen via IRMA. Ik zie het bezwaar op de gegevenslevering graag tegemoet

Kun je mij onderbouwen waarom je de zienswijze van de landsadvocaat zegt niet publiekelijk te kunnen delen, maar wel met een persoon, die er gewoon om vraagt, zonder dat je deze geïdentificeerd hebt al wel aanbied?

Dit zijn de voorwaarden die de landsadvocaat stelt aan het rapport. Je mag mij ook anoniem mailen / contacten via Signal of iets dergelijks, ik deel het met plezier.

ollie1965 @Martijn_nmg • 23 juni 2020 23:32

Ik vindt de term "GBA-v full service" een leuk gevonden term van je en ook de "centrale voorziening".
Technisch is er wel wat veranderd, maar schokkend, vernieuwend?
Nee, echt niet. VOA, KG en al dat soort mogelijkheden waren allang en breed ingevoerd.

Met de term "persoonslijst" ga je wel heel vrijelijk om gezien de set die geleverd wordt in IRMA.
Want een PL is een veelvoud van gegevens boven een "persoonslijst" die IRMA levert.
Maar ik neem aan dat je de +700 pagina's ook kent.
Mocht dat niet zo zijn dan vergeef ik je de fout dat je stelt dat.

Indien de volledige set beschikbaar wordt gesteld aan een attribuut gebaseerde identiteitsmanager is het mogelijk om combinaties van gegevens te maken die de waarheid geen recht doen. Denk hierbij bijvoorbeeld aan de woongeschiedenis (het combineren van de verkeerde datums bij het verkeerde adres) of kindgegevens (uit de BRP kun je het gezag niet afleiden).

Een goed ingericht systeem zal altijd een waarmerk toevoegen dat manipulatie niet toestaat.
Tevens kun je uit de BRP wel degelijk het gezag van kinderen afleiden als dit heerst bij de "natuurlijke ouder" pas als er een voogd is dan pas dienen er bijbehorende stukken te worden bekeken die geregistreerd zijn bij de gemeente na de uitspraak van de rechtelijke macht. Je weet dan ieder geval dat het niet bij de "natuurlijke ouder" is.
Zie pagina 76 van de uitwerking en categorie 11 / 61 blz 173, 200, 286.
Ik denk eerder dat er keuzes gemaakt zijn om het geheel niet te complex voor de eerste fase (de guerrilla fase (methode verander technieken)).
Of het lezen van het LO GBA was te moelijk

Vreemde voorwaarden van een landsadvocaat.

Zoals in het begin gezegd, privacy heeft ook te maken met ethiek naar mijn mening.
Ik denk dat de stichting, het faciliteren door de Gemeente Nijmegen, en het (niet) open en transparant communiceren hierover een stap te ver is gegaan en omdat de tactiek snel was heeft met niet durven ingrijpen omdat er dan iets te veer reuring zou komen.
My 2 cents

Martijn_nmg @ollie1965 • 24 juni 2020 08:12

Ik vindt de term "GBA-v full service" een leuk gevonden term van je en ook de "centrale voorziening".
Technisch is er wel wat veranderd, maar schokkend, vernieuwend?

Het berichtenstelsel is veranderd naar 355 (destijds nog 380) gemeenten die onafhankelijk op een eigen moment gegevens uit de lokale BRP verstrekten aan alle afnemers als de belastingdienst, SVB etc, naar een centrale levering vanuit de GBA-v, ik vind dat persoonlijk een mooie stap met veel efficiëntiewinst. Maar daar mogen we anders over denken.

Met de term "persoonslijst" ga je wel heel vrijelijk om gezien de set die geleverd wordt in IRMA.
Want een PL is een veelvoud van gegevens boven een "persoonslijst" die IRMA levert.

Dat is zoals gezegd een bewuste keuze. Sterker, we leveren ook beredeneerde gegevens die geen deel uitmaken van de persoonslijst (initialen, 'ouder dan' gegevens). De ver uit meeste uittreksels die afgegeven worden aan de balie of die online worden besteld bevatten een even kleine set van gegevens. De volledige PL wordt slechts sporadisch aangevraagd (en standaard verstrekt bij een eerste inschrijving).

Tevens kun je uit de BRP wel degelijk het gezag van kinderen afleiden als dit heerst bij de "natuurlijke ouder"

En daar schuilt het probleem. Wie is de natuurlijk ouder? De NVVB heeft begin dit jaar in samenwerking met BZK een nieuw handmatig uittreksel ontwikkeld waarin medewerkers burgerzaken het 'beredeneerd ouderschap' kunnen vermelden, aangezien dit niet automatisch uit de BRP is te halen.

Zoals in het begin gezegd, privacy heeft ook te maken met ethiek naar mijn mening.
Ik denk dat de stichting, het faciliteren door de Gemeente Nijmegen, en het (niet) open en transparant communiceren hierover een stap te ver is gegaan en omdat de tactiek snel was heeft met niet durven ingrijpen omdat er dan iets te veer reuring zou komen.

Ethiek is het speerpunt van de gemeente Nijmegen in de privacydiscussie, zie voor meer informatie het Open en Weerbaar manifest en juist daarom is deze stap gezet. Niet snel en geheim, maar juist zorgvuldig en openbaar. De eerste aankondiging van dit idee hebben we gedaan op het congres van BZK waar alle belanghebbende. Direct na de aankondiging zijn veel gesprekken geweest met alle belanghebbende. Pas nadat alle seinen op groen stonden is overgegaan naar een livegang.

De stichting Privacy by Design verzameld alle openbare publicaties over IRMA op deze pagina, als u ziet hoeveel publicaties sinds 2018 over de Nijmeegse verstrekking zijn gegaan, is het moeilijk stellen dat we hier niet transparant over zijn.

Misschien wel het belangrijkste democratische mandaat is te vinden in het feit dat het Nijmeegse college heeft hiervoor opdracht gegeven en de gemeenteraad uitgebreid geïnformeerd. Sterker bijna iedere raadsvergadering komt er in Nijmegen wel een vraag vanuit de raad om meer te doen met IRMA.

Op de pogingen om mijn kennis over de BRP en digitale identiteit in twijfel te trekken ga ik verder maar niet in

[Reactie gewijzigd door Martijn_nmg op 22 juli 2024 16:31]

Darses

@Jhonna • 8 juni 2020 11:18

IRMA is wel echt wat anders dan de gemiddelde authenticatie app. Gegevens staan alleen lokaal opgeslagen en kunnen selectief vrijgegeven worden. Bovendien zal het voor een organisatie waar je inlogt niet mogelijk zijn om meer te weten te komen dan de gegevens die jij zelf vrijgeeft. Als je dus alleen je leeftijd vrijgeeft op twee verschillende sites zal het voor niemand mogelijk zijn die twee inlogpogingen aan jou te koppelen. Er is dus ook niet nog een 'broker' o.i.d. die kan bijhouden op welke websites je inlogt en welke gegevens je vrijgeeft. Dat zijn echt sterkere privacy waarborgen dan bij itsme, wat vooral wijst naar wetgeving waarin je privacy gewaarborgd zou moeten zijn en waar er wel degelijk een broker tussen lijkt te zitten die toegang heeft tot al je gegevens.

Mr. Freeze 8 juni 2020 11:28

Accepteert de politie deze app ook om je te legitimeren wanneer ze daar om vragen? Nu zou ik nog graag m’n rijbewijs willen toevoegen.

Verwijderd @Mr. Freeze • 8 juni 2020 11:59

Daar zijn we met IRMA, de gemeenten en politie al mee bezig. Ook het rijbewijs staat op de wishlist maar zal nog wel wat werk in gaan zitten om dit met RDW te realiseren.

Mr. Freeze @Verwijderd • 8 juni 2020 15:27

Dank voor deze aanvulling, gezien de score van +3 ben ik niet de enige die hier op zit te wachten. ;-)

Mooi werk hoor.

CAPSLOCK2000

Beveiliging en antivirus
Nederland

@Mr. Freeze • 8 juni 2020 11:49

Accepteert de politie deze app ook om je te legitimeren wanneer ze daar om vragen?

Dat denk ik niet, je kan je er immer niet me identificereren. Het zou kunnen dat in bepaalde situaties die app genoeg is om de politie tevreden te stellen, als ze bv alleen maar willen weten of mensen in NL of de lokale gemeente wonen of bv of ze meerderjarig zijn, maar ik kan eerlijk gezegd niet zo veel van die situaties bedenken. Meestal wil de politie toch precies weten wie je bent.

Nu zou ik nog graag m’n rijbewijs willen toevoegen.

Dat lijkt me haalbaar en nuttig, al zul je voorlopig ook nog wel een traditioneel rijbewijs nodig hebben voor gebruik in het buitenland waar ze die app niet hebben.

bousix 8 juni 2020 10:45

Ik had er niet eerder van gehoord en omdat privacy mijn interesse heeft; app geïnstalleerd.
Helaas na 5 minuten nog geen bevestigingsemail ontvangen, waardoor mijn vertrouwen in de app meteen een deuk oploopt. Ondanks dat dit best onterecht kan zijn....

P_Tingen @bousix • 8 juni 2020 11:00

De naam 'IRMA' staat voor "I Reveal My Attributes". De app IRMA bestaat overigens al een tijdje; in de podcast De Technoloog is daar een tijdje terug aandacht aan besteed (link).

FvdM @bousix • 8 juni 2020 11:15

Helaas na 5 minuten nog geen bevestigingsemail

Ik vermoed dat ze het door de berichtgeving heel druk hebben. Bij mijn duurde het zo'n 15 min.

Verwijderd @bousix • 8 juni 2020 11:56

Hi Bousix, dit zou niet moeten gebeuren, je zou dit direct hebben moeten ontvangen vanuit SIDN namens privacy by Design.

bousix @Verwijderd • 8 juni 2020 12:08

De mail was in de 8e minuut bij mij. Zoals @FvdM aangeeft, denk ik ook dat drukte (mijn provider inclusief) een logische verklaring is.

Verwijderd @bousix • 8 juni 2020 13:09

Helder, ik ga het evengoed nog wat verder uitzoeken. Het is onze doelstelling het zo ingeregeld te hebben dat er geen vertraging is onder de juiste mailstandaarden en protocollen.

bousix @Verwijderd • 8 juni 2020 13:11

Mail timestamp 10:37. Aankomst 10:45 ~ 10:46.

tweakery

@Verwijderd • 8 juni 2020 13:26

Ik heb het zojuist aangevraagd en dit duurde slechts enkele seconden. Dus als het niet druk is gaat zeker snel

Verwijderd @tweakery • 8 juni 2020 16:09

Zelfs dan streven we ernaar dat ook bij drukte (meer dan 1 mln gebruikers per dag) dit gewoon direct te kunnen verwerken. Mogelijk is hier een fout aan onze kant (SIDN) opgetreden waardoor mails vertraagd zijn maar dat ben ik nog aan het uitzoeken hoe en wat. Als ik meer details weet zal ik ze delen.

Tarquin @bousix • 8 juni 2020 10:58

Da's jammer maar ter aanmoediging: ik kan bevestigen dat hij het bij mij wel deed ('works on my PC').

StefanJanssen @bousix • 8 juni 2020 15:48

Het was hier binnen 30 seconden binnen (met 4 emailadressen)

Verwijderd 8 juni 2020 10:38

Ik volg de ontwikkeling van de IRMA app op de voet, maar zie er zelf het nut er nog niet van in.

Ben namelijk nog nooit tegen een site of organisatie aan gelopen waar ik er iets mee had gekund!

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:31]

teacup @Verwijderd • 8 juni 2020 12:55

Vorige week weer eens iets fysiek bij een notaris moeten ondertekenen (komt U binnen, wacht even... dan ga ik even opzij.... heeft U een eigen pen meegebracht?).

Ik kan wat dat betreft niet wachten tot er een goede vervanging voor iets als een handtekening komt. Zo leg ik deze tool ook uit.

Dorank @teacup • 8 juni 2020 13:03

Lang leve de smartcard functionaliteit op moderne identiteits bewijzen. Probleem blijft dan alleen dat de andere partij alleen weet dat de ondertekenaar de smartcard in bezit heeft (en wellicht de PIN weet als die er ooit mocht komen).

teacup @Dorank • 8 juni 2020 17:13

Of anders gezegd, hoe weten we dat de drager ook echt de eigenaar van de ID is.

Deels is het het verschuiven van het probleem, risico op fraude is nooit helemaal weg maar een ID tag ingebracht in je eigen lijf ondervangt in ieder geval het kwetsbare gedoe met losse spullen.

Misschien een wat draconische oplossing in tijden waarin groepen mensen al moeite hebben met een vaccinatie.

martennis @Verwijderd • 8 juni 2020 10:44

Dat is natuurlijk een kip-ei probleem; als niemand de technologie aanbied, zal er ook geen dienst zijn die er gebruik van gaat maken. Als er straks meer overheden/organisaties IRMA attributen aanbieden, komen er vanzelf meer organisaties waar je je IRMA attributen kan aanbieden ter authenticatie.

Ik volg de ontwikkelingen van IRMA ook (laatste weken iets minder), maar ik vind het erg interessant en ben benieuwd waar dit in de toekomst nog verder heen gaat. Ik hoop alleen wel dat ze hun API nog gaan aanpassen naar iets dat voor alle talen geschikt is. Vooral het dynamische deel (bijv. in sommige gevallen is variabele A een array, in andere gevallen een integer) is echt killing voor veel ontwikkeltalen.

Verwijderd @martennis • 8 juni 2020 11:57

Inderdaad dit is een kip-ei probleem. En heeft alles te maken met de nog in te vullen wet digitale overheid die private middelen als Itsme en IRMA van een toelatingskader moet voorzien. Zie hiervoor mijn artikel op iBestuur. https://ibestuur.nl/podiu...-het-echte-verschil-maken - geeft het perspectief aan voor de toekomst van IRMA.

Verwijderd @martennis • 8 juni 2020 10:51

Er zijn ongetwijfeld veel overheids organisaties mee bezig om het te integreren; maar ze zullen de mogelijkheid om het te gebruiken wel zichtbaar moeten maken.

Dorank @Verwijderd • 8 juni 2020 13:01

Waaom zou een overheid niet gewoon DigID gebruiken?

StefanJanssen @Dorank • 8 juni 2020 15:53

Omdat een overheid misschien niet alle informatie over iemand heeft?

Woefdramcx @Verwijderd • 8 juni 2020 12:34

Op https://www.irma-meet.nl/ kan je een videovergadering starten na authenticatie via IRMA. De bedoeling is om dit verder te ontwikkelen zodat scholen en universiteiten het kunnen gebruiken voor tentamens, gemeentes om baliewerk online te doen en artsen om met patiënten te communiceren.

De versie die nu online staat, is beperkt in z'n functionaliteit, maar wel bruikbaar. Je kunt authenticeren met gegevens uit het BRP ("de gemeente") en van LinkedIn (zodat ook mensen van buiten Nederland het kunnen proberen).

Coffee @Woefdramcx • 8 juni 2020 13:27

Klinkt als een mogelijk alternatief voor de Proctoring die momenteel bij Universiteiten wordt gebruikt.

Woefdramcx @Coffee • 8 juni 2020 13:48

Het authenticatiedeel van Proctoring kan zeker via IRMA, dan hoeven er niet allerlei gegevens te worden verzameld en opgeslagen; bewijzen dat je student X bent en recht hebt op de afname van het examen kan prima zonder allerlei extra gegevens aan te leveren.

Maar Proctoring doet allerlei fraudedetectie en wil -voor zover ik heb begrepen- vrijwel volledige toegang tot het werkstation van de examinant. Dat ligt buiten de scope van IRMA natuurlijk, en past ook niet echt in de privacy-filosofie van de makers van IRMA.

Dorank 8 juni 2020 13:14

Ben ik blind of wordt er nergens uitgelegd hoe de gegevens ingevoerd en gecontroleerd worden (op https://irma.app/)? Dat vind ik toch een stuk belangrijker dan het uiterlijk.

wnwiigrtz @Dorank • 8 juni 2020 13:48

Ja, goede vraag, kan ik inderdaad ook nergens terugvinden. Ik lees dat @Tarquin schrijft dat het niet om identificatie gaat, maar dan "werkt" het toch niet meer.

Je kunt de app op meerdere toestellen zetten, dus dat betekend dat als 1 iemand in de vriendengroep 18+, iedereen van 16 of 17 zijn/haar gegevens in de eigen IRMA-app kan zetten. De vraag of je dan 18 jaar of ouder bent, kan iedereen dan door IRMA met "ja" laten beantwoorden?

Op basis waarvan kan met zekerheid gezegd worden dat de ingevoerde gegevens correct zijn?

StefanJanssen @wnwiigrtz • 8 juni 2020 15:46

Dat kan, net als dat je je identiteits bewijs kan delen met mensen die een klein beetje gelijkend zijn. Identiteits checks zijn nooit 100% waterdicht, zelfs met vingerafdrukken, irisscans of DNA materiaal kun je nog steeds een ander persoon voor je hebben dan dat je denkt.

Dit is ook niet 100% waterdicht maar het is altijd beter dan puur vragen "ben jij 18+?".

wnwiigrtz @StefanJanssen • 8 juni 2020 16:43

@Dorank, @StefanJanssen. Net even zelf de app op mijn telefoon gezet. Om mijn persoons-gegevens in de IRMA-app te krijgen, moet ik mijn mijn DigiD inloggen bij mijn gemeente (indien ondersteund, mijn gemeente niet, dus kon niet verder), zodat hun mijn BRP (basisregistratie persoonsgegevens) kunnen aanbieden aan IRMA. Voor wat ik ervan begrijp worden de gegevens worden dan lokaal in de app opgeslagen en zijn in die zin geverifieerd. De vraag "ben jij 18+" kan IRMA, op basis van de verkregen informatie, dan weer beantwoorden. Dit maakt het al iets lastiger om 'zomaar' even andere gegevens erin te zetten, maar het is nog wel steeds mogelijk Even met de DigiD van iemand anders inloggen en hopla, je "bent" iemand anders.

En ja, een ID-kaart kan ik ook delen met iemand die op mij lijkt, maar die kans is al vele malen kleiner. Daarbij komt dat iemand zelf, op basis van de foto op mijn ID-kaart en mij in persoon, bepalen of het klopt. Een jongen van 16 met een id/paspoort waarop staat dat het een vrouw van 48 betreft doet snel vermoeden dan er toch iets raars aan de hand is. Een jongen van 16 met een IMRA-app op z'n telefoon waaruit komt "is ouder dan 18" zegt helemaal niks over of het klopt, of de gegevens écht van hem zijn. Het hoeft dus niet een gestolen/geleend toestel te zijn, het (bewust) inladen van andere informatie is dan voldoende om jezelf anders voor te doen.

In het geval van een (online) slijterij, kan IRMA enkel beantwoorden dat de leeftijd van de ingevoerde/geverifieerde persoon 18+ is, maar niet dat de gebruiker van de app ook daadwerkelijk diezelfde persoon is. En omdat de rest van de gegevens (foto, leeftijd, geslacht) ontbreken, is het dus niet mogelijk om hierop zelf nog enige vorm van controle uit te oefenen. Het 4-jarige zoontje, in het voorbeeld van @leon_ree kan dan dus gewoon een biertje kopen.

Als er straks enkel wordt gecontroleerd met de gedachte "Als de IRMA-app zegt dat het zo is, dan zal het wel kloppen..." dan moet IRMA er ook voor zorgen dat die gegevens kloppen. Anders heeft het op het gebied van controle geen enkele meerwaarde en maakt het het enkel makkelijk(er) om te frauderen met dingen als leeftijd, geslacht, woonplaats etc.

leon_ree @wnwiigrtz • 8 juni 2020 17:42

goed verwoord

nitrofx @wnwiigrtz • 8 juni 2020 18:48

IRMA ondersteunt het intrekken van attributen. Ik weet niet of dit aan staat voor het attribuut "leeftijd", maar zo ja dan zou de app er in ieder geval voor kunnen zorgen dat jouw DigiD maar gekoppeld kan worden aan één account (keypair). Als je dan iemand anders jouw leeftijdsattribuut wil geven, moet je je hele account delen, en heeft die persoon dus al je attributen.

Dit is enigszins inherent aan het systeem: om te zorgen dat je iets niet kan kopiëren moet je DRM-achtige technieken gebruiken (denk maar aan films/software), en die zijn fundamenteel incompatibel met open source. Sowieso kan je natuurlijk altijd je telefoon aan iemand anders geven.

StefanJanssen @wnwiigrtz • 8 juni 2020 19:00

De gemeente Nijmegen geeft de gegevens vrij voor elke gemeente. Dit werkte bij mij wel gewoon ondanks dat ik niet uit nijmegen kom.

In het geval van een (online) slijterij, kan IRMA enkel beantwoorden dat de leeftijd van de ingevoerde/geverifieerde persoon 18+ is, maar niet dat de gebruiker van de app ook daadwerkelijk diezelfde persoon is. En omdat de rest van de gegevens (foto, leeftijd, geslacht) ontbreken, is het dus niet mogelijk om hierop zelf nog enige vorm van controle uit te oefenen. Het 4-jarige zoontje, in het voorbeeld van @leon_ree kan dan dus gewoon een biertje kopen.

En wat houd dat vier jarige zoontje nu tegen om dingen bij de online slijter te bestellen? Iets van controle is beter dan geen controle.

Dorank @wnwiigrtz • 8 juni 2020 23:21

Bedankt voor het uitzoek werk , maar de informatie zoals verificatie door DigID staat ook in de screenshots van dit artikel.

Wat ik wilde bloot leggen met mijn vraag is dat de prioriteiten van dit project volkomen verkeert liggen. Uiterlijk in plaats van informatie verschaffen over de werking en het daadwerkelijk gebruik. Ik ga simpel weg niet de tijd nemen om onduidelijk projecten te onderzoeken door het installeren van applicaties op mijn devices.

Verwijderd @wnwiigrtz • 19 juni 2020 16:09

Hoi @wnwiigrtz

Het is zeker niet zo dat de IRMA app de leading of single source of truth is. Dat is de uitgever van het attribuut. Bijvoorbeeld Nijmegen. Het "Scheme" waarin alle attributen staan wordt beheerd door de stichting en SIDN traineert deze partijen als ze willen toetreden.

Het scheme wordt publiek gepubliceerd, iedereen kan dit raadplegen. Verificatie diensten kunnen vervolgens in hun digitale verificatie vragen om attribuut x (bijvoorbeeld leeftijd) onder voorwaarde dat deze is uitgegeven door y (in dit geval de gemeente).

Grz B

wnwiigrtz @Verwijderd • 19 juni 2020 20:39

Bob, dank voor je reactie. Ik snap dat IRMA niet leading of de single source of truth is. Echter doet de tekst in het artikel dit wel vermoeden. Zo staat er o.a.: "IRMA is een authenticatieapp waarmee Nederlanders op een privacyvriendelijke manier kunnen inloggen bij bijvoorbeeld overheidsdiensten."

Ik snap het process van "inleren" van attributen, dat deze enkel door bijv. de gemeente kunnen worden uitgegeven en dat dit geraadpleegd kan worden, maar er is (voor mijn gevoel) geen enkele garantie dat deze waardes horen bij de persoon die op dat moment de IRMA-app tot zijn/haar beschikking heeft.

Het voelt een beetje hetzelfde alsof er een website/dienst is die speciale rood-wit-gestreepte schoenen verkoopt aan enkel getrouwde mannen tussen de 40 en 45 jaar, wonend in Amsterdam. Bij het kopen van deze schoenen dient er aan alle voorwaarden te worden voldaan, waardoor er met zekerheid gezegd kan worden: Deze schoenen zijn verkocht aan iemand die aan al deze criteria voldoet. Echter, na levering bij de juiste persoon, kunnen deze schoenen door iedereen gedragen worden. Er kan dus niet met zekerheid worden gezegd: Deze schoenen worden gedragen door iemand die voldoet aan alle criteria.

En in het geval van IRMA, worden alle andere kenmerken ook nog eens verborgen. Alsof iemand de neuzen van deze schoenen onder de schutting doorsteekt en dan zegt: "Ja hoor, kijk maar, ik ben een 45-jarige, getrouwde man uit Amsterdam, want ik draag rood-wit-gestreepte schoenen". En dat je er dan maar vanuit moet gaan dat dat klopt, ondanks dat aan de andere kant van de schutting misschien een vrouw van 25 uit Rotterdam staat.

Omdat ik echter alleen de neuzen van de schoenen kan zien, kan ik op geen enkele manier verifiëren of dit klopt / lijkt te kloppen en dus moet ik er op basis van de schoenen vanuit kunnen gaan dat dit zo is. Vooral als dit voor overheidsdiensten gebruikt gaat worden, lijkt me dit wel een essentieel iets. Als je niet kunt verifiëren dat de persoon die de schoenen draagt ook de persoon is aan wie de schoenen zijn verkocht, zegt het dus eigenlijk helemaal niks...

Cerberus_tm

@wnwiigrtz • 8 juni 2020 16:59

Je zou b.v. eenmalig, bij het invoeren van de gegevens, "ouder dan 17: ja" kunnen laten verifiëren via Digi-D. Dat kan vast ook voor de pasfoto van je paspoort. Als een winkel dan later je leeftijd wil checken, zal hij deze eerder bevestigde gegevens te zien krijgen.

Iemand anders kan natuurlijk (met jouw instemming) jouw IRMA-account gebruiken. Als de winkelier dan niet naar je pasfoto kijkt, kan ze inderdaad drank op jouw naam kopen. Maar dat kan nu ook, als ze jouw paspoort meeneemt.

Verwijderd 8 juni 2020 11:24

Laatst een podcast over geluisterd, klinkt heel goed. Zou mooi zijn als Den Haag dit gaat promoten en bijvoorbeeld DigiD eraan koppelt, voordat we allemaal spul van de big five hiervoor gaan gebruiken. Silicon Valley gaat dit geenszins promoten, dat is precies wat ze zelf willen regelen.

Auteur

TijsZonderH Nieuwscoördinator @Verwijderd • 8 juni 2020 11:27

Welke podcast was dat? Ik ken alleen die van De Technoloog maar zou er graag ook anderen over luisteren!

Verwijderd @TijsZonderH • 8 juni 2020 11:28

Die i.d.d., niet de nieuwste, maar wel interessant.

Puffino 8 juni 2020 11:45

Waarom noem je dit een "authenticatieapp"?

Het is toch vooral een app om gegevens over jezelf geverifieerd vrij te geven, zodat de andere kant met vertrouwen bijv. kan zien "die persoon is inderdaad 18+", of heeft echt dat adres?

Je kunt deze toch niet als 2FA app gebruiken? (nieuws: Nijmegen test identificatieapp IRMA die privacy waarborgt)

johnkeates @Puffino • 8 juni 2020 12:44

Om dat je een eigenschap van je identiteit bevestigt. Dat is wat het woord authenticatie betekent.

Waar je klassiek een gebruikersnaam hebt en je wachtwoord gebruikt om te bewijzen dat je dat ook echt bent heb je in dit geval bijv. een handeling voor volwassenen waar je moet bewijzen dat je dat ook echt bent (wettelijk gezien dan he).

[Reactie gewijzigd door johnkeates op 22 juli 2024 16:31]

DaFeliX Developer 8 juni 2020 13:01

Voor leuke achtergrondinformatie: Sietse Ringers heeft een inkijkje gegeven over IRMA bij de laatste Privacy&Security Meet-up XL

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (120)

Sorteer op:

Weergave: