Privacy by Design wil coronaresultaten in IRMA-app laten ophalen

De stichting Privacy by Design wil gebruikers van de IRMA-authenticatieapp privacyvriendelijk coronatestuitslagen laten ophalen en tonen aan derden. Volgens de initiatiefnemers is hun platform voor gegevensverwerking veiliger dan andere projecten.

De makers van de I Reveal my Attributes-app of IRMA willen met dat plan een antwoord bieden op internationale initiatieven om coronatestresultaten op te halen en te kunnen tonen. De stichting verwijst daarbij naar de app die de Chinese overheid wereldwijd beschikbaar heeft gesteld voor reizigers en het Covid Passport dat de International Air Transport Association op dit moment ontwikkelt. Beide initiatieven zijn volgens de stichting Privacy by Design minder privacyvriendelijk. De makers hebben een demo gemaakt waarin gebruikers kunnen zien hoe dat er in de praktijk uit zou zien.

De stichting zegt dat het Nederlandse ministerie van Volksgezondheid geen eigen nieuwe app hoeft te ontwikkelen. Het ministerie kan tijd en geld besparen met de ingebruikname van de IRMA-app omdat die al operationeel is. De wensen voor een privacyvriendelijke omgang met data zijn volgens de stichting al bereikt met het IRMA-platform.

Gebruikers van het IRMA-platform moeten informatie over hun leeftijd en adres opgeven bij het instellen ervan. Het platform bevestigt die informatie, maar deelt die niet zelf met derde partijen. Deze partijen krijgen op deze manier geen directe toegang tot gevoelige gegevens als ze deze willen verifiëren. Bovendien maakt het gedecentraliseerde identiteitsplatform IRMA gebruik van geavanceerde cryptografie op basis van het opensource-authenticatieplatform Idemix dat IBM ontwikkelde. Volgens de initiatiefnemers is de gegevensverwerking van de IRMA-app privacyvriendelijker dankzij zijn gedecentraliseerde architectuur. Bij andere identity managementsystemen, zoals iDIN, wordt de data centraal verwerkt.

Door Jay Stout

Redacteur

03-12-2020 • 15:20

39 Linkedin

Reacties (39)

Wijzig sortering
Wij van wc eend :)
Zou je inderdaad denken, Echter heeft deze non-profit wel een punt en geen winstbelang. Je kan met IRMA heel granulair info verstrekken aan derden. Zie hier zeker kansen om deze bewezen gedecentraliseerde authenticatiemethode grootschalig in te zetten.
Echter heeft deze non-profit wel een punt en geen winstbelang.
Nog belangrijker, het is peer-reviewed in verschillende academische publicaties, en volledig open.

[Reactie gewijzigd door The Zep Man op 3 december 2020 15:45]

Maar je moet wel informatie aan hun verstrekken dus, gezien:
Gebruikers van het IRMA-platform moeten informatie over hun leeftijd en adres opgeven bij het instellen ervan. Het platform bevestigt die informatie
En lijkt me logischer dat iets van de overheid dit doet, ipv een random derde partij ervoor verantwoordelijk te maken. Of een andere partij de mogelijkheid geven die deze informatie toch al van je hebben (eg banken).

Diezelfde "geavanceerde cryptografie" die IRMA gebruikt, kunnen deze partijen ook prima gebruiken om te zorgen dat het privacy vriendelijk is.
Het mooie is, het werkt al zoals jij het beschrijft. IRMA doet niks anders dan attributen opslaan in hun app, lokaal op je telefoon, uitgegeven door verschillende issuers, en cryptografisch ondertekend door die issuers. Ze houden een lijst van vertrouwde issuers bij. Ook een bank kan een issuer zijn - sterker nog, er is al een IDIN issuer, en ook eentje op basis van digid.
Vervolgens brengen ze alleen attributen naar buiten als jij daar zelf toestemming voor geeft, waarbij het altijd duidelijk is precies welke data je deelt.

Je voert die gegevens dus niet in bij 'het IRMA platform', je vraagt ze op bij een issuer, bijvoorbeeld een overheidsinstantie of de GGD waar je net met DigiD bent ingelogd. Alleen jij en die issuer krijgen toegang tot de gegevens, en daarna staan ze lokaal en versleuteld op je eigen telefoon, in de IRMA app. Dat zou je ook onderdeel van het IRMA platform kunnen noemen, maar die data wordt dus niet verwerkt door een derde partij, en de stichting IRMA krijgt geen gegevens. Irma heeft wel een log, maar daar staat niet in van wie de attributen komen, of aan wie je ze hebt afgegeven, en je kan de log volledig zelf inzien.

Zie https://privacybydesign.foundation/irma-explanation/ voor veel meer uitleg.

[Reactie gewijzigd door Pieter_621 op 3 december 2020 16:54]

Als ik je uitleg lees (helder trouwens, dankjewel!) vraag ik me wel één ding af. Waarom doen we dit niet al jaren op grote schaal zo? Want het klinkt als een geweldige, redelijk portable, oplossing.
Self Souvereign Identity (concept waarin jij altijd je persoonlijke informatie bezit en inzage rechten kan managen) wordt al jaren aan gewerkt, o.a. door TNO. Echter is er weinig incentive want dit gaat de hele informatie markt ondersteboven gooien.

Maar de grootste reden is crypto, zowel dat er geen goeie standaarden waren die aan alle eisen voor SSI voldoen als dat hardware (persoonlijke hardware, zoals laptop, telefoon of tablet) was ook niet krachtig om dit op schaal of consistent te doen. Hier is in een paar jaar enorme verandering in gekomen, dus denk daarom dat dit weer meer boven komt drijven.
Dan zou het inderdaad een stuk beter zijn, maar dan klopt de tekst in het artikel (imo) niet, het zet je op zijn minst op het verkeerde been.
Het RIVM ontkende dat het gesprek had plaatsgevonden, en Peter vond het eerst ook niet terug in zijn gespreksgeschiedenis.
Damn, het RIVM, (wat onder leiding staat van Bill Gates) heeft per direct de telefoon van Peter gehacked om dit gesprek uit z'n belgeschiedenis te verwijderen. Dit gaat dieper dan ik dacht. 8)7

Ik heb trouwens net Peter gebeld, en hij heeft toegegeven dat het eigenlijk gewoon een grap van 'm was, en dat hij nooit het RIVM heeft gebeld. Dit heb ik opgenomen en geüpload naar youtube, maar Lange Frans en Maurice de hond, die eigenlijk echt de touwtjes in handen hebben bij YouTube, verwijderen 'm steeds.

Nu hopen dat ze niet m'n toetsenbord hacken om te voorkomen da
Privacy by Design verkoopt niks en is nonprofit. Het is ook opgericht door mensen als Bart Jacobs, die hebben niks te verkopen.
Een man met vele talenten inderdaad!

Nee hoogleraar Bart Jacobs van de Radboud Universiteit.
Gewetensvraag... Moest je in 2019 ook een vaccinatiekaart laten zijn bij de check-in of het boarden? Ik ga jaarlijks naar het buitenland (binnen Shengen) en nog nooit heeft iemand mij gevraagd naar mijn mazelen vaccin. In vindt het verdacht dat er nu opeens apps komen om de medische gesteldheid van reizigers internationaal te tracken, terwijl we dat voor andere ziektes nooit hebben gedaan.

Jaarlijks komen er in Nederland 800 gevallen (RIVM) van tuberculose voor, die bijna allemaal met het vliegtuig deze kant op zijn gekomen. Wij hebben als EU dus geen 'tuberculose'-check van tevoren, terwijl de tering jaarlijks 1.5 miljoen (WHO) mensen dood.

Mijn gevoel... "Never let a crisis go to waste..."

Edit in de categorie historisch perspectief. Mijn grootmoeder heeft mij afgelopen jaar een paar verhalen over de tweede wereldoorlog verteld. Een van de details die haar als kind aangrepen, is hoe tuberculose uitbraken in '44-'45 om zich heen grepen en bosjes mensen velde. Een buurman sliep in een tent in de achtertuin zodat zijn vrouw en werkende zoons niet ziek zouden worden.

[Reactie gewijzigd door Eonfge op 3 december 2020 16:18]

Op basis van het aantal covid doden zou je zeggen dat dit nog niet gerechtvaardigd is als je dit met het jaarlijkse aantal influenza doden vergelijkt. Al is er natuurlijk wel een groot verschil dat we er nu van alles aan doen om dit virus regen te gaan.

Wat ik me verder afvraag waar nooit over gesproken wordt is hoe de ziekenhuizen de afgelopen jaren vol lagen met grieppatienten. De vraag is ook of er door politieke keuzes met privatisering gewoon een permanent capaciteitsprobleem is met IC en ziekenhuis bedden.
Als je kijkt naar het aantal doden door overstromingen in Nederland, zou je ook zeggen dat de deltawerken niet nodig zijn. Het onderhoud van de dijken kost miljarden per jaar. Daar kunnen we beter mee stoppen.
Ziektes waarvoor de meeste mensen zijn ingeent vormen dan ook geen risico voor de volksgezondheid, omdat het geen kans heeft om zich heen te grijpen. Bij COVID-19 is dat niet het geval, nog het overgrote meerendeel van de bevolking is ervoor vatbaar. Dus je wil voorkomen dat er mee gereisd wordt.

Wanneer ook hier de vaccinatiegraad hoog is, of er in het algemeen goed weerstand tegen is, dan zal ook dit niet meer verwacht worden.
Er zijn wel landen waar je bijvoorbeeld voor gele koorts moet zijn ingeent. Nu heeft niemand gekeken naar het vaccinatiebewijs toen ik het land binnen kwam (of bij boarden), maar je moet m wel hebben officieel.
Gele koorts is voorlopig het enige vaccin waardoor je toegang tot een land geweigerd kan worden.
Andere vaccins zal een dienst tropische geneeskunde aanraden, maar is niet verplicht.
Het hele idee van de IRMA app is juist dat het minimum aan persoonlijke informatie gedeeld wordt met derde partijen, zodat je niet getracked kunt worden, maar de derde partij wel kan verifiëren dat de aangeleverde gegevens kloppen.

Overigens zijn voor sommige landen (bijv. in Afrika) bepaalde vaccinaties, zoals voor gele koorts, wel degelijk verplicht om het land binnen te komen.
Je hoeft binnen Schengen geen bewijs van inenting voor mazelen te laten zien, omdat hier geen grootschalige mazelenepidemieën voorkomen.
Waarom kan het niet gewoon zoals het nu gaat met een vragenlijst waarop je aangeeft of je wel of niet aan een bepaalde voorwaarde voldoet. Zo moet je ook opgeven of je een crimineel verleden hebt of meer dan $10,000 bij je hebt. Als je overal NEE op antwoordt, mag je gewoon door. De eerlijkheid daarvan is je eigen verantwoordelijkheid en het zou wat zijn als jou land voor jou moet spreken.
Maar als het er echt om gaat, en men wil zeker zijn van je zuivere verleden, dan wordt altijd nog gevraagd om een verklaring omtrent gedrag. En dergelijk bewijs kan je zo dus digitaal leveren op een privacy vriendelijke manier.
Iemand anders heeft het hieronder al aangegeven, echter heb ik een "geel boekje" met mijn vaccinaties. Moest het destijds laten zien toen ik naar Ecuador ging, waren met name geïnteresseerd in mijn gele koorts vaccinatie.
Medische informatie delen met iemand anders dan je eigen arts blijft natuurlijk volstrekt ongewenst, ongeacht de manier waarop je dat deelt. Deze dystopische toekomst moeten we echt niet willen, want dit gaat nooit meer weg.
De nadruk ligt hier op het zo veilig mogelijk delen, niet op de verplichting het te moeten doen, want daar hebben "wij" niet altijd invloed op.

Maar als je gegevens over je zelf moet delen, zoals:
- ik ben ouder dan 18
- ik heb een rijbewijs B
- ik heb geen corona
- mijn bankrekening is NL****
- ik ben inwoner van Lutjebroek
- dit is een foto van mijn gezicht
- etcetera
dan is het wel zo fijn dat je alleen die data deelt die men wil weten en niet gelijk de hele rambam.
Dan is Irma echt een uitkomst omdat jij alleen dat gegeven deelt met enkel die instantie.
En dat je dat niet laat doen via, laten we zeggen, een instantie die is opgericht door partijen die ook allerlei verzekeringen aanbieden (Idin).
Wat ik als probleem heb met IRMA is dat het informatie vragen te makkelijk maakt. Dat maakt het drempelverlagend.

Niemand gaat zijn Kopie ID opsturen om een account op Tweakers te maken. Dan verlaten we de site gewoon. Maar als Tweakers nou een IRMA kenmerk van je NAW vraagt? Dan doen al veel meer mensen dat, want de kans op misbruik is kleiner, je kan alleen de gevraagde gegevens delen, enz. En voor de site is het fijn want ze kunnen spammers makkelijker permabannen. Resultaat: Steeds meer sites gaan dit doen. Je kan dan geen website meer op met een anonieme nickname. En omdat sites regelmatig gehackt worden, komt die informatie daar dan ook bij mee.

Persoonlijk vind ik dat een slechte zaak. Legitimatie is een zwaar goed. Een forumpje of een krant waar je je registreert om wat nieuwsberichten te lezen hoeft niet te weten wie je precies bent. Het vragen daarvan moet niet te makkelijk gemaakt worden. Je ziet op Facebook al waar dat toe leidt. Zoals dat meisje uit Haren die de rest van haar leven geassocieerd zal worden met 1 verkeerde klik. We worden al veel te veel gevolgd op internet.

[Reactie gewijzigd door GekkePrutser op 4 december 2020 03:27]

Ik ben helemaal met je eens dat er te pas en te onpas om allerlei informatie wordt gevraagd die niet noodzakelijk en zelfs vaak ongewenst is, maar helaas leven we in een wereld waar dit nu wel het geval is.
En zoals ook hier zijn veel reacties dat het niet zou moeten mogen om deze informatie op te vragen, dat men de bedrijven die dat doen moet aanpakken, etcetera.

Maar daardoor lijken er twee stromen te ontstaan; aan de ene kant een (enorme) groep die het wel best vindt en makkelijk als ze nergens voor hoeven te betalen en desnoods gewoon hun paspoort afgeven voor wat voor reden dan ook. En aan de andere kant een veel kleinere groep die hier (terecht) vraagtekens bij stelt en niet zomaar hun eigen data deelt.
Die eerste groep geeft gewoon een - foto van - hun paspoort, een rijbewijs of andere informatie af.
Dat is wel zo makkelijk, ook al wordt er daardoor veel meer gedeeld dan noodzakelijk.
De tweede groep is hard bezig met zichzelf te beschermen, maakt unieke, deels onleesbare kopieën van documenten en leest de toelichting bij allerlei 'Akkoord' vinkjes.

Maar een initiatief als IRMA - maar ook andere - krijgen daardoor wat mij betreft te weinig aandacht en momentum. Voor de mensen die toch al hun data al delen is het juist enorm drempelverhogend om een aparte app te hebben en na te moeten denken over wat ze willen delen; het boeit ze niet.
En in de privacy bewuste groep lijkt vaak meer energie te worden gestoken in het 'aanvallen' van de partijen die belachelijk omgaan met onze data en laat IRMA ook vaak links liggen.
En dan zie ik tegelijkertijd wel initatieven en apps opkomen die ook makkelijk zijn, appelleren aan security en privacy en vervolgens gemeengoed worden.

Ik gebruik geen facebook of google account om ergens in te loggen en mezelf te identificeren, maar het gemak waarmee dit op grote schaal gebeurt baart mij zorgen. En ondertussen harken allerlei bedrijven ontiegelijk veel persoonlijke data van mensen binnen, gewoon omdat er geen betere alternatieven zijn.

Persoonlijk ben ik dus erg voorstander van IRMA als die losse stukjes data deelt waar ik zelf kies of en wat ik wil delen en laat ik als het mogelijk is andere methodes schieten.
Het feit dat je met IRMA medische informatie kan delen, wil niet zeggen dat je dat ook moet. Een partij die wel eist dat je bepaalde medische gegevens verstrekt, kunnen we vandaag-de-dag heel snel aan de schandpaal nagelen. Ik stel voor dat we dat dan ook vooral doen.
En toch heeft COVID een enorme glijdende schaal teweeg gebracht.

Als je een jaar geleden geroepen had dat je een negatieve test bij je moest hebben om naar Spanje te kunnen, was je voor gek verklaard.

Vanaf hier gaat het naar een groot festival, vervolgens een concert en daarna is de supermarkt aan de beurt. In China gebeurt dit allemaal al, daar kom je nergens meer in zonder de juiste QR code.

[Reactie gewijzigd door GekkePrutser op 4 december 2020 03:16]

Tijden veranderen voortdurend. Er was een tijd dat je je langs poortwachters kon werken door een stuk perkament met een een afdruk in bijenwas te tonen. Tegenwoordig heb je een paspoort met foto en vingerafdruk nodig.

We gaan in dit geval dus van een situatie waarin niet om medische gegevens gevraagd kan worden omdat we die niet "zomaar" bij ons hebben, naar een situatie waarbij we zelf simpelweg moeten zeggen "die gegevens heb ik wel, maar die krijg je niet".

Ik begrijp heel goed dat de drempel om om dergelijke gegevens te vragen ineens een heel stuk lager komt te liggen, maar feitelijk verandert het niet veel aan de situatie: een dienstverlener kan bepaalde eisen aan je stellen voor hij besluit zijn dienst te leveren. Als hij door een veranderende stand van de techniek hogere eisen gaat stellen, is het nog altijd aan ons, de klanten, om te bepalen of we die prijs willen betalen.

Zo zijn er hordes mensen die steen en been klagen over de privacyschendingen van Facebook en Google, maar hun diensten ondertussen wel blijven gebruiken. De keuze is aan jou.

Daar komt bij -en ik begrijp dat ik me hiermee op een hellend vlak begeef- dat het vragen om een vaccinatie voor je bijvoorbeeld je kind mag afgeven bij de kinderopvang, een direct en duidelijk doel en voordeel heeft: de bescherming van de andere kinderen. Als jouw kind niet gevaccineerd is, kan hij een gevaar opleveren voor de anderen.

Zelfde geldt voor een bejaardentehuis. Als jij op bezoek wilt komen, maar je bent niet gevaccineerd of hebt geen heel recente negatieve uitslag van een Corona-test, dan vorm je een gevaar voor de bewoners. Wordt jou dan onrecht aangedaan, of wordt de zwakke bewoners dan onrecht aangedaan door ze bloot te stellen aan een vermijdbaar risico?
ik zit te reageren op het verkeerde artikel

[Reactie gewijzigd door Wayed op 3 december 2020 16:19]

Zojuist geprobeerd voor in België, maar helaas. IRMA verwijst de gebruiker nu enkel (nog) door naar Nederlandse diensten. Gewoon geduld hebben totdat België het ook ontdekt. Met de Museum pas duurde dat ongeveer 40 jaar...
Door het gebruik van QR-codes werkt het ook nog eens makkelijk, in Nijmegen draait of draaide ook een grote proef. Prima initiatief, en heeft een erg lange adem!
Eerst al een sluis en nu al een heel platform. Je tolkt een paar keer landelijk en voila je wordt ineens beroemd.
Ja, ze wordt op handen gedragen
Alleen bestond IRMA al voordat iemand ooit van Corona gehoord had.
Zeker, ze is al 49 jaar.
is die vernoemd naar irma v/d Sluis?
Nee Irma Sluis is vernoemd naar de Zeesluis IJmuiden!

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee